TECHNICAL BRIEF FirePass における簡単 SSL-VPN I. はじめに FirePass の 6.0 の新機能である「ネットワークアクセスのみのウェブトップ」の利用により、ネットワークア クセスのみを必要とする環境ではより簡単な SSL-VPN 接続が可能です。この機能を使うと、FirePass にログ インした直後、ネットワークアクセスの SSL-VPN トンネルが自動的に開始、トンネルが設立したらブラウザ が自動的にシステムトレーへの最小化されます。そしてこの機能をクライアント証明書によるパスワード無し でのログインと組合せば、ユーザのパソコンのお気に入りより One Click で SSL-VPN へ接続する簡単なアク セスが実現できます。このドキュメントはクライアント証明書とネットワークアクセスのみのウェブトップの 設定及び利用について説明します。 II. 概要 通常の場合、FirePass をアクセスする際、ユーザ名とパスワードを入力した上でログインを行います。しかし、 クライアント証明書を利用する場合、パスワード無しでのログインが可能になります。その場合のアクセス手 順は下記の図1に表示されます。クライアントが証明書を FirePass へ送るため、その証明書を予めにクライ アントのパソコンにインストールする必要があります。 図1:クライアント証明書によるログイン F5 Networks Japan K.K. 1 May 17, 2005 TECHNICAL BRIEF そしてネットワークアクセスも通常、ログイン後にユーザが明示的にリンクをクリックすることにより開始す るものです。その場合、別のポップアップウィンドウにおいてネットワークアクセスの状態が表示されます。 しかし「ネットワークアクセスのみのウェブトップ」を設定しますと 1 つのブラウザウィンドウにネットワー クアクセスが自動的に開始します。下記の図2で表示さています。 図 2:ネットワークアクセスのみのウェブトップによる SSL-VPN III. 設定その1:ネットワークアクセスのみのウェブトップ ネットワークアクセスのみのウェブトップを利用するには、まずネットワークアクセスを含むリソースグルー プを作成する必要があります。次に実際のネットワークアクセスのリソースを設定します。最後に「ネットワ ークアクセスのみのウェブトップ」の設定を、マスターグループにて設定します。設定のフローは下記の図3 に表示されています。 図3:ネットワークアクセスのみのウェブトップ設定のフロー F5 Networks Japan K.K. 2 May 17, 2005 TECHNICAL BRIEF 設定の詳細手順 ① 管理コンソールへアクセス。 ② ユーザーのメニューを開き、グループをクリックし、その下に表示されるリソースグループの項目をクリ ック。画面の右側にリソースグループの設定画面が表示されます。 ③ 新しいグループを作成のボタンをクリック。新しいグループを作成という画面が表示されます。 図4:①~③の設定画面 ④ グループ名を入力し、作成ボタンをクリック。リソースグループの画面に戻ります。そして新しいグルー プがリストに追加されています。 ⑤ 作成したグループのネットワークアクセスの列の下にある編集のリンクをクリック。ネットワークアクセ スメニューのリソース項目の設定画面に切り替わります。 ⑥ クライアントの設定などのタブにて、通常通りのネットワークアクセス設定を行います(本ドキュメント に含めておりませんので、詳細は FirePass Admin Guide に参照してください。 ) 図5:④~⑤の設定画面 F5 Networks Japan K.K. 3 May 17, 2005 TECHNICAL BRIEF ⑦ ネットワークアクセスのみのウェブトップ関連の設定を行います。 (ア) クライアントの設定のタブの下に、追加の設定にて「以下のエンドポイントプロテクションによる 自動起動」のチェックボックスをチェック (イ) ドロップダウンリストより「全てのエンドポイント設定」を選択し、適用ボタンをクリック。 図6:⑦ (ア)~(イ)の設定画面 (ウ) カスタマイズタブの下に、カスタマイズの項目にて「ネットワークアクセスへの接続に成功すると、 Window を最小化する」及び「最小化されたとき、タスクバーのエントリの代わりに、トレイアイ コンを使用」のチェックボックスをチェック。 図7:⑦(ウ)の設定画面 F5 Networks Japan K.K. 4 May 17, 2005 TECHNICAL BRIEF ⑧ ユーザーメニュに戻って、グループの下にあるマスターグループの項目をクリック。