Access Gateway 5.0 2014-10-27 18:20:20 UTC © 2014 Citrix Systems, Inc. All rights reserved. Terms of Use | Trademarks | Privacy Statement 目次 Access Gateway 5.0 ............................................................................................. 14 Access Gateway 5.0 ............................................................................... 15 このリリースについて......................................................................... 16 はじめに .................................................................................... 17 主要機能 .................................................................................... 18 Access Gatewayの運用モード .................................................. 20 Citrix製品との互換性............................................................... 21 用語の変更............................................................................ 22 新機能 ....................................................................................... 23 Access Gateway Management Console .................................... 25 Access Gateway Management Consoleにログオンするには 26 Management Consoleで管理者パスワードを変更するには 27 2 ログオンポイントの概要 .......................................................... 28 スマートグループの概要 .......................................................... 29 デバイスプロファイルの概要..................................................... 30 スナップショットの概要 .......................................................... 31 ネットワークリソースの概要..................................................... 32 デリバリーサービスコンソールの概要 ......................................... 33 クラスタリングと負荷分散の概要 ............................................... 34 高度なエンドポイント解析の概要 ............................................... 35 廃止された機能 ...................................................................... 36 既知の問題 ................................................................................. 37 システム要件 .................................................................................... 42 Access Gatewayアプライアンスの要件............................................. 43 Access Gateway Management Consoleの要件 ............................ 44 Access Controllerのシステム要件.................................................... 45 Access Controllerサーバーの役割、サービス、および機能 .............. 46 ネットワークの要件 ................................................................ 48 アカウントの要件 ................................................................... 49 3 データベースの要件 ................................................................ 51 認証ソフトウェアの要件 .......................................................... 52 SmartAccessの要件 ............................................................... 53 サードパーティ製ポータルの統合要件 ......................................... 54 デリバリーサービスコンソールの要件 ......................................... 55 クラスタリングと負荷分散のシステム要件 ......................................... 56 外部負荷分散装置の構成要件..................................................... 57 ユーザーデバイスの要件 ................................................................ 58 Access Gateway Plug-inのシステム要件..................................... 59 エンドポイント解析の要件........................................................ 64 Citrix XenAppとXenDesktopの統合要件 ........................................... 65 Web Interfaceへのシングルサインオンのためのシステム要件 66 計画................................................................................................ 67 Access Gateway 5.0インストールチェックリスト .............................. 68 Access Gatewayのセキュリティ計画 ............................................... 78 アクセス戦略の策定 ...................................................................... 79 展開................................................................................................ 82 Access GatewayアプライアンスのDMZへの展開 ................................ 83 保護されたネットワーク内へのAccess Gatewayの展開 ........................ 85 XenAppまたはXenDesktopと合わせたAccess Gatewayの展開 .............. 86 負荷分散とアプライアンスのフェールオーバーのための追加のAccess Gatewayアプライアンスの展開 ....................................................... 87 Access Controllerを伴うAccess Gatewayの展開 ................................ 88 ユーザーアクセスのためのプラグインの展開 ...................................... 90 Web Interfaceの展開オプション ..................................................... 92 セキュリティで保護されたネットワークへのWeb Interfaceの展開 93 DMZ内でWeb InterfaceとAccess Gatewayを並列に展開する場合 94 DMZ内でWeb InterfaceをAccess Gatewayの後方に展開する場合 96 インストールとセットアップ ................................................................ 97 Access Controllerのインストール計画 .............................................. 98 Access Controllerをインストールするには .................................. 100 Access Controllerのアンインストール ........................................ 102 ライセンス ....................................................................................... 103 Access Gatewayのライセンスの種類 ............................................... 104 プラットフォームまたはユニバーサルライセンスファイルの取得............. 106 Access Gateway 4.6, Standard Editionからのライセンスの移行 109 Access Gateway上にライセンスをインストールするには ................ 110 複数のアプライアンスのためのライセンス ................................... 111 4 ライセンスの猶予期間 ................................................................... 113 ライセンス情報を表示するには........................................................ 114 アップグレードと移行......................................................................... 115 Access Gatewayアプライアンスソフトウェアのアップグレード ............. 117 Access Gatewayソフトウェアをダウンロードするには................... 118 Access Gatewayソフトウェアをアップグレードするには ................ 119 以前のバージョンのソフトウェアに戻すには................................. 120 Access Gatewayソフトウェアの特定のバージョンを削除するには 121 アプライアンスのフェールオーバーペアに含まれるAccess Gateway アプライアンスのアップグレード ............................................... 122 Access Controllerのアップグレード................................................. 123 Access Controllerをアップグレードするには................................ 124 Access Gateway 5.0への移行 ........................................................ 125 Access Gatewayアプライアンスの移行設定 ................................. 127 Access Gatewayの移行されない設定.......................................... 130 Access Gatewayアプライアンスの廃止された設定 ........................ 132 Access Controllerの移行設定.................................................... 136 Access Controllerの移行されない設定 ........................................ 141 Access Controllerの廃止された設定と機能 .................................. 145 Access Gateway Advanced Editionからの移行.................................. 148 Access Controllerへの設定の移行のためのチェックリスト .............. 150 既存の構成データの移行 .......................................................... 151 移行ウィザードをインストールするには ...................................... 152 既存のAdvanced Access Controlの構成データをエクスポートおよび 変換するには......................................................................... 153 クラスター構成データのインポート ............................................ 154 カスタムエンドポイント解析スキャンパッケージの移行 .................. 156 スナップショットの作成 ................................................................ 157 アプライアンスのフェールオーバーのためのスナップショットの管理 158 Access Controller使用時のスナップショットの管理 ....................... 159 スナップショットを作成するには ............................................... 160 スナップショットをエクスポートするには ................................... 161 保存したスナップショットをインポートするには ........................... 162 以前のまたはより新しいバージョンのスナップショットを復元するに は ....................................................................................... 163 スナップショットを削除するには ............................................... 164 Access Gateway 5.0ソフトウェアの再インストール............................ 165 Access Gatewayの再起動または電源切断.......................................... 167 管理................................................................................................ 168 Access Gatewayアプライアンスの管理............................................. 169 証明書のインストールと管理..................................................... 170 署名済みのデジタル証明書と秘密キーのインストール 171 Access Gateway Certificate Managerでの証明書の管理 172 証明書署名要求の概要 .................................................. 173 証明書署名要求を作成するには................................. 174 署名済みサーバー証明書をAccess Gatewayにインポー トするには .......................................................... 175 Windowsベースのコンピューターから証明書と秘密キーをインス トールするには ................................................................ 176 Access Gatewayへのルート証明書のインストール................... 177 複数のルート証明書のインストール ...................................... 178 ワイルドカード証明書の構成 ............................................... 179 証明書の詳細を表示するには ............................................... 180 証明書をエクスポートするには ............................................ 181 中間証明書のインストール .................................................. 182 ネットワーク設定の追加 .......................................................... 185 特定用途のネットワークアダプターの指定.............................. 186 ネットワークアダプターのプロパティの変更 ........................... 187 ポート80から保護されたポートへの接続のリダイレクト 188 ネームサービスプロバイダーの追加 ...................................... 189 HOSTSファイルの編集 ...................................................... 190 静的ルートの定義 ............................................................. 191 静的ルートの例 .......................................................... 192 Access Gatewayアプライアンスの日付と時刻の変更 194 Access GatewayとNTPサーバーの同期 ................................. 195 ネットワークアクセスのセットアップ ................................... 196 追加のAccess Gatewayアプライアンスの設置 .............................. 198 Access Gateway 5.0のアプライアンスのフェールオーバーのし くみ .............................................................................. 200 ネットワークアダプターでアプライアンスのフェールオーバー 203 を有効にするには........................................................ プライマリアプライアンスでアプライアンスのフェールオー バーを構成するには..................................................... 204 セカンダリアプライアンスでアプライアンスのフェールオー バーを構成するには..................................................... 205 セカンダリアプライアンスに強制的にフェールオーバーする には......................................................................... 206 外部の負荷分散装置を使用するための複数のアプライアンスのセッ 207 トアップ......................................................................... 負荷分散装置の後方に展開するアプライアンスの証明書を作 成するには ................................................................ 5 208 デフォルトのゲートウェイとしての負荷分散装置の指定 Access Gatewayでの認証および承認プロファイルの作成 ................ 211 Access Gatewayアプライアンスへの認証プロファイルの追加 212 アプライアンスでのLDAP認証プロファイルの作成 ................... 214 アプライアンスでLDAP認証プロファイルを作成するには 216 アプライアンスでユーザーにパスワードの変更を許可するに は............................................................................ 218 LDAPディレクトリの属性の確認..................................... 219 Access GatewayアプライアンスでのRADIUS認証プロファイル の作成............................................................................ 220 RADIUS認証のWindows Server 2008での構成 222 RADIUS認証のWindows Server 2003での構成 224 RADIUS認証を構成するには.......................................... 226 Access GatewayアプライアンスでのRSA SecurID認証プロファ イルの作成 ...................................................................... 227 アプライアンスでRSA SecurID認証プロファイルを作成する には......................................................................... 229 複数のアプライアンス用のRSA設定ファイルの追加 230 アプライアンスのフェールオーバーのためのRSAエージェン トホストファイルの作成 ............................................... 231 ノードシークレットのリセット ...................................... 232 Access Gatewayアプライアンス上の認証プロファイルへの承認 の追加............................................................................ 233 アプライアンスでのLDAP承認の追加 ............................... 234 アプライアンスでLDAP承認を構成するには 236 ユーザーオブジェクトからの直接的なLDAPグループ抽 出のしくみ .......................................................... 237 グループオブジェクトからの間接的なLDAPグループ抽 出のしくみ .......................................................... 238 Access GatewayアプライアンスへのRADIUS承認プロファ イルの追加 ................................................................ 239 Access Gatewayから認証プロファイルを削除するには 6 210 240 デバイスプロファイルの作成..................................................... 241 デバイスプロファイルの種類 ............................................... 242 ファイルスキャンを追加するには ................................... 243 プロセススキャンを追加するには ................................... 244 レジストリスキャンを追加するには................................. 245 オペレーティングシステムスキャンを追加するには 246 ポートスキャンを追加するには ...................................... 247 スキャン式の作成 ............................................................. 248 デバイスプロファイルの作成 ............................................... 250 ネットワークリソースの構成..................................................... 251 ネットワークルーティングの構成 ......................................... 252 ユーザーに対するネットワークアクセスの提供 ........................ 253 ネットワークリソースのトポロジ ......................................... 254 ネットワークリソースを追加するには ................................... 256 ネットワークリソースを削除するには ................................... 257 Access Gatewayアプライアンスでのログオンポイントの作成 ログオンポイントの種類と設定 ............................................ 259 ログオンポイントの認証の種類の選択 ................................... 261 Access Gatewayで基本ログオンポイントを構成するには 262 基本ログオンポイントへのWebリソースの追加 ....................... 263 Access GatewayでSmartAccessログオンポイントを構成するに は ................................................................................. 265 Access Gatewayにデフォルトのログオンポイントを設定するに は ................................................................................. 266 SmartAccessログオンポイントの表示を有効にするには 267 2要素認証および承認を構成するには..................................... 269 ログオンポイントにタイムアウト設定を構成するには 270 ログオンポイントを無効にするには ...................................... 271 Access Gatewayからログオンポイントを削除するには 272 Access Gatewayのログオンページのカスタマイズ................... 273 スマートグループの追加 .......................................................... 276 スマートグループを作成するには ......................................... 277 スマートグループ設定の構成 ............................................... 278 ユーザーのホームページを定義するには................................. 280 スマートグループにログオンポイントを追加するには 281 スマートグループにデバイスプロファイルを追加するには 282 スマートグループでグループメンバーシップを構成するには 283 ネットワークリソースのスマートグループへの追加 .................. 285 アドレスプールの定義........................................................ 286 スマートグループの詳細なプロパティ設定の選択 ..................... 288 スマートグループにタイムアウト設定を構成するには コマンドラインによるAccess Gatewayアプライアンス設定の構成 289 290 エクスプレスセットアップを使用したAccess Gateway 5.0の構 成 ................................................................................. 292 エクスプレスセットアップを使用して初期Access Gateway 5.0のネットワーク設定を構成するには ............................ 293 コマンドラインによるAccess Gatewayの管理 ........................ 295 Access GatewayコマンドラインへのSSHアクセスの有効化 296 コマンドラインでAccess Gatewayのデフォルト構成をリセッ トするには ................................................................ 7 258 297 コマンドラインで証明書をリセットするには コマンドラインによるAccess Gatewayのトラブルシューティン グ ................................................................................. 299 トラブルシューティングのためのネットワーク設定の確認 300 サポートバンドルの作成 ............................................... 301 コマンドラインによるログの構成 ................................... 303 Access Controllerの管理 ............................................................... 304 Access Controllerの初期構成.................................................... 305 サーバー構成ユーティリティのしくみ ................................... 306 サーバー構成ユーティリティを実行するには Access Controllerの有効化................................................. 308 310 Access GatewayをAccess Controllerに追加するには 312 Access ControllerをAccess Gatewayアプライアンスで有効 にするには ................................................................ 313 デリバリーサービスコンソールの使用方法 ................................... 314 デリバリーサービスコンソールのユーザーインターフェイス 315 展開環境内の項目の検出..................................................... 316 [はじめに]ページを使用した設定構成................................. 317 マイビューを使用した表示のカスタマイズ.............................. 318 Access Controllerでの認証および承認プロファイルの作成 .............. 319 Access ControllerでのActive Directory認証プロファイルの作成 320 Access ControllerでのLDAP認証プロファイルの作成 322 Access Controllerでユーザーにパスワードの変更を許可する には......................................................................... 325 Access ControllerでのRADIUS認証プロファイルの作成 326 Access ControllerでのRSA SecurID認証プロファイルの作成 328 ログオンポイントへの認証プロファイルの割り当て .................. 330 Access Controllerで2要素認証を構成するには 8 298 331 Access Controllerでユーザーを認証するには .......................... 332 Access Controllerでのログオンポイントの作成............................. 333 基本ログオンポイントの構成 ............................................... 335 SmartAccessログオンポイントの追加 ................................... 337 ログオンポイントを展開するには ......................................... 340 ログオンページ情報の更新 .................................................. 341 デフォルトのログオンポイントの設定 ................................... 342 ログオンポイントの削除..................................................... 343 エンドポイント解析の修復メッセージのカスタマイズ 344 Access Controllerへのリソースの追加 ........................................ 345 ネットワークリソースの作成 ............................................... 346 Webリソースの作成 .......................................................... Webリソースへのシングルサインオンの構成 ファイル共有の作成 .......................................................... ファイル共有へのシングルサインオンの構成 9 349 352 353 355 動的なシステムトークンの使用 ............................................ 356 リソースグループの作成によるポリシー管理の簡素化 358 ポリシーによるアクセスの制御 .................................................. 360 ユーザーアクセスの制御..................................................... 361 アクセス戦略との統合........................................................ 362 アクセスポリシーの作成..................................................... 365 リソースのアクセスレベルの設定 ................................... 368 ユーザーの操作を制御するポリシーの作成.............................. 370 ポリシーフィルターの作成 .................................................. 372 カスタムフィルターの作成 ............................................ 374 ログオンページの表示条件の設定 ......................................... 376 ドキュメント制御の設定..................................................... 380 クライアントレスアクセスの制限事項 ................................... 381 ポリシーマネージャーを使用したポリシー情報の確認 382 ユーザーデバイスの要件の検証 .................................................. 383 エンドポイント解析の構成 .................................................. 384 エンドポイント解析スキャンの作成 ...................................... 385 条件と規則の編集 ............................................................. 388 スキャンへの規則の追加 ............................................... 389 スキャンパッケージ .......................................................... 392 スキャンパッケージの追加 ............................................ 393 スキャンパッケージリファレンス ......................................... 395 アンチウイルススキャンパッケージ................................. 396 基本スキャンパッケージ ............................................... 402 Webブラウザースキャンパッケージ ................................ 412 ファイアウォールスキャンパッケージ.............................. 416 コンピューター識別スキャンパッケージ ........................... 421 オペレーティングシステムスキャンパッケージ 423 ほかのスキャンでのスキャン出力の使用................................. 426 スキャンでのデータセットの使用 ......................................... 428 スクリプトの作成およびスキャンのアップデートのスケジュール 430 高度なエンドポイント解析スキャンの作成.............................. 433 Citrix Endpoint Analysis Portalのしくみ ......................... 434 Malware Scannerのしくみ ..................................... 436 Citrix Endpoint Analysis Portalからのファイルのダウンロー ド............................................................................ 437 高度なエンドポイント解析スキャンポリシーの作成 438 カスタム.cabファイルをAccess Controllerにインポート するには ............................................................. 439 Access Controllerで高度なエンドポイント解析ポリシー を作成するには..................................................... 440 高度なエンドポイント解析スキャンの追加オプションの 構成 ................................................................... 441 Advanced Endpoint Analysis Plug-inの展開 10 443 Advanced Endpoint Analysis Plug-inをAccess Controllerにインストールするには 444 Advanced Endpoint Analysis Plug-inをログオンポイン トと関連付けるには ............................................... 445 クラスタリングと負荷分散の構成 ............................................... 446 クラスタリングと負荷分散のしくみ ...................................... 447 Access Controllerサーバーをクラスターに追加するには 449 デリバリーサービスコンソールでの複数のクラスターの管理 450 Access Controllerの負荷分散を構成するには .......................... 451 Access Gatewayの負荷分散を構成するには ........................... 452 クラスターからAccess Controllerサーバーを削除するには 453 クラスターからAccess Gatewayアプライアンスを削除するには 454 稼働状況監視APIのクエリの作成 .......................................... 455 ユーザーの接続 ................................................................................. 461 ユーザー接続のしくみ ................................................................... 462 セキュリティで保護されたトンネルの確立 ................................... 464 ファイアウォールとプロキシを経由する接続................................. 465 保護されたトンネルの終了およびユーザーデバイスへのパケットの返 送 ....................................................................................... 466 Access Gateway Plug-inとCitrix Receiverの統合 ............................... 467 Access Gateway Plug-inのReceiverへの追加............................... 469 XenApp ServicesサイトによるXenApp接続の構成 ........................ 472 Access Gatewayアプライアンスでのユーザー接続のグローバル設定の定 義............................................................................................. 474 Windows資格情報でのシングルサインオンを構成するには .............. 475 Access Gatewayで分割トンネリングを有効にするには................... 476 ネットワーク接続の中断またはシステムの再開後にユーザーを認証す るには ................................................................................. 477 分割DNSを有効にするには ....................................................... 478 Access Gateway Plug-inのセッションタイムアウトの有効化 479 マルチストリームICA接続の有効化............................................. 481 ユーザー接続を閉じるには........................................................ 482 Access ControllerでのAccess Gateway Plug-in設定の構成 .................. 483 接続ポリシーの作成 ................................................................ 485 Access Controllerでの分割トンネリングの有効化 .......................... 488 Repeater Plug-inを有効にするには............................................ 489 ネットワーク全体に対するアクセスの付与 ................................... 490 Microsoft Windowsインストーラー(MSI)パッケージを使用した Access Gateway Plug-inのインストール .......................................... 491 グループポリシーを使用したMSIパッケージのインストール ............. 492 アドバタイズを使用したMSIパッケージのインストール................... 493 Access Gatewayとネットワークリソースへの接続 .............................. 495 ユーザーへのログオン情報の提供 ............................................... 497 Access Gateway Plug-inのインストール..................................... 498 ログオンポイントを経由するAccess Gatewayへのログオン ............. 500 Access Gateway Plug-in for Windowsでのログオン ..................... 501 Access Gateway Plug-in for Mac OS Xでのログオン .................... 503 Access Gateway Plug-inのアップグレード .................................. 504 以前のバージョンのAccess Gateway Plug-inでのログオンの許可 505 Webブラウザーのセキュリティに関する注意事項 .......................... 507 Access Gateway Plug-in用のプロキシサーバーの追加.................... 509 統合................................................................................................ 510 公開アプリケーションおよび公開デスクトップへのアクセス方法............. 511 Access GatewayのXenAppまたはXenDesktopとの統合 ................. 512 サーバーファームへの安全な接続の確立 ...................................... 513 Access Gatewayと連動させるためのWeb Interfaceサイトの設定 .......... 516 Web Interfaceの機能 ............................................................. 517 Web Interfaceのサイトのセットアップ....................................... 518 アクセス方法の選択 .......................................................... 519 XenApp 5.0でのWeb Interfaceのサイトの作成 ............................ 520 XenApp 5.0のためのWeb InterfaceでAccess Gateway設定を構 成するには ...................................................................... 522 Web Interface 5.2でのAccess Gateway設定の構成 ...................... 523 Web Interface 5.3のサイトの作成............................................. 526 Web Interface 5.3でのAccess Gateway設定の構成 11 528 単一サイトへのXenAppおよびXenDesktopの追加 ......................... 530 XenApp 5.0へのAccess Gatewayを経由するユーザー接続の作成 532 XenApp 6またはXenDesktop 5へのユーザー接続の作成 ................. 533 Access Gateway接続のためにXenApp 6.0のポリシーフィルター を作成するには ................................................................ 534 12 XenApp 6.0のXML信頼ポリシーを作成するには ...................... 535 Access Gateway接続のためにXenDesktop 5のポリシーフィル ターを作成するには .......................................................... 536 XenDesktop 5のXML信頼ポリシーを作成するには................... 537 Web Interfaceでのユーザーによるパスワード変更の有効化 ............. 538 Web Interfaceとの通信のためのAccess Gatewayの構成 ...................... 539 Secure Ticket Authorityを使用するようにAccess Gatewayアプライ アンスを構成するには ............................................................. 540 ICAアクセスの制御をAccess Gatewayアプライアンスで構成するに は ....................................................................................... 541 Web Interfaceをログオンページとして構成するには ..................... 542 XenApp Servicesサイトを使用するためのAccess Gatewayの構成 543 Web InterfaceへのシングルサインオンのためのAccess Gatewayアプラ イアンスの構成............................................................................ 545 基本ログオンポイントにWeb Interfaceへのシングルサインオンを構 成するには............................................................................ 546 スマートグループにWeb Interfaceへのシングルサインオンを構成す るには ................................................................................. 547 Web Interfaceでのシングルサインオンの構成 .............................. 548 XenAppおよびXenDesktopのAccess Controllerとの統合 ..................... 549 Access ControllerからXenAppまたはXenDesktopへのリンク 550 XenAppサーバーファームの指定................................................ 552 アドレスモードの構成........................................................ 553 Web Interfaceの統合 ............................................................. 554 ワークスペースコントロールの維持 ...................................... 556 Access ControllerとWeb Interfaceの設定の調整 .................... 557 Web InterfaceへのシングルサインオンのためのAccess Controllerの構成 ........................................................ 558 Access ControllerでのSecure Ticket Authorityの追加 559 Access ControllerへのICAアクセスの制御の追加 ..................... 560 ファイルタイプの関連付けの構成 ......................................... 562 負荷分散またはフェールオーバーの構成................................. 563 サードパーティ製ポータルの統合 ......................................... 565 監視................................................................................................ 566 Access Gatewayでのイベントログのセットアップ .............................. 567 Access Gatewayで使用できるイベントログの種類 ........................ 568 Access Gatewayでのイベントログの構成 .................................... 569 Access Gatewayのログの表示 .................................................. 571 Access Gatewayのログをフィルターするには ........................ 572 Access Gateway Plug-inの接続ログの表示 .................................. 573 Access Controller環境の管理 ......................................................... 574 13 複数のコンソールを使用したアクセス制御 ................................... 575 COM+を使用したデリバリーサービスコンソールのセキュリティ保護 576 Access GatewayとAccess Controllerの間のセキュリティの有効化 578 クラスターの可用性の維持........................................................ 580 サービスアカウントとデータベースアカウントの資格情報の変更 583 セッションの監視 ................................................................... 584 内部ネットワークリソースへのアクセスの監査 ................................... 586 監査ログの構成 ...................................................................... 587 監査イベントの解釈 ................................................................ 590 リソースへのユーザーアクセスに関するトラブルシューティング 591 Access Gateway 5.0 Citrix Access Gatewayはアプリケーションアクセスのセキュリティを保護するソリューショ ンで、きめ細かいアプリケーションレベルのポリシーと操作の制御機能を管理者に提供し、 ユーザーがどこにいても作業できるようにすると同時に、アプリケーションとデータへのア クセスのセキュリティを保護します。 IT管理者は一拠点からツールを使用して、企業内外の 規制順守および高度な情報セキュリティの確保を支援できます。 同時に、ユーザーは、役割、 デバイス、およびネットワークに応じて最適化された単一のアクセスポイントを経由して、 必要な企業アプリケーションとデータを使用できます。 この2つの機能のユニークな組み合 わせによって、今日のモバイルワーカーの生産性の最大化を促進します。 Access Gateway 5.0には、Access Gatewayアプライアンスと、オプションのコンポーネ ントであるCitrix Access Controllerが含まれます。 このバージョンでは、以前はAccess Controllerで構成した多くの機能をアプライアンスで構成するようになりました。 このセクションの内容 eDocsのこのセクションでは、Access Gateway 5.0を紹介し、Access Gatewayアプライア ンスおよびAccess Controllerを構成する方法について説明します。 このリリースについて このリリースのAccess Gatewayの機能、コンポーネント、新機能、および既知の問題について説 ます。 システム要件 アプライアンス、Access Controller、Access Gateway Plug-in、およびWeb Interfaceへのシン サインオンのシステム要件について説明します。 Access GatewayアプライアンスとAccess Controllerサーバーのクラスタリングおよび負荷分散についても説明します。 計画 Access Gatewayのインストールの評価と計画について説明します。 展開 Access GatewayおよびAccess Controllerの展開、さらにXenAppおよびXenDesktopと共に展開 場合について説明します。 Web InterfaceをAccess Controllerと共に展開する場合についても説 ます。 インストールとセットアップ Access GatewayのインストールチェックリストおよびAccess Controllerのインストール方法につ て説明します。 ライセンス Access Gateway 5.0のライセンスについて説明します。 アップグレードと移行 アプライアンスとAccess Controllerのアップグレード方法および以前のバージョンから移行でき 定について説明します。 管理 Access GatewayアプライアンスおよびAccess Controllerでの設定構成について説明します。 ユーザーの接続 Access Gateway Plug-inの展開とユーザー接続の方法について説明します。 統合 Access GatewayアプライアンスおよびAccess ControllerでのCitrix XenAppとCitrix XenDeskt 設定構成方法について説明します。 監視 Access Gateway環境の管理タスクについて説明します。 14 このリリースについて Citrix Access Gateway 5.0には、ユーザー接続の新機能が搭載されています。 Access Gateway 5.0にAccess Gateway Management Consoleが導入されました。このコンソー ルはWebベースのアプリケーションで、次の新機能とネットワーク構成オプションの実装に 使用できます。 • スマートグループ • ログオンポイント • デバイスプロファイル • スナップショット • アプライアンスのフェールオーバー • Access Controllerのクラスタリングと負荷分散 Access Controllerの新機能には、デリバリーサービスコンソール、(LDAPではない) Active Directory認証、高度なエンドポイント解析、複数のAccess Gatewayアプライアンス の一拠点からの制御、およびログの集中管理があります。 このセクションでは、Access Gatewayを紹介し、Access GatewayとAccess Controllerの 新規および主要機能、そしてAccess Gateway、Access Controller、およびAccess Gateway Plug-inの既知の問題について説明します。 15 このリリースについて Citrix Access Gateway 5.0には、ユーザー接続の新機能が搭載されています。 Access Gateway 5.0にAccess Gateway Management Consoleが導入されました。このコンソー ルはWebベースのアプリケーションで、次の新機能とネットワーク構成オプションの実装に 使用できます。 • スマートグループ • ログオンポイント • デバイスプロファイル • スナップショット • アプライアンスのフェールオーバー • Access Controllerのクラスタリングと負荷分散 Access Controllerの新機能には、デリバリーサービスコンソール、(LDAPではない) Active Directory認証、高度なエンドポイント解析、複数のAccess Gatewayアプライアンス の一拠点からの制御、およびログの集中管理があります。 このセクションでは、Access Gatewayを紹介し、Access GatewayとAccess Controllerの 新規および主要機能、そしてAccess Gateway、Access Controller、およびAccess Gateway Plug-inの既知の問題について説明します。 16 はじめに Access Gatewayをインストールして構成する前に、展開計画を立てます。 検討項目には、 アプライアンスの設置場所、複数のアプライアンスのDMZへのインストール、オプションの Access ControllerソフトウェアのWindows Server 2008へのインストール、およびライセ ンスのインストール先が考えられます。 Access Gatewayを構成する前に、『Access Gatewayインストールチェックリスト』に設定を書き込むこともできます。 Access Gatewayは、既存のハードウェアやセキュリティで保護されたネットワーク内で動 作するソフトウェアに変更を加えることなく、あらゆるネットワークインフラストラクチャ に設置できます。 また、サーバー負荷分散装置、キャッシュエンジン、ファイアウォール、 ルーター、IEEE 802.11無線デバイスなどほかのネットワーク製品と共に動作します。 Access Gatewayをインストールする前に、Access Gatewayの作業を開始するための情報 について、次のトピックを参照してください。 yをネットワーク内にインストールする前に確認すべき計画上の情報と、完了すべき作業の一覧について説明します。 yを、DMZおよびDMZを伴わないセキュリティが保護されたネットワークに展開するための情報と、追加のアプライアンスと共に展開して ccess GatewayをCitrix XenAppおよびCitrix XenDesktopと共に展開するための情報について説明します。 ンからのAccess GatewayおよびAccess Controllerへの移行について説明します。 また、移行される設定および廃止された機能について説 y Management Consoleを使用して設定を構成し、ほかのタスクを実行する方法について説明します。 へのライセンスのインストールおよびCitrixライセンスサーバーによるライセンスの管理について説明します。 また、複数のAccess Gate 17 主要機能 Access Gatewayは簡単に展開でき、管理も容易です。 最も一般的な展開構成は、Access GatewayをDMZに設置する方法です。 より複雑な展開のため、ネットワーク内に複数の Access Gatewayアプライアンスを設置できます。 追加機能を使用するために、Access Controllerを展開することもできます。 Access Gatewayを初めて起動したときには、Access Gateway Management Consoleを使 用して、IPアドレス、サブネットマスク、デフォルトゲートウェイのIPアドレス、DNS( Domain Name System:ドメインネームシステム)アドレスなどの基本的な設定を内部ネッ トワーク環境に合わせて構成します。 基本的なネットワーク設定の構成が終わったら、 Access Gatewayの運用に特有の設定を構成します。これには、認証、承認、ネットワーク リソース、ログオンポイント、スマートグループ、アドレスプール、およびエンドポリシー を構成するためのデバイスプロファイルのオプションが含まれます。 Access Gatewayの主要機能は次のとおりです。 • 認証 • 暗号化されたセッションの終了 • アクセス許可に基づくアクセス制御 • データトラフィックのリレー(上記3つの処理の実行後) • 複数のログオンポイントのサポート Access Controllerのコンポーネントと機能 Access Controllerの次の標準的なコンポーネントと機能により、Access Controller環境が 拡張されます。 • • • 18 集中管理: 複数のアプライアンスを設置する展開では、デリバリーサービスコンソール を使用して、1か所から認証およびアクセス制御ポリシーを定義します。 環境内のすべ てのアプライアンスでポリシーが適用されるように、設定を構成することもできます。 デリバリーサービスコンソールは、Citrix XenAppおよびCitrix XenDesktopの構成に使 用するツールでもあります。 Active Directoryを使用したWindows認証: 認証のためにLDAPまたはRADIUSプロト コルに頼る代わりに、Access Controllerでは、Windowsのネイティブな認証APIを使用 して適切なドメインコントローラーを検索し、信頼される複数ドメインのユーザーを認 証できます。 Webサイトおよびファイル共有へのクライアントレスアクセス: Access Controllerを 使用して、Webリソースおよびファイルリソースへのアクセスを定義し制御できます。 ユーザーがAccess Gatewayにログオンすると、動的に生成されるアクセスナビゲーショ ンページが表示されます。このページには、ユーザーがアクセス許可を持つリソースへ のリンクが含まれます。 主要機能 • 高度なエンドポイント解析: Access Controllerにより、次のような高度なエンドポイン ト解析スキャンを実行できます。 • • マカフィー、シマンテック、ノートン、およびトレンドマイクロのアンチウイルスお よび個人用ファイアウォールソフトウェアの検出 Windowsセキュリティセンター(Windows XP Service Pack 3、Windows Vista) およびアクションセンター(Windows 7)のサポート • 増加したクライアントネットワーク帯域幅 • Windows Service Packおよび更新プログラムのサポート ユーザーデバイスのMACアドレスのサポート Citrix Endpoint Analysis Portal, powered by OPSWATを使用して、高度なエンドポイ ント解析スキャンを作成できます。 さまざまな製品用のカスタムエンドポイント解析ス キャンを作成できます。 詳しくは「高度なエンドポイント解析スキャンの作成」を参照 してください。 • • • 19 エンドポイント解析SDK: 顧客およびパートナーは、Access Controller用のCitrixエン ドポイント解析SDKを使用して、エンドポイント解析スキャンを拡張できます。 可用性の強化: 複数のアプライアンスを展開する場合、受信トラフィックをそれらのア プライアンスおよび複数のAccess Controllerサーバー全体に自動的に分散できます。 Access Gatewayの運用モード Access Gatewayは、次の3つの方法で使用できます。 • • • 20 アプライアンスのみを介した接続: このシナリオでは、Access Gatewayをスタンドア ロンアプライアンスとしてDMZに設置します。 ユーザーはCitrix Access Gateway Plug-inでAccess Gatewayに直接ログオンして接続します。 すると、電子メールやWeb サーバーのようなネットワークリソースにアクセスできます。 Web Interface、Citrix XenApp、またはCitrix XenDesktopを使用する接続: このシナ リオでは、ユーザーはWeb Interfaceにログオンします。 次に、XenApp上の公開アプ リケーションまたはXenDesktop上の公開デスクトップに接続します。 Access GatewayとXenAppの展開方法に応じて、ユーザーはCitrix Online Plug-inかAccess Gateway Plug-inのどちらか、または同時に両方のプラグインを使用して使用できます。 詳しくは、「XenAppまたはXenDesktopと合わせたAccess Gatewayの展開」を参照し てください。 Access Controllerを使用する接続: このシナリオでは、Access GatewayをDMZ内に設 置します。 アプライアンスの初期TCP/IP設定は、アプライアンスの設置時に構成します。 Access Gatewayを管理するための詳細設定を構成するには、Access Controllerに付属 のデリバリーサービスコンソールを使用します。 詳しくは、「Access Controllerを伴う Access Gatewayの展開」を参照してください。 Citrix製品との互換性 Access Gateway Version 5.0と互換性のあるCitrix製品とそのバージョンは次のとおりです。 Citrix製品 リリースバージョン Branch Repeater 5.7および5.5 NetScaler 9.2および9.1 Web Interface 5.4および5.3 XenApp 6.0(Windows Server 2008 R2) 5.0 Feature Pack 2(Windows Server 2003) 5.0(Windows Server 2003および2008) 21 XenDesktop 5.0および4.0 XenServer 5.6および5.5 用語の変更 Access Gateway 5.0リリースでは、製品のコンポーネントを説明する用語の一部が変更さ れました。 クライアントソフトウェア、Citrix XenApp、および管理コンソールの、変更さ れた用語は次のとおりです。 以前の名称 新しい名称 アクセスサーバーファー ム クラスター Administration Tool Access Gateway Management Console Administration Portal Access管理コンソール Citrixデリバリーサービスコンソール(XenApp、XenDesktop、 およびAccess Controller用) Citrix Web Interface管理コンソール(Web Interface 5.2お よび5.3用) 認証領域 認証プロファイル Program Neighborhoo dエージェント Citrix XenApp Plug-in(Version 11.0) Citrix Online Plug-in(Version 11.2以降) 22 Citrix WANScaler Citrix Branch Repeater Citrix Webクライアン ト Citrix Online Plug-in - Web エンドポイント解析ク ライアント Endpoint Analysis Plug-in エンドポイント解析ポ リシー デバイスプロファイル(アプライアンスのみに適用) IPアドレスのプール アドレスプール デフォルトのホームペー ジまたはナビゲーショ ンページ アクセスインターフェイス WANScaler Client Repeater Plug-in Webクライアント Citrix Online Plug-in - Web 新機能 Access Gateway 5.0のアプライアンスには、次の新機能があります。 • • • • • • • 23 Access Gateway Management Console: Management Consoleは、以前のバージョ ンのアプライアンスのAdministration ToolおよびAdministration Portalを置き換えるも のです。 Flashが有効なWebブラウザーからWebベースのアプリケーションである Management Consoleを使用すると、証明書のインストール、アクセス制御の構成、お よび動作状況の監視を簡単に行えます。 認証プロファイル: 認証プロファイルは認証領域を置き換えるものです。 アプライアン スでは、LDAP、RADIUS、およびRSAのプロファイルを構成できます。 ログオンポイン トを使用して2要素認証を構成できます。 Access ControllerではActive Directory認証 も使用できます。 Access GatewayまたはAccess Controllerでの認証の構成について詳 しくは、「Access Gatewayでの認証および承認プロファイルの作成」または「Access Controllerでの認証および承認プロファイルの作成」を参照してください。 ログオンポイント: 各Access Gatewayアプライアンスで複数のログオンポイントをホ ストして、さまざまな機能や異なるユーザーコミュニティをサポートできます。 基本ロ グオンポイントおよびSmartAccessログオンポイントを構成できます。 基本ログオンポ イントを経由するユーザーは、Citrix Online Plug-inのみを使用して、公開アプリケーショ ンまたは公開デスクトップにアクセスできます。 基本ログオンポイントを使用してログ オンするユーザーには、ユニバーサルライセンスが不要です。 SmartAccessログオンポ イントを経由するユーザーは、Access Gateway Plug-inを使用して接続してより多様な ネットワークリソースにアクセスできます。 スマートグループ: Access Gatewayのスマートグループには、ID、認証と承認の種類、 および(デバイスプロファイルに定義する)エンドポイント解析の結果に応じてユーザー をグループ化する設定のコレクションが含まれます。 まず、スマートグループのメンバー になるためにユーザーが満たすべき条件を定義して、次に、スマートグループのネット ワークリソース、操作などの設定を定義します。 デバイスプロファイル: デバイスプロファイルを使用してエンドポイント解析スキャン を構成できます。 ログオンポイントでデバイスプロファイルを有効にすると、エンドポ イント解析スキャンにより、ユーザーにログオンページを表示し、ログオンさせるかど うかが決定されます。 スマートグループでデバイスプロファイルを有効にすると、選択 したデバイスプロファイルにより、そのスマートグループのユーザーに許可を与えるか どうかが決定されます。 スナップショット: 任意の時点でアプライアンスの構成のスナップショットを取ること ができます。 スナップショットをコンピューターにエクスポートしたり、以前取ったス ナップショットの状態にアプライアンスを戻したりできます。 Management Console の[Snapshots]タブを使用して、新しいバージョンのAccess Gatewayソフトウェア にアップグレードできます。 アプライアンスのフェールオーバー: 2台のAccess Gatewayアプライアンスを、フェー ルオーバーペアとして構成できます。 アプライアンスはアクティブ/パッシブモードで動 作します。プライマリアプライアンスがすべてのユーザー接続に対してサービスを提供 し、セカンダリアプライアンスがプライマリアプライアンスを監視してセッション情報 を同期します。 プライマリアプライアンスが停止するとセカンダリアプライアンスが処 理を引き継ぎます。 詳しくは、「負荷分散とアプライアンスのフェールオーバーのため 新機能 の追加のAccess Gatewayアプライアンスの展開」を参照してください。 Access Controllerの新機能 Access Controllerの新機能は次のとおりです。 • • • • • • • 24 可用性の強化: Access Gateway 5.0では、Access Controllerが複数のサーバーで動作 するとき、これらのサーバーをクラスターと呼びます。 複数のアプライアンスと複数の Access Controllerサーバーが連動して、ソリューションを中断なく提供します。 高度なエンドポイント問い合わせオプション: Access Controllerでエンドポイント解析 の要件を構成できます。 組み込みオプションを使用してスキャンパッケージを作成でき ます。 Citrix Portal powered by OPSWATを使用して、スキャンパッケージおよびアッ プデートされたEndpoint Analysis Plug-inを作成することもできます。 高度な認証オプション: LDAP、RADIUS、およびRSA認証に加えて、Access ControllerでActive Directory認証プロファイルを構成できます。 複数のAccess Gatewayアプライアンスの集中管理: クラスタリングと負荷分散の機能 を使用して、Access Controllerサーバーのクラスターを作成し、サーバーおよび Access Gatewayアプライアンスの負荷を分散できます。 複数のAccess Gatewayアプライアンス間でのセッション共有: ユーザーがログオンす ると、Access GatewayによりAccess Controllerサーバーに接続が送信されます。 Access Controllerによりネットワーク内のアプライアンスにセッションが送信され、複 数のアプライアンス間でセッションが共有されます。 集中型アクセスログ: 規制基準を満たし、ネットワークへのユーザーアクセスを監視す るように、Access Gatewayのログを構成できます。 デリバリーサービスコンソール: デリバリーサービスコンソールでAccess Controllerを 構成することができます。デリバリーサービスコンソールは、XenAppおよび XenDesktopとより緊密に連携するようになりました。 Access Gateway Management Console Access Gateway Management Consoleは便利なWebベースのインターフェイスであり、 Access Gatewayの管理タスクを実行できます。 Access Gatewayアプライアンスをネット ワーク内に物理的に設置して初期TCP/IP設定を構成したら、Access Gateway Management Consoleを使用して追加設定を構成できます。 注: Access Gatewayの管理に使用するネットワークアダプターを選択できます。 Access Gateway VPXでは複数のネットワークアダプターがサポートされるので、管理に 使用するアダプターを選択できます。 Management Consoleへのアクセスに使用するネッ トワークアダプターの指定については、「特定用途のネットワークアダプターの指定」を 参照してください。 Management Consoleでは次の操作を実行できます。 • 管理者パスワードの変更。 • アプライアンス統計の表示。 • ネットワーク設定の構成。 • ネットワーク接続の監視。 • Access Gatewayのログの表示。 • 証明書のインストールと管理。 • Access Gatewayアプライアンスへのライセンスのアップロード。 • デバイスプロファイルの作成と、ログオンポイントおよびスマートグループでの有効化。 • 保存した構成またはソフトウェアアップグレードのアップロード。 • Access Gatewayの構成の保存。 • Access Gatewayの再起動およびシャットダウン。 展開環境でAccess Controllerを使用する場合は、1台のAccess Controllerサーバーの設定を Access Gateway上でManagement Consoleを使用して構成します。 Access Gatewayが Access Controllerに接続すると、クラスター内のすべてのAccess Controllerサーバーが Access Gatewayで自動的に検出されます。 25 Access Gateway Management Consoleにログオンするには 1. WebブラウザーにManagement ConsoleのIPアドレスと管理者用ログオンポイントを入 力します。 次に例を示します。 https://AccessGatewayIPAddress/lp/adminlogonpoint/ 2. [User name]ボックスにadminと入力します。 3. [Password]ボックスにデフォルトのパスワードのadminを入力するか、シリアルコン ソールを使用してデフォルトのパスワードを変更した場合は、その新しいパスワードを 入力します。 4. [Log On]をクリックしてManagement Consoleを開きます。 注: Management Consoleを全画面で表示するには、最大化ボタンをクリックする かF11キーを押します。 26 Management Consoleで管理者パスワー ドを変更するには Access Gatewayには、アプライアンスへの完全なアクセス権限を持つデフォルトの管理者 ユーザーアカウントがあります。 事前構成されたデフォルトのユーザー名はadmin、パスワードはadminです。 管理者パスワー ドはAccess Gateway Management Consoleかシリアルコンソールで変更できます。 Access Gatewayへの承認されていないアクセスを防ぐため、アプライアンスをネットワー ク内に初めて設置するときに、シリアルコンソールを使用して管理者パスワードを変更する ことをお勧めします。 注: 管理者アカウントのパスワードをデフォルトパスワードに戻すには、Access Gatewayアプライアンスソフトウェアを再インストールする必要があります。 新しいパス ワードは、6~127文字で設定できます。 パスワードの最初と最後にスペースを入れるこ とはできません。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Password]をクリックします。 3. [Administrative Password]の各必須ボックスに、現在のパスワードと新しいパスワー ドを入力します。 4. [Save]をクリックします。 27 ログオンポイントの概要 Access Gatewayでは、ログオンポイントにユーザーのログオンページを定義し、ユーザー セッションに適用する設定を指定します。 この設定には、必要な認証と承認の種類、ログオ ンポイントの種類、使用するクライアントソフトウェア、およびデバイスプロファイルの設 定が含まれます。 Access Gatewayでは、次の2種類のログオンポイントがサポートされます。 • 基本: 基本ログオンポイントは、XenAppまたはXenDesktopの接続にのみ使用します。 エンドポイント解析、Access Gateway Plug-inを使用する接続、SmartAccessなどの 高度な機能は無効になります。 サポートするユーザー数に制限のないプラットフォーム ライセンスにより、基本機能が有効になります。 基本ログオンポイントを経由してログ オンするユーザーは、Access Gatewayユニバーサルライセンスを消費しません。 認証を受けてWebブラウザーからログオンするユーザーは単一のURLにリダイレクトさ れます。通常このURLは、セキュリティで保護されたネットワーク上のWeb Interface サーバーです。 • SmartAccess: SmartAccessログオンポイントを経由する場合、Access Gateway Plug-inおよびCitrix Online Plug-inを使用して接続できます。 アプライアンスと Access Controllerを組み合わせて提供する、Access Gatewayのすべての機能をユーザー が使用できます。これには、クライアントレスアクセス、デバイスプロファイル、高度 なエンドポイント解析、およびXenAppとXenDesktop用のSmartAccessフィルターが 含まれます。 ユーザーはログオン時にAccess Gatewayユニバーサルライセンスを1つ 消費します。 ログオンポイントについて詳しくは、「Access Gatewayアプライアンスでのログオンポイ ントの作成」を参照してください。 28 スマートグループの概要 スマートグループには、ID、場所、認証の種類、および(デバイスプロファイルに定義する) エンドポイント解析の結果に応じてユーザーをグループ化する設定のコレクションが含まれ ます。 まず、スマートグループのメンバーになるためにユーザーが満たすべき条件を定義し ます。 次に、スマートグループのネットワークリソース、操作などの設定を定義します。 Access Gatewayアプライアンスに複数のスマートグループを定義して、リソースへのアク セスを制御できます。 ログオンポイントを構成して、スマートグループのメンバーになるた めの条件を定義することもできます。 スマートグループの使用と構成について詳しくは、「スマートグループの追加」を参照して ください。 29 デバイスプロファイルの概要 デバイスプロファイルを使用して、ユーザーがネットワークにログオンするときにユーザー デバイスを条件のセットと照合するプロファイルを作成できます。 デバイスプロファイルに セットアップする条件をデバイスが満たさなければ、ユーザーはネットワークへのアクセス を許可されません。 たとえば、ACMEコーポレーションの管理者が「会社所有のVistaラップ トップ」というデバイスプロファイルを定義するとします。このプロファイルは、ACMEド メインに属し、Windowsレジストリにウォーターマーク値のあるWindows Vistaコンピュー ターと一致します。 ユーザーデバイスがこの条件を満たす場合、ユーザーはネットワークに ログオンできます。 デバイスプロファイルを構成したら、次のようにログオンポイントおよびスマートグループ で有効にできます。 • • ログオンポイントはAccess Gatewayアプライアンスで構成します。 ログオンポイント によりユーザーのログオンページを定義し、ユーザーセッションに適用するデバイスプ ロファイルなどの設定を指定します。 ログオンポイントについて詳しくは、「Access Gatewayアプライアンスでのログオンポイントの作成」を参照してください。 Access Gatewayアプライアンスにスマートグループを定義して、リソースへのアクセ スを制御します。 スマートグループでデバイスプロファイルを有効にすると、デバイス プロファイルにより、そのスマートグループのユーザーアクセス許可が決定されます。 スマートグループについて詳しくは、「スマートグループの追加」を参照してください。 デバイスプロファイルについて詳しくは、「デバイスプロファイルの作成」を参照してくだ さい。 30 スナップショットの概要 構成スナップショットを使用して、ある時点でのAccess Gatewayのすべての設定、ライセ ンス、および証明書を記録します。 この機能により、たとえばアプライアンスの再構築が必 要なときに、保存したスナップショットをインポートして構成設定を簡単に復元できます。 初めてAccess Gateway 5.0をインストールするときに、構成のスナップショットが自動的 に作成されます。 さらに、Access Controllerを使用するようにAccess Gatewayを切り替え ると、構成のスナップショットが自動的に作成されます。 初期設定を構成したり、ログオン ポイントまたはスマートグループを作成したりした後など、さまざまな時点でスナップショッ トを取ることができます。 スナップショットについて詳しくは、「スナップショットを使用したAccess Gatewayの管 理」を参照してください。 31 ネットワークリソースの概要 ネットワークリソースは、セキュリティで保護されたネットワーク内でユーザーがアクセス できる領域です。 たとえば、単一のファイル共有へのアクセスや、ネットワーク上のすべて のリソースへの完全なアクセスをユーザーに許可できます。 Access Gateway Management Consoleでネットワークリソースを作成したら、スマート グループを構成してネットワークリソースへのアクセスを許可または拒否します。 ネットワークリソースについて詳しくは、「ネットワークリソースの構成」を参照してくだ さい。 32 デリバリーサービスコンソールの概要 Citrixデリバリーサービスコンソールにより環境の管理機能が拡張され、Citrix製品の管理ツー ルがMicrosoft管理コンソール(MMC)に統合されました。 デリバリーサービスコンソール を使用して、Access Controllerの設定を構成します。 デリバリーサービスコンソールは、スタンドアロンのMMCスナップインです。 いくつかの スナップイン形式の管理ツール(拡張スナップイン)により各管理機能が提供されます。こ れらの管理ツールは、Citrix Access Controllerのインストール時に選択したり、後でコンソー ルに追加したりできます。 デリバリーサービスコンソールは、ネットワーク内の任意のコンピューターにインストール できます。 詳しくは、「デリバリーサービスコンソールの要件」を参照してください。 デリバリーサービスコンソールはAccess管理コンソールに替わる新しいツールです。 詳し くは、「デリバリーサービスコンソールの使用方法」を参照してください。 33 クラスタリングと負荷分散の概要 複数のAccess Gatewayアプライアンスと共に複数のAccess Controllerサーバーを展開する ことができます。 この構成を展開すると、クラスターが作成されます。 クラスターを作成 する場合は、いずれかのAccess Controllerサーバーの設定を使用してAccess Gatewayアプ ライアンスを構成します。 すると、クラスター内のすべてのAccess Controllerサーバーが、 アプライアンスで自動的に検出されます。 Access Controllerはユーザー接続の負荷分散機能も備えています。 この組み込み機能によ り、外部の負荷分散装置が不要になります。 Access GatewayのWebアドレスをユーザーに 提供します。 展開環境内の1台のAccess Gatewayによってすべてのユーザー接続が監視さ れ、接続要求の送信先になるAccess Controllerが決定されます。 Access Gatewayと Access Controllerの間で通信が行われ、セッションのリダイレクト先になるAccess Gatewayが決定されます。 クラスタリングと負荷分散について詳しくは、「クラスタリングと負荷分散の構成」を参照 してください。 34 高度なエンドポイント解析の概要 Citrix Endpoint Analysis Portal, powered by OPSWATを使用して、高度なエンドポイン ト解析スキャンを作成できます。 さまざまな製品用のカスタムエンドポイント解析スキャン を作成できます。 高度なエンドポイント解析を構成するときは、ユーザーデバイスに必須とするソフトウェア のバージョンを含むスキャンポリシーを作成できます。 たとえば、ノートンとマカフィーの アンチウイルスアプリケーションが対象のポリシースキャンを作成できます。 次に、Citrix Endpoint Analysis Portalからコンピューターへ、ポリシーファイル、カスタム構成(.cab) ファイル、およびEndpoint Analysis Plug-inをダウンロードします。 その後で、それらの ファイルをAccess Controllerにインポートできます。 ユーザーがログオンすると、 Endpoint Analysis Plug-inがユーザーデバイスに自動的にインストールされ、必須ソフトウェ アがデバイス上に存在するかどうか確認されます。 存在する場合はユーザーデバイスがスキャ ンに合格し、ユーザーはログオンできます。 高度なエンドポイント解析について詳しくは、「高度なエンドポイント解析スキャンの作成」 を参照してください。 35 廃止された機能 次の表は、Access Gateway 5.0で廃止つまり削除された機能を示します。 廃止された機能 の一覧およびAccess GatewayとAccess Controllerの設定については、次のトピックを参照 してください。 • Access Gatewayアプライアンスの廃止された設定 • Access Controllerの廃止された設定と機能 • Access Gateway 5.0へのアップグレードと移行 Access Gateway Access Cont roller コメント ○ rmation Protocol:ルーティング情報プロトコル) ○ ィング Manager(NTLM)による認証 ○ ローカルユーザー ○ ユーザーはスマートグループのグループメンバーシップ ol ○ この機能はAccess Gateway Management Consoleに rtal ○ この機能はAccess Gateway Management Consoleに ○ この機能はAccess Gateway Advanced Editionの一部 削除されました。 ○ この機能はAccess Gateway Advanced Editionの一部 削除されました。 ○ この機能はOutlook Web AccessまたはOutlook Web 36 既知の問題 Readme Version:1.0 注 • • • • • Citrix Access Gatewayソフトウェアは物理アプライアンスではModel 2010にのみイン ストールできます。または、仮想アプアライアンスを使用できます。 Citrix Access ControllerはWindows Server 2008またはWindows Server 2008 R2に のみインストールできます。 Access Gatewayソフトウェア、Access Controllerソフトウェア、およびAccess Gateway Plug-inを、Beta 1バージョンまたはBeta 2バージョンからAccess Gateway 5.0のこのリリースへアップグレードすることはできません。 展開環境でAccess Controllerを使用する場合は、NTP(Network Time Protocol:ネッ トワークタイムプロトコル)サーバーを構成してAccess GatewayとAccess Controller の間で日付と時刻を同期する必要があります。 既知の問題および解決された問題の最新の一覧については、Citrix Knowledge Centerで Access Gateway 5.0 Maintenance ReleaseのReadmeを参照してください。 このリリースでサポートされない機能 このリリースでは、次の機能がサポートされません。 • Access Gateway Plug-in for Mac OS X, Version 1.2以前 • Citrix Receiver 1.2 インストールに関する問題 1. Windows Server 2008 R2 64ビット版にAccess Controllerをインストールすると、デ リバリーサービスコンソールの左ペインに診断ファシリティが表示されません。 診断ファ シリティをインストールするには、Assembly Registration Toolのregasm.exeを使用 してCdfExtension.dllファイルを登録します。 このファイルを登録するには、管理者特 権を持つアカウントでコマンドプロンプトを開き、次のコマンドを実行します。 C:\Windows\Microsoft.NET\Framework\v2.0.50727>RegAsm.exe " C:\Program Files (x86)\Common Files\Citrix\Access Management Console - Diagnostics\CdfExtension.dll" Microsoft (R) .NET Framework Assembly Registration Utility 2.0.50727.4927 [#29707] 37 既知の問題 移行に関する問題 1. カスタムスキャンまたはサポートされないスキャンを条件とするカスタムフィルターが あると、Access Controllerへファームをインポートできず、ファーム全体が失われます。 ファームの移行を始める前に、Advanced Access Controlに設定したカスタムフィルター 内のフィルター参照をすべて削除してください。 [#30304] Access Gatewayの既知の問題 1. Access GatewayにAES暗号化を構成した場合、ユーザーがInternet Explorer 8または Google Chromeでログオンすると、ログオンポイントにアクセスできません。 ログオ ンポイントにアクセスするには、Internet ExplorerおよびGoogle ChromeでTLS 1.0を 有効にする必要があります。 Windows XP上のInternet Explorer 7またはInternet Explorer 8でログオンすると、ログオンポイントにアクセスできず、ログオンページが 表示されません。 Windows XP上のInternet Explorerは、AESベースのTLSの暗号の組 み合わせをサポートしません。 [#29687, #29852] 2. Access Gatewayに複数のRADIUSサーバーを構成した場合、ユーザーが初めてログオン して1台目のRADIUSサーバーへの試行が失敗しても、残りのRADIUSサーバーにフェー ルオーバーされません。 [#29896] 3. Version 4.6.xからVersion 5.0にAccess Gatewayをアップグレードし、FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)で指定するリモートライセンスサーバー を使用する場合、アップグレードが完了しても[Licensing]パネルにライセンスファイ ルが表示されません。 Access Gatewayを再起動するとライセンスファイルが表示され ます。 [#30069] 4. Access Gateway 4.6をアップグレードする場合、アプライアンスにプラットフォームラ イセンスを再インストールして、48時間の猶予期間をリセットする必要があります。 [#30531] 5. 24日が経過すると、すべてのログオンポイントがアクセス不能になります。 この問題が 発生した場合は、コマンドラインでAccess Gatewayを再起動します。 [#30590] 38 既知の問題 Access Controllerの既知の問題 1. SharePoint 2007からMicrosoft Word 2007の文書を作成して保存できません。 ローカ ルコンピューターで文書を作成して、SharePointにアップロードする必要があります。 [#28453] 2. ユーザーがCitrix Online Plug-in, Version 12.0を使用してログオンすると、ファイルタ イプの関連付けが失敗します。 Access Controllerでファイルタイプの関連付けを使用す る場合は、Version 12.0.30以降のCitrix Online Plug-inを使用してください。 詳しくは、 Citrixテクニカルサポートにprivate_Online_Plug-in_12.0.30について問い合わせてく ださい。 [#28621] 3. Webアプリケーションへのシングルサインオンを無効にした場合、ユーザーがiPadから Outlook Web AccessまたはSharePointを開こうとすると同期処理を示すメッセージが 表示されますが、ログオンページは表示されず接続がタイムアウトします。 [#28627] 4. Outlook Web Access、Outlook Web App、またはSharePoint 2007のWebリソースを 構成し、シングルサインオンを有効にしない場合、ユーザーがログオフして再ログオン しても資格情報の入力を求められません。 [#28839] 5. 複雑な式でカスタムフィルターを作成すると、フィルターを入力したのに、保存時に「 フィルターを入力してください」というエラーメッセージが表示される可能性がありま す。 カスタムフィルターの内容を変更すると、この問題は発生しなくなります。 [#28883] 6. 展開環境にXenAppが含まれる場合、ユーザーがCitrix Online Plug-inでログオンして SharePoint 2007から新しいドキュメントを作成しようとすると、空白のドキュメント ではなくICAファイルの内容が表示されます。 [#29000] 7. ファイルまたはプロセスをスキャンするエンドポイント解析スキャンを構成すると、ユー ザーがGoogle Chromeを使用してログオンする場合は、ユーザーデバイスがスキャンに 合格してもエンドポイント解析が不合格になります。 [#29136] 8. アクセスインターフェイスに一覧表示されるWebサイトでダイジェスト認証を使用する 場合、ユーザーがWebサイトにアクセスしようとしてもWebサイトが開きません。 [#29454] 9. Access Controllerを開始しても許容時間内に展開サーバーが起動せず、[問題のレポー トと解決策]ダイアログボックスにエラーメッセージが表示される可能性があります。 [#29572] 10. ユーザーがFirebox WebブラウザーでSharePoint 2007に接続する場合、[共有ドキュ メント]をクリックし、[操作]メニューの[スプレッドシートにエクスポート]を選 択して[開く]をクリックすると、「ExcelからSharePointリストに接続できません」と いうエラーメッセージが表示されます。 [#29715] 11. Access Controllerでファイル共有を構成しない場合、ユーザーがログオンすると、アク セスインターフェイスに空白のファイル共有パネルが表示されます。 [#29726] 12. 完全ドメイン名を使用せずに分散ファイルシステムのリンクを構成した場合、ユーザー がアクセスインターフェイスでリンクをクリックすると、「サービスを利用できません」 というエラーメッセージが表示されます。 [#29829] 39 既知の問題 ユーザー接続に関する問題 1. SierraまたはAT&T製の3Gワイヤレスネットワークアダプターを使用してAccess Gateway Plug-inでログオンすると、次の問題が発生する可能性があります。 • セキュリティで保護されたネットワーク内のネットワークリソースに接続できません。 • Access Gatewayで分割トンネリングを無効にする場合、接続が切断されます。 ユーザーデバイスがスリープまたは休止状態から復帰した後で、Access Gateway Plug-inの接続でネットワークトラフィックをインターセプトできません。 ユーザー はユーザーデバイスからネットワークアダプターを取り外して再接続できます。 [#29637, #30290, #30434] • 2. Google ChromeおよびCitrix Online Plug-in, Version 12.0でログオンすると、公開ア プリケーションが開きません。 [#29844] 3. Access Gateway Plug-inでログオンしてエンドポイント解析スキャンに不合格になった 場合、修復メッセージ内のハイパーリンクを開くと、Webブラウザーの新しいインスタ ンスは開かず、エラーメッセージ内にリンク先が表示されます。 [#30027] 4. ユーザーアカウント制御が有効なWindows VistaまたはWindows 7上のAccess Gateway Plug-inでログオンすると、Access Gateway Plug-inが署名されていないとい うエラーメッセージが表示されます。 ログオンを続行するには[許可]をクリックしま す。 [#30554] Citrix Receiverに関する問題 Access Gateway 5.0では、Citrix Receiver 2.0に対してTechnical Preview版のサポートを 提供します。 Access Gateway Plug-in for WindowsをCitrix Receiver 2.0と共に展開する 場合の既知の問題は次のとおりです。 1. Citrix Receiverを経由してAccess Gateway Plug-in for Windowsでログオンすると、 使用できるオプションが表示されません。 [#29872] 2. Access Gateway Plug-in for Windowsをインストールし、Citrix Receiverをインストー ルし、それからAccess Gateway Plug-inをアンインストールすると、Citrix Receiverを 再度開始しようとしたときにタスクバーにアイコンが表示されません。 タスクマネージャ ーには実行されているプロセスが表示されますが、Citrix Receiverにアクセスできませ ん。 タスクマネージャーでプロセスを終了してからCitrix Receiverを再起動する必要が あります。 [#29916] 3. ユーザー接続のためにプロキシサーバーを構成すると、Citrix Receiverでデリバリーサー ビスに接続できません。これは、ユーザーがAccess Gateway Plug-inを起動するときに Citrix Receiverによりログオンポイントが切り捨てられるためです。 [#30106] 4. 管理者がWindows資格情報でのシングルサインオンを構成し、ユーザーがCitrix Receiverを介してプラグインを使用してログオンすると、シングルサインオンに失敗し ます。 [#30129] 5. ユーザーがCitrix Receiverを介してAccess Gateway Plug-inをインストールすると、イ ンストールは成功します。 ただし、Access Gateway Plug-inはプラグインの状態ウィ ンドウに表示されません。 ユーザーは[デリバリーサービスに接続]をクリックしてロ 40 既知の問題 グオンできます。 [#30128] 6. Citrix ReceiverにAccess Gateway Plug-inが含まれている場合、ユーザーがコントロー ルパネルの[プログラムの追加と削除]を使用してAccess Gateway Plug-inを削除する と、Citrix Receiverがエラーになる可能性があります。 [#30276] 7. 3Gネットワークアダプターを使用して、Citrix Receiverを経由してAccess Gateway Plug-inでログオンする場合、ネットワーク接続の信号が弱いとCitrix Receiverの[デリ バリーサービスに接続]を使用できません。 [#30357] 8. Merchandising Serverで、Version 5.0のAccess Gateway Plug-inの新しいビルドへの アップグレードをスケジュールしても、Citrix Receiver内のAccess Gateway Plug-inが アップグレードされません。 たとえば、Version 5.0.0.120がユーザーデバイスにイン ストールされていて、Version 5.0.0.125へのアップグレードをスケジュールしても、アッ プグレードされません。 この問題は、ユーザーデバイスにVersion 5.0がインストール 済みであるとCitrix Receiverで検出されるために発生します。 [#30431] 41 システム要件 このセクションでは、Access Gateway Management Consoleを含めたCitrix Access Gatewayアプライアンスと、Citrix Access Controllerのシステム要件について説明します。 ネットワークにAccess Gatewayアプライアンスをインストールする前に、Access Gatewayアプライアンスのセクションのトピックを確認してください。 アプライアンスハー ドウェア、アプライアンスのラックへの設置およびネットワークへのインストール、および アプライアンスを初めて構成するときの方法について記載されています。 Access Gatewayを設置したら、ネットワークにAccess Controllerをインストールすること ができます。 Access Controllerにはネットワークソリューションの一部としてアプライア ンスが必要です。 Access Controllerをインストールする前に、このセクションのAccess Controllerのシステム要件を確認してください。 Access GatewayとAccess Controllerをインストールしたら、次の作業のためにこのセクショ ンのシステム要件とガイドラインを確認してください。 • • • • 42 Access GatewayアプライアンスとAccess Controllerサーバーのクラスターの作成およ び外部の負荷分散装置の構成。 Access Gateway Plug-in、Citrix Online Plug-in、およびクライアントレスアクセスか らWebブラウザーへコンテンツを配信するための、ユーザー接続の制御。 ユーザーデバイスでのEndpoint Analysis Plug-inの使用。 ユーザーデバイスへのCitrix Online Plug-inまたはCitrix Receiverのインストールによる、 XenAppまたはXenDesktopで公開されているアプリケーションとデスクトップへのアク セス。 Access Gatewayアプライアンスの要件 更新日: 2014-01-31 Citrix Access Gatewayは、既存のハードウェアやバックエンドソフトウェアに変更を加え ることなく、あらゆるネットワークインフラストラクチャに設置できます。 Access Gatewayは、サーバー負荷分散装置、キャッシュエンジン、ファイアウォール、ルーター、 IEEE 802.11無線デバイスなどほかのネットワーク製品と共に動作します。 Access Gatewayは、ネットワークのDMZ内に設置することをお勧めします。 DMZ内に設 置したAccess Gatewayは、プライベートネットワークとインターネットの両方に参加しま す。 また、Access Gatewayを使って、アクセス制御やセキュリティ保護の目的で 内部LAN を有線/無線ネットワーク、データ/音声ネットワークに分割することもできます。 Access Gateway 5.0は、Model 2010アプライアンスでサポートされます。 初めてアプラ イアンスをインストールし構成した後は、Access Gateway Management Consoleを使用 して残りの設定を構成できます。 アプライアンスハードウェアについて詳しくは、「 Access Gateway Model 2010 Appliance」を参照してください。 43 Access Gateway Management Consoleの要件 Management Consoleを効果的に使用するには、表示上の次の最少要件と推奨事項に留意し てください。 • Management Consoleの表示サイズは1024 x 800です。 • Management ConsoleにはAdobe Flash Player Version 10.1が必要です。 • • 44 Management Consoleをラップトップで実行するときは、すべてのツールバーを非表示 にして、コンソールの画面領域を広げます。 Management Consoleを全画面で表示するには、最大化ボタンをクリックするかF11キー を押します。 Access Controllerのシステム要件 Access Controllerをインストールする前に、サーバーがAccess Controllerのハードウェア およびソフトウェアの要件を満たしていることを確認します。 重要: Access Controllerのインストールが円滑に進むように、ドメインコントローラー として構成されていないサーバーを使用します。 インストール中、ドメインコントローラー には存在しないサービスアカウントがローカルのAdministratorsグループに追加されます。 Access Controllerをドメインコントローラーにインストールしようとしても、サービス アカウントを追加できずにインストールが失敗します。 Access Controllerのハードウェアとソフトウェアの推奨要件は次のとおりです。 • 1GHzのプロセッサを搭載したコンピューター。 2GHzのデュアルコアプロセッサをお勧 めします。 • 2048MB以上のRAM。 4GB以上をお勧めします。 • 40 GBのハードディスク領域。 100GB以上をお勧めします。 • • • すべてのService Packと更新プログラムを適用した、Microsoft Windows Server 2008 (32ビット版)のStandard EditionまたはEnterprise Edition。 すべてのService Packと更新プログラムを適用した、Microsoft Windows Server 2008 (64ビット版)のStandard EditionまたはEnterprise Edition。 すべてのService Packと更新プログラムを適用した、Microsoft Windows Server 2008 R2(64ビット版)のStandard EditionまたはEnterprise Edition。 • IIS 6メタベース互換およびASP.NETを有効にしたIIS 7.0。 • Microsoft Windows Installer 4.5。 • Microsoft .NET Framework 3.5 with Service Pack 1。 • WCFアクティブ化およびHTTPアクティブ化を有効にしたアプリケーションサーバー。 • 有効にしたCOM+ネットワークアクセス。 Access Controllerをインストールする前に、インターネットインフォメーションサービス( IIS)マネージャーの[ISAPIおよびCGIの制限]ページで、ASP.NETを許可します。 ターミナルサーバーとして構成したWindows Server 2008では、Access Controllerのイン ストールはサポートされません。 45 Access Controllerサーバーの役割、サー ビス、および機能 Access Controllerをインストールする前に、Windowsサーバーの次の役割、サービス、お よび機能を有効にします。 アプリケーションサーバーとWebサーバーは、サーバーマネージャ ーの[役割]に表示されます。 .NET Framework 3.5は、サーバーマネージャーの[機能] に表示されます。 アプリケーションサーバー • アプリケーションサーバー基盤 • WebサーバーIISサポート • COM+ネットワークアクセス WebサーバーIIS [Webサーバー]の次の項目を有効にします。 • HTTP基本機能 • 静的なコンテンツ • HTTPエラー [ISAPIおよびCGIの制限]の[ASP.NET]を有効にします。 [管理ツール]の次の項目を有効にします。 46 • IIS管理スクリプトおよびツール • 管理サービス • IIS 6管理互換 • IIS 6メタベース互換 • IIS 6 WMI互換 • IIS 6スクリプトツール Access Controllerサーバーの役割、サービス、および機能 .NET Framework 3.5.1の機能 47 • .NET Framework 3.5.1 HTTPアクティブ化 • WCFアクティブ化 • HTTPアクティブ化 ネットワークの要件 Access Controllerをインストールする前に、ネットワーク構成が次の要件を満たしているこ とを確認します。 • • ユーザーがアクセスするコンピューターまたはリソースが、展開するAccess Controller サーバーとネットワークで接続されている。 Access Controllerサーバーが次の条件を満たしている。 • サーバーで認証を受けるユーザーが属するドメインのメンバーである。 認証を受けるユーザーが属するドメインと相互に信頼関係があるドメインのメンバー である。 多ドメイン環境の場合、すべてのドメインのユーザーが認証を受けリソースにアクセス できるように、信頼関係が確立されている。 • • • インターネットアクセスを提供する場合は、DNS(Domain Name System:ドメイン ネームシステム)で、Access Gatewayアプライアンスの公開のIPアドレスを解決する ホストレコードが設定されている。 注: Access Controllerを構成するには、サーバーはドメインに属している必要がありま す。 Access Controllerサーバーがワークグループに属している場合は、サーバー構成ウィ ザードが実行されません。 48 アカウントの要件 Access Controllerをインストールする前に、次のサーバーアカウントを準備する必要があり ます。 Microsoft SQL Serverのユーザーアカウント の要件 クラスターを作成するときに、SQL Serverにアクセスするためのアカウントを指定します。 このアカウントによって、クラスター用のデータベースの作成とデータベースへの接続を、 Access Controllerに対して許可する必要があります。 インストール時にデータベースを作成するには、少なくともアカウントがSQL Server上のロー ルDatabase Creatorsに含まれている必要があります。 Access Controllerによってデータ ベースが作成された後で、データベースユーザーにdb_datareaderおよびdb_datawriter権 限を割り当てる必要があります。 SQL Server 2008はWindows認証モードをサポートしています。このモードではアクセス のためにWindowsユーザーアカウントが必要です。 SQL Server 2008は混在モードもサポー トしています。このモードではWindowsユーザーアカウントとSQL Serverアカウントを受 け入れます。 Access Controllerを初めてインストールしてクラスターを作成するとき、Access Controllerサーバー構成により、クラスターと同じ名前でデータベースが作成されます。 サー バーをクラスターに追加するときは、追加のデータベースは作成されません。 既存のクラス ターに参加することを選択した場合、新しいサーバーは最初のSQL Server上のデータベース に接続します。 注: この節の、データベースの作成およびアクセスに関する要件は、データベースのユー ザーアカウントのSQL Server認証およびWindows認証の両方に該当します。 サービスアカウントの要件 Access Controllerをインストールして新しいクラスターを作成するときに、サーバー構成ウィ ザードでクラスター内のサービスおよびサーバーとの通信に使用するアカウントを指定しま す。 このアカウントをサービスアカウントと呼びます。 サービスアカウントには、既存の アカウントを指定する必要があります。 サービスアカウントは、Access Controllerをイン ストールする前に作成します。 サービスアカウントは、次の要件を満たしている必要があり ます。 • • 49 サービスアカウントは、クラスターのすべてのサーバーの、ローカルの管理者グループ のメンバーである必要があります。 サービスアカウントは有効であり、パスワードに有効期限が設定されていたり、そのほ かの属性が変更されたりしないアカウントである必要があります。 サービスアカウント を削除すると、クラスターが稼働を停止します。 アカウントの要件 • 1台のサーバーで構成されるクラスターを作成し、そのクラスターを拡張する予定がない 場合に限り、サービスアカウントにローカルユーザーアカウントを指定できます。 サー ビスアカウントにローカルユーザーアカウントを選択すると、Access Controllerを複数 のサーバーにインストールできません。 Access Controllerをインストールするときに、 ローカルユーザーアカウントではなくドメインアカウントを使用することを強くお勧め します。 重要: サービスアカウントとしてローカルユーザーアカウントを指定する場合は、そ のローカルユーザーアカウントに、サーバー構成の実行時に作成されるデータベース の所有者権限も割り当てられていることを確認してください。 ローカルユーザーアカ ウントがデータベースの所有者権限を持たない場合は、ユーザーが一部の機能を使用 できない可能性があります。 • Active Directory環境でサービスアカウントのユーザー名をUPN(User Principal Name :ユーザープリンシパル名)または代替UPN形式で指定する場合は、完全修飾ドメイン 名を入力する必要があります。 必要であれば、Access Controllerをインストールした後でサービスアカウントを変更できま す。 注: 制限されたグループのポリシーを使用してローカルの管理者グループのメンバーシッ プを制御する環境では、Access Controllerのサービスアカウントとして指定するユーザー が、制限されたグループのポリシーによって追加されたグループに含まれていることを確 認してください。 サービスアカウントに対するセキュリティテン プレートの適用 ITポリシーによっては、Windowsベースのサーバーの外部からの攻撃に弱い領域を小さくす るため、セキュリティテンプレートを適用する必要がある場合があります。 Access Controllerをインストールした後で、高度なセキュリティで保護するセキュリティテンプレー ト(Hisecws.inf)を適用すると、ローカルのAdministratorsグループからサービスアカウン トが削除されます。 このセキュリティテンプレートを適用した後で、サービスアカウントを ローカルのAdministratorsグループに追加し直します。 そうしないと、Access Controller が正常に動作しません。 50 データベースの要件 Access Controllerでは、次のデータベースパッケージがサポートされます。 • Microsoft SQL Server 2008 • Microsoft SQL Server Express 2008 注: Access Controllerをインストールする前にSQL Serverをインストールしてデータベー スを作成する場合は、データベースの作成時に照合規則で大文字と小文字が区別されない ように指定してください。 この要件により、リソースに割り当てる名前がほかの名前と重 複しないように保たれ、重複する名前のリソースが作成されることがなくなります。 51 認証ソフトウェアの要件 Access Controllerでは、展開のセキュリティを強化するためMicrosoft Active Directoryド メインサービスの使用がサポートされます。 Access Gatewayアプライアンスまたは Access Controllerのどちらかで、次の種類の認証を構成することもできます。 • LDAP(Lightweight Directory Access Protocol) • RADIUS(Remote Authentication Dial-In User Service) • RSA SecurID Active DirectoryはAccess Controllerでのみ構成できます。 52 SmartAccessの要件 SmartAccess機能によって、ネットワークリソースおよび公開アプリケーションへのアクセ スとその使用方法をより細かく管理できます。 SmartAccessをAccess Controllerと合わせて使用して、ユーザーがアクセスできるネット ワークリソースと実行できる操作を、ユーザーのアクセスシナリオに基づいて制御すること ができます。 SmartAccessをCitrix Web Interfaceと統合して、公開アプリケーションをき め細かく制御します。 SmartAccessを使用するには、次のコンポーネントが環境内に必要です。 • Access Controller • XenApp 6 • XenApp 5 注: Citrix Presentation Server for UNIXまたはXenApp for UNIX 4.0 with Feature Pack 1では、SmartAccessはサポートされません。 Web Interfaceを使用して公開アプリケーションにアクセスするには、次のソフトウェアも 必要です。 • XenApp 5.0のXenApp詳細構成 • XenApp 6.0のデリバリーサービスコンソール • Web Interface 5.0以降 Web InterfaceとAccess Controllerで、アドレス変換とファイアウォールの設定が同一であ ることも確認する必要があります。 53 サードパーティ製ポータルの統合要件 Access Controllerでは、Microsoft SharePointのようなサードパーティ製のポータルを統合 して、Webリソース、ファイル共有、および公開アプリケーションに、ユーザーが簡単にア クセスできるようにすることができます。 SharePoint 2007と統合することができます。 通常、ユーザーはメニュー駆動型のコマンドを使用して、SharePointによって管理されるド キュメントを操作します。 次の表に、これらのメニュー項目を示します。 54 メニュー項目 ActiveXが必要 デフォルトでユーザーが使 用可能 プロパティの表示 いいえ はい プロパティの編集 いいえ はい Microsoft Officeで編集 はい いいえ 削除 いいえ はい チェックイン いいえ はい チェックアウト いいえ はい バージョン履歴 いいえ はい 通知 いいえ はい ディスカッション はい いいえ ドキュメントワークスペースの作 成 いいえ はい デリバリーサービスコンソールの要件 デリバリーサービスコンソールは、Access Controllerの構成と管理のためのツールです。 ネットワーク内のAccess Controllerサーバーまたはほかのコンピューターに、コンソールを インストールできます。 