EX-750 - SonicWALL

Aventail EX-750™
®
インストールおよび管理ガイド
バージョン 8.5
©1996-2005 Aventail Corporation。すべての権利は保有されています。 Aventail、 Aventail EX-1500、 Aventail EX-750、 Aventail
ASAP WorkPlace、 Aventail OnDemand、 Aventail Connect、およびそれに対応するロゴは、 Aventail Corporation の商標、サービス
マーク、または登録商標です。また、このマニュアルに記載されているその他の製品名および会社名は、各社の商標です。
Last modified 8/29/05 11:21
Part number 0850-000011-02
EX-750 インストールおよび管理ガイド | i
目次
第1 章
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aventail アプライアンスの機能 . . . . . . . . . . . . . . . . . . . . .
管理者コンポーネント . . . . . . . . . . . . . . . . . . . . . . . .
ユーザーコンポーネント . . . . . . . . . . . . . . . . . . . . . .
このリリースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . .
このリリースでのユーザーインタフェースの変更 . . . . . . .
システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理者コンポーネント . . . . . . . . . . . . . . . . . . . . . . . .
クライアントコンポーネント . . . . . . . . . . . . . . . . . . .
このマニュアルについて . . . . . . . . . . . . . . . . . . . . . . . . . .
このマニュアルの規則 . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
第2 章
インストールと初期セットアップ . . . . . . . . . . . . . . . . . . . . . .
ネットワークアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . .
インストールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
インストールチェックリスト . . . . . . . . . . . . . . . . . . . . .
ファイアウォールポリシーの確認 . . . . . . . . . . . . . . . . .
便利な管理ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . .
インストールおよび設定プロセス . . . . . . . . . . . . . . . . . . . . .
インストールと構成の概要 . . . . . . . . . . . . . . . . . . . . . .
アプライアンスの実稼働環境への移行 . . . . . . . . . . . . . . .
アプライアンスのインストール. . . . . . . . . . . . . . . . . . . . . . .
ラックのインストール . . . . . . . . . . . . . . . . . . . . . . . . .
フロントパネルの操作ボタンとインジケータ . . . . . . . . . .
アプライアンスの接続 . . . . . . . . . . . . . . . . . . . . . . . . .
電源投入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプライアンスの電源停止と再起動. . . . . . . . . . . . . . . . .
初期ネットワークセットアップの実行 . . . . . . . . . . . . . . . . . .
Setup Wizard を使用した Web ベースの構成. . . . . . . . . .
Setup Tool を使用したコマンドラインによる構成 . . . . . . .
次のステップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
第3 章
AMC の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AMC へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AMC へのログイン . . . . . . . . . . . . . . . . . . . . . . . . .
ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AMC の基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AMC インタフェースクイックツアー . . . . . . . . . . . . .
ヘルプの利用. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理者アカウントの管理. . . . . . . . . . . . . . . . . . . . . .
複数管理者の構成ファイルの衝突回避 . . . . . . . . . . . . .
構成データの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
構成変更のディスクへの保存 . . . . . . . . . . . . . . . . . . .
構成変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . .
参照されているオブジェクトの削除 . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
......................................... 1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
ii | 目次
第4 章
ネットワークと認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
基本ネットワーク設定の構成 . . . . . . . . . . . . . . . . . . . . . . . .
システム ID の識別 . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワークインタフェースの構成 . . . . . . . . . . . . . . . .
IP ルートの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
名前解決の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSL 証明書の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
概要 : SSL 証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . .
自己署名証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . .
商用 CA からの証明書の取得 . . . . . . . . . . . . . . . . . . . . .
他のコンピュータからの既存の証明書のインポート . . . . . . .
証明書の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書の FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レルムでのユーザー認証の管理. . . . . . . . . . . . . . . . . . . . . . .
レルムの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デフォルト、表示、非表示レルム . . . . . . . . . . . . . . . . . .
レルムを定義する場合のベストプラクティス . . . . . . . . . .
レルムの作成と構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
デフォルトレルムの選択 . . . . . . . . . . . . . . . . . . . . . . .
レルムの有効化と無効化. . . . . . . . . . . . . . . . . . . . . . . .
レルムの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レルムのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レルムの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レルムでのグループアフィニティチェックの有効化 . . . . . .
認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
Microsoft Active Directory サーバーの構成. . . . . . . . . . .
LDAP および LDAPS 認証の構成 . . . . . . . . . . . . . . . . . .
RADIUS 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
ローカルユーザー認証の構成 . . . . . . . . . . . . . . . . . . . .
認証構成のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . .
シングルサインオンの構成 . . . . . . . . . . . . . . . . . . . . . .
次のステップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
第5 章
セキュリティ管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リソースの作成と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . .
リソースのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . .
リソースおよびリソースグループの表示 . . . . . . . . . . . .
リソースの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リソースの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リソースの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リソースグループの作成と管理 . . . . . . . . . . . . . . . . . .
Web アプリケーションプロファイルの表示 . . . . . . . . . .
Web アプリケーションプロファイルの追加 . . . . . . . . . .
Web アプリケーションプロファイルの編集 . . . . . . . . . .
Web アプリケーションプロファイルの削除 . . . . . . . . . .
アクセス制御ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクセス制御ルールの構成 . . . . . . . . . . . . . . . . . . . . .
アクセス方式とリソースとの間の拒否ルール非互換の解決. .
不正な接続先リソースの解決 . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
EX-750 インストールおよび管理ガイド | iii
第6 章
ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
概要 : ユーザー、グループ、コミュニティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
コミュニティの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
コミュニティの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
コミュニティの作成と構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
コミュニティへのメンバーの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
コミュニティに対するアクセス方式の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
コミュニティでの End Point Control 制約の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
コミュニティの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
コミュニティのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
コミュニティの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
ユーザーまたはグループのメンバーシップの特定コミュニティへの制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
ユーザーおよびグループの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
ユーザーおよびグループの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
外部リポジトリにマッピングされているユーザーおよびグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
ローカルユーザーアカウントの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
第7 章
システム管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
オプションネットワーク構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
リモートホストからの SSH アクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
ICMP の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
時刻設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
システムロギングおよびモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
概要 : システムロギングおよびモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
ログファイル形式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
ログ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
ログファイルのロケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
システムメッセージログ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
ネットワークプロキシ / トンネル監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Web プロキシ監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
アプライアンスの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
SNMP の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
バックアップ、リストア、システム更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
構成ファイルのバックアップとリストア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
システムへのパッチ当て、アップグレード、ロールバック、リセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
SSL 暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
SSL 暗号化の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
ソフトウェアライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
ライセンスの詳細の表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
ライセンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
第8 章
End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
概要 : End Point Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Aventail が End Point Control でゾーンとデバイスプロファイルを使用する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
End Point Control のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
ゾーンおよびデバイスプロファイルによる EPC の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
End Point Control の有効化と無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
ゾーンおよびデバイスプロファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
ゾーンの定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
定義済みのゾーンおよびデバイスプロファイルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
特定の状況に対するゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
クライアントに残されたデータの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Aventail Cache Control の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Aventail Secure Desktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Sygate On-Demand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
クライアントの整合性の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
iv | 目次
第9 章
ASAP WorkPlace ポータル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
ASAP WorkPlace のクイックツアー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
[Home] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
[Intranet Address] ボックス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
[Network Explorer] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
ASAP WorkPlace のクライアントの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
ASAP WorkPlace の一般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
ASAP WorkPlace のカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
ショートカットの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
ショートカットの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Web ショートカットの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
ネットワークショートカットの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
個人フォルダを示すネットワークショートカットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
ショートカットの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
ショートカットの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
複数のショートカットの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
個別のショートカットの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
WorkPlace サイト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
WorkPlace サイトの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
WorkPlace サイトの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
WorkPlace サイトのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
WorkPlace サイトの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
ASAP WorkPlace のログインページ、エラーページ、通知ページのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
概要 : WorkPlace テンプレートのカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
テンプレートファイルを一致させる方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
WorkPlace テンプレートのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
WorkPlace カスタムテンプレートのアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
ユーザーによる ASAP WorkPlace へのアクセスの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
他の Web ページへのユーザーのリダイレクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
他の Web サイトからの ASAP WorkPlace へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
End Point Control とユーザーの経験 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Aventail Secure Desktop の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Aventail Cache Control の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
第 10 章
ユーザーアクセスコンポーネントおよびサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
概要 : ユーザーアクセスエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
ASAP WorkPlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Network Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Aventail トンネルクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Connect プロキシクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
OnDemand プロキシエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Web プロキシエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
トランスレーテッド Web エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Aventail Connect プロキシクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Aventail OnDemand プロキシエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
概要 : OnDemand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
OnDemand クライアント要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
OnDemand がネットワークトラフィックをリダイレクトする方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
OnDemand ダイナミックモードアクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
特定アプリケーションにアクセスするための OnDemand の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
高度な OnDemand オプションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
クライアントの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Aventail アクセスサービスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
概要 : アクセスサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Aventail アクセスサービスの停止と開始 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
ネットワークトンネルサービスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
IP アドレスプールの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
ネットワークプロキシサービスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Web プロキシサービスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
EX-750 インストールおよび管理ガイド | v
付録 A
トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . .
一般的なネットワーキングの問題 . . . . . . . . . . . . . . . . . . . .
AMC の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
認証の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aventail サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aventail OnDemand プロキシの問題 . . . . . . . . . . . . . . . . .
一般的な OnDemand プロキシの問題 . . . . . . . . . . . . . .
個別の OnDemand の問題 . . . . . . . . . . . . . . . . . . . . .
AMC のトラブルシューティングツール . . . . . . . . . . . . . . . .
ping コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
traceroute コマンド . . . . . . . . . . . . . . . . . . . . . . . . .
DNS ルックアップ . . . . . . . . . . . . . . . . . . . . . . . . . .
現在のルーティングテーブルの表示 . . . . . . . . . . . . . . .
ネットワークトンネルクライアントのロギングツール . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
付録 B
アプライアンス保護のためのベスト
ネットワーク構成 . . . . . . . . . . .
アプライアンスの構成 . . . . . . . .
管理者アカウント . . . . . . . . . . .
アクセスポリシー . . . . . . . . . .
SSL サイファ . . . . . . . . . . . . .
クライアントアクセス . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
付録 C
国際化サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネイティブ文字セットのサポート . . . . . . . . . . . . . . . . . . . .
RADIUS ポリシーサーバーの文字セット . . . . . . . . . . . . . . .
選択可能な RADIUS 文字セット . . . . . . . . . . . . . . . . .
サポートされているその他の RADIUS 文字セット . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
プラクティス
.........
.........
.........
.........
.........
.........
.........
.........
.........
.........
.........
.........
.........
用語集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
vi | 目次
EX-750 インストールおよび管理ガイド | 1
第1章
はじめに
Aventail SSL VPN アプライアンスは、従業員、ビジネスパートナー、顧客に対して、セキュアなアクセス (Web ア
プリケーションへのクライアントレスアクセス、クライアント / サーバーアプリケーションへのアクセス、ファイル共有などを
含む ) を提供するための機器です。すべてのトラフィックは、 Secure Sockets Layer (SSL) によって暗号化されて
おり、これによって、許可を受けていないユーザーのアクセスを防止します。
Aventail アプライアンスを使用すると、 Windows、 Macintosh、 Linux などの広範なプラットフォームから、広範な
アクセス方式 ( 標準 Web ブラウザ、 Java アプレット、 Windows クライアントなど ) でアプリケーションを利用すること
ができます。このアプライアンスを使用すると、次のことができるようになります。
•
リモートアクセス VPN の作成。これにより、リモートの従業員が、電子メールなどのプライベートな企業アプリケー
ションに、インターネット経由で安全にアクセスできるようになります。
•
ビジネスパートナー VPN の作成。これにより、指定されたサプライヤーが、内部のサプライチェーンアプリケー
ションに、インターネット経由でアクセスできるようになります。
このアプライアンスでは、細かいアクセス制御が可能で、この機能を利用することにより、ユーザーレベルやリソースレ
ベルでポリシーを定義しアクセスを制御することができます。また、効率を向上させるために、このアプライアンスは Web
ベースの管理コンソールから管理するようになっています。これにより、標準 Web ブラウザを使用して、ポリシーを素
早く簡単に管理できる他、アプライアンスの構成も行うことができます。
2 | 第 1 章 - はじめに
Aventail アプライアンスの機能
この節では、このアプライアンスの主なコンポーネントについて説明します。
管理者コンポーネント
•
Aventail Web プロキシサービス。このコンポーネントは、ユーザーが、 Web ベースのアプリケーション、
Web サーバー、ネットワークファイルサーバーなどに、 Web ブラウザから安全にアクセスできるようにするため
のものです。 Web プロキシサービスは、 Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな
HTTP リバースプロキシです。このサービスは、 OnDemand プロキシエージェントからの TCP/IP 接続の管理
も行います。
•
Aventail ネットワークトンネルサービス。このコンポーネントは、広範囲のアプリケーションにセキュアなネッ
トワークトンネルアクセスを提供するネットワークルーティングテクノロジーです。対象となるアプリケーションには、
Voice Over IP (VoIP) や ICMP などの非 TCP/IP プロトコル、逆方向接続プロトコル、 FTP などの双方向プ
ロトコルを使用するものも含まれます。このコンポーネントは、Aventail Connect トンネルクライアントや Aventail
OnDemand トンネルエージェントと共同で動作して、認証され暗号化されたアクセスを可能にします。ネットワー
クトンネルサービスでは、ファイアウォールや NAT デバイスの他、従来型の VPN デバイスと干渉する可能性が
あるプロキシサーバーもトラバースすることができます。
•
Aventail ネットワークプロキシサービス。このコンポーネントは、標準クライアント / サーバーアプリケーショ
ンにアクセスするためのセキュアなプロキシを提供します。 Aventail Connect プロキシと共同で動作して、イン
ターネット経由で認証され暗号化されたアクセスを可能にします。ネットワークプロキシサービスは、 SOCKS v5
プロトコルをベースにしています。ネットワークプロキシサービスは、内部のアプリケーションとネットワークに対す
るアクセスを中継し暗号化します。ネットワークプロキシサービスは、このプロキシベースのアーキテクチャと SSL
を使用することにより、ファイアウォールや NAT デバイスの他、従来型の VPN デバイスと干渉する可能性がある
プロキシサーバーもトラバースすることができます。
•
Aventail® Secure Access Policy (ASAP™) Management Console (AMC)。 Aventail アプラ
イアンスを管理するための Web ベースの管理ツールです。このツールを使用すると、セキュリティポリシーの管
理、システムの構成 ( ネットワーキングおよび証明書の構成を含む )、モニタリングについて集中的に管理できる
ようになります。 AMC は、 Web ブラウザでアクセスすることができます。
EX-750 インストールおよび管理ガイド | 3
ユーザーコンポーネント
このアプライアンスには、ユーザーに対して、ネットワーク上のリソースへのアクセスを提供するコンポーネントもいくつか
用意されています。
•
Aventail® ASAP™ WorkPlace。このコンポーネントは、 Web プロキシサービスで保護された Web ベー
スのリソースに対してユーザーがアクセスできるようにします。ユーザーが ASAP WorkPlace にログインするとホー
ムページが現れ、管理者が定義したショートカットのリストが表示されます。このリストは、アクセスポリシーに基づ
いて動的に変動します。これらのショートカットは、ユーザーがアクセス権限を持つ、 Web ベースのリソースと
Windows ファイルシステムのリソースにリンクしています。 ASAP WorkPlace は、標準 Web ブラウザからアク
セスすることができます。
この Web リソースとファイルシステムリソースは、 SSL をサポートする任意の Web ブラウザからアクセスすること
ができます。このアプライアンスでは、 Internet Explorer が動作する比較的新しいバージョンの Microsoft
Windows システムに対して、デフォルトで Microsoft ActiveX コントロール ( 「標準 Web エージェント」 ) を
インストールするようになっています。この標準 Web エージェントは、アプライアンスから Web コンテンツを直接
取り込みます。他のブラウザを使用するユーザーに対しては、トランスレーテッド Web アクセスが自動的に提供さ
れます。
このエージェントをユーザーのシステムにインストールしたくない場合は、ユーザーがどのブラウザを使用しているか
に関係なく、トランスレーテッド Web アクセスがすべてのユーザーに提供されるよう構成することができます。
•
Aventail® OnDemand™ プロキシエージェント。このコンポーネントは、 Aventail Web プロキシサー
ビスで保護されたネットワークリソースにアクセスできるようにするセキュアなエージェントです。 Aventail
OnDemand は、ユーザーにクライアントレスな VPN アクセスを提供するもので、任意の Web サーバーから「オ
ンデマンドで」ダウンロードできるようになっています。ネットワークに対して標準 VPN アクセスできないパートナー
やベンダーや、キオスク端末など、仕事用でないコンピュータからネットワークリソースにモバイルでアクセスする
従業員が使用すると便利です。
•
Aventail® Connect™ プロキシクライアント。このコンポーネントは、Aventail ネットワークプロキシサー
ビスで保護されたネットワークリソースにアクセスできるようにする Windows アプリケーションです。 Aventail
Connect をユーザーのコンピュータにインストールすると、パーソナルファイアウォールやアンチウイルスアプリ
ケーションもサポートされ、セキュリティのレベルが向上します。ほとんどの場合ユーザーは、認証クレデンシャル
の入力を求められるときや、ローカルおよびリモートのネットワークを選択するよう求められるときに限って、Aventail
Connect と通信します。
4 | 第 1 章 - はじめに
•
Aventail® Connect™ および Aventail® OnDemand クライアントを Smart Tunneling と併用
すると、すべてのリソースに対してネットワークレベルでアクセスできるようになり、それぞれのエンドユーザーデバ
イスを、効率的にネットワークの仮想ノードにすることができます。 Connect トンネルクライアントにより、 Web で
インストールされる Windows クライアント (Windows XP および Windows 2000 が動作するコンピュータ ) か
ら、ネットワークおよびアプリケーションに対してフルアクセスできるようになります。このクライアントは、 ASAP
WorkPlace ポータルのリンク、または標準 Windows インストーラの実行可能パッケージから透過的にインストー
ルされます。 Connect トンネルクライアントでは他にも、スプリットトンネリング制御、細かいアクセス制御、自動
プロキシ検出と認証などの機能も提供されます。
OnDemand トンネルエージェントには、 Connect トンネルとほぼ同じ機能があります。ただし、ドメインログイ
ンの際にダイヤルアップアダプタとして使用することはできません。また、 ASAP WorkPlace に統合されていると
いう点でも異なります。 OnDemand の場合、スプリットトンネリングモードまたはリダイレクトオールトラフィック
モードのいずれかで動作することができます。
•
End Point Control コンポーネント。ネットワークが、信頼されていない環境の PC からアクセスされた場合
に危険にさらされることのないようにします。 Aventail アプライアンスには、重要なデータやネットワークを保護す
るための、複数の End Point Control (EPC) コンポーネントをサポートする機能があります。 Aventail のデー
タ保護エージェント -- Aventail Secure Desktop および Aventail Cache Control -- は、セッションデータ
を PC から自動的に削除します。また、このアプライアンスでは、アクセスを許可する前にクライアントシステム上
のマルウェアを自動的にチェックする、サードパーティのクライアントインテグリティコントロールとも統合できるよう
になっています。 Aventail Connect プロキシクライアントと Connect トンネルクライアントを除く、 Aventail の
すべてのアクセス方法で、 EPC がサポートされています。
EX-750 インストールおよび管理ガイド | 5
このリリースの新機能
Aventail ASAP プラットフォームのバージョン 8.5 では、次のような機能が追加または強化されています。
•
ネットワークトンネルクライアント : このリリースでは、新しいネットワークトンネルクライアントが 2 つ追加
されており、フルネットワークアクセスが提供されると同時にアプリケーションの互換性が向上しています。このネッ
トワークトンネルクライアントは、 Connect トンネル、新世代の Aventail Windows クライアントと、ブラウザア
クセスのための OnDemand トンネルで構成されます。この 2 つのクライアントはどちらも、ネットワークトンネル
サービスにより、 ASAP WorkPlace ポータルからインストールし、 ASAP Management Console (AMC) から
管理します。これに関連する変更として、 OnDemand プロキシエージェントのトラフィックが、 Web プロキシ
サービスで管理されるようになっています。
その他のネットワークトンネル機能には、次のようなものがあります。
•
プロトコルおよびアプリケーションのサポートの拡張 : Aventail トンネルクライアントでは、TCP/IP 経
由の標準クライアント / サーバーアプリケーションだけでなく、 Voice Over Internet Protocol (VoIP)、
ICMP、マルチキャストなどの非 TCP/IP プロトコルを含む、広範囲のプロトコルとアプリケーションをサポー
トしています。また、 UDP アクセス機能も向上しています。このアプライアンスでは、双方向接続、逆方向
接続、相互接続がサポートされているため、 VPN レベルで、 SMS アプリケーション、 FTP アプリケーショ
ン、ヘルプデスクリモート制御アプリケーションなどに対してクライアントアクセスできるようになります。
•
Smart Redirection および Smart Addressing : ネットワークトンネルサービスが、 AMC および
ローカルネットワークの設定で定義されているリソースに基づいて、リダイレクティングとルーティングの情報を
自動的に提供します。
•
Redirection Mode : これは、トンネルクライアントのトラフィックをアプライアンスにリダイレクトする方法を
管理者が指定するための機能です。アプライアンスは、すべてのトラフィックをリダイレクトできる他、 AMC で
定義されたリソースのみをリダイレクトするためにスプリットトンネルリダイレクト機能を使用することもできます。
•
柔軟なアクセス制御ポリシー : ネットワークリソースに対するユーザー接続のみでなく、ユーザーに対するネット
ワークリソースアクセス (SMS など ) についてもアクセス制御ルールを構成することができます。アクセスルール
は、ユーザー間のトラフィックをコントロールするためにセットアップすることもできます。
•
Setup Wizard : 新しい Setup Wizard を使用することにより、アプライアンスの初期インストールと構成を簡
単に行うことができます。このウィザードは、基本ネットワーク設定の構成、 SSL 証明書の生成、テスト用のロー
カルユーザーのセットアップ、初期アクセス制御ルールとリソースの定義などのプロセスをガイドします。
•
コミュニティ : 特定のコミュニティにユーザー集団を割り当てることで、アクセスエージェントおよび End Point
Control ツールについて、細分性の高いインストールを行うことができます。また、アクセス制御ルールを活用す
れば、ポリシー管理も便利になります。
•
End Point Control の拡張 : Windows、 Macintosh、 Linux の各クライアントデバイスで、エンドポイン
トでの保護が強化されました。このリリースでは、 Macintosh および Linux 用の End Point Control (EPC) デ
バイスプロファイルが導入されています。これには、ディレクトリやファイルの名前、ファイルサイズ、タイムスタン
プ、アプリケーションの他、 Macintosh の場合はアンチウイルスプログラムの検出も指定することができます。
Windows デバイスの場合も、 EPC デバイスプロファイルが強化されており、 Windows バージョンの検出機能
の他、ファイルのタイムスタンプ、サイズなどが強化されています。柔軟性の向上をはかるため、デバイスプロ
ファイルで定義する一定の属性で、「より大きい」や「以上」などの比較演算子を使用できるようになっています。
•
ブラウザサポートの拡張 : エンドユーザーは、 Windows、 Macintosh、 Linux の場合 Firefox を、
Macintosh の場合 Safari を使用してアプライアンスに接続できるようになりました。
•
グラフィカルシステムとユーザーモニタリング : Aventail ホームページで、システムステータスの要約を
グラフィカルに表示できるようになりました。これには、アクティブユーザー、ネットワーク帯域幅、ディスク容量の
使用状況、 CPU の使用状況などが表示され、詳細なモニタリンググラフやシステムステータス情報へのリンクも
設けられています。
•
ログビューアの改善 : アプライアンスのログビューアがアップデートされ、システムおよびサーバー情報の表示
が強化されて、ログメッセージテキストの表現が改善されています。これによりトラブルシューティングを行いやす
くなりました。ロギングの新機能として、フィルタリング、検索、ソート、ログデータのカンマ区切りファイルへのエ
クスポートなどが追加されています。
•
ASAP WorkPlace のカスタマイズ : ASAP WorkPlace ポータルは、ユーザーセグメントごとに別々の独立
したサイトとしてセットアップし、それぞれ固有の URL を割り当てることができます。これらのサイトには、異なるあ
いさつ文、カラースキーム、ロゴなどを入れられる他、認証レルムに対応させることもできます。
•
国際化サポート : このアプライアンスでは、拡張文字セット、つまり 2 バイト文字セットをサポートしています。そ
のため、ユーザー名、パスワード、リソース名については、 AMC で、拡張文字または 2 バイト文字を含むネイ
ティブ文字セットで入力、表示することができます。このアプライアンスでは、非英語文字セットを使用する RADIUS
ポリシーサーバーによる文字エンコーディングもサポートしています。
•
AMC ユーザーインタフェースの改善 : [Access Control] ページで表示されるルールは、ルールに関する
詳細な情報も表示するよう拡張することができます。オブジェクトのリストを表示する他の AMC ページにも、この拡
張表示機能があります。
6 | 第 1 章 - はじめに
このリリースでのユーザーインタフェースの変更
バージョン 8.5 では、 AMC ユーザーインタフェースのデザインが大きく改善されているため、一部のページ、コマン
ド、オプションが新しいロケーションに移動しています。旧バージョンの AMC になじんでいる管理者のために、このよ
うな機能の以前のロケーションと新しいロケーションを次の図で示します。ロケーションの先頭がコマンド名になっている場
合、そのコマンドは、メインナビゲーションメニューのコマンドを表しています。
機能名
以前のロケーション
新しいロケーション / 名前
[Configure
client/server access
service] リンク
[Services] ページ
[Services] ページ > [Network proxy
service] リンク
[Configure Web
access service] リンク
[Services] ページ
[Services] ページ > [Configure Web
proxy service] リンク
[Users/groups]
ボックス
[Add/Edit Access Rule]
ページ
[Add/Edit Access Rule] ページ >
[From (User/Resource)] ボックス
[User or groups
restrictions]
オプション
[Configure Realm] ページ
[Communities] ページ > [Configure
Community Members] ページ >
[Members] オプション
[Available zones]
オプション
[Configure Realm] ページ
[Communities] ページ > [Configure
Community] ページ > [End Point
Control restrictions] ページ
[Access method]
オプション
[Configure Realm] ページ
[Communities] ページ > [Configure
Community] ページ > [Access
Methods] ページ > [Access method]
オプション
[WorkPlace
Appearance] ページ
[ASAP WorkPlace] コマンド >
[WorkPlace Appearance]
タブ
[ASAP WorkPlace] コマンド >
[WorkPlace Sites] タブ >
[New] ボタン > [Appearance] ページ
[Web Application
Profiles] タブ
[Resources] ページ
[Services] ページ > [Web proxy
service] リンク > [Web Application
Profiles] タブ
[Web and
client/server
message log]
オプション
[View Logs] ページ
[View Logs] ページ >
[System message log] オプション
[Client/server
access log] オプション
[View Logs] ページ
[View Logs] ページ > [Network
proxy/tunnel audit log] オプション
[Web access log]
オプション
[View Logs] ページ
[View Logs] ページ >
[Web proxy audit log] オプション
[Web]
ログレベルリスト
[Configure Logging] ページ
[Configure Logging] ページ >
[Web proxy] ログレベルリスト
[Client/server]
ログレベルリスト
[Configure Logging] ページ
[Configure Logging] ページ >
[Network access] ログレベルリスト
[WorkPlace
Configuration] ページ
[ASAP WorkPlace] >
[WorkPlace Configuration]
タブ
[Services] > [Configure ASAP
WorkPlace] リンク > [Configure
WorkPlace] ページ
EX-750 インストールおよび管理ガイド | 7
システム要件
この節では、 Aventail SSL VPN の管理者コンポーネントおよびクライアントコンポーネントのシステム要件について説
明します。
管理者コンポーネント
管理者コンポーネントのシステム要件は、次のようになっています。
管理者
コンポーネント
オペレーティング
システム
ブラウザ
ASAP Management Console
(AMC)
•
Windows XP Professional、
Service Pack 2
•
Internet Explorer
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Professional、
Service Pack 4
クライアントコンポーネント
クライアントコンポーネントのシステム要件は、次のようになっています。
クライアント
コンポーネント
オペレーティング
システム
ブラウザ
ASAP WorkPlace
ポータル
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Pro、
Service Pack 4
•
Macintosh OS X
•
Macintosh Safari 1.2
•
Mozilla Firefox 1.0
Connect トンネル
クライアント
OnDemand
トンネル
エージェント
Connect プロキシ
クライアント
その他の要件
•
Linux
•
Mozilla Firefox 1.0
•
Windows XP Pro、
Service Pack 2
•
なし
•
Windows XP Home、
Service Pack 2
•
Windows 2000 Pro、
Service Pack 4
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
•
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Pro、
Service Pack 4
•
Windows XP Pro、
Service Pack 2
•
Windows XP Home、
Service Pack 2
•
Windows 2000 Pro、
Service Pack 4
•
なし
•
インストール時に
Windows の
Administrator 権限が
必要
Sun JVM 1.5.01
プラグインまたは
ActiveX
•
インストール時に
Windows の
Administrator 権限が
必要
•
インストール時に
Windows の
Administrator 権限が
必要
8 | 第 1 章 - はじめに
クライアント
コンポーネント
オペレーティング
システム
ブラウザ
OnDemand
プロキシ
エージェント
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
•
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000
•
Macintosh OS X
•
Macintosh Safari 1.2 •
Sun JVM 1.4.2
プラグイン
•
Linux
•
Mozilla Firefox 1.0
Sun JVM 1.4.2
プラグイン
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
•
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Windows 2000 Pro、
Service Pack 4
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Pro、
Service Pack 4
•
Macintosh OS X
•
Macintosh Safari 1.2
•
Mozilla Firefox 1.0
Web プロキシ
エージェント
トランスレーテッド
Web アクセス
End Point Control
(Interrogator
および Installer)
Aventail Cache
Control
その他の要件
•
•
•
Linux
•
Mozilla Firefox 1.0
•
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
•
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Pro、
Service Pack 4
•
Macintosh OS X
•
Macintosh Safari 1.2 •
•
Mozilla Firefox 1.0
•
Linux
•
Mozilla Firefox 1.0
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
•
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Pro、
Service Pack 4
•
Macintosh OS X
•
Macintosh Safari 1.2 •
•
Mozilla Firefox 1.0
•
Mozilla Firefox 1.0
•
Linux
•
•
Sun JVM 1.5.01
プラグインまたは
ActiveX
動的リダイレクション
モードでは Windows の
Administrator 権限が
必要
ActiveX
Sun JVM 1.4.2
プラグイン
Sun JVM 1.5.01
プラグインまたは
ActiveX
Sun JVM 1.4.2
プラグイン
Sun JVM 1.4.2
プラグイン
Sun JVM 1.5.01
プラグイン
Sun JVM 1.4.2
プラグイン
Sun JVM 1.4.2
プラグイン
EX-750 インストールおよび管理ガイド | 9
クライアント
コンポーネント
オペレーティング
システム
ブラウザ
その他の要件
Aventail Secure
Desktop
•
Windows XP Pro、
Service Pack 2
•
Internet Explorer
•
6.0、 Service Pack 1
•
Windows XP Home、
Service Pack 2
•
Mozilla Firefox 1.0
•
Windows 2000 Pro、
Service Pack 4
Sun JVM 1.5.01
プラグイン
このマニュアルについて
このマニュアルでは、このアプライアンスのインストール、構成、保守について詳細に説明しています。また、このマ
ニュアルの内容は、 AMC からコンテキスト対応ヘルプを呼び出しても参照できます。詳細については、 26 ページの
「ヘルプの利用」を参照してください。
このマニュアルの規則
このマニュアルで、「外部」という用語を使用している場合は、インターネットに接続しているネットワークインタフェース
を示します。また、「内部」と記述している場合は、内部の企業ネットワークに接続しているネットワークインタフェース
を示します。このマニュアルでは、次の表記規則を使用しています。
表記規則
使用法
Bold
ユーザーインタフェースコンポーネント (Web ページ上のテキストボックス
やボタン )。
Monospace font
ユーザー側が入力するデータ。
Italic
ファイル名やディレクトリなど。
commandname -x [-y]
コマンド構文の場合、角かっこはオプションパラメータを表します。
ALL CAPS
ENTER や BACKSPACE などのキー名、 CTRL+Q などのキーコンビ
ネーション。
10| 第 1 章 - はじめに
EX-750 インストールおよび管理ガイド | 11
第2章
インストールと初期セットアップ
この節では、このアプライアンスが、ネットワーク環境のどの部分で機能するか示し、同時にインストールと配線の手順
を紹介します。また、 Web ベースの Setup Wizard ( またはコマンドラインによる Setup Tool) を使用して、基本
ネットワーク構成を行う方法についても説明します。
ネットワークアーキテクチャ
このアプライアンスには、 2 つの物理ネットワークインタフェースがあり、デュアルインタフェースとシングルインタフェー
スのいずれかの方法でセットアップすることができます。
•
デュアルインタフェース構成。外部トラフィック ( つまりインターネットとの通信 ) 用にネットワークインタフェース
を 1 つ使用し、もう 1 つのインタフェースは内部トラフィック ( 企業ネットワークとの通信 ) 用に使用します。
ડᬺ䮔䮊䮏䮶䯃䭶
ౝㇱ
䭫䮺䮆䮜䭮䯃䮀
䭫䮺䮆䯃䮔䮊䮏
ᄖㇱ
䭫䮺䮆䮜䭮䯃䮀
䮜䭨䭫䭩䭭䭰䯃䮲
䮜䭨䭫䭩䭭䭰䯃䮲
䮜䭨䭫䮲
䭼䯃䮗䯃
䭩䮞䮱䭸䯃䭾䮮䮺
Web
䭼䯃䮗䯃
䭼䯃䮗䯃
Aventail 䭩䮞䮰䭫䭩䮺䮀
•
シングルインタフェース構成。単一のネットワークインタフェースが、内部トラフィックと外部トラフィックの両方
で使用されます。この構成の場合、アプライアンスは通常、非武装地帯 ( 略称 DMZ、境界ネットワークとも呼ば
れる ) に設置します。
DMZ
ડᬺ䮔䮊䮏䮶䯃䭶
䭫䮺䮆䯃䮔䮊䮏
ౝㇱ䭫䮺䮆䮜䭮䯃䮀
䮜䭨䭫䭩䭭䭰䯃䮲
䮜䭨䭫䭩䭭䭰䯃䮲
Aventail 䭩䮞䮰䭫䭩䮺䮀
䮜䭨䭫䮲
䭼䯃䮗䯃
䭩䮞䮱䭸䯃䭾䮮䮺
䭼䯃䮗䯃
Web
䭼䯃䮗䯃
12| 第 2 章 - インストールと初期セットアップ
どちらの構成の場合も、 Aventail サービスに送られてくる要求 ( ネットワークプロキシサービスの TCP/IP トラフィック
や Web プロキシサービスの HTTP/S トラフィックなど ) は、ポート 80 (HTTP) およびポート 443 (HTTPS) を通っ
て送信されます。ただし、 Aventail Connect クライアントおよび OnDemand エージェントからのトラフィックは常に
ポート 443 経由で送信されます。ほとんどのネットワークでは、トラフィックがこれらのポート経由で送られるように構成
されているため、ネットワークのファイアウォールを構成し直す必要はありません。
アプライアンスは、ネットワーク上にある、次のようなリソースに接続できる場所にインストールする必要があります。
•
Web サーバー、クライアント / サーバーアプリケーション、 Windows ファイルサーバーなどを含む、アプリケー
ションサーバーおよびファイルサーバー。
•
外部認証リポジトリ (LDAP サーバー、 Microsoft Active Directory サーバー、 RADIUS サーバーなど )。
•
1 つまたは複数の Domain Name System (DNS) サーバー。
•
( オプション ) Windows Internet Name Service (WINS) サーバー。これは、 ASAP WorkPlace を使用し
て Windows ネットワークをブラウズするときに必要になります。
!
注意 Aventail では、アプライアンスをファイアウォールの内側に入れて安全を確保しておくことを強く推奨しま
す。
特に必要ないと思われる場合でも、アプライアンスが次のリソースと通信できるようにしておけば、機能と使い勝手が向
上します。
•
アプライアンスの時刻を合わせるための Network Time Protocol (NTP) サーバー。
•
syslog 出力を保管しておくための外部サーバー。
•
Secure Shell (SSH) アクセスのための管理者のワークステーション。
アプライアンスは、自己署名サーバー証明書を使用する構成にできる他、商用認証局 (CA) から証明書を得ることで
セキュリティを強化する構成にすることもできます。詳細については、 42 ページの「商用 CA からの証明書の取得」を
参照してください。
インストールの準備
インストールを始める前に、ネットワーキング環境についての情報を収集し、アプライアンスとの間でトラフィックが行き来
できるようファイアウォールが正しく構成されていることを確認する必要があります。
インストールチェックリスト
アプライアンスの構成を始める前に、次の情報を収集する必要があります。この情報の一部については、 Setup Wizard
(20 ページの「Setup Wizard の実行」を参照 ) または Setup Tool (21 ページの「Setup Tool の実行」を参照 )
を実行するときに指定しますが、ほとんどの情報については、 AMC (33 ページの「ネットワークと認証の構成」を参照 )
でアプライアンスを構成するときに使用することになります。
•
アプライアンスの管理の際に使用する root パスワード
•
内部 IP アドレスおよび ( オプションで ) 外部 IP アドレス
•
一方または両方のネットワークアダプタのインタフェース速度
•
アプライアンスの名前 ( この名前はログファイルでのみ使用されるため、 DNS に追加する必要はない )
証明書情報
サーバー証明書および AMC 証明書を生成するときは、次の情報が使用されます。
•
アプライアンスの完全修飾ドメイン名 (FQDN)。この名前をパブリック DNS に追加すると、ユーザーが Web ベー
スのリソースに接続するときに、この名前を参照できるようになります。
•
ASAP Management Console (AMC) サーバーの FQDN。アプライアンスを管理するために AMC にアクセス
するときは、 AMC サーバー名を使用します。
ネームルックアップ情報
•
アプライアンスを接続するネットワークの内部 DNS ドメイン名
•
•
プライマリ内部 DNS サーバーアドレス ( 追加 DNS サーバーはオプション )
内部 WINS サーバーの IP アドレスと Windows ドメインの名前 (Aventail ASAP WorkPlace を使用して
Windows ネットワークのファイルをブラウズする場合は必要ですが、それ以外はオプション )
認証情報
•
認証サーバー (LDAP、 Active Directory、 RADIUS など ) のサーバー名とログイン情報
EX-750 インストールおよび管理ガイド | 13
ルーティング情報
•
デフォルトゲートウェイアドレス。 AMC にアクセスする際、アクセス元のコンピュータがアプライアンスと異なるネッ
トワーク上にある場合、 Setup Tool を実行するときにゲートウェイを指定する必要があります。 AMC では、イン
ターネットに接続する際のデフォルトゲートウェイを指定します。
•
内部リソースへのルーティング情報。これには、静的ルートや動的ルートを入れることができます。動的ルーティ
ングを使用する場合は、サイトがルーティング情報プロトコル (RIP) をサポートしていなければなりません。
仮想アドレスプール情報
•
ネットワークトンネルクライアント (Connect トンネルまたは OnDemand トンネルのいずれか ) をインストールす
る場合、 1 つまたは複数のアドレスプールに IP アドレスを割り当てる必要があります。詳細については、 224
ページの「IP アドレスプールの構成」を参照してください。
オプションの構成情報
•
リモートマシンから SSH アクセスできるようにするときは、リモートホストの IP アドレスが必要になります。
•
NTP サーバーと同期させるときは、 1 つまたは複数の NTP サーバーの IP アドレスが必要になります。
•
データを syslog サーバーに送信するときは、 1 つまたは複数の syslog サーバーの IP アドレスとポート番号が
必要になります。
ファイアウォールポリシーの確認
アプライアンスが正しく機能するためには、外部 ( インターネット側 ) ファイアウォールおよび内部ファイアウォールのポー
トを開かなければなりません。
外部ファイアウォール
Web ブラウザ、 Aventail Connect、 Aventail OnDemand からアプライアンスへアクセスできるようにするには、サ
イトのファイアウォールでポート 80 とポート 443 を開いておかなければなりません。 SSH アクセスを許可するために
ファイアウォールを開いておくというのは必須条件ではありませんが、リモートシステムから管理作業ができるようになる
ため便利です。
トラフィック
タイプ
ポート / プロトコル
用途
必須 ?
HTTP
80/tcp
非暗号化ネットワークアクセス
x
HTTPS
443/tcp
暗号化ネットワークアクセス
x
SSH
22/tcp
アプライアンスへの管理アクセス
内部ファイアウォール
内部ネットワークにファイアウォールがある場合、ポリシーを調整して、アプライアンスが通信するバックエンドアプリ
ケーションのためにポートを開く必要があります。場合によっては、 DNS や電子メールなどの標準ネットワークサービ
ス用のポートを開く以外に、アプライアンスが次のサービスにアクセスできるようにするため、ファイアウォールポリシー
を修正する必要があります。
トラフィックタイプ
ポート / プロトコル
用途
Microsoft
ネットワーキング
•
138/tcp および 138/udp
•
137/tcp および 137/udp
•
139/udp
ASAP WorkPlace による WINS 名前解決、
要求のブラウズ、ファイル共有へのアクセスの
際に使用
•
162/snmp
•
445/smb
LDAP ( 非暗号化 )
389/tcp
LDAP ディレクトリまたは Microsoft Active
Directory との通信
LDAP over SSL ( 暗号化 ) 636/tcp
SSL を介した LDAP ディレクトリまたは
Microsoft Active Directory との通信
RADIUS
1645/udp または 1812/udp
RADIUS 認証サーバーとの通信
NTP
123/udp
アプライアンスのクロックと NTP サーバーとの
同期
14| 第 2 章 - インストールと初期セットアップ
トラフィックタイプ
ポート / プロトコル
用途
Syslog
514/tcp
システムログ情報の syslog サーバーへの
送信
SNMP
161/udp
SNMP 管理ツールからのアプライアンスの監視
便利な管理ツール
Microsoft Windows が動作するリモートシステムからアプライアンスを管理するときは、次の管理ツールを使用すると
便利です。どちらのツールも、標準 FTP や Telnet ユーティリティと異なり、暗号を使用することで情報漏洩を防止し
ています。
•
Secure Shell (SSH) クライアント。このツールを使用すると、アプライアンスに安全にログインして、コマン
ドラインから構成を行うことができます。システムのバックアップ、ログファイルの表示、高度なネットワーク設定の
構成などを行う際に使用すると便利です。ポピュラーな Windows SSH クライアントに、 VanDyke Software の
SecureCRT があり、 http://www.vandyke.com/products/securecrt/ から評価版をダウンロードできるよ
うになっています。また他にも PuTTY が有名です。これは、 Telnet と SSH を Windows プラットフォームに実
装するフリーソフトです。 PuTTY は Cisco が推奨しています。
SSH を使用してアプライアンスに接続するときは、ユーザー名に「root」と入力し、 Setup Tool で作成したパ
スワードをあわせて入力します。
•
Secure Copy (scp) クライアント。このツールを使用すると、 Windows が動作する PC からファイルを安
全かつ容易に転送できるようになります。証明書などのデータをアプライアンスにコピーするときに使用すると便利
です。ポピュラーな Windows クライアントは WinSCP で、 http://winscp.sourceforge.net/eng/ で提供さ
れています。
インストールおよび設定プロセス
この節では、アプライアンスのインストール、構成、テストの他、実稼働環境への設定について概説します。
メモ
•
Aventail アプライアンスには、評価版として、 1,000 人のユーザーの同時使用を 3 日間サポートするデフォル
トライセンスが付属しています。この 3 日間を過ぎてもアプライアンスを使い続ける場合は、有効なライセンスファ
イルをアップロードしなければなりません。ライセンス手続きが完了していない場合、 Aventail
ASAP
Management Console (AMC) のステータス領域に黄色の「ライセンス警告」メッセージが表示されます。この
リンクをクリックすると、 [Licensing] ページに移ることができます。
•
ライセンスファイルをインポートする前に、アプライアンスの日時が正しく構成されていることを確認してください。詳
細については、 124 ページの「時刻設定の構成」を参照してください。
インストールと構成の概要
インストールプロセスは、いくつかの手順で構成されています。以下のチェックリストを参考にしてください。
1.
アプライアンスをラックマウントし、ケーブルを接続します。
17 ページの「ラックのインストール」および 18 ページの「アプライアンスの接続」を参照してください。
2.
Setup Wizard ( またはコマンドラインによる Setup Tool) を使用して基本的なネットワーク情報を
構成します。
Setup Wizard ( または Setup Tool) を使用するとき、次の情報を入力するよう求められます。
•
管理者パスワード
•
内部ネットワークインタフェースの IP アドレス
•
( オプション ) 内部インタフェースにアクセスするときに使用するゲートウェイ
19 ページの「Setup Wizard を使用した Web ベースの構成」または 21 ページの「Setup Tool を使用した
コマンドラインによる構成」を参照してください。
3.
AMC にログインし、ネットワーク構成を行います。
アプライアンスの管理のための Web ベースのアプリケーション、 AMC にログインして、次の項目を構成します
(Setup Wizard ですでに設定している場合は不要 )。
•
システム ID
•
外部ネットワークインタフェース ( オプション )
•
ルーティング情報
•
名前解決の設定
33 ページの「基本ネットワーク設定の構成」を参照してください。
EX-750 インストールおよび管理ガイド | 15
4.
サーバー証明書を構成します。
アプライアンスは、 Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。 AMC を使用し
て自己署名サーバー証明書を作成できる他、オプションで商用認証局 (CA) から証明書を得ることもできます。
39 ページの「SSL 証明書の構成」を参照してください。
5.
1 つまたは複数の認証サーバーを定義します。
認証は、ユーザーの身分を識別するために使用します。認証サーバーを構成するとき、ディレクトリタイプ
(LDAP、 Microsoft Active Directory、 RADIUS、ローカルユーザーのいずれか ) とクレデンシャルタイプ
( ユーザー名 / パスワード、トークン、デジタル証明書のいずれか ) を指定するよう求められます。
52 ページの「レルムでのユーザー認証の管理」を参照してください。
6.
アプリケーションリソースおよびグループを定義します。
アプリケーションリソースには、 TCP/IP ベースのリソース ( クライアント / サーバーアプリケーション、ファイル
サーバー、データベースなど )、 HTTP を介して動作する Web ベースのリソース (Web アプリケーションや
Web サイト )、 Windows ネットワーク共有リソース (ASAP WorkPlace からアクセスするもの ) があります。
79 ページの「リソースの作成と管理」を参照してください。
7.
ユーザー、グループ、レルム、コミュニティを定義します。
ユーザーおよびグループの定義は、アプリケーションリソースへのアクセスを制御するために、アクセス制御ルー
ルで使用します。レルムを定義すると、アプライアンスが認証サーバーと直接統合できるようになるため、ネット
ワークにアクセスする必要があるそれぞれのユーザーごとに、アカウントを作成し管理する必要がなくなります。ま
た、コミュニティでは、同様のアクセス要件と End Point Control 要件を持つユーザーを統合します。
105 ページの「概要 : ユーザー、グループ、コミュニティ」および 52 ページの「レルムでのユーザー認証の
管理」を参照してください。
8.
アクセス制御ルールを作成します。
アクセス制御ルールは、ユーザーまたはグループがどのリソースを使用できるか定義するものです。
89 ページの「アクセス制御ルール」を参照してください。
9.
ASAP WorkPlace で Web ショートカットおよびネットワークショートカットを構成します。
ユーザーが ASAP WorkPlace で Web リソースやファイルシステムリソースに簡単にアクセスできるようにするた
め、これらのリソースに対するショートカットを作成することができます。
190 ページの「ショートカットの利用」を参照してください。
10. 必要に応じて、ネットワークトンネルサービスを構成します。
ネットワークトンネルサービスをインストールする場合、ネットワークトンネルサービスを構成して、クライアントに
IP アドレスプールを割り当てる必要があります。
223 ページの「ネットワークトンネルサービスの構成」を参照してください。
11. 必要に応じて、 End Point Control を有効にし構成します。
End Point Control は、重要なデータを保護し、信頼されていない環境の PC からアクセスされた場合にネット
ワークが危険にさらされることのないよう、オプションでデータ保護コンポーネントを設定します。 End Point
Control は、コミュニティを介して設定します。
165 ページの「End Point Control」および 110 ページの「コミュニティでの End Point Control 制約の使
用」を参照してください。
12. 変更を適用します。
構成の変更を有効にするには、変更を適用する必要があります。
29 ページの「構成変更の適用」を参照してください。
13. システムのアクセス性能をテストします。
アプライアンスが外部ユーザーリポジトリにアクセスできるか確認します。また、ネットワーク上のリソースにアクセ
スできるかについてもチェックします。
231 ページの「トラブルシューティング」を参照してください。
16| 第 2 章 - インストールと初期セットアップ
アプライアンスの実稼働環境への移行
アプライアンスについてネットワーク環境で十分テストし動作を確認したら、実稼働環境に移行させます。この節では、
アプライアンスを実稼働環境に移行するための手順について説明します。
•
新しいアドレス情報を使用して、アプライアンスを再構成します。
アプライアンスを実稼働環境に移行したときにネットワーク環境が変動する場合、基本ネットワーク設定を再構成
し、次の値が変動している場合はこれを調整する必要があります。
•
•
内部インタフェースおよび外部インタフェースの IP アドレス
デフォルトゲートウェイ IP アドレス
•
静的ルート
•
デフォルト DNS ドメインおよび DNS サーバーの IP アドレス
構成の変更が非常に多い場合は、アプライアンスをデフォルト設定に戻して、最初からやり直す方が楽なこともあ
ります。その場合、 Config Reset Tool を使用します。詳細については、 156 ページの「工場出荷時デフォ
ルト構成への復帰」を参照してください。
•
DNS にアプライアンスを登録します。
企業の DNS にアプライアンスをまだ登録していない場合、ここで登録します。こうすることにより、外部ユーザー
が、 IP アドレスの代わりに完全修飾ドメイン名を使用して、ネットワークリソースにアクセスできるようになります。
DNS サーバーのデータベースを編集して、アプライアンスの証明書に含まれる完全修飾ドメイン名を登録しま
す。
•
商用 SSL 証明書を取得します。
ユーザーの身分を保証するため、アプライアンスの商用証明書を取得することができます (AMC の場合、一般
的に自己署名証明書が適している )。サーバー証明書の生成については、 39 ページの「SSL 証明書の構成」
を参照してください。
•
ファイアウォールポリシーを調整します。
インターネット側にファイアウォールがある場合、場合によっては、ポリシーを調整して、アプライアンスで必要な
ポートを開く必要があります。デフォルトの場合、 Web プロキシサービスとネットワークプロキシサービスの両方
がポート 443/tcp を使用して通信します (Web プロキシサービスは HTTPS の場合ポート 443/tcp、 HTTP
の場合ポート 80/tcp を使用 )。ネットワークの外部から SSH を使用してアプライアンスに接続できるようにしたい
場合、ポート 22/tcp を開いておきます。
内部ネットワーク側にファイアウォールがある場合、場合によっては、ポリシーを調整して、アプライアンスが通信
するバックエンドアプリケーションのためにポートを開く必要があります ( 対応するポートが開いていない場合 )。た
とえば、認証のために LDAP サーバーまたは Microsoft Active Directory サーバーを使用している場合、内
部ファイアウォールでポート 389/tcp を開いておく必要があります。 RADIUS サーバーの場合は、 1645/ucp
もしくは 1812/udp のどちらかのポートを開いておく必要があります。
Aventail ASAP WorkPlace を使用して Windows ネットワーク共有リソースにアクセスする場合、 WorkPlace
が名前解決、要求のブラウズ、ファイル共有へのアクセスを実行できるよう、内部ファイアウォールでも内部ポート
を開いておく必要があります。詳細については、 12 ページの「インストールチェックリスト」を参照してください。
•
Aventail Connect クライアントを設定します。
ネットワークプロキシサービスを使用する場合、ユーザーには、ネットワークリソースにアクセスするためのソフト
ウェアコンポーネントが必要になります。
•
•
Windows ベースの PC の場合、デスクトップに Aventail Connect トンネルまたはプロキシクライアントを
インストールすることができます。 209 ページの「Aventail Connect プロキシクライアント」、または
『Aventail Connect Administrator’s Guide』の第 3 章を参照してください。
Web ショートカットおよびネットワークショートカットを作成し、 ASAP WorkPlace を設定します。
ASAP WorkPlace を、 Web ベースのリソースに対するインタフェースとして使用し、 Windows ネットワーク共
有リソースに Web ベースでアクセスできるようにする場合、これらのリソースに対するショートカットを作成する必要
があります (190 ページの「ショートカットの利用」を参照 )。また、 VPN を介してリソースにアクセスする方法を
ユーザーが理解できるように、 ASAP WorkPlace の URL をパブリッシュすることもできます。
現在の環境に合わせて ASAP WorkPlace の外観をカスタマイズすることもできます。詳細については、 190
ページの「ASAP WorkPlace のカスタマイズ」を参照してください。
EX-750 インストールおよび管理ガイド | 17
アプライアンスのインストール
製品パッケージを開いたら、ネットワークへのアプライアンスのインストールを開始し、構成プロセスの準備に取りかかり
ます。
ラックのインストール
アプライアンスを接続する前に、十分なスペースと適切な電力があることを確認します。アプライアンスの仕様は次のよう
になっています。
•
1U ラックマウントコンポーネント、幅 16.9" ×奥行１５"
•
AC 電源 : 200W PFC
•
AC 電圧 : 100V 時 5A、 240V 時 3A
アプライアンスを機器ラックにマウントする場合、ラックハードウェアをインストールする必要があります。
ラックインストールのベストプラクティス
•
周辺動作温度が上昇する場所は避ける : 閉じた環境またはマルチユニットラックアセンブリにインストールする場
合、ラック付近の周辺温度は室温よりも高くなります。そのため、メーカーが指定している最大周辺温度 (Tma)
に適合した環境に機器をインストールするよう配慮しなければなりません。
•
空気の流れがない場所は避ける : 機器をラックにインストールする場合、機器を安全に運転する上で必要な空気
流を確保できる場所を選びます。
•
均等な機械的荷重 : 機器をラックに取り付けるとき、機械的荷重が不均等になることで危険な条件が発生しないよ
う注意します。
•
回路の過負荷を避ける : 機器の電源回路への接続や、回路の過負荷が過電流保護や電源配線に与える影響に
ついても配慮が必要です。このような問題に対応する場合、機器のネームプレートの定格にも配慮する必要があ
ります。
•
信頼性の高いアースを維持する : ラックマウントの機器については信頼性の高いアースを維持する必要がありま
す。電源を分岐回路に直接接続しない場合 ( たとえばテーブルタップを使用する場合など ) は、特に注意が必
要です。
フロントパネルの操作ボタンとインジケータ
アプライアンスの電源を投入する前に、フロントパネルの操作ボタンを確認しておきます。
18| 第 2 章 - インストールと初期セットアップ
次の表は、フロントパネルの操作ボタンとインジケータを示しています。
文字
名前
説明
A
電源 LED
•
システムがオンのときは緑色のライトが点灯します。
•
システムがオフのときはライトが消えています。
B
電源ボタン
システム電源のオン / オフを切り替えます。
C
固定ディスクドライブステータス
LED
•
ディスクが動作しているとき、緑色のライトがランダムに点滅し
ます。
•
ディスクドライブに障害が発生したとき、アンバー色 ( 琥珀色 )
のライトが点灯します。
D
リセットボタン
システムを再起動します。
アプライアンスの接続
図のように、アプライアンスには最大 3 箇所の接続端子があります。
n 外部ネットワーク (EXT 1)
o 内部ネットワーク (INT 2)
p コンソール
X
アプライアンスを接続するには
1.