マスターグループの 設定画面が開きます。 ⑨ 新しいマスターグループを作成のボタンをクリック。新しいグループを作成の画面が表示されます。 ⑩ このグループは次の「設定その 2」で利用しますので、予めに認証方法をクライアント証明書に設定しま す:グループ名を入力し、グループのユーザ及び認証方法のドロップダウンリストそれぞれにて、「ロー カル」と「クライアント証明書(パスワード無し)」を選択。作成のボタンをクリック。マスターグルー プの設定画面が表示されます。 図8:⑧~⑩の設定画面 ⑪ ユーザー画面設定のタブの下に、ネットワークアクセスのみのウェブトップの項目にて、「ネットワーク アクセスのみのウェブトップを使用」のチェックボックスをチェック。 図9:⑪の設定画面 F5 Networks Japan K.K. 5 May 17, 2005 TECHNICAL BRIEF ⑫ リソースグループのタブで④で作成したリソースグループマスターグループに追加します: (ア) 使用可能のリストからリソースグループのグループ名を選択。 (イ) 追加ボタンをクリック。グループ名が選択済みのリストに追加されます。 (ウ) 更新ボタンをクリック。 図10:⑫の設定画面 上記の⑪のステップが終わったら、ネットワークアクセスのみのウェブトップの設定が完了となります。次に、 ⑩のステップでクライアント証明書を利用するマスターグループを作成したため、そのマスターグループにロ グインするためのユーザーを追加し、そしてそのユーザーのクライアント証明書を作成する必要があります。 IV. V. 設定その2:クライアント証明書によるログインの設定 クライアント証明書によるログインを行うには、まずクライアント証明書を利用するマスターグループを設定 する必要があります。設定その1でそのマスターグループを作成しましたので、設定その2では次のステップ、 ユーザの追加及びクライアント証明書の発行、インストールについて説明します。フローは下記の図11に表 示されます。 図11:クライアント証明書による自動ログインの設定フロー F5 Networks Japan K.K. 6 May 17, 2005 TECHNICAL BRIEF 設定の詳細手順 クライアントルート証明書の作成 ① デバイス管理のメニューにて、セキュリティの下にある証明書の項目をクリック。証明書の設定画面が開 きます。 ② クライアントルート証明書と CRL のインストールの下にある自己署名証明書をクリック。自己署名クラ イアントルート証明書の作成画面が表示されます。(本ドキュメントは自己署名証明書の設定のみを説明 しますので、クライアントのルート証明書を既に持っていた場合、そのインストール方法は FirePass の Admin Guide にご参照ください。 ) 図12:①~②の設定画面 ③ 全項目を入力した上で証明書の作成のボタンをクリック。自己署名クライアントルート証明書の確認画面 が表示されます。 ④ 証明書保存ボタンをクリック。サービスの再起動が必要というメッセージが表示されます。 ⑤ 再起動するには、ここをクリックしてくださいのリンクをクリック。再起動の確認画面が表示されます。 図13:③と⑤の設定画面 ⑥ リスタートのボタンをクリック。リロードのインジケータ画面が表示され、リロードが完了したらサービ ス再起動画面が表示されます。 F5 Networks Japan K.K. 7 May 17, 2005 TECHNICAL BRIEF ⑦ デバイス管理のメニューより、セキュリティの下にある証明書の項目をクリック。証明書の設定画面が表 示されます。 ⑧ クライアントルート証明書と CRL のインストールの下にある「ログオン時、クライアント証明書を要求」 のチェックボックスをチェック。ドロップダウンリストが表示されます。 ⑨ ドロップダウンリストより「ログオンユーザ名に証明書のコモンネーム(CN)を使用」を選択し、更新 のボタンをクリック。 図14:⑦~⑨の設定画面 ⑩ ユーザーのメニューにて、グループ下のマスターグループ項目をクリック。マスターグループのリストが 表示されます。 ⑪ 設定その1で作成したグループのグループ名をクリック。グループの詳細設定が表示されます。 ⑫ 認証のタブにて、「クライアント証明書が提示されたとき、自動的にログイン」をチェックし、クライア ント証明書発行者をドロップダウンリストから選択し、更新のボタンをクリック。 図15:⑩と⑫の設定画面 F5 Networks Japan K.K. 8 May 17, 2005 TECHNICAL BRIEF ユーザの追加及びクライアント証明書の発行 ① ユーザのメニューより、ユーザー管理の項目をクリック。