デリバリーサービスコンソールの最小要件は次のとおりです。 • Windows Server 2008, Standard、Enterprise、またはDatacenter(32ビット版) • Windows Server 2008(64ビット版) • Windows Server 2008 R2(64ビット版) • Windows XP Professional with Service Pack 3(32ビット版) • Windows Vista, Business、Enterprise、またはUltimate(64ビット版) • Windows Vista, Enterprise(32ビット版) • Windows 7, EnterpriseまたはUltimate • 25MBのハードディスク領域 注: Windows Server 2008 R2にAccess Controllerをインストールする前に、次のコン ポーネントがインストール済みで動作していることを確認してください。 • • 55 ASP.NETをIIS(Internet Information Services:インターネットインフォメーション サービス)7.0に登録する。 IIS 6.0メタベースコンポーネントをインストールする。 クラスタリングと負荷分散のシステム要 件 Access GatewayアプライアンスとAccess Controllerサーバーのクラスターを作成するとき は、次のガイドラインに従います。 • 接続の負荷を分散するために、少なくとも2台のAccess Gatewayアプライアンスをネッ トワーク内に展開します。 複数のAccess Gatewayアプライアンスを展開して、アプライアンスのフェールオーバー を構成することもできます。 たとえば、3台のアプライアンスのうちの2台をアプライア ンスのフェールオーバー用のペアとして構成します。 ユーザーがそのペアの一方のアプ ライアンスに接続します。 管理者が選択した負荷分散方法に応じて、Access Controller により、3台のアプライアンスのうちの1台にセッションが送信されます。 Access GatewayでAccess Controllerを有効にするとき、いずれかのAccess Controller サーバーの設定を指定します。 すると、ネットワーク内のすべてのAccess Controllerサー バーが、Access Gatewayで自動的に検出されます。 • • • 各Access Gatewayアプライアンスは個別のIPアドレスを設定して展開します。各アプ ライアンス専用の証明書またはワイルドカード証明書を設定します。 少なくとも2台のAccess Controllerサーバーをセキュリティで保護されたネットワーク にインストールします。 これらのサーバーによりAccess Gatewayに構成設定が提供さ れます。 Access Controllerをインストールするときに、外部データベースとして使用するSQL Serverを選択します。 SQL Serverデータベースのクラスターを構成できます。 同じ物理データベースを共有 する2つのデータベースを持つことができます。 クラスターを作成する場合は、Access ControllerでSQL Server Expressはサポートされません。 • NTP(Network Time Protocol:ネットワークタイムプロトコル)サーバーをインストー ルします。Access GatewayとAccess Controllerの間で日付と時刻を同期するために必 要です。 Access Controllerと連動するようにAccess Gatewayを構成する場合は、NTPサーバー を展開し、Access GatewayでNTP設定を構成する必要があります。 Access Controller サーバーでは、net timeコマンドを使用してWindowsタイムサービスのツールと設定 を構成し、NTPを有効にすることができます。 56 外部負荷分散装置の構成要件 負荷分散装置の製造元のドキュメントを参照して、ネットワークDMZ内に負荷分散装置を設 置して構成します。 負荷分散装置で次の構成を行い、Access Gatewayアプライアンスと連動するようにする必 要があります。 • • • • 57 ソースIPアドレスに基づいて接続をAccess Gatewayアプライアンスに負荷分散するよ うに、負荷分散装置を構成します。 負荷分散装置に接続するときにAccess Gatewayで使用するFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を、負荷分散装置に構成します。 負荷分散装置でSSL暗号化を終了しないように構成します。 SSL接続はAccess Gatewayに渡す必要があり、SSL暗号化はAccess Gatewayで終了する必要があります。 各Access Gatewayアプライアンスに同じサーバー証明書をインストールします。 ユーザーデバイスの要件 Access GatewayとAccess Controllerを使用すれば、ユーザーは、Webブラウザーがインス トールされている多様なユーザーデバイスで、Webベースのリソースを表示、アップロード、 またはダウンロードできるようになります。 そのほかの機能には、追加のサーバーソフトウェ アが必要です。 Access Gatewayによってすべてのユーザー接続が制御されます。 これには、Access Gateway Plug-in、Citrix Online Plug-in、およびクライアントレスアクセスが含まれます。 Access GatewayがサポートするコンピューターオペレーティングシステムおよびWebブラ ウザーの、ユーザーデバイスの要件は次のとおりです。 オペレーティングシステム Webブラウザー Windows 7 Internet Explorer 8 Windows Vista Internet Explorer 7 Windows XP(要Service Pack 3) Mozilla Firefox 3.0以降 Google Chrome 5.0 Apple Mac OS X 10.5および10.6(英語 Safari のみ) Access Gatewayでサポートされるスマートフォンデバイスとオペレーティングシステムは 次のとおりです。 デバイス オペレーティングシステムとバージョン Google Nexus Android Android 2.2 Froyo Blackberry OS 4.7.1.40 iPad iOS 3.2 iPhone 3G iOS 3.1 iPhone 3GS iOS 3.1 Microsoft Windows Mobile 6.5 Professional Nokia Symbian OS 11.2021 注: Apple Mac OS Xを使用している場合は、Webベースの機能が正常に機能するように、 すべての更新プログラム、サービスパック、およびセキュリティ更新プログラムを適用し てください。 Access Gatewayは、HTMLおよびJavaScriptで構成されたWebページを送信して、コンテ ンツをWebブラウザーに配信します。 ほとんどの場合は、標準的なクライアント構成で Access Gatewayをサポートできます。 各Webブラウザーで、クライアント側のJavaScriptの実行を許可する必要があります。 58 Access Gateway Plug-inのシステム要 件 更新日: 2013-07-30 Access Gateway Plug-inは、ユーザーデバイスとAccess Gatewayアプライアンスの間の接 続を確立します。 Access Gateway Plug-inは、Microsoft WindowsまたはMac OS Xのデ スクトップアプリケーションとして配布できます。 ユーザーがWebブラウザーで、Access Gatewayアプライアンスのセキュリティで保護されたWebアドレスおよびログオンポイント にアクセスすると、Access Gateway Plug-inは自動的にダウンロードされ、インストールさ れます。 Access Gateway Plug-inは、次のオペレーティングシステムとWebブラウザーでサポート されます。 オペレーティングシステム 32ビット Mac OS X(10.7および10.8) ○ 64ビット Webブラウザー ○ Safari Google Chrome Windows 7 Home Basic Edition ○ ○ Google Chrome Microsoft Interne t Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 59 Access Gateway Plug-inのシステム要件 Windows 7 Home Premium Edition ○ ○ Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows 7 Professional Edition ○ ○ Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows 7 Enterprise Edition ○ ○ Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 60 Access Gateway Plug-inのシステム要件 Windows 7 Ultimate Edition ○ ○ Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Home Basic Edition ○ ○ Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Home Premium Edition ○ ○ Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 61 Access Gateway Plug-inのシステム要件 Windows Vista Enterprise Edition ○ ○ Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Business Edition ○ ○ Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows Vista Ultimate Edition ○ ○ Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 62 Access Gateway Plug-inのシステム要件 Windows XP Home Edition ○ Google Chrome Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 Windows XP Professional Edition ○ Google Chrome Internet Explorer, Version 7 Internet Explorer, Version 8 Internet Explorer, Version 9 Mozilla Firefox, Version 9 Mozilla Firefox, Version 10 63 エンドポイント解析の要件 更新日: 2012-03-13 Access GatewayによってEndpoint Analysis Plug-inがユーザーデバイスにインストールさ れると、Access Gatewayで構成したエンドポイントセキュリティの要件を満たしているか どうかを確認するため、プラグインによってユーザーデバイスがスキャンされます。 この要 件には、オペレーティングシステム、アンチウイルス、またはWebブラウザーのバージョン などの情報が含まれます。 Endpoint Analysis Plug-inは、32ビットWindowsアプリケーショ ンとして配布されます。 ユーザーが接続すると、Access GatewayによってEndpoint Analysis Plug-inがインストー ルされます。このとき、ユーザーの操作は不要です。 それ以降は、ユーザーがログオンする とAccess Gatewayによりプラグインのバージョンが確認されます。 バージョンが一致しな い場合は、Access Gatewayによりプラグインが更新されます。そして更新されたプラグイ ンによりユーザーデバイスがスキャンされます。 Endpoint Analysis Plug-inを使用するには、次のソフトウェアがユーザーデバイスに必要で す。 • 最新のService Packと重要な更新プログラムをすべて適用した、Windows XP、 Windows Vista、またはWindows 7。 • Cookieが有効なInternet Explorer。 必要な最小バージョンは7.0です。 • Endpoint Analysis Plug-inを有効にしたFirefox 3.0。 必要な最小バージョンは3.0です。 エンドポイント解析スキャンを構成してユーザーデバイスで実行し、ユーザーが安全なネッ トワーク内のリソースにアクセスする前に、オペレーティングシステムのService Packやア ンチウイルスソフトウェアなどのセキュリティ対策が取られているかどうかを確認すること ができます。 エンドポイント解析スキャンを実行するにはEndpoint Analysis Plug-in for Windowsが必 要です。このソフトウェアは32ビットWindowsアプリケーションとしてインストールされ ます。 Windowsユーザーがプラグインをダウンロードしてインストールするには、ユーザー デバイスのAdministratorsまたはPower Usersグループのメンバーである必要があります。 ユーザーが初めてAccess Gatewayにログオンするときに、Endpoint Analysis Plug-inがユー ザーデバイスにダウンロードされインストールされます。 重要: Endpoint Analysis Plug-inをユーザーデバイスにインストールしない場合やスキャ ンを省略する場合は、Access Gateway Plug-inを使用してログオンできません。 ユーザー は、クライアントレスアクセスまたはCitrix Receiverを使用して、スキャンが不要なリソー スにアクセスできます。 64 Citrix XenAppとXenDesktopの統合要 件 XenAppまたはXenDesktopで公開されているアプリケーションとデスクトップにアクセスで きるように、Access GatewayとAccess Controllerを構成できます。 これを行うには、ユー ザーデバイスにCitrix Online Plug-inをインストールします。 Access GatewayとAccess Controllerでは、次のバージョンのXenAppおよびXenDesktop との統合がサポートされます。 • Citrix XenApp 6.0 • Citrix XenApp 5.0 • Citrix XenApp 5 Feature Pack 2 for Windows Server 2003 • XenDesktop 5 • XenDesktop 4 ユーザーが公開アプリケーションとデスクトップに接続するときCitrix Online Plug-inを使 用するように、基本ログオンポイントを構成できます。 Access Controllerでは、次のユーザーソフトウェアの使用がサポートされます。 クライアント ソフトウェア 英語 日本語 ドイツ 語 スペイ ン語 フラン ス語 簡体中国語 Citrix Online Plug-in, Version 11.2 以降 はい はい はい はい はい はい Citrix XenApp Web Plug-in, Version 11.0 はい はい はい はい はい はい Citrix XenApp はい はい はい はい はい はい Plug-in, Version 11.0 公開アプリケーションとデスクトップにアクセスするためのAccess Controllerの構成につい て詳しくは、「Access Gateway 5.0のXenAppまたはXenDesktopとの統合」を参照してく ださい。 65 Web Interfaceへのシングルサインオン のためのシステム要件 Web Interfaceへのシングルサインオンを構成するための最小システム要件は次のとおりで す。 • Web Interface 5.0以降 • XenApp 6.0 • XenApp 5.0 重要: Web InterfaceサーバーはAccess Gatewayの証明書を信頼し、完全修飾ドメイン 名(FQDN)を正しいIPアドレスに解釈できる必要があります。 Web Interfaceが証明書 を信頼していないと、シングルサインオンが正常に機能しない可能性があります。 Access GatewayとWeb Interfaceの両方とも、LDAPまたはRADIUSおよびActive Directoryを使ったログオンと認証で、シングルサインオンを使用できます。 LDAPまたは RADIUSを使用する場合は、ユーザー名とパスワードがActive Directoryドメイン内で有効 である必要があります。 Web InterfaceはAccess Gatewayの後方、DMZまたはセキュリティで保護されたネットワー クに展開する必要があります。 外部の負荷分散装置の後方にAccess Gatewayを展開する場 合は、Web Interfaceへのシングルサインオンが正常に機能しない可能性があります。 その 場合は、次のどちらかを行ってWeb Interfaceへのシングルサインオンを有効にできます。 • • 66 シングルサインオンのコールバックが要求される場合、Access Controllerを展開し、 Access Gatewayの代わりにAccess Controllerを参照するようにWeb Interfaceを構成 できます。 各Access Gatewayアプライアンスまたはフェールオーバーペアごとに、個別のWeb Interfaceサイトを構成します。 アクセス戦略の計画 Citrix Access GatewayとCitrix Access Controllerをインストールする前に、組織内のITイ ンフラストラクチャを評価し、組織固有のニーズを満たすアクセス戦略を策定するための情 報を収集する必要があります。 ここでは、アクセス戦略の計画に役立つトピックを取り上げます。 アクセス戦略を定義するときは、セキュリティに関連して予想される事柄、ユーザーに接続 を許可するネットワーク、およびユーザー接続に必要なポリシーについて検討する必要があ ります。 さらに、Access Gatewayアプライアンスのみを展開するのか、それともAccess Controllerを使用してよりきめ細かい構成設定を作成するのかを計画できます。 準備作業 アクセス戦略の作成を始めるときは、次の準備作業を行います。 • • • 67 リソースの特定: アクセスを提供するネットワークリソースの一覧を作成します。これ にはリスク分析で定義する、Webアプリケーションまたは公開アプリケーション、サー ビス、およびデータが含まれます。 アクセスシナリオの策定: アクセスシナリオを作成して、ユーザーがネットワークリソー スにアクセスする方法を記述します。 アクセスシナリオは、ネットワークにアクセスす るときに使用するログオンポイント、エンドポイント解析のスキャン結果、認証の種類、 スマートグループ、またはこれらの組み合わせによって定義されます。 これらのアクセ スシナリオにより、ユーザーがアクセスしたときに実行できる操作も決定されます。 た とえば、ユーザーがドキュメントの変更に公開アプリケーションを使用するのか、それ ともファイル共有に接続するのかを指定できます。 ポリシーとユーザーの関連付け: Access GatewayとAccess Controllerに作成するポリ シーは、個別のユーザーまたはユーザーグループが指定の条件を満たすときに適用され ます。 作成するアクセスシナリオに基づいて条件を決定します。 それからポリシーを作 成して、ユーザーがアクセスできるリソース、およびこれらのリソースに対して実行で きる操作を制御することにより、ネットワークのセキュリティを強化します。 ポリシー を適切なユーザーに関連付けます。 ユーザーシナリオに従ってAccess Controllerでリソー スを制御するための、ポリシーの導入と戦略策定の方法について詳しくは、「ポリシー によるアクセスの制御」を参照してください。 Access Gatewayでのネットワークリソー スの作成について詳しくは、「ネットワークリソースの構成」を参照してください。 Access Gateway 5.0インストールチェッ クリスト このドキュメントは、Citrix Access Gateway 5.0をインストールする前に完了しておく必 要のある作業と計画情報のチェックリストです。 このチェックリストを印刷して、各項目に記入してください。 作業が済んだ項目に印を付け られるように、各項目の横に空欄が設けられています。 このチェックリストにはAccess Gatewayをインストールし構成するときに必要な構成値の 欄があります。 アプライアンスをインストールし構成する前に、これらの値を記入してくだ さい。 Access Gatewayアプライアンスのインストールと構成の手順については、「Introducing Access Gateway Hardware」を参照してください。 ユーザーデバイス 1 ユーザーデバイスがインストールの前提条 件を満たしていることを確認します。 詳しくは、「Access Gateway Plug-inの システム要件」を参照してください。 68 Access Gateway 5.0インストールチェックリスト Access Gatewayの基本的なネットワーク接 続 2 Access Gatewayのホスト名 これは完全修飾ドメイン名です。 3 eth0に予約されているIPアドレスとサブネッ トマスク 通常、ネットワークアダプターeth0で Access Gatewayと外部ネットワークを接 続します。 4 (オプション)eth1に予約されているIPア ドレスとサブネットマスク ネットワークアダプターeth1でAccess Gatewayと内部ネットワークを接続します。 Access Gatewayを内部ネットワーク内に 展開する場合は、eth1の構成はオプション です。 詳しくは、「ネットワークへのAccess Gatewayの展開」を参照してください。 5 ネットワーク速度。 ネットワークのデータ送信速度を記入しま す。 この速度は、10Mbps、100Mbps、ま たは1,000Mbpsです。 注: Access Gateway Management Consoleを使用してネットワーク速度を 構成できます。 コマンドラインではネッ トワーク速度を構成できません。 6 ポート。 Access GatewayがSSLユーザー接続をリッ スンするポートを記入します。 デフォルト はTCPポート443です。 このポートは、 DMZの第1ファイアウォールで開放されて いる必要があります。 69 7 デフォルトのゲートウェイIPアドレス。 8 第1 DNSサーバー。 9 第2 DNSサーバー(該当する場合)。 10 第3 DNSサーバー(該当する場合)。 11 WINSサーバー(該当する場合)。 Access Gateway 5.0インストールチェックリスト ネットワークアダプターの管理上の役割 12 Access Gateway上のネットワークアダプ ターの管理上の役割を選択できます。 13 外部 - インターネットまたは外部ネットワー クに接続するネットワークアダプターです。 14 内部 - セキュリティで保護されたネットワー クに接続するネットワークアダプターです。 15 アプライアンスのフェールオーバー - アプ ライアンスのフェールオーバーペアになっ ている、別のAccess Gatewayを監視する ネットワークアダプターです。 1つまたは 複数のアダプターをアプライアンスのフェー ルオーバーペアに使用できます。 16 管理 - Access Gateway Management Consoleに接続するネットワークアダプター です。 認証と承認 Access Gatewayではいくつかの認証と承認の種類がサポートされ、さまざまな組み合わせ で使用できます。 ネットワーク環境に合わせて、認証と承認について次の項目を記入してく ださい。 認証と承認の構成について詳しくは、「Access Gatewayアプライアンス上の認証プロファ イルへの承認の追加」を参照してください。 RADIUSの認証と承認 環境内にRADIUSサーバーがある場合は、RADIUSを認証のみまたは認証と承認の両方に使 用できます。 必要に応じて次の項目を記入してください。 認証設定 17 プライマリRADIUSサーバーのIPアドレス とポート。 デフォルトのポートは1812です。 18 プライマリRADIUSサーバーのシークレッ ト(共有シークレット)。 19 セカンダリRADIUSサーバーのIPアドレス とポート。 デフォルトのポートは1812です。 20 70 セカンダリRADIUSサーバーのシークレッ ト(共有シークレット)。 Access Gateway 5.0インストールチェックリスト RADIUSの承認設定 IAS(Microsoft Internet Authentication Service:Microsoftインターネット認証サービス) またはNPS(Network Policy Server:ネットワークポリシーサーバー)を構成してRADIUS をサポートする場合にもこれらのRADIUS設定が必要です。 Access GatewayでRADIUS承 認を構成する場合、IASまたはNPSの構成時に入力したものと同じ値を記入します。 21 ベンダーコード。 この値は、IASの[ベンダー固有の属性情 報]ダイアログボックスに入力するベンダー 固有の属性番号と同じです。 [RADIUS Standard]を選択する場合、デフォルト値 は0です。 22 ベンダー属性。 この値は、ユーザーグループ属性に割り当 てられる番号です。 デフォルト値は0です。 23 属性値のプレフィックス。 Access Gatewayでは、属性値のプレフィッ クスは「CTXSUserGroups=グループ名」 です。 たとえば、salesとfinanceという2 つのグループが定義されている場合、属性 値はCTXSUserGroups=sales;finance になります。 複数のグループは、次の項目 でセパレーターとして指定する文字で区切 ります。 24 セパレーター。 セパレーターは、属性値のプレフィックス として定義する、複数のグループの間に使 用する句読記号です。 デフォルト値はセミ コロン(;)です。 LDAPの認証と承認 環境内にLDAPサーバーがある場合は、LDAPを認証のみまたは認証と承認の両方に使用でき ます。 71 Access Gateway 5.0インストールチェックリスト 認証と認可の設定 25 LDAPサーバーのIPアドレスとポート。 LDAPサーバーへの接続をセキュリティで 保護しない場合は、デフォルトはポート 389です。 LDAPサーバーへの接続をSSL で暗号化する場合は、デフォルトはポート 636です。 26 セキュリティで保護された接続を使用する。 LDAP認証または承認を構成するとき、 Access GatewayとLDAPサーバーの間の通 信を暗号化するかどうかを選択できます。 接続を暗号化するには、証明機関が署名し たLDAPサーバーのルート証明書をAccess Gatewayにインストールする必要がありま す。 このオプションを有効にする場合、ユーザー はパスワードを変更できます。 27 管理者のバインド識別名。 LDAPサーバーが認証を要求する場合、 Access GatewayからLDAPディレクトリを クエリするときに認証で使用する、管理者 のバインド識別名を記入します。 たとえば、 「cn=administrator, cn=Users, dc=ace, dc=com」です。 28 管理者のパスワード。 管理者のバインド識別名に関連付けられた パスワードです。 29 ベース識別名。 ユーザー検索の対象にする基本識別名(ま たはディレクトリレベル)です。たとえば、 「ou=users, dc=ace, dc=com」です。 30 サーバーログオン名属性。 ユーザーのログオン名を指定する、LDAP ディレクトリのpersonオブジェクト属性を 記入します。 デフォルトは「 sAMAccountName」です。Active Directoryを使用しない場合、この設定に一 般的な値は「cn」や「uid」です。 72 Access Gateway 5.0インストールチェックリスト 31 グループ属性とユーザーメンバー属性。 グループ属性フィールドは承認に必要です が認証には不要です。 ユーザーが属するグループを指定する、 LDAPディレクトリのpersonオブジェクト 属性を記入します。 デフォルトは「 memberOf」です。この属性により、ユー ザーが属するディレクトリグループが特定 されます。 RSA SecurID認証 認証にRSA Authentication Managerソフトウェアを使用する場合は、情報収集は不要です。 ただし、RSA Authentication Managerのsdconf.recファイルをAccess Gatewayに追加す る必要があります。 RSA Authentication Managerソフトウェアの管理ツールでsdconf.recファイルを生成して、 Access Gatewayにアップロードします。 ファイアウォールのポートの開放 内部ネットワークをDMZで保護し、Access GatewayをDMZに展開する場合は、ファイアウォ ールで次のポートを開放します。 32 73 インターネットとAccess Gatewayの間に あるファイアウォールのTCP/SSLポート( デフォルトは443)を開放します。 ユーザー デバイスはこのポートでAccess Gateway に接続します。 Access Gateway 5.0インストールチェックリスト 33 DMZとセキュリティで保護されたネットワー クの間にあるファイアウォールの適切なポー トを開放します。 Access Gatewayはこれ らのポートでセキュリティで保護されたネッ トワーク内の認証サーバーまたはCitrix XenAppサーバーに接続します。 認証ポート 認証と承認のデフォルトポートは次のとお りです。 Access Gatewayの実際の構成に 適切なポートのみを開放します。 • • • セキュリティで保護しないLDAP接続の 場合は、デフォルトはTCPポート389 です。 セキュリティで保護するLDAP接続の場 合は、デフォルトはTCP/SSLポート 636です。 RADIUS接続の場合は、デフォルトは UDPポート1812です。 Citrix XenAppのポート Access GatewayをCitrix XenAppと共に使 用する場合は、TCPポート1494を開放しま す。 セッション画面の保持を有効にする場 合は、1494の代わりにTCPポート2598を 開放します。 Citrix XenApp、Citrix XenDesktop、およ びWeb Interface Web Interfaceを経由してCitrix XenAppまたはCitrix XenDesktopへのアクセスを提供する ためにAccess Gatewayを展開する場合にのみ、次の項目を記入してください。 この展開で は、Access Gateway Plug-inを使用しません。 ユーザーはWebブラウザーとCitrix Online Plug-inのみを使用して、Access Gatewayから公開アプリケーションおよび公開デスクトッ プにアクセスします。 XenApp、XenDesktop、およびWeb InterfaceのためのAccess Gatewayの構成について詳 しくは、「Access GatewayのXenAppまたはXenDesktopとの統合」を参照してください。 74 34 Web Interfaceサーバーの完全修飾ドメイ ン名またはIPアドレス。 35 Secure Ticket Authorityサーバーの完全修 飾ドメイン名またはIPアドレス。 Access Gateway 5.0インストールチェックリスト 36 ICAアクセス制御一覧: XenAppまたは XenDesktopを使用する場合は、ICAアク セス制御を構成する必要があります。 開始IPアドレス: Citrix XenAppまたは Citrix XenDesktopが動作するすべてのコ ンピューターのIPアドレスの範囲と、 XenAppまたはXenDesktopがユーザー接 続をリッスンするポートです。 終了IPアドレス: これらの値を指定するこ とで、ユーザーがAccess Gatewayを経由 してCitrix XenAppまたはCitrix XenDesktopに接続できるようになります。 プロトコル: [ICA]または[Session reliability]を選択します。 ポート: ICAコネクションのデフォルトポー トは1494です。 セッション画面の保持を 有効にする場合は、サーバーは1494の代わ りにポート2598で接続をリッスンします。 ログオンポイント ユーザーアクセスのためのログオンポイントを構成できます。 ログオンポイントを構成する とき、種類、認証と承認、デバイスプロファイル、ログオンポイントの表示、修復メッセー ジ、およびユーザーのタイムアウト設定を選択します。 ログオンポイントに構成するユーザーのタイムアウト設定により、グローバルなユーザーの タイムアウト設定が上書きされます。 37 名前: ログオンポイントの名前を記入しま す。 38 種類: ICAコネクションのみの場合は[ Basic]を選択します。 Access Gateway Plug-in接続の場合は[SmartAccess]を選 択します。 39 ユーザー接続の認証と承認: 2要素認証を構 成できます。 40 ログオンポイントの表示: ユーザーデバイ スの検証に使用するデバイスプロファイルを 選択します。 スマートグループ Access Gatewayのスマートグループには、ID、場所、認証と承認の種類、および(デバイ スプロファイルに定義する)エンドポイント解析の結果に応じてユーザーをグループ化する 設定のコレクションが含まれます。 75 Access Gateway 5.0インストールチェックリスト スマートグループには、ユーザーに接続を許可するネットワーク内のリソース、(必要な場 合は)固有のIPアドレス、およびユーザーセッションのタイムアウト値を含むAccess Gateway Plug-in接続の設定を定義する設定のコレクションも含まれます。 スマートグルー プに構成するユーザーセッションのタイムアウト値により、グローバルに、またはログオン ポイントに構成する設定が上書きされます。 41 名前: Access Gatewayに構成するスマート グループの名前を記入します。 42 ホームページ: デフォルトのホームページ、 Web Interface、Outlook Web Access、 Outlook Web App、SharePoint 2007を選択 するか、望ましいホームページを指定します。 43 ログオンポイント: このスマートグループで 使用するログオンポイントを選択します。 44 デバイスプロファイル: エンドポイント解析 の要件を満たすかどうかユーザーデバイスを スキャンするときに使用するデバイスプロファ イルを選択します。 45 グループメンバーシップ: 認証または承認サー バー上の、ユーザーが属するグループを定義 します。 46 ネットワークリソース: ユーザーにアクセス を許可するネットワークリソースを選択しま す。 47 アドレスプール: ユーザー接続のための固有 のIPアドレスのグループを選択します。 48 詳細なプロパティ: ユーザーセッションを定 義する設定を選択します。 アプライアンスのフェールオーバー 2台のAccess Gatewayアプライアンスで、アプライアンスのフェールオーバーを構成できま す。 プライマリAccess Gatewayが停止したときに、セカンダリアプライアンスでユーザー 接続を受け入れられます。 76 49 プライマリAccess Gatewayと、アプライアン スのフェールオーバーを有効にするネットワー クアダプターを指定します。 eth0またはeth1 のどちらかか、両方のアダプターを使用でき ます。 50 セカンダリAccess Gatewayと、アプライアン スのフェールオーバーを有効にするネットワー クアダプターを指定します。 eth0またはeth1 のどちらかか、両方のアダプターを使用でき ます。 51 [Appliance Failover]パネルでプライマリ Access Gatewayの設定を構成します。 Access Gateway 5.0インストールチェックリスト 77 52 [Appliance Failover]パネルでセカンダリ Access Gatewayの設定を構成します。 53 ピアIPアドレス: ピアIPアドレスを2つまで 構成できます。 セカンダリアプライアンスで アプライアンスのフェールオーバーを有効に する、ネットワークアダプターのIPアドレス を使用します。 54 内部仮想IPアドレス: 仮想IPアドレスにより サービスが提供されます。 プライマリアプラ イアンスにのみ仮想IPアドレスを構成できま す。 55 外部仮想IPアドレス:プライマリアプライア ンスに構成します。 Access Gatewayのセキュリティ計画 Access Gatewayのどの種類の展開を計画するときにも、次の基本的なセキュリティの課題 を確認し、証明書、認証、および認可のサポートに関連する準備の手順に従う必要がありま す。 セキュリティのための証明書のインストール 実務環境にAccess Gatewayを展開する前に、知られているCA(Certificate Authority:証 明機関)に署名済みSSLサーバー証明書を要求して受け取り、Access Gatewayにアップロー ドすることをお勧めします。 (ほかのサーバーとの暗号化された接続を開始する)SSLハンドシェイクのクライアントと してAccess Gatewayが動作する場合、Access Gatewayに信頼されたルート証明書もイン ストールする必要があります。 ユーザーがAccess Gatewayへの接続を開始すると、ユーザー デバイスでSSLハンドシェイクが開始されます。 このハンドシェイクにより、ユーザーデバ イスとAccess Gatewayの間のセッションの暗号化パラメーターが作成されます。 たとえば、Access GatewayをXenAppおよびWeb Interfaceと共に展開する場合、Access GatewayからWeb Interfaceへの接続をSSLで暗号化できます。 この構成では、Access Gatewayに信頼されたルート証明書をインストールする必要があります。 詳しくは、「 Access Gatewayへのルート証明書のインストール」を参照してください。 認証と承認のサポート Access Gatewayを構成してユーザーを認証し、内部ネットワークでユーザーがアクセスで きるネットワークリソースを定義する承認ポリシーを制御することができます。 Access Gatewayを展開する前に、ネットワーク環境にディレクトリおよび次のいずれかの 種類の認証をサポートする認証サーバーを設置しておく必要があります。 • LDAP • RADIUS • RSA SecurID Access Controllerと共にAccess Gatewayを展開する場合は、Access Controllerと共に使用 するためにActive Directoryを構成できます。 LDAP認証を使用するアプライアンスでは Active Directoryもサポートされます。 認証プロファイルの一部として、RADUISおよびLDAPを使用する承認を構成できます。 そ れからネットワークリソースプロファイルを使用して、ネットワークリソースアクセスを許 可または拒否できます。 認証の構成について詳しくは、「Access Gatewayでの認証および承認プロファイルの作成」 または「Access Controllerでの認証および承認プロファイルの作成」を参照してください。 78 アクセス戦略の策定 Access Gatewayの展開を計画するときは、ネットワークインフラストラクチャを評価する 必要があります。ネットワークインフラストラクチャには、組織のネットワークに存在する すべてのハードウェアコンポーネントが含まれます。たとえば、ユーザーデバイス、サーバー 、負荷分散装置、ファイアウォールです。 また、Webアプリケーションまたは公開アプリケー ション、サービス、およびデータなど、ユーザーにアクセスを提供するネットワークリソー スも評価に含める必要があります。 一般的なネットワークインフラストラクチャには、次の 構成要素が含まれます。 • イントラネット、Webベースの電子メールなどのWebアプリケーション • データベース、ドキュメント、プレゼンテーション資料、表計算シートなどのデータ • Exchange Serverが動作する電子メールサーバー、Webサーバー、データベースサーバー などのサーバーおよびファイル共有 注: Access Controllerには負荷分散機能が組み込まれています。 したがって、Access Controllerサーバーに対する要求を管理するために外部に負荷分散装置を展開する必要は ありません。 ネットワークインフラストラクチャとアクセスを提供するネットワークリソースを評価し、 リスク分析を行うと、アクセス戦略を策定する準備が整います。 このプロセスで、Access GatewayとAccess Controllerを既存のネットワークに統合する方法も決定します。 このト ピックでは、Access Gatewayの効果的なアクセス戦略を策定するときに検討すべき3つの根 本的な要素、つまりエンドポイント解析スキャン、ファイアウォールの展開、および知的財 産について説明します。 アクセス戦略へのエンドポイント解析スキャン の組み込み Access GatewayとAccess Controllerにより、ユーザーデバイス上の情報を検証するための エンドポイント解析が提供されます。 Access Gatewayアプライアンスでデバイスプロファ イルを作成して、ログオンに必要な、ファイル、プロセス、レジストリ設定、オペレーティ ングシステム、またはポートを特定します。 アプライアンス上でデバイスプロファイルとロ グオンポイントを関連付けると、ログオンページが表示される前に、Access Gatewayによ りユーザーデバイスがスキャンされます。 ユーザーデバイスがスキャンに成功すると、ユー ザーにログオンページが表示され、ネットワークリソースへのアクセスが許可されます。 こ れが基本ログオンポイントである場合は、Web Interfaceに公開アプリケーションまたは公 開デスクトップの一覧が表示されます。 これがSmartAccessログオンポイントである場合は、 スマートグループで許可されているネットワークリソースに接続できます。 ユーザーデバイ スがスキャンに失敗すると、ユーザーにログオンページが表示されません。 ユーザーデバイ ス上の問題を修正しなければ、ユーザーはログオンできません。 スマートグループでデバイスプロファイルを有効にした場合は、エンドポイント解析スキャ ンが実行され、スマートグループのユーザーメンバーシップが決定されます。 ユーザーデバ イスでスキャンが不合格の場合、ユーザーはログオンできますが合格の場合とは異なるアク セス許可が与えられる可能性があります。 79 アクセス戦略の策定 Access Controllerでエンドポイント解析を構成すると、エンドポイント解析スキャンにより、 オペレーティングシステムやサービスパックのレベルなどのユーザーデバイスの情報が、ス キャンされ検出されます。 このスキャンは、ユーザーがAccess Controller上に定義された ログオンポイントを経由して接続しようとしたときに実行されます。 エンドポイント解析ス キャンは各セッションで1回だけ実行されます。 スキャン結果をアクセスポリシーに取り込 み、ユーザーデバイスについて収集した情報に基づいて、ネットワークおよびリソースへの アクセスを許可または拒否できます。 たとえば、必要なバージョンのアンチウイルスソフト ウェアが実行されていない自宅のコンピューターで作業している従業員に、ネットワークへ のアクセスを禁じることができます。 アクセス戦略へのファイアウォール展開の組み 込み Access Gatewayを使用すると、ファイアウォールを介した通信が容易になり、Access Controllerサーバーとユーザーデバイスの間に、セキュリティを保護するインターネットゲー トウェイを構築できます。 ファイアウォールが使用される典型的なシナリオを次に挙げます。 • • • DMZ: ファイアウォールを使用してDMZを作成し、インターネットトラフィックから内 部ネットワークを保護します。 このような展開では、ネットワーク外部のユーザーは、 ネットワークリソースにアクセスする前に、内部ネットワークを保護するファイアウォー ルを経由する必要があります。 エンクレーブ(領土内領地): ファイアウォールを使用して、ネットワーク上の特定の セグメントの間のトラフィックを制限します。 たとえば、病院のLANをセグメント化す ると、ネットワーク内の特定のエンクレーブからだけ患者の病歴などの個人情報にアク セスできるようにできます。 Access Controllerクラスターの境界: ファイアウォールを使用してクラスターにセキュ リティを保護する境界を巡らせて、LAN内部の脅威からAccess Controllerサーバーを保 護します。 このような展開によって、ユーザーがクラスターに直接アクセスできないよ うにします。 アクセス戦略による知的財産の保護 機密データとは、雇用主が所有するとみなす情報、アプリケーション、またはサービスのこ とで、知的財産とも呼ばれます。 知的財産には、財務資料、顧客データ、従業員記録などが あります。 データの機密度は、データの機密性または整合性が損なわれた場合の影響の度合 いを基に評価されます。 データの機密度を評価する場合は、次の点を考慮に入れてください。 • • • • 80 規制基準: 医療、保険、金融などの業界では、プライバシー法はいっそう厳しく、今ま でにない機密性が求められることを理解してください。 また、グローバルな企業は、ビ ジネスを展開している地域や国ごとの規制を認識する必要があります。 法律上の問題: 機密データが漏えいすることで、法的な影響があるかどうかを判断しま す。特に、機密情報が漏えいすることで、第三者が雇用主に対して法的手段を取るかど うかを検討します。 競争上の影響: 情報の紛失によって、雇用主が市場での競争に生き残れなくなるかどう かを判断します。 たとえば、競合他社に企業秘密が流出した場合を考えます。 企業の評判: 特定の機密情報が流出した場合の、組織の評判への影響を判断します。 た とえば、顧客のクレジットカード情報に、承認されていないユーザーがアクセスしてし アクセス戦略の策定 まうというシナリオを検討します。 顧客は法的手段を取るだけでなく、組織の顧客個人 情報の管理能力に対する信頼をなくして、組織が提供するサービスの利用を止めてしま う可能性があります。 知的財産を管理する目的は、機密データの漏えいを防ぐことです。 Access Gatewayと Access Controllerを使用すると、ポリシーに基づく次のようなアクセス制御機能によって、 知的財産を保護できます。 たとえば、Citrix XenAppと統合し、ユーザーデバイス上のロー カルアプリケーションではなく、公開アプリケーションでファイルを開くように構成できま す。 この機能により、保護されたネットワーク内に常に機密データが保持されるため、知的 財産の保護を強化できます。 さらに、Access Controllerのポリシー情報をXenAppと共有することにより、特定の公開ア プリケーションセッションで、クライアントドライブマッピングやローカル印刷などの機能 を選択的に有効にすることができます。 ポリシーについて詳しくは、「ポリシーによるアク セスの制御」を参照してください。 81 ネットワークへのAccess Gatewayの展 開 組織の内部ネットワーク(またはイントラネット)の境界にCitrix Access Gatewayを展開 して、内部ネットワークのサーバー、アプリケーション、およびそのほかのネットワークリ ソースへの安全な単一のアクセスポイントを提供できます。 すべてのリモートユーザーは、 内部ネットワークのリソースにアクセスする前に、Access Gatewayに接続する必要があり ます。 Access Gatewayは、DMZ内に設置することをお勧めします。 DMZ内に設置したAccess Gatewayは、パブリックにルーティングできるIPアドレスを持ち、プライベートネットワー クとインターネットの両方に参加します。 通常、プライベートネットワークは内部ネットワー クで、パブリックネットワークはインターネットです。 また、Access Gatewayを使って、 アクセス制御やセキュリティ保護の目的で 内部LANを有線/無線ネットワーク、データ/音声 ネットワークに分割することもできます。 Access Gatewayを次のCitrix製品と共に展開することもできます。 • Citrix Access Controller • ライセンスサーバー • Web Interface • XenApp • XenDesktop ネットワーク内の次の場所にAccess Gatewayを展開できます。 • ネットワークのDMZ内 • DMZのないセキュリティで保護されたネットワーク内 • 82 負荷分散およびアプライアンスのフェールオーバーをサポートするための追加のAccess Gatewayアプライアンスと共に Access Gatewayアプライアンスの DMZへの展開 多くの組織は、DMZを使用して内部ネットワークを保護します。 DMZは、組織の保護され た内部ネットワークとインターネット(または任意の外部ネットワーク)の間にあるサブネッ トで、ファイアウォールによって隔てられています。 Access GatewayをDMZに展開する場 合、ユーザーはAccess Gateway Plug-inまたはCitrix Online Plug-inを使用してアプライア ンスに接続します。 次の図に示すように、Access GatewayはDMZ内に設置してインターネットおよび内部ネッ トワークの両方に接続するように構成します。 図 1. DMZ内のAccess Gateway DMZ内でのAccess Gatewayの接続性 DMZ内にAccess Gatewayを展開する場合、ユーザー接続はAccess Gatewayへ接続するた めに第1ファイアウォールを通過する必要があります。 デフォルトでは、この接続を確立す るためポート443でSSLが使用されます。 この接続をサポートするには、第1ファイアウォー ルのポート443を通過するSSL接続を有効にする必要があります。 Access Gatewayは、ユーザーデバイスからのSSL接続の暗号化を解除し、ユーザーデバイ スに代わって第2ファイアウォールの内側のネットワークリソースへの接続を確立します。 第2ファイアウォールで開く必要があるポートは、外部ユーザーがアクセスする許可を持つ ネットワークリソースにより異なります。 83 Access GatewayアプライアンスのDMZへの展開 たとえば、外部ユーザーに内部ネットワークのWebサーバーにアクセスする許可を与え、サー バーがポート80でHTTP接続を待機する場合、第2ファイアウォールでポート80でのHTTP接 続を許可する必要があります。 Access Gatewayは、外部のユーザーデバイスに代わって、 第2ファイアウォールを経由して内部ネットワークのHTTPサーバーへ接続を確立します。 84 保護されたネットワーク内へのAccess Gatewayの展開 保護されたネットワークにAccess Gatewayアプライアンスをインストールできますが、 DMZにAccess Gatewayを展開する場合と比べてセキュリティが低くなります。 この場合、 インターネットと保護されたネットワークの間に存在するファイアウォールは1つです。 ネッ トワークリソースへのアクセスを制御するため、次の図に示すように、Access Gatewayは ファイアウォールの内側に設置します。 図 1. 保護されたネットワーク内のAccess Gatewayの構成 Access Gatewayを保護されたネットワーク内に展開する場合、Access Gatewayの一方の インターフェイスをアプライアンスとインターネットの間のファイアウォールに接続し、も う一方のインターフェイスを保護されたネットワーク内のサーバーに接続します。 Access Gatewayを保護されたネットワーク内に設置すると、ローカルユーザーとリモートユーザー の両方にアクセスが提供されます。 ただし、ファイアウォールが1つの場合、リモートから 接続するユーザーにとってセキュリティが低くなります。 インターネットからのトラフィッ クはAccess Gatewayでインターセプトされますが、そのトラフィックはユーザーが認証を 受ける前に保護されたネットワークに入り込みます。 Access GatewayがDMZ内に配置され ている場合は、ネットワークトラフィックは、ユーザー認証が確認されてからセキュリティ で保護されたネットワークに到達します。 Access Gatewayを保護されたネットワーク内に展開する場合、Access Gateway Plug-inの 接続は、Access Gatewayに接続するためにファイアウォールを通過する必要があります。 デフォルトでは、このユーザー接続を確立するためポート443でSSLが使用されます。 この 接続をサポートするには、ファイアウォール上のポート443を開く必要があります。 85 XenAppまたはXenDesktopと合わせた Access Gatewayの展開 更新日: 2012-05-03 XenAppまたはXenDesktopへの安全なリモートアクセスを提供するためにAccess Gateway を展開する場合、Access GatewayはWeb InterfaceおよびSecure Ticket Authority(STA) と連動して、サーバーファームでホストされる公開アプリケーションおよびデスクトップへ のアクセスを提供します。 サーバーファームへのリモートアクセスを提供するためにDMZにAccess Gatewayを展開す る場合、次の3種類の展開から1つを選択して実装できます。 • • DMZ内のAccess Gatewayの後方にWeb Interfaceを展開する。 この構成では、 Access GatewayとWeb Interfaceの両方をDMZに展開します。 最初のユーザー接続は Access Gatewayが受信し、Web Interfaceにリダイレクトされます。 DMZにAccess GatewayとWeb Interfaceを並列して展開する。 この構成では、 Access GatewayとWeb Interfaceの両方をDMZに展開しますが、最初のユーザー接続 はAccess GatewayではなくWeb Interfaceが受信します。 Web InterfaceはSTAと対話してICAファイルを生成し、Citrix Online Plug-inのトラフィ ックがAccess Gatewayを経由して、サーバーファーム内のXenAppサーバーに確実に送 信されるようにします。 • 86 DMZにAccess Gatewayを展開し、内部ネットワークにWeb Interfaceを展開する。 こ の構成では、Access Gatewayがユーザー要求を認証した後で、保護されたネットワー ク内のWeb Interfaceに要求がリレーされます。 Web Interfaceでは認証を行いません が、STAと対話してICAファイルを作成し、ICAトラフィックがAccess Gatewayを経由 して、サーバーファームに確実に送信されるようにします。 負荷分散とアプライアンスのフェールオー バーのための追加のAccess Gatewayア プライアンスの展開 次の理由から、環境内に複数のAccess Gatewayアプライアンスを設置できます。 • • スケーラビリティ: より多くのユーザーに対応するために、ネットワーク内に追加の Access Gatewayアプライアンスを設置できます。 フォールトトレランスを提供するた め、負荷分散装置の後方に複数のアプライアンスを展開して、Access Gatewayアプラ イアンスの間でユーザー負荷を分散できます。 アプライアンスのフェールオーバー: Access Gatewayに障害が発生する場合に備えて、 追加のAccess Gatewayアプライアンスを設置してリモートユーザーの内部ネットワー クへのアクセスを保証する必要があります。 注: アプライアンスのフェールーバーのみに対処するには、1台のAccess Gatewayアプ ライアンスをプライマリに、もう1台のアプライアンスをセカンダリに構成できます。 プ ライマリAccess Gatewayに障害が発生した場合、ユーザー接続はセカンダリAccess Gatewayにアクセスします。 この構成について詳しくは、「Access Gateway 5.0のアプ ライアンスのフェールオーバーのしくみ」を参照してください。 87 Access Controllerを伴うAccess Gatewayの展開 Access ControllerはAccess Gatewayと共に使用できるオプションのソフトウェアコンポー ネントです。 Access Controllerには次の機能と利点があります。 • 複数のAccess Gatewayアプライアンスの集中管理 • Webサイトおよびファイル共有へのクライアントレスアクセス • ネイティブなActive Directory認証(LDAP) • 高度なエンドポイント解析スキャン • 複数のアプライアンス間での接続の負荷分散 • エンドポイント解析の結果に基づいて公開アプリケーション、デスクトップ、およびICA 仮想チャネルを有効または無効にする、適応型アクセス制御 Windows Server 2008が動作するコンピューターにAccess Controllerをインストールした ら、Access Controllerと通信するようにAccess Gatewayを構成する必要があります。 初め にAccess Controllerサーバーで、Access ControllerにAccess Gatewayアプライアンスを追 加します。 次に、Access Gateway Management Consoleを使用して、Access Controller を使用するようにAccess Gatewayを切り替えます。 Management Consoleについて詳しくは、「Access Gateway Management Console」を 参照してください。 その後は、Access Controller側でAccess Gatewayの構成を管理できます。 Access Controllerの構成後は、Access Gateway Management Consoleから管理できるのはアプラ イアンス特有の設定のみです。 複数のAccess Controllerサーバーがある場合は、1つのサーバーのIPアドレスまたは完全修 飾ドメイン名を入力すると、ほかのAccess ControllerサーバーがAccess Gatewayで自動的 に検出されます。 アプライアンス上で構成する必要があるAccess Controllerは1つのみです。 Access Controllerの構成 Access Controllerでは、次のクラスター構成がサポートされます。 • • 88 Access Controllerのすべてのコンポーネントを1台のサーバーにインストールする。 Access Controllerを単一のサーバーにインストールします。 データベースサーバーを含 め、クラスターのすべての必須コンポーネントがこのサーバーに含まれます。 Access Controllerのコンポーネントと、Microsoft SQL Serverを分けてインストールす る。 SQL Serverを別のサーバーにインストールします。 Access Controllerをインストー ルして、クラスターのデータベースとしてSQL Serverのデータベースサーバーを指定し ます。 Access Controllerを伴うAccess Gatewayの展開 • Access Controllerのコンポーネントを複数のサーバーに分けてインストールする。 SQL Serverを別のデータベースサーバーにインストールします。 Access Controllerを 複数のサーバーにインストールしてクラスターを作成します。 注意: • Access ControllerでAccess Gateway設定を管理することを選択すると、Access Gateway Management Consoleの対応する設定を変更できなくなります。 Access Controllerを選択する前にこれらの設定をManagement Consoleで指定した場合は、デ リバリーサービスコンソールでもこれらの設定を再度構成する必要があります。 これらの設定をコンソールで構成する方法について詳しくは、「Access Controllerの管 理」を参照してください。 • Access Controllerでの管理を無効にすると、デリバリーサービスコンソールでの設定が 非アクティブ化され、既存の構成値が削除されます。 Access Gatewayで以前に構成し た設定が復元されます。 詳しくは、「Access Controllerの有効化」を参照してください。 89 ユーザーアクセスのためのプラグインの 展開 ユーザーが初めてログオンするときは、WebページからAccess Gateway Plug-inをダウン ロードしてインストールします。 プラグインはスタンドアロンのアプリケーションとして動 作します。 ユーザーは[スタート]メニューからAccess Gateway Plug-inを使用して接続 を開始します。 Access Gatewayを新しいソフトウェアバージョンにアップグレードする場 合は、ユーザーデバイス上のAccess Gateway Plug-inが自動的にアップデートされます。 Citrix Receiver for Windows 3.0による Access Gateway Plug-inの展開 Citrix Receiver for Windows 3.0を使用してAccess Gateway Plug-inを展開できます。 ユー ザーがReceiver for Windows 3.0をインストールすると、ユーザーデバイスにインストール されているすべてのプラグインがCitrix Receiverに自動的に追加されます。 ユーザーは通知 領域のCitrix Receiverメニューで[ログオン]を選択して、Citrix Receiverを経由して Access Gateway Plug-inにログオンします。 ユーザーはCitrix Receiverの[基本設定]ダ イアログボックスの[更新をチェック]リンクをクリックして、プラグインをアップデート できます。 MSIインストーラーパッケージを使用した Access Gateway Plug-inの展開 Microsoft Active Directoryインフラストラクチャか、またはWindows Server Update Servicesのような標準的なサードパーティ製MSI展開ツールを使用して、Access Gateway Plug-inを展開できます。 Windowsインストーラーパッケージをサポートするツールを使用 する場合は、MSIファイルをサポートするツールでパッケージを展開できます。 そして展開 ツールを使用して、ソフトウェアを適切なユーザーデバイスに展開し、インストールします。 集中管理型の展開ツールを使用する場合の利点は次のとおりです。 • • • • セキュリティ要件への準拠: 管理者以外のユーザーにソフトウェアのインストール権限 を与えずに、プラグインをインストールできます。 ソフトウェアのバージョン管理: ソフトウェアのアップデートバージョンを、すべての ユーザーに同時に展開できます。 スケーラビリティ: 集中型展開戦略を取ることにより、簡単に追加のユーザーをサポー トできます。 ユーザーの作業を中断しない管理作業: ユーザーに影響を及ぼすことなく、ソフトウェ アを展開し、テストして、インストールに関する問題を解決することができます。 管理者がプラグインのインストールを制御していて、管理者が前もってユーザーデバイスに アクセスできる場合は、この方法を選択することをお勧めします。 90 ユーザーアクセスのためのプラグインの展開 詳しくは、「Microsoft Windowsインストーラー(MSI)パッケージを使用したAccess Gateway Plug-inのインストール」を参照してください。 注: Endpoint Analysis Plug-inの、MSI形式のスタンドアロンのインストールパッケージ は、Server CDのSetup\EndpointAnalysisClient\jaフォルダーに収録されています。 展開するプラグインの選択 Access Gatewayの展開環境で、プラグインをユーザーデバイスにインストールする必要が ない場合、クライアントレスアクセスを提供するとみなされます。 このシナリオでは、ユー ザーはネットワークリソースへのアクセスにWebブラウザーのみを使用します。 ただし、一 部の機能では、ユーザーのデバイスにプラグインソフトウェアが必要です。 ユーザーデバイスソフトウェアの最小要件について詳しくは、「ユーザーデバイスの要件」 を参照してください。 91 Web Interfaceの展開オプション Access GatewayをWeb Interfaceと共に展開するとき、Web InterfaceはDMZまたは保護 されたネットワークにインストールできます。 Web Interfaceを展開する場所は、次のよう な多くの要素によって左右されます。 • • 認証: ユーザーがログオンするとき、Access GatewayまたはWeb Interfaceのどちら かでユーザー資格情報を認証できます。 ネットワーク内のWeb Interfaceを配置する位 置によって、ユーザーを認証する場所がある程度まで決定されます。 ユーザーソフトウェア: ユーザーは、Access Gateway Plug-in、Citrix Online Plug-in、 またはCitrix ReceiverのいずれかでWeb Interfaceに接続できます。 Online Plug-inの みを使用することによってユーザーがアクセスできるリソースを制限したり、Access Gateway Plug-inを使用してユーザーにより広範囲なネットワークアクセスを与えたり することができます。 ユーザーの接続方法とアクセスできるリソースは、Web Interfaceをネットワーク内のどの位置に展開するかを判断する助けになります。 Web Interfaceの展開オプションは次のとおりです。 92 • セキュリティで保護されたネットワークに展開する。 • DMZ内でAccess Gatewayと並列に展開する。 • DMZ内でAccess Gatewayの後方に展開する。 セキュリティで保護されたネットワーク へのWeb Interfaceの展開 この展開では、Web Interfaceはセキュリティで保護されたネットワーク内に配置します。 Access GatewayアプライアンスはDMZに展開します。 Access Gatewayでユーザー要求を 認証した後で、Web Interfaceに要求が送信されます。 Web Interfaceをセキュリティで保護されたネットワーク内に展開する場合は、Access Gatewayで認証を構成する必要があります。 ユーザーがAccess Gatewayに接続して資格情 報を入力すると、Web Interfaceに接続されます。 Web InterfaceをXenDesktopと共に展開する場合は、Web Interfaceをセキュリティで保 護されたネットワーク内に配置するのがデフォルトの展開シナリオです。 Desktop Delivery Controllerをインストールすると、カスタムバージョンのWeb Interfaceもインス トールされます。 93 DMZ内でWeb InterfaceとAccess Gatewayを並列に展開する場合 更新日: 2012-03-13 ここでは、DMZ内にWeb InterfaceとAccess Gatewayの両方を展開し、お互いに平行に実 行する場合について説明します。 この展開環境では、ユーザーは、Webブラウザーを使用し てWeb Interfaceに直接接続し、 Web Interfaceにログオンしてから、サーバーファームの 公開アプリケーションまたは公開デスクトップにアクセスします。 ユーザーがアプリケーショ ンまたはデスクトップを起動すると、ICAトラフィックの送信先が含まれるICAファイルを、 Web InterfaceがAccess Gatewayを介して送信します。これは、ICAファイルがSecure Gatewayサーバーを経由して送信されるときと同様です。 Web Interfaceが配信するICAファ イルには、STA(Secure Ticket Authority)によって作成されたセッションチケットが含ま れています。 Citrix ReceiverがAccess Gatewayに接続すると、そのセッションチケットが提示されます。 Access GatewayはSTAに接続して、そのセッションチケットが有効かどうかを確認します。 セッションチケットが有効な場合は、ICAトラフィックがサーバーファーム内のサーバーに 引き渡されます。 DMZ内でWeb InterfaceをAccess Gatewayと並列に運用する場合は、Access Gatewayで 認証を構成する必要はありません。 Access Gatewayの第1のネットワークアダプターが外 部ネットワーク(インターネットまたはWAN(Wide Area Network:ワイドエリアネット ワーク))に、第2のネットワークアダプターがイントラネットに接続する構成の場合、ユー ザーがインターネットまたはセキュリティで保護されたネットワークから接続できるIPアド レスがWeb InterfaceとAccess Gatewayに必要です。 Access GatewayとWeb Interface に内蔵のネットワークアダプターは、同じネットネットワーク上にありお互いに通信できる 必要があります。 図 1. Access Gatewayと並列に展開したWeb Interface ユーザー接続は、まずWeb Interfaceに送信されて認証され、 その後Access Gatewayを介 して送信されます。 94 DMZ内でWeb InterfaceとAccess Gatewayを並列に展開する場合 95 DMZ内でWeb InterfaceをAccess Gatewayの後方に展開する場合 すべてのHTTPSトラフィックとICAトラフィックを1つの外部ポートを介してルーティング し、1つのSSL証明書を使用する必要がある場合は、Access GatewayをWeb Interfaceのリ バースWebプロキシとして使用します。 次の図に示すようにDMZ内でWeb InterfaceをAccess Gatewayの後方に展開する場合は、 アプライアンスで必ずしも認証を構成する必要はありません。 図 1. DMZ内でAccess Gatewayの後方にWeb Interfaceを展開する構成 96 Access Gateway 5.0のインストール Citrix Access Gatewayアプライアンスを受け取ったら、アプライアンスを開梱してサイト とラックを準備します。 アプライアンスの設置場所が環境基準を満たしており、サーバーラッ クが指示に従って配置されていると判断したら、ハードウェアを設置します。 アプライアン スを取り付けたら、ネットワーク、電源、および初期構成に使用するコンソール端末に接続 します。 アプライアンスの電源を入れたら、初期構成を実行して、管理用IPアドレスとネッ トワークIPアドレスを割り当てます。 インストール指示に併記されている注意事項と警告に 注目してください。 「Access Gateway 5.0インストールチェックリスト」を使用して、Access Gatewayアプ ライアンスをインストールする前に設定を書き留めておくことをお勧めします。 このチェッ クリストには、Access Gatewayのインストールに関する情報も記載されています。 Access Gatewayアプライアンスのインストールについて詳しくは、「Installing the Access Gateway Appliance」を参照してください。 Access ControllerはWindows Server 2008にのみインストールできます。 Access Gateway 4.5, Advanced EditionをAccess Controllerにアップグレードするには、Access Controllerをサーバーにインストールした後でAdvanced Access Controlから設定を移行し ます。 Access Controllerをインストールする前に、サーバーのシステム要件を確認してください。 サーバーとネットワーク環境によりAccess Controllerをサポートできることを確認してか ら、インストールを開始してください。 詳しくは、「Access Controllerのインストール計 画」を参照してください。 アプライアンスとAccess Controllerをインストールしたら、Access GatewayとAccess Controllerがお互いに通信するように構成します。 97 Access Controllerのインストール計画 Access ControllerはWindows Server 2008にのみインストールできます。 Access Gateway 4.5, Advanced EditionをAccess Controllerにアップグレードするには、Access Controllerをサーバーにインストールした後でAdvanced Access Controlから設定を移行し ます。 Access Controllerのインストール計画を立てるには、使用する予定のAccess Controllerコ ンポーネントと機能の要件を、サーバーが満たしていることを確認する必要もあります。 こ のトピックでは、Access Controllerソフトウェアをインストールする前後に実行する必要の ある作業の概要について説明します。 Access Controllerのインストールを始める前に、次の作業を行います。 1. Windows Updateを使用してWindowsベースのサーバーを更新し、Access Controller サーバーに適切なセキュリティ更新プログラムを適用します。 2. サーバーが、使用するコンポーネントと機能のすべての要件を満たしていることを確認 します。 3. Access GatewayアプライアンスまたはCitrixライセンスサーバーにライセンスをインス トールします。 Access Controllerはアプライアンスに構成された場所からライセンスを 取得します。 4. 次の節の手順に従って、Access Controllerとデリバリーサービスコンソールをインストー ルします。 5. 必要に応じて追加のコンポーネントをインストールします。 6. Citrix Knowledge Centerにアクセスして、重要な更新プログラムをダウンロードしてイ ンストールします。 この一覧に加え、Access ControllerをWindows Server 2008 R2にインストールする前に、 次の作業を実行します。 • • ASP.NETをIIS(Internet Information Services:インターネットインフォメーション サービス)7.0に登録する。 IIS 6.0メタベースコンポーネントをインストールする。 インストール前の作業 Access Controllerの多くの機能は、ソフトウェアをインストールする前に特定のコンポーネ ントをインストールまたは構成しておくことが要件になります。 次の表は、インストールの前に必要な作業と、各コンポーネントまたは機能の追加情報の参 照先を示しています。 98 Access Controllerのインストール計画 コンポーネントまたは 機能 必要な作業 追加情報の参照先 Access Gatewayアプ ライアンス 1つまたは複数のアプライアン スをインストールする。 Access Gateway 5.0インス トールチェックリスト はじめに Access Gateway Management Console Access Controller サポートされるバージョンの アカウントの要件 Microsoft Windowsがサーバー で動作していることを確認す データベースの要件 る。 ネットワーク構成が要件を満 たしていることを確認する。 ネットワークの要件 サービスアカウントが要件を アカウントの要件 満たしていることを確認する。 データベースサーバー データベースサーバーをイン ストールしユーザーアカウン トを作成する。 アカウントの要件 Access Controllerサーバーに Access Controllerのインストー インストールする場合は、サー ル バーを再起動する。 認証 Access ControllerでActive Directoryまたはそのほかの種 類の認証を構成する。 認証ソフトウェアの要件 デリバリーサービスコ ンソール スタンドアロンサーバーにイ デリバリーサービスコンソー ンストールする場合は、必要 ルの要件 なソフトウェアがインストー ルされていることを確認する。 インストール後の作業 次の表は、Access Controllerソフトウェアのインストールの直後に必要な作業と、各コンポー ネントまたは機能の追加情報の参照先を示しています。 コンポーネントまたは機能 必要な作業 Access Controllerの構成 サーバー構成ユーティリティを実行してAccess サーバー構成ユーティリティのしくみ Controllerの設定を構成し、SQL Serverデータベー スに接続する。 Access Gatewayアプライア ンス Access Controllerとの通信を構成する。 Access Controllerを伴うAccess Gatewayの展開 Access Controller Access GatewayアプライアンスをAccess Controllerに追加する。 Access GatewayをAccess Controller に追加するには 99 追加情報の参照先 Access Controllerをインストールする には Access Controllerは、ネットワーク内の単一のサーバーにも、複数のサーバーにも展開でき ます。 Access Controllerにはセットアップウィザードが用意されており、Access Controllerとそ のコンポーネントのインストール時の設定を順を追って行えます。 1. Access Controller Server CDをCDドライブに挿入します。 自動実行が有効な場合は、 起動画面が表示されます。 自動実行が有効になっていない場合は、CDのルートフォルダー にあるAutorun.exeをダブルクリックします。 2. 起動画面で、[Citrix Access Controller]をクリックします。 3. [ようこそ]ページで、[次へ]をクリックします。 4. Citrixライセンス契約書を読み、同意します。 5. 次のコンポーネントから、インストールするものを選択します。 • サーバー: Logon Agentとサーバー構成ツールを含めた、Access Controllerサーバー ソフトウェアをインストールします。 デリバリーサービスコンソール: Access Controllerの構成・管理ツールをインストー ルします。 6. 画面の指示に従って、セットアップウィザードを完了します。 • Access Controllerのインストール中、メッセージボックスに進捗状況が表示されます。 イ ンストールが完了したら、ウィザードを終了する前に、サーバー構成ユーティリティでサー バーを構成し、ほかのサーバーにAccess Controllerをインストールするオプションを選択で きます。 サーバーの構成について詳しくは、「Access Controllerの初期構成」を参照してください。 インストールのトラブルシューティング インストール中、CTXCAC50_Install.logという名前のログファイルが作成されます。この ファイルを使用して、サーバーのインストール時の問題を解決できます。 このログファイル は、デフォルトでは一時フォルダーに書き込まれます。 このフォルダーの場所を定義するた め、Access Controllerによって次の環境変数が確認されます。 100 • TMP • TEMP • USERPROFILE Access Controllerをインストールするには • windir これらの変数のうち、最初に見つかった有効なパスがインストールログファイルの格納場所 になります。 コマンドラインで/logfilepath folderpathというオプションを付けてインストールを 実行すれば、このデフォルトのパスを上書きできます。ここで、folderpathはインストール ログファイルを格納するパスです。 101 Access Controllerのアンインストール 更新日: 2012-05-03 Access Controllerのコンポーネントをサーバーから削除するには、コントロールパネルの[ プログラムと機能]を使用します。 インストール中に選択したオプションに応じて、次の順 序でコンポーネントを削除します。 • Citrix Access Gatewayサーバー • Citrix Access Gatewayコンソール • Citrixライセンスサーバー管理 • Citrixデリバリーサービスコンソール - 診断ファシリティ • Citrixデリバリーサービスコンソール - フレームワーク 注: Citrixライセンスサーバー管理とCitrixデリバリーサービスコンソール - 診断ファシリ ティは、アンインストール処理中いつでも削除できます。 ただし、Citrixデリバリーサー ビスコンソール - フレームワークは最後に削除する必要があります。 Access Controllerコンポーネントを削除する には 1. [スタート] > [設定] > [コントロールパネル]の順に選択します。 2. コントロールパネルの[プログラムと機能]をダブルクリックします。 3. プログラムを選択して[アンインストール]をクリックし、画面の指示に従います。 102 Access Gatewayへのライセンスのイン ストール Citrix Access Gateway 5.0にはプラットフォームライセンスが必要です。 ネットワークへ のAccess Gateway Plug-inまたはSmartAccessログオンポイントを使用した接続を許可す るには、ユニバーサルライセンスも追加する必要があります。 Access Gateway 5.0では、ライセンスはAccess GatewayアプライアンスまたはCitrixライ センスサーバーにインストールします。 Access Gateway Management Consoleを使用し てAccess Gatewayのライセンスをインストールします。 Citrix Access Controllerを使用す る場合、Access Gatewayでのライセンスの構成に応じて、Access Controllerサーバーはア プライアンスまたはライセンスサーバーのどちらかからライセンスを取得します。 Access Controllerにライセンスをインストールする必要はありません。 重要: ライセンスファイルをアプライアンスでホストする場合、大文字小文字の区別を含 め、ライセンスファイル内のホスト名をAccess Gateway上のホスト名と正確に一致させ る必要があります。 既存ライセンスの交換または移行 Subscription Advantage契約を結んでいる場合は、既存のAccess Gatewayライセンスを最 新のライセンスファイルに変更または移行できます。 ライセンスの移行には、次の作業が必要です。 103 • MyCitrix.comを通じて既存のライセンスを移行する。 • 新しいライセンスファイルをダウンロードする。 • 新しいライセンスをライセンスサーバーにコピーする。 Access Gatewayのライセンスの種類 更新日: 2013-04-18 Access Gatewayにはプラットフォームライセンスが必要です。 ネットワークへのAccess Gateway Plug-inまたはSmartAccessログオンポイントを使用した接続を許可するには、ユ ニバーサルライセンスも追加する必要があります。 Access Gateway VPXにはプラットフォー ムライセンスが含まれます。 プラットフォームライセンスは次のバージョンのAccess Gatewayでサポートされます。 • Access Gateway 10 • Access Gateway 9.3, Enterprise Edition • Access Gateway 9.2, Enterprise Edition • Access Gateway VPX • Access Gateway 5.0 • Access Gateway 4.6, Standard Edition 重要: 受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことを お勧めします。 構成ファイルのバックアップコピーを保存すると、アップロードしたすべ てのライセンスファイルもバックアップに含まれます。 Access Gatewayアプライアンス ソフトウェアの再インストールが必要になった場合に構成ファイルのバックアップがない と、元のライセンスファイルが必要になります。 プラットフォームライセンス プラットフォームライセンスにより、XenApp上の公開アプリケーションまたはXenDesktop 上の仮想デスクトップへのユーザー接続が許可されます。 Citrix Receiverを使用する接続で は、各接続のためにAccess Gatewayユニバーサルライセンスが使用されることはありませ ん。 これらの接続にはプラットフォームライセンスのみが必要です。 プラットフォームラ イセンスは、Access Gatewayのすべての新規注文で、アプライアンスが物理的か仮想的か を問わず、電子的に納品されます。 保証または保守契約対象のアプライアンスが既にある場 合は、My Citrixの[バージョンアップ]ツールボックスからプラットフォームライセンスを 入手できます。 ユニバーサルライセンス ユニバーサルライセンスでは、購入したライセンスの数が、同時接続ユーザーセッション数 の上限になります。 ユニバーサルライセンスでは次の機能がサポートされます。 • 104 すべての機能が有効なVPNトンネル Access Gatewayのライセンスの種類 • エンドポイント解析 • ポリシーに基づくSmartAccess • Webサイトおよびファイル共有へのクライアントレスアクセス たとえば、100ライセンス購入した場合は、100セッションまでの同時接続が常に可能です。 ユーザーがセッションを終了するとライセンスが解放され、次のユーザーがそのライセンス を使用できるようになります。 複数のコンピューターからAccess Gatewayにログオンする ユーザーは、セッションごとにライセンスを使用します。 すべてのライセンスが使用されている場合は、ユーザーか管理者がセッションを終了するま で、追加の接続を開くことはできません。 接続が閉じられると使用されていたライセンスが 解放され、新しいユーザーがライセンスを使用できるようになります。 Access Gatewayアプライアンスを受け取ったら、次の順序でライセンスを設定します。 • ライセンス認証コードを電子メールで受け取ります。 • セットアップウィザードを使用してAccess Gatewayにホスト名を構成します。 • • My CitrixからAccess Gatewayライセンスを割り当てます。 割り当てのプロセスで、ホ スト名を使用してアプライアンスにライセンスをバインドします。 Access Gatewayまたはライセンスサーバーにライセンスをインストールします。 エクスプレスライセンス エクスプレスライセンスはAccess Gateway VPXで使用され、ReceiverまたはAccess Gateway Plug-inによる5つまでの同時ユーザー接続を可能にします。 エクスプレスライセ ンスはVPX Expressアプライアンスで使用することができ、1年で失効します。 ユーザーセッ ションは基本またはSmartAccessログオンポイントから開始できます。 Access Gateway VPX Expressのシステム要件を確認する、またはアプライアンスをダウン ロードするには、NetScaler Access Gateway Webサイトを参照してください。 NetScaler Access Gateway WebサイトからAccess Gateway VPX Expressをダウンロー ドしたら、ライセンスキーを入手して、ライセンスファイルをアクティブ化しダウンロード します。 Citrixライセンスサーバーのホスト名またはAccess Gatewayアプライアンスのホ スト名を入力する必要があります。 重要: この名前の入力フィールドでは大文字と小文字が区別されます。必ず、Access Gatewayアプライアンスまたはライセンスサーバーに構成したホスト名を正確にコピーし てください。 105 プラットフォームまたはユニバーサルラ イセンスファイルの取得 ネットワーク内にAccess Gatewayを設置したら、Citrixからライセンスファイルを取得しま す。 My Citrixに接続して使用できるライセンスにアクセスし、ライセンスファイルを生成 します。 ライセンスファイルが生成されたら、コンピューターにダウンロードします。 ラ イセンスファイルをコンピューターにダウンロードしたら、アプライアンスにアップロード します。 Citrix社のWebサイトにアクセスする前に、以下の情報を用意します。 • • ライセンスコード: このコードは、Citrixから受け取る電子メールで確認できます。 既 存のライセンスをSubscription Advantageの特典として入手し、Subscription Advantageが有効期限内である場合は、以前のバージョンのAccess Gatewayからアッ プグレードしても、既存のライセンスを引き続き使用できます。 My CitrixのユーザーIDとパスワード: パスワードは、Citrix社のWebサイトで登録でき ます。 注: これらの項目に見つからないものがある場合は、Citrixカスタマーサービスに問 い合わせてください。 • • Access GatewayアプライアンスまたはCitrixライセンスサーバーのホスト名: Citrix社 のWebサイトのこの名前の入力フィールドでは、大文字と小文字が区別されます。必ず、 Access Gatewayアプライアンスまたはライセンスサーバーに構成したホスト名を正確 にコピーしてください。 ライセンスファイルに含めるライセンス数: 使用できるライセンスのすべてを一度にダ ウンロードする必要はありません。 たとえば、100ライセンスを購入した場合は、ある 時点では50ライセンスのみをダウンロードするということもできます。 後で、残りを別 のライセンスファイルに割り当てることができます。 複数のライセンスをAccess Gatewayにインストールできます。 ライセンスを取得する前に、アプライアンスのホスト名を構成します。 Access Gatewayに ユニバーサルライセンスをインストールする準備ができてから、Citrix社のWebサイトにア クセスしてライセンスを取得します。 106 プラットフォームまたはユニバーサルライセンスファイルの取得 プラットフォームまたはユニバーサルライセン スファイルを取得するには 1. WebブラウザーでCitrix社のWebサイトにアクセスし、[My Citrix]をクリックします。 2. ユーザー名とパスワードを入力します。 はじめてこのサイトにログオンするときは、そ のほかのバックグラウンド情報の入力も求められます。 注: Citrix製品を既に使用している場合は、手順3.~11.に従います。 Citrix製品を初 めて使用する場合は、手順9.~11.に従います。 3. [ツールボックスの選択]、[バージョンアップ]の順に選択します。 4. [バージョンアップ]ページで、[現在のツール]ボックスの一覧から[バージョンアッ プの実行]を選択します。 5. [バージョンアップ製品の選択]の下の[お持ちの製品を選択してください]ボックス の一覧から[Access Gateway/Secure Access Manager]を選択します。 6. [バージョンアップする製品を選択してください]ボックスの一覧から次のどちらかを 選択します。 • Access Gateway Platform License • 注: プラットフォームライセンスを選択すると、プラットフォームライセンス、 利用条件、およびアプライアンスソフトウェアの要件を説明する画面が開きます。 Access Gateway Universal License 注: このオプションは、有効なSubscription Advantage契約をお持ちであるか、 スタンドアロンライセンスとしてライセンスを購入された場合にのみ表示されます。 7. [送信]をクリックします。 別のWebブラウザーウィンドウが開き、選択したプラットフォームまたはユニバーサル ライセンスが表示されます。 8. Access Gatewayアプライアンスの説明の下のシリアル番号のチェックボックスをオン にして、[続行]をクリックします。 [確認]ページが開きます。 この画面には、お客様とCitrixの間の契約条項が表示され ます。 [同意する]をクリックします。 [バージョンアップリクエストの確認]ページが開き、リクエストが登録されたことが 表示されます。 この手順を完了すると、インストールイメージ、ライセンスコード、お よびライセンスサーバー(必要な場合)のダウンロードリンクが記載された電子メール がGTL License Administratorから送付されます。 9. Citrixからこのライセンスに関する電子メールを受信したら、リンクをクリックしてライ センスを割り当てます。 [Citrix Activation System]ページが開きます。 ライセンスをアクティブ化するには ホスト名またはホストIDが必要です。 ホスト名またはホストIDは、Access Gateway VPXのMACアドレスまたはライセンスを インストールするAccess GatewayアプライアンスのホストIDに基づきます。 107 プラットフォームまたはユニバーサルライセンスファイルの取得 10. [続行]をクリックします。 プラットフォームまたはユニバーサルライセンスの種別、ライセンスコード、および数 が表示されます。 11. [Citrixライセンスサーバーのホスト名]ボックスに、Citrixライセンスサーバーの Windowsホスト名またはAccess GatewayアプライアンスのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を大文字と小文字を区別して入力して、[割り 当て]をクリックし、[確認]をクリックします。 [確認]をクリックすると、ライセンス情報を表示する画面が開きます。 ライセンスファイ ルをダウンロードして保存するには、[ライセンスファイルのダウンロード]をクリックし てコンピューターにファイルを保存します。 これで、Access Gatewayまたはライセンスサー バーにライセンスをインストールできます。 108 Access Gateway 4.6, Standard Editionからのライセンスの移行 Access Gateway 5.0のユーザーライセンスは、Access Gateway 4.6, Standard Editionの ユーザーライセンスと同じです。 Subscription Advantageの有効なサブスクリプションが あれば、既存のライセンスを使用できます。 Version 5.0と互換性があります。 プラットフォームライセンスはAccess Gateway 5.0からの新しいライセンスです。 プラッ トフォームライセンスがなければ、Subscription Advantageの有効なサブスクリプションが あってもユーザーライセンスを使用できません。 Citrixは2010年の2月から、Access Gatewayの新しいユーザーにAccess Gateway 5.0対応のプラットフォームライセンスファ イルを発行し始めました。 2010年2月以前に購入したModel 2010アプライアンスのプラッ トフォームライセンスを受け取っていない場合は、Version 4.6からVersion 5.0にアップグ レードするときにMy Citrixの[バージョンアップ]ツールボックスを使用してライセンスを 入手する必要があります。 109 Access Gateway上にライセンスをイン ストールするには ライセンスファイルをダウンロードしたら、Access Gateway Management Consoleを使 用してAccess Gatewayにファイルをインストールします。 ライセンスファイルは、Access Gatewayアプライアンスの完全修飾ドメイン名(FQDN) を使用するホスト名に基づいて生成されます。 ライセンスをインストールしたAccess Gatewayアプライアンスのことをライセンスサーバーともいいます。このサーバーで、イン ストールしたライセンスファイルが処理され、無効なライセンスファイルは無視されます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Licensing]をクリックします。 3. [Installed License File]の下の[Upload]をクリックします。 4. [Select file to upload]ダイアログボックスで、インストールするライセンスファイル を参照して[Open]をクリックします。 重要: 受け取ったすべてのライセンスファイルのコピーをローカルに保存しておくことを お勧めします。 構成ファイルのバックアップコピーを保存すると、アップロードしたすべ てのライセンスファイルもバックアップに含まれます。 Access Gatewayアプライアンス ソフトウェアの再インストールが必要になった場合に構成ファイルのバックアップがない と、元のライセンスが必要になります。 構成のスナップショットの作成と構成設定の復元 について詳しくは、「スナップショットを使用したAccess Gatewayの管理」を参照して ください。 110 複数のアプライアンスのためのライセン ス Access Gateway 5.0では、ライセンスはAccess GatewayアプライアンスまたはCitrixライ センスサーバーにインストールします。 Access Controllerを使用する場合は、サーバーは アプライアンスまたはライセンスサーバーからライセンスを取得します。 Access Controllerにライセンスをインストールする必要はありません。 ネットワーク内に複数のAccess Gatewayアプライアンスがある場合は、Citrixライセンスサー バーからライセンスを取得するように、それらのアプライアンスを構成できます。 注: 1台のAccess Gatewayアプライアンスを、複数のアプライアンスのライセンスサー バーとして機能させることはできません。 ライセンスは設置したアプライアンスのそれぞ れにインストールするか、ライセンスサーバーにインストールできます。 各アプライアンスのネットワーク内での状態にかかわらず、ライセンスが割り当てられます。 ライセンスサーバーからライセンスを取得する には 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Licensing]をクリックします。 3. [Licensing]パネルの下の方にある[Configure]をクリックします。 4. [Licensing Server]ダイアログボックスで、[Licensing type]の[Retail]または[ Express]をクリックします。 5. [Server]の[Remote Server]を選択します。 6. [Server]ボックスに、ライセンスサーバーのFQDN(Fully Qualified Domain Name :完全修飾ドメイン名)またはIPアドレスを入力します。 7. [Manager port]ボックスでポート番号を変更するかデフォルトのポート番号の27000 を指定して、[Save]をクリックします。 8. クラスター内のAccess Gatewayアプライアンスごとに、上記の手順を繰り返します。 マネージャーポートは、Access Gatewayからの通信を最初に受信して、それをライセンス サーバーに送信します。 次に、マネージャーポートからベンダーポートに通信が渡されます。 ベンダーポートはライセンスサーバー上で動作し、ポート番号27001を使ってライセンスを 許可します。 ポート番号は、ファイアウォールの構成に合わせて変更できます。 マネージャ ーポートは、チェックアウトしたライセンスと、どのAccess Gatewayがライセンスを使用 しているかを追跡します。 111 複数のアプライアンスのためのライセンス ネットワークを介してライセンスサーバーのポートにアクセスできるように、ファイアウォー ルの新しい規則を作成する必要がある場合があります。 112 ライセンスの猶予期間 Access Gateway 5.0を初めて設置すると、48時間の猶予期間に入ります。 この猶予期間中 は、2つのユニバーサルライセンスと1つのプラットフォームライセンスを使用できます。 こ の猶予期間が終わる前に、アプライアンスにライセンスをインストールするか、リモートの ライセンスサーバーを使用するようにアプライアンスを構成する必要があります。 そうしな ければ、ユーザーはAccess Gatewayにログオンできなくなります。 Access Gatewayのライセンスサーバーが停止した場合は、クラスター内のほかのアプライ アンスは30日間の猶予期間に入ります。 Access Gatewayは、最後にライセンスサーバーに 接続した日付を保持します。 この猶予期間中は、Access Gatewayに引き続きログオンでき ます。 リモートアプライアンスでライセンスサーバーが検出されると、30日間の猶予期間が リセットされます。 ライセンスサーバーにまた接続できなくなると、アプライアンスは再度 30日間の猶予期間に入ります。 113 ライセンス情報を表示するには Access Gateway Management Consoleで、Access Gatewayにインストールしたライセン スの詳細を表示できます。 この詳細には、ライセンスの種類、有効期限、および同時ユーザー 数が含まれます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Licensing]をクリックします。 3. [Licensing]パネルの[Access Gateway License Information]の下でエントリを展 開して、インストール済みライセンスの詳細を表示します。 失効日、発効日、種類、最終更新日、バージョン、シリアル番号、合計数、および使用 数などの各ライセンスの情報が表に表示されます。 114 Access Gateway 5.0へのアップグレー ドと移行 Citrix Access Gatewayを以前のバージョンのアプライアンスからアップグレードすること ができます。 次のバージョンからAccess Gatewayアプライアンスをアップグレードできま す。 • Access Gateway 4.6.x, Standard Edition • Access Gateway 5.0.x Version 4.6.xからVersion 5.0にアップグレードする場合は、一部の設定がVersion 5.0に 移行されます。 Version 5.0からVersion 5.0.1以降にアップグレードする場合は、構成設定 のスナップショットを作成してからアップグレードをインストールします。 インストール後 に新しいバージョンに移行して、構成設定を保ちます。 重要: Access Gatewayをアップグレードする前に、構成設定をローカルコンピューター に保存することをお勧めします。 何らかの理由で以前のバージョンに戻す、またはアプラ イアンスを再構築する必要があるときは、保存した構成を使用して設定を復元できます。 Access Controllerのアップグレード Citrix Access ControllerはWindows Server 2008で動作します。 Access Controllerは次の方法でアップグレードできます。 • Version 5.0からVersion 5.0.2へのアップグレード。 • Version 5.0.1からVersion 5.0.2、および5.0.3へのアップグレード。 次のバージョンからアップグレードすることはできません。 その代わりに、Windows Server 2008にはAccess Controllerを新規にインストールする必要があります。 • • Access Gateway 4.5, Advanced EditionからAccess Gateway 5.0以降へ。 Access ControllerをWindows Server 2008にインストールした後で、移行ウィザードで Access Gateway 4.5, Advanced EditionのAdvanced Access Controlの設定をAccess Controllerに移行できます。 Access Gateway 5.0からAccess Gateway 5.0.1へ。 Access Controller Version 5.0 から5.0.1へのアップグレード手順は次のとおりです。 1. Version 5.0.xのクラスターデータベース構成をエクスポートします。 2. 以前のバージョンのAccess Controllerをサーバーから削除します。 3. Version 5.0.1のAccess Controllerソフトウェアをインストールします。 4. サーバー構成ツールを実行します。 115 アップグレードと移行 5. 新しいデータベースを作成します(既存のクラスターに参加しないでください)。 6. 保存したクラスター構成をインポートします。 Version 5.0から5.0.1にアップグレードするには、まずVersion 5.0を削除する必要があり ます。 Access Controllerをサーバーから削除するには、コントロールパネルの[プログラ ムと機能]を使用します。 インストール中に選択したオプションに応じて、次の順序でコン ポーネントを削除する必要があります。 • Citrix Access Gatewayサーバー • Citrix Access Gatewayコンソール • Citrixライセンスサーバー管理 • Citrixデリバリーサービスコンソール - 診断ファシリティ • Citrixデリバリーサービスコンソール - フレームワーク Citrixライセンスサーバー管理とCitrixデリバリーサービスコンソール - 診断ファシリティは、 アンインストール処理中いつでも削除できます。 ただし、Citrixデリバリーサービスコンソー ル - フレームワークは最後に削除する必要があります。 Access Controllerコンポーネントを削除するには 1. [スタート] > [設定] > [コントロールパネル]の順に選択します。 2. コントロールパネルの[プログラムと機能]をダブルクリックします。 3. プログラムを選択して[アンインストール]をクリックし、画面の指示に従います。 重要: Access Controllerをインストールした後でサーバー構成ツールを実行するときは、 [新しいクラスターを作成する]をクリックします。 Access Controller 5.0.xの既存の クラスターにサーバーを参加させないでください。 クラスターを構成した後で、新しいク ラスターにVersion 5.0.xのクラスターデータをインポートできます。 移行ウィザードを 使用する必要はありません。 116 Access Gatewayアプライアンスソフト ウェアのアップグレード 新しいバージョンのAccess Gatewayソフトウェアが使用できるようになったら、ソフトウェ アをアップグレードできます。 アプライアンスソフトウェアをアップグレードするには、 Access Gateway Management Consoleの[Snapshots]タブを使用します。 Access Gatewayソフトウェアの各バージョンはAccess Gatewayのデータベースに格納さ れ、[Software Releases and Configuration Snapshots]パネルに一覧表示されます。 ソフトウェアのバージョンをクリックすると、対応するスナップショットが[Software Releases]パネルの下の[Snapshots]パネルに表示されます。 重要: 新しいバージョンのAccess Gatewayソフトウェアをインストールする前に、現在 の構成のスナップショットを作成し、コンピューターにエクスポートすることをお勧めし ます。 構成スナップショットのエクスポートについて詳しくは、「スナップショットをエ クスポートするには」を参照してください。 現在の構成を保存したら、ソフトウェアの最新リリースをAccess Gatewayにインストール できます。 これを行うには、My Citrixから新しいソフトウェアバージョンをダウンロード してコンピューターに保存します。 それから、Access Gateway Management Consoleの [Snapshots]タブでAccess Gatewayに新しいソフトウェアファイルをインポートします。 Access Gatewayからソフトウェアバージョンを削除することもできます。 ソフトウェアバー ジョンを削除すると、データベース内の対応するすべてのスナップショットも削除されます。 現在アクティブなバージョンは削除されません。 117 Access Gatewayソフトウェアをダウン ロードするには 1. Citrix社のWebサイトにアクセスして[My Citrix]をクリックし、ログオンします。 2. Webページ上部の[Downloads]をクリックします。 3. [Search Downloads by Product]ボックスの一覧から[Access Gateway]を選択し ます。 4. [Product Software]の一覧で、ダウンロードするバージョンの製品名をクリックしま す。 ダウンロードページが開きます。 5. [Get Software]をクリックするとダウンロードが開始されます。エンドユーザーライ センス契約を確認し、コンピューター上のフォルダーにファイルを保存します。 118 Access Gatewayソフトウェアをアップ グレードするには 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Software Releases] の隣の[Import]をクリックします。 3. コンピューター上のソフトウェアアップグレードファイルを選択して[Open]をクリッ クします。 ソフトウェアのインストールが開始されます。 ソフトウェアのインストールが完了すると、新しいバージョンが[Software Releases]に 表示されます。 新しいバージョンをアクティブにするには、バージョンを選択して[ Migrate]をクリックし、Access Gatewayを再起動します。 119 以前のバージョンのソフトウェアに戻す には Access Gatewayソフトウェアを以前のバージョンに戻すことができます。 これを行うには、 Access Gateway Management Consoleで戻すバージョンのスナップショットを選択しま す。 重要: 以前のバージョンのソフトウェアに戻す前に、現在の構成のスナップショットを作 成することをお勧めします。 詳しくは、「スナップショットを作成するには」を参照して ください。 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Software Releases] で、戻すソフトウェアバージョンを選択します。 3. [Snapshots]でスナップショットを選択して、[Make Active]をクリックします。 Access Gatewayの再起動を促すダイアログボックスが開きます。 アプライアンスを再 起動すると、以前のバージョンのソフトウェアがアクティブになります。 注: スナップショットを使用して、Access Gateway 4.6.x, Standard Edition以前のバー ジョンに戻すことはできません。 120 Access Gatewayソフトウェアの特定の バージョンを削除するには Access Gateway Management Consoleを使用して、Access Gatewayソフトウェアの特定 のバージョンを削除できます。 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Software Releases] でソフトウェアバージョンを選択して、[Delete]をクリックします。 ソフトウェアバージョンを削除すると、対応するすべてのスナップショットもAccess Gatewayデータベースから削除されます。 121 アプライアンスのフェールオーバーペア に含まれるAccess Gatewayアプライア ンスのアップグレード アプライアンスのフェールオーバーペアに含まれるAccess Gatewayアプライアンスをアッ プグレードするときは、両方のアプライアンスをペアから削除する必要があります。 ペアを 削除した後で各アプライアンスをアップグレードして、ペアを再設定します。 アプライアンスのフェールオーバーペアからプ ライマリアプライアンスを削除するには 1. ペアのプライマリアプライアンスで、Access Gateway Management Consoleを開きま す。 2. [Management]をクリックし、[System Administration]の[Appliance Failover] をクリックします。 3. [Start or Stop Appliance Failover]の[Stop]をクリックします。 4. メッセージに従ってAccess Gatewayを再起動します。 アプライアンスのフェールオーバーペアからセ カンダリアプライアンスを削除するには アプライアンスのフェールオーバーペアからプライマリアプライアンスを削除すると、セカ ンダリアプライアンスがプライマリアプライアンスの機能を引き継ぎます。 上の手順に従っ て、ペアからセカンダリアプライアンスも削除する必要があります。 ペアから各アプライアンスを削除した後で、スナップショットを使用して各アプライアンス をアップグレードして新しいバージョンに移行します。 アップグレードを完了したら、各ア プライアンスでアプライアンスのフェールオーバーを有効にします。 注: 新しいバージョンのソフトウェアに移行するとき、アプライアンスのフェールオーバー ペア内の一方のアプライアンスのみで、アプライアンスの再起動を促すメッセージが表示 されます。 移行を完了したら、ペアの両方のアプライアンスを再起動する必要があります。 122 Access Controllerのアップグレード Access Controllerは次の方法でアップグレードできます。 • Version 5.0からVersion 5.0.2へのアップグレード。 • Version 5.0.1からVersion 5.02、5.0.3、および5.0.4へのアップグレード。 次のバージョンからアップグレードすることはできません。 Windows Server 2008には Access Controllerを新規にインストールする必要があります。 • Access Gateway 4.5, Advanced EditionからAccess Gateway 5.0以降へ。 Access ControllerをWindows Server 2008にインストールした後で、Advanced Access Controlの設定をAccess Controllerに移行できます。 • Access Gateway 5.0からAccess Gateway 5.0.1へ。 Version 5.0.2、5.0.3、または5.0.4へのアップグレードを開始すると、[Citrix Access Gateway]ダイアログボックスが開きます。 以前のバージョンのAccess Controllerがイン ストールされている場合は、このダイアログボックスにはインストール済みのコンポーネン トが表示されます。これは、サーバーソフトウェア、デリバリーサービスコンソール、また はその両方です。 [Citrix Access Controller]をクリックすると、セットアップウィザード が開始されます。 この第1段階で既存の構成をバックアップし、インストールするコンポー ネントを選択し、現在のインストールを削除します。 インストール済みのコンポーネントは 選択できません。 アップグレードの第1段階が完了したら、Access Controllerサーバーを再起動する必要があ ります。 サーバーが再起動するとアップグレードの第2段階に移り、最新バージョンの Access Controllerのインストールが開始されます。 保存した構成が自動的にサーバーにイ ンポートされ、セットアップにより選択したコンポーネントがインストールされます。 アップグレードが完了すると、元の構成がデリバリーサービスコンソールに表示されます。 この後でAccess Controllerの追加設定を構成できます。 123 Access Controllerをアップグレードす るには 最新バージョンのAccess ControllerソフトウェアをMy Citrixからダウンロードできます。 My Citrixからソフトウェアをダウンロードするには、Citrix Knowledge Centerに掲載され ているReadmeを参照してください。 Access Controllerソフトウェアをダウンロードした ら、サーバーをアップグレードできます。 1. Access Controllerソフトウェアを保存したフォルダーに移動するか、Access Controller CDイメージ(.iso)を開きます。 2. Access Controllerのフォルダーを開いてAutoRun.exeをダブルクリックします。 3. 起動画面で、[Citrix Access Controller]をクリックします。 4. [ようこそ]ページで、[次へ]をクリックします。 5. Citrixライセンス契約書を読み、同意します。 6. 次のコンポーネントから、インストールするものを選択します。 • • サーバー: サーバー構成ツールを含めた、Access Controllerサーバーソフトウェア をインストールします。 デリバリーサービスコンソール: Access Controllerの構成・管理ツールをインストー ルします。 注: これらのオプションのどちらかが選択不可になっている場合は、そのコンポーネ ントはサーバーにインストール済みです。 コンポーネントは自動的にアップグレード されます。 7. 画面の指示に従って、セットアップウィザードを完了します。 124 Access Gateway 5.0への移行 以前のバージョンのCitrix Access Gatewayがある場合は、アプライアンスをAccess Gateway 5.0にアップグレードできます。 Advanced Access Controlを実行している場合 は、Windows Server 2008にCitrix Access Controllerをインストールして、Advanced Access Controlから設定を移行する必要があります。 アプライアンスのAccess Gateway 5.0への 移行 Access Gateway 4.6, Standard Edition以前を実行している場合は、構成のバックアップを 作成してコンピューターに保存することをお勧めします。 Version 5.0にアップグレードし た後は、Version 4.6.xにダウングレードすることはできません。 Version 4.6.xに戻すには、 アプライアンスのイメージを再構築してバックアップから構成を復元する必要があります。 Version 4.6.xが動作するアプライアンスにAccess Gateway 5.0をインストールするときは、 Access Gateway Migration Toolを実行して、移行するVersion 4.6.xの設定を含むXMLファ イルを作成します。 アップグレードの後にAccess Gatewayを再起動すると、Version 4.6.xの構成設定がVersion 5.0に表示されます。 それからAccess Gateway Management Consoleを使用して、Access Gateway 5.0の構成を続行します。 Version 4.6.xの Administration Toolを使用してAccess Gateway 5.0を構成することはできません。 詳し くは、「Access Gateway Management Console」を参照してください。 Access Controllerへの移行 Access Gateway 4.5, Advanced Editionがネットワーク内のサーバーにインストールされ ている場合は、設定をAccess Controllerに移行できます。 Access ControllerをAdvanced Access Controlと同じサーバーにインストールすることはできません。 Access Controller はWindows Server 2008にインストールする必要があります。 設定をAccess Controllerに 移行できるように、Advanced Access Controlサーバーを実行したままにしておくことをお 勧めします。 Advanced Access Controlの設定をAccess Controllerに移行するには、Access Gateway 5.0のCDに収録されている移行ウィザードを使用します。 移行ウィザードを実行する前に、 次のことに注意してください。 • Advanced Access Control上の1つのポリシーにWebリソースと電子メールリソースが ある場合は、2つのポリシーに分けます。 そうしなければ、電子メールのポリシーが優 先されます。 Web電子メールリソースは、移行後は汎用的なWebリソースになります。 Web電子メー ルはAccess Controllerでサポートされません。 • 125 Webリソースをインポートすると、Webリソースのアクセスポリシー設定が[拒否]に 設定されます。 Access Controllerで設定を変更するには、アクセスポリシーを編集する 必要があります。 Access Gateway 5.0への移行 • • 126 Advanced Access ControlからAccess Controllerに設定を移行するには、SQL Server ExpressではなくSQL Server 2008を使用することをお勧めします。 移行ウィザードにより2つのCABファイルが作成されます。 設定を移行した後で設定を インポートするとき、[構成データのインポート元ファイル]ボックスに表示されるファ イルではなく、移行ファイルを使用します。 通常、正しいファイルは MigratedAccessGatewayConfigurationData.cabで、Windows Server 2008の %systemroot%\<ユーザー名>\Documentsフォルダーにあります。 Access Gatewayアプライアンスの移行 設定 アプライアンスでAccess Gateway 4.6, Standard Editionを実行している場合は、Access Gateway 5.0に移行できます。 Version 4.6からVersion 5.0にアップグレードする場合の、 Access Gateway 5.0に移行される設定を次の一覧に示します。 この一覧には、設定が移行 されない場合、またはVersion 4.6の設定とは異なる設定として移行される場合の情報も含ま れています。 ネットワークアダプターの管理 Access Gateway Cluster > General Networking eth0およびeth1のIPアドレスおよびサブネットマスクが移行されます。 アップグレード の完了後に両方のネットワークアダプターを使用する場合は、Access Gateway Management Consoleの管理インターフェイスにするアダプターを選択する必要があり ます。 これを行うにはコマンドラインのエクスプレスセットアップまたはManagement Consoleを使用します。 詳しくは、「エクスプレスセットアップを使用したAccess Gateway 5.0の構成」を参照してください。 認証と承認の領域 Authentication 認証領域は認証プロファイルに移行されます。 アプライアンスをアップグレードすると、 認証と承認のプロファイルは個別のプロファイルとして表示されます。 LDAP authentication realm LDAP認証領域を変換すると、Access Gateway Management Consoleに「Other」とし て表示されます。 [Authentication]パネルで、プロファイルの認証の種類としてLDAP を選択する必要があります。 Branch Repeater Enable application accelerator with the Accelerator Plug-in [Interoperability with Branch Repeater]がデフォルトの設定です。 ネットワークリソース Access Policy Manager 127 Access Gatewayアプライアンスの移行設定 移行したネットワークリソースは、Access Gateway Management Consoleの[ Network Resources]パネルに複数のネットワークリソースとして表示されます。 ネームサービスプロバイダー Access Gateway Cluster > Name Service Providers ドメインネームシステム(DNS)、Windowsインターネットネームサービス(WINS)、 DNSサフィックス、およびHOSTSファイルの設定が移行されます。 ルート Access Gateway Cluster > Routes アップグレード時に静的ルートの情報が移行されます。 Access Gateway 5.0では、動的 ルーティングはサポートされません。 ライセンス Access Gateway Cluster > Licensing ライセンスとサーバーの設定が移行されます。ただしベンダーポートは例外で、サポート されなくなりました。 日付と時刻 すべての設定が移行されます。 証明書 Access Gateway Cluster > Certificate Signing Request Access Gateway Cluster > Administration 署名済みの証明書と秘密キーが移行されます。 信頼されているルート証明書も移行されま す。 Access Gateway Management Consoleの[Certificates]パネルを使用して、証 明書をアップロードし管理します。 ユーザー接続の設定 Access Policy Manager 分割トンネリングおよび接続の終了の設定が移行されます。 ユーザー接続のそのほかの設 定はすべて移行されません。 128 Access Gatewayアプライアンスの移行設定 XenAppの設定 Authentication > Secure Ticket Authority(STA) STAの設定は、Access Gateway Management Consoleの[Secure Ticket Authority] パネルに移行されます。 Authentication > ICA Access Control ICAアクセス制御一覧は、Access Gateway Management Consoleの[XenApp or XenDesktop]パネルに移行されます。 セキュリティ Global Cluster Policies - Select encryption type 暗号化の種類が移行されます。 Access Gateway Management Consoleの[Global Options]パネルで設定を変更できます。 129 Access Gatewayの移行されない設定 Access GatewayをVersion 5.0にアップグレードするとき、次の設定は移行されません。 これらの設定の一部は廃止された機能に関連するものです。 廃止された機能の一覧について は、「Access Gatewayアプライアンスの廃止された設定」を参照してください。 Access Gateway Cluster NetTools NetToolsの設定については、さまざまなネットワークツールをAccess Gatewayのコマン ドラインで実行できるようになりました。 詳しくは、「トラブルシューティングのための ネットワーク設定の確認」を参照してください。 Administration [Networking]パネルでコマンドラインアクセスを有効にできます。 Management Consoleへのアクセスは、[Networking]パネルで1つのネットワークアダプターを管理 用に指定して有効にします。 