内部のネットワークと Ethernet アダプタ (INT 2 のマークが付いたもの ) をネットワークケーブルで接続します。
2.
必要に応じて、外部のネットワークと Ethernet アダプタ (EXT 1 のマークが付いたもの ) をケーブルで接続し
ます。
3.
ノート型 PC または端末と背面のシリアルポートを、付属の DB9 ケーブルで接続します。これにより、アプライ
アンスに対してフルコンソールアクセスできるようになります。詳細については、 18 ページの「電源投入」を参
照してください。
4.
標準 AC 電源コードを電源端子に接続します。
電源投入
アプライアンスの接続が終わったら、電源を投入し、構成プロセスに移ります。背面パネルにあるシリアルコネクタに
は、ノート型 PC または端末からアプライアンスを構成するためのインタフェースが用意されています。
X
アプライアンスの電源を投入するには
1.
ノート型 PC または端末の電源をオンにします。
2.
端末エミュレーションプログラムを使用して、アプライアンスとの間でシリアル接続を確立します。端末の設定は次
のようになります。
3.
•
モード : VT100
•
接続速度 : 9600 ボー
•
ハンドシェーク CTS/RTS
•
•
データビット : 8
パリティ : なし
•
ストップビット : 1
フロントパネルの電源ボタンを押して、アプライアンスの電源をオンにします。
EX-750 インストールおよび管理ガイド | 19
アプライアンスの電源停止と再起動
アプライアンスの電源を停止する場合または再起動する場合は、正しい手順で行います。アプライアンスが動作してい
るとき、メモリ内に重要なデータが保管されています。そのため、電源を停止する前にデータをハードディスクに書き込
む必要があります。
!
注意アプライアンスの電源を不適切な方法で停止すると、データが失われ、システムのファイルに不整合が生
じる可能性があります。
X
アプライアンスを電源停止または再起動するには
1.
メインナビゲーションメニューの [Maintenance] をクリックします。
2.
[Maintenance] ページで、適切なボタンをクリックします。
•
アプライアンスを再起動するときは、 [Restart] をクリックします。これに伴い AMC が応答しなくなります。
アプライアンスが再起動すると、 AMC に再びログインすることができます。
•
アプライアンスを停止するときは、 [Shutdown] をクリックします。これに伴い AMC が応答しなくなり、ア
プライアンスが自動的に停止します。フロントパネルの電源ボタンを押す必要はありません。
初期ネットワークセットアップの実行
次のいずれかの方法でアプライアンスをセットアップすることができます。
•
Web ベースの Setup Wizard を使用すると、アプライアンスをすぐに動作させる上で必要な基本設定を簡単に
構成することができます。 Setup Wizard については、アプライアンスの既定の IP アドレス (192.168.0.10)
を使用して、 Web ブラウザからアクセスすることができます。この IP アドレスが、ネットワーク上の他のデバイスに
よって使用されている場合は、プライベートネットワークから Setup Wizard にアクセスしなければなりません ( た
とえばローカルハブを使用してアプライアンスに接続するなど )。 19 ページの「Setup Wizard を使用した Web
ベースの構成」を参照してください。
•
コマンドラインユーティリティを使用したい場合は、シリアル接続を介して Setup Tool にアクセスすることができ
ます。また、アプライアンスのデフォルト IP アドレスがネットワークですでに使用されている場合も、この方法を選
択することができます。 Setup Tool を使用する場合、ノート型 PC または端末を使用して、アプライアンスとの間
でシリアル接続を確立しなければなりません。 21 ページの「Setup Tool を使用したコマンドラインによる構成」
を参照してください。
Setup Wizard を使用した Web ベースの構成
Setup Wizard では、リンクされている Web ページで一連の必須手順やオプション手順をガイドに従って実行するこ
とで、アプライアンスを簡単に構成することができます。 Setup Wizard を開始したら、まず最初に、必要な構成手順
のみを実行するか、オプション設定も構成するか選択します。
Setup Wizard の最初のフェーズは [Network Settings] です。これは必須の作業で、次の手順で構成されます。
•
アプライアンスの管理者パスワードの設定
•
ネットワークインタフェースの構成
•
ルーティングの構成
2 番目のフェーズは [System Configuration] です。これはオプションの作業で、次の手順で構成されます。
•
名前解決の設定
•
日付と時刻の設定
•
アプライアンスライセンスファイルのインポート
•
SSL 証明書の構成またはインポート
•
ICMP ping と Secure Shell (SSH) アクセスの有効化
20| 第 2 章 - インストールと初期セットアップ
Setup Wizard の 3 番目のフェーズは [Basic Security Policy] です。これはオプションの作業で、次の手順
で構成されます。アプライアンスの構成をテストする上で役に立ちます。
•
ローカルテストユーザーの作成
•
リソースの定義 ( ただし AMC で Web アプリケーションプロファイルを作成しなければならない )
•
基本セキュリティポリシーの作成 (Setup Wizard が基本的な許可 / 拒否アクセスルールを作成するが、高度な
ポリシー設定については、 End Point Control とあわせて AMC で構成しなければならない )
Setup Wizard は、最初から最後まですべてのフェーズを完了するために実行できますが、 3 つのいずれかのフェー
ズが終わった後、つまり [Finish] ボタンを選択できる状態であれば終了することができます。
Setup Wizard の実行
Setup Wizard を実行する場合、 AMC と同じシステム構成が必要になります。つまり、 Windows XP または 2000
が動作するコンピュータで、 Internet Explorer v6.0 または Mozilla Firefox v1.0 が動作していなければなりませ
ん。
!
注意このアプライアンスは、内部インタフェースについては、ルータブルでない静的 IP アドレスであらかじめ構
成されています。この IP アドレス (192.168.0.10) が、ネットワーク上の既存のリソースと衝突する場合、ネッ
トワークハブを使用してこのアプライアンスに接続し、アプライアンスをネットワーク上に設定する前に Setup
Wizard を実行するか、アプライアンスとシリアル接続して、コマンドラインから Setup Tool を実行します。
X
Setup Wizard を起動するには
1.
アプライアンスで予約されている静的 IP アドレスが、ネットワーク上の既存のリソースと衝突しないことを確認しま
す。
2.
ネットワーク上のリソースに接続できる場所にアプライアンスをインストールします。
3.
アプライアンスの電源をオンにします。
4.
ブラウザで次の静的 IP アドレスを指定し、 Setup Wizard を呼び出します。
https://192.168.0.10:8443/websetup
Setup Wizard のインタフェースは、 ASAP Management Console (AMC) と似ています。ただし AMC で
は、ページの左側にメインナビゲーションバーがありますが、 Setup Wizard では、この部分が構成セットアッ
プのリストになっており、クリックできなくなっています。
5.
Setup Wizard の各ページの指示に従い、それぞれのページで設定が終わったら [Next] をクリックします。
6.
Setup Wizard の最後のページで、これまで行ったネットワーク設定を確認してから、 [Finish] をクリックし変
更を適用します。変更をアプライアンスに適用すると、アプライアンスが自動的に再起動し、 AMC との接続が切
断されます。
EX-750 インストールおよび管理ガイド | 21
7.
数分間待ってから、次のいずれかの作業を行います。
•
「https://<ipaddress>:8443/console」と入力して AMC にログインします。
ただし「<ipaddress>」は、 Setup Wizard を実行したときに指定した内部インタフェースのアドレスにな
ります。
•
「http://<fqdn>」と入力して ASAP WorkPlace にログインします。ただし「FQDN」は、アプライアン
スの SSL 証明書の完全修飾ドメイン名または IP アドレスになります。この状態で、基本テストを実行します。
メモ
•
すでにアプライアンスの構成が終わっている場合は、アプライアンスを工場出荷時デフォルト構成に戻した場合を
除き、 Setup Wizard を実行することはできません。これは、最初に Setup Wizard を使用してアプライアンス
を構成した場合だけでなく、コマンドラインから setup_tool を実行した場合にも当てはまります。 21 ページの
「Setup Wizard の再実行」を参照してください。
Setup Wizard の再実行
最初に Setup Wizard を実行してアプライアンスの構成を完了したら、アプライアンスを工場出荷時デフォルト構成に
戻していない限り、 Setup Wizard を再実行することはできません。 Setup Wizard を再実行するには、コマンドラ
インから Config Reset Tool を実行しなければなりません。この操作を行うと、既存のシステム構成データがすべて削
除され、アプライアンスのデフォルト静的 IP アドレスに戻されます。 156 ページの「工場出荷時デフォルト構成への復
帰」を参照してください。
Setup Tool を使用したコマンドラインによる構成
コマンドラインユーティリティを使用したい場合や、アプライアンスのデフォルト IP アドレスがすでにネットワークで使用
されている場合は、ノート型 PC または端末を使用し、シリアル接続を介して Setup Tool を実行し、アプライアンスを
構成することができます。
Setup Tool の使用についてのヒント
Setup Tool で作業する際のヒントをいくつか紹介します。
•
イエスかノーで答える設問の場合、プロンプトの最後に [y] または [n] が付いています。対応する文字を入力
して ENTER を押すと、その次の設問が表示されます。
•
文字を消すときは、 BACKSPACE を押します (Windows ベースの PC の場合、 DELETE キーで文字を削除す
ることもできる )。
•
IP アドレスまたはネットマスクを入力するとき、 4 桁のオクテット (w.x.y.z) による標準 IP アドレス形式を使用しま
す。 Setup Tool では、基本エラーチェックが行われます ( たとえば、指定したゲートウェイがアプライアンスと
同じサブネットにあるかどうかの確認など )。
•
Setup Tool を終了して変更事項を破棄するときは「q」を押します。
Setup Tool の実行
コマンドラインから Setup Tool を実行するとき、 Aventail End User License Agreement (EULA) を承認するよ
う求められます。またその他に、 root パスワードを作成し、 IP アドレス、サブネットマスク、デフォルトゲートウェイを
指定するよう求められます。
X
Setup Tool を実行するには
1.
アプライアンスとの間でシリアル接続を確立し (18 ページの「電源投入」を参照 )、フロントパネルの電源ボタ
ンを押してアプライアンスをオンにします。
2.
Setup Tool が自動的に動作を始めます ( 「setup_tool」と入力して ENTER を押しても実行可能 )。
3.
ログインするよう求められたら、ユーザー名に「root」と入力します。 ENTER を押して次の画面に移ります。
4.
Aventail EULA が表示されます。画面をスクロールして内容を確認し、 ENTER を押して次の画面に移ります。
Do you accept the terms of the license agreement? [n]:
•
5.
ライセンス契約を承認するのであれば、「y」と入力して ENTER を押します。
システムの新しい root パスワードを作成するよう求められます。このパスワードは、 AMC にアクセスするときも必
要になります。
Password:
•
パスワードは、 8 文字から 20 文字で指定し、大文字と小文字を区別します。大文字と小文字、数字など
を組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載っているような単語
22| 第 2 章 - インストールと初期セットアップ
は避けるようにします。パスワードはなんらかの形で記録し、安全な場所に保管しておきます。 ENTER を押
して次に進みます。
Confirm password:
•
6.
前に入力したのとまったく同じ ( 大文字小文字を区別した ) root パスワードを再入力し、ENTER を押して次
に進みます。
次に、内部インタフェースの IP アドレス、サブネットマスク、 ( オプションで ) ゲートウェイを入力するよう求めら
れます。このインタフェースは、 Web ブラウザからアプライアンスに接続し、 AMC を使用してセットアップを継続
するときに使用します。
IP address:
•
内部 ( プライベート ) ネットワークに接続する内部インタフェースの IP アドレスを入力して、 ENTER を押しま
す。
Subnet mask:
•
内部ネットワークインタフェースのネットマスクを入力して、 ENTER を押します。
Gateway:
•
AMC にアクセスする際、アクセス元のコンピュータがアプライアンスと異なるネットワーク上にある場合、ゲー
トウェイを指定する必要があります。トラフィックをアプライアンスにルーティングするゲートウェイの IP アドレス
を入力して、 ENTER を押します。
アプライアンスと同じネットワークから AMC にアクセスしている場合は、そのまま ENTER を押し
ます。
7.
次に、ここまで入力した情報を確認するよう求められます。現在の値で良ければそのまま ENTER を押し、値を
変更したい場合は新しい値を入力してから ENTER を押します。
8.
最後に、変更を保存して適用するよう求められます。
Do you want to save and apply configuration changes [y]:
•
ENTER を押して、変更を保存します。
この時点で、 Setup Tool が変更を保存し、必要なサービスを再起動します。また、これまで指定した情報を基に
(SSH アクセスに対する ) SSL 鍵を生成します。
この間、フィードバックはほとんどありません。 Setup Tool が反応しなくなったなどと早合点せずに、そのまましばらく
お待ちください。
Setup Tool が終了したら、初期セットアップが完了したことを示すメッセージが表示されます。このメッセージには、
AMC にアクセスするための URL も示されます。
次のステップ
ネットワークの初期セットアップが完了したら、次に AMC を使用してアプライアンスの構成を行います。 AMC は、 Web
ブラウザを使用してアクセスすることができます。
AMC についてあまり詳しくない場合は、 23 ページの「AMC の操作」に進んでください。アプライアンスの構成をす
ぐに始められる場合は、 33 ページの「ネットワークと認証の構成」を参照してください。
EX-750 インストールおよび管理ガイド | 23
第3章
AMC の操作
この節では、アプライアンスを管理するための Web ベースのインタフェース、ASAPi Management Console (AMC)
について説明します。 AMC では、 Microsoft Internet Explorer バージョン 6.0 以降および Mozilla Firefox 1.0
以降をサポートしています。
AMC へのアクセス
この節では、 Web ブラウザを使用して AMC にアクセスする方法とログアウトする方法について説明します。
AMC へのログイン
AMC にログインする前に、 Setup Tool を使用して初期セットアップを行ったときに内部インタフェースで入力したホスト
名や IP アドレスを用意しておく必要があります。
X
AMC にログインするには
1.
Web ブラウザを起動し、アドレスボックスに「https://<ipaddress>:8443/console」と入力します。
ただし「<ipaddress>」は、 Setup Tool を実行したときに指定した内部インタフェースのアドレスになります。
この状態で ENTER を押すと、ログイン画面が表示されます。
2.
[Username] ボックスに「admin」と入力します。
3.
[Password] ボックスに、 Setup Tool を使用して作成した root パスワードを入力します。
4.
[Login] をクリックします。 AMC のホームページが表示されます。
AMC パスワードの変更方法については、 27 ページの「管理者アカウントの編集」を参照してください。
メモ
•
AMC セッションは、使用しない状態で 15 分経過すると自動的にタイムアウトします。セッションがタイムアウトした
ら、再びログインするよう求められます。
24| 第 3 章 - AMC の操作
ログアウト
AMC 管理者アカウントは、セキュリティを保つことが重要になります。 AMC での作業が終わったら、画面上部にある
[Log out] ボタンをクリックしてログアウトする必要があります。
Web ブラウザを閉じてセッションを終了した場合、そのセッションは、タイムアウトする ( 使用しない状態で 15 分経過
する ) までの間アクティブな状態になっています。それまでの間、 [Administrator Sessions] ページが表示され
ます。詳細については、 28 ページの「複数管理者の構成ファイルの衝突回避」を参照してください。
AMC の基礎
この節では、 AMC の操作法の基本について説明します。 AMC とブラウザの間を行き来するすべての構成データは
SSL で暗号化されるため、データは安全な状態に保たれます。セキュリティをさらに向上させたい場合、信頼できるネッ
トワーク内 ( ファイアウォールの内側の内部ネットワーク ) で AMC を使用すると良いでしょう。 51 ページの「証明書の
FAQ」を参照してください。
AMC インタフェースクイックツアー
AMC インタフェースは、同様の Web ベースセキュリティ管理アプリケーションを使用したことがあれば、容易に使いこ
なすことができます。この節では、 AMC の操作に関する基本事項について説明します。
•
メインナビゲーションメニュー
AMC ウィンドウの左側には、アプライアンスの管理の際に使用するコマンドが並んでいます。これは、メインナビ
ゲーションメニューと呼ばれています。
•
表とタブ
多くの AMC ページでは、表形式レイアウトを使用して、管理対象のオブジェクトを提示します。表にはスクロー
ルバーが付いており、長いリストの場合も、ページの主要な要素 ( ナビゲーションバー、ヘッダ、フッタなども
含む ) を容易に表示し続けることができます。また、アンダーラインが付いた列見出しをクリックすれば、表のデー
タをソートすることができます。
状況によっては、タブを使用してモードを切り替えることができます。たとえば、管理リソースとそのリソースが含ま
れる管理グループとを切り替えるときに、タブを使用します。
•
ページリンク
一部の AMC ページでは、スペースを節約するため、マルチページフォーマットを使用して、関連する構成設
定にアクセスするためのリンクをページ上部に設けています。ページリンクの一例として、 [Configure
Communities] ページを次に示しています。
EX-750 インストールおよび管理ガイド | 25
•
オブジェクトの編集
オブジェクトのリストを表示するほとんどの表では、名前フィールド ([Access Control] ページの場合はルール
番号 ) にハイパーリンクが付いています。オブジェクトを編集するときは、対応するハイパーリンクをクリックします。
•
ページビューの変更
AMC の、比較的長く複雑なページでは、高度な機能を構成するための編集コントロールが表示されないものもあ
ります。こうすることで、最も重要な構成オプションに集中できるようになっています。非表示のオプションを表示す
るときは下矢印ボタンをクリックし、オプションのセットを非表示にするときは上矢印ボタンをクリックします。
•
リスト詳細の拡張ビュー
次の図の [Access Control] ページのように、オブジェクトのリストを表示する AMC ページでは、左側のプラ
ス ( 「+」 ) 記号をクリックすることで、そのオブジェクトに関する詳細事項を表示することができます。 1 行表示に
戻したいときは、マイナス ( 「-」 ) 記号をクリックします。
•
必須フィールドとエラー
AMC では、必須フィールドは、アスタリスクで示されます。必須フィールドに値を入力しないで [Save] をクリッ
クすると、そのフィールドの下に、必須であることを示す赤いメッセージが表示されます。赤いメッセージは、エ
ラー ( たとえば不正な値を入力した場合など ) を示す場合にも使用されます。
•
名前と説明の割り当て
AMC では、そのほとんどを通して、アクセス制御ルール、リソース、ユーザーとグループの 3 種類のオブジェク
トを管理することになります。 AMC でこれらのオブジェクトを作成すると、その名前を入力するよう求められます。
また AMC では、オプションで説明を追加することもできます。
必須ではありませんが、わかりやすい説明を付けると、管理対象のオブジェクトを参照したときに、アクセスルー
ルの目的やサブネット範囲にどのリソースがあるかなど、重要な詳細データを思い起こすことができます。特にオブ
ジェクトのグループを管理するときなど、わかりやすい説明があると非常に便利です。今から何カ月も経ってから、
AMC でネットワークリソースの大規模なグループを管理するようなことになった場合、そのグループに何があるか
想起させるような説明があれば非常に役に立ちます。
•
ページの変更の保存
データの入力や修正を行う AMC ページには、変更を保存するための 2 つのボタン ([Save] と [Cancel]) が
あります。変更を行った後 [Save] をクリックすると、その変更がディスクに保存されます。 [Cancel] をクリック
するか、ブラウザの [Back] ボタンを押した場合は、変更が保存されません。
26| 第 3 章 - AMC の操作
•
AMC ステータスエリア
ステータスエリアは、 AMC ヘッダのすぐ下にあり、重要な情報を表示します。
•
•
構成を変更しているにもかかわらずまだ適用していない場合、ステータスエリアに「Pending changes」と
表示されます。このメッセージテキストをクリックすると、 [Apply Changes] ページが表示され、このペー
ジから構成を変更することができます。
•
複数の管理者が AMC にログインしている場合、ステータスエリアに「Multiple administrator」と表示さ
れます。このメッセージテキストをクリックすると、 [Administrator Sessions] ページが表示されます。
•
ベースアプライアンスライセンスまたはコンポーネントライセンスの有効期限が切れている場合、ステータス
エリアに「License expired」と表示されます。このメッセージテキストをクリックすると、 [Licensing] ペー
ジが表示され、このページからソフトウェアライセンスを参照および管理することができます。ソフトウェアライ
センスの有効期限が近づいている場合は、ステータスエリアに「License warning」と表示されます。
現在の ASAP バージョン番号
現在のシステムソフトウェアのバージョンは、 AMC の各ページの左側のナビゲーションバーと [System
Status] ページに表示されます。バージョン番号は、システムアップデートの計画を行う上で有用です。また、
技術サポートに連絡する際も、バージョン番号をお手元に用意しておく必要があります。
ヘルプの利用
それぞれの AMC ページには [Help] ボタンがあり、このボタンをクリックすると、コンテキストに応じたオンラインヘル
プが表示されます。ヘルプを開くときは、画面の右上にある [Help] ボタンをクリックします。これをクリックすると、ヘ
ルプが新しいブラウザウィンドウに表示されます。
ヘルプナビゲーションバーには、次のボタンが付いています。
ボタン
説明
[Contents]、 [Index]、 [Search] の各ボタンを持つヘルプナビゲーションペインを表
示します ( このボタンはヘルプナビゲーションペインを閉じたときに現れる )。
目次を同期し、最新のトピックを表示します ( このボタンは、ヘルプナビゲーションペインが
表示されているときに現れる )。
次または前のヘルプトピックを表示します。
関連するヘルプトピックのリストを表示します。
EX-750 インストールおよび管理ガイド | 27
ボタン
説明
現在のヘルプトピックをプリントします。
ヘルプナビゲーションには、左側のフレームの内容を変更する 3 つのボタンがあります。
•
[Contents]。ヘルプトピックの階層リストを表示します。
•
[Index]。ヘルプのキーワードをアルファベット順で表示します。
•
[Search]。ヘルプの全テキスト検索エンジンを表示します。ボックスに単語または短いフレーズを入力して [Go!]
をクリックし、表示されるリストからトピックを選択します。
管理者アカウント
この節では、 AMC 管理者アカウントを管理する方法の他、複数の管理者がアプライアンスを管理している場合の問題
回避の方法についても説明します。
管理者アカウントの管理
AMC では、異なるユーザー名とパスワードを持つ複数の管理者アカウントを作成することができます。すべての管理者
は、ポリシーと構成について同じレベルでコントロールすることができ、自身の AMC パスワードを変更することができま
す。ただし、他の管理者を追加、編集、削除できるのは「プライマリ」管理者のみです。
管理者アカウントの追加
ポリシー管理の担当者が複数いて、それぞれの管理者に独自のログインクレデンシャルを与えたい場合、他の管理者
アカウントを追加することができます。ただし、セカンダリ管理者アカウントを作成できるのは、「プライマリ」管理者のみ
です。
X
管理者アカウントを追加するには
1.
メインナビゲーションメニューから [General Settings] をクリックします。
2.
[General Settings] ページで、 [Administrators] タブをクリックしてから、 [New] ボタンをクリックしま
す。
3.
[Add/Edit Administrator] ページの [Username] ボックスに、セカンダリ管理者のユーザー名を入力
します。
4.
[Description] ボックスに、その管理者に関するわかりやすいコメントを入力します。管理者のフルネームや
肩書きなどでもかまいません。このフィールドはオプションですが、説明を入れておくと、後で管理者のリストを参
照するときにわかりやすくなるため便利です。
5.
[Password] ボックスに、その管理者のパスワードを入力します。このパスワードは、必ず管理者に通知する
ようにします。管理者は、いつでもこのパスワードを変更することができます。
パスワードは、 8 文字以上にしなければならず、大文字と小文字も区別します。大文字と小文字、数字などを
組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載っているような単語は避
けるようにします。
6.
確認のため、 [Confirm Password] ボックスにパスワードを再入力します。
7.
[Save] をクリックします。
管理者アカウントの編集
AMC パスワードを安全な状態に保つためには、パスワードを随時変更する必要があります。それぞれの管理者は、自
身のアカウントを編集して、パスワードを変更したり説明を更新したりすることができます。プライマリ AMC 管理者 ( ユー
ザー名が「admin」 ) は、他の管理者のアカウント設定についても編集することができます。
パスワードは、 8 文字から 20 文字にしなければならず、大文字と小文字も区別します。大文字と小文字、数字など
を組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載っているような単語は避ける
ようにします。
パスワードを変更したら、なんらかの形で記録し、安全な場所に保管しておきます。セカンダリ管理者のパスワードを変
更した場合、該当する管理者にそのパスワードを必ず通知しなければなりません。
28| 第 3 章 - AMC の操作
X
管理者アカウントを編集するには
1.
メインナビゲーションメニューから [General Settings] をクリックします。
2.
[General Settings] ページで、 [Administrators] タブをクリックします。
3.
[Username] カラムで、編集したいアカウントを持つ管理者の名前をクリックします。
4.
[Add/Edit Administrator] ページで、説明テキストまたはログインパスワードを変更します。
メモ
•
AMC パスワードを変更すると、 AMC にログインするときに使用されるクレデンシャルと、シェルアクセスに対する
root パスワードが更新されます。
管理者アカウントの削除
プライマリ管理者は、他の管理者アカウントを削除することができます。ただし、プライマリ管理者アカウントは削除する
ことができません。
X
管理者アカウントを削除するには
1.
メインナビゲーションメニューから [General Settings] をクリックします。
2.
[General Settings] ページで、 [Administrators] タブをクリックします。
3.
チェックボックスカラムで、削除したい管理者アカウントの横にあるチェックボックスを選択して、 [Delete] ボタ
ンをクリックします。
複数管理者の構成ファイルの衝突回避
複数の管理者がアプライアンスを管理している場合、 AMC を同時に使用するような事態は避けなければなりません。複
数の管理者が同じオブジェクトを変更した場合、 AMC は最後の変更を保存します。そのため、意図しない結果になる
ことがある他、アクセス制御ルールに対して相互に矛盾する変更が行われた場合など、セキュリティ上の問題の原因に
なることもあります。
複数の管理者が AMC にログインしている場合、 AMC のステータスエリアに「Multiple administrators」警告メッ
セージが表示されます。このメッセージをクリックすると、 AMC にログインしているすべての管理者のユーザー名と IP ア
ドレスが表示されます。
X
AMC にログインしている他の管理者を表示するには
•
警告メッセージが表示されたら、メッセージテキストのハイパーリンクをクリックします。
この操作により、 [Administrator Sessions] ページが表示されます。
このページには、 AMC にログインしているすべての管理者のユーザー名と IP アドレスがリストされます。他の管
理者に連絡して互いの活動を調整することで、構成ファイルの衝突を避ける必要があります。
メモ
•
管理者が、 Web ブラウザの複数のインスタンスを使用して AMC にログインしている場合、 [Administrator
Sessions] ページに、その管理者のユーザー名と IP アドレスが複数回表示されることがあります。また、 AMC
セッションを終了させるときは、必ず [Log Out] をクリックしなければなりません。 Web ブラウザを閉じてセッショ
ンを終了した場合、そのセッションは、タイムアウトするまでの間 ( デフォルトで 15 分 ) アクティブセッションとし
てリストに表示されたままになります。
EX-750 インストールおよび管理ガイド | 29
構成データの操作
この節では、構成の変更を AMC に保存して有効にする方法について説明します。
構成変更のディスクへの保存
AMC のページで変更を行った後 [Save] をクリックすると、その変更がディスクに保存されます。 [Cancel] をクリッ
クするか、ブラウザの [Back] ボタンを押した場合は、変更が保存されません。
X
構成変更をディスクに保存するには
1.
AMC のページでデータを変更します。
2.
ページの下部にある [Save] をクリックします。
構成の変更はディスクに保存されますが、アクティブな構成には適用されません。 AMC のステータスエリアに、
変更が保留されておりアプライアンスに適用する必要があることを示すメッセージが表示されます。
詳細については、 29 ページの「構成変更の適用」を参照してください。
メモ
•
AMC の [Administrators] ページで行った変更は、すぐに有効になります。
構成変更の適用
アプライアンスの構成変更を行うとき、ディスクに保存しても、その変更がすぐに適用されることはありません。変更を有
効にするには、 [Apply Changes] ページを使用して変更を適用しなければなりません。ほとんどの構成変更は、
ユーザーへのサービスを阻害せずに適用することができます。変更を適用した後は、すべての新しい接続で新しい構
成が使用されるようになります。
新しい構成変更をすべてのユーザーにすぐに適用したい場合、適切なサービスを手動で再起動しなければなりません。
この操作により、既存のユーザー接続が停止し、ユーザーに再認証を強制します。サービスの再起動方法の詳細につ
いては、 223 ページの「Aventail アクセスサービスの停止と開始」を参照してください。
低レベルの構成変更 ( たとえば IP アドレスの変更など ) の場合、ネットワークサービスを再起動し、既存のユーザー
接続を停止して、既存ユーザーに対し再認証を強制しなければなりません。可能であれば、オフピークの時間 ( 保守
期間など ) にこれらの構成変更を適用し、サーバーを再起動する前にユーザーに通知するようにします。構成変更で
このような再起動が必要な場合は、 [Apply Changes] ページに警告が表示されます。
X
変更を適用するには
1.
メインナビゲーションメニューから [Maintenance] をクリックします。
2.
[Maintenance] ページで、 [Apply Changes] ボタンをクリックします。この操作により、 [Apply
Changes] ページが表示されます (AMC の右上隅に表示される「Pending changes」メッセージをクリック
することもできます )。
3.
[Apply Changes] ページのメッセージを参照して、変更を適用した場合の影響について評価します。この手
順の後の表に記述されているメッセージのうち、いずれかが表示されます。
4.
[Apply Changes] をクリックして、構成変更を適用します。
30| 第 3 章 - AMC の操作
変更が適用されるまでは、 AMC の他のページをブラウズしないでください。ページが再表示されて、「Pending
configuration changes」メッセージが AMC のステータスエリアから消えると、他のページも安全に表示できる
ようになります。
[Apply Changes] ページには、次のいずれかのメッセージが表示されます。
警告メッセージ
説明
•
Applying changes will restart all services この変更を適用すると、既存のユーザー接続が停止しま
and terminate all user connections.
す。
•
Applying changes will terminate existing
注意ユーザーの再認証が必要になるため、データが失わ
TCP/IP user connections.
れる可能性があります。
Applying changes will terminate existing
HTTP user connections.
•
Your changes will require AMC to restart, which
will end your current administrative session.
When the request is complete, open a new
browser and log in to AMC again.
現在のセッションが終了すると、 AMC を使用できなくなり
ます。ブラウザを閉じて、 AMC に再びログインしてくださ
い。
No authentication realms are enabled. This will
prevent users from accessing any resources.
Click here to configure user authentication.
ユーザーがリソースに対してアクセス権を維持するには、
少なくとも 1 つ以上の認証レルムを有効にしなければなり
ません。認証レルムを有効にしなければ、ユーザーがア
プライアンスで認証されなくなります。
メモ
•
構成変更を ASAP WorkPlace に適用すると、 AMC がサービスを再起動します。ユーザーは、 WorkPlace で
再認証する必要がありますが、ネットワーク共有リソースにアクセスするために Windows ログインクレデンシャル
を提供している場合、 WorkPlace の再起動時に再入力するよう求められます。
•
変更を適用するとき接続がすでに存在している場合、接続が停止しない限り、その接続は古い構成を使用し続け
ます。 Web 接続は短いので、 Web リソースにアクセスするほとんどのユーザーは、構成変更が素早く適用され
ます。一方、クライアント / サーバー接続の場合は、長期間持続する可能性があります。構成変更の後、既存
のクライアント / サーバー接続がどの程度アクティブな状態を持続するか設定する場合は、 [Maximum limbo
life] 設定を使用します (227 ページの「ネットワークプロキシサービスの構成」を参照 )。この設定により、構
成変更が、 TCP/IP アプリケーションにアクセスするユーザーにどの程度の頻度で伝播されるかをコントロールする
ことができます。
•
新しい構成がロードできない場合、既存の接続が有効なままになりますが、新しい接続が試みられた場合は失敗
します。このような状況でどう対処したらよいかについては、 232 ページの「AMC の問題」を参照してください。
EX-750 インストールおよび管理ガイド | 31
参照されているオブジェクトの削除
あるオブジェクト ( リソースやユーザーなど ) が他のオブジェクトによって参照されている場合、そのオブジェクトは削除
することができません。それでも削除しようとすると、エラーメッセージが表示されます。たとえば、アクセス制御ルール
が参照しているリソースを削除しようとすると、エラーメッセージが表示されます。
エラーメッセージのリンクをクリックすると、削除しようとしているリソースに対する参照がすべてリストされます。オブジェ
クトを削除する前に、そのオブジェクトに対するすべての参照を削除しなければなりません。
次の表では、他のオブジェクトから参照されている場合に削除できないオブジェクトのタイプをリストしています。
オブジェクトタイプ
このオブジェクトタイプを参照するオブジェク
リソース
アクセス制御ルール、リソースグループ、 WorkPlace Web ショートカット
リソースグループ
アクセス制御ルール
ユーザー
アクセス制御ルール
ユーザーグループ
アクセス制御ルール
レルム
ユーザー、ユーザーグループ
認証サーバー
レルム
コミュニティ
レルム
Web アプリケーション
プロファイル
リソース
End Point Control ゾーン
アクセス制御ルール、コミュニティ
デバイスプロファイル
End Point Control ゾーン
32| 第 3 章 - AMC の操作
EX-750 インストールおよび管理ガイド | 33
第4章
ネットワークと認証の構成
この節では、基本的なネットワーク構成作業、つまりネットワークインタフェース、ルーティング、名前解決設定の構成
方法や、SSL 証明書の管理方法などについて説明します。また、ユーザー認証を構成する方法についても説明します。
ここで説明するのは、アプライアンスを稼働させる上での最小限のネットワーク構成です。 NTP、 SSH、 ICMP、 syslog
などの付加的なサービスの構成方法については、 123 ページの「システム管理」を参照してください。
基本ネットワーク設定の構成
IP インタフェース、ルーティング、名前解決などのすべての基本ネットワーク設定は、 AMC で構成することができます。
システム ID の識別
アプライアンスの名前を設定して、対応するドメインの名前を指定しなければなりません。
X
システム ID を指定するには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[Domain name] ボックスに、アプライアンスが属しているドメインの名前を入力します。たとえば、
「example.com」のように入力します。この名前は、アプライアンスがアクセスするホストを識別するときに使用
される DNS ネームスペースを定義します。
3.
[Save] をクリックします。この操作により、変更が保存されます。
4.
[Network interfaces] テーブルから、該当するアプライアンスの名前をクリックします。この操作により、そ
のアプライアンスに対する [Configure Network Interfaces] ページが開きます。
5.
[Appliance name] ボックスに、アプライアンスの名前を入力します。この名前はシステムログに表示される
もので、ユーザーが目にすることはありません。このボックスは、クラスタ環境の場合、編集することができませ
ん。
6.
[Save] をクリックします。
34| 第 4 章 - ネットワークと認証の構成
ネットワークインタフェースの構成
ネットワークインタフェースを構成するには、 IP アドレスとサブネットマスクを入力し、インタフェース速度を指定します。
アプライアンスを実行する場合、内部ネットワークインタフェースのみを使用する構成にできる他、 2 インタフェース構成
にしたいときは、オプションで外部インタフェースを使用することもできます。インタフェース構成オプションの詳細につい
ては、 11 ページの「ネットワークアーキテクチャ」を参照してください。
X
ネットワークインタフェースを構成するには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[Network interfaces] テーブルから、該当するアプライアンスの名前をクリックします。この操作により、
[Configure Network Interfaces] ページが開きます。
3.
[Configure Network Interfaces] ページで、内部 ( プライベート ) ネットワークに接続する内部インタ
フェースの設定を行います。
•
インタフェースの IP アドレスとサブネットマスクをそれぞれ [IP address] と [Subnet mask] に入力し
ます。
•
[Interface speed] のリストから適切なインタフェース速度を選択します。アダプタがネットワークの速度を
オートネゴシエートする構成にすることもできます。ただしその場合、一部のネットワークサービスとの間で互
換性の問題が生じる可能性があります。通常は、ネットワークインタフェース速度を手作業で構成するのが
最良の方法になります。
アプライアンスの設定は、このインタフェースに接続しているアクティブなネットワークデバイス ( ハブ、ス
イッチ、ルータなど ) の設定と一致している必要があります。
4.
5.
両方のネットワークインタフェースを設定したアプライアンスを動作させる場合は、外部ネットワーク ( またはイン
ターネット ) に接続したインタフェースについても設定を行います。
•
外部ネットワークを有効にするため、 [Enable external interface] チェックボックスを選択します。
•
インターネットから Aventail アプライアンスにアクセスする際に使用される IP アドレスとサブネットマスクをそ
れぞれ [IP address] と [Subnet mask] に入力します。外部 IP アドレスは、パブリックにアクセスで
きるものでなければなりません。
•
[Interface speed] リストから、適切なインタフェース速度を選択します。
[Save] をクリックして、変更を保存します。 AMC で変更が保存されると、ブラウザセッションがタイムアウトしま
す。他のシステム構成作業を続けたい場合は、再び AMC にログインしてください。
EX-750 インストールおよび管理ガイド | 35
メモ
•
一般的なスイッチ ( たとえば Cisco) の多くは、このアプライアンスの二重モードを正しく検出しません。そのため、
オートネゴシエートを使用しない設定にすることが推奨されます。ネットワークレイテンシがある場合は、アプライア
ンスが接続しているスイッチのポート設定をチェックし、正しい構成が使用されているか調べます。誤った構成に
なっている場合は、スイッチのポートに、アプライアンスと一致する設定を静的に割り当てるよう構成します。
•
アプライアンスが両方のインタフェースを使用する構成になっている場合、ルーティング設定を調べ、内部インタ
フェースへのネットワークルートが存在しているか確認します。アプライアンスが、 AMC にアクセスするコンピュー
タと異なるネットワーク上にある場合、アプライアンスが設置されているネットワークへの静的ルートを定義するか、
動的ルーティングを有効にして、ネットワーク構成の変更を適用した後も AMC へのアクセスが維持されるようにし
なければなりません。詳細については、 35 ページの「IP ルートの構成」を参照してください。
IP ルートの構成
トラフィックをルーティングするには、デフォルトゲートウェイを指定しなければなりません。また、アプライアンスが内部
ネットワークリソースに到達できるよう、アプライアンスに対してルーティング情報を指定しなければなりません。その場
合、動的ルーティングを使用するか、静的ルートを定義することでこれを行います。
デフォルトゲートウェイの構成
デフォルトゲートウェイは、明示的にルート指定されていないパケットがどこに送信されるか決定します。そのためこれ
は、インターネットへのアクセスを提供するルータのアドレスになります。
X
ルーティング情報を構成するには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[General] ページで [Routing] タブをクリックします。
3.
[Default gateway IP address] ボックスに、インターネットへのアクセスを提供するルータの IP アドレスを
入力します。
Setup Tool を実行した後初めて AMC を使用する場合、すでに指定したゲートウェイがここに表示されます。こ
の値が、インターネットへのアクセスを提供するゲートウェイと異なる場合 ( 両方のネットワークインタフェースを有
効にしている場合これが該当する ) は、この設定をそれに従って修正する必要があります。
4.
[Save] をクリックします。
注意 !
アプライアンスが両方のインタフェースを使用する構成になっている場合、ルーティング設定を調
べ、内部インタフェースへのネットワークルートが存在しているか確認します。アプライアンスが、
AMC にアクセスするコンピュータと異なるサブネット上にある場合、動的ルーティングオプションを
使用するか、アプライアンスが設置されているネットワークへの静的ルートを定義しなければなりま
せん。
たとえば、アプライアンスが両方のインタフェースを使用するよう構成している場合を考えます。
Setup Tool を実行するとき、内部インタフェースから AMC へアクセスできるようにするデフォルト
ゲートウェイを定義します。次に AMC にログインし、外部インタフェースを有効にして、この外部
インタフェースを介してインターネットにアクセスできるようにするルータを、デフォルトゲートウェイ
として指定します。このような変更を適用すると、 AMC をブラウズするために使用するコンピュー
タが、アプライアンスと異なるサブネット上にある場合、 AMC へのアクセスが途切れることになりま
す。
このような問題を回避するため、ネットワーク構成の設定を適用する前に次のいずれかを実行しま
す。
•
動的ルーティングオプションを有効にします。
•
AMC が属しているサブネットへの静的ルートを定義します。
36| 第 4 章 - ネットワークと認証の構成
動的ルーティングの構成
動的ルーティングを使用する場合、内部ルータでルーティング情報プロトコル (RIP) のバージョン 1 またはバージョン
2 を実行していなければなりません。内部インタフェースや外部インタフェース ( 使用するアプライアンスを構成している
場合 )、またはその両方で動的ルーティングを有効にすることができます。 RIP の詳細について知りたい場合は、
http://www.ietf.org/rfc/ を訪れ、 RIPv1 については RFC 1058、 RIPv2 については RFC 2453 を参照してく
ださい。
X
動的ルーティングを構成するには
1.
サイトが RIP をサポートしていることを確認します。
2.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
3.
[General] ページで [Routing] タブをクリックします。
4.
[Dynamic Routing] エリアで、適切なモードをクリックします。
•
サイトが RIP のバージョン 1 をサポートしている場合、 [RIP v1]
•
サイトが RIP のバージョン 2 をサポートしている場合、 [RIP v2]
5.
[RIP v2] を選択した場合、適切な RIPv2 認証を選択します。選択できるオプションは [None] または
[Password] です。
6.
RIPv2 認証で [Password] を選択した場合は、 [Password] ボックスに実際のパスワードテキストを入力
します。パスワードは、 16 文字以内でなければなりません。
7.
[Interface selection] ボックスで、動的ルーティングを有効にするインタフェースを選択します。
8.
[Save] をクリックします。
メモ
•
アプライアンスの RIP ルートプロセッサは、構成の変更を適用するまで始動しません。詳細については、 29 ペー
ジの「構成変更の適用」を参照してください。
•
アプライアンスで動作する RIP デーモンは、パッシブモードでのみ動作します。言い換えると、他の RIP ルー
タからルート情報を受信しますが、ルート情報をアドバタイズすることはありません。
•
AMC では、現在のルーティングテーブルのスナップショット ( 動的ルートと静的ルートの両方を含む ) を表示する
ことができます。 237 ページの「現在のルーティングテーブルの表示」を参照してください。
•
有効でないインタフェースを選択した場合、 AMC では、構成変更を送信した時点でエラーメッセージ (
「Interface is not enabled」 ) が表示されます。
•
認証に RIPv2 を使用する場合を除き、外部インタフェースでは RIP を有効にしないのが得策です。このような
状況で RIP を有効にすると、セキュリティが危険にさらされることになります。
静的ルートの構成
サイトで RIP がサポートされていない場合や動的ルーティングを使用したくない場合は、静的ルートを明示的に定義し
なければなりません。その場合、内部インタフェースから到達するネットワークのエントリを、ルーティングテーブルに追
加します。静的ルートは、必要なだけ追加することができます。
動的ルーティングと静的ルーティングのどちらを使用するかは、状況に応じて決定します。静的ルートテーブルの保守
は、特に大規模なサイトの場合など、ともすれば非常に面倒になります。ただし動的ルーティングの場合は、ネットワー
クトラフィックが増大します。そのため、周囲の状況に最も適したオプションを選択するようにします。必要であれば、
両方のオプションを使用することもできます。その場合、検出されるすべてのルートが使用されることになります。
EX-750 インストールおよび管理ガイド | 37
X
静的ルーティング情報を構成するには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[General] ページで [Routing] をクリックします。
3.
次の方法で静的ルートを定義します。
a.
[Static routes] セクションの [IP address]、 [Subnet mask]、 [Gateway] の各ボックスに
ルート情報を入力します。
b.
[Add] をクリックします。追加したルータが、静的ルートテーブルに表示されます。
4.
[Save] をクリックします。
X
静的ルートを削除するには
1.
[Routing] ページで、削除する静的ルートの右にある [Delete] ボタンをクリックします。
2.
[Save] をクリックします。
メモ
•
アプライアンスが両方のインタフェースを使用する構成になっている場合、ルーティング設定を調べ、内部インタ
フェースへのネットワークルートが存在しているか確認します。アプライアンスが、 AMC にアクセスするコンピュー
タと異なるネットワーク上にある場合、アプライアンスが設置されているネットワークへの静的ルートを定義して、
ネットワーク構成の変更を適用した後も AMC へのアクセスが維持されるようにしなければなりません。詳細につい
ては、 35 ページの「IP ルートの構成」を参照してください。
•
内部ネットワークに、連続するアドレス空間がある場合、静的ルートを作成するときに正しいサブネットマスクを指
定することによって、複数の静的ルートを組み合わせて 1 つのエントリにすることができます。次の表では、サブ
ネットマスクを使用することで、内部トラフィックを単一の静的ルートエントリから複数のネットワークにルートする例
を 2 つ示しています。
トラフィックをルーティングする
ネットワーク :
指定する IP アドレス :
指定するサブネットマスク :
192.168.0.0
192.168.1.0
192.168.2.0
192.168.3.0
192.168.0.0
255.255.252.0
192.168.*.*
( すべてのネットワークが 192.168 の
範囲内 )
192.168.0.0
255.255.0.0
必要であれば、他のサブネットの静的ルートを明示的に追加することもできます。これは、ルーティングテーブル
でネットマスクが広い方から狭い方へ検索されるためです。
38| 第 4 章 - ネットワークと認証の構成
名前解決の設定
アプライアンスでは、ホスト名を IP アドレスに解決するため、 DNS サーバーにアクセスする必要があります。 ASAP
WorkPlace を使用して Windows ネットワークをブラウズするとき、 Windows Internet Name Service (WINS)
サーバーおよび Windows ドメイン名を指定する必要があります。
Domain Name Service の構成
DNS サーバーを構成すると、アプライアンスがホスト名を正しく解決できるようになります。 DNS を正しく構成すること
で、アプライアンスが、ネットワークリソースへのアクセスを提供できるようになります。
X
DNS による名前解決を構成するには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[General] ページで [Name Resolution] タブをクリックします。
3.
[Search domains] ボックスに、企業のデフォルト DNS ドメイン名 ( 「example.com」など ) を入力しま
す。非修飾ホスト名が指定された場合は、このドメイン名が追加されて解決されます。最大で 6 つのドメイン名
を、セミコロンで区切って入力することができます。
4.
[DNS server] ボックスに、プライマリ DNS サーバーと、 2 つのバックアップ DNS サーバーを入力します。
バックアップサーバーは、プライマリサーバーが使用できない場合に使用されます。
5.
[Save] をクリックします。
メモ
•
DNS 設定を変更する場合、ネットワークプロキシサービスを再起動しなければならず、その場合、既存の
Aventail Connect または Aventail OnDemand の接続が停止します。そのためこのような変更は、オフピー
ク時間または保守期間に行うようにすると良いでしょう。
EX-750 インストールおよび管理ガイド | 39
Windows ネットワーク名前解決の設定
Aventail ASAP WorkPlace を使用して Windows ネットワーク上のファイルをブラウズするとき、Windows Internet
Name Service (WINS) サーバーおよび Windows ドメイン名を指定する必要があります。 WorkPlace では、名
前解決を行う場合およびユーザーがブラウズするリソースのリストを構築する場合、この情報を使用します。
X
Windows ネットワーク名前解決を構成するには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[General] ページで [Name Resolution] タブをクリックします。
3.
[Windows networking] エリアで、次の情報を入力します。
4.