ユーザー管理の設定画面が表示されます。 ② ユーザーアカウントの作成より、個別入力を選択し Go のボタンをクリック。新しいユーザーの設定画面 が表示されます。 図16:①~②の設定画面 ③ 右側のマスターグループにて、ドロップダウンリストより設定その1で作成したマスターグループを選択 し変更のボタンをクリック。 ④ ログオン名を入力し、ユーザーを追加するボタンをクリック。ユーザー管理画面に戻ります。 ⑤ ④で作成したユーザ名の行より、編集のボタンをクリック。ユーザーの詳細の画面が表示されます。 図17:④~⑤の設定画面 F5 Networks Japan K.K. 9 May 17, 2005 TECHNICAL BRIEF ⑥ クライアント証明書にて、有効期限やキーサイズを選択し、新しいクライアント証明書のボタンをクリッ ク。ユーザーの詳細の画面が再び表示されますが、クライアント証明書の下に証明書の詳細情報が表示さ れます。 ⑦ クライアント証明書パッケージを E メールのボタン、或いはパスワードを入力した上で証明書パッケージ のダウンロードのボタンをクリック。 ⑧ ⑦で選んだ方法により証明書が発行されますので、その証明書をクライアントのパソコンに保存します。 図18:⑥~⑦の設定画面 クライアント証明書のインストール ① Windows の場合、ユーザパソコンに保存した証明書はダブルクリックによりインストール可能のファイ ルフォーマットとなります。そのため、証明書のアイコンをダブルクリック。証明書のインストールウィ ザードが表示されます。 図19:クライアント証明書のインストールパッケージファイル ② ウィザードの次へのボタンをクリックしながら、各インストール画面へ進みます。 ③ パスワード入力画面にて上記の⑦で設定したパスワードを入力。 ④ 証明書ストアの画面にて、自動的にストアを選択するオプションをクリック。 図20:③~④のインストール中画面 F5 Networks Japan K.K. 10 May 17, 2005 TECHNICAL BRIEF ⑤ 最後の画面にて完了ボタンをクリック。インストールの確認画面が表示されます。 ⑥ はいのボタンをクリック。正しくインポートされましたというメッセージが表示されます。これで証明書 のインストールが終了となります。 図21:⑥のインストール中の画面 上記の手順が終わったら、全ての準備が完了となります。次に実際にアクセスを行い、動作を確認します。 VI. クライアント証明書によるログイン 設定が完了してから、クライアントパソコンから FirePass への次にアクセスした際、FirePass よりクライア ント証明書が要求されます。上記で作成、インストールした証明書を利用することによりパスワード無しのロ グインが行われ、そしてログインした際にネットワークアクセスが自動的に起動します。 利用の詳細手順 ① ブラウザが既に開いていた場合、一旦終了します。 ② 再度ブラウザを起動。 ③ FirePass の URL をアクセス。接続した際、デジタル証明書の選択というボックスが表示されます。リス トの中に上記で作成した証明書が表示されます。 ④ 名前を選択し、OK ボタンをクリック。ログイン画面がスキップされ、自動ログインが行われます。ログ イン後に同ブラウザウィンドウにネットワークアクセスが自動的に開始します。また、接続が確立したと ころで、設定その1で行った設定によりブラウザが自動的にシステムトレーに最小化されます。 図22:④のクライアント証明書の選択画面 F5 Networks Japan K.K. 11 May 17, 2005 TECHNICAL BRIEF ⑤ 任意に FirePass への URL をお気に入りへの追加や、ショートカットの作成により、SSL-VPN への簡単 アクセスが実現できます。 ⑥ ログイン後、設定その1の設定によりネットワークアクセスが自動的に起動し、SSL-VPN への接続が正 常に確立したらブラウザーウィンドウが自動的にシステムトレーへ最小化します。 図23:⑥のログイン後の画面 VII. まとめ クライアント証明書とネットワークアクセスのみのウェブトップでは、SSL-VPN への簡単なアクセスが実現 できます。パスワードもログイン後のユーザ操作も不要のため、単純に SSL-VPN しか利用しない環境では有 効の使い方となります。 F5 Networks Japan K.K. 12 May 17, 2005
© Copyright 2024 Paperzz