Access Gateway with Advanced Access Control Access Gateway Cluster > Advanced Options > Advanced Access Control この設定は移行できません。 Version 5.0にアップグレードすると、スタンドアロンアプ ライアンスになります。 デリバリーサービスコンソールでAccess Gatewayアプライアン スを追加し、Access Gateway Management Consoleの[Deployment Mode]パネル でAccess Controllerを有効にすることによって、アクセスを有効にする必要があります。 詳しくは、「Access Controllerの有効化」を参照してください。 Access Policy Manager - Properties Authentication after network interruption Authenticate upon system resume これらの設定はAccess Gateway Management Consoleの[Global Options]パネルで 有効にできます。 Global Cluster Policies Allow connections using earlier versions of Access Gateway Plug-in 130 Access Gatewayの移行されない設定 この設定はAccess Gateway Management Consoleの[Global Options]パネルで有効 にできます。 Version 4.6.x以前のAccess Gateway Plug-inからの接続はサポートされません。 131 Access Gatewayアプライアンスの廃止 された設定 次の一覧は、Access Gatewayで廃止された設定を示します。 セクションごとに、Access Gateway 4.6, Standard Editionのタブと廃止された機能の一覧が記載されています。 Access Gateway Cluster > Administration フェールオーバーサーバー アプライアンスのフェールオーバーを使用できるようになりました。この機能では、2台 のAccess Gatewayアプライアンスがプライマリおよびセカンダリのアプライアンスとし て動作します。 セカンダリアプライアンスはプライマリアプライアンスをリッスンし、プ ライマリアプライアンスが停止するとセカンダリアプライアンスがユーザー接続の受け入 れを開始します。 展開環境でAccess Controllerを使用する場合は、Access Gatewayアプライアンスと Access Controllerサーバーのクラスターを作成できます。 この展開では、Access Controllerによってアプライアンスとサーバーの間でユーザー接続の負荷を分散できます。 詳しくは、「クラスタリングと負荷分散の構成」を参照してください。 Citrix Receiver 設計上の制限です。 外部管理の有効化 Access Gateway 5.0では、ネットワークアダプターを管理インターフェイスとして選択 します。 外部(インターネット)ネットワークに接続するネットワークアダプターを選択 できます。 クライアント証明書の管理 クライアント証明書認証はAccess Gateway 5.0でサポートされません。 現在の構成の保存 Access Gateway 5.0では、スナップショットを使用して構成を保存します。 アプライアンスの初期化 設計上の制限です。 132 Access Gatewayアプライアンスの廃止された設定 Access Gateway Cluster > Licensing ベンダーポート 各Access GatewayまたはCitrixライセンスサーバーにライセンスをインストールします。 Access Gateway 5.0では、1台のAccess Gatewayアプライアンスを複数のアプライア ンスのライセンスサーバーとして動作させることはできません。 複数のアプライアンスが ある場合は、Citrixライセンスサーバーを使用することをお勧めします。 Access Gateway Cluster > Statistics すべての設定 Access Gateway Management Consoleの[Monitor]タブで、システムとユーザーの統 計を表示できます。 Access Policy Manager ユーザーグループ ユーザーは認証の種類と認証サーバー上のグループメンバーシップにより判定されます。 グループメンバーシップはスマートグループで構成できます。 ローカルユーザー Access Gateway 5.0ではローカルユーザーはサポートされません。 アプリケーションポリシー Access Gateway 5.0ではアプリケーションポリシーはサポートされません。 エンドポイントリソース エンドポイントポリシー デバイスプロファイルを使用してAccess Gateway 5.0のエンドポイント解析を構成でき ます。 Global Cluster Policies 以前のバージョンのAccess Gateway Plug-inの、アップグレードの確認または強制アップグ レード 設計上の制限です。 無効なパスワードのキャッシュの有効化およびパスワードキャッシュのタイムアウト設定 設計上の制限です。 内部フェールオーバーの有効化 133 Access Gatewayアプライアンスの廃止された設定 設計上の制限です。 ログオンページを使った認証の有効化 設計上の制限です。 セキュリティオプション クライアント証明書認証はこのリリースでサポートされません。 内部接続用セキュリティ証明書の検証はサポートされません。 信頼されるルート証明書なしのセキュリティ証明書の検証はサポートされません。 Webセッションタイムアウト 設計上の制限です。 アクセス可能なネットワーク Access Gateway 5.0では、ネットワークリソースを構成します。 Authentication Access Gatewayのローカルユーザーデータベースの使用 Access Gateway 5.0では、ユーザーは認証サーバー上のグループメンバーシップにより 判定されます。 Portal Page Configuration ログオンページ ポータルページ ホームページはスマートグループで構成できます。 ホームページとして、デフォルトのホー ムページ、Web Interface、Outlook Web Access、Outlook Web App、SharePoint 2007を選択するか、カスタムホームページを指定します。 Group Priority ユーザーグループ一覧 設計上の制限です。 Publish すべての設定 134 Access Gatewayアプライアンスの廃止された設定 設計上の制限です。 135 Access Controllerの移行設定 Access ControllerをWindows Server 2008にインストールするとき、Windows Server 2003にインストールされたAccess Gateway 4.5, Advanced Editionから設定を移行できま す。 これを行うには移行ウィザードを使用して、Advanced Access Controlの構成(.cab) ファイルを作成します。 それから構成ファイルをAccess Controllerにインポートします。 詳しくは、「Access Gateway Advanced Editionからの移行」を参照してください。 次の一覧は、Advanced Access ControlからAccess Controllerに移行される機能と設定を示 します。 また、移行に関する情報と、必要な場合は実行すべき作業についても説明します。 クラスターのプロパティ クラスターのプロパティには、認証プロファイル、ドキュメント制御、クラスタリング、イ ベントログ、およびXenAppのサーバーファームが含まれます。 認証プロファイル(LDAP、RADIUS、Active Directory) 設計上の制限です。 LDAPまたはRADIUS認証プロファイルを開いてこれらの設定を追加します。 SafeWordサーバーを使用するには、サーバーにRADIUS認証を構成して、Access ControllerでRADIUS認証プロファイルを作成します。 イベントログ、ファイル共有のログ エンドポイント解析のログ設定は移行されます。 ユーザーのログオンおよびログオフのログ設定は移行されます。 XenAppサーバーファーム すべての種類のアドレスモードが[ゲートウェイ直接]として移行されます。 Access Controllerでは[ゲートウェイ直接]および[ゲートウェイ代替]のみがサポートされま す。 詳しくは、「アドレスモードの構成」を参照してください。 XenAppのサーバーファームの代替IPアドレスを使用する設定は、Access Controllerには [ゲートウェイ代替]として移行されます。 XenAppのほかのすべての設定は[ゲートウェ イ直接]として移行されます。 Web Interfaceの設定を構成します。 詳しくは、「Web Interfaceの統合」を参照してく ださい。 リソース リソースには、ファイル共有、ネットワークリソース、Webリソース、およびグループリソー スが含まれます。 136 Access Controllerの移行設定 リソースグループ Advanced Access ControlにWeb電子メールが有効なリソースグループがある場合は、移 行後はOutlook Web Access 2007が有効になります。 ネットワークリソース Access Gateway 4.5, Advanced Editionに適用したHotfixがある場合は、Repeaterの設 定が移行されます。 Webリソース(Webアプリケーション、SharePoint、Web Interface、およびトークンを含 む) 認証の種類が、基本、ダイジェスト、または統合Windows認証である場合にのみ、移行 後にシングルサインオンが有効になります。 これらの種類の認証を、設定の移行元の Advanced Access Controlサーバーで有効にする必要があります。 認証の種類を選択し ない場合は、Access Controllerでシングルサインオンが有効になりません。 Webリソースをインポートすると、アクセス許可は[拒否]に設定されます。 アクセス ポリシーを使用して、アクセス許可を[基本]または[拡張]に変更できます。 ファイル共有、トークンファイル共有 デフォルトですべてのトークンが移行され、設定されます。 Advanced Access Controlでダウンロードが許可されている場合は、移行後にアップロー ドが有効になります。 Advanced Access Controlでアップロードも許可されている場合 は、この設定はアクセスポリシーで拡張アクセスに変換されます。アップロードが許可さ れていない場合は、基本アクセスに変換されます。 ポリシー ポリシーには、アクセスポリシー、接続ポリシー、およびフィルターが含まれます。 アクセスポリシー Advanced Access Controlでダウンロードのみが許可されていると、Access Controller のポリシーで基本アクセスに変換されます。 Advanced Access Controlでアップロード が許可されている場合は、アクセスポリシーで拡張アクセスに変換されます。 アップロー ドが許可されていない場合は、基本アクセスに変換されます。 ダウンロードが[拒否]に 設定されているか、構成されていない場合は、アクセスポリシーで同じ設定に変換されま す。 接続ポリシー 接続ポリシーを作成すると、Access Gateway Plug-inが自動的に許可されます。 標準的なフィルター 高度な認証を伴うWindows認証は2要素認証として移行されます。 Windows認証強度はデフォルトの認証プロファイルとして移行されます。 カスタムフィルター 137 Access Controllerの移行設定 高度な認証を伴うWindows認証は2要素認証として移行されます。 Windows認証強度はデフォルトの認証プロファイルとして移行されます。 承認 Access Gateway 5.0に移行すると、Access ControllerによってデフォルトのActive Directory承認ポリシーが作成されます。このポリシーは、認証を受けたすべてのユーザー に適用されるように構成されます。 Active Directoryユーザーの一部にのみポリシーを適 用するには、承認プロファイルにユーザーを割り当てます。 次に、この承認プロファイル を使用するようにポリシーを更新します。 注: プロファイルとポリシーをこのように変更しない場合は、Access Gateway 5.0に ログオンするユーザーは認証に成功しますが、 Access Gateway 4.5, Advanced EditionでActive Directoryを使用していたアクセスポリシーに関連付けられたリソース を見ることができません。 ログオンポイント ログオンポイントにより、ユーザー接続のアクセスポイントが定義されます。 Windows認証を使用するログオンポイントをAdvanced Access ControlからAccess Controllerに移行する場合、ユーザーがログオンした後にアクセスインターフェイスにリソー スが表示されません。 Access Controllerではログオンポイントで認証強度を変更できます。 認証強度を変更すると、アクセスインターフェイスにリソースが表示されます。 名前、説明、および種類 ログオンポイントの名前、説明、および種類はAccess Controllerに移行されます。 ホームページの選択 ホームページの設定はAccess Controllerに移行されます。 認証 セッション設定内のドメイン設定はActive Directory認証プロファイルとして移行されま す。 Advanced Access ControlでSafeWord認証プロファイルがログオンポイントに関連付け られている場合、別の認証プロファイルをログオンポイントに割り当てる必要があります。 承認 承認の設定はAccess Controllerに移行されます。 XenAppサーバーファーム XenAppサーバーファームの設定はAccess Controllerに移行されます。 サウンドとウィンドウの設定 サウンドとウィンドウの設定はAccess Controllerに移行されます。 138 Access Controllerの移行設定 ワークスペースコントロール ワークスペースコントロールの設定はAccess Controllerに移行されます。 セッションのタイムアウト タイムアウトの設定値が0の場合、タイムアウト値の上限の7日が適用されます。 ログオンページの表示 ログオンページの表示条件の設定はAccess Controllerに移行されます。 Access Gatewayアプライアンスのプロパティ Access Gatewayアプライアンスのプロパティには、Secure Ticket Authority(STA)、 Access Gateway Plug-inのプロパティ、暗号化のプロパティ、ICAアクセス制御、および負 荷分散の設定が含まれます。 Secure Ticket Authority STAの設定はAccess Controllerに移行されます。 暗号化のプロパティ 分割トンネリングとTCP最適化の使用のための設定は移行されます。 ICAアクセスの制御 Access ControllerでICAのアクセス制御を構成して、XenAppまたはXenDesktopへの接 続を許可する必要があります。 エンドポイント解析 エンドポイント解析により、ユーザーデバイスで実行されている必要がある、ソフトウェア、 ファイル、レジストリエントリ、オペレーティングシステム、またはプロセスが定義されま す。 アンチウイルススキャン 移行されないアンチウイルススキャンの一覧については、「Access Controllerの移行され ない設定」を参照してください。 Webブラウザースキャン ユーザーデバイスに必要なWebブラウザーのスキャンは移行されます。 ファイアウォールスキャン 移行されないファイアウォールスキャンの一覧については、「Access Controllerの移行さ れない設定」を参照してください。 コンピューター識別スキャン 139 Access Controllerの移行設定 コンピューター識別スキャンはAccess Controllerに移行されます。 これらの設定にはユー ザーデバイスのドメインのメンバーシップおよびMACアドレスが含まれます。 オペレーティングシステムスキャン オペレーティングシステムスキャンはAccess Controllerに移行されます。 そのほかのスキャン そのほかのスキャンに含まれるスキャンパッケージはAccess Controllerに移行されます。 140 Access Controllerの移行されない設定 次の一覧は、Advanced Access ControlからAccess Controllerに移行されない設定を示しま す。 移行されない設定の一部は廃止された機能に関連するものです。 廃止された機能について詳 しくは、「Access Controllerの廃止された設定と機能」を参照してください。 クラスターのプロパティ クラスターのプロパティには、認証プロファイル、ドキュメント制御、クラスタリング、イ ベントログ、およびXenAppのサーバーファームが含まれます。 管理者のパスワード(バインド識別名) 設計上の制限です。 RADUIS共有シークレット 設計上の制限です。 SafeWord認証プロファイル 設計上の制限です。 Webリソースおよびネットワークリソースのログ ファームレベルのログ設定は移行されません。 Web Interfaceの設定 認証の種類(基本、ダイジェスト、および統合Windows認証を含む) [すべての種類のWebブラウザーに共通なインターフェイスを使用する]オプションおよ びログ リソース リソースには、ファイル共有、ネットワークリソース、Webリソース、およびグループリソー スが含まれます。 リソースグループ サポートされない種類のリソースは移行されません。 たとえば、ログオンの許可やWeb 電子メールです。 Advanced Access ControlにWeb電子メールが有効なリソースグループがある場合は、移 行後はOutlook Web Access 2007が有効になります。 141 Access Controllerの移行されない設定 ネットワークリソース 完全修飾ドメイン名を使用してAdvanced Access Controlにネットワークリソースを構成 した場合は、そのネットワークリソースは移行ツールでAccess Controllerに正しく移行さ れません。 Access Controllerではネットワークリソースに完全修飾ドメイン名を使用で きません。 [ネットワークリソースプロパティ]ダイアログボックスでログを有効にします。 Webリソース(Webアプリケーション、SharePoint、Web Interface、およびトークンを含 む) 設計上の制限です。 ポリシー ポリシーには、アクセスポリシー、接続ポリシー、およびフィルターが含まれます。 アクセスポリシー ログオンの許可、電子メールの同期、HTMLプレビュー、ライブエディット、電子メール の添付ファイルとしての送信、URLリライト機能の迂回 接続ポリシー アドレスプール、連続スキャン、デスクトップ共有、アクセスが許可されている場合の Secure Accessクライアントの起動 標準的なフィルター クライアント証明書は移行されません。 カスタムフィルター クライアント証明書は移行されません。 クライアント証明書に関連するフィルターと共に、クライアント証明書が移行されること はありません。 フィルターにクライアント証明書のみが含まれる場合は、フィルターは移 行されません。 フィルターにAccess Controllerで使用できないエンドポイント解析出力が含まれる場合は、 そのエンドポイント解析出力はフィルターから削除されます。 フィルターに使用できない エンドポイント解析出力のみが含まれる場合は、フィルターは移行されません。 ログオンポイント ログオンポイントにより、ユーザー接続のアクセスポイントが定義されます。 Windows認証を使用するログオンポイントをAdvanced Access ControlからAccess Controllerに移行する場合、ユーザーがログオンした後にアクセスインターフェイスにリソー スが表示されません。 Access Controllerではログオンポイントで認証強度を変更できます。 認証強度を変更すると、アクセスインターフェイスにリソースが表示されます。 142 Access Controllerの移行されない設定 ワークスペースコントロール ワークスペースコントロールの[ログオフ時の表示オプションの構成をユーザーに許可す る]設定は移行されません。 セッションの設定 セッションの[パスワードの有効期限が切れる前にユーザーに警告する期間]設定は移行 されません。 Access Gatewayアプライアンスのプロパティ Access Gatewayアプライアンスのプロパティには、Secure Ticket Authority(STA)、 Access Gateway Plug-inのプロパティ、暗号化のプロパティ、ICAアクセス制御、および負 荷分散の設定が含まれます。 SNMP、syslog、アクセス可能なネットワーク 設計上の制限です。 Access Gateway Plug-inのプロパティ Voice over IPの待機時間の短縮 設計上の制限です。 バックエンドでのSSL証明の検証 設計上の制限です。 無制限のトラフィック送信 設計上の制限です。 アクセス制御一覧の使用 設計上の制限です。 エンドポイント解析 エンドポイント解析により、ユーザーデバイスで実行されている必要がある、ソフトウェア、 ファイル、レジストリエントリ、オペレーティングシステム、またはプロセスが定義されま す。 Symantec AntiVirus用Citrixスキャン 設計上の制限です。 Netscape Navigator用Citrixスキャン 設計上の制限です。 143 Access Controllerの移行されない設定 ZoneAlarm用Citrixスキャン 設計上の制限です。 ZoneAlarm Pro用Citrixスキャン 設計上の制限です。 Macintosh用Citrixスキャン Macintosh用Citrixスキャンは「Citrixクライアントレススキャン - プラットフォームの種 類」として移行されます。 帯域幅用Citrixスキャン 設計上の制限です。 カスタムスキャン 設計上の制限です。 144 Access Controllerの廃止された設定と 機能 更新日: 2012-05-03 Access Gateway 4.5, Advanced Editionの次の設定と機能は、Access Controllerではサポー トされません。 アクセスポリシー • ログオンの許可 • HTMLプレビュー • ライブエディット • 電子メールの添付ファイルとしての送信 • URLリライト機能の迂回 • 電子メールの同期化 Advanced Access Controlでダウンロードのみが許可されていると、Access Controllerのポ リシーで基本アクセスに変換されます。 Advanced Access Controlでアップロードが許可さ れている場合は、アクセスポリシーで拡張アクセスに変換されます。 アップロードが許可さ れていない場合は、基本アクセスに変換されます。 ダウンロードが[拒否]に設定されてい るか、構成されていない場合は、アクセスポリシーで同じ設定に変換されます。 接続ポリシー • 連続スキャン • デスクトップ共有 • アクセスが許可されている場合のSecure Accessクライアントの起動 Access Controllerでは、接続ポリシーを作成するとAccess Gateway Plug-inが自動的に許 可されます。 145 Access Controllerの廃止された設定と機能 Access Gatewayアプライアンスのプロパティ • 内部フェールオーバー • Voice over IPの待機時間の短縮 • グローバルにアクセス可能なネットワーク • SSLクライアント証明書の要求 • ゲートウェイアプライアンス間でのフェールオーバーの有効化 • バックエンドでのSSL証明の検証 • 無制限のICAトラフィック送信 エンドポイント解析 • Symantec AntiVirus用Citrixスキャン • Netscape Navigator用Citrixスキャン • ZoneAlarm用Citrixスキャン • ZoneAlarm Pro用Citrixスキャン • 帯域幅用Citrixスキャン Macintosh用Citrixスキャンは「Citrixクライアントレススキャン - プラットフォームの種類」 の一部になりました。 リソース • Lotus Notes • 電子メールの同期化 Access Gateway 5.0では、Outlook Web Access 2007とOutlook Web App 2010のみが サポートされます。 Web電子メールとLotus Notesの設定は汎用的なWebリソースとして移行されます。 146 Access Controllerの廃止された設定と機能 Presentation Serverのサーバーファームの プロパティ • アドレスモード • 認証サービスのURL • Web Interfaceの関連付け Secure Ticket AuthorityとAccess Gatewayのプロパティを構成するだけで、XenAppと XenDesktopへのユーザー接続を許可することができます。 Access Controllerでは[ゲートウェイ直接]および[ゲートウェイ代替]のみを選択できま す。 これはすべてのユーザーデバイスのアドレスに適用されます。 147 Access Gateway Advanced Edition からの移行 更新日: 2012-05-03 Access ControllerはWindows Server 2008でサポートされるため、Windows Server 2003が動作する既存のサーバーをAccess Controllerにアップグレードすることはできませ ん。 Access Controllerの新機能を活用しながら既存のアクセスセンターを運用し続けるには、ア クセスサーバーファームとクラスターを別々に維持する必要があります。 Access Gateway 4.5, Advanced Editionに同梱されているAccess管理コンソールは、Access Controllerの Citrixデリバリーサービスコンソールと互換性がありません。 デリバリーサービスコンソー ルを使用してAccess Gateway Advanced Editionを管理することはできません。 別々のア クセスサーバーファームまたはクラスターを維持するには多大な管理負荷が掛かる可能性が あります。そのため、ユーザーのアクセス環境にとってアクセスセンターがどれだけ欠かせ ないものなのかについて十分に考慮してください。 Access ControllerのインストールCDまたはパッケージのSetupフォルダーに収録されてい る移行ウィザードを使用して、Advanced Access ControlサーバーからAccess Controllerに 設定を移行できます。 移行の前に Access Gateway Advanced Editionの設定をAccess Controllerに移行する前に、次の手順 に従います。 1. 移行シナリオを決定して、対応するチェックリストを印刷します。 2. Subscription Advantageの有効期限を確認します。 Access Gateway 5.0の Subscription Advantageが有効になるのは2010年の9月1日です。 3. システム要件を満たしていることを確認します。 Access Controllerのインストール先の サーバーが、ハードウェアおよびソフトウェアの要件を満たしていることを確認します。 4. サーバーに移行ウィザードをインストールします。 カスタムエンドポイント解析スキャンパッケー ジのサポート Access Controllerではエンドポイント解析スキャンパッケージがサポートされます。 管理 者がスキャンパッケージを作成しユーザーがログオンすると、ユーザーデバイスに Endpoint Analysis Plug-inがダウンロードされ、インストールされます。 プラグインには スキャンパッケージのすべてのコンポーネントが含まれます。 148 Access Gateway Advanced Editionからの移行 エンドポイント解析SDK(Software Development Kit:ソフトウェア開発キット)を使用 することにより、既存のスキャンパッケージをアップグレードすることができます。 SDKに は次のソフトウェアが必要です。 • Citrixエンドポイント解析SDK • Microsoft Visual Studio 2008 • Windows Installer XML(WiX)toolset 3.0 スキャンパッケージにはデジタル署名を付ける必要があります。 既存のスキャンパッケージ をアップグレードする、または新しいスキャンパッケージを作成するには、VeriSignのよう な認証機関が発行したデジタル証明書を使用できる必要があります。 重要: サードパーティが保守するカスタムスキャンパッケージを使用している場合は、ス キャンパッケージをAccess Controllerに移行する前に、新しいバージョンのスキャンパッ ケージを入手できることを確認してください。 149 Access Controllerへの設定の移行のた めのチェックリスト 次のチェックリストを使用して、Access Gateway Advanced EditionからAccess Controllerに設定を移行します。 作業 詳しい情報の参照先 Access GatewayでのライセンスのインストールまたはCitrixライセンスサーバーの 構成。 Access Gatewayへのライセンスのインストー Access Controllerのインストール。 Access Controllerのインストール Advanced Access Controlファームデータのバックアップ。 ファームデータのバックアップについて詳しく Gateway Advanced Edition管理者ガイド』を い。 既存の構成データの移行。 既存の構成データの移行 クラスター構成データのインポート。 クラスター構成データのインポート Access GatewayアプライアンスのAccess Controllerへの追加。 Access GatewayをAccess Controllerに追加す カスタムエンドポイント解析スキャンパッケージの移行。 カスタムエンドポイント解析スキャンパッケー 150 既存の構成データの移行 移行ウィザードを使用して、Access Gateway Advanced EditionからAccess Controllerに 構成データベースを移行できます。 構成データを移行する前に、ネットワーク内のWindowsサーバーに移行ウィザードをインス トールする必要があります。 移行ウィザードは、Access ControllerのインストールCDまた はMy Citrixからダウンロードしたパッケージの、\Setupフォルダーに収録されています。 移行ウィザードを開始すると、ウィザードとAdvanced Access Control用データベースの間 で通信が行われ、構成データが.cabファイルにエクスポートされます。このファイルは管理 者が指定する場所に保存されます。 それから、データがAccess Controllerと互換性のある 形式に変換されます。 変換されたデータも、管理者が指定するフォルダーに.cabファイルと して保存されます。 それから、Citrixデリバリーサービスコンソールを使用して、Access Controllerサーバーに.cabファイルをインポートします。 移行ウィザードはAccess Gateway 5.0から使用する必要があります。Access Gateway 5.0は任意のWindowsサーバー で実行できます。 注: 移行ウィザードによってエクスポートおよび変換されるのは、ポリシー、ログオンポ イント、およびWebリソースの設定など、Access Controllerに移行するために必要な構成 データだけです。 151 移行ウィザードをインストールするには 移行ウィザードのインストールプログラムは、Access Gateway 5.0のインストールCDまた はMy Citrixからダウンロードしたパッケージの、\Images\Setup\MigrationToolフォルダー に収録されています。 移行ウィザードは、Access Controllerをインストールしても自動的 にはインストールされません。 1. Access Controllerパッケージのあるフォルダーに移動して、 \Images\Setup\MigrationToolフォルダーを開きます。 2. Migration.MSIをダブルクリックして、ウィザードの指示に従います。 152 既存のAdvanced Access Controlの構 成データをエクスポートおよび変換する には 移行ウィザードをインストールしたら、移行ウィザードを開始してAdvanced Access ControlサーバーからAccess Controllerに設定を転送することができます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [移 行ウィザード]の順に選択します。 2. [移行元バージョンの選択]ページで[Access Gateway Advanced Edition 4.5( Hotfixを適用したものも含む)]をクリックして[次へ]をクリックします。 3. [Access Controllerクラスターデータベースの入力]ページで[クラスターデータベー スサーバー]ボックスに、SQL Serverが動作するサーバーのIPアドレスまたは完全修飾 ドメイン名を入力します。 4. [Access Controllerクラスター名]ボックスに、Advanced Access Controlのアクセス サーバーファーム名を入力します。 5. 次のどちらかに設定します。 • [Windows認証を使用する]をクリックして、Windows資格情報を使用してファイ ルをエクスポートします。 [SQL認証を使用する]をクリックして、SQL Server管理者の資格情報を使用して ファイルをエクスポートします。 6. [次へ]をクリックします。 • 7. [構成データのエクスポート先ファイル]ボックスに、移行後にデータを保存するパス をファイル名を含めて入力します。 デフォルトでは、このデータはMigratedAccessGatewayConfigurationData.cabファイ ルとして現在のユーザーの[ドキュメント]フォルダーに保存されます。 たとえば、 %systemroot%\Documents and Settings\Administrator\My Documents\MigratedAccessGatewayConfigurationData.cabです。 8. [次へ]をクリックします。 [次へ]をクリックすると、データが再構成され、指定した場所に保存されます。 データをAccess Controllerに移行したら、設定をクラスターにインポートする必要がありま す。 153 クラスター構成データのインポート デリバリーサービスコンソールを使用して、Access Controllerサーバーに移行データをイン ポートできます。 クラスター構成データをインポートするときは、次の項目について注意します。 • • • ログオンポイントは展開された状態でインポートされません。 各Access Controllerサー バーでサーバー構成を使用して、すべてのログオンポイントを再展開する必要がありま す。 ログオンポイントを再展開するときは、各ログオンポイントの[ログオンポイントプロ パティ]ダイアログボックスの[ログオンページの表示]ページでユーザーが適切なロ グオンページにアクセスできることを確認します。 Access Controllerサーバーで構成済みのログオンポイントの中にインポートするログオ ンポイントと同じ名前のものがある場合は、クラスター構成データをインポートした後 に、重複するログオンポイントがサーバー構成ツールに表示されます。 この問題を解決 するには、サーバー構成を使用して重複するログオンポイントを削除し、「展開可能で す」と表示されているログオンポイントを再展開します。 構成データをAccess Controllerにインポート するには 重要: 構成データをインポートすると、既存の構成設定が消去され置き換えられます。 ほかの構成をインポートする前に、構成をバックアップすることをお勧めします。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]の順に展開して、クラスターノードを選択し ます。 3. [そのほかのタスク]の[クラスターのインポート]をクリックします。 4. [構成データのインポート元ファイル]ボックスの下にある[参照]をクリックし、. cabファイルを選択して[開く]をクリックします。 [次へ]をクリックすると、.cabファイルが展開され、既存の構成データがインポート された構成データで置き換えられます。 154 クラスター構成データのインポート 重複するログオンポイントを削除し展開可能な ログオンポイントを再展開するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. [タスク]の、[ログオンポイント]をクリックします。 3. 「削除されたログオンポイントにフォルダーはマップできません」と表示されているロ グオンポイントを選択し、[削除]をクリックします。 4. 残されているログオンポイントを再展開するには、「展開可能です」と表示されている ログオンポイントを選択して[展開]をクリックし、[OK]をクリックします。 155 カスタムエンドポイント解析スキャンパッ ケージの移行 Access Gateway Advanced EditionからAccess Controllerへ、カスタムエンドポイント解 析スキャンパッケージを移行することができます。 カスタムスキャンパッケージをインポー トするときは、次の点について注意してください。 • • • • • • サーバーコンポーネントとユーザーコンポーネントの分離: エンドポイント解析スキャ ンパッケージにはサーバーコンポーネントのみが含まれます。 Endpoint Analysis Plug-inを別途ユーザーに配布します。 デジタル署名: Access Controllerの標準スキャンパッケージはすべてデジタル署名され ています。 さらに、すべてのカスタムスキャンパッケージにもデジタル署名を付ける必 要があります。 デジタル署名によって、パッケージの供給元が信頼できることと、パッ ケージが改変されていないことを保証します。 Endpoint Analysis Plug-inのバージョン: 最新バージョンのプラグインを使用できるよ うに、ユーザーは、プラグインをダウンロードおよびインストールできるアップグレー ドページにリダイレクトされます。AdministratorまたはPower User特権を持たないユー ザーもリダイレクトされます。 Access Gateway 4.5, Advanced Editionのスキャンパッケージの互換性: Advanced Access Controlからスキャンパッケージを移行してAccess Controllerにインポートする と、デフォルト値のみが戻されます。 Citrixデリバリーサービスコンソールのコンソー ルツリーの[アラート]ノードに、それらのスキャンパッケージをアップグレードする ように指示するアラートが表示されます。 Endpoint Analysis Plug-inの展開: ユーザーデバイスからデータ収集をするために、プ ラグインコンポーネントに依存するカスタムスキャンパッケージを作成する場合は、こ のコンポーネントをEndpoint Analysis Plug-inに取り込んで、ユーザーに配布する新し いプラグインを生成する必要があります。 新しいプラグインを作成するときは、組織と プラグインバージョンを特定する固有の文字列を含めます。 Access Controllerではこれ らの文字列を使用して、ほかの組織およびほかのバージョンのプラグインと区別します。 新しいバージョンのEndpoint Analysis Plug-inを展開するときは、Administratorまた はPower User特権を持たないユーザーでも、プラグインを新しいバージョンにアップグ レードできます。 サーバー側のスキャンパッケージ: Access Controllerには、ユーザーデバイスからのデー タ収集のためにユーザーコンポーネントに依存しない、Webブラウザーの種類をスキャ ンするCitrixスキャンが含まれています。 また、エンドポイント解析SDKを使用して、 サーバー側のカスタムスキャンパッケージを作成できます。 この種のスキャンパッケー ジを作成するときは、新しいEndpoint Analysis Plug-inを生成する必要がありません。 詳しくは、エンドポイント解析ソフトウェア開発キット(Software Development Kit: SDK)に収録されているオンラインヘルプを参照してください。このSDKは、製品CDまたは Citrix社のWebサイト(http://community.citrix.com/cdn)から入手できます。 156 スナップショットを使用したAccess Gatewayの管理 構成スナップショットは、ある時点でのAccess Gatewayのすべての設定、ライセンス、お よび証明書を表します。 Access Gatewayに複数のソフトウェアバージョンがある場合は、 異なるソフトウェアバージョンにわたるスナップショットを持つことができます。 初めてAccess Gateway 5.0をインストールするときに、構成のスナップショットが自動的 に作成されます。 その後で、初期設定を構成したり、ログオンポイントまたはスマートグルー プを作成したりした後など、さまざまな時点でスナップショットを取ることができます。 スナップショットを作成すると、名前が自動的に生成されます。 スナップショットに説明を 付けて保存します。 すると、スナップショットが自動的にアクティブになります。 スナップショットの利点は、たとえばアプライアンスを再構築する必要がある場合に、簡単 に構成設定を復元できる点です。 スナップショットをコンピューターにエクスポートし、そ れからインポートしてAccess Gatewayに戻すことができます。 アプライアンスにスナップ ショットをインポートしたら、スナップショットをアクティブにして構成設定を復元します。 必要に応じて、以前のスナップショットに戻すことができます。 以前のスナップショットに 戻すと、その時点の構成設定が復元されます。 157 アプライアンスのフェールオーバーのた めのスナップショットの管理 アプライアンスのフェールオーバーのために2台のAccess Gatewayアプライアンスをネット ワーク構成に含める場合、アプライアンスの間で同一のスナップショットが共有されます。 既存のスナップショットはノード間で複製されません。 アプライアンスのフェールオーバー をセットアップしてプライマリアプライアンスでスナップショットを取ると、同じスナップ ショットがセカンダリアプライアンスに表示されます。 アプライアンスのフェールオーバーペアを作成すると、アプライアンスをペアにした後で作 成するスナップショットのみが表示されるようになります。 アプライアンスをペアにする前 に作成したスナップショットは表示されません。 ペアを解除すると、各アプライアンスに以 前のスナップショットが表示されるようになります。 158 Access Controller使用時のスナップショ ットの管理 Access Controllerを使用するようにAccess Gatewayアプライアンスを切り替えると、構成 のスナップショットが自動的に作成されます。 Access Gatewayを再起動した後に、[ Software Releases and Snapshots]ページの[Snapshots]パネルにスナップショットが 表示されます。 スナップショットが表示されたら、ネットワーク内のコンピューターにスナッ プショットをエクスポートできます。 展開からAccess Controllerを削除してAccess Gatewayアプライアンスのみを使用するよう に切り替えると、新しいスナップショットが作成されます。 以前のスナップショットをアク ティブにして、ネットワーク設定を含む、そのスナップショットの構成設定を復元できます。 159 スナップショットを作成するには 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Software Releases] でソフトウェアバージョンを選択して、[Create]をクリックします。 3. [Snapshot Description]ダイアログボックスに説明を入力して、[Save]をクリック します。 注: 説明に特殊文字は使用できません。 スナップショットを作成すると、自動的にアクティブになります。 160 スナップショットをエクスポートするに は スナップショットのコピーを作成してネットワーク内のコンピューターに保存できます。こ れは、スナップショットをAccess Gateway Management Consoleからエクスポートする ことによって行います。 後でスナップショットをAccess Gatewayにインポートして、構成 設定を復元できます。 スナップショットをコンピューターに保存することにより、アプライ アンスの再構築が必要なときに構成設定を修復できます。 これにより、アプライアンスの再 構成が不要になります。 スナップショットをエクスポートするときは、暗号化によってスナップショットの有効性と 整合性が保証されます。 後でスナップショットをAccess Gatewayにインポートする場合、 スナップショットのソフトウェアバージョンはAccess Gatewayにインストールされている ソフトウェアバージョンと一致している必要があります。 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Software Releases] でソフトウェアバージョンを選択します。 3. [Snapshots]でスナップショットを選択して、[Export]をクリックします。 4. [Download Snapshot]ダイアログボックスで[Yes]をクリックします。 5. ローカルコンピューター上にスナップショットを保存します。 スナップショットは、バージョン、ビルド番号、およびそのほかの識別情報を使用して保存 されます。 エクスポートされたスナップショットのファイル拡張子は、.binです。 161 保存したスナップショットをインポート するには 内部ネットワークのコンピューターに保存したスナップショットをいつでもインポートでき ます。 ネットワーク内の別のAccess Gatewayアプライアンスからスナップショットをイン ポートすることもできます。 アプライアンスのデフォルト構成を再構築または復元する必要 がある場合、たとえば保存したスナップショットをインポートすることにより、構成設定を 復元できます。 アプライアンスからアプライアンスへ保存したスナップショットをインポートする場合は、 各アプライアンスのソフトウェアバージョンは同じである必要があります。 異なるソフトウェ アバージョンのAccess Gatewayアプライアンスからスナップショットをインポートしよう とすると、スナップショットが拒否されます。 スナップショットがインポート先のアプライ アンスに既に存在する場合も、インポートしようとするとスナップショットが拒否されます。 スナップショットをインポートしたら、スナップショットの構成をアクティブにできます。 アプライアンスを再起動した後で、スナップショットの構成設定がAccess Gatewayアプラ イアンスに適用されます。 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Snapshots]の隣の [Import]をクリックします。 3. コンピューター上の保存したスナップショットに移動して[Open]をクリックします。 エクスポートされたスナップショットのファイル拡張子は、.binです。 4. インポートしたスナップショットを選択して、[Make Active]をクリックします。 Access Gatewayの再起動を促すダイアログボックスが開きます。 [OK]をクリックし、 [Restart]をクリックします。 再ログオンすると、スナップショットがアクティブに なります。 162 以前のまたはより新しいバージョンのス ナップショットを復元するには 作成された各スナップショットはAccess Gatewayに格納されます。 スナップショットを復 元して、アクティブな構成にすることができます。 設定を不注意に変更してしまう可能性があるため、復元するスナップショットの内容を理解 していることが重要です。 たとえば、復元するスナップショットを作成した後でAccess GatewayのIPアドレスを変更した場合、スナップショットを復元するとネットワーク設定が 変更されます。 このスナップショットをアクティブにすると、Access Gatewayへのユーザー 接続が中断されたり、ユーザーがログオンできなくなったりする可能性があります。 アプライアンスのフェールオーバーペアにスナップショットを復元するときは、ペアリング を中断して、プライマリアプライアンスにスナップショットを復元してからアプライアンス のフェールオーバーペアを再設定する必要があります。 その後で、ペアになっているセカン ダリアプライアンスにスナップショットが復元されます。 スナップショットを復元したら、Access Gatewayを再起動する必要もあります。 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Snapshots]でスナッ プショットを選択して、[Make Active]をクリックします。 Access Gatewayの再起動を促すダイアログボックスが開きます。 [OK]をクリックし、 [Restart]をクリックします。 再ログオンすると、スナップショットが復元されます。 163 スナップショットを削除するには 現在アクティブなスナップショット以外はAccess Gatewayから削除できます。 1. Access Gateway Management Consoleで[Snapshots]をクリックします。 2. [Software Releases and Configuration Snapshots]パネルの[Snapshots]でスナッ プショットを選択して、[Delete]をクリックします。 164 Access Gateway 5.0ソフトウェアの再 インストール Access Gatewayソフトウェアを新規にインストールする必要がある場合は、アプライアン スに付属する元のソフトウェアを使用します。 構成設定を保持する場合は、ソフトウェアを 再インストールする前に構成のバックアップを作成する必要があります。 USBストレージデバイスを使用してAccess Gatewayソフトウェアをインストールします。 ソフトウェアをWindowsベースのコンピューターにダウンロードして、ストレージデバイス にコピーします。 ストレージデバイスをAccess Gatewayに接続して、ソフトウェアを再イ ンストールします。 注意: Access GatewayソフトウェアをUSBストレージデバイスにコピーするとき、デバ イス上のすべてのデータが消去されます。 USBストレージデバイスに重要な情報が含まれ ていないことを確認してください。 さらに、USBポートにUSBストレージを接続した状態 でコンピューターまたはAccess Gatewayを再起動すると、コンピューターまたはAccess Gatewayの再構築が試行されます。 システム要件 USBストレージデバイスにインストールパッケージを作成するには、次のものが必要です。 • 1GBのUSBストレージデバイス • .NET Framework 1.0 • 次のいずれかのWindowsオペレーティングシステム: • Windows Server 2003 • Windows Server 2008 • Windows XP • Windows Vista • Windows 7 USBポートのあるWindowsベースのコンピューター • Access Gateway CD • My Citrixから入手できるAccess Gateway 2010 Appliance Imaging Tool • 165 Access Gateway 5.0ソフトウェアの再インストール Access Gatewayソフトウェアを再インストー ルするには 1. 「スナップショットを使用したAccess Gatewayの管理」の説明に従って、Access Gateway構成設定を保存します。 2. 端末エミュレーションソフトウェアをホストできるコンピューターがAccess Gateway に接続されていることを確認してから、両方のシステムの電源を入れます。 3. My CitrixからコンピューターにAccess Gatewayソフトウェアをダウンロードします。 次にAccess Gateway 2010 Appliance Imaging Toolを使用して、イメージをUSBスト レージデバイスにコピーします。 注意: Access GatewayソフトウェアをUSBストレージデバイスにコピーしたら、デ バイスとAccess Gateway CDをすぐに取り外します。 USBポートにデバイスを接続 したままで、またはCDドライブにCDを挿入したままでコンピューターを再起動する と、コンピューター上の情報が消去される可能性があります。 4. Access GatewayアプライアンスのUSBポートにUSBストレージデバイスを接続して、 インストールプログラムを開始します。 インストールが完了すると、シリアルコンソー ルに「Installation successful」というメッセージが表示されます。 5. USBストレージデバイスを取り外し、Access Gatewayの電源を切ります。 6. Access Gatewayの電源を入れます。 7. 「スナップショットを使用したAccess Gatewayの管理」の説明に従って、構成設定を 復元します。 166 Access Gatewayの再起動または電源切 断 Access Gatewayに変更を加えた場合は、アプライアンスの再起動が必要になることがあり ます。 Access Gateway Management Consoleを使用してAccess Gatewayを再起動でき ます。 Access Gatewayの電源を切断する必要がある場合は、Management Consoleを使用します。 電源スイッチを使用してAccess Gatewayをシャットダウンしないでください。 アプライア ンスの電源を投入するには電源スイッチを使用する必要があります。 注意: 電源スイッチを使用してアプライアンスをシャットダウンまたは再起動すると、デー タが失われる可能性があります。 Access Gatewayを再起動するには 1. Access Gateway Management Consoleで[Restart]をクリックします。 2. Webブラウザーを閉じます。 Access Gatewayの電源を切断するには 1. Access Gateway Management Consoleで[Shut Down]をクリックします。 2. Webブラウザーを閉じます。 167 Access Gatewayアプライアンスと Access Controllerの管理 展開計画を立て、Access Gatewayを設置したら、アプライアンスを構成し管理する必要が あります。 eDocsのこのセクションでは、Access Gateway 5.0の構成および管理について 説明します。 eDocsのこのセクションでは、Access Controllerの構成および管理についても説明します。 Access Controllerによって、Access Gatewayに次の機能が追加されます。 • ネイティブなActive Directory認証 • 高度なエンドポイント解析 • Access Gatewayアプライアンスの集中管理 • 複数のAccess Gatewayアプライアンス間でのセッション共有 • ログの集中管理 • デリバリーサービスコンソール Access Controllerの次の標準機能をユーザーに提供することによって、Access Gateway環 境が拡張されます。 • • • 168 SmartAccessによって、アクセスシナリオが分析され、セキュリティを犠牲にしない適 切なレベルのアクセスが提供されます。 SmoothRoamingによって、ユーザーが使用するデバイスやネットワークを変えたり、 場所を移動したりしても、常にそのときのアクセスシナリオに適したレベルのアクセス が自動的に構成されます。 Secure by Designによって、セキュリティを重視して設計されたアクセスがユーザーに 提供され、企業情報およびネットワークの整合性が保護されます。 Access Gatewayアプライアンスの管理 展開計画を立て、Access Gatewayを設置したら、アプライアンスを構成し管理する必要が あります。 このセクションのトピックでは、サポートバンドルの作成方法など、コマンドラ インを使用してAccess Gatewayを構成し、アプライアンスのトラブルシューティングをす る方法について説明します。 また、Access Gateway Management Consoleで次の項目を 構成する方法について説明します。 • • • • • • • 169 証明書: Access Gatewayにインストールできる証明書の種類および証明書署名要求の 作成方法について説明します。 ネットワーク設定: ネットワークアダプターの管理、ネームサービスプロバイダーの構 成、静的ルートの構成、Access Gateway上の日付と時刻の構成、およびアプライアン スのそのほかのネットワーク設定の構成の方法について説明します。 追加のAccess Gatewayアプライアンス: アプライアンスのフェールオーバーペアの構 成および外部の負荷分散装置の後方での複数のアプライアンスの使用の方法について説 明します。 デバイスプロファイル: ユーザーデバイスのエンドポイント解析設定の構成方法につい て説明します。 アプライアンスのネットワークリソース: ユーザーに接続を許可するサーバー、ファイ ル共有、または電子メールサーバーを特定するネットワークリソースの構成方法につい て説明します。 ログオンポイント: 基本ログオンポイントおよびSmartAccessログオンポイントの構成 方法について説明します。 スマートグループ: スマートグループに使用するログオンポイント、認証プロファイル、 およびグループの構成方法、デバイスプロファイル、ネットワークリソース、アドレス プール、およびユーザー接続の詳細なプロパティについて説明します。 証明書のインストールと管理 Access Gatewayでは、セキュリティで保護された接続を作成してユーザーを認証するため に証明書を使用します。 セキュリティで保護された接続を確立するには、接続の一方の端にサーバー証明書が必要で す。 もう一方の端に、サーバー証明書を発行したCA(Certificate Authority:証明機関)の ルート証明書が必要です。 • • サーバー証明書: サーバー証明書によって、サーバーの身元が保証されます。 Access Gatewayにはこの種類のデジタル証明書が必要です。 ルート証明書: ルート証明書によって、サーバー証明書に署名したCAの身元を保証しま す。 ルート証明書はCAが保有しています。 サーバー証明書を検証するために、ユーザー デバイスにはこの種類のデジタル証明書が必要です。 サーバー証明書とルート証明書の間に中間証明書を含む、証明書チェーンを構成できます。 ルート証明書と中間証明書の両方を信頼された証明書と呼びます。 ユーザーデバイスのWebブラウザーを使ってセキュリティで保護された接続を確立するとき に、Access Gatewayアプライアンスはその証明書をユーザーデバイスに送信します。 クライアントがサーバー証明書を受け取ると、ユーザーデバイス上のWebブラウザー(たと えばInternet Explorer)は証明書のCAを調べ、そのCAが信頼できるか確認します。 CAを 信頼できない、またはテスト用証明書を使用する場合は、Webブラウザーの画面に、証明書 を受け入れるか拒否するか(サイトへのアクセスの許可または拒否)を確認するメッセージ が表示されます。 注: Access Gatewayには、PEM(Privacy Enhanced Mail)およびPKCS#12( Personal Information Exchange:.pfx)形式の証明書ファイルのみをインストールでき ます。 170 署名済みのデジタル証明書と秘密キーの インストール 更新日: 2012-05-03 Access Gatewayに付属しているデジタル証明書は、信頼されているCA(Certificate Authority:証明機関)によって署名されていません。 会社が保有する、CAによって署名さ れたデジタルX.509証明書をAccess Gatewayアプライアンスにインストールする必要があ ります。 社内でCAを運用することも、VeriSign、Thawteなどの商用のCAからデジタル証 明書を入手することもできます。 注意: CAによって署名されたデジタル証明書をインストールせずにAccess Gatewayを使 用すると、VPN接続が不正利用者からの攻撃を受ける可能性があります。 Access Gatewayでは、PEM(Privacy Enhanced Mail)形式の証明書ファイルを使用でき ます。 PEMは、DER(Distinguished Encoding Rules)バイナリ形式をBase-64エンコー ディングでテキスト化した形式です。 PEM形式では、BEGIN行とEND行を用います。これ らの行にエンコードされるコンテンツの種類が指定されます。 次の2つの方法で、デジタル証明書と秘密キーをAccess Gatewayアプライアンスにインストー ルできます。 • • 171 Access Gateway Management Consoleを使って、証明書署名要求を作成します。 要 求が生成されると、Access Gatewayにより証明書と秘密キーが作成されます。 秘密キー はアプライアンスに残します。証明書の内容をコピーし、CAのWebサイトへ署名のため に送信します。 署名済みの証明書を受け取ったら、アプライアンスにインストールしま す。 インストール中に、署名済みの証明書とパスワードで保護された秘密キーが組み合 わされます。 証明書の作成とインストールには、この方法を使用することをお勧めしま す。 Windowsベースのコンピューターから、PEM形式の証明書と秘密キーをインストールし ます。 これは、署名された証明書と秘密キーを共にアップロードする方法です。 証明書 は、CAによって署名され、対応する秘密キーと対になっています。 Access Gateway Certificate Managerでの証明書の管理 Access Gateway Certificate Managerにより、Access Gatewayアプライアンスにインストー ルした証明書とその詳細を表示できます。 証明書は、証明書チェーンで使用されるサーバー 証明書、ルート証明書、または信頼された証明書です。 表示できる証明書の詳細は次のとおりです。 • 証明書の名前と説明 • 証明書の状態 • 証明書の有効期間 • 証明書の種類 • 証明書がアクティブかどうか Access Gateway Certificate Managerを使用して、Access Gatewayにサーバー証明書とルー ト証明書をアップロードして管理することもできます。 証明書をアプライアンスにアップロー ドする前に、Access Gateway Certificate ManagerでCSR(Certificate Signing Request :証明書署名要求)を作成する必要があります。 Access Gateway Certificate Managerで CSRを生成したり、保留のCSRの詳細を表示したりできます。 また、保留の要求を削除した り、応答ファイルの証明書をインストールしたりできます。 Access Gateway Certificate Managerでは、次の方法でサーバー証明書とルート証明書を 管理できます。 • • PEM(Privacy Enhanced Mail)形式の.pemファイルまたはPKCS#12(Personal Information Exchange)形式の.pfxファイルをアップロードします。これらのファイル にはサーバー証明書とそのパスワードで保護された秘密キーが含まれています。 既存のサーバー証明書とその対応する秘密キーを、コンピューター上のファイルにエク スポートします。秘密キーはパスワードで保護します。 PEM形式の証明書のみをエクス ポートできます。 注: Access Gatewayとそのすべてのクライアントで、サーバー証明書としてワイル ドカード証明書を使用できます。 たとえば、サブジェクトが「*.acme.com」のサー バー証明書を要求してインストールすることができます。 Webブラウザーとクライア ントから、証明書に関連するエラーや警告を受け取らずにgateway.acme.comまたは access.acme.comに接続できます。 • 172 信頼されたルート証明機関の証明書のほかに、証明書チェーンに使用する信頼された証 明書もアップロードして管理します。 アプライアンスでほかのホストへのセキュリティ で保護された接続が開始されるとき、ホストの証明書はAccess Gatewayアプライアン スにインストールされているルート証明書のCAによって発行されている必要があります。 証明書署名要求の概要 証明書をAccess Gatewayアプライアンスにアップロードする前に、CSR(Certificate Signing Request:証明書署名要求)と秘密キーを生成する必要があります。 CSRは Access Gateway Management Consoleの[Certificate Management]パネルから開く[ Certificate Signing Request]ダイアログボックスで作成します。 .csrファイルを作成した ら、証明書の内容をコピーして、CA(Certificate Authority:証明機関)のWebサイトへ署 名のために送信します。 CAは、証明書に署名して、指定された電子メールアドレスに送り 返します。 署名済みの証明書を受け取ったら、Access Gatewayにインストールできます。 SSLまたはTLSで通信を保護するには、Access Gatewayにサーバー証明書が必要です。 サー バー証明書の取得とAccess Gatewayへのインストールの手順の概要は次のとおりです。 • • • Access Gateway Management Consoleの[Certificate Management]パネルから開 く[Certificate Signing Request]ダイアログボックスを使用して、CSRを作成します。 証明書の内容をコピーして、CAのWebサイトへ署名のために送信します。 CAから署名済みの証明書ファイルを受け取ったら、Access Gateway Management Consoleの[Certificate Management]パネルで証明書をアップロードします。 証明書 は自動的にPEM(Privacy Enhanced Mail)形式に変換されます。Access Gatewayには PEM形式の証明書が必要です。 パスワードで保護された秘密キー CSRにより生成される秘密キーは、暗号化されパスワードで保護された形式でAccess Gatewayアプライアンスに格納されます。 CSRを作成するときに、秘密キーのパスワード入 力を求められます。 このパスワードは、秘密キーが改ざんされるのを防ぐためのもので、保 存した構成をAccess Gatewayに復元するときにも必要になります。 秘密キーが暗号化され ている場合でも、暗号化されていない場合でも、パスワードが必要です。 173 証明書署名要求を作成するには SSLまたはTLSを使用してセキュリティで保護された通信を提供するには、Access Gateway アプライアンスにサーバー証明書が必要です。 証明書をAccess Gatewayにアップロードす る前に、CSR(Certificate Signing Request:証明書署名要求)と秘密キーを生成する必要 があります。 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [New]をクリックし、[Certificate Signing Request]ダイアログボックスに必要な 情報を入力します。 • • [Key Length](必須)で暗号強度を選択します。 [Common name](必須)ボックスに、[Networking]パネルに表示されると おりにアプライアンスの名前またはFQDN(Fully Qualified Domain Name:完全修 飾ドメイン名)を入力します。 • [Email]ボックスに会社の連絡担当者の電子メールアドレスを入力します。 • [Description]ボックスにCSRの説明を入力します。 • [Company name]ボックスに会社または組織の名前を入力します。 • [Department name]ボックスに証明書を使用する部門の名前を入力します。 • [City]ボックスに会社または組織の所在する市区町村を入力します。 • [State or Province]ボックスに会社の所在する都道府県を入力します。 [Country code](必須)ボックスの一覧から国を表す2文字のコード(USなど) を選択します。 3. [Save]をクリックします。 • Access GatewayによりCSRが作成されます。 CSRの内容を含むダイアログボックスが 開きます。 4. ダイアログボックスから証明書の内容をコピーして、証明機関のWebサイトの適切な領 域に貼り付けます。 証明機関から、署名済みの証明書が電子メールで返送されます。 受け取った証明書を Access Gatewayにインストールします。 3つまでのCSRを作成できます。 既存のCSRを表示したり削除したりできます。そして、す ぐに証明書を使用できるように、CSRに署名することもできます。 174 署名済みサーバー証明書をAccess Gatewayにインポートするには CA(Certificate Authority:証明機関)から署名済みの証明書を受け取ったら、Access Gatewayに証明書をアップロードできます。 使用できるファイル形式はPEM(Privacy Enhanced Mail)またはPKCS#12(Personal Information Exchange)です。これらのファ イルにはサーバー証明書とそのパスワードで保護された秘密キーの両方が含まれています。 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Import]をクリックして[Server(.pem)]を選択し、証明機関が署名したルート 証明書をインポートします。 3. [Select file to upload]ダイアログボックスで証明書を選択して、[Open]をクリッ クします。 175 Windowsベースのコンピューターから 証明書と秘密キーをインストールするに は 負荷分散装置を使っている場合や、署名済みのデジタル証明書と秘密キーをWindowsベース のコンピューターに保存している場合は、証明書をAccess Gatewayにアップロードできま す。 Access Gatewayアプライアンスが負荷分散装置の後方にない場合は、証明書に Access GatewayのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を含め る必要があります。 Access Gatewayアプライアンスが負荷分散装置の後方にある場合は、 すべてのアプライアンスに同じ証明書と秘密キーをインストールする必要があります。 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Import]をクリックし、[Server(.pfx)]を選択します。 3. [Select file to upload]ダイアログボックスで証明書を選択して、[Open]をクリッ クします。 証明書をAccess Gatewayにアップロードするときに、秘密キーのパスワー ド入力を求められます。 176 Access Gatewayへのルート証明書のイ ンストール ルート証明書はCA(Certificate Authority:証明機関)が提供します。 SSLクライアントで はルート証明書を使用して、SSLサーバーの提示する証明書を検証します。 SSLクライアン トがSSLサーバーに接続しようとすると、SSLサーバーが証明書を提示します。 ユーザーデ バイスは、ルート証明書ストアと照合して、この証明書がユーザーデバイスの信頼するCAに よって署名されているかどうかを確認します。 Access GatewayがSSLハンドシェイクにおけるクライアントとして動作する必要のある環 境では、Access Gatewayアプライアンスに信頼されたルート証明書をインストールする必 要があります。SSLハンドシェイクでは、メッセージの交換によりサーバーとの暗号化され た接続が開始されます。 たとえば、Access GatewayをCitrix XenAppおよびWeb Interfaceと共に展開する場合、Access GatewayからWeb Interfaceへの接続をSSLで暗号 化できます。 この構成では、Access Gatewayアプライアンスに信頼されたルート証明書を インストールする必要があります。 Access Gatewayにインストールするルート証明書は、PEM(Privacy Enhanced Mail)形 式でなければなりません。 Windowsでは、PEM形式の証明書に.cerというファイル拡張子 が付いていることがあります。 内部接続で証明書を検証する場合は、Access Gatewayアプライアンスにルート証明書をイ ンストールしておく必要があります。 Access Gatewayにルート証明書をインストー ルするには 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Certificate Management]パネルで[Import]をクリックして[Trusted(.pem)] を選択します。 3. [Select file to upload]ダイアログボックスでファイルを選択して、[Open]をクリッ クします。 ルート証明書を削除するには、[Certificates]の表で証明書を選択して、[Delete]をクリッ クします。 177 複数のルート証明書のインストール Access Gatewayアプライアンスに複数のルート証明書をインストールできますが、その場 合はすべての証明書を1つのファイルにまとめる必要があります。 たとえば、テキストエディ ター(メモ帳など)で、すべてのルート証明書を含むテキストファイルを1つ作成します。 このためには、まず、テキストエディターで各ルート証明書を開きます。次に、新しいウィ ンドウを開き、各ルート証明書の内容を順次コピーしていきます。 すべての証明書を新しい ファイルにコピーしたら、ファイルをPEM(Privacy Enhanced Mail)形式で保存して、 Access Gatewayにアップロードします。 コマンドプロンプトを使用したルート証明書の 作成 DOSのコマンドプロンプトを使って、PEM形式のルート証明書を作成することもできます。 たとえば、PEM形式のルート証明書が3つある場合は、次のコマンドで、これらの証明書を1 つにまとめたファイルを作成できます。 type root1.pem root2.pem root3.pem > current-roots.pem このファイルにさらにルート証明書を追加する場合は、次のコマンドを使用します。 type root4.pem root5.pem >> current-roots.pem これで、current-roots.pemファイルに、5つのルート証明書がすべて挿入されます。 2つ並 んだ大なり記号(>>)は、root4.pemとroot5.pemの内容を既存のcurrent-roots.pemファ イルに追加するという意味です。 178 ワイルドカード証明書の構成 Access Gatewayは、Access Gateway Plug-inのワイルドカード証明書の検証をサポートし ています。 ワイルドカード証明書のサブジェクトには、アスタリスク(*)が含まれます。 ワイルドカード証明書は、*.mycompany.comまたはwww*.mycompany.comなど2つの うちのいずれかの形式にすることができます。 Access Gateway Plug-inでワイルドカード 証明書が使用されると、ユーザーはhttp://www1.mycompany.comまたは http://www2.mycompany.comのような異なるWebアドレスを選択できます。 ワイルド カード証明書を使用すると、1つの証明書で複数のWebサイトに対応できます。 証明書署名要求を使用してワイルドカード証明書を作成できます。 179 証明書の詳細を表示するには 証明書に関連して問題が発生した場合は、証明書の発行者を確認するといいでしょう。 Access Gatewayにインストールされている各証明書であれば、この情報もそのほかの詳細 もAccess Gateway Management Consoleで確認できます。 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Certificates]の表で内容を確認する証明書を選択して、[Details]をクリックします。 3. ダイアログボックスが開くので、選択した証明書の詳細、サブジェクト名、および発行 者名を確認して[Close]をクリックします。 180 証明書をエクスポートするには 新しいアプライアンスに移行するとき、およびアプライアンスのフェールオーバーのために アプライアンスペアの間で証明書を共有するときは、証明書をエクスポートする必要がある 可能性があります。 既存のサーバー証明書とパスワードで保護された対応する秘密キーを、 ファイルにエクスポートできます。 証明書はPEM(Privacy Enhanced Mail)形式でのみエ クスポートできます。 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. 表からエクスポートする証明書を選択し、[Export(.pem)]をクリックします。 3. [Please enter password]ダイアログボックスの[Password]ボックスと[Confirm] ボックスに、エクスポートした証明書の暗号化に使用するパスワードを入力して、[OK] をクリックします。 181 中間証明書のインストール 中間証明書は、(Access Gateway上の)サーバー証明書と(通常ユーザーデバイスにイン ストールする)ルート証明書の間に位置するデジタル証明書です。 中間証明書は証明書チェー ンの一部を構成します。 CAによっては、組織内の部署が地理的に離れている場合や、部署ごとに異なるポリシーを適 用する必要がある場合などに、証明書の発行を従属するCAに委託することがあります。 下位CA(Certificate Authority:証明機関)をセットアップして、証明書の発行を委託でき ます。 X.509規格には、CAの階層の設定モデルが含まれています。 このモデルでは、ルー トCAは階層の最上位に位置し、自己署名証明書を所有しています。 ルートCAの直下のCAは、 ルートCAが署名した証明書を所有しています。 直下のCAのさらに下に位置するCAは、所属 先のCAが署名した証明書を所有しています。 次の図は、一般的なデジタル証明書チェーンの階層構造を示します。 図 1. 一般的なデジタル証明書チェーンの階層構造を示すX.509モデル 182 中間証明書のインストール CAが自分自身の証明書に署名(自己署名)する場合もあれば、別のCAに署名してもらう場 合もあります。 証明書が自己署名されている場合は、その証明書を発行したCAをルートCA と呼びます。 これに対し、別のCAが署名した証明書を所有するCAを、下位CAまたは中間 CAと呼びます。 サーバー証明書が自己署名証明書の場合は、証明書チェーンは末端のCAとルートCAだけで 構成されます。 ユーザーまたはサーバー証明書が中間CAによって署名されている場合は、 証明書チェーンはより長くなります。 以下の図は、一番下から、末端のCA(gwy01.company.com)の証明書、 中間CA 2の証明 書、中間CA 2が従属する中間CA 1の証明書というように、 ルートCAの証明書に到達するま での構造を示しています。 チェーン内の各証明書は、1つ下の証明書の身元を証明します。 図 2. 一般的なデジタル証明書チェーン 中間証明書をインストールするには 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Certificate Management]パネルで[Import]をクリックして[Trusted(.pem)] を選択します。 3. [Select file to upload]ダイアログボックスでファイルを選択して、[Open]をクリッ クします。 中間証明書をAccess Gatewayにインストールするとき、秘密キーまたはパスワードを指定 する必要はありません。 証明書をアプライアンスにインストールしたら、証明書をサーバー証明書にリンクする必要 があります。 183 中間証明書のインストール 中間証明書をサーバー証明書にリンクするには 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Certificates]の表で中間証明書をリンクするサーバー証明書を選択して、[Add to Chain]をクリックします。 3. 証明書を選択して、チェーンに追加する証明書ごとに[Add]をクリックします。 4. 証明書チェーンを作成し終えたら、[Close]をクリックします。 184 ネットワーク設定の追加 Access Gatewayにライセンスと証明書をインストールしたら、ネットワークでAccess Gatewayが機能するように、ネットワーク構成または要望に応じて次の構成を実行できます。 • • • • • • 185 特定の用途のために、アプライアンス上のネットワークアダプターに異なる役割を割り 当てる。 セキュリティで保護されていないポートから保護されているポートへ、ユーザー接続を リダイレクトする。 最大で3台のDNSサーバーおよび1台のWINS(Windows Internet Name Service: Windowsインターネットネームサービス)サーバーを構成する。 DNSサーバーを使用せずに特定のIPアドレスが特定のホスト名に変換されるように、 HOSTSファイルを編集する。 ルーティングサーバーにより公開されるルートをリッスンする静的ルートを構成するか、 特定の静的ルートを使用する。 Access Gateway上の日時を構成したり、NTP(Network Time Protocol:ネットワー クタイムプロトコル)サーバーを構成したりする。 特定用途のネットワークアダプターの指 定 Access Gateway Management Consoleの[Networking]パネルを使用して、Access Gatewayのネットワークインターフェイスを管理し、ネットワークアダプターに役割を設定 します。 内部または外部アダプター: デフォルトで、eth0は外部アダプター、eth1は内部アダプター に設定されています。 外部アダプターはインターネットからAccess Gatewayに接続するユー ザーが使用します。 内部アダプターはセキュリティで保護されたネットワークからAccess Gatewayに接続するユーザーが使用します。 ベストプラクティスとして、内部(プライベー ト)IPアドレスを内部アダプターに割り当ててください。 プライベートIPアドレスには、 10.0.x.x、172.0.x.x、および192.168.x.xのアドレス範囲が含まれます。 これらのアドレ スはインターネットなどの外部から接続できません。 アプライアンスのフェールオーバー: アプライアンスのフェールオーバーを有効にする場合、 プライマリとセカンダリの2つのAccess Gatewayアプライアンスが存在します。 [ Networking]パネルで、構成しているアプライアンスのネットワークアダプターを、フェー ルオーバーペアのもう一方のアプライアンスと通信するためのアダプターに指定します。 管理: [Networking]パネルの[Management]で選択するネットワークアダプターは、 Access Gateway Management Consoleに接続するために使用するアダプターです。 管理 者はこのネットワークアダプターを使用して、SSH(Secure Shell)でアプライアンスに接 続することもできます。 内部ネットワークアダプターを管理アダプターに指定することをお 勧めします。 デフォルトゲートウェイ: Access Gatewayアプライアンスまたはファイアウォール、ルー ター、スイッチのようなほかのネットワーク機器がデフォルトゲートウェイになります。 ユー ザーがセキュリティで保護されたネットワーク上のどのアドレスとも一致しないIPアドレス に接続しようとすると、ユーザー接続はデフォルトゲートウェイに送信されます。 186 ネットワークアダプターのプロパティの 変更 Access Gateway Management Consoleを使用して、ネットワークアダプターのプロパティ を編集できます。 [Networking]パネルでは、次の設定を変更できます。 • ネットワークアダプターのIPアドレス。 • アダプター用に入力したIPアドレスに適切なサブネットマスク。 • • 転送パケットの最大サイズを表す最大トランスミッションユニット。 デフォルト設定は 1500です。 アダプターのネットワーク速度。 デフォルト設定は[Auto]です。この場合は、トラフィ ックを同時に双方向に転送するのか、それとも一方向に転送するのかと、適切なアダプ ター速度がAccess Gatewayによって決定されます。 アダプターの速度には[Full]または[Half]を選択できます。 全二重通信を選択する 場合は、ネットワークアダプターは同時に双方向にデータを送信できます。 半二重通信 を選択する場合は、アダプターは2つのノード間で双方向にデータを送信できますが、同 時に送信できるのは一方向のみです。 ネットワークアダプターのプロパティを変更す るには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Networking]をクリックします。 3. [Networking]パネルで[Network adapters]の下の[Edit]をクリックします。 4. [Adapter Properties]ダイアログボックスで必要に応じて設定を変更して[OK]をク リックします。 187 ポート80から保護されたポートへの接続 のリダイレクト デフォルトでは、Access Gatewayはポート80へのセキュリティで保護されていない接続を 受け入れません。 ユーザーがHTTPでAccess Gatewayのポート80に接続しようとすると失 敗します。 Access Gatewayを構成して、ポート80へのHTTP接続を、ポート443(または別の保護され たポート)への保護された接続に自動的にリダイレクトすることができます。 ユーザーがポー ト80への保護されていない接続を実行すると、Access Gatewayがこの接続をポート443へ のSSL暗号化により保護された接続に自動的に変換します。 セキュリティで保護されていない接続をリダイ レクトするには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Networking]をクリックします。 3. [Access Gateway Properties]の[Redirect HTTP to HTTPS]チェックボックスを オンにします。 注: [Redirect HTTP to HTTPS]チェックボックスをオフにする場合、ポート80へ のユーザー接続はすべて失敗し、ポート443へのリダイレクトは実行されません。 188 ネームサービスプロバイダーの追加 Access Gatewayではネームサービスプロバイダーを使用して、WebアドレスをIPアドレス に変換します。 DNSサーバーまたはWindowsインターネットネームサービス(WINS)サー バーをAccess Gatewayに構成できます。 名前解決はAccess Gateway Management Consoleの[Name Service Providers]パネル で構成します。 DNSサーバーを3台まで、WINSサーバーを1台指定できます。 DNSサーバーとWINSサーバーを指定するに は 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Name Service Providers]をクリックします。 3. [First DNS server]ボックス、[Second DNS server]ボックス、[Third DNS server]ボックスに、各DNSサーバーのIPアドレスを入力します。 4. [WINS Server]ボックスに、WINSサーバーのIPアドレスを入力します。 5. [DNS Suffixes]の[New]をクリックします。 [Domain Name Server Suffix]の [Input Suffix]ボックスにサフィックスを入力して[OK]をクリックします。 追加す る各サフィックスについて、この手順を繰り返します。 サーバーのDNSサフィックスを指定します。 各エントリは、「site.com」という形式で 指定します。 サフィックスの先頭にはドット(.)を付けないでください(「.site.com」 のように指定しないでください)。 デフォルトでは、Access GatewayはユーザーのリモートDNSサーバーだけを確認しま す。 ユーザーのローカルDNSサーバーへのフェールオーバーを使用する場合は、分割 DNSを有効にする必要があります。 詳しくは、「分割DNSを有効にするには」を参照し てください。 6. [Save]をクリックします。 189 HOSTSファイルの編集 Access GatewayのHOSTSファイルにエントリを追加するには、Access Gateway Management Consoleの[Name Service Providers]パネルを使用します。 Access GatewayではHOSTSファイルのエントリを使用してFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)をIPアドレスに解決します。 Access GatewayでFQDNからIPアドレスへの変換が試行されるとき、DNSサーバーに接続 する前にHOSTSファイルが確認され、アドレス変換が実行されます。 HOSTSファイルの情 報を使用してFQDNをIPアドレスに変換できる場合、アドレス変換にDNSサーバーは使用さ れません。 たとえば、ネットワーク構成上の都合によりAccess Gatewayから適当なDNSサーバーに接 続してアドレス変換を実行できない場合、Access Gateway上のHOSTSファイルにエントリ を追加します。 また、HOSTSファイルにエントリを追加するとアドレス変換のために Access Gatewayが別のサーバーに接続する処理を省けるため、パフォーマンスを最適化す ることができます。 HOSTSファイルにエントリを追加するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Name Service Providers]をクリックします。 3. [HOSTS File]の[New]をクリックします。 4. [Enter Hostname]ダイアログボックスに、次の情報を入力します。 • [IP Address]ボックスに、FQDNに対応するIPアドレスを入力します。 [Fully qualified domain name]ボックスに、前の手順で入力したIPアドレスに関 連付ける完全修飾ドメイン名を入力します。 5. [Ok]をクリックします。 [HOSTS File]の一覧に、IPアドレスとホスト名が対になって表示されます。 • HOSTSファイルのエントリを削除するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Name Service Providers]をクリックします。 3. [HOSTS File]の一覧で、削除するIPアドレスとホスト名のペアを選択します。 4. [Remove]をクリックします。 190 静的ルートの定義 Access Gatewayで静的なルーティングをサポートするように構成できます。 ほかのホストやネットワークとの通信を設定するときに、必要に応じてAccess Gatewayか ら新しい通信先への静的ルートを追加する必要があります。 Access Gateway Management Consoleの[Networking]パネルに指定されている、Access Gatewayのデ フォルトゲートウェイとして使用されていないネットワークアダプターに静的ルートを設定 します。 各静的ルートは、ネットワークID、サブネットマスク、ゲートウェイアドレス、およびネッ トワークインターフェイスで構成する必要があります。 静的ルートを追加するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Static Routes]をクリックします。 3. [Static Routes]パネルで[New]をクリックします。 4. [Add static route]の[Destination LAN IP address]ボックスに、ルーティング先 のLANのIPアドレスを入力します。 5. [Subnet mask]ボックスに、Access Gatewayアプライアンスのサブネットマスクを 入力します。 6. [Gateway]ボックスに、デフォルトゲートウェイのIPアドレスを入力します。 ゲート ウェイを指定しない場合は、ローカルネットワーク上のコンテンツにしかAccess Gatewayからアクセスできません。 7. [Adapter]ボックスの一覧から静的ルートを設定するネットワークアダプターを選択 して、[Add]をクリックします。 デフォルトはeth0です。 静的ルートが[Static routes]の表に表示されます。 8. [Save]をクリックします。 静的ルートを削除するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Static Routes]をクリックします。 3. [Static Routes]の表から削除するルートを選択して[Remove]をクリックします。 4. [Save]をクリックします。 191 静的ルートの例 静的ルートの例として、eth0のIPアドレスが10.0.16.20のAccess Gatewayを想定します。 129.6.0.20にある情報へのアクセス要求がありますが、現在パスがないとします。 この場 合、Access Gatewayのデフォルトゲートウェイとして設定されていないネットワークアダ プターを経由してアクセス先のネットワークアドレスに至る静的ルートを、次の図のように 設定します。 図 1. 静的ルートの例 上の図のネットワークは、次のように接続されています。 • • eth0のアダプター(10.0.16.20)は、デフォルトゲートウェイ(10.0.16.1)を介して、 10.0.0.0ネットワーク上のほかのコンピューターに接続されています。 eth1のアダプター(192.168.0.20)は、192.168.0.0ネットワークとそのゲートウェ イ(192.168.0.1)と通信するように設定されています。 eth1は、このゲートウェイを 介して、129.6.0.20ネットワークとIPアドレス129.6.0.20のサーバーと通信します。 この例では、eth1のアダプターとIPアドレス129.6.0.20の間に、静的ルートを設定する必要 があります。 192 静的ルートの例 この例の静的ルートを設定するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Static Routes]をクリックします。 3. [Static Routes]パネルで[New]をクリックします。 4. [Add Static Route]の[Destination IP address]ボックスに、ルーティング先の LANのIPアドレスとして129.6.0.0を入力します。 5. [Subnet mask]ボックスに、Access Gatewayアプライアンスのサブネットマスクを 設定します。 6. [Gateway]ボックスで、デフォルトゲートウェイのIPアドレスを192.168.0.1に設定 します。 7. [Adapter]ボックスの一覧で、Access Gatewayのデバイスアダプターとして[eth1] を選択し、[Add]をクリックします。 静的ルートが[Static routes]の表に表示され ます。 8. [Save]をクリックします。 193 Access Gatewayアプライアンスの日付 と時刻の変更 現在の時刻と日付は、Access Gateway Management Consoleの[System Information] の[Monitor]タブに表示されます。 Access Gatewayの時刻は、手動またはNTP( Network Time Protocol:ネットワークタイムプロトコル)サーバーのアドレスを入力して 設定できます。 注: 展開環境でAccess Controllerを使用する場合は、NTPサーバーを構成してAccess GatewayとAccess Controllerの間で日付と時刻を同期する必要があります。 日付と時刻を変更するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Date and Time]をクリックします。 3. [Time zone]ボックスの一覧で適切なタイムゾーンを選択します。 4. [Date]ボックスで日付を選択します。 5. [Time]ボックスで時刻を選択します。 6. [Set Time]をクリックし、[Save]をクリックします。 194 Access GatewayとNTPサーバーの同期 NTP(Network Time Protocol:ネットワークタイムプロトコル)は、TCP/IPネットワーク 経由で時刻データを送受信するためのプロトコルです。 NTPを使って、ネットワーク上の各 コンピューターの内部クロックを同期することができます。 Access Gatewayアプライアンスの時刻は、手動またはNTPサーバーのアドレスを入力して 設定できます。 セキュリティで保護されたネットワークにNTPサーバーがある場合は、Access Gateway Management Consoleを使用してAccess Gatewayを構成し、時刻をNTPサーバーと同期で きます。 注: 展開環境でAccess Controllerを使用する場合は、NTPサーバーを構成してAccess GatewayとAccess Controllerの間で日付と時刻を同期する必要があります。 重要: Access Gateway VPXを使用する場合は、仮想アプライアンスの中断と再開はサポー トされません。 仮想アプライアンスを中断して再開すると、Access Gatewayの時刻は NTPサーバーと同期されません。 Access GatewayをNTPサーバーと再同期するには、 Access Gatewayを再起動する必要があります。 Access GatewayをNTPサーバーに同期させ るには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Date and Time]をクリックします。 3. [Time zone]ボックスの一覧で適切なタイムゾーンを選択します。 4. [Use Network Time Protocol server]チェックボックスをオンにします。 5. [Primary server]ボックスに、NTPサーバーのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)またはIPアドレスを入力します。 6. オプション: [Secondary server]ボックスに、セカンダリNTPサーバーのFQDNまた はIPアドレスを入力します。 7. [Save]をクリックします。 195 ネットワークアクセスのセットアップ Access Gatewayアプライアンスをネットワーク環境で動作するように構成したら、Access Gateway Management Consoleでアプライアンスのネットワークアクセスを構成します。 • 手順1. ユーザー接続のグローバル設定を構成する。 以前のバージョンのAccess Gateway Plug-inでのアプライアンスへのログオンをユーザーに許可します。 [Global Settings]パネルで実行できる操作は次のとおりです。 • Citrix Online Plug-inのユーザー接続を監査します。 • 暗号強度を選択します。 Access Gateway Plug-inの設定を構成します。 手順2. 認証と認可を設定する。 認証とは、ユーザーがどのようにログオンするかを決め る方法で、プロファイルに基づいて構成します。 認証の種類には、LDAP、RADIUS、お よびRSA SecurIDがあります。 承認によりユーザーがアクセスできるネットワークリソー スを定義します。 承認の種類には、LDAPおよびRADIUSがあります。 認証と承認の構 成について詳しくは、「Access Gatewayでの認証および承認プロファイルの作成」を 参照してください。 • • • 手順3. ユーザーにアクセスを許可するネットワークを構成する。 デフォルトでは、ユー ザーはどのネットワークにも接続できません。 ネットワークアクセスの構成の第1段階 は、ネットワークリソースを使用してユーザーが接続できるネットワークを指定するこ とです。 ネットワークリソースの構成について詳しくは、「ネットワークリソースの構成」を参 照してください。 • 手順4. ユーザーグループを構成する。 認証とユーザーができるネットワークを構成した ら、ログオンポイントを構成します。 ログオンポイントにはユーザーのログオンページ を定義し、ユーザーセッションに適用する設定を指定します。 ログオンポイントの設定 には、必要な認証と承認の種類、ログオンポイントの種類、使用するユーザープラグイ ンの種類、およびデバイスプロファイルの設定が含まれます。 ログオンポイントの構成について詳しくは、「Access Gatewayアプライアンスでのロ グオンポイントの作成」を参照してください。 • 手順5. ネットワークアクセスのためにスマートグループを構成する。 ログオンポイント を構成したら、スマートグループを構成します。 スマートグループでは、ログオンポイ ント、グループメンバーシップ、アドレスプール、ネットワークリソース、デバイスプ ロファイル、および詳細なプロパティを有効にします。 詳細なプロパティで設定を変更 すると、グローバルなオプションの設定が無視されます。 たとえばタイムアウト設定に ついては、ログオンポイントでのタイムアウト設定はグローバル設定より優先され、ス マートグループでのタイムアウト設定はグローバル設定とログオンポイントでの設定よ り優先されます。 スマートグループの構成について詳しくは、「スマートグループの追加」を参照してく ださい。 196 ネットワークアクセスのセットアップ • 手順6. デバイスプロファイルを構成する。 デバイスプロファイルを使用して、ユーザー がネットワークにログオンするときにユーザーデバイスを条件のセットと照合するプロ ファイルを作成できます。 デバイスプロファイルにセットアップする条件をデバイスが 満たさなければ、ユーザーはネットワークへのアクセスを許可されません。 デバイスプ ロファイルを定義して、ユーザーが内部リソースへのアクセスに使用する可能性のある さまざまなエンドポイントデバイスを表します。 デバイスプロファイルの構成について詳しくは、「デバイスプロファイルの作成」を参 照してください。 197 追加のAccess Gatewayアプライアンス の設置 ネットワーク内に複数のAccess Gatewayアプライアンスを設置できます。 追加のアプライ アンスを使用してアプライアンスのフェールオーバーを構成したり、負荷分散装置の後方に 設置したりできます。 次の理由から、複数のAccess Gatewayアプライアンスを設置できます。 • • スケーラビリティ: 処理するユーザー数が1台のAccess Gatewayの許容量を超える場 合、ユーザー負荷に対応するため複数のアプライアンスを設置できます。 アプライアンスのフェールオーバー: 2つのアプライアンスをDMZに設置して、1台の Access Gatewayで障害が発生した場合でも、ほかのAccess Gatewayによりユーザーの 接続を常に制御できます。 Access Gatewayアプライアンスが2台ある場合は、第2のアプライアンスで第1のアプラ イアンスを監視しながら、第1のアプライアンスで接続の受け入れと管理を行う構成で展 開することができます。 第1のAccess Gatewayが何らかの理由で接続の受け入れを停 止した場合は、第2のAccess Gatewayが機能を引き継いで接続の受け入れをアクティブ に開始します。 これにより、システムの停止を防止し、1台のAccess Gatewayが機能 していなくても、Access Gatewayで提供するサービスを利用可能な状態に保つことが できます。 • クラスタリングと負荷分散: 複数のAccess Gatewayアプライアンスと複数のAccess Controllerサーバーを展開して、1つのクラスターを作成できます。 Access Gatewayをクラスターとして構成するとクラスター内で負荷が分散されるので、 外部の負荷分散装置が不要になります。 ユーザーがAccess Gatewayにログオンすると、 Access Controllerに構成する負荷分散アルゴリズムに基づいて、アプライアンスがクラ スター内のAccess Controllerサーバーと通信します。 それから、そのアルゴリズムに基 づいて、Access Controllerがクラスター内のAccess Gatewayにユーザーセッションを 送信します。 負荷分散により、ユーザー接続のスケーラビリティが向上します。 物理的なAccess GatewayアプライアンスとAccess Gateway VPXの両方で、負荷分散を実行できます。 負荷分散はエンドユーザーのセッションを対象にしており、セッションごとに処理され ます。 負荷分散は、Access ControllerのサーバークラスターのプロパティおよびAccess Gatewayのアプライアンスのグローバルプロパティで構成します。 展開環境に複数のAccess Gatewayアプライアンスのみがある場合、ユーザーセッションの ために外部の負荷分散装置を使用できます。 外部の負荷分散装置は、最も負荷の低い Access Gatewayにユーザー接続を送信します。 外部の負荷分散装置を使用する場合は、ネッ トワーク内の各Access Gatewayに同じサーバー証明書をインストールする必要があります。 各Access Gatewayアプライアンスは、ホスト名として同じFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を持つ必要があります。 198 追加のAccess Gatewayアプライアンスの設置 外部の負荷分散装置がAccess Gatewayの負荷測定基準を検索する必要がある場合は、アプ ライアンスの提供するクエリインターフェイスを使用して応答を解析し、Access Gateway の負荷を判断します。 199 Access Gateway 5.0のアプライアンス のフェールオーバーのしくみ Access Gatewayにアプライアンスのフェールオーバーを構成すると、セカンダリAccess Gatewayによってプライマリアプライアンスが監視されます。この監視は、メッセージの定 期的な送信によりプライマリアプライアンスが接続を受け入れているかどうかを判断するこ とによって行います。 プライマリアプライアンスが接続を受け入れていないことを検出する と、一定の期間接続が再試行され、その後でプライマリアプライアンスが動作していないと 判断されます。 この判断が行われると、プライマリAccess Gatewayの役割がセカンダリ Access Gatewayによって引き継がれます。 この機能をフェールオーバーと呼びます。 フェー ルオーバーはプライマリアプライアンスからのみ開始できます。 アプライアンスのフェールオーバーを構成するには、次の前提条件を満たす必要があります。 • • • • 各Access Gatewayアプライアンスは同じバージョンのAccess Gatewayソフトウェアを 実行している必要があります。 バージョン番号はAccess Gateway Management Consoleの[Monitor]タブで確認できます。 2つのアプライアンスのパスワードは自動的に同期されません。 同じパスワードを各 Access Gatewayに構成できます。 単一の固有のシステムIPアドレスをプライマリおよびセカンダリAccess Gatewayに構 成する必要があります。 両方のアプライアンスのライセンスをプライマリアプライアンスに置きます。 セカンダ リアプライアンスはプライマリアプライアンスからライセンスを取得します。 セカンダ リアプライアンスにフェールオーバーを構成すると、セカンダリアプライアンスに以前 にインストールしたライセンスは削除されます。 アプライアンスのフェールオーバーを構成するときは、次の情報を参照してください。 • • • • 200 両方のAccess Gatewayアプライアンスで、少なくとも1つのネットワークインターフェ イスでアプライアンスのフェールオーバーを有効にする必要があります。 ペアにする各 アプライアンスの共有シークレットは同じである必要があります。 プライマリアプライアンスに内部および外部仮想IPアドレスを構成して、サービスを提 供する必要があります。 仮想IPアドレスはプライマリアプライアンスでのみ使用できま す。 プライマリおよびセカンダリのピアIPアドレスを、2つのアプライアンス間の通信 パスに使用します。 セカンダリのピアIPアドレスは冗長性を保つための設定であり、オ プションです。 セカンダリアプライアンスを構成するとき、プライマリアプライアンスと通信するイン ターフェイスを選択します。 それから、セカンダリアプライアンスがプライマリアプラ イアンスをリッスンするように構成します。 セカンダリアプライアンスの設定を構成し た後で、プライマリアプライアンスとペアにします。 アプライアンスフェールオーバーのためにUDPポート694を、およびデータベースのた めTCPポート5432を開放します。 Access Gateway 5.0のアプライアンスのフェールオーバーのしくみ 両方のアプライアンスでアプライアンスのフェールオーバーを構成してサービスを開始する と、プライマリアプライアンスで次のサービスを利用できるようになります。 • 管理者サービス • ユーザーサービス • データベースレプリケーション。リスナーポートを使用してセカンダリAccess Gatewayにサービスを提供します。 セカンダリアプライアンスで次のサービスを使用できるようになります。 • • 管理者サービス データベースレプリケーション。プライマリAccess Gatewayへのネットワーク接続を 確立します。 セカンダリアプライアンスでアプライアンスのフェールオーバーを有効にすると、ネットワー ク設定と静的ルーティングを構成できます。 セカンダリアプライアンス上のスナップショッ トの機能は、ソフトウェアリリースのアップロードと削除、スナップショットのインポート とエクスポート、および共通スナップショット名とリリース名の一覧のフィルタリングに制 限されます。 セカンダリアプライアンスでアプライアンスのフェールオーバーを構成すると、 構成のスナップショットを取れなくなります。 さらに、セカンダリアプライアンスで次の機 能が無効になります。 • スマートグループ • ログオンポイント • ネットワークリソース • デバイスポイント • 認証 • ネットワークタイムプロトコル • ICAアクセスの制御 • Secure Ticket Authority • アドレスプール • アプライアンスのフェールオーバーの構成(フェールオーバー自体を除く) • ネームサービスプロバイダー • Access Controller(展開モード) • グローバルオプション • 証明書 セカンダリアプライアンスはプライマリアプライアンスからこれらの設定を取得します。 201 Access Gateway 5.0のアプライアンスのフェールオーバーのしくみ 注: 両方のアプライアンスに管理者としてログオンすると、セカンダリアプライアンスに 2つのセッションが表示されます。1つはプライマリアプライアンス上のセッションで、も う1つはセカンダリアプライアンス上のセッションです。 202 ネットワークアダプターでアプライアン スのフェールオーバーを有効にするには プライマリまたはセカンダリのAccess Gatewayアプライアンスでアプライアンスのフェー ルオーバーを構成する前に、アプライアンスのネットワークアダプターでアプライアンスの フェールオーバーを有効にします。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Networking]をクリックします。 3. [Networking]パネルの[Network adapters]の表の[Adapter Roles]列で、アプ ライアンスのフェールオーバーを有効にするアダプターの[Appliance Failover]チェッ クボックスをオンにして、[Save]をクリックします。 203 プライマリアプライアンスでアプライア ンスのフェールオーバーを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Appliance Failover]をクリックします。 3. [Appliance Failover Configuration]パネルの[Appliance failover role]で、[ Primary]をクリックします。 4. [Shared key]ボックスに共有キーを入力します。 注: 共有キーは、プライマリおよびセカンダリアプライアンスで同一である必要があ ります。 5. [Peer IP address]ボックスに、セカンダリアプライアンスでアプライアンスのフェー ルオーバーを有効にするネットワークアダプターのIPアドレスを入力します。 何らかの理由でプライマリIPアドレスに障害が発生した場合は、セカンダリアプライア ンスのこのIPアドレスにフェールオーバーされます。 6. [Internal virtual IP address]ボックスおよび[External virtual IP address]ボック スに、ユーザー接続を受け入れる内部IPアドレスおよび外部IPアドレスを入力します。 プライマリアプライアンスではユーザー接続にこの外部IPアドレスが使用されます。 7. [Start]をクリックし、[Save]をクリックします。 204 セカンダリアプライアンスでアプライア ンスのフェールオーバーを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Appliance Failover]をクリックします。 3. [Appliance Failover Configuration]パネルの[Appliance Failover role]で、[ Secondary]をクリックします。 4. [Shared key]ボックスに共有キーを入力します。 注: 共有キーは、プライマリおよびセカンダリアプライアンスで同一である必要があ ります。 5. [Peer IP address]ボックスに、プライマリアプライアンスでアプライアンスのフェー ルオーバーを有効にするネットワークアダプターのIPアドレスを入力します。 このIPアドレスがセカンダリアプライアンスによって監視されます。 6. [Join primary]をクリックし、[Save]をクリックします。 205 セカンダリアプライアンスに強制的にフェ ールオーバーするには アプライアンスのフェールオーバーのために2台のアプライアンスを構成してある場合、プ ライマリアプライアンスを更新または再起動する必要があるときは、セカンダリのAccess Gatewayアプライアンスに強制的にフェールオーバーできます。 強制的にフェールオーバー すると、セカンダリアプライアンスによりユーザー接続の受け入れが開始されます。 1. プライマリアプライアンスのAccess Gateway Management Consoleを開きます。 2. Access Gateway Management Consoleで[Management]をクリックします。 3. [System Administration]の[Appliance Failover]をクリックします。 4. [Start or Stop Appliance Failover]の[Force failover]をクリックします。 206 外部の負荷分散装置を使用するための複 数のアプライアンスのセットアップ 負荷分散装置の後方に複数のAccess Gatewayアプライアンスを展開して、多数のリモート ユーザーをサポートし、ユーザーが内部ネットワークへ確実にアクセスできるようにするこ とができます。 アプライアンスと共に展開する負荷分散装置は、ソースIPアドレス(Src IP)をベースとし た負荷分散をサポートしている必要があります。 図 1. 負荷分散装置の後方に展開された複数のAccess Gatewayアプライアンス 負荷分散装置には、一意のIPアドレスまたはFQDN(Fully Qualified Domain Name:完全 修飾ドメイン名)を構成します。 Access Gateway Plug-inまたはWebブラウザーでは、こ のアドレスを使用して負荷分散装置に接続します。 負荷分散装置は、後方の複数のアプライ アンスに等しくユーザー接続を分配します。 ユーザー接続を受信すると、負荷分散装置はアルゴリズムを使用して一覧から1台のアプラ イアンスを選択し、ユーザー接続をそのAccess Gatewayに伝送します。 負荷分散装置はユーザー接続を均等に配分するだけでなく、内部ネットワークへのアクセス も向上します。 アクセスを向上するために、後方に展開されたアプライアンスの障害を検出する機能を備え ている負荷分散装置もあります。 負荷分散装置でアプライアンスの障害が検出されると、使 用可能なアプライアンスの一覧からそのアプライアンスが削除され、ユーザー接続は残りの アクティブなアプライアンスに転送されます。 障害が起きていたAccess Gatewayがオンラ インに戻ると、アクティブなアプライアンスの一覧に戻されます。 このアプローチにより、 1台のAccess Gatewayが停止しても、すべてのユーザー接続が継続的に内部ネットワークへ アクセスできます。 207 負荷分散装置の後方に展開するアプライ アンスの証明書を作成するには Access Gatewayアプライアンスを負荷分散装置の後方に展開する場合、各アプライアンス に同じSSLサーバー証明書と秘密キーを展開する必要があります。 重要: このSSLサーバー証明書の要求を作成するために、Access Gateway Management Consoleの[Certificates]パネルで使用できるCSR(Certificate Signing Request:証明書署名要求)機能を使用しないでください。 この機能で作成されるのは、 機能を実行したAccess Gatewayの個別の秘密キーです。 Access Gatewayアプライアン スを負荷分散装置の後方に展開する場合、各Access Gatewayで同じ秘密キーとSSL証明 書を使用する必要があります。 1. KeytoolなどのOpenSSLツールを使って、SSLサーバー証明書要求および秘密キーを作 成します (OpenSSLおよび使用できるツールについて詳しくは、 http://www.openssl.orgを参照してください)。 • • PEM形式で、サーバー証明書要求を作成します。 サーバー証明書要求を作成する場合、要求に含めるサーバー名として負荷分散装置の FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を使用します。 ど のAccess GatewayアプライアンスのFQDNも、要求に含めないでください。 任意で、サーバー証明書要求に入力するFQDNのサーバー名にアスタリスクを使用で きます。 アスタリスクを使用するとワイルドカード証明書が作成されます。この証 明書は組織内の任意のアプライアンスで使用でき、ユーザーは異なるURLを経由して 接続できます。 たとえば、次のような形式のサーバー名を指定してSSLサーバー証 明書要求を作成できます。 *.domain.com • 秘密キーをサーバー証明書要求とは別に作成します。 2. SSLサーバー証明書要求をCA(Certificate Authority:証明書機関)に送信して署名を 受けます。 PEM形式のサーバー証明書要求のみを送信します。 秘密キーは送信しないで ください。 3. CAから署名済みのSSLサーバー証明書を受け取ったら、秘密キーをその署名済み証明書 の冒頭に手作業で追加します。 4. CAから署名済みのSSLサーバー証明書を受け取ったら、SSLサーバー証明書と秘密キー を、負荷分散装置の後方に展開した各Access Gatewayアプライアンスにアップロード します。 a. Access Gateway Management Consoleで[Certificates]をクリックします。 b. [Import]をクリックし、[Server(.pem)]を選択します。 c. 秘密キーと署名済みPEM証明書を結合したデータを含むファイルを検索して選択し、 [Open]をクリックします。 208 負荷分散装置の後方に展開するアプライアンスの証明書を作成するには この手順を繰り返して、負荷分散装置の後方に展開した各Access Gatewayに秘密キー とPEM証明書をアップロードします。 秘密キーと署名済みの証明書を結合するには 署名済みの証明書は、Access Gatewayにアップロードする前に、秘密キーと結合する必要 があります。 1. テキストエディターを使用して、暗号化されていない秘密キーと署名済みの証明書を PEMファイル形式で結合します。 ファイルの中身は次のようになります。 -----BEGIN RSA PRIVATE KEY----<暗号化されていない秘密キー> -----END RSA PRIVATE KEY---------BEGIN CERTIFICATE----<署名済みの証明書> -----END CERTIFICATE----2. AccessGateway.pemなどの名前を付けて、PEMファイルを保存します。 209 デフォルトのゲートウェイとしての負荷 分散装置の指定 一部の負荷分散装置またはネットワーク構成においては、Access Gatewayのデフォルトゲー トウェイとして負荷分散装置を指定する必要がある場合があります。 デフォルトゲートウェ イとして負荷分散装置を指定する場合は、Access Gatewayに静的ルートを構成します。こ れにより、保護されたネットワーク宛てのすべてのトラフィックが、すべての内部トラフィッ クのルートが正しく決定される内部ネットワークに送信されるようになります。 不明なIPアドレスが宛先のパケットをAccess Gatewayが受信した場合、アプライアンスは そのパケットをデフォルトゲートウェイアドレスに送信します。 負荷分散装置をデフォルト ゲートウェイとして構成する場合は、内部宛てのパケットが確実に送信されるように、 Access Gatewayで静的ルーティングを使用できます。 静的ルーティングテーブルに適切なルートが含まれていない場合、Access Gatewayが内部 アドレス宛てのパケットを受信したときに、パケットが失われる可能性があります。 たとえば、負荷分散装置がデフォルトゲートウェイとして指定されており、次の条件がある と仮定します。 • • 10.10.0.0、10.20.0.0、および10.30.0.0の、3つの内部ネットワークがあります。 ネットワーク10.10.0.0は、ネットワーク10.20.0.0および10.30.0.0にパケットを送信 できます。 ただし、10.20.0.0および10.30.0.0ネットワークはほかのネットワークに パケットを送信できません。 この環境では、静的ルートを作成してAccess Gatewayの内部ネットワークアダプターに割 り当てる必要があります。 Access Gatewayのeth1ネットワークアダプターを経由する静的 ルートによって、10.20.0.0および10.30.0.0ネットワーク宛てのすべてのトラフィックを 10.10.0.0に送信する必要があります。 関連情報 静的ルートの定義 特定用途のネットワークアダプターの指定 210 Access Gatewayでの認証および承認プ ロファイルの作成 認証方法に応じて認証をAccess Gatewayアプライアンスに構成できます。 Access Gatewayアプライアンスでは、次の種類の認証がサポートされます。 • LDAP • RADIUS • RSA SecurID 認証プロファイルの一部として、承認を構成できます。 Access GatewayではLDAPおよび RADIUS承認がサポートされます。 承認の構成は必須ではありません。 211 Access Gatewayアプライアンスへの認 証プロファイルの追加 Access Gatewayを構成して、LDAP、RADIUS、またはRSA SecurID認証サーバーを使用で きます。 認証プロファイルを使用してAccess Gatewayで認証を構成できます。 複数のプロ ファイルを構成して、サイトで複数のLDAPまたはRADIUSサーバーを使用したり、認証サー バーを組み合わせて使用したりできます。 次の図は、セキュリティで保護されたネットワー ク内の認証サーバーに接続して通信するAccess Gatewayを示します。 図 1. Access Gatewayと認証サーバーの間の通信 ユーザーが認証されると、Access GatewayではLDAPまたはRADIUSサーバーからユーザー のグループ情報を取得してグループ承認チェックが実行されます。 ユーザーのグループ情報 を取得できた場合、Access Gatewayはそのグループに承認されているネットワークリソー スを確認します。 LDAP承認は、Access Gatewayでサポートされているすべての認証方法 と共に使用できます。 SafeWordまたはGemalto Protivaの認証サーバーを使用する場合は、RADIUS認証プロファ イルを構成してSafeWordまたはProtivaの設定を入力します。 2要素認証を構成して、パスワードと暗証番号など、ユーザーに2種類の資格情報を入力させ ることもできます。 2要素認証はログオンポイントを作成するときに構成します。 ログオン ポイントを構成するときに、ログオンポイントの認証の種類を選択します。 ユーザーが Citrix Online Plug-inのみを使用して接続する場合は、Access GatewayとWeb Interfaceの どちらでユーザーを認証するか選択できます。 2要素認証の構成について詳しくは、「2要素 212 Access Gatewayアプライアンスへの認証プロファイルの追加 認証および承認を構成するには」を参照してください。 213 アプライアンスでのLDAP認証プロファ イルの作成 ユーザーの認証にLDAPサーバーを使用するようにAccess Gatewayを構成することができま す。 Access Gatewayに構成する各LDAP認証プロファイルに、最大で3台までのLDAPサーバー を構成してフェールオーバー機能を提供できます。 LDAPサーバーの追加構成はフェールオー バーにのみ有効で、負荷分散はできません。 Access GatewayからLDAPサーバーに接続で きない場合、一覧内の次のサーバーへの接続が試行されます。この処理はユーザー認証に使 用できるLDAPサーバーが見つかるまで続行されます。 Access GatewayがLDAPサーバーに接続する順序を指定できます。 Access Gatewayが LDAPサーバーに接続できないとき、そのサーバーはサーバープールから5分間削除されます。 5分間の制限時間が経過するまで、このサーバーは確認されません。 LDAPサーバーが1台し かない場合、5分間待機してからサーバーが確認されます。 LDAPサーバーが複数ある場合、 ユーザーのログオン時にAccess Gatewayから各サーバーに接続が試行されます。 Access Gatewayが正常にLDAPサーバーに接続した場合、認証と承認が実行されます。 