•
WINS サーバーの IP アドレスを [WINS server IP address] ボックスに入力します。
•
NetBIOS の構文 ( たとえば「mycompany」 ) を使用して、 Windows ドメインの名前を [Windows
domain name] ボックスに入力します。
[Save] をクリックします。
SSL 証明書の構成
アプライアンスは、 Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。 AMC を使用して自己
署名サーバー証明書を作成できる他、オプションで商用認証局 (CA) から証明書を得ることもできます。また場合によっ
ては、証明書のルートファイルを使用するよう Aventail クライアントを構成する必要があります。
概要 : SSL 証明書
Aventail アプライアンスでは、接続ユーザーに対してアプライアンスの ID を証明する場合や、クライアントコンピュー
タからサーバーに送信される情報を保護するための公開鍵を提供する場合に、 SSL 証明書を使用します。アプライア
ンスでは、 2 種類の SSL 証明書が必要になります。
•
AMC は、管理トラフィックを保護するために証明書を使用します。
•
Aventail サービスは、エンドユーザーのトラフィックを保護するために証明書を使用します。
証明書には、自己署名証明書と商用証明書の 2 種類があります。自己署名 SSL 証明書の場合、自身の身元を証
明します。パスワードを元にして、対応する秘密鍵データが暗号化されます。 AMC では自己署名証明書を使用します。
自己署名 SSL 証明書も安全ですが、アプライアンスで商用 CA の証明書を使用する構成にすることもできます。商用
証明書は、 VeriSign (http://www.verisign.com) などの CA から購入するもので、通常は 1 年間有効です。
商用 CA では、企業の身元を識別して、 CA が署名する証明書を提供することにより、その企業のユーザーの身分を
保証します。商用 CA の証明書は、パスポートにたとえることができます。自身で作成した身分証明書を提示しても、
すでにその人のことがわかっている場合を除き、往々にしてその身元は疑わしいものと見なされます。一方、信頼され
ている国が発行したパスポートを提示すれば、身元の信憑性は高くなります。これは、パスポートを発行した機関が、
その持ち主の身元をすでに確認しているためです。
サーバーでどのタイプの証明書を使用するか決定するときは、そのアプライアンスにどのようなユーザーが接続し、ネッ
トワーク上のリソースをどのように使うかについて考慮します。
•
ビジネスパートナーが、アプライアンスを介して Web リソースに接続する場合、取引を行ったり機密情報を提供
したりする前に、相手の身分保証を必要とします。このような場合、そのアプライアンスで商用 CA から証明書を
取得するようにすると良いでしょう。
一方、従業員が Web リソースに接続する場合は、自己署名証明書を信用することができます。その場合でも、
エンドユーザーが接続するたびに自己署名証明書を受け入れる手間を省くため、サードパーティの証明書を取得
することができます。
•
ユーザーが、 Aventail Connect プロキシクライアントを使用して、アプライアンスから TCP/IP リソースにアクセ
スする場合は、自己署名証明書を信頼するようクライアントを構成することができるため、通常であれば自己署名
証明書で十分です。
40| 第 4 章 - ネットワークと認証の構成
自己署名証明書の使用
( 証明書を商用 CA から取得する代わりに ) 自己署名 SSL 証明書を使用したい場合は、 AMC を使用してこれを作成
することができます。
X
自己署名証明書を作成するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Certificates]
ページが表示されます。
2.
作成する証明書に応じて、適切なボタンをクリックします。
•
Aventail サービスの証明書を作成する場合、 [Self-Signed Certificate] エリアで [New
Certificate] をクリックします。
•
AMC の証明書を作成する場合、 [AMC certificate] エリアで [New Certificate] をクリックします。
[Create Self-Signed Certificate] ページまたは [Create AMC Self-Signed Certificate] ページ
が表示されます。
3.
[Fully qualified domain name] ボックスに、証明書に記載するサーバー名を入力します。
•
アプライアンスの証明書の場合、「vpn.example.com」のように入力します。ユーザーがこのアプライアン
スにアクセスできるようにするには、この名前を外部 DNS に追加しなければなりません。
エンドユーザーは、この名前を使用して、ネットワーク上の Web ベースのリソースにアクセスします。
Aventail Connect クライアントで、 TCP/IP リソースへのアクセスを許可するよう構成するときは、この名前
を参照します。
•
AMC の証明書の場合、「amc.example.com」のように入力します。ほとんどの場合、 AMC へのアクセ
スを簡単にするために、この名前を内部 DNS に追加する必要があります。
4.
[Organization] ボックスに、 SSL 証明書に記載する企業名を入力します。
5.
[Country] ボックスに、国を表す 2 文字の省略語を入力します。有効な国コードのリストについては、国際標
準化機構 (ISO) の Web サイト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報を参照してください。
6.
[Save] をクリックします。
7.
証明書を作成するには、変更を適用しなければなりません (29 ページの「構成変更の適用」を参照 )。
自己署名証明書に対する信頼できるルートファイルの作成
自己署名証明書を使用する場合、信頼できるルートファイルをユーザーに提供する必要があります。
X
自己署名証明書に対する信頼できるルートファイルを作成するには
1.
アプライアンスにログインします。
2.
/usr/local/extranet/etc にある server.cert ファイルをコピーします。
3.
コピーしたファイルをテキストエディタで開き、ルート証明書以外のすべての部分を削除します。このファイルに
は、 1 つまたは複数の証明書があり、その他に秘密鍵も存在します。ルート証明書は、このファイルの最後の
EX-750 インストールおよび管理ガイド | 41
証明書ブロックで、バナーで識別できます。次の例では、最初の証明書ブロックと秘密鍵ブロックを削除してい
ます。
証明書 1
ルート証明書
秘密鍵
その結果、ファイルは次のようになります。
4.
このファイルをエンドユーザーに配布します。これによりセキュリティが向上し、ユーザーが接続するたびに SSL
証明書を受け入れるよう求められることもなくなります。 49 ページの「バックエンド HTTPS リソースに対する新し
いルート証明書の追加」を参照してください。
•
Aventail Connect クライアントを介してネットワークプロキシサービスに接続するユーザーの場合、それぞ
れのユーザーのコンピュータ上で、この信頼できるルートファイルを使用するよう、クライアントを構成します。
このファイルは、 Aventail Connect プロビジョニングパッケージにも入れなければなりません。
•
Web ベースのユーザーのセキュリティを向上させたい場合、このファイルを、それぞれのユーザーのブラウ
ザに入れます。
メモ
•
アプライアンスに付属する Setup Tool を使用すると、 AMC に対する自己署名証明書を作成します。ほとんどの
設定については、この自己署名証明書で十分であり、商用 CA から証明書を得る必要はありません。ただし、
AMC は、信頼されるネットワーク内で使用しなければなりません。自己署名証明書は、受動的な盗み見に対す
る防止策にはなりますが、能動的な攻撃に対する防衛策になりません。
•
Apple Macintosh で Microsoft Internet Explorer を使用するユーザーに対して、 Aventail OnDemand
を設定している場合、商用 SSL 証明書を取得する必要があります。 Macintosh の Java Virtual Machine
(JVM) が未知の CA から署名入りの証明書を受け付けないため、自己署名証明書は機能しません。
42| 第 4 章 - ネットワークと認証の構成
商用 CA からの証明書の取得
商用 CA から証明書を取得すると、アプライアンスを介してネットワークに接続するユーザーの身元を確認できるようにな
ります。商用 CA から証明書を取得して構成する場合、複数の手順を実行する必要があります。このプロセスの手順
を次に示します。
CSR 䬽 ↢ ᚑ
n
⸽᣿ᦠ⟑ฬⷐ᳞ (CSR) 䭡
૞ᚑ䬦䭍䬨䫻
o
CSR 䭡໡↪⹺⸽ዪ (CA) 䬺
ㅍା䬦䭍䬨䫻
CSR ᔕ ╵ 䬽䭫䮺䮤䯃䮏
s
CSR ᔕ╵䭡 AMC 䬺䭫䮺䮤䯃䮏
䬦䬵⸽᣿ᦠ䭡૞ᚑ䬦䭍䬨䫻
CA 䬽䮲䯃䮏䮜䭨䭫䮲䭡
CSR ᔕ╵䬺ㅊട
CA 䭇䬽 CSR 䬽 ㅍ ା
p(䭱䮞䭾䮮䮺) CA 䬽 CSR ᔕ╵䬺
ା㗬䬶䬜䭚䮲䯃䮏䮜䭨䭫䮲䬛฽䭍䭛䬵
䬓䬹䬓䬚䬲䬮႐ว䫺ㅊട䬦䭍䬨䫻
Aventail 䭶䮰䭫䭩䮺䮏䬽
᭴ᚑ
ᄌᦝ䬽ㆡ↪
q
r
䭼䯃䮚䮀䭡ౣᆎേ䬦䫺⸽᣿ᦠ䭡
᦭ല䬺䬦䭍䬨䫻
ା㗬䬶䬜䭚䮲䯃䮏䮜䭨䭫䮲䭡
૶↪䬨䭚䭗䬕䫺Aventail Connect
䮞䮴䭴䭾䭡᭴ᚑ䬦䭍䬨䫻
このプロセスの手順については、以下の節で説明します。ここでは、 Aventail サーバーで商用証明書を取得する状
況を取り上げます ( 自己署名証明書を使用するよう AMC を構成する )。
EX-750 インストールおよび管理ガイド | 43
ステップ 1: 証明書署名要求の生成
AMC を使用して、証明書署名要求 (CSR) を生成することができます。このプロセスでは、サーバー情報の他、公
開鍵と識別情報が含まれる CSR を保護するための RSA 鍵ペアを作成します。ここで指定した情報は、商用 CA が
証明書を作成するときに使用します。また、この情報は、アプライアンスに接続するエンドユーザーに提示されます。
X
CSR を生成するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Certificates]
ページが表示されます。
2.
[Certificate signing request] エリアで [Create New CSR] ボタンをクリックします。 [Create
Certificate Signing Request] ページが表示されます
3.
[Certificate information] エリアに情報を入力します。この情報は、 CSR に保管され、商用 CA が証明
書を生成するときに使用します。この情報は、アプライアンスに接続するエンドユーザーに提示されます。
a.
[Fully qualified domain name] ボックスに、証明書に記載するサーバー名を入力します。この
サーバー名は、「共通名」 (CN) とも呼ばれるもので、通常ホスト名とドメイン名で構成されます。たとえば
「vpn.example.com」のように入力することができます。
Web ベースのエンドユーザーは、アプライアンスにアクセス ( 言い換えると ASAP WorkPlace にアクセス
) するときにこの名前を使用するため、憶えやすい名前を使用するようにします。また、 TCP/IP リソースに
アクセスできるようにする目的で Aventail Connect や Aventail OnDemand コンポーネントを構成すると
きも、この名前を参照します。アプライアンスにユーザーがアクセスできるようにするためには、この名前を
外部 DNS に追加しなければなりません。
b.
[Organizational unit] ボックスに、部署の名前 ( たとえば「IT Department」 ) を入力しま
す。
c.
[Organization] ボックスに、 SSL 証明書に記載する企業名を入力します。
d.
[Locale] ボックスに、市または町の名前を入力します。名前はフルネームで記述します ( 省略語は
使用しない )。
e.
[State] ボックスに、州または県の名前を入力します。名前はフルネームで記述します ( 省略語は
使用しない )。
f.
[Country] ボックスに、国を表す 2 文字の省略語を入力します。有効な国コードのリストについて
は、国際標準化機構 (ISO) の Web サイト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報
を検索してください。
44| 第 4 章 - ネットワークと認証の構成
g.
[Key length] リストから、使用する鍵の長さを選択します。 [512]、 [768]、 [1024] ( デフォル
ト )、 [1280]、 [1536] のいずれかを選択します。鍵の長さが長いほどセキュリティが向上します
が、アプライアンスの処理速度が遅くなります。ほとんどの場合、 [1024] や [1280] が適していま
す。
4.
情報が正しく入力されているか見直してから、 [Save] をクリックします。この操作により CSR が生成されます。
続いて [Create Certificate Signing Request] ページが表示されます。
5.
CSR テキストの内容を AMC からクリップボードまたはテキストファイルにコピーして、 [OK] をクリックします。
メモ
•
[Certificate signing request] エリアの下にある [Status] エリアには、 CSR が保留されていることが示
されます。その場合、 CSR を再送信しないでください。再送信すると二重に課金されてしまいます。また、これ
によって内部秘密鍵が変更されるため、 CA からの応答を利用できなくなります。
•
商用 CA によっては、「&」や「!」のようなシフト文字 (SHIFT キーを押したときに生成される文字 ) が含まれて
いる CSR を読み込む際に、問題が発生することがあります。企業名などの情報を指定するとき、「&」を
「and」と記述するなどして、シフト文字を使用しないようにしてください。
ステップ 2: 商用 CA へ CSR を送信
CSR の送信のプロセスは、選択する商用 CA によって変動します。 VeriSign は、 Secure Site Services を使用
して SSL 証明書を発行する商用 CA として有名です。詳細については、 http://www.verisign.com を参照してく
ださい。
X
商用 CA へ CSR を送信するには
1.
AMC の [Certificate Signing Request] ページから証明書署名要求の内容をコピーします。
2.
これを所定の方法で CA に送信します。通常、 CSR テキストをコピーして CA の Web サイトのフォームにペー
ストするか、電子メールのメッセージに添付します。
CA が指定している方法によっては、すべてのテキストをペーストする場合と、「BEGIN NEW CERTIFICATE
REQUEST」と「ND NEW CERTIFICATE REQUEST」の 2 つのバナーに挟まれているテキスト ( バナー自体も
含む ) のみをペーストする場合とがあります。方法がよくわからない場合は、 CA に問い合わせてください。
EX-750 インストールおよび管理ガイド | 45
3.
商用 CA が身元を確認するまで待機します。企業の身元を証明するため、他のドキュメントを作成するよう求めら
れることもあります ( 営業許可や企業の定款など )。
ステップ 3: CSR 応答を確認して CA のルート証明書に追加 ( 必要な場合 )
CSR を送信したら、 CA が身元を確認するまで待機します。このプロセスが終わると、 CA が証明書を返信します。返
信は、次の 2 つのいずれかの形式で送られてきます。
•
電子メールのメッセージに添付されたファイル。この場合、ファイルをローカルファイルシステム (AMC にア
クセスするもの ) に保存して、 AMC にインポートすることができます。
•
電子メールのメッセージ内に埋め込まれたテキスト。この場合、テキストをコピーして、 AMC のテキスト
ボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」の 2 つのバ
ナーを必ず入れるようにします。
CA が、 CSR 応答で完全な証明書チェーンを提供しない ( 一般的な方法 ) 場合、 CSR 応答をインポートするときに、
AMC が証明書チェーンを補完しようとします。チェーンを補完できない場合、 AMC で「The certificate chain is
not complete」というエラーメッセージが表示されます。この場合は、 CA のルート証明書または中間公開証明書を
アプライアンスにアップロードしなければなりません。自身で CA の役割も果たしている場合は、おそらくこの手順を実
行する必要があります。
X
証明書チェーンを補完するには
1.
信頼できるルート証明書または中間公開証明書を CA から取得します。ほとんどの外部 CA は、 Web サイトでこ
のような証明書を提供しています。企業が CA の役割を果たしている場合は、サーバー管理者に確認してくださ
い。
2.
メインナビゲーションメニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま
す。
3.
[Appliance root certificates] セクションで [Import] ボタンをクリックします。この操作により、
[Import Root Certificate] ページが表示されます。
4.
証明書をアップロードします。
•
証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC
にログインしたコンピュータ ) から証明書の返信をアップロードします。
•
証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、
証明書をテキストボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」
の 2 つのバナーを必ず入れるようにします。
5.
[Save] をクリックします。この操作により、 [CA Certificates] ページに戻ります。
6.
証明書が正しくアップロードされたことを確認するため、ページ上部にある [Manage CA Certificate] ボタン
をクリックします。新しい証明書が [Manage Root Certificates] ページの上部に表示されます。
ステップ 4: CSR 応答を AMC にインポート
X
証明書の返信をインポートするには
1.
メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Certificates]
ページが表示されます。
2.
[Certificate Signing Request] エリアで [Import CSR Response] をクリックします。 [Import
CSR Certificate] ページが表示されます。
3.
証明書をアップロードします。
•
証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC
にログインしたコンピュータ ) から証明書の返信をアップロードします。
•
証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、
証明書をテキストボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」
の 2 つのバナーを必ず入れるようにします。
4.
[Save] をクリックします。この操作により、 [SSL Certificates] ページに戻ります。
5.
証明書が正しくアップロードされたことを確認するため、 [View details] ボタンをクリックします。証明書が
[Certificate Details] ページの上部に表示されます。
46| 第 4 章 - ネットワークと認証の構成
ステップ 5: 変更の適用
新しい証明書を使用しはじめるには、構成の変更を適用する必要があります。詳細については、 29 ページの「構成
変更の適用」を参照してください。
変更を適用したら、アプライアンスが新しい証明書を検査し、すべての新しい接続でそれを使用するようになります。ア
プライアンスが証明書を正しく処理できなかった場合、エラーメッセージが表示され、そのエラーについての情報がイベ
ントログに記載されます。このような状況は通常、証明書がない場合、証明書の有効期限が切れている場合 ( または
まだ有効になっていない場合 )、暗号化パスワードファイルにキャッシュされているパスワードが不正な場合などに発生
します。
ステップ 6: ルートファイルを使用するよう Aventail Connect を構成
クライアント / サーバーアプリケーションは、 Aventail Connect プロキシクライアントを使用してアクセスします。クラ
イアントがアプライアンスから証明書を受け取ると、証明書チェーンのルートを検査し、自身の信頼できるルートのリストと
照会します。ルートが一致すると、クライアントはアプライアンスの身元が正しいことを認識するため、ユーザーに証明
書を確認するよう求めません。ユーザーが証明書を確認するよう求められないようにするには、このルートファイルを使
用するよう Aventail Connect を構成します。
Aventail Connect でルートファイルを構成する方法については、『Aventail Connect Administrator’s Guide』
の「Configuring Server Validation Options」を参照してください。
メモ
•
ユーザーがデジタル証明書を使用して認証するようにしたい場合、クライアントだけでなくサーバー上でも、信頼で
きるルートファイルを構成する必要があります。 50 ページの「クライアント証明書の構成」を参照してください。
他のコンピュータからの既存の証明書のインポート
商用 CA からすでに証明書を受け取っている場合、その証明書と秘密鍵をアプライアンスに転送することもできます。証
明書をインポートしたら、アプライアンスでエンドユーザーのトラフィックを保護するために、サーバーがその証明書を使
用するようになります。
このアプライアンスでは、証明書を PKCS#12 形式で保管します。異なる形式で証明書が保管されている場合、イン
ポートする前に、 OpenSSL ( 詳細については 14 ページの「便利な管理ツール」を参照 ) などのツールを使用して
PKCS#12 に変換する必要があります。変換を行ったら、 PKCS#12 ファイルに完全な証明書チェーンが含まれてい
るか確認してください。
X
既存の証明書をアプライアンスに転送するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Certificates]
ページが表示されます。
2.
[Appliance certificate] エリアで [Import] をクリックします。 [Import Certificate] ページが表示さ
れます。
3.
[Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC にログインしたコンピュータ ) から証
明書をアップロードします。
4.
[Password] ボックスに、秘密鍵を暗号化するときに使用したパスワードを入力します。
5.
[Save] をクリックします。
ただし、構成の変更を適用するまでは、アプライアンスは以前の証明書を使用します。
EX-750 インストールおよび管理ガイド | 47
証明書の管理
この節では、証明書の管理に関連する、さまざまな作業について説明します。ルートファイルを使用するよう Aventail
クライアントを構成する方法や、バックエンド Web リソースからルートファイルを確認する方法について解説します。ま
た、証明書の詳細を確認する方法、証明書のパスワードを変更する方法、既存の鍵を使用して証明書を更新する方
法などについても説明します。
概要 : CA 証明書
すべての CA では、デジタル証明書を要求するエンティティがその CA を「信頼」できるようにするため、ルート証明
書が必要になります。クライアントが、 CA のルート証明書を信頼した場合、その CA が発行した他の証明書も自動的
に信頼することになります。このようにルート証明書は、公開鍵の暗号化における基礎になります。ルート証明書は、
CA 自身 ( 自己署名 ) または公開鍵基盤 (PKI) の CA 階層で上位にあたる認証局が署名します。
このアプライアンスには、一流商用 CA の 100 以上の証明書が搭載されています。商用 CA から証明書を取得して
いる場合、そのルート証明書や中間公開証明書は、アプライアンスにほぼインストールされている状態になっています。
ただし、自身で CA の役割を果たしている場合は、ルート証明書または中間公開証明書をアプライアンスにインポート
しなければなりません。
アプライアンスは、次のような証明書で構成されています。
•
アプライアンスの SSL 証明書。ほとんどの設定の場合、中心となるサーバー証明書を商用 CA から取得しま
す。その場合、必要な CA 証明書は、すでにアプライアンスにインストールされています。ただし、自身で CA
の役割を果たしている場合は、ルート証明書や中間公開証明書をアプライアンスにインポートしなければなりませ
ん。
•
セキュアな LDAP または AD サーバー接続。 LDAP または Active Directory (AD) 接続を SSL で保護
すると、 LDAP サーバーまたは AD サーバーを装おうとする試みを排除することで、セキュリティを強化
することができます。 LDAP または AD over SSL を構成するには、アプライアンスを構成して、 LDAP ま
たは AD 証明書を与えた CA に対するルート証明書や中間公開証明書を使用するよう設定しなければなり
ません。
•
クライアント証明書の認証。ユーザーがクライアント証明書を使用して認証する場合、アプライアンスを
構成して、クライアント証明書をエンドユーザーに発行した CA に対するルート証明書や中間公開証明書
を使用するよう設定しなければなりません。これらの CA 証明書は、アプライアンスに接続するユーザー
から送信された証明書の有効性を確認するために使用されます。
•
バックエンド HTTPS Web サーバーへの接続。バックエンド Web リソースを SSL で保護 ( つまり
HTTP の代わりに HTTPS を使用 ) している場合、アプライアンスを構成して、サーバー証明書を発行し
た CA に対するルート証明書や中間公開証明書を使用するよう設定することができます。
バックエンド Web リソースとの接続を正常に確立できる場合、アプライアンスで、必要な CA 証明書がすでに構
成されていることになります。接続を確立できない場合は、 CA 証明書をアプライアンスにアップロードする必要が
あります。
[SSL Certificates] ページの [CA Certificates] タブにある [Manage CA Certificate] ボタンをクリックす
ることにより、 CA 証明書のリストを参照することができます。この操作により、 [Manage Root Certificates] ポッ
プアップウィンドウが表示されますが、このウィンドウは、 CA 証明書を削除する場合にも使用することができます。
48| 第 4 章 - ネットワークと認証の構成
証明書の詳細の表示
タイトル、発行者、開始日と終了日、シリアル番号、 MD5 チェックサムなど、アプライアンス証明書の詳細データを表
示することができます。新しくインポートした証明書の詳細データは、構成の変更を適用するまで表示されません。
X
証明書の詳細を表示するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Certificates]
ページが表示されます。
2.
[SSL Certificates] ページで、証明書の完全修飾ドメイン名、発行者、有効期限を確認することができま
す。
3.
[View details] をクリックすると、証明書の詳細データが表示されます。
メモ
•
証明書に CA の共通名 (CN) が含まれていない場合、 [Issued To] と [Issued By] フィールドに、タイト
ル / 発行者のフルネームが表示されます ( たとえば「C=US,O=Example Corp,CN=vpn.example.com」な
ど )。
SSL 証明書のエクスポート
アプライアンスのエンドユーザートラフィックを保護するために、 SSL 証明書をエクスポートすることができます。この証
明書は、 PKCS#12 形式で保管されます。
X
アプライアンスから SSL 証明書をエクスポートするには
1.
メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Certificates]
ページが表示されます。
2.
[Appliance certificate] エリアで [Export] をクリックします。 [Export Certificate] ページが表示さ
れます。
3.
[Password] ボックスに、秘密鍵を暗号化するときに使用するパスワードを入力します。
4.
[Save] をクリックします。この操作により、証明書ファイルがローカルファイルシステム ( つまり AMC にログイ
ンしたコンピュータ ) にアップロードされます。
5.
[OK] をクリックします。この操作により、 [SSL Certificates] ページに戻ります。
EX-750 インストールおよび管理ガイド | 49
アプライアンスへの CA 証明書の追加
アプライアンスで、必要な CA 証明書が構成されていない場合、そのコピーを取得して、アプライアンスにアップロード
する必要があります。
X
アプライアンスに CA 証明書を追加するには
1.
信頼できるルート証明書または中間公開証明書を CA から取得します。ほとんどの外部 CA は、 Web サイトでこ
のような証明書を提供しています。企業が CA の役割を果たしている場合は、サーバー管理者に確認してくださ
い。
2.
メインナビゲーションメニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま
す。
3.
該当する [Import] ボタンをクリックします。
4.
•
LDAP サーバーまたは AD サーバーとの接続を保護するための証明書の場合またはクライアント証明書を使
用する場合は、 [Appliance root certificates] エリアの [Import] ボタンをクリックします。
•
バックエンド HTTPS Web リソースとの接続を保護するための証明書の場合は、 [Back-end server
root certificates] エリアの下部にある [Import] ボタンをクリックします。
証明書をアップロードします。
•
証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC
にログインしたコンピュータ ) から証明書の返信をアップロードします。
•
証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、
証明書をテキストボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」
の 2 つのバナーを必ず入れるようにします。
5.
[Save] をクリックします。この操作により、 [CA Certificates] ページに戻ります。
6.
証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificate] ボタンをクリックします。
新しい証明書が [Manage Root Certificates] ページの上部に表示されます。
7.
クライアント証明書の認証のためにルートファイルをアップロードしている場合、 Web プロキシサービスとネット
ワークプロキシサービスを停止して再起動しなければなりません。
この操作により、ユーザーへのサービスが短時間中断するため、このような変更は保守期間に行うと良いでしょう。
詳細については、 223 ページの「Aventail アクセスサービスの停止と開始」を参照してください。
メモ
•
デフォルトの場合、 Web プロキシサービスは、バックエンド HTTPS Web サーバーが提示するルート証明書を
確認する構成になっています。このセキュリティチェックは重要で、これにより、バックエンドサーバーの身元を
信頼できるようになります。詳細については、228 ページの「Web プロキシサービスの構成」を参照してください。
バックエンド HTTPS リソースに対する新しいルート証明書の追加
バックエンド Web リソースを SSL で保護 ( つまり HTTP の代わりに HTTPS を使用 ) している場合、 Web プロキシ
サービスを構成して、バックエンドサーバーが提示したルート証明書を確認するよう設定する必要があります。のセキュ
リティチェックは重要で、これにより、バックエンドサーバーの身元を信頼できるようになります。詳細については、 228
ページの「Web プロキシサービスの構成」を参照してください。
バックエンドサーバーのルート証明書が、あらかじめアプライアンスにインストールされていない場合、コピーを取得して
AMC にインポートする必要があります。
X
新しいバックエンド HTTPS ルート証明書をアプライアンスに追加するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま
す。
2.
[Back-end server root certificates] エリアで、該当する [Import] ボタンをクリックします。
3.
証明書をアップロードします。
4.
•
証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC
にログインしたコンピュータ ) から証明書の返信をアップロードします。
•
証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、
証明書をテキストボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」
の 2 つのバナーを必ず入れるようにします。
[Save] をクリックします。この操作により、 [CA Certificates] ページに戻ります。
50| 第 4 章 - ネットワークと認証の構成
5.
証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificate] ボタンをクリックします。
新しい証明書が [Manage Root Certificates] ページの上部に表示されます。
メモ
•
Web プロキシサービスは、バックエンド証明書を HTTPS で確認する構成になっています。 AMC では、ダウン
ストリーム Web サーバーの構成を参照することができます。詳細については、 228 ページの「Web プロキシ
サービスの構成」を参照してください。
•
[Manage Root Certificates] ページにリストされている CA を信頼したくない場合、その証明書の隣にある
チェックボックスを選択して、 [Delete] をクリックします。
LDAP または Active Directory over SSL に対する新しいルート証明書の追加
LDAP または Active Directory (AD) 接続を SSL で保護すると、 LDAP サーバーまたは AD サーバーを装おうと
する試みを排除することで、セキュリティを強化することができます。 LDAP または AD over SSL を構成するには、
LDAP または AD 証明書を与えた CA に対するルート証明書を、 SSL の信頼できるルートファイルに追加しなければ
なりません。また、デジタル証明書を使用してユーザーを認証している場合、クライアント証明書をエンドユーザーに
発行した CA に対するルート証明書を追加しなければなりません。
X
LDAP サーバーまたは AD サーバーに対する CA ルート証明書をアプライアンスに追加するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま
す。
2.
[Appliance root certificates] エリアで、該当する [Import] ボタンをクリックします。
3.
証明書をアップロードします。
•
証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC
にログインしたコンピュータ ) から証明書の返信をアップロードします。
•
証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、
証明書をテキストボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」
の 2 つのバナーを必ず入れるようにします。
4.
[Save] をクリックします。この操作により、 [CA Certificates] ページに戻ります。
5.
証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificate] ボタンをクリックします。
新しい証明書が [Manage Root Certificates] ページの上部に表示されます。
この信頼できるルートファイルには、 LDAP または AD 証明書を発行した CA だけでなく、エンドユーザーにク
ライアント証明書を発行した CA ( クライアント証明書を使用している場合 ) に対するルート証明書も記載されてい
なければなりません。
クライアント証明書の構成
ユーザーがクライアント証明書を使用して認証を受ける場合、アプライアンスで、信頼できるルートファイルを構成しな
ければなりません ( クライアント証明書の確認のため )。このルートファイルは、アプライアンスに接続するユーザーか
ら送信された証明書の有効性を確認するために使用されます。この手順を実行するとき、ユーザーへのサービスが短時
間中断するため、保守期間に行うようにすると良いでしょう。
X
ルートファイルを使用するようアプライアンスを構成するには
1.
ルートファイルの名前を ldapca.cert に変更します。
2.
ldapca.cert ファイルを /usr/local/aventail/etc ディレクトリにコピーします。
3.
Web プロキシサービスとネットワークプロキシサービスを停止して再起動します。この操作により、ユーザーへ
のサービスが短時間中断しますが、サービスが新しいルートファイルを認識するためには、この手順は必須で
す。詳細については、 223 ページの「Aventail アクセスサービスの停止と開始」を参照してください。
メモ
•
正常に動作するには、ルートファイルが PEM 形式 (base64 エンコード ) になっていなければなりません。ファ
イルの変換方法の詳細については、 51 ページの「証明書の FAQ」を参照してください。
EX-750 インストールおよび管理ガイド | 51
証明書の FAQ
この節では、証明書の使用に関連してよく尋ねられる質問にお答えします。
•
証明書を非商用 CA から取得するにはどうしたらよいですか ?
プロセスは、商用 CA から証明書を取得する場合とほぼ同じですが、非商用 CA (Microsoft Self-Signed
Certificate Authority など ) の場合 CSR を送信する必要があります。この手順については、 44 ページの「ス
テップ 2: 商用 CA へ CSR を送信」で解説しています。
•
証明書の有効期限はいつ切れますか ?
自己署名証明書は 5 年間有効です。サードパーティの証明書の場合、その証明書の発行者によって、有効期
限が異なることもあります。詳細については、その CA にお問い合わせください。
•
アプライアンスの CA ルートファイルにはどのようなものがあり、それぞれどのように使用されますか ?
/usr/local/aventail/etc の ldapca.cert ファイルには、次のソースから次のルート証明書を入れなければなり
ません。
•
ユーザーがクライアント証明書を使用して認証を受ける場合、証明書を発行した CA から取得した信頼できる
ルートを入れます。
•
セキュアな LDAP (LDAPS) を使用して、ユーザー名とパスワードの認証を行う場合、 LDAP サーバーの証
明書を発行した CA から取得した、信頼できるルートを入れます。
•
セキュアな LDAP (LDAPS) を使用して、クライアント証明書の認証を行う場合、 LDAPS サーバーの証明
書を発行した CA から取得した、信頼できるルートを入れます (LDAPS およびクライアント証明書が同じ CA
から発行されている場合、署名鍵が 1 つだけ必要になる )。
/usr/local/extranet/etc の backendca.cert ファイルには、 Web プロキシサービスが管理するセキュアな
Web サーバー (HTTPS) で使用されている、 SSL 証明書を発行した CA から取得したルート証明書を入れる必
要があります。これは、 Web プロキシサービスが、セキュアでない (HTTP) リソースを管理している場合は、必
要ありません。詳細については、 49 ページの「バックエンド HTTPS リソースに対する新しいルート証明書の追
加」を参照してください。
•
信頼できるルート証明書は、信頼できるルートファイルにどれだけ入れることができますか ?
ルートファイルには、必要なだけ証明書を入れることができます。信頼できるルートファイルに証明書を入れる場
合、 >> コマンドを使用してファイルを追加すると良いでしょう ( たとえば「cat myfile >> ldapca.cert」
のように入力する )。証明書は、 PEM 形式 (base64 エンコード ) でエンコードし、開始バナー ( 「---BEGIN
CERT...」 ) と終了バナー ( 「----END CERT...」 ) を必ず入れるようにします。
•
他のツールで生成した秘密鍵または CSR をアプライアンスにインポートできますか ?
秘密鍵および CSR は、 Setup Tool または認証生成ツールを使用して、アプライアンスで生成しなければなりま
せん。ただし、秘密鍵および CSR を、セキュアコピー (scp) を使用して、 Aventail アプライアンス間でコピー
することはできます。コピーした証明書は、 AMC 内から変更すれば、上書きされます。
•
AMC 証明書はどこに保管されますか ?
AMC の自己署名証明書は、 /usr/local/app/mgmt-server/sysconf/active/keystore.jetty に保管され
ます。 AMC の場合、ほとんどの環境については、自己署名証明書で十分です。ただし、 AMC は、信頼され
るネットワーク内で使用しなければなりません。自己署名証明書は、受動的な盗み見に対する防止策にはなります
が、能動的な攻撃に対する防衛策になりません。
•
アプライアンスの CA ルートファイルにはどのようなものがあり、それぞれどのように使用されますか ?
(/usr/local/aventail/etc に保管されている ) ldapca.cert ファイルには、次のソースから次のルート証明書を
入れなければなりません。
•
ユーザーがクライアント証明書を使用して認証を受ける場合、証明書を発行した CA から取得した信頼できる
ルートを入れます。
•
セキュアな LDAP (LDAPS) を使用して、ユーザー名とパスワードの認証を行う場合、 LDAP サーバーの証
明書を発行した CA から取得した、信頼できるルートを入れます。
•
セキュアな LDAP (LDAPS) を使用して、クライアント証明書の認証を行う場合、 LDAPS サーバーの証明
書を発行した CA から取得した、信頼できるルートを入れます (LDAPS およびクライアント証明書が同じ CA
から発行されている場合、署名鍵が 1 つだけ必要になる )。
(/usr/local/extranet/etc に保管されている ) backendca.cert ファイルには、 Web プロキシサービスが管
理するセキュアな Web サーバー (HTTPS) で使用されている、 SSL 証明書を発行した CA から取得したルート
証明書を入れる必要があります。これは、 Web プロキシサービスが、セキュアでない (HTTP) リソースを管理し
ている場合は、必要ありません。詳細については、 49 ページの「バックエンド HTTPS リソースに対する新しい
ルート証明書の追加」を参照してください。
52| 第 4 章 - ネットワークと認証の構成
•
アプライアンスのルート証明書にリストされている CA に、信頼したくないものがあります。信頼されて
いる証明書をどのように修正したら良いですか ?
特定の CA を信頼したくない場合、アプライアンスと SSH 接続を確立し、テキストエディタで証明書ファイル
(backendca.cert または ldapca.cert) を開いて、 CA の証明書をリストから取り除きます。
•
信頼できるルート証明書は、信頼できるルートファイルにどれだけ入れることができますか ?
ルートファイルには、必要なだけ証明書を入れることができます。信頼できるルートファイルに証明書を入れる場
合、 >> コマンドを使用してファイルを追加すると良いでしょう ( たとえば「cat myfile >> ldapca.cert」
のように入力する )。証明書は、 base64 エンコード (PEM) 形式でエンコードし、開始バナー ( 「---BEGIN
CERT...」 ) と終了バナー ( 「----END CERT...」 ) を必ず入れるようにします。
レルムでのユーザー認証の管理
認証は、当人であることを識別するため、ユーザーの身元を確認するプロセスです ( 認証は許可とは異なる。認証は
身元を確認するが、許可はアクセス権を指定するだけである )。この節では、ユーザー認証レルムを構成する方法と外
部認証サーバーを参照する方法について説明します。
ユーザー認証を管理するには、 AMC で 1 台以上の外部認証サーバーを定義して、ユーザーによるアプライアンスへ
のログインのためにセットアップするレルムから参照されるようにしなければなりません。レルムは、外部認証サーバーに
マッピングされたユーザーグループで、 AMC で定義します。
AMC のレルムと外部認証サーバーとの対応関係は、 1 対 1 と多対 1 のいずれかになります。ネットワークで 1 台の
認証サーバーのみにユーザー情報を保管している場合、AMC に認証レルムを 1 つだけ作成する必要があります。ネッ
トワークで複数の認証サーバーを使用している場合、それぞれのサーバーごとに、 AMC の認証レルムを 1 つ以上作
成する必要があります。また、単一の外部リポジトリで、複数の異なるユーザーグループを参照する複数の認証レルム
を、 AMC で作成することもできます。
認証レルムを 1 つしか使用しない場合でも、アクセス要件やその他のセキュリティ条件に基づいてユーザーのサブセッ
トを作成することができます。これは、認証レルムをユーザーのコミュニティと対応させる必要があるためです。コミュニ
ティは、レルムのすべてのユーザーで構成することができる他、選択したユーザーのみを入れることもできます。また、
アクセスエージェントを設定したり、コミュニティのメンバーに End Point Control 制約を適用したりするために使用す
ることもできます。コミュニティの詳細については、 106 ページの「コミュニティの管理」を参照してください。
レルムの表示
AMC で構成したレルムが、 [Authentication] ページに表示されます。
X
構成したレルムを表示するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Realms] リストのデータを参照します。
•
1 つまたは複数のレルムを選択する場合、チェックボックス列を使用します。これを使用してレルムを削除し
たり、コピーしたりすることができます。
•
プラス記号 ( 「+」 ) の列をクリックすると、レルムが拡大され、認証サーバーとユーザーコミュニティ ( ある
場合 ) が表示されます。
EX-750 インストールおよび管理ガイド | 53
•
[Enabled] 列には、そのレルムが有効になっているか無効になっているかが示されます。緑色のインジケー
タの場合そのレルムが有効で、赤いインジケータの場合そのレルムは無効になっています。レルムが無効の
場合、そのレルムのユーザーやグループはログインすることができません。
•
[Name] 列には、レルムを作成するときに割り当てた名前が表示されます。レルム名は、クリックすると編
集することができます。
•
[Authentication server] 列には、ユーザーの身元を確認するときにそれぞれのレルムによって参照さ
れる認証サーバーの名前がリストされます。
•
[Description] 列には、レルムを作成するときに入力した説明テキストがリストされます。
デフォルト、表示、非表示レルム
ユーザーを認証するとき、アプライアンスは、そのユーザーがどのレルムに所属しているか認識していなければなりませ
ん。有効なレルムが 1 つしかない場合、アプライアンスは自動的にそのレルムを使用します。ただし複数のレルムが有
効な場合、アプライアンスはどのレルムを使用するか認識しておく必要があります。ユーザーがログインするとき、通常、
適切なレルムをリストから選択します。
ただし、 AMC でデフォルトレルムを定義すれば、簡単にレルムを選択できるようにすることもできます (57 ページの
「デフォルトレルムの選択」を参照 )。デフォルトレルムが定義されている場合、レルム選択ボックスに、デフォルトレ
ルムが自動的に入れられます ( ただし Connect クライアントではこれが当てはまらない )。アクセス方法固有の動作に
ついては、この節で概説します。デフォルトレルムを選択しておくことが強く推奨されます。
また、どのレルム名がエンドユーザーに提示されるかについても選択することができます。表示されていないレルムにロ
グインする必要がある場合、ユーザーはそのレルム名をログインボックスに正確に入力しなければなりません。たとえ
ば、さまざまなサプライヤー用にレルムを作成していて、サプライヤー同士が互いを知らない状態が望ましいという状況
を考えてみます。その場合、このようなレルム名を非表示にしておくと、それぞれのサプライヤーは、アプライアンスに
ログインするときにレルム名を入力しなければならなくなります。
次の表は、さまざまなレルム構成の場合に、エンドユーザーによるログイン時の作業がどう変動するかを示しています。
有効なレルム
デフォルト
レルムの構成
非表示
レルムの構成
ユーザーのログイン時の作業
1つ
該当なし
該当なし
ユーザーはログイン時にレルムを選択しません。認証
の際、有効なレルムが自動的に使用されます。
複数
あり
なし
ユーザーがリストからレルムを選択します。レルムテキ
ストボックスにはデフォルトレルムが入ります。
複数
なし
なし
ユーザーがリストからレルムを選択します。レルムテキ
ストボックスには最初のレルム ( アルファベット順にソー
トされている ) が入ります。
複数
あり
あり
ユーザーがリストからレルムを選択します。レルム
テキストボックスにはデフォルトレルムが入ります。
レルムリストには、 [Other] というエントリがあり、
2 番目のテキストボックスが表示されています。ログ
インの際、非表示レルムを使用したい場合、 [Other]
を選択して、 2 番目のテキストボックスにレルム名を
入力します。
以下では、アクセス方式ごとに、ユーザーのログイン時の作業を示します。
54| 第 4 章 - ネットワークと認証の構成
ASAP WorkPlace
ユーザーが最初に ASAP WorkPlace にアクセスするとき、 1 ページまたは複数のログインページが表示されます。 1
つのレルムのみが有効な場合、ユーザークレデンシャルを要求するページのみが表示されます。複数のレルムが有効
な場合は、次のようなログインページが表示されます。このページで適切なレルムを選択します。
非表示レルムが 1 つまたは複数ある場合、ログインページは次のようになります。
[Next] をクリックすると、ユーザー名とパスワードで認証するユーザーの場合、クレデンシャルを入力するためのペー
ジが表示されます。
レルムを定義する場合のベストプラクティス
レルムを定義するとき、ユーザーのログインの作業を軽減するため、次のベストプラクティスを実行します。
•
エンドユーザーがログイン時にレルム名を選択するため、レルム名を定義するときは、ユーザーグループを明確
に表す名前にしなければなりません。たとえば、すべての社内従業員を含むレルムの場合は「employees」な
どの名前を使用し、外部のサプライヤーを含むレルムの場合は「suppliers」などとします。
•
一部のユーザーが非表示のレルムにログインするような場合、入力するレルム名と入力方法 ( レルムのリストから
[Other] を選択してテキストボックスにレルム名を入力 ) をそのユーザーに知らせておきます。
•
必要な場合に限って、複数のレルムを有効にします。有効なレルムが 1 つだけの場合、ユーザーはログインプ
ロセスでレルムを選択する必要がなくなります。テスト環境から実稼働環境に移行するときは、すべてのテストレル
ムが削除されていることを確認してください。
EX-750 インストールおよび管理ガイド | 55
レルムの作成と構成
認証レルムを作成および構成するときは、次の手順を実行します。複数のレルムを作成する場合、デフォルトレルムと
して 1 つ選択する必要があります。この方法については、後で説明します。
レルムを作成し、これを外部認証サーバーと対応させたら、 1 つまたは複数のコミュニティをレルムに割り当てます。コ
ミュニティの詳細については、 106 ページの「コミュニティの管理」を参照してください。
X
レルムを作成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Realms] セクションで [New] ボタンをクリックします。この操作により、 [Configure Realm] ページの
[General] セクションが表示されます。
3.
[Name] テキストボックスに、わかりやすいレルムの名前を入力します。エンドユーザーが VPN へのログイン
時にこのレルム名を選択するため、レルム名を定義するときは、ユーザーグループを明確に表す名前にしなけ
ればなりません。
4.
[Description] テキストボックスに、レルムについてのコメントを入力します。コメントを入れておくと、 VPN で
複数の認証レルムを使用する場合など、特に便利です。
5.
対応する [Status] を選択することによって、レルムを有効または無効にします。詳細については、 57 ページ
の「レルムの有効化と無効化」を参照してください。
6.
ユーザーに提示されるレルムのリストに、このレルムを入れる ( ほとんどの場合これが推奨される ) 場合、
[Display this realm] チェックボックスを選択します。
7.
[Authentication server] で、ユーザーの身元を確認するためにレルムが使用する認証サーバーを選択し
ます。このフィールドは必ず設定しなければなりません。また、新しい認証サーバーを構成してレルムで参照す
る場合は、 [New] をクリックします。詳細については、 59 ページの「認証サーバーの構成」を参照してくださ
い。
8.
オプションで [Enable group affinity checking] チェックボックスを選択することにより、アプライアンス
が、セカンダリ認証リポジトリを照会するよう設定することができます。詳細については、 58 ページの「レルムで
のグループアフィニティチェックの有効化」を参照してください。
9.
ユーザーコミュニティをレルムと対応させるには [Next] (56 ページの「コミュニティとレルムとの関連付け」を参
照 )、 [Authentication] ページに戻るには [Finish] をクリックします。
コミュニティを割り当てずに認証レルムを作成し保存した場合、 AMC は自動的にグローバルデフォルトコミュニ
ティをそのレルムに割り当てます。 56 ページの「デフォルトコミュニティの使用」を参照してください。
56| 第 4 章 - ネットワークと認証の構成
コミュニティとレルムとの関連付け
認証レルムを作成したら、レルムに対応させるコミュニティを 1 つまたは複数選択しなければなりません。構成済みのデ
フォルトコミュニティを使用できる (56 ページの「デフォルトコミュニティの使用」を参照 ) 他、他のコミュニティをレル
ムに対応させることもできます。デフォルトコミュニティ以外のコミュニティをレルムに対応させる場合、既存のコミュニティ
を選択するか、新しいコミュニティを作成します。
時間の経過とともにユーザーアクセス要件やセキュリティポリシー要件が変化するのに合わせて、レルムにコミュニティ
を追加できる他、レルムが参照するユーザーコミュニティを修正したり削除したりすることもできます。
X
コミュニティをレルムに対応させるには
1.
[Configure Realm] ページの [General] セクションでレルムを作成したら、 [Next] ボタンをクリックしま
す。この操作により、 [Configure Realm] ページの [Communities] セクションが表示されます。
2.
[Communities] セクションで次の作業を行います。
•
[Community] リストから既存のコミュニティを選択して、 [Add] をクリックします。この操作により、レル
ムがコミュニティのリストに追加されます。
•
新しいユーザーコミュニティを作成し構成するときは、 [New] ボタンをクリックします。この操作により、
[Configure Community] ページが表示されます。 106 ページの「コミュニティの作成と構成」を参照し
てください。
3.
別のコミュニティを追加する必要がある場合は、レルムに追加します。
4.
必要であれば、コミュニティがリストで表示される順序を変更します。 57 ページの「レルムでコミュニティがリストさ
れる順序の変更」を参照してください。
5.
[Finish] をクリックします。この操作により、コミュニティがレルムに対応し、 [Authentication] ページに戻
ります。
デフォルトコミュニティの使用
認証レルムを作成したら、そのレルムに 1 つまたは複数のコミュニティを対応させなければなりません。これが必要にな
るのは、アプライアンスがアクセスエージェントおよび End Point Control コンポーネントをユーザーに設定するとき
に、コミュニティが使用されるためです。
コミュニティを認証レルムと対応させるための最も簡単な手段は、 AMC ですでに構成されているグローバルデフォルト
コミュニティを使用する方法です。デフォルトコミュニティには、次のような特性が自動的に割り当てられています。
•
コミュニティのメンバーシップは [Any] に設定されています。つまり、認証レルムのすべてのユーザーがこのコミュ
ニティに割り当てられます。
•
コミュニティのメンバーは、 Web ベースのプロキシアクセス (TCP プロトコル ) と Web アクセス (HTTP) の 2 つ
の方法を利用できます。
•
ユーザーのコンピュータには、 End Point Control 制約が課せられていません。
メモ
•
レルムのデフォルトコミュニティについても、他のコミュニティと同様の方法で、設定を修正することができます。
112 ページの「コミュニティの編集」を参照してください。
EX-750 インストールおよび管理ガイド | 57
•
また、新しくコミュニティを追加して、レルムに対応させることもできます。 56 ページの「コミュニティとレルムとの
関連付け」を参照してください。
レルムでコミュニティがリストされる順序の変更
ユーザーが認証レルムにログインするとき、アプライアンスは、アクセスエージェントを設定できるようにするため、その
ユーザーが所属するコミュニティを調べます。 1 つのレルムでコミュニティを 1 つしか使用しない場合、またはそれぞれ
のユーザーに 1 つのコミュニティしか割り当てていない場合、ログインし適切なアクセスエージェントを受け取るプロセス
は至極単純なものになります。
しかし、あるユーザーが複数のコミュニティに所属している場合、そのユーザーに割り当てられるコミュニティは、
[Configure Realm] ページの [Communities] セクションにリストされるときのコミュニティの順序で決まります。
アプライアンスは、ユーザーをリストの最初のコミュニティと一致させようとします。ユーザーは、一致するリストの最初の
コミュニティに割り当てられることになります。そのため、このような場合、最も範囲が狭いコミュニティをリストの最初に配
置するのがベストです。
X
レルムに対するコミュニティの順序を変更するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
コミュニティの順序を変更する認証レルムの名前をクリックします。この操作により、 [Configure Realm] ペー
ジの [General] セクションが表示されます。
3.
[Communities] リンクをクリックします。この操作により、 [Configure Realm] ページの
[Communities] セクションが表示されます。
4.
コミュニティのリストで、移動したいそれぞれのコミュニティに対するチェックボックスを選択します。
5.
[Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。ボタンをクリックすると、選択したコミュ
ニティがそれぞれ上下方向に 1 段階ずつ移動します。
6.
コミュニティが所定の場所まで移動したら、 [Save] をクリックします。
メモ
•
ユーザーに割り当てられているコミュニティは、 ASAP WorkPlace の [details] ページに表示されます。
デフォルトレルムの選択
複数の認証レルムを使用する場合、デフォルトレルムを 1 つ選択する必要があります。ユーザーを認証するには、ユー
ザーがどのレルムに所属するか、アプライアンスが認識していなければなりません。 1 つのレルムのみを有効にしている
場合、アプライアンスは自動的にそのレルムを使用します。しかし複数のレルムが有効になっている場合は、どのレル
ムを使用するかアプライアンスに通知しておく必要があります。ユーザーがログインするとき、通常リストから適切なレル
ムを選択しますが、 AMC 内でデフォルトレルムを定義しておけば、レルムを簡単に選択できるようになります。
レルムを 1 つだけ構成している場合でも、そのレルムがデフォルトとして指定されていなければ、 [Authentication]
ページに「There is no default realm selected」という警告メッセージが表示されます。
X
デフォルトレルムを選択するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Default realm] リストから、デフォルトレルムにする認証レルムを選択します。このリストには、有効になっ
ておりしかも表示レルムとして構成されているレルムのみが表示されます。非表示レルムはデフォルトとして設定で
きないため、ここに表示されません。
レルムの有効化と無効化
アプライアンスは、複数のレルムの同時使用をサポートしています。レルムを有効化または無効化することにより、どの
レルムをアクティブにするかコントロールすることができます。レルムを無効化すると、そのレルムに対応するユーザーと
グループがログインできなくなります。有効な認証レルムがない場合、ユーザーはネットワークにアクセスできなくなりま
す。
X
認証レルムを有効化または無効化するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。 [Authentication]
ページには、定義されているレルムのリストが表示されます。あるレルムが有効化されている場合、緑色のインジ
ケータアイコンが左から 2 番目の列に表示されます。レルムが無効化されている場合は、グレーのインジケータ
アイコンが表示されます。
58| 第 4 章 - ネットワークと認証の構成
2.
有効化または無効化するレルムの名前をクリックします。この操作により、そのレルムに対する [Configure
Realm] ページが開きます。
3.
[General] セクションで、そのレルムの [Status] について [Enabled] または [Disabled] を選択し、
[Save] をクリックします。
レルムの編集
レルムの構成を編集する場合、次の手順を実行します。
X
認証レルムを編集するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
編集するレルムの名前をクリックします。この操作により、そのレルムに対する [Configure Realm] ページが
開きます。
3.