LDAPサーバーでユーザー認証が失敗すると、Access Gatewayからほかのサーバーへの接続 は試行されません。 ユーザーに、ユーザー名とパスワードの再入力と再ログオンのための画 面が表示されます。 デフォルトでは、LDAPサーバーへの接続はセキュリティで保護されません。 接続を保護す るには、認証プロファイルの[Use secure connection]チェックボックスをオンにし、セ キュリティで保護されたポートを構成し、Access Gatewayにサーバー証明書をインストー ルします。 LDAP接続のポート番号は、次のとおりです。 • 389:セキュリティで保護されないLDAP接続用 • 636:セキュリティで保護されるLDAP接続用 • 3268:セキュリティで保護されないMicrosoft LDAP接続用 • 3269:セキュリティで保護されるMicrosoft LDAP接続用 LDAPサーバーを構成するときは、大文字と小文字の区別も含めてAccess Gatewayで設定し た文字とまったく同じにする必要があります。 LDAPサーバーのルートディレクトリを使用すると、すべてのサブディレクトリでユーザー属 性が検索されます。 ディレクトリが大きいと、パフォーマンスが低下することがあります。 そのため、特定の組織単位(OU)を指定することをお勧めします。 次の表に、LDAPサーバーのユーザー属性の例を示します。 LDAPサーバー 214 ユーザー属性 大文字小文字 の区別 アプライアンスでのLDAP認証プロファイルの作成 Active Directory sAMAccountName いいえ Novell eDirectory cn はい IBM Tivoli Directory Server(旧称IBM Directory Server) uid はい Lotus Domino CN はい Sun ONE Directory(旧称 iPlanet) uidまたはcn はい 次の表に、基本識別名の例を示します。これはLDAPディレクトリツリーの最上位です。 LDAPサーバー 基本識別名 Active Directory DC=citrix, DC=local Novell eDirectory dc=citrix,dc=net IBM Tivoli Directory Server(旧称IBM Directory Server) cn=users Lotus Domino OU=City,O=Citrix,C=US Sun ONE Directory(旧称 iPlanet) ou=People,dc=citrix,dc=com 次の表に、バインド識別名の例を示します。これはLDAPディレクトリに対する認証に使用し ます。 LDAPサーバー バインド識別名 Active Directory CN=Administrator, CN=Users, DC=citrix, DC=local Novell eDirectory cn=admin,dc=citrix,dc=net IBM Tivoli Directory Server(旧称 IBM Directory Server) LDAP_dn Lotus Domino CN=Notes Administrator,O=Citrix,C=US Sun ONE Directory(旧称 iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot 215 アプライアンスでLDAP認証プロファイ ルを作成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 右パネルの[Add]の隣にある下矢印をクリックして、[LDAP]を選択します。 4. [General Properties]の[Profile name]ボックスに、プロファイルの名前を入力し ます。 5. [LDAP Servers]の[Server Type]ボックスの一覧で、ネットワーク内にインストー ルしたLDAPサーバーの種類を選択します。 サーバーの種類を選択すると、[Authentication Properties]と[Authorization Properties]の設定が自動的に入力されます。 デフォルトの設定が最もよく使用されて います。 次の設定を変更できます。 6. [Network Time-out]ボックスにログオンの試行がタイムアウトするまでの期間を入 力します。 この値により、LDAPサーバーへTCP接続を試行するときのAccess Gatewayの待機期間 が設定されます。 最大値は60秒です。 デフォルト値は10秒です。 7. [Server List]の[New]をクリックします。 8. [Add LDAP Server]ダイアログボックスの[Server]ボックスに、LDAPサーバーの IPアドレスを入力します。 9. [Port]ボックスにポート番号を入力して[OK]をクリックします。 10. [Bind Properties]の[Administrator DN]ボックスに、LDAPディレクトリのクエリ で使用する管理者のバインド識別名を入力します。 管理者のバインド識別名の構文の例を次に示します。 domain/user name ou=administrator,dc=ace,dc=com [email protected](Active Directoryの場合) cn=Administrator,cn=Users,dc=ace,dc=com Active Directory■■■■cn=groupname■■■■■■■■■■■■■■■■■■ Access Gateway■■ ■■■■■■■■■■■■■■■■■■■■■■■■■LDAP■■■■■■■■■■■■■■■■■■■■■■■ ■■■■■■■■ そのほかのLDAPディレクトリの場合、グループ名は不要な場合もあります。必要な場合 は、ou=groupnameとして指定します。 216 アプライアンスでLDAP認証プロファイルを作成するには Access Gatewayは、管理者の資格情報を使用してLDAPサーバーへのバインドを行って から、ユーザーを検索します。 ユーザーが見つかると、Access Gatewayは管理者の資 格情報のバインドを解除し、ユーザーの資格情報を使用して再度バインドを行います。 11. [Password]ボックスにパスワードを入力します。 12. [Base DN(location of users)]ボックスにユーザーの基本識別名を入力します。 通 常は、バインド識別名からユーザー名を除き、ユーザーが属するグループ名を指定した ものが基本識別名になります。 基本識別名の構文の例を次に示します。 ou=users,dc=ace,dc=com cn=Users,dc=ace,dc=com 13. [User search query]ボックスに、LDAPディレクトリのユーザー検索に使用するパラ メーターを入力します。 14. [Server logon name attribute]ボックスのサーバーの種類に応じたデフォルト値をそ のまま使用するか、ほかの値を入力します。 15. [Save]をクリックします。 217 アプライアンスでユーザーにパスワード の変更を許可するには Access GatewayでLDAP認証プロファイルを構成する場合、ユーザーがパスワードを変更で きるようにすることができます。 Active DirectoryまたはNovell eDirectoryにログオンする ユーザーは、パスワードを変更できます。 セキュリティで保護しない接続を使用するようにAccess Gatewayを構成する場合は、パス ワードの変更が失敗する可能性があります。 Active Directoryを使用する場合、SSLを使用 して接続をセキュリティで保護する必要があります。 Active Directoryを介して構成したLDAPのパスワードをユーザーが変更できるようにするに は、次の作業を行う必要があります。 • • セキュリティで保護されたLDAP認証のために、ポート636を構成します。 LDAPセキュリティ証明書に署名するために使用される、証明機関が署名したルート証明 書とサーバー証明書をインストールします。 ログオンポイントに、セキュリティで保護された接続を経由する、Active Directoryまたは Novell eDirectoryのLDAP認証プロファイルを関連付ける場合は、ユーザーはログオンペー ジからパスワードを変更できます。 Active DirectoryまたはNovell eDirectoryにユーザーが ログオンすると、パスワードの変更を促すダイアログボックスが開く可能性があります。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 右ペインの[Authentication Profile]でLDAP認証プロファイルを選択し、[Edit]を クリックします。 4. [General Properties]の[Allow users to change password]チェックボックスをオ ンにして、[Friendly name]ボックスにLDAP認証プロファイルの名前を入力します。 このボックスは表示目的でのみ使用します。 フレンドリ名は、ユーザーがパスワードを変更するページ上のリンクに表示される、 LDAP認証プロファイルを説明する名前です。 ユーザーは[<フレンドリ名>のパスワー ドを変更するにはクリックしてください。]というリンクをクリックしてパスワードを 変更します。 5. [Single sign-on domain]ボックスに、ログオン時にユーザーがドメインを指定しな い場合に使用するドメイン名を入力します。 218 LDAPディレクトリの属性の確認 Softerraから無償で提供されているLDAP Browserアプリケーションを使用すると、Access Gatewayで認証設定を構成するために、LDAPディレクトリ内にある属性を簡単に確認でき ます。 LDAP Browserは、Softerra LDAP AdministratorのWebサイトからダウンロードできます。 LDAP Browserをインストールしたら、次の属性を設定します。 • LDAPサーバーのホスト名またはIPアドレス。 • LDAPサーバーのポート。 デフォルトは389です。 • • 基本識別名(未入力にできます)。 LDAP Browserで、Access Gatewayでこの設定を 構成するために必要な基本識別名を確認できます。 [Anonymous Bind]チェックボックス。ユーザーがLDAPサーバーに接続するときに、 ユーザー資格情報を入力する必要があるかどうかを指定します。 資格情報が必要な場合 は、このチェックボックスをオフにします。 設定が終わると、LDAP Browserの左ペインにプロファイル名が表示され、LDAPサーバーに 接続します。 219 Access Gatewayアプライアンスでの RADIUS認証プロファイルの作成 ユーザーアクセスの認証にRADIUSサーバーを使用するようにAccess Gatewayを構成する ことができます。 認証に使用する各RADIUSプロファイルに、最大で3台のRADIUSサーバーを構成できます。 Access Gatewayは、プライマリRADIUSサーバーを使用できない場合に、同じプロファイ ルのほかのRADIUSサーバーを使用します。 Gemalto ProtivaまたはSafeWordサーバーを認証に使用する場合は、RADUISを使用してこ れらのサーバーを構成します。 Gemalto Protivaの構成 ProtivaはGemaltoの開発した強力な認証プラットフォームで、Gemaltoのスマートカード認 証の長所を活用するように開発されています。 Protivaを使用する場合、ユーザーはログオ ン時に、ユーザー名、パスワード、およびProtivaデバイスにより生成されるワンタイムパス ワードを入力します。 RSA SecurIDと同様に、認証要求がProtiva認証サーバーに送信され、 パスワードが有効なものと確認されるか、拒否されます。 Access Gatewayと連動するよう にGemalto Protivaを構成するには、次のガイドラインに従います。 • • • Protivaサーバーをインストールします。 Protiva SASエージェントソフトウェアを、RADIUSサーバーであるMicrosoft IAS( Internet Authentication Server:インターネット認証サーバー)にインストールしま す。このエージェントによりIASの機能が拡張されます。 IASサーバーのIPアドレスとポー ト番号を書きとめます。 Access GatewayにRADIUS認証プロファイルを構成し、Protivaサーバーの設定を入力 します。 SafeWordの構成 SafeWord製品ラインでは、トークンに基づくパスコードを使用して安全な認証が行われま す。 ユーザーがパスコードを入力すると、そのパスコードはSafeWordによって直ちに取り 消され、再使用できなくなります。 SafeWordサーバーを構成するときは、次の情報が必要 です。 • • 220 Access GatewayのIPアドレス。 これはRADIUSサーバーのクライアント構成に構成し たIPアドレスと同じである必要があります。 Access Gatewayではこの内部IPアドレス を使用してRADIUSサーバーと通信します。 共有シークレットを構成するときは、内部 IPアドレスを使用します。 アプライアンスのフェールオーバーのために2つのアプライ アンスを構成する場合は、仮想内部IPアドレスを使用します。 共有シークレット。 Access GatewayアプライアンスでのRADIUS認証プロファイルの作成 • 221 SafeWordサーバーのIPアドレスとポート番号。 デフォルトのポート番号は1812です。 RADIUS認証のWindows Server 2008での構成 Windows Server 2008では、RADIUSの認証と承認はインターネット認証サービス( Internet Authentication Service:IAS)を置き換える、ネットワークポリシーサーバー( Network Policy Server:NPS)を使って構成します。 サーバーマネージャーを使用して役 割としてNPSを追加することで、NPSをインストールできます。 NPSをインストールするとき、[ネットワークポリシーサーバー]を選択します。 インストー ルした後は、ネットワークのRADIUS設定を構成できます。これは、[スタート]メニュー の[管理ツール]からNPSを開始して行います。 NPSスナップインを開いて、Access GatewayをRADIUSクライアントとして追加し、サー バーグループを構成します。 RADIUSクライアントを構成するときは、次の設定を選択します。 • • ベンダー名については、[RADIUS Standard]を選択します。 Access Gatewayで同じ共有シークレットを構成する必要があるため、共有シークレッ トを書き留めます。 RADUISグループを設定するには、RADIUSサーバーのIPアドレスまたはホスト名が必要で す。 デフォルトの設定を変更しないでください。 RADIUSのクライアントとグループを構成したら、次の2つのポリシーの設定を構成できます。 • • 接続要求ポリシー:Access Gateway接続の設定を構成します。この設定には、ネット ワークサーバーの種類、ネットワークポリシーの条件、およびポリシーの設定が含まれ ます。 ネットワークポリシー:拡張認証プロトコル(Extensible Authentication Protocol: EAP)認証とベンダー固有の属性を構成します。 接続要求ポリシーを構成するときは、[ネットワークアクセスサーバーの種類]ボックスの 一覧で[指定なし]を選択します。 そして、条件として[NASポートの種類]を、値として [仮想(VPN)]を選択して条件を構成します。 ネットワークポリシーを構成するときは、次の設定を構成する必要があります。 • • • [ネットワークアクセスサーバーの種類]ボックスの一覧で[リモートアクセスサーバー (VPN - ダイヤルアップ)]を選択します。 EAPについては、[暗号化認証(CHAP)]チェックボックスと[暗号化されていない認 証(PAP、SPAP)]チェックボックスをオンにします。 [ベンダー固有]属性について、[RADUIS Standard]を選択します。 デフォルトの属性番号は26です。 この属性はRADIUS承認に使用されます。 222 RADIUS認証のWindows Server 2008での構成 サーバー上のグループ内のユーザーとAccess Gateway上のユーザーのベンダー固有属 性を同じにする必要があります。 これは、ベンダー固有属性をAccess Gatewayに送信 することで行います。 • 属性の形式として、文字列を選択します。 属性の値には、属性名とグループ名を指定する必要があります。 Access Gatewayでは、「CTXSUserGroups=グループ名」という形式で指定します。 たとえば、salesとfinanceという2つのグループが定義されている場合、属性値は CTXSUserGroups=sales;financeになります。 グループ名はセミコロンで区切ります。 • セパレーターは、NPSでグループの区切りに使用したセミコロン、コロン、スペース、 またはピリオドです。 IASでリモートアクセスポリシーを構成し終わったら、Access GatewayでRADIUS認証と認 可を構成できます。 223 RADIUS認証のWindows Server 2003での構成 Windows Server 2003では、RADIUSの認証と承認はMicrosoft社のインターネット認証サー ビス(Microsoft Internet Authentication Service:IAS)のリモートアクセスセキュリティ ポリシーを使って構成します。 Access Gatewayを構成するとき、フィールドに次のように 値を指定します。 • [Vendor code]は、IASで指定したベンダー固有のコード番号です。 • [Vendor attribute]は、ベンダー側で割り当てた属性番号です。 • • [Attribute name]は、IASで定義した属性名です。 デフォルト名は、 CTXSUserGroups=です。 [Separator]は、RADIUS構成に複数のユーザーグループが含まれている場合に定義し ます。 セパレーターには、スペース、ピリオド、セミコロン、またはコロンを使用でき ます。 RADIUSサーバーにIASがインストールされていない場合は、Windows Server 2003のコン トロールパネルの[プログラムの追加と削除]を使ってインストールできます。 詳しくは、 Windowsのオンラインヘルプを参照してください。 IASを構成するには、Microsoft管理コンソールを使用して、IASのスナップインをインストー ルします。 ウィザードの指示に従って、次のように設定します。 • ローカルコンピューターを選択します。 • [リモートアクセスポリシー]を選択して、カスタムポリシーを作成します。 • ポリシーの条件を指定するときに、[Windows-Groups]を選択します。 • • • [暗号化認証(CHAP)]チェックボックスと[暗号化されていない認証(PAP、SPAP) ]チェックボックスをオンにします。 [Microsoft暗号化認証バージョン2(MS-CHAP v2)]チェックボックスと[ Microsoft 暗号化認証(MS-CHAP)]チェックボックスをオフにします。 [Vendor-Specific]属性を追加します。 サーバー上のグループ内のユーザーとAccess Gateway上のユーザーのVendor-Specific 属性を同じにする必要があります。 これらの値が一致するように、[Vendor-Specific] 属性がAccess Gatewayに送信されます。 属性の値として、必ず[RADIUS Standard] を選択してください。 224 • RADIUSのデフォルトの「0」を使用します。 この番号をベンダーコードにします。 • ベンダー割り当ての属性番号の「0」を使用します。 RADIUS認証のWindows Server 2003での構成 この値は、ユーザーグループ属性に割り当てられる番号です。 この属性は、文字列型で す。 • 属性の形式として、文字列を選択します。 属性の値には、属性名とグループ名を指定する必要があります。 Access Gatewayでは、「CTXSUserGroups=グループ名」という形式で指定します。 たとえば、salesとfinanceという2つのグループが定義されている場合、属性値は CTXSUserGroups=sales;financeになります。 グループ名はセミコロンで区切りま す。 • [ダイヤルインプロファイルの編集]ダイアログボックスで、[Vendor-Specific]だけ を残して、そのほかのエントリをすべて削除します。 IASでリモートアクセスポリシーを構成し終わったら、Access GatewayでRADIUS認証と認 可を構成できます。 225 RADIUS認証を構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 右パネルの[Add]の隣にある下矢印をクリックして、[RADIUS]を選択します。 4. [RADIUS Properties]ダイアログボックスの[General Properties]の[Profile name]ボックスに、プロファイルの名前を入力します。 5. [RADIUS Servers]の[Servers list]で[New]をクリックします。 6. [Add RADIUS Server]ダイアログボックスの[Server]ボックスに、RADIUSサーバー のIPアドレスを入力します。 7. [Shared Secret]ボックスと[Confirm Secret]ボックスに、RADIUSサーバーで構 成した共有シークレットを入力します。 重要: 必ず、強力なシークレットを使用してください。 強力なシークレットとは、英 数字と記号を組み合わせた8文字以上の文字列です。 8. [Port]ボックスにポート番号を入力して[OK]をクリックします。 9. 追加するRADIUSサーバーごとに手順5.~8.を繰り返します。 1つのプロファイルに3台までのRADIUSサーバーを構成できます。 RADIUSサーバーの優先度を変更するには RADIUSサーバーを認証プロファイルに追加したら、ユーザーのログオン時にサーバーをク エリする順序を変更できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication]をクリックします。 3. [Authentication Profiles]ページでRADIUS認証プロファイルを選択し、[Edit]をク リックします。 4. [Servers list]ボックスの一覧からRADIUSサーバーを選択します。 5. [Move]の隣にある矢印ボタンをクリックして一覧内のサーバーを移動し、[Update] を選択します。 226 Access Gatewayアプライアンスでの RSA SecurID認証プロファイルの作成 サイトで認証にRSA ACE/ServerまたはRSA Authentication ManagerとRSA SecurIDを使 用する場合は、ユーザーアクセスをRSAサーバーで認証するようにAccess Gatewayを構成 できます。 その場合は、Access GatewayがRSA Agent Hostとして機能し、Citrix Access Gateway Plug-inを使用してログオンするユーザーを代行して認証を受けます。 Access Gatewayでは、次の種類のRSAサーバーがサポートされます。 • RSA ACE/Server, Version 5.2以降 • RSA Authentication Manager, Versions 6.1および7.1 またAccess Gatewayは、レプリケーションサーバーをサポートしています。 レプリケーショ ンサーバーの構成はRSAサーバーで行います。この構成は、Access Gatewayにアップロー ドするsdconf.recファイルに含まれます。 レプリケーションサーバーをRSAサーバーで構成 すると、プライマリサーバーで障害が発生したりネットワーク接続が失われたりしたときに、 Access Gatewayからレプリケーションサーバーへ接続が試行されます。 注: RSAサーバー上でRADIUSサーバーを実行する場合は、「Access Gatewayアプライ アンスでのRADIUS認証プロファイルの作成」の手順に従ってRADIUS認証を構成してく ださい。 sdconf.recファイルを作成するには、次の手順に従います。 注: ここではAccess Gatewayに必要な設定を説明しますが、 環境によっては、これ以外 の追加設定が必要になることがあります。 詳しくは、RSA製品のドキュメントを参照して ください。 • • Agent Hostを作成します。 Access Gatewayを特定し、ネットワークアドレスとしてAccess Gatewayの内部IPアド レスを使用するために、Net OS Agentを構成します。 アプライアンスのフェールオーバーのために2つのAccess Gatewayアプライアンスを構 成する場合は、仮想内部IPアドレスを使用します。 • • • 227 Access Gatewayのわかりやすい名前を指定します。これが、構成ファイルの作成対象 のAgent Hostの名前になります。 エージェントの種類をUNIX Agentにします。 Agent Hostを作成するときに、RSAサーバーの[Node Secret Created]チェックボッ クスをオフにします。 RSAサーバーは、Access Gatewayからの要求を最初に認証する ときに、ノードシークレットをAccess Gatewayに送信します。 その後、[Node Secret Created]チェックボックスがオンになります。 このチェックボックスをオフに して新しい構成ファイルの生成とアップロードを行うと、RSAサーバーからAccess Gatewayに新しいノードシークレットが送信されます。 Access GatewayアプライアンスでのRSA SecurID認証プロファイルの作成 • Access Gatewayで認証されるユーザーは、次の方法で指定できます。 • Access Gatewayを、ローカルで認識できるすべてのユーザーを認証する公開 Agent Hostとして構成します。 Agent Hostを編集してアクティブにするユーザーを選択し、認証するユーザーを選 択します。 RSAサーバーと通信するには、RSAサーバーによって生成されるACE Agent Hostの sdconf.rec構成ファイルのコピーがAccess Gatewayに必要です。 RSAサーバーでの設定が 終わったら、sdconf.recファイルを作成してAccess Gatewayにアップロードします。 Access Gatewayにアップロードできるsdconf.recファイルは1つのみです。 • RSAサーバーの構成について詳しくは、RSA製品のドキュメントを参照してください。 ユーザー接続のサポート Access Gatewayは、Next Tokencodeモードをサポートしています。 ユーザーが間違った 暗証番号とトークンコードを3回入力すると、Access Gateway Plug-inは、次のトークンコー ドがアクティブになるまでログオンを待つようにユーザーに指示します。 RSAサーバーは、 ユーザーが間違ったパスワードを何度も入力する場合はユーザーのアカウントを無効にする ように構成できます。 Access Gatewayではユーザーに暗証番号の変更を許可するオプションがサポートされます。 ユーザーは次の3つの方法で暗証番号を変更できます。 • ユーザーはシステム生成の暗証番号を受け入れる必要があります。 • ユーザーは新しい暗証番号を作成する必要があります。 • ユーザーは新しい暗証番号を生成するか、システム生成の暗証番号を受け入れるかを選 択できます。 暗証番号を変更したら、ユーザーはAccess Gatewayに再ログオンする必要があります。 228 アプライアンスでRSA SecurID認証プ ロファイルを作成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 右パネルの[Add]の隣にある下矢印をクリックして、[RSA SecurID]を選択します。 4. [RSA SecurID Configuration]ダイアログボックスの[General Properties]の[ Name]ボックスに、プロファイルの名前を入力します。 5. sdconf.recファイルをアップロードするために、[Configuration File]の[Browse] をクリックし、ファイルを選択して[Open]をクリックし、[Save]をクリックしま す。 注: sdconf.recファイルは、通常、ace\data\config_filesフォルダーと windows\system32フォルダーに保存されています。 RSAサーバーは、ユーザー認証に最初に成功したときに、Access Gatewayに構成ファイル を書き込みます。 後でAccess GatewayのIPアドレスを変更した場合は、RSA認証プロファ イルを削除して新しいプロファイルを作成する必要があります。 もう一度sdconf.recファイ ルをアップロードする必要があります。 229 複数のアプライアンス用のRSA設定ファ イルの追加 ネットワークに複数のAccess Gatewayアプライアンスがある場合は、sdconf.recファイル に各アプライアンスのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を含 める必要があります。 各Access Gatewayアプライアンスに同じsdconf.recファイルをイン ストールする必要があります。 各アプライアンスのFQDNを含めることにより、すべてのア プライアンスがRSAサーバーに接続できるようになります。 逆に、ユーザーがRSAサーバーに接続するのを制限することもできます。たとえば、ネット ワークに3台のアプライアンスがあり、第1および第2のアプライアンスのFQDNを sdconf.recファイルに含め、第3のアプライアンスのFQDNを含めないとします。 この例で は、ユーザーは第1および第2のアプライアンスを使用しなければRSAサーバーに接続できま せん。 230 アプライアンスのフェールオーバーのた めのRSAエージェントホストファイルの 作成 アプライアンスのフェールオーバー機能およびRSA SecurIDを使用する場合は、アプライア ンスのフェールオーバーペアの仮想内部IPアドレスを使用してsdconf.recファイルを構成す る必要があります。 エージェントホストを編集するときは[Secondary Nodes]タブを開いて、プライマリ Access Gatewayアプライアンスの物理内部IPアドレスをセカンダリノードの1つとして追加 します。 セカンダリアプライアンスの物理内部IPアドレスもセカンダリノードの1つとして 追加します。 仮想IPアドレスを使用してセカンダリノードを構成しないでください。 この作業が終わったら、エージェントホストの構成ファイルを作成してsdconf.recファイル をアップロードし、Access GatewayでRSA SecurIDの認証プロファイルを構成します。 231 ノードシークレットのリセット Access Gatewayを前と同じIPアドレスを使って再構築した場合は、構成を復元した後で、 RSAサーバー上のノードシークレットもリセットする必要があります。 これは、Access Gatewayの再構築によってノードシークレットがアプライアンスから消去され、RSAサーバー で認証できなくなるからです。 RSAサーバー上のサーバーシークレットをリセットすると、次回の認証時にRSAサーバーか らノードシークレットがAccess Gatewayに送信されます。 232 Access Gatewayアプライアンス上の認 証プロファイルへの承認の追加 承認を構成して、セキュリティで保護されたネットワーク内でユーザーにアクセスを許可す るリソースを指定します。 Access Gatewayでは、次の種類の承認がサポートされます。 • 承認なし • LDAP承認 • RADIUS承認 LDAP承認およびRADIUS承認は、認証プロファイル内で構成します。 承認の種類として、常にLDAPを選択できます。 ただし、同じプロファイルが認証にも使用 されている場合にのみ、RADIUS承認を選択できます。 次の表は、プライマリおよびセカン ダリ認証プロファイルをさまざまに組み合わせた場合に使用できる承認プロファイルを示し ます。 セカンダリ認証プロファイル プライマリ認証プロファイル LDAP RADIUS RSA SecurID LDAP LDAP、なし LDAP、RADIUS、なし LDAP、なし RADIUS LDAP、RADIUS、なし LDAP、RADIUS、なし LDAP、RADIUS、なし RSA SecurID LDAP、なし LDAP、RADIUS、なし LDAP、なし なし LDAP、なし LDAP、RADIUS、なし LDAP、なし 233 アプライアンスでのLDAP承認の追加 LDAP承認をLDAP認証と共に構成できます。 LDAP承認はRADIUSまたはRSA認証と共に使 用することもできます。 承認なしで認証を構成することもできます。 2要素認証を使用する場合、ユーザーは2つの認証プロファイルを使用してログオンしますが、 Access Gatewayではプライマリの認証方法に関連付けられた資格情報を承認に使用します。 LDAP承認を有効にするには、Active Directory、Access Gateway、およびLDAPサーバー に、大文字小文字の区別も含めて同じグループ名が必要です。 グループ名で大文字と小文字 は区別されません。 LDAP承認を構成した環境にユーザーがログオンすると、Access GatewayによってLDAPサー バー上のユーザーが属するグループが検索されます。 次の表は、LDAPグループ属性の例を示しています。 LDAPサーバー グループ属性 Microsoft Active Directory memberOf Novell eDirectory groupMembership IBM Tivoli Directory Server(旧称IBM Directory Server) ibm-allGroups Sun ONE Directory(旧称 iPlanet) nsRole LDAPディレクトリの検索 LDAP承認と共にLDAP認証を構成する場合、LDAPディレクトリの検索方法を選択できます。 ディレクトリ全体を検索するか、ディレクトリ内の特定の場所から選択を開始できます。 ディレクトリ全体を検索する場合は、次のパラメーターを設定する必要があります。 • 基本識別名 • ユーザーメンバー属性名 • グループメンバー属性名 基本識別名を開始点とするLDAPディレクトリ検索も選択できます。 たとえば、グループコ ンテナーou=groups,cn=citrix,cn=comを使用して検索を開始できます。 User1が Engineeringグループに属する場合、検索はEngineeringグループのメンバー属性に基づいて 実行されます。 User2がEngineeringグループに属していて、このグループにQuality AssuranceおよびTest のような2つのサブグループがある場合、User2は3つのグループすべてに属します。 ディレクトリ内の特定の点から検索する場合、グループメンバー属性名を設定する必要があ ります。 234 アプライアンスでのLDAP承認の追加 検索フィルターを使用してグループメンバーの検索範囲を絞ることができます。 検索フィル ターの一例として、(objectClass=group)があります。 このパラメーターはオプション です。 235 アプライアンスでLDAP承認を構成する には Access GatewayでLDAP設定を構成するとき、Active DirectoryまたはNovell eDirectoryな どのサーバーの種類を選択すると、承認プロパティが自動的に表示されます。 設定をカスタ マイズした場合は、承認プロパティを変更できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 一覧からLDAPサーバーを選択し、[Edit]をクリックします。 4. [Authorization Properties]の設定をLDAPサーバーに合わせて変更して、[Save]を クリックします。 [Server type]ボックスで選択したLDAPサーバーの種類に応じて、[User member attribute]ボックスと[Group member]ボックスに値が自動的に入力されます。 承認時に[Group member]ボックスの属性を使用して、ユーザーが属するグループが取得 されます。 [Search scope]ボックスの一覧で、LDAPディレクトリ全体を検索するのか、ディレクト リ内の特定の点から検索するのかを選択します。 [Search time-out]ボックスに、ユーザーのログオン時にユーザーまたはグループを検索 する期間を入力します。 最大値は4分です。 デフォルト値は30秒です。 236 ユーザーオブジェクトからの直接的な LDAPグループ抽出のしくみ グループオブジェクトからグループメンバーシップを判断するLDAPサーバーは、Access Gatewayの承認機能と間接的に連動させることができます。 Active Directory(memberOf属性を使用)やIBM eDirectory(groupMembership属性を 使用)などのLDAPサーバーは、ユーザーオブジェクトにそのオブジェクトが属するグループ の情報を含めることができます。 IBM Directory Server(ibm-allGroupsを使用)やSun ONE Directory Server(nsRoleを使用)などでは、ユーザーのグループメンバーシップは ユーザーオブジェクトから計算できる属性です。 Access Gatewayのグループ抽出は、どち らの種類のLDAPサーバーでも機能します。 たとえば、IBM Directory Serverではibm-allGroups属性を使って、静的、動的、およびネ ストされたグループを含むすべてのグループメンバーシップを返すことができます。 また Sun ONE Directory ServerではnsRole属性から、管理対象、フィルター済み、およびネス トされた役割を含むすべての役割を計算できます。 237 グループオブジェクトからの間接的な LDAPグループ抽出のしくみ グループオブジェクトから間接的にグループメンバーシップを判断するLDAPサーバーは、 Access Gatewayの承認機能と連動しません。 Lotus Dominoのような一部のLDAPサーバーでは、グループオブジェクトにのみユーザー情 報が含まれます。 これらのLDAPサーバーではユーザーオブジェクトにグループ情報が含ま れないので、Access Gatewayのグループ抽出と連動しません。 この種類のLDAPサーバー の場合、グループメンバーシップの検索は、グループのメンバー一覧でユーザーを検索する ことで実行されます。 238 Access Gatewayアプライアンスへの RADIUS承認プロファイルの追加 RADIUS認証と共に使用できるのは、次の承認方法です。 • RADIUS承認 • LDAP承認 • 承認なし RADIUS承認を構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 右パネルでRADIUSプロファイルを選択し、[Edit]をクリックします。 4. [Group Authorization]にRADIUSサーバー上の値に対応する値を入力します。 承認の値について詳しくは、次のトピックを参照してください。 • RADIUS認証のWindows Server 2003での構成 • RADIUS認証のWindows Server 2008での構成 注: Microsoft IASをRADIUSサーバーとして使用していて、構成済みのRADIUSサーバー にAccess Gatewayから要求を送信したときにユーザー名またはパスワードが間違ってい るというエラーメッセージが表示される場合は、インターネット認証サービスのリモート アクセスポリシーの設定画面で、適用するポリシーのプロパティの[認証]タブにある[ 暗号化されていない認証(PAP、SPAP)]チェックボックスをオンにします。 239 Access Gatewayから認証プロファイル を削除するには 認証サーバーの使用を中止するか、ドメインサーバーを削除する場合は、Access Gateway から認証プロファイルを削除できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Authentication Profiles]をクリックします。 3. 認証プロファイルを選択して[Remove]をクリックします。 240 デバイスプロファイルの作成 Access Gatewayではデバイスプロファイルを使用して、ユーザーがネットワークにログオ ンするときにユーザーデバイスを条件のセットと照合するプロファイルを作成できます。 デ バイスプロファイルにセットアップする条件をデバイスが満たさなければ、ユーザーはネッ トワークへのアクセスを許可されません。 デバイスプロファイルを定義して、ユーザーが内 部リソースへのアクセスに使用する可能性のあるさまざまなエンドポイントデバイスを表し ます。 たとえば、ACMEコーポレーションの管理者が「会社所有のVistaラップトップ」というデバ イスプロファイルを定義するとします。このプロファイルは、Windowsレジストリにウォー ターマーク値のあるWindows Vistaベースのコンピューターと一致します。 ユーザーデバイ スがこの条件を満たす場合、ユーザーはネットワークにログオンできます。 ログオンポイントでデバイスプロファイルを使用できます。 デバイスプロファイルを使用し てログオンページを表示する前にユーザーデバイスでエンドポイント解析スキャンを実行し、 スキャンに合格しなければログオンページを表示しないようにすることができます。 これを ログオンポイントの表示機能と呼びます。 デバイスプロファイルはスマートグループで使用します。 各スマートグループに、デバイス プロファイルを含めずにおくことも、1つまたは複数のデバイスプロファイルを含めること もできます。 Access Gatewayでは管理者が構成するデバイスプロファイル情報を使用して、 スマートグループのユーザーのアクセス許可を決定します。 このセクションでは、Access Gateway Management Consoleで作成できるさまざまな種 類のスキャンとプロファイルについて説明します。 スキャン式とデバイスプロファイルの作 成についても説明します。 241 デバイスプロファイルの種類 Access Gateway Management Consoleを使用して、Access Gatewayに次のデバイスプロ ファイルを構成できます。 • • • • • 242 ファイルスキャン: ユーザーデバイスに特定のファイルが存在するかどうかを検出しま す。 プロセススキャン: ユーザーデバイス上でプロセスが実行されているかどうかを検出し ます。 レジストリスキャン: ユーザーデバイス上のレジストリの情報(レジストリキーやレジ ストリ値の存在など)を検出します。 オペレーティングシステムスキャン: オペレーティングシステムについて、ユーザーデ バイス上の名前、バージョン、およびService Packのような情報を確認します。 ポートスキャン: ユーザーデバイスが特定のポート上でリッスンしているかどうかなど のポート情報を検出します。 ファイルスキャンを追加するには ファイルスキャンを使用して、特定のファイルがユーザーデバイスに存在するかどうかを検 出します。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Device Profiles]をクリックします。 3. [Device Profiles]パネルで[New]をクリックします。 4. [Profile name]ボックスにデバイスプロファイルの名前を入力します。 5. [Description]ボックスにデバイスプロファイルの説明を入力します。 6. [Add or Modify Scan]で次のオプションを設定します。 • • • [Scan Type]ボックスの一覧から[File]を選択します。 [File name]ボックスに、ユーザーデバイスで検索するファイルのフルパスを入力 します。 [Hash type]ボックスの一覧から、次の暗号ハッシュ関数のいずれかを入力します。 • • • None: ハッシュが計算されません。 MD5: MD5暗号ハッシュ関数は、ファイルの整合性を確認するため、セキュリ ティアプリケーションでよく使用されます。 SHA-1: このSHA(Secure Hash Algorithm)暗号ハッシュ関数は、幅広く使 用されているセキュリティアプリケーションおよびプロトコルの一部で使用され ます。 SHA-256: このSHA(Secure Hash Algorithm)暗号ハッシュ関数はSHA-2の 一種で、32ビットワードを使用します。 [Hash value]で[New]をクリックして、要求するファイルハッシュセットを示 す値を入力します。 • • • • • ファイルのフルパスにWindows環境変数を使用する場合は、[Expand Environment]チェックボックスをオンにします。 [Version]ボックスの一覧から、ファイルバージョンの比較に使用する演算子を選 択します。 [Scan name]ボックスにこのファイルスキャンのフレンドリ名を入力します。 [Add Scan]をクリックして、スキャンをスキャン式に追加します。 7. ファイルスキャンの情報を入力し終えたら、[Save]をクリックします。 • 243 プロセススキャンを追加するには プロセススキャンを使用して、ユーザーデバイス上でプロセスが実行されているかどうかを 検証します。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Device Profiles]をクリックします。 3. [Device Profiles]パネルで[New]をクリックします。 4. [Profile name]ボックスにデバイスプロファイルの名前を入力します。 5. [Description]ボックスにデバイスプロファイルの説明を入力します。 6. [Add or Modify Scan]で次のオプションを設定します。 • [Scan Type]ボックスの一覧から[Process]を選択します。 • [Process]ボックスに、ユーザーデバイスで検索するプロセスの名前を入力します。 • [Hash type]ボックスの一覧から、次の暗号ハッシュ関数のいずれかを入力します。 • • • None: ハッシュが計算されません。 MD5: MD5暗号ハッシュ関数は、ファイルの整合性を確認するため、セキュリ ティアプリケーションでよく使用されます。 SHA-1: このSHA(Secure Hash Algorithm)暗号ハッシュ関数は、幅広く使 用されているセキュリティアプリケーションおよびプロトコルの一部で使用され ます。 SHA-256: このSHA(Secure Hash Algorithm)暗号ハッシュ関数はSHA-2の 一種で、32ビットワードを使用します。 [Hash value]で[New]をクリックして、要求するファイルハッシュセットを示 す値を入力します。 • • • • • ファイルのフルパスにWindows環境変数を使用する場合は、[Expand Environment]チェックボックスをオンにします。 [Version]ボックスの一覧から、ファイルバージョンの比較に使用する演算子を選 択します。 [Scan name]ボックスにこのプロセススキャンのフレンドリ名を入力します。 [Add Scan]をクリックして、スキャンをスキャン式に追加します。 7. プロセススキャンの情報を入力し終えたら、[Save]をクリックします。 • 244 レジストリスキャンを追加するには レジストリスキャンを使用して、ユーザーデバイス上のレジストリの情報(レジストリキー やレジストリ値の存在など)を検出します。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Device Profiles]をクリックします。 3. [Device Profiles]パネルで[New]をクリックします。 4. [Profile name]ボックスにデバイスプロファイルの名前を入力します。 5. [Description]ボックスにデバイスプロファイルの説明を入力します。 6. [Add or Modify Scan]で次のオプションを設定します。 • • • • • [Scan Type]ボックスの一覧から[Registry]を選択します。 [Registry key]ボックスに、スキャンで検出するレジストリキーの名前を入力し ます。 [Value name]ボックスに、スキャンで検出するレジストリ値の名前を入力します。 [Value data]ボックスの一覧から、スキャンするレジストリ値の種類を選択しま す。 [Type]で、検索するレジストリ領域を選択します。[32-bit]、[64-bit]、ま たは[Any]です。 注: 64ビットのユーザーデバイス上の32ビットレジストリをスキャンできます。 • • [Value]ボックスの一覧から、レジストリ値の比較または検出に使用する演算子を 選択します。 [Scan name]ボックスにこのプロセススキャンのフレンドリ名を入力します。 • [Add Scan]をクリックして、スキャンをスキャン式に追加します。 7. レジストリスキャンの情報を入力し終えたら、[Save]をクリックします。 245 オペレーティングシステムスキャンを追 加するには オペレーティングシステムスキャンを使用して、ユーザーデバイス上の名前、バージョン、 およびService Packのような情報を確認します。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Device Profiles]をクリックします。 3. [Device Profiles]パネルで[New]をクリックします。 4. [Profile name]ボックスにデバイスプロファイルの名前を入力します。 5. [Description]ボックスにデバイスプロファイルの説明を入力します。 6. [Add or Modify Scan]で次のオプションを設定します。 • • • • • • [Scan Type]ボックスの一覧から[Operating System]を選択します。 [Operating system]ボックスの一覧から、スキャンで検出するオペレーティング システムの名前を選択します。 [Version]ボックスに、スキャンするオペレーティングシステムのバージョン番号 を入力します。 [Service pack]ボックスの一覧からスキャンするService Packリリースを選択す るか、[None]または[Any]を選択します。 [Redirection]で、スキャンするオペレーティングシステムのビットの種類を選択 します。[32-bit]、[64-bit]、または[Any]です。 [Scan name]ボックスにこのオペレーティングシステムスキャンのフレンドリ名 を入力します。 [Add Scan]をクリックして、スキャンをスキャン式に追加します。 7. オペレーティングシステムスキャンの情報を入力し終えたら、[Save]をクリックしま す。 • 246 ポートスキャンを追加するには ポートスキャンを使用して、禁止されているポートを検出します。 たとえば、ユーザーデバ イスにポート80をリッスンさせたくない場合は、このポートを禁止できます。 すると、ユー ザーデバイスでポート80がリッスンされている場合、デバイスでスキャンが不合格になりま す。 デバイスプロファイルを使用して任意のポートを禁止できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Device Profiles]をクリックします。 3. [Device Profiles]パネルで[New]をクリックします。 4. [Profile name]ボックスにデバイスプロファイルの名前を入力します。 5. [Description]ボックスにデバイスプロファイルの説明を入力します。 6. [Add or Modify Scan]で次のオプションを設定します。 • • [Scan Type]ボックスの一覧から[Port]を選択します。 [Service ports]ボックスに、ポート番号、ポート番号の範囲、または両方の組み 合わせを入力します。区切り文字にはコンマを使用します。 注: リッスンポートについては、ポート番号はローカルポートです。 そうでなけ れば、ポート番号はリモートポートです。 • • [Disallow protocols]で、ユーザーデバイスの指定ポートで検出された場合はスキャ ンが不合格になるプロトコルを選択します。[TCP]、[UDP]、または[ANY] のいずれかです。 オプションで、[Scan name]ボックスにこのポートスキャンのフレンドリ名を入 力します。 • [Add Scan]をクリックして、スキャンをスキャン式に追加します。 7. ポートスキャンの情報を入力し終えたら、[Save]をクリックします。 247 スキャン式の作成 更新日: 2012-05-03 デバイスプロファイルを単一のスキャンで構成することも、次の演算子を使用して複数のス キャンを組み合わせた詳細なデバイスプロファイルを作成することもできます。 • AND • OR たとえば、ユーザーデバイスがWindows XP Service Pack 3を実行しているかどうかと、デ バイスでメモ帳を実行しているかどうかを検出するスキャンを組み合わせたデバイスプロファ イルを作成できます。 248 スキャン式の作成 スキャン式を作成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Device Profiles]をクリックします。 3. [Device Profiles]パネルで[New]をクリックします。 4. [Profile name]ボックスにデバイスプロファイルの名前を入力します。 5. [Description]ボックスにデバイスプロファイルの説明を入力します。 6. [Scan Expression]で手順4.で入力したデバイスプロファイルの名前を選択して[ AND]をクリックします。 7. [Add or Modify Scan]で次のオプションを設定します。 • [Scan Type]ボックスの一覧から[Operating System]を選択します。 • [Operating System]ボックスの一覧から[Windows XP]を選択します。 • [Service pack]ボックスの一覧から[Service Pack 3]を選択します。 • [Redirection]で[Any]を選択します。 • オプションで、[Scan name]ボックスにこのオペレーティングシステムスキャン のフレンドリ名を入力します。 • [Add Scan]をクリックして、スキャンをスキャン式に追加します。 8. [Scan Expression]で[AND]を選択します。 9. [Add or Modify Scan]で次のオプションを設定します。 • [Scan Type]ボックスの一覧から[File]を選択します。 • [File name]ボックスに「notepad.exe」と入力します。 • オプションで、[Scan name]ボックスにこのファイルスキャンのフレンドリ名を 入力します。 • [Add Scan]をクリックして、スキャンをスキャン式に追加します。 10. [Scan Expression]でスキャン名を選択すると、[Sentence]ボックスに次のような スキャン式が入力されます。 ((<オペレーティングシステムのスキャン> AND <メモ帳のスキャン>)) 11. [Save]をクリックします。 249 デバイスプロファイルの作成 デバイスプロファイルを定義するときは、プロファイルと一致するとみなすためにユーザー デバイスに存在する必要のある属性を指定します。 スキャンテンプレートのセットからスキャ ンを定義して、1つまたは複数のスキャンをデバイスプロファイルの定義に追加します。 そ の後で、ログオン画面の表示のためにログオンポイントで、そしてスマートグループで、デ バイスプロファイルを使用できます。 デバイスプロファイルの定義手順は次のとおりです。 1. エンドポイントスキャンを定義します。 スキャンを使用して、ユーザーデバイスの特定の側面を確認します。これには、ファイ ル、プロセス、レジストリ値、オペレーティングシステム、Service Pack、およびアン チウイルスソフトウェアが含まれます。 エンドポイントスキャンを定義した後は、その スキャンを複数のデバイスプロファイルで使用できます。 2. 新しいデバイスプロファイルを作成します。 デバイスプロファイルには1つまたは複数のスキャンを含められます。 注: ログオンポイントとスマートグループでデバイスプロファイルを使用できます。 デバイスプロファイルをログオンポイントに設定する場合、ユーザーデバイスが条件 を満たさなければユーザーはログオンできません。 デバイスプロファイルをスマート グループに設定する場合、ユーザーデバイスでエンドポイント解析スキャンに合格し なければ、デバイスはスマートグループのメンバーになれません。 3. スマートグループのメンバーシップを得るための条件として、デバイスプロファイルを 追加します。 スマートグループについて詳しくは、「スマートグループの追加」を参照してください。 250 ネットワークリソースの構成 ユーザーはAccess Gatewayを経由しネットワークアクセスを使用して、内部リソースに接 続します。 管理者は、ネットワーク上のあらゆるサブネットに対するアクセスを許可または 拒否できます。 たとえば、ネットワーク上の1つまたは複数のファイル共有へのアクセスや、 Webアプリケーション、サーバー、および電子メールサーバーを含む、ネットワーク上のす べてのリソースへの完全なアクセスをユーザーに与えることができます。 ネットワークリソースはAccess Gateway Management Consoleで作成し、スマートグルー プを使用してアクセスを許可または拒否します。 ネットワークリソースのスマートグループへの追加について詳しくは、「ネットワークリソー スのスマートグループへの追加」を参照してください。 251 ネットワークルーティングの構成 内部ネットワークリソースへのアクセスを提供するには、Access Gatewayで内部ネットワー クへのデータルートを決定できる必要があります。 Access Gatewayのルーティングテーブル、デフォルトゲートウェイ、およびAccess Gatewayに指定する静的ルートにより、Access Gatewayがデータを送信できるネットワー クが決定されます。 Access Gatewayのルーティングテーブルには、ユーザーがアクセスす る必要があるすべての内部ネットワークリソースへのルートが含まれている必要があります。 Access Gatewayがパケットを受信すると、ルーティングテーブルが確認されます。 ルーティ ングテーブルにルートが含まれるネットワーク内にパケットの宛先アドレスがある場合、パ ケットはそのネットワークに送信されます。 Access Gatewayがパケットを受信し、ルーティングテーブルにルートが含まれるネットワー ク内にパケットの宛先アドレスがない場合、パケットはデフォルトゲートウェイに送信され ます。 デフォルトゲートウェイのルート決定機能によって、パケットルートの決定方法が決 まります。 252 ユーザーに対するネットワークアクセス の提供 ネットワークリソースを使用してネットワークへのアクセス許可を制御できます。 ネットワー クリソースを作成したら、スマートグループでネットワークリソースを管理してユーザーに アクセス権を与えたり拒否したりできます。 ユーザーにアクセスを許可するネットワークリ ソースは、Access Gatewayがデータを送信できるネットワークに存在する必要があります。 Access Gatewayにより、さまざまなネットワークリソースへのアクセス方法をきめ細かく ユーザーに提供できます。 ネットワークリソースへのユーザーアクセスは、ネットワークリソースを作成することによっ て制御します。 ネットワークリソースには、ネットワーク上のいくつかの場所を含めます。 一般的に、Access Gatewayがデータを送信できるすべてのネットワークリソースの一部を、 ネットワークリソースに設定します。 たとえば、ネットワークリソースによって、1つのア プリケーション、一部のアプリケーション、特定の範囲のIPアドレス、イントラネット全体 などへのアクセスを提供することができます。 ネットワークリソースに含めるリソースは、 ユーザーのアクセス要件に大きく左右されます。 たとえば、あるユーザーには多くのリソー スを、別のユーザーにはより少ない一部のリソースへのアクセスを提供するというように設 定します。 特定のネットワークリソースへのアクセスをスマートグループに許可しなければスマートグ ループのネットワークアクセスが拒否されるように、デフォルト設定を変更することができ ます。 253 ネットワークリソースのトポロジ ユーザーがログオンすると、その資格情報が認証サーバーに送信されて検証されます。 認証 が確認されると、Access Gatewayにより、ユーザーがアクセスできるセキュリティで保護 されたネットワーク内のIPアドレスに対応するネットワークリソースが確認されます。 その 後、ユーザーは社内にいるかのように、ファイル共有、Webアプリケーション、およびその ほかのサーバーに移動できます。 ネットワークリソースをスマートグループに割り当てることで、リソースのアクセス制御ポ リシーが設定されます。 次の図は、ユーザーがAccess Gateway Plug-inで接続するときの ネットワークトポロジを示します。 図 1. ネットワークリソースと認証のネットワークトポロジ ネットワーク上の次のサブネットに対するセキュリティで保護されたアクセスをユーザーに 提供するとします。 • サブネット10.10.x.x • サブネット10.20.10.x • IPアドレス10.50.0.60および10.60.0.10 このアクセスを提供するには、次のようにIPアドレスとサブネットマスクを指定してネット ワークリソースプロファイルを作成します。 10.10.0.0/255.255.0.0 10.20.10.0/255.255.255.0 254 ネットワークリソースのトポロジ 10.50.0.60/255.255.255.255 10.60.0.10/255.255.255.255 サブネットマスクは、CIDR(Classless Inter-Domain Routing)表記で指定することもで きます。 たとえば、最後のエントリを「10.60.0.10/32」と指定してもかまいません。 ネットワークリソースグループを作成してよりきめ細かく制御するには、次のヒントを参考 にしてください。 • • • IPアドレスとサブネットマスクに加え、ポート、ポートの範囲、およびプロトコルを指 定することで、アクセスをさらに制限することができます。 たとえば、ネットワークリ ソースへのアクセスにポート80とTCPプロトコルだけを使用するように指定できます。 スマートグループにネットワークリソースを構成するとき、スマートグループ内で任意 のネットワークリソースへのアクセスを許可または拒否できます。 そのため、あるリソー スへのアクセスを、そのリソースの一部を除外して許可することができます。 たとえば、 あるユーザーグループに、10.20.10.0/24内のリソースへのアクセスを基本的に許可し ながら、10.20.10.30へのアクセスだけは拒否するように設定することができます。 拒 否規則は、許可規則より優先されます。 あるユーザーグループがすべてのネットワークリソースにアクセスする必要がある場合 は、0.0.0.0/0.0.0.0のネットワークリソースを作成し、スマートグループでユーザーグ ループにそのネットワークリソースへのアクセスを許可します。 ほかのすべてのスマー トグループについて、個別のネットワークリソースへのユーザーアクセスを必要に応じ て許可または拒否する必要があります。 注: 0.0.0.0/0.0.0.0を使用してネットワークリソースを構成すると、分割トンネリ ングが無効になります。これは、ユーザーデバイスが送信ネットワークトラフィック を許可されたすべてのリソースに対するものと認識するためです。 この場合、公共の インターネットWebサイトへのトラフィックも含めたすべてのネットワークトラフィッ クが、Access Gatewayに送信されます。 255 ネットワークリソースを追加するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Network Resources]をクリックします。 3. [Network Resources]パネルで[New]をクリックします。 4. [Network Resources Properties]ダイアログボックスの[Name]ボックスに、ネッ トワークリソースの名前を入力します。 5. [Description]ボックスにネットワークリソースの説明を入力します。 6. [Enabled Protocols]で列挙されているプロトコルのチェックボックスをオンにします。 注: 各ネットワークリソースに対して1つまたは複数のプロトコルを選択する必要が あります。 プロトコルを選択しないと、ユーザーがリソースに接続できません。 [Repeater]チェックボックスをオンにすると、Access GatewayとBranch Repeater が連動してTCPが最適化されます。 7. [Port or port range]ボックスで、次のどちらかを行います。 • [All]をクリックしてすべてのポートを許可します。 または • 許可するポート番号を入力します。 8. [Networks list]の[New]をクリックします。 9. [Add Network Resource]ダイアログボックスの[IP address]ボックスに、IPアド レスを入力します。 10. [Subnet mask]ボックスにサブネットマスクを入力して[OK]をクリックします。 11. ネットワークリソースごとに手順8.および10.を繰り返し、[Save]をクリックします。 ネットワークリソースを作成したら、スマートグループでリソースを許可または拒否します。 詳しくは、「ネットワークリソースのスマートグループへの追加」を参照してください。 256 ネットワークリソースを削除するには Access Gateway Management Consoleを使用して、いつでもネットワークリソースを削 除できます。 ネットワークリソースは、関連するすべてのスマートグループから自動的に削 除されます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Network Resources]をクリックします。 3. [Network Resources]パネルでネットワークリソースを選択し、[Remove]をクリッ クします。 257 Access Gatewayアプライアンスでのロ グオンポイントの作成 更新日: 2012-05-03 ログオンポイントにはユーザーのログオンページを定義し、ユーザーセッションに適用され る設定を指定します。 Access Gatewayアプライアンスにログオンポイントを構成する場合、 この設定には、必要な認証と承認の種類、ログオンポイントの種類、使用するクライアント ソフトウェア、およびデバイスプロファイルの設定が含まれます。 必要なログオンポイントを決定するには、次のことを検討します。 • • • 展開環境にアクセスするユーザーについて。 たとえば、特定の部署のユーザーは、専用 のログオンポイントが必要な場合があります。 同様に、パートナー企業の従業員など、 組織と特有な関係を持つユーザーにも、専用のログオンポイントが必要な場合がありま す。 ユーザーがログオンポイントにアクセスするときに使用するデバイスについて。 たとえ ば、PDAのような小型デバイスでリソースにアクセスするユーザーには、コンピューター からアクセスするユーザーのログオンポイントとは別のログオンポイントが必要な場合 があります。 使用されるログオンポイントに基づいてリソースへのアクセスを制限するポリシーにつ いて。 たとえば、特定のログオンポイントで認証を受けると、ほかのログオンポイント で認証を受ける場合には使用できないリソースにアクセスできるようにすることができ ます。 注: ログオンポイントを作成するときは、英数字のみを使用できます。 ( "" & ! @ # $ % のような特殊文字は使用できません。 258 ログオンポイントの種類と設定 Access Gatewayには「基本」と「SmartAccess」の2種類のログオンポイントを構成でき ます。 基本ログオンポイントでは、Citrix Online Plug-inまたはCitrix Receiverから公開ア プリケーションまたは公開デスクトップへの接続のみが許可されます。 SmartAccessログオ ンポイントでは、Access Gateway Plug-inでの完全なVPN接続およびWebサイトとファイ ル共有へのクライアントレスアクセスが許可され、エンドポイント解析機能を使用できます。 Access Gateway Plug-inを使用してユーザーがログオンすると、電子メールサーバーとファ イル共有を含む、許可されているすべてのネットワークリソースにアクセスできます。 基本ログオンポイントの構成 基本ログオンポイントを構成すると、Access Gatewayにより自動的にスマートグループが 作成され、ログオンポイントがスマートグループに割り当てられます。このスマートグルー プはWeb Interfaceと連動して、アプリケーションまたはデスクトップをユーザーに表示し ます。 基本ログオンポイントを作成するときは、Web InterfaceのURLを指定します。 ユーザーが基本ログオンポイントにログオンすると、接続にはプラットフォームライセンス が使用されます。 ユーザーはCitrix Online Plug-inまたCitrix Receiverを使用してログオン します。 基本ログオンポイントには、次の設定を構成できます。 • Web InterfaceのWebアドレス • プライマリおよびセカンダリの認証の種類 • Webアプリケーションへのシングルサインオン SmartAccessログオンポイントの構成 SmartAccessログオンポイントを構成すると、すべてのAccess Gateway機能を使用でき、 デバイスプロファイルとスマートグループを使用してアクセスを制御できます。 SmartAccessログオンポイントには、次の設定を構成できます。 • プライマリおよびセカンダリの認証の種類。 • プライマリおよびセカンダリの承認。 • デバイスプロファイルでのログオンポイントの表示設定。 • ユーザーデバイスのエンドポイント解析におけるユーザーへの修復メッセージ。 • 259 非アクティブなユーザー、セッション、およびネットワーク活動に基づくタイムアウト 設定。 ログオンポイントの種類と設定 ログオンポイントに構成するユーザーのタイムアウト設定は、グローバルなタイムアウト設 定より優先されます。 スマートグループに異なるタイムアウト設定を構成すると、スマート グループのタイムアウト設定はログオンポイントのタイムアウト設定とグローバルなタイム アウト設定より優先されます。 260 ログオンポイントの認証の種類の選択 ログオンポイントを構成する前に、Access Gatewayに認証プロファイルを構成する必要が あります。 その後でログオンポイントを構成するときに、ログオンポイントに使用する認証 プロファイルを選択します。 基本ログオンポイントを構成するときは、認証プロファイルを選択するか、Web Interface を使用してユーザーを認証するかを選択できます。 Web Interfaceで認証する場合、ログオ ンポイントのプロパティページのそのほかのすべての設定が使用できなくなります。 Web Interfaceで認証する場合、Web InterfaceをDMZに配置する必要があります。 Web Interfaceをセキュリティで保護されたネットワーク内にインストールする場合は、Access Gatewayで認証を構成する必要があります。 Access Gatewayと共にWeb Interfaceを展開 する方法について詳しくは、「Access GatewayのXenAppまたはXenDesktopとの統合」を 参照してください。 基本ログオンポイントとSmartAccessログオンポイントの両方で2要素認証を構成できます。 2要素認証では、ユーザーは2種類の資格情報を入力する必要があります。 たとえば、ユーザー はユーザー名、パスワード、そして別の種類のパスワードを入力します。 暗証番号(PIN) とRSA SecurIDのトークンなどに表示されるコードを組み合わせて、セカンダリパスワード にできます。 SmartAccessログオンポイントを構成する場合は、使用する承認の種類も選択できます。 2 要素認証を使用する場合は、2つの承認プロファイルを選択できます。 261 Access Gatewayで基本ログオンポイン トを構成するには 基本ログオンポイントを構成する前に、Web Interfaceをインストールし、Web Interface が正常にネットワークと通信できることを確認してください。 基本ログオンポイントを構成 する場合は、少なくとも1台のSTA(Secure Ticket Authority)サーバーとICAアクセス制 御も構成する必要があります。 詳しくは、「Secure Ticket Authorityを使用するように Access Gatewayアプライアンスを構成するには」を参照してください。 基本ログオンポイントを構成するときは、Access GatewayとWeb Interfaceのどちらでユー ザーを認証するかを選択できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ほかと重複 しないログオンポイントの名前を入力します。 5. [Type]ボックスの一覧から[Basic]を選択します。 6. セキュリティで保護されたネットワーク内の認証サーバーを使用するには、[ Authentication Profiles]の[Primary]ボックスの一覧から、ログオンポイントの認証 の種類を選択します。 ユーザーは、ここで選択した認証プロファイルに対応する資格情報をログオン時に入力 します。 7. Web Interfaceで認証するには、[Authenticate with the Web Interface]チェックボッ クスをオンにして、[Web Interface]ボックスにWeb InterfaceのIPアドレスまたは FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を入力します。 ユーザーがログオンすると、ユーザー資格情報を入力するWeb Interfaceのログオンペー ジが開きます。 注: ユーザーをWeb Interfaceで認証する場合、Web InterfaceをDMZにインストー ルすることをお勧めします。 この展開により、ユーザーがセキュリティで保護された ネットワークにアクセスする前に、認証が行われます。 8. [Save]をクリックします。 262 基本ログオンポイントへのWebリソース の追加 更新日: 2012-05-03 基本ログオンポイントを作成するときは、ユーザーがCitrix Receiverでログオンするとアク セスできるWebリソースを追加できます。 Webリソースには、Access Gatewayで保護する Webページ、Webサイト、またはアプリケーションを定義します。 Access GatewayにWebリソースを追加するときは、Webアプリケーションへのシングルサ インオンおよびアプリケーションのログレポートへのアクセスも構成できます。 レポートは ユーザーがリソースのURLプレフィックス付きリンクに接続するか、リソースがWebブラウ ザーにロードされたときに記録されます。 Access Gateway Management Consoleの[ Logging]パネルでレポートにアクセスできます。 1つのログオンポイントに複数のWebリソースを定義できます。 Webリソースを定義すると きは、完全なWebアドレスを使用する必要があります。 たとえば、BoxのWebリソースを構 成するときは、「http://www.box.com」と入力します。 WebアドレスはHTTPまたは HTTPSで構成できます。 注: Webリソースを定義した後に設定を変更することはできません。 設定変更が必要な 場合は、Webリソースを削除してから再追加する必要があります。 ユーザーがログオンすると表示されるホームページも定義できます。 ホームページは定義す るWebリソースのURLプレフィックスである必要があります。 たとえば、「 http://www.box.com」と入力したとします。 BoxのWebサイトをホームページにするに は、「http://www.box.com/index.html」のようなサイトのプレフィックスを入力します。 Webリソースを追加した後で、ログオンポイントに新しいリソースを追加したり、ログオン ポイントからWebリソースを削除したりすることができます。 263 基本ログオンポイントへのWebリソースの追加 Webリソースを追加するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ほかと重複 しないログオンポイントの名前を入力します。 5. [Type]ボックスの一覧から[Basic]を選択します。 6. [Website Configuration]をクリックします。 7. [Web Resource Properties]ダイアログボックスで、[New]をクリックします。 8. [New Address]ダイアログボックスで、[New address]ボックスにアプリケーショ ンのWebアドレスを入力します。 9. ユーザーがログオン資格情報を入力せずにアプリケーションにアクセスできるようにす るには、[Single sign-on to Web application]を選択します。 10. アプリケーションのログにアクセスする場合は、[Log access]を選択します。 11. 追加するWebリソースごとに手順7.~10.を繰り返します。 12. 完了したら[OK]をクリックします。 13. [Web Resource Properties]ダイアログボックスで、[Home page]ボックスにユー ザーがログオンしたときに表示されるページを入力します。 14. [Save]をクリックします。 Webリソースを削除するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで基本ログオンポイントを選択し、[Edit]をクリックします。 4. [Website Configuration]をクリックします。 5. [Web Resource Properties]ダイアログボックスでWebリソースを選択して、[ Delete]をクリックします。 6. [Update]をクリックし、[Save]をクリックします。 264 Access GatewayでSmartAccessログ オンポイントを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ログオンポ イントの名前を入力します。 5. [Type]ボックスの一覧から[SmartAccess]を選択します。 6. [Authentication Profiles]の[Primary]ボックスの一覧で認証の種類を選択します。 7. 適用できる場合は[Authorization Profiles]で承認の種類を選択して、[Save]をクリッ クします。 265 Access Gatewayにデフォルトのログオ ンポイントを設定するには デフォルトのログオンポイントを使用すると、ユーザーはログオンポイントを指定せずに Access Gatewayにログオンできます。 たとえば、ユーザーは https://AccessGatewayFQDNのようなアプライアンスのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)のみを使用してログオンできます。 デフォルトのログオンポ イントを指定しないと、ユーザーはhttps://AccessGatewayFQDN//lp/<ログオンポイント 名>のようにログオンポイントの名前を指定しないとログオンできません。 Access Gateway Management Consoleを使用して、デフォルトのログオンポイントを指定できま す。 デフォルトに指定できるログオンポイントはいつでも1つだけです。 注: デフォルトのログオンポイントを定義しない場合、ユーザーが存在しないログオンポ イントにアクセスしようとすると、ログオンポイントを使用できないというメッセージが 表示されます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで一覧からログオンポイントを選択し、[Set Default]をク リックします。 デフォルトのログオンポイントを変更するには、別のログオンポイントを選択して[Set Default]をクリックします。 266 SmartAccessログオンポイントの表示 を有効にするには SmartAccessログオンポイントによって、ユーザーデバイス上のWebブラウザーにログオン ページが送信され、ユーザーが資格情報を入力できます。 デバイスプロファイルを使用して ログオンページを表示する前にユーザーデバイスでエンドポイント解析スキャンを実行し、 スキャンに合格しなければログオンページを表示しないようにすることができます。 これを ログオンポイントの表示機能と呼びます。 この機能によって、ログオンページがセキュリティで保護されます。 たとえば、ユーザーデ バイスで必要なバージョンのアンチウイルスソフトウェアが実行されていることを検証する、 エンドポイント解析スキャンを作成できます。 必要なレベルのアンチウイルスソフトウェア が実行されていないユーザーデバイスは、ユーザーのキーボード操作を記録するウイルスや スニッフィングプログラムに感染している可能性があります。 このようなウイルスやプログ ラムによって、ユーザーがログオンするときに資格情報が記録され、傍受されるおそれがあ ります。 ログオンポイントを構成する前に、必要なデバイスプロファイルを構成します。 それからロ グオンポイントの[Logon Point Properties]ダイアログボックスでデバイスプロファイル を選択できます。 指定された条件を満たさないユーザーがログオンページに接続しようとす ると、アクセス拒否のエラーが表示されます。 管理者がログオンポイントに修復メッセージ を定義した場合は、修復メッセージも表示されます。 ユーザーはデバイスに必要なファイル、 プロセス、オペレーティングシステム、およびレジストリエントリが存在するかどうか、ま たは特定のポートが禁止されているかどうかを確認する必要があります。 [Logon Point Properties]ダイアログボックスの[Logon Point Visibility]にまったく条 件を設定しない場合は、Access GatewayのWebアドレスの閲覧を許可されているすべての ユーザーにログオンページが表示されます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルでログオンポイントを選択し、[Edit]をクリックします。 4. [Logon Visibility]の[Control visibility]チェックボックスをオンにして、一覧から デバイスプロファイルを選択します。 5. [Match]ボックスの一覧から[All]または[Any]を選択して、ユーザーのログオン 時にデバイスプロファイルで検索する対象を制御します。 [All]を選択すると、ユーザーデバイスはすべてのスキャンに合格する必要があります。 [Any]を選択すると、ユーザーデバイスは少なくとも1つのスキャンに合格する必要が あります。 6. [User Remediation Message]の[Show message]チェックボックスをオンにして、 ユーザーデバイスがエンドポイント解析スキャンに不合格になったときにユーザーに表 示するメッセージを入力します。 267 SmartAccessログオンポイントの表示を有効にするには 7. [Update]をクリックします。 268 2要素認証および承認を構成するには Access Gatewayでは2要素認証がサポートされます。2要素認証では、ユーザーはログオン するために2種類の認証を使用する必要があります。 Access Gatewayでは、セカンダリの 認証の種類が先に確認されます。 認証に成功すると、プライマリの認証の種類が確認されま す。 たとえば、アプライアンスでLDAPおよびRSA SecurIDのプロファイルを構成した場合、 ユーザーがログオンするときに、1つ目のパスワードボックスにLDAPのパスワードを、2つ 目のパスワードボックスにRSA SecurIDの暗証番号とパスコードを入力します。 ユーザーが [ログオン]をクリックすると、Access GatewayではまずRSA SecurIDのPINとパスコー ドを、次にLDAPのパスワードを使用して、ユーザーを認証します。 2要素認証は、基本ログオンポイントまたはSmartAccessログオンポイントを作成するとき に構成します。 ログオンポイントを作成した後で認証プロファイルを変更することもできま す。 ログオンポイントと2要素認証を構成するときは、プライマリとセカンダリの認証の種類も 選択できます。 LDAP承認は、LDAP、RADIUS、およびRSA SecurID認証と連動します。 RADIUS承認はRADIUS認証のみと連動します。 オプションで、ログオンポイントで2要素承認を構成できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルでログオンポイントを選択し、[Edit]をクリックします。 4. [Authentication Profiles]の[Primary]ボックスの一覧で認証プロファイルを選択し ます。 5. [Secondary]ボックスの一覧で認証プロファイルを選択します。 6. [Authorization Profiles]の[Primary]ボックスの一覧で承認プロファイルを選択し ます。 7. [Secondary]ボックスの一覧で承認プロファイルを選択し、[Update]をクリックし ます。 269 ログオンポイントにタイムアウト設定を 構成するには Access Gatewayにタイムアウト設定を構成するときは、有効にする範囲をログオンポイン ト、スマートグループ、またはグローバルに設定できます。 ログオンポイントのタイムアウ ト設定はグローバルな設定より優先されます。 スマートグループのタイムアウト設定はログ オンポイントの設定とグローバルな設定より優先されます。 3つのタイムアウト設定をログオンポイントで有効にできます。 • • • セッションのタイムアウト: 指定した時間が過ぎると、ユーザーが何を行っているかに 関係なく、接続が切断されます。 ユーザーが切断を中止することはできません。 グロー バルな設定のデフォルト値は30分です。 この設定は無効にできません。 最小値は1分で す。 非アクティブなユーザーのタイムアウト: 指定した時間、Access Gatewayでユーザー デバイスのキーボードとマウスの動作が検出されないと、セッションがタイムアウトに なります。 グローバルなタイムアウト設定のデフォルト値は30分です。 ログオンポイ ントでこの値を0に設定すると、このタイムアウト設定が無効になります。 非アクティブなネットワーク活動のタイムアウト: 指定した時間、Access Gatewayで ネットワークトラフィックが検出されないと、セッションがタイムアウトになります。 グローバルな設定のデフォルト値は30分です。 ログオンポイントでこの値を0に設定す ると、設定が無効になります。 ネットワーク活動を監視するにはAccess Gateway Plug-inが必要です。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. 右パネルでログオンポイントを選択し、[Edit]をクリックします。 4. [Logon Point Properties]ダイアログボックスの[Session Properties]で、次の値 を設定します。 [Override user inactivity time-out](非アクティブなユーザーのタイムアウトを 上書きする)チェックボックスをオンにして分数を入力します。 • [Override network activity time-out](非アクティブなネットワーク活動のタイ ムアウトを上書きする)チェックボックスをオンにして分数を入力します。 • [Override session time-out](セッションのタイムアウトを上書きする)チェッ クボックスをオンにして分数を入力します。 5. [Save]をクリックします。 • 270 ログオンポイントを無効にするには 一時的にユーザーが特定のログオンポイントからログオンできないようにする必要がある場 合は、Access Gatewayでログオンポイントを無効にできます。 テストのために一時的にポ リシーを追加または削除する必要がある場合にも、この設定が役立ちます。 ログオンポイン トを削除して再作成する必要はありません。 注: ログオンポイントを無効にしても、既存のユーザー接続に影響はありません。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. 無効にするログオンポイントを選択して[Edit]をクリックします。 4. [Logon Point Properties]ダイアログボックスの[General Properties]の[Disable] チェックボックスをオンにし、[Update]をクリックします。 271 Access Gatewayからログオンポイント を削除するには 不要になったログオンポイントはAccess Gatewayから削除できます。 注: 削除するログオンポイントを経由して現在Access Gatewayに接続しているユーザー の接続が切断されることはありません。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルでログオンポイントを選択し、[Remove]をクリックします。 272 Access Gatewayのログオンページのカ スタマイズ ユーザーがWebブラウザーを使用してAccess Gateway Plug-inを起動すると、Access Gatewayのログオンページが開きます。 ログオンポイントを構成するときに、カスタマイズ されたログオンページを作成できます。 基本またはSmartAccessログオンポイントを構成するときに、次のログオンページから1つ 選択できます。 • Citrix Default:Access Gatewayに組み込まれているデフォルトのログオンページです。 • Receiver Green:Citrix Receiverと同じデザインのログオンページです。 • Custom:独自のログオンページを作成できます。 Access Gatewayを新規にインストールする場合は、基本およびSmartAccessログオンポイ ントのデフォルト設定はReceiver Greenです。 以前のリリースのAccess Gatewayを Version 5.0.4にアップグレードする場合は、既存のすべてのログオンポイントについて Citrix Defaultが保持されます。 Version 5.0.4にアップグレードした後に新しいログオンポ イントを作成する場合は、デフォルト設定はReceiver Greenです。 ログオンページをカスタマイズするには、独自のイメージをAccess Gatewayにアップロー ドします。 こうすることで、デフォルトのページではなく、カスタマイズされたログオンペー ジがユーザーに表示されます。 背景色と前景色を設定し、ファイルをインポートし、ログオ ンページのどこにコンテンツを表示するかを選択できます。 また、ロゴまたは任意の画像を ログオンページのヘッダーまたはフッターに配置できます。 ロゴを追加するときは、ログオ ンページの中央、右側、または左側に配置できます。 ヘッダーに独自のロゴを追加すると、 ログオンページ、ログオフページ、Endpoint Analysis Plug-inのログオンページ、およびラ ンディングページにロゴが表示されます。 カスタマイズされた背景を選択する場合は、イメージを繰り返し表示するかどうかを選択で きます。また、イメージをログオンページの左または下部に表示したり、背景イメージの位 置を設定したりできます。 273 Access Gatewayのログオンページのカスタマイズ カスタマイズされたログオンページを作成する には 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ほかと重複 しないログオンポイントの名前を入力します。 5. [Type]で[Basic]または[SmartAccess]を選択します。 6. [Customization]タブをクリックします。 7. [Customization level]で[Custom]をクリックします。 8. [Background Properties]で次のいずれかを実行します。 a. [Background]および[Foreground]でカラーパレットをクリックして色を選択 します。 b. [Filename]でフォルダーアイコンをクリックして、アップロードするファイルを 選択します。 [Position]でログオンページのどこにグラフィックを表示するかを 選択します。 9. [Save]をクリックします。 カスタマイズされたブランド設定をログオンペー ジに追加するには 独自のブランド設定をログオンページにログオンページに追加できます。 イメージファイル を選択して、ログオンページのヘッダーまたはフッターに配置できます。 また、Access Gatewayにアップロードするファイルから、コンテンツをログオンページに追加することも できます。 1. ログオンポイントの[Customization]タブで[Custom]をクリックします。 2. [Custom Branding]で[Header]または[Footer]タブをクリックします。 3. [Logo]の[Filename]でフォルダーアイコンをクリックして、アップロードするファ イルを選択します。 4. 手順2.で[Header]を選択し、ログオンページとログオフページの両方にロゴを表示す るには、[Show logo on logon/logoff page]をクリックします。 5. [Background]で背景色を選択します。 背景色はヘッダーにのみ表示されます。 6. [Filename]でフォルダーアイコンをクリックして、ファイルを選択します。 274 Access Gatewayのログオンページのカスタマイズ 注: ロゴを追加するまでは背景は構成できません。 7. [Content]タブをクリックします。 8. [Color]で背景色を選択します。 この背景は中央のコンテンツ領域のみが対象です。 9. [Filename]でフォルダーアイコンをクリックして、ファイルを選択します。 10. [Position]でログオンページのどこにコンテンツを表示するかを選択して、[Save] をクリックします。 275 スマートグループの追加 Access Gatewayのスマートグループには、ID、場所、認証と承認の種類、および(デバイ スプロファイルに定義する)エンドポイント解析の結果に応じてユーザーをグループ化する 設定のコレクションが含まれます。 スマートグループを構成する前に、Access Gateway Management Consoleで認証プロファ イル、ログオンポイント、ネットワークリソース、およびデバイスプロファイルを構成する ことをお勧めします。 その後でスマートグループを作成するときに、ユーザーのログオン時 に適用する設定を有効にできます。 ユーザーを定義するにはスマートグループにグループメ ンバーシップを構成します。 グループの名前は、承認サーバーに構成したものと一致させる 必要があります。 ユーザーはAccess Gateway上で構成できません。 関連情報 Access Gatewayでの認証および承認プロファイルの作成 アプライアンスでのネットワークリソースの定義 デバイスプロファイルの作成 Access Gatewayアプライアンスでのログオンポイントの作成 276 スマートグループを作成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroups]パネルで[Add]をクリックします。 4. [SmartGroups Properties]ダイアログボックスで設定を構成して、[Save]をクリッ クします。 277 スマートグループ設定の構成 スマートグループのプロパティダイアログボックスでスマートグループの設定を構成できま す。 各スマートグループは1つまたは複数の設定から構成されます。 スマートグループを構 成すると、ログオンポイント、デバイスプロファイル、およびグループメンバーシップのす べてが、ユーザーがスマートグループのメンバーになるための条件として使用されます。 ユー ザーがスマートグループのメンバーになるためには、スマートグループに定義されているす べての条件を満たす必要があります。 スマートグループにネットワークリソースが定義され ていない場合、すべてのリソースへのアクセスが暗黙的に拒否されます。 スマートグループを構成するときは、1つまたは複数のSmartAccessログオンポイントをス マートグループに割り当てます。 ユーザーがログオンするとき、ログオンポイントの設定お よびスマートグループに構成した設定が適用されます。 スマートグループで次の設定を構成できます。 • • ホームページ: ホームページはユーザーがログオンした後に表示されます。 アクセスイ ンターフェイス、Web Interface、Outlook Web Access、またはSharePointがホーム ページである可能性があります。 スマートグループにホームページを構成しない場合、 ユーザーがログオンした後はアクセスインターフェイスが表示されます。 ログオンポイント: Access Gatewayに構成したログオンポイントを選択したり無効に したりできます。 たとえば、スマートグループに2つのログオンポイントを選択できま す。 定義したログオンポイントからユーザーがログオンすると、そのスマートグループ のログオンポイントに関連付けられたすべての設定が適用されます。 各スマートグルー プで少なくとも1つのログオンポイントを有効にする必要があります。 同じログオンポ イントを異なるスマートグループで共有できます。 注: スマートグループを構成するとき、使用できるログオンポイントの一覧から基本 ログオンポイントは選択できません。 • • • • 278 デバイスプロファイル: 各スマートグループで使用するデバイスプロファイルを選択で きます。 Access Gatewayでは管理者が選択するデバイスプロファイルを使用してユー ザーのアクセス許可が決定されます。 1つまたは複数のデバイスプロファイルを有効に することも、どのデバイスプロファイルも使用しないでおくこともできます。 スマート グループでのデバイスプロファイルの選択はオプションです。 グループメンバーシップ: グループメンバーシップにより、スマートグループの設定の 適用先が決定されます。 グループメンバーシップは、スマートグループのログオンポイ ントを有効にするときに選択する、承認の種類に基づいて抽出されるグループと共に使 用します。 スマートグループのグループメンバーシップには少なくとも1つグループ名 を定義しておく必要があります。 グループ名をスマートグループに入力できます。 グルー プメンバーシップを構成しない場合、承認サーバーから取得するユーザーグループは、 スマートグループのグループメンバーシップの決定に使用されません。 ネットワークリソース: ネットワークリソースは、セキュリティで保護されたネットワー ク内でユーザーがアクセスできる領域です。 ネットワークリソースを選択して、そのネッ トワークリソースへのアクセスを許可または拒否できます。 アドレスプール: ユーザーに固有のIPアドレスが必要な場合、アドレスプールをスマー トグループに関連付けられます。 ユーザーがログオンポイントとスマートグループにロ グオンするときに、固有のIPアドレスが割り当てられます。 スマートグループ設定の構成 • 詳細なプロパティ: 詳細なプロパティには、グローバルに、またはスマートグループの 一部として設定できる設定が含まれます。 スマートグループの設定はグローバルな設定 より優先されます。 詳細なプロパティは次のとおりです。 • 分割トンネリング • 既存の接続を終了する • ネットワークの中断後に認証する • システムの再開後に認証する • 分割DNS • Windows資格情報でのシングルサインオン • 279 非アクティブなユーザー、セッション、およびネットワーク活動に基づくタイムアウ ト ユーザーのホームページを定義するには ユーザーがAccess Gatewayにログオンすると、ホームページがWebブラウザーに表示され ます。 Access Gatewayのデフォルトのホームページはアクセスインターフェイスです。 ユー ザーにアクセスインターフェイスを使用させる場合は、スマートグループで構成する必要は ありません。 別のホームページを使用する場合は、スマートグループで構成する必要があり ます。 Access GatewayでWeb Interfaceを使用するが、ホームページとしては使用しない 構成にする場合は、公開アプリケーションの一覧がアクセスインターフェイスの左パネルに 表示されます。 中央パネルにはユーザーがアクセスできるWebサイトの一覧が表示されます。 右パネルにはユーザーが接続できるファイル共有の一覧が表示されます。 Web Interfaceを 構成しない場合、Webサイトとファイル共有のパネルのみがアクセスインターフェイスに表 示されます。 次のホームページを構成できます。 • Web Interface • 汎用 • Outlook Web Access 2007 • Outlook Web App 2010 • SharePoint 2007 汎用Webページとは、Access Gatewayにあらかじめ定義されていない種類のページです。 汎用ページの例として、イントラネット内のWebページや部門のホームページが挙げられま す。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [Home Page]の[Use specified home page]チェックボックスをオンにします。 5. [Web address]ボックスにホームページのURLを入力します。 6. [Type]ボックスの一覧からホームページの種類を選択します。 7. Web InterfaceまたはWebアプリケーションへの自動的なログオンをユーザーに許可す るには、[Single sign-on to the Web application]チェックボックスをオンにして[ Update]をクリックします。 280 スマートグループにログオンポイントを 追加するには Access Gatewayに構成したログオンポイントを選択したり無効にしたりできます。 たとえ ば、スマートグループに2つのログオンポイントを選択できます。 ユーザーが定義済みのロ グオンポイントのどちらかにログオンすると、スマートグループのメンバーになることがで きます。 ログオンポイントには「SmartAccess」と「基本」の2種類があります。 スマート グループではSmartAccessログオンポイントのみを使用できます。 各スマートグループで少 なくとも1つログオンポイントを有効にする必要があります。 同じログオンポイントを、異 なるスマートグループのメンバーになるための条件として使用できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [Group Criteria]で[Logon Points]をクリックします。 5. ログオンポイントを選択して[Update]をクリックします。 281 スマートグループにデバイスプロファイ ルを追加するには 更新日: 2012-05-03 各スマートグループで、1つまたは複数のデバイスプロファイルを有効にすることも、どの デバイスプロファイルも使用しないでおくこともできます。 スマートグループでデバイスプ ロファイルを有効にすると、ユーザーは管理者が選択したデバイスプロファイルの要件を満 たすユーザーデバイスからログオンする必要があります。 ユーザーデバイスがチェックに合 格すると、スマートグループのアクセス許可がユーザーに与えられます。 ユーザーデバイス 上のエンドポイント解析スキャンが成功するかしないかに応じて、スマートグループのメン バーシップが決まります。 スマートグループでのデバイスプロファイルの選択はオプションです。 デバイスプロファイ ルを選択しない場合、ユーザーのアクセス許可の決定にエンドポイント解析スキャンは使用 されません。 注: ログオンポイントでデバイスプロファイルを有効にすると、ユーザーがAccess Gatewayにログオンするときに、エンドポイント解析スキャンが実行されます。 ユーザー デバイスがスキャンに不合格になると、ユーザーはログオンできません。 デバイスプロファイルについて詳しくは、「デバイスプロファイルの作成」を参照してくだ さい。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [Group Criteria]で[Device Profiles]をクリックします。 5. 有効にするデバイスプロファイルを選択し、[Save]をクリックします。 282 スマートグループでグループメンバーシッ プを構成するには グループメンバーシップによりスマートグループに属するユーザーを定義します。 ユーザー は承認サーバーにより戻されるグループで定義されます。 ユーザーが承認サーバー上のグルー プのメンバーであり、そのグループの名前がスマートグループのグループメンバーシップに 含まれる場合、ユーザーにスマートグループの設定が適用されます。 スマートグループは Access Gateway Management Consoleで構成します。 ログオンポイントで選択されている承認プロファイルにより、承認サーバー上のグループと ユーザーが決定されます。 スマートグループのグループメンバーシップには少なくとも1つ グループ名を定義しておく必要があります。 グループ名をスマートグループに入力できます。 ユーザーはAccess Gateway上で構成できません。 ユーザーのグループメンバーシップはLDAP、RADIUS、またはActive Directory承認サーバー から抽出し、スマートグループのメンバーであるかどうかの基準として使用できます。 たと えば、External contractors(外部請負業者)という名前のスマートグループを定義すると します。 ドメインサーバーグループに定義済みのACME Corp Employees(ACME Corp従 業員)またはOutside workers(外部作業者)というグループに属するユーザーを、この External Contractorsスマートグループに追加します。 ログオンポイントを、スマートグループのメンバーになるための条件として使用することも できます。 たとえば、MyDesk(マイデスク)という名前のログオンポイントを作成して、 Employees(従業員)という名前のスマートグループを作成します。 MyDeskログオンポイ ントを経由してログオンするユーザーを、Employeesスマートグループに追加するものとし て指定できます。 ユーザーが複数のスマートグループに属する場合、各スマートグループで許可されているす べてのリソースにアクセスを許可されます。 たとえば、ユーザーが3つのスマートグループ に属している場合、ユーザーがログオンすると、各スマートグループの設定が適用されます。 ネットワークリソース10.8.170.100へのアクセスがあるスマートグループで許可され、ほ かのスマートグループでは拒否されている場合、ユーザーはこのネットワークリソースには アクセスできません。 あるスマートグループでネットワークリソースへのアクセスが明示的 に拒否されていると、ほかのスマートグループで許可されていてもユーザーはそのリソース に接続できません。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [SmartGroups]ダイアログボックスの[Group Criteria]で[Group Membership] をクリックします。 5. [New]をクリックし、承認サーバーでのグループ名を入力します。 6. 追加するグループごとに手順5.を繰り返し、[Update]をクリックします。 283 スマートグループでグループメンバーシップを構成するには 284 ネットワークリソースのスマートグルー プへの追加 ネットワークリソースは、セキュリティで保護されたネットワーク内でユーザーがアクセス できる領域です。 スマートグループでネットワークリソースを有効にしたら、ネットワーク リソースへのアクセスを許可または拒否します。 ユーザーが複数のスマートグループに属す る場合は、あるスマートグループでネットワークリソースへのアクセスが拒否されていると、 ほかのスマートグループで許可されていてもユーザーはそのリソースに接続できません。 拒 否設定は許可設定よりも常に優先されます。 ネットワークリソースの作成について詳しくは、「ネットワークリソースの構成」を参照し てください。 ネットワークリソースを追加するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [Group Setting]で[Network Resources]をクリックします。 5. [Name]の下でネットワークリソースを選択します。 6. [Rule]の[Allow]または[Deny]をクリックして、[Update]をクリックします。 285 アドレスプールの定義 更新日: 2012-05-03 Access Gateway Plug-inを使用して接続するユーザーが、Access Gatewayのために固有の IPアドレスが必要になる場合があります。 たとえば、Samba環境でネットワークドライブ に接続する場合、接続元のIPアドレスはユーザーごとに異なっている必要があります。 スマー トグループでアドレスプールを有効にすると、Access Gatewayで各ユーザーデバイスに固 有のIPアドレスを割り当てることができます。 アドレスプールに使用するゲートウェイデバイスは指定できます。 ゲートウェイデバイスは、 Access Gatewayアプライアンスでも別のデバイスでもかまいません。 ゲートウェイを指定 しない場合は、ネットワークの設定に従って、次のAccess Gatewayネットワークアダプター が使われます。 • • ネットワークアダプターeth0のみを構成した場合、eth0のIPアドレスがゲートウェイと して使われます。 Access Gatewayはファイアウォールの内側にあります。 ネットワークアダプターeth0とeth1の両方を構成した場合、eth1のIPアドレスがゲート ウェイとして使われます。 Access GatewayはDMZ内にあります。 ネットワークアダプ ターeth1が内部インターフェイスと見なされます。 アドレスプールはAccess Gateway Management Consoleの[System Administration] パネルで作成できます。 アドレスプールはスマートグループで有効または無効にします。 ユーザーがログオンしてスマートグループの設定を受信すると、プールから固有のIPアドレ スが接続に割り当てられます。 Access Gatewayアプライアンスのフェールオーバーペアを展開する場合は、各アプライア ンスでアドレスプールのすべての設定が同一である必要があります。 アドレスプールを作成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Address Pools]をクリックします。 3. [Address Pools]パネルで[New]をクリックします。 4. [IP Pool Properties]ダイアログボックスの[Name]ボックスに、アドレスプールの 名前を入力します。 5. [Start IP Address]ボックスに、プールの先頭のIPアドレスを入力します。 6. [Number of IP addresses]ボックスに、IPアドレスのエイリアスの数を入力します。 アドレスプールには、合計で最大2,000個のIPアドレスを含めることができます。 7. [Default Gateway]ボックスにゲートウェイのIPアドレスを入力して[Add]をクリッ クします。 このボックスを空欄にした場合は、前述のようにAccess Gatewayのネット ワークアダプターが使用されます。 別のデバイスをゲートウェイとして指定すると、 Access Gatewayのルーティングテーブルにそのデバイスのルートが追加されます。 286 アドレスプールの定義 スマートグループでアドレスプールを有効にす るには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [SmartGroup Properties]ダイアログボックスの[Group Settings]で[Address Pools]をクリックします。 5. アドレスプールをクリックして[Update]をクリックします。 287 スマートグループの詳細なプロパティ設 定の選択 スマートグループの詳細なプロパティの設定は、Access Gateway Management Console の[Global Options]パネルで構成できる設定と同じです。 各スマートグループで設定を構 成して、グローバルな設定を無視することができます。 詳細なプロパティ設定を構成するときは、各設定について次のオプションを選択できます。 • • • Inherit: グローバルな設定の値を使用します。 Enable: スマートグループの詳細なプロパティ設定を有効にして、グローバルな設定を 無視します。 Disable: スマートグループの詳細なプロパティ設定を無効にして、グローバルな設定 を無視します。 次の設定を構成できます。 • • Split tunneling(分割トンネリング) Close existing connections when users log on to Access Gateway(ユーザーが Access Gatewayにログオンするときに既存の接続を終了する) • Authenticate after network interruption(ネットワークの中断後に認証する) • Authentication after system resume(システムの再開後に認証する) • Spit DNS(分割DNS) • Single sign-on with Windows(Windows資格情報でのシングルサインオン) • Time-out settings including user inactivity, network inactivity, or session(非アク ティブなユーザー、ネットワーク活動、またはセッションのタイムアウト設定) 重要: スマートグループに構成する詳細なプロパティ設定は、グローバルオプションおよ びログオンポイントの設定より優先されます。 288 スマートグループにタイムアウト設定を 構成するには 更新日: 2012-05-03 Access Gatewayにタイムアウト設定を構成するときは、有効にする範囲をログオンポイン ト、スマートグループ、またはグローバルに設定できます。 ログオンポイントのタイムアウ ト設定はグローバルな設定より優先されます。 スマートグループのタイムアウト設定はログ オンポイントの設定とグローバルな設定より優先されます。 3つのタイムアウト設定をスマートグループで有効にできます。 • • • セッションのタイムアウト: 指定した時間が過ぎると、ユーザーが何を行っているかに 関係なく、接続が切断されます。 ユーザーが切断を中止することはできません。 グロー バルな設定のデフォルト値は30分です。 最小値は1分です。 非アクティブなユーザーのタイムアウト: 指定した時間、Access Gatewayでユーザー デバイスのキーボードとマウスの動作が検出されないと、セッションがタイムアウトに なります。 グローバルなタイムアウト設定のデフォルト値は30分です。 スマートグルー プでこの値を0に設定すると、このタイムアウト設定が無効になります。 非アクティブなネットワーク活動のタイムアウト: 指定した時間、Access Gatewayで ネットワークトラフィックが検出されないと、セッションがタイムアウトになります。 グローバルな設定のデフォルト値は30分です。 スマートグループでこの値を0に設定す ると、設定が無効になります。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroupts]パネルでスマートグループを選択し、[Edit]をクリックします。 4. [SmartGroup Properties]ダイアログボックスの[Group Settings]で[Advanced Properties]をクリックします。 5. 次の値を設定します。 [Override user inactivity time-out](非アクティブなユーザーのタイムアウトを 上書きする)チェックボックスをオンにして分数を入力または選択します。 • [Override network activity time-out](非アクティブなネットワーク活動のタイ ムアウトを上書きする)チェックボックスをオンにして分数を入力または選択します。 • [Override session time-out](セッションのタイムアウトを上書きする)チェッ クボックスをオンにして分数を入力または選択します。 6. [Update]をクリックします。 • 289 コマンドラインによるAccess Gateway アプライアンス設定の構成 Citrix Access Gateway 5.0には新しいコマンドラインインターフェイスが搭載されました。 コマンドラインを使用して、ネットワーク設定を構成したり、システム情報を表示したり、 トラブルシューティングをしたりできます。 Access Gatewayアプライアンスをネットワーク内に物理的に設置した後で、アプライアン スから内外のネットワークと通信できるように、ネットワーク設定を構成します。 アプライ アンスをシリアルケーブルに接続してシリアルコンソールが表示されたら、エクスプレスセッ トアップを実行してアプライアンスのネットワーク設定を構成します。 エクスプレスセット アップでは次の設定を構成します。 • • インターネットまたは外部ネットワークからの接続に使用する、IPアドレスおよびサブ ネットアドレスの構成。 セキュリティで保護されたネットワークへの接続に使用する、内部管理インターフェイ スの構成。 • デフォルトゲートウェイの構成。 • DNS(Domain Name System:ドメインネームシステム)サーバーの構成。 • NTP(Network Time Protocol:ネットワークタイムプロトコル)サーバーの構成。 • Access GatewayでのAccess Controllerの有効化。 それからコマンドラインを使用して、次のような追加設定を構成できます。 • システムの日付とディスクの使用状況の表示。 • コマンドラインへのSSH(Secure Shell)アクセスの有効化または無効化。 • 証明書のリセット。 • 保存したスナップショットのインポートまたは復元によるアプライアンス構成の変更。 • Access Gatewayの再起動またはシャットダウン。 Access Gatewayに発生した問題のトラブルシューティングをする必要があるときは、コマ ンドラインを使用してテクニカルサポート担当者に提供する情報を収集できます。 コマンド を入力してネットワーク情報を収集したり、ログを構成したり、テクニカルサポートに提供 するサポートバンドルを作成したりできます。 サポートバンドルには、ログ、システムまた はネットワークの情報、および構成データが含まれており、テクニカルサポートによる問題 発見に役立ちます。 Access Gatewayをインストールして初期設定を構成した後は、コマンドラインを使用して 上記の設定を構成できます。 シリアルケーブルを取り外した後でコマンドラインを使用する には、Access Gateway Management ConsoleでコマンドラインへのSSHアクセスを有効 にする必要があります。 その後は、SSHアプリケーションを使用してコマンドラインに接続 290 コマンドラインによるAccess Gatewayアプライアンス設定の構成 できます。 アプライアンスを再構成するか、30分間に3回起動に失敗してシステム復元モードに入った 場合、コマンドラインの一部の項目は使用できなくなります。 これには次の項目が含まれま す。 291 • エクスプレスセットアップ • 証明書のリセット • 構成のインポート エクスプレスセットアップを使用した Access Gateway 5.0の構成 エクスプレスセットアップにより、コマンドラインを使用してAccess Gatewayの初期ネッ トワーク設定を構成できます。 ネットワーク内にAccess Gatewayを設置するときは、シリ アルケーブルを使用してアプライアンスを端末エミュレーターのあるコンピューターに接続 します。それからエクスプレスセットアップを使用して、次のネットワーク設定を構成でき ます。 • • • • • • [0] Internal Management Interface: Access Gateway Management Consoleに接 続するために使用するネットワークアダプターを選択します。 一覧からアダプターを選 択して、Management Consoleにアクセスできます。 [1] Interface IP, Netmask: アプライアンスに内蔵されているネットワークアダプター のIPアドレスとサブネットマスクを構成します。 両方のネットワークアダプターを使用 することをお勧めします。 [2] Default Gateway: デフォルトゲートウェイデバイスのIPアドレスを構成します。 メインルーター、ファイアウォール、またはサーバー負荷分散装置がデフォルトゲート ウェイになります。 [3] DNS Servers: ネットワーク内のDNS(Domain Name System:ドメインネーム システム)サーバーを構成します。 コマンドラインを使用して2台までのDNSサーバー を構成できます。 [4] NTP Servers: ネットワーク内のNTP(Network Time Protocol:ネットワークタ イムプロトコル)サーバーを構成します。 Access Gatewayと共にAccess Controllerを 展開する場合は、NTPサーバーを構成してAccess GatewayとAccess Controllerの間で 時刻を同期する必要があります。 コマンドラインを使用して2台までのNTPサーバーを 構成できます。 [5] AG Deployment Mode: Access GatewayとAccess Controllerの間の通信を有効 にします。 この設定を変更する前に、Access GatewayをAccess Controllerに追加する 必要があります。 コマンドラインを使用してAccess Controllerを有効にするとき、 Access Controllerの共有キーとIDを指定します。 Access ControllerのIPアドレス、ポー ト、および接続をセキュリティで保護するかどうかも指定します。 詳しくは、「 Access Controllerの有効化」を参照してください。 • [6] Commit Changes: Access Gatewayアプライアンスに構成設定を保存します。 • [7] Return to Main Menu: [Main]メニューに戻ります。 コマンドラインを使用して初期ネットワーク設定を構成したら、Access Gateway Management Consoleを使用して、ユーザーアクセスのためにログオンポイント、デバイス プロファイル、およびスマートグループを構成できます。 詳しくは、「Access Gateway Management Console」を参照してください。 292 エクスプレスセットアップを使用して初 期Access Gateway 5.0のネットワーク 設定を構成するには 初めてAccess Gateway 5.0を設置するときにシリアルコンソールを使用して、Access GatewayのネットワークアダプターのIPアドレスとサブネットと、デフォルトゲートウェイ デバイスのIPアドレスを設定できます。 エクスプレスセットアップを使用して、アプライア ンスのネットワーク設定を構成します。 ほかの構成設定をする前にシリアルコンソールからAccess Gatewayにアクセスするには、 Access Gatewayと端末エミュレーションソフトウェアがインストールされているコンピュー ターをシリアルケーブルで接続します。 初期設定を構成した後は、Access Gateway Management Consoleを使用してほかのアプアライアンス設定を構成できます。 コマンドラインを使用する場合は、現在の設定が角かっこ([ ])内に表示されます。 注: アプライアンスの両方のネットワークアダプターを使用することをお勧めします。 1. シリアルケーブルの一端をAccess Gatewayの9ピンシリアルポートに、もう一端を端末 エミュレーションソフトウェアの実行可能なコンピューターに接続します。 2. コンピューターで、PuTTY、ハイパーターミナル、またはWindowsリモートシェルなど の端末エミュレーションソフトウェアを起動します。 注: ハイパーターミナルはWindows Vista、Windows 7、Windows Server 2003、 またはWindows Server 2008に自動的にインストールされません。 これらのオペレー ティングシステムでは、PuTTYまたはWindowsリモートシェルなどの代わりのSSH( Secure Shell)プログラムを使用します。 3. シリアル接続を、9600 bps、8データビット、パリティなし、ストップビット1に設定し ます。 ハードウェアフロー制御の設定は任意です。 4. Access Gatewayの電源を入れます。 約3分後に、コンピューター端末上にシリアルコ ンソールが表示されます。 ハイパーターミナルを使用する場合は、Enterキーを押しま す。 5. シリアルコンソールで、デフォルトの管理者資格情報を入力します。 ユーザー名は admin、パスワードはadminです。 6. IPアドレス、サブネットマスク、およびデフォルトゲートウェイデバイスを設定するに は、0キー、Enterキーの順に押し、[Express Setup]を選択します。 7. メニューを使用してアプライアンスのネットワーク設定を構成します。 完了したら、6 キー、Enterキーの順に押すと、変更が確定されます。 8. 接続されたネットワークデバイスの存在をAccess Gatewayから検出できることを確認 するには、2キーを押して[Troubleshooting]メニューを開き、0キーを押して[ Network Utilities]を開き、3キーを押してpingコマンドを使用します。 対象デバイス 293 エクスプレスセットアップを使用して初期Access Gateway 5.0のネットワーク設定を構成するには のIPアドレスを入力してEnterキーを押します。 Access Gatewayからネットワーク内のほかの場所に接続できることを確認したら、アプラ イアンスをシャットダウンしてネットワークケーブルをアプライアンスに接続します。 シリ アルケーブルを取り外し、Access GatewayをクロスオーバーケーブルでWindowsベースの コンピューターに接続するかネットワークケーブルでネットワークスイッチに接続してから、 Access Gatewayの電源を入れます。 コマンドラインでAccess Gatewayをシャッ トダウンするには Access Gatewayアプライアンスの電源スイッチを使用してアプライアンスをシャットダウ ンしないでください。 コマンドラインを使用してアプライアンスをシャットダウンできます。 1. コマンドラインの[Main]メニューで1キー、Enterキーの順に押すと、[System]メ ニューが開きます。 2. [System]メニューで5キー、Enterキーの順に押し、コマンドプロンプトの指示に従 います。 294 コマンドラインによるAccess Gateway の管理 コマンドラインの[System]メニューを使用して、統計情報を収集しAccess Gatewayアプ ライアンスを管理できます。 このメニューで、次のことを実行できます。 • • • [1] System Disk Usage: Access Gatewayにより使用されているディスク領域を表示 します。 [2] Toggle SSH Access: コマンドラインを使用するために、PuTTYのようなSSH( Secure Shell)インターフェイスの使用を有効または無効にします。 • [3] Reset Certificate: Access Gatewayの証明書をリセットします。 • [4] System Restart: Access Gatewayを再起動します。 • [5] System Shutdown: Access Gatewayの電源を切ります。 • [6] Restore Configuration: 以前のバージョンのスナップショットを復元します。 • • 295 [0] System Date: Access Gatewayの日付と時刻を表示します。 [7] Import Configuration: 保存したスナップショットをネットワーク内のコンピュー ターからインポートします。 [8] Back to Main Menu: [Main]メニューに戻ります。 Access Gatewayコマンドラインへの SSHアクセスの有効化 Access Gatewayを設置してシリアルコンソールで初期設定を構成したら、コマンドライン へのSSH(Secure Shell:セキュアシェル)アクセスを有効にできます。 これはアプライア ンスを初めて構成するときにコマンドラインで行うか、Access Gateway Management Consoleで行います。 コマンドラインへのSSHアクセスを有効にする には 1. コマンドラインの[Main]メニューで1キー、Enterキーの順に押すと、[System]メ ニューが開きます。 2. [System]メニューで2キー、Enterキーの順に押すと、[Toggle SSH Access]( SSHアクセスの切り替え)コマンドを実行できます。その後はコマンドプロンプトの指 示に従ってSSHアクセスを有効または無効にします。 Access Gateway Management Consoleで SSHアクセスを有効にするには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Networking]をクリックします。 3. [Access Gateway Properties]の[Enable support access]チェックボックスをオ ンにして[Save]をクリックします。 296 コマンドラインでAccess Gatewayのデ フォルト構成をリセットするには コマンドラインを使用して、Access Gatewayの構成を復元できます。 デフォルト構成を復 元するか、設定の復元にサポートバンドルを使用するかを選択できます。 1. Access Gatewayのコマンドラインで1キー、Enterキーの順に押すと、[System]メニュ ーが開きます。 2. [System]メニューで6キー、Enterキーの順に押すと、デフォルト構成が復元されま す。 3. 適切な数字キーを押して復元するスナップショットを選択するか、Enterキーを押してコ マンドをキャンセルします。 4. メッセージに従ってAccess Gatewayを再起動します。 297 コマンドラインで証明書をリセットする には コマンドラインを使用して、Access Gatewayのデフォルト証明書を変更できます。 証明書 をリセットすると、パスフレーズが削除され、新しい証明書ファイルによって古い証明書ファ イルが上書きされます。 デフォルト証明書をリセットしたら、アプライアンスを再起動する 必要があります。 1. コマンドラインのメインメニューで1キー、Enterキーの順に押すと、[System]メニュ ーが開きます。 2. [System]メニューで3キー、Enterキーの順に押すと、証明書がリセットされます。 その後はコマンドプロンプトの指示に従います。 298 コマンドラインによるAccess Gateway のトラブルシューティング Access Gatewayには、アプライアンスに発生する可能性のある問題を解決するための情報 収集に役立つツールが搭載されています。 コマンドラインの[Troubleshooting]メニュー から、次のツールを使用できます。 • • • • 299 [0] Network Utilities: ルーティングテーブルおよびネットワーク情報を表示し、 tracerouteコマンドおよびpingコマンドを使用してネットワーク接続を確認します。 [1] Logs: ログレベルを構成し、ログをコンピューターにダウンロードします。 [2] Support Bundle: Access Gatewayのシステム情報、ログ、データベース情報、コ ア情報、トレースファイル、および最新のスナップショットを作成します。 サポート担 当者に提供するためリモートサーバーにサポートバンドルを送信するときは、SCP( Secure Copy Protocol)またはFTP(File Transfer Protocol)を選択できます。 [3] Back to Main Menu: [Main]メニューに戻ります。 トラブルシューティングのためのネット ワーク設定の確認 コマンドラインを使用して次のネットワークの詳細を表示できます。 • Access Gatewayの各ネットワークアダプターのネットワーク情報の表示。 • ネットワークの宛先へのルートを含むAccess Gatewayのルーティングテーブルの表示。 • Access GatewayのARP(Address Resolution Protocol:アドレス変換プロトコル)テー ブルの表示。 • pingコマンドによるほかのネットワークの検出。 • tracerouteコマンドによるネットワークルートの表示。 • DNSルックアップによるIPアドレスに関連付けられたDNS名の表示。 • テクニカルサポート担当者に提供するネットワークトレースの作成。 Access Gatewayでネットワーク情報を表示 するには 1. コマンドラインの[Main]メニューで2キー、Enterキーの順に押すと、[ Troubleshooting]メニューが開きます。 2. [Troubleshooting]メニューで0キー、Enterキーの順に押すと、[Network Utilities] メニューが開きます。 3. [Network]メニューで、次のオプションから1つ選択します。 • 0:Access Gatewayのネットワーク情報を取得します。 • 1:Access Gatewayのルーティングテーブルを表示します。 • 2:ARPテーブルを表示します。 • 3:pingユーティリティを開きます。 • 4:IPアドレスのネットワークルートをトレースします。 • 5:IPアドレスに関連付けられたDNS名を検索します。 • 6:ネットワークトレースを取得します。 4. 選択したオプションごとに表示されるコマンドプロンプトの指示に従って操作します。 300 サポートバンドルの作成 Access Gatewayアプライアンスで問題が発生した場合は、サポートバンドルを作成してテ クニカルサポートに送信し、評価してもらうことができます。 サポートバンドルには次の情 報が含まれます。 • システム情報 • Access Gatewayのログ • Access Gatewayのデータベース情報 • Access Gatewayのコア情報 • トレースファイル • Access Gatewayの最新のスナップショット サポートバンドルを作成するには 1. Access Gatewayのコマンドラインで2キー、Enterキーの順に押すと、[ Troubleshooting]メニューが開きます。 2. [Troubleshooting]メニューで2キー、Enterキーの順に押すと、[Support Bundle] メニューが開きます。 3. [Support Bundle]メニューで0キー、Enterキーの順に押し、コマンドプロンプトの指 示に従います。 サポートバンドルの作成または以前に作成したサポートバンドルの上書きが完了すると、サ ポートバンドルの名前を含むメッセージが表示されます。 この名前には、日付、タイムスタ ンプ、およびアプライアンスの内部IPアドレスが含まれます。 サポートバンドルの拡張子は. supportです。 たとえば、20100823150921_10.199.240.168.supportのようなファイ ル名になります。 20100823の部分は日付、150921の部分は時刻、および 10.199.240.168の部分はIPアドレスです。 サポートバンドルを作成したら、SCP( Secure Copy Protocol)またはFTP(File Transfer Protocol)のメニューオプションを使用 してリモートサーバーにバンドルをアップロードし、テクニカルサポート担当者に確認して もらうことができます。 301 サポートバンドルの作成 SCPまたはFTPを使用してサポートバンドルを アップロードするには 1. Access Gatewayのコマンドラインで2キー、Enterキーの順に押すと、[ Troubleshooting]メニューが開きます。 2. [Troubleshooting]メニューで2キー、Enterキーの順に押すと、[Support Bundle] メニューが開きます。 3. [Support Bundle]メニューで1キーまたは2キー、Enterキーの順に押し、コマンドプ ロンプトの指示に従います。 302 コマンドラインによるログの構成 コマンドラインメニューを使用して、Access Gatewayに発生している可能性のある問題の トラブルシューティングのためにログを構成できます。 デフォルトのログレベルに戻したり、 新しいログを作成したり、現在のログを表示したりできます。 問題のトラブルシューティングをする必要があるときは、クラスとグループのログレベルを 使用して、デバッグ用のログを作成できます。 これらのパラメーターはCitrixのテクニカル サポート担当者と共に設定します。 コマンドラインでログを構成するには 1. コマンドラインの[Main]メニューで2キー、Enterキーの順に押すと、[ Troubleshooting]メニューが開きます。 2. [Troubleshooting]メニューで1キー、Enterキーの順に押すと、[Logs]メニューが 開きます。 3. [Logs]メニューで、次のオプションから1つ選択します。 • 2:デフォルトのログレベルを復元します。 • 3:新しいログファイルを作成します。 • 303 4:現在のログを表示します。 このオプションを選択するときは、表示するログの行 数(1~1,000)を選択できます。 Access Controllerの管理 このセクションのトピックでは、デリバリーサービスコンソールを使用して次の項目を構成 する方法について説明します。 • • • • • • • • 304 初期構成: Access Controllerおよびサーバー構成ユーティリティの実行でサポートされ る構成について説明します。 デリバリーサービスコンソール: デリバリーサービスコンソールを使用したAccess Controllerの管理方法について説明します。 認証と承認のプロファイル: Active Directory、LDAP、RADIUS、およびRSA SecurID の認証プロファイルの構成方法について説明します。 ログオンポイント: 基本ログオンポイントおよびSmartAccessログオンポイントの構成 方法について説明します。 リソース: ファイル共有、Webリソース、およびネットワークリソースの構成方法につ いて説明します。 ポリシー: フィルター、アクセスポリシー、および接続ポリシーの構成方法について説 明します。 エンドポイント解析: ユーザーデバイスの要件の検証方法について説明します。 クラスタリングと負荷分散: Access GatewayアプライアンスとAccess Controllerサー バーのクラスターの作成方法について説明します。 クラスターの負荷分散についての情 報を含みます。 Access Controllerの初期構成 Access Controllerをサーバーにインストールしたら、Access Gatewayアプライアンスおよ びCitrix XenAppと連動するようにAccess Controllerを構成できます。 Access Controllerをインストールすると、サーバー構成ユーティリティが起動します。 こ のユーティリティで、Access Controllerの初期設定を構成できます。 その後は、デリバリー サービスコンソールを使用して追加設定を構成できます。 サーバー構成ユーティリティを再 度実行して設定を変更することもできます。 クラスターに複数のAccess Controllerサーバーをインストールする場合は、2台目以降のサー バーは、システムの復元、パフォーマンスの向上、追加ユーザーをサポートするためのクラ スター能力の増強のために構成できます。 デリバリーサービスコンソールで、クラスター構 成をいつでも変更できます。 305 サーバー構成ユーティリティのしくみ Access Controllerをインストールした後で、サーバー構成ユーティリティを使用してサーバー を構成します。このユーティリティは、Access Controllerのインストールが完了すると起動 します。 サーバー構成ユーティリティを使用して、クラスターの作成およびAccess Controllerの基本設定の構成などの初期構成作業をします。 初めてサーバー構成ユーティリ ティを実行するときは、次の設定を構成します。 • クラスターを作成またはクラスターに参加します。 • 管理者サービスアカウントを作成します。 • • Microsoft SQL Serverデータベースアカウントを作成します。 既存のSQL Serverデー タベースのアカウントを作成することも、Access Controllerに同梱されているSQL Server Expressを使用することもできます。 Webサービスを構成します。 これらの設定には、Webサイトパス、Access Controller サーバーの通知IPアドレス、またはWebコンテンツのカスタムパスが含まれます。 設定を選択するとクラスターが構成され、SQL Server Expressを選択した場合はSQL Server Expressがインストールされます。 サーバー構成ユーティリティでは、次の処理が実行されます。 • すべてのアカウント情報を検証する。 • サービスをアップデートする。 • Access Controllerのサービスを停止する。 • Access Controllerのサービスを開始する。 • 内部サービスアカウントの情報をアップデートする。 • 内部データベースアカウントの情報をアップデートする。 • クラスターを同期する。 サーバー構成ユーティリティの管理者アカウン ト サーバー構成によって、管理者が指定する管理者アカウントがサービスアカウントとして設 定されます。 ローカルのAdministratorsグループにアカウントが追加され、次のローカルセ キュリティポリシー権限を付与されます。 306 • オペレーティングシステムの一部として機能。 • バッチジョブとしてログオン。 サーバー構成ユーティリティのしくみ • サービスとしてログオン。 重要: サーバー構成ユーティリティでは、クラスターデータベースにアクセスするための SQL Serverユーザーアカウントは作成できません。 データベースにアクセスするための アカウントを変更する前に、SQL ServerのEnterprise Managerでアカウントを作成する 必要があります。 データベースアカウントは、システム管理者特権を持っている必要があ ります。 サーバー構成ユーティリティでは、ネットワーク共有に対するアクセス権限を、サービスア カウントに付与しません。 サーバー構成ユーティリティでは、以前のサービスアカウントに設定された、ローカルセキュ リティポリシーまたはネットワーク共有に対する権限を削除しません。 これがセキュリティ 上問題となる場合は、ユーティリティでアカウント情報を更新した後に古いアカウントを削 除します。 サーバー構成ツールによる設定変更 後で必要になった場合は、サーバー構成を実行して設定を変更することもできます。 次の構 成タスクを実行できます。 307 • 管理者サービスアカウントの作成。 • クラスターデータベースの選択または変更とデータベースサーバーの指定。 • ログオンポイントの展開。 • Endpoint Analysis Plug-inパッケージのインポート。 • Access Controllerのサービスの開始または停止。 • Webサービス設定の構成。 サーバー構成ユーティリティを実行する には Access Controllerのインストールが完了したら、サーバー構成ユーティリティを使用してサー バーを構成できます。 インストールが完了したら、必ずサーバー構成ユーティリティを実行 します。 インストールの最後に、インストールが成功したことを示すダイアログボックスが 開きます。 このダイアログボックスで[サーバー構成ウィザードを実行する]チェックボッ クスをオンにして、次のようにウィザードの手順を完了します。 1. クラスターを作成するか、既存のクラスターにサーバーを追加します。 • 新しいクラスターを作成する 新しいクラスターを作成する場合は、このオプションをクリックします。 クラスター 名はMicrosoft SQL Serverデータベースの名前になります。 このオプションを選択 する場合は、ライセンス、サービスアカウント、およびデータベースの情報を入力す る必要があります。 • 既存のクラスターに参加する 既存のクラスターにサーバーを追加する場合は、このオプションをクリックします。 このオプションを選択する場合は、サービスアカウントおよびデータベースの情報 を入力する必要があります。 2. クラスター内のサービスとサーバーの間の通信を可能にするサービスアカウントを追加 します。 3. 既存のSQL Serverデータベースを使用するか、ローカルにデータベースエンジンをイン ストールするかを指定します。 データベースサーバーには、クラスターの構成データが 格納されます。 • Microsoft SQL Server クラスターのデータベースサーバーとして、サポートされるバージョンのMicrosoft SQL Serverを使用する場合は、このオプションをクリックします。 SQL Serverは、 Access Controllerサーバーまたは独立したデータベースサーバー上で動作します。 重要: SQL Serverを選択する場合は、指定するサーバー上でSQL Serverサービ スが実行されていることを確認してください。 SQL Serverサービスが実行されて いない場合は、サーバー構成ユーティリティでサーバーが検出されません。 SQL Serverをデータベースとして選択した場合は、SQL Serverがインストールされ ているサーバーを指定します。 • 構成データベースサーバー: データベースサーバーの名前を入力します。 • クラスター名: 作成または参加するクラスター名を入力します。 • 308 サービスアカウントを使用して、構成データベースにアクセスする: Access Controllerのサービスアカウントの資格情報を使用してSQLデータベースにアク セスする場合は、このオプションをクリックします。 サーバー構成ユーティリティを実行するには • • SQL認証を使用して、構成データベースにアクセスする: SQLデータベースの アカウントの資格情報を使用してSQLデータベースにアクセスする場合は、この オプションをクリックします。 このオプションを選択する場合は、データベー スユーザーの名前とパスワードも入力する必要があります。 Microsoft SQL Server Express ローカルのデータベースサーバーに必要なコンポーネントをインストールし、クラス ターのデータベースを作成するには、このオプションをクリックします。 「 CitrixController」という名前のSQL Server Expressのインスタンスが検索されます。 見つからない場合は、このインスタンスがインストールされます。 注: Access Controllerを試験的に展開する場合は、SQL Server Expressを使用 してください。 大規模な展開環境では、SQL Serverを使用することをお勧めしま す。 4. Webサイトパスを選択します。 Webサイトパスは、Access ControllerのすべてのWeb コンテンツがインストールされる場所です。 Access Controllerによって検出された Webサイトパスが、展開に適切なパスかどうかを確認してください。 物理パスを変更す るには a. 変更するWebサイトを選択します。 b. [Webコンテンツにカスタムパスを使用する]チェックボックスをオンにします。 c. [パス]ボックスに、Webサイトに使用する物理パスを入力します。 [参照]をク リックして指定するディレクトリに移動することもできます。 5. WebサイトトラフィックをSSLで保護します。 Webサイトパスを選択するとき、 Access Gatewayとの通信を保護するためにSSLプロトコルを有効にすることもできます。 Webサイトのトラフィックを保護するには、[このサーバーとの通信をセキュリティで 保護する]チェックボックスをオンにします。 重要: Access Controllerを構成する前に、必要なデジタル証明書をインストールして おく必要があります。 SSLがサーバーで有効になっていなければ、このチェックボッ クスはオンにできません。 6. サーバーの構成を完了します。 サーバー構成ユーティリティに、選択されたオプションと構成設定の概要が表示されま す。 概要を見直し、[次へ]をクリックして、サーバーの構成を開始します。 構成が完 了したら[完了]をクリックし、Access Gatewayアプライアンスを管理するために Access Controllerを構成します。 309 Access Controllerの有効化 Access Controllerをインストールしてサーバー構成ユーティリティを実行したら、Access ControllerとAccess Gatewayアプライアンスを有効にして、お互いを認識できるようにす る必要があります。 Access Controllerとの通信を有効にする前に、次のガイドラインに従います。 • • • • • • Access GatewayアプライアンスをAccess Controllerに追加します。 Access Gateway Management Consoleの[Deployment Mode]パネルで[Access Controller]をクリックし、サーバー情報を入力します。 Access Controllerから共有キーとAccess Gateway IDをコピーし、Access Gateway Management Consoleの[Deployment Mode]パネルの対応するボックスに貼り付け ます。 Access Gateway Management Consoleの[Name Service Providers]パネルに、 Access ControllerサーバーのDNS(Domain Name System:ドメインネームシステム) とWINS(Windows Internet Name Service:Windowsインターネットネームサービ ス)の情報を入力します。 Access Gateway Management Consoleの[Static Routes]パネルで、必要に応じて IPアドレスの静的ルートを構成します。 Access GatewayとAccess Controllerの日付と時刻を必ず同期してください。 これを行 うには、NTP(Network Time Protocol:ネットワークタイムプロトコル)サーバーを 展開する必要があります。 これらの作業を行いアプライアンスを再起動した後は、Management Consoleはアプライア ンス固有の設定を管理するためにだけ使用します。 デリバリーサービスコンソールを使用し て、Access Controllerのすべての設定を管理します。 Management Consoleの使用方法について詳しくは、「Access Gateway Management Console」を参照してください。 Access Controllerを使用するためにAccess Gatewayを構成するとき、Access Gateway Management Consoleで次の設定が非アクティブになり、既存の構成値が削除されます。 310 • グローバルオプション • 認証 • デバイスプロファイル • ログオンポイント • ネットワークリソース • スマートグループ Access Controllerの有効化 Access Controllerを有効にする前にこれらの設定をManagement Consoleで構成した場合 は、デリバリーサービスコンソールでこれらの設定を再度構成する必要があります。 これらの設定をAccess Gateway Management Consoleで構成する方法について詳しくは、 「Access Gatewayアプライアンスの管理」を参照してください。 同様に、Access Controllerでのアプライアンス管理を無効にする場合は、Management Consoleで構成したAccess Gatewayアプライアンスのグローバル設定が有効になり既存の 構成値が復元されます。 Access Controllerを有効にすると、Access Gatewayで構成のスナッ プショットが作成されます。 Access Gatewayのみを使用することにした場合は、スナップ ショットと構成設定を復元できます。 詳しくは、「スナップショットを使用したAccess Gatewayの管理」を参照してください。 311 Access GatewayをAccess Controller に追加するには Access ControllerをAccess Gatewayアプライアンスで有効にする前に、アプライアンスを Access Controllerに追加する必要があります。 アプライアンスをAccess Controllerに追加 したら、Access Controllerからアプライアンスに共有キーをコピーします。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、Access Gatewayを 追加したいAccess Controllerの順に展開します。 3. [Access Gatewayアプライアンス]を選択し、[共通のタスク]の[Access Gateway アプライアンスの追加]をクリックします。 4. [名前]ボックスに、アプライアンスのIPアドレスを入力します。 5. [Access Gateway ID]ボックスのIDをコピーして、テキストファイルに貼り付けます。 6. [共有キー]ボックスのキーをコピーして、テキストファイルに貼り付けます。 この手 順を完了すると、Access GatewayでAccess Controllerを有効にできます。 IDと共有キー を、Access Gateway Management Consoleの[Deployment Mode]パネルの対応す るボックスに貼り付けます。 7. NAT(Network Address Translation:ネットワークアドレス変換)を使用するには、 [このアプライアンスと通信するときに変換アドレスを使用する]チェックボックスを オンにして、IPアドレスとポート番号を入力します。 8. [追加]をクリックします。 312 Access ControllerをAccess Gateway アプライアンスで有効にするには Access Controllerを使用するようにAccess Gatewayを構成する前に、アプライアンスを Access Controllerに追加します。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Deployment Mode]をクリックします。 3. [Access Gateway Mode]の[Access Controller]をクリックします。 4. [Identifier]ボックスに、Access ControllerからコピーしたIDを貼り付けます。 5. [Access Controller Settings]の[Shared key]ボックスに、Access Controllerから コピーした共有キーを貼り付けます。 注: 共有キーは64文字の長さである必要があります。 共有キーはAccess Controller でAccess Gatewayアプライアンスを構成するときに取得します。 6. [Server address]ボックスに、Access ControllerサーバーのIPアドレスまたはFQDN (Fully Qualified Domain Name:完全修飾ドメイン名)を入力します。 7. Access GatewayとAccess Controllerの間の接続を保護する場合は、[Secure connection]チェックボックスをオンにします。 8. [Port]ボックスにポート番号を入力して[Save]をクリックします。 Access GatewayでAccess Controllerを無 効にするには Access Gatewayでユーザー接続を管理するために、Access Gateway Management ConsoleでAccess Controllerを無効にできます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Deployment Mode]をクリックします。 3. [Access Gateway Mode]の[Appliance only]をクリックして[Save]をクリック します。 Access ControllerからAccess Gatewayアプライアンスを削除するときは、Access Gateway Management ConsoleでAccess Controllerを無効にする必要があります。 ア プライアンスでAccess Controllerを無効にしなければ、Access ControllerにAccess Gatewayが再登録されます。 313 デリバリーサービスコンソールの使用方 法 デリバリーサービスコンソールによりCitrix製品の管理ツールがMMC(Microsoft Management Console:Microsoft管理コンソール)に統合され、展開環境の管理機能が拡 張されます。 デリバリーサービスコンソールは、スタンドアロンのMMCスナップインです。 いくつかのスナップイン形式の管理ツール(拡張スナップイン)により各管理機能が提供さ れます。これらの管理ツールは、Access Controllerのインストール時に、または後から選択 することができます。 デリバリーサービスコンソールのインストール デリバリーサービスコンソールはAccess Controllerと共にインストールされます。 インス トールとサーバー構成が完了したら、Access Controllerで設定の構成を開始できます。 管理者ユーザーとアカウントの管理 デリバリーサービスコンソールを使用するには、システムまたはネットワークの管理者であ る必要があります。 ほかのユーザーにコンソールの使用を許可する前に、そのユーザーに適 切な管理権限が設定されていることを確認してください。 1台のコンピューター上で同じユーザーアカウントを使用して、2つのセッションで同時にコ ンソールを実行しないでください。 一方のセッションで行った変更内容を、もう一方の内容 で上書きしてしまうことがあります。 コンソールの管理者への配布 コンソールを使用してAccess Controllerの構成に変更を加えるには、Access Gateway Server COM+アプリケーションを実行するアクセス許可が必要です。 COM+アプリケーショ ンのアクセス許可の付与について詳しくは、「COM+を使用したデリバリーサービスコンソー ルのセキュリティ保護」を参照してください。 デリバリーサービスコンソールを起動するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 314 デリバリーサービスコンソールのユーザー インターフェイス デリバリーサービスコンソールのユーザーインターフェイスは、主に次の3つのウィンドウ ペインで構成されています。 • • • 左側のウィンドウペインには、コンソールツリーが表示されます。 中央のタスクペインには、さまざまな管理タスクや管理ツールのメニューが表示されま す。 このペインはMicrosoft管理コンソールに表示されません。 右の詳細ペインには展開されている項目についての情報および関連タスクが表示されま す。 コンソールツリーには、次のノードが表示されます。 • • • アラート: Citrix環境のすべてのコンポーネントで検出されたアラートが表示されます。 アラート項目をダブルクリックすると、そのアラートの対象項目を確認できます。 検索結果: 検索結果が表示されます。 コンソール内で検索を行うには、タスクペインの [検索]をクリックして、検索する項目を入力します。[高度な検索]をクリックする と、詳細な条件を指定して検索できます。 マイビュー: 詳細ペインの表示モードをカスタマイズして、マイビューとして保存でき ます。 デリバリーサービスコンソールを使用して、Access ControllerとAccess Gatewayの設定を 管理できます。 デリバリーサービスコンソールでは次の操作を実行できます。 315 • ログオンポイント、リソース、フィルター、およびポリシーの構成。 • 複数のAccess ControllerクラスターとAccess Gatewayアプライアンスの管理。 • エンドポイント解析スキャンの作成。 展開環境内の項目の検出 デリバリーサービスコンソールを使用して展開環境内の項目を管理する前に、検出を実行す る必要があります。 検出機能は、タスクペインの[検索]アイコンを使用してコンソールツ リー内の既存の項目を見つける機能とは異なります。 それとは対照的に、検出機能では、項 目がデータベースからの最新情報で更新されます。 検出により、名前、IPアドレス、および 状態などの項目が、追加、削除、または更新されます。 [検出の実行]タスクを実行して項目を検出します。 コンソールを初めて開くときにも、検 出は自動的に実行されます。 検出を定期的に実行して、コンソールに展開環境の最新の状態が表示されるようにします。 次の場合に、検出を実行します。 • • • Access GatewayまたはAccess Controllerの項目またはコンポーネントをインストール または削除した場合。 検出を実行しないと、最近インストールされた項目やコンポーネ ントがデリバリーサービスコンソールに表示されません。 既存の展開環境に項目を追加または削除した場合。 検出が完了しなければ、コンソール ツリー、タスクペイン、および詳細ペインは更新されません。 管理者の権限を変更した場合。 検出を再実行しないと、コンソールで権限の変更が有効 になりません。 コンソールツリーの1つのコンポーネントだけを対象に検出を実行するには、そのコンポー ネントを選択して[検出の実行]をクリックします。 検出を実行するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]を選択します。 3. タスクペインで[共通のタスク]の[検出の実行]をクリックします。 316 [はじめに]ページを使用した設定構成 デリバリーサービスコンソールの[はじめに]ページには、Webリソースやアクセスポリシー の構成などのタスクを実行するためのウィザードへのリンクが含まれており、Access Controller環境の構成に役立ちます。 これらのリンクには、次の項目が含まれています。 • • • Access GatewayアプライアンスのAccess Controllerへの追加。 ユーザーログオンのための、ログオンポイント、認証プロファイル、およびエンドポイ ント解析スキャンの作成。 ネットワークへのユーザーアクセスのための、リソース、ポリシー、およびフィルター の作成。 [はじめに]ページにアクセスするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで[Access Gateway]を選択し、[そのほかのタスク]の[はじめ に]をクリックします。 コンソールツリーでAccess Controllerクラスターを選択し、[そのほかのタスク]の[はじ めに]をクリックすることもできます。 317 マイビューを使用した表示のカスタマイ ズ デリバリーサービスコンソールの詳細ペインの表示形式をカスタマイズして、マイビューと して保存できます。 マイビューを構成すると、定期的に調査する項目やコンソール内の異な るノードの項目を1つのビューにグループ化して、すばやく表示することができます。 コン ソールツリーを繰り返し閲覧しなくても、簡単に取得できる単一のビューに項目を含めたり、 更新された情報を検索せずにいつでも表示したりできます。 たとえば、マイビューを作成し て、異なるクラスターに属するサーバーのポリシーを表示することができます。 [リソース]や[Access Gatewayアプライアンス]など、ツリー内の任意のノードを選択 して、マイビューに設定を保存できます。 表示をカスタマイズするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. ノードを選択し、[共通のタスク]の[マイビューに保存]をクリックします。 3. [名前]ボックスにビューの名前を入力します。 4. [説明]ボックスにビューの説明を入力します。 5. [場所]ボックスの隣の[新規フォルダ]をクリックしてフォルダーの名前を入力し、 [OK]をクリックします。 マイビューに項目を追加すると、タスクパネルの[マイビュー]をクリックして、詳細ペイ ンですべての項目を表示できるようになります。 318 Access Controllerでの認証および承認 プロファイルの作成 認証の種類に合わせて認証をCitrix Access Controllerに構成できます。 Access Controller では、次の種類の認証がサポートされます。 • ネイティブなActive Directory • LDAP • RADIUS • RSA SecurID 認証の種類ごとに認証プロファイルを作成します。 認証プロファイルの一部として、承認を 構成できます。 Access Controllerでは、Active Directory、LDAP、およびRADIUS承認が サポートされます。 承認を構成しない場合はネットワークリソースを構成して、ネットワー クリソースへのアクセスを許可または拒否します。 承認にActive DirectoryまたはLDAPを使用する場合は、Active DirectoryまたはLDAPを使 用して認証する必要はありません。 認証にRADIUSを使用し、承認を使用したい場合は、 RADIUS承認を使用する必要があります。 Access Controllerでは、複数の認証プロファイルにそれぞれの独自な認証要件を構成できま す。 ユーザーがログオンするとき、使用する認証プロファイルがログオンポイントによって 判定されます。 これらの種類の認証は、デリバリーサービスコンソールの[ログオンポイントプロパティ] ダイアログボックスで構成して有効にします。 ログオンポイントを構成するときに、使用す る認証と承認の方法を選択します。 たとえば、ユーザーを認証するためにLDAPを選択し、 特定の社内リソースに対するアクセスをユーザーに承認するためにActive Directoryを選択 できます。 Access Gatewayをさらに強化するためにSSLを使用できますが、SSLはオプションです。 Advanced Gatewayでは、Access Controllerサーバーとの通信にSSLを使用できます。 319 Access ControllerでのActive Directory認証プロファイルの作成 ネイティブのActive Directory認証を使用してユーザーを認証できます。 Access Controller でこの種類の認証を構成すると、LDAPの代わりにWindowsログオンAPI(Application Programming Interface:アプリケーションプログラミングインターフェイス)を使用して ユーザーが認証されます。 Access Controllerでは、Access Controllerサーバーの属すドメインおよびActive Directory フォレスト内の任意の信頼されるドメインに対する認証がサポートされます。 Access ControllerでActive Directory認証プロファイルを構成するときは、すべてのユーザーのデフォ ルトドメインを1つ選択するか、ユーザーによるドメインの指定を許可するか、ユーザーに よる一覧からのドメイン選択を許可できます。 Active Directory認証を構成するときは、ユーザーによるログオン時のパスワードの変更を 許可することもできます。 Access Controllerでは、次の種類のユーザーログオン資格情報 がサポートされます。 320 • ユーザー名、ドメイン、およびパスワード • <ドメイン>\<ユーザー名>形式のユーザー名およびパスワード • UPN(User Principle Name:ユーザープリンシパル名)およびパスワード Access ControllerでのActive Directory認証プロファイルの作成 Active Directory認証を構成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. タスクペインで[共通のタスク]の[クラスターのプロパティの編集]をクリックしま す。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[認証プロファイル] をクリックします。 5. [新規]をクリックして[Active Directory]を選択します。 6. [名前]ボックスにプロファイルの名前を入力します。 7. [説明]ボックスにプロファイルの説明を入力します。 8. [ドメインの選択]で次のいずれかを選択します。 • • ユーザーがログオンするデフォルトドメインを設定するには、[このドメインをすべ てのユーザーに使用する]をクリックします。 ログオン時にユーザーによるドメインの選択を許可するには、[ユーザーにドメイン の指定を許可する]をクリックします。 ユーザーによる複数のドメインからの選択を許可するには、[ユーザーに一覧からの ドメインの選択を許可する]をクリックします。 このオプションを選択する場合は、 [ドメイン一覧]をクリックしてドメインを選択し、[OK]をクリックします。 9. [OK]を2回クリックして、Active Directoryプロファイルの構成を完了します。 • 321 Access ControllerでのLDAP認証プロ ファイルの作成 認証プロファイルを使用すると、LDAP設定をクラスターレベルで構成し、ログオンポイント に適用できます。 LDAP認証とActive Directory承認を使用する場合は、大文字小文字の区 別も含めて、グループ名が同一である必要があります。 322 Access ControllerでのLDAP認証プロファイルの作成 LDAP認証プロファイルを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. タスクペインで[共通のタスク]の[クラスターのプロパティの編集]をクリックしま す。 4. [認証プロファイル]ページを開き、[新規]をクリックして[LDAP]を選択します。 5. [名前]ボックスと[説明]ボックスに、プロファイルを定義する名前と説明を入力し ます。 6. [サーバーの種類]ボックスの一覧で使用するLDAPサーバーの種類を選択します。 LDAPサーバーを選択すると、そのLDAPサーバーのデフォルト値がそのほかのほとんど のフィールドに自動的に入力されます。 デフォルト値はいつでも変更できます。 [その ほか]を選択して、各フィールドに独自の値を設定することもできます。 7. [サーバー一覧]で[新規]をクリックし、使用するLDAPサーバーの名前またはIPアド レスを入力します。 8. [ポート]ボックスに、LDAPサーバーでLDAP要求に使用するポート番号を入力します。 LDAP接続のポート番号は、次のとおりです。 • 389:セキュリティで保護されないLDAP接続用 • 636:セキュリティで保護されるLDAP接続用 • 3268:セキュリティが保護されないLDAP接続を使用してグローバルカタログをク エリする場合 3269:セキュリティが保護されるLDAP接続を使用してグローバルカタログをクエ リする場合 9. [管理者の名前]ボックスに、LDAPサーバーにアクセスしてLDAPリポジトリのユーザー エントリを検索できる管理ユーザーの名前を入力します。 このボックスの構文の例を次 に示します。 • “domain\user name”(Active Directoryの場合) “ou=administrators,dc=ace,dc=com” “[email protected]”(Active Directoryの場合) “cn=Administrator,cn=Users,dc=ace,dc=com” Active Directoryではパラメーター「domain\user name」が使用されます。 Access Gatewayは、管理者の資格情報を使用してLDAPサーバーへのバインドを行って から、ユーザーを検索します。 ユーザーが見つかると、Access Gatewayは管理者の資 格情報のバインドを解除し、ユーザーの資格情報を使用して再度バインドを行います。 10. [管理者のパスワード]ボックスと[管理者のパスワードの確認入力]ボックスに、パ スワードを入力します。 323 Access ControllerでのLDAP認証プロファイルの作成 11. [基本識別名(ユーザーの場所)]ボックスに、ユーザー検索の開始基準になるLDAPコ ンテナーの識別名を入力します。 基本識別名の構文の例を次に示します。 “ou=users,dc=ace,dc=com” “cn=Users,dc=ace,dc=com” 12. [ユーザー名属性]ボックスと[グループ名属性]ボックスに属性を入力します。この 属性は、Access GatewayがこのLDAPサーバーでユーザーのログオン名とグループ名を 検索するときに使用されます。 使用するディレクトリサービスに応じて、次の属性のい ずれかを入力します。 • Active Directoryの場合は、デフォルトのsAMAccountNameを使用します。 • Novell eDirectoryまたはLotus Dominoの場合は、デフォルトのcnを使用します。 • IBM Directory Serverの場合は、デフォルトのuidを使用します。 Sun ONE Directoryの場合は、uidまたはcnを使用します。 13. [検索範囲]で、LDAPサーバーの種類に適切な検索の種類を選択します。 • 14. 検索範囲として[ディレクトリ全体]を選択する場合は、[ユーザーのmemberOf属性] ボックスと[グループのmemberOf属性]ボックスに、承認中にユーザーに関連付けら れたグループを取得するために、Access Gatewayで使用されるグループ属性名を入力 します。 使用するディレクトリサービスに応じて、次の属性のいずれかを入力します。 • Active Directoryの場合は、デフォルトのmemberOfを使用します。 • Novell eDirectoryの場合は、groupMembershipを使用します。 • IBM Tivoli Directory Serverの場合は、デフォルトのmemberを使用します。 Sun Directory Serverの場合は、デフォルトのmemberを使用します。 15. 検索範囲に[基本識別名を指定する]を選択する場合は、次の項目を指定します。 • a. [グループ抽出のディレクトリコンテナー]ボックスに、ユーザーが属するグループ の検索に使用するLDAPコンテナーの識別名を入力します。 b. [グループ抽出フィルター]ボックスに、コンテナー内のグループのインスタンスを 特定するLDAPフィルターを入力します。 c. [グループメンバー属性]ボックスに、グループ名を特定するそれらのインスタンス で使用される属性名を入力します。 16. [OK]を2回クリックします。 324 Access Controllerでユーザーにパスワー ドの変更を許可するには Access ControllerでLDAP認証プロファイルを構成する場合、ユーザーがパスワードを変更 できるようにすることができます。 Active DirectoryまたはNovell eDirectoryにログオンす るユーザーは、パスワードを変更できます。 セキュリティを保護しない接続を使用するようにAccess Controllerを構成する場合は、パス ワードの変更が失敗する可能性があります。 Active Directoryを介して構成したLDAPのパスワードをユーザーが変更できるようにするに は、次の作業を行う必要があります。 • • セキュリティで保護されたLDAP認証のために、ポート636を構成します。 LDAPセキュリティ証明書に署名するために使用される、証明機関が署名したルート証明 書とサーバー証明書をインストールします。 ログオンポイントに、セキュリティで保護された接続を経由する、Active Directoryまたは Novell eDirectoryのLDAP認証プロファイルを関連付ける場合は、ユーザーはログオンペー ジからパスワードを変更できます。 Active DirectoryまたはNovell eDirectoryにユーザーが ログオンすると、パスワードの変更を促すダイアログボックスが開く可能性があります。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. タスクペインで[共通のタスク]の[クラスターのプロパティの編集]をクリックしま す。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[認証プロファイル] をクリックします。 5. [認証プロファイル]ページでLDAP認証プロファイルを選択し、[編集]をクリックし ます。 6. [ユーザーにパスワードの変更を許可する]チェックボックスをオンにして[OK]を2 回クリックします。 325 Access ControllerでのRADIUS認証プ ロファイルの作成 認証プロファイルを使用すると、RADIUS設定をクラスターレベルで構成し、ログオンポイ ントに適用できます。 RADUIS認証プロファイルを作成するには、次の作業を行います。 • • 326 RADIUSサーバー認証を定義して、使用するRADIUSサーバーと有効期間を指定し、サー バーの負荷分散またはフェールオーバーを構成する。 RADIUSサーバーで構成されている属性と値を使用してRADIUS認証を定義する。 Access ControllerでのRADIUS認証プロファイルの作成 RADIUS認証を構成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. タスクペインで[共通のタスク]の[クラスターのプロパティの編集]をクリックしま す。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[認証プロファイル] をクリックし、[新規]をクリックして[RADIUS]を選択します。 5. [名前]ボックスと[説明]ボックスに、プロファイルを定義する名前と説明を入力し ます。 6. [サーバー一覧]の[新規]をクリックします。 7. [RADIUSサーバーの構成]ダイアログボックスの[サーバー名またはアドレス]ボッ クスに、RADIUSサーバーのIPアドレスまたは完全修飾ドメイン名を入力します。 8. [認証ポート]ボックスと[アカウンティングポート]ボックスに、ポート番号を入力 します。 デフォルトのポート番号は、それぞれ1812および1813です。 9. [認証または承認用の資格情報]の[認証シークレット]ボックスと[認証シークレッ トの確認入力]ボックスに共有シークレットを入力して、[OK]をクリックします。 この共有シークレットは、RADIUSサーバーで構成した共有シークレットと同一のもの です。 10. [RADIUSプロファイルの構成]ダイアログボックスの[サーバー一覧]で[上に移動] および[下に移動]をクリックして、一覧内でのサーバーの位置を変更します。 11. ユーザー認証のプロセスでサーバーの応答を待機する期間を変更するには、[ネットワー クタイムアウト]ボックスの値を変更します。 デフォルトでは、認証を開始して5秒後 にプロセスが失効します。 12. [OK]を2回クリックします。 327 Access ControllerでのRSA SecurID 認証プロファイルの作成 RSA SecurIDを認証に使用する場合は、RSAサーバーでユーザーアクセスを認証するように Access Controllerを構成できます。 Access Controllerサーバーは、ログオンしようとする ユーザーを認証するRSA Agent Hostとして機能します。 RSA SecurID認証を構成するには、次の作業を行います。 • • • Agent HostのRSAサーバーへの追加。 Access ControllerサーバーのRSA Agent Hostとしての構成およびsdconf.recファイル の生成。 Access Controller用のsdroot証明書ファイルの生成およびRSAソフトウェアのインストー ル。 • RSA SecurIDサーバーを使用した認証処理のテスト。 • RSA SecurID認証を使用するログオンポイントの構成。 Access Controllerでは単一のRSA SecurIDプロファイルがサポートされます。 328 Access ControllerでのRSA SecurID認証プロファイルの作成 Access ControllerでRSA SecurIDを構成す るには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. タスクペインで[共通のタスク]の[クラスターのプロパティの編集]をクリックしま す。 4. [認証プロファイル]ページを開き、[新規]をクリックして[RSA SecurID]を選択 します。 5. [RSA SecurIDの構成]ダイアログボックスの[名前]ボックスに、プロファイルの名 前を入力します。 6. [説明]ボックスにプロファイルの説明を入力します。 7. Access Gatewayで認証が処理される場合は、[エージェントホスト構成ファイル]ボッ クスの隣の[参照]をクリックして、sdconf.recファイルの場所に移動してファイルを 選択し、[開く]をクリックします。 8. [OK]を2回クリックします。 329 ログオンポイントへの認証プロファイル の割り当て Access Controllerで認証プロファイルを構成した後で、プロファイルをログオンポイントに 割り当てる必要があります。 認証プロファイルは、デリバリーサービスコンソールで[ログ オンポイントプロパティ]ダイアログボックスの[認証]ページと[承認]ページで割り当 てることができます。 Active Directory、LDAP、RADIUS、およびRSA SecurIDのプロファ イルをログオンポイントに割り当てられます。 LDAPプロファイルをユーザー認証に使用する場合は、ユーザー承認にActive Directory、 LDAP、またはRADIUSプロファイルを使用できます。 RADIUSプロファイルを認証に使用 する場合は、同じプロファイルを承認にも使用する必要があります。 RSA SecurIDを認証に 使用する場合は、承認にActive Directory、LDAP、またはRADIUSを使用できます。 RADIUSまたはLDAPプロファイルを使用する場合は、Active Directoryの資格情報が必要な リソースにユーザーがアクセスする方法を指定できます。 RADIUSまたはLDAPを使用して ユーザーを認証し承認するシナリオでは、Active Directoryへのシングルサインオンを有効 にできます。 これにより、ユーザーはActive Directoryの資格情報を入力しなくても、リソー スに円滑にアクセスできます。 この設定を行うには、シングルサインオン先のActive Directoryドメインを入力します。 デフォルトのActive Directoryドメインのユーザーアカウ ントは、RADIUSまたはLDAPサーバーのユーザーアカウントと一致します。 認証プロファイルをログオンポイントに割り当 てるには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. [ログオンポイント]を展開し、構成するログオンポイントを選択します。 新しいログ オンポイントの作成について詳しくは、「Access Controllerでのログオンポイントの作 成」を参照してください。 4. [共通のタスク]の[ログオンポイントの編集]をクリックします。 5. [ログオンポイントプロパティ]ダイアログボックスの左ペインで[認証]をクリック し、組織内のユーザーを識別するために使用する認証プロファイルを選択します。 6. 左ペインで[承認]をクリックし、認証が成功したときにユーザーが受け取るアクセス レベルを決定するために使用する、認証プロファイルを選択します。 7. [OK]をクリックします。 330 Access Controllerで2要素認証を構成 するには Access Controllerでは2要素認証がサポートされます。2要素認証では、ユーザーはログオ ンするために2種類の認証を使用する必要があります。 Access Controllerでは、セカンダリ の認証の種類が先に確認されます。 認証に成功すると、プライマリの認証の種類が確認され ます。 たとえば、アプライアンスでLDAPおよびRSA SecurIDのプロファイルを構成した場 合、ユーザーがログオンするときに、1つ目のパスワードボックスにLDAPのパスワードを、 2つ目のパスワードボックスにRSA SecurIDの暗証番号とパスコードを入力します。 ユーザー が[ログオン]をクリックすると、Access ControllerではまずRSA SecurIDのPINとパスコー ドを、次にLDAPのパスワードを使用して、ユーザーを認証します。 2要素認証は、デリバリーサービスコンソールで「基本」または「SmartAccess」のログオ ンポイントを作成するときに構成します。 ログオンポイントを作成した後で認証プロファイ ルを変更することもできます。 ログオンポイントと2要素認証を構成するときは、複数の認 証の種類も選択できます。 LDAP承認は、Active Directory、LDAP、RADIUS、およびRSA SecurID認証で使用できます。 RADIUS承認はRADIUS認証のみと連動します。 Active Directory承認は、LDAP、RADIUS、およびRSA SecurID認証で使用できます。 オプションで、ログオンポイントで2要素承認を構成できます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を展開します。 3. [ログオンポイント]を展開し、ログオンポイントを選択します。 新しいログオンポイ ントの作成について詳しくは、「Access Controllerでのログオンポイントの作成」を参 照してください。 4. [共通のタスク]の[ログオンポイントの編集]をクリックします。 5. [ログオンポイントプロパティ]ダイアログボックスの[認証]をクリックします。 6. [認証プロファイル]の[追加]をクリックして、ログオンポイントに認証プロファイ ルを追加します。 7. [認証プロファイル]でプライマリにする認証プロファイルの[プライマリ]列をクリッ クして、[OK]をクリックします。 シングルサインオンにはプライマリ認証プロファイルが使用されます。 331 Access Controllerでユーザーを認証す るには Access GatewayとAccess Controllerを展開する場合、通常はAccess Controllerで認証サー バーと直接通信することによってユーザーを認証します。 展開シナリオに応じて、ユーザー のログオン時にAccess Controllerが認証トラフィックの提供元として機能するように構成す ることができます。 LDAP、RADUIS、またはRSA SecurIDによる認証について、ユーザー 要求を認証するようにAccess Controllerを構成できます。 Active Directoryによる認証では、 Access Controllerは常に認証トラフィックの提供元として機能します。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を選択します。 3. タスクペインで[共通のタスク]の[クラスターのプロパティの編集]をクリックしま す。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[認証プロファイル] をクリックします。 5. LDAP、RADUIS、またはRSA SecurID認証プロファイルを選択して[編集]をクリック します。 6. [Access Controllerで強制的に認証する]チェックボックスをオンにして、[OK]をク リックします。 332 Access Controllerでのログオンポイン トの作成 ログオンポイントにはユーザーのログオンページを定義し、ユーザーセッションに適用され る設定を指定します。 Access Controllerでログオンポイントを構成するときの初期設定に は、必要なログオンポイントの種類、認証の種類、使用するEndpoint Analysis Plug-inの種 類、ホームページ、およびCitrix XenAppのサーバーファームが含まれます。 ユーザーセッ ションには、ユーザーが経由するログオンポイントのプロパティが引き継がれます。 必要なログオンポイントを決定するには、次のことを検討します。 • • • 展開環境にアクセスするユーザーについて。 たとえば、特定の部署のユーザーは、専用 のログオンポイントが必要な場合があります。 同様に、パートナー企業の従業員など、 組織と特有な関係を持つユーザーにも、専用のログオンポイントが必要な場合がありま す。 ユーザーがログオンポイントにアクセスするときに使用するデバイスについて。 たとえ ば、PDAのような小型デバイスでリソースにアクセスするユーザーには、コンピューター でアクセスするログオンポイントとは別のログオンポイントが必要な場合があります。 使用されるログオンポイントに基づいてリソースへのアクセスを制限するポリシーにつ いて。 たとえば、特定のログオンポイントで認証を受けると、ほかのログオンポイント で認証を受ける場合には使用できない特定のリソースにアクセスできるようにすること ができます。 ログオンポイントには「基本」と「SmartAccess」の2種類があります。 基本ログオンポイント 基本ログオンポイントにより、ユーザーはCitrix Online Plug-inまたCitrix Receiverのみを 使用してログオンできるようになります。 基本ログオンポイントでは、ユーザーはXenAppまたはXenDesktopにのみログオンして接続 できます。 基本ログオンポイントには、次の設定を構成できます。 • • Web Interfaceホームページを定義する。 アプリケーションとしてWeb Interfaceを設 定したWebリソースを構成する必要があります。 認証の種類を構成する。 SmartAccessログオンポイント SmartAccessログオンポイントでは、ユーザーはAccess Gateway Plug-inを使用してログ オンし、ネットワークに完全にアクセスできます。 SmartAccessログオンポイントには、次 の設定を構成できます。 333 Access Controllerでのログオンポイントの作成 • 334 ホームページを定義する。 ホームページにはアクセスインターフェイスまたはそのほか のホームページを構成できます。 • 認証の種類を構成する。 • グループ承認を構成する。 • ログオンポイントで使用するXenAppファームを構成する。 • サウンドとウィンドウの設定を構成する。 • ワークスペースコントロールを構成する。 • エンドポイント解析を構成する。 • ログオンポイントで使用するEndpoint Analysis Plug-inを選択する。 基本ログオンポイントの構成 更新日: 2012-05-03 基本ログオンポイントを介して、ユーザーはCitrix Online Plug-inまたCitrix Receiverを使 用してログオンできます。 ログオンすると、ユーザーはXenAppの公開アプリケーションま たはXenDesktopの公開デスクトップにのみアクセスできます。 ユーザーが基本ログオンポ イントからログオンするときは、プラットフォームライセンスが使用されます。 ユニバーサ ルライセンスは使用されません。 Access Controllerで基本ログオンポイントを構成するには、次の作業を行います。 • デリバリーサービスコンソールを使用して、ログオンポイントを作成する。 • サーバー構成ユーティリティを使用して、ログオンポイントを展開する。 基本ログオンポイントを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、基本ログオンポイン トを作成したいAccess Controllerクラスターの順に展開します。 3. [ログオンポイント]を選択し、[共通のタスク]の[ログオンポイントの作成]をク リックします。 4. [ログオンポイントの定義]ページで、次の操作を行います。 a. [ログオンポイント名]ボックスに、重複しないログオンポイントの名前を入力しま す。 b. [説明]ボックスにログオンポイントの説明を入力します。 c. [種類]ボックスの一覧から[基本]を選択します。 d. [次へ]をクリックします。 5. [ホームページの選択]ページで、ホームページとして使用するWeb Interfaceサイト を選択します。 ログオンポイントを構成する前に、WebアプリケーションとしてWeb Interfaceを設定したWebリソースを構成する必要があります。 詳しくは、「Webリソー スの作成」を参照してください。 6. [認証の構成]ページで、ユーザーがログオンするときに使用する認証プロファイルを 選択します。 認証の構成について詳しくは、「Access Controllerでの認証および承認プ ロファイルの作成」を参照してください。 7. [ログオンページの表示]ページで、[このログオンポイントを有効にする]チェック ボックスをオンにして[完了]をクリックします。 335 基本ログオンポイントの構成 Web Interfaceでユーザーを認証するには、[ログオンポイントの定義]ページで[認証な し]チェックボックスをオンにします。 このチェックボックスをオンにしない場合、ログオ ンポイントで選択されている認証プロファイルを使用して、Access Gatewayでユーザーが 認証されます。 336 SmartAccessログオンポイントの追加 更新日: 2012-05-03 SmartAccessログオンポイントにより、ユーザーはAccess Gateway Plug-inを使用してロ グオンし、安全なネットワークのリソースにアクセスできます。 ユーザーがこのプラグイン を使用してログオンするとき、ユニバーサルライセンスが使用されます。 Access Controllerでログオンポイントを構成するには、次の作業を行います。 337 • デリバリーサービスコンソールを使用して、ログオンポイントを作成する。 • サーバー構成ユーティリティを使用して、ログオンポイントを展開する。 SmartAccessログオンポイントの追加 SmartAccessログオンポイントを作成するに は 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、SmartAccessログオ ンポイントを作成したいAccess Controllerの順に展開します。 3. [ログオンポイント]を展開し、[共通のタスク]の[ログオンポイントの作成]をク リックします。 4. [ログオンポイントの定義]ページで、次の操作を行います。 a. [ログオンポイント名]ボックスに、重複しないログオンポイントの名前を入力しま す。 b. [説明]ボックスにログオンポイントの説明を入力します。 c. [種類]ボックスの一覧から[SmartAccess]を選択します。 d. [次へ]をクリックします。 5. [ホームページの選択]ページで、ユーザーがログオンした後に表示されるページを選 択します。 • アクセスインターフェイスを表示する: 組み込まれているデフォルトのホームペー ジであるアクセスインターフェイスをユーザーに表示します。このページには、電子 メール、ファイル共有、および公開アプリケーションが表示されます。 表示優先度が最も高いWebリソースを表示する: 表示優先度の一覧の最上位にある Webアプリケーションを表示します。 表示優先度を変更するには、[表示優先度の 設定]をクリックします。 6. [認証の構成]ページと[グループ承認の構成]ページで、ユーザーがログオンすると きに使用する認証方法とグループ承認を選択します。 認証の構成について詳しくは、「 Access Controllerでの認証および承認プロファイルの作成」を参照してください。 • 7. [Citrix XenAppの追加]ページで、ユーザーが使用できるようにするファームを追加し ます。 Web Interfaceを使用して公開アプリケーションを配信する場合は、ログオンポ イントにファームを追加する必要はありません。 Access Controllerと共にWeb Interfaceを使用する方法について詳しくは、「XenAppおよびXenDesktopのAccess Controllerとの統合」を参照してください。 8. [サウンドとウィンドウの設定の選択]ページで、サウンド、ウィンドウの色、および ウィンドウのサイズに関するオプションを構成します。 9. [ワークスペースコントロールの構成]ページで、ユーザーが開いておいたアプリケー ションに再接続できるようにするオプションを構成します。 ユーザーのデバイスでポッ プアップウィンドウを開かなくするソフトウェアが有効な場合は、各アプリケーション を別のウィンドウで開くかどうかを確認するメッセージがユーザーに表示されます。 10. [セッションタイムアウト]ページで、次の種類のセッションがタイムアウトするまで の期間を設定します。 338 SmartAccessログオンポイントの追加 • セッションのタイムアウト: Access Gateway Plug-inを使用するセッションをアク ティブのまま維持する期間です。 デフォルトは1440分間(1日)です。 注: セッションのタイムアウトはAccess Gateway Plug-inのみで機能します。 ユーザーがアクセスインターフェイスを使用してログオンする場合は、指定した時 間が経過した後もセッションは終了しません。 • • 非アクティブなネットワーク活動のタイムアウト: Webブラウザーのみのセッショ ンまたはAccess Gateway Plug-inを使用するセッションを、トラフィック活動が検 出されなくてもアクティブなまま維持する期間です。 デフォルトは20分間です。 非アクティブなユーザーのタイムアウト: マウスまたはキーボードの入力が検出さ れなくても、Access Gateway Plug-inを使用するセッションをアクティブなまま維 持する期間です。 11. [ログオンページの表示]ページで、Access Gatewayを経由してログオンするユーザー にログオンページを表示するかどうかを選択し、Access Controllerに直接ログオンする ユーザーにログオンページを表示するための条件を設定します。 Access Gatewayを経 由してログオンするユーザーは、デフォルトのログオンポイントに常にアクセスできま す。 ログオンページの表示のための条件の使用方法について詳しくは、「ログオンペー ジの表示条件の設定」を参照してください。 12. [エンドポイント解析の修復]ページに、エンドポイント解析が不合格になったときに ユーザーに表示するメッセージを入力します。 13. [プラグインの選択]ページで、ログオン時にユーザーに配布するEndpoint Analysis Plug-inを選択します。 339 ログオンポイントを展開するには Access Controllerサーバー構成を使用して、ログオンポイントを展開します。 ログオンポ イントは、展開するとユーザーから見えるようになります。 1. [スタート]>[すべてのプログラム]>[Citrix]>[Access Gateway]>[サーバー 構成]の順に選択します。 2. [ログオンポイント]ページで、展開するログオンポイントを選択します。 3. [展開]をクリックし、[OK]をクリックします。 340 ログオンページ情報の更新 Access Gatewayによって、ユーザーがリソースにアクセスするときに表示されるログオン ページを構成する、Webページとグラフィックファイルのコピーが格納されます。 次の場合 はこれらのファイルを更新する必要があります。 • 新しいログオンポイントを展開する。 • 既存のログオンページをカスタマイズする。 • 名前を変更したログオンポイントを再展開する。 ログオンページ情報を更新するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、Access Controllerサー バーの順に展開します。 3. [ログオンポイント]を展開し、更新するログオンポイントを選択します。 4. [共通のタスク]の[ログオンページ情報の更新]をクリックします。 このタスクを実行したときにAccess Gatewayが使用不可であった場合は、Access Gatewayアプライアンス上の情報が古いことを示すエラーメッセージがコンソールに表示さ れます。 このタスクを再実行したときにAccess Gatewayが使用可能であった場合は、更新 が成功したことを示すメッセージがコンソールに表示されます。 341 デフォルトのログオンポイントの設定 デフォルトのログオンポイントを使用すると、ユーザーはログオンポイントを指定せずに、 Access Gatewayを経由してクラスターにログオンできます。 デリバリーサービスコンソー ルを使用して、デフォルトのログオンポイントを指定できます。 デフォルトに指定できるロ グオンポイントはいつでも1つだけです。 ログオンポイントをデフォルトとして設定すると、Access Gatewayを経由してログオンす るユーザーにそのログオンポイントが自動的に表示されるようになります。 後で別のログオ ンポイントをデフォルトとして設定しても、前にデフォルトだったログオンポイントはそれ らのユーザーに表示される状態で残ります。 ネットワークの内部からAccess Controllerに ログオンするユーザーにだけそのログオンポイントが表示されるようにするには、[ログオ ンポイントプロパティ]ダイアログボックスの[ログオンページの表示]ページで設定を変 更する必要があります。 デフォルトのログオンポイントを設定するには 1. [スタート]ボタンをクリックし、[すべてのプログラム]>[Citrix]>[管理コンソー ル]>[デリバリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、デフォルトのログオ ンポイントを設定したいAccess Controllerの順に展開します。 3. [ログオンポイント]を展開し、デフォルトに指定するログオンポイントを選択します。 4. [共通のタスク]の[デフォルトのログオンポイントに設定]をクリックします。 342 ログオンポイントの削除 不要になったログオンポイントは削除できます。 Access Controllerからログオンポイント を削除するには、次の作業を行います。 • • • ログオンポイントに関連付けられているすべてのフィルターおよびエンドポイント解析 スキャン規則を削除する。 サーバー構成ユーティリティを使用して、ログオンポイントの仮想ディレクトリを Access Controllerサーバーから削除する。 デリバリーサービスコンソールを使用して、ログオンポイントを削除する。 デフォルトのログオンポイントを削除することはできません。 展開済みのログオンポイントの仮想ディレクト リをサーバーから削除するには 展開済みのログオンポイントのみを削除できます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. [Citrix Access Controllerサーバー構成]ダイアログボックスで[ログオンポイント] をクリックします。 3. [ログオンポイント]ページで、削除するログオンポイントを選択して[削除]をクリッ クして[OK]をクリックします。 コンソールを使用して、ログオンポイントを削 除するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]を展開し、ログオンポイントを削除したい Access Controllerクラスターを選択します。 3. [ログオンポイント]を展開し、削除するログオンポイントを選択します。 4. [共通のタスク]の[ログオンポイントの削除]をクリックします。 343 エンドポイント解析の修復メッセージの カスタマイズ ログオンポイントプロパティに構成されているログオンページの表示要件を、ユーザーデバ イスが満たさないためにアクセスが拒否される場合、ユーザーがログオンページにアクセス しようとすると、「アクセス拒否」のページが表示されることがあります。 「アクセス拒否」のページに表示されるメッセージを変更して、トラブルシューティングの ための情報をユーザーに提供することができます。 たとえば、よくある質問と回答、およびテクニカルサポート部門の連絡先を表示するように メッセージをカスタマイズしたり、 クライアントソフトウェアのインストールパッケージへ のリンクを含むWebページをユーザーに表示するようにカスタマイズしたりできます。 1つ のログオンポイントにつき作成できるメッセージは1つです。 注: メッセージサイズの上限は、Unicodeで2048文字分(20KB)です。 「アクセス拒否」のメッセージを編集するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、エンドポイント解析 の修復メッセージを構成したいAccess Controllerクラスターの順に展開します。 3. [ログオンポイント]を展開し、構成済みのログオンポイントの名前を選択します。 4. [共通のタスク]の[ログオンポイントの編集]をクリックします。 5. [ログオンポイントプロパティ]ダイアログボックスで[エンドポイント解析の修復] をクリックします。 6. エンドポイント解析スキャンが不合格になったときにユーザーに表示するメッセージテ キストをボックスに入力し、[OK]をクリックします。 344 Access Controllerへのリソースの追加 ネットワークリソースをAccess Controllerで制御するには、デリバリーサービスコンソール でクラスターに追加し、そのポリシーを作成します。 リソースには、ユーザーにアクセスを提供するネットワーク内の領域が含まれます。 次のリソースをAccess Controllerで作成できます。 • • • • リソースグループ。異なる種類のリソースを単一のエンティティにグループ化し、その グループにポリシーを適用することができます。 ネットワークリソース。ユーザーが直接接続できる、ネットワーク内のサブネットまた はサーバーを定義できます。 Webリソース。ポリシーによってセキュリティを保護する、Webページ、サイト、また はアプリケーションを定義できます。 ファイル共有。ポリシーによってセキュリティを保護する、ネットワーク上の共有ディ レクトリ、フォルダー、およびファイルから構成されます。 ネットワークリソースは次の形式で定義できます。 345 • 単一のIPアドレス • ネットワークアドレスとサブネットマスクを含む、ネットワーク内のサブネット ネットワークリソースの作成 Access Controllerでネットワークリソースを構成して、ネットワーク内のサブネットまたは サーバーを定義します。ユーザーはAccess Gateway Plug-inを使用してAccess Gatewayを 経由し、このリソースに直接接続できます。 デフォルトでは、アクセス許可をユーザーに与 えるポリシーを作成するまでは、ユーザーはネットワークリソースへのアクセスを拒否され ます。 346 ネットワークリソースの作成 ネットワークリソースを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、ネットワークリソー スを作成したいAccess Controllerクラスターの順に展開します。 3. [リソース]を展開し、[ネットワークリソース]を選択します。[共通のタスク]の [ネットワークリソースの作成]をクリックします。 4. ネットワークリソースの作成ウィザードの[ネットワークリソースの定義]ページで、 [ネットワークリソース名]ボックスおよび[説明]ボックスにリソースの名前と説明 を入力して、[次へ]をクリックします。 5. [サーバーとポートの指定]ページで[新規]をクリックして、次のいずれかを構成し ます。 a. [ネットワークIPアドレス]ボックスと[サブネットマスク]ボックスに、ネットワー クのIPアドレスとサブネットマスクを入力します。 サブネット全体を定義するには、ネットワークアドレスをサブネットマスクと共に指 定します。 たとえば、10.x.x.xのネットワーク上のすべてのサーバーを定義するに は、サブネットマスクとして「255.0.0.0」を指定します。 単一のサーバーを定義 するには、「10.2.3.4」のような特定のネットワークIPアドレスと一緒に、サブネッ トマスクとして「255.255.255.255」を指定します。[単一のIPアドレス]ボック スや[完全修飾ドメイン名(FQDN)]ボックスを使用して指定することもできます。 b. [単一のIPアドレス]ボックスに、ネットワーク内のユーザーがアクセスできるサー バーのIPアドレスを入力します。 6. [ポート]ボックスにポートまたはポートの範囲を入力して、[OK]、[次へ]をクリッ クします。 複数のポートまたはポートの範囲を指定できます。複数のポートはコンマで区切り、範 囲はハイフンでつなぎます。 たとえば、「22,80,110-120」とした場合は、リソースで 22、80、および110から120までのすべてのポートが使用されることを意味します。 Access Gatewayを経由するAccess Gateway Plug-inによる接続が、指定されたポート で許可されます。 7. [プロトコル]で、ネットワークリソースに使用するネットワークプロトコルを選択し ます。 8. ネットワークリソースへの接続情報のログを記録するには、[ログを有効にする]チェッ クボックスをオンにします。 9. [OK]をクリックし、[次へ]をクリックします。 10. [ポリシーの追加]ページで、次のどちらかを選択します。 • すべてのユーザーにアクセス権を与えるデフォルトポリシーを今すぐ追加する 注: デフォルトポリシーを作成する場合は、後でそのプロパティを編集できます。 • 347 すべてのユーザーにアクセス権を与えるポリシーを後で追加する ネットワークリソースの作成 11. [完了]をクリックします。 ネットワークリソースを定義した後で、デフォルトポリシーの設定を変更したり、そのユー ザーアクセスと接続設定を制御するポリシーを作成したりできます。 ネットワークリソースには、アクセスを許可または拒否するアクセス制御だけを使用できま す。 指定されたポートまたはネットワークサブノードで定義されるサービスにユーザーは直 接接続するため、URLのリライトは使用されません。 操作の制御を使用してアクセスレベル を調整する場合は、URLをリライトしてリソースに接続する必要があります。 Access Gateway Plug-inを使用して接続すると、プラグインのプロパティにネットワークリ ソースの一覧が表示されます。 348 Webリソースの作成 Webリソースには、Access Controllerでポリシーを設定して保護するWebページ、Webサ イト、またはアプリケーションを定義します。 複数のURLをグループ化し、単一のWebリソー スとして定義することができます。 デフォルトでは、アクセス許可をユーザーに与えるポリシーをデリバリーサービスコンソー ルで作成するまで、ユーザーはWebリソースへのアクセスを拒否されます。 IIS(Internet Information Services:インターネットインフォメーションサービス)で Webリソースを構成してダイジェスト認証を使用し、Access Controllerでシングルサインオ ンが無効なWebリソースを構成すると、ユーザーが認証資格情報を入力しても認証に失敗し ます。 認証が確実に成功するようにするには、IISでWebリソースを構成するときにダイジェ スト認証の代わりに基本認証を使用します。 349 Webリソースの作成 Webリソースを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、Webリソースを作成 したいAccess Controllerの順に展開します。 3. [リソース]を展開し、[Webリソース]を選択します。[共通のタスク]の[Webリ ソースの作成]をクリックします。 4. Webリソースの作成ウィザードの[Webリソースの作成]ページで、[Webリソース名] ボックスおよび[説明]ボックスにリソースの名前と説明を入力して、[次へ]をクリッ クします。 5. [アドレスの構成]ページで[新規]をクリックします。 6. [Webアドレス]ボックスに、アドレスを入力します。 次の項目をアドレスに含められます。 • • 個別のドキュメントではない、仮想ディレクトリ。 たとえば、「 http://PeopleManagementSystem/Recruiting/」は追加できますが、「 http://PeopleManagementSystem/How-to-Interview.html」は追加できません。 「http://www.MyCompany.com/users/#<FullName>」のような動的なシステ ムトークン。 動的なシステムトークンを使用する場合は[トークンを有効にする(リソース内でトー クンを置換します)]チェックボックスをオンにします。 次の項目はアドレスに含められません。 • 「http://www.server[1-0]+.com/[A-Za-z]+(A-Za-z0-9)*/」などの、一般的な 正規表現を含む文字列。 「*.MyURL.com」や「http://www.*/Dept/MyCompany.com」のようなワイル ドカードを含む文字列。 7. [アプリケーションの種類]ボックスの一覧から、Webアプリケーションの種類を選択 します。 アプリケーションの種類によって、Webアドレスの構成に特別な情報が必要か どうかが決定されます。 • • • • • 350 Citrix Web Interface:Citrix XenAppまたはCitrix XenDesktopからユーザーの公 開アプリケーションまたはデスクトップを表示するWeb Interfaceサイトを設定する 場合に選択します。 詳しくは、「XenAppおよびXenDesktopのAccess Controller との統合」を参照してください。 Microsoft Outlook Web Access 2007またはMicrosoft Outlook Web App 2010: Outlook Web AccessまたはWeb Appを実行するExchangeサーバーを設定する場合 に選択します。 Microsoft SharePoint 2007:SharePointサイトを設定する場合に選択します。 Microsoft SharePoint(Web Interface Webパーツ使用):Microsoft SharePoint サイトの一部にCitrix Web Interfaceを表示するWebパーツを設定する場合に選択し ます。 Web Interfaceを経由するSmartAccess機能がサポートされます。 Webリソースの作成 • • Webアプリケーション:特別な構成情報が不要なWebサイトを設定する場合に選択 します。 デフォルトでは、このオプションが選択されています。 Webアプリケーション(要セッションCookie):Cookieの受信が必要なWebサイト を設定する場合に選択します。 デフォルトでは、リダイレクト先のURLアドレスに 対して、URLのリライトによってCookieが転送されることはありません。 [Webア プリケーション]に設定されているWebサイトに対して、URLのリライトによって Cookieが渡されることもありません。 注: Outlook Web AccessまたはOutlook Web Appを構成してファイルタイプの関連 付けを有効にする場合は、XenAppで拡張子.jsを無効にして、この拡張子のファイル をユーザーが開けないようにする必要があります。 拡張子.jsを有効なままにしておく と、ユーザーがOutlookで電子メールを読んだり、そのほかの作業をしたりできなくな る可能性があります。 XenAppでコンテンツのリダイレクトを使用して、拡張子.jsを 無効にすることができます。 詳しくは、Citrix eDocsライブラリのXenAppのドキュ メントの、「ファイルタイプの関連付けを更新するには」を参照してください。 8. [OK]をクリックします。 9. アクセスインターフェイスにこのリソースを表示する場合は、ユーザーのリソース一覧 に公開するために次のオプションを選択します。 a. [ユーザーのリソース一覧に公開する]チェックボックスをオンにして、[ホームペー ジ]ボックスにWebアドレスを入力します。 • ホームページは、手順6.で指定したとおりのWebアドレス内のページにする必要 があります。 たとえば、Webリソースのアドレスとして「 http://MyCompany.net」と入力した場合は、このサイト内に含まれるページ (たとえば「http://MyCompany.net/Finance.aspx」)を指定します。 使用しているディレクトリサービスでホームページトークンが使用されている場 合は、ホームページのURLとして「#<homepage>」と入力できます。 b. [お勧めのアプリケーションとして公開する]チェックボックスをオンにします。 10. [次へ]をクリックします。 • 11. [ポリシーの追加]ページで、次のどちらかを選択します。 • すべてのユーザーにアクセス権を与えるデフォルトポリシーを作成する 注: デフォルトポリシーを作成する場合は、後でそのプロパティを編集できます。 • 351 アクセスを許可するポリシーを後で作成する Webリソースへのシングルサインオンの 構成 Webリソースへのシングルサインオンを有効にすると、初回認証の後にユーザーが資格情報 を入力する必要がなくなります。 2要素認証を使用する場合は、Access Controllerではプライマリの認証の種類がシングルサ インオンに使用されます。 Webリソースへのシングルサインオンを構成 するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、シングルサインオン を構成したいAccess Controllerの順に展開します。 3. [リソース]、[Webリソース]の順に展開してリソースを選択します。 4. [共通のタスク]の[Webリソースの編集]をクリックします。 5. [Webリソースプロパティ]ダイアログボックスで[Webアドレス]をクリックします。 6. [Webアドレス]ボックスの一覧でリソースを選択し、[編集]をクリックします。 7. [Webアドレスの編集]ダイアログボックスで[シングルサインオンを有効にする]チェ ックボックスをオンにして、[OK]をクリックします。 8. シングルサインオンを有効にするリソースごとに手順6.および7.を繰り返し、[OK]を クリックします。 352 ファイル共有の作成 ファイル共有は、Access Controllerでポリシーによってセキュリティを保護する、ネットワー ク内の共有ディレクトリ、フォルダー、およびファイルから構成されます。 複数の共有をグループ化し、単一のリソースとして定義することができます。 ファイル共有 をグループ化すると、作成するポリシーの数を抑えることができます。リソースに対して作 成するポリシーは、グループ内のすべての共有に適用されるためです。 アクセス許可をユーザーに与えるポリシーをデリバリーサービスコンソールで作成するまで は、ユーザーはファイル共有へのアクセスをデフォルトで拒否されます。 353 ファイル共有の作成 ファイル共有を作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、ファイル共有を作成 したいAccess Controllerの順に展開します。 3. [リソース]を展開し、[ファイル共有]を選択します。[共通のタスク]の[ファイ ル共有の作成]をクリックします。 4. ファイル共有の作成ウィザードの[ファイル共有の定義]ページで、[ファイル共有名] ボックスおよび[説明]ボックスにリソースの名前と説明を入力して、[次へ]をクリッ クします。 5. [アドレスの構成]ページで[新規]をクリックします。 6. [ファイル共有]ダイアログボックスの[表示名]ボックスに、ファイル共有の名前を 入力します。 7. [ファイル共有の場所]ボックスに、「\\<サーバー名>\<共有ファイルフォルダー>」 のようなファイル共有へのパスを入力します。 • ディレクトリと同様に、特定のドキュメントファイルのアドレスも含められます。 「#<username>」のような動的なシステムトークンを使用できます。 システムトー クンを使用する場合は、Access Controllerのサーバー構成で、ローカルコンピュー ターのアカウントではなくドメインアカウントをサービスアカウントとして定義する 必要があります。 トークンを使用する場合は[トークンを有効にする(リソース内 でトークンを置換します)]チェックボックスをオンにします。 8. アクセスインターフェイスにこのリソースを表示するには、[ユーザーのリソース一覧 に公開する]チェックボックスをオンにします。 • [ユーザーのリソース一覧に公開する]チェックボックスをオフにしても、ポリシーで ファイル共有へのアクセスが許可されていれば、ユーザーはWebブラウザーでファイル 共有にアクセスできます。 このような、ユーザーがアクセス権を持っていても公開され ていないファイル共有は、Webページまたは電子メール内のリンクをクリックしてアク セスすることもできます。 9. [OK]をクリックし、[次へ]をクリックします。 10. [ポリシーの追加]ページで、次のどちらかを選択します。 • すべてのユーザーにアクセス権を与えるデフォルトポリシーを作成する 注: デフォルトポリシーを作成する場合は、後でそのプロパティを編集できます。 アクセスを許可するポリシーを後で作成する 11. [完了]をクリックします。 • 354 ファイル共有へのシングルサインオンの 構成 ファイル共有へのシングルサインオンを有効にすると、初回認証の後にユーザーが資格情報 を入力する必要がなくなります。 2要素認証を使用する場合は、Access Controllerではプライマリの認証の種類がシングルサ インオンに使用されます。 ファイル共有へのシングルサインオンを構成す るには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、シングルサインオン を構成したいAccess Controllerの順に展開します。 3. [リソース]、[ファイル共有]の順に展開してファイル共有を選択します。 4. [共通のタスク]の[ファイル共有の編集]をクリックします。 5. [ファイル共有プロパティ]ダイアログボックスで[共有の場所]をクリックします。 6. [表示名]ボックスの一覧でファイル共有を選択し、[編集]をクリックします。 7. [ファイル共有]ダイアログボックスで[シングルサインオンを有効にする]チェック ボックスをオンにして、[OK]をクリックします。 8. シングルサインオンを有効にするファイル共有ごとに手順4.および5.を繰り返し、[OK] をクリックします。 355 動的なシステムトークンの使用 ディレクトリサービスから動的な情報を取得する可能性があるリソースを定義するときに、 UNC(Universal Naming Convention)またはURLアドレスで動的なトークン置換を使用で きます。 動的なトークン置換によって、Active Directoryから取得されるユーザー属性でトー クン文字列が置換されます。 注: • • • 動的なシステムトークンを使用するには、トークン(属性)の取得に使用する認証プロ ファイルを、承認プロファイルの一覧に追加する必要があります。 すべての属性にActive Directoryが必要です。 たとえば、従業員が数千人の企業で、ユー ザーの名前を付けたユーザー固有のファイル共有を各従業員に与えるような場合、明示 的なファイル共有を定義するよりもユーザー名の代わりにトークンを使用するほうが、 より効率的にリソースグループを定義できます。 システムトークンを使用する場合は、Access Controllerのサーバー構成で、ローカルコ ンピューターのアカウントではなくドメインアカウントをサービスアカウントとして定 義する必要があります。 トークン置換には、次の構文を使用します。 #<Attribute> 例: \\Public-shares\Departments\#<Department>\Reports http://inotes.my-server.com/mail/#<username>.nsf Active Directoryの属性 Active Directoryでは次の属性を使用できます。 #<Department> #<displayname> #<Division> #<domain> #<EmployeeId> #<FirstName> #<FirstNameInitial> #<FullName> #<HomeDirectory> #<HomePage> #<Initials> #<LastName> #<LastNameInitial> #<OtherName> #<UPN> #<username> 356 動的なシステムトークンの使用 357 リソースグループの作成によるポリシー 管理の簡素化 リソースグループを設定すれば、異なる種類のリソースを単一のグループにまとめて、その グループにポリシーを適用することができます。 Access Controllerでリソースグループを 使用すればポリシーの合計数を抑えられるので、ポリシーの管理を簡素化できます。 リソー スをひとつにまとめる基本的な手順は次のとおりです。 • • • • • 特定のアクセスシナリオでユーザーに提供するリソースを決定します。 たとえば、営業 部員が会社支給のラップトップコンピューターで社外からアクセスする必要のある、す べてのリソース(ネットワーク、Webサイト、およびファイル共有)を表にします。 デリバリーサービスコンソールで、各リソースが構成済みであることを確認します。 た とえば、5つの社内WebサイトとOutlook Web Appへのアクセスを含める場合は、その 5つのWebサイトを含むWebリソースとOutlook Web Appを、リソースグループを作成 する前に必ず構成します。 表に列挙したすべてのリソースを含むリソースグループを作成します。 アクセスシナリオに対する要件を含むフィルターを作成します。 たとえば、ユーザーが RSA SecurID認証で認証処理を実行し、営業部員用のログオンポイントにログオンし、 特定のエンドポイント解析スキャンをユーザーデバイスで実行することを要件とするフィ ルターを作成できます。 リソースグループのポリシーを作成します。 このポリシーを作成するフィルターに関連 付け、各リソースで有効にする操作制御を選択します。 リソースグループの名前や説明は、ユーザーに公開されるリソース一覧には表示されません。 リソースグループに定義する名前と説明は、管理のためにだけ使用します。 Webリソース またはファイル共有を公開する場合は、(リソースグループの説明ではなく)リソースの説 明がユーザーのリソース一覧に表示されます。 各リソースの種類に合わせたウィザードで、リソースを追加するために必要な設定を行えま す。 デリバリーサービスコンソールで[リソース]を選択すると、[共通のタスク]からウィ ザードを実行できます。 デフォルトでは、アクセス許可をユーザーに与えるポリシーを作成するまでは、ユーザーは リソースへのアクセスを拒否されます。 これはすべてのリソースとリソースグループに当て はまります。 358 リソースグループの作成によるポリシー管理の簡素化 リソースグループを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、リソースグループを 作成したいAccess Controllerの順に展開します。 3. [リソース]を展開し、[リソースグループ]を選択します。[共通のタスク]の[リ ソースグループの作成]をクリックします。 4. リソースグループの作成ウィザードの[グループの定義]ページで、[リソースグルー プ名]ボックスおよび[説明]ボックスにリソースの名前と説明を入力して、[次へ] をクリックします。 5. [リソースの選択]ページで、[使用できるリソース]ボックスからグループに追加す るWebリソース、ネットワークリソース、またはファイル共有を選択して、[完了]を クリックします。 359 ポリシーによるアクセスの制御 Access Controller上のポリシーによって、リソースレベルでアクセスを細かく制御すること ができます。 アクセスポリシーを使用して、次の操作を実行できます。 • • 特定のユーザーが特定の条件下でリソースに対して持つアクセス許可を定義します。 た とえば、あるユーザーグループが特定のファイル共有またはWebリソースにアクセスで きるかどうかは、アクセスポリシーによって決定されます。 フィルターを活用して、ユーザーデバイス、デバイスのユーザー、認証強度、およびロ グオンが行われる場所について検出される情報に基づいて、ポリシーを適用します。 フィ ルターを使用すると、ユーザーのアクセスシナリオに対応したポリシーを柔軟に適用で きます。 ポリシーを使用すると、次の項目を制御してネットワーク環境のセキュリティを強化するこ ともできます。 • • 接続: Access Gateway Plug-inでの接続を制御し、その接続に設定を適用できます。 エンドポイント解析: ユーザー名、認証、アンチウイルス、ファイアウォール、および クライアントソフトウェアなどのセキュリティ要件を満たしていないときに、ユーザー がリソースに接続する能力を制御できます。 ここでは、ユーザーシナリオに従ってリソースを制御するための、ポリシーの導入と戦略策 定の方法について説明します。 注: アクセスポリシーと接続ポリシーの違いについて注意してください。 接続ポリシー は、Access Gateway Plug-inでの接続を有効にし、その接続に設定を適用するポリシーで す。 ネットワークリソースに対する接続を確立するには、Access Gateway Plug-inの使 用を許可する必要があります。これらの種類のリソースには、Webブラウザーのみのアク セスができないためです。 詳しくは、「Access ControllerでのAccess Gateway Plug-in 設定の構成」を参照してください。 360 ユーザーアクセスの制御 Access Controllerのポリシーは、ユーザーがログオンする前後にネットワークのセキュリティ を保護するための機能で、リソース単位でセキュリティを設定できます。 セキュリティ要件を満たしていることが確認された後、リソースにアクセスできるようにな る前に、ユーザーは明示的な許可を取得する必要があります。 管理者は、各リソースまたは リソースグループに対してポリシーを定義し、アクセスを制御します。 デフォルトでは、ユーザーはネットワーク上のリソースにアクセスしたり、操作したりする ことを許可されていません。 クラスターでリソースを定義して、このリソースへのアクセス を許可し、実行できる操作を制御するポリシーを作成する必要があります。 Access Controllerのポリシーは、オペレーティングシステムのセキュリティ設定を拡張しま すが、オペレーティングシステムのセキュリティ設定より優先されることはありません。 た とえば、Windows NTFS(NT File System)のセキュリティ設定で、あるファイル共有へ のアクセスが拒否されている場合、Access Gatewayのポリシーでそのファイル共有へのア クセスを許可しても、ユーザーはアクセスできません。 注: XenAppで公開されているアプリケーションとリソースに対するアクセスは、 Access Controllerのポリシーでは制御されません。 これらのリソースへのアクセスは、 ユーザーがログオンするときに経由するログオンポイントのプロパティと、XenAppでユー ザーに割り当てられている権限によって左右されます。 361 アクセス戦略との統合 Access Controllerでリソースを定義しポリシーを作成する方法は、アクセス制御の戦略によっ て左右されます。 目標は、ユーザーの状況に応じたレベルのアクセスを安全に提供すること です。 アクセス戦略によって、リソースのグループ化とポリシーの設計の方法が決定します。 アクセスニーズに基づいたリソースのグループ 化 リソースを定義してポリシーを作成する前に、相対的なセキュリティ要件を反映するリソー スグループにリソースをグループ化します。 リソースを定義するときは、似通ったリソース を1つのグループにまとめます。 たとえば、リモートユーザーに対してはアクセスを非常に制限する必要がある、複数のファ イル共有およびWebリソースを含むリソースグループを作成します。 別のリソースグループ には、信頼できるユーザーデバイスを使用していればユーザーがいつでもアクセスできる、 Webリソースとファイル共有を追加します。 ユーザーシナリオに基づくポリシーの設計 次の表に示すような基本的なユーザーシナリオに従って、ポリシーの設計を計画します。 ま ずはいくつかのシナリオを想定します。 いくつかの種類のリソースを定義してリソースグルー プにまとめ、組織に必要なすべてのユーザーシナリオに対応する数のポリシーを作成します。 次の表では、ユーザーシナリオの例を使用して、リソースによって許可できると考えられる、 さまざまなアクセスと操作について説明します。 ユーザーデバイス 必要なアンチウイ ルスソフトウェア が実行されている 会社のコンピュー ター ユーザーがアクセスできるリ ソース • • • • • 362 すべての内部ネットワーク およびファイルシステム 電子メールのすべてのサー ビス エンタープライズポータル およびWebアプリケーショ ン XenAppの公開アプリケー ション そのほかのアプリケーショ ン ユーザーが実行できる操作 • ファイルをダウンロードする。 • ファイルをアップロードする。 • XenAppの公開アプリケーショ ンでファイルを編集する。 アクセス戦略との統合 必要なアンチウイ ルスおよびファイ アウォールソフト ウェアが実行され ているリモートの ユーザーデバイス • • • • 必要なWebブラウ ザーが実行されて いる公共のキオス クコンピューター • • • スマートフォン、 iPhone、および iPadなどの小型デ バイス • Webアプリケーション • XenAppの公開アプリケー ション ファイルシステム(制限あ り) • ネットワークリソースとし て定義されたサーバーまた はサービス Webアプリケーション • Outlook Web Accessまた はOutlook Web Appへの アクセスのみ XenAppが動作するサーバーで、 制限付きでクライアントマッ ピングをしたり、ドキュメン トを印刷したりする。 Access Gateway Plug-inを使 用して、Access Gateway経由 でネットワークリソースに直 接接続する。 XenAppが動作するサーバーで、 クライアントマッピングをし たり、ドキュメントを印刷し たりできない。 公開アプリケーション(制 限あり) Outlook Web Accessまた はOutlook Web Appへの アクセスのみ • • Outlook Web Accessまたは Outlook Web Appを表示する (これらでは小型デバイス用 のリファクタリングがサポー トされます)。 アプリケーションにはアクセ スできない。 • • リモートのラップ ネットワークリソースとし Access Gateway Plug-inを使 トップコンピュー て定義されている個々の基 用して、Access Gateway経由 ター(システム管 幹業務用アプリケーション、 でネットワークリソースに直 理者が自宅から緊 または「ネットワーク全体」 接接続する。 急事態に対応する リソースに完全にアクセス 場合) する。 アクセス戦略を策定したら、セキュリティガイドラインに準拠し、ガイドラインを拡張する ように、リソース、ポリシー、およびフィルターの組み合わせを構成します。 リソースとポ リシーを使用して、許可するアクセス制御を定義します。 フィルターを使用して、アクセス が許可される場合と条件を定義します。 リソースの公開とアクセス制御の区別 ポリシーによる制御を通じリソースへのアクセスを許可することは、リソースを公開するこ とと同じではありません。 ファイル共有やWebリソースを定義するときは、これらのリソー スを公開できます。リソースを公開すると、アクセスインターフェイスまたはサードパーティ 製ポータルに表示されます。 Webリソースへのアクセスを許可すると、ユーザーはそのリソースをWebブラウザーで閲覧 できます。 ユーザーがリソースに対して実行できる操作と、リソースを開くときに使用する アプリケーションの種類は、管理者がそのリソースに設定するポリシー設定によって異なり ます。 リソースへのアクセスを許可するだけでは、そのリソースに「移動する手順」はユー ザーに提供されません。 たとえば、あるWebアドレスへのアクセス許可を有効にしてもその アドレスを公開しない場合、ユーザーはWebページに埋め込まれたリンクを経由しなければ Webアドレスにアクセスできません。 363 アクセス戦略との統合 ユーザーにリモートからアクセスさせるすべてのアプリケーションについて、Webリソース またはネットワークリースを作成する必要があります。 これらの項目に対するポリシーを作 成して、ユーザーに明示的なアクセス許可を与える必要があります。 ファイル共有へのアク セスを構成する場合はWebリソースとは少々異なります。ファイル共有に対するポリシーで は、ファイル共有へのアクセスを許可するのではありません。 リソースを公開し、オペレー ティングシステムのACL(Access Control List:アクセス制御一覧)でユーザーのアクセス が許可されている場合は、ユーザーはWebブラウザーを経由してファイル共有のリソースを 閲覧できます。 ファイル共有のポリシーでは、ファイル共有を閲覧できるユーザー、ファイ ル共有内のドキュメントに対して許可される操作、および操作を実行できる条件を定義しま す。 364 アクセスポリシーの作成 ユーザーにリソースへのアクセスを提供するには、Access Controllerでポリシーを作成する 必要があります。 デフォルトでは、ユーザーはどのリソースにもアクセスできません。 ア クセスポリシーを作成するときは、アクセス権を持つユーザー、アクセス権が付与される条 件、およびきめ細かなアクセス制御を定義します。各アクセス制御について、許可または拒 否を指定します。 Web Interface、Outlook Web Access 2007、またはOutlook Web App 2010のWebリソー スを作成する場合は、アクセス許可を[拡張]に設定する必要があります。 Web Interface にこのアクセス許可を設定すると、公開アプリケーションが表示されます。 365 アクセスポリシーの作成 アクセスポリシーを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、ポリシーを作成した いAccess Controllerの順に展開します。 3. [ポリシー]を選択し、[共通のタスク]の[アクセスポリシーの作成]をクリックし ます。 4. アクセスポリシー作成ウィザードで、[ポリシー名]ボックスと[説明]ボックスにポ リシーの名前と説明を入力し、[次へ]をクリックします。 5. [リソースの選択]ページで、このポリシーで制御するリソースグループおよびリソー スを選択します。 ネットワーク上の使用できるすべてのサーバーとサービスに対するアクセスをこのポリ シーで制御する場合は、[ネットワークリソース] > [ネットワーク全体]チェックボッ クスをオンにします。 注: リソースツリーで、選択した内容を確認します。 [ファイル共有]など、リソー スのカテゴリのチェックボックスをオンまたはオフにすると、そのカテゴリに含まれ るすべてのチェックボックスがオンまたはオフになります。 各カテゴリで選択されて いる項目を表示するには、ノードを展開します。 6. [ポリシー設定の構成]ページで、設定を個別に有効にして[次へ]をクリックします。 設定しているポリシーの制御対象ではない種類のリソースについて、[ポリシー設定の 構成]ページでポリシー設定を選択できることがあります。 ただし、ポリシーは、その ポリシーで選択されているリソースに対してだけ適用されます。 7. [フィルターの選択]ページで、ポリシーを適用するために満たす必要のある条件が定 義されているフィルターを選択します。 [新規]をクリックしてウィザードの手順に従い、[フィルターの選択]ページから新 しいフィルターを作成できます。 フィルターをまだ構成していない場合は、後でポリシーを編集してフィルターを割り当 てられます。 8. [ユーザーまたはグループの選択]ページで、ポリシーを適用するユーザーを選択しま す。 すべての認証されたユーザーにポリシーを適用するか、[追加]をクリックして個別の グループまたはユーザーを選択できます。 注: 複数のポリシーが単一のリソースに適用される場合は、アクセスを許可するポリシー より、アクセスを拒否するポリシーが優先されます。 366 アクセスポリシーの作成 ポリシーの命名 すべてのポリシーに、重複しない名前を付ける必要があります。 一貫性のある命名規則を定 めて操作を行うようにすると、ポリシーの管理が容易になります。 リソースを細かく制御す るためにリソースごとにポリシーを定義するので、多くのポリシーが必要になることがあり ます。 命名規則を定めることで、リソースおよび適用されるアクセスレベルを簡単に見分け ることができます。 組織のニーズに適した命名規則を自由に定めることができます。 通常、ポリシーの名前には リソース名を含めます。 標準的な命名規則では、リソース名を基にポリシーの名前を付け、 アクセス戦略や許可するアクセスに一致するアクセスレベルを表す表現を含めます。 次に例 を示します。 • WebリソースX_完全なアクセス_全ユーザー • WebリソースX_制限付きアクセス_社外ユーザー • WebリソースX_完全なアクセス_管理者 • ファイル共有Z_全操作_全ユーザー • ファイル共有Z_制限付き操作_不明なデバイス デフォルトポリシーの名前を変更することもできます。 ポリシーの名前を変更するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、ポリシーの名前を変 更したいAccess Controllerの順に展開します。 3. コンソールの詳細ペインで、ポリシーを選択します。 4. ポリシーを右クリックし、[ポリシーのプロパティの編集]を選択します。 5. [ポリシープロパティ]ダイアログボックスの左ペインで、[名前]をクリックします。 6. 右ペインの[ポリシー名]ボックスで、ポリシー名を変更して[OK]をクリックします。 367 リソースのアクセスレベルの設定 Access Controllerでポリシーを作成するときは、リソースに対するユーザーアクセスのレベ ルをポリシー内で設定できます。 ネットワークリソース、Webリソース、およびファイル共 有のアクセスレベルを設定できます。 アクセスレベルは、ユーザーがAccess Gatewayを経 由してログオンしたときに許可される操作を決定する、セキュリティ設定として機能します。 Webリソースとファイル共有のアクセスレベ ル Webリソースとファイル共有について、次のアクセスレベルを選択できます。 • ほかのポリシーで拒否していない場合は基本アクセスを許可する • ほかのポリシーで拒否していない場合は拡張アクセスを許可する • ほかのポリシーで許可した場合も拒否する Webリソースについては、Webアプリケーションに適用するセキュリティ制限に基づいてア クセスレベルを設定します。 基本アクセスでは、HTTPのGET、POST、およびHEADメソッ ドが許可されます。 拡張アクセスでは、すべての標準的なHTTPとWebDavの動詞が許可さ れます。これらはOutlook Web AccessのようなWebアプリケーションに必要です。 ファイル共有については、ユーザーアクセスを読み取り専用か完全な読み取り/書き込みアク セスに制限できます。 基本アクセスでは、ユーザーはディレクトリ一覧とファイルプロパティ を表示して、ファイルを読み取りコピーすることができます。 拡張アクセスでは、すべての ファイル操作が有効になります。 ファイル共有に直接構成するセキュリティ設定は、これら のアクセスレベルより優先されます。 たとえば、読み取り専用のファイル共有に拡張アクセ スを許可するとします。 ユーザーがファイル共有内のファイルを開くと、ドキュメントを読 むことしかできません。 ネットワークリソースとファイルタイプの関連 付けのアクセスレベル ファイルタイプの関連付けの設定はネットワークリソースの設定と似ていますが、Webリソー スとファイル共有にのみ適用できます。 ネットワークリソースとファイルタイプの関連付けについて、次のアクセスレベルを選択で きます。 368 • ほかのポリシーで拒否していない場合は許可する • ほかのポリシーで許可した場合も拒否する リソースのアクセスレベルの設定 ドキュメント制御の設定 リソースへのユーザーアクセスを許可している場合でも、ドキュメント制御のポリシー設定 に基づいて特定の拡張子でファイルへのアクセスを制限できます。 一覧には任意のファイル 拡張子を追加できます。 ドキュメント制御についてのみ、次の2つのオプションを使用でき ます。 • 制限付きのドキュメント制御を有効にする • 完全なドキュメント制御を有効にする [制限付きのドキュメント制御を有効にする]を有効にすると、ドキュメント制御の一覧に 含まれる拡張子のファイルのみが禁止されます。 ファイル共有リソースに対して[完全なドキュメント制御を有効にする]を有効にすると、 すべてのファイルへのアクセスが禁止されます。 ファイルタイプの関連付けを使用する場合は、ドキュメント制御の設定は無効になります。 ドキュメント制御により禁止されている拡張子のファイルでも、Citrix Online Plug-inで開 くことができます。 アクセスレベルを設定するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、アクセスポリシーを 作成したいAccess Controllerクラスターの順に展開します。 3. [ポリシー]を展開し、[アクセスポリシー]を選択します。 4. [共通のタスク]の[アクセスポリシーの作成]をクリックします。 5. アクセスポリシー作成ウィザードの[ポリシー名]ボックスに名前を入力し、[次へ] をクリックします。 6. [リソースの選択]ページで、ユーザーにアクセス権を与えるWebリソース、ネットワー クリソース、またはファイル共有を選択して、[次へ]をクリックします。 7. [ポリシー設定の構成]ページで、アクセスを定義するリソースを選択します。 8. [このポリシーを有効にして、この設定を制御する]チェックボックスをオンにしてア クセスレベルを選択し、[次へ]をクリックします。 9. フィルターを選択してポリシーを適用するユーザーとグループを追加し、[完了]をク リックします。 369 ユーザーの操作を制御するポリシーの作 成 Webブラウザー経由で開かれるリソース(Webリソース、ファイル共有、およびネットワー クリソース)のためのAccess Controller上のポリシーを使用して、ユーザーがそのリソース にアクセスできるかどうかだけではなく、ユーザーが実行できる操作も制御することができ ます。 ポリシーを設定して、指定された操作制御を許可または拒否できます。 ポリシーの設定は、 デリバリーサービスコンソールのポリシー作成ウィザードまたは[ポリシープロパティ]ダ イアログボックスで構成します。 ポリシーを作成するときに選択できるポリシー設定は、保護するリソースの種類と環境によっ て異なります。 たとえば、クラスターがXenAppのサーバーファームにリンクする構成になっ ていない場合は、「ファイルタイプの関連付け」設定は選択できません。 リソースの種類とクラスターの構成に応じて、次のポリシー設定を許可または拒否できます。 アクセス WebブラウザーまたはAccess Gateway Plug-inを使用してリソースにアクセスすること を許可します。 Outlook Web AccessまたはOutlook Web Appの場合は、この設定によって、電子メール の閲覧、送信、予定表の管理、およびアドレス帳の表示などの、Outlookによって提供さ れるすべての機能が許可されますが、電子メールの添付ファイルへのアクセスは許可され ません。 ネットワークリソースについては、「アクセス」設定によって、Access Gateway Plug-inを使用した、リソースへの直接接続が許可されます。 ネットワークリソースには、 「アクセス」設定だけを設定できます。 ネットワークリソースの「アクセス」設定で選択できるのは、許可または拒否です。 Webリソースおよびファイル共有の「アクセス」設定で選択できるのは、基本、拡張、ま たは拒否です。 拒否に設定されている設定があると、そのポリシーについてはすべての設 定が拒否されます。 ドキュメント制御 ドキュメント制御を使用して、ユーザーがダウンロードしたり開いたりできるドキュメン トを制限できます。 ドキュメント制御の一覧に、ドキュメントのファイルタイプの拡張子 を追加します。 Access Controllerでファイルタイプの関連付けを許可し、ドキュメント 制御の設定が[制限付き]である場合は、ユーザーはファイルタイプの関連付けを使用し てドキュメントを開くことのみが可能です。 ドキュメント制御を[完全]に設定すると、 一覧内の拡張子だけではなくすべての拡張子に制御が適用されます。 ファイルタイプの関 連付けを許可しなければ、ユーザーはどのドキュメントも開くことができません。 ドキュ メント制御を構成し、ファイルタイプの関連付けを許可しない場合は、ユーザーはドキュ メントを開けません。 ドキュメント制御を無効にするか、一覧が空である場合は、ドキュ メントの種類に基づく制限はありません。 370 ユーザーの操作を制御するポリシーの作成 ドキュメント制御を有効にすると、Webリソースに対しては制限付きのドキュメント制御 のみを許可できます。 ファイル共有に対しては、制限付きと完全の両方を構成できます。 ファイルタイプの関連付け XenAppで公開されているアプリケーションで、ドキュメントを開くことを許可します。 この設定を使用すれば、信頼されている環境内のサーバー上でドキュメントを開いて編集 することを許可し、ユーザーのデバイスへのドキュメントの送信を避けることができます。 公開アプリケーションに関連付けられている種類のドキュメントに対してだけ、そしてロ グオンポイントのプロパティが正しく構成されている場合にだけ、ファイルタイプの関連 付けを使用できます。 ファイルタイプの関連付けの許可 リソースについてファイルタイプの関連付けを許可すると、ユーザーはXenAppの公開アプ リケーションでそのリソースを開くことができます。 リソースドキュメントを編集するため にファイルタイプの関連付けだけを使用すると、ユーザーデバイス上ではなくサーバー上で ドキュメントが編集されるため、セキュリティを強化できます。 たとえば、進行中のプロジェクトのミーティングレポートを掲示するためのファイル共有に は、ダウンロードやアップロードを行う機能を提供せずに、ファイルタイプの関連付けを許 可することができます。 ファイルタイプの関連付けを使用するには、次の条件を満たしている必要があります。 371 • ユーザーが、ユーザーデバイス上でCitrix Online Plug-inソフトウェアを実行すること。 • ユーザーが、XenAppが構成されているログオンポイントを経由して接続すること。 • ユーザーが、XenApp内の指定する公開アプリケーションに割り当てられていること。 • Access Controllerと連動するようにXenAppが構成されていること。 ポリシーフィルターの作成 フィルターによって、Access Controllerでポリシーを適用する条件が定義されます。 次の 例を参考に、フィルターの使用方針について検討してください。 営業部のユーザーが、外部から2要素認証を使用してログオンするときは、ファイル共有「 四半期売上報告書」に対して「アクセス」設定だけを許可する。 上記の例における、「外部から2要素認証を使用してログオンするとき」という条件を、フィ ルターを使用して検証します。特定のログオンポイントを経由してログオンするリモートユー ザーを認証する場合は、そのログオンポイントでフィルターし、ユーザー名、パスワード、 暗証番号、およびトークンで生成するコードの使用を要件にすることができます。 デリバリーサービスコンソールでは、1つのフィルターで3種類の条件を構成できます。 • • • ログオンポイント: ユーザーがネットワークに接続するときに使用するURLに基づいて、 ポリシーを適用します。 認証強度: 使用される認証の種類に基づいて、ポリシーを適用します。 設定してある認 証構成に応じて、使用できるオプションは異なります。 詳しくは、「Access Controller での認証および承認プロファイルの作成」を参照してください。 エンドポイント解析のスキャン出力: エンドポイント解析によるユーザーデバイスのス キャンで収集される情報に基づいて、ポリシーを適用します。 フィルターにスキャン出 力を組み込むには、あらかじめスキャンを構成しておく必要があります。 フィルターは、名前を付けて複数のポリシーに使用できるように設計されています。 各ポリ シーで使用できるフィルターは1つだけです。 カスタムフィルターの機能を使用してほかの フィルターを含む複雑なフィルターを作成すれば、複数のフィルターを使用する効果が得ら れます。 ポリシーフィルターを作成するには 関連付けるポリシーを作成する前後、または作成中にも、フィルターを作成することができ ます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、ポリシーフィルター を作成したいAccess Controllerの順に展開します。 3. [ポリシー]を展開し、[フィルター]を選択します。[共通のタスク]の[フィルター の作成]をクリックします。 ポリシーウィザードの[フィルターの選択]ページで[新 規]をクリックして、フィルターを作成することもできます。 4. フィルターの作成ウィザードで、[フィルター名]ボックスと[説明]ボックスにフィ ルターの名前と説明を入力し、[次へ]をクリックします。 372 ポリシーフィルターの作成 5. [フィルターの種類の選択]ページで、[標準的なフィルターを作成する]をクリック して[次へ]をクリックします。 6. [ログオンポイントの選択]ページで、[使用できるログオンポイント]ボックスから ログオンポイントを選択して[追加]をクリックします。 ユーザーが特定のログオンポ イントを経由して接続するときにポリシーが適用されます。 7. 使用される認証の種類に基づいてポリシーを適用する場合は、[認証の選択]ページで 認証の種類を選択します。 複数の認証プロファイルが構成されている場合は、ボックス の一覧から使用するプロファイルを選択します。 8. ユーザーデバイスのエンドポイント解析スキャンに基づいてポリシーを適用する場合は、 [エンドポイント解析出力]ページで[使用できるエンドポイント解析出力]ボックス からスキャンを選択して、[追加]をクリックします。 各種のフィルター条件は必須ではありません。 たとえば、ログオンポイントだけに基づくフィ ルターを構成できます。 論理的には、フィルターで定義される条件は、AND論理演算子で結合されます。そして、同 じ種類の条件の複数の設定は、OR演算子で結合されます。 たとえば、フィルター設定でロ グオンポイントA、ログオンポイントB、およびスキャン出力Cを指定したとすると、ポリシー は次の論理式に基づいて適用されます。 (ログオンポイントAまたはログオンポイントB)およびスキャン出力C 373 カスタムフィルターの作成 AND、OR、およびNOT演算子を伴う論理式を使用するカスタムフィルターを、Access Controllerで作成できます。 論理式により、標準的なフィルターより複雑なフィルターを作 成できます。 標準的なフィルターの場合は、選択した条件はAND論理でだけ結合されます。 カスタムフィルターは論理式で作成するため、より複雑な条件を柔軟に定義することができ ますが、作成方法は難しくなります。 カスタムフィルターの使用は必須ではなく、通常の構成では不要です。 管理を簡単にするに は、標準的なフィルターを使用してください。 論理式を使用してカスタムフィルターを作成す るには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、カスタムフィルター を作成したいAccess Controllerの順に展開します。 