[General] セクションおよび [Communities] セクションで構成を変更し、 [Save] をクリックします。
レルムのコピー
複数のレルムを作成するとき、データ入力の時間を節約するため、既存のレルムから設定をコピーして、新しいレルム
の構成の際にそれを利用することができます。
X
レルムをコピーするには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Realms] リストで、コピーしたいそれぞれのレルムの左側にあるチェックボックスを選択して、 [Copy] ボタン
をクリックします。この操作により、そのレルムに対する [Configure Realm] ページが開きます。それぞれの
フィールドには、元のレルムの設定が表示されています。
3.
[Name] テキストボックスに、新しいレルムの名前をわかりやすいことばで入力します。エンドユーザーがログ
イン時にこのレルム名を選択するため、レルム名を定義するときは、ユーザーグループを明確に表す名前にしな
ければなりません。
4.
必要に応じて設定を変更します。これらの設定の詳細については、 55 ページの「レルムの作成と構成」を参照
してください。
5.
[Save] をクリックします。この操作により、新しいレルムが作成され、 [Authentication] ページに戻りま
す。
レルムの削除
レルムを削除するときは、次の手順で行います。
X
レルムを削除するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Realms] リストで、削除したいそれぞれのレルムの左側にあるチェックボックスを選択して、 [Delete] ボタン
をクリックします。
ユーザーまたはグループと対応しているレルムは削除することができません。ユーザーおよびグループを削除するか、
他のレルムと対応させなければなりません。
レルムでのグループアフィニティチェックの有効化
アプライアンスは、「グループアフィニティチェック」をサポートしています。この機能は、異なる複数のシステムで認
証と許可を処理するようなネットワーク環境に対応するものです。
グループアフィニティチェックは、ユーザーが、あるリポジトリで認証され、ユーザーのグループ情報が 2 番目のリポ
ジトリから渡されるような認証シナリオをサポートしています。このような状況は、認証で RADIUS/SecurID トークンが
使用され、ユーザーのグループ情報が LDAP サーバーまたは Active Directory サーバーから送られるような場合に
当てはまります。
EX-750 インストールおよび管理ガイド | 59
X
グループアフィニティチェックを有効にするには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Realms] リストで、修正するレルムの名前をクリックします。この操作により、そのレルムに対する
[Configure Realm] ページが開きます。
3.
[Enable group affinity checking] チェックボックスを選択します。
4.
[Server] リストから、グループ情報を保管する LDAP サーバーまたは Active Directory サーバーの名前を
選択します。 [New] をクリックすることにより、 [New Authentication Server] ページを使用して、新し
いグループアフィニティサーバーを定義することもできます。
5.
[Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
レルムの作成プロセスの際に、グループアフィニティチェックを有効にしている場合は、表示されるボタンが異なります。
[Configure Realms] ページの [Communities] セクションに進むには [Next]、 [Authentication] ペー
ジに戻るには [Finish] をクリックします。
認証サーバーの構成
AMC を使用して認証をセットアップするとき、ディレクトリ (LDAP、 Microsoft Active Directory、 RADIUS、ロー
カルユーザー ) と認証方式 ( ユーザー名 / パスワード、トークンまたはスマートカード、デジタル証明書など ) を構成
します。またその他にも、認証プロセスごとに固有の構成 ( たとえば LDAP 検索ベースまたは固有のディレクトリサー
バー ) を行います。 Aventail アプライアンスでは、次のディレクトリと認証方式がサポートされています。
•
LDAP でユーザー名 / パスワードまたはデジタル証明書を使用
•
Microsoft Active Directory でユーザー名 / パスワードを使用
•
RADIUS でユーザー名 / パスワードを使用、またはトークンベースの認証 (SecurID や SoftID など )
•
ローカルユーザー ( 主にテストのために使用するもので、実稼働環境には推奨されない )
あるレルムの認証サーバーを参照し、ユーザーをレルムに対応させたら、アプライアンスはユーザーのクレデンシャル
を、指定された認証リポジトリに保管されているクレデンシャルと比較してチェックします。
複数の認証サーバーの定義
このアプライアンスでは、複数の認証サーバーを定義して使用できるようになっています。次に、レルムで複数の認証
サーバーが参照される場合の構成例を示します。
•
ディレクトリ / 認証方式を複数組み合わせた構成。ユーザー名 / パスワードを使用した LDAP やデジタル証
明書を使用した LDAP の構成などがあります。たとえば、企業従業員がユーザー名とパスワードを使用し
てログインし、コールセンター部門の従業員がデジタル証明書でログインする場合などがこれに当たりま
す。このような場合、employee レルムと callcenter レルムを作成し、それぞれが適切な認証方式と LDAP
検索ベースを参照するようにします。
•
同じディレクトリ / 認証方式の複数のインスタンスが、異なるバックエンドサーバーを使用するような構
成。 2 つの RADIUS/ パスワードインスタンスが、異なる RADIUS サーバーを使用する構成などがあります。こ
の場合、それぞれ適切なサーバー情報を持つ 2 つの認証サーバーを定義します。
•
同じディレクトリ /認証方式の複数のインスタンスが、同じサーバーにありながら異なる方法で構成されて
いる構成。ユーザー名 / パスワードを使用した LDAP が同じサーバーにあり、異なる検索ベースを使用する構成
などがあります ( レルムごとに、ディレクトリ内の異なるサブツリーを検索 )。たとえば、 PartnerA レルムが特定の
LDAP サブツリーにあり、 PartnerB レルムが別のサブツリーにあると仮定します。 PartnerA レルムと PartnerB
レルムを定義するときは、それぞれについて適切な検索ベースを構成します。
AMC には「グループアフィニティチェック」の機能もあります。この機能は、異なる複数のサーバーで認証と許可を
処理するようなネットワーク環境に対応するものです。詳細については、 58 ページの「レルムでのグループアフィニ
ティチェックの有効化」を参照してください。
60| 第 4 章 - ネットワークと認証の構成
レルムでの認証サーバーの参照
レルムの構成を保存する前に、 AMC でレルムを認証サーバーに対応させなければなりません。これについては、 55
ページの「レルムの作成と構成」で解説しています。その後、認証プロセスが変更されたら、異なる認証サーバーを
参照するようレルムを再構成することができます。
X
レルムで認証サーバーを参照するには
1.
メインナビゲーションメニューから [Authentication] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Realms] リストで、異なる認証サーバーを参照するよう構成するレルムの名前をクリックします。この操作によ
り、 [Configure Realm] ページが表示されます。
3.
[Authentication server] リストから、このレルムでユーザーの身元を確認するために使用する認証サー
バーの名前を選択します。
また、新しい認証サーバーを作成してレルムで参照する場合は、 [New] をクリックします。
4.
[Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
Microsoft Active Directory サーバーの構成
このアプライアンスでは、 Microsoft Active Directory (AD) でユーザー名 / パスワードクレデンシャルを検証できる
ようになっています。 Active Directory でデジタル証明書を使用している場合、 LDAP サーバーとして構成する必要
があります。 63 ページの「Active Directory 認証を行うための LDAP の構成」を参照してください。
次の図は、一般的な Active Directory 構成の例を示しています。
䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲
Aventail 䭩䮞䮰䭫䭩䮺䮀
SSL (䮤䯃䮏 443)
y
䮭䯃䭽䯃ฬ䬷
䮘䮀䮶䯃䮐
䭫䮺䮆䯃䮔䮊䮏
y
y
LDAP (䮤䯃䮏 389)
LDAPS (䮤䯃䮏䎃636)
䮜䭨䭫䭩䭭䭰䯃䮲
Microsoft Active
Directory
Active Directory サーバーを構成したら、テスト接続を確立して、レルム構成設定を検証することができます。詳細
については、 75 ページの「認証構成のテスト」を参照してください。
メモ
•
アプライアンスが Active Directory サーバーと通信できるようにするため、ファイアウォールまたはルータを修正
する必要があります。アプライアンスは、標準 LDAP ポートおよび LDAPS ポートを使用して Active Directory
と通信します。標準 LDAP ポートは 389/tcp で、 LDAPS はポート 636/tcp を使用して通信します。
EX-750 インストールおよび管理ガイド | 61
ユーザー名とパスワードを使用する Active Directory の構成
ユーザー名 / パスワード検証を使用する Active Directory 認証サーバーを構成する場合、次の手順を実行します。
Active Directory でデジタル証明書を使用している場合、 LDAP レルムとして構成する必要があります。 63 ページ
の「Active Directory 認証を行うための LDAP の構成」を参照してください。
X
Active Directory を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで [New] ボタンをクリックします。
3.
[New Authentication Server] ページの [Directory type/protocol] で [Microsoft Active
Directory] をクリックします。
4.
Active Directory で選択できる [Credential type] は [Username/Password] のみであるため、選
択する必要はありません。ここで [Continue] をクリックします。この操作により、 [Configure
Authentication Server] ページが表示されます。
5.
[Name] ボックスに、認証サーバーの名前を入力します。
6.
[General] エリアに情報を入力していきます。
•
[Active Directory domain controller] ボックスに、 Active Directory ドメインコントローラの IP
アドレスまたはホスト名を入力します。
•
特定の Active Directory ドメインを指定したい場合、 [Active Directory domain name] ボックス
に入力します。ここで指定するのは、検索ベースとして使用するドメインでなければなりません ( つまり適切
な cn=users コンテナが含まれるドメイン )。たとえば、 marketing など、単一のドメインを検索したい場
合、「marketing.example.com」と入力します。また、企業のドメイン全体を検索したい場合は、
「example.com」と入力します。ドメインを指定しない場合、アプライアンスは、ドメインコントローラで最
初に見つかったデフォルトネーミングコンテキストを検索します。
•
Active Directory 検索を実行するためには、アプライアンスが、 Active Directory にログインしなければ
なりません ( アノニマス検索を許可するよう Active Directory を構成している場合を除く )。そのため
[Login name] ボックスに、 Windows ドメインにログインするときに使用するユーザー名または
sAMAccountname 属性を入力します ( たとえば「jdoe」や「[email protected]」 )。
ログイン名は、検索を実行しユーザーレコードを参照する権限を持つユーザーのものでなければなりませ
ん。たとえば、そのドメインコントローラの管理者などがこれに当たります。これらの権限を持っていれば、
管理者でないユーザーを指定することもできます。
Active Directory ドメインを指定した場合、アプライアンスは、そのドメインでユーザーを検索します。ドメ
インを指定しない場合、アプライアンスは、ドメインコントローラで最初に見つかったデフォルトネーミング
コンテキストを検索します。ユーザー情報がこのようなロケーションのどれにも保管されていない場合、このレ
62| 第 4 章 - ネットワークと認証の構成
ルムを LDAP レルムとして構成する必要があります。 63 ページの「Active Directory 認証を行うための
LDAP の構成」を参照してください。
•
7.
8.
ログイン名に対応するパスワードを [Password] に入力します。
Active Directory 接続を SSL で保護する場合、 [Active Directory over SSL] エリアに情報を入力しま
す。
•
Active Directory 接続を SSL で保護するときは、 [Use SSL to secure Active Directory
connection] チェックボックスを選択します。
•
証明書の詳細を表示し、アプライアンスがルート証明書を使用できるか確認するときは、 [View CA
Certificate] をクリックします。この操作により、クライアント証明書と SSL 証明書を発行した CA の名前
(1 つまたは複数 ) がリストされます。 Active Directory サーバーの CA がこのファイルにリストされていな
い場合または自己署名証明書を使用する場合は、証明書をこのファイルに追加しなければなりません。詳
細については、 50 ページの「LDAP または Active Directory over SSL に対する新しいルート証明書
の追加」を参照してください。
•
Active Directory ドメインコントローラのホスト名が、 Active Directory サーバーで提示された証明書の
名前と同じであることを確認する場合は、 [Match certificate CN against Active Directory
domain controller] チェックボックスを選択します。通常、サーバー名は、デジタル証明書で指定さ
れている名前と一致します。使用しているサーバーでもこれが当てはまる場合、実稼働環境でこのオプション
を有効にすると良いでしょう。こうしておくと、デジタル証明書または DNS サーバーが危険にさらされた場合
でも、許可されていないサーバーが、 AD サーバーをマスカレードすることは困難になります。
[Advanced] エリアでは、 Active Directory パスワードの有効期限切れの前にユーザーに通知するオプショ
ンの他、 NTLM 認証転送オプションも構成することができます。ユーザーは、アプライアンス経由でパスワードを
変更することはできませんが、この高度な通知機能により、他の手段でパスワードを変更できるようになります。
•
通知機能を有効にするため、 [Prompt users before password expires] チェックボックスを選択
します。この通知機能が、有効期限の何日前 ( デフォルトは 5 日前 ) に動作するか指定するため、 [days
before expiration] ボックスに数値を入力します。当日になると、ユーザーに次のメッセージが送信さ
れるようになります。
Your password is about to expire in <n> days.
ただし <n> は、有効期限切れまでの日数です。
•
9.
NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいずれか
をクリックします。詳細については、 76 ページの「NTLM 認証転送の構成」を参照してください。
[Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
EX-750 インストールおよび管理ガイド | 63
メモ
•
[Login name] および [Password] フィールドは、 Active Directory サーバーに接続する上で必須という
わけではありません。ただし、これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、アプ
ライアンスは匿名でバインドするようになります。その場合、アノニマス検索を許可するよう Active Directory を
構成していなければ、検索がエラーになります。
•
複数の Active Directory with SSL (ADS) サーバーを定義している場合、それぞれのサーバーで同じ
[Match certificate CN against Active Directory domain controller] 設定を指定します ( 実稼
働環境ではこのオプションを有効にするのが望ましい )。 AMC では、この設定をレルム単位で構成できるように
なっていますが、アプライアンスは実際のところ、最後にロードされた ADS レルムで指定されている設定を使用し
ます。たとえば、 3 つの ADS レルムでこのチェックボックスを選択していて、 4 番目の ADS レルムでは選択解
除しているような場合、この機能はすべてのレルムで無効になります。
!
注意 Active Directory over SSL が有効でない場合、パスワードが、暗号化されない状態で Active
Directory サーバーに転送されます。内部ネットワークが信頼されていない場合は、 SSL を有効にする必要が
あります。 Active Directory サーバーでも、 SSL の使用を有効にしなければなりません。詳細については、
Microsoft Active Directory のマニュアルを参照してください。
Active Directory 認証を行うための LDAP の構成
Active Directory でデジタル証明書を使用している場合、 LDAP を使用して Active Directory で認証する必要が
あります。 LDAP サーバーを構成する手順については、 65 ページの「LDAP および LDAPS 認証の構成」で定義し
ています。 LDAP を構成するとき、ディレクトリの照会時に使用する属性について、特に注意を払わなければなりませ
ん。 Active Directory のインプリメンテーションはどの場合も異なっているため、実際の Active Directory スキーマ
でオブジェクトクラスおよび関連する属性がどのように構成されているか知っていなければなりません。
次の表は、ユーザー名 / パスワードクレデンシャルを検証するときに使用される、主要な Active Directory 属性を示
しています。すべての属性で大文字と小文字が区別されます。
フィールド
説明
Login DN
Active Directory サーバーとの接続を確立するときに使用される DN。 example.com
ドメインにある汎用の Active Directory 構成では、ユーザー名「John Doe」の DN
は次のようになります。
cn=John Doe,cn=users,dc=example,dc=com
Search base
ユーザー情報の検索を始める AD ディレクトリ内のポイント。通常これは、ユーザー情報
が含まれるディレクトリツリーの最下層になります。 AD にバインドしているユーザーに
は、このレベルでこのディレクトリを表示する権限がなければなりません。
一般的なインストールの場合、検索ベースが
「cn=users,dc=example,dc=com」になっているとほとんどのユーザーが検索さ
れます。一部のユーザーが異なるブランチに保管されている場合、高いレベルから検索
することもできます ( たとえば「dc=example,dc=com」 )。
User name
attribute
ユーザー名との一致の際に使用される属性。ほとんどの AD インプリメンテーションで
は、 sAMAccountName がユーザー ID ( たとえば「jdoe」 ) と一致します。 cn を
代わりに使用することもできますが、その場合は、ユーザー ID ( 「jdoe」 ) ではなく、
フルネーム ( 「John Doe」 ) で認証しなければならなくなります。
クライアント証明書を Active Directory にインポートしている場合は、 [Attribute mapping] と [Certificate
attribute] に特に注意を払ってください。次の表は、 Active Directory に保管されているクライアント証明書を介し
て、ユーザーを認証するときに使用する属性を示しています。
フィールド
説明
Attribute mapping ここでは、証明書のユーザー ID フィールドと、対応する Active Directory のユーザー
ID フィールドとのマッピングを作成します。マッピングは「a=b」という形式にします。
ただしこの場合の「a」は SSL 属性で「b」は LDAP エイリアスになります。
•
ほとんどのインプリメンテーションでは、「cn=cn」となっている場合、証明書の CN
フィールドが、 Active Directory の CN フィールドと一致することを表します。
•
ユーザーの電子メールアドレスが証明書の [Email] で定義されている場合、
「Email=mail」とすることで、 (Active Directory の [User General] タブで
指定されているように ) ディレクトリの対応するフィールドと一致します。
64| 第 4 章 - ネットワークと認証の構成
フィールド
説明
Certificate
attribute
Active Directory は、ユーザー証明書を userCertificate という名前の属性に保管し
ます。そのため、「userCertificate」と入力します。
メモ
•
グループを参照するアクセス制御ルールを作成する場合、ユーザーは、ルールとの一致を求める要求を出す際、
そのグループの明確なメンバーでなければなりません。ネストされたグループのメンバーであっても、一致したもの
として扱われることはありません。このため、大規模な Active Directory 設定などで、ネストされたグループが
ある場合は、なんらかの影響を及ぼす可能性があります。
たとえば、「SeattleCampus」グループに「Marketing」という名前のグループが含まれていると仮定します。
従業員の「John Doe」は、「Marketing」グループのメンバーですが、「SeattleCampus」グループの明確
なメンバーではありません。ネストされたグループがメンバーシップを継承することはないため、このメンバーがその
グループの明確なメンバーにならない限り、「SeattleCampus」グループのメンバーとして認識されることはありま
せん。
•
Microsoft では、ディレクトリの接続、ブラウズ、修正などといった、 LDAP 操作を容易にするためのグラフィカ
ルなツールを提供しています。 LDP という名前のこのツール (ldp.exe) は、 Windows 2000 Server Support
Tools に収録されています。詳細については、「Microsoft Product Support」サイトを参照してください。
Active Directory 認証のための LDAP の例
次に LDAP 構成の例を示します。
例 1—Active Directory
Login DN
CN=AVtest,CN=Users,DC=testusrs,DC=example,DC=com
Search base
DC=testusrs,DC=example,DC=com
User name attribute
sAMAccountName
例 2—Active Directory
Login DN
CN=johnDoe,CN=Users,DC=na,DC=example,DC=com
Search base
CN=Users,DC=na,DC=example,DC=com
User name attribute
sAMAccountname
例 3— デジタル証明書を使用する Active Directory
Attribute mapping
Email=mail
Certificate attribute
UserCertificate
例 4—Domino サーバーを使用する LDAP
Login DN
CN=Aventail,O=peoplesoft
Search base
o=peoplesoft
User name attribute
cn
EX-750 インストールおよび管理ガイド | 65
LDAP および LDAPS 認証の構成
Aventail アプライアンスでは、 LDAP または LDAPS (LDAP over SSL) プロトコルを使用した認証をサポートしてい
ます。どちらのプロトコルも、ユーザー名 / パスワードクレデンシャルまたはデジタル証明書の検証に使用することがで
きます。次の図は、一般的な LDAP 構成の例を示しています。
䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲
Aventail 䭩䮞䮰䭫䭩䮺䮀
SSL (䮤䯃䮏 443)
y
䮭䯃䭽䯃ฬ䬷
䮘䮀䮶䯃䮐
y
䮎䭿䮆䮲⸽᣿ᦠ
䭫䮺䮆䯃䮔䮊䮏
y
y
LDAP (䮤䯃䮏䎃389)
LDAPS (䮤䯃䮏䎃636)
䮜䭨䭫䭩䭭䭰䯃䮲
LDAP 䮎䭪䮳䭶䮏䮱
LDAP 接続を SSL で保護する場合、他の構成も必要になります。 LDAP 証明書を、 SSL の信頼できるルートファイ
ルに提供した CA のルート証明書を追加しなければなりません。こうすることで、 LDAP サーバーを装おうとする試みを
排除することで、セキュリティを強化することができます。 50 ページの「LDAP または Active Directory over SSL
に対する新しいルート証明書の追加」を参照してください。
LDAP サーバーまたは LDAPS サーバーを構成したら、テスト接続を確立して、レルム構成設定を検証することができ
ます。詳細については、 75 ページの「認証構成のテスト」を参照してください。
メモ
•
アプライアンスが LDAP サーバーと通信できるようにするため、ファイアウォールまたはルータを修正する必要があ
ります。標準 LDAP では、ポート 389/tcp を使用し、 LDAPS はポート 636/tcp を使用して通信します。
ユーザー名とパスワードを使用する LDAP の構成
ユーザー名 / パスワード検証を使用する LDAP 認証サーバーを構成する場合、次の手順を実行します。
X
ユーザー名 / パスワード検証を使用する LDAP を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで [New] ボタンをクリックします。
3.
[New Authentication Server] ページの [Directory type/protocol] で [LDAP] をクリックしま
す。
4.
[Credential type] で [Username/Password] をクリックして、 [Continue] をクリックします。この操
作により、 [Configure Authentication Server] ページが表示されます。
5.
[Name] ボックスに、認証サーバーの名前を入力します。
66| 第 4 章 - ネットワークと認証の構成
6.
7.
[General] エリアに情報を入力していきます。
•
[LDAP server] ボックスに、 LDAP サーバーのホスト名または IP アドレスを入力します。 LDAP サーバー
が 389 (LDAP で一般的なポート ) 以外のポートでリッスンする場合、コロンの後に接尾辞として続けること
でポート番号を指定することができます ( たとえば「myldap.example.com:1300」 )。
•
[Login DN] ボックスに、 LDAP サーバーとの接続を確立するときに使用する識別名 (DN) を入力します。
•
[Password] ボックスに、 LDAP サーバーとの接続を確立するときに使用するパスワードを入力します。
•
[Search base] ボックスに、ユーザー情報の検索を始める LDAP ディレクトリ内のポイントを入力します。
通常これは、ユーザー情報が含まれるディレクトリツリーの最下層になります。たとえば
「ou=Users,o=xyz.com」のように入力します。 LDAP ディレクトリにバインドしているユーザーには、こ
のレベルでこのディレクトリを表示する権限がなければなりません。
•
[User name attribute] ボックスに、ユーザー名との一致の際に使用される属性を入力します。通常
「cn」または「uid」になります。
[Group lookup] エリアに情報を入力します。
•
LDAP 検索のときに、ユーザーコンテナのグループ属性を検索することにより、ユーザーのグループメン
バーシップを判定するようにしたい場合、 [Find groups in which a user is a member] チェック
ボックスを選択して、 [Group attribute] ボックスにグループ属性を入力します。この属性は、通常
「memberOf」になります。属性ベースのグループが LDAP サーバーでサポートされておらず有効でない
場合は、このオプションを選択しないでください。
•
静的グループでグループメンバーシップが検索されるようにしたい場合、 [Look in static groups for
user members] チェックボックスを選択します。このような検索では、 LDAP ツリー全体について検索し
なければならなくなります。そのため、場合によっては、検索対象が非常に大きくなります。
LDAP サーバーが、属性ベースのグループをサポートしていない場合またはこの機能が有効でない場合
は、このオプションを選択する必要があります。
•
8.
属性グループや静的グループの検索結果をキャッシュして検索時間を短縮したい場合、 [Cache group
checking] チェックボックスを選択して、 [Cache lifetime] ボックスに、適切なキャッシュ持続時間 (
デフォルトは 1800 秒 ) を秒単位で入力します。
LDAP 接続を SSL で保護する場合、 [LDAP over SSL] に情報を入力します。
EX-750 インストールおよび管理ガイド | 67
9.
•
LDAP 接続を SSL で保護するときは、 [Use SSL to secure LDAP connection] チェックボックス
を選択します。
•
証明書の詳細を表示し、アプライアンスがルート証明書を使用できるか確認するときは、 [View CA
Certificate] をクリックします。このとき表示されるファイルには、 LDAP 証明書を発行した CA のルート
証明書が含まれている必要があります。これが含まれていない場合は、追加しなければなりません。詳細
については、 50 ページの「LDAP または Active Directory over SSL に対する新しいルート証明書の
追加」を参照してください。
•
LDAP ホストの名前が、 LDAP サーバーで提示された証明書の名前と同じであることを確認する場合は、
[Match certificate CN against LDAP server name] チェックボックスを選択します。通常、
サーバー名は、デジタル証明書で指定されている名前と一致します。使用しているサーバーでもこれが当て
はまる場合、実稼働環境でこのオプションを有効にすると良いでしょう。こうしておくと、デジタル証明書また
は DNS サーバーが危険にさらされた場合でも、許可されていないサーバーが、 LDAP サーバーをマスカ
レードすることは困難になります。
必要に応じて [Advanced] エリアに情報を入力します。
•
LDAP 参照を有効にするときは、 [Enable LDAP referrals] チェックボックスを選択します。この機能
を有効にすると、ある LDAP サーバーが、クライアントの照会に回答できない場合、その回答を知っている
別の LDAP サーバーをそのクライアントに照会できるようになります。この機能を使用するときは、場合によっ
ては認証プロセスの速度が低下するため、十分注意して使用する必要があります。 Microsoft Active
Directory に照会して認証するよう LDAP を構成している場合などは、この機能を無効にしておくと良いで
しょう。
•
[Server timeout] ボックスに、 LDAP サーバーからの返信を待つ時間を秒単位で入力します。デフォ
ルト値は「60」です。
•
NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいずれか
をクリックします。詳細については、 76 ページの「NTLM 認証転送の構成」を参照してください。
メモ
•
[Login DN] および [Password] フィールドは、 LDAP サーバーに接続する上で必須というわけではありませ
ん。ただし、これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、アプライアンスは匿名
で LDAP にバインドするようになります。その場合、ユーザーやグループ情報を見つける上で必要な検索の許可
が適切に与えられなくなります。
•
複数の LDAP サーバーを定義している場合、 ldapca.cert ファイルに、すべてのサーバーで必要な CA ルート
証明書が含まれていなければなりません。また、[Match certificate CN against LDAP server name]
設定も、すべてのレルムで同じにする必要があります ( 実稼働環境ではこのオプションを有効にするのが望ましい
)。 AMC では、この設定をレルム単位で構成できるようになっていますが、アプライアンスは実際のところ、最後
にロードされた LDAPS レルムで構成されている設定を使用します。たとえば、 3 つの LDAPS サーバーでこの
チェックボックスを選択していて、 4 番目の LDAPS レルムでは選択解除しているような場合、この機能は 4 つ
のすべてのサーバーで無効になります。
68| 第 4 章 - ネットワークと認証の構成
デジタル証明書を使用する LDAP の構成
デジタル証明書検証を使用する LDAP 認証サーバーを構成する場合、次の手順を実行します。
X
デジタル証明書検証を使用する LDAP を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで [New] ボタンをクリックします。
3.
[New Authentication Server] ページの [Directory type/protocol] で [LDAP] をクリックしま
す。
4.
[Credential type] で [Digital certificate] をクリックして、 [Continue] をクリックします。この操作に
より、 [Configure Authentication Server] ページが表示されます。
5.
[Name] ボックスに、認証サーバーの名前を入力します。
6.
[General] エリアに情報を入力していきます。
7.
•
[LDAP server] ボックスに、 LDAP サーバーのホスト名または IP アドレスを入力します。 LDAP サーバー
が 389 (LDAP で一般的なポート ) 以外のポートでリッスンする場合、コロンの後に接尾辞として続けること
でポート番号を指定することができます ( たとえば「myldap.example.com:1300」 )。
•
[Login DN] ボックスに、 LDAP サーバーとの接続を確立するときに使用する識別名 (DN) を入力します。
•
[Password] ボックスに、 LDAP サーバーとの接続を確立するときに使用するパスワードを入力します。
•
[Search base] ボックスに、ユーザー情報の検索を始める LDAP ディレクトリ内のポイントを入力します。
通常これは、ユーザー情報が含まれるディレクトリツリーの最下層になります。たとえば
「ou=Users,o=xyz.com」のように入力します。 LDAP ディレクトリにバインドしているユーザーには、こ
のレベルでこのディレクトリを表示する権限がなければなりません。
[Matching LDAP Attributes] エリアに情報を入力します。
•
[Attribute mapping] ボックスに、証明書のユーザー ID フィールドと、対応する LDAP のユーザー
ID フィールドとのマッピングを入力します。たとえば、証明書の「cn」フィールドが LDAP の「cn」フィー
ルドと対応する場合、「cn=cn」と入力します。また、証明書の「cn」フィールドが LDAP の「uid」フィー
ルドと対応する場合は「cn=uid」と入力します。ここで入力するテキストでは、大文字と小文字が区別され
ます。
•
[Certificate attribute] ボックスに、ユーザー証明書を保管する LDAP 属性の名前を入力します。こ
れは通常「userCertificate」になります。
EX-750 インストールおよび管理ガイド | 69
8.
[Group lookup] エリアに情報を入力します。
•
LDAP 検索のときに、ユーザーコンテナのグループ属性を検索することにより、ユーザーのグループメン
バーシップを判定するようにしたい場合、 [Find groups in which a user is a member] チェック
ボックスを選択して、 [Group attribute] ボックスにグループ属性を入力します。この属性は、通常
「memberOf」になります。属性ベースのグループが LDAP サーバーでサポートされておらず有効でない
場合は、このオプションを有効にしないでください。
•
静的グループでグループメンバーシップが検索されるようにしたい場合、 [Look in static groups for
user members] チェックボックスを選択します。このような検索では、 LDAP ツリー全体について検索し
なければならなくなります。そのため、場合によっては、検索対象が非常に大きくなります。
LDAP サーバーが、属性ベースのグループをサポートしていない場合またはこの機能が有効でない場合
は、このオプションを選択する必要があります。
•
9.
属性グループや静的グループの検索結果をキャッシュして検索時間を短縮したい場合、 [Cache group
checking] チェックボックスを選択して、 [Cache lifetime] ボックスに、適切なキャッシュ持続時間 (
デフォルトは 1800 秒 ) を入力します。
LDAP 接続を SSL で保護する場合、 [LDAP over SSL] に情報を入力します。
•
LDAP 接続を SSL で保護するときは、 [Use SSL to secure LDAP connection] チェックボックス
を選択します。
•
証明書の詳細を表示し、アプライアンスがルート証明書を使用できるか確認するときは、 [View
CA
Certificate] をクリックします。この操作により、クライアント証明書と LDAP 証明書を発行した CA の名
前 (1 つまたは複数 ) がリストされます。この名前が含まれていない場合は、追加しなければなりません。詳
細については、 50 ページの「LDAP または Active Directory over SSL に対する新しいルート証明書
の追加」を参照してください。
•
LDAP ホストの名前が、 LDAP サーバーで提示された証明書の名前と同じであることを確認する場合は、
[Match certificate CN against LDAP server name] チェックボックスを選択します。通常、
サーバー名は、デジタル証明書で指定されている名前と一致します。使用しているサーバーでもこれが当て
はまる場合、実稼働環境でこのオプションを有効にすると良いでしょう。こうしておくと、デジタル証明書また
は DNS サーバーが危険にさらされた場合でも、許可されていないサーバーが、 LDAP サーバーをマスカ
レードすることは困難になります。
10. [Advanced] エリアに情報を入力します。
•
LDAP 参照を有効にするときは、 [Enable LDAP referrals] チェックボックスを選択します。この機能
を有効にすると、ある LDAP サーバーが、クライアントの照会に回答できない場合、その回答を知っている
別の LDAP サーバーをそのクライアントに照会できるようになります。この機能を使用するときは、場合によっ
ては認証プロセスの速度が低下するため、十分注意して使用する必要があります。 Microsoft Active
70| 第 4 章 - ネットワークと認証の構成
Directory に照会して認証するよう LDAP を構成している場合などは、この機能を無効にしておくと良いで
しょう。
•
[Server timeout] ボックスに、 LDAP サーバーからの返信を待つ時間を秒単位で入力します。デフォ
ルト値は「60」です。
11. [Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
メモ
•
[Login DN] および [Password] フィールドは、 LDAP サーバーに接続する上で必須というわけではありませ
ん。ただし、これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、アプライアンスは匿名
で LDAP にバインドするようになります。その場合、ユーザー認証のための許可が適切に与えられなくなります。
•
ユーザーがクライアント証明書を使用して認証を受ける場合、ユーザーが接続するそれぞれのサーバーで、信頼
できるルートファイルを構成しなければなりません ( クライアント証明書の確認のため )。詳細については、50 ペー
ジの「クライアント証明書の構成」を参照してください。
•
複数の LDAP レルムを定義している場合、 ldapca.cert ファイルに、すべてのレルムで必要な CA ルート証明
書が含まれていなければなりません。また、 [Match certificate CN against LDAP server name] 設
定も、すべてのレルムで同じにする必要があります ( 実稼働環境ではこのオプションを有効にするのが望ましい )。
AMC では、この設定をレルム単位で構成できるようになっていますが、アプライアンスは実際のところ、最後に
ロードされた LDAPS レルムで構成されている設定を使用します。たとえば、 3 つの LDAPS レルムでこのチェッ
クボックスを選択していて、 4 番目の LDAPS レルムでは選択解除しているような場合、この機能は 4 つのすべ
てのレルムで無効になります。
RADIUS 認証の構成
アプライアンスは、ユーザー名 / パスワードまたはトークンベースのクレデンシャルを、 RADIUS データベースと対照さ
せて検証することができます。次の図は、一般的な RADIUS 構成の例を示しています。
䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲
y
y
䮭䯃䭽䯃ฬ䬷
䮘䮀䮶䯃䮐
䮏䯃䭶䮺
Aventail 䭩䮞䮰䭫䭩䮺䮀
SSL (䮤䯃䮏 443)
䭫䮺䮆䯃䮔䮊䮏
RADIUS (䮤䯃䮏䎃1645)
䮜䭨䭫䭩䭭䭰䯃䮲
RADIUS 䭼䯃䮗䯃
メモ
•
アプライアンスが RADIUS サーバーと通信できるようにするため、ファイアウォールまたはルータを修正する必要
があります。 RADIUS 認証プロトコルでは通常、ポート 1645/udp を使用します。また、 RADIUS クライアント
( 一般的にネットワークアクセスサーバーと呼ばれる ) としてアプライアンスの IP アドレスを入れるよう、 RADIUS
サーバーを構成しなければなりません。
ユーザー名とパスワードを使用する RADIUS の構成
ユーザー名 / パスワード検証を使用する RADIUS 認証方式を構成する場合、次の手順を実行します。
X
ユーザー名 / パスワード検証を使用する RADIUS を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで [New] ボタンをクリックします。
3.
[New Authentication Server] ページの [Directory type/protocol] で [RADIUS] をクリック
します。
EX-750 インストールおよび管理ガイド | 71
4.
[Credential type] で [Username/Password] をクリックして、 [Continue] をクリックします。この操
作により、 [Configure Authentication Server] ページが表示されます。
5.
[Name] ボックスに、認証サーバーの名前を入力します。
6.
[Primary RADIUS server] ボックスに、プライマリ RADIUS サーバーのホスト名または IP アドレスを入力
します。 RADIUS サーバーが 1645 (RADIUS で一般的なポート ) 以外のポートでリッスンする場合、コロンの
後に接尾辞として続けることでポート番号を指定することができます
( たとえば「myradius.example.com:1812」と指定すると、 Steel-Belted Radius が使用するポートが設
定される )。
7.
[Secondary RADIUS server] ボックスに、セカンダリ RADIUS サーバーのホスト名または IP アドレスを
入力します。必要に応じて、接尾辞としてポート番号を追加することができます。
8.
[Shared secret] ボックスに、 RADIUS サーバーの通信を保護するためのパスワードを入力します。これは、
RADIUS サーバーで指定されたものと同じシークレットパスワードでなければなりません。
9.
[Match RADIUS groups by] リストから、ユーザーが所属するグループの属性を選択します。 RADIUS
から返される値が、アプライアンスアクセスルールのグループ部分で使用されます。次の 3 種類の値がありま
す。
•
[None]: グループ属性を無視します。
•
[filterid attribute (11)]: FilterID 属性と一致します。
•
[class attribute (25)]: Class 属性と一致します。
10. [Retry interval] ボックスに、 RADIUS サーバーからの返信を待つ時間を秒単位で入力します。この時間が
経過すると、接続を再試行します。
72| 第 4 章 - ネットワークと認証の構成
11. [Advanced] エリアに情報を入力します。
•
[RADIUS identifier] ボックスに、 RADIUS クライアントを個別に識別するための情報を入力します。こ
の情報は、 RADIUS 要求が構成されるとき、 NAS-Identifier 属性に入れられます。このフィールドは、
RADIUS サーバーがアプライアンスのホスト名を受け付けられない場合に限って必要になるもので、その場
合にデフォルト識別子として使用されます。
•
[Service type] ボックスに、 RADIUS Service-Type の整数を入力します。この値は、 RADIUS サー
バーに、どのタイプのサービスを要求するか通知するものです。ほとんどの RADIUS サーバーでは、「1」
( ログイン ) または「8」 ( 認証のみ ) を入力します。
•
RADIUS サーバーが、 UTF-8 文字エンコーディングをサポートしていない古いバージョンの RADIUS プロ
トコルを使用する場合、 [Local Encoding] エリアの [Selected] リストからエンコーディングスキームを
選択します。また [Other] ボックスに直接入力することもできます。詳細については、 243 ページの
「RADIUS ポリシーサーバーの文字セット」を参照してください。
•
NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいずれか
をクリックします。詳細については、 76 ページの「NTLM 認証転送の構成」を参照してください。
12. [Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
トークンを使用する RADIUS の構成
このアプライアンスでは、 SecurID や SoftID など、 RADIUS サーバーのデータベースと照会して検証するトークン
ベースのクレデンシャルもサポートしています。トークンベースのクレデンシャルを使用する RADIUS 認証方式を構成す
る場合、次の手順を実行します。
X
トークン検証を使用する RADIUS を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで [New] ボタンをクリックします。
3.
[New Authentication Server] ページの [Directory type/protocol] で [RADIUS] をクリック
します。
EX-750 インストールおよび管理ガイド | 73
4.
[Credential type] で [Token/SecurID] をクリックして、 [Continue] をクリックします。この操作によ
り、 [Configure RADIUS Authentication] ページが表示されます。
5.
[Name] ボックスに、認証サーバーの名前を入力します。
6.
[Primary RADIUS server] ボックスに、プライマリ RADIUS サーバーのホスト名または IP アドレスを入力
します。 RADIUS サーバーが 1645 (RADIUS で一般的なポート ) 以外のポートでリッスンする場合、コロンの
後に接尾辞として続けることでポート番号を指定することができます ( たとえば
「myradius.example.com:1812」と指定すると、 Steel-Belted Radius が使用するポートが設定される
)。
7.
[Secondary RADIUS server] ボックスに、セカンダリ RADIUS サーバーのホスト名または IP アドレスを
入力します。必要に応じて、接尾辞としてポート番号を追加することができます。
8.
[Shared secret] ボックスに、 RADIUS サーバーの通信を保護するためのパスワードを入力します。これは、
RADIUS サーバーで指定されたものと同じシークレットパスワードでなければなりません。
9.
[Match RADIUS groups by] リストから、ユーザーが所属するグループの属性を選択します。 RADIUS
から返される値が、アプライアンスアクセスルールのグループ部分で使用されます。次の 3 種類の値がありま
す。
•
[None]: グループ属性を無視します。
•
[filterid attribute (11)]: FilterID 属性と一致します。
•
[class attribute (25)]: Class 属性と一致します。
10. [Retry interval] ボックスに、 RADIUS サーバーからの返信を待つ時間を秒単位で入力します。この時間が
経過すると、接続を再試行します。
11. [Advanced] エリアに情報を入力します。
74| 第 4 章 - ネットワークと認証の構成
•
[RADIUS identifier] ボックスに、 RADIUS クライアントを個別に識別するための情報を入力します。こ
の情報は、 RADIUS 要求が構成されるとき、 NAS-Identifier 属性に入れられます。このフィールドは、
RADIUS サーバーがアプライアンスのホスト名を受け付けられない場合に限って必要になるもので、その場
合にデフォルト識別子として使用されます。
•
[Service type] ボックスに、 RADIUS Service-Type の整数を入力します。この値は、 RADIUS サー
バーに、どのタイプのサービスを要求するか通知するものです。ほとんどの RADIUS サーバーでは、「1」
( ログイン ) または「8」 ( 認証のみ ) を入力します。
•
RADIUS サーバーで構成しているユーザーパスワードプロンプトが表示されるようにする場合、 [Use
RADIUS server password prompt] チェックボックスを選択します。 RADIUS サーバーでプロン
プトが構成されていない場合、アプライアンスは、 [Custom password prompt] ボックスの内容をプ
ロンプトとして表示します。
アプライアンスがユーザーパスワードプロンプトを生成するようにしたい場合、 [Use RADIUS server
password prompt] チェックボックスを選択解除した状態にして、[Custom password prompt]
ボックスにプロンプトを入力します。たとえば、 SecurID プロンプトを作成する場合、「Please enter
your PASSCODE:」と入力することができます。このボックスと RADIUS サーバーの双方でプロンプトが
指定されていない場合、「Enter Password:」というプロンプトが生成されます。
•
RADIUS サーバーが、 UTF-8 文字エンコーディングをサポートしていない古いバージョンの RADIUS プロ
トコルを使用する場合、 [Local Encoding] エリアの [Selected] リストからエンコーディングスキームを
選択します。また [Other] ボックスに直接入力することもできます。詳細については、 243 ページの
「RADIUS ポリシーサーバーの文字セット」を参照してください。
12. [Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
ローカルユーザー認証の構成
AMC で、ローカルユーザーアカウントを作成し、それをローカル認証リポジトリに対応させることができます。アプライ
アンスは、ユーザー名 / パスワードクレデンシャルを、 /etc/passwd にローカルに保管されているユーザー情報と照
らし合わせてチェックします。ローカルユーザー認証は、あくまでテストのために使用するものであり、実稼働環境では
お勧めできません。ローカルユーザーアカウントの作成方法については、 120 ページの「ローカルユーザーアカウ
ントの管理」を参照してください。
X
ローカルユーザー認証を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで [New] ボタンをクリックします。この操作により、 [New
Authentication Server] ページが表示されます。
3.
[Directory type/protocol] で [Local users] をクリックして、 [Continue] をクリックします。この操作
により、 [Configure Authentication Server] ページが表示されます。
4.
[Name] ボックスに、認証サーバーの名前を入力します。
5.
[Save] をクリックします。この操作により、 [Authentication] ページに戻ります。
EX-750 インストールおよび管理ガイド | 75
認証構成のテスト
認証構成の設定を検証するため、 Microsoft Active Directory サーバーおよび LDAP サーバーを構成するための
AMC ページには、 [Test connection] ボタンがあります。このボタンをクリックすると、外部ユーザーリポジトリとの
通信が確立され、ステータスが送信されます。
アプライアンスの構成が正しい場合、ボタンのそばに「Valid connection!」というメッセージが表示されます。構成の
設定に問題がある場合は、問題について簡単に記述したメッセージが表示されます。
メモ
•
テスト接続機能は、あくまでもアプライアンスが外部ディレクトリにバインドできるかどうかテストするために用意されて
いるものです。ログインクレデンシャルを入力した場合アプライアンスはそれを使用しますが、それ以外の場合は
ディレクトリにアノニマスでバインドしようとします。実際にはディレクトリを検索しないため、接続のテストを実行して
も、構成されているドメインに、このログインクレデンシャルでアクセスできるかどうかは検証されません。
シングルサインオンの構成
シングルサインオン (SSO) を使用すると、アプライアンスがユーザーのクレデンシャルをバックエンド Web リソースに
転送できるようになります。基本 HTTP 認証転送以外に、次の SSO オプションを構成することができます。
•
NTLM 認証転送。ユーザーの認証クレデンシャルとあわせて、 Windows ドメイン名を送信します。
•
Netegrity SiteMinder のサポート。ユーザー認証クレデンシャルを SiteMinder サーバーに転送します。
シングルサインオン (SSO) を使用すると、ユーザーが複数回ログインする ( いったんアプライアンスに入ってから、再
びアプリケーションリソースにアクセスし直す ) 手間を省くことができます。
概要 : シングルサインオン
シングルサインオン (SSO) を使用すると、アプライアンスがユーザーのクレデンシャルをバックエンド Web リソースに
転送できるようになります。これにより、ユーザーが複数回ログインする ( いったんアプライアンスに入ってから、再びア
プリケーションリソースにアクセスし直す ) 手間を省くことができます。
このアプライアンスでは、次のようなタイプの Web SSO をサポートしています。
•
基本認証転送。広くサポートされている認証転送方式ですが、ネットワークでパスワードをそのまま送信するため、
あまり安全とは言えません。それぞれのユーザー認証クレデンシャルを送信するようアプライアンスを構成できる他、
「静的」クレデンシャル ( つまり、すべてのユーザーで同じクレデンシャルを使用 ) を設定することもできます。基
本認証転送は、 Web アプリケーションプロファイル内で構成します。 86 ページの「Web アプリケーションプロ
ファイルの追加」を参照してください。
•
NTLM 認証転送。Windows ネットワーククレデンシャルを Microsoft IIS (Internet Information Services)
Web サーバーに安全に送信できるようにします。 NTLM (Windows NT LAN Manager の略 ) では、ネット
ワーク経由でパスワードをそのまま送信したりすることなく、チャレンジ / レスポンスメカニズムを使用して、ユーザー
を安全に認証します。 NTLM 認証転送では、ユーザーの認証クレデンシャルとあわせて、 Windows ドメイン名
も渡します。
•
Netegrity SiteMinder。シングルサインオンを管理するための集中型メカニズムを提供するサードパーティ製
品です。ユーザー認証クレデンシャルを SiteMinder サーバーに転送するようアプライアンスを構成することがで
きます。こうすることで、クレデンシャルが、保護されている任意のバックエンド Web リソースに転送されるように
なります。
76| 第 4 章 - ネットワークと認証の構成
セキュリティのため、 SSO はデフォルトでオフになっています。次の表では、さまざまなタイプの SSO を構成するとき
の手順をまとめています。
SSO タイプ
構成手順
基本認証転送
•
Web アプリケーションプロファイルで SSO を使用するよう構成し、ど
のユーザークレデンシャルを使用するか指定します。
•
この Web アプリケーションプロファイルを、 SSO を使用する任意の
Web リソースに添付します。
•
Web アプリケーションプロファイルで SSO を使用するよう構成し、ど
のユーザークレデンシャルを使用するか指定します。
•
この Web アプリケーションプロファイルを、 SSO を使用する任意の
Web リソースに添付します。
•
SSO を使用する認証サーバーごとに、ドメイン名を構成します。
•
SiteMinder サーバーと通信するための設定を構成します。
•
SiteMinder ポリシーサーバーで Aventail アプライアンスに対する
エージェントを作成します。
NTLM 認証転送
Netegrity SiteMinder
メモ
•
Aventail の標準 Web アクセスエージェントでは、 SSL で保護されたバックエンド Web サーバーに対するシン
グルサインオンをサポートしていません。標準 Web エージェントを介して、これらのリソースへのリンクにアクセス
する場合、シングルサインオンが提供されません。 HTTPS リソースで基本認証または NTLM 認証転送を実行す
るには、 Web リソースに対するエイリアスを作成し、 ASAP WorkPlace で、それをリンクとして追加します。こう
することで、トランスレーテッド Web アクセスをアプライアンスに強要します。
NTLM 認証転送の構成
Windows NT LAN Manager (NTLM) 認証を使用すると、ユーザーが、ネットワーク経由でパスワードをそのまま送
信したりせずに、安全に認証されている Windows ネットワーク上の Web リソースにアクセスできるようになります。
NTLM 認証転送の構成は、 2 段階で行います。最初の段階では、転送したい Windows ドメイン名を入れるよう認証
サーバーを構成します。次に、 Web アプリケーションプロファイルで SSO オプションを有効にして、ユーザークレデ
ンシャルを転送する Web リソースにそのプロファイルを添付します。 NTLM 認証転送の構成に移る前に、この予備的
な手順を完了していなければなりません。
X
NTLM 認証転送を構成するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
[Authentication servers] エリアで、構成するサーバーの名前をクリックします。この操作により、
[Configure Authentication Server] ページが表示されます。
3.
[Advanced] エリアの [NTLM authentication forwarding] セクションで、転送するドメイン名を指定
します。
•
ドメイン名を指定する場合、 [Forward a custom domain name] をクリックします。
[Domain name] ボックスにカスタムドメイン名を入力することもできますが、必須ではありません。ドメイ
ン名を指定しない場合、空 ( 「ヌル」 ) のドメイン名がユーザークレデンシャルとあわせて転送されます。
•
( ページ上部の [Name] ボックスで指定した ) 認証サーバー名をユーザークレデンシャルとあわせて転送
する場合、[Forward the authentication server name as domain name] をクリックします。
EX-750 インストールおよび管理ガイド | 77
4.
Web アプリケーションプロファイルで [Single Sign-On] オプションを有効にします。 Web アプリケーション
プロファイルの詳細については、 86 ページの「Web アプリケーションプロファイルの追加」を参照してくださ
い。
メモ
•
クレデンシャルが一致しない状況で NTLM 認証転送を使用するには、 NTLM をサポートする Web ブラウザを実
行していなければなりません。
•
シングルサインオンが有効な場合、 Web プロキシサービスとバックエンドサーバーが、使用されている認証方
式を判定します。 AMC で 1 つの認証方式 ( 基本認証または NTLM 認証 ) のみが有効になっている場合、認
証方式が使用されます。ただし、 AMC で基本認証と NTLM 認証の両方が有効な場合、 NTLM 認証の方が安
全な方法であるため、こちらが使用されます。
Netegrity SiteMinder 認証転送の構成
SiteMinder のネイティブ API を使用して、ユーザークレデンシャルを Netegrity SiteMinder サーバーに転送する
ようアプライアンスを構成することができます。 SiteMinder は、このようなクレデンシャルを、保護されている任意のバッ
クエンド Web リソースに転送します。 SiteMinder の構成はグローバル設定になっています。つまり有効にすると、
ユーザー名クレデンシャルが、すべての Web リソースの SiteMinder に転送されます。アプライアンスは、 Netegrity
SiteMinder バージョン 4 以上と互換性があります。
AMC で Netegrity SiteMinder 設定を構成する前に、 SiteMinder ポリシーサーバー上で、 Aventail アプライア
ンスのエージェントを作成しなければなりません。詳細については、 Netegrity のマニュアルを参照してください。
X
Netegrity SiteMinder 認証転送を構成するには
1.
メインナビゲーションメニューから [General Settings] をクリックします。
2.
[Single Sign-On] タブをクリックします。
3.
SiteMinder によって保護されている Web アプリケーションで SSO を有効にするには、[Enable Netegrity
SiteMinder authentication forwarding] チェックボックスを選択します。
4.
[Name] ボックスに、 SiteMinder で Aventail エージェントを作成したときに使用した共有名を入力します。
5.
[Secret] ボックスに、 Aventail エージェントの共有パスワードを入力します。
6.
[Cookie domain] ボックスに、シングルサインオンクッキーに入れるドメインを入力します。
7.
[Primary server] ボックスに、クレデンシャルを転送する SiteMinder ポリシーサーバーのホスト名または
IP アドレスを入力します。
8.
[Secondary server] ボックスに、 [Primary server] が使用できない場合に使用するサーバーの名前を
入力します。
9.