3. [ポリシー]を展開し、[フィルター]を選択します。[共通のタスク]の[フィルター の作成]をクリックします。 4. フィルターの作成ウィザードで、[フィルター名]ボックスと[説明]ボックスにフィ ルターの名前と説明を入力し、[次へ]をクリックします。 5. [フィルターの種類の選択]ページで、[カスタムフィルターを作成する]をクリック し[次へ]をクリックします。 6. [カスタムフィルターの作成]ページで、論理式ビルダーを使用して、ポリシーを適用 する前に満たすべき条件を反映する論理式を作成します。 • • 論理演算子のAND、OR、およびNOTを、[ログオンポイント]、[認証の種類]、 [エンドポイント解析の結果]、[ほかのフィルター]の各要素と共に挿入して、論 理式を作成します。 論理式ビルダーに表示される[ルート]オブジェクトは、式の論理に影響を与えませ ん。 このオブジェクトは、論理式ツリーの開始点を表しています。 例:カスタムフィルターの作成 組織のネットワークセキュリティ戦略として、Service Pack 3を適用していない、または Internet Explorer 7.0を実行していない場合は、Windows XPが動作するユーザーデバイス からのログオンを拒否することになっているとします。 このシナリオに合わせたフィルター を作成し、「ログオンの許可」設定を含むポリシーに割り当てます。 カスタムフィルターを作成する前に、次の設定で2種類のスキャンを作成します。 374 カスタムフィルターの作成 1. Citrixスキャン - Windows Service Packを使用して、次の設定でスキャンを作成します。 • 規則条件:オペレーティングシステム=Windows XP、ユーザーデバイスの地理的 ロケール=すべて 検証するプロパティ値:Service Pack 3 2. Citrixスキャン - Internet Explorerを使用して、次の設定でスキャンを作成します。 • • 規則条件:オペレーティングシステム=Windows XP、ユーザーデバイスの地理的 ロケール=すべて 検証するプロパティ値(最小限必要なバージョン):7.0 3. フィルターの作成ウィザードの[カスタムフィルターの作成]ページで、次の手順に従っ て論理式を作成します。 • a. [OR]をクリックします。 b. [エンドポイント解析の結果]をクリックし、Service Pack 3のスキャン出力を選 択します。 c. 論理式ビルダーで[OR]ノードをクリックします。[エンドポイント解析の結果] をクリックし、Internet Explorer Version 7.0のスキャン出力を選択します。 論理式ビルダーに、次のように表示されます。 OR Citrix Scans for Windows Service Pack.scan_name.Verified-Windows-Service-Pack Citrix Scans for Internet Explorer.scan_name.Verified-Internet-Explorer ここで、scan_nameはスキャンに割り当てた名前です。 375 ログオンページの表示条件の設定 ログオンポイントによって、ユーザーデバイス上のWebブラウザーにログオンページが送信 され、ユーザーが資格情報を入力できます。 ログオンページを表示する前にユーザーデバイ スでエンドポイント解析スキャンを実行し、スキャンに合格しなければログオンページを表 示しないようにすることができます。 SmartAccessログオンポイントの一部としてこの設定 を構成します。 このAccess Controllerの機能によって、ログオンページのセキュリティが保護されます。 たとえば、ユーザーデバイスで必要なバージョンのアンチウイルスソフトウェアが実行され ていることを検証する、エンドポイント解析スキャンを作成できます。 必要なレベルのアン チウイルスソフトウェアが実行されていないユーザーデバイスは、ユーザーのキーボード操 作を記録するウイルスやスニッフィングプログラムに感染している可能性があります。 この ような悪意のあるプログラムによって、ユーザーがログオンするときに資格情報が記録され、 傍受されるおそれがあります。 デリバリーサービスコンソールの[ログオンポイントプロパティ]ダイアログボックスで、 ログオンページを表示する条件を設定できます。 指定された条件を満たさないユーザーがロ グオンページのURLを開こうとすると、アクセス拒否のエラーが表示されます。 [ログオンポイントプロパティ]ダイアログボックスの[ログオンページの表示]ページで まったく条件を設定しない場合は、URLの閲覧を許可されているすべてのユーザーにログオ ンページが表示されます。 376 ログオンページの表示条件の設定 ログオンページの表示条件を設定するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、ログオンポイント設 定を調整したいログオンポイントを持つAccess Controller、[ログオンポイント]の順 に展開します。 3. ログオンポイントを選択し、[共通のタスク]の[ログオンポイントの編集]をクリッ クします。 4. [ログオンポイントプロパティ]ダイアログボックスの[ログオンポイントの表示]を クリックします。 5. [これらの条件が満たされた場合にのみログオンページを表示する]チェックボックス をオンにします。 6. 条件に応じてログオンページを表示するには、論理式ビルダーを使用して、接続するユー ザーデバイスで満たすべき条件を定義します。 a. 論理演算子のAND、OR、およびNOTを挿入し、[エンドポイント解析出力]をクリッ クして構成済みのスキャンの一覧からスキャンを選択します。 b. [論理式のプレビュー]に表示される式の内容を確認します。 注: エンドポイント解析スキャンを作成するまでは、論理式ビルダーは使用できませ ん。 論理式ビルダーに表示される[ルート]オブジェクトは、式の論理に影響を与えません。 このオブジェクトは、論理式ツリーの開始点を表しています。 例1:単一のスキャンを要件とする論理式 必要なレベルのMcAfee VirusScanがユーザーデバイスで実行されていることを要件とする 論理式を作成するには、[エンドポイント解析出力]をクリックし、このソフトウェアのス キャン出力を選択します。 論理式ビルダーには次の式が含まれます。 Citrix Scans for McAfee VirusScan.scan_name.Verified-McAfee-VirusScan ここで、scan_nameはスキャンを作成するときに割り当てた名前です。 例2:ORを使用する条件式の作成 必要なレベルのMcAfee VirusScanまたはMcAfee VirusScan Enterpriseが実行されているユー ザーデバイスを使用しているユーザーにはログオンページを表示する、という条件式を作成 するとします。 この条件式を作成する前に、必要なレベルのMcAfee VirusScanおよび McAfee VirusScan Enterpriseを検証するエンドポイント解析スキャンを作成する必要があ ります。 377 ログオンページの表示条件の設定 注: この例では、McAfee VirusScanまたはMcAfee VirusScan Enterpriseがユーザーデ バイスで実行されているかどうかを検証する、2つのエンドポイント解析スキャンを構成 しておく必要があります。 スキャンの作成について詳しくは、「エンドポイント解析スキャ ンの作成」を参照してください。 1. 論理式ビルダーで[ルート]オブジェクトを選択し、[OR]をクリックします。 2. [エンドポイント解析出力]をクリックし、McAfee VirusScanのスキャン出力を選択し ます。 3. [エンドポイント解析出力]をクリックし、McAfee VirusScan Enterpriseのスキャン 出力を選択します。 この例に従って式を作成すると、論理式ツリーに次の例のような結果が表示されます。 ROOT OR Citrix Scans for McAfee VirusScan.scan_name.VerifiedMcAfee-VirusScan Citrix Scans for McAfee VirusScan Enterprise.scan_ name.Verified-McAfee-VirusScan-Enterprise ここで、scan_nameはスキャンに割り当てた名前です。 例3:NOTを使用する複雑な条件式の作成 次の例は、NOT演算子を使用した条件式を表しています。 この複雑な条件を満たすためには、 ユーザーデバイスで必要なバージョンのMcAfee VirusScanまたはMcAfee VirusScan Enterpriseが実行されている必要があります。ただし、Mozilla Firefoxを使用して接続する ことはできません。 注: この例では、McAfee VirusScanまたはMcAfee VirusScan Enterpriseがユーザーデ バイスで実行されているかどうかと、ユーザーデバイスがFirefoxを使用して接続している かどうかを検証する、3つのエンドポイント解析スキャンを構成しておく必要があります。 1. 論理式ビルダーで[ルート]オブジェクトを選択し、[AND]をクリックします。 2. [OR]をクリックします。 3. [エンドポイント解析出力]をクリックし、McAfee VirusScanのスキャン出力を選択し ます。 4. [エンドポイント解析出力]をクリックし、McAfee VirusScan Enterpriseのスキャン 出力を選択します。 5. 手順1.で挿入した[AND]を選択し、[NOT]をクリックします。 6. [エンドポイント解析出力]をクリックし、Firefoxのスキャン出力を選択します。 この例に従って式を作成すると、論理式ツリーに次の例のような結果が表示されます。 378 ログオンページの表示条件の設定 ROOT OR Citrix Scans for McAfee VirusScan.scan_name.VerifiedMcAfee-VirusScan Citrix Scans for McAfee VirusScan Enterprise.scan_ name.Verified-McAfee-VirusScan-Enterprise NOT Citrix Scans for Mozilla Firefox.scan_name. Verified-Mozilla-Firefox-Connecting ここで、scan_nameはスキャンに割り当てた名前です。 [論理式のプレビュー]に次の式が表示されます。 ((Citrix Scans for McAfee VirusScan.scan_name.VerifiedMcAfee-VirusScan OR Citrix Scans for McAfee VirusScan Enterprise.scan_name.Verified-McAfee-VirusScan-Enterprise) AND (NOT Citrix Scans for Mozilla Firefox.scan_name. Verified-Mozilla-Firefox-Connecting)) ここで、scan_nameはスキャンに割り当てた名前です。 この例について、次の点に注意してください。 • • 379 NOT演算子を挿入すると、デフォルトではOR NOT論理が適用されます。 AND NOT論 理を使用するには、先の例で見たように、NOT演算子の前にAND演算子を挿入します。 Citrixスキャン - Firefoxでは、最小限のバージョン番号が検証されます。 この例では、 すべての既知のバージョンを検証する必要があります。 すべての既知のバージョンを検 証するには、ユーザーデバイスが最小限のバージョン0.1で接続していることを検証する スキャンを作成します。 ドキュメント制御の設定 ドキュメント制御を構成して、ユーザーがダウンロードしたり開いたりできるドキュメント を制限できます。これは、ドキュメント制御一覧にファイルタイプの拡張子を追加して行い ます。 Access Controllerでファイルタイプの関連付けを許可し、アクセスポリシーでドキュ メント制御を[制限付き]に設定すると、ユーザーはファイルタイプの関連付けを使用しな ければドキュメントを開けなくなります。 アクセスポリシーでドキュメント制御を[完全] に設定すると、ドキュメント制御一覧に追加した拡張子だけではなくすべての拡張子に設定 が適用されます。 XenAppでファイルタイプの関連付けを許可しなければ、ユーザーはドキュ メントを開けません。 ドキュメント制御を構成し、ファイルタイプの関連付けを許可しない 場合は、ユーザーはドキュメントを開けません。 ドキュメント制御を無効にするか、一覧が 空である場合は、ドキュメントの種類に基づく制限はありません。 アクセスポリシーでドキュメント制御を有効にすると、Webリソースに対しては[制限付き] のドキュメント制御のみを許可できます。 ファイル共有に対しては、[制限付き]と[完全] の両方を構成できます。 ドキュメント制御を構成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]の順に展開して、クラスター( CitrixController)を選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 4. [ドキュメント制御]をクリックします。 5. [ユーザーがファイルをダブルクリックしたときのデフォルトの操作(ファイルリソー スのみに適用)]ボックスの一覧で次のどちらかを選択します。 a. ユーザーデバイスにファイルをダウンロードするには[ダウンロード]を選択します。 b. 公開アプリケーションでファイルを開くには[XenAppで開く]を選択します。 6. [ドキュメント制御の拡張子]ボックスの下の[新規]をクリックします。 7. [新しい拡張子]の[拡張子]ボックスに拡張子を入力し、オプションで説明を入力し て、[保存]をクリックします。 拡張子を追加すると自動的に拡張子が有効になります。 [ドキュメント制御の拡張子]ボックスで拡張子を無効または有効にできます。 8. 追加する拡張子ごとに手順6.および7.を繰り返し、[OK]をクリックします。 または、テキストファイルにすべてのファイル拡張子を入力できます。 ファイル拡張子を追 加するには、[テキストファイルでのインポート/エクスポート]の[インポート]をクリッ クします。 各ファイル拡張子が[ドキュメント制御の拡張子]ボックスに表示されます。 380 クライアントレスアクセスの制限事項 Access Controllerの展開において、ユーザーデバイス上にAccess Gateway Plug-in、 Citrix Online Plug-in、またはDesktop Receiverが不要な場合は、その展開はクライアント レスアクセスを提供するとみなされます。 このシナリオでは、ユーザーはネットワークリソー スへのアクセスにWebブラウザーのみを使用します。 Webリソースへのクライアントレスアクセスは、URLリライト機能に依存します。 Webア プリケーションによっては、URLリライト機能に対応していない場合や、クライアントレス アクセスに必要なCookie管理ができない場合があります。 このようなアプリケーションには、 Access Gateway Plug-inを使用してAccess Gatewayを経由してアクセスするほうが適切で す。 たとえば、Webアプリケーションで次のような高度な技術を使用することが多くなるほど、 WebプロキシのURLリライト機能に対応できなくなります。 • Flashアニメーション • ActiveXコントロールまたはJavaアプレット • 高度なJavaスクリプト言語 WebブラウザーのみのアクセスでWebアプリケーションを提供することを計画している場合 は、Webアプリケーションの動作をテストする必要があります。 アプリケーションが期待ど おりに動作しない場合は、ネットワークリソースを作成して、ユーザーにAccess Gateway Plug-inを使用してアプリケーションに直接アクセスさせることを検討します。 ネットワー クリソースは、たとえばアクセスインターフェイスのようなユーザーに公開されているリソー スの一覧には表示されません。 381 ポリシーマネージャーを使用したポリシー 情報の確認 ポリシーマネージャーを使用すると、リソース、ユーザー、およびフィルター別にAccess Controllerのポリシーを検索できます。 キーワードを使用して検索できます。 検索結果に基 づいて、迅速にポリシーの計画、管理、またはトラブルシューティングができます。 次の表 は、ポリシーマネージャーを使用してすばやく検索できる情報の種類の例です。 • 特定のユーザーまたはユーザーグループに影響を与えるポリシー。 • 特定のリソースに関連するポリシー設定。 • 特定のフィルターを使用するすべてのポリシー。 • ログオン許可を制御するすべてのポリシー。 ポリシーと設定を検索するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、検索したいポリシー を持つAccess Controllerの順に展開します。 3. [ポリシー]を選択し、[共通のタスク]の[ポリシーの管理]をクリックしてポリシー マネージャーを開きます。 4. [リソース]、[ユーザー]、[フィルター]の各ボックスにキーワードを組み合わせ て入力し、[検索]をクリックします。 たとえば、「すべての認証されたユーザー」に 割り当てられているすべてのポリシーを検索するには、[ユーザー]ボックスに「■■■」 と入力します。 • • • ポリシーマネージャーを開くと、デフォルトですべてのポリシーが表示されます。 [消去]をクリックすると、検索条件の入力ボックスの内容が消去されすべてのポリ シーが表示されます。 フィルターをダブルクリックすると[フィルタープロパティ]ダイアログボックスが 開きます。 ほかの列をダブルクリックすると、[ポリシープロパティ]ダイアログ ボックスが開きます。 列見出しをクリックすると、その列のエントリを基準として、検索結果がアルファベッ ト順に並べ替えられます。 並べ替えの順序を逆にするには、同じ列を再度クリック します。 注: ポリシーマネージャーには、ポリシー制御のフィルターされた結果が現在接続してい るユーザーと共に表示されることはありません。つまり、エンドポイント解析スキャンを 考慮に入れた上での、アクセス許可の結果セットは表示されません。 382 ユーザーデバイスの要件の検証 エンドポイント解析は、ユーザーデバイスをスキャンして、オペレーティングシステム、ア ンチウイルスソフトウェア、ファイアウォールソフトウェア、またはWebブラウザーの存在 またはバージョンなどの情報を検出するプロセスです。 エンドポイント解析スキャンを使用 して、ユーザーデバイスにネットワークへの接続を許可する前に、デバイスが要件を満たし ているかどうかを検証できます。 検出された情報をアクセスポリシーまたは接続ポリシーの フィルターに取り込んで、ユーザーデバイスによって異なるレベルのアクセスを付与するこ とができます。 たとえば、最新のアンチウイルスソフトウェアとファイアウォールソフトウェ アがインストールされている、会社支給のラップトップコンピューターを使用して現場から 接続するユーザーには、ファイルのダウンロードを含めた完全なアクセスを提供します。 エ ンドポイント解析スキャンは、ログオン時に1回実行されます。 383 エンドポイント解析の構成 エンドポイント解析を構成すると、Access Gatewayで次の基本的な手順が実行されるよう になります。 • ユーザーデバイスの初期情報のセットを評価し、適用するスキャンを決定する。 • 適用できるスキャンをすべて実行する。 • • ユーザーデバイスで検出されたプロパティ値と、構成したスキャンに指定されている望 ましいプロパティ値を比較する。 望ましいプロパティ値が見つかったかどうかを証明する出力を生成する。 ユーザーがログオンポイントを経由して接続しようとするとき、エンドポイント解析によっ て、ログオンポイントに設定されているスキャンが確認されます。 Endpoint Analysis Plug-inはユーザーデバイスで実行されます。 プラグインによりユーザーデバイスがスキャ ンされ、選択したスキャンパッケージに含まれるすべての条件を満たしていることが確認さ れます。 これらのスキャンは、検出された情報、または必要なプロパティ値の真または偽の 結果について、スキャン出力と呼ばれる結果を返します。 注: Citrixクライアントレススキャン - プラットフォームの種類、およびCitrixクライアン トレススキャン - Webブラウザーの種類については、ユーザーデバイスでEndpoint Analysis Plug-inを実行する必要はありません。 これらのスキャンでは、ユーザーデバイ スからサーバーに直接提供される情報からスキャン結果を収集できます。 ユーザーデバイスに一致しない条件を含むスキャンは、ユーザーデバイスで実行されないこ とに注意してください。ただし、そのようなスキャンでもスキャンパッケージによって定義 されるデフォルトの出力(偽など)を受け取ります。 エンドポイント解析は、ユーザーセッションによってライセンスが消費される前に完了しま す。 エンドポイント解析を構成するには 通常は次の手順に従って、エンドポイント解析を構成します。 1. 検証するプロパティをチェックするスキャンパッケージを特定します。 2. スキャンを作成し、スキャンを実行する条件と、検証するプロパティを構成します。 3. 複数のシナリオにスキャンを適用する場合は、付加的な規則を追加します。 4. ポリシーでフィルターを構成するときに、スキャン出力を使用します。 エンドポイント解析のイベントは、Windowsのイベントビューアーのログに記録できます。 そのようなイベントの監査について詳しくは、「内部ネットワークリソースへのアクセスの 監査」を参照してください。 384 エンドポイント解析スキャンの作成 エンドポイント解析スキャンによって、ネットワークに接続するユーザーデバイスの特定の プロパティを検証します。インストールされているアンチウイルスソフトウェア製品のバー ジョンや、ユーザーデバイスが必要なドメインに属しているかどうかなどが、プロパティと して検証されます。 スキャンには、ユーザーデバイスにいつスキャンを適用するかを定義する規則が含まれます。 各規則には条件のセットが含まれます。条件は、スキャンを適用するために満たされている 必要がある、ユーザーデバイスの必須属性です。 スキャンの作成手順には、スキャンが実行される前提条件の定義と、検証するプロパティの 構成が含まれます。 385 エンドポイント解析スキャンの作成 スキャンを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]を展開し、作成するスキャンの種類を選択します。ス キャンの種類には、アンチウイルス、基本、Webブラウザー、カスタム、ファイアウォー ル、コンピューター識別、そのほか、およびオペレーティングシステムがあります。 4. 右ペインを[コンテンツ]表示にしてスキャンパッケージをクリックします。 5. [タスク]の[スキャンの作成]をクリックします。 スキャンの作成ウィザードが開き ます。 6. [スキャン名の定義]ページで、スキャンの名前を入力します。 7. [条件の選択]ページで、スキャンがいつ実行されるかを定義する条件を選択します。 [条件としてほかのスキャンの出力を使用]をクリックして、ほかのスキャンの出力を 作成中のスキャンの条件として使用することもできます。 [条件としてのスキャン出力の使用]ダイアログボックスで、新しいスキャンの実行 条件として使用するスキャンパッケージ、スキャン、およびスキャン出力を選択しま す。 8. [規則の定義]ページで、構成する条件とプロパティのセットに規則として名前を付け ます。 • 9. さまざまな条件構成ページで、各条件に許可するすべての値を選択します。 • 選択した値のいずれかとユーザーデバイスのプロパティが一致すると、条件が満たさ れることになります。 • ウィザードには、条件ごとにページが表示されます。 10. [検証するプロパティの定義]ページで、検証するプロパティ値を構成します。 • • たとえば、ユーザーデバイスで実行する必要があるアンチウイルスソフトウェアの最 小限のバージョンを検証するには、そのバージョン番号を入力します。 ウィザードには、スキャンによって検証されるプロパティごとにページが表示されま す。 各プロパティ値を使用してアクセスポリシーをフィルターできます。 バージョン番号の構文は、その特定の製品のバージョン番号の構文に従いますが、少 なくとも1つ小数点が必要です。たとえば、「2.1」や「2.1.1」などです。 複数のユーザーシナリオでスキャンを適用できるように、スキャンを作成した後で規則を追 加できます。 • 386 エンドポイント解析スキャンの作成 スキャン出力を使用したポリシーのフィルタリ ング エンドポイント解析のスキャン出力を使用して、ポリシーを適用するかどうかを決定するこ とができます。 スキャン出力によるフィルタリングによって、ユーザーデバイスのプロパティ 、つまり必要なレベルのアンチウイルスソフトウェアやファイアウォールソフトウェアを実 行しているかどうかなどに基づいて、ネットワークとリソースへのアクセスを保護すること ができます。 次の手順概要に従って、スキャン出力をポリシーで使用します。 1. 必要なプロパティを検証するスキャンを作成します。 2. 手順1.で作成したスキャンの出力を使用するポリシーフィルターを作成します。 3. ポリシーを作成して、手順2.で作成したフィルターを割り当てます。 上記の手順2.と3.は、ポリシー作成ウィザードで一度に設定できます。 スキャン出力を使用したログオンページポリシー の表示のフィルタリング ユーザーデバイスについてスキャンされた情報を使用して、ユーザーにログオンページを表 示するかどうかをフィルターできます。 詳しくは、「ログオンページの表示条件の設定」を 参照してください。 387 条件と規則の編集 スキャンのすべての規則で、スキャンで使用できる条件の一覧が共有されます。 使用できる 条件とは、そのスキャンの規則で構成できる条件のことです。 スキャンのさまざまな規則と 条件の間には、相互に依存する関係があります。 使用できる条件の一覧を編集するとき、次のことに注意します。 • • スキャンの使用できる条件の一覧に条件を追加すると、そのスキャンの既存のすべての 規則に、すべての値が選択された状態で新しい条件が追加されます。 既存の規則の条件 を不用意に変更してしまわないために、使用できる条件の一覧に条件を追加した後で、 スキャンの規則のプロパティを確認してください。 使用できる条件の一覧から条件を削除するには、その条件を使用するすべての規則をま ず削除するか、その条件を使用する各規則で、削除する条件のすべての値を選択します。 規則の編集 規則の表示モードを[プロパティ]にすると、その規則のすべての条件の設定を表示できま す。 たとえば、スキャンの使用できる条件の一覧に条件を追加すると、そのスキャンの既存 のすべての規則に、すべての値が選択された状態で新しい条件が追加されます。 既存の規則 に自動的にコピーされる設定は、調整する必要がある場合があります。 規則の条件設定を編集するには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]、スキャングループの順に展開して、規則の条件設定 を編集したいスキャンを選択します。 4. [共通のタスク]の[使用できる条件の編集]をクリックします。 5. [使用できる条件の編集]ダイアログボックスで、条件のチェックボックスをオンまた はオフにします。 388 スキャンへの規則の追加 規則は、エンドポイント解析スキャンを適用すべき状況とチェックすべきプロパティを定義 する条件のセットです。 複数の規則を単一のスキャンに適用できます。 スキャンの最初の 規則は、スキャンを作成するときに定義します。 複数のシナリオでスキャンを適用できるよ うに、スキャンを作成した後で規則を追加できます。 たとえば、あるスキャンで、Windows 7オペレーティングシステムが動作するデバイス上で、 アンチウイルスプログラムのバージョンXが動作しているかどうかを確認するとします。 別 の規則を作成して、以前のバージョンのWindowsオペレーティングシステムが動作するデバ イス上で、アンチウイルスプログラムのバージョンYが動作しているかどうかを確認できま す。 スキャンに規則を追加するには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]、スキャンの種類の順に展開して、追加の規則を作成 したいスキャンを選択します。 4. タスクペインで[共通のタスク]の[規則の作成]をクリックします。 5. ウィザードの指示に従って、規則名、条件設定、およびプロパティ値設定を定義します。 例:スキャンに複数の規則を追加する 組織のネットワークセキュリティポリシーで、Service Pack 3を適用していないWindows XP、またはService Pack 1を適用していないWindows Vistaが動作するユーザーデバイスか らのアクセスを拒否することになっているとします。 東京の事務所の従業員については例外 です。東京のIT部門では、さらにテストを実行してからWindows XPにService Pack 3を適 用することに決定したためです。 異なる規則を含む単一のスキャンを使用して、この3つの シナリオすべてに適切なService Packが適用されていることを検証できます。 各規則は別々 に構成する必要があります。 使用する環境に、東京の事務所のユーザーが使用する「Tokyo」という名前のログオンポイ ントが含まれているとします。 ログオンポイントによって、そのURLを経由して開始される 接続に設定が適用されます。 次の手順で、これら3つのService Packの要件を検証するスキャンを作成できます。 1. Citrixスキャン - Windows Service Packのスキャンを作成します。使用できる条件とし て、ログオンポイントを選択します。 389 スキャンへの規則の追加 a. [オペレーティングシステムスキャン]を展開して[Citrixスキャン - Windows Service Pack]を選択します。 b. [共通のタスク]の[スキャンの作成]をクリックします。 スキャンの作成ウィザー ドが開きます。 c. スキャンの名前を入力し、[次へ]をクリックします。 d. [使用できる条件]の[ログオンポイント]チェックボックスをオンにして、[次へ] をクリックします。 e. 規則名を入力し、[次へ]をクリックします。 f. 条件として[オペレーティングシステム]の[Windows XP]チェックボックスを オンにして、[次へ]をクリックします。 g. [ログオンポイント]の[Tokyo]以外のすべてのログオンポイントのチェックボッ クスをオンにして、[次へ]をクリックします。 h. 検証するプロパティとして[Service Pack 3]を選択して、[完了]をクリックし ます。 2. スキャンおよび最初の規則を作成したら、Windows XPのためのもう1つの規則を作成し ます。 a. 作成したスキャンを選択し、[共通のタスク]の[規則の作成]をクリックします。 規則の作成ウィザードが開きます。 b. 規則名を入力し、[次へ]をクリックします。 c. 条件として[オペレーティングシステム]の[Windows XP]チェックボックスを オンにして、[次へ]をクリックします。 d. [ログオンポイント]の[Tokyo]チェックボックスをオンにして、[次へ]をクリッ クします。 e. 検証するプロパティとして[Service Pack 2]を選択して、[完了]をクリックし ます。 2番目の規則は、手順1.で作成したスキャンの下に表示されます。 3. スキャンおよびWindows XPのための2つの規則を作成したら、Windows Vistaのための 3番目の規則を作成します。 a. 作成したスキャンを選択し、[共通のタスク]の[規則の作成]をクリックします。 規則の作成ウィザードが開きます。 b. 規則名を入力し、[次へ]をクリックします。 c. 条件として[オペレーティングシステム]の[Windows Vista]チェックボックス をオンにして、[次へ]をクリックします。 d. [ログオンポイント]のすべてのログオンポイントのチェックボックスをオンにして、 [次へ]をクリックします。 e. 検証するプロパティとして[Service Pack 1]を選択して、[完了]をクリックし ます。 390 スキャンへの規則の追加 3番目の規則は、手順1.で作成したスキャンの下に表示されます。 391 スキャンパッケージ スキャンパッケージを使用して、ユーザーデバイスのプロパティ(インストールされている アンチウイルスソフトウェア製品のバージョンなど)を検証するスキャンを作成します。 各 パッケージは、特定のプロパティまたはソフトウェア製品を検証するように設計されていま す。 スキャンパッケージは、デリバリーサービスコンソールの[エンドポイント解析スキャン] に表示されます。 コンソールで、スキャン出力の説明も含めたスキャンパッケージの個々のプロパティを表示 できます。 エンドポイント解析スキャンにより取得および検証されるユーザーデバイス情報 については、スキャン出力の説明を参照してください。 スキャンパッケージおよび設定する規則に応じて、スキャン出力は次のどちらかまたは両方 の形式を取ります。 • • ユーザーデバイスについての情報。 たとえば、Citrixスキャン - Trend Microウイルスバ スターのスキャンパッケージによって、ユーザーデバイスで実行されていれば、Trend Microウイルスバスターの製品バージョンの値が検出され、取得されます。 真または偽のブール検証。スキャンパッケージがスキャンの必須プロパティ値を検出し たかどうかを示します。 スキャンパッケージによって生成されるスキャ ン出力を表示するには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]を展開して、スキャン出力を表示するスキャンの種類 を選択します。 4. 右ペインを[コンテンツ]表示にしてスキャンパッケージをクリックします。 5. [タスク]の[プロパティ]をクリックします。 スキャン出力の表に、スキャンパッケー ジによって生成される各出力の説明が表示されます。 392 スキャンパッケージの追加 各エンドポイント解析スキャンパッケージは、特定のソフトウェア製品のプロパティセット を調査するために設計されています。 デフォルトで組み込まれているスキャンパッケージセッ トに加えて、新しいスキャンパッケージをインポートすることができます。 Citrix、パート ナー企業、または組織内の開発者は、製品CDまたはCitrix社のWebサイト( http://community.citrix.com/cdn)から入手できるエンドポイント解析SDK(Software Development Kit:ソフトウェア開発キット)を使用して、追加のスキャンパッケージを開 発できます。 スキャンパッケージをインポートするには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]またはスキャングループを選択して、[共通のタスク] の[スキャンパッケージのインポート]をクリックします。 • [エンドポイント解析スキャン]を選択すると、スキャンパッケージはスキャングルー プではなく[エンドポイント解析スキャン]の直下に表示されます。 スキャンパッケージをスキャングループ内に表示するには、スキャングループを選択 する必要があります。 4. [スキャンパッケージファイルの選択]ダイアログボックスで、スキャンパッケージファ イルを参照して[開く]をクリックします。 • スキャンのグループ化 コンソールツリーにはデフォルトのスキャングループが、アンチウイルス、ファイアウォー ル、およびオペレーティングシステムのような分類項目ごとに一覧表示されるため、スキャ ンパッケージとそのスキャンの整理に役立ちます。 スキャングループを使用すれば、スキャ ンパッケージやスキャンを、よりすばやく見つけられます。 独自のグループを作成して、名 前を付けることができます。 スキャングループは、コンソールツリーでの項目の整理だけを目的としています。スキャン の実行方法に影響はありません。 393 スキャンパッケージの追加 スキャングループを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]を選択し、[共通のタスク]の[スキャングループの 作成]をクリックします。 4. [スキャンループの作成]ダイアログボックスで、新しいスキャングループの名前を入 力して[OK]をクリックします。 言語パックの追加 スキャンパッケージの開発者は、言語パックを作成して、パッケージで作成するスキャンの 言語の種類を増やすことができます。 たとえば、まず英語版のスキャンパッケージを開発し、 開発が進んでから、ほかの言語の言語パックを追加することを後で決定できます。 通常、言 語パックはCABファイルの形式で配布されます。 スキャンパッケージの言語パックをインポートするには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]を選択し、[共通のタスク]の[言語パックのインポー ト]をクリックします。 4. [言語パックファイルの選択]ダイアログボックスで、言語パックファイルを参照して [OK]をクリックします。 394 スキャンパッケージリファレンス スキャンパッケージには、ユーザーデバイスの情報を検出するエンドポイント解析スキャン を作成するために必要なソフトウェアが含まれています。 スキャンを作成するとき、通常は、 オペレーティングシステムのバージョンやService Packのレベルなどのスキャンで検出する プロパティ値を指定します。 スキャンには、特定のログオンポイントまたはオペレーティン グシステムの種類など、そのスキャンを実行するためにユーザーデバイス上で満たされる必 要のある条件として機能するプロパティを含めることもできます。 このトピックには、 Citrixスキャンパッケージに構成できるプロパティと出力を説明するトピックへのリンクが含 まれています。 注: このトピックはCitrix Access Controllerが動作するサーバーのオンラインヘルプシス テムで参照できます。 スキャンの作成中に特定のプロパティについて調べる必要がある場 合は、オンラインヘルプを使用してこのリファレンストピックを検索します。 スキャンパッケージは、スキャンする製品の種類またはプロパティによって、次のグループ に分かれています。 395 アンチウイルススキャンパッケージ アンチウイルスソフトウェアをユーザーデバイスでチェックするスキャンパッケージを作成 できます。 Citrixスキャン - McAfee VirusScan 必要なバージョンのMcAfee VirusScanソフトウェア(個人ユーザー向け)が、ユーザーデ バイス上で実行中かどうかを検出します。 サポートされる最小バージョン • VirusScan Plus 2004:Windows XP • VirusScan Plus 2008:Windows XP、Windows Vista • VirusScan Plus 2009:Windows XP、Windows Vista、Windows 7 • Internet Security 2010:Windows XP、Windows Vista、Windows 7 • Total Protection 2010:Windows XP、Windows Vista、Windows 7 指定できるプロパティ プロパティ名 説明/形式 最小限必要なファイルバー ジョン N.N形式を使用します。Nは整数です。 ファイルバージョン 番号は、ファイルmcvsshld.exeのプロパティの[バージョ ン情報]タブで確認できます。 スキャン出力 396 スキャン出力の名前 説明 ファイルバージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されている番号と同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 McAfee VirusScanの検証 このブール出力は、最小限必要なバージョンのアプリケーショ ンが、ユーザーデバイス上で実行中かどうかを示します。 アンチウイルススキャンパッケージ Citrixスキャン - McAfee VirusScan Enterprise McAfee VirusScan Enterpriseソフトウェアが、ユーザーデバイス上で実行中かどうかを検 出します。 サポートされる最小バージョン • VirusScan Enterprise 8.0i:Windows XP • VirusScan Enterprise 8.5i:Windows XP、Windows Vista • VirusScan Enterprise 8.7:Windows XP、Windows Vista、Windows 7 指定できるプロパティ プロパティ名 説明/形式 最小限必要なエンジンバー ジョン N.N形式を使用します(例:4.4)。 アプリケーションのユー ザーインターフェイスとレジストリでは、エンジンバージョ ン番号が異なる形式で表示される可能性があることに注意し てください。 たとえば、エンジンバージョン4.4は、ユーザー インターフェイスでは4400、レジストリでは4.4.00と表示 される可能性があります。 ただし、どちらの場合でも、ス キャンを作成するときは最低限必要なエンジンバージョンと して4.4を入力する必要があります。 最小限必要なパターンファ イルのバージョン番号 N形式を使用します。Nは整数です。 スキャン出力 スキャン出力の名前 説明 McAfee VirusScan Enterpriseの検証 このブール出力は、アプリケーションがユーザーデバイス上 で実行中かどうかを示します。 エンジンバージョン ユーザーデバイス上で実行中のMcAfee VirusScan Enterpriseスキャンエンジンのバージョンを示します。 こ の製品がインストールされていない、または実行していない 場合、バージョンはデフォルトの0.0.0.0になります。 パターンバージョン ユーザーデバイス上で実行中のパターンファイルのバージョ ンを示します。 この製品がインストールされていない、ま たは実行していない場合、バージョンはデフォルトの0にな ります。 Citrixスキャン - ノートンアンチウイルス ノートンアンチウイルスソフトウェアが、ユーザーデバイス上で実行中かどうかを検出しま す。 397 アンチウイルススキャンパッケージ サポートされる最小バージョン • ノートンアンチウイルス2008:Windows XP、Windows Vista • ノートンアンチウイルス2009:Windows XP、Windows Vista、Windows 7 • ノートンアンチウイルス2010:Windows XP、Windows Vista、Windows 7 • ノートンインターネットセキュリティ2008:Windows XP、Windows Vista • • ノートンインターネットセキュリティ2010:Windows XP、Windows Vista、 Windows 7 ノートン360バージョン4.0:Windows XP、Windows Vista、Windows 7 指定できるプロパティ プロパティ名 説明/形式 最小限必要な製品バージョ ン N.N.N形式を使用します。Nは整数です。 最小限必要なパターンファ イルのバージョン番号 YYYYMMDD.NNN形式を使用します(YYYYは4桁の西暦年、 MMは2桁の月、DDは2桁の日、およびNNNは3桁の整数)。 スキャン出力 スキャン出力の名前 説明 製品バージョン ユーザーデバイス上で実行中のソフトウェアのバージョンを 示します。 この製品がインストールされていない、または 実行していない場合、バージョンはデフォルトの0.0.0.0に なります。 ノートンアンチウイルスの 検証 アプリケーションがユーザーデバイス上で実行中かどうかを 示します。 パターンバージョン ユーザーデバイス上で実行中のパターンファイルのバージョ ンを示します。 この製品がインストールされていない、ま たは実行していない場合、バージョンはデフォルトの 0.0.0.0になります。 Citrixスキャン - Symantec AntiVirus Enterprise Symantec AntiVirus Enterpriseソフトウェアが、ユーザーデバイス上で実行中かどうかを 検出します。 398 アンチウイルススキャンパッケージ サポートされる最小バージョン • Symantec Endpoint Protection 11.0.4:Windows XP、Windows Vista • Symantec Endpoint Protection 11.0.6:Windows XP、Windows Vista、Windows 7 指定できるプロパティ プロパティ名 説明/形式 最小限必要な製品バージョ ン N.N.N形式を使用します。Nは整数です。 最小限必要なパターンファ イルのバージョン番号 YYYYMMDD.NNN形式を使用します(YYYYは4桁の西暦年、 MMは2桁の月、DDは2桁の日、およびNNNは3桁の整数)。 スキャン出力 スキャン出力の名前 説明 製品バージョン ユーザーデバイス上で実行中のソフトウェアのバージョンを 示します。 この製品がインストールされていない、または 実行していない場合、バージョンはデフォルトの0.0.0.0に なります。 パターンバージョン ユーザーデバイス上で実行中のパターンファイルのバージョ ンを示します。 この製品がインストールされていない、ま たは実行していない場合、バージョンはデフォルトの 0.0.0.0になります。 Symantec AntiVirus Enterpriseの検証 アプリケーションがユーザーデバイス上で実行中かどうかを 示します。 Citrixスキャン - Trend Microウイルスバス ター Trend Microウイルスバスターソフトウェアが、ユーザーデバイス上で実行中かどうかを検 出します。 サポートされる最小バージョン • • 399 ウイルスバスターコーポレートエディション8.0 Service Pack 1:Windows XP ウイルスバスターコーポレートエディション10.0:Windows XP、Windows Vista、 Windows 7 アンチウイルススキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 最小限必要なクライアント バージョン N.N形式を使用します。Nは整数です。 最小限必要なパターンファ イルのバージョン番号 ユーザーデバイス上で実行中のパターンファイルのバージョ ンの3桁の短い形式の番号です。 N形式を使用します。Nは 整数です。 たとえば、バージョン2.763では、短い形式の 「763」を入力します。 スキャン出力 スキャン出力の名前 説明 製品バージョン ユーザーデバイス上で実行中のソフトウェアのバージョンを 示します。 この製品がインストールされていない、または 実行していない場合、バージョンはデフォルトの0.0.0.0に なります。 Trend Microウイルスバス ターの検証 アプリケーションがユーザーデバイス上で実行中かどうかを 示します。 パターンバージョン ユーザーデバイス上で実行中のパターンファイルのバージョ ンを示します。 この製品がインストールされていない、ま たは実行していない場合、バージョンはデフォルトの-1にな ります。 Citrixスキャン - Windowsセキュリティセン ターウイルス対策 ユーザーデバイスでウイルス対策ソフトウェアを使用中であることが、Windowsセキュリティ センターによって報告されるかどうかを検出します。 このスキャンでは、スキャンを適用す る条件以外に指定するプロパティはありません。 正確なスキャン結果を得るには、Windowsセキュリティセンターでアンチウイルスソフトウェ アを監視する必要があることに注意してください。 アンチウイルスソフトウェア製品が Windowsセキュリティセンターに正しく登録されていない場合は、ユーザーデバイスでアン チウイルスソフトウェアが有効になっていないという結果が、スキャンによって誤って報告 される可能性があります。 使用するアンチウイルスソフトウェア製品がWindowsセキュリ ティセンターに正しく登録されていることを確認するために、テストを実施してください。 または、Windowsセキュリティセンターのドキュメントを参照して、サポートされる製品を 確認してください。 サポートされるバージョン 400 • Windows XP Service Pack 3 - セキュリティセンター • Windows Vista - セキュリティセンター • Windows 7 - アクションセンター アンチウイルススキャンパッケージ スキャン出力 401 プロパティ名 説明/形式 ウイルス対策の有効化 ユーザーデバイスでウイルス対策ソフトウェアを使用中であ ることが、Windowsセキュリティセンターによって報告さ れるかどうかを、真または偽で示します。 基本スキャンパッケージ エンドポイント解析スキャンパッケージを作成して、特定のバージョンのファイルや特定の レジストリ値がユーザーデバイスにあるかどうかを確認できます。 Citrixスキャン - ファイル ユーザーデバイス上の指定するファイルのハッシュ値およびバージョンを検出します。 402 基本スキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 ファイルパス ファイルのフルパスを示す文字列値です。 Windows特有の情報: • ファイルパスには次のようにWindows環境変数を含め られます。 %SystemRoot%System32\gdi32.dll • Windowsオペレーティングシステム上でファイルシス テムのリダイレクトは無効になります。 環境文字列の展開 ファイルパスのWindows環境変数を展開する必要があるか どうかを、真または偽で示します。 ハッシュアルゴリズム ハッシュアルゴリズムを示す文字列値です。 次の値があります。 • なし:ハッシュが計算されません。 Access Controller のサーバー側出力の“IsFileHashOK”は偽になります。 • MD5:ファイルのMD5ハッシュが計算されます。 • SHA-1:ファイルのSHA-1ハッシュが計算されます。 • SHA-256:ファイルのSHA-256ハッシュが計算されま す。 必要なファイルハッシュ 必要なファイルハッシュのセットを示す文字列値です。 ファイルバージョンを比較 する演算子 ファイルバージョンの比較に使用される関係演算子を示す文 字列値です。 値セット: • なし • Greater_Than_or_Equal_To • Equal_To [なし]を指定すると、ファイルバージョンは検出も比較も されません。 Access Controllerのサーバー側出力の “IsFileVersionOK”は偽になります。 403 基本スキャンパッケージ 必要なファイルバージョン 必要なファイルバージョンを示す文字列値です。 次の形式のファイルバージョンが期待されます。 xxxx.xxxx.xxxx.xxxx。各整数のセットには1つから4つま での整数を含められます。 たとえば、Windowsではこの形式に次の意味があります。 主番号.副番号.ビルド番号.リビジョン番号(例: 44.44.7.1234) スキャン出力 スキャン出力の名前 説明 ファイルの存在の検証 ユーザーデバイスに指定された名前のファイルが見つかるか どうかを、真または偽で示します。 ファイルハッシュの検証 指定されたハッシュセット内にファイルハッシュが見つかる かどうかを、真または偽で示します。 ファイルバージョンの検証 ファイルバージョンが指定されたバージョン以降であるかど うかを、真または偽で示します。 Citrixスキャン - プラットフォーム ユーザーデバイス上のオペレーティングシステムの情報(名前、バージョン、および種類な ど)を検出します。 404 基本スキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 オペレーティングシステム の名前 オペレーティングシステムの名前を示す文字列値です。 あらかじめ定義されたオペレーティングシステム名は次のと おりです。 オペレーティングシステム のバージョン • Windows XP • Windows Vista • Windows 7 オペレーティングシステムのバージョンを示す文字列値です。 次の形式のオペレーティングシステムのバージョンが期待さ れます。 xxxx.xxxx.xxxx.xxxx。各整数のセットには1つから4つま での整数を含められます。 たとえば、Windowsではこの形式に次の意味があります。 主番号.副番号.ビルド番号.リビジョン番号(例: 44.44.7.1234) オペレーティングシステム のビットの種類 オペレーティングシステムのビット幅を示す文字列値です。 次の値があります。 405 • 32-Bit • 64-Bit • Either 基本スキャンパッケージ オペレーティングシステム のService Pack オペレーティングシステムにインストールされている Service Packを示す文字列値です。 次の値があります。 • Service Pack 1 • Service Pack 2 • Service Pack 3 • Service Pack 4 • Service Pack 5 • Service Pack 6 • Service Pack 7 • Service Pack 8 • Service Pack 9 スキャン出力 スキャン出力の名前 説明 オペレーティングシステム 名の検証 オペレーティングシステムの名前があらかじめ定義された名 前と一致するかどうかを、真または偽で示します。 オペレーティングシステム のバージョンの検証 オペレーティングシステムのバージョンが指定されたバージョ ンと等しいかどうかを、真または偽で示します。 オペレーティングシステム のビット幅の検証 オペレーティングシステムのビット幅が指定された種類と等 しいかどうかを、真または偽で示します。 オペレーティングシステム のService Packの検証 オペレーティングシステムのService Packが指定されたバー ジョンと等しいかどうかを、真または偽で示します。 Citrixスキャン - ポート ポートの使用の有無などのポート情報を検出します。 406 基本スキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 ポート番号 ポート番号またはポートの範囲をコンマで区切った文字列値 です。次のように指定します。 25, 80, 110, 117-120 受信状態のポートについては、ポート番号はローカルポート のものです。そうでなければ、ポート番号はリモートポート のものです。 プロトコル プロトコルを示す文字列値です。 次の値があります。 • TCP • UPD • Both スキャン出力 スキャン出力の名前 説明 ポートバインドの検証 ポートがバインドされているかどうかを、真または偽で示し ます。 WindowsのTCPポートについては、ポートが次の状態のど ちらかである場合はバインドされているとみなされます。 • MIB_TCP_STATE_LISTEN • MIB_TCP_STATE_ESTAB Citrixスキャン - プロセス ユーザーデバイス上のプロセスの情報(ハッシュ値およびバージョンなど)を検出します。 407 基本スキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 プロセスパス プロセスのパスを示す文字列値です。 プロセスへの絶対パスまたはプロセスの名前のみを指定する ことができます。 プロセスの名前のみを指定する場合は、 一致する名前を持つすべてのプロセスがスキャンされます。 Windows特有の情報: • プロセスパスには次のようにWindows環境変数を含め られます。 %SystemRoot%System32\gdi32.dll • Windowsオペレーティングシステム上でファイルシス テムのリダイレクトは無効になります。 環境文字列の展開 ファイルパスにWindows環境変数が存在するかどうかを、 真または偽で示します。 ハッシュアルゴリズム ハッシュアルゴリズムを示す文字列値です。 次の値があります。 • • • • なし:ハッシュが計算されません。 Access Controller のサーバー側出力の“IsProcessRunning”はハッシュに より影響を受けません。 MD5:プロセスモジュールのMD5ハッシュが計算され ます。 SHA-1:プロセスモジュールのSHA-1ハッシュが計算さ れます。 SHA-256:プロセスモジュールのSHA-256ハッシュが 計算されます。 必要なファイルハッシュ 必要なファイルハッシュのセットを示す文字列値のセットで す。 ファイルバージョンを比較 する演算子 ファイルバージョンの比較に使用される関係演算子を示す文 字列値です。 次の値があります。 • なし • Greater_Than_Or_Equal_To • Equal_To [なし]を選択すると、ファイルバージョンは検出も比較も されません。 Access Controllerのサーバー側出力の “IsProcessRunning”はファイルバージョンにより影響を受 けません。 408 基本スキャンパッケージ 必要なファイルバージョン 必要なファイルバージョンを示す文字列値です。 次の形式のファイルバージョンが期待されます。 xxxx.xxxx.xxxx.xxxx。各整数のセットには1つから4つま での整数を含められます。 たとえば、Windowsではこの形式に次の意味があります。 主番号.副番号.ビルド番号.リビジョン番号(例: 44.44.7.1234) スキャン出力 スキャン出力の名前 説明 プロセス実行の検証 指定されたプロセスが実行されているかどうかを、真または 偽で示します。 次のすべての条件が満たされる場合は、出力が「真」になり ます。 • • • 指定されたプロセスが見つかった。 (指定された場合)プロセスモジュールのハッシュが、 指定されたハッシュデータセットに含まれる。 (指定された場合)プロセスモジュールのバージョンが、 指定されたバージョン以降である。 スキャンにプロセス名のみを指定し、その名前のプロセスの インスタンスが複数実行されているときは、次の条件がすべ て満たされる場合に、出力が「真」になります。 • • (指定された場合)実行中のプロセスのジュールのすべ てのハッシュが、指定されたハッシュデータセットに含 まれる。 (指定された場合)実行中のプロセスのジュールのすべ てのバージョンが、バージョンの比較要件を満たしてい る。 Citrixスキャン - レジストリ ユーザーデバイス上のレジストリの情報(レジストリキーやレジストリ値の存在など)を検 出します。 409 基本スキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 キー名 レジストリキーの名前を示す文字列値です。 次の省略形がサポートされます。 レジストリのリダイレクト • HKCU(HKEY_CURRENT_USER) • HKLM(HKEY_LOCAL_MACHINE) • HKCR(HKEY_CLASSES_ROOT) レジストリを検索する場所を示す文字列値です。 次の値があります。 • • • レジストリ値の比較演算子 32-Bit: レジストリの32ビットビューのみが検索され ます。 64-Bit: レジストリの64ビットビューのみが検索され ます。 Both: レジストリの32ビットビューと64ビットビュー の両方が検索されます。 演算子の値を示す文字列値です。 次の値があります。 • なし • Exist • Equal_To • Not_Equal_To • Less_Than • Less_Than_or_Equal_To • Greater_Than • Greater_Than_or_Equal_To [なし]を指定すると、レジストリ値は検出も比較もされま せん。 種類がREG_BINARYおよびREG_MULTI_SZの値に有効な 演算子は“Exist”と“Equal_To”です。ほかの演算子を指定す ると、出力が「偽」になります。 410 基本スキャンパッケージ 値の名前 値の名前を示す文字列値です。 値の名前が文字または数字ではなくスペースである場合、デ フォルト値として扱われます。 値の種類 必要なレジストリ値の種類を示す文字列値です。 次の値があります。 • REG_SZ • REG_BINARY • REG_DWORD • REG_QWORD • REG_MULTI_SZ • REG_EXPAND_SZ REG_BINARYおよびREG_MULTI_SZの値に特有の情報: • 16進値はコンマで区切ります。 • スペースも区切り文字として扱われます。 • • 値のデータ エクスポートしたレジストリファイルからデータをコピー するときは、「hex:」より後の文字列をコピーします。 最大で1,024文字を入力できます。 必要なレジストリ値のデータを示す文字列値です。 値のデータはBase64でエンコードしてURLに埋め込まれて からEPAサービスに送信され、EPAサービスによりデコード されます。 スキャン出力 411 スキャン出力の名前 説明 レジストリキーの存在の検 証 指定されたレジストリキーが存在するかどうかを、真または 偽で示します。 レジストリ値の存在の検証 指定されたレジストリ値が存在するかどうかを、真または偽 で示します。 レジストリ値の検証 レジストリ値のデータが比較要件で期待されるとおりかどう かを、真または偽で示します。 Webブラウザースキャンパッケージ WebブラウザースキャンにはWebブラウザーの種類および/または特定のバージョンが含ま れます。 Citrixクライアントレススキャン - Webブラ ウザーの種類 ユーザーデバイスからの接続に、指定された種類のWebブラウザーが使用されているかどう かを検出します。 Microsoft Internet Explorer、Mozilla Firefox、Google Chrome、 Safariまたはそのほかのソフトウェアを指定してスキャンできます。 このパッケージのスキャンでは、ユーザーデバイスでクライアント側のソフトウェアが動作 する必要がありません。 ユーザーのWebブラウザーによって送信される通信データを調査す ることによって、スキャン出力が決定されます。 サポートされる最小バージョン • Microsoft Internet Explorer 7.0 • Mozilla Firefox 3.0 • Safari 5.0 • Google Chrome 5.0 指定できるプロパティ 412 プロパティ名 説明/形式 予期されるWebブラウザー の種類 スキャンによりユーザーデバイス上で検出するWebブラウ ザーです。 次の項目から選択します。 • Internet Explorer • Firefox • Chrome • Safari • そのほか Webブラウザースキャンパッケージ スキャン出力 スキャン出力の名前 説明 Webブラウザーの種類の 検証 ユーザーデバイスからの接続に指定された種類のWebブラ ウザーが使用されているかどうかを、真または偽で示します。 Webブラウザーの種類 クライアントのWebブラウザーの種類を返します。 Internet Explorer、Firefox、Chrome、またはSafari以外 のWebブラウザーが使用されている場合は、「そのほか」 が返されます。 Citrixスキャン - Internet Explorer 指定するバージョンのWebブラウザーソフトウェアが、ユーザーデバイスに存在するかどう かを検出します。 サポートされる最小バージョン • Internet Explorer 7.0 指定できるプロパティ プロパティ名 説明/形式 最小限必要なバージョン N.N.N.N形式を使用します。Nは整数です。 バージョンは、 簡単にN.Nとも、詳細にN.N.N.N(たとえば、7.0)とも指 定できます。 スキャン出力 スキャン出力の名前 説明 製品バージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されている番号と同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 インストール済みInternet Explorerの検証 このブール出力は、最小限必要なバージョン以降のアプリケー ションが、ユーザーデバイス上で実行中かどうかを示します。 接続中のInternet Explorerの検証 このブール出力は、最小限必要なバージョン以降のアプリケー ションが、接続を実行するために使用されているどうかを示 します。 Citrixスキャン - Internet Explorer更新プロ グラム Webブラウザーソフトウェアが、指定する必要な更新プログラムまたはHotfixのバージョン レベルでユーザーデバイスに存在するかどうかを検出します。 413 Webブラウザースキャンパッケージ サポートされる最小バージョン • Internet Explorer 7.0 指定できるプロパティ プロパティ名 説明/形式 更新プログラムのデータセッ 指定する更新プログラムまたはHotfixのバージョンレベルを ト 含むデータセットのファイル名を入力します。 詳しくは、 「スキャンでのデータセットの使用」を参照してください。 スキャン出力 スキャン出力の名前 説明 Internet Explorer更新プ ログラムの検証 データセットで指定されている更新プログラムが、ユーザー デバイスにインストールされているかどうかを示します。 Citrixスキャン - Mozilla Firefox 指定するバージョンのFirefox Webブラウザーが、ユーザーデバイスに存在するかどうかを 検出します。 このスキャンパッケージは、公開されているWindowsレジストリ設定を使用 します。 サポートされる最小バージョン • Firefox, Version 3.0 指定できるプロパティ 414 プロパティ名 説明/形式 最小限必要なバージョン N.N.N.N形式を使用します。Nは整数です。 バージョンは、 簡単にN.Nとも、詳細にN.N.N.N(たとえば、1.0.3.3)と も指定できます。 Webブラウザースキャンパッケージ スキャン出力 415 スキャン出力の名前 説明 製品バージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されている番号と同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 インストール済みMozilla Firefoxの検証 このブール出力は、最小限必要なバージョン以降のアプリケー ションが、ユーザーデバイス上で実行中かどうかを示します。 接続中のMozilla Firefoxの 検証 このブール出力は、最小限必要なバージョン以降のアプリケー ションが、接続を実行するために使用されているどうかを示 します。 ファイアウォールスキャンパッケージ 個人向けファイアウォールソフトウェアをユーザーデバイスでチェックするスキャンパッケー ジを作成できます。 Citrixスキャン - McAfee Desktop Firewall 指定するバージョンのファイアウォールソフトウェアが、ユーザーデバイスに存在するかど うかを検出します。 サポートされる最小バージョン • McAfee Desktop Firewall 8.5 Build 260 指定できるプロパティ プロパティ名 説明/形式 最小限必要なバージョン番 号、またはバージョンとビ ルド番号の組み合わせ バージョン番号を指定するには、N.N形式を使用します。N は整数です。 バージョン番号とビルド番号を指定するには、 N.N.NNN形式を使用します。Nは整数です。 スキャン出力 スキャン出力の名前 説明 バージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されている番号と同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 McAfee Desktop Firewall の検証 このブール出力は、最小限必要なバージョンのアプリケーショ ンが、ユーザーデバイス上で実行中かどうかを示します。 Citrixスキャン - McAfee Personal Firewall 指定するバージョンのファイアウォールソフトウェアが、ユーザーデバイスに存在するかど うかを検出します。 サポートされる最小バージョン 416 • McAfee VirusScan Plus 2009 • McAfee Internet Security 2010 ファイアウォールスキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 最小限必要なバージョン番 号 N.N形式を使用します。Nは整数です。 スキャン出力 スキャン出力の名前 説明 バージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されているものと同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 McAfee Personal Firewallの検証 このブール出力は、最小限必要なバージョンのアプリケーショ ンが、ユーザーデバイス上で実行中かどうかを示します。 Citrixスキャン - Microsoft Windowsファイ アウォール 指定するバージョンのMicrosoft Windowsセキュリティセンターのファイアウォールが、ユー ザーデバイスに存在するかどうかを検出します。 サポートされるバージョン このスキャンは、次のオペレーティングシステム上にあるファイアウォールを検出できます。 • Microsoft Windows XP HomeおよびProfessional(Service Pack 3適用済み) • Windows Vista • Windows 7 注: ユーザーデバイスでService Pack 3を適用したWindows XPを実行する場合は、サー ドパーティ製のファイアウォールも実行する場合にのみ、Microsoft Windowsセキュリティ センターのファイアウォールでエンドポイント解析スキャンがサポートされます。 ユーザー デバイスでWindowsファイアウォールのみを実行する場合は、スキャンはサポートされま せん。 417 ファイアウォールスキャンパッケージ 指定できるプロパティ プロパティ名 説明/形式 例外の設定がないWindow sファイアウォールを要求 Windowsファイアウォールを例外の設定なしでアクティブ にする必要がある場合は、「真」を選択します。 Windows ファイアウォールを例外の設定ありでアクティブにする必要 がある場合は、「偽」を選択します。 例外ありの複数の規 則をスキャンに追加する方法の例については、「スキャンへ の規則の追加」を参照してください。 スキャン出力 スキャン出力の名前 説明 Windowsファイアウォー ルの検証 このブール出力は、最小限必要なバージョンのアプリケーショ ンが、ユーザーデバイス上で実行中かどうかを示します。 Citrixスキャン - ノートンパーソナルファイア ウォール 指定するバージョンのノートンパーソナルファイアウォールが、ユーザーデバイスに存在す るかどうかを検出します。 サポートされる最小バージョン • ノートン360バージョン4.0 • ノートンインターネットセキュリティ2010 指定できるプロパティ プロパティ名 説明/形式 最小限必要なバージョン N.N形式を使用します。Nは整数です。 スキャン出力 418 スキャン出力の名前 説明 ノートンパーソナルファイ アウォールの検証 このブール出力は、必要なバージョンのアプリケーションが、 ユーザーデバイス上で実行中かどうかを示します。 バージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されているものと同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 ファイアウォールスキャンパッケージ Citrixスキャン - Symantec Firewall 指定するバージョンのSymantec Firewallが、ユーザーデバイスに存在するかどうかを検出 します。 サポートされる最小バージョン • Symantec Endpoint Protection 11.0.04 指定できるプロパティ プロパティ名 説明/形式 Symantec Firewallの検証 最小限必要なバージョン以降のバージョンのSymantec Firewallが、ユーザーデバイス上で実行中かどうかを検出し ます。 スキャン出力 スキャン出力の名前 説明 バージョン メインプログラムの実行可能ファイルのバージョンです。 バージョンの主番号と副番号は、プログラムのユーザーイン ターフェイスに表示されている番号と同じです。 これ以外 のバージョン番号は、報告されたときに無視される可能性が あります。 最少バージョン このブール出力は、必要なバージョンのアプリケーションが、 ユーザーデバイス上で実行中かどうかを示します。 Citrixスキャン - Windowsセキュリティセン ターファイアウォール ユーザーデバイスでファイアウォールを使用中であることが、Windowsセキュリティセンター によって報告されるかどうかを検出します。 Windows XP Service Pack 2が動作するユー ザーデバイスでは、Windowsセキュリティセンターでさまざまなセキュリティ項目を監視で きます。 このスキャンには、スキャンを適用する条件以外に指定するプロパティはありませ ん。 正確なスキャン結果を得るには、ユーザーデバイス上のWindowsセキュリティセンターでファ イアウォールを監視する必要があることに注意してください。 ファイアウォール製品が Windowsセキュリティセンターに正しく登録されていない場合は、ユーザーデバイスでファ イアウォールが有効になっていないという結果が、スキャンによって誤って報告される可能 性があります。 使用するファイアウォール製品がWindowsセキュリティセンターに正しく 登録されていることを確認するために、テストを実施してください。または、Windowsセキュ リティセンターのドキュメントを参照して、サポートされる製品を確認してください。 419 ファイアウォールスキャンパッケージ サポートされるバージョン • Windows XP Service Pack 3 - セキュリティセンター • Windows Vista - セキュリティセンター • Windows 7 - アクションセンター スキャン出力 420 プロパティ名 説明/形式 ファイアウォールの有効化 ユーザーデバイスでファイアウォールを使用中であることが、 WindowsセキュリティセンターまたはWindowsアクション センターによって報告されるかどうかを、真または偽で示し ます。 コンピューター識別スキャンパッケージ ユーザーデバイスの特定のプロパティをチェックするスキャンを作成できます。 これらの設 定にはユーザーデバイスのドメインのメンバーシップおよびMACアドレスが含まれます。 Citrixスキャン - ドメインメンバーシップ ユーザーデバイスが特定のドメインに属しているかどうかを検出します。 指定できるプロパティ プロパティ名 説明/形式 予期されるドメイン 有効なドメイン名を指定します。 ワークグループ名は無効 です。 ドメイン名 コンピューターが属するドメインのNetBIOS名です。 ユーザーデバイスが指定するドメインに属する必要がある場 合は、「真」を選択します。 ユーザーデバイスがドメインに属する必要がない場合は、「 偽」を選択します。 スキャン出力 スキャン出力の名前 説明 ドメインの検証 ユーザーデバイスが指定するドメインに属しているかどうか を示します。 ドメイン ユーザーデバイスが属するドメインの名前です。 ドメイン 名が不要な場合は、「不明」と出力されます。 Citrixスキャン - MACアドレス ユーザーデバイス上のNIC(Network Interface Card:ネットワークインターフェイスカー ド)つまりネットワークアダプターのMAC(Media Access Control:メディアアクセスコン トロール)アドレスを検出して、有効なMACアドレスにマップされたグループ名の一覧を含 むデータセットと比較します。 このスキャンを実行するには、グループ名にマップされた有効なMACアドレスを一覧にした、 2列のデータセットを作成する必要があります。 スキャンによってネットワークアダプター (データセットの1列目の値)が検出され、そのアドレスがグループ名(データセットの2列 目の値)にマップされます。 スキャンでは、このマッピングを使用して、ユーザーデバイス が属するグループを検証します。 データセットに含めるMACアドレスは、 NN:NN:NN:NN:NN:NN形式で指定します(例:00:11:11:06:B3:E9)。 この形式では、 421 コンピューター識別スキャンパッケージ ハイフン(-)ではなくコロン(:)を区切り文字として使用することに注意してください。 重要: このスキャンパッケージでは大文字と小文字を区別してデータを扱います。 大文 字と小文字以外の違いがない、矛盾するエントリを作成しないよう注意してください。 た とえば、同じアドレスを2つの異なるグループにマップしてしまう可能性があります。 つ まり、00:50:8b:e8:f9:28というアドレスを経理グループにマップするエントリと、 00:50:8B:E8:F9:28というアドレスを営業グループにマップするエントリは、矛盾する エントリということになります。 このようなエントリがあると、スキャン結果が信頼でき なくなります。 指定できるプロパティ プロパティ名 説明/形式 データセット名 各MACアドレスをグループ名にマップするデータセット名 です。 グループ名 NICつまりネットワークアダプターが属する必要があるグルー プ名です。 スキャン出力 422 スキャン出力の名前 説明 グループ名 ユーザーデバイスのネットワークインターフェイスカードつ まりアダプターのMACアドレスに割り当てられているグルー プ名を返します。 MACアドレスの一致 ネットワークインターフェイスカードつまりアダプターが、 指定するMACアドレスのグループに属しているかどうかを 示します。 オペレーティングシステムスキャンパッ ケージ オペレーティングシステムの特定のバージョンをチェックするスキャンパッケージを作成で きます。 プラットフォームの種類、Windows、およびWindows更新プログラム用のパッケー ジがあります。 Citrixクライアントレススキャン - プラットフォ ームの種類 ユーザーデバイスで、次のオペレーティングシステムソフトウェアが動作しているかどうか を検出します。 • Android • BlackBerry • iPad • iPhone • Linux • Mac OS X • Symbian • Windows 7 • Windows Mobile • Windows Vista • Windows XP このパッケージのスキャンでは、ユーザーデバイスでクライアント側のソフトウェアが動作 する必要がありません。 ユーザーのWebブラウザーによって送信される通信データを調査す ることによって、スキャン出力が決定されます。 423 オペレーティングシステムスキャンパッケージ サポートされるバージョン • Android(Google Nexus), Version 2.2 • BlackBerry, Version 4.7.1.40 • iPad, Version 3.2 • iPhone(3Gおよび3GS), Version 3.1 • Mac OS X, Version 10.5および10.6(英語のみ) • Nokia Symbian, Version 11.2021 • Windows 7 • Windows Mobile(htc), 6.5 Professional • Windows Vista • Windows XP(Service Pack 3適用済み) 指定できるプロパティ プロパティ名 説明/形式 予期されるプラットフォー ムの種類 ドロップダウンメニューからオペレーティングシステムまた はプラットフォームの名前を選択します。 スキャン出力 プロパティ名 説明/形式 プラットフォームの種類の 検証 オペレーティングシステムまたはプラットフォームが指定さ れたものであるかどうかを示します。 プラットフォームの種類 オペレーティングシステムまたはプラットフォームの種類を 示します。 Citrixスキャン - Windows Service Pack ユーザーデバイス上のオペレーティングシステムが、最低限必要なレベルのService Packを インストールして実行中かどうかを検出します。 指定できるプロパティ 424 プロパティ名 説明/形式 最小限必要なService Pack ボックスの一覧からWindows Service Packのバージョンを 選択します。 Service Packを適用していない基本オペレー ティングシステムのバージョンを検出する場合は、「なし」 を選択します。 オペレーティングシステムスキャンパッケージ スキャン出力 スキャン出力の名前 説明 Service Pack ユーザーデバイス上で実行中のService Packのバージョンを 返します。 Windows Service Packの 検証 最低限必要なレベルのService Packがインストールされてい るかどうかを示します。 Citrixスキャン - Windows更新プログラム ユーザーデバイスに必要なオペレーティングシステムの更新プログラムのセットがインストー ルされているかどうかを検出します。 注: このスキャンパッケージには、検出する更新プログラムの名前を一覧にした単一列の データセットが必要です。 指定できるプロパティ プロパティ名 説明/形式 データセット名 検出するオペレーティングシステムに対応した更新プログラ ムを、単一列の一覧にしたデータセット名です。 スキャン出力 425 スキャン出力の名前 説明 Windows更新プログラム の検証 データセットで指定されている更新プログラムが、ユーザー デバイスにインストールされているかどうかを示します。 ほかのスキャンでのスキャン出力の使用 スキャン出力をほかのエンドポイント解析スキャンの条件として使用することができます。 この機能により、あるスキャンの結果をほかのスキャンを実行する条件にできます。 スキャン出力から条件を作成するには 次の3つの方法で、スキャン出力から条件を作成できます。 • • • デリバリーサービスコンソールのコンソールツリーで[エンドポイント解析スキャン] を選択し、[共通のタスク]の[使用できる条件の一覧の編集]をクリックします。 スキャンの作成ウィザードの[条件の選択]ページで、[条件としてほかのスキャンの 出力を使用]をクリックします。 コンソールツリーで特定のスキャンを選択し、タスクペインで[共通のタスク]の[表 示モードの変更]、[プロパティ]の順にクリックします。詳細ペインでスキャン出力 を選択し、[タスク]の[条件の作成]をクリックします。 例:条件としてスキャン出力を使用する それぞれ独自のドメインが割り当てられている、営業部と経理部という2つの部署があると します。 リモート接続するすべてのユーザーデバイスで、営業部ではアンチウイルスソフト ウェアAを、経理部ではアンチウイルスソフトウェアBを実行することになっています。 次の手順に従って、ユーザーデバイスで必要なバージョンのアンチウイルスソフトウェアが 実行されていることを検証します。 1. Citrixスキャン - ドメインメンバーシップのパッケージを使用して、2つのスキャンを作 成します。 • 営業部ドメイン用のスキャンでは、ユーザーデバイスが営業部ドメインに属している ことを検証します。 経理部ドメイン用のスキャンでは、ユーザーデバイスが経理部ドメインに属している ことを検証します。 2. 営業部ドメインのユーザーデバイスに対してだけ、アンチウイルスソフトウェアAが動作 しているかどうかを検証するスキャンを作成します。 • • スキャンの作成ウィザードの[条件の選択]ページで、[条件としてほかのスキャン の出力を使用]をクリックし、手順1.で作成した営業部ドメイン用スキャンを指定し ます。 営業部ドメイン用スキャンから、スキャン出力として[ドメインの検証]を選択し、 [定義値]ダイアログボックスで、この新しい条件の名前を付け、許可値として「真」 を指定します。 3. 経理部ドメインのユーザーデバイスに対してだけ、アンチウイルスソフトウェアBが動作 しているかどうかを検証するスキャンを作成します。 • 426 ほかのスキャンでのスキャン出力の使用 • • スキャンの作成ウィザードの[条件の選択]ページで、[条件としてほかのスキャン の出力を使用]をクリックし、手順1.で作成した経理部ドメイン用スキャンを指定し ます。 経理部ドメイン用スキャンから、スキャン出力として[ドメインの検証]を選択し、 [定義値]ダイアログボックスで、この新しい条件の名前を付け、許可値として「真」 を指定します。 カスタムフィルターでスキャンを使用して、複雑なシナリオに対して同様の処理を行うこと ができます。 427 スキャンでのデータセットの使用 一部のエンドポイント解析スキャンでは、値のデータセットを参照して、ユーザーデバイス で検出される値と比較します。 たとえば、オペレーティングシステムの複数の更新プログラ ムが適用されているユーザーデバイスにだけアクセス許可を与える場合は、更新プログラム のセットがすべてユーザーデバイスに存在していることを検証する必要があります。 この必 要な更新プログラムの一覧が、データセットの例です。 データセットはクラスターの共有デー タベースに格納されます。 拡張子が.csvの、カンマ区切りのテキストファイルをインポート するか、値を1つずつ入力して、データセットを作成できます。 一覧 一覧は単一の列からなるデータセットで、単一のプロパティ値の、複数の必須値を示しま す。 一覧を使用するスキャンパッケージは次のとおりです。 Citrixスキャン - Windows更新プログラム:データセットに定義したすべての更新プ ログラムがユーザーデバイスに適用されていることを検証します。 • Citrixスキャン - Internet Explorer更新プログラム:データセットに定義したすべて の更新プログラムがユーザーデバイスに適用されていることを検証します。 • マップ マップは2列からなるデータセットで、ユーザーデバイス上の値を検出し、それをスキャ ンで使用される別の値にマップします。 たとえば、Citrixスキャン - MACアドレスでは、ユーザーデバイスのNIC(Network Interface Card:ネットワークインターフェイスカード)つまりネットワークアダプター のMACアドレスを検出します。 このスキャンは2列のデータセットを参照し、アドレス( 1列目の値)をグループ名(2列目の値)にマップします。 スキャンでは、このマッピン グを使用して、ユーザーデバイスが属する論理的なグループを検証します。 データセットの作成 次の手順に従って、名前付きのデータセットを作成しデータを入力します。 一覧(単一列の データセット)の場合は、データを手動で入力することも、CSVファイルからインポートす ることもできます。 マップ(2列のデータセット)の場合は、CSVファイルから初期データ をインポートする必要があります。 注: データセットの値は、そのセットを使用するスキャンパッケージによっては、大文字 と小文字が区別されます。 大文字と小文字が区別されるパッケージを使用する場合は、大 文字と小文字以外の違いがない、矛盾するエントリを作成しないよう注意してください。 たとえば、Citrixスキャン - MACアドレスで、同じアドレスを2つの異なるグループにマッ プしてしまう可能性があります。 つまり、00:50:8b:e8:f9:28というアドレスを経理グルー プにマップするエントリと、 00:50:8B:E8:F9:28というアドレスを営業グループにマッ プするエントリは、矛盾するエントリということになります。 このようなエントリがある と、スキャン結果が信頼できなくなります。 428 スキャンでのデータセットの使用 データセットを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]を選択し、[共通のタスク]の[データセットの管理] をクリックします。 4. [データセット]ダイアログボックスで、[新規]をクリックします。 [データセット の作成]ダイアログボックスが開きます。 5. 新しいデータセットの名前を入力します。 6. 次のどちらかの方法でデータを入力します。 • インポートする初期データを含む、CSVファイルへのパスを入力します。 2列のデー タセットを作成するには、この方法を使用する必要があります。 ファイルパスを入力せず、空白の一列のデータセットを作成します。 データを作成 した後は、データセットを編集して値を追加します。 7. [OK]をクリックします。 • [データセット]ダイアログボックスで既存のデータセットを編集することもできます。 例:必要な更新プログラム一覧の検証 この例では、特定のバージョンのWindowsの必要な更新プログラムがユーザーデバイスに適 用されているかどうかを検証するための、スキャンを作成する手順について説明します。 1. Citrixスキャン - Windows更新プログラムを使用して、ユーザーデバイスに必要な更新 プログラムが適用されているかどうかを検証するスキャンを作成します。 2. ユーザーデバイスで実行している必要のあるWindows更新プログラムの名前を一覧にし た、単一列のデータセットを作成します。 たとえば、「KB898461」、「KB950760」、 「KB960225」、などがこのようなデータセットの値の例です。 3. Citrixスキャン - Windows更新プログラムを使用して、指定するバージョンのWindows を実行するユーザーデバイスに、必要な更新プログラムが適用されているかどうかを検 証するスキャンを作成します。 a. スキャンの作成ウィザードの[条件の選択]ページで、[条件としてほかのスキャン の出力を使用]をクリックし、手順1.で作成したスキャンから、製品のバージョンを 識別するスキャン出力を指定します。 b. [定義値]ダイアログボックスで、この新しい条件の名前を付け、許可される適切な 値を追加します。 429 スクリプトの作成およびスキャンのアッ プデートのスケジュール スクリプトの作成およびエンドポイント解析スキャンのアップデートのスケジュールのため の2つのコマンドラインユーティリティを使用できます。 これらのユーティリティはサーバー の次のフォルダーでコマンドプロンプトから実行できます。 %systemroot%\Program Files\Citrix\Access Gateway\MSAMExtensions\ 注: これらのユーティリティを使用した後は、Citrixデリバリーサービスコンソールに新 しい値が表示されるように、検出を実行する必要があります。 次の2つの節で、各ユーティリティについて説明します。 スキャンのプロパティ値のアップデート CtxEpaParamUpdateコマンドを使用して、スキャンの検証するプロパティ値をアップデー トできます。 たとえば、特定のパターンバージョンのアンチウイルスソフトウェアがユーザー デバイスに存在することを要件にする場合は、検出すべきパターンファイルを変更するとき にスクリプトを使用してプロパティ値をアップデートできます。 このコマンドは、デリバリー サービスコンソールがインストールされているサーバーで、スケジュールされたタスクとし て使用するように設計されています。 引用符を含めて、次の構文を使用します。 "ctxepaparamupdate" package_uri package_version "scan_name" "rule_name" "param_name" "new_value" パラメーターの意味は次のとおりです。 430 パラメーター 説明 package_uri スキャンが属するスキャンパッケージのURI(Uniform Resource Identifier)です。 スキャンパッケージのURLの情報は、デリバリー サービスコンソールのツリーでスキャンパッケージを選択し、表示 モードを[プロパティ]にすると表示されます。 package_version スキャンが属するスキャンパッケージのバージョンです。 スキャン パッケージのバージョンの情報は、デリバリーサービスコンソール のツリーでスキャンパッケージを選択し、表示モードを[プロパティ ]にすると表示されます。 scan_name プロパティが設定されているスキャンの名前です。 rule_name 検証するプロパティ値が設定されている規則の名前です。 スクリプトの作成およびスキャンのアップデートのスケジュール param_name 検証する値のパラメーター名です。 パラメーター名と現在の設定は、 デリバリーサービスコンソールのツリーでスキャン規則を選択し、 表示モードを[プロパティ]にすると表示されます。 new_value 新しい値です。 必要なプロパティの値に範囲がある場合は、この新 しい値もその範囲に含まれている必要があります。 例:CtxEpaParamUpdateコマンドを使用し てスキャンをアップデートするには Citrixスキャン - McAfee VirusScan Enterpriseスキャンパッケージから作成した既存のスキャ ンをアップデートするとします。 必要なエンジンバージョンを4.4に、パターンバージョン を4641にアップデートするには、コマンドプロンプトで次のように入力します。 “C:\Program Files\Citrix\Access Gateway\MSAMExtensions\ CtxEpaParamUpdate.exe” http://www.citrix.com/EndpointAnalysisPackages/CitrixVSEMcAfee.cab 5.0 さらに、次のように入力します。 “C:\Program Files\Citrix\Access Gateway\MSAMExtensions\ CtxEpaParamUpdate.exe” http://www.citrix.com/EndpointAnalysisPackages/CitrixVSEMcAfee.cab 5.0 ここで、scan_nameとrule_nameは既存のスキャンと規則の名前です。 データセットのアップデート CtxEpaDataSetUpdateコマンドを使用して、データセットのアップデートをスクリプト化 したりスケジュールしたりできます。 たとえば、アンチウイルスプログラムの必須パターン ファイル番号をアップデートするなどの作業を自動化するためのスクリプトを作成すること ができます。 このユーティリティでは、次のコマンドオプション(スイッチ)を使用します。 431 スイッチオプ ション 説明 構文 /import CSVファイルをインポートするこ とにより、新しいデータセットを 作成します。 ctxepadatasetupdate /import file_name.csv dataset_name /reimport 新しいCSVファイルをインポート ctxepadatasetupdate /reimport することにより、既存のデータセッ file_name.csv dataset_name トのすべての内容を置き換えます。 /export データセットをCSVファイルにエ クスポートします。 ctxepadatasetupdate /export file_name.csv dataset_name /destroy データセットを削除します。 ctxepadatasetupdate /destroy dataset_name /add 指定されたデータセットに値を追 加します。 ctxepadatasetupdate /add dataset_name key [value] スクリプトの作成およびスキャンのアップデートのスケジュール /overwrite マップ(2列の)データセットの エントリを置き換えます。 ctxepadatasetupdate /overwrite dataset_name key value /remove データセット内のエントリを削除 ctxepadatasetupdate /remove します。 dataset_name key 上記のコマンドオプションで使用されるパラメーターは、次のとおりです。 パラメーター 説明 file_name.csv データセットを含むCSVファイルの名前です。 dataset_name データセットの名前です。 key データセットが一覧(1列)の場合、これは一覧に含まれる値です。 データセットがマップ(2列)の場合、これは1列目の値です。 value データセットがマップ(2列)の場合、これは2列目の値です。 データ セットが一覧(1列)の場合、このパラメーターは存在しません。 スキャンの公式なパラメーター名を検索するに は コンソールのスキャンプロパティからパラメーター名を見つけることができます。 1. [スタート] > [すべてのプログラム] > [Citrix]>[管理コンソール] > [デリバ リーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、スキャンを構成した いAccess Controllerの順に展開します。 3. [エンドポイント解析スキャン]、スキャンの種類の順に展開して、パラメーター名を 表示したいスキャンを選択します。 4. スキャンに関連付けられている規則を選択し、表示モードを[プロパティ]に変更しま す。 5. プロパティの行を右にスクロールして、[パラメーター名]列を参照します。 432 高度なエンドポイント解析スキャンの作 成 Citrix Endpoint Analysis Portal, powered by OPSWATを使用して、高度なエンドポイン ト解析スキャンを作成できます。 さまざまな製品用のカスタムエンドポイント解析スキャン を作成できます。 Endpoint Analysis PortalのPolicy Generatorを使用してポリシーを作成 すると、ユーザーデバイスをセキュリティで保護できます。 高度なエンドポイント解析スキャンポリシーをCitrix Access ControllerのSmartAccessポリ シーで使用して、ログオンポイントの表示を制御できます。 たとえば、スキャンに合格しなかったユーザーにログオンポイントの表示を拒否できます。 Access ControllerをAccess Gateway Version 5.0.1以降にアップグレードすることをお勧 めします。 詳しくは、CitrixサポートWebサイトでAccess Gateway 5.0のメンテナンスリ リースのReadmeを参照してください。 このリリースの既知の問題については、CitrixサポートWebサイトのCitrix Access Gateway 5.0 with Advanced Endpoint Analysis powered by OPSWATのReadmeを参照 してください。 433 Citrix Endpoint Analysis Portalのし くみ Citrix Endpoint Analysis Portalを使用して、さまざまなソフトウェア製品用の高度なエン ドポイントスキャンパッケージを作成できます。 ポリシーを作成するとき、Policy Generatorの右ペインのツリービューに利用できるすべての製品が表示されます。 ツリーは、 ベンダー名>製品名>製品バージョンという階層になっています。 バージョンをクリックし て右側の[Selected Products]ツリーにドラッグするだけで、製品とバージョンを選択で きます。 製品とバージョンを[Selected Products]ツリーにドラッグしたら、規則を作成します。 Advanced Endpoint Analysis Plug-inでユーザーデバイスをスキャンするとき、すべての規 則を満たす製品が見つかると、プラグインによるユーザーデバイスのチェックが終了します。 ある製品またはベンダーのすべてのバージョンを選択すると、それらのバージョンを表すワ イルドカード一致が.csvファイルに含まれます。 ベンダーが新しいバージョンの製品をリリー スした場合、ワイルドカード一致によりAdvanced Endpoint Analysis Plug-inで新しいバー ジョンが自動的に認識されます。 Advanced Endpoint Analysis Portalで製品を変更するたびに、新しいポリシーを作成して サーバーにアップロードする必要があります。 エンドユーザーデバイスのスキャンの一部として、選択できる製品の種類のカテゴリは次の とおりです。 • Antivirus:ウイルス対策 • Antispyware:スパイウェア対策 • Antiphishing:フィッシング対策 • Firewall:ファイアウォール • Hard disk encryption:ハードディスク暗号化 • Patch management:修正プログラム管理 • Peer-to-peer networking:ピアツーピアネットワーキング ピアツーピアネットワーキングには規則がありません。 デフォルトで、すべてのピアツーピ アネットワーキング製品が禁止されます。 選択できるのは許可するピアツーピアネットワー キング製品のみです。 Malware Scannerは無償ツールであり、高度なエンドポイント解析ソリューションで使用す ると、ユーザーデバイス上で現在実行中のプロセスとメモリモジュールに対するアクティブ スキャンを数秒で実行できます。 このツールを使用して、ユーザーデバイス上のキーストロー クロガーやウイルスなどのマルウェアの問題を検出できます。 Malware Scannerはデフォ ルトで有効になります。 Policy Generatorで無効にすることができます。 高度なカスタムエンドポイント解析スキャンの作成と展開の手順は次のとおりです。 434 Citrix Endpoint Analysis Portalのしくみ 1. Citrix Endpoint Analysis Portalから、お使いのAccess Gatewayのバージョンの構成ファ イル(CustomScan.cab)とEndpoint Analysis Plug-in(EPAPlugin.zip)をダウンロー ドします。 2. Citrix Endpoint Analysis PortalのPolicy Generatorを使用して、さまざまな製品からユー ザーデバイスの要件を選択します。 ユーザーデバイスにインストールされている必要が ある製品を選択して.csvファイルを作成し、サーバーにダウンロードします。 3. 管理コンソールで構成ファイル(CustomScan.cab)をサーバーにインポートします。 4. 構成ファイルをインポートした後で、管理コンソールで.csvファイルを使用してスキャ ンを作成します。 5. Advanced Endpoint Analysis Plug-inをサーバーにインストールします。 6. Advanced Endpoint Analysis Plug-inをログオンポイントで選択します。 プラグインを ログオンポイントと関連付けて、ユーザーがプラグインをユーザーデバイスにダウンロー ドできるようにする必要があります。 ユーザーがAccess Gatewayにログオンするとき、 Advanced Endpoint Analysis Plug-inがユーザーデバイスにダウンロードされ、必要な ソフトウェアがあるかどうかデバイスがスキャンされます。 注: 手順1.~4.はAccess Gateway 4.5, Advanced EditionとAccess Gateway 5.0で同 一です。 Advanced Endpoint Analysis Plug-inのインストール手順は、Access Gateway の各バージョンごとに異なります。 435 Malware Scannerのしくみ Malware Scannerは、Citrix Endpoint Analysis Portalで使用できる無償ツールです。 ユー ザーがログオンするとき、ユーザーデバイス上で現在実行中のプロセスとメモリモジュール に対するアクティブスキャンがMalware Scannerにより実施されます。 Malware Scanner を使用して、ユーザーデバイス上のキーストロークロガーやウイルスなどの問題を検出でき ます。 Malware Scannerは自動的に実行され、たった数秒でユーザーデバイスをスキャン します。 Malware Scannerを実行するにはインターネットに接続している必要があります。 Malware ScannerがOPSWATポータルに接続し、検証のため情報がサイトに送信されます。 Malware Scannerの無償版を使用することも、OPSWATからプレミアム版を購入すること もできます。 プレミアム版を購入する場合、Citrix Endpoint Analysis Portalの[Policy Generator]タブにライセンスキーを入力する必要があります。 詳しくは、OPSWAT社の Webサイトを参照してください。 Malware Scannerは、ポータルの[Policy Generator]タブでデフォルトで有効になってい ます。 Malware Scannerはいつでも無効にできます。 注: Malware Scannerを有効または無効にする場合は、エンドポイント解析ポリシーを 再作成して新しい.csvファイルをサーバーにアップロードする必要があります。 Malware Scannerを有効または無効にするに は 1. Citrix Endpoint Analysis Portalにアクセスして[Policy Generator]タブをクリックし ます。 2. [Enforce Malware Scan]チェックボックスをオンにします。 436 Citrix Endpoint Analysis Portalから のファイルのダウンロード 高度なエンドポイント解析スキャンをCitrix Endpoint Analysis Portalで作成するには、[ Downloads]タブからCustomScan.cabファイルをダウンロードします。 Advanced Endpoint Analysis Plug-inもEndpoint Analysis Portalからダウンロードする必要がありま す。 プラグインをログオンポイントと関連付けた後は、ユーザーがログオンすると、プラグ インがユーザーデバイスにダウンロードされてスキャンが実行されます。 これらの2つのファイルはOPSWATにより毎月更新されます。 更新されたファイルを毎月ダ ウンロードして、サーバーにインストールする必要があります。 これにより、製造元の提供 する最新バージョンのソフトウェア製品がサポートされます。 Endpoint Analysis Portalからファイルをダ ウンロードするには 1. Citrix Endpoint Analysis Portalにアクセスして[Downloads]タブをクリックします。 2. お使いのAccess GatewayのバージョンのCustomScan.cabファイルを選択して[ Download]をクリックします。 ファイルをサーバーに保存します。 3. お使いのAccess GatewayのバージョンのEPAPlugin.zipファイルを選択して[ Download]をクリックします。 ファイルをサーバーに保存します。 次に、ファイルをカスタムスキャンとしてサーバーにインポートします。 それからカス タムスキャンを作成して、Advanced Endpoint Analysis Plug-inをログオンポイントで 展開できます。 437 高度なエンドポイント解析スキャンポリ シーの作成 Citrix Endpoint Analysis PortalのPolicy Generatorを使用して、高度なエンドポイント解析 スキャンポリシーを作成できます。 Policy Generatorの左ペインの各カテゴリに一覧表示さ れる任意の製品を、ポリシーに含めることができます。 製品とバージョンをカテゴリから選 択すると、有効なカテゴリと選択した規則の数が表示されます。 ポリシーを作成し終わったら、.csvファイルを作成してダウンロードします。 高度なエンド ポイント解析スキャンポリシーを作成するとき、この.cvsファイルをAccess Controllerにアッ プロードします。 高度なエンドポイント解析ポリシーを作成する には 1. Citrix Endpoint Analysis Portalにアクセスして[Policy Generator]タブをクリックし ます。 2. 左ペインで[Antiphishing]などのポリシーの種類をダブルクリックします。 3. 右ペインで[Check to enable]チェックボックスをオンにします。 このチェックボックスをオンにすると、使用できる製品の一覧が表示されます。 4. [Available Products]の下の製品一覧を展開して、[Selected Products]ペインに1 つまたは複数の製品をドラッグします。 5. ポリシーに追加する製品ごとに手順3.および4.を繰り返します。 6. [Finish & Export Policy]をクリックして.csvファイルをコンピューターに保存します。 高度なエンドポイント解析スキャンをAccess Gatewayに作成する前に、ポータルページか らカスタム構成ファイル(.cab)とAdvanced Endpoint Analysis Plug-inをダウンロードす る必要があります。 それから、Access Controllerのスキャングループにcustomscan.cabファ イルをインポートします。 438 カスタム.cabファイルをAccess Controllerにインポートするには Citrix Endpoint Analysis Portalからcustomscan.cabファイルをダウンロードしたら、 Access Controllerにインポートします。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を展開します。 3. [エンドポイント解析スキャン]を展開し、スキャングループを選択します。 注: [エンドポイント解析スキャン]の下に一覧表示されるどのスキャングループに も、.cabファイルをインポートできます。 通常、.cabファイルは[カスタムスキャン] にインポートします。 4. タスクペインで[共通のタスク]の[スキャンパッケージのインポート]をクリックし ます。 5. [スキャンパッケージファイルの選択]ダイアログボックスで、Citrix Endpoint Analysis Portalページからダウンロードしたcustomscan.cabファイルを参照して選択 し、[開く]をクリックします。 コンソールツリーの[カスタムスキャン]にAdvanced Endpoint Scanが表示されます。 次に、このスキャンのポリシーを作成します。 439 Access Controllerで高度なエンドポイ ント解析ポリシーを作成するには エンドポイント解析ファイルをAccess Controllerにインポートしたら、.csvファイルを Access Controllerにアップロードしてポリシーを作成します。 注: Citrix Endpoint Analysis Portalで.csvファイルを作成していない場合は、「高度な エンドポイント解析スキャンポリシーの作成」の手順に従います。 いつでも新しいポリシー ファイルを生成できます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、Access Controllerのクラスター名(デフォルトはCitrixController) を展開します。 3. [エンドポイント解析スキャン]を展開します。 4. [カスタムスキャン]または.cabファイルをインポートしたスキャングループ内で、[ Advanced Endpoint Scan]を選択します。 5. [共通のタスク]の[スキャンの作成]をクリックします。 6. [スキャンの作成]ウィザードで[スキャン名]ボックスにスキャンの名前を入力して、 [次へ]をクリックします。 7. [条件の選択]ページの[ログオンポイント]チェックボックスをオンにして、[次へ] をクリックします。 8. [規則の定義]ページで[規則名]ボックスに規則の名前を入力して、[次へ]をクリッ クします。 9. [Operating System]の[条件]ボックスでスキャンで検出するオペレーティングシス テムのチェックボックスをオンにして、[次へ]をクリックします。 10. [ログオンポイント]の[条件]ボックスでポリシーのログオンポイントのチェックボッ クスをオンにして、[次へ]をクリックします。 11. [検証するプロパティの定義]ページで[データセットの作成]をクリックします。 12. [データセットの作成]ダイアログボックスの[データセット名を入力します]ボック スに名前を入力します。 13. [データの初期セットを含むCSVファイルのパスを入力します。 空のデータセットを作 成する場合は、何も入力しないでください]ボックスの下の[参照]をクリックします。 14. コンピューター上に保存した.csvファイルを選択して[開く]をクリックし、[OK]、 [完了]の順にクリックします。 440 高度なエンドポイント解析スキャンの追 加オプションの構成 Citrix Endpoint Analysis Portalでエンドポイント解析ポリシーを作成するとき、ユーザー デバイス上の要件を強化するために追加オプションを選択できます。 オプションは、高度な エンドポイント解析スキャンに含める製品を選択するときに有効にします。 .csvファイルを 作成するとき、これらのオプションはファイルに追加されます。 すべての製品ですべてのオ プションを使用できるわけではありません。 たとえばウイルス対策ソフトウェアの中には、 ユーザーデバイスでソフトウェアを有効にする必要がないものがあります。 次のオプションを選択できます。 • • • • • • • • 441 Is Product Authentic(正規の製品である): ユーザーデバイスで検出される製品を構 成する各サービスは、デジタル署名されている必要があります。 このオプションは、ウ イルス対策、スパイウェア対策、ファイアウォール、修正プログラム管理、およびハー ドディスク暗号化のポリシーで使用できます。 Real-Time Protection(リアルタイム保護): エンドポイント解析スキャンに合格する ために、ユーザーはユーザーデバイスでソフトウェア製品を有効にする必要があります。 このオプションはウイルス対策およびスパイウェア対策のポリシーで使用できます。 Last Full System Scan(最終完全システムスキャン): 指定する日数の間にユーザー デバイスのスキャンが正常に完了している必要があります。 このオプションを有効にす るときは、最後の成功したスキャン以降に許容される日数を入力します。 このオプショ ンはウイルス対策およびスパイウェア対策のポリシーで使用できます。 Last Update(最終更新): 指定する日数の間にソフトウェア製品が更新されている必 要があります。 このオプションを有効にするときは、最後の成功した更新以降に許容さ れる日数を入力します。 このオプションはウイルス対策およびスパイウェア対策のポリ シーで使用できます。 Firewall Protection(ファイアウォール保護): このスキャンに合格するために、ユー ザーはユーザーデバイスでファイアウォール製品を有効にする必要があります。 このオ プションはファイアウォールのポリシーでのみ使用できます。 Automatic Update(自動更新): ポリシーに含める修正プログラムクライアントは、 ユーザーデバイスに修正プログラムを自動展開するように設定されている必要がありま す。 このオプションを選択した場合、ユーザーデバイスで自動展開が設定されていない と、デバイスはスキャンに不合格になります。 このオプションは修正プログラム管理の ポリシーでのみ使用できます。 Missing Patches(見つからない修正プログラム): ユーザーデバイス上に見つからな くてもエンドポイント解析スキャンに合格できる、修正プログラムの数を指定できます。 見つからない修正プログラムの数がこの制限を超過していると、スキャンに不合格にな ります。 このオプションは修正プログラム管理のポリシーでのみ使用できます。 Antiphishing Protection(フィッシング対策保護): 必須のフィッシング対策製品によ り保護されているWebブラウザーが、ユーザーデバイスに少なくとも1つ必要です。 こ のオプションはフィッシング対策のポリシーでのみ使用できます。 高度なエンドポイント解析スキャンの追加オプションの構成 • Encryption Status(暗号化状態): スキャンに合格するために、ユーザーデバイスの ハードドライブが暗号化されている必要があります。 このオプションはハードディスク 暗号化のポリシーでのみ使用できます。 Citrix Endpoint Analysis Portalで追加オプ ションを有効にするには 1. Citrix Endpoint Analysis Portalにアクセスして[Policy Generator]タブをクリックし ます。 2. 左で製品カテゴリを選択して[Check to enable]チェックボックスをオンにします。 3. 製品一覧の下で、有効にするオプションを選択します。 Citrix Endpoint Analysis Portalでグローバ ル設定を構成するには 高度なエンドポイント解析ポリシーにグローバル設定を構成して、ユーザーのログオン時に アクセスを許可または拒否できます。 スキャン結果に基づいてアクセスを許可または拒否で きます。 構成できるグローバル設定は2つあります。 その項目は次のとおりです。 • • Information was missing or unavailable(情報が見つからないまたは使用できない) : エンドポイント解析スキャンをユーザーデバイスで実行するときに情報が見つからな い場合、ユーザーデバイスがスキャンに合格できるかどうかを選択できます。 たとえば、 ウイルス対策製品としてClamAVを選択して[Real-Time Protection]を選択すると、 ClamAVはユーザーが有効にする必要がない製品なので、スキャンが不合格になる可能 性があります。 この場合に、スキャンを合格にしてユーザーのログオンを許可すること ができます。 このオプションのデフォルト設定は[allow](許可)です。 Unexpected error occurred(予期しないエラーの発生): エンドポイント解析スキャ ンの実行中に、ユーザーデバイスで内部エラーが発生することがあります。 内部エラー が発生した場合に、ユーザーデバイスからのアクセスを許可するかどうかを選択できま す。 このオプションのデフォルト設定は[deny](拒否)です。 1. Citrix Endpoint Analysis Portalにアクセスして[Policy Generator]タブをクリックし ます。 2. 左の製品カテゴリ一覧で[Global Settings]をクリックして、オプションを選択します。 442 Advanced Endpoint Analysis Plug-inの展開 Citrix Endpoint Analysis Portalで高度なエンドポイント解析ポリシーを作成したら、 Advanced Endpoint Analysis Plug-inもダウンロードして展開する必要があります。 この プラグインはユーザーデバイスにダウンロードされ、ウイルス対策やファイアウォールソフ トウェアのような、エンドポイント解析スキャンに必要な項目があるかどうかデバイスをス キャンします。 Advanced Endpoint Analysis Plug-inはCitrix Endpoint Analysis Portalの[Downloads] タブからダウンロードして、.zipファイルとしてコンピューターに保存します。 カスタムエンドポイント解析スキャンポリシーを構成したら、サーバー構成を使用して Access GatewayにAdvanced Endpoint Analysis Plug-inをインストールします。 Access Gatewayにインストールするために.zipファイルからプラグインを展開する必要はありませ ん。 それから、プラグインを1つまたは複数のログオンポイントと関連付けます。 443 Advanced Endpoint Analysis Plug-inをAccess Controllerにインス トールするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. [タスク]の[プラグインパッケージのインポート]をクリックします。 デフォルトのパッケージが中央ペインに表示されます。 3. [インポート]をクリックして、Citrix Endpoint Analysis Portalからダウンロードした epaplugin.zipファイルを選択します。 一覧に「Advanced Endpoint Analysis Plugin」という名前でプラグインが表示されま す。 プラグインをインストールしたら、1つまたは複数のログオンポイントと関連付け ます。 444 Advanced Endpoint Analysis Plug-inをログオンポイントと関連付け るには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. Access Controllerのクラスター名、[ログオンポイント]の順に展開して、Advanced Endpoint Analysis Plug-inと関連付けるログオンポイントを選択します。 3. [共通のタスク]の[ログオンポイントの編集]をクリックします。 4. [ログオンポイントプロパティ]ダイアログボックスで[プラグインの選択]をクリッ クします。 5. [パッケージの表示名]の下で[Advanced Endpoint Analysis Plugin]を選択して、 [OK]をクリックします。 6. コンソールツリーで同じログオンポイントを選択します。 7. [共通のタスク]の[ログオンページ情報の更新]をクリックして、[OK]をクリック します。 ログオンページ情報を更新すると、Advanced Endpoint Analysis Plug-inがAccess Gatewayアプライアンスにアップロードされます。 ユーザーがログオンすると、プラグ インがユーザーデバイスにダウンロードされてスキャンが実行されます。 この手順を、プラグインを関連付けるログオンポイントごとに繰り返します。 445 クラスタリングと負荷分散の構成 ネットワーク内に複数のCitrix Access GatewayアプライアンスとCitrix Access Controller サーバーを展開できます。 複数のサーバーとアプライアンスを追加する場合は、クラスター を作成します。 クラスターを作成する場合は、いずれかのAccess Controllerサーバーの設 定を使用してAccess Gatewayアプライアンスを構成します。 すると、クラスター内のすべ てのAccess Controllerサーバーが、アプライアンスで自動的に検出されます。 Access Controllerをサーバーにインストールするとき、サーバー構成の実行時にサーバーを クラスターに追加できます。 後でAccess Controllerサーバーをクラスターに追加するには、 別のサーバーにAccess Controllerをインストールすることによって追加します。 その場合 は、サーバー構成の実行時にサーバーをクラスターに参加させます。 サーバーをクラスターから削除する必要がある場合は、デリバリーサービスコンソールで削 除します。 Access Controllerをアンインストールすると、サーバーが自動的にクラスター から削除されます。 クラスター内のすべてのサーバーでAccess Controller 5.0を実行する必要があります。 ク ラスターを作成するには、展開の一部としてAccess Controllerが必要です。 クラスターを作成した後は、外部の負荷分散装置を使用しなくても、ユーザー接続の負荷を 分散できます。 負荷分散により、ユーザー接続のスケーラビリティが向上します。 物理的 なAccess GatewayアプライアンスとAccess Gateway VPXの両方で、負荷分散を実行でき ます。 負荷分散はエンドユーザーのセッションを対象にしており、セッションごとに処理さ れます。 負荷分散は、Access ControllerのサーバークラスターのプロパティおよびAccess Gateway のアプライアンスのグローバルプロパティで構成します。 446 クラスタリングと負荷分散のしくみ クラスタリングは、ネットワーク内に複数のAccess GatewayアプライアンスとAccess Controllerサーバーをインストールすることによって機能します。 クラスターを作成すると、 Access GatewayとAccess Controllerは連動してユーザー接続の負荷を分散します。 Access Controllerサーバーのクラスターを作成すると、Access Controllerにより提供され る同じ構成設定が、すべてのAccess Gatewayアプライアンスで共有されます。 同じクラスター内で共有のSQL Serverデータベースを使用するため、すべてのAccess Controllerサーバーで同じ構成が共有されます。 Access ControllerサーバーをAccess Gatewayに追加すると、アプライアンスでクラスター 内のAccess Controllerサーバーが認識されます。 そこから負荷分散設定に基づいて、 Access GatewayはどのAccess Controllerサーバーにも接続できます。 サーバー構成ウィザードの実行時に、Access Controllerの通知アドレスとしてIPアドレスま たはFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を選択します。 Access GatewayとAccess Controllerの間の接続を保護することもできます。 Access GatewayのWebアドレスをユーザーに提供します。 展開環境内の1台のAccess Gatewayによってすべてのユーザー接続が監視され、接続要求の送信先になるAccess Controllerが決定されます。 Access GatewayとAccess Controllerの間で通信が行われ、セッ ションのリダイレクト先になるAccess Gatewayが決定されます。 Access GatewayとAccess Controllerの間で通信が行われ、Access Gatewayにより次の項 目が判定されます。 • 各Access Controllerサーバーの負荷 • 各サーバーの能力 • Access Gatewayアプライアンスの数 Access Controllerでの負荷分散には次の2つの方法があります。 • • 「ラウンドロビン」ではすべてのAccess Controllerサーバーの間で負荷を分散します。 すべてのサーバーが同じ構成の場合はこのオプションを選択します。 「最小負荷」では最も接続の少ないAccess Controllerにセッションが送られます。 Access Gatewayでの負荷分散には次の3つの方法があります。 • ラウンドロビン • 最小負荷 • 許容されるログオン率により加重 環境内に多数のユーザーが同時にログオンする時間帯がある場合は、Access Gatewayの過 負荷を避けるために加重する方法でユーザー負荷を分散します。 447 クラスタリングと負荷分散のしくみ クラスタープロパティを使用して、各Access Controllerサーバーの負荷分散を構成します。 Access Gatewayプロパティを使用して、すべてのAccess Gatewayアプライアンスの負荷 分散を構成します。 448 Access Controllerサーバーをクラスター に追加するには 更新日: 2012-05-03 ネットワークに複数のAccess Controllerサーバーがある場合、1つのクラスターに参加させ てまとめることができます。 初めてAccess Controllerをインストールしてサーバー構成を 実行するときに、サーバーをクラスターに参加させることができます。 後でサーバー構成を 使用して、個々のサーバーのクラスターを変更することもできます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. [タスク]の[クラスター情報]をクリックします。 3. [クラスター名]ボックスにクラスターの名前を入力して、[OK]をクリックします。 449 デリバリーサービスコンソールでの複数 のクラスターの管理 ネットワークに複数のAccess Controllerクラスターがある場合、デリバリーサービスコンソー ルを使用してまとめて管理することができます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]を展開し、[Access Gateway]を選択します。 3. [共通のタスク]の[クラスターの追加]をクリックします。 4. [サーバー]ボックスにクラスター内の任意のAccess Controllerサーバーの完全修飾ド メイン名またはIPアドレスを入力して、[OK]をクリックします。 450 Access Controllerの負荷分散を構成す るには Access GatewayをAccess Controllerと共に展開すると、認証、承認、およびエンドポイン ト解析などが、Access GatewayからAccess Controllerへの通信に依存するようになります。 複数のAccess Controllerサーバーを展開すると、このトラフィックの負荷をサーバー全体 に分散することができます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]、Access Controllerクラスターの順に展開し ます。 3. [Access Gatewayアプライアンス]を選択します。 4. [共通のタスク]の[Access Gatewayアプライアンスのプロパティの編集]をクリッ クします。 5. 左ペインの[負荷分散の設定]をクリックします。 6. 右ペインの[Access Controllerサーバーの負荷分散方法]ボックスの一覧から負荷分散 方法を選択します。 7. [アプライアンスの状態の通知間隔(秒)]ボックスの一覧でAccess Gatewayから Access Controllerへの状態更新の間隔を選択して、[OK]をクリックします。 451 Access Gatewayの負荷分散を構成する には Access Gatewayアプライアンスの負荷分散を構成すると、Access Controllerでは管理者が 選択する負荷分散アルゴリズムに基づいて、Access Gatewayアプライアンスへのユーザー 接続を送信します。 たとえば、ユーザー接続をAccess Gatewayに均等に分散するには、「 最小負荷」アルゴリズムを使用します。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]の順に展開して、Access Controllerクラスター を選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 4. 左ペインの[クラスタリング]をクリックします。 5. 右ペインの[Access Gatewayアプライアンスの負荷分散方法]ボックスの一覧から負 荷分散方法を選択して、[OK]をクリックします。 452 クラスターからAccess Controllerサー バーを削除するには Access Controllerクラスターから、いつでもサーバーを削除できます。 サーバーを削除す るとき、関連付けられているリソース、ポリシー、およびログオンポイントも、構成設定か ら削除されます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]の順に展開します。 3. クラスター、[サーバー]の順に展開します。 4. 削除するサーバーを選択し、[共通のタスク]の[サーバーの削除]をクリックします。 453 クラスターからAccess Gatewayアプラ イアンスを削除するには クラスターからAccess Gatewayアプライアンスをいつでも削除できます。 アプライアンス を削除すると、ユーザー接続はネットワーク内のほかのアプライアンスを介して送信されま す。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]、[Access Gatewayアプライアンス]の順 に展開します。 3. アプライアンスを選択し、[共通のタスク]の[Access Gatewayアプライアンスの削 除]をクリックして、[はい]をクリックします。 Access ControllerからAccess Gatewayアプライアンスを削除するときは、Access Gateway Management ConsoleでAccess Controllerを無効にする必要があります。 アプ ライアンスでAccess Controllerを無効にしなければ、Access ControllerにAccess Gateway が再登録されます。 454 稼働状況監視APIのクエリの作成 Access Gateway 5.0では、クエリ可能な稼働状況監視APIが提供されます。 このAPIを使用 すると、展開環境内の各Access GatewayアプライアンスとAccess Controllerサーバーの情 報を受信することができます。 クラスターを実行する場合は、クラスター全体の情報も受信 することができます。 ただし、稼働状況監視APIはクラスターに依存せず、クラスターでな くても使用できます。 稼働状況監視APIは、システム監視インフラストラクチャ、外部負荷分散装置、またはネッ トワーククラウド管理ツールなどの仮想インフラストラクチャ管理ツールに統合できます。 セキュリティのため、共有シークレットを構成する必要があります。 共有シークレットによ り、クエリインターフェイスが有効になります。 Access GatewayとAccess Controllerを含むクラスターがある場合は、Access Controllerで 共有シークレットを構成します。 クラスターを使用しない場合は、アプライアンスで共有シー クレットを構成します。 クエリ結果はテキストまたはXMLファイルのどちらかで受信できます。 次のURLでこれらの ファイルを検索できます。 • • Access Controller:http://<Access Controllerのアドレス >/CitrixLoadBalanceInfo/QueryLB.aspx Access Gateway:https://<Access Gatewayのアドレス>/u/QueryLB.do Access Gatewayクエリの例を次に示します。 https://AccessGatewayAddress/u/QueryLB.do?Token=<シークレット >&Format=XML: https://<Access Gatewayのアドレス >/u/QueryLB.do?Token=1234&Format=XML) Access Gatewayのクエリを作成する場合は、HTTPSを使用する必要があります。 アプライ アンスで、ポート80から443へのリダイレクトを構成できます。 稼働状況監視APIではポー トのリダイレクトが認識されます。 クエリインターフェイスのしくみ クエリインターフェイスではGETメソッドとPOSTメソッドの両方がサポートされます。 認 識されるパラメーターは次のとおりです。 • • 455 Token: これはAccess ControllerまたはAccess Gatewayに構成するトークンまたはシー クレットです。 このパラメーターによりクエリインターフェイスが有効になります。 要 求にこのトークンが含まれない場合、またはトークンが無効な場合は、要求が成功した (200 OK)というメッセージが空の内容と共に受信ノードによって戻されます。 トー クン値は64文字(32バイト)の固定長の16進数の文字列で構成します。 Format: このパラメーターにはXMLまたはTEXTの2つの値を使用できます。 要求にこ のパラメーターが指定されていない場合は、デフォルトのTEXTが使用されます。 稼働状況監視APIのクエリの作成 • Scope: スコープパラメーターを使用して、含めるノードを指定できます。 次の値を使 用できます。 • • • • • • Self: 受信ノードのクエリによって負荷情報が戻されます。 これは要求にスコープ が指定されていない場合のデフォルト値です。 Detail: 受信ノードのクエリによって詳細な統計情報が戻されます。 Farm: クエリによってクラスター内のすべてのノードの情報が戻されます。 受信 ノードがAccess Controllerのみの場合はこのパラメーターを指定できます。 Access Gatewayアプライアンスの場合はSelfパラメーターを使用する必要がありま す。 このパラメーターを構成すると、クエリによりクラスター内のすべてのノード の稼働状況情報が戻されます。 Controllers: クエリの応答にすべてのAccess Controllerノードが含まれます。 Access Gatewayから要求が戻される場合は、指定された形式で空の応答が戻されま す。 Gateways: クエリの応答にすべてのAccess Gatewayノードが含まれます。 要求 がAccess Gatewayに送信される場合は、アプライアンスではこのパラメーターが Selfパラメーターとして扱われます。 Others: クエリの応答にAccess GatewayまたはAccess Controller以外のノードが 含まれます。 Access GatewayまたはAccess Controllerでないノードはクラスター に含まれず、指定の形式に基づいて空の応答が戻されます。 このパラメーターは現 在クエリに使用されません。 注: Access Gatewayのクエリについては、WebアドレスにHTTPSを使用します。 安全 なWebアドレスを使用すると、稼働状況監視APIによってクリアテキストで共有シークレッ トが送信されることがありません。 環境に合わせた稼働状況監視APIの応答XMLス キーマの変更 Access GatewayとAccess Controllerの両方に同じXMLスキーマを使用できます。これによ り、同じ形式を使用できます。 XMLスキーマは次のとおりです。 <?xml version="1.0" encoding="UTF-8"?> <schema targetNamespace="http://citrix.com/Chimera/LBQuery" elementFormDefault="qualified" xmlns="http://www.w3.org/2001/XMLSchema" xmlns:tns="http://citrix.com/Chimera/LBQuery"> <element name="LBInfo" type="tns:LBInfoType"></element> <complexType name="LBInfoType"> <sequence> <element name="NodeInfo" type="tns:NodeInfoType" maxOccurs="unbounded" minOccurs="0"> </element> <element name="DetailInfo" type="tns:DetailInfoType" maxOccurs="1" minOccurs="0">< </sequence> </complexType> 456 稼働状況監視APIのクエリの作成 <complexType name="NodeInfoType"> <sequence> <element name="NodeType" maxOccurs="1" minOccurs="1"> <annotation> <documentation>Type of node. Validate entries are Controller, Gateway and Other.< </annotation> <simpleType> <restriction base="string"> <enumeration value="Controller"></enumeration> <enumeration value="Gateway"></enumeration> <enumeration value="Other"></enumeration> </restriction> </simpleType> </element> <element name="NodeAddr" type="string" maxOccurs="1" minOccurs="1"> <annotation> <documentation>The preferred host name or IP address to reach this node.</docume </annotation> </element> <element name="NodePort" type="int" maxOccurs="1" minOccurs="1"> <annotation> <documentation>The preferred port number to reach this node.</documentation> </annotation> </element> <element name="NodeSSL" type="boolean" maxOccurs="1" minOccurs="1"> <annotation> <documentation>Indicate whether SSL should be used for the specified port number. </annotation> </element> <element name="NodeSelf" type="boolean" maxOccurs="1" minOccurs="1"> <annotation> <documentation>The NodeInfo entry corresponds to the receiving node itself.</docum </annotation></element> <element name="LoadMetric" type="int" maxOccurs="1" minOccurs="1"> <annotation> <documentation>Computed Load Metric for this node.</documentation> </annotation> </element> <element name="PermissibleLogonRate" type="int" maxOccurs="1" minOccurs="0"> <annotation> <documentation>Computed Permissible Logon Rate for this node (currently only Gateway type has this value).</do </annotation> </element> </sequence> </complexType> <complexType name="DetailInfoType"> <sequence> <element name="StaticInfo" maxOccurs="1" minOccurs="0"> 457 稼働状況監視APIのクエリの作成 <complexType> <sequence> <element name="ClockSpeed" type="float" maxOccurs="1" minOccurs="0"> </element> <element name="HorsePower" type="float" maxOccurs="1" minOccurs="0"></ele <element name="NumberCores" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberHyperThreadingUnits" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberExecutionUnits" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="TotalCPUCacheSize" type="int" maxOccurs="1" minOccurs="0"> </element> </sequence> </complexType> </element> <element name="DynamicInfo" maxOccurs="1" minOccurs="0"> <complexType> <sequence> <element name="CPUUsage" type="float" maxOccurs="1" minOccurs="0"> </element> <element name="NumberICAConnections" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberVPNControlChannels" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberVPNTcpTunnels" type="int" maxOccurs="1" minOccurs="0"> </element> <element name="NumberVPNUdpTunnels" type="int" maxOccurs="1" minOccurs= </sequence> </complexType></element> </sequence> </complexType> </schema> テキスト出力の形式 テキスト出力の形式は次のとおりです。 • • 458 行ベース: 各行が1つのノードを表します。 名前=値のペア: NameトークンはXMLスキーマに定義されます。 Nameトークンに定 義する値は、名前と値のペアとして表されます。 稼働状況監視APIのクエリの作成 XML出力の形式 XML出力の形式の例を次に示します。 <?xml version="1.0" encoding="utf-8" ?> - <LBInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3 - <NodeInfo> <NodeType>Controller</NodeType> <NodeAddr>http://10.215.65.4:80</NodeAddr> <NodePort>80</NodePort> <NodeSSL>false</NodeSSL> <NodeSelf>true</NodeSelf> <LoadMetric>1</LoadMetric> <PermissibleLogonRate>0</PermissibleLogonRate> - <DetailInfo> - <StaticInfo> <ClockSpeed>0</ClockSpeed> <HorsePower>0</HorsePower> <NumberCores>0</NumberCores> <NumberHyperThreadingUnits>0</NumberHyperThreadingUnits> <NumberExecutionUnits>0</NumberExecutionUnits> <TotalCPUCacheSize>0</TotalCPUCacheSize> </StaticInfo> - <DynamicInfo> <CPUUsage>0</CPUUsage> <NumberICAConnections>0</NumberICAConnections> <NumberVPNControlChannels>0</NumberVPNControlChannels> <NumberVPNTcpTunnels>0</NumberVPNTcpTunnels> <NumberVPNUdpTunnels>0</NumberVPNUdpTunnels> </DynamicInfo> </DetailInfo> Access Controllerに共有シークレットを構成 するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Citrixリソース]、[Access Gateway]の順に展開して、Access Controllerクラスター を選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 4. 左ペインの[クラスタリング]をクリックします。 5. [外部の負荷分散装置用の共有シークレット]ボックスに共有シークレットを入力して、 [OK]をクリックします。 459 稼働状況監視APIのクエリの作成 Access Gatewayに共有シークレットを構成 するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway Setting]の[Query response]ボックスに共有シークレットを入 力して、[Save]をクリックします。 460 ユーザー接続の構成 Access Gatewayでは展開シナリオと使用するエンドポイントデバイスの種類に基づいて、 さまざまな種類のエンドユーザー接続がサポートされます。 ユーザーが接続すると、セキュ リティで保護されたネットワークへの安全なトンネルがAccess Gatewayにより作成され、 SSLハンドシェイクが処理されます。 次の表に、さまざまな接続の種類と、基本ログオンポイントまたはSmartAccessログオンポ イントでサポートされる接続の種類を示します。 ewayでは、SSLにより暗号化されたCitrix ReceiverまたはCitrix Online Plug-inからのトラフィックを受け入れます。 Citrix Online Plug 送信します。この要求にはSTA(Secure Ticket Authority)により生成されるチケットが含まれます。 Access Gatewayは適切なSTAと通 、チケットの検証が成功すると、ICAトラフィックをXenAppまたはXenDesktopサーバーに送信します。 「Access GatewayのXenAppまたはXenDesktopとの統合」を参照してください。 ewayには、Citrix Receiverを使用してログオンできます。 ユーザーはCitrix Receiverを起動して認証を受けます。その後は、ユーザーの トップから、XenAppによりホストされるアプリケーションに接続できます。 ユーザーはAccess Gateway Plug-inを使用して接続し、セキ のリソースにアクセスすることもできます。 ユーザーはSelf-service Plug-in(Dazzleの新名称)を使用して公開アプリケーションをサブ eway Plug-inは、ユーザーデバイスとAccess Gatewayアプライアンスの間にネットワーク層接続を確立します。 ユーザーデバイスにより ーセプトされ、Access Gatewayにリダイレクトされます。 Access GatewayでSSLを終了しトラフィックを承認してから、セキュリティ パケットを転送します。 ewayは、セキュリティで保護されたネットワーク上の複数のWebサイトの安全なリバースプロキシとして動作させることができます。 ユ ターセプション技術を実装しなくても、Access Gatewayで内部Webサイトおよびファイル共有へのクライアントレスアクセスがサポート る任意のWebブラウザーでWebアプリケーションやファイル共有にアクセスできます。 ewayをAccess Controllerと共に展開する場合にのみ、クライアントレスアクセスがサポートされます。 Access Gateway 5.0.3はXenApp 6.5 for Windows Server 2008 R2をサポートします。 このバージョンのXenAppを展開する場合は、ユーザーはCitrix Receiver for Windows 3.0 を使用して接続します。 Access Gateway 5.0.3は、Citrix Receiver Updater for Windows 3.0、Citrix Receiver、Citrix Merchandising Server、およびSelf-service Plug-inをサポートします。これらはCitrix Delivery Centerのコンポーネントです。 ユーザーデバイスについて詳しくは、「ユーザーデバイスの要件」を参照してください。 このセクションのトピックでは、Access Gateway Plug-in for WindowsおよびAccess Gateway Plug-in for Mac OS Xを使用するユーザー接続のための、Access Gatewayと Access Controllerの設定構成について説明します。 461 ユーザー接続のしくみ Access Gatewayのユーザー接続は次のように動作します。 • ユーザーはWebアドレスを使用してAccess Gatewayに接続できます。 ユーザーが Access Gateway Plug-inをダウンロードしてインストールする方法は、Access Gatewayの展開環境とオペレーティングシステムによって異なります。 • • Access Gatewayをスタンドアロンアプライアンスとして展開する場合は、Webブ ラウザーに表示される錠前アイコンをクリックします。すると、プラグインをダウン ロードしてインストールするオプションが表示されます。 Access GatewayをAccess Controllerと共に展開する場合は、アクセスインターフェ イスが開きます。 [ネットワークに接続]をクリックすると、プラグインをダウン ロードするオプションが表示されます。 Mac OS Xが動作するコンピューターでは、上の2つのオプションのどちらかを使用 してプラグインをダウンロードします。 プラグインをダウンロードすると、Access Gateway Plug-inをインストールするオプションが含まれるダイアログボックスが開 きます。 Windowsベースのコンピューターでは、自動的にAccess Gateway Plug-inがダウンロー ドされインストールされます。 • • Access Gateway Plug-inの初回ダウンロードとインストールの後で、ユーザーは再ログ オンします。 ログオンに成功すると、Access Gatewayによってセキュリティで保護さ れたトンネルが確立されます。 ユーザーがAccess Gateway Plug-inを使用してログオ ンするとき、Access Gatewayによって認証情報の入力を促されます。 ユーザーの資格 情報を認証するため、Access GatewayではRSA SecurID、LDAP、またはRADIUSのよ うな認証の種類が使用されます。 資格情報が正しければ、Access Gatewayはプラグイ ンとのハンドシェイクを終了します。 注: このログオン手順は、ユーザーが初めてAccess Gateway Plug-inをダウンロー ドしたときにだけ必要です。 Access Gateway Plug-inがユーザーデバイスにインス トール済みの場合は、ユーザーがプラグインを使用して再ログオンするときに、 Access Gateway Plug-inによってアップデートが確認され、その後でユーザーがログ オンします。 • • ユーザーがAccess Gateway経由でネットワークリソースにアクセスしようとすると、 Access Gateway Plug-inは内部ネットワーク宛てのすべてのネットワークトラフィック を暗号化し、Access Gatewayへパケットを転送します。 Access GatewayがSSLトンネルを終了し、プライベートネットワーク宛てのすべての受 信トラフィックを受け入れて、プライベートネットワークに転送します。 ユーザーデバ イスへのトラフィックは、Access Gatewayによって保護されたトンネルを通して転送 されます。 ユーザーとAccess Gatewayの間にプロキシサーバーがある場合は、プロキシサーバーと認 証のための資格情報を指定できます。 ユーザーデバイスにAccess Gateway Plug-inがインストールされます。 初回接続の後は、 Webブラウザーまたは[スタート]メニューを使用してログオンできます。 462 ユーザー接続のしくみ ユーザーがMac OS Xコンピューターからログオンする場合は、[Citrix Access Gateway] メニューから設定を変更できます。 詳しくは、プラグインと共にインストールされる Access Gateway Plug-in for Mac OS Xのオンラインヘルプを参照してください。 ユーザーがWindowsベースのコンピューターからログオンする場合は、[スタート]メニュー からログオンするとき、[Citrix Access Gatewayオプション]ダイアログボックスも開け ます。このダイアログボックスは、ログオン先として異なるWebアドレスまたはログオンポ イントを選択するなどの、ユーザーデバイス設定の構成に使用します。 [Citrix Access Gatewayオプション]ダイ アログボックスを[スタート]メニューから開 くには • 463 [スタート] > [すべてのプログラム] > [Citrix] > [Citrix Access Clients] > [Citrix Access Gateway - プロパティ]の順に選択します。 セキュリティで保護されたトンネルの確 立 Access Gateway Plug-inを開始すると、ポート443(またはAccess Gatewayで構成された 任意のポート)上にセキュリティで保護されたトンネルが確立され、認証情報が送信されま す。 トンネルが確立されると、Access GatewayからAccess Gateway Plug-inに構成情報 が送信されます。 構成情報には、保護するネットワークとIPアドレス(アドレスのプールが 有効で構成済みの場合)が含まれます。 保護された接続を介したプライベートネットワー ク宛てトラフィックのトンネル化 Access Gateway Plug-inが起動してユーザーが認証されると、指定したプライベートネット ワーク宛てのすべてのネットワークトラフィックがキャプチャされ、セキュリティで保護さ れたトンネル経由でAccess Gatewayにリダイレクトされます。 Access Gatewayによってユーザーデバイスからのすべてのネットワーク接続がインターセ プトされ、Access GatewayへSSLで多重化/トンネル化して送信されます。 それからトラフッ クが逆多重化され、正しいホストとポートの組み合わせに対して接続が転送されます。 最大 で66個のトンネルが許可されます。 トンネルにはTCP、UDP、または両方の組み合わせを使 用できます。 66個を超えるトンネルが作成されると、ユーザーにエラーメッセージが表示さ れます。 接続は、単一のIPアドレスまたはイントラネット全体に適用する管理上のセキュリティポリ シーに基づいて処理されます。 このようなポリシーは、リモートユーザーがVPN接続を介し てアクセスできるネットワークリソース(IPアドレスの範囲とサブネット)を指定して設定 します。 ユーザー接続の宛先ポートとプロトコルも指定できます。 プロトコルにかかわらず、Access GatewayによってすべてのIPパケットがインターセプト され、保護されたリンクを介して転送されます。 ユーザーデバイス上のローカルアプリケー ションからの接続はセキュリティで保護されたトンネルを介してAccess Gatewayへ送信さ れ、Access Gatewayがこの接続を接続先サーバーへと再確立します。 接続先サーバーでは、 これらの接続はプライベートネットワーク内のローカルのAccess Gatewayからのものであ ると認識され、ユーザーデバイスのIPアドレスは隠蔽されます。 この機能を、逆ネットワー クアドレス変換(Network Address Translation:NAT)ともいいます。 IPアドレスの隠蔽 により、発信場所の情報を保護することができます。 ユーザーデバイスのローカルでは、Access Gateway Plug-inにより、SYN-ACK、PSH、 ACK、およびFINパケットのような接続関連のトラフィックがすべて再作成され、プライベー トネットワーク内のサーバーからのトラフィックのように認識されます。 464 ファイアウォールとプロキシを経由する 接続 次の図に示すように、Access Gateway Plug-inのユーザーが別組織のファイアウォールの内 側から接続する場合があります。 図 1. 標準NATファイアウォールを経由する内部ネットワークへのユーザー接続 NAT(Network Address Translation:ネットワークアドレス変換)ファイアウォールでは、 テーブルを使ってAccess Gatewayからの保護パケットをユーザーデバイスに返送します。 サーキット指向の接続では、Access Gatewayは、ポートをマップする逆NATテーブルを使 用します。 Access Gatewayは、パケットが正しいアプリケーションに変更されるようにこ の逆NATテーブルで接続を照合して、トンネルを介して正しいポート番号でユーザーデバイ スにパケットを返送します。 Access Gatewayでは、HTTPS、Proxy HTTPS、SOCKSなどの業界標準のプロトコルを使 用してトンネルを確立します。 そのため、Access Gatewayはファイアウォールとの親和性 が高く、リモートコンピューターが別組織のファイアウォールの内側にある場合でも、プラ イベートネットワークに問題なくアクセスできます。 たとえば、HTTPプロキシなどの中間プロキシサーバーに対してCONNECT HTTPSコマンド を実行することで、中間プロキシサーバー経由で接続することができます。 中間プロキシサー バーに必要な資格情報は、シングルサインオンで入力された情報を使用するかリモートユー ザーに要求して取得し、中間プロキシサーバーに送信されます。 プロキシによりHTTPSセッ ションが確立されると、セッションのペイロードが暗号化され、Access Gateway宛ての保 護されたパケットがそこに格納されます。 465 保護されたトンネルの終了およびユーザー デバイスへのパケットの返送 Access GatewayはSSLトンネルを終了し、プライベートネットワーク宛てのすべての受信 パケットを受け入れます。 パケットが認証とアクセス制御の条件を満たしていれば、 Access GatewayはパケットのIPヘッダーを再生成して、Access Gatewayのプライベート ネットワークのIPアドレス範囲またはクライアントに割り当てたプライベートIPアドレスか らのパケットに見えるようにします。 この後、Access Gatewayはこのパケットをネットワー クに転送します。 Access Gateway Plug-inは、Access Gatewayにデータを送信するSSLトンネルと、ユーザー デバイスとローカルアプリケーションを結ぶトンネルの2つを維持します。 Access Gateway Plug-inによって、SSLトンネルを通じて受信する暗号化されたデータが解読され、 第2のトンネルを通じてローカルアプリケーションに送信されます。 Wiresharkのようなパケット監視ツールをAccess Gateway Plug-inが動作するユーザーデバ イスで実行すると、ユーザーデバイスとAccess Gatewayの間でやり取りされているように 見える暗号化されていないトラフィックが検出されます。 しかし、この暗号化されていない トラフィックは、ユーザーデバイスとAccess Gatewayの間のトンネルではなく、ローカル アプリケーションへのトンネル内を流れるトラフィックです。 466 Access Gateway Plug-inとCitrix Receiverの統合 更新日: 2012-03-22 Access GatewayはCitrix Receiverをサポートします。 この統合システムは、Citrix Delivery Centerの次のコンポーネントから構成されます。 • Citrix Receiver for Windows 3.0および3.1 • Citrix Online Plug-in • Self-service Plug-in • データセンターの仮想マシンにインストールしたMerchandising Server • Citrix社のWebサイトでホストされるCitrix Update Service Citrix Receiver、Citrix Merchandising Server、およびSelf-service Plug-inによって、効 率的にユーザーデスクトップにアプリケーション配信をインストールし管理することができ ます。 ユーザーはデバイスにReceiverをインストールし、それからインストールするプラグ インを選択します。 XenApp 6.5 for Windows 2008 R2を展開する場合は、Citrix ReceiverによってCitrix Online Plug-inが置き換えられます。 ユーザーがCitrix Receiverをインストールすると、 Access Gateway Plug-inを含め、ユーザーデバイスにインストールされているすべてのプラ グインが自動的にCitrix Receiverに組み込まれます。 ユーザーはCitrix Receiver Updater for Windows 3.0またはCitrix Receiver Updater for Macをインストールできます。これは Citrix Receiver for Windowsおよび以前のバージョンのOnline Plug-inと合わせて使用する、 オプションのソフトウェアクライアントです。 Citrix Receiver Updaterは、 Merchandising Serverと連動する独立したコンポーネントです。ユーザーデバイスまたは XenDesktopを介して仮想デスクトップに、Citrix Receiverおよび関連プラグインを展開し て自動的に更新します。 Citrix ReceiverとCitrix Merchandising Serverは連動して、次の2つの重要な機能を提供し ます。 • • 管理者はMerchandising Serverを使用して、ユーザーデバイス上のプラグインを構成、 配信、およびアップグレードできます。 Citrix Receiverにより、ユーザーデバイス上のCitrixプラグインのすべての運用が管理さ れます。Self-service Plug-inにより、ユーザー用のアプリケーションとサービスのスト アを作成できます。 Self-service Plug-inはCitrix Receiverに完全に統合されています。 Self-service Plug-in用 のReceiverプラグインをMerchandising Serverにロードし、その配信をスケジュールし、 配信をReceiverがインストールされているユーザーデバイスにサイレントにプッシュするこ とができます。 ユーザーがSelf-service Plug-inを開始すると、ユーザーがアクセスを承認 されているすべてのアプリケーションがストアに用意されます。 467 Access Gateway Plug-inとCitrix Receiverの統合 Merchandising Server Administrator ConsoleはMerchandising Serverのインターフェイ スです。管理者はこれを使用して、Citrixアプリケーション(およびアプリケーションプラグ イン)を構成し、ユーザーデバイスへの配信をスケジュールします。 Merchandising Serverは、スケジュールされた日時にプラグインソフトウェアおよびインストール手順をユー ザーにブロードキャストします。 ユーザーは、自分のユーザーデバイスにReceiver for Windowsをインストールするだけです。 いったんReceiver for Windowsをインストールす ると、Merchandising Serverから配信情報が取得され、プラグインがインストールされます。 インストールが完了すると、Receiver for Windowsによってプラグインが正しい順序で開 始されます。そのため、接続サービスが必要なプラグインでそれらのサービスを必ず使用で きます。 ユーザーがAcceleration Plug-inまたはOffline Plug-inをデバイスにインストールする場合は、 デバイスの再起動を促すダイアログボックスが表示される可能性があります。 Access Gatewayの構成により、ユーザーがアプライアンスにログオンするときにAccess Gateway Plug-inでWebブラウザーを開いて、Citrix Receiverのホームページへシングルサ インオンするようにできます。 ユーザーはホームページからCitrix Receiverをダウンロード できます。 プラグインをユーザーデバイスに展開したりアップデートしたりする場合は、 Merchandising ServerとCitrix Receiver for Windowsを使用することをお勧めします。 468 Access Gateway Plug-inのReceiver への追加 更新日: 2012-07-06 Citrix Receiverがユーザーデバイスにインストールされている場合は、ユーザーはReceiver を介してAccess Gateway Plug-inでログオンできます。 Access Gateway Plug-inを Merchandising Serverにアップロードします。Merchandising Serverにより、ユーザーデ バイス上のReceiverにプラグインがダウンロードされインストールされます。 ユーザーが初 めてReceiverをインストールするときにAccess Gateway Plug-inがインストール済みの場 合は、プラグインは自動的にReceiverに追加されます。 ユーザーデバイスへのプラグインの配信 ユーザーデバイスにプラグインを配信するには、Access Gateway Plug-inを Merchandising Serverにアップロードして構成する必要があります。 ユーザーが選択する と、プラグインがMerchandising Serverからダウンロードされインストールされます。 ユーザーがAccess Gateway Plug-inをインストールした後でReceiverをインストールする と、Receiverのインストールの完了時にAccess Gateway Plug-inがReceiverのメニューに 表示されます。 ユーザーがCitrix Receiver for Windows 3.0、3.1、または3.2をインストール済みの場合は、 Receiver Updater for Windowsをインストールできます。 これはオプションのコンポーネ ントで、Merchandising Serverと通信してプラグインをアップデートします。 Receiverに は、Access Gateway Plug-inを含め配信できるすべてのプラグインが含まれます。 Receiver Updater for Windowsについて詳しくは、Citrix eDocsライブラリの「Receiver とPlug-in」を参照してください。 ReceiverでのAccess Gatewayへの接続 ユーザーがReceiver for Windows 3.0または3.1で接続する場合は、通知領域のReceiverア イコンを右クリックして[基本設定]を選択します。 ユーザーがReceiver for 3.2でログオ ンする場合は、Receiverアイコンを右クリックして[バージョン情報]を選択します。 ユー ザーデバイスにAccess Gateway Plug-inがインストールされている場合は、ユーザーは Access Gateway Plug-inを右クリックして[ログオン]を選択します。 認証に成功すると、 Access Gateway Plug-inによってAccess Gatewayへの接続が確立し、完全なVPNトンネル が確立されます。 Access GatewayのWebアドレスはMerchandising Serverで構成するメタデータの一部であ り、ユーザーはアドレスを変更できません。 Access Gateway Plug-inによりAccess Gatewayへのログオンが開始されます。 ユーザーデバイスにインストールされている Access Gateway Plug-in for WindowsのバージョンがAccess Gatewayアプライアンス上 のバージョンと異なる場合は、ユーザーのログオン時に自動的にダウングレードまたはアッ プグレードされます。 Access Gateway Plug-in for Mac OS Xは自動的にダウングレードさ れません。 Macコンピューターに以前のバージョンのプラグインをインストールするには、 469 Access Gateway Plug-inのReceiverへの追加 ユーザーがまずAccess Gateway Plug-inをアンインストールする必要があります。その後で、 以前のバージョンをAccess Gatewayからダウンロードします。 Access Gateway Plug-inのアップグレード またはダウングレード Access Gateway Plug-inのアップグレードまたはダウングレード時には、既存のバージョン が削除され、Access Gatewayからダウンロードされたバージョンがインストールされます。 Citrix Receiver 3.0または3.0で[基本設定]>[プラグインの状態]の順に選択してプラ グインのエントリを確認することで、新しくインストールされたバージョンを確認できます。 Merchandising Serverで構成されているバージョンと異なるAccess Gateway Plug-inが、 新しくインストールされる可能性があります。 Access Gateway Plug-inの Merchandising Serverへの追加 Access Gateway Plug-inの配信をMerchandising Serverに構成することもできます。 Merchandising ServerにはWeb構成インターフェイスがあり、Access Gateway Plug-inの MSIインストールパッケージをアップロードできます。 Merchandising Serverでは次の作 業ができます。 • Access Gateway Plug-inのバージョンとメタデータを指定する。 • Access GatewayアプライアンスのWebアドレスを1つ以上構成する。 • オペレーティングシステムまたは配信のそのほかのパラメーターに基づいて、特定の規 則を関連付ける。 注: ユーザーは、[ネットワーク設定]パネルで構成する一覧で別のサーバーを選択でき ますが、Merchandising Serverで構成するサーバー一覧にサーバーを追加したり削除した りすることはできません。 アクセスシナリオフォールバックまたは負荷分散を使用する場合は、Access Gatewayの Webアドレスの固定のセットを構成して、Merchandising Serverをデフォルトアドレスに 指定できます。 ユーザーがReceiverメニューの[ログオン]を選択すると、デフォルトのサー バーに接続します。 Receiver 3.0または3.1では[基本設定]>[ネットワーク設定]パネ ルを使用して、提供される一覧から別のアドレスを選択できます。 Receiver 3.2では[バー ジョン情報]パネルを使用して、別のアドレスを選択できます。 ユーザーは引き続き、Webブラウザーを使用してAccess Gatewayにログオンできます。 Access Gateway Plug-inをMerchandising Serverに追加する手順の概要は、次のとおりで す。 特定の構成手順については、Citrix eDocsライブラリの「ReceiverとPlug-in」の「 Merchandising Server」を参照してください。 • Merchandising Server Administrator Consoleの[General]タブで設定を構成します。 • Access Gateway Plug-inをMerchandising Serverに追加します。 対象のプラットフォームに適切なプラグインバージョンを選択します。 Access Gateway Plug-inが[Add Plug-ins to Delivery]ページに表示されるようにするには、 470 Access Gateway Plug-inのReceiverへの追加 プラグインをMerchandising Serverのメインページに追加する必要があります。 • Access Gateway Plug-inの配信を構成します。 Access GatewayのWebアドレスを特定する場所にフレンドリ名を付けます。 この名前 がReceiverに表示されます。 追加のAccess Gatewayアプライアンスを追加することも できます。 • • 認証の種類を指定して、ユーザー名、パスワード、暗証番号など、Receiverのログオン ダイアログボックスに表示される特定のラベルをカスタマイズします。 配信の規則を追加します。 規則が[Add Rule to Delivery]ページに表示されるようにするには、規則を作成する 必要があります。 • 配信をスケジュールします。 Receiverのアンインストール ユーザーが個別のプラグインをユーザーデバイスからアンインストールせずにReceiverをア ンインストールすると、Access Gateway Plug-inを含め、Receiverに登録されているすべ てのプラグインがユーザーデバイスから削除されます。 ユーザーがAccess Gateway Plug-inでログオンするには、プラグインをスタンドアロンのアプリケーションとしてインス トールする必要があります。 471 XenApp Servicesサイトによる XenApp接続の構成 更新日: 2012-05-02 Web InterfaceのXenApp Servicesサイトに対応するCitrix ReceiverまたはReceiver for Mobile Devicesを使用してユーザーが接続できるように、Access Gateway 5.0.2以降を構 成することができます。 これを行うため、XenApp Servicesサイトを使用するようにWeb Interfaceを構成します。 次にAccess Gatewayで基本ログオンポイントを作成して、認証に Web Interfaceを使用するようにこのログオンポイントを構成します。 ユーザーがログオン すると、コンピューターのデスクトップまたはモバイルデバイスから直接公開アプリケーショ ンを起動できます。 ユーザーにこの種類のアクセスを提供するための基本的な手順は次のと おりです。 • • • • Web InterfaceでXenApp Servicesサイトを作成して、FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)、STA(Secure Ticket Authority)、およびア クセス方法を設定します。 詳しくは、「XenApp Servicesサイトを使用するための Access Gatewayの構成」を参照してください。 Access Gatewayで基本ログオンポイントを作成して、認証にWeb Interfaceを使用する ようにこのログオンポイントを構成します。 詳しくは、「Access Gatewayで基本ログ オンポイントを構成するには」を参照してください。 基本ログオンポイントで、XenApp Servicesサイトをホームページに設定します。 ホー ムページを構成するときにconfig.xmlファイルのフルパスを入力します。 たとえば、「 <Web Interfaceサーバー名>/citrix/pnagent/config.xml」と入力します。 Access GatewayでSTAおよびICAアクセス制御一覧を構成します。 詳しくは、「 Secure Ticket Authorityを使用するようにAccess Gatewayアプライアンスを構成する には」および「ICAアクセスの制御をAccess Gatewayアプライアンスで構成するには」 を参照してください。 ユーザーがデフォルトのログオンポイントにログオンする場合は、Webブラウザーのアドレ スバーにAccess GatewayのFQDNを入力するだけで済みます。 ユーザーがデフォルトのロ グオンポイントにログオンしない場合は、Access GatewayのFQDNに加えてログオンポイ ントのフルパスも入力する必要があります。 たとえば、ユーザーは「 https://AccessGatewayFQDN/lp/<■■■■■■■■■>」と入力します。 XenApp Servicesサイトを使用するようにWeb Interfaceを構成する前に、次のことを考慮 してください。 重要: • • 472 XenApp Servicesサイトを使用するようにWeb Interfaceを構成する場合は、ユーザー がログオンすると認証のためにその資格情報がXenApp Servicesサイトに送信されます。 Access Gatewayではユーザーを認証しません。 XenApp Servicesサイトを使用する場 合は、DMZにWeb Interfaceを配置することをお勧めします。 モバイルデバイスでAccess Gateway 5.0を経由してXenApp Servicesサイトにアクセ スできるようにするには、少なくともAccess Gateway 5.0.2をインストールする必要が XenApp ServicesサイトによるXenApp接続の構成 あります。 • • • • • Access Gateway 5.0ではReceiver for Android 2.xまたはReceiver for iPad 4.2以降の みがサポートされます。 Access Gateway 5.0には、Web Interfaceのみを使用できま す。 Access Gateway 5.0.2および5.0.3では、Receiver for Android 2.x、Receiver for iPad 4.2、およびReceiver for iOS 5.0によるWeb InterfaceまたはXenApp Servicesサ イトへの接続がサポートされます。 Web Interfaceを使用する場合は「Receiver for Mobile Devices」でお使いのモバイル デバイスのAccess Gatewayの構成トピックを参照し、手順に従って作業します。 XenApp Servicesサイトを使用する場合は、このトピックの手順に従ってください。 XenApp Servicesサイトを使用する場合は、1要素認証のみがサポートされます。 Web Interfaceを使用する場合は、1要素認証と2要素認証の両方がサポートされます。 組み込まれているすべてのWebブラウザーでサポートされる、Web Interface 5.4を使 用する必要があります。 XenApp Servicesサイトを構成する場合は、ユーザーがログオンすると、モバイルデバイス から直接公開アプリケーションを起動できます。 XenApp Servicesサイトに接続するように Access Gatewayを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ほかと重複 しないログオンポイントの名前を入力します。 5. [Type]ボックスの一覧から[Basic]を選択します。 6. [Authenticate with Web Interface]チェックボックスをオンにします。 7. [Web Interface]ボックスにXenApp Servicesサイトのconfig.xmlファイルのフルパ スを入力して、[Save]をクリックします。 473 Access Gatewayアプライアンスでのユー ザー接続のグローバル設定の定義 Access Gateway Management Consoleで、ユーザー接続設定をグローバルに構成できま す。 Windows資格情報でのシングルサインオン、分割トンネリング、分割DNS、およびセッ ションのタイムアウトなどのオプションを構成できます。 オプションの一部はスマートグループの[Advanced Options]でも構成できます。 スマー トグループでの設定はグローバルオプションより優先されます。 さらに、セッションタイム アウトはログオンポイントとスマートグループで構成できます。 ログオンポイントでのセッ ションのタイムアウト設定は、グローバル設定より優先されます。 スマートグループでのセッ ションのタイムアウト設定は、グローバル設定およびログオンポイントの設定より優先され ます。 474 Windows資格情報でのシングルサイン オンを構成するには 通常、ユーザーはAccess Gateway Plug-inを起動してAccess Gatewayへの接続を開きます。 Windows資格情報でのシングルサインオンを有効にすることによって、Windowsにログオ ンしたときにAccess Gateway Plug-inが自動的に起動するように指定できます。 シングル サインオンを構成すると、ユーザーのWindowsログオン資格情報が認証のためAccess Gatewayに渡されます。 ユーザーが組織のドメインにログオンする場合にのみ、シングルサインオンを有効にします。 Access Gateway Plug-inのシングルサインオンを有効にすると、インストールスクリプトの 実行などのユーザーデバイスでの処理が簡単になります。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Client Options]で[Single sign-on with Windows]チェックボックスをオンにします。 4. [Save]をクリックします。 注: Access Gatewayで2要素認証を構成する場合は、シングルサインオンを使用できま せん。 475 Access Gatewayで分割トンネリングを 有効にするには 分割トンネリングを有効にして、Access Gateway Plug-inがAccess Gatewayに不必要なネッ トワークトラフィックを送信するのを防ぐことができます。 分割トンネリングが無効な場合、Access Gateway Plug-inはユーザーデバイスからのすべて のネットワークトラフィックを取得して、VPNトンネルを介してAccess Gatewayに送信し ます。 分割トンネリングが有効な場合、Access Gateway Plug-inは、Access Gatewayにより保護 されるネットワークへのトラフィックのみをVPNトンネルを介して送信します。 保護されて いないネットワークへのネットワークトラフィックは、Access Gatewayに送信されません。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Client Options]で[Enable split tunneling]チェックボックスをオンにします。 4. [Save]をクリックします。 476 ネットワーク接続の中断またはシステム の再開後にユーザーを認証するには デフォルトでは、ユーザーのネットワーク接続が一時的に中断された場合でも接続の回復後 にユーザーが再ログオンする必要はありませんが、 コンピューターがスタンバイ状態や休止 状態から復帰したときや、別の無線ネットワークへの切り替えや強制切断によって接続が一 時的に中断されたときに、ユーザーに再ログオンを求めるように設定することができます。 注: アプライアンスのフェールオーバーペアがあり、フェールオーバーが発生すると、 Access Gateway Plug-inからの接続は自動的に終了し、修復されます。 ユーザーは再度 ログオンする必要があります。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Client Options]で次のチェックボッ クスの一方または両方をオンにします。 • Authenticate after network interruption: ネットワーク切断が一時的に中断され たときに、ユーザーに再ログオンを求めます。 Authenticate after system resume: ユーザーのコンピューターがスタンバイ状態 や休止状態から復帰したときに、ユーザーに再ログオンを求めます。 このオプショ ンを選択すると、ユーザーが離席した場合のコンピューターをセキュリティで保護す ることができます。 4. [Save]をクリックします。 • 477 分割DNSを有効にするには 分割DNSを有効にすると、Access Gatewayに構成されているDNSサフィックスとユーザー がアクセスしようとするWebサイトが一致する場合、DNS接続がアプライアンスを経由して 送信されます。 一致しない場合は、DNS接続はアプライアンスを経由して送信されず、ユー ザーデバイスに構成されているローカルDNSサーバーを経由して送信されます。 ユーザーは この設定を[スタート]メニューから開く[Citrix Access Gatewayオプション]ダイアロ グボックスで上書きできます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Client Options]で[Enable split DNS]チェックボックスをオンにします。 4. [Save]をクリックします。 指定するDNSサーバーから否定応答が戻されても、Access GatewayによってローカルDNS サーバーにフェールオーバーされることはありません。 478 Access Gateway Plug-inのセッション タイムアウトの有効化 ユーザーがAccess Gateway Plug-inからAccess Gatewayに接続した後、一定の時間まった く操作が行われない場合は接続を切断するように構成できます。 セッションが終了すると、 ユーザーは再度ログオンする必要があります。 Access Gatewayにタイムアウト設定を構成するときは、有効にする範囲をログオンポイン ト、スマートグループ、またはグローバルに設定できます。 ログオンポイントのタイムアウ ト設定はグローバルな設定より優先されます。 スマートグループのタイムアウト設定はログ オンポイントの設定とグローバルな設定より優先されます。 次の3つのタイムアウト設定を有効にできます。 • • • 非アクティブなユーザーのタイムアウト: 指定した時間、Access Gatewayでユーザー デバイスのキーボードとマウスの動作が検出されないと、セッションがタイムアウトに なります。 グローバルなタイムアウト設定のデフォルト値は30分です。 ログオンポイ ントでこの値を0に設定すると、設定が無効になります。 マウスとキーボードを監視す るにはAccess Gateway Plug-inが必要です。 非アクティブなネットワーク活動のタイムアウト: 指定した時間、Access Gatewayで ネットワークトラフィックが検出されないと、セッションがタイムアウトになります。 グローバルな設定のデフォルト値は30分です。 ログオンポイントでこの値を0に設定す ると、設定が無効になります。 ネットワーク活動を監視するにはAccess Gateway Plug-inが必要です。 セッションのタイムアウト: 指定した時間が過ぎると、ユーザーが何を行っているかに 関係なく、接続が切断されます。 ユーザーが切断を中止することはできません。 ユーザー には、セッションがタイムアウトする(切断される)1分前に、セッションが終了すると いうメッセージが表示されます。 グローバルな設定のデフォルト値は30分です。 この 設定は無効にできません。 最小値は1分です。 複数のタイムアウト設定を有効にした場合は、そのうちの1つがタイムアウトになった時点 で接続が終了します。 479 Access Gateway Plug-inのセッションタイムアウトの有効化 Access Gateway Plug-inのセッションタイ ムアウトを有効にするには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの、[Time-Out Options]の次のボッ クスに、タイムアウトの時間を分単位で入力します。 • User inactivity(非アクティブなユーザーのタイムアウト) • Network inactivity(非アクティブなネットワーク活動のタイムアウト) • Session time-out(セッションのタイムアウト) 注: デフォルトでは、すべてのタイムアウトオプションが有効で、30分に設定されて います。 1から10008の間の値を入力して、タイムアウト期間を分単位で指定できま す。 非アクティブなユーザーと非アクティブなネットワーク活動のタイムアウトは、 0を入力することによって無効にできます。 0を入力した場合はセッションのタイムア ウトはアクティブにならず、この設定によりクライアント接続が影響を受けることは ありません。 4. [Save]をクリックします。 480 マルチストリームICA接続の有効化 更新日: 2012-08-17 マルチストリームICA機能により、同じセッション内で複数のICAストリームを区切ることが できます。 マルチストリームICAにより、セッションの信頼性を高めるためのさまざまな種 類のトラフィックに基づいて、単一のTCP接続を複数のストリームに区切ることができます。 ユーザーがログオンしてAccess Gatewayによりセッションが認証されるとき、最初のICA ストリームによってポート2598上のTCPストリームが1つ使用されます。これがプライマリ ストリームです。 プライマリストリームが確立された後で、さらに3つのストリームが確立 されます。 合計で4つのストリームのうち、画像、音声、印刷のそれぞれに1つのストリーム が割り当てられ、残りの1つでTCPポートの制御が行われます。 マルチストリームICAをサポートするCitrix Branch RepeaterでICAトラフィックの優先度付 けをしたり、TCP QoS(Quality of Service:サービスの品質)をサポートするルーターを 使用したりすることもできます。 マルチストリームICA接続を有効にするには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Access Gateway Settings]で[ Multi-stream ICA]を選択します。 4. [Save]をクリックします。 481 ユーザー接続を閉じるには セキュリティのために、ユーザーがAccess Gatewayにログオンするときに、ほかのネット ワークへの既存の接続を閉じるようにAccess Gateway Plug-inを構成できます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Client Options]で[Close existing connections]チェックボックスをオンにします。 4. [Save]をクリックします。 482 Access ControllerでのAccess Gateway Plug-in設定の構成 Access Gateway Plug-in設定をAccess Controllerで構成して、Access Gateway Plug-inを 展開します。 Access GatewayとAccess Gateway Plug-inの相互作用を制御するための設 定を構成して、接続ポリシーの作成、分割トンネリングの有効化、以前のバージョンの Access Gateway Plug-inの実行の許可、アプリケーションの高速化をサポートするための Citrix Branch Repeaterの使用の有効化を設定できます。 接続ポリシーの作成 接続ポリシーを構成して、Access Gateway Plug-inの接続を制御します。 Access Gateway Plug-inを使用してネットワーク上のリソースへの接続を確立するようにAccess Gatewayを構成したら、接続ポリシーを作成してこれらの接続を制御します。 分割トンネリングの有効化 分割トンネリングを有効にすると、インターネットリソースと内部ネットワークリソースの 両方に、ユーザーデバイスから同時に通信できるようになります。 分割トンネリングを有効にすると、Access Gateway Plug-inからAccess Gatewayに不必要 なネットワークトラフィックが送信されなくなります。 プラグインにより、Access Gatewayの保護するネットワークへのトラフィックのみがVPNトンネルを介して送信されま す。 保護されていないネットワークへのネットワークトラフィックは、Access Gatewayに 送信されません。 分割トンネリングにより、インターネットまたは内部ネットワーク上のリ ソースにユーザーがアクセスするときに、クライアント接続の効率を向上させることができ ます。 分割トンネリングが無効な場合は、ユーザーデバイスから発信されるすべてのネットワーク トラフィックが、公共のインターネットWebサイトへのトラフィックも含め、Access Gateway Plug-inによってVPNトンネルを経由してAccess Gatewayに送信されます。 Branch Repeaterの使用によるアプリケーショ ンの高速化 ユーザーがAccess Gateway Plug-inを使用してログオンするとき、Repeater Plug-inによっ て接続を最適化することができます。 Repeater Plug-inを有効にすると、Access Gateway を介してネットワークトラフィックが圧縮され、高速化されます。 483 Access ControllerでのAccess Gateway Plug-in設定の構成 以前のバージョンのAccess Gateway Plug-inの許可 以前のバージョンのAccess Gateway Plug-inからの接続を受け入れるようにAccess Gatewayアプライアンスを構成できます。 エンドポイント解析スキャンの有効化 エンドポイント解析スキャンは、ログオンポイントに関連付けられたポリシーに基づいて、 実施する必要があるかどうかが決定されます。 スキャンを実施する必要がある場合、 Endpoint Analysis Plug-inがユーザーデバイス上に存在するかどうかが検出されます。 Endpoint Analysis Plug-inがユーザーデバイスに検出された場合は、Endpoint Analysis Plug-inは適切なスキャンを実行します。 ただし、プラグインが検出されない場合は Endpoint Analysis Plug-inが自動的にダウンロードされインストールされます。 ユーザーデバイスへのEndpoint Analysis Plug-inのインストールとスキャンをユーザーが拒 否した場合は、スキャンに関連付けられているポリシーが拒否された場合に適用されるレベ ルのアクセス権が、ユーザーに与えられます。 そのため、アクセス権が限定されるか、また はまったくアクセスできない可能性があります。 注: エンドポイント解析はWindowsベースのコンピューターでのみサポートされます。 詳しくは、「ユーザーデバイスの要件の検証」を参照してください。 484 接続ポリシーの作成 接続ポリシーによって、Access Gateway Plug-inを使用する接続が制御されます。 接続ポ リシーを作成するときは、ポリシーのフィルターも作成できます。 既存のフィルターを使用 するか、フィルターを作成するか、または既存のフィルターを変更できます。 詳しくは、「 ポリシーフィルターの作成」を参照してください。 485 接続ポリシーの作成 接続ポリシーを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[ポリシー] > [接続ポリシー]の順に展開し、[共通のタスク] の[接続ポリシーの作成]をクリックします。 3. [ポリシーの定義]ページの[ポリシー名]ボックスおよび[説明]ボックスに、ポリ シーの名前と説明を入力します。 4. [ポリシー設定の構成]ページの[設定]ボックスの一覧から、構成する設定を選択し ます。 適用する接続設定を構成するには、各設定を選択して、その設定を許可または拒 否するために[接続でこの設定を有効にする]の[はい]または[いいえ]をクリック します。 次の設定から選択して[次へ]をクリックします。 • • • システムの再開後に認証する:ユーザーデバイスがスタンバイ状態や休止状態になっ た後は、認証処理を実行します。 ネットワークの中断後に認証する:ネットワーク接続が中断した後は、認証処理を実 行します。 分割DNSを有効にする:リモートDNSが使用できない場合は、ユーザーのローカル DNSへフェールオーバーすることを許可します。 デフォルトでは、Access GatewayはユーザーのリモートDNSだけをチェックします。 ログオンスクリプトを実行する:接続が確立されたときに、Windowsのログオンス クリプトを実行します。 5. ユーザーデバイスに固有のIPアドレスを割り当てる場合は、アドレスのエイリアスを割 り当てるためのアドレスプールを追加して定義します。 [アドレスプールの定義]ペー ジで[新規]をクリックして、各アドレスプールを追加します。 アドレスプールを構成 するには、Access Controllerに少なくとも1台のAccess Gatewayアプライアンスが必 要です。 • • [Access Gateway]ボックスでAccess Gatewayアプライアンスを選択します。 • [開始IPアドレス]ボックスに、IPアドレスを入力します。 • • • • [IPアドレスの数]ボックスに、アドレスプールで使用するIPアドレスの数を入力し ます。 デフォルトのゲートウェイを使用する場合は、[ゲートウェイ]ボックスにデフォル トのゲートウェイのIPアドレスを入力します。 デフォルトのゲートウェイを使用し ない場合は、このボックスは空白にして構いません。 各IPアドレスの範囲には、有効かつネットワーク上で使用されていないものを指定す る必要があります。 割り当ての競合を避けるため、重複しないIPアドレスの範囲を各Access Gatewayア プライアンスに確実に構成してください。 同じIPアドレスの範囲を複数のアプライ アンスに割り当てないでください。 注: アドレスプールを追加する場合は、アドレスプールを使用できるようにする ために、クラスター内の各Access Gatewayアプライアンスを再起動する必要があ ります。 アプライアンスを再起動しやすい時間帯にアドレスプールの構成作業を 486 接続ポリシーの作成 行うことをお勧めします。 6. [フィルターの選択]ページで、ポリシーを適用するために満たす必要のある条件が定 義されているフィルターを選択します。 7. [ユーザーまたはグループの選択]ページで、ポリシーを適用するユーザーおよびユー ザーグループを選択し、[完了]をクリックします。 次のいずれかを選択できます。 • • このポリシーをすべての認証されたユーザーに適用する: Access Gatewayに正常 に接続するすべてのユーザーに、ポリシーが適用されます。 選択した認証プロファイルからユーザーまたはグループを選択する: Active Directory、LDAP、またはRADIUSサーバーで認証されるユーザーに、ポリシーが適 用されます。 接続ポリシーの優先度を設定するには 複数の接続ポリシーが同じユーザーに適用される可能性があるため、接続ポリシーの優先度 を設定することができます。 優先度が上のポリシーの設定が、優先度が下のポリシーの設定 より優先されます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで[接続ポリシー]を選択し、[共通のタスク]の[接続ポリシーの 優先度の設定]をクリックします。 3. ポリシーを選択し、矢印ボタンを使用して一覧内での位置を移動します。 最も優先度が 高いポリシーが、一覧の最上位に表示されるように設定します。 487 Access Controllerでの分割トンネリン グの有効化 分割トンネリングを有効にして、Access Gateway Plug-inがAccess Gatewayに不必要なネッ トワークトラフィックを送信するのを防ぐことができます。 分割トンネリングが無効な場合、Access Gateway Plug-inはユーザーデバイスからのすべて のネットワークトラフィックを取得して、VPNトンネルを介してAccess Gatewayアプライ アンスに送信します。 分割トンネリングが有効な場合、Access Gateway Plug-inはAccess Gatewayを経由する安 全なネットワークへのトラフィックのみを、VPNトンネルを介して送信します。 インターネッ トなどの公衆ネットワークへのネットワークトラフィックは送信されません。 注: ユーザーがCitrix XenAppのOnline Plug-inを使用して公開アプリケーションまたは 公開デスクトップに接続する場合は、分割トンネリングを構成する必要はありません。 分割トンネリングを構成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、構成したいAccess Controllerクラスターの順に展開し、[Access Gatewayアプライアンス]を選択します。 3. [共通のタスク]の[Access Gatewayアプライアンスのプロパティの編集]をクリッ クします。 4. [Access Gatewayアプライアンス - グローバルプロパティ]ダイアログボックスで[ プラグインプロパティ]をクリックして、[分割トンネリングを有効にする]チェック ボックスをオンにします。 5. [OK]をクリックします。 488 Repeater Plug-inを有効にするには Access GatewayとCitrix Branch Repeaterを連動させ、アプリケーションを高速化するこ とができます。 Branch Repeaterにより、CIFS(Common Internet File System)および HTTP接続などのAccess Gatewayを経由するトラフィックが拡張され高速化されます。 Access GatewayはDMZ(Demilitarized Zone:非武装地帯)にインストールし、Branch RepeaterアプライアンスはAccess Gatewayの後方のセキュリティで保護されたネットワー クにインストールします。 ユーザーはAccess GatewayアプライアンスとBranch Repeater を経由して、保護されたネットワーク内のリソースに接続します。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、構成したいAccess Controllerクラスターの順に展開し、[Access Gatewayアプライアンス]を選択します。 3. [共通のタスク]の[Access Gatewayアプライアンスのプロパティの編集]をクリッ クします。 4. [Access Gatewayアプライアンス - グローバルプロパティ]ダイアログボックスで[ プラグインプロパティ]をクリックして、[高速化のためにRepeaterを使用する]チェッ クボックスをオンにします。 5. [OK]をクリックします。 489 ネットワーク全体に対するアクセスの付 与 「ネットワーク全体」リソースは、セキュリティで保護されているネットワーク内のすべて の使用できるサーバーとサービスを表します。 Access Controllerでポリシーを設定してこ のリソースへの接続とアクセスを許可する場合は、Access Gateway Plug-inのユーザーはユー ザーデバイスとネットワークの間に作成されるSSL仮想プライベートネットワークトンネル を経由して、これらのサーバーとサービスにアクセスできます。 「ネットワーク全体」リソー スは組み込みのネットワークリソースであり、プロパティを編集したり削除したりすること はできません。 「ネットワーク全体」リソースにアクセスできる条件を制御するには、ほか のすべての種類のリソースの場合と同様にデリバリーサービスコンソールでアクセスポリシー を作成する必要があります。 「ネットワーク全体」リソースを使用すれば、次のことを実行できます。 • • • 展開をすばやくセットアップし、アクセスをテストする。 障害回復や緊急時の運用のために幅広いアクセス権が必要な管理者など、特別な部類の ユーザーに無制限のアクセスを提供する。 デフォルトで自由なアクセスを提供し、その後で、セキュリティ計画に従って特定のリ ソースへのアクセスを拒否するポリシーを開発する。 ネットワーク全体に対してアクセスを付与するための手順の概要は、次のとおりです。 1. 「ネットワーク全体」リソースのアクセスポリシーを作成し、選択したユーザーにアク セスを許可します。 2. 接続ポリシーを作成し、ユーザーに接続を許可します。 3. 適用する条件または要件に従って、ポリシーをフィルターします。 「ネットワーク全体」リソースにはネットワーク内のすべての使用できるサーバーとサービ スが含まれるため、意図する条件下でだけこのリソースへのアクセスを許可するように注意 してください。 このリソースへのアクセス権のレベルは強力です。 490 Microsoft Windowsインストーラー( MSI)パッケージを使用したAccess Gateway Plug-inのインストール MSIパッケージを使用して、ユーザーデバイスにAccess Gateway Plug-inをインストールで きます。 Access Gateway Plug-inはコンピューターごとに(per-computer basisで)イン ストールされます。 パッケージを作成するとき、管理者特権で実行するインストールを指定 できます。これにより、管理者権限のないユーザーがプラグインをインストールできるよう になります。 Access GatewayアプライアンスからCitrixAGP.exeをダウンロードしてパッケージを作成で きます。 実行可能ファイルをダウンロードしたら、ファイルを実行してMSIファイルを自動 的に展開しインストールすることができます。 MSIパッケージをダウンロードしてインストー ルするには 1. Webブラウザーで、https://AccessGatewayFQDN/CitrixAGP.exeにアクセスします。 ここで、AccessGatewayFQDNは、Access GatewayのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)です。 2. [保存]をクリックしてファイルをコンピューターに保存します。 3. CitrixAGP.exeをダブルクリックして展開し、MSIファイルをインストールします。 ユーザーデバイスの管理者権限を持たないユーザーにMSIファイルを配布する方法は2つあり ます。 • • 491 Active Directoryのグループポリシー(または同様のツール)を使用して、ユーザーデバ イスへのパッケージのインストールをプッシュする。 インストールパッケージをユーザーデバイスにアドバタイズする。 グループポリシーを使用したMSIパッケー ジのインストール Microsoft Active Directoryのドメインサービスに内部ネットワークから接続するユーザーに は、Access Gateway Plug-inのダウンロードとインストールにグループポリシー機能を使用 できます。 グループポリシーのソフトウェアインストール機能により、ユーザーデバイスが ドメインに接続したときに、Access Gateway Plug-inが自動的にインストールまたはアップ グレードされます。 グループポリシーを使用してMSIパッケージをインストールする手順は、パッケージをアド バタイズする手順と同様です。 CitrixAGP.exeパッケージからファイルを展開する必要があ ります。 デフォルトのインストール構成を変更する必要がある場合は、管理者用インストー ルを実行して管理者用イメージを作成します。 元のMSIパッケージか管理者用イメージを共 有ネットワークの場所に配置します。 グループポリシーを使用してパッケージをコンピュー ターに割り当て、共有ネットワークの場所を参照します。 グループポリシーを使用してAccess Gateway Plug-inを展開するには 1. Windowsサーバーに一時ディレクトリを作成して開きます。 2. コマンドプロンプトでCitrixAGP -extractと入力して、手順1.で作成したディレクト リにMSIファイルと関連ファイルを展開します。 3. グループポリシーを使用してMSIおよび適切なファイルを公開します。 492 アドバタイズを使用したMSIパッケージ のインストール プラグインのインストールをアドバタイズするには、CAGSE.MSIファイルと*.MSTファイ ルを展開する必要があります。 イメージを作成するとき、イメージのパスと言語を指定する 必要があります。 msiexecコマンドにスイッチを指定してパッケージをアドバタイズします。 Windowsインストーラーでは、アドバタイズされたファイルパスのみを信頼すべきものとみ なします。 ユーザーがCDまたはアドバタイズされたパスと異なるローカルパスから CAGSE.MSIをインストールしようとしても、インストールに失敗します。 MSIファイルとMSTファイルを展開して管理 者用イメージを作成するには 1. コマンドプロンプトで次のように入力します。 CitrixAGP -extract このコマンドにより、CitrixAGP.exeのあるサーバー共有上のフォルダーにファイルが展 開されます。 Access Gateway Plug-inを展開してインストールするには、次のように 入力します。 CitrixAGP 2. カスタム構成の管理者用イメージを作成するには、コマンドプロンプトで次のように入 力します。 msiexec /a CAGSE.MSI 3. イメージが作成されたら、ユーザーデバイス上のすべてのユーザーに製品をアドバタイ ズします。 これを行うには、ユーザーデバイスのコマンドプロンプトで次のように入力 します。 misexec /jm <管理者用イメージのパス>\CAGSE.MSI このコマンドにより、Access Gateway Plug-inがアドバタイズされますが、ユーザーデ バイスにインストールされることはありません。 プラグインはインストールされたよう に見え、[プログラムと機能]および[スタート]メニューにエントリが追加されます。 ただし、ユーザーデバイスにコピーされるファイルはありません。 4. Access Gateway Plug-inをインストールするには、コマンドプロンプトで次のように入 力します。 msiexec /I <管理者用イメージのパス>\CAGSE.MSI [スタート]メニューのエントリをクリックしてインストールを始めることもできます。 493 アドバタイズを使用したMSIパッケージのインストール 上記の手順は、ユーザーデバイスに初めてAccess Gateway Plug-inをインストールするとき の手順です。 プラグインのアップグレードを使用できるようになったときは、ファイル共有上のパッケー ジをアップグレードできます。 ユーザーがAccess Gatewayに接続したときに共有に移動し、 cagsetup.exeを実行してアップグレードできます。 Access Gateway Plug-inによりログオンスクリプトが実行される場合は、スクリプトでアッ プグレードを確認し、プラグインをインストールすることができます。 また、電子メールで ユーザーにアップグレードが使用できるようになったことを知らせ、アップデートされた cagsetup.exe、MSI、およびMSTファイルのあるファイル共有へのリンクを提供することも できます。 494 Access Gatewayとネットワークリソー スへの接続 ユーザーはWebブラウザーからログオンしてAccess Gateway Plug-inをダウンロードして から、接続を確立できます。 ユーザーはAccess GatewayのWebアドレスを入力してから、 ログオンのための資格情報を入力します。 認証が完了したら、Access Gateway Plug-inを ダウンロードして接続を確立できます。 重要: Internet Explorerのセキュリティ設定を[高]に構成すると、Access Gatewayへ のログオン時にログオンページが開きません。 この場合は、Access GatewayのWebアド レスを[信頼済みサイト]の一覧に追加する必要があります。 Access Gatewayアプライアンスのみを展開する場合は、ユーザーがログオンするとWebペー ジに錠前アイコンが表示されます。 ユーザーが初めてログオンする場合は、アイコンをクリッ クするとダウンロードページが開きます。 ユーザーは[ダウンロード]をクリックして Access Gateway Plug-inをインストールします。 ユーザーはインストールの後でこのアイ コンのページに戻り、アイコンをクリックして接続を確立します。 Access Controllerが展開に含まれる場合は、ユーザーがログオンするとアクセスインターフェ イスが開きます。 ユーザーが[ネットワークに接続]をクリックすると、ダウンロードペー ジが開きます。 ユーザーはプラグインをダウンロードしてインストールした後でアクセスイ ンターフェイスに戻り、[ネットワークに接続]を再度クリックして接続を確立します。 Access Controllerが展開に含まれる場合は、デフォルトのホームページはアクセスインター フェイスです。 Access Gatewayに2要素認証を構成する場合は、ユーザーはユーザー名と認証の種類ごとの パスワードを入力します。 たとえば、ユーザーがLDAP認証とRSA SecurIDを使用するよう に構成すると、ユーザーはパスワード、RSA SecurIDの暗証番号、およびRSA SecurIDコー ドを入力します。 ユーザーのために別のホームページを構成することもできます。 Web Interface、 SharePoint 2007、Outlook Web Access、Outlook Web App、またはカスタムホームペー ジがホームページである可能性があります。 Access Gateway Plug-inをこれらのホームペー ジと共に使用する場合は、Microsoftインストーラーパッケージ(MSI)を使用してプラグイ ンをインストールすることをお勧めします。 詳しくは、「Microsoft Windowsインストーラー (MSI)パッケージを使用したAccess Gateway Plug-inのインストール」を参照してくださ い。 重要: ユーザーデバイスが接続できるように、Access Gatewayにネットワークリソース を構成する必要があります。 セキュリティポリシーに基づいてリソースへのアクセス権が与えられるので、ユーザーは、 ローカルにログオンしたときと同様の感覚でリモートシステムで作業できます。 たとえばユー ザーは、インスタントメッセージングやビデオ会議などの、Web、クライアントサーバー、 およびピアツーピアアプリケーションを使用できます。 ネットワークリソースへのアクセス は、Access Gatewayアプライアンス上のスマートグループまたはAccess Controllerのポリ シーの設定により許可または拒否されます。 Access Gateway Management ConsoleでWindows資格情報でのシングルサインオンを有 効にすると、ユーザーはWindowsにログオンするときに自動的にAccess Gateway Plug-in 495 Access Gatewayとネットワークリソースへの接続 でもログオンできます。 これにより、ネットワーク上のリソースに完全にアクセスできます。 Windows資格情報でのシングルサインオンは、LDAP認証またはRADIUS認証と共に ActiveDirectoryを使用する場合にのみ実行されます。 ユーザーがWindowsにログオンする と、Access Gateway Plug-inによりユーザーが設定するログオンポイントを使用するシング ルサインオンが試行されます。 496 ユーザーへのログオン情報の提供 ユーザーがAccess Gatewayに接続し使用できるようにするには、次の情報をユーザーに提 供する必要があります。 • • • https://AccessGatewayFQDN/のようなAccess GatewayのWebアドレス。 ログオンに使用するログオンポイント(デフォルト以外のログオンポイントでログオン させる場合)。 Access Gateway Plug-inを実行するために必要なシステム要件(デバイスプロファイル を構成した場合)。 ユーザーデバイスの構成によっては、さらに次の情報を提供する必要があります。 • • • Windows XP、Windows Vista、およびWindows 7のユーザーは、初めてAccess Gateway Plug-inをインストールするときに、ローカル管理者またはAdministratorsグ ループのメンバーである必要があります。 アップグレードをするときは、管理者権限は 不要です。 ユーザーがユーザーデバイスでファイアウォールを実行する場合は、Access Gateway でアクセスを許可したリソースのIPアドレスとの通信がブロックされないように、ファ イアウォールの設定を変更する必要があります。 Access Gateway Plug-inは、 Windows XPのインターネット接続ファイアウォールとWindows XP Service Pack 3、 Windows Vista、およびWindows 7のWindowsファイアウォールを自動的に制御しま す。 Access Gatewayとの接続を介してFTPを使用する場合は、FTPアプリケーションのファ イル転送モードをパッシブに設定する必要があります。 パッシブ転送では、FTPサーバー とリモートコンピューター間のデータ接続を、FTPサーバー側ではなくユーザーデバイ ス側で確立します。 ユーザーは組織のネットワーク内にいるかのようにファイルやアプリケーションを使用でき るので、ユーザーにトレーニングをしたりアプリケーションを構成したりする必要がありま せん。 497 Access Gateway Plug-inのインストー ル ユーザーは、Access GatewayダウンロードポータルページからAccess Gateway Plug-inを インストールします。 ユーザーがAccess Gateway Plug-inをダウンロードしてインストー ルする方法は、Access Gatewayの展開環境よって異なります。 次の手順は、Access GatewayアプライアンスのみまたはAccess Controllerが展開された環境のユーザーを対象 としています。 Access Gateway Plug-inをアプライアンス のみが展開された環境からインストールするに は 1. Webブラウザーで、Access GatewayのWebアドレス(例: https://www.mycompany.com)を入力します。 2. [ようこそ]ページでログオン用の資格情報を入力して、[送信]をクリックします。 3. [次の方法で接続してください。]の下のアイコンを選択します。 ダウンロードページが開きます。 4. [ダウンロード]をクリックしてAccess Gateway Plug-inのインストールを開始します。 プラグインのインストール後に、Webページでアイコンをクリックするか[スタート]メニュ ーのエントリを使用して、再ログオンする必要があります。 Access Gateway Plug-inをAccess Controllerが展開された環境からインストール するには 1. Webブラウザーで、Access GatewayのWebアドレス(例: https://www.mycompany.com)を入力します。 2. [ようこそ]ページでログオン用の資格情報を入力して、[送信]をクリックします。 3. アクセスインターフェイスで[ネットワークに接続]をクリックします。 ダウンロードページが開きます。 4. [ダウンロード]をクリックしてAccess Gateway Plug-inのインストールを開始します。 498 Access Gateway Plug-inのインストール Access Gateway Plug-inをユーザーデバイスにインストールした後で、ユーザーは再度アク セスインターフェイスを開いて[ネットワークに接続]をクリックします。プラグインが起 動し、セキュリティで保護されているネットワークへの接続が確立されます。 499 ログオンポイントを経由するAccess Gatewayへのログオン 認証プロファイル、ログオンポイント、スマートグループ、ネットワークリソース、および デバイスプロファイルなどの、Access Gatewayでの設定構成が完了すると、ユーザーはど こからでもAccess Gatewayにログオンして、社内にいるかのように作業できます。 ユーザー はWebブラウザーまたはAccess Gateway Plug-inを使用してログオンできます。 Webブラウザーでのログオン ログオンポイントを展開すると、CitrixLogonPointという名前の仮想ディレクトリに、ログ オンポイントのフォルダーが作成されます。 ログオンポイントのフォルダーを参照するURL を使用して、ネットワークにアクセスできます。 次に例を示します。 https://GatewayApplianceFQDN/lp/CitrixLogonPoint/LogonPointName/ ここで、GatewayApplianceFQDNはログオンポイントを展開したAccess Gatewayアプライ アンスのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)で、 LogonPointNameはログオンポイントの名前です。 たとえば、Access GatewayアプライアンスのFQDNが「companyserver.mydomain.com」 で、ログオンポイントが「remote」である場合は、ログオンするためのURLは「 https://companyserver.mydomain.com/CitrixLogonPoint/lp/remote」になります。 または、管理者がAccess Gatewayにデフォルトのログオンポイントを設定している場合は、 ユーザーは次のURLを入力してデフォルトのログオンポイントにアクセスできます。 https://GatewayApplianceFQDN/ ここでGatewayApplianceFQDNは、ログオンポイントを展開したAccess Gatewayサーバー のFQDNです。 500 Access Gateway Plug-in for Windowsでのログオン ユーザーはAccess Gateway Plug-inを使用して、Access Gatewayを経由してネットワーク にログオンできます。 ユーザーがログオンするために実行する手順は次のとおりです。 重要: Internet Explorerのセキュリティ設定を[高]に構成すると、Access Gatewayへ のログオン時にログオンページが開きません。 この場合は、Access GatewayのWebアド レスを[信頼済みサイト]の一覧に追加する必要があります。 Access Gateway Plug-inを使用してログオ ンするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [Citrix Access Clients] > [Citrix Access Gateway]の順に選択します。 2. [Citrix Access Gateway]ダイアログボックスで、ログオン資格情報を入力して[送信] をクリックします。 注: 証明機関から署名を受けたデジタル証明書をAccess Gatewayにインストールしない 場合は、ユーザーデバイスに[セキュリティの警告]ダイアログボックスが表示されます。 詳しくは、「証明書のインストールと管理」を参照してください。 接続が確立されると、処理状況を示すウィンドウが短時間表示された後、[Citrix Access Gateway]ウィンドウが最小化され、アイコンが通知領域に表示されます。 このアイコンに は、接続が有効かどうかと、状態メッセージが表示されます。 Windowsベースのデバイスでログオン設定を 変更するには プラグインのログオン設定を変更するには次の手順に従います。 1. [スタート] > [すべてのプログラム] > [Citrix] > [Citrix Access Clients] > [Citrix Access Gateway - プロパティ]の順に選択します。 2. [Citrix Access Gatewayオプション]ダイアログボックスでは、次の設定を変更できま す。 • • • 501 アプライアンスのWebアドレス: これまで接続した最新の10個のIPアドレスまたは FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)も表示されます。 ユーザーデバイスのログオンポイント: ログオンポイントの一覧から選択できます。 ユーザーデバイスのプロキシ設定: プロキシサーバーの自動検出を構成したり、手 動でプロキシサーバーを構成したりできます。 Access Gateway Plug-in for Windowsでのログオン • • 分割DNSの有効化: Access Gateway Management Consoleでこの設定を有効に しますが、ユーザーはこの設定を無効にできます。 分割DNSについては、「分割 DNSを有効にするには」を参照してください。 セキュリティの警告の無効化: 証明機関によって署名済みの証明書をインストール していない場合は、ユーザーがログオンするときに[セキュリティの警告]ダイアロ グボックスが表示されます。 この設定で、この警告が表示されないようにします。 ログオン中にAccess Gateway Plug-inの状 態プロパティを表示するには • 通知領域のAccess Gateway接続アイコンをダブルクリックします。 または、アイコン を右クリックして[接続状態]を選択できます。 [Citrix Access Gateway]ダイアログボックスが開きます。 接続のプロパティでは、トラブルシューティングに役立つ情報を確認できます。 次のプロパ ティが表示されます。 • • • [全般]タブには接続情報が表示されます。 [詳細]タブには、サーバーの情報と、ユーザーがアクセスできる保護されたネットワー クの一覧が表示されます。 [アクセス一覧]タブには、ユーザー接続のために構成されたネットワークリソースが 表示されます。 [Citrix Access Gateway]ダイアログボックスを閉じるには、[閉じる]をクリックしま す。 Access Gateway Plug-inを切断するには • 502 通知領域のAccess Gatewayアイコンを右クリックして、[切断]を選択します。 Access Gateway Plug-in for Mac OS Xでのログオン Access Gateway Plug-in for Mac OS Xをインストールすると、ユーザーはセキュリティで 保護されたネットワーク内のAccess Gatewayアプライアンスに接続できます。 接続を確立 した後は、アプリケーション、ファイル共有、およびそのほかのネットワークリソースを使 用して、社内にいるかのように作業できます。 Access Gateway Plug-inをインストールすると、ユーザーは次の場所からログオンできます。 • [Citrix Access Gateway]メニューの[接続]メニュー • メニューバーの状態アイコン • Dockコンテキストメニュー • [アプリケーション]ウィンドウ 証明機関の署名を受けたデジタル証明書がAccess Gatewayにインストールされていない場 合は、[セキュリティの警告]ダイアログボックスが表示されます。 詳しくは、「証明書の インストールと管理」を参照してください。 Mac OS Xでログオン設定を変更するには ユーザーは、ログオン設定を[環境設定]コントロールダイアログボックスで変更できます。 ユーザーは、新しい接続の作成、接続の変更、ログオンポイントの変更、およびセカンダリ パスワードのフィールドの表示を実行できます。 ログレベルを変更し、プロキシサーバーを 構成することもできます。 1. Access Gateway Plug-inを開始します。 2. [Citrix Access Gateway]メニューの[環境設定]を選択します。 設定を変更できます。 503 Access Gateway Plug-inのアップグレー ド ユーザーがAccess Gateway Plug-inを以前のバージョンからアップグレードできるようにす るために、設定を構成する必要はありません。 ユーザーが[スタート]メニューのAccess Gateway Plug-inを使用してAccess Gatewayに ログオンする場合、以前のバージョンのプラグインをアンインストールするためのダイアロ グボックスは表示されません。 プラグインのバージョンが古い場合は、自動的にアップグレー ドされ接続が確立されます。 Access Gateway 5.0では、Access Gateway Plug-in Version 4.6.x以前からの接続はサポー トされません。 したがって、Access Gateway 5.0にアクセスするには、すべてのユーザー がVersion 5.0より前のAccess Gateway Plug-inをアンインストールして、現在のバージョ ンをインストールする必要があります。 Windowsベースのコンピューターから接続するユー ザーは、コントロールパネルの[プログラムの追加と削除]を使用してプラグインをアンイ ンストールできます。 Mac OS Xから接続するユーザーは、\Libraryフォルダーからプラグ インをアンインストールできます。 Access Gateway Plug-inのAccess Gateway 5.0.3または5.0.4へのアップグレー ド Access Gateway 5.0.3および5.0.4にはアップグレードされたバージョンのAccess Gateway Plug-inが含まれます。 Access Gatewayアプライアンスの内部フレームワークが 変更されたため、以前のバージョンのプラグインとの互換性はありません。 ユーザーは Access Gateway Plug-in, Version 5.0.3または5.0.4をインストールする必要があります。 重要: Active Directoryのグループポリシーを使用してプラグインを更新する場合を除き、 Version 5.0.3または5.0.4のプラグインをインストールする、またはVersion 5.0.3また は5.0.4のプラグインにアップグレードするには、ユーザーデバイスの管理者または管理者 権限を持つユーザーで実行する必要があります。 次の方法のどちらかで、プラグインをアップグレードすることができます。 • • 504 Microsoft Installer(MSI)パッケージとActive Directoryのグループポリシーを使用し て、Access Gateway Plug-inをすべてのユーザーにプッシュする。 詳しくは、「グルー プポリシーを使用したMSIパッケージのインストール」を参照してください。 WebブラウザーからAccess Gateway Plug-inをインストールする。 Windowsベースの デバイスまたはMac OS Xデバイスの管理者権限を持つユーザーがWebブラウザーから プラグインをダウンロードすると、新しいバージョンのプラグインへのアップグレード が自動的に実行されます。 以前のバージョンのAccess Gateway Plug-inでのログオンの許可 以前のバージョンのAccess Gateway Plug-inからの接続を受け入れるようにAccess Gatewayを構成できます。 Access Gateway Management ConsoleとAccess Controller のどちらでも設定を構成できます。 重要: Access Gateway 5.0では、Access Gateway Plug-in Version 4.6.x以前からの接 続はサポートされません。 また、このオプションを選択すると、Access Gatewayで Version 4.6.xのAccess Gateway Plug-inが検出されたときに、ユーザーはプラグインを アップグレードする必要があります。 重要: Access Gateway 5.0.3または5.0.4をインストールする場合は、ユーザーは以前 のバージョンのAccess Gateway Plug-inでログオンできません。 ユーザーはVersion 5.0.3または5.0.4のプラグインをインストールする必要があります。 詳しくは、「 Access Gateway Plug-inのアップグレード」を参照してください。 ユーザーが以前のバージョンのプラグインで Access Gatewayにログオンすることを許可 するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Global Options]をクリックします。 3. [Access Gateway and User Options]パネルの[Access Gateway Settings]で[ Allow earlier versions of Access Gateway Plug-in]チェックボックスをオンにします。 ユーザーが以前のバージョンのプラグインで Access Controllerにログオンすることを許可 するには 展開環境でAccess Controllerを使用する場合は、Access Gateway Management Console での設定は使用できません。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、構成したいAccess Controllerクラスターの順に展開し、[Access Gatewayアプライアンス]を選択します。 505 以前のバージョンのAccess Gateway Plug-inでのログオンの許可 3. [共通のタスク]の[Access Gatewayアプライアンスのプロパティの編集]をクリッ クします。 4. [Access Gatewayアプライアンス - グローバルプロパティ]ダイアログボックスで[ プラグインプロパティ]をクリックして、[以前のバージョンのAccess Gateway Plug-inの接続を許可する]チェックボックスをオンにします。 5. [OK]をクリックします。 506 Webブラウザーのセキュリティに関する 注意事項 更新日: 2012-05-03 Webブラウザーのセキュリティ設定をカスタマイズすると、ユーザーがAccess Gatewayに アクセスできなくなることがあります。 ユーザーが必ずネットワーク内の適切なサーバーに アクセスできるように、次のガイドラインに従ってください。 Access Gatewayを経由してユーザーのために、Webブラウザーの次の設定を有効にする必 要があります。 • • • Cookie: Access Gatewayでは、ディスク上に保存されないCookieをセッションごとに 使用します。 このため、第三者はCookieにアクセスできません。 ログオンにはセッショ ンCookieが必要なため、 セッションごとのCookieを許可しない場合は、Access Gatewayに接続できません。 ファイルのダウンロード: ファイルのダウンロードを無効にすると、社内ネットワーク からのファイルのダウンロード、シームレスなICAセッションの起動、およびクラスター 外の内部Webサーバーへのアクセスができなくなります。 スクリプト: アクティブスクリプトを無効にすると、Access Gatewayにアクセスでき なくなります。 Javaアプレットのスクリプトを無効にすると、ユーザーはClient for Javaで公開アプリケーションを起動できなくなります。 Access Gatewayを経由してアクセスするリソースが含まれるゾーンについてだけ、セキュ リティ設定を変更します。 会社のイントラネット内のサイトを完全に信頼できる場合は、イ ントラネットゾーンのセキュリティレベルを低く設定します。 イントラネット内のサイトを 完全に信頼できない場合は、イントラネットゾーンのセキュリティレベルを中低または中に 設定します。 注: Access GatewayをAccess Controllerと共に展開する場合、Internet Explorerのセ キュリティ設定の[信頼済みサイト]または[ローカルイントラネット]の一覧に Access GatewayのWebアドレスを追加して、アプリケーションが正常に再接続できるよ うにする必要があります。 Webブラウザーのセキュリティレベルを高くすると、Access Gatewayに接続するために必 要なセキュリティ設定の一部が無効になります。 したがって、イントラネットゾーンのセキュ リティレベルを高くする場合は、次の節に記載されているように、Webブラウザーのセキュ リティ設定をカスタマイズしてください。 Webブラウザーのセキュリティ設定のカスタ マイズ クライアントソフトウェアが必要な展開シナリオでの、Internet Explorerの追加のセキュリ ティ設定は次のとおりです。 ほとんどの設定は、[インターネットオプション]ダイアログ ボックスの[セキュリティ]タブで行えます。 507 Webブラウザーのセキュリティに関する注意事項 展開シナリオ Endpoint Analysis Plug-in 必要な設定 • • • Citrix XenApp Web Plug-in, Version 11.0 Citrix Online Plug-in, Version 11.2以降 • • • • 508 [ActiveXコントロールとプラグインの実行]([有効 にする]) [スクリプトを実行しても安全だとマークされている ActiveXコントロールのスクリプトの実行]([有効に する]) [ファイルのダウンロード]([有効にする]) [ActiveXコントロールとプラグインの実行]([有効 にする]) [スクリプトを実行しても安全だとマークされている ActiveXコントロールのスクリプトの実行]([有効に する]) [ファイルのダウンロード]([有効にする]) [詳細設定]タブの[暗号化されたページをディスクに 保存しない](オフ) Access Gateway Plug-in用のプロキシ サーバーの追加 Access Gateway Plug-inが接続するときは、ユーザーデバイス上のオペレーティングシステ ムに対してクライアントのプロキシ設定がクエリされてから、Access Gatewayからポリシー がダウンロードされます。 プラグインで自動検出が有効な場合は、オペレーティングシステ ムに格納されている設定と一致するようにプラグインのプロキシ設定が変更されます。 プロキシ設定の自動検出は、Access Gateway Plug-inの[Citrix Access Gatewayオプショ ン]ダイアログボックスで構成できます。 Access Gateway Plug-inで手作業でプロキシサー バーを構成することもできます。 プロキシサーバーを手作業で構成する場合は、プロキシ設 定の自動検出は無効になります。 デフォルトでは、プラグインでプロキシサーバーは使用さ れません。 注: インストール時に、cag_plugin.logという名前のインストールログファイルがユーザー デバイスの%TEMP%ディレクトリに書き込まれます。 このログファイルを使用して、イ ンストール時の問題を解決できます。 プロキシサーバーを手動で構成するには 1. ユーザーデバイスで、[スタート] > [すべてのプログラム] > [Citrix] > [ Citrix Access Clients] > [Citrix Access Gateway - プロパティ]の順に選択します。 2. [Citrix Access Gatewayオプション]ダイアログボックスで、[プロキシ設定]の[プ ロキシサーバーを手動で構成する]チェックボックスをオンにします。 3. [IPアドレス]ボックスと[ポート]ボックスに、IPアドレスとポート番号を入力しま す。 4. サーバーでの認証が必要な場合は、[プロキシサーバーには認証が必要]チェックボッ クスをオンにします。 509 Access Gateway 5.0のXenAppまたは XenDesktopとの統合 Citrix Access Gatewayのインストールと構成を担当するシステム管理者は、Citrix XenApp またはCitrix XenDesktopと連動するようにアプライアンスを構成できます。 ここでは、 Access Gatewayを既存のネットワークに接続すること、また、読者がそのネットワークを 構成した経験があることを前提としています。 ユーザーがAccess Gatewayを経由してサーバーファームに接続できるようにするには、 Web InterfaceとAccess Gatewayアプライアンスの設定を構成します。 このセクションの 構成手順は、Access Gatewayをスタンドアロンのアプライアンスとして展開済みで、ユー ザーが直接Access Gatewayに接続することを前提としています。 510 公開アプリケーションおよび公開デスク トップへのアクセス方法 サーバーファームは、XenAppまたはXenDesktopが動作する1台または複数のコンピューター から構成されます。 社内のネットワーク上にサーバーファームが構築されている場合は、 Access Gatewayを展開することで、公開アプリケーションまたは公開デスクトップへのイ ンターネット経由の安全なアクセスを提供できます。 このような環境では、Access GatewayがWeb InterfaceおよびSTA(Secure Ticket Authority)と連動して、XenAppが動作するコンピューターでホストされている公開アプリ ケーションまたはXenDesktopで提供される公開デスクトップへのアクセスを認証、承認、 リダイレクトします。 この機能は、Access Gatewayのコンポーネントを、Web Interface、XenApp、または XenDesktopと統合することによって実現します。 この統合により、Web Interfaceで高度 な認証機能とアクセス制御オプションが使用できます。 Web Interfaceについて詳しくは、 Citrix eDocsのWeb Interfaceのドキュメントを参照してください。 サーバーファームへのリモート接続にAccess Gateway Plug-inは不要です。 公開アプリケー ションおよび公開デスクトップにアクセスするには、Citrix Online Plug-inで接続します。 XenDesktop 3.0の公開デスクトップにアクセスするには、Desktop Receiverで接続します。 重要: Citrix Online Plug-inをインストールしたコンピューターにDesktop Receiverまた はDesktop Receiver Embedded Editionのいずれかをインストールすることはできませ ん。 公開デスクトップと公開アプリケーションの両方に同じコンピューターからアクセス できるようにするには、XenDesktopで作成する公開デスクトップにCitrix Online Plug-in をインストールすることをお勧めします。 これにより、公開デスクトップで公開アプリケー ションを受信できます。 511 Access GatewayのXenAppまたは XenDesktopとの統合 Access Gatewayでユーザー接続を構成するとき、XenApp、XenDesktop、または両方へネッ トワークトラフィックを送信するように設定を構成できます。 そのためには、Access GatewayとWeb Interfaceを構成して、お互いに通信できるようにします。 これら3製品を統合するためのタスクには、次のものが含まれます。 • XenAppまたはXenDesktopのファームでのWeb Interfaceのサイトの作成。 • Access Gatewayを経由するユーザー接続の経路を決定するためのWeb Interfaceの構成。 • Web InterfaceおよびSTA(Secure Ticket Authority)との通信のためのAccess GatewayまたはAccess Controllerの構成。 Access GatewayとWeb Interfaceでは、STAとCitrix XML Serviceを使用してユーザー接続 を確立します。 STAとXML Serviceは、XenAppサーバーまたはXenDesktopサーバーで動 作します。 512 サーバーファームへの安全な接続の確立 ここでは、DMZに展開したAccess GatewayをWeb Interfaceと連動させて安全な単一のア クセスポイントを構成し、セキュリティで保護された企業ネットワーク内で使用できる公開 リソースへのアクセスを提供する例を示します。 この例では、次のすべての条件が存在します。 • インターネットを経由するユーザーデバイスは、Citrix Online Plug-inまたはCitrix Desktop Receiverを使用してAccess Gatewayに接続します。 注: Citrix XenDesktop 4.0を使用する場合は、Citrix Online Plug-inを使用します。 このプラグインは、XenDesktop 3.0ではDesktop Receiverと呼ばれていました。 • • Web Interfaceは、セキュリティで保護されたネットワーク内のAccess Gatewayの後方 にあります。 ユーザーデバイスは最初にAccess Gatewayに接続し、この接続がWeb Interfaceに渡されます。 保護されたネットワークにサーバーファームがあります。 このサーバーファーム内のサー バーでSTA(Secure Ticket Authority)およびCitrix XML Serviceが動作します。 STA とXML ServiceはXenAppとXenDesktopのどちらでも実行できます。 次の図は、DMZに展開したAccess Gatewayアプライアンスを示します。アプライアン スの後方にWeb Interfaceがインストールされていて、セキュリティで保護されたネッ トワークにサーバーファームがあります。 図 1. DMZにWeb Interfaceと共に展開されたAccess Gatewayおよびセキュリティで保護 されたネットワーク内のサーバーファーム 513 サーバーファームへの安全な接続の確立 ユーザーがサーバーファーム内の公開リソース にアクセスするプロセスの概要 1. リモートユーザーがWebブラウザーのアドレスボックスにAccess Gatewayのアドレス (https://www.ag.companyname.comなど)を入力します。 ユーザーデバイスによ り、ポート443でこのSSL接続が試行されます。接続するにはこのポートがファイヤウォー ルで開放されている必要があります。 2. Access Gatewayが接続要求を受信し、ユーザーは資格情報の入力を求められます。 Access Gatewayを経由して資格情報が送信され、ユーザーが認証を受けます。そして、 接続がWeb Interfaceに渡されます。 3. Web Interfaceがユーザーの資格情報をサーバーファームで実行中のXML Serviceに送 信します。 4. XML Serviceがユーザーの資格情報を認証し、ユーザーにアクセスを承認した公開アプ リケーションまたは公開デスクトップの一覧をWeb Interfaceに送信します。 5. Web Interfaceがユーザーにアクセスを承認した公開リソース(アプリケーションまた はデスクトップ)の一覧を含むWebページを生成し、ユーザーに送信します。 6. ユーザーが公開アプリケーションまたは公開デスクトップへのリンクをクリックします。 ユーザーがクリックした公開リソースを示すHTTP要求がWeb Interfaceに送信されま す。 7. Web InterfaceがXML Serviceと連動し、公開リソースを実行するサーバーを示すチケッ トを受信します。 8. Web InterfaceがSTAにセッションチケット要求を送信します。 この要求は、公開リソー スを実行するサーバーのIPアドレスを指定します。 STAがこのIPアドレスを保存し、要 求されたセッションチケットをWeb Interfaceに送信します。 9. Web InterfaceがSTAの発行するチケットを含むICAファイルを生成し、ユーザーデバイ スのWebブラウザーに送信します。 Web Interfaceの生成するICAファイルには、Access GatewayのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)またはDNS(Domain Name Service :ドメインネームサービス)名が含まれています。 要求されたリソースを実行するサー バーのIPアドレスは、ユーザーには表示されません。 10. ICAファイルにはOnline Plug-inの起動をWebブラウザーに命令するデータが含まれてい ます。 ユーザーデバイスがICAファイル内のAccess GatewayのFQDNまたはDNS名を 使ってAccess Gatewayに接続します。 初期SSL/TLSハンドシェイクが実行され、 Access GatewayのIDが認識されます。 11. ユーザーデバイスがセッションチケットをAccess Gatewayに送信し、Access Gateway はチケット検証のためにSTAと通信します。 12. STAが要求されたアプリケーションを実行するサーバーのIPアドレスをAccess Gateway に返します。 13. Access GatewayがサーバーへのTCP接続を確立します。 514 サーバーファームへの安全な接続の確立 14. Access Gatewayがユーザーデバイスとの接続ハンドシェイクを終了し、サーバーとの 接続が確立したことをユーザーデバイスに示します。 ユーザーデバイスとサーバー間の以後のすべてのトラフィックが、Access Gatewayを プロキシとして送信されます。 ユーザーデバイスとAccess Gateway間のトラフィックは暗号化されます。 515 Access Gatewayと連動させるための Web Interfaceサイトの設定 Web Interfaceは、ユーザーにXenApp公開アプリケーションおよびXenDesktop公開デスク トップへのアクセスを提供します。 ユーザーは、標準のWebブラウザーまたはCitrix Online Plug-inを使用して公開アプリケーションおよび公開デスクトップにアクセスします。 Windowsベースのプラットフォーム上で作成するWeb Interfaceのサイトは、XenApp 5.0 およびWeb Interface 5.1のAccess管理コンソールを使って構成できます。 Web Interface 5.2、5.3、および5.4では、サイトの構成にCitrix Web Interface管理コンソール を使用します。 Access管理コンソールとWeb Interface管理コンソールは、Windowsベー スのプラットフォームにのみインストールできます。 注: Access管理コンソール、Web Interface管理コンソール、およびデリバリーサービス コンソールは、すべて同じコンピューターにインストールできます。 Web InterfaceをAccess Gatewayと連動するように構成するには、Web Interfaceのサイ トを作成し構成してからAccess Gatewayを構成します。 516 Web Interfaceの機能 Access Gatewayと連動するようにWeb Interfaceを構成する前に、Web Interfaceの機能 と、次の2つのオプションの違いを理解する必要があります。 XenApp Webサイト Web Interfaceには、XenApp Webサイトを作成し管理する機能が備わっています。 ユーザー はWebブラウザーとプラグインを使用して、リモートから公開リソースとストリーム配信ア プリケーションにアクセスします。 XenApp Servicesサイト XenAppは、柔軟で簡単な構成を目指して設計されています。 XenAppをWeb Interfaceの XenApp Servicesサイトと組み合わせて使用すると、公開リソースをユーザーのデスクトッ プに統合することができます。 ユーザーはデスクトップまたは[スタート]メニューのアイ コン、またはデスクトップの通知領域をクリックして、リモートのアプリケーション、デス クトップ、およびコンテンツや、ストリーム配信アプリケーションにアクセスします。 音声、 表示、ログオンなどの構成オプションにユーザーがアクセスして変更できるようにする場合 は、管理者はどのオプションを表示するかを指定できます。 Web InterfaceをXenAppおよびXenApp Servicesサイトと共に構成する場合は、公開デス クトップへのアクセスはサポートされません。 Web Interfaceについて詳しくは、Citrix eDocsライブラリの「テクノロジー」でWeb Interfaceのドキュメントを参照してください。 517 Web Interfaceのサイトのセットアップ Access Gatewayを設置する前に、Web Interfaceのインストールと構成を行う必要があり ます。 詳しくは、Citrix eDocsライブラリの「テクノロジー」でWeb Interfaceのドキュメ ントを参照してください。 セキュリティで保護されたネットワークにWeb Interfaceを展開 してAccess Gatewayで認証を構成した場合は、ユーザーがAccess Gatewayに接続すると き、認証機能はアプライアンスによって提供されます。 Web Interfaceのサイトのセットアップ手順は次のとおりです。 • ユーザーのログオン方法を選択します。 ユーザーは、Webブラウザー、Access Gateway Plug-in、Online Plug-in、またはCitrix Receiverを使用してログオンできま す。 次のどちらかの方法で、Web InterfaceをAccess Gatewayと連動するように構成 できます。 • • • XenApp Webサイトを作成して管理する。この場合は、ユーザーはWebブラウザー とOnline Plug-inを使用して公開リソースにリモートからアクセスします。 XenAppとWeb InterfaceのXenApp Servicesサイトを組み合わせて使用する。この 場合は、公開リソースをユーザーのデスクトップに統合することができます。 注: Web InterfaceをXenApp Servicesサイトとして構成する場合は、公開デ スクトップへのアクセスはサポートされません。 XenApp Servicesサイトを使用 するには、Access Gateway 5.0.2以降を実行する必要があります。 XenApp Servicesサイトはより新しいバージョンのAccess Gatewayと共に使用することも できます。 ユーザーの認証をAccess GatewayとWeb Interfaceのどちらで行うかを選択します。 注: Web Interfaceをセキュリティで保護されたネットワークにインストールする場合は、 Web Interfaceに要求が送信される前に、Access Gatewayでネットワークトラフィック が認証されるように設定することをお勧めします。 