[HA configuration mode] リストで、アプライアンスがラウンドロビンとフェイルオーバーのどちらのモードで
Netegrity ポリシーサーバーに到達するか指定します。
78| 第 4 章 - ネットワークと認証の構成
10. [Timeout] ボックスに、 Netegrity ポリシーサーバーに到達できるかどうか判断するまで、アプライアンスがど
の程度の時間待つか秒単位で入力します。デフォルトは「20」です。この秒数が経過すると、 Aventail アプ
ライアンスは、 SiteMinder との接続を終了します。
11. [Advanced] エリアで、 SiteMinder サーバーと通信するときに使用するポート番号を指定します。
•
[Accounting port] のデフォルトは「44441」です。
•
[Authentication port] のデフォルトは「44442」です。
•
[Authorization port] のデフォルトは「44443」です。
12. [Save] をクリックします。
次のステップ
基本的なネットワーク設定が終わり、アプライアンスに対する SSL 証明書を取得して、認証設定を構成したら、ユー
ザーとユーザーグループの管理、リソースの定義、アクセス制御ルールの構成に着手することができます。
EX-750 インストールおよび管理ガイド | 79
第5章
セキュリティ管理
セキュリティの管理は、管理者の役割のうちで最も重要なものでしょう。 Aventail ASAP Management Console
(AMC) を使用すると、セキュリティ管理の機能 ( リソースやアクセス制御ルールなど ) を簡単に管理できるようになりま
す。
リソースの作成と管理
この節では、リソース、リソースグループ ( リソースの集まり )、 Web アプリケーションプロファイル (Web リソースの
構成設定 ) を作成し管理する方法について説明します。リソースは、アクセス制御ルールで参照する前に定義できます
が、アクセス制御ルールインタフェースから新しいリソースを直接定義することもできます。詳細については、 99 ペー
ジの「アクセス制御ルールからのユーザーとリソースの追加」を参照してください。
リソースのタイプ
Aventail アプライアンスでは、広範囲の企業リソースを管理します。企業リソースは、 Web リソース、ネットワークリ
ソース、ファイルシステムリソースの 3 種類に分けることができます。
Web リソース
Web リソースには、 HTTP や HTTPS を使用してアクセスする、 Web ベースのアプリケーションやサービスが含まれま
す。たとえば、 Microsoft Outlook Web Access などの Web ベースの電子メールプログラム、 Web ポータル、
企業イントラネット、標準 Web サーバーなどがこれに該当します。
Web トラフィックは、 Aventail Web プロキシサービスを介してプロキシされます。ユーザーは、このセキュアなゲート
ウェイを経由して、インターネットからプライベートな Web リソースにアクセスできるようになります。 Web リソースは、
Web アクセス制御ルールの接続先としてのみ使用することができます。詳細については、 89 ページの「アクセス制御
ルールの構成」を参照してください。
Web リソースは、さまざまな方法で定義することができます。
URL のタイプ
例
標準 URL
http://host.example.com/index.html
ポート番号付きの標準 URL
http://host.example.com:8445/index.html
セキュアサイトの URL
https://host.example.com/index.html
IP アドレスを含む URL
http://192.0.34.0/index.html
80| 第 5 章 - セキュリティ管理
メモ
•
Web ベースのアプリケーションの中には、HTTP 以外のプロトコルを使用してトラフィックを送信する Java アプレッ
トや、その他のブラウザエクステンションを使用するものがあります。これらのアプリケーションについても Web ブ
ラウザを使用してアクセスしますが、 (Web リソースとしてではなく ) ネットワークリソースとして定義し、ネットワー
クトンネルサービスまたはネットワークプロキシサービスを使用してアクセスしなければなりません。このようなアプ
リケーションには、 Citrix NFuse や Oracle J-Initiator の他、特定バージョンの SAP や PeopleSoft があり
ます。
ネットワークリソース
ネットワークリソースは、 TCP/IP 経由で動作するクライアント / サーバー企業アプリケーションです (UDP を使用するア
プリケーションを含む )。このようなアプリケーションには、 Citrix のようなシンクライアントアプリケーション、 Microsoft
Outlook のようなフルクライアント / サーバーアプリケーション、 Lotus Notes、 SAP、端末サーバーなどがあります。
このタイプのクライアント / サーバーアプリケーションは、ホスト名、 IP アドレスまたは IP 範囲、サブネット IP アドレ
ス、 DNS ドメインなどを指定することによって定義します。ネットワークリソースは、複数の Web リソースを含むネット
ワークオブジェクト ( ドメインなど ) を定義する場合や、接続要求の送信元ごとにアクセスを制御するためのネットワーク
オブジェクトを定義する場合にも使用することもできます。
次の表は、これらのリソースタイプを定義する際の構文を表しています。ホスト名は、完全修飾にすることができる他、
非修飾で指定することもできます。
リソースタイプ
例
ホスト名
bart.private.example.com
ホストの IP アドレス
192.0.34.72
IP 範囲
192.0.34.72 - 192.0.34.74
サブネット
192.0.34.0 / 255.255.255.0
ドメイン名
private.example.com
Windows ドメイン
example または example.com
メモ
•
Microsoft Outlook は、非修飾ホスト名を使用して、 Microsoft Exchange に接続します。そのため、
Microsoft Exchange サーバーをネットワークリソースとして定義するときは、非修飾名 ( たとえば
「CorpMail」 ) で定義しなければなりません。
•
ネットワークトンネルクライアントを使用するとき、ローカル DNS で解決できるリソースは、ホスト名ではなく、 IP
アドレスを使用して定義する必要があります。ほとんどの企業では、内部ネームスペースをパブリック DNS にパブ
リッシュしていません。したがって、スプリットトンネルモードで動作する際にローカルリソースに対する侵入アクセ
スを防止するために、ネットワークトンネルクライアントが過剰防衛することから、名前に基づくトラフィックをネット
ワークアプライアンスを通してリダイレクトしなくなります。
ユーザーのローカル DNS クライアントが、プライベートネットワークでホスト名を解決できる場合、ホスト名を名前
ではなく IP アドレス ( 単一のアドレスまたは IP 範囲やサブネット ) で定義する必要があります。このような構成に
すれば、トンネルクライアントが、 VPN リソースにアクセスするため、アプライアンスをそのまま通過して、ルート
を正しく確立できるようになります ( 通常、このような構成はテスト環境など、実稼働に移る前の環境で使用される )。
ファイルシステムリソース
ファイルシステムリソースには、ユーザーが ASAP WorkPlace を介してアクセスできる共有フォルダや共有ファイルが
ある Windows ネットワークサーバーまたはコンピュータが含まれます。
ファイルシステムリソースの場合、 UNC パスを入力して個々のファイルシステム共有を定義できる他、完全な
Windows ドメインを定義することもできます。
•
完全な Windows ドメインを定義すると、ドメイン内のすべてのネットワークファイルリソースに対してユーザーア
クセスを許可することができます。
•
個々のファイルシステムリソースを、完全なサーバー ( たとえば \\ginkgo)、共有フォルダ
\\john\public)、ネットワークフォルダ (\\ginkgo\news) として設定することができます。
•
ファイルシステムリソースから、ユーザーの個人フォルダを参照することもできます。この機能を使用すると、 ASAP
WorkPlace で単一のショートカットを作成し、カレントユーザーの個人フォルダを動的に参照するよう設定するこ
とができます。
( たとえば
EX-750 インストールおよび管理ガイド | 81
たとえば、 [Add/Edit Resource] ページの [Network share] ボックスで
「\\users\XXX_Username_XXX」と入力してリソースを作成すると仮定します。次に、このリソースを参照す
る WorkPlace ショートカットを作成し、 [Link text] ボックスに「\\users\XXX_Username_XXX」と入力し
ます。ユーザー jdoe が、 ASAP WorkPlace に接続するとき、変数が自動的にユーザー名で置き換えられ、
「\\users\jdoe」という名前のフォルダにアクセスできるようになります。また、ユーザー rsmith が同じリンクに
アクセスすると、「\\users\rsmith」フォルダにアクセスすることになります。
詳細については、 193 ページの「個人フォルダを示すネットワークショートカットの作成」を参照してください。
リソースおよびリソースグループの表示
リソースおよびリソースグループは、 [Resources] ページと [Groups] ページにそれぞれ表示されます。
X
使用可能なリソースおよびリソースグループのリストを表示するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
使用可能なリソースを表示する場合は [Resources] タブ、リソースグループを表示する場合は [Groups] タ
ブをそれぞれクリックします。
[Type] 列には、それぞれのリソースまたはリソースグループのタイプが表示されます。ネットワークリソースに
は、 Web アプリケーションとクライアント / サーバーアプリケーションの両方が含まれます。
3.
ページに表示されるリソースのタイプをコントロールするときは、 [Show] リストを使用します。
4.
特定リソースの詳細データを表示する場合は、 [Resource] 列の名前をクリックします。
メモ
•
アプライアンスには、デフォルトで 1 つまたは複数の読み取り専用リソース定義が付属しています。これらの定義
は、アプライアンスサービスで必要なものであり、リソースリストに表示されます。
82| 第 5 章 - セキュリティ管理
リソースの追加
X
リソースを追加するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
[Resources] ページで、 [New] ボタンをクリックします。この操作により、 [Add/Edit Resource] ペー
ジが表示されます。
3.
[Name] ボックスに、リソースの名前を入力します。
4.
[Description] ボックスに、リソースについてのコメントを入力します。
5.
[Resource definition] エリアで、必要なオプションを選択して適切な情報を指定します。
ネットワークリソース :
•
ホストには、ネットワーク上の任意のコンピュータを指定することができます。 [Host name or IP] ボック
スに、ホスト名 ( 修飾名または非修飾名 ) を入力するか、ホストの完全な IP アドレスを、カンマ区切りの十
進数形式 (w.x.y.z) で入力します。
•
IP 範囲では通常、サブネット内の部分的な範囲のコンピュータを識別します。 [IP range] エリアで、 IP
範囲の開始アドレス ([From]) と終了アドレス ([To]) を、カンマ区切りの十進数形式 (w.x.y.z) で入力
します。
•
サブネットは、共通のアドレスコンポーネントを共有するネットワークの一部を指します。 [Subnet] エリア
で、 IP アドレス ([IP address]) とサブネットマスク ([Subnet mask]) を、カンマ区切りの十進数形
式 (w.x.y.z) で入力します。
•
ドメインは、 1 つまたは複数のホストを包含する領域です。 [Domain] ボックスに、ドメインの名前 ( たとえ
ば「example.com」 ) を入力します。
Web リソース :
•
Web リソースを定義するには、 [URL] を選択して、適切な URL を入力します。ここでは、「http://」や
「https://」などのプロトコル識別子を指定しなければなりません。
EX-750 インストールおよび管理ガイド | 83
ファイル共有リソース :
•
特定のファイルシステムリソースを定義するには、 [Network share] ボタンをクリックして、 UNC パスを
入力します。ここでは、完全なサーバー ( たとえば \\ginkgo)、共有フォルダ ( たとえば \\john\public)、
ネットワークフォルダ (\\ginkgo\news) を指定することができます。
•
ネットワーク上のユーザーの個人フォルダを参照するには、 [Network share] ボタンをクリックし、変数
「XXX_Username_XXX」を入れて、 UNC パスを入力します。この機能を使用すると、カレントユーザー
の個人フォルダを動的に参照する単一のショートカットを ASAP WorkPlace で作成することができます。
•
完全な Windows ドメインを定義するには、 [Domain] をクリックして、 [Windows domain] チェック
ボックスを選択し、 NetBIOS 構文または DNS 構文で ( 「example」、「example.com」など ) ドメイン
名を入力します。完全な Windows ドメインを定義すると、そのドメイン内のすべてのネットワークファイルリ
ソースに対してユーザーアクセスを許可することができます。
6.
オプションで、 [Create shortcut on ASAP WorkPlace] チェックボックスを選択することにより、
WorkPlace に Web リソースまたはファイルシステムリソースのショートカットを追加することができます。このリ
ソースに割り当てている名前が、WorkPlace の [Resource] 列に表示されます ( このオプションはネットワーク
リソースでは使用できない )。
7.
定義しているリソースによっては、 Web アプリケーションプロファイルやエイリアスなど、追加の設定を構成するこ
とができます。 [Advanced] オプションを表示する場合、下向き矢印のボタンをクリックします。 83 ページの
「高度なリソースオプションの使用」を参照してください。
8.
設定が終わったら、 [Save and Add Another] をクリックして、他のリソースを定義することができます。ま
た、 [Save] をクリックして終了することもできます。この操作により、 [Resources] ページに戻ります。
高度なリソースオプションの使用
次の表は、高度なオプションと、それぞれのオプションがサポートするリソースタイプを示しています。
高度な
オプション
説明
リソース
タイプ
[Alias name] プライベート URL を表すパブリックなエイリアスを指定するときは、このオプショ Web
ンを使用します。このエイリアスの名前はユーザーに提示されるため、憶えやす
い名前を使用します ( 短く具体的なほど良い )。次のような場合、 [Alias
name] を指定すると良いでしょう。
[Synonyms]
•
このリソースに対する内部ホスト名を隠したい場合。
•
この URL リソースが、 [Network Settings] ページの [Name
Resolution] タブで構成されている検索ドメインに含まれていない場合。
URL リソース名の代替名 ( 「シノニム」 ) を定義するときは、このオプションを使 Web
用します。これは、ユーザーが異なる名前 ( 通常、非修飾名や圧縮名 ) を使
用してサーバーにアクセスする場合や、 Web ページに DNS エイリアスを示すリ
ンクが含まれていて、その名前を Web プロキシサービスが正しく変換できない
場合などに使用すると便利です。複数のシノニムを指定する場合はセミコロンで
区切ります。
このアプライアンスは、リソースのショートカットを自動的にシノニムとして定義し
ます。たとえば URL が「http://mail.example.com」の場合、アプライア
ンスは「mail」というシノニムを追加します。ただしこれについては、
[Synonyms] ボックスに表示されません。
84| 第 5 章 - セキュリティ管理
高度な
オプション
説明
リソース
タイプ
[Allow public
access]
この URL に無制限のアクセスを許可したい場合、このチェックボックスを選択し Web
ます。このオプションがオンの場合は、ユーザーの身元を識別するための認証
が行われません。これは、内部 Web リソースに対してパブリックアクセスを許
可する場合に使用すると便利です ( あるリソースへのパブリックアクセスを許可
するときは、「Any」ユーザーによるそのリソースへのアクセスを許可するルー
ルを作成しなければならない )。
[Web
application
profile]
このリストには、いくつかの一般的な Web アプリケーションで推奨される構成済 Web
みの Web プロファイルの他、カスタム Web プロファイルやデフォルト Web プ
ロファイルが含まれます。どのプロファイルを選択すればよいかわからない場合ネットワーク
は、デフォルトのオプションをそのまま選択してください。プロファイルを参照する
には、 [View selected profile] をクリックします。詳細については、 86
ページの「Web アプリケーションプロファイルの追加」を参照してください。
リソースの編集
リソースを修正する前に、関連するルールを慎重に検討して、その変更がセキュリティポリシーにどのような影響を与え
るか検証してください。
X
リソースを編集するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
[Resources] ページで、編集するリソースの名前をクリックします。
3.
[Add/Edit Resource] ページで、必要に応じて値を編集します。
4.
[Save] をクリックします。
メモ
•
既存のネットワークリソースの定義設定は、変更することができません ( たとえばホスト名を IP 範囲に変更するな
ど )。そのような場合は、新しいネットワークリソースを作成して、適切な定義設定を適用しなければなりません。
•
既存の ASAP WorkPlace ショートカットの定義は、変更することができません。そのような場合は、[WorkPlace
Shortcuts] ページで新しいショートカットを作成して、適切なリソース設定を適用しなければなりません。
リソースの削除
アクセス制御ルール、リソースグループ、 WorkPlace ショートカットで参照されているリソースは、削除することができ
ません。リソースを削除する前に、そのリソースを参照しているルールからそれを除外しなければなりません。詳細につ
いては、 31 ページの「参照されているオブジェクトの削除」を参照してください。
X
リソースを削除するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
[Resources] ページで、削除するリソースの左側にあるチェックボックスを選択します。
3.
[Delete] ボタンをクリックします。このリソースが、依然としてアクセス制御ルール、リソースグループ、
WorkPlace ショートカットなどで参照されている場合、 AMC にエラーメッセージが表示されます。エラーメッ
セージのリンクをクリックすると、このリソースに対する参照がすべてリストされます。
リソースグループの作成と管理
個別のリソースを定義することができる他、個別のリソースの集まりであるリソースグループ単位でリソースを管理すること
もできます。リソースをグループ化すると、同様の特性を持つリソースのセットに対するアクセスを、便利な方法で管理
することができます。たとえば、リモート従業員アプリケーションを含むリソースグループを定義して、これらのリソースへ
のアクセスを管理するプロセスを簡略化することができます。
リソースグループに入れることができるリソースの数には制限がありません。新しいリソースグループを作成すると、使
用可能なリソースおよびグループのリストに追加されます。この状態になると、アクセス制御ルールでそのリソースグルー
プを使用することができます。
EX-750 インストールおよび管理ガイド | 85
リソースグループの追加
新しいリソースグループを作成すると、 [Resources] ページの [Groups] タブにある、使用可能グループのリスト
に追加されます。
X
リソースグループを追加するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
[Resources] ページで [Groups] タブをクリックし、 [New] ボタンをクリックします。この操作により、
[Add/Edit Resource Group] ページが表示されます。
3.
[Name] ボックスに、リソースグループの名前を入力します。
4.
[Description] ボックスに、そのグループについてのコメントを入力します。
5.
そのグループに入れたいリソースのチェックボックスを選択します。リソースグループに入れることができるリソース
の数には制限がありません。
6.
設定が終わったら、 [Save and Add Another] をクリックして、他のリソースグループを定義することができ
ます。また、 [Save] をクリックして終了することもできます。この操作により、 [Groups] ページに戻ります。
リソースグループの編集
リソースグループを修正する前に、関連するルールを慎重に検討して、その変更がセキュリティポリシーにどのような影
響を与えるか検証してください。
X
リソースグループを編集するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
[Resources] ページで [Groups] タブをクリックし、編集するグループの名前をクリックします。
3.
[Add/Edit Resource Group] ページで、必要に応じて値を編集します。
4.
設定が終わったら、 [Save and Add Another] をクリックして、他のリソースグループを編集することができ
ます。また、 [Save] をクリックして終了することもできます。この操作により、 [Groups] ページに戻ります。
リソースグループの削除
アクセス制御ルールで参照されているリソースグループは、削除することができません。リソースグループを削除する前
に、そのグループを参照しているルールからそれを除外しなければなりません。詳細については、 31 ページの「参照
されているオブジェクトの削除」を参照してください。
X
リソースグループを削除するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
[Resources] ページで、 [Groups] タブをクリックします。
3.
削除するグループの左側にあるチェックボックスを選択します。
4.
[Delete] ボタンをクリックします。このリソースグループが、依然としてアクセス制御ルールで参照されている場
合、 AMC にエラーメッセージが表示されます。エラーメッセージのリンクをクリックすると、このリソースグルー
プに対する参照がすべてリストされます。
86| 第 5 章 - セキュリティ管理
Web アプリケーションプロファイルの表示
Web アプリケーションプロファイルは、 [Web Application Profiles] ページに表示されます。
X
Web アプリケーションプロファイルのリストを表示するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。こ
の操作により、 [Configure Web Proxy Service] ページが表示されます。
3.
[Web Application Profiles] タブをクリックすると、使用可能な Web プロファイルが表示されます。
このリストには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web アプリケーションプロ
ファイルの他、作成しているカスタム Web プロファイルやデフォルト Web プロファイルが含まれます。
4.
Web アプリケーションプロファイルの名前をクリックすると、その設定が表示されます。
Web アプリケーションプロファイルの追加
Web アプリケーションプロファイルは、シングルサインオン特性の他、特定のリソースに対するコンテンツ変換オプショ
ンをコントロールします。すべての Web リソースには、それがネットワークリソースとして定義されているか Web リソー
スとして定義されているかに関係なく、対応する Web アプリケーションプロファイルが存在します。
•
シングルサインオン ([Single sign-on]) オプション。ユーザーのログインクレデンシャルがダウンストリー
ム Web アプリケーションに転送されるかどうかコントロールし、あわせてその転送方法もコントロールします。この
オプションは、デフォルトでオフになっています。
•
コンテンツ変換 ([Content translation]) オプション。クッキー本体およびクッキーパスにある
JavaScript コードのハイパーリンクが Web プロキシサービスによって変換されるかどうかコントロールします。こ
のオプションは、トランスレーテッド Web アクセスエージェントのみが使用し、標準 Web アクセスでは無視され
ます。
X
Web アプリケーションプロファイルを追加するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。こ
の操作により、 [Configure Web Proxy Service] ページが表示されます。
3.
[Web Application Profiles] タブをクリックしてから [Add] ボタンをクリックします。 [Add/Edit Web
Application Profile] ページが表示されます。
EX-750 インストールおよび管理ガイド | 87
4.
[Name] ボックスに、プロファイルの名前を入力します。特定のアプリケーションに対応するプロファイルを作成
している場合、これを反映するプロファイル名を指定することができます。たとえば、 xyz Web アプリケーション
のプロファイルには、「xyz」という名前をつけることができます。
5.
[Description] ボックスに、そのプロファイルについてのコメントを入力します。
6.
[Single Sign-On] エリアで、ユーザークレデンシャルが Web リソースに渡されるかどうか指定し、あわせて
その方法も指定します。ユーザークレデンシャルを転送すると、ユーザーが複数回ログインする ( いったんアプ
ライアンスに入ってから、再びアプリケーションリソースにアクセスし直す ) 手間を省くことができます。
7.
•
[Forward each user's individual username and password] チェックボックスを選択する
と、 WorkPlace の認証で使用されたユーザー名とパスワードが、バックエンド Web サーバーに転送される
ようになります。
•
[Forward static credentials] チェックボックスを選択すると、すべてのユーザーについて同じユー
ザー名とパスワードを転送します。これは、 HTTP 基本認証が必要な Web サイトで指定すると便利ですが、
ログイン名に基づいてパーソナライズされた各ユーザーの情報は提供されません。また、クライアント証明書
またはトークンで認証するユーザーの場合も役に立ちます。
•
どちらのオプションも選択しない場合、シングルサインオン機能はオフになります。両方のオプションを選択
すると、個別のユーザー名とパスワードが優先されます。たとえば、ユーザーがユーザー名 / パスワードを
指定した場合はそれが転送されますが、ユーザー名 / パスワードを指定していない場合は、 Web プロキシ
サービスが静的なクレデンシャルを転送します。
[Content Translation] エリアで、 Web プロキシサービスによる変換を希望する項目を選択します。
•
JavaScript コードで埋め込まれた Web リソースのリンクを、 Web プロキシサービスが変換するよう指定す
る場合、 [Translate JavaScript code] チェックボックスを選択します。これは、絶対 URL または絶
対参照 (/to/path/xyz) が含まれる JavaScript や、 URL を動的に生成する JavaScript ( たとえば
「location="http://" + host name + "/index.html"」 ) で使用すると便利です。この設定により、
JavaScript を使用する、 Microsoft Outlook Web Access などのアプリケーションとの間で互換性が向
上します。
•
DHTML が動的に記述する URL を、 Web プロキシサービスが変換するよう指定する場合、 [Translate
DHTML content] チェックボックスを選択します。このオプションは、 Web リソースが JavaScript の
document.write メソッドを使用して動的に URL を作成する場合に使用すると便利です。このオプション
は、デフォルトでオフになっています。
•
クッキー本体に埋め込む URL を、 Web プロキシサービスが変換するよう指定する場合、 [Translate
cookie body] チェックボックスを選択します。クッキー本体に URL を埋め込む方法は一般的ではありま
せんが、 Web リソースがこれを行うにもかかわらずこのオプションがオンになっていない場合、ユーザー側
に問題が発生します ( 一般的な症状として、他の URL に予期せずリダイレクトされてしまうことがある )。
88| 第 5 章 - セキュリティ管理
8.
•
バックエンドリソースが送信するクッキーのパス属性を、 Web プロキシサービスが変換するよう指定する場
合、 [Translate cookie path] チェックボックスを選択します。ブラウザは、クッキーをサーバーに返
信するタイミングを判定するとき、クッキーパスを使用します。一方、このアプライアンスは、ブラウザが参
照するパスを変更するため、クッキーパスが変換されない場合、ブラウザがクッキーを送信しなくなります。
このような状況の一般的な症状として、有効な値を入力しているにもかかわらず、ログインクレデンシャルが
何度も表示されるということが挙げられます。その場合、このオプションを有効にします。このオプションは、
デフォルトでオンになっています。
•
Web プロキシサービスが、 MIME タイプではなくファイル拡張子からコンテンツタイプを判定するよう指定
する場合、 [Ignore MIME types] チェックボックスを選択します。通常、 Web プロキシサービスは、
特定のコンテンツタイプを変換します ( テキストと HTML も含まれる ) が、その場合、 HTTP ヘッダの
MIME タイプからコンテンツタイプを判定します。 Web リソースが不正な MIME タイプを送信している場
合、このオプションを選択します。この結果、 Web プロキシサービスは、ファイル拡張子を基にしてファイ
ルを変換するかどうか判定します。このオプションは、デフォルトでオフになっています。
[Save] をクリックします。
メモ
•
•
このアプライアンスには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web アプリケーショ
ンプロファイルが付属しています。アプライアンスに付属するプロファイルには、次のようなものがあります。
•
Default — NTLM または基本認証のシングルサインオンを使用しない、ほとんどの Web アプリケーショ
ンまたはサイトで使用できるデフォルトプロファイル。
•
Domino Web Access 6.x — Lotus Domino Web Access 用のプロファイル。バージョン 6.x 専
用。
•
iNotes 5.x — Lotus iNotes 用のプロファイル。バージョン 5.x 専用。
•
Onyx CRM 4.x — Onyx CRM Employee Portal 用のプロファイル。バージョン 4.x 専用。
•
OWA/Single Sign-On — NTLM または基本認証のシングルサインオンを使用する、 Microsoft
Outlook Web Access などのサイト用のプロファイル。
•
WorkPlaceCfg — ASAP WorkPlace 用の読み取り専用プロファイル。
Web リソースは、きわめて広範囲に定義できるため、アプライアンスでは、送られてくる要求にどの Web アプリ
ケーションプロファイルを適用するか判定する場合、一定のルールに従います。アプライアンスは、最も狭い範
囲のリソースに対応するプロファイルを選択します。たとえば、ある DNS ドメイン (xyz.com) をリソースとして定
義しており、 Web アプリケーションプロファイル A をそれに対応させていると仮定します。またそれ以外に、特
定の Web サーバー (web1.xyz.com) をリソースとして定義しており、 Web アプリケーションプロファイル B を
それに対応させています。この状態で、 https://web1.xyz.com/timesheet.html に対するユーザーの要
求が送られてきたら、アプライアンスは、 Web アプリケーションプロファイル B を使用します。これは、プロファ
イル B が、 Web アプリケーションプロファイル A ( ドメイン ) よりも狭い範囲のリソース (Web サーバー ) と対応
しているためです。アプライアンスが実際に使用する順序は次のようになります。
URL --> ホスト名 --> IP アドレス --> サブネット /IP 範囲 --> DNS ドメイン
•
同じ Web アプリケーションプロファイルを、単一ドメイン内のすべてのリソースに対応させる場合、あるプロファイ
ルをそのドメインに対応させて、そのドメイン内で定義している個別のリソースについては、プロファイルに
[None] を選択します。個別のリソースは、そのドメインのプロファイルを「継承」します。特定のリソースにドメ
インが対応しておらず、継承するプロファイルがない場合、アプライアンスは、そのプロファイルのシステムデ
フォルトを使用します。
EX-750 インストールおよび管理ガイド | 89
Web アプリケーションプロファイルの編集
プロファイルを修正する前に、プロファイルが対応するアプリケーションとその変更事項の間に互換性があることを確認し
てください。
X
Web アプリケーションプロファイルを編集するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。この操
作により、 [Configure Web Proxy Service] ページが表示されます。
3.
[Web Application Profiles] タブをクリックしてから、編集するプロファイルの名前をクリックします。
4.
[Add/Edit Web Application Profile] ページで、必要に応じて値を編集します。
5.
[Save] をクリックします。
Web アプリケーションプロファイルの削除
プロファイルが 1 つまたは複数のリソースと対応している場合、そのプロファイルは削除することができません。そのプロ
ファイルを削除したい場合、残存するすべての対応を削除しなければなりません。詳細については、 31 ページの「参
照されているオブジェクトの削除」を参照してください。
X
Web アプリケーションプロファイルを削除するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。この操
作により、 [Configure Web Proxy Service] ページが表示されます。
3.
[Web Application Profiles] タブをクリックしてから、削除するプロファイルの左側にあるチェックボックスを
選択します。
4.
[Delete] ボタンをクリックします。このプロファイルが、依然としてリソースから参照されている場合、 AMC にエ
ラーメッセージが表示されます。エラーメッセージのリンクをクリックすると、このプロファイルに対する参照がすべ
てリストされます。
5.
[Save] をクリックします。
アクセス制御ルール
アクセス制御ルールは、ユーザーまたはグループがどのリソースを使用できるか決定するものです。ルールは、すべて
のアクセス方式からのアクセスを受け入れるよう広く定義できる他、特定のアクセス方式 (Web ブラウザ、 Aventail
Connect と Aventail OnDemand、 Network Explorer など ) のみを許可するよう狭く定義することもできます。
アクセス制御ルールは、ユーザーの身元に基づいてそのユーザーがリソースにアクセスできるかどうか評価する他、 End
Point Control ゾーンやデバイスプロファイルを使用し、ユーザーのアクセスポイントの信頼性について勘案することも
できます。これについては、169 ページの「ゾーンおよびデバイスプロファイルによる EPC の管理」で説明しています。
アクセス制御ルールの構成
時間の経過とともにネットワークが変化するのに合わせて、さまざまなユーザーとグループがどのアプリケーションリソー
スを使用できるか決定するアクセス制御ルールを構成する必要が出てきます。
アクセス制御ルールを追加する前に、既存のルールのリストを慎重に検討します。場合によっては、新しいルールを作
成せずに既存のルールを修正できる可能性もあります。時間を節約するため、既存のルールをコピーして、そのパラ
メータを修正することもできます。
新しいルールを追加する場合、現在の構成を確認すると、新しいルールがルール順序のどの位置に適合するか判定す
ることができます。デフォルトの場合、新しいルールは、アクセス制御ルールの先頭に追加されます。その後、リスト
内の適切な場所に移動することができます。
アクセス制御ルールの表示
アクセス制御ルールは、 [Access Control] ページに番号順に表示されます。アプライアンスは、先頭のルールを
最初に評価し、次に 2 番目のルールを評価します。デフォルトではすべてのアクセス制御ルールが表示されますが、
[Display] リストを使用することでリソースタイプ別に表示することもできます。
90| 第 5 章 - セキュリティ管理
X
アクセス制御ルールを表示するには
1.
メインナビゲーションメニューから [Access Control] をクリックします。この操作により、 [Access
Control] ページが表示されます。
2.
[Display] リストから、表示したいルールセットを選択します。
3.
•
リソースタイプに関係なくすべてのアクセスルールを表示する場合、 [All] を選択します。
•
Web ベース (HTTP および HTTPS) のリソースに対するアクセスを制御するアクセスルールを表示する場
合、 [Web browser] を選択します。
•
クライアント / サーバー (TCP/IP) リソースに対するアクセスを制御するアクセスルールを表示する場合、
[Aventail Connect/OnDemand] を選択します。
•
ASAP WorkPlace を使用した Windows ファイルシステムリソースに対するアクセスを制御するアクセス
ルールを表示する場合、 [Network Explorer] を選択します。
アクセス制御ルールのリストに表示されるデータを確認します。
•
チェックボックス列は、 1 つまたは複数のルールを選択するときに使用します。ルールの削除 ([Delete]
ボタンを使用 )、コピー ([Copy] ボタンを使用 )、順序変更 ([Move Up] ボタンおよび [Move Down]
ボタンを使用 ) などを行うときにこれを使用します。
•
数値の列は、ルールが評価されるときの順序を示します。ルールを編集するときは、対応する番号をクリック
します。
•
プラス記号 (+) の列をクリックすると、選択したルールが拡大され、その構成の詳細と、そのルールで参照
されているオブジェクトが表示されます。
•
[Action] 列は、ルールがアクセスの許可と拒否のどちらの目的で使用されているか、あるいは無効になっ
ているかを示します。一致するものが見つかった場合、アプライアンスは、ここで指定された動作を実行しま
す。アクセスを許可するルールの場合緑色のインジケータ、アクセスを拒否するルールの場合赤いインジケー
タが表示されます。また、インジケータの上にカーソルを置くと、その動作のタイプを示すテキストが表示さ
れます。
ルールが無効になっている場合は、 [Action] 列にグレーのインジケータが表示されます。ルールが無効
であれば、そのルールは評価されません。この機能を利用すると、ルールを削除せずに一時的に無効に
することができるため、非常に便利です。
•
[Description] 列には、ルールを作成したときに入力した説明テキストが表示されます。
•
[From] 列には、ルールを適用する対象ユーザーが表示されます。この列に「Any」と表示されている場
合、そのルールはすべてのユーザーに適用されます。逆方向接続の場合、この列には、ユーザーに接続
しているリソースが表示されます。 91 ページの「双方向接続のアクセス制御ルール」を参照してください。
•
[To] 列には、ルールが適用される接続元リソースが表示されます。この列に「Any」と表示されている場
合、そのルールはすべてのリソースに適用されます。逆方向接続の場合、この列には、リソースに逆方向
接続しているユーザーが表示されます。 91 ページの「双方向接続のアクセス制御ルール」を参照してくだ
さい。
•
[Method] 列には、特定のアクセス方式がルールに対応しているかどうかが示されます。地球アイコンは、
Web ブラウザベースの HTTP アクセスを表しています。地球アイコンにフォルダが付いているアイコンは、
Network Explorer、つまりファイルシステムリソースへの Web アクセスを表しています。 Aventail のロ
ゴが付いている場合は、 Aventail Connect トンネルまたはプロキシクライアント、 Aventail OnDemand
トンネルまたはプロキシエージェントのいずれかを介したアクセスを表しています。この列に「Any」と表示さ
れている場合は、そのルールがすべてのアクセス方式に適用されることを示します。
EX-750 インストールおよび管理ガイド | 91
•
[Zone] 列には、アクセスルールが特定の End Point Control ゾーンに対応しているかどうかが示されま
す。 EPC ゾーンは、クライアントデバイスの属性に基づいて、接続要求を分類するために使用されます。
この列に「Any」と表示されている場合は、そのルールがすべての EPC ゾーンに適用されることを示します。
赤い「立入禁止」アイコンは、このルールが 1 つまたは複数の特定ゾーンについて、アクセスを制御する
ことを表します。
双方向接続のアクセス制御ルール
VPN 接続には通常、いわゆる順方向接続 ( ネットワークリソースに対してユーザーが始動する ) が伴います。ただし、
ネットワークトンネルサービスを実行しており、 Aventail のネットワークトンネルクライアント (Connect トンネルまたは
OnDemand トンネル ) をユーザーに設定する場合、双方向接続が可能になります。
Aventail VPN 内では、双方向接続によって次の機能が実行されます。
•
VPN ユーザーからネットワークリソースへの順方向接続。 92 ページの「順方向接続のためのアクセス制御ルー
ルの追加」を参照してください。
•
ネットワークリソースから VPN ユーザーへの逆方向接続。逆方向接続の例には、ソフトウェアアップデートをユー
ザーのマシンに「プッシュ」する SMS サーバーがあります。 94 ページの「逆方向接続のためのアクセス制御
ルールの追加」を参照してください。
•
相互接続。 VPN ユーザーが他の VPN ユーザーに電話できるようにする Voice over Internet Protocol
(VoIP) アプリケーションを特に指します。相互接続では、順方向接続に使用するアクセス制御ルールと逆方向接
続に使用するアクセス制御ルールのペアが必要です。 95 ページの「相互接続のためのアクセス制御ルールの追
加」を参照してください。
その他の双方向接続の例には、 VPN ユーザーとの間でファイルをダウンロードまたはアップロードする FTP サーバー
や、リモートヘルプデスクアプリケーションなどがあります。
逆方向接続および相互接続の要件
逆方向接続および相互接続のアクセス制御ルールを構成する場合、次の条件が前提になります。
•
アプライアンスでネットワークトンネルサービスが動作していること。
これは [Services] ページで実行します。
•
ネットワークトンネルクライアントのための IP アドレスプールを構成していること。
これは、 [Configure Network Access Service] > [Network Tunnel Options] ページで実行し
ます。
•
VoIP アプリケーションにアクセスするユーザーが、ネットワークトンネルクライアント (Connect トンネルまたは
OnDemand トンネル ) を設定する構成のコミュニティに所属していること。
これは、 [Configure Community] > [Access Methods] ページで実行します。
逆方向接続のためのアプリケーションポートの保護
デフォルトの場合、リソースからユーザーへの逆方向接続では、ユーザーのコンピュータ上のすべてのポートにアクセス
することができます。セキュリティを向上させるため、逆方向接続のアクセス制御ルールで、アプリケーションが特異的
に使用するポートのみにアクセスを限定するよう構成する必要があります。アプリケーションを使用するときに開けておか
なければならないファイアウォールポートについては、アプリケーションのマニュアルを参照してください。
逆方向接続のアクセスルールを構成するときに、 [Destination restrictions] オプションを使用して、アプリケー
ションが逆方向接続で使用する特定ポートのみにアクセスを限定します。このオプションの詳細については、 97 ページ
の「高度なアクセス制御ルール属性の使用」を参照してください。
92| 第 5 章 - セキュリティ管理
順方向接続のためのアクセス制御ルールの追加
ユーザーから接続先リソースに対する順方向接続のためにアクセス制御ルールを追加するときは、次の手順を実行しま
す。 VoIP アプリケーションなどの相互接続のためにアクセス制御ルールを作成する場合は、 95 ページの「相互接続
のためのアクセス制御ルールの追加」を参照してください。
X
順方向接続のためのアクセス制御ルールを追加するには
1.
メインナビゲーションメニューから [Access Control] をクリックします。
2.
[Access Control] ページで、 [New] をクリックします。この操作により、 [Add/Edit Access Rule]
ページが表示されます。
3.
[Number] ボックスに数値を入力して、アクセスルールリスト内のルールの位置を指定します。デフォルトの場
合、新しいルールは、リストの先頭に追加されますが、このボックスを使用すれば、ルールを任意の場所に入れ
ることができます。たとえば、新しいルールに「3」を割り当てれば、そのルールは、カレントルール 3 ( その
後ルール 4 になる ) の前に挿入されます。このフィールドは必須です。
4.
[Description] ボックスに、そのルールについてのコメントを入力します。この手順はオプションですが、説明
を入れておくと、後でルールのリストを参照するときにわかりやすくなるため便利です。また、このコメントはログ
ファイルにも表示されるため、デバッグの際に役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識
別子で、編集することはできません。
5.
ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタンおよ
び [Deny] ボタンでそれぞれ指定します。また、 [Disabled] でルールを無効にすることもできます。
6.
[Basic settings] エリアで、次の情報を入力します。
7.
•
ユーザーからリソースへの順方向接続の場合は、 [User] ボタンを選択します。 [User] ボタンと [Resource]
ボタンは切替式になっており、それぞれ順方向接続ルールと逆方向接続ルールに対応しています。
•
[From] ボックスでは、ルールを適用するユーザーまたはユーザーグループを指定します。ユーザーやグ
ループをリストから選択する場合は、 [Edit] をクリックします。ユーザーやグループが指定されていない場
合、このフィールドの値はデフォルト値の「Any user」になります。
•
[To] ボックスでは、ルールを適用するリソースまたはリソースグループを指定します。リソースをリストから選
択する場合は、 [Edit] をクリックします。接続先リソースが選択されていない場合、このフィールドの値はデ
フォルト値の「Any resource」になります。
[Access methods] エリアで、リソースへのアクセスをコントロールするアクセス方式を 1 つまたは複数選択し
ます。
EX-750 インストールおよび管理ガイド | 93
•
[Any] の場合、要求を出すアクセス方式が何であるかに関係なく、ルールのすべてのリソースに対するアク
セスを管理します。ほとんどの環境では、この設定が推奨されます。ただし、セキュリティ要件のために、リ
ソースへのアクセスを特定のアクセス方式に制限しなければならない場合はその限りではありません。
•
[Web browser] の場合、 Web ブラウザ経由で接続するユーザーの、 HTTP または HTTPS リソースか
らのアクセスを管理します。
•
[Network Explorer] の場合、 Network Explorer を介して接続する ASAP WorkPlace ユーザー
の、 Windows ファイルシステムリソースからのアクセスを管理します。
•
[Aventail Connect and Aventail OnDemand] の場合、 Aventail Connect トンネルまたはプロ
キシクライアント、 Aventail OnDemand トンネルまたはプロキシエージェントのいずれかを介して接続す
るユーザーの、クライアント / サーバーアプリケーション、ファイルサーバー、データベースなどといった
TCP/IP リソースからのアクセスを管理します。
たとえば、 Aventail Connect または Aventail OnDemand を使用するユーザーに対して、ネットワーク
ドメインへのアクセスは許可したいが、そのドメイン内の Web リソースに対するブラウザアクセスは許可した
くないという状況について考えます。これは、 [Destination resources] ボックスでネットワークドメイ
ンを指定し、アクセス方式として [Aventail Connect and Aventail OnDemand] だけを指定する
ルールを作成することで実現できます。
8.
[End Point Control zones] エリアで、リソースへのアクセスを許可または拒否するゾーンを選択します。
ゾーンをリストから選択する場合は、 [Edit] をクリックします。このフィールドのデフォルト値は「Any」です。
ゾーンの構成方法と使用方法については、 169 ページの「ゾーンおよびデバイスプロファイルによる EPC の管
理」を参照してください。
9.
ルールの作成が終わったら、 [Save and Add Another] をクリックして、他のルールを定義することができま
す。また、 [Save] をクリックして終了することもできます。この操作により、 [Access Control] ページに戻り
ます。
メモ
•
AMC では、複数のアクセス方式を柔軟にリソースに割り当てることができるため、アクセス方式とリソースとの間に
不適合が起こることがあります。このような状況は、指定されたリソースと互換性のないアクセス方式を割り当てるよ
うなルールを作成した場合に発生します。たとえば、 Windows ドメインリソースに対するアクセス方式として
[Web browser] を指定した場合、 AMC で「Invalid destination resources」というエラーメッセージが
表示されます。
•
場合によっては、リソースやアクセス方式を混在させた「拒否」ルールを作成し、それ以降のルールが評価され
ないようにすることもできます。ただしこのようなルールは、アクセスポリシーで参照されている他のリソースへのユー
ザーアクセスを誤ってブロックする可能性もあります。
•
IP アドレスプールが構成されていない状態でルールを順方向接続から逆方向接続へ変更しようとすると、AMC で
エラーメッセージが表示されます。逆方向接続は、ネットワークトンネルクライアントで IP アドレスプールが構成
されている場合に限って使用できます。
94| 第 5 章 - セキュリティ管理
逆方向接続のためのアクセス制御ルールの追加
接続先リソースからユーザーに対する逆方向接続のためにアクセス制御ルールを追加するときは、次の手順を実行しま
す。逆方向接続の例には、 IBM の Tivoli プロビジョニング製品や、 Microsoft の Systems Management Server
(SMS) などがあります。 91 ページの「逆方向接続および相互接続の要件」を参照してください。
X
逆方向接続のためのアクセス制御ルールを追加するには
1.
逆方向接続を構成するための要件が満たされていることを確認します。
2.
メインナビゲーションメニューから [Access Control] をクリックします。
3.
[Access Control] ページで、 [New] をクリックします。この操作により、 [Add/Edit Access Rule]
ページが表示されます。
4.
[Number] ボックスに数値を入力して、アクセスルールリスト内のルールの位置を指定します。デフォルトの場
合、新しいルールは、リストの先頭に追加されますが、このボックスを使用すれば、ルールを任意の場所に入れ
ることができます。たとえば、新しいルールに「3」を割り当てれば、そのルールは、カレントルール 3 ( その
後ルール 4 になる ) の前に挿入されます。このフィールドは必須です。
5.
[Description] ボックスに、そのルールについてのコメントを入力します。この手順はオプションですが、説明
を入れておくと、後でルールのリストを参照するときにわかりやすくなるため便利です。また、このコメントはログ
ファイルにも表示されるため、デバッグの際に役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識
別子で、編集することはできません。
6.
ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタンおよ
び [Deny] ボタンでそれぞれ指定します。また、 [Disabled] でルールを無効にすることもできます。
7.
[Basic settings] エリアで、次の情報を入力します。
•
リソースからユーザーへの逆方向接続の場合は、 [Resource] ボタンを選択します。 [User] ボタンと
[Resource] ボタンは切替式になっており、それぞれ順方向接続ルールと逆方向接続ルールに対応してい
ます。
逆方向接続は、ネットワークトンネルクライアントで IP アドレスプールが構成されている場合に限って使用
できます。 IP アドレスプールが構成されていない状態で逆方向接続を作成しようとすると、 AMC でエラー
メッセージが表示されます。 91 ページの「双方向接続のアクセス制御ルール」を参照してください。
•
[From] ボックスでは、ユーザーに接続するリソースを指定します。リソースをリストから選択する場合は、
[Edit] をクリックします。リソースが選択されていない場合、このフィールドの値はデフォルト値の「Any
resource」になります。
•
[To] ボックスでは、リソースが接続するユーザーを指定します。リソースをリストから選択する場合は、 [Edit]
をクリックします。ユーザーが選択されていない場合、このフィールドの値はデフォルト値の「Any user」に
なります。
EX-750 インストールおよび管理ガイド | 95
8.
[Access methods] エリアで [Any] を選択すると、要求を出すアクセス方式が何であるかに関係なく、ルー
ルですべてのリソースに対するアクセスが自動的に管理されるようになります。この設定により、 Connect トンネ
ルクライアントも OnDemand トンネルエージェントも ( 逆方向接続で必要 ) ルールで管理されるようになります。
他のアクセス方式は、逆方向接続をサポートしていないため、バイパスされます。
9.
ルールの作成が終わったら、 [Save and Add Another] をクリックして、他のルールを定義することができま
す。また、 [Save] をクリックして終了することもできます。この操作により、 [Access Control] ページに戻り
ます。
相互接続のためのアクセス制御ルールの追加
相互接続のためにアクセス制御ルールを作成する際の手順は、順方向接続または逆方向接続の場合とほとんど同じで
す。ただし、相互接続の場合、ユーザーと接続先リソースを指定する方法が他の場合と若干異なります。
たとえば、 VPN ユーザーに対し、 VoIP (Voice over Internet Protocol) テクノロジーアプリケーションを使用して
互いを呼び出す許可を与えたい場合、ユーザーがアプライアンスの IP アドレスプールに接続するときのルールと、 IP
アドレスプールがユーザーに接続するときのルールをそれぞれ作成する必要があります。
また、 FTP サーバーとユーザーの間で双方向接続を許可する場合も、このような手順でルールのペアを作成する必要
があります。ただし、 Connect プロキシクライアントは、ネットワークトンネルクライアントの場合と異なり、 FTP 接続
を処理する場合、アクセス制御ルールを 1 つしか使用することができません。
X
相互接続のためのアクセス制御ルールを追加するには
1.
逆方向接続を構成するための要件が満たされていることを確認します。 91 ページの「逆方向接続および相互接
続の要件」を参照してください。
2.
メインナビゲーションメニューから [Access Control] をクリックします。
3.
[Access Control] ページで、 [New] をクリックします。この操作により、 [Add/Edit Access Rule]
ページが表示されます。
4.
[Number] ボックスに数値を入力して、アクセスルールリスト内のルールの位置を指定します。デフォルトの場
合、新しいルールは、リストの先頭に追加されますが、このボックスを使用すれば、ルールを任意の場所に入れ
ることができます。たとえば、新しいルールに「3」を割り当てれば、そのルールは、カレントルール 3 ( その
後ルール 4 になる ) の前に挿入されます。このフィールドは必須です。
5.
[Description] ボックスに、そのルールについてのコメントを入力します。この手順はオプションですが、説明
を入れておくと、後でルールのリストを参照するときにわかりやすくなるため便利です。また、このコメントはログ
ファイルにも表示されるため、接続が特定のルールと合致していない理由を判断する目的でログを検査する際に
役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識別子で、編集することはできません。
相互接続では、順方向接続ルールと逆方向接続ルールのペアが必要になるため、 2 つのルールに同様の名前
を割り当てておきます。こうしておくと、対応するルールをアクセス制御ルールのリストから探し出すときに、容易に
判別できるようになります。
6.
ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタンおよ
び [Deny] ボタンでそれぞれ指定します。また、 [Disabled] でルールを無効にすることもできます。
96| 第 5 章 - セキュリティ管理
7.
8.
9.
[Basic settings] エリアの [User] ボタンと [Resource] ボタンは切替式になっており、それぞれ順方向
接続ルールと逆方向接続ルールに対応しています。
•
ユーザーから IP アドレスプールへの順方向接続ルールを作成する場合は、 [User] ボタンを選択します。
•
IP アドレスプールからユーザーへの逆方向接続ルールを作成する場合は、 [Resource] ボタンを選択し
ます。
[Basic settings] エリアの [From] ボックスでは、次のように指定します。
•
順方向接続ルールの場合、ルールを適用するユーザーまたはユーザーグループを指定します。ユーザー
やグループをリストから選択する場合は、 [Edit] をクリックします。デフォルト値は「Any user」です。
•
逆方向接続ルールの場合、 VoIP アプリケーションで使用するアドレスプールを指定します。アドレスプー
ルをリソースのリストから選択する場合は、 [Edit] をクリックします。デフォルト値は「Any resource」です。
[Basic settings] エリアの [To] ボックスでは、次のように指定します。
•
順方向接続ルールの場合、 VoIP アプリケーションで使用するアドレスプールを指定します。アドレスプー
ルをリソースのリストから選択する場合は、 [Edit] をクリックします。デフォルト値は「Any resource」です。
•
逆方向接続ルールの場合、ルールを適用するユーザーを指定します。ユーザーやグループをリストから選択
する場合は、 [Edit] をクリックします。デフォルト値は「Any user」です。
•
[To] ボックスでは、ルールを適用する接続先リソースまたはリソースグループを指定します。ただし、逆方
向接続ルールの場合、 [From] ボックスでリソースが接続するユーザーを指定します。リストから選択する場
合は、 [Edit] をクリックします。接続先リソースやユーザーが選択されていない場合、このフィールドの値は
デフォルト値の「Any」になります。
10. [Access methods] エリアで [Any] を選択します。この設定により、アプライアンスの Smart Access 機
能が、ユーザーのエンドポイントデバイスに合った適切なアクセス方式を判定するようになります。これは、逆方
向接続の場合、 Connect トンネルクライアントまたは Connect トンネルエージェントになります。他のアクセス
方式は、相互接続または双方向接続をサポートしていないため、バイパスされます。
11. [Access methods] エリアで [Any] を選択すると、要求を出すアクセス方式が何であるかに関係なく、ルー
ルですべてのリソースに対するアクセスが自動的に管理されるようになります。この設定により、 Connect トンネ
ルクライアントも OnDemand トンネルエージェントも ( 逆方向接続で必要 ) ルールで管理されるようになります。
他のアクセス方式は、逆方向接続をサポートしていないため、バイパスされます。
12. 相互接続ルールのペアで最初のルールの作成が終わったら、 [Save and Add Another] をクリックし、 2
番目のルールを作成してから [Save] をクリックして保存します ( また、最初のルールを作成した時点で保存し、
それをコピーしてから、ユーザー設定とリソース設定を逆にすることもできる )。
メモ
•
相互接続ルールのペアを構成する順方向接続ルールと逆方向接続ルールを接続したら、この 2 つのルールを、
アクセス制御リストで並べて配置します。こうしておくことにより、それぞれのルールについて、関連するルールと
して識別しやすくなります。
•
IP アドレスプールが構成されていない状態で相互接続ルールを作成しようとすると、 AMC でエラーメッセージが
表示されます。 91 ページの「双方向接続のアクセス制御ルール」を参照してください。
EX-750 インストールおよび管理ガイド | 97
高度なアクセス制御ルール属性の使用
ほとんどのルールには、ユーザーやグループ、接続先リソース、アクセス方式などが含まれる基本構成があり、通常は
これで十分です。ただし、さらに詳細なアクセス制御を行いたい場合は、 [Add/Edit Access Rule] ページの
[Advanced] エリアのオプションを使用できるようになっています。
たとえば、特定の IP アドレスからの接続のみを許可したい場合は、 [User's network address] オプションを使
用します。その場合、接続先リソースへの接続を許可または拒否する段階で、要求を出したロケーションに基づいて、
接続元ネットワークをアクセスルールで参照します。これによって、セキュリティが一層向上します。
X
アクセス制御ルールで高度な設定を使用するには
1.
[Add/Edit Access Rule] ページの [Advanced] エリアにある下向き矢印ボタンをクリックします。
2.
[User's network address] オプションを使用して、ルールで評価したい接続元ネットワークの名前を指定
します。これは、接続要求の送信元に基づいてアクセスを制御するときに使用すると便利です。ネットワークリ
ソースをリストから選択する場合は、 [Edit] をクリックします。接続元ネットワークが指定されていない場合、この
フィールドの値はデフォルト値の「Any」になります。逆方向接続の場合、このオプションを使用することで、特
定のポートまたはアプリケーションリソースからの、ユーザーのコンピュータへのアクセスをブロックすることができま
す。
3.
SSL 接続を行うときにユーザーのデバイスで求められる最小キー長を [Minimum key length] で指定しま
す。ユーザーのデバイスで最高度のセキュリティが必要な場合は、 [128-bit] を選択します。環境が強力な暗
号化をサポートしていない場合は、比較的短いキー長を選択します。
4.
個別のポートまたは一定範囲のポートによるアクセスを制限する場合は、 [Destination restrictions] の
[Ports] を使用します。たとえば、 SMTP メールサーバーへのアクセスを制御するポリシーを構築している場合
は、ポート 25 (SMTP トラフィックで一般的なポート ) 経由のアクセスのみを許可することができます。最新の
ポート番号割り当てのリストについては、 http://www.iana.org/assignments/port-numbers で参照するこ
とができます。
すべてのポート経由のアクセスを許可する場合は、 [Any] をクリックします。複数のポートを指定する場合、
[Selected] をクリックし、それぞれのポート番号をセミコロンで区切って入力します。また、ポート範囲を指定す
る場合は、最初の番号と最後の番号をハイフンでつないで指定します。
5.
[Method Restrictions] エリアの [Protocols] で、ネットワークトンネルまたはプロキシサービスがクライ
アントから受け付けるプロトコルを指定します。それぞれのコマンドについてはここでも簡単に説明していますが、
詳細について知りたい場合は、 http://www.ietf.org/rfc/rfc1928.txt を参照してください。
98| 第 5 章 - セキュリティ管理
•
[TCP]。すべての標準 TCP 接続 ( たとえば SSH、 telnet、 scp など ) で使用します。
•
[UDP]。ネットワークトンネルまたはプロキシサービスが、 UDP データ転送を行えるようにします。これは、
オーディオのストリーミングや Microsoft Outlook の新規メール通知などで必要になります。
•
[ICMP]。 ICMP (Internet Control Message Protocol) は、 ping や traceroute などのネットワーク
トラブルシューティングコマンドに対応しています。このオプションを選択すると、ネットワークトンネルまたは
プロキシサービスが、ユーザーの代わりにこのような操作を実行するようになります。また同時に、 ICMP パ
ケットがネットワークトンネルまたはプロキシサービスを通過できるようになります。
•
[Accept bind requests from server]。クライアントに対してサーバーからの接続の受け入れを求め
るプロトコルで使用します。 FTP はその恰好の例です。バインドは通常、接続の Connect/Bind ペアで発
生します。
6.
ルールでファイルシステムリソースに対する読み込みまたは読み込み / 書き込みのどちらを許可するか指定する
場合、 [Permissions] の [Read]、 [Read/Write] をそれぞれ使用します。これらのアクセス権限は、
同じファイルシステムリソースに対応する Windows のアクセス制御ルールと共同で機能します。ユーザーに特
定の特権を与えるためには、アクセス権限を両方のエンティティ ( つまり Windows とこのアプライアンス ) で指
定しなければなりません。ただしファイルアップロードを禁止した場合、すべてのユーザーがファイルに書き込み
できなくなります。その場合でも、書き込みのアクセス権限を持っているユーザーであれば、ファイルの移動と削
除は行うことができます。これらの設定は、逆方向接続の場合は無視されます。
7.
[Time and date restrictions] エリアでは、ルールが有効になるタイミングを指定します。 [Shift] または
[Range] を指定できる他、ルールが常に有効になるよう指定することもできます。
8.
ルールの作成が終わったら、 [Save and Add Another] をクリックして、他のルールを定義することができま
す。また、 [Save] をクリックして終了することもできます。この操作により、 [Access Control] ページに戻り
ます。
メモ
•
アクセス方式を 1 つまたは複数選択すると、そのアクセス方式に該当するかどうかによって、高度なオプションが
有効化または無効化されます。ただし、アクセス方式として [Any] を選択すると、すべての高度なオプションが
使用可能になります。 AMC がルールを検証する段階で、そのアクセス方式に関連しないルール属性は選択でき
なくなります。次の表は、それぞれのアクセス方式に該当する高度なオプションを示しています。
アクセス方式
該当する高度なオプション
[Web browser]
(HTTP/HTTPS)
•
[User’s network address]
•
[Minimum key length]
•
[Time and date restrictions]
[Network Explorer]
( ファイルシステムリソースへの Web
アクセス )
•
[User’s network address]
•
[Read/write permissions]
•
[Time and date restrictions]
[Aventail Connect &
Aventail OnDemand] (TCP/IP)
•
[User’s network address]
•
[Destination restrictions] (ports)
•
[Minimum key length]
•
[Time and date restrictions]
•
[Protocols]
EX-750 インストールおよび管理ガイド | 99
アクセス制御ルールからのユーザーとリソースの追加
管理者によっては、すべてのポリシーオブジェクト ( ユーザー、グループ、リソース ) を定義してからアクセス制御ルー
ルを作成する方法を好みます。この構造化アプローチは、初期構成の場合など特に有効ですが、継続的に管理して
いく上で不便を感じることもあります。そのような場合は、アクセス制御ルールを作成するためのインタフェースから新し
いリソースを直接定義することができます。
X
アクセス制御ルールの中からユーザーまたはリソースを追加するには
1.
[Add/Edit Access Rule] ページで、 [Users/groups] ボックスまたは [Destination resources]
ボックスの隣にある [Edit] ボタンをクリックします。
現在のユーザーおよびグループ、リソースを表示するポップアップウィンドウが表示されます。
2.
[New] ボタンをクリックします。次に表示されるページは、作成しているオブジェクトのタイプ ( ユーザー、グ
ループ、リソース ) ごとに異なります。
3.
新しいユーザー、グループ、リソースの設定を定義します。
4.
設定が終わったら、 [Save and Add Another] をクリックして、他のオブジェクトを定義することができます。
また、 [Save] をクリックして終了することもできます。この操作を実行すると、前のページに戻ります。新しいオ
ブジェクトが、ユーザー、グループ、リソースのリストに加わっています。
5.
アクセス制御ルールに追加したいオブジェクトの隣にあるチェックボックスを選択して、 [Save] をクリックします。
この操作により、 [Add/Edit Access Rule] ページに戻ります。
100|第 5 章 - セキュリティ管理
アクセス制御ルールの編集
アクセス制御ルールを修正する前に、既存のルールを慎重に検討して、その変更がセキュリティポリシーにどのような
影響を与えるか検証してください。また、ルールの順序には特に注意を払います。
X
アクセス制御ルールを編集するには
1.
メインナビゲーションメニューから [Access Control] をクリックします。
2.
[Access Control] ページで、編集するルールの番号をクリックします。たとえば、リストの 3 番目のルール
を編集したい場合は、「3」をクリックします。
3.
[Add/Edit Access Rule] ページで、必要な編集を行って、 [Save] をクリックします。
アクセス制御ルールのコピー
新しいアクセス制御ルールをゼロから作成するということをしないで、既存のルールをコピーしてから、新しいルールに
合わせて特定のパラメータだけを変更することで、時間を節約することができます。作成しようとしているルールとほとん
どの特性が共通するルールを選択します。ルールのコピーは、アクセスポリシーのテストの際に使用しても便利です。
X
アクセス制御ルールをコピーするには
1.
メインナビゲーションメニューから [Access Control] をクリックします。
2.
[Access Control] ページで、コピーするルールの隣にあるチェックボックスを選択します。
3.
[Copy] をクリックします。この操作により、 [Add/Edit Access Rule] ページが表示されます。
[Number] フィールドが「1」になっている以外は、新しいルールのすべてのフィールドが、元のルールと同じ
になっています。
4.
新しいルールをリストの先頭に入れたい場合は、 [Number] フィールドを「1」のままにしておきます。ルール
を別の場所に割り当てる場合は、対応する番号を入力します。
5.
[Description] ボックスに、ルールのコメントを新しく入力します。同じコメントにしておくこともできますが、そ
れぞれのルールに個別のコメントをわかりやすく入れておくことが理想的です。
6.
[Add/Edit Access Control] ページで、他のフィールドの設定も適宜変更します。
7.
ルールの追加が終わったら、 [Save and Add Another] をクリックして、他のルールを定義することができま
す。また、 [Save] をクリックして終了することもできます。この操作により、 [Access Control] ページに戻り
ます。
アクセス制御ルールの削除
アクセス制御ルールを削除する前に、既存のルールを慎重に検討して、その削除がセキュリティポリシーにどのような
影響を与えるか検証してください。削除の際、確認が求められることはありません。そのため削除の際は慎重に行って
ください。
X
アクセス制御ルールを削除するには
1.
メインナビゲーションメニューから [Access Control] をクリックします。
2.
[Access Control] ページで、削除するアクセスルールの隣にあるチェックボックスを選択します。
3.
[Delete] ボタンをクリックします。
アクセス制御ルールの移動
1 つまたは複数のルールについて、アクセス制御ルール内の位置を変更することができます。アクセス制御ルールの順
序を変更する前に、順序を慎重に検討して、リストの順序変更がセキュリティポリシーにどのような影響を与えるか検証
してください。
X
アクセス制御ルールを移動するには
1.
メインナビゲーションメニューから [Access Control] をクリックします。
2.
[Access Control] ページで、移動するアクセスルールの隣にあるチェックボックスを選択します。
3.
[Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。ボタンをクリックすると、選択したルー
ルがリストの中をそれぞれ上下方向に 1 段階ずつ移動します。
EX-750 インストールおよび管理ガイド | 101
メモ
•
[Display] オプションを使用してアクセスルールをフィルタリングし、特定のアクセス方式のみを表示している場
合、 [Move Up] ボタンまたは [Move Down] ボタンを使用してリストの順序を変更することはできません。ア
クセス制御ルールを移動するのは、 [Display] に「All」を設定している場合に限られます。
•
ルールを複数段階移動する場合は、 [Add/Edit Access Rule] ページで [Number] ボックスの値を変更
する方が速いこともあります。
アクセス方式とリソースとの間の拒否ルール非互換の解決
次の表の 3 種類の組み合わせのいずれかを参照する「拒否」ルールを定義するとき、「Some of the resources in
this rule are not supported by the selected access method(s), which could inadvertently deny access
to some resources」という警告メッセージが表示されます。
「許可」ルールの場合は、リソースとアクセス方式を任意の方法で混在させ組み合わせることができます。ただし「拒
否」ルールにリソースとアクセス方式の一定の組み合わせが含まれていると、それ以降のルールが評価されなくなりま
す。このようなルールは、アクセスポリシーでそれ以降参照されている、リソースへのユーザーアクセスを誤ってブロッ
クする可能性もあります。
場合によっては、ポリシーの評価のときに、拒否ルールが接続要求と一致しているかどうかアプライアンスが判定できな
くなることがあります。このような場合、セキュリティ上の予防措置として、ルールセットの処理を停止し、ユーザーア
クセスをブロックします。これは、リソースタイプとアクセス方式が次のような組み合わせで拒否ルールに含まれている場
合に、そのルールが評価されると発生します。
ルール動作
リソースタイプ
アクセス方式
[Deny]
[Windows domain]
•
[Any]
•
[Web browser]
•
[Aventail Connect and OnDemand]
•
[Any]
•
[Aventail Connect and OnDemand]
•
[Any]
•
[Aventail Connect and OnDemand]
[Deny]
[Deny]
[URL]
[Network share]
例
たとえば、 Windows ドメインへのアクセスをブロックし、アクセス方式を「Any」にしておく拒否ルールを作成すると
仮定します。 Windows ドメインは ASAP WorkPlace からアクセスできるため、アプライアンスが ASAP WorkPlace
からの接続試行を受け取ると、ルールと一致し、そのアクセスが拒否されます。
一方で、ユーザーが Aventail Connect や OnDemand、あるいは標準 Web ブラウザから接続要求を出すとしま
す。この場合、アプライアンスは、 ( どの接続先リソースが要求されていても ) Windows ドメインのルールが要求に合
致しているかどうか判定することができません。アプライアンスはそのため、ポリシー内のそれ以降のルールの評価を停
止して、即座にアクセスを拒否します。そのため、 Windows ドメインルールがアクセス制御ルールの先頭にある場
合、高い確率で、ユーザーが VPN リソースにアクセスできなくなります。たとえば、リストの次のルールが、ユーザー
の VPN リソースへのアクセスを許可する許可ルールの場合でも、このルールが評価されることはありません。
問題の解決
このようなルールの非互換性を解決するため、当社では、不確定のアクセス方式を参照しないようにルールを修正する
ことを推奨しています。たとえば、 Windows ドメインまたはネットワーク共有の場合は、アクセス方式として Network
Explorer 以外選択しないようにし、URL の場合は、Web ブラウザと ASAP WorkPlace 以外選択しないようにします。
102|第 5 章 - セキュリティ管理
不正な接続先リソースの解決
アクセス方式を非互換の接続先リソースに割り当てるルールを作成しようとした場合、 AMC は、「Invalid destination
resources: These resources are not accessible from the selected access method(s)」という警告を出し
て不適合が発生するのを防止します。次の表では、このような警告が出されるアクセス方式 / 接続先リソースの組み合
わせを示しています。
アクセス方式
不正な接続先リソース
[Web browser]
•
[Windows domain]
•
[Network share]
[Network Explorer]
•
[URL]
[Aventail Connect and Aventail OnDemand]
•
[URL]
•
[Windows domain]
例
たとえば、 Windows ドメインリソースにアクセスし、アクセス方式として [Web browser] を指定するルールを作成
していると仮定します。このような組み合わせを選択すると、 [Add/Edit Access Rule] ページの [Access
methods] エリアのすぐ上に「Invalid destination resource」という警告が表示されます。このようなルールは、
アクセス方式 / リソースの不適合が含まれていることから、保存することができません。このような不適合が残っている状
態で [Save] をクリックすると、不正なリソースがルールから除去されます。ルールに含まれている不適合リソースが 1
つだけの場合、そのリソースは「Any」で置き換えられます。
問題の解決
接続先リソースのエラーを解決するため、アクセス方式のタイプが接続先リソースと互換性を持つようにルールを修正しま
す。アクセス方式 / 接続先リソースの不適合を回避するための最も簡単な方法は、 [Add/Edit Access Rule] ペー
ジの [Access method] オプションを「Any」に設定することです。
オプション
説明
リソースタイプ
[Alias name] プライベート URL を表すパブリックなエイリアスを指定するときは、このオ
プションを使用します。このエイリアスの名前はユーザーに提示されるた
め、憶えやすい名前を使用します ( 短く具体的なほど良い )。次のような
場合、 [Alias name] を指定すると良いでしょう。
[Synonyms]
•
このリソースに対する内部ホスト名を隠したい場合。
•
この URL リソースが、 [Network Settings] ページの [Name
Resolution] タブで構成されている検索ドメインに含まれていない
場合。
Web
URL リソース名の代替名 ( 「シノニム」 ) を定義するときは、このオプショ Web
ンを使用します。これは、ユーザーが異なる名前 ( 通常、非修飾名や圧
縮名 ) を使用してサーバーにアクセスする場合や、 Web ページに DNS
エイリアスを示すリンクが含まれていて、その名前を Web プロキシサービ
スが正しく変換できない場合などに使用すると便利です。複数のシノニムを
指定する場合はセミコロンで区切ります。
このアプライアンスは、リソースのショートカットを自動的にシノニムとして定
義します。たとえば URL が「http://mail.example.com」の場合、ア
プライアンスは「mail」というシノニムを追加します。ただしこれについて
は、 [Synonyms] ボックスに表示されません。
[Allow public
access]
この URL に無制限のアクセスを許可したい場合、このチェックボックスを Web
選択します。このオプションがオンの場合は、ユーザーの身元を識別する
ための認証が行われません。これは、内部 Web リソースに対してパブ
リックアクセスを許可する場合に使用すると便利です ( あるリソースへのパ
ブリックアクセスを許可するときは、「Any」ユーザーによるそのリソース
へのアクセスを許可するルールを作成しなければならない )。
EX-750 インストールおよび管理ガイド | 103
オプション
[Web
application
profile]
説明
リソースタイプ
Web
このリストには、いくつかの一般的な Web アプリケーションで推奨される
構成済みの Web プロファイルの他、カスタム Web プロファイルやデフォ
ルト Web プロファイルが含まれます。どのプロファイルを選択すればよいネットワーク
かわからない場合は、デフォルトのオプションをそのまま選択してください。
プロファイルを参照するには、 [View selected profile] をクリックしま
す。詳細については、 86 ページの「Web アプリケーションプロファイル
の追加」を参照してください。
104|第 5 章 - セキュリティ管理
EX-750 インストールおよび管理ガイド | 105
第6章
ユーザー管理
アクセス制御ルールでは、ユーザーやユーザーのグループがどのリソースを使用できるか決定します。したがって、外
部ユーザーディレクトリに保管されているユーザーやグループにマッピングするユーザーやグループを AMC で定義し
なければなりません。さらに高いレベルのコミュニティでも、共通の特性を共有するユーザーやユーザーグループ、ア
クセスポリシーやアクセス方式などを編成できます。また、これらはアクセス制御ルールでも使用することができます。
概要 : ユーザー、グループ、コミュニティ
ユーザーとは、ネットワーク上のリソースにアクセスする必要がある個人を指します。また、ユーザーグループは、ユー
ザーの集まりです。アプライアンスでユーザーやユーザーグループを作成したら、リソースへのアクセスを許可または拒
否するために、アクセス制御ルール内で参照することができます。
アプライアンスでは、ユーザーとグループを実際に保管しません。その代わりに、外部の Microsoft Active
Directory、 LDAP、 RADIUS リポジトリに保管されている既存のユーザーやグループへの参照を作成します。こうす
ることにより、アプライアンスで直接ユーザーを作成し管理する必要がなくなります。ユーザーやグループを定義してか
らアクセス制御ルールで参照することもできますが、アクセス制御ルールインタフェースから新しいユーザーやグループ
を直接定義することもできます。
コミュニティはユーザーの集まりで、ユーザー集団のメンバーがレルムにログインするときに、どのアクセスクライアントと
End Point Control エージェントが設定されるかがこれによって決まります。たとえば、モバイル従業員に対しては
OnDemand を有効にし、ビジネスパートナーには Web アクセスのみを提供することができます。End Point Control
が有効な場合、コミュニティは、コミュニティ内のどの「信頼ゾーン」にメンバーが所属するか決定するために使用する
こともできます。
レルムとユーザーコミュニティを構成するとき、 AMC では、コミュニティのメンバーにどのアクセスエージェントがプロビ
ジョニングされるか指定することができます。またオプションで、コミュニティメンバーのデバイスを「信頼ゾーン」に分
類することもできます。次の図は、レルムがユーザーを認証して、これをコミュニティに割り当て、アクセスエージェント
をプロビジョニングして、 End Point Control が有効であれば、コンピュータの信頼性に基づいてコミュニティメンバー
をさまざまなゾーンに割り当てる過程を示しています。
⹺⸽
䮞䮴䮚䭿䮮䮒䮺䭷䬷 End Point Control
䮳䮲䮧
䭺䮦䮬䮒䮍䭪
CompanyXYZ
Employees
䭷䮲䯃䮞 = “Employees”
䭺䮦䮬䮒䮍䭪
⹺⸽䭼䯃䮗䯃
AD.example.com
Partners
䭷䮲䯃䮞 = “Partners”
䭩䭶䮂䮀ᣇᑼ
OnDemand
Web 䮞䮴䭴䭾
䭯䯃䭿䭮䮺䮏
䬸䬽䭩䭶䮂䮀ᣇᑼ䭡
૶↪䬶䬜䭚䬚
䭩䭶䮂䮀ᣇᑼ
䊃䊤䊮䉴䊧䊷䊁䉾䊄㩷㪮㪼㪹
䮅䯃䮺
IT ᡰ⛎ PC
䮢䯃䮧 PC
䬸䬽䭗䬕䬹䮎䯃䮆଻⼔
䭺䮺䮤䯃䮔䮺䮏䬛
ᔅⷐ䬚䎃䎢
䮅䯃䮺
ᧂ⍮䬽 PC
106|第 6 章 - ユーザー管理
コミュニティの管理
アプライアンスのそれぞれの認証レルムでは、 1 つ以上のコミュニティを参照しなければなりません。複数のコミュニティ
を使用すると、ユーザー集団を効率的に分割することができます。その結果、特定のユーザーに個別のアクセスエー
ジェントを割り当てたり、コミュニティのメンバーが使用する特定タイプのデバイスについて End Point Control 制約を
課したりすることができます。
メモ
•
コミュニティを割り当てずに認証レルムを作成し保存した場合、レルムにデフォルトコミュニティが自動的に割り当て
られます。 56 ページの「デフォルトコミュニティの使用」を参照してください。
コミュニティの表示
AMC のユーザーのコミュニティは、 [Communities] ページで表示することができます。このページにリストされてい
るコミュニティは、 AMC で設定する任意の認証レルムから参照できます。
X
構成済みのコミュニティのリストを参照するには
1.
AMC のメインナビゲーションメニューから [Communities] をクリックします。この操作により、
[Communities] ページが表示されます。
2.
[Communities] リストのデータを確認します。
•
チェックボックス列は、 1 つまたは複数のコミュニティを選択するときに使用します。コミュニティの削除やコ
ピーなどを行うときにこれを使用します。
•
プラス記号 (+) の列をクリックすると、選択したコミュニティが拡大され、そのメンバー、アクセス方式、参
照されている End Point Control ゾーン、レルムが表示されます。
•
[Name] 列には、コミュニティを作成するときに割り当てた名前が表示されます。コミュニティ名は、クリック
すると編集することができます。
•
[Description] 列には、コミュニティを作成するときに入力した説明テキストがリストされます。
•
[Realm] 列には、コミュニティが認証レルムによって参照されているかどうかが示されます。青いドットは、
コミュニティが 1 つまたは複数のレルムによって使用されていることを示します。コミュニティがレルムに参照さ
れていない場合、このフィールドはブランクになります。
コミュニティの作成と構成
コミュニティを作成するときは、基本的に次の 3 段階の手順を実行します。それぞれの手順が、 [Configure
Community] ページにある、リンク付きの 3 つのセクションに対応しています。
•
コミュニティへのメンバーの割り当て
•
コミュニティに対するアクセス方式の選択
•
( オプション ) コミュニティに対する End Point Control 制約の指定
コミュニティは、 2 種類の方法で作成することができます。 1 つ目の方法では、認証レルムを構成するプロセスで、コ
ミュニティを作成します ( コミュニティが動作するには認証レルムから参照されていなければならない )。 56 ページの「コ
ミュニティとレルムとの関連付け」を参照してください。
EX-750 インストールおよび管理ガイド | 107
2 つ目の方法では、コミュニティを作成してから、認証レルムからそのコミュニティを参照します。この 2 番目のアプロー
チについては、 107 ページの「コミュニティへのメンバーの割り当て」の節で説明します。
コミュニティへのメンバーの割り当て
コミュニティ作成の最初の基本手順では、どのユーザーがそのコミュニティのメンバーになるか指定します。デフォルトの
場合、すべてのユーザー ([Any]) がコミュニティのメンバーになります。
X
メンバーをコミュニティに割り当てるには
1.
AMC のメインナビゲーションメニューから [Communities] をクリックします。この操作により、
[Communities] ページの [Members] セクションが表示されます。
2.
[New] をクリックします。この操作により、 [Configure Community] ページが表示されます。
3.
[Name] テキストボックスに、わかりやすいコミュニティの名前を入力します。
4.
[Description] テキストボックスに、コミュニティについてのコメントを入力します。
5.
[Members] ボックスで、どのユーザーまたはグループがこのコミュニティに所属するか指定します。ユーザー
やグループをリストから選択する場合は、 [Edit] をクリックします。
ユーザーやグループが指定されていない場合、このフィールドの値はデフォルト値の「Any」になります。これは、
このコミュニティを参照するすべての認証レルムのユーザーが自動的にこのコミュニティのメンバーになることを表し
ています。個別のユーザーがコミュニティに追加されているとき、 [Members]
ボックスに、
<username>@<realm> の形式で情報が表示されます。
あるコミュニティにメンバーシップを制限する方法については、 112 ページの「ユーザーまたはグループのメンバー
シップの特定コミュニティへの制限」を参照してください。
6.
[Next] をクリックします。この操作により、 [Access Methods] セクションが表示されます。ここで、コミュニ
ティのメンバーがどのアクセス方式を使用できるようにするか選択します。 108 ページの「コミュニティに対するア
クセス方式の選択」を参照してください。
この時点でアクセス方式を選択したくない場合、または他のコミュニティの設定を構成したい場合は、オプションで
[Finish] をクリックすることもできます。ただし、別の機会に、このコミュニティの設定を必ず完了しなければなり
ません。
108|第 6 章 - ユーザー管理
コミュニティに対するアクセス方式の選択
コミュニティ作成の 2 番目の基本手順は、コミュニティのメンバーがアプライアンスへの接続とネットワークリソースへのア
クセスの際にどのアクセス方式を使用できるようにするか決定することです。
ユーザーの環境と互換性があるアクセス方式については、 3 ページの「ユーザーコンポーネント」を参照してください。
X
コミュニティのメンバーが使用できるアクセス方式を選択するには
1.
[Configure Communities] ページの [Access Method] セクションが表示されていない場合は、ペー
ジ上部にある [Access Method] リンクをクリックするか、 [Members] セクションの [Next] ボタンをクリック
します。
2.
コミュニティのメンバーがネットワークのリソースに接続するとき、どのアクセス方式を使用できるようにするか選択し
ます。アプライアンスは、選択されたアクセスエージェントを、ユーザーのシステムの機能に基づいて有効にしま
す。あるエージェントが動作しない場合は、リスト内の ( 上から下の方向で ) 次に選択されているエージェントが
代わりに使用されます。さまざまなアクセスエージェントの機能とシステム要件については、 205 ページの
「ユーザーアクセスコンポーネントおよびサービス」を参照してください。
デフォルトの場合、ネットワークトンネルクライアント ([Network tunnel client]) を除くすべてのアクセス方
式が選択されています。
3.
ネットワークトンネルクライアントアクセスをコミュニティのメンバーに与えたい場合は、 [Network tunnel
client] チェックボックスをクリックして、次のいずれかのオプションを選択します。
EX-750 インストールおよび管理ガイド | 109
•
[Auto-activate from ASAP WorkPlace]。このオプションを選択すると、プロビジョニングが自動的
に行われる設定になり、ユーザーが ASAP WorkPlace に接続するときに、 Web ベースの OnDemand
トンネルエージェントが有効になります。
•
[Provision client from ASAP WorkPlace]。ユーザーが ASAP WorkPlace のリンクから
Connect トンネルクライアントをダウンロードするようにしたい場合、このオプションを選択します。
[Network tunnel access] を選択する場合、次に説明しているように、 1 つまたは複数の IP アドレスプー
ルをコミュニティに割り当てなければなりません。
4.
ネットワークトンネルクライアントをユーザーに設定するためには、まず、コミュニティが 1 つまたは複数の IP ア
ドレスプールを使用できるようにします。デフォルトの場合、使用可能な IP アドレスプールがあれば、それがコ
ミュニティに割り当てられます。 109 ページの「ネットワークトンネルクライアントの構成」を参照してください。
5.
コミュニティに対するアクセス方式を選択したら、 [Next] をクリックします。この操作により、 [End Point
Control restrictions] セクションが表示されます。ここで、クライアントデバイスのセキュリティに基づいて、
コミュニティのメンバーのアクセス権限を制約することができます。 110 ページの「コミュニティでの End Point
Control 制約の使用」を参照してください。
このコミュニティに対して、 End Point Control を採用したくない場合は、 [Finish] をクリックします。
ネットワークトンネルクライアントの構成
ネットワークトンネルクライアントからの TCP/IP 接続を管理するためネットワークトンネルサービスを構成する場合、IP
アドレスをクライアントに割り当てるための IP アドレスプールを設定しなければなりません。 IP アドレスプールの設定
は、通常、ネットワークトンネルサービスを構成するときに行います。 IP アドレスプールを最初に設定する方法につ
いては、 224 ページの「IP アドレスプールの構成」を参照してください。
ネットワークトンネルクライアントをユーザーに設定するコミュニティを作成するとき、ユーザーがどの IP アドレスプール
を使用できるようにするか選択しなければなりません。デフォルトの場合、構成されているすべてのアドレスプールが使
用可能になっています。
ネットワークトンネルクライアントを構成する場合、リダイレクションモードも選択しなければなりません。またオプション
で、カスタマイズ設定を選択することもできます。
X
ネットワークトンネルクライアントを構成するには
1.
選択したコミュニティの [Access Methods] ページで、 [Network tunnel client] オプションの隣にある
[Configure] ボタンをクリックします。この操作により、 [Network Tunnel Client Settings] ページが
表示されます。
2.
デフォルトの場合、構成されているすべての ( 「Any」 ) アドレスプールがコミュニティで使用可能になっていま
す。特定の IP アドレスプールを、構成済みアドレスプールのポップアップリストから選択する場合は、 [Edit]
をクリックします。
3.
クライアントトラフィックをアプライアンスにリダイレクトする際のリダイレクションモードを選択します。ネットワークト
ンネルサービスでは、次の 2 種類のリダイレクションモードをサポートしています。
•
[Split tunnel]。このモードでは、 AMC で定義されているリソースにバインドされたトラフィックはトンネル
経由でリダイレクトされ、その他のすべてのトラフィックは普通の方法でルートされます。これが、デフォルト
110|第 6 章 - ユーザー管理
のリダイレクションモードになります。このオプションの場合、プリンタやローカルホストなどの、ローカル
ネットワーク上のリソースに対するアクセスや、インターネットアクセスが妨げられることはないため、ユーザー
にとっては利便性が高くなります。インターネット接続 ( スプリットトンネル経由でリルーティングすることにより
ネットワークリソースに到達する可能性がある ) を介して、ユーザーのコンピュータに対し許可されていないア
クセスが行われるのを防止するために、ユーザーのコンピュータがパーソナルファイアウォールやアンチウイ
ルス保護を搭載するよう求める End Point Control 制約の使用についても考慮します。
•
4.
[Redirect all]。このモードでは、 AMC でリソースがどのように定義されているかにかかわらず、すべて
のトラフィックがトンネル経由でリダイレクトされます。このオプションでは、セキュリティが強化されますが、ロー
カルネットワーク上のリソースへのアクセスが阻害され、しかもネットワークの構成によっては、インターネット
アクセスも阻害されてしまいます。 [Redirect all] は、 [Split tunnel] リダイレクションよりも安全です
が、ユーザーが、アプライアンスをバイパスしネットワークに戻る独自のスプリットトンネル接続を作成するた
めに、コンピュータ上のルーティングテーブルを修正する可能性が出てきます。
([Configure Community] ページで [Provision client from ASAP WorkPlace (Connect
Tunnel)] オプションを選択することにより ) Connect トンネルクライアントを使用するようコミュニティを構成して
いる場合、次のオプションを使用して、この Windows クライアントをカスタマイズすることができます。
これらのオプションは、コミュニティで OnDemand トンネルを選択している場合は使用できません。
5.
•
[Caption for start menu and icon]。 Windows の [ スタート ] メニューおよび Connect アイコン
の下に表示される、 Connect トンネルクライアントを示すテキストをカスタマイズすることができます。
•
[Create icon on Windows desktop]。デスクトップに Connect トンネルクライアントアイコンを作
成します。
•
[Run client at Windows startup]。ユーザーのコンピュータで Windows が起動するとき、 Connect
トンネルクライアントが自動的に動作するよう設定します。
•
[Override default realm and appliance FQDN settings]。デフォルトレルム、および ASAP
WorkPlace のプロビジョニングページにアクセスするときに使用するアプライアンス名を上書きします。
[Save] をクリックします。この操作により、そのコミュニティにアドレスプールが割り当てられ、その他のネット
ワークトンネルクライアント設定が構成されます。 [Access Methods] ページに戻ります。
コミュニティでの End Point Control 制約の使用
コミュニティ作成の 3 番目の基本手順は、クライアントデバイスのセキュリティに基づいて、コミュニティのユーザーにア
クセスを制限することです。そのために、このコミュニティのユーザーが、どの End Point Control ゾーンを使用でき
るか指定します。ゾーンは、リストされている順序 ( 先頭が最初 ) で処理されます。
[Configure Communities] ページの [End Point Control restrictions] セクションでは、 Web プロキシ
エージェントまたは Connect トンネルクライアントのいずれかを使用してアプライアンスにアクセスするユーザーに対し、
非アクティブタイマーを設定することができます。コミュニティで End Point Control ゾーンを使用しない場合でも、非
アクティブタイマーは設定することができます。
End Point Control ゾーンの作成方法と構成方法、および接続要求の分類のために使用するデバイスプロファイルに
ついては、 169 ページの「ゾーンおよびデバイスプロファイルによる EPC の管理」を参照してください。
EX-750 インストールおよび管理ガイド | 111
X
コミュニティに End Point Control 制約を適用するには
1.
[Configure Communities] ページの [End Point Control restrictions] セクションが表示されてい
ない場合は、ページ上部にある [End Point Control restrictions] リンクをクリックするか、
[Members] セクションの [Next] ボタンをクリックします。
2.
コミュニティには、 1 つまたは複数の End Point Control 制約を割り当てることができます。ゾーンは、どのデ
バイスにコミュニティへのアクセス権限があるか決定します。ゾーンを選択しない場合、コミュニティのメンバーに
は、デフォルトゾーンが割り当てられます。その場合、アクセスポリシーに基づいて、リソースに対するアクセス
の制限や拒否が決定されます。 [Available Zones] リストからエントリを選択して、 [Add] をクリックします。
また、 [New] ボタンをクリックすることで、新しい EPC ゾーンを作成し、それをリストに追加することもできます。
ゾーンの作成方法については、 171 ページの「ゾーンの定義」を参照してください。
3.
コミュニティが複数のゾーンを参照する場合、 [Move Up] ボタンまたは [Move Down] ボタンを使用して、リ
スト内のゾーンの順序を変更します。ゾーンはリストされている順序で処理されるため、それぞれのゾーンでどの
デバイスに許可を与えるか慎重に検討する必要があります。最も狭い範囲のゾーンをリストの先頭に持ってくるよう
にします。
4.
Web プロキシエージェントまたは Connect トンネルクライアントを使用するコミュニティのメンバーに対して、ア
クティブでない ( ユーザーがキーボードもマウスも使用しない状態になっている ) 接続を終了させるために非アク
ティブタイマーを設定する場合、 [End inactive user connections] リストから時間制限オプション ([3
minutes] から [10 hours]) を選択します。
5.
[Finish] または [Save] をクリックして、コミュニティの構成を終了します。
メモ
•
コミュニティがメンバーにユーザーアクセスエージェントを提供する場合や、 End Point Control 制約をメンバー
のクライアントデバイスに適用する場合、あらかじめ、 1 つまたは複数の認証レルムからそのコミュニティを参照し
ていなければなりません。 56 ページの「コミュニティとレルムとの関連付け」を参照してください。
112|第 6 章 - ユーザー管理
コミュニティの編集
コミュニティの構成を編集する場合、次の手順を実行します。
X
コミュニティを編集するには
1.
AMC のメインナビゲーションメニューから [Communities] をクリックします。この操作により、
[Communities] ページが表示されます。
2.
編集するコミュニティの名前をクリックします。この操作により、そのコミュニティに対する [Configure
Community] ページが開きます。
3.
[Configure Communities] の [Members]、 [Access Methods]、 [End Point Control
Restrictions] の各セクションで構成を変更し、変更したそれぞれのセクションごとに [Save] をクリックしま
す。
コミュニティのコピー
手間を省くため、既存のコミュニティから設定をコピーして、新しいコミュニティでそれを利用することができます。
X
コミュニティをコピーするには
1.
AMC のメインナビゲーションメニューから [Communities] をクリックします。この操作により、
[Communities] ページが表示されます。
2.
コピーしたいコミュニティの左側にあるチェックボックスを選択して、 [Copy] ボタンをクリックします。この操作に
より、そのコミュニティに対する [Configure Community] ページが開きます。 [Name] テキストボックス
( ブランクになっている ) 以外のそれぞれのフィールドには、元のコミュニティの情報が表示されています。
3.
[Name] テキストボックスに、新しいコミュニティの名前をわかりやすいことばで入力します。
4.
新しいコミュニティの [Members]、 [Access Methods]、 [End Point Control Restrictions] の各
セクションで、必要に応じて設定を変更し、 [Save] をクリックします。
コミュニティの削除
コミュニティを削除するときは、次の手順を実行します。
X
コミュニティを削除するには
1.
メインナビゲーションメニューから [Communities] をクリックします。この操作により、 [Communities]
ページが表示されます。
2.
削除したいコミュニティの左側にあるチェックボックスを選択して、 [Delete] ボタンをクリックします。
メモ
•
認証レルムと対応しているコミュニティは削除することができません。あらかじめ、レルムの構成からコミュニティへ
の参照を削除しておかなければなりません。これを削除していない場合は、エラーメッセージが表示されます。
ユーザーまたはグループのメンバーシップの特定コミュニティへの制限
デフォルトの場合、コミュニティは、対応している認証レルムのすべてのメンバーを、そのメンバーとして含むよう構成さ
れています。ただし、レルム内の特定ユーザーまたは特定ユーザーグループのみにアクセスを限定するよう、コミュニ
ティを構成することもできます。
これはたとえば、レルムを、従業員用のコミュニティと、ビジネスパートナー用のコミュニティに分割したい場合などに使
用すると便利です。こうしておくと、それぞれのコミュニティに適切なアクセスエージェントを割り当てたり、セキュアでな
いコンピュータからログインする場合に End Point Control 制約を課したりすることができます。コミュニティは、アクセ
ス制御ルールからも参照できるため、特定のユーザーコミュニティに対して、リソースへのアクセスを許可または拒否す
ることができます。
X
コミュニティのメンバーシップを制限するには
1.
メインナビゲーションメニューから [Communities] をクリックします。この操作により、 [Communities]
ページが表示されます。
2.
メンバーシップを修正するコミュニティの名前をクリックします。この操作により、 [Configure Community]
ページが表示されます。
3.
[Members] ボックスの横にある [Edit] ボタンをクリックします。この操作により、現在のユーザーおよびグ
ループを示すポップアップウィンドウが表示されます。
EX-750 インストールおよび管理ガイド | 113
4.
[Users and Groups] ポップアップウィンドウで、コミュニティに割り当てたいそれぞれのユーザーまたはグ
ループに対するチェックボックスを選択します。
5.
メンバーをコミュニティに追加し終わったら、次の作業を行います。
•
メンバーを既存のコミュニティに追加したら、 [Save] をクリックします。この操作により、 [Communities]
ページに戻ります。
•
新しいコミュニティを作成する場合は、 [Next] をクリックします。この操作により、 [Configure
Community] ページの [Access Methods] セクションが表示されます。
X
コミュニティリストからユーザーまたはグループを削除するには
1.
メインナビゲーションメニューから [Communities] をクリックします。この操作により、 [Communities]
ページが表示されます。
2.
メンバーシップを修正するコミュニティの名前をクリックします。この操作により、 [Configure Community]
ページが表示されます。
3.
[Members] ボックスの横にある [Edit] ボタンをクリックします。この操作により、現在のユーザーおよびグ
ループを示すポップアップウィンドウが表示されます。
4.
[Users and Groups] ポップアップウィンドウで、コミュニティから排除したいそれぞれのユーザーまたはグ
ループに対するチェックボックスを選択解除します。
5.
[Save] をクリックします。この操作により、 [Communities] ページに戻ります。
メモ
•
コミュニティに追加されているすべてのユーザーまたはグループを削除すると、コミュニティのメンバーシップ構成は
デフォルトに戻り、「Any」 ( すべてのユーザーまたはグループ ) になります。
114|第 6 章 - ユーザー管理
ユーザーおよびグループの管理
ユーザーおよびグループの管理は、継続的な作業になります。ユーザーとグループは、直接アプライアンスに保管さ
れるわけでなく、外部ユーザーディレクトリから参照されます。ほとんどのユーザー管理は、外部ユーザーリポジトリを
介して行われますが、信頼できるアクセスを提供するためには、 AMC リストで最新の状態が保たれるようにすることが必
須になります。
AMC で定義されているユーザーとグループは、アプライアンスで現在構成されているディレクトリと対応しています。
ユーザーおよびグループの表示
AMC で構成されているユーザーとグループは、 [Groups]、 [Users]、 [Local Accounts] の各ページに表示
されます。
X
ユーザーとグループを表示するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] ページ
が表示されます。
2.
表示するオブジェクトのタイプを選択します。
3.
4.
•
外部認証サーバーに保管されたグループ情報にマッピングされているユーザーのグループを管理する場合、
[Groups] タブをクリックします。
•
外部認証サーバーに保管されたグループ情報にマッピングされている個別のユーザーを管理する場合、
[Users] タブをクリックします。
•
アプライアンスのローカルリポジトリに保管されているユーザーを管理する場合、 [Local Accounts] タブ
をクリックします。
グループ、ユーザー、ローカルアカウントの各リストに表示されたデータを確認します。
•
チェックボックス列は、 1 つまたは複数のグループ、ユーザー、ローカルアカウントを選択するときに使用
します。これらを削除するときにこれを使用します。
•
プラス記号 (+) の列をクリックすると、ユーザー、グループ、ローカルアカウントが拡大されます。
•
[Name] 列には、ユーザー、グループ、ローカルユーザーアカウントを作成するときに割り当てた名前が
表示されます。
•
[Description] 列には、ユーザー、グループ、ローカルユーザーアカウントを作成するときに入力した
説明テキストがリストされます。
•
[Realm] 列には、ユーザー、グループ、ローカルユーザーアカウントを参照する認証レルムが示されま
す。
列は、各列の見出しをクリックすることにより、昇順または降順でソートすることができます。
EX-750 インストールおよび管理ガイド | 115
外部リポジトリにマッピングされているユーザーおよびグループの管理
ユーザーおよびグループの管理は、継続的な作業になります。ユーザーとグループは、直接アプライアンスに保管さ
れるわけでなく、外部ユーザーディレクトリから参照されます。ほとんどのユーザー管理は、外部ユーザーリポジトリを
介して行われますが、安全で信頼できるアクセスを提供するためには、 AMC リストで最新の状態が保たれるようにする
ことが必須になります。
ほとんどのディレクトリでは、同様のユーザーアカウントをまとめて、同様の権利や権限を与えています。ディレクトリを
このように管理する場合、アプライアンスでのユーザー管理のほとんどは、通常、個別のユーザー単位ではなく、ユー
ザーグループ中心に行われることになります。最初に、ディレクトリに保管されているユーザーグループを参照するよ
う、アプライアンスをセットアップして、その後、アクセス制御ルールでそのグループを参照します。個別のユーザーを
管理する必要があるのは、ほとんどの場合、グループメンバーシップで認められているものと異なる権限を割り当てる場
合に限られます。
AMC で定義されているユーザーとグループは、アプライアンスで現在構成されているディレクトリと対応しています。
テストや評価のために、アプライアンスでローカルユーザーを作成することもできます。 120 ページの「ローカルユー
ザーアカウントの管理」を参照してください。
ディレクトリの検索によるユーザーやグループの追加
Microsoft Active Directory ディレクトリおよび LDAP ディレクトリの場合、ディレクトリの内容を検索して、ユーザー
やグループをリストから選択することにより、ユーザーを追加することができます。その場合、識別名 (DN) をわざわざ
入力する必要はありません。ただしこの機能は、 RADIUS レルム ( またはローカルユーザーストア ) に含まれている
ユーザーを追加する場合以外は使用できません。
ユーザーやグループを追加すると、 [Users] ページ、 [Groups] ページにそれぞれリストされます。この状態で、
ユーザーやグループをアクセス制御ルールに追加することができます。
X
ディレクトリの検索によりユーザーやグループを追加するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] が表示
されます。
2.
追加するオブジェクトのタイプを選択します。
•
グループを追加する場合、 [Groups] タブをクリックします。
•
ユーザーを追加する場合、 [Users] タブをクリックします。
3.
[Search] ボタンをクリックします。この操作により、 [Search Directory] ウィンドウが表示されます。
4.
[Look in] リストで、検索するディレクトリを選択します。
5.
検索基準を定義します。
•
[Search for] ボックスに、ユーザー名またはグループ名のすべてまたは一部を入力します。デフォルトは
「*」で、この場合、レルム内のすべてのレコードが返されます。ワイルドカード文字 ( 「*」 ) は、検索文
字列のどの部分にも使用することができます。たとえば、「j」で始まるグループ名を検索する場合は、「j*」
と入力します。また、「Mary」または「Marty」という名前のユーザー ( ただし「Max」は除外 ) を検索
するときは、「m*y」と入力することができます。
•
検索範囲を狭めるときは、 [Attribute] ボックスに LDAP 属性を入力します。たとえば、ユーザーの姓を
検索する場合は「sn」、共通名を検索する場合は「cn」と入力することができます。
•
各ページで返される結果の数を、 [Show] ボックスで指定することができます。デフォルトは「25」です。
•
詳細な検索基準を指定する場合は [Advanced] タブをクリックします。詳細については、 117 ページの
「高度な検索方法」を参照してください。
116|第 6 章 - ユーザー管理
6.
[Search] をクリックします。
7.
追加するオブジェクトを指定します。
•
結果表示ページを切り替えるときは、左下のペインにある矢印ボタンを使用します。 [<] および [>] をクリッ
クすると、ページが 1 ページずつ前後に移動します。 [<<] および [>>] をクリックすると、最初のページ
および最後のページがそれぞれ表示されます。
•
ユーザーまたはグループについての詳細な情報を参照するときは、名前をクリックします。詳細な属性のリス
トが右側のペインに表示されます。
•
アプライアンスに追加するユーザーまたはグループの左側にあるチェックボックスを選択します。
8.
[Insert Selected] ボタンをクリックします。この操作により、選択しているユーザーまたはグループがアプライ
アンスに追加されます。現在のページのすべてのユーザーまたはグループを選択 ( または選択解除 ) するに
は、 [Select all/none] の横にあるチェックボックスを選択します。
9.
設定が終わったら、右上の [Close] ボタンをクリックします。この操作により、ポップアップウィンドウが閉じて、
メイン AMC ページに戻ります。
メモ
•
デフォルトの場合、基本 ([basic]) 検索は、 sAMAccountName、 cn、 uid、 userid の各属性を照会
することによって、ユーザーおよびグループを検索するよう構成されています。
EX-750 インストールおよび管理ガイド | 117
高度な検索方法
LDAP 構文に慣れている場合は、高度な検索を行うことで、照会の範囲をさらに狭めることができます。これは、特に
大規模なディレクトリを照会する場合など、検索結果の数を減らす必要がある場合に使用すると非常に便利です。状況
によっては、非標準スキーマを使用してディレクトリを照会するために、高度な検索を実行する必要があります。
高度な検索を実行する場合、 [Advanced] タブをクリックします。次の表では、高度な検索基準を指定するための
フィールドについて説明します。
属性
説明
[Filter] ボックス
検索の範囲を狭める LDAP 検索フィルタを指定します。
構文
filter=(operator(LDAP attribute=value)(..))
演算子
•
OR = “|”
•
AND = “&”
•
NOT = “!”
例
(cn=Babs Jensen)
(!(cn=Tim Howes))
(&(objectClass=Person)(|(sn=Jensen)(cn=Babs J*)))
[Search base] ボックス
検索を始める LDAP ディレクトリ内のポイントを指定します。通常これは、ユーザー
またはグループが含まれるディレクトリツリーの最下層になります。
LDAP の場合、「ou=Users,o=example.com」のように入力します。
Microsoft Active Directory を検索するときは、
「CN=users,DC=example,DC=corp,DC=com」と指定します。
118|第 6 章 - ユーザー管理
属性
説明
[Object class] ボックス
ユーザーまたはグループが含まれるオブジェクトクラスを指定します。
ユーザーの場合、これは通常「user」または「inetOrgPerson」になります。
グループの場合は通常「group」、「groupOfNames」、
「groupOfUniqueNames」のいずれかになります。
[Scope] リスト
検索するコンテナを指定します。
[base] の場合、検索ベースからのみ情報を検索します。検索ベースより下のコン
テナは検索されません。
[one] の場合、検索ベースより 1 レベル下から情報を検索します。この範囲には、
検索ベース自体は含まれません。
[sub] の場合、検索ベースおよび検索ベースの下のすべてのレベルから情報を検
索します。これがデフォルト設定です。
メモ
•
LDAP 検索フィルタの詳細については、 RFC 2254 (http://www.ietf.org/rfc/rfc2254.txt) を参照してくだ
さい。
•
LDAP 検索構文は非常に柔軟で、複数の方法を使用して同じ結果を引き出せるようになっています。たとえば、
あるディレクトリのすべてのグループを検索するとき、オブジェクトクラスを使用することができます。
objectclass=group;groupOfNames
また、検索フィルタを使用しても、同じ結果を引き出すことができます。
(|(objectclass=group)(objectclass=groupOfNames))
ユーザーまたはグループの手作業による追加
ユーザーまたはグループを作成すると、 [Groups] ページまたは [Users] ページにそれぞれリストされます。この状
態で、ユーザーやグループをアクセス制御ルールに追加することができます。
X
ユーザーやグループを追加するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] が表示
されます。
2.
追加するオブジェクトのタイプを選択します。
3.
•
グループを追加する場合、 [Groups] タブをクリックして、 [New] ボタンをクリックします。この操作により、
[Add/Edit Group Mapping] ページが表示されます。
•
ユーザーを追加する場合、 [Users] タブをクリックして、 [New] ボタンをクリックします。この操作により、
[Add/Edit User Mapping] ページが表示されます。
[Realm name] リストから、ユーザーやグループが所属するレルムを選択します。ユーザーやグループが複
数のレルムに所属しており、それぞれを検索したい場合は、レルムリストから [Any] を選択します。
EX-750 インストールおよび管理ガイド | 119
4.
[Group name] または [User name] ボックスに、グループまたはユーザーの情報を入力します。外部リポ
ジトリ内の名前を正確に入力します。次の表は、ユーザーおよびグループを定義するときに使用する構文につい
て説明しています。
オブジェクト
ディレクトリタイプ
入力事項
グループ
Active Directory
共通名 (CN) または識別名 (DN) を入力します。
CN は DN よりも簡単に入力できます ( たとえば
「cn=Sales,cn=Users,dc=example,dc=com」と入力
せずに「Sale」と入力できる ) が、 CN の場合、唯一の
一致が保証されません。疑わしい場合は、 DN を使用する
方が安全です。
ユーザー
LDAP
識別名 (DN) を入力します。たとえば
「cn=Sales,cn=Users,dc=example,dc=com」と入力
することができます。
RADIUS
グループ名を入力します。たとえば「Sale」と入力すること
ができます。
Active Directory または
RADIUS
ユーザー名を入力します。たとえば「jsmith」と入力する
ことができます。
LDAP
識別名 (DN) を入力します。たとえば
「cn=jsmith,cn=Users,dc=example,dc=com」と入
力することができます。
メモ
•
ユーザー名とグループ名では、大文字と小文字が区別されます。
•
入力した名前が間違っている場合 ( たとえば「marketing」と入力すべきところを「mktg」や「Marketing」
と入力するなど)、そのユーザーまたはグループメンバーによるリソースへのアクセスが許可されなくなります。
•
Active Directory または LDAP ディレクトリの場合、 [Browse] をクリックして、ディレクトリを検索するこ
とができます。
5.