認証されていないネットワークトラフィ ックをセキュリティで保護されたネットワーク内のWeb Interfaceに送信しないようにす る必要があります。 有効なサーバー証明書をAccess Gatewayに必ずインストールしてください。 証明書の取り 扱いについて詳しくは、「証明書のインストールと管理」を参照してください。 重要: Web InterfaceをAccess Gatewayと正しく連動させるには、Web Interfaceサー バーがAccess Gatewayを信頼し、FQDN(Fully Qualified Domain Name:完全修飾ド メイン名)を正しいIPアドレスに解決できる必要があります。 518 アクセス方法の選択 XenAppまたはXenDesktopで設定を構成するとき、次のアクセス方法から1つを選択する必 要があります。 この設定によりユーザーがサーバーファームに接続する方法が決まります。 詳しくは、Citrix eDocsライブラリの「テクノロジー」で、お使いのバージョンのWeb Interfaceのドキュメントを参照してください。 注: Access Gateway展開環境でAccess Controllerを使用する場合は、Access Gateway 5.0では[ゲートウェイ直接]および[ゲートウェイ代替]のみがサポートされ ます。 • • • • 直接: Online Plug-inは、対象XenAppサーバーの実際のIPアドレスに接続します。 ユー ザーがLANから接続する場合、またはAccess Gateway Plug-inを使用して接続を確立済 みである場合は、この方法を使用します。 代替: ユーザーがXenAppサーバーの実際のIPアドレスの代わりに代替IPアドレスに接 続することを除き、[直接]の方法と同様に機能します。 代替IPアドレスは、各 XenAppサーバーでaltaddrコマンドを使用して定義します。 変換: 各XenAppサーバーでaltaddrコマンドを実行する代わりに、Web Interfaceの 構成で各XenAppサーバーの代替アドレスを定義することを除き、[代替]の方法と同様 に機能します。 ゲートウェイ直接: Online Plug-inはAccess Gatewayの完全修飾ドメイン名へのSSL 接続を開始します。次にAccess GatewayはそのSSL接続を終了し、対象XenAppサーバー の実際のIPアドレスへのICAコネクションを確立します。 この方法は、STA(Secure Ticket Authority)の受信接続検証に依存します。 この方法は、LAN外部のユーザーが Access Gateway Plug-inを使用して接続を確立しない場合に使用します。 この種の接 続ではAccess Gateway Plug-inは不要ですが、使用することはできます。 注: ユーザーがAccess Gatewayを経由してサーバーファームに接続する場合は、[ ゲートウェイ直接]の方法を使用することをお勧めします。 • • 519 ゲートウェイ代替: altaddrコマンドで定義するXenAppサーバーの代替アドレスに Access Gatewayが接続することを除き、[ゲートウェイ直接]の方法と同様に機能し ます。 ゲートウェイ変換: Web Interfaceの構成で定義するXenAppサーバーの代替アドレス にAccess Gatewayが接続することを除き、[ゲートウェイ代替]の方法と同様に機能 します。 XenApp 5.0でのWeb Interfaceのサイ トの作成 Web Interfaceのサイトを作成するとき、ユーザーのログオンをWebブラウザーとCitrix Online Plug-inのどちらを経由して実行するかを構成できます。 次の手順を使用して、 Access管理コンソールでWeb Interfaceの複数のサイトを作成できます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Access管理コンソール]の順に選択します。 ダイアログボックスが開くので、検出を構 成して実行します。 2. [Citrixリソース] > [設定ツール]の順に選択し、[Web Interface]を選択します。 [共通のタスク]の[サイトの作成]をクリックします。 3. 次のどちらかをクリックして[次へ]をクリックします。 • • XenApp Web: ユーザーはWebブラウザーを使用してWeb Interfaceにログオンし ます。 XenApp Services: ユーザーはOnline Plug-inを使用してログオンします。 注: [XenApp Services]を選択する場合は、手順5.と6.を実行しないでくださ い。 4. インターネットインフォメーションサービス(IIS)のサイトとパスのデフォルト値をそ のまま受け入れます。 手順3.で[XenApp Web]をクリックした場合は、サイトパスは「/Citrix/XenApp」で す。 手順5.に進みます。 [XenApp Services]をクリックした場合は、サイトパスは「/Citrix/PNAgent」です。 [次へ]をクリックして構成を完了します。 注: デフォルトパスを使用する既存のXenApp WebサイトまたはXenApp Servicesサ イトがある場合は、新しいサイトを区別するために適切な増分値が追加されます。 5. [ユーザー認証を実行する場所の指定]ボックスの一覧から次のいずれかを選択します。 • [Web Interface]を選択すると、ユーザーはWeb Interfaceを使用して認証を受け ます。 Web InterfaceをスタンドアロンサーバーとしてAccess Gatewayと平行でDMZ( Demilitarized Zone:非武装地帯)に展開する場合は、このオプションを選択しま す。 • [Access Gateway]を選択すると、ユーザーはAccess Gatewayアプライアンスを 使用して認証を受けます。 このオプションを選択すると、アプライアンスで構成されていれば、Access Gatewayでユーザーが認証され、Web Interfaceへのシングルサインオンが開始さ れます。 520 XenApp 5.0でのWeb Interfaceのサイトの作成 6. 手順5.で[Access Gateway]を選択した場合は、[認証サービスURL]ボックスに https://access.company.com/CitrixAuthService/AuthService.asmxなどの Access Gateway認証サービスのURLを入力し、[次へ]をクリックします。 注: 手順5.で[Web Interface]を選択した場合は、手順6.を実行する必要はありま せん。 Access Gatewayの展開環境でAccess Controllerを使用する場合は、Access ControllerサーバーのIPアドレスまたはFQDN(Fully Qualified Domain Name:完全 修飾ドメイン名)を使用します。 [新しいサイトの設定の確認]ページが開き、設定内容が表示されます。 [次へ]をクリッ クしてWeb Interfaceのサイトを作成します。 サイトが正常に作成されると、Web Interfaceで残りの設定を構成するかどうかの確認ページが開きます。 ウィザードの指示に 従って構成を完了します。 521 XenApp 5.0のためのWeb Interfaceで Access Gateway設定を構成するには Web Interfaceのサイトを作成したら、Access管理コンソールを使用してAccess Gateway を構成できます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Access管理コンソール]の順に選択します。 2. Access管理コンソールの左ペインで、[Citrixリソース]>[設定ツール]>[Web Interface]の順に選択し、Web Interfaceのサイトを選択します。 3. [共通のタスク]で、[セキュリティ保護されたクライアントアクセスの管理]>[セ キュリティ保護されたクライアントアクセスの変更]の順に選択します。 4. [アクセス方法の指定]ページで[デフォルト]を選択し、[編集]をクリックします。 5. [アクセス方法]ボックスの一覧から[ゲートウェイ直接]を選択し、[OK]をクリッ クして[次へ]をクリックします。 6. [アドレス(FQDN)]ボックスに、Access GatewayのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を入力します。 この設定は、Access Gateway の証明書で使用されているFQDNと一致させる必要があります。 7. [ポート]ボックスにポート番号を入力します。 デフォルトは443です。 8. セッション画面の保持を有効にするには、[セッション画面の保持を有効にする]チェッ クボックスをオンにして[次へ]をクリックします。 9. [Secure Ticket Authority URL]で、[追加]をクリックします。 10. [Secure Ticket Authority URL]ボックスにXML Serviceを実行するXenAppのプライ マリサーバーの名前を入力して[OK]をクリックし、[完了]をクリックします。 たと えば、http://xenappsrv01/Scripts/CtxSta.dllと入力します。 Web Interfaceの設定を構成したら、Access Gatewayを構成します。 詳しくは、「Web Interfaceとの通信のためのAccess Gatewayの構成」を参照してください。 522 Web Interface 5.2でのAccess Gateway設定の構成 Access Gatewayからの接続を受け入れるようにWeb Interface 5.2を構成できます。 さら に、Web Interface 5.2ではSTA(Secure Ticket Authority)の冗長がサポートされます。 Web Interfaceを構成するには、Web Interface管理コンソールの[セキュアなアクセス] タスクを使用します。 この手順を完了すると、Web InterfaceはAccess Gatewayと共に使 用できるように構成され、STAの冗長も有効になります。 この手順は、ネットワーク内にWeb Interfaceがインストールされ、構成済みであることを 前提にしています。 523 Web Interface 5.2でのAccess Gateway設定の構成 Web Interface 5.2でAccess Gateway設定 を構成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Citrix Web Interface管理]の順に選択します。 2. Web Interface管理コンソールのナビゲーションペインで、[XenApp Webサイト]ま たは[XenApp Servicesサイト]を選択します。 3. 中央ペインでWeb Interfaceのサイトを選択します。 4. 右ペインで[設定を変更]の[セキュアなアクセス]をクリックします。 5. [アクセス方法の指定]ページの[ユーザーデバイスのアドレス(表示順)]ボックス の一覧から項目を選択し、[編集]をクリックします。 6. [アクセス方法]ボックスの一覧から[ゲートウェイ直接]を選択し、[OK]をクリッ クして[次へ]をクリックします。 7. [ゲートウェイ設定の指定]ページの[アドレス(FQDN)]ボックスに、Access GatewayのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を入力しま す。 この設定は、Access Gatewayの証明書で使用されているFQDNと一致させる必要 があります。 8. [ポート]ボックスにポート番号を入力します。 デフォルトは443です。 9. [セッション画面の保持を有効にする]チェックボックスと[2つのSTAからチケットを 要求する]チェックボックスをオンにして[次へ]をクリックします。 両方のチェックボックスがオンの場合、セッション画面の保持とSTAの冗長が有効にな ります。 Web Interfaceが2つのSTAからチケットを取得するので、一方のSTAが使用で きなくなってもユーザーセッションが中断されません。 Web Interfaceが2つのSTAと 通信できない場合は、単一のSTAを使用するようにフォールバックします。 注: STAの冗長を構成するにはセッション画面の保持を有効にする必要があります。 10. [Secure Ticket Authority設定の指定]ページで[追加]をクリックします。 11. [Secure Ticket Authorityの追加]ダイアログボックスの[Secure Ticket Authority URL]ボックスに、http[s]://ServerName.Domain.com/scripts/ctxsta.dll のようなSTAのWebアドレスを入力して[OK]をクリックします。 12. 追加するSTAサーバーごとに手順10.および11.を繰り返します。 13. [負荷分散を使用する]チェックボックスをオンにします。 負荷分散を有効にすることによって、接続をサーバー間で均等に分散させることができ、 その結果、負荷限界状態になるサーバーがなくなります。 14. [接続できないサーバーを無視する期間]ボックスに期間を入力します。 この設定は、STAと通信できないときにそのSTAを使用しない期間です。 Web Interfaceは、[Secure Ticket Authority URL]の一覧にあるサーバー間でフォールト トレランスを実行します。そのため通信エラーが生じると、障害の発生したサーバーは 524 Web Interface 5.2でのAccess Gateway設定の構成 指定した期間使用されなくなります。 注: この設定を有効にすると、STAの冗長が機能しない可能性があります。 15. [完了]をクリックします。 Web Interfaceの設定を構成したら、Access Gatewayを構成します。 詳しくは、「Web Interfaceとの通信のためのAccess Gatewayの構成」を参照してください。 525 Web Interface 5.3のサイトの作成 更新日: 2012-05-03 Web Interface 5.3のサイトを作成するとき、ユーザーのログオンをWebブラウザーと Citrix Online Plug-inのどちらを経由して実行するかを構成できます。 次の手順を使用して、 Web Interface管理コンソールでWeb Interfaceの複数のサイトを作成できます。 Web Interface, Version 5.3はXenApp 5.0、6.0、およびXenDesktop 4.0と共に使用でき ます。 Web Interface 5.3は次のオペレーティングシステムで動作します。 • Windows Server 2008 • Windows Server 2003 R2 • Windows Server 2003 注: XenApp 6.0はWindows Server 2008 R2でのみ動作します。 526 Web Interface 5.3のサイトの作成 Web Interface 5.3のサイトを作成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Citrix Web Interface管理]の順に選択します。 2. 左ペインで[XenApp Webサイト]を選択します。 ユーザーはWebブラウザーを使用 してWeb Interfaceにログオンします。 3. [操作]メニューの[サイトの作成]を選択します。 4. インターネットインフォメーションサービス(IIS)サイトとパスを変更せずに[次へ] をクリックします。 サイトのデフォルトパスは/Citrix/XenAppですが、管理者が選択するサイトパスを入力 できます。 注: デフォルトパスを使用する既存のXenApp Webサイトがある場合は、新しいサイ トを区別するために適切な増分値が追加されます。 5. [ユーザー認証を実行する場所の指定]ボックスの一覧から次のいずれかを選択します。 • [Web Interface]を選択すると、ユーザーはWeb Interfaceを使用して認証を受け ます。 Web InterfaceをスタンドアロンサーバーとしてAccess Gatewayと平行でDMZ( Demilitarized Zone:非武装地帯)に展開する場合は、このオプションを選択しま す。 • [Access Gateway]を選択すると、ユーザーはAccess Gatewayアプライアンスを 使用して認証を受けます。 このオプションを選択すると、アプライアンスで構成されていれば、Access Gatewayでユーザーが認証され、Web Interfaceへのシングルサインオンが開始さ れます。 6. [次へ]をクリックします。 7. 手順5.で[Access Gateway]を選択した場合は、[認証サービスURL]ボックスに https://access.company.com/CitrixAuthService/AuthService.asmxなどの Access Gateway認証サービスのURLを入力し、[次へ]をクリックします。 8. [認証オプション]で[指定ユーザー]をクリックします。 [指定ユーザー]を選択すると、ユーザーはWebブラウザーを使用してログオンします。 注: スマートカード認証はAccess Gateway 5.0でサポートされません。 9. [次へ]をクリックします。 [新しいサイトの設定の確認]ページが開き、設定内容が 表示されます。 10. [次へ]をクリックしてWeb Interfaceのサイトを作成します。 サイトの作成の進行状 況を示すページが開きます。 11. [すぐにこのサイトを設定する]チェックボックスをオンにして、ウィザードの指示に 従ってサイトを構成します。 527 Web Interface 5.3でのAccess Gateway設定の構成 Web Interfaceのサイトを作成したら、Web Interface管理コンソールを使用してAccess Gatewayの設定を構成できます。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Citrix Web Interface管理]の順に選択します。 2. Citrix Web Interface管理コンソールの左ペインで、[XenApp Webサイト]をクリッ クします。 3. 中央ペインでXenApp Webサイトを選択します。 4. [操作]ペインで[セキュアなアクセス]をクリックします。 5. [セキュアアクセス設定の編集]ダイアログボックスの[追加]をクリックします。 6. [アクセスルートの追加]ダイアログボックスに、IPアドレスとサブネットマスクを入 力します。 7. [アクセス方法]ボックスの一覧から[ゲートウェイ直接]を選択し、[OK]をクリッ クして[次へ]をクリックします。 8. [アドレス(FQDN)]ボックスに、Access GatewayのFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を入力します。 この設定は、Access Gateway の証明書で使用されているFQDNと一致させる必要があります。 9. [ポート]ボックスにポート番号を入力します。 デフォルトは443です。 10. [セッション画面の保持を有効にする]チェックボックスと[2つのSTAからチケットを 要求する]チェックボックスをオンにして[次へ]をクリックします。 両方のチェックボックスがオンの場合、セッション画面の保持とSTA(Secure Ticket Authority)の冗長が有効になります。 Web Interfaceが2つのSTAからチケットを取得 するので、一方のSTAが使用できなくなってもユーザーセッションが中断されません。 Web Interfaceが2つのSTAと通信できない場合は、単一のSTAを使用するようにフォー ルバックします。 注: STAの冗長を構成するにはセッション画面の保持を有効にする必要があります。 11. [Secure Ticket Authority URL]で、[追加]をクリックします。 12. [Secure Ticket Authorityの追加]ダイアログボックスの[Secure Ticket Authority URL]ボックスにXenAppでXML Serviceを実行するマスターサーバーの名前を入力して、 [OK]をクリックし、[完了]をクリックします。 たとえば、 http://xenappsrv01/Scripts/CtxSta.dllと入力します。 13. 追加するSTAサーバーごとに手順10.および11.を繰り返します。 528 Web Interface 5.3でのAccess Gateway設定の構成 14. [負荷分散を使用する]チェックボックスをオンにします。 負荷分散を有効にすることによって、接続をサーバー間で均等に分散させることができ、 その結果、負荷限界状態になるサーバーがなくなります。 15. [接続できないサーバーを無視する期間]ボックスに期間を入力します。 これは、STAと通信できないときにそのSTAを使用しない期間です。 Web Interfaceは、 [Secure Ticket Authority URL]の一覧にあるサーバー間でフォールトトレランスを実 行します。そのため通信エラーが生じると、障害の発生したサーバーは指定した期間使 用されなくなります。 注: この設定を有効にすると、STAの冗長が機能しない可能性があります。 16. [完了]をクリックします。 Web Interfaceの設定を構成したら、Access Gatewayを構成します。 詳しくは、「Web Interfaceとの通信のためのAccess Gatewayの構成」を参照してください。 529 単一サイトへのXenAppおよび XenDesktopの追加 XenAppとXenDesktopを運用している場合は、両方のアプリケーションをWeb Interfaceの 単一のサイトに追加できます。 この構成により、XenAppまたはDesktop Delivery Controllerのどちらかの、同じSecure Ticket Authority(STA)サーバーを使用できます。 注: XenDesktopでは、Web Interface 5.0、Web Interface, 5.2、およびWeb Interface 5.3がサポートされます。 Web Interface 5.0または5.1を使用する場合は、Access管理コンソールを使用してXenApp サイトとXenDesktopサイトを結合します。 Web Interface 5.2、5.3、または5.4を使用する場合は、Web Interface管理コンソールを 使用してXenAppサイトとXenDesktopサイトを結合します。 注: サーバーファームが異なるドメインにある場合は、ドメイン間に双方向の信頼関係を 設定する必要があります。 Web Interface 5.0または5.1を使用して XenAppまたはXenDesktopを単一のサイト に追加するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Access管理コンソール]の順に選択します。 2. [Citrixリソース] > [設定ツール] > [Web Interface]の順に展開します。 3. Web Interfaceのサイトを選択し、[共通のタスク]で[サーバーファームの管理]を クリックします。 4. [サーバーファームの管理]ダイアログボックスで[追加]をクリックします。 5. サーバーファームの設定を完了したら[OK]を2回クリックします。 530 単一サイトへのXenAppおよびXenDesktopの追加 Web Interface 5.2または5.3を使用して XenAppまたはXenDesktopを単一のサイト に追加するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Citrix Web Interface管理]の順に選択します。 2. 左ペインで[XenApp Webサイト]を選択します。 3. 中央ペインでサイトを右クリックし、[サーバーファーム]を選択します。 4. [サーバーファームの管理]ダイアログボックスで[追加]をクリックします。 5. サーバーファームの設定を完了したら[OK]を2回クリックします。 XenDesktopのエクスペリエンスを最適化するには、WebInterface.conf構成ファイルで設 定UserInterfaceBrandingをDesktopsに変更します。 531 XenApp 5.0へのAccess Gatewayを経 由するユーザー接続の作成 XenApp 5.0およびXenDesktop 4.0では、Access Gatewayを経由して送信される接続のみ を受け入れるようにサーバーを構成できます。 XenAppおよびDesktop Delivery Controller のサーバープロパティを変更するには、Access管理コンソールを使用します。 注: この手順は、Access Gatewayアプライアンスと共にCitrix Access Controllerを展開 する場合にのみ有効です。 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [ Access管理コンソール]の順に選択します。 2. 次のどちらかを行います。 Desktop Delivery Controllerを構成するため、[Citrixリソース] > [Desktop Delivery Controller]の順に展開して、サーバーファームを選択します。 • XenApp 5.0を構成するため、[Citrixリソース] > [XenApp]の順に展開して、 サーバーファームを選択します。 3. [共通のタスク]で、[サーバーファームのプロパティの変更]>[すべてのプロパティ の変更]の順にクリックします。 • 4. [サーバーファームプロパティ]ダイアログボックスで、[プロパティ] > [サーバー ファーム全体]の順にクリックし、[接続のアクセス制御]をクリックします。 5. [Citrix Access Gateway接続のみ]をクリックし、[OK]をクリックします。 532 XenApp 6またはXenDesktop 5へのユー ザー接続の作成 XenApp 6またはXenDesktop 5では、Access Gatewayを経由する接続のみを受け入れるよ うにサーバーを構成できます。 Access Gatewayを参照するデリバリーサービスコンソール またはDesktop Studioでフィルターを構成します。 Access Gateway接続または特定の属性を持つAccess Gateway接続に適用するポリシーを 作成できます。 認証の種類、ログオンポイント、ユーザーデバイス情報、エンドポイント解析などの要素に 基づいて、さまざまなアクセスシナリオに対応できるXenApp 6のポリシーを作成できます。 XenAppでは、クライアント側ドライブのマッピング、コピーと貼り付け、およびローカル プリンターでの印刷の機能を、公開アプリケーションにアクセスするために使用されるログ オンポイントに基づいて有効にすることができます。 Access Gateway接続にポリシーを適用する ために必要な条件 Citrix XenAppまたはXenDesktopでAccess Gateway接続をフィルターするには、Access Gatewayで次の作業を行う必要があります。 • • • • • • SmartAccessログオンポイントを作成します。 詳しくは、「Access Gatewayで SmartAccessログオンポイントを構成するには」を参照してください。 Access Gatewayクラスター名とアクセス条件を選択します。 サーバーファームがAccess Gateway接続を許可する構成になっていることを確認しま す。Access Gateway接続はデフォルトで許可されています。 XenAppで、[XML要求を信頼する]設定が有効なコンピューターポリシーを作成しま す。 XenDesktopで、PowerShellを使用して[XML要求を信頼する]ポリシーを有効にする コマンドを作成します。 XenAppとXenDesktopでユーザーポリシーを作成し、Access Gatewayのポリシーをフィ ルターとして設定します。 これらの設定を構成するには、このセクションの付加的なトピックを参照してください。 533 Access Gateway接続のために XenApp 6.0のポリシーフィルターを作 成するには 1. XenAppサーバーで[スタート] > [すべてのプログラム] > [Citrix] > [管理コン ソール] > [デリバリーサービスコンソール]の順に選択します。 2. 左ペインで[ポリシー]を選択します。 3. 中央ペインで[ユーザー]タブをクリックします。 4. [Citrixユーザーポリシー]の[新規]をクリックします。 5. [新規ポリシー]ページで[ポリシーを識別するための情報を入力します。]の下の[ 名前]ボックスに、名前と説明を入力します。 6. [次へ]を2回クリックします。 7. フィルターのページで[フィルター]ボックスの[アクセス制御]をクリックして、[ 追加]をクリックします。 8. [新規アクセス制御フィルター]ダイアログボックスで[追加]をクリックします。 9. [新規アクセス制御フィルター要素]ダイアログボックスで[接続の種類]ボックスの [Access Gateway経由]を選択します。 Access Gatewayポリシーの内容にかかわらずAccess Gatewayを経由するすべての接続 にポリシーを適用するには、[AGファーム名]ボックスと[アクセス条件]ボックスを デフォルトのままにします。 10. Access Controllerを使用して、Access Controllerのポリシーに基づいてAccess Gatewayを経由する接続にポリシーを適用するには、次の手順に従います。 a. [AGファーム名]ボックスにAccess Controllerクラスターの名前を入力します。 b. [アクセス条件]ボックスにXenAppで使用するAccess Controllerフィルターの名 前を入力します。 重要: XenAppではAccess Controllerクラスター、サーバー、およびフィルター名は 検証されません。 情報が正しいことを確認してください。 11. [OK]を2回クリックし、[次へ]、そして[保存]をクリックします。 534 XenApp 6.0のXML信頼ポリシーを作成 するには 更新日: 2012-05-03 XML信頼ポリシーの構成により、Citrix XML Serviceで受信する要求を信頼するかどうかを 指定します。 IPsecやファイアウォールなどのセキュリティ技術を使用して、信頼されるサー バーだけがCitrix XML Serviceと通信するように設定してからこの設定を有効にしてくださ い。 XML Serviceに送信される要求を信頼するということは、Access Gatewayから渡される情 報をXenAppで使用して、アプリケーションへのアクセスとセッションポリシーを制御でき るということを意味します。 この情報には、Access Gatewayフィルターの結果が含まれま す。この結果を基に、公開アプリケーションへのアクセスを制御したりセッションポリシー を適用したりできます。 Citrix XML Serviceへの要求を信頼しない場合、この追加情報は無 視されます。 1. XenAppサーバーで[スタート] > [すべてのプログラム] > [Citrix] > [管理コン ソール] > [デリバリーサービスコンソール]の順に選択します。 2. 左ペインで[ポリシー]を選択します。 3. 中央ペインで[コンピューター]タブをクリックします。 4. [Citrixコンピューターポリシー]の[新規]をクリックします。 5. [新規ポリシー]ページで[ポリシーを識別するための情報を入力します。]の下の[ 名前]ボックスに名前を入力し、[次へ]をクリックします。 6. [このポリシーにより適用される設定を選択します。]ページで[設定]ボックスの一 覧を[XML要求を信頼する]へスクロールして、[追加]をクリックします。 7. [XML要求を信頼する]ダイアログボックスの[有効]をクリックし、[OK]をクリッ クします。 8. 新規ポリシーウィザードを完了します。 535 Access Gateway接続のために XenDesktop 5のポリシーフィルターを 作成するには 1. XenDesktopサーバーで[スタート] > [すべてのプログラム] > [Citrix] > [管理 コンソール] > [Desktop Studio]の順に選択します。 2. 左ペインで[HDXポリシー]を展開して[ユーザー]を選択します。 3. [ユーザー]の[新規]をクリックします。 4. [新規ポリシー]ダイアログボックスで[ポリシーを識別するための情報を入力します。 ]の下の[名前]ボックスに、名前を入力します。 5. [次へ]を2回クリックします。 6. [新規ポリシー]ダイアログボックスのフィルターのページで[フィルター]ボックス の[アクセス制御]をクリックして、[追加]をクリックします。 7. [新規フィルター]ダイアログボックスで[追加]をクリックします。 8. [新規フィルター要素]ダイアログボックスで[接続の種類]ボックスの[Access Gateway経由]を選択します。 Access Gatewayポリシーの内容にかかわらずAccess Gatewayを経由するすべての接続 にポリシーを適用するには、[AGファーム名]ボックスと[アクセス条件]ボックスを デフォルトのままにします。 9. Access Controllerを使用して、Access Controllerのポリシーに基づいてAccess Gatewayを経由する接続にポリシーを適用するには、次の手順に従います。 a. [AGファーム名]ボックスにAccess Controllerクラスターの名前を入力します。 b. [アクセス条件]ボックスにXenDesktopで使用するAccess Controllerフィルター の名前を入力します。 重要: XenDesktopではAccess Controllerクラスター、サーバー、およびフィルター 名は検証されません。 情報が正しいことを確認してください。 10. [OK]を2回クリックし、[次へ]、そして[作成]をクリックします。 536 XenDesktop 5のXML信頼ポリシーを作 成するには XML信頼ポリシーの構成により、Citrix XML Serviceで受信する要求を信頼するかどうかを 指定します。 IPsecやファイアウォールなどのセキュリティ技術を使用して、信頼されるサー バーだけがCitrix XML Serviceと通信するように設定してからこの設定を有効にしてくださ い。 XMLの信頼を構成するには、Desktop Studioでファイアウォール規則を設定して、信 頼されているWeb Interfaceサーバーのみに接続を許可します。 ファイアウォール規則を設 定した後で、PowerShellコマンドを使用してXMLの信頼を有効にします。 SmartAccessログオンポイントおよびフィルターに対してXMLの信頼を構成します。 基本 ログオンポイントに対して信頼を構成する必要はありません。 XML Serviceに送信される要求を信頼するということは、Access Gatewayから渡される情 報をXenDesktopで使用して、デスクトップへのアクセスとセッションポリシーを制御でき るということを意味します。 この情報には、Access Gatewayフィルターの結果が含まれま す。この結果を基に、仮想デスクトップへのアクセスを制御したりXenDesktopのセッショ ンポリシーを適用したりできます。 Citrix XML Serviceへの要求を信頼しない場合、この追 加情報は無視されます。 XenDesktopでXMLの信頼ポリシーを構成するには、PowerShellの次のコマンドを使用しま す。 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false コマンドを$falseに設定すると、シングルサインオン中にSmartAccessフィルターは無視さ れます。 コマンドを$trueに設定すると、SmartAccessフィルターが受け入れられて XenDesktopアクセスポリシーで使用できるようになります。 XenDesktop 5でのPowerShellによるXMLの信頼ポリシーの構成について詳しくは、次のト ピックを参照してください。 537 • Getting Started with PowerShell in XenDesktop 5 • PowerShell Help • XenDesktop SDKについて Web Interfaceでのユーザーによるパス ワード変更の有効化 ログオンポイントのホームページとしてWeb Interface 5.4を構成する場合は、ユーザーに パスワードを変更させることができます。 これを行うには、WebInterface.confファイル内 のパラメーターを手動で変更します。 パラメーターは次のとおりです。 Name: AllowUserPasswordChange Possible values: Never | Expired-Only | Always Name: ShowPasswordExpiryWarning Possible values: Never | WindowsPolicy | Custom Name: PasswordExpiryWarningPeriod Possible values: Number of days between 0 and 999 注: パラメーターPasswordExpiryWarningPeriodは整数である必要があります。 たとえば、ユーザーがいつでもパスワードを変更できるようにし、パスワードが失効する7 日前に警告を表示するには、WebInterface.confの次の設定を使用します。 AllowUserPasswordChange=Always ShowPasswordExpiryWarning=Custom PasswordExpiryWarningPeriod=7 これらの設定を構成すると、Web Interfaceにリンクが表示されます。 ユーザーがリンクを クリックすると、Access Gatewayによりパスワードが変更されます。 この機能を実装する には、次の要件を満たす必要があります。 • • • 538 Access Gatewayに作成するLDAP認証プロファイルで、[Allow users to change password]チェックボックスをオンにする。 LDAP認証プロファイルで[Use secure connection]チェックボックスをオンにして、 接続に使用するポートとして389の代わりにセキュリティで保護されるLDAPポート636 を定義する。 LDAPサーバーのルート証明書を、信頼できる証明書としてAccess Gatewayにインストー ルする。 Web Interfaceとの通信のための Access Gatewayの構成 Access Gatewayは、XenAppまたはXenDesktopと連動するWeb Interfaceと通信するよう に構成できます。 基本ログオンポイントを構成すると、Access Gatewayにより自動的にス マートグループが作成され、ログオンポイントがスマートグループに割り当てられます。 基本ログオンポイントを構成する前に、Web Interfaceをインストールし、Web Interface が正常にネットワークと通信できることを確認してください。 基本ログオンポイントを構成 する場合は、少なくとも1台のSTA(Secure Ticket Authority)サーバーも構成する必要が あります。 Web Interfaceをホームページに設定する場合は、スマートグループ設定を構成してホーム ページを表示します。 539 Secure Ticket Authorityを使用するよ うにAccess Gatewayアプライアンスを 構成するには STA(Secure Ticket Authority)は、XenAppで公開されているリソースへの接続要求に対 してセッションチケットを発行します。 セッションチケットは、公開リソースへのアクセス を認証および承認するための基本機能です。 Access GatewayとSTA間の通信を保護する場合は、STAが動作するサーバーにサーバー証 明書をインストールしてください。 STAへの接続はデフォルトで保護されます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Applications and Desktops]の[Secure Ticket Authority]をクリックします。 3. [Secure Ticket Authority]パネルで[New]をクリックします。 4. [Secure Ticket Authority]ダイアログボックスの[Server]ボックスに、STAが動作 するサーバーの完全修飾ドメイン名を入力します。 5. [Connection type]で、接続を保護するかどうかを指定します。 6. [Port]ボックスに表示されるデフォルトのポート番号は、セキュリティで接続を保護 する場合は443で、保護しない場合は80です。 カスタムのポート番号を入力することも できます。 7. [Path]ボックスに表示されるデフォルトのパスは/Scripts/CtxSTA.dllですが、カスタ ムパスを入力することもできます。 8. [Add]をクリックします。 [Add]をクリックすると、STAの設定が[Security Ticket Authority]パネルに表示され ます。 この手順を繰り返して、STAが動作するサーバーを追加できます。 540 ICAアクセスの制御をAccess Gateway アプライアンスで構成するには Access Gatewayでユーザーがサーバーファーム内の特定のサーバーにしかアクセスできな いように制限するために、ICAのアクセス制御一覧を構成できます。 Citrix Online Plug-in を使用したユーザー接続を許可するには、ICAアクセスの制御を構成する必要があります。 アクセス制御一覧を構成しない場合は、ユーザーは公開アプリケーションまたはデスクトッ プにアクセスできません。 ICAのアクセス制御一覧を作成するには、サーバーファーム内でアクセスを許可するサーバー のIPアドレスの範囲を指定し、これらのサーバーに接続するためのプロトコルとポートを指 定する必要があります。 ICAのアクセス制御一覧を作成する場合は、XenAppまたはXenDesktopが動作するサーバー のうち、ユーザーにアクセスを許可するサーバーだけをアクセス制御一覧に追加しておきま す。 Access Gatewayは、この一覧にあるサーバーへのアクセスのみを許可します。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Applications and Desktops]の[XenApp or XenDesktop]をクリックします。 3. [ICA Access Control List]パネルで[New]をクリックします。 4. XenAppサーバーまたはXenDesktopサーバーのIPアドレスの範囲を指定するには、[ ICA Access Control List]ダイアログボックスの[Beginning IP address]ボックスと [Ending IP address]ボックスにIPアドレスを入力します。 5. [Protocol]で[ICA]または[Session reliability]をクリックします。 6. [Port]ボックスにポート番号を入力するか、デフォルトのポートを有効にします。 ICAコネクションのデフォルトポートは1494です。 セッション画面の保持機能を使用す る接続のデフォルトポートは2598です。 7. [Add]をクリックします。 541 Web Interfaceをログオンページとして 構成するには Access Gatewayの代わりにWeb Interfaceでユーザーが認証を受けるように、Access Gatewayを構成できます。 これを行うには、基本ログオンポイントでユーザーを認証するよ うに構成します。 ユーザーがログオンすると、Access Gatewayのログオンページの代わり にWeb Interfaceのログオンページが開きます。 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ログオンポ イントの名前を入力します。 5. [Type]ボックスの一覧から[Basic]を選択します。 6. [Authenticate with the Web Interface]チェックボックスをオンにしてから[Web Interface]にWeb InterfaceのURLを入力し、[Save]をクリックします。 542 XenApp Servicesサイトを使用するた めのAccess Gatewayの構成 Web InterfaceのXenApp Servicesサイトに対応するCitrix Online Plug-inまたはReceiver for Mobile Devicesを使用してユーザーが接続できるように、Access Gateway 5.0.2以降 を構成することができます。 これを行うには、XenApp Servicesサイトを使用するように Web Interfaceを構成してから、Access Gatewayで基本ログオンポイントを作成して認証 にWeb Interfaceを使用するように構成します。 ユーザーがログオンすると、コンピューター のデスクトップまたはモバイルデバイスから直接公開アプリケーションを起動できます。 ユー ザーにこの種類のアクセスを提供するための基本的な手順は次のとおりです。 1. Web InterfaceでXenApp Servicesサイトを作成して、FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)、STA(Secure Ticket Authority)、およびア クセス方法を設定します。 2. Access Gatewayで基本ログオンポイントを作成して、認証にWeb Interfaceを使用する ように構成します。 ユーザーがデフォルトのログオンポイントにログオンする場合は、Access Gatewayの FQDNのみを入力する必要があります。 ユーザーがデフォルトのログオンポイントにロ グオンしない場合は、Access GatewayのFQDNに加えてログオンポイントのフルパスも 入力する必要があります。 たとえば、ユーザーは「https://AccessGatewayFQDN/lp/ <ログオンポイント名>」と入力します。 3. 基本ログオンポイントで、XenApp Servicesサイトをホームページに設定します。 ホー ムページを構成するときにconfig.xmlファイルのフルパスを入力します。 たとえば、「 <Web Interfaceサーバー名>/citrix/pnagent/config.xml」と入力します。 4. Access GatewayでSTAおよびICAアクセス制御一覧を構成します。 ユーザーがCitrix Online Plug-inでログオンしてAccess GatewayのFQDNをサーバーアドレ スとして入力すると、XenApp Servicesサイトにアプリケーションが一覧表示され、ユーザー 接続がAccess Gatewayを経由して送信されます。 注: この機能を有効にするには、Access Gateway 5.0.2以降を展開する必要があります。 543 XenApp Servicesサイトを使用するためのAccess Gatewayの構成 XenApp Servicesサイトに接続するように Access Gatewayを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ほかと重複 しないログオンポイントの名前を入力します。 5. [種類]ボックスの一覧から[基本]を選択します。 6. [Authenticate with Web Interface]チェックボックスをオンにします。 7. [Web Interface]ボックスにXenApp Servicesサイトのconfig.xmlファイルのフルパ スを入力して、[Save]をクリックします。 544 Web Interfaceへのシングルサインオン のためのAccess Gatewayアプライアン スの構成 Access Gateway 5.0でWeb Interfaceへのシングルサインオンを構成できます。 Access Gatewayは次のソフトウェアに対応するWeb Interfaceと連動するように構成できます。 • XenApp 5.0 • XenApp 6.0 • XenDesktop 3.0 • XenDesktop 4.0 • XenDesktop 5.0 シングルサインオンを構成する前に、Web Interfaceが構成済みでWeb Interfaceと連動し ていることを確認してください。 基本ログオンポイントを使用して、またはスマートグループの一部として、Web Interface へのシングルサインオンを構成できます。ただし、スマートグループがWeb Interfaceをホー ムページとして使用する構成であることが条件です。 シングルサインオンを使用するようにAccess Gatewayを構成すると、次のような利点があ ります。 • • • 545 ユーザーはAccess Gatewayで1回認証を受けます。Web Interfaceには認証画面が表示 されません。 セキュリティで保護された受信HTTPSトラフィックをAccess Gatewayで終了し認証す るので、Web InterfaceをDMZ(Demilitarized Zone:非武装地帯)ではなくセキュリ ティで保護されたネットワーク内に配置できます。 セキュリティで保護されたネットワークに接続が達する前にAccess Gatewayでユーザー が認証を受けるので、Web Interfaceサーバーがセキュリティで保護されます。 基本ログオンポイントにWeb Interface へのシングルサインオンを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Points]で[Logon Points]をクリックします。 3. [Logon Points]パネルで[New]をクリックします。 4. [Logon Points Properties]ダイアログボックスの[Name]ボックスに、ログオンポ イントの名前を入力します。 5. [Type]ボックスの一覧から[Basic]を選択します。 6. [Authentication Profiles]の[Primary]ボックスの一覧で認証プロファイルを選択し ます。 7. [Single sign-on to Web applications]チェックボックスをオンにして、[Save]を クリックします。 546 スマートグループにWeb Interfaceへの シングルサインオンを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [Access Control]で[SmartGroups]をクリックします。 3. [SmartGroups]パネルで[Add]をクリックします。 4. [SmartGroups Properties]ダイアログボックスの[Name]ボックスに、スマートグ ループの名前を入力します。 5. [Home Page]の[Use specified home page]チェックボックスをオンにします。 6. [Web Address]ボックスにWeb InterfaceのURLを入力します。 7. [Type]ボックスの一覧から[Web Interface]を選択します。 8. [Single sign-on to Web application]チェックボックスをオンにして、[Save]をク リックします。 547 Web Interfaceでのシングルサインオン の構成 XenApp 5.0またはXenApp 6.0を使用するWeb Interfaceへのシングルサインオンを構成で きます。 XenAppへのシングルサインオンを構成するときは次のガイドラインに従います。 XenApp 5.0のためのガイドライン XenApp 5.0とWeb Interfaceのシングルサインオンを構成する場合は、次のガイドライン に従います。 • • XenAppのAccess管理コンソールで、Web Interfaceのサイトのアクセス方法に[ Advanced Access Control]を選択する必要があります。 認証サービスのURLの冒頭はHTTPまたはHTTPSにできます。 注: HTTPを使用するURLを構成する場合は、ユーザー資格情報はAccess Gatewayか らWeb Interfaceにクリアテキストで送信されます。 また、HTTPを使用する場合は、 Access Gateway Management Consoleでポート443へのリダイレクトを構成する必 要があります。 詳しくは、「ポート80から保護されたポートへの接続のリダイレクト」 を参照してください。 • • • Web InterfaceサーバーはAccess Gatewayの証明書を信頼し、証明書の完全修飾ドメイ ン名(FQDN)をAccess Gatewayの実際のIPアドレスに解釈できる必要があります。 Web InterfaceはAccess Gatewayへ接続できる必要があります。 Web InterfaceとAccess Gatewayの間にファイアウォールがある場合は、ファイアウォー ルの規則によってユーザー接続のシングルサインオンが妨げられる可能性があります。 Web InterfaceがAccess Gatewayと接続できるように、ファイアウォールの規則を緩和 してください。 XenApp 6.0のためのガイドライン XenApp 6.0とWeb Interfaceのシングルサインオンを構成する場合は、次のガイドライン に従います。 548 • Web Interface管理コンソールでパススルー認証を認証方法にします。 • サイトのプロパティの[認証方法]で自動ログオンを有効にします。 XenAppおよびXenDesktopのAccess Controllerとの統合 Access ControllerをXenAppおよびXenDesktopと統合して、公開リソースを含めた使用可 能なすべてのリソースに、ユーザーが共通のインターフェイスから簡単にアクセスできるよ うにすることができます。 たとえば、アクセスインターフェイス内にXenAppまたは XenDesktopのWebサイトを埋め込むことができます。 アクセスインターフェイスは Access Gatewayに搭載されているナビゲーションページで、Webリソースやファイル共有 などのほかのリソースの隣に、使用できる公開アプリケーションおよび公開デスクトップの 一覧を表示できます。 Access Controllerでアクセスインターフェイスを有効にします。 さらに、Access Controllerにより収集される情報を共有して、XenAppのポリシーベースの アクセス制御機能を拡張することができます。 Access ControllerのフィルターをXenAppの ポリシーに統合することによって、ユーザーがアクセスできる公開アプリケーションと、ユー ザーがそれらのアプリケーションにアクセスしたときに実行できる操作を制御できます。 こ の機能により、使用される認証強度やログオンポイント、およびユーザーデバイスのエンド ポイント解析の情報など、さまざまな要素に基づくシナリオに対応できるポリシーを作成で きます。 たとえば、Access Controllerで収集されたエンドポイント解析の情報をXenAppのポリシー に使用して、公開アプリケーションへのアクセスを制御できます。 また、クライアント側ド ライブのマッピング、コピーと貼り付け、およびローカルプリンターでの印刷の機能を、ユー ザーが公開アプリケーションにアクセスするために経由するログオンポイントに基づいて、 選択的に有効にすることができます。 ここでは、サポートされる展開のほか、XenAppとAccess Controllerを統合するために必要 な手順について説明します。 ポリシーの評価のためにAccess Controllerの情報をXenAppに 渡す場合は、次の作業も完了する必要があります。 • • 549 Access Controller上で、いくつかのフィルターを作成します。 フィルターの作成につい て詳しくは、「ポリシーフィルターの作成」を参照してください。 Access Controllerのフィルターを参照するポリシーをXenAppで作成します。 ポリシー の作成について詳しくは、XenAppのドキュメントを参照してください。 Access ControllerからXenAppまたは XenDesktopへのリンク Access ControllerをXenAppのファームにリンクすることができます。 この機能により、 XenAppの公開アプリケーションを、ファイルタイプの関連付け機能またはWeb Interface を通じて提供できます。 ファイルタイプの関連付けがポリシーにより許可されている場合は、 ユーザーがドキュメントを開くと、サーバー上の関連付けられたアプリケーションでファイ ルが開きます。 Access ControllerをXenAppのファームにリンクするには、次の作業を行います。 • • • • Access Controllerにリンクするファームを1つまたは複数指定する。 サーバーファームに複数のサーバーが含まれる場合は、負荷分散またはフェールオーバー を構成する。 NAT(Network Address Translation:ネットワークアドレス変換)が有効なファイア ウォールの内側にサーバーファームがある場合は、アドレスモードを構成する。 Access Controllerでは2つのアドレスモードがサポートされます。 [ゲートウェイ直接] がデフォルトの設定です。 XenAppがファイアウォールの内側にある場合は、[ゲート ウェイ代替]も使用できます。 Web InterfaceのWebリソースのためのアクセスポリシーには拡張アクセスを構成しま す。 これにより公開アプリケーションがWeb Interfaceに表示されるようになります。 Access Controllerをリンクする前に、XenAppで次の要件が満たされていることを確認して ください。 • • • Access Controllerでリソースの使用を許可されているユーザーグループに、公開リソー スが割り当てられていること。 各公開リソースについて、[Access Gateway Advanced Edition 4.0以降を使用した接 続を許可する]チェックボックスがオンになっていること。 このチェックボックスは、 公開リソースのプロパティのアクセス制御の設定ページにあります。 各サーバーのプロパティで、[Citrix XML Serviceへの要求を信頼する]チェックボック スがオンになっていること。 詳しくは、「XenApp 6.0のXML信頼ポリシーを作成するには」を参照してください。 XenAppでAccess Controllerからの接続を受け付けるようにするには、次の手順に従います。 550 Access ControllerからXenAppまたはXenDesktopへのリンク Access ControllerとXenAppをリンクするに は 1. Access Controllerクラスターでリソースの使用を許可されているユーザーグループに、 公開リソースが割り当てられていることを確認します。 2. Citrix XenAppで次の設定を行います。 • 各公開リソースのプロパティで、[Access Gateway Advanced Edition 4.0以降を 使用した接続を許可する]チェックボックスをオンにします。 このチェックボック スは、公開リソースのプロパティのアクセス制御の設定ページにあります。 各サーバーのプロパティで、[Citrix XML Serviceへの要求を信頼する]チェックボッ クスをオンにします。 3. 構成に公開アプリケーションを統合するには、次の手順に従います。 統合方法には次の ような選択肢があります。 • • • • 551 Web Interfaceで作成されたCitrix XenApp Webサイト: XenApp Webサイトに公 開アプリケーションを表示します。 ファイルタイプの関連付け: XenAppのファーム内のサーバー上で実行される、関 連付けられたアプリケーションでドキュメントを開きます。 サードパーティ製のポータル: XenApp Webサイトを、Microsoft SharePointのよ うなサードパーティ製のポータルに埋め込みます。 XenAppサーバーファームの指定 更新日: 2013-01-11 複数のXenAppサーバーをAccess Controllerに追加できます。 Access Controllerで、 Access Gatewayに接続するユーザーが使用できるサーバーファームの一覧を作成します。 この一覧は、ログオンポイントのユーザーが使用できるサーバーファームを指定するために、 ログオンポイントのプロパティで使用されます。 構成するサーバーファームのそれぞれにサー バー一覧があります。この一覧を使用して、サーバーファーム内のサーバー間での負荷分散 またはフェールオーバーを指定できます。 また、アクセス手段を指定する必要もあります。 詳しくは、「アクセス方法の選択」を参照 してください。 サーバーファームを指定するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]の順に展開し、サーバー ファームの一覧を作成したいAccess Controllerを選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[XenAppファーム] をクリックし、[新規]をクリックします。 5. Citrix XenAppファームの追加ウィザードで、[Citrix XenAppファームの名前]ボック スに、クラスターにリンクするファームの名前またはIPアドレスを入力します。 注: 50文字までの長さのサーバーファーム名を入力できます。 サーバーファーム名が50文 字を超える場合は、代わりにIPアドレスを入力します。 6. Access ControllerとXenAppの間のリンクを保護する場合は、[安全なプロトコルを使 用して、サーバーファームとの通信をセキュリティで保護する]チェックボックスをオ ンにします。 注: 安全なプロトコルを適用するには、Access ControllerサーバーとAccess Gatewayアプライアンスに適切な証明書をインストールしておく必要があります。 7. [次へ]をクリックし、[追加]をクリックします。 8. [サーバー名]ボックスに、Citrix XenAppが動作するコンピューターの名前を入力しま す。 9. [OK]、[完了]、[OK]をクリックします。 552 アドレスモードの構成 サーバーファームがファイアウォールの内側にあり、そのファイアウォールでNAT( Network Address Translation:ネットワークアドレス変換)が構成されている場合は、 ICAファイルに指定されるサーバーのアドレスモードを判定するための設定をAccess Controllerで定義できます。 クライアントIPアドレスのアドレスモードを構 成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]の順に展開し、アドレ スモードを構成したいAccess Controllerを選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[XenAppファーム] をクリックし、ファームを選択して[編集]をクリックします。 5. [サーバー]をクリックし、[サーバーアドレスのモード]ボックスの一覧で[ゲート ウェイ直接]または[ゲートウェイ代替]を選択します。 6. [OK]を2回クリックします。 553 Web Interfaceの統合 Access Controllerでは、Web Interfaceを使用して作成した公開アプリケーションを、次の いずれかの方法で統合できます。 • • アクセスインターフェイスにXenApp Webサイトを埋め込みます。 アクセスインターフェ イスをデフォルトのホームページとして選択した場合は、ファイル共有およびWebアプ リケーションと共に、XenApp Webサイトが表示されます。 SmartAccessログオンポイントのデフォルトのホームページとしてXenApp Webサイト を構成します。 ユーザーがログオンすると、XenApp Webサイトが表示されます。 SmartAccessログオンポイントでは、ユーザーに表示されるホームページは管理者が構成す るポリシーに基づいて決まります。 基本ログオンポイントの場合、ホームページとして Web Interfaceサイトを選択します。 注: Web Interfaceとそのドキュメントについては、Citrix eDocsライブラリの「テクノ ロジー」を参照してください。 XenApp Webサイトを統合するには この手順では、Access Controllerと統合するXenApp Webサイトを作成および管理するた めに、XenApp 5.0のAccess管理コンソールまたはXenApp 6.0のデリバリーサービスコン ソール、ならびにVersions 5.2以降のWeb Interface管理コンソールを使用する必要があり ます。 以前のバージョンのAccess管理コンソールやコマンドラインツールを使用して、新 しいバージョンのコンソールまたはデリバリーサービスコンソールで作成したサイトを管理 することはできません。 さらに、アクセス方法としてAccess Controllerを構成した XenApp Webサイトには、ユーザーはAccess Controllerを経由しなければアクセスできま せん。 サイトに直接アクセスしようとしても、拒否されます。 Access Controllerで次の作業を行います。 1. XenAppをAccess Controllerと通信するように構成します。 2. 次の設定で、XenApp WebサイトのWebリソースを作成します。 • [アプリケーションの種類]ボックスで[Citrix Web Interface]を選択します。 [ユーザーのリソース一覧に公開する]チェックボックスをオンにします。 Webリソースの作成について詳しくは、「Webリソースの作成」を参照してください。 • 3. XenApp Webサイトを参照するWebリソースに適切なポリシー設定を指定します。 4. 次のいずれかの方法で、XenApp Webサイトへのアクセスを許可します。 • 554 デフォルトのホームページとしてXenApp Webサイトを表示する: 表示優先度が最 も高いホームページアプリケーションを表示するように、ログオンポイントを構成し ます。 次に、最高の優先度を持つアプリケーションとして、XenApp Webサイトを 構成します。 Web Interfaceの統合 • アクセスインターフェイスにXenApp Webサイトを埋め込む: アクセスインターフェ イスをホームページとして表示するように、ログオンポイントを構成します。 XenApp Webサイトは、アクセスインターフェイスにフレームとして埋め込まれま す。 詳しくは、「Access Controllerでのログオンポイントの作成」を参照してください。 5. Web Interfaceで、次の設定を行います。 Web Interfaceの構成について詳しくは、 Citrix eDocsライブラリの「テクノロジー」でWeb Interfaceのドキュメントを参照して ください。 a. サイトのアクセス方法を指定するとき、[ゲートウェイ直接]をクリックします。 注: アクセス方法として[ゲートウェイ代替]も選択できます。 b. Access ControllerのAuthentication ServiceのURLを入力します。 Web InterfaceとAccess Controllerの両方でワークスペースコントロールおよびセッション のタイムアウトの設定が正しく構成されていることを確認します。 555 ワークスペースコントロールの維持 ユーザーがAccess Controllerにログオンするとき、ユーザーが入力する資格情報を使用して、 クラスターのプロパティに指定されているXenAppのサーバーファームのワークスペースコ ントロール機能が提供されます。 複数のサイトが表示される環境では、ユーザーがAccess ControllerとXenApp Webサイトへのログオンに別の資格情報を入力する場合は、アプリケー ションを切断したり、アプリケーションに再接続したりできない可能性があります。 複数の資格情報を持つユーザーに対してワークスペースコントロール機能を維持するには、 STA(Secure Ticket Authority)を定義して、ファームにログオンするユーザーをAccess Gatewayで認証できるようにする必要があります。 556 Access ControllerとWeb Interfaceの 設定の調整 XenAppの一部の設定は、Access ControllerとWeb Interfaceの構成でも使用できます。 た だし、Access Controllerに統合するXenApp Webサイトは複数のログオンポイントから参 照される可能性があるため、あるログオンポイントではXenApp Webサイトがアクセスイン ターフェイスページに埋め込まれ、別のログオンポイントでは同じサイトがデフォルトのホー ムページとして表示されるということが起こりえます。 これにより、公開アプリケーション の設定の一部で矛盾が発生する可能性があります。 意図するとおりに設定が機能することを 保証するため、デリバリーサービスコンソールで次のように設定を構成します。 • • 557 ワークスペースコントロール: XenApp Webサイトをホームページとするすべてのログ オンポイントについて、Access Controllerのワークスペースコントロールのすべての設 定を無効にします。 これにより、Web Interface内で構成した設定が使用されます。 ほ かのすべてのログオンポイントでは、思いどおりにワークスペースを構成できます。 セッションのタイムアウト: すべてのログオンポイントで、XenApp Webサイトと同じ 設定を使用します。 Web Interfaceへのシングルサインオン のためのAccess Controllerの構成 Access Gatewayでユーザーを認証し、Access ControllerにWeb Interfaceを構成する場合 は、Web Interfaceへのシングルサインオンを有効にする必要があります。 Web Interface でユーザーを認証する場合は、シングルサインオンを無効にする必要があります。 シングルサインオンが有効な場合、ユーザーがログオンしAccess Gatewayでユーザーの資 格情報が確認されると、ユーザーは自動的にWeb Interfaceにログオンします。 シングルサインオンはデリバリーサービスコンソールで有効または無効にします。これは、 Webリソースを作成してアプリケーションの種類をWeb Interfaceに設定するときに行いま す。 Web Interfaceへのシングルサインオンを有 効または無効にするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、シングルサインオン を構成したいAccess Controllerの順に展開します。 3. [リソース]を展開し、[Webリソース]を選択します。[共通のタスク]の[Webリ ソースの作成]をクリックします。 4. [Webリソース名]ボックスと[説明]ボックスにWebリソースの名前と説明を入力し、 [次へ]をクリックします。 5. [アドレスの構成]ページで[新規]をクリックします。 6. [新しいWebアドレス]ダイアログボックスの[Webアドレス]ボックスに、Web Interfaceの完全修飾ドメイン名を入力します。 Web Interfaceへの接続をセキュリティ で保護する場合は、プレフィックスに「https://」を使用します。 そうでなければ、デ フォルトのプレフィックスである「http://」を使用します。 7. [アプリケーションの種類]ボックスの一覧から[Citrix Web Interface]を選択します。 8. [シングルサインオンを有効にする]チェックボックスをオンにして、[OK]、[次へ] をクリックします。 9. アクセスポリシーの作成方法を選択して[完了]をクリックします。 558 Access ControllerでのSecure Ticket Authorityの追加 XenAppでは、Web InterfaceおよびSTA(Secure Ticket Authority)と連携して、ユーザー デバイスの認証と承認を実行します。 Access Gateway経由でWeb Interfaceを使用して公 開アプリケーションへのアクセスを提供するには、デリバリーサービスコンソールで Access Gateway用のSTA設定を構成する必要があります。 また、アクセスインターフェイ ス内でXenApp Webサイトの表示を有効にするときにも、ワークスペースコントロール機能 を保つためにこれらの設定を構成します。 STAを使用するようにAccess Controllerを構 成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]、STA設定を構成した いAccess Controllerの順に展開します。 3. [Access Gatewayアプライアンス]を選択し、[共通のタスク]の[Access Gateway アプライアンスのプロパティの編集]をクリックします。 4. [Access Gatewayアプライアンス - グローバルプロパティ]ダイアログボックスで Secure Ticket Authorityをクリックし、[新規]をクリックします。 5. [Secure Ticket Authorityの追加]ダイアログボックスの[STAサーバーの名前または アドレス]ボックスに、STAがインストールされているXenAppサーバーのIPアドレスま たは完全修飾ドメイン名を入力します。 6. STAへの接続を保護するには、[セキュリティで保護された通信を使用する]チェック ボックスをオンにします。 7. [STAパス]に、STAのパスを入力します。 デフォルトのパスは、 /Scripts/CtxSta.dllです。 8. [STA ID]ボックスにSTAのIDを入力するか、[STA IDの取得]をクリックしてサー バーとパスに基づいてIDを自動的に入力し、[OK]を2回クリックします。 559 Access ControllerへのICAアクセスの 制御の追加 Citrix XenAppとXenDesktopでは、ICA(Independent Computing Architecture)プロト コルを使用してユーザーソフトウェアとサーバーの間の通信を行います。 Access Gateway Plug-inを使用せず、ICAトラフィックをトンネリングするためのプロキシとしてAccess Gatewayを使用する場合は、どのXenAppサーバーとXenDesktopサーバーにユーザーがア クセスできるかを制御することができます。 そのためには、デリバリーサービスコンソール でACL(Access Control List:アクセス制御一覧)を設定します。 ユーザーがAccess Controllerを経由して公開アプリケーションまたはデスクトップを要求するとき、管理者が 設定するACLに基づいてアクセス権が付与または拒否されます。 Citrix Online Plug-inを使用したユーザー接続を許可するには、ICAアクセスの制御を構成す る必要があります。 アクセス制御一覧を構成しない場合は、ユーザーは公開アプリケーショ ンまたはデスクトップにアクセスできません。 Access Gateway経由でWeb Interfaceを使用して公開アプリケーションとデスクトップを 配信する場合は、Web Interfaceの設定にAccess Gatewayの完全修飾ドメイン名を構成す る必要があります。 重要: 公開アプリケーションがネットワークリソースとして構成されている場合は、ここ で指定するACLは適用されません。 560 Access ControllerへのICAアクセスの制御の追加 ICAアクセスの制御を構成するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Access Gatewayアプライアンス]を選択し、[共通のタスク] の[Access Gatewayアプライアンスのプロパティの編集]をクリックします。 3. [Access Gatewayアプライアンス - グローバルプロパティ]ダイアログボックスで[ ICAアクセスの制御]をクリックして、[新規]をクリックします。 4. [ICAアクセスの制御]ダイアログボックスの[開始IPアドレス]ボックスおよび[終了 IPアドレス]ボックスに、一覧に含めるXenAppサーバーのIPアドレスの範囲を入力しま す。 5. [ポート]ボックスにポート番号を入力するか、デフォルトのポートを有効にします。 6. [プロトコル]ボックスの一覧から、使用するプロトコルを選択します。 • 選択されたサーバーへの接続でICAまたはSOCKSを許可する場合は、[ICA]を選択 します。 ICAまたはSOCKSでの接続を受け付けるXenAppサーバーに対しては、通 常はこのオプションを選択します。 選択されたサーバーへの接続でセッション画面の保持機能を許可する場合は、[CGP] を選択します。 セッション画面の保持機能が有効な接続を受け付けるXenAppサー バーに対しては、通常はこのオプションを選択します。 7. 必要な情報を入力したら[OK]を入力します。 • 8. ログを有効にするには[ログを有効にする]チェックボックスをオンにして[OK]をク リックします。 561 ファイルタイプの関連付けの構成 Access Controllerでファイルタイプの関連付けが許可されている場合は、ユーザーがドキュ メントを開く操作をすると、XenAppサーバーファームで実行される、ドキュメントの種類 に関連付けられたアプリケーションでそのドキュメントが開きます。 たとえば、ファイルタ イプの関連付けが構成されているファイル共有内のドキュメントをユーザーが開くと、その ドキュメントは公開アプリケーションで開きます。 ファイルタイプの関連付けは、ファイル 共有およびWebリソースで使用できます。 ファイル共有およびWebリソースでファイル タイプの関連付けを構成するには ファイルタイプの関連付けを構成する前に、XenAppの公開アプリケーションの設定で必要 な関連付けが指定されていることを確認してください。 たとえば、ユーザーがビットマップ 画像ファイル(拡張子が.bmpのファイル)を開くときに公開アプリケーションが起動するよ うにするには、その公開アプリケーションの設定で、拡張子が.bmpのファイルが関連付けら れていることを確認します。 1. Citrix XenAppをAccess Controllerと通信するように構成します。 2. クラスターにリンクするファームを1つまたは複数指定します。 3. ログオンポイントで使用できるXenAppのサーバーファームを指定します。 詳しくは、 「Access Controllerでのログオンポイントの作成」を参照してください。 4. ファイル共有またはWebリソースのアクセスポリシーを作成し、ファイルタイプの関連 付けのアクセス制御を有効にして許可します。 詳しくは、「ユーザーの操作を制御する ポリシーの作成」を参照してください。 562 負荷分散またはフェールオーバーの構成 Access Controllerでは、XenAppサーバーに送信される要求負荷を分散できます。 [ XenAppファームプロパティ]ダイアログボックスの[サーバー]ページの一覧の順序に従っ て、要求が送信されます。 最初の要求は一覧の最初のサーバーへ、次の要求は2番目のサー バーへ、というように送られます。 最後のサーバーに達すると、一覧の最初のサーバーから また処理が始まります。 重要: データコレクターまたはマスターICAブラウザーサーバーをサーバー一覧に追加し て、解決要求が発生したときの不要なネットワークトラフィックを最小化し、アプリケー ションの一覧表示が円滑に処理されるようにすることをお勧めします。 詳しくは、Citrix eDocsライブラリのXenAppのドキュメントを参照してください。 サーバーに接続できなくなる場合に備えて、一覧をフェールオーバーの順序付けに使用でき ます。 公開リソースへのアクセスが中断されないようにするために、フェールオーバーのサ ポートを使用します。 サーバー一覧は、負荷分散またはフェールオーバーの順序付けに使用できますが、両方の目 的で同時に使用することはできません。 デフォルトでは、サーバー一覧はフェールオーバー に使用されます。 563 負荷分散またはフェールオーバーの構成 負荷分散またはフェールオーバーのサポートを 実装するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. [Access Gateway]、を展開し、負荷分散またはフェールオーバーのサポートを実装 したいAccess Controllerを選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 4. [Access Controllerクラスタープロパティ]ダイアログボックスで[XenAppファーム] をクリックし、ファームを選択して[編集]をクリックします。 5. [XenAppファームプロパティ]ダイアログボックスで[サーバー]をクリックし、[上 に移動]または[下に移動]をクリックして、サーバーの順序を変更します。 6. 次のいずれかのオプションを選択します。 • サーバー間の要求の負荷分散 サーバー停止時のフェールオーバー 7. 停止したサーバーの回避時間を変更するには、[停止したサーバーの回避時間]ボック スに表示されている値(分単位)を変更します。 デフォルトは5分です。 • 8. アクセス方法を変更するには、[サーバーアドレスのモード]ボックスの一覧で方法を 選択します。 9. [OK]を2回クリックします。 564 サードパーティ製ポータルの統合 Microsoft SharePointなどのサードパーティ製ポータルにXenApp Webサイトを組み込んで、 ほかのWebアプリケーションやWebコンテンツと並べて公開アプリケーションへの便利なア クセス方法を提供することができます。 Access Controllerをこのような構成に統合すると、 ファイル、WebコンテンツとWebアプリケーション、および公開アプリケーションに対する、 ポリシーベースの細分化された制御を提供できます。 注: Web Interface for Microsoft SharePointは、Web InterfaceとSharePointを統合す るためのWebパーツです。 Web Interface for Microsoft SharePointについて詳しくは、 Citrix eDocsライブラリの「テクノロジー」でWeb Interfaceのドキュメントを参照して ください。 汎用的なサードパーティ製のポータルにXenApp Webサイトを統合するには、 そのポータルでIFRAMEベースのWebコンテンツの表示をサポートしている必要がありま す。 XenApp Webサイトをポータルに表示するに は 1. XenAppをAccess Controllerと通信するように構成します。 詳しくは、「XenAppおよ びXenDesktopのAccess Controllerとの統合」を参照してください。 2. 次の設定で、XenApp WebサイトのWebリソースを作成します。 • SharePointと統合する場合は、[アプリケーションの種類]ボックスの一覧で[ Microsoft SharePoint(Web Interface Webパーツ使用)]を選択します。 汎用的なサードパーティ製ポータルと統合する場合は、[アプリケーションの種類] ボックスの一覧で[Citrix Web Interface]を選択します。 Webリソースの作成について詳しくは、「Webリソースの作成」を参照してください。 • 3. [ユーザーのリソース一覧に公開する]チェックボックスをオンにします。 4. XenApp Webサイトを参照するWebリソースに適切なポリシー設定を指定します。 5. XenApp Webサイトを含むSharePointサイトまたはサードパーティ製のポータルのWeb リソースを作成し、適切なポリシー設定を指定します。 6. アクセス方法としてAccess Controllerを使用するように、Web InterfaceでXenApp Webサイトを次のように構成します。 a. サイトのアクセス方法を指定するとき、[ゲートウェイ直接]または[ゲートウェイ 代替]をクリックします。 アクセス方法について詳しくは、「アクセス方法の選択」 を参照してください。 b. Access ControllerのAuthentication ServiceのURLを入力します。 7. Web InterfaceとAccess Controllerの両方でワークスペースコントロールおよびセッショ ンのタイムアウトの設定が正しく構成されていることを確認します。 詳しくは、「 Access ControllerとWeb Interfaceの設定の調整」を参照してください。 565 Access Gateway 5.0の保守と監視 Citrix Access Gatewayをインストールして構成した後は、様々な機能とツールを使用して アプライアンスおよびCitrix Access Controllerを保守できます。 Access Gateway Management Consoleの[Snapshots]パネルを使用して、新しいバー ジョンのAccess Gatewayソフトウェアをアップロードしたり、以前の構成に戻したりでき ます。 アプライアンスを再構築する必要がある場合は、My Citrixから入手できるImaging Toolを 使用できます。 Imaging Toolをダウンロードするには 1. http://www.citrix.comにアクセスし、[Citrix]の下の[My Citrix]をクリックします。 2. My Citrixにログオンし、[Downloads]をクリックします。 3. [Search Downloads by Product]ボックスの一覧から[Access Gateway]を選択し ます。 4. Access Gatewayのバージョンを選択して、[Appliance Firmware]の下でImaging Toolの[Get Software]をクリックします。 5. エンドユーザーライセンス契約に合意して[Download Now]をクリックします。 6. [Install]をクリックしてZIPファイルをコンピューターに保存します。 ダウンロードの後でソフトウェアをUSBストレージデバイスにコピーして、Access Gatewayのイメージを再構築できます。 注意: Access GatewayソフトウェアをUSBストレージデバイスにコピーするとき、デバ イス上のすべてのデータが消去されます。 USBストレージデバイスに重要な情報が含まれ ていないことを確認してください。 さらに、USBポートにUSBストレージを接続した状態 でコンピューターまたはAccess Gatewayを再起動すると、コンピューターまたはAccess Gatewayの再構築が試行されます。 ネットワーク環境に合わせてAccess Gatewayアプライアンスを構成した後は、アプライア ンスを保守するために次の作業を行えます。 • スナップショットの作成による構成設定の管理。 • アプライアンスソフトウェアのアップグレード。 • Access Gateway 5.0ソフトウェアの再インストール。 • Access Gatewayの再起動または電源切断。 クラスター内のCitrix Access Controllerサーバーを構成した後は、Access Gateway環境を 管理するためにさまざまな作業を行います。 これらの作業を行うことによって、円滑かつ効 果的に機能するように環境をセットアップします。 566 Access Gatewayでのイベントログのセッ トアップ Access Gateway Management Consoleを使用して、Access Gatewayのログファイルを外 部サーバーにアーカイブできます。 デフォルトでは、Access Gatewayのログファイルはロー カルに保存されます。 Access Gatewayを構成して、監査のために特定のユーザー活動を記録できます。 たとえば、 成功したログオン試行、Web電子メールやファイル共有などのリソースへの失敗したアクセ ス試行、およびエンドポイント解析スキャンの結果を監視できます。 Management Consoleの[Monitor]パネルで、Access Gatewayのネットワーク活動を表 示したり、監査ログ、情報ログ、エンドポイント解析スキャンログ、およびデバッグログの 詳細を表示したりできます。 次のアプライアンスデータも表示できます。 • 567 アプライアンスのホスト名やアプライアンスで実行中のソフトウェアのバージョンなど のシステム情報 • アプライアンスのフェールオーバーやログの転送が有効かどうかなどの実行情報 • アプライアンス上のアクティブなセッションの数 • スマートグループやデバイスプロファイルが有効かどうかなどの構成情報 Access Gatewayで使用できるイベント ログの種類 Access Gatewayでは、次の4種類のイベントログがサポートされます。 • • • • 監査ログ: ユーザー関連のイベントは監査ログに格納されます。 この情報は法令順守と セキュリティのために使用します。 情報ログ: システム特有のイベントは情報ログに格納されます。 この情報はAccess Gatewayで発生する問題を解決するために使用します。 たとえば、システムがインター フェイスにバインドしない場合、イベントがシステムログに記録されます。 デバッグログ: テクニカルサポートの技術者はデバッグログを使用して、綿密なデバッ グとトラブルシューティングを行います。 技術者はさまざまなデバッグレベルを使い分 け、Access Gatewayの構成に基づいてメッセージをログに記録するかどうかを決定し ます。 エンドポイント解析スキャンログ: デバイスプロファイルスキャンの結果はエンドポイ ント解析スキャンログに格納されます。 この情報を使用して、失敗したスキャンに関連 する問題を監査し、トラブルシューティングをします。 デバイスプロファイルスキャン が失敗すると、管理者に提示するための参照番号がユーザーに表示されます。 この参照 番号を使用してログファイルを検索し、スキャンの失敗についての情報を見つけます。 注: デバッグログ以外のすべてのログファイルは、Access Gatewayからリモートサーバー に手動で転送することも、自動転送をスケジュールすることもできます。 568 Access Gatewayでのイベントログの構 成 Access Gatewayのイベントログを外部サーバーにアーカイブできます。 ファイルを手動で アーカイブすることも、ファイルを予定した間隔で自動的にアーカイブすることもできます。 リモートサーバーを構成するには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Logging]をクリックします。 3. [Access Gateway Logging]パネルの[Remote Server Settings]で次のオプション を設定します。 • [Server]ボックスに、リモートサーバーのIPアドレスまたはホスト名を入力しま す。 • [Username]ボックスにユーザー名を入力します。 • [Password]ボックスにユーザーのパスワードを入力します。 • [Confirm password]ボックスにパスワードを再入力します。 • [Transfer protocol]ボックスの一覧から次のどちらかを選択します。 • SCP: SCP(Secure Copy Protocol)を使用すると、SSH(Secure Shell)プロ トコルで暗号化してファイルをコンピューター間で転送できます。 FTP: FTP(File Transfer Protocol)を使用すると、暗号化なしでファイルを コンピューター間で転送できます。 [Port]ボックスにサーバーのポート番号を入力します。 • • • [Remote directory]ボックスに、リモートサーバー上でログファイルを格納する ディレクトリパスを入力します。 [Log type]で、リモートサーバーにアーカイブするログファイルの種類を[EPA] (エンドポイント解析)、[Info](情報)、および[Audit](監査)の各チェッ クボックスをオンにして選択します。 4. [Save]をクリックします。 • リモートサーバーにログファイルを転送するに は ログファイルをリモートサーバーに手動で転送することも、自動アーカイブをスケジュール することもできます。 569 Access Gatewayでのイベントログの構成 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Logging]をクリックします。 3. [Access Gateway Logging]パネルの[Log Settings]で次のオプションを設定しま す。 • • • • 570 ログファイルでローカル時刻を使用するには、[Use local time in logs]チェック ボックスをオンにします。 ログファイルをローカルにアーカイブする予定の間隔を変更するには、[Archive logs every]ボックスの一覧から[4]または[8](時間)を選択します。 ログファイルを自動的にアーカイブするには、[Transfer archived log files automatically]チェックボックスをオンにして、[Transfer logs every]ボックス の一覧から[4]、[8]、または[16](時間)を選択します。アーカイブしたファ イルがこの間隔でリモートサーバーに転送されます。 ログファイルを今すぐに保存して転送するには、[Transfer Now]をクリックしま す。 Access Gatewayのログの表示 Access Gatewayの監査ログ、情報ログ、エンドポイント解析ログ、およびデバッグログに は、Access Gatewayの問題を解決する上で役に立つリアルタイムの接続情報が含まれてい ます。 ログの詳細を確認することにより、アプライアンスの安定性に影響をおよぼす変化を 追跡できます。 Access Gateway Management Consoleの[Monitor]タブで、Access Gatewayアプライアンスのログを表示できます。 Access Gatewayのログを表示するには 1. Access Gateway Management Consoleで[Monitor]をクリックします。 2. [System and Configuration Information]の[Running Information]の、次の項 目のいずれかをクリックします。 • Audit Log:ユーザー関連のイベント情報を表示します。 • Info Log:システム特有のイベント情報を表示します。 • EPA Log:デバイスプロファイルおよびエンドポイント解析スキャンのイベント情報 を表示します。 Debug Log:テクニカルサポートの技術者が問題のトラブルシューティングに使用 する情報を表示します。 3. ログファイルのデータをWebブラウザーで表示するには、[Text]をクリックします。 • 571 Access Gatewayのログをフィルターす るには Access Gateway Management Consoleの[Monitor]タブで、監査ログ、情報ログ、エン ドポイント解析ログ、およびデバッグログのエントリをフィルターして、特定の情報を表示 できます。 1. Access Gateway Management Consoleで[Monitor]をクリックします。 2. [System and Configuration Information]の[Running Information]の、次の項 目のいずれかをクリックします。 • Audit Log:ユーザー関連のイベント情報を表示します。 • Info Log:プラットフォームまたはシステム特有のイベント情報を表示します。 • EPA Log:デバイスプロファイルおよびエンドポイント解析スキャンのイベント情報 を表示します。 Debug Log:テクニカルサポートの技術者が問題のトラブルシューティングに使用 する情報を表示します。 3. [Search]ボックスに検索文字列を入力してからフィルター記号をクリックして、検索 キーワードを適用します。 • ログ全体を再表示するには、フィルターのクリア記号をクリックして検索キーワードを クリアします。 572 Access Gateway Plug-inの接続ログの 表示 Access Gateway接続ログには、接続情報がリアルタイムで記録されます。このログは、 Access Gateway Plug-inの接続に関する問題のトラブルシューティングに役立ちます。 接 続ログは、ユーザーデバイス上のAccess Gatewayアイコンから開きます。 ユーザーは、接 続に関する問題を解決するときにこの情報を管理者に送信できます。 接続ログを表示するには 1. 通知領域のAccess Gateway Plug-inアイコンを右クリックして、[接続ログ]を選択し ます。 このセッションの接続ログが表示されます。 注: 接続ログは、ユーザーのコンピューターの%Temp%\cag_plugin_connection_ log.txtに書き込まれます。 ログファイルは新しいAccess Gateway接続が確立される たびに上書きされます。 クライアント接続ログで詳細モードを有効にす るには ユーザーから接続ログを受け取るときは、詳細モードを有効にしたログの送信を依頼するこ とをお勧めします。これにより、証明書検証などの問題解決のため、詳細な情報を得られま す。 1. 通知領域のAccess Gatewayアイコンを右クリックして、[接続ログ]を選択します。 2. [オプション]メニューの[詳細モード]を選択します。 573 Access Controller環境の管理 クラスター内のCitrix Access Controllerサーバーを構成した後は、環境を管理するためにさ まざまな作業を行います。 これらの作業は、環境が円滑かつ効果的に機能するように、確実 にセットアップするために役立ちます。 次のことを実行できます。 • • • • • クラスター管理を目的とする、複数のコンピューターへのデリバリーサービスコンソー ルのインストール ユーザーアクセスの管理を目的とする、デリバリーサービスコンソールのセキュリティ 保護 証明書によるAccess Controllerのセキュリティの強化 バックアップの作成および複数のSQL Serverデータベースから構成されるクラスターの 作成 Access Controller構成データのインポートおよびエクスポート このセクションでは、これらの設定を構成してAccess Controllerクラスターを維持する方法 について説明します。 574 複数のコンソールを使用したアクセス制 御 Citrixデリバリーサービスコンソールでクラスターに接続する場合、ほかの管理者も別のコン ソールインスタンスを介して同時に、アクティブにクラスターを管理できます。 同じ構成設 定に複数の変更が行われた場合、変更が発生した時刻のタイムスタンプに基づいて、最初に 保存された変更がデータベースに書き込まれます。 別々の管理者が2つの変更を同時に保存 する場合は、後のタイムスタンプの変更が優先されます。 コンソールインスタンスがクラスターに接続するときに別のインスタンスが検出されると、 ユーザーに通知されます。 構成を変更しても、コンソールの各インスタンスがそれぞれの変 更を保存する時刻によっては、変更が上書きされる可能性があります。 メッセージを確認し たことを認め、ダイアログボックスを閉じるには、[はい]をクリックします。 重要: 複数のコンソールを同時に使用してAccess Controllerを管理すると、データが破 損したりサーバーパフォーマンスに一貫性がなくなったりすることがあります。 クラスター を管理するために同時に複数のコンソールインスタンスを開かないことをお勧めします。 ポリシーの割り当てにおけるグループの使用 通常の管理方法としては、ドメインユーザーグループまたは認証機関のユーザーグループだ けにポリシーを割り当てるのが良い方法です。 リモートコンピューターでコンソールを使用 して、コンピューターのローカルユーザーをポリシーに割り当てると、ほかのコンソールか らそのポリシーを編集するときに、エラーメッセージが表示されることがあります。 Access Controllerサーバー上のコンソールを使用して、そのようなポリシーを削除または編 集することができます。 575 COM+を使用したデリバリーサービスコ ンソールのセキュリティ保護 組織のニーズに応じて、ほかの管理者にクラスター内のAccess Controllerサーバーの管理を 許可することができます。 COM+のロールベースセキュリティを使用することで、Citrixデ リバリーサービスコンソールを使用してクラスターに変更を加えられるユーザーを指定でき ます。 Access Gateway Server COM+アプリケーションに適用される次の3つのセキュリティロー ルが、インストール中に作成されます。 • • • 管理者: このロールに含まれるユーザーは、コンソールを使用してAccess Controller環 境に変更を加えることができます。 非アプライアンス管理者: このロールに含まれるユーザーは、リソースとポリシーにだ け変更を加えることができます。 このロールが割り当てられているユーザーには、 Access Gatewayアプライアンスの設定は変更できません。 また、このロールが割り当 てられているユーザーには、管理者ロールを割り当てるべきではありません。 これら2 つのロールが割り当てられた場合、非アプライアンス管理者ロールは有効になりません。 システム: システムロールには、Access Gateway Server COM+アプリケーションへ のアクセスが必要な、サービスアカウントおよびそのほかのローカルアカウントが含ま れます。 管理者ロールまたは非アプライアンス管理者ロールにユーザーを追加すると、そのユーザー にはコンソールに加えてアプリケーションにより公開されるAPIへのアクセスも与えられる 可能性があります。 ほかのユーザーを管理者ロールに追加する前に、すべてのリスクについ て注意深く検討してください。 重要: システムロールに含まれるアカウントは、Access Controllerを機能させるために 必要です。 また、ユーザーを管理者ロールまたは非アプライアンス管理者ロールに追加す る前に、デリバリーサービスコンソールを閉じる必要があります。 システムロールのアカ ウントが変更されたり、COM+セキュリティが適用されるときにコンソールが開いていた りすると、クラスターが機能を停止し、データが失われる可能性があります。 576 COM+を使用したデリバリーサービスコンソールのセキュリティ保護 デリバリーサービスコンソールの使用を管理者 に許可するには 1. デリバリーサービスコンソールが開いている場合は閉じます。 2. [スタート] > [すべてのプログラム] > [管理ツール] > [コンポーネントサービ ス]の順に選択します。 3. [コンポーネントサービス]ウィンドウで、[コンポーネントサービス] > [コンピュー ター] > [マイコンピューター] > [COM+アプリケーション]の順に展開します。 4. [Access Gateway Library] > [ロール]の順に展開し、追加するユーザーに適切な ロールを選択します。 • ユーザーに、コンソールを使用してすべてのクラスター設定へのアクセスを許可する 場合は、[管理者]を展開します。 ユーザーに、リソースとポリシーのみへのアクセスを許可する場合は、[非アプライ アンス管理者]を展開します。 5. [ユーザー]を右クリックし、[新規作成]、[ユーザー]の順に選択します。 • 6. [ユーザーまたはグループの選択]ダイアログボックスに追加するユーザーアカウント を入力し、[OK]をクリックします。 7. Access Gateway Library COM+アプリケーションを再起動します。 8. Access Gateway Server COM+アプリケーションについて、手順4.~7.を実行します。 577 Access GatewayとAccess Controller の間のセキュリティの有効化 Access GatewayとAccess Controllerの間で渡される、すべてのメッセージのセキュリティ が保護されます。 各メッセージには、タイムスタンプ、Access Gateway ID、および認証 トークンが含まれ、Access Controller上の共有キーから派生するキーにより暗号化されます。 さらに、パスワード、暗証番号、およびセッションIDが、Access GatewayとAccess Controllerの間のすべての通信で暗号化されます。 証明書を使用して、Access GatewayとAccess Controllerの間の追加的なセキュリティを有 効にすることができます。 これを行うには、IIS(Internet Information Services:インター ネットインフォメーションサービス)で証明書の要求を作成して、証明機関または Microsoft Active Directory証明書サービスにより署名された証明書を取得します。 署名済 みの証明書を受け取ったら、Windowsサーバー上の証明機関を使用して、証明書をサーバー にダウンロードしてインストールします。 証明書をサーバーにインストールしたら、IISの既定のWebサイトのSSL設定を使用して、サ イトバインドを構成します。 種類を[https]にしてポートを443に設定します。 既定の WebサイトのSSL設定で[SSLが必要]チェックボックスをオンにすることによって、セキュ リティが保護されていない接続(HTTP)を使用した接続試行を無効にすることができます。 詳しくは、Windows Server 2008のオンラインヘルプを参照してください。 証明書とSSL設定をWindowsサーバーで構成したら、Access ControllerとAccess Gatewa yでセキュリティが保護された通信を有効にします。 Access Controllerでセキュリティが保護され た通信を有効にするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. [タスク]の[Webサービスの設定]をクリックします。 3. [このサーバーとの通信をセキュリティで保護する]チェックボックスをオンにして、 [OK]をクリックします。 Access Gatewayでのセキュリティが保護さ れた通信の有効化 対応するルート証明書をAccess Gatewayにインストールする必要があります。 証明書をイ ンストールしたら、[Deployment Mode]パネルを使用してセキュリティが保護された通 信を有効にします。 578 Access GatewayとAccess Controllerの間のセキュリティの有効化 Access Gatewayにルート証明書をインストー ルするには 1. Access Gateway Management Consoleで[Certificates]をクリックします。 2. [Import]をクリックして[Trusted Certificate(.pem)]を選択します。 3. 証明書を選択して、[開く]をクリックします。 [Display All]の一覧に証明書が表示されます。 Access Gatewayでセキュリティが保護され た通信を有効にするには 1. Access Gateway Management Consoleで[Management]をクリックします。 2. [System Administration]の[Deployment Mode]をクリックします。 3. [Access Controller Settings]の[Secure connection]チェックボックスをオンにし て[Save]をクリックします。 [Secure connection]チェックボックスをオンにすると、ポートが自動的に443に変更 されます。 このポート番号も、別のポート番号も使用できます。 579 クラスターの可用性の維持 Access Controllerでは、データベースサーバー上のSQLデータベースで、クラスターのすべ ての構成、セッション、およびユーザーデータが管理されます。 データベースサーバーが停 止すると、Access Controllerでユーザーまたはサーバーの要求に応答するためのデータを取 得できなくなります。 Access Controllerサーバーが停止すると、ユーザーはサーバーにロ グオンできず、リソースにアクセスできなくなります。 ここでは、クラスターの可用性を最 大限に高める方法について説明します。 • • • SQLデータベースのバックアップを作成する。 最初のバックアップを作成した後は、必 ず、適切な間隔で定期的に、データベースをバックアップする必要があります。 さらに、 バックアップからデータを復元できるかどうか検証する必要があります。 データベースサーバーをクラスター化する。 クラスタリングにより、最初のデータベー スサーバーが停止したときに、もう1台のデータベースサーバーによってクラスターの運 用が続行されます。 Access Controllerでは、クラスター化されたサーバーは単一のデー タベースサーバーとして認識されます。 Access Controllerサーバーをクラスター化する。 データベースサーバーと同様に、クラ スター化することによって、停止したAccess Controllerサーバーの代わりに、もう1台 のAccess Controllerサーバーで運用が続行されます。 ユーザーは引き続きサーバーにロ グオンし、リソースにアクセスできます。 構成データのエクスポートおよびインポート Citrixデリバリーサービスコンソールを使用して、クラスター構成データをエクスポートおよ びインポートできます。 この機能は、たとえば、準備環境のクラスターの構成データを保存 し、実務環境のクラスターにコピーする場合などに役立ちます。 クラスターの構成をエクスポートすると、圧縮されたXMLファイルから構成されるCABファ イルが作成されます。XMLファイルには次のデータが含まれます。 • ホームページアプリケーションの表示順序、ライセンスサーバー、および認証プロファ イルなどの、クラスターのグローバルな設定 • XenAppファームの設定 • ネットワークリソースおよびWebリソースの設定 • ログオンポイントの設定 • ポリシーの設定 • エンドポイント解析の設定 • Access Gatewayアプライアンスの設定 次のデータはエクスポートされません。 • 580 クラスター名 クラスターの可用性の維持 • • ユーザーセッションのデータなど、Access Controllerサーバーが動作しているときにだ け有効なデータ コンピューター名などのサーバー情報 クラスター構成をエクスポートした後は、同じバージョンのAccess Controllerサーバーが動 作する別のサーバーにCABファイルをコピーして構成を復元できます。 クラスター構成をエクスポートする前に、次の条件について理解しておく必要があります。 • 同じバージョンのAccess Controllerを使用してエクスポートしたCABファイルだけしか インポートできません。 たとえば、Version 5.0のAccess Controllerが動作するクラス ターの構成をエクスポートするとします。その構成データは、Version 5.0が動作する Access Controllerサーバーにだけインポートできます。 別のバージョンのAccess Controllerが動作するサーバーに構成データをインポートすると、インポートは失敗しま す。 注: 以前のバージョンのAccess Controllerから構成データをインポートする場合は、 まず移行ウィザードを使用して、Version 5.0が動作するクラスターへデータをインポー トする準備をする必要があります。 Access Controllerへの構成データの移行について 詳しくは、「Access Gateway Advanced Editionからの移行」を参照してください。 • • クラスター構成データの増分エクスポートまたは増分インポートはサポートされません。 クラスター全体の構成だけをエクスポートまたはインポートできます。 クラスター構成データをインポートすると、既存のクラスター構成が削除され、インポー トされた構成データで置き換えられます。 注: クラスター構成データをインポートする前に、クラスターが接続するSQLデータベー スのバックアップを作成しておくことをお勧めします。 クラスター構成をエクスポートするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]の順に展開し、設定を エクスポートしたいAccess Controllerを選択します。[そのほかのタスク]の[クラス ターのエクスポート]をクリックします。 3. [構成データのエクスポート先ファイル]ボックスにCABファイルを作成する場所を入 力して、[次へ]をクリックし、[完了]をクリックします。 [次へ]をクリックすると、XMLファイルがCABファイルに圧縮され指定した場所に保存さ れます。 581 クラスターの可用性の維持 クラスター構成をインポートするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]の順に展開し、設定を インポートしたいAccess Controllerを選択します。[そのほかのタスク]の[クラスター のインポート]をクリックします。 3. [構成データのインポート元ファイル]ボックスにインポートするCABファイルの場所 を入力して、[次へ]をクリックし、[完了]をクリックします。 [次へ]をクリックすると、CABファイルが展開され、既存の構成データがインポートされ た構成データで置き換えられます。 重要: 構成設定をインポートする前に、現在の構成をバックアップしてください。 582 サービスアカウントとデータベースアカ ウントの資格情報の変更 サービスアカウントは、Access Controllerにログオンし管理するために使用する管理者アカ ウントです。 サーバー構成を使用して、サービスアカウントのユーザー名とパスワードを変 更できます。 サービスアカウントを変更するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. 左ペインの[サービスアカウント]をクリックします。 3. [ユーザー名]ボックス、[パスワード]ボックス、および[ドメイン]ボックスに新 しい資格情報を入力して、[OK]をクリックします。 Access Controllerを異なるデータベースに接 続するには Access Controllerサーバーを異なるデータベースに参加させるには、サーバー構成を使用し てデータベース設定を変更します。 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [サー バー構成]の順に選択します。 2. 左ペインの[クラスター情報]をクリックします。 3. [構成データベースサーバー]ボックスに、データベースの名前を入力します。 4. [クラスター名]ボックスにクラスターの名前を入力して、[OK]をクリックします。 583 セッションの監視 Access Controllerセッションビューアーはセッション監視ツールです。管理者はこのツール を使用してクラスターへのユーザーアクセスを確認したり、ユーザーセッションを終了した りできます。 注: セッションビューアーを実行するには管理者権限が必要です。 セッションビューアー を実行するために、管理者がAccess Controllerセッションを確立する必要はありません。 セッションビューアーには管理者がログオンしているサーバーまたはほかのAccess Controllerサーバーからのデータが表示されます。 このデータには、次の項目が含まれます。 • クライアント言語:ユーザーデバイスに設定されている言語です。 • ゲートウェイサーバー:接続しているユーザーが経由するAccess Gatewayです。 • ログオンポイント:接続しているユーザーが使用したログオンポイントです。 • • • セッションの種類:ユーザーの接続方法で、Access Gateway Plug-in、Citrix Online Plug-in、またはクライアントレスアクセスです。 非アクティブなトラフィックのタイムアウト:セッションがタイムアウトするまでの期 間です。 ユーザーエージェント:ユーザーデバイスで接続に使用されているWebブラウザーの種 類です。 • ユーザードメイン:接続しているユーザーが経由するWindowsドメインです。 • ユーザー名:ログオンしているユーザーの名前です。 • Web Interface埋め込みモード:管理者の構成により、アクセスインターフェイスまた はWebブラウザーウィンドウにWeb Interfaceが埋め込まれるかどうかを示します。 たとえば、次のような値が表示されます。 クライアント言語=en-US ゲートウェイサーバー=10.199.241.10 ログオンポイント=lp1 セッションの種類=CVPN 非アクティブなトラフィックのタイムアウト=1440 ユーザーエージェント=Mozilla/4.0(compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618) ユーザードメイン=AGDEV ユーザー名=aaa Web Interface 埋め込みモード=はい 584 セッションの監視 セッションビューアーにアクセスするには 1. [スタート] > [すべてのプログラム] > [Citrix] > [Access Gateway] > [セッ ションビューアー]の順に選択します。 [セッション]ペインでセッションを選択すると、[セッション値]ペインにセッションの データが表示されます。 [セッション]ペインの列見出しをクリックして、セッションを並 べ替えることができます。 ユーザーセッションを終了するには 1. [セッション]ペインで終了するユーザーセッションを選択します。 2. [セッションの終了]をクリックします。 管理者がセッションを終了した後でユーザーがリソースにアクセスしようとすると、ユーザー にエラーページが表示されます。ユーザーは再度ログオンする必要があります。 585 内部ネットワークリソースへのアクセス の監査 Access Controllerのイベントログ機能を使用して、ネットワークリソースへのユーザーアク セスを監査し監視することができます。 イベントログを使用して、次のことが行えます。 • 規制基準に準拠していることを立証する。 • 社内特有の基準に準拠していることを立証する。 • 意図されたアクセス方法の迂回など、既存の脆弱性に能動的に対処する。 • 586 ネットワークリソースへのユーザーアクセスに関連するトラブルシューティングについ て、サポート担当者を支援する。 監査ログの構成 Access Controllerを構成して、監査のために特定のユーザー活動を記録できます。 たとえ ば、エンドポイント解析スキャンの結果と成功したログオンの試行を監視できます。 イベン トログ設定を構成する前に収集すべき必要な情報を判断して、関連するイベントに対するロ グだけを有効にする必要があります。 これにより、ログの記録によってシステムのパフォー マンスに悪影響を与えたり、不要なハードディスク領域を使用したりすることを防ぎます。 さらに、能率的にデータを評価するには、監査プロセスに関連する情報だけをログに記録す る必要があります。 次の表は、イベントログを介して監査できるイベントを示しています。 イベント 説明 エンドポイント解析 の結果 エンドポイント解析の結果をすべてログに記録します。 ユーザー デバイスのチェック項目ごとに、Access Controllerによって3つの イベントが生成されます。 最初のイベントには、ユーザーデバイ スから採取したエンドポイント解析の未加工データが含まれます。 2番目のイベントには、Access Controller内での解析に基づくチェ ック結果(真/偽)が含まれます。 3番目のイベントには、ログオ ンページを表示する要件に特有の結果(真/偽)が含まれます。 ログオンページの拒 否 管理者が構成する要件によりログオンページがユーザーに表示され なかったときに、ログに記録します。 ログオンの許可 成功したWindows NT認証情報がドメインコントローラーに渡さ れたときに、ログに記録します。 ユーザーが有効な資格情報を送 信しても、ポリシーの制限によりアクセスが拒否された場合は、ロ グに記録されません。 ログオンの拒否 失敗したWindows NT認証情報がドメインコントローラーに渡さ れたとき、または「ログオンの許可」のポリシーによってログオン ページへのユーザーアクセスが拒否されたときに、ログに記録しま す。 ユーザーのログオフ ユーザーがセッションを閉じたときに、ログに記録します。 セッションのタイム アウト セッションがタイムアウトしたときに、ログに記録します。 セッ ションのタイムアウト値はログオンポイントで構成します。 リソースアクセスの 許可 ユーザーがアクセス許可を持つリソースをログに記録します。 重要: 監査ログの構成はクラスターレベルで設定し、クラスター内のすべてのリソースに 適用されます。 したがって、クラスターが複数のサーバーに分散している場合は、各サー バーで監査ログが書き込まれます。 イベントログを構成するための手順の概要は、次のとおりです。 • • 587 クラスター内でログに記録するイベントを指定する: デリバリーサービスコンソールを 使用して、クラスター内のサーバーによってログに記録される、イベントの種類を指定 します。 クラスター内の各サーバーで、ログを構成する: Windowsのイベントビューアーを使用 して、各サーバーのログを構成します。これには、ログサイズの上限の指定や、イベン 監査ログの構成 トをいつ上書きするかの指定などが含まれます。 デフォルトでは、監査ログ CitrixAGEAuditのファイルサイズの上限は5,120KBで、上書きされる前に7日間保存さ れます。 ファイルサイズの上限に達したときにこの保存期間より古いイベントがファイ ルに含まれない場合は、新しいイベントは追加されません。 この構成が監査のニーズに 適さない場合は、ログのファイルサイズを大きくし、イベントの上書き設定を変更でき ます。 • 複数のイベントログを単一のビューに統合する: クラスター内の各サーバーで、それぞ れのイベントログが維持されます。 Access Controllerのイベントログコンソリデーター を使用して、クラスター内のすべてのサーバーからイベントログデータを収集し、それ らのデータを単一の統合されたビューに表示します。 イベントログコンソリデーターで データを収集した後は、ユーザーアクセスやリソースアクセスなどに基づいてさまざま なレポートを作成し、さらにデータを解析できます。 クラスターを対象にログに記録するイベントを 選択するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]、[Access Gateway]の順に展開し、監査し たいAccess Controllerを選択します。 3. [共通のタスク]の[クラスターのプロパティの編集]をクリックします。 [Access Controllerクラスタープロパティ]ダイアログボックスが開きます。 4. [イベントログ]ページで次の監査項目オプションから選択します。 • • • エンドポイント解析のスキャン結果 ログオンページの拒否、ログオンの許可、ログオンの拒否、ユーザーのログオフ、お よびセッションのタイムアウトについてのログオンポイントデータ Webリソース、ファイル共有、およびネットワークリソースについてのリソースデー タ 注: イベントログコンソリデーターでセッションに基づくレポートを生成するには、 「ログオンの許可」イベントのログを有効にする必要があります。 Access Controllerサーバーのログ設定を構成 するには Access Controllerの監査情報をWindowsのイベントビューアーで構成するには、管理者ま たはAdministratorsグループのメンバーとしてログオンする必要があります。 Access Controllerで監査を有効にして構成したら、Windowsのイベントビューアーを使用 して、次の監査ログ設定を構成します。 588 • ログファイルのサイズの上限の指定 • イベントを上書きする条件の決定 監査ログの構成 重要: デフォルトでは、監査ログCitrixAGE Auditのファイルサイズの上限は5,120KBで、 上書きされる前に7日間保存されます。 ファイルサイズの上限に達したときにこの保存期 間より古いイベントがファイルに含まれない場合は、新しいイベントは追加されません。 この構成が監査のニーズに適さない場合は、ログのファイルサイズを大きくし、イベント の上書き設定を変更できます。 1. Access Controllerが動作するサーバーのWindowsのイベントビューアーを開きます。 2. コンソールツリーで、[アプリケーションとサービスログ]を展開し、[CitrixAGE Audit]を選択します。 3. プロパティを必要に応じて構成します。 4. クラスター内のすべてのサーバーについて、このタスクを実行します。 イベントログの結果を統合するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]を展開し、[Access Gateway]を選択します。 3. [そのほかのタスク]の[イベントの表示]をクリックします。 4. [イベントログコンソリデーター]ウィンドウで、[ファイル]メニューの[構成]を 選択します。 [構成]ダイアログボックスが開きます。 5. [ポーリング間隔(秒)]ボックスに、イベントログコンソリデーターでAccess Controllerサーバーから監査ログデータを収集する間隔を秒単位で指定して、[OK]を クリックします。 6. [ファイル]メニューの[収集]を選択して、Access Controllerサーバーのポーリング を開始します。 重要: 過剰なログとポーリングは、システムのパフォーマンスに影響を与える可能性があ ります。 したがって、クラスターの不要なイベントはログに記録しないようにします。 また、イベントログコンソリデーターによる監査ログデータも、必要以上にポーリングし ないようにします。 589 監査イベントの解釈 Access ControllerによってWindowsのイベントビューアーに監査情報が書き込まれます。 次の表は、解釈できる監査イベント情報を示します。 フィールド 説明 参照ID ログに記録される各イベントに割り当てられる参照番号です。 ユーザー名 リソースにアクセスする、認証されたユーザーの名前です。 開始日付 要求が開始された日付です。 開始時刻 要求が開始された時刻です。 終了日付 要求が終了された日付です。 終了時刻 要求が終了された時刻です。 ログオンポイント ログオンポイントの名前です。 ログはクラスターレベルで有効になりますが、ログファイルは各サーバーで管理されます。 クラスターのすべてのサーバーからログ情報を収集して単一のビューに表示するには、イベ ントログコンソリデーターを使用します。 データの解釈を促進するために、イベントログコ ンソリデーターを使用してイベントを並べ替え、レポートを生成できます。 イベントログコンソリデーターでログ結果を表 示するには 1. [スタート] > [すべてのプログラム] > [Citrix] > [管理コンソール] > [デリ バリーサービスコンソール]の順に選択します。 2. コンソールツリーで、[Citrixリソース]を展開し、[Access Gateway]を選択します。 3. [そのほかのタスク]の[イベントの表示]をクリックします。 4. [イベントログコンソリデーター]ウィンドウで、イベントを並べ替えレポートを生成 します。 590 リソースへのユーザーアクセスに関する トラブルシューティング ユーザーがネットワークリソースにアクセスできない理由は、エンドポイント解析スキャン の不合格、誤った認証資格情報、ポリシーに基づく制限など、多岐にわたります。 多くの場 合、ユーザーにはアクセスが拒否される理由がわかりません。 したがって、問題解決のため サポート担当者に支援を求めます。 エンドポイント解析スキャンが失敗したために、ユーザーがログオンポイントへのアクセス を拒否されると、固有の値がユーザーのWebブラウザーに表示されます。 この情報は、それ ぞれPolicyReferenceまたはEPAReferenceの値として、イベントログにも記録されます。 そのため、エラーが発生した場合は、参照番号を記録してサポート担当者に連絡するように、 ユーザーに指示します。参照番号があれば、効率的にトラブルシューティングができるから です。 サポート担当者はこの情報を使用して、特定のイベントをすばやく検索して見つけ出 し、問題解決を始めることができます。 さらに、サポート担当者は「監査イベントの解釈」 の表を参考にイベントを評価できます。 591
© Copyright 2024 Paperzz