[Description] ボックスに、ユーザーやグループについてのコメントを入力します。
6.
[Save] をクリックします。この操作により、 [Groups] ページまたは [Users] ページに戻ります。また、
[Save and Add Another] をクリックして、他のユーザーまたはグループを定義することもできます。
メモ
•
AMC でユーザーグループを追加するとき、ユーザーを実際にグループ化しているわけではありません。外部ユー
ザーリポジトリで定義されているユーザーグループの名前を単に追加しているにすぎません。
•
このアプライアンスでは、テストや評価のために、ローカルユーザーもサポートしています。 120 ページの「ロー
カルユーザーアカウントの管理」を参照してください。
ユーザーまたはグループの編集
外部ディレクトリで、ユーザーまたはグループの名前、識別名などが変更された場合、アプライアンスでアカウントを修
正する必要があります。
X
ユーザーまたはグループを編集するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] が表示
されます。
2.
編集するオブジェクトを選択します。
•
グループを編集する場合、 [Groups] タブをクリックして、編集するグループの名前をクリックします。この
操作により、 [Add/Edit Group Mapping] ページが表示されます。
•
ユーザーを編集する場合、 [Users] タブをクリックして、編集するユーザーの名前をクリックします。この操
作により、 [Add/Edit User Mapping] ページが表示されます。
120|第 6 章 - ユーザー管理
3.
必要な編集を行います。
ユーザーやグループが Active Directory または LDAP レルムに所属している場合、 [Browse] ボタンをクリッ
クして、ユーザーを検索することができます。[Insert Selected User] または [Insert Selected Group]
をクリックすると、アプライアンスのユーザーまたはグループのマッピングがそれぞれ更新されます。
4.
[Save] をクリックします。この操作により、 [Groups] ページまたは [Users] ページに戻ります。また、
[Save and Add Another] をクリックして、他のユーザーまたはグループを定義することもできます。
ユーザーまたはグループの削除
ユーザーまたはグループを削除すると、そのマッピングがシステムから削除されます。ユーザーやグループを削除して
も、外部ユーザーディレクトリからそのユーザーやグループが削除されるわけではありません。
X
ユーザーまたはグループを削除するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] が表示
されます。
2.
削除するオブジェクトを選択します。
3.
•
グループを削除する場合、 [Groups] タブをクリックして、削除するグループの左側にあるチェックボックス
を選択します。
•
ユーザーを削除する場合、 [Users] タブをクリックして、削除するユーザーの左側にあるチェックボックスを
選択します。
[Delete] ボタンをクリックします。
メモ
•
ユーザーまたはグループが他のオブジェクトから参照されている場合は、これを削除することができません。たとえ
ば、アクセス制御ルールで参照されているユーザーまたはグループを削除しようとすると、エラーメッセージが表
示されます。削除する前に、あらかじめ、ユーザーまたはグループへのすべての参照を削除しておかなければな
りません。詳細については、 31 ページの「参照されているオブジェクトの削除」を参照してください。
ローカルユーザーアカウントの管理
このアプライアンスでは、次の 2 種類の方法でローカルユーザーアカウントを作成できるようになっています。
•
Setup Wizard を実行してアプライアンスを構成するときにローカルユーザーを作成することができます。
19 ページの「Setup Wizard を使用した Web ベースの構成」を参照してください。
•
AMC でローカルユーザーアカウントを作成し、ローカル認証リポジトリに保管することができます。
どちらの場合も、ローカルユーザーはその名の通り、アプライアンスに保管されます。これは、外部認証リポジトリに保
管されていて AMC から参照される他のすべてのユーザーの場合と異なっています。 AMC では、アプライアンス上の
個別のユーザーに対するローカルアカウントを作成、修正、削除できるようになっています。ただし、 AMC では、ユー
ザーのグループに対するローカルアカウントはサポートしていません。
メモ
•
ローカルユーザーは、テストや評価のためのものです。実稼働環境では、 LDAP や Microsoft Active
Directory などの外部認証ディレクトリと統合するようセットアップすることをお勧めします。
EX-750 インストールおよび管理ガイド | 121
ローカルユーザーの追加
ローカルユーザーを追加する場合、あらかじめ、アプライアンスにローカル認証リポジトリを作成していなければなりま
せん。 74 ページの「ローカルユーザー認証の構成」を参照してください。
いったんローカル認証ストアを作成したら、ローカルユーザーをアプライアンスに追加できるようになります。
X
ローカルユーザーをアプライアンスに追加するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] ページ
が表示されます。
2.
[Local Accounts] タブをクリックして、 [New] ボタンをクリックします。この操作により、 [Add/Edit
Local User] ページが表示されます。
3.
[Realm name] リストから、ローカル認証リポジトリを選択します。
4.
[Username] ボックスに、ローカル認証リポジトリに追加するローカルユーザーの名前を入力します。
5.
[Description] ボックスに、ローカルユーザーについてのコメントを入力します。
6.
[Password] ボックスに、ローカルユーザーのパスワードを入力し、 [Confirm Password] ボックスに再
入力します。
7.
[Save] をクリックします。この操作により、ローカルユーザーアカウントが作成され、アプライアンスのローカル
認証リポジトリに保存されます。
ローカルユーザーの編集
ローカルユーザーの設定を編集する場合、次の手順を実行します。
X
ローカルユーザーを編集するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] が表示
されます。
2.
[Local Accounts] タブをクリックします。
3.
[Local Accounts] ページで、編集するユーザーの名前をクリックします。
4.
[Add/Edit Local User] ページでユーザーの設定を編集して、 [Save] をクリックします。
ローカルユーザーの削除
ローカルユーザーを削除するときは、次の手順を実行します。
X
ローカルユーザーを削除するには
1.
メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、 [Groups] が表示
されます。
2.
[Local Accounts] タブをクリックします。
3.
[Local Accounts] ページで、削除したいユーザーの左側にあるチェックボックスを選択して、 [Delete] ボ
タンをクリックします。
122|第 6 章 - ユーザー管理
メモ
•
ローカルユーザーが他のオブジェクトから参照されている場合は、これを削除することができません。たとえば、
アクセス制御ルールで参照されているローカルユーザーを削除しようとすると、エラーメッセージが表示されます。
削除する前に、あらかじめ、ローカルユーザーへのすべての参照を削除しておかなければなりません。エラー
メッセージのリンクをクリックすると、このユーザーグループに対する参照がすべてリストされます。詳細について
は、 31 ページの「参照されているオブジェクトの削除」を参照してください。
EX-750 インストールおよび管理ガイド | 123
第7章
システム管理
この節では、システムロギングとモニタリングの構成方法と使用方法、および Secure Sockets Layer (SSL) 暗号
化オプションの構成方法について説明します。また、ソフトウェアバージョンのアップグレード、ロールバック、リセット
の他、構成ファイルをバックアップ、リセットするためのさまざまなツールの使用方法についても説明します。
オプションネットワーク構成
この節では、さまざまなネットワークサービスおよびツールを構成する方法について解説します。リモートホストからの
SSH アクセスを有効にする方法や、アプライアンスを ping できるよう Internet Control Message Protocol (ICMP)
を有効にする方法について説明します。また、アプライアンスで時刻設定を構成する方法についても説明します。
SNMP の構成方法および使用方法については、 143 ページの「SNMP の構成」を参照してください。
リモートホストからの SSH アクセスの有効化
SSH を有効にすると、他のシステムからアプライアンスのコンソールに簡単にアクセスすることができます。内部ネット
ワークまたは外部ネットワークについて SSH アクセスを有効にすることができます。ローカル SSH サーバードメイン
(sshd) はポート 22 (SSH で一般的なポート番号 ) でリッスンします。
X
SSH アクセスを有効にするには
1.
メインナビゲーションメニューから [Services] をクリックします。
2.
[Network Services] エリアの [SSH] に対応する [Configure] リンクをクリックします。この操作により、
[Configure SSH] ページが表示されます。
3.
SSH を有効にするには、 [Enable SSH] チェックボックスを選択します。
4.
SSH アクセスを許可するホストを追加するには、追加するホストの IP アドレスとサブネットマスクを入力して
[Add] をクリックします。
124|第 7 章 - システム管理
5.
[Save] をクリックします。
X
ホストを削除するには
1.
削除するホストの右側にある [Delete] ボタンをクリックします。
2.
[Save] をクリックします。
メモ
•
IP アドレスとサブネットマスクに「0.0.0.0」と入力することで、任意のホストからの SSH アクセスを有効にする
ことができます。これは便利な設定ではありますが、アプライアンスのセキュリティが低下するという欠点もあります。
•
コマンドラインからアップグレードを行うときは、 SSH を使用しないでください。代わりにシリアルコンソールから
アップグレードを行うようにします。
ICMP の有効化
ICMP を有効にすると、同じサブネット上の他のコンピュータからアプライアンスへのネットワーク接続をテストするために
ping コマンドを使用できるようになります。ただしこれは、ブロードキャスト ping を有効にするものではありません。
!
注意 ICMP を有効にすると、両方のネットワークインタフェースからアプライアンスを ping できるようになります。
そのため、ファイアウォールやその他のネットワークデバイスを使用して ICMP Echo Request トラフィックを禁
止しない限り、アプライアンスをインターネットから検出できる状態になります。
X
ICMP を有効にするには
1.
メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、 [General]
ページが表示されます。
2.
[ICMP] エリアで、 [Enable ICMP pings] チェックボックスを選択します。
3.
[Save] をクリックします。
時刻設定の構成
デフォルトの場合、アプライアンスはグリニッチ標準時 (GMT) に設定されています。現地時間を使用してログをとりた
い場合、アプライアンスで時刻設定を構成します。システムクロックを正確に合わせるためにアプライアンスで Network
Time Protocol (NTP) を使用する構成にすることもできます。また、日付、時刻、時間帯を手作業で構成することも
できます。
X
NTP を使用して時刻設定を構成するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Network Services] エリアの [NTP] に対応する [Configure] リンクをクリックします。この操作により、
[Configure NTP Settings] ページが表示されます。
3.
NTP を有効にするには、 [Enable NTP] チェックボックスを選択します。
EX-750 インストールおよび管理ガイド | 125
4.
NTP を構成するため、 [Primary server] ボックスおよび [Backup server] ボックスに、 1 つまたは複数
の NTP サービスの IP アドレスを入力します。時刻の同期の際、通常はプライマリサーバーが使用されますが、
プライマリサーバーが使用できないときは、必要に応じてセカンダリサーバーが使用されます。
5.
[Save] をクリックします。
メモ
•
アプライアンスでは NTP 認証鍵を使用していないため、何者かが NTP サーバーになりすまして、アプライアンス
にニセの時刻設定を提供することもできます。そのため、 NTP サーバーを同期するときは、内部ネットワークのも
のだけを使用すると良いでしょう。
X
時刻設定を手作業で構成するには
1.
メインナビゲーションメニューから [General Settings] をクリックします。この操作により、 [General
Settings] ページが表示されます。
2.
[Date/Time] エリアで、次の情報を入力します。
3.
•
時間帯を変更するときは、 [Time zone] ボックスから現在の時間帯を選択します。
•
現在の時刻を設定するときは、 [Date] ボックスに現在の日付を「mm/dd/yyyy」の書式で入力して、
[Time] ボックスに現在の時刻を「hh:mm」の書式で 24 時間表記を使用して入力します。変更をすぐに
適用する場合は、 [Set now] をクリックします。
[Save] をクリックします。
メモ
•
Aventail が提供した評価版ライセンスを使用している場合は、システム時刻を現在時刻から前に戻さないでくださ
い。時刻を前に戻すと、ライセンス上の理由から、アプライアンスのすべてのサービスが無効になります。
126|第 7 章 - システム管理
システムロギングおよびモニタリング
Aventail アプライアンスは、ユーザーアクセスやシステムイベントなど、さまざまな有用な情報をロギングします。この
節では、ログの構成方法と表示方法、さまざまなログファイル形式、外部 syslog サーバーへのメッセージの送信方
法などについて説明します。また、 AMC で表示されるシステムステータス情報についても解説します。
概要 : システムロギングおよびモニタリング
アプライアンスでは、アプライアンス上のサービスのデータをロギングします。システムログは、収集されたら、すべて
syslog 形式で保管されます。ログメッセージは、更新バージョンの標準 syslog 形式を使用して処理されます。
アプライアンスは当初、ログファイルをローカルに保管するよう構成されています。ログファイルを中央の syslog サー
バーに送信するよう構成すると、システムレベルのイベントをほぼリアルタイムに監視できるようになり、重要なイベントに
ついて通知を受けることもできます。中央の syslog サーバーが使用できない場合は、 AMC または (tail、 cat、
more などの標準 UNIX コマンドを使用して ) アプライアンス自体のコマンドラインインタフェースからログファイルを
手動で参照することができます。
また、ログメッセージデータをカンマ区切り形式 (.csv) のファイルにエクスポートすることにより、 Microsoft Excel な
どのアプリケーションで表示と分析を行うこともできます。
ログファイル形式
アプライアンスは、さまざまなタイプのログファイルを生成します。
•
システムメッセージログ — メッセージログには、ネットワークプロキシサービス、ネットワークトンネルサー
ビス、 Web プロキシサービスについてのサーバー処理情報および診断情報が表示されます。また、すべての
アクセス制御決定に関する詳細なメッセージも記述されます。つまり、ユーザーの要求がポリシールールと合致
すると、そのときに実行された動作を示すログファイルエントリが記録されます。
AMC からこのログにアクセスするときは、 [View Logs] ページから [System message log] を選択しま
す。ファイル名は「/var/log/aventail/access_servers.log」です。
•
監査ログ — アプライアンスは、 2 種類のアクセスログを生成します。 1 つは Web プロキシサービスを記録した
もので、もう 1 つは、ネットワークプロキシサービスとネットワークトンネルサービスの両方のメッセージを組み合
わせたものです。これらの 2 つのログには、ネットワークにアクセスしたユーザーや転送されたデータの量のリスト
など、接続活動に関する詳細な情報が記録されます。
AMC から監査ログにアクセスするときは、 [View Logs] ページから [Web proxy audit log] または
[Network proxy/tunnel audit log] を選択します。対応するファイル名は
「/var/log/aventail/extraweb_access.log」および「/var/log/aventail/extranet_access.log」です。
•
ASAP WorkPlace ログ — アプライアンスは、エラー条件や情報メッセージを記述した、 ASAP WorkPlace
に対するログファイルを 1 つ生成します。 ASAP WorkPlace ログは、 [View Logs] ページから参照すること
ができません。ファイル名は「/var/log/aventail/workplace.log」です。
EX-750 インストールおよび管理ガイド | 127
ログの表示
Aventail サービスに対する監査ログおよびシステムメッセージログのデータを参照するときは、AMC を使用することが
できます。 AMC の [View Logs] ページを使用して、ログメッセージをソート、検索、フィルタリングすることができ
ます。
X
ログを表示するには
1.
メインナビゲーションメニューから [Logging] をクリックします。この操作により、 [View Logs] ページが表
示されます。
2.
[Log file] リストを使用して、表示する Aventail システムまたはサービスログファイルを選択します。表示さ
れる情報の列は、それぞれのログファイルごとに異なります。参照できるログファイルには、次のようなものがあ
ります。
•
システムメッセージログ。 Web プロキシサービス、ネットワークトンネルサービス、ネットワークプロキシ
サービス、ポリシーサーバーに関する情報が含まれます。このログの詳細については、 131 ページの
「システムメッセージログ」を参照してください。
•
ネットワークプロキシサービスおよびネットワークトンネルサービスに対する監査ログ ( ログファイルでは
「Anywhere VPN」と表記される )。詳細については、 135 ページの「ネットワークプロキシ / トンネル監
査ログ」を参照してください。
•
Web プロキシサービスに対する監査ログ ( ログファイルでは「ExtraWeb」と表記される )。詳細について
は、 138 ページの「Web プロキシ監査ログ」を参照してください。
3.
[Show last] ボックスを使用して、表示するログメッセージの数を選択します。 [50]、 [100]、 [250]、
[500]、 [1000] のいずれかを選択することができます。
4.
最新のログメッセージが含まれるようページを更新するときや、実行したばかりのフィルタリングの結果を表示する
ときは、 [Refresh] ボタンをクリックします。
デフォルトの場合、ログビューアの [Auto-refresh] オプションは [1 minute] に設定されています。リフレッ
シュ時間は、オプションで、 [30 seconds]、 [1 minute]、 [5 minutes]、 [10 minutes]、 [15
minutes] のいずれかを選択することができます。また、 [Off] を選択して、リフレッシュをオフにすることもでき
ます。
5.
オプションで [Search for]、 [Level]、 [Source]、 [Status] などのソートオプションを使用することがで
きます。これらのオプションを使用すると、特定の基準に合致するログメッセージのみが表示されます。 128
ページの「ログメッセージのソート、検索、フィルタリング」を参照してください。
メモ
•
[Auto-refresh] が [Off] 以外に設定されている場合、更新動作が持続的に行われるため、デフォルトの非
アクティブ期間 (15 分 ) が経過しても、 AMC セッションが自動的にタイムアウトしなくなり、 [View Logs] ペー
ジが表示された状態になります。これは実際問題として、コンピュータで AMC を実行し、オートリフレッシュモー
ドを有効にした状態で [View Logs] ページを表示したまま席を外すと、 AMC がタイムアウトしなくなるということ
を表しています。セキュリティを向上させるための習慣として、ログメッセージを表示し終わったら、 AMC の他の
ページに必ず移るようにしておきます。
128|第 7 章 - システム管理
ログメッセージのソート、検索、フィルタリング
AMC ログビューアでは、ソート、検索、フィルタリングなどのオプションを使用して、ログメッセージデータの表示を
カスタマイズすることができます。これらのオプションは、単独で使用できる他、組み合わせて使用することもできます。
•
ソート
表示されているデータは、ログテーブルのそれぞれの列をクリックすることで、列ごとに昇順または降順にソートす
ることができます。デフォルトの場合、ログメッセージは、 [Time] 列でソートされており、最新のメッセージが先
頭に表示されるようになっています。
•
検索
ログビューアでは、 IP アドレスやユーザー ID など、ログファイル内のテキスト文字列を検索できるようになって
います。 [Search for] ボックスに検索基準を入力して [Refresh] をクリックすると、検索結果が表示されま
す。検索基準では、「*」や「?」などのワイルドカード文字を使用することもできます。検索基準を消去するとき
は、 [reset] リンクをクリックします。
システムメッセージログの場合、 [ID] 列のセッション ID 番号をクリックすると、同じセッション ID 番号を共有す
るすべてのログメッセージが自動的に検索されます。セッション ID の詳細については、 131 ページの「システ
ムメッセージログ」を参照してください。
Web プロキシ監査ログおよびネットワークプロキシ / トンネル監査ログの場合は、 [Username] 列のユーザー
ID をクリックすると、特定のユーザーについてのすべてのログメッセージが自動的に検索されます。
•
フィルタリング
フィルタリングチェックボックスを使用することで、それぞれのログファイルに特定タイプのロギングデータを包含
または除外することができます。使用可能なフィルタリングオプションは、どのログファイルを表示しているかによっ
て異なります。
ログファイル
フィルタリングオプション
システムメッセージログ
[Level]: [Error]、 [Warning]、 [Info]、 [Verbose]
[Source]: [Network proxy]、 [Network tunnel]、 [Web]
ネットワークプロキシ / トンネル
監査ログ
[Status]: [Error]、 [Info]、 [Success]
カーソルを特定のログメッセージの接続ステータスコードの上に置くと、
メッセージの下に説明テキストが表示されます。このコードについては、
137 ページの「接続ステータスメッセージの監査」で説明しています。
Web プロキシ監査ログ
[Status]: [500]、 [400]、 [300]、 [200]
カーソルを特定のログメッセージの HTTP 戻りコード番号の上に置くと、
メッセージの下に、それぞれのコードに対応する説明テキストが、「server
error」 (500)、「client error」 (400)、「redirection」 (300)、
「success」 (200) のように表示されます。このコードについては、 138
ページの「Web プロキシ監査ログ」で説明しています。
ログファイルのエクスポート
ログメッセージデータをさらに分析したい場合、または [View Logs] ページに表示される以外の方法で表示したい
場合、選択したデータをカンマ区切り形式 (.csv) のファイルにエクスポートすることにより、 Microsoft Excel などのア
プリケーションで使用することができます。
デフォルトの場合、ログファイル内の選択したすべてのメッセージがエクスポートされます。エクスポートする前にフィル
タリングしたり検索基準を適用したりすることで、エクスポートファイルのサイズを小さくすることができます。 [Show
last] オプションを使用すると、 [View Logs] ページに表示されるメッセージの数をコントロールできますが、これは
.csv ファイルにエクスポートされるメッセージの数には影響しません。エクスポートされたメッセージは、 [View Logs]
ページで選択しているソート順に関係なく、時間の降順でソートされます。
X
ログファイルをエクスポートするには
1.
メインナビゲーションメニューから [Logging] をクリックします。この操作により、 [View Logs] ページが表
示されます。
2.
[Log file] リストを使用して、表示する Aventail システムまたはサービスログファイルを選択します。
3.
ログデータにフィルタリングや検索基準を適用します。 128 ページの「ログメッセージのソート、検索、フィルタ
リング」を参照してください。
EX-750 インストールおよび管理ガイド | 129
4.
[Export] ボタンをクリックします。
5.
.csv ファイルを保存またはオープンするための [File Download] ダイアログボックスが表示されます。
[Save] をクリックします。
6.
名前を変更してファイルを保存する場合、 [Save As] ダイアログボックスを使用して、ロケーションをブラウズ
し、 [Save] をクリックします。デフォルトの場合、 .csv ファイルには次のファイル名が割り当てられます。
•
システムメッセージログ : sysmessage.csv
•
ネットワークプロキシ / トンネル監査ログ : netaudit.csv
•
Web プロキシ監査ログ : webaudit.csv
ログ設定の構成
システムをデバッグしている場合、 AMC で、 Aventail サービスごとにメッセージログレベルを設定することができま
す。また、ログファイルを外部 syslog サーバーに送信するよう、アプライアンスを構成することもできます。
ログレベルの設定
AMC を使用して、それぞれのサービスごとにメッセージログの詳細レベルを指定することができます。メッセージログ
の詳細レベルを上げると、必要なディスク容量が増加するため、システムのパフォーマンスに大きく影響します。
X
ロギングレベルを設定するには
1.
メインナビゲーションメニューから [Logging] をクリックします。この操作により、 [View Logs] ページが表
示されます。
2.
[Configure Logging] タブをクリックします。
3.
[Web proxy] リストおよび [Network access] リストを使用して、監査ログで使用する適切なメッセージ詳
細レベルを選択します ([Network access] はネットワークトンネルサービスとネットワークプロキシサービス
の両方に対応する )。ログレベルは、詳細レベルが低い順に、 [Fatal]、 [Error]、 [Warning]、
[Info]、 [Verbose] になります。
たとえば、 [Info] ログレベルの場合、 [Error] レベルよりもログ情報が多くなります。
4.
[Save] をクリックします。
メモ
•
トラブルシューティングの場合、詳細ログレベルを最高にしておくと便利ですが、パフォーマンスへの影響が甚大
になる可能性があるため、通常の動作の場合は使用しない方が無難です。
130|第 7 章 - システム管理
syslog サーバーへのログファイルの送信
Aventail アプライアンスでは、システムログを syslog サーバーに送信することができます。また、すべてのシステム
イベントは、 syslog を構成するかどうかに関係なく、ローカルにロギングされます。ネットワークにログ情報が氾濫する
ような状況を避けるため、上位 3 段階の重大度レベル ([Warning]、 [Error]、 [Fatal]) のログメッセージのみ
が転送されます。
syslog プロトコルの詳細については、 RFC 3164 http://www.ietf.org/rfc/rfc3164.txt を参照してください。
X
syslog サーバーへログファイルを送信するには
1.
メインナビゲーションメニューから [Logging] をクリックします。この操作により、 [View Logs] ページが表
示されます。
2.
[Configure Logging] タブをクリックします。
3.
[Syslog configuration] エリアで、 1 つまたは複数の syslog サーバーに対する IP アドレスとポート番号
を入力します。 syslog-ng ポートには、デフォルトでポート 514/tcp が割り当てられますが、必要に応じて他
のポートを使用することもできます。
4.
[Save] をクリックします。
メモ
•
syslog データは暗号化されないため、ログメッセージを外部サーバーに送信する場合、セキュリティ上の問題が
常に存在することになります。
ログファイルのロケーション
次の表は、各ログファイルのアプライアンス内のロケーションを示しています。
Aventail サービス
ログファイル形式
ロケーション
ネットワークプロキシ / トンネル
サービス
syslog
/var/log/aventail/access_servers.log
SOCKS5LF
/var/log/aventail/extranet_access.log
Web プロキシサービス
syslog
/var/log/aventail/access_servers.log
W3C CLF
/var/log/aventail/extraweb_access.log
ASAP Management Console
(AMC)
syslog
/var/log/aventail/management.log
ASAP WorkPlace
syslog
/var/log/aventail/workplace.log
ログファイルのストレージ要件を抑えるために、ファイルがローテーションされます。次の表では、ログローテーション
プロセスについて説明しています。
頻度
手順
60 分おき
•
20MB 以上のログファイルがローテーションされます。
•
•
syslog ログファイルが強制的にローテーションされます。
/var/log のディスクの空き容量がチェックされます。空き容量が 25% を下
回る場合、空き容量が 25% になるまで古いログファイルから順に削除され
ます。
EX-750 インストールおよび管理ガイド | 131
頻度
手順
毎日
•
すべてのログファイルがローテーションされます。
•
7 日以上前のログファイルをすべて削除します。
1 日以上前のファイルは、非圧縮形式で保管されます。ログファイル名には、 1 から 7 までの数値が割り振られた接
尾辞が付けられます。こうすると、ログローテーションが毎日発生した場合、「7」の接尾辞が付くログファイルが最も
古くなります。例を示します。
•
extraweb_access.log が、 Web プロキシサービスの現在のログファイルです。
•
その場合、 extraweb_access.log1 から extraweb_access.log.7 が、それ以前のローテーションのログに
なります。
システムメッセージログ
システムメッセージログには、 Web プロキシサービス、ネットワークプロキシサービス、ネットワークトンネルサービ
スについてのサーバー処理情報および診断情報が記録されます。また、すべてのアクセス制御決定に関する詳細なメッ
セージも記述されます。つまり、ユーザーの要求がポリシールールと合致すると、そのときに実行された動作を示すロ
グファイルエントリが記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [System
message log] を選択します。
[View Logs] ページには、システムメッセージログファイルに含まれる情報が簡潔に表示されます。詳細について
は、この後に紹介する、フィールドについて説明した表を参照してください。
•
[Level] 列には、ログメッセージの詳細レベル ([Fatal]、 [Error]、 [Warning]、 [Info]、 [Verbose])
が表示されます。
•
[Time] 列には、サービスによってメッセージが生成された日付と時刻が表示されます。
•
[Source] 列には、メッセージを生成したサービス ([Network proxy]、 [Network Tunnel]、 [Web
proxy]、 [Policy] の各サーバー ) が表示されます。
•
[ID] 列には、それぞれのユーザーセッションに割り当てられた固有の ID 番号が表示されます。セッション ID
番号をクリックすると、同じセッション ID を共有するすべてのログメッセージが自動的に検索されます。セッション
ID 番号の詳細については、この後に紹介する、フィールドについて説明した表を参照してください。
•
[Message] 列には、実際のメッセージテキストが表示されます。
システムメッセージログ (/var/log/aventail/access_servers.log) は、 syslog 形式 (RFC 3164) で生成され、
これには、 Web プロキシサービス、ネットワークトンネルサービス、ネットワークプロキシサービス、ポリシーサー
バー ( 他のサービスのポリシーを制御する内部サービス ) のメッセージログが含まれます。
次に、メッセージログの一部を紹介します。
132|第 7 章 - システム管理
Nov 10 12:22:01 appliance logserver: [10/Nov/2003:12:22:01.132120 -0800] 016527
en 00000001 Verbose System
Acceptor: Socks Server is now Listening on
192.168.1.200:1081, fd=14.
フィールド
説明
例
syslog によって
生成されたデータの
識別
Nov 10 12:22:01
このデータは、 syslog によって生成され、ログサーバーから
syslog に送信されたときのタイムスタンプが付けられます。日付と時 appliance
logserver:
刻 (Nov 10 12:22:01)、 syslog に送信したホスト
(appliance)、 syslog に送信したプロセス (logserver) が記録
されます。
正確なタイム
スタンプ
このタイムスタンプは、サービス (Web プロキシ、ネットワークトン [10/Nov/2003:12
ネル、ネットワークプロキシ、ポリシー ) によってメッセージが生成さ :22:01.132120 0800]
れた日付と時刻を示します。 syslog が生成したタイムスタンプより
も、こちらのタイムスタンプの方が信頼できます。
サービスによって
生成されたデータの
識別
このデータは、メッセージの発信元を識別します。このメッセージ部
分は、次のコンポーネントで構成されます。
•
最初の数値 (016527) はプロセス ID (PID) で、メッセージを
生成したサーバープロセスを示します。
•
PID の次のコード ( この例では「en」 ) は、サーバーを示しま
す。コードは次のようになっています。
•
•
ps ( ポリシーサーバー )
•
ew (Web プロキシサービス )
•
en ( ネットワークプロキシサービス )
•
pt (ping/traceroute ツール )
•
nm ( ノードマネージャ )
•
ls ( ログサーバー )
•
ev ( ネットワークトンネルサービス )
•
kt ( カーネルトンネルコンポーネント )
•
us ( ネットワークトンネルユーザースペース SSL
デーモン )
•
ks (SSL デーモンとのネットワークトンネルカーネル
モードインタフェース )
•
up ( ネットワークトンネルポリシーサーバーデーモン )
•
kp ( ネットワークトンネルカーネルモードポリシー
サーバーインタフェース )
•
un ( 未知 )
次の数値 ( この例では「00000001」 ) は、セッション ID で
す。それぞれのユーザーセッションには、固有の番号が割り当
てられ、 4 つのサービス (Web プロキシ、ネットワークトンネル
/ プロキシ、ポリシー、 WorkPlace) のメッセージで使用されま
す。このため、単一のユーザーセッションに関連するすべての
メッセージを簡単に検索できるようになります。メッセージが特定
のユーザーセッションと関連していない場合、 00000010 未満
の値が割り当てられます。この ID の最初の数値は、元々どの
サービスがセッションを生成したか示すもので、次の値になりま
す。
•
0 ( ポリシーサービス )
•
•
1 (Web プロキシサービス )
2 ( ネットワークプロキシサービス )
•
3 (WorkPlace サービス )
•
セッション ID の次のテキストは、メッセージのレベルを示してい
ます ( この例では「Verbose」 )。
•
その次のテキストは、メッセージタイプを示しています ( この例で
は「System」 )。
016527 en
00000001
Verbose System
EX-750 インストールおよび管理ガイド | 133
フィールド
説明
例
メッセージテキスト
これらの識別情報の後に続くテキストが、実際のメッセージです。
Acceptor: Socks
Server is now
Listening on
192.168.1.200:1
081, fd=14.
アクセスポリシー決定のメッセージテキストの詳細については、 133
ページの「アクセスポリシー決定の監査」を参照してください。
アクセスポリシー決定の監査
システムメッセージログの主要な用途に、アクセスポリシー決定を監査することがあります。ユーザー要求がポリシー
ルールに合致するたびに、アプライアンスは、実行した動作に関するエントリをメッセージテキストフィールド ( メッセー
ジログの最後のフィールド ) に書き込みます。
アクセスポリシー決定のメッセージの例を次に示します。
Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339706 -0800] 021383 ps
f0005393 Info
CS ACL Matched C/S Rule #10 'Allow access to ALL!', User
'(tester)@(business partner)' connecting from '192.168.2.100:1234': Attempting
to access 'w5.example.com:80'
接続要求がルールに合致するたびに、 Info レベルでログメッセージが生成されます。ルールに合致しない要求は、
Verbose レベルでロギングされます ( ただしルールがまったく合致しなかった場合はその限りでない。このような場合は
Info レベルでロギングされる )。以上をまとめると、 1 回の接続要求によって、 (1 回のルールの合致に対し ) 1 つの
Info メッセージと、 ( 合致しない場合は ) 1 つまたは複数の Verbose メッセージが生成されます。
ポリシー決定の場合、ログメッセージのメッセージテキストフィールドには、次の情報が含まれます。
<Log Type> <Match> <Rule Identifier> <Username> <Details>
フィールド
説明
<Log Type>
評価されたアクセスポリシー :
•
「CS ACL」は、クライアント / サーバーアクセスポリシーを示します。
•
「EW ACL」は、 Web アクセスポリシーを示します。
•
「WP ACL」は、 WorkPlace アクセスポリシーを示します。
•
「NE ACL」は、ファイルシステムアクセスポリシー (ASAP WorkPlace の
[Network Explorer] タブからアクセスするファイル共有 ) を示します。
<Match>
ルール合致ステータス ( 「Matched」または「No Match」 )。
<Rule Identifier>
次で構成されるルール識別子。
<rule list name> <rule number> <rule description>
<Username>
要求を行ったユーザーの名前。アプライアンスが複数のレルムを使用する構成になってい
る場合、このユーザー名は、「(user)@(realm)」の形式で表示されます。
<Details>
•
ルールが合致した場合、このフィールドは空になります。
•
ルールが合致しなかった場合、次のいずれかのメッセージが表示されます。
•
Source Network is <network>
•
Date/time specification <time>
•
User <username> not in User/Group List.
•
Destination Network is <dest>
•
Virtual Host is <vhost>
•
Destination Services dest is <dest>
•
Command is <command>
•
UDPEncrypt is <true or false>
•
Key Length <length from the policy rule> requires a stronger
cipher
134|第 7 章 - システム管理
ルールがまったく合致しなかった場合は、一致ルールが見つからなかったことを示す、 Info レベルのメッセージが生
成されます。
例
次に、アクセス制御を監査するメッセージの例をいくつか示します。
例 1—Verbose レベル
Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.295719 -0800] 021383 ps
f0005393 Verbose CS ACL No Match C/S Rule #3 'User Sample', User '(tester)@(business
partner)' not in User/Group List
Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339266 -0800] 021383 ps
f0005393 Verbose CS ACL No Match C/S Rule #4 'Dest Sample', User '(tester)@(business
partner)', Destination Network is 'w5.scd.yahoo.com:80'
例 2— 成功の場合の Info レベル
Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339706 -0800] 021383 ps
f0005393 Info
CS ACL
Matched
C/S Rule #10 'Allow access to ALL!', User
'(tester)@(business partner)' connecting from '216.239.51.100:1234': Attempting to
access 'w5.scd.yahoo.com:80'.
例 3— 失敗の場合の Info レベル
Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339706 -0800] 021383 ps
f0005393 Info
CS ACL No Match C/S Unable to find any rule that matched user
'(tester)@(business partner)' connecting from '216.239.51.100:1234': Attempting to
access 'w5.scd.yahoo.com:80'.
ログのクライアント証明書エラーの表示
アプライアンスが証明書チェーンを確認できない場合、 Web およびクライアント / サーバーメッセージログファイルに
次のようなメッセージが表示されます。
ps 10000006 Info Module CERT: Certificate
error:0000000A:lib(0):func(0):DSA lib
validation
status
0,
error
is
10:
このメッセージには、証明書チェックが失敗した理由を示すエラーコード ( この場合「10」 ) が記述されます。エラー
コードには、次のようなものがあります。
エラーメッセージ
説明
2 Unable to get issuer certificate
発行者側の証明書が見つかりませんでした。これは、信
頼されていない証明書の発行者側の証明書が見つからな
い場合に発生します。
7 Certificate signature failure
証明書の署名が不正です。
9 Certificate is not yet valid
証明書がまだ有効になっていません。
10 Certificate has expired
証明書の有効期限が切れています。
18 Self signed certificate
渡された証明書が自己署名証明書で、同じ証明書が、信
頼できる証明書のリストに見つかりません。
19 Self signed certificate in certificate
chain
証明書チェーンが、信頼されていない証明書を使用して構
成されている可能性がありますが、ルートがローカルで見
つかりません。
20 Unable to get local issuer certificate
ローカルに検出された証明書の発行者側の証明書が見つ
かりませんでした。これは通常、信頼できる証明書のリス
トが完全でないことを示しています。
21 Unable to verify the first certificate
チェーンに証明書が 1 つしかなく、しかも自己署名証明書
でないため、署名を確認できませんでした。
22 Certificate chain too long
証明書チェーンの長さが、指定されている最大深度よりも
大きくなっています。
EX-750 インストールおよび管理ガイド | 135
エラーメッセージ
説明
23 Certificate revoked
証明書が無効になっています。
24 Invalid CA certificate
CA 証明書が不正です。 CA 証明書でないか、そのエク
ステンションが、指定された目的と矛盾しているかのいず
れかです。
ネットワークプロキシ / トンネル監査ログ
ネットワークプロキシ / トンネル監査ログには、ネットワークにアクセスしたユーザーのリストや転送されたデータの量など、
ネットワークトンネルサービスおよびネットワークプロキシサービスの場合の、接続活動に関する詳細な情報が記録さ
れます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [Network proxy/tunnel audit
log] を選択します。
[View Logs] ページには、ネットワークプロキシ / トンネル監査ログファイルに含まれる情報が簡潔に表示されます。
詳細については、この後に紹介する、フィールドについて説明した表を参照してください。
•
[Status] 列には、それぞれの接続要求に対する、色分けされた接続ステータスが表示されます。 Error コード
は赤、 Info コードはオレンジ色、 Success コードは緑でそれぞれ表示されます。カーソルを特定のログメッセー
ジの接続ステータスコードの上に置くと、メッセージの下に説明テキストが表示されます。
•
[Time] 列には、接続の日付と時刻が表示されます。
•
[Source IP] 列には、ネットワークプロキシまたはトンネルサービスにアクセスするコンピュータの IP アドレスと
ポート番号が表示されます。
•
[Destination IP] 列には、アクセスされるリソースの IP アドレスとポート番号が表示されます。
•
[Bytes] 列には、送信されたバイト数、受信されたバイト数、接続期間 ( 秒単位 ) が表示されます。
•
[Username] 列には、リソースにアクセスしているユーザーが表示されます。 [Username] リンクをクリックす
ると、特定のユーザーに対するすべてのログメッセージが検索されます。
メッセージは、 Aventail SOCKS5LF 形式でディスクの /var/log/aventail/extranet_access.log ファイルに保管
されます。次の例は、ネットワークプロキシ / トンネルサービスの監査ログファイルの一部です。
12.230.158.210:1110 ssl:LDAP “fred figment” “13/Sep/2002:19:18:28 -0700” v5
connect 192.168.136.254:22 0 21722 60631 263
136|第 7 章 - システム管理
このログエントリには、 ( スペースで区切られた状態で ) 次のフィールドが含まれています。
フィールド
説明
例
接続元 IP
ネットワークトンネルまたはネットワークプロキシサービスに
アクセスしているコンピュータの IP アドレスおよびポート番
号。
12.230.158.210:1110
認証
使用されている認証方式 ( 「ssl:LDAP」、「ssl:Radius」、 ssl:LDAP
「none」 )。
“ ユーザー名 ”
リソースにアクセスするユーザーとそのレルムを
"username@realm" 形式で表現したもの。
“ 日付 / 時刻 ”
接続の日付 ( 日 / 月 / 年形式 ) および時刻 (24 時間表示の “13/Sep/2002:19:18:28 0700”
時間、分、秒、ミリ秒形式 )。
バージョン
ネットワークプロキシまたはネットワークトンネルのバージョ
ン。
v5 ( ネットワークプロキシ )
実行されるコマンドのタイプ。
ネットワークプロキシサービスの場合、「bind」、
「connect」、「udp」、「traceroute」、「ping」、
「none」。
ネットワークトンネルサービスの場合、「tunnel」、
「flow:tcp」、「flow:udp」、「flow:icmp」。
connect ( ネットワークプロキ
シ)
接続先 IP
アクセスされるリソースの IP アドレスおよびポート番号。
192.168.136.254:22
接続ステータス
接続のステータス。
0
コマンド
•
「0」の場合正常です。
•
256 未満の値は、クライアントに送信された一般障害
コードを示します。
•
256 を超える値は、内部デバッグコードを示します。
“fred figment”
ev ( ネットワークトンネル )
tunnel ( ネットワークトンネル
)
さまざまなステータスコードの詳細については、 137 ページ
の「接続ステータスメッセージの監査」を参照してください。
受信バイト数
受信したバイト数。
21722
送信バイト数
送信したバイト数。
60631
接続期間
接続期間 ( 秒単位 )。
263
EX-750 インストールおよび管理ガイド | 137
接続ステータスメッセージの監査
接続ステータスコード ( ネットワークプロキシ / トンネル監査ログの 4 番目以降のフィールドに表示。詳細については、
135 ページの「ネットワークプロキシ / トンネル監査ログ」を参照 ) は、クライアント / サーバー接続の問題をデバッグ
する場合に使用すると便利です。次の表では、それぞれのコードを示しています。
接続ステータスコード
説明
0
接続の試行が成功しました。
256 未満の値
256 未満の値は、クライアントに送信された一般障害コードを示します。
256 を超える値
•
1 = 一般サーバー障害。
•
2 = ルールセットによって接続が許可されていない。
•
3 = ネットワークに到達できない。
•
4 = ホストに到達できない。
•
5 = 接続が拒否された。
•
6 = TTL 有効期限切れ。
•
7 = コマンドがサポートされていない。
•
8 = アドレスタイプがサポートされていない。
•
9 = 不正なアドレス。
•
10 = アドレスを解決できない。
256 を超える値は、内部デバッグコードを示します。
•
•
257 = 認証方式がない。
258 = 認証の失敗 ( たとえばエンドユーザーが不正なユーザー名 /
パスワードを入力した )。
•
259 = 認証入出力の失敗。
•
260 = 認証静止の失敗。
•
261 = クライアント接続の喪失。
•
262 = モジュールをロードできない。
•
263 = 権限がない ( たとえばポリシーによりアクセスが拒否され
た )。
•
264 = 暗号の障害。
•
265 = 未知の障害。
例
エンドユーザーが不正なユーザー名 / パスワードを入力した場合、エラー番号 258 がログに記録されます。
192.168.2.69:3127 ssl "testing" "26/Feb/2004:21:31:51.947 +0000" v5 none -:258 385 0 14
アプライアンスで RADIUS のシークレットが不正に構成されている場合、ユーザー接続要求が発生すると、エラー番号
259 がログに記録されます。
192.168.2.69:3127 ssl "testing" "26/Feb/2004:21:31:51.947 +0000" v5 none -:259 385 0 1
138|第 7 章 - システム管理
Web プロキシ監査ログ
Web プロキシ監査ログには、ネットワークにアクセスしたユーザーのリストや転送されたデータの量など、接続活動に関
する詳細な情報が記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [Web proxy
audit log] を選択します。
[View Logs] ページには、 Web プロキシ監査ログファイルに含まれる情報が簡潔に表示されます。詳細について
は、この後に紹介する、フィールドについて説明した表を参照してください。
•
[Status] 列には、それぞれの HTTP 要求に対する、色分けされた戻りコードが表示されます。カーソルを特定
のログメッセージの HTTP 戻りコード番号の上に置くと、メッセージの下に、それぞれのコードに対応する説明テ
キストが、「server error」 (500、赤 )、「client error」 (400、オレンジ )、「redirection」 (300、緑 )、
「success」 (200、緑 ) のように表示されます。
•
[Time] 列には、要求の処理が終わった日付と時刻が表示されます。
•
[Source IP] 列には、 Web プロキシサービスにアクセスするコンピュータの IP アドレスが表示されます。
•
[Bytes] 列には、応答の本文で送信されたバイト数が表示されます。ただし HTTP ヘッダは除外されます。
•
[Username] 列には、 Web プロキシサービスで認証されているユーザーが表示されます。 [Username] リ
ンクをクリックすると、特定のユーザーに対するすべてのログメッセージが検索されます。
•
[Request] 列には、 HTTP 要求の 1 行目が表示されます。これには HTTP コマンド (GET や POST など
)、要求されたリソース、 HTTP バージョン番号などが含まれます。
/var/log/aventail/extraweb_access.log ファイルメッセージは、 World Wide Web Consortium (W3C) の
Common Log Format (CLF) で保管されます。 CLF ログの詳細については、
http://httpd.apache.org/docs/logs.html を参照してください。次の例は、ログメッセージのサンプルです。
10.0.0.4
uid=jsmith,ou=mycompany,ou=people,o=mycompany.com
[16/Apr/2003:21:36:37 +0000] “GET /alias1/foo.gif HTTP/1.1” 304 0
EX-750 インストールおよび管理ガイド | 139
このログエントリには、 ( スペースで区切られた状態で ) 次のフィールドが含まれています。
フィールド
説明
例
接続元 IP
Web プロキシサービスにアクセスしているコンピュータの IP アド 10.0.0.4
レス (NAT が使用されている場合、このフィールドにはトランス
レーテッドアドレスが入る )。
ID
このフィールドは、 Web プロキシサービスでは使用されず、ハイフンが常に入ります。
ユーザー名
Web プロキシサービスで認証されているユーザーが表示されま jsmith
す。
•
LDAP および Active Directory ユーザー名は、 DN で表
示されます。他のユーザー名は CN で表示されます。
•
アプライアンスで複数のレルムが定義されている場合、こ
のフィールドには「Username@realm」の形式で表示さ
れます。
•
ユーザーが認証されていない場合、または (ASAP
WorkPlace ログインページなど ) 認証の不要なコンテンツ
にアクセスしている場合、このフィールドにはハイフン (
「-」 ) が入ります。
•
認証が使用されていない場合 ( つまり AMC の
[Authentication] ページにある [Active
Configuration] フィールドで「None」が設定されてい
る場合 )、このフィールドには「anonymous-user」が入
ります。
日付 / 時刻
( 要求が行われた時刻ではなく ) 要求が完了した日付と時刻。
[16/Apr/2003:21:36:38
+0000]
“ 要求 ”
HTTP 要求の 1 行目が入ります。これには HTTP コマンド
(GET や POST など )、要求されたリソース、 HTTP バージョ
ン番号などが含まれます。
“GET /alias2/bar.jpg
HTTP/1.1”
HTTP 戻りコード
サーバーが応答したときの戻りコード。
200
•
「2xx」コードは、要求が成功したことを示しています。
•
「3xx」コードは、ある種のリダイレクションまたはキャッ
シュされた応答を示しています。
•
「4xx」コードは、 ( リソースが見つからない、要求が許可
されないなどの ) エラーを示しています。
•
「5xx」コードは、サーバーエラーを示しています。
これらのコードの詳細については、
http://www.ietf.org/rfc/rfc2616.txt を参照してください。
送信バイト
応答の本文で送信されたバイト数 (HTTP ヘッダのサイズは除外 )。 140
例
•
認証の試行が失敗した場合 ( たとえばユーザーが不正なユーザー名やパスワードを入力したなど )、ログには、戻
りコード 200 が付いた単一のメッセージが記録されます ( 「OK」の意味。クライアントの要求が理解されたことを
示す )。メッセージに記述されている接続元 IP アドレスは、要求を出したユーザーを識別するための唯一の手段
になります。
192.168.2.69 - - [26/Feb/2004:21:43:30 +0000] "POST /__extraweb__authen
HTTP/1.1" 200 3610
認証が成功した場合も同様のメッセージが記録されますが、戻りコードが 302 になります ( 「検出」の意味 )。エ
ンドユーザーの認証クレデンシャルと戻りコード「200」を含む他のメッセージがその後に続きます。
192.168.2.69 - - [26/Feb/2004:21:44:25 +0000] "POST /__extraweb__authen
HTTP/1.1" 302 206
140|第 7 章 - システム管理
192.168.2.69 - (jsmith)@(AD) [26/Feb/2004:21:44:25 +0000] "GET
/workplace/access/home HTTP/1.1" 200 15424
•
エンドユーザーが正しく認証されたにもかかわらず、アクセスルールによって Web リソースへのアクセスが拒否さ
れた場合、戻りコード「403」 ( 「禁止」の意味 ) を含むメッセージが記録されます。
192.168.2.69 - (jsmith)@(AD) [26/Feb/2004:21:52:25 +0000] "GET /dukes
HTTP/1.1" 403 3358
•
エンドユーザーが正しく認証され、 URL へのアクセスが許可された場合、認証の失敗の場合と同様のメッセージ
が記録されます ( この場合も戻りコード「200」が記述される )。ただしこの場合は、ユーザーのクレデンシャル
が含まれます。
192.168.2.69 - (jdoe)@(AD) [26/Feb/2004:21:51:03 +0000] "GET /dukes
HTTP/1.1" 200 262
アプライアンスの監視
この節では、システムステータスとアクティブユーザーを監視する方法や、選択したユーザーに対するすべての VPN
接続を一時的に停止する方法について説明します。
AMC では、基本システム設定、ディスクおよびメモリ使用量、現在の接続、ネットワーク帯域幅利用などを監視する
上で役に立つさまざまな情報が表示されます。
全体の活動とシステムステータスの監視
AMC では、システムステータスを監視する上で役に立つさまざまな情報が表示されます。 AMC の [Home] ページ
では、現在のアクティブユーザー数、ネットワーク帯域幅、ディスク使用量、 CPU 利用度などがグラフィカルに表示さ
れます。
このようなグラフは、最新 1 時間分の活動に対する平均利用を表すものです。
AMC の [Home] ページの [System Status] 画面で [Details] をクリックすると、詳細なステータス情報を表示
する [System Status] ページが表示されます。このページで表示されるデータのタイプは、カスタマイズできるよう
になっています。
EX-750 インストールおよび管理ガイド | 141
X
システムステータスを監視するには
1.
メインナビゲーションメニューから [System Status] をクリックします。この操作により、 [System
Status] ページが現れ、アプライアンスの現在のステータスに関する情報が表示されます。
2.
[Show] ボックスには、表示するデータのタイプや時間間隔が示されます。
•
•
[Active users] : 指定された時間間隔におけるアクティブユーザーセッションの数を表示します。表示さ
れるグラフでは、水平軸が、ライセンスで許可されている同時ユーザーの最大数を示します。
[CPU utilization] : 指定された時間間隔における CPU 利用率を表示します。
•
[Memory utilization] : 指定された時間間隔におけるメモリ利用率を表示します。
•
[Network bandwidth] : 指定された時間間隔におけるネットワーク帯域幅を Mbps 単位で表示しま
す。内部インタフェースと外部インタフェースの両方が有効な場合、グラフでは、内部インタフェースの
データが緑の線、外部インタフェースのデータが青の線で表されます。このグラフのスケールは、トラフィッ
クの量に応じて自動的に調整されます ( たとえば、トラフィック量に応じて 1Mbps または 100Mbps のス
ケールが使用される )。
•
[Swap utilization] : 指定された時間間隔における空きスワップ容量を表示します。
•
[Hourly] : 20 秒ごとに収集されたサンプルに基づく最新 1 時間分の平均活動を表示します。
•
•
[Daily] : 10 分ごとに収集されたサンプルに基づく最新 1 日分の平均活動を表示します。
[Weekly] : 60 分ごとに収集されたサンプルに基づく最新 1 週間分の平均活動を表示します。
3.
[Auto-refresh] ボックスでは、選択しているデータの表示が自動的に更新される頻度を選択します。自動更
新機能をオフにするときは [Off] をクリックします。ただし、自動更新機能を有効にすると、現在の AMC セッ
ションがタイムアウトしなくなります。
4.
オプションとして、 [Also show] ボックスで、他のタイプのデータを別のグラフで表示するよう指定することがで
きます。これは、一定の時間間隔に対する 2 種類のデータを比較する場合に使用すると便利です。
5.
ページを随時更新するときは [Refresh] をクリックします。
142|第 7 章 - システム管理
アクティブユーザーの監視
一定期間のアクティブユーザーセッションの総数を表示できる他、選択したユーザーに対するすべての接続を一時的
に停止することもできます。この節では、アクティブユーザーセッションを表示する方法、アクティブユーザーセッショ
ンを検索する方法、アクティブユーザーセッションを一時的に停止する方法について説明します。
アクティブユーザーの表示
現在アクティブなユーザーセッションを表示することができます。アクティブユーザーセッションのリストは、ユーザー
名、レルム名、セッション開始時間でソートすることができます。
X
すべてのアクティブユーザーセッションを表示するには
1.
メインナビゲーションメニューから [Active Users] をクリックします。この操作により、 [Active Users]
ページが表示されます。
2.
3.
アクティブユーザーセッションのデータを確認します。
•
[Current active users] フィールドには、アクティブユーザーセッションの総数が表示されます。
•
[Username] 列には、個別のユーザーの名前がアクティブセッションとあわせて表示されます。
•
[Realm] 列には、ユーザーが所属するレルムの名前が表示されます。
•
[Session start time] 列には、セッションが開始した時刻が表示されます。
デフォルトの場合、アクティブユーザーセッションリストは、ユーザー名でソートされます。リストを他の方法で
ソートするときは、それぞれの列の一番上にある [Username]、 [Realm]、 [Session start time] をク
リックします。
アクティブユーザーの検索
現在のユーザーセッションのリスト内をユーザー名で検索することができます。
X
アクティブユーザーセッションを検索するには
1.
メインナビゲーションメニューから [Active Users] をクリックします。この操作により、 [Active Users]
ページが表示されます。
2.
[Search for] ボックスに、ユーザー名のすべてまたは一部を入力します。ワイルドカード文字 ( 「*」 ) は、
検索文字列のどの部分にも使用することができます。たとえば、「j」で始まるグループ名を検索する場合は、
「j*」と入力します。また、「Mary」または「Marty」という名前のユーザー ( ただし「Max」は除外 ) を検索
するときは、「M*y」と入力することができます。
3.
各ページで返される結果の数を、 [Show] ボックスで指定することができます。デフォルトは「200」です ( こ
のフィールドは、たとえば同時ユーザー数の制限を超え、最も古い 10 の接続を停止したい場合などに使用する
と便利である。たとえば最初に [Session start time] でユーザーセッションリストをソートする。次に
[Show] ボックスに「10」と入力し、検索結果が返されたら、 [Select all] チェックボックスをクリックしてから
[End session] をクリックする )。
4.
[Search] をクリックします。
EX-750 インストールおよび管理ガイド | 143
アクティブユーザーセッションリストが更新され、検索基準に合致するユーザーのみが表示されます。
アクティブユーザーセッションの停止
ユーザーのセッションは、そのユーザーのアクティブな接続が、異なるサービスに複数ある場合でも、即座に停止する
ことができます。アクティブユーザーセッションを停止すると、そのユーザーのネットワークアクセスが 10 分間だけ一
時的に無効になります。アクセスポリシーが許せば、所定の時間後、そのユーザーは再度ネットワークにログインする
ことができます。あるユーザーを永続的に VPN にログインできなくする場合、該当するアクセス制御ルールを修正し、
適切なユーザーおよびグループ定義を修正または削除して、そのユーザーをユーザーディレクトリから削除します。
X
アクティブユーザーセッションを一時的に停止するには
1.
メインナビゲーションメニューから [Active Users] をクリックします。この操作により、 [Active Users]
ページが表示されます。
2.
アクティブユーザーセッションのリストから、アクセスを一時的に停止するユーザー (1 人または複数 ) を見つけ
出します。また、特定のユーザーを検索することもできます。
3.
アクセスを停止したいユーザーの横にあるチェックボックスを選択して、 [End session] をクリックします。リスト
上部の [Select all] チェックボックスを選択すると、リスト内のすべてのユーザーを選択することができます。こ
の方法を使用すると、アプライアンスサービスを停止するのと同様の方法で、すべてのアクティブユーザーセッ
ションを停止することができます。
SNMP の構成
Hewlett-Packard OpenView や IBM Tivoli などの Simple Network Management Protocol (SNMP) ツー
ルがある場合、これらのツールを使用することにより、アプライアンスを SNMP エージェントとして監視することができま
す。このアプライアンスでは、 SNMP バージョン 1.2c および 3 をサポートしており、さまざまな管理データを
Management Information Base (MIB) II 形式で提供します。
SNMP の構成方法
この節では、 AMC を使用して SNMP を構成する方法について説明します。
X
SNMP を構成するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [SNMP Settings] ペー
ジが表示されます。
2.
[Network Services] エリアの [SNMP Configuration] をクリックします。
3.
[Enable SNMP] チェックボックスを選択して、 SNMP を有効にします ( ただし、 [OK] をクリックしないまま、
SNMP ホストを構成するためにこのページを離れた場合、この設定のステータスは保存されない )。
4.
[Interface selection] リストから適切なオプション ([Internal]、 [External]、 [Both]) を選択して、
SNMP で使用するネットワークインタフェースを選択します。
5.
[Agent properties] エリアで、アプライアンスを識別します。
•
ネットワーク管理ツールが Aventail アプライアンスに照会するときに使用する文字列を [Community
string] ボックスに入力します。このフィールドは必須で、デフォルトでは「public」に設定されます。
「public」は安全ではないため、セキュリティを向上させるための習慣として、コミュニティ文字列に安全な
パスフレーズを設定するようにします。
144|第 7 章 - システム管理
•
6.
7.
[System location] ボックスと [System contact] ボックスにアプライアンスエージェントを記述しま
す。たとえば、アプライアンスの物理ロケーション ( 「Floor 2 - server lab」など ) やシステム管理者の連
絡先 ( 「Jim Jamerson, 206-555-1212」など ) を指定することができます。
SNMP 要求を許可する管理システムを定義します。
a.
[SNMP hosts] エリアで [Add] をクリックします。この操作により、 [Add/Edit Allowed Hosts]
ページが表示されます。
b.
[IP address] と [Subnet mask] に、ホストの IP アドレスおよびサブネットマスクをそれぞれ
入力します。
[Save] をクリックします。
メモ
•
SNMP マネージャの他、アプライアンスが使用する Management Information Base (MIB) を構成しなけれ
ばなりません。このアプライアンスでは、 UCD (University of California, Davis) MIB および MIB II のバー
ジョン 4.2.3 をサポートしています。
また SNMP マネージャでは、アプライアンスの照会の際に必要になるコミュニティ文字列も構成しなければなりませ
ん。
•
内部ファイアウォールは、ポート 161/udp トラフィックを許可するよう構成しなければなりません。
Aventail MIB ファイルのダウンロード
AMC では、 Aventail MIB ファイルをダウンロードすることができます。このファイルは、 Aventail VPN 固有のデー
タを、すでにサポートされている MIB に追加するものです。Aventail MIB で提供される情報の詳細については、 146
ページの「Aventail MIB データ」を参照してください。
X
Aventail MIB をダウンロードするには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Network Services] エリアの [Simple Network Management Protocol (SNMP)] をクリッ
クします。この操作により、 [Configure SNMP] ページが表示されます。
3.
[Download Aventail MIB] ボタンをクリックします。この操作により、ファイルダウンロードメッセージが表
示されます。
4.
[Save] をクリックして、正しいディレクトリをブラウズします。ここで設定したディレクトリに
aventailCustomMibs.tar ファイルが保存されます。
EX-750 インストールおよび管理ガイド | 145
SNMP を使用した管理データの取得
SNMP データは、標準化された階層構造に編成され、それを構成する構造化テキストファイルに、価値のある管理
データが記述されています。これらのテキストファイル (MIB と呼ばれる ) には、システム情報やステータスなどの固有
のデータ変数が記述されています。
SNMP を介して情報を取得する場合、システムで「オブジェクト識別子」 (OID) を照会します。それぞれの OID に
は、テキスト名も含まれていますが、通常は番号で参照されます。たとえば、システムアップタイム (sysUpTime)
は 1.3.6.1.2.1.1.3 になります。
SNMP 管理パッケージがない場合は、アプライアンスに接続して「root」としてログインし snmpwalk または
snmpget コマンドを実行することによって、 SNMP データを取得することができます。たとえば、ディスク容量につい
ての情報を取得する場合、次の snmpwalk コマンドを入力することで、 OID 1.3.6.1.4.1.2021.9 を照会します。
snmpwalk -v 1 localhost -c public 1.3.6.1.4.1.2021.9
すべての MIB 変数のリストを表示するときは、次のコマンドを入力します。
snmpwalk -v 1 -O n localhost -c public |more
このコマンドにより、次のようなリストが表示されます。
.1.3.6.1.2.1.1.1.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50
PDT 2003 i686
.1.3.6.1.2.1.1.2.0 = OID: .1.3.6.1.4.1.2021.250.10
.1.3.6.1.2.1.1.3.0 = Timeticks: (1707979) 4:44:39.79
.1.3.6.1.2.1.1.4.0 = Root < root@localhost> (configure
/etc/snmp/snmp.local.conf)
.1.3.6.1.2.1.1.5.0 = aventailvpn
.1.3.6.1.2.1.1.6.0 = Unknown (configure /etc/snmp/snmp.local.conf)
.1.3.6.1.2.1.1.8.0 = Timeticks: (7) 0:00:00.07
.1.3.6.1.2.1.1.9.1.2.1 = OID: .1.3.6.1.2.1.31
..
すべての MIB 名のリストを表示するとき (snmpget コマンドを使用するときに便利 ) は、次のコマンドを入力します。
snmpwalk -O S localhost -c public |more
このコマンドにより、次のようなリストが表示されます。
SNMPv2-MIB::sysDescr.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10
14:35:50 PDT 2003 i686
SNMPv2-MIB::sysObjectID.0 = OID : SNMPv2-SMI::enterprises.2021.250.10
SNMPv2-MIB::sysUpTime.0 = Timeticks: (1712451) 4:45:24.51
SNMPv2-MIB::sysContact.0 = Root (configure /etc/snmp/snmp.local.conf)
SNMPv2-MIB::sysName.0 = aventailvpn
SNMPv2-MIB::sysLocation.0 = Unknown (configure /etc/snmp/snmp.local.conf)
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (7) 0:00:00.07
SNMPv2-MIB::sysORID.1 = OID: IF-MIB::ifMIB
..
メモ
•
UCD MIB SNMP エージェントの詳細については、 http://www.ece.ucdavis.edu/ucd-snmp/ を参照して
ください。
•
MIB II の詳細 (MIB II 変数名の説明も含まれる ) については、http://www.ietf.org/rfc/rfc1213.txt を参
照してください。
146|第 7 章 - システム管理
Aventail MIB データ
Aventail MIB モジュールは、 Aventail VPN に関する次の情報を提供する、オブジェクト識別子 (OID) を参照しま
す。
•
システム情報
•
システム健全性
•
サービス健全性
•
サービス履歴
•
セキュリティ履歴
•
ネットワークトンネルサービス
システム情報モジュール
Aventail のシステム情報モジュールの OID では、アプライアンスに関する基本情報が提供されます。
項目
OID
説明
ASAP バージョン
1.3.6.1.4.1.4331.1.1.0
このノード上で動作する ASAP のバージョンで、
major.minor.micro-patch-build の形式 ( たとえ
ば「8.0.0-64」 ) になります。
ハードウェアモデル
1.3.6.1.4.1.4331.1.2.0
アプライアンスのモデル番号で、「EX-750」または
「EX-1500」になります。
システム健全性モジュール
Aventail のシステム健全性モジュールの OID では、アプライアンスの動作ステータスに関する情報が提供されます。
項目
OID
説明
現在のログイン
1.3.6.1.4.1.4331.2.1.1.0
現在認証されているユーザーの数。
ピークログイン
1.3.6.1.4.1.4331.2.1.2.0
前回のリセット以降、アプライアンスに同時にログイン
したユーザーの最大数。リセット間隔は 24 時間で
す。
最大ライセンス
ユーザー
1.3.6.1.4.1.4331.2.1.3.0
このアプライアンスでライセンスされている同時ユー
ザーの最大数。
現在の接続
1.3.6.1.4.1.4331.2.2.1.0
Aventail ネットワークトンネル、ネットワークプ
ロキシ、 Web プロキシサービスで提供される同時
接続の数。
ピーク接続
1.3.6.1.4.1.4331.2.2.2.0
前回のリセット以降、アプライアンスに同時に接続した
ユーザーの最大数。リセット間隔は 24 時間です。
CPU 利用
1.3.6.1.4.1.4331.2.3.0
単一のアプライアンスノードでの、 CPU 全体に占める
現在の CPU の利用率。
RAM 利用
1.3.6.1.4.1.4331.2.4.1.0
現在の仮想メモリ (RAM) の利用率。
スワップ利用
1.3.6.1.4.1.4331.2.4.2.0
現在の仮想メモリ ( スワップ ) の利用率。
内部インタフェースの
現在のスループット
1.3.6.1.4.1.4331.2.5.1.0
前回のリセット以降、ノードの内部インタフェースで計
測された、現在の VPN スループット ( 秒あたりのメガ
ビット単位 )。リセット間隔は 24 時間です。
内部インタフェースの
ピークスループット
1.3.6.1.4.1.4331.2.5.2.0
前回のリセット以降の、ピーク VPN 内部インタフェー
ススループット ( 秒あたりのメガビット単位 )。リセット
間隔は 24 時間です。
外部インタフェースの
現在のスループット
1.3.6.1.4.1.4331.2.5.3.0
前回のリセット以降、ノードの外部インタフェースで計
測された、現在の VPN スループット ( 秒あたりのメガ
ビット単位 )。リセット間隔は 24 時間です。
EX-750 インストールおよび管理ガイド | 147
項目
OID
説明
外部インタフェースの
ピークスループット
1.3.6.1.4.1.4331.2.5.4.0
前回のリセット以降の、ピーク VPN 外部インタフェー
ススループット ( 秒あたりのメガビット単位 )。
リセット間隔は 24 時間です。
ログ利用率
1.3.6.1.4.1.4331.2.9.0
使用済みのログファイルディスクパーティション
の割合。
サービス健全性
Aventail のサービス健全性モジュールの OID では、アプライアンスで動作する各サービスのステータスに関する情報
が提供されます。 MIB では、それぞれのサービスごとに、サービス ID、サービスの記述、サービスの状態 ( 「アッ
プ」または「ダウン」 ) について通知します。
項目
OID
説明
サービス ID
1.3.6.1.4.1.4331.3.1.1.1.0
Aventail ASAP Management Console のサービス
ID 番号は「0」です。
1.3.6.1.4.1.4331.3.1.1.1.1
Aventail ネットワークプロキシサービスのサービス
ID 番号は「1」です。
1.3.6.1.4.1.4331.3.1.1.1.2
Aventail Web プロキシサービスのサービス ID 番号
は「2」です。
1.3.6.1.4.1.4331.3.1.1.1.3
ASAP WorkPlace のサービス ID 番号は「3」です。
サービスの記述
サービスの状態
1.3.6.1.4.1.4331.3.1.1.2.0
Aventail ASAP Management Console。
1.3.6.1.4.1.4331.3.1.1.2.1
Aventail ネットワークプロキシサービス。
1.3.6.1.4.1.4331.3.1.1.2.2
Aventail Web プロキシサービス。
1.3.6.1.4.1.4331.3.1.1.2.3
Aventail ASAP WorkPlace。
1.3.6.1.4.1.4331.3.1.1.3.0
AMC の現在の状態 : 1 = アップおよび 0 = ダウン。
1.3.6.1.4.1.4331.3.1.1.3.1
Aventail ネットワークプロキシサービスの現在の状
態 : 1 = アップおよび 0 = ダウン。
1.3.6.1.4.1.4331.3.1.1.3.2
Aventail Web プロキシサービスの現在の状態 :
1 = アップおよび 0 = ダウン。
1.3.6.1.4.1.4331.3.1.1.3.3
Aventail ASAP WorkPlace の現在の状態 :
1 = アップおよび 0 = ダウン。
148|第 7 章 - システム管理
セキュリティ履歴モジュール
Aventail のセキュリティ履歴モジュールの OID では、ログインおよびアクセス拒否に関する情報が提供されます。
項目
OID
説明
ログイン拒否の回数
1.3.6.1.4.1.4331.4.1.0
前回のリセット以降の、ログイン拒否の回数。
リセット間隔は 24 時間です。
前回ログインが拒否
されたユーザー
1.3.6.1.4.1.4331.4.2.1.0
前回認証が拒否されたユーザー。「user@realm」
の形式になります。
前回ログインが拒否
された時刻
1.3.6.1.4.1.4331.4.2.2.0
前回ユーザーの認証が拒否された日付と時刻。
アクセス拒否の回数
1.3.6.1.4.1.4331.4.3.0
前回のリセット以降の、アクセス拒否の回数。
リセット間隔は 24 時間です。
前回アクセスが拒否
されたユーザー
1.3.6.1.4.1.4331.4.4.1.0
前回アクセスが拒否されたユーザー。
「user@realm」の形式になります。
前回アクセスが拒否
されたリソース
1.3.6.1.4.1.4331.4.4.2.0
前回アクセスが拒否されたリソースの URL。
前回アクセスが拒否
された時刻
1.3.6.1.4.1.4331.4.4.3.0
前回ユーザーのアクセスが拒否された日付と時刻。
ネットワークトンネルサービスモジュール
Aventail の NG サーバーモジュールの OID では、ネットワークトンネルサービスのステータスに関する情報が提供
されます。
項目
OID
説明
NG サーバーの状態
1.3.6.1.4.1.4331.5.1.0
ネットワークトンネルサービスの現在の状態 :
「Active」、「Down」、「Crashed」のいずれか。
クライアントアドレス
プールの数
1.3.6.1.4.1.4331.5.2.0
ネットワークトンネルサービスに割り当てられているクラ
イアントアドレスプールの数。
クライアントアドレス
プール範囲テーブル
1.3.6.1.4.1.4331.5.3.0
現在アクティブな IP アドレスプールの数とその IP アドレ
ス範囲を示すテーブル。
クライアントアドレス
プールエントリ
1.3.6.1.4.1.4331.5.3.1
現在アクティブな IP アドレスプールの数。
クライアントアドレス
プール ID
1.3.6.1.4.1.4331.5.3.1.1
IP アドレスプールに割り当てられている ID 番号。
クライアントアドレス
プール利用率
1.3.6.1.4.1.4331.5.3.1.2
クライアントアドレスプールから発行されている仮想 IP
アドレス (VIP) の割合。
クライアント IP アド
レスプール開始範囲
1.3.6.1.4.1.4331.5.3.1.3
クライアント IP アドレスプール範囲の最初の IP アドレ
ス。
クライアントアドレス
プール終了範囲
1.3.6.1.4.1.4331.5.3.1.4
クライアント IP アドレスプール範囲の最後の IP アドレ
ス。
NG SLL トンネルの数 1.3.6.1.4.1.4331.5.4.0
アクティブネットワークトンネルの総数。
SSL トンネルテーブル 1.3.6.1.4.1.4331.5.5.0
ネットワークトンネル統計を示すテーブル。
1.3.6.1.4.1.4331.5.5.1.1
ネットワークトンネルセッションに割り当てられている ID
番号。
SSL トンネルユーザー 1.3.6.1.4.1.4331.5.5.1.2
ネットワークトンネルセッションに対応するユーザー名。
SSL トンネル ID
SSL トンネル VIP
1.3.6.1.4.1.4331.5.5.1.3
ネットワークトンネルセッションに対応する仮想 IP アドレ
ス (VIP)。
EX-750 インストールおよび管理ガイド | 149
項目
OID
説明
トンネルあたりの
フロー数
1.3.6.1.4.1.4331.5.5.1.4
ネットワークトンネルセッションのデータフローの数。
SSL トンネルアップ
タイム
1.3.6.1.4.1.4331.5.5.1.5
ネットワークトンネルセッションのアップタイム統計。
その他の SNMP データ
SNMP を使用して標準 MIB ファイルから取得可能な、アプライアンスに関するその他の情報を、次に示します。
項目
OID
説明
サービスステータス
1.3.6.1.4.1.2021.2
次のいずれかのサービスのステータスをチェックします。
戻りデータは、次のプロセス名になります。プロセスス
テータスが「非動作」としてリストされている場合、エラー
が出されます。
•
socks5d ( ネットワークプロキシサービス )
•
apache2 (Web プロキシサービス )
•
•
logserver ( ログサーバー )
syslog-ng (syslog)
•
policyserver ( ポリシーサーバー )
ディスク容量の可用性
1.3.6.1.4.1.2021.9
「/」、「/var/log」、「/upgrade」の各パーティションに
ついて、ディスク容量の可用性をチェックします。いずれ
かのパーティションのディスク容量が 10MB 以下になって
いる場合、エラーが出されます。
負荷平均チェック
1.3.6.1.4.1.2021.10
1 分、 5 分、 15 分間隔で負荷平均をチェックします。負
荷平均が 1 分間隔で 12 以上、 5 分間隔および 15 分
間隔で 14 以上の場合、エラーが出されます。
ソフトウェアの
バージョン番号
1.3.6.1.4.1.2021.50
ASAP システムソフトウェアの現在のバージョンをチェック
します。
システム名
1.3.6.1.2.1.1.1.0
システムの名前をチェックします。
150|第 7 章 - システム管理
バックアップ、リストア、システム更新
このアプライアンスには、構成設定のバックアップ、ソフトウェアのパッチ当てとアップグレード、構成の以前のバージョ
ンのリストアなどを行うためのコマンドライン管理ツールが多数用意されています。これらのツールは、構成ファイルの
バックアップとリストアを管理するツール、およびシステムソフトウェアのパッチ当て、アップグレード、ロールバック、リ
セットを行うツールの 2 つのグループに分けることができます。次の表では、これらのツールをまとめており、ツールの
使用法についてもあわせて解説しています。
構成ファイルのバックアップとリストアを管理する場合は、次のツールを使用します。これらの構成ファイルには、 AMC
内で構成する情報 ( たとえば、証明書、 IP アドレス、リソース定義、ユーザーおよびユーザーグループ、アクセス
制御ルールなど ) がすべて含まれます。
ツール
目的
Config Backup Tool
現在の構成ファイルをバックアップします。
Config Restore Tool
1 つまたは複数の構成ファイルの以前のバージョンをリストアします。
Config Compare Tool
バックアップ構成ファイルを現在の構成ファイルと比較します。
Config Reset Tool
構成ファイルを工場出荷時のデフォルトにリセットします。
コマンドラインツールを使用して構成をバックアップおよびリストアする場合、 AMC を使用して構成をインポートおよび
エクスポートすることもできます。詳細については、 150 ページの「AMC による構成のインポートおよびエクスポート」
を参照してください。
アプライアンスシステムソフトウェアのパッチ当て、アップグレード、ロールバックを行う場合は、次のツールを使用しま
す。
ツール
目的
Update Tool
システムソフトウェアの既存のバージョンにパッチを当てます。また、新
しいバージョンへのアップグレードも行います。
Rollback Tool
システムソフトウェアを、パッチまたはアップグレードの直前の状態に
ロールバックします。
Factory Reset Tool
アプライアンスを、ベンダーから購入したときの状態にリストアします。こ
のツールは最後の手段として使用します。
構成ファイルのバックアップとリストア
アプライアンスの構成ファイルは、いつでもバックアップすることができます。システムを頻繁に変更している場合や前の
構成を維持しておきたい場合など、バックアップを頻繁に行うようにすると良いでしょう。バックアップファイルを使用す
れば、アプライアンスの構成を完全に前の状態にリストアできるだけでなく、単一のファイルのみをリストアすることもでき
ます。この方法を利用することにより、複数のアプライアンスで同じアクセスポリシーを使用することもできます。ファイ
ル比較ツールを使用すると、バックアップファイルを現在の構成ファイルと比較することができます。
Aventail アプライアンスでは、構成をバックアップおよびリストアするとき、 2 種類の方法で行うことができます。 1 つは
AMC のインポート / エクスポート機能を使用する方法で、もう 1 つはコマンドラインユーティリティの Backup Tool お
よび Config Restore Tool を使用する方法です。 AMC のインポート / エクスポート機能の方が便利ではありますが、
コマンドラインツールの方が堅牢です。
AMC による構成のインポートおよびエクスポート
AMC を使用すれば、あるアプライアンスから現在の構成をエクスポートして、この構成のすべてまたは一部を他のアプ
ライアンスにインポートすることができます。これは、コマンドラインツールの Backup Tool および Config Restore
Tool の機能に似ていますが、 AMC の場合、 Backup Tool および Config Restore Tool などでバックアップ、リス
トアしたデータのサブセットのみをインポートしたりエクスポートしたりすることができるため、 AMC の方が便利です。 154
ページの「Backup Tool による現在の構成のバックアップ」および 155 ページの「Config Restore Tool による構
成ファイルのリストア」を参照してください。
EX-750 インストールおよび管理ガイド | 151
次の表では、インポートおよびエクスポートできるデータのタイプを、 AMC のインポート / エクスポート機能を使用した場
合と、コマンドラインツールの Backup Tool および Config Restore Tool の機能を使用した場合とで比較していま
す。
AMC
コマンドラインツール
アクセスポリシー
x
x
証明書
x
x
ASAP WorkPlace のカスタマイズデータ
x
x
ノード固有のネットワーク設定
x
x
構成項目
OnDemand 構成ファイル
x
手作業で編集した構成ファイル
x
AMC による現在の構成のエクスポート
AMC インタフェースを使用して、単一の Aventail Export Archive (.aea) ファイルの現在の構成をエクスポートする
ことができます。 AMC で生成された構成データのみがエクスポートされ、手作業で編集した構成ファイルはエクスポー
トされません。次の表では、エクスポートされるファイルに含まれる構成データのタイプをまとめています。構成を部分的
にエクスポートすることはできません。エクスポートされたファイルには、すべての構成データが含まれます。
構成データのタイプ
説明
アクセスポリシー
ルール、リソース、ユーザー、グループ、 ASAP WorkPlace ショート
カット、 EPC 署名、ゾーンが含まれます。
証明書
証明書、秘密鍵、証明書パスワードが含まれます。
ASAP WorkPlace のカスタマイズ
データ
一般的な表示設定、カスタムコンテンツ、カスタムテンプレートが含まれ
ます。
ネットワーク固有の設定
ホスト名、 IP アドレス、デフォルトルート情報、 DNS 設定が含まれます。
現在保存されている構成データのみがエクスポートされます。まだ適用していない保留中の変更はエクスポートされませ
ん。保留中の変更をエクスポートしたい場合は、構成を適用してからエクスポートしなければなりません。この特徴は、
保存済みの構成を、新しい変更の適用前にエクスポートしたい場合などに、活用することができます。
152|第 7 章 - システム管理
X
AMC を使用して現在の構成をエクスポートするには
1.
メインナビゲーションメニューから [Maintenance] をクリックします。この操作により、 [Maintenance]
ページが表示されます。
2.
[System configuration] エリアの [Import or export] セクションで、 [Import/Export] をクリック
します。この操作により、 [Import/Export] ページが表示されます。
EX-750 インストールおよび管理ガイド | 153
3.
[Export] をクリックします。この操作により、 [Export Configuration] ページが表示されます。 [File
Download] ダイアログボックスで、 asap.aea を開くかこれをハードディスクに保存するよう求められます。
4.
[Save] をクリックして、正しいディレクトリをブラウズします。ここで設定したディレクトリに asap.aea ファイルが
保存されます。
5.
[Export] ページで [OK] をクリックします。この操作により、 [Import/Export] ページに戻ります。
AMC による構成のすべてまたは一部のインポート
AMC インタフェースを使用して、構成のすべてまたは一部をインポートすることができます。これは、コマンドライン
Config Restore Tool による構成のリストアに似ていますが、 AMC の場合、 Config Restore Tool のように、構成
データ全体をインポートすることはありません。
インポートするファイルは、 ASAP Platform の現在のバージョンと互換性がなければなりません。同じ major.minor
バージョンの構成は、他の構成と互換性があります。たとえば、 ASAP Platform v7.0.1 ファイルは、既存の ASAP
Platform v7.0.2-1.3 構成にインポートすることができます。
次の表では、既存の AMC 構成にインポートできるデータのタイプをまとめています。
構成データのタイプ
説明
構成の一部
•
アクセスポリシー : ルール、リソース、ユーザー、グループ、
ASAP WorkPlace ショートカット、 EPC 署名、ゾーンが含まれます。
•
証明書 : 証明書、秘密鍵、 SSL で保護された LDAP サーバーのパ
スワード、 SSL で保護されたバックエンド Web サーバーのルート証
明書が含まれます。
•
ASAP WorkPlace のカスタマイズデータ : 一般的な表示設定、
カスタムコンテンツ、カスタムテンプレートが含まれます。
•
すべての部分構成データ ( 上記参照 )。
•
証明書 : 証明書、秘密鍵、 AMC のパスワード、アプライアンス証
明書が含まれます。
•
Network-specific settings: Includes host names, IP
addresses, default route information, and DNS settings.
構成のすべて
X
AMC を使用して構成のすべてまたは一部をインポートするには
1.
メインナビゲーションメニューから [Maintenance] をクリックします。この操作により、 [Maintenance]
ページが表示されます。
2.
[System configuration] エリアの [Import or export] セクションで、 [Import/Export] をクリック
します。この操作により、 [Import/Export] ページが表示されます。
3.
[Import] エリアで、インポートしたい構成データのタイプを指定します。
•
[Partial configuration] : [Access policy]、 [Certificates]、 [ASAP WorkPlace
customizations] チェックボックスを組み合わせて選択します。
•
[Entire configuration] : アクセスポリシー、証明書、 ASAP WorkPlace のカスタマイズデータ、
ノード固有およびネットワーク固有の設定をすべてインポートするとき、これをクリックします。
4.
[Configuration file] ボックスに適切な asap.aea ファイルのパスを入力するか、 [Browse] をクリックし
て、適切なファイルをブラウズします。
5.
[Import] をクリックします。
154|第 7 章 - システム管理
6.
インポートした構成を有効にするには、変更を適用しなければなりません。 29 ページの「構成変更の適用」を
参照してください。
メモ
•
ローカルユーザーアカウントは、 AMC ではバックアップもリストアもできません。その場合は、コマンドライン
Backup Tool を使用することができます。
•
インポートが失敗した場合、 /var/log/aventail/management.log ファイルで詳細について調べることができま
す。
•
AMC で他の構成変更を保留している状態で、構成をインポートすると、保留中の変更が上書きされてしまいます。
Backup Tool による現在の構成のバックアップ
アプライアンスに搭載されているコマンドライン Backup Tool を使用すると、次のような、アプライアンスの重要なファ
イルをバックアップすることができます。
•
Aventail サービスの構成ファイル
•
•
ネットワーク設定
アクセス制御ルール
•
ログローテーション設定
•
サーバー証明書、鍵、パスワード
•
ローカルユーザーアカウント
バックアップファイルは、圧縮された tar ファイル ( デフォルトの場合、 /var/backups/cfgback.tgz) に保存されま
す。特にシステムを何度もカスタマイズするような場合は、システムを定期的にバックアップすることが推奨されます。
X
構成をバックアップするには
1.
SSH またはシリアル接続を使用してアプライアンスに接続し、「root」としてログインします。
2.
「config_backup」と入力し、次のようなオプションパラメータを続けます。
config_backup [-t tarfile] [-q] [-d debuglevel] [-h]
パラメータ
説明
-t tarfile
構成をバックアップするファイルを指定します。このパラメータは、デフォルト
ファイル (/var/backups/cfgback.tgz) と異なるバックアップファイルに
バックアップする場合に限って必要になります。
リストアプログラムは通常、リストアの際にデフォルトファイルを検索するた
め、このパラメータはセットしない方が良いでしょう。
-q
確認プロンプトをオフにします ( バックアップを「静かに (quiet)」行う )。
通常であれば、既存のバックアップファイルを上書きするか尋ねられます。
-d debuglevel
バックアップ操作の際に表示する情報の量を指定します。 debuglevel には
「0」から「10」までの整数を指定します。情報を表示しない場合は「0」、
すべての情報を表示する場合は「10」を指定します。デフォルトは「1」 (
標準的な情報量 ) です。
-h
使用可能なパラメータを示すヘルプリストを表示します。
Backup Tool を実行したら、システムの構成ファイルが、上記で指定した名前とロケーションのバックアップファイルに
保存されます。同じロケーションにバックアップファイルがすでに存在する場合は、上書きしても良いか尋ねられます (q パラメータを使用していない場合 )。
メモ
•
Update Tool を使用して新しいシステムアップデートをインストールした場合、構成が自動的にバックアップされ
ます。その場合、管理者が手作業で作成したバックアップは上書きされません。
•
安全性を高めたい場合は、 scp などのプログラムを使用して .tgz ファイルをアプライアンスから別のロケーション、
たとえばネットワーク上のドライブやリムーバブルディスクなどにコピーします。
•
Backup Tool をスクリプトに追加することにより、バックアップを自動化することができます。その場合、 -q パラ
メータを使用して、確認プロンプトが出ないようにします。
EX-750 インストールおよび管理ガイド | 155
Config Restore Tool による構成ファイルのリストア
変更によって構成に問題が発生した場合など、バックアップファイルを使用してリストアすることができます。アプライア
ンスに搭載されているコマンドライン Config Restore Tool を使用すると、構成のすべて、または単一のファイルのみ
をリストアすることができます。
構成ファイルをリストアする前に、バックアップファイルと、システム上の現在のファイルを比較することができます。詳
細については、 156 ページの「バックアップファイルとシステム上のファイルとの比較」を参照してください。
!
X
注意システムソフトウェアの以前のメジャーバージョン、マイナーバージョン、マイクロバージョンから構成ファ
イルをリストアしないでください。メジャー / マイナー / マイクロバージョンのアップデートの際には、構成ファイ
ルの定義方法が変更されている場合もあります。古い構成ファイルでは、新しいバージョンと定義方法が異なる
ために、アプライアンスが正常に動作しなくなることがあります。たとえば、システムをバージョン 7.1.0 以降に
アップグレードしており、バージョン 7.0.0 の構成ファイルをリストアした場合、システムが非互換であるため問題
が発生します。そのため、必ず Config Restore Tool を使用して、現在システム上にあるものと同じメジャー /
マイナー / マイクロバージョンの構成ファイルをリストアするようにします。ただし、メジャー / マイナー / マイクロ
バージョンが同じであれば、パッチを当てているバージョンから構成ファイルをリストアしても問題はありません (
たとえば、アプライアンスでバージョン 7.1.0-1.6 が動作している場合、 7.1.0-1.2 の構成ファイルをリストアし
てもかまわないが、 7.0.0-1.8 の構成ファイルは使用できない )。
構成ファイルをバックアップファイルからリストアするには
1.
「root」としてアプライアンスにログインします。
2.
「config_restore」と入力し、次のようなオプションパラメータを続けます。
config_restore [-f filename] [-t tarfile] [-q] [-d debuglevel] [-h]
パラメータ
説明
-f filename
リストアするファイルを指定します。バックアップファイルのすべての構成ファ
イルではなく、単一のファイルのみをリストアする場合は、このプログラムを
使用します。バックアップファイルのリストについては、 /var/backups を
参照してください。
-t tarfile
構成をリストアするファイルを指定します。このパラメータは、デフォルトファ
イル (/var/backups/cfgback.tgz) 以外のバックアップファイルからリスト
アする場合のみ必要になります。
-q
確認プロンプトをオフにします ( リストアを「静かに (quiet)」行う )。通常
であれば、ファイルをリストアするか尋ねられます。
-d debuglevel
リストア操作の際に表示する情報の量を指定します。 debuglevel には
「0」から「10」までの整数を指定します。情報を表示しない場合は「0」、
すべての情報を表示する場合は「10」を指定します。デフォルトは「1」 (
標準的な情報量 ) です。
-h
使用可能なパラメータを示すヘルプリストを表示します。
本当にリストアして良いか確認を求められます (-q パラメータを使用していない場合 )。その後、 Config Restore Tool
が、指定されたバックアップファイルからすべての構成ファイル (-f パラメータを使用している場合は指定したファイルの
み ) をコピーします。同じ構成ファイルがすでに存在している場合は、これを上書きします。
メモ
•
バックアップファイルが見つからない場合、「it requires a backup file to run」というエラーが表示されます。
システムは、 154 ページの「Backup Tool による現在の構成のバックアップ」の手順を使用して、手作業でバッ
クアップすることもできます。
156|第 7 章 - システム管理
工場出荷時デフォルト構成への復帰
場合によっては、工場出荷時デフォルト構成をリストアしたい場合も出てきます。たとえば、アプライアンスを異なる環境
に移動し構成変更を何度も行うような場合、アプライアンスをデフォルト設定に戻して、ゼロからやり直す方が便利なこと
もあります。工場出荷時デフォルト構成をリストアする場合は、 Config Reset Tool というコマンドラインユーティリティ
を実行します。
!
注意 Config Reset Tool を実行すると、既存のシステム構成データがすべて削除されます。構成をバックアッ
プからリストアしたい場合は必ず、バックアップファイルをあらかじめ他のシステムにコピーしておいてください。
X
工場出荷時デフォルト構成へ復帰するには
1.
(SSH またはシリアル接続を使用して ) アプライアンスに接続し、「root」としてログインします。
2.
「config_reset」と入力し、 Config Reset Tool を実行します。
3.
デフォルト設定に戻して良いか確認するプロンプトが表示されます。
Reset the appliance configuration to factory defaults? (n)
「y」を押して ENTER キーを押します。この操作により、変更が保存されます。
4.
アプライアンスを再起動するかシャットダウン ( 停止 ) するか尋ねるプロンプトが表示されます。再起動のときは
「r」、停止のときは「h」を押します。
システムを再起動すると、起動時にログインプロンプトが表示されます。
5.
Setup Tool をもう一度実行してネットワークを構成します。 21 ページの「Setup Tool の実行」を参照してくだ
さい。
バックアップファイルとシステム上のファイルとの比較
バックアップファイルを、現在システム上にあるファイルと比較することができます。これは、どのファイルが異なるか調
べる場合や、ファイル間の差を詳細に調べる場合 ( ただしテキストファイルのとき ) などに使用すると便利です。
X
バックアップファイルと現在の構成を比較するには
1.
(SSH またはシリアル接続を使用して ) アプライアンスに接続し、「root」としてログインします。
2.
「config_compare」と入力し、次のようなオプションパラメータを続けます。
config_compare [-s] [-f filename] [-t tarfile] [-d debuglevel] [-h]
パラメータ
説明
-s
システム上のファイルとバックアップファイルとの差を詳細に表示します。こ
れは、「diff」コマンドの場合と似ています。テキストファイルの場合、ファ
イルの違いを行単位で比較することができます。
Compare Tool でバイナリファイルを比較した場合、ファイルが異なってい
ることのみが示されます。
-f filename
同名のバックアップファイルと比較するファイルを指定します ( このパラメータ
を使用するとバックアップファイルの他のファイルは比較されなくなる )。バッ
クアップファイルのリストについては、 /var/backups を参照してください。
2 つのテキストファイルを比較している場合、このパラメータを -s パラメータ
と一緒に使用します。こうすることで、ファイル間の違いが詳細に表示され
ます。
-t tarfile
ファイルと比較するバックアップファイルを指定します。このパラメータは、
システムファイルを、デフォルトファイル (/var/backups/cfgback.tgz)
以外のバックアップファイルと比較する場合のみ必要になります。
-d debuglevel
リストア操作の際に表示する情報の量を指定します。 debuglevel には
「0」から「10」までの整数を指定します。情報を表示しない場合は「0」、
すべての情報を表示する場合は「10」を指定します。デフォルトは「1」 (
標準的な情報量 ) です。
-h
使用可能なパラメータを示すヘルプリストを表示します。
EX-750 インストールおよび管理ガイド | 157
Config Compare Tool によって、バックアップファイルのどのファイルが、現在の構成ファイルと異なるかを示すレ
ポートが生成されます (-f パラメータを使用して単一ファイルをバックアップと比較している場合を除く )。また、現在の
構成からなくなっているファイルが存在する場合も通知されます。
-s パラメータを使用すると、テキストファイル間の違いが詳細に表示されます。それぞれの違いの詳細を確認した後、
ENTER キーを押すよう求められます。
システムへのパッチ当て、アップグレード、ロールバック、リセット
Aventail では、サーバーに新しい機能を追加したり既存の問題に対応したりする目的で、システムアップデートを定
期的に提供します。システムアップデートは圧縮済みの .bin ファイルで、パッチまたはアップグレードの形式になりま
す。パッチは、特定バージョンに存在する問題に対応するもので、通常は、元のバージョンから変更されたファイルの
みが含まれます。アップグレードには、新しいバージョンのソフトウェアが含まれますが、個々のファイルが含まれる代
わりに、フルイメージの形式になっています。
アップデートは、コマンドライン Update Tool を使用して、システムにインストールすることができます。このツールは、
シリアルコンソールから実行するか、 AMC インタフェースを使用して実行します。アップデートをインストールした後、
必要であれば、 AMC またはコマンドライン Rollback Tool を使用して、前のバージョンにロールバックすることもでき
ます。
システムの現在のバージョンを表示するときは、メインナビゲーションメニューから [System Status] をクリックしま
す。詳細については、 140 ページの「アプライアンスの監視」を参照してください。
システムアップデートのダウンロード
システムアップデート ( パッチおよびアップグレード ) は、 Aventail Web サイトのサポートページに置かれています。
このエリアにアクセスするには、アカウントを作成し、ユーザー名とパスワードを受け取る必要があります。サポートアカ
ウントを取得する方法については、チャネルパートナーまたは Aventail の営業マンにお問い合わせください。アカウ
ントを取得すると、新しいアップグレードが公開されるたびに電子メールで定期的に通知されます。
X
システムアップデートをダウンロードするには
1.
Aventail Web サイトのサポートページ ( http://aventailassurance.aventail.com) にログインします。
2.
[Downloads] エリアに進み、お使いのアプライアンスに対応するセクションを参照してください。
3.
インストールするアップデートをダウンロードします。また、アップデートファイルと一緒に .md5 ファイルもダウン
ロードします。
それぞれのシステムアップデートは、圧縮済みの .bin ファイルになっており、同じ名前に .txt 拡張子が付いた
リリースノートファイルが付属しています。このアップデートでどのような変更が行われるか確認するときは、リリー
スノートを参照してください。アップデートファイルの命名規則については、次の節を参照してください。
4.
scp を使用して、アップデートをアプライアンスの /upgrade ディレクトリに転送します。
アップデートファイルの命名規則
upgrade_<major>_<minor>_<micro>_<build>.bin
名前
説明
major
このアップデートのメジャーリリース番号。この番号のみが存在する場合、このリリースには、
重要な新しい機能とバグフィックスが含まれていることになります。また同時に、システム全体
のフルイメージが含まれていることになります。
minor
このアップデートのマイナーリリース番号。バージョン番号にメジャー番号とマイナー番号のみ
が含まれている場合、このリリースには、追加機能とバグフィックスが含まれていることになり
ます。また同時に、システム全体のフルイメージが含まれていることになります。
micro
このアップデートのマイクロリリース番号。バージョン番号にメジャー番号、マイナー番号、マ
イクロ番号が含まれている場合、このリリースには、ごくわずかの追加機能とバグフィックスが
含まれていることになります。また同時に、システム全体のフルイメージが含まれていることに
なります。
build
Aventail で使用される内部ビルド番号。すべてのリリースにはビルド番号が含まれます。
158|第 7 章 - システム管理
䊜䉳䊞䊷
䊙䉟䉪䊨
upgrade_8_1_5_19.bin
䊙䉟䊅䊷
䊎䊦䊄
例
•
upgrade_8_0_0_23.bin は、アプライアンスを、 8.0 メジャーリリース ( ビルド 23) にアップグレードするもの
です。
•
upgrade_8_1_0_13.bin は、アプライアンスを、 8.1 マイナーリリース ( ビルド 13) にアップグレードするもの
です。
•
upgrade_8_1_1_21.bin は、アプライアンスを、 8.1.1 マイクロリリース ( ビルド 21) にアップグレードするも
のです。
•
upgrade_8_1_5_19.bin は、アプライアンスの 8.1.5 マイナーリリースにパッチを当てるものです。このパッ
チには、前回のマイクロリリース 8.1.5 から修正されたパッケージのみが含まれます。このパッチをインストール
する場合は、システム上にバージョン 8.1.5 がなければなりません。
メモ
•
リリースノートをダウンロードする必要はありません。リリースノートは、アップデートファイルに含まれており、アッ
プデートを実行すると、 /upgrade ディレクトリに展開されます。
ダウンロードしたファイルの確認
アップデートをインストールする前に、ファイルが正しくダウンロードされたか確認する必要があります。
X
ダウンロードしたファイルを確認するには
1.
コマンドラインから、次のコマンドを入力します。このコマンドにより、ダウンロードしたファイルのチェックサムが
返されます。
md5sum <upgrade_filename>.bin
2.
対応する .md5 ファイル (Aventail Web サイトからダウンロードしたもの ) からチェックサムを抽出します。
cat <update-filename>.md5
3.
2 つのチェックサムを比較します。この 2 つが一致した場合、そのままアップデートを継続することができます。
それぞれで異なる場合、再びダウンロードして、同様の方法でチェックサムを比較します。それでもチェックサム
が一致しない場合は、 Aventail のテクニカルサポートにお問い合わせください。
コマンドラインからのシステムアップデートのインストール
システムアップデートをダウンロードしてアプライアンスにコピーしたら、コマンドラインを使用してインストールすることが
できます。この手順は、バージョンアップグレードのインストールの他、パッチにも使用することができます。
X
システムアップデートをインストールするには
1.
SSH ( またはシリアル接続 ) を使用してアプライアンスに接続し、「root」としてログインします。
2.
アップグレードファイルをアプライアンスの /upgrade ディレクトリにコピーします。
3.
適切なアップグレードバージョン番号を指定し、「/upgrade/upgrade_<version>.bin」と入力します。
4.
scp プログラムによっては、転送後に元のファイル権限が引き継がれないものもあります。「chmod +x
upgrade_<version>.bin」と入力して、アップデートファイルが実行可能になっていることを確認してくださ
い。
5.
アプライアンスを再起動します。
EX-750 インストールおよび管理ガイド | 159
メモ
•
アプライアンスを再起動する前に、バックアップを行うようにすると良いでしょう。詳細については、 154 ページの
「Backup Tool による現在の構成のバックアップ」を参照してください。
AMC によるシステムアップデートのインストール
AMC のアップデート機能を使用しても、バージョンアップグレードやパッチをインストールすることができます。
X
AMC を使用してシステムアップデートをインストールするには
1.
AMC のメインナビゲーションメニューから [Maintenance] をクリックします。この操作により、
[Maintenance] ページが表示されます。
2.
[System configuration] エリアで [Update] をクリックします。この操作により、 [Update] ページが表
示されます。
3.
アップグレードファイルやパッチファイルをまだダウンロードしていない場合は、 [Aventail Assurance
Web site] リンクをクリックします。この操作により、対応するアップデートファイルまたはパッチファイルがロー
カルファイルシステムにダウンロードされます。
4.
アップデートファイルまたはパッチファイルのパスを入力するか、 [Browse] をクリックして、適切なファイルを
ブラウズします。
5.
[Install Update] をクリックします。ファイルアップロードステータスインジケータが表示されます。必要であ
れば、 [Cancel] をクリックしてアップロードプロセスを停止することができます。
ファイルアップロードプロセスが完了したら、アップデートがアプライアンスに自動的にインストールされます。ただ
し、インストールプロセスはキャンセルすることができません。
160|第 7 章 - システム管理
インストールプロセスが完了したら、アプライアンスが自動的に再起動します。
6.
アプライアンスが再起動したら、 AMC にログインして、 AMC の [Home] ページで新しい ASAP Platform
バージョン番号を確認します。
コマンドラインからの以前のバージョンへのロールバック
Rollback Tool を使用すると、システムにインストールしたシステムアップデートを最大 2 つまで取り消すことができま
す。アップデートの完了後、問題が発生した場合は、このツールを使用して、問題がなかった状態までロールバックす
ることができます。 Rollback Tool を実行するたびに、最新のシステムアップデートが削除され、そのアップデート前
のバージョンに復帰します。
!
注意システムをアップデートした後なんらかの構成変更を行っている場合、 Rollback Tool を使用すると、この
ような構成変更も消去されます。
X
システムアップデートを取り消すには
1.
SSH ( またはシリアル接続 ) を使用してアプライアンスに接続し、「root」としてログインします。
2.
「rollback_tool」と入力します。このコマンドにより、 Rollback Tool が最新のアップデートを削除します。
3.
コマンドプロンプトが再び表示されたら、「reboot」と入力してアプライアンスを再起動します。
AMC による以前のバージョンへのロールバック
AMC からも、システムにインストールした最新のアップデートを取り消すことができます。アップデートの完了後、問題
が発生した場合は、この機能を使用して、問題がなかった状態までロールバックすることができます。ソフトウェアイメー
ジのロールバックを行うたびに、最新のシステムアップデートが削除され、そのアップデート前のバージョンに復帰しま
す。
!
注意システムをアップデートした後なんらかの構成変更を行っている場合、ソフトウェアイメージのロールバック
により、このような構成変更も消去されます。
X
AMC を使用して前のバージョンにロールバックするには
1.
AMC のメインナビゲーションメニューから [Maintenance] をクリックします。この操作により、
[Maintenance] ページが表示されます。
2.
[System configuration] エリアで [Rollback] をクリックします。この操作により、 [Rollback] ページ
が表示されます。
3.
[Rollback] ページに表示されているバージョンにロールバックするときは [OK] をクリックします。
ロールバックプロセスが完了したら、アプライアンスが自動的に再起動し、変更が適用されます。
4.
アプライアンスが再起動したら、 AMC の [Home] ページで新しい ASAP Platform バージョン番号を確認しま
す。
工場出荷時リセットの実行
工場出荷時リセットを実行すると、アプライアンスが、最初の購入時の状態に戻ります。 Factory Reset Tool を実行
すると、アプライアンス購入後に実行、作成したすべてのアップデートおよび構成ファイルが消去されます。たとえば、
元のアプライアンスにバージョン 7.0.0 が搭載されていた場合、Factory Reset Tool を実行すると、バージョン 7.0.0
に復帰し、アプライアンス上でインストール、作成したすべてのアップデート、構成ファイル、ログファイルなどが消去
されます。このツールを使用すべき状況として、次の 2 つの場合があります。
•
マシンを完全にきれいな状態にして、別の場所で再利用したい場合。
•
アプライアンスが、取り返しの付かない状態になった場合。この場合は、 Aventail のテクニカルサポートにお問
い合わせの上、この問題を解決するための方法が他にないか確認してください。 Factory Reset はあくまでも、
アプライアンスを動作可能な状況に復帰させるための最後の手段として使用します。
X
アプライアンスを元の工場出荷時の状態に戻すには
1.
シリアルコンソールで、「root」としてアプライアンスにログインします。
2.
「factory_reset」と入力します。構成ファイルをバックアップするよう促すメッセージが表示されます。その
後、アプライアンスを再起動します。
3.
「reboot」と入力して、アプライアンスを再起動します。
リセットが完了したら、次のようなプロンプトが表示されます。
EX-750 インストールおよび管理ガイド | 161
Debian GNU/Linux 3.0 SSL-VPN ttyS1
SSL-VPN login:
4.
!
「root」としてログインすると、 Setup Tool が自動的に動作を開始します。
注意特に、取り返しの付かない状態から問題がなかった状態に戻すために Factory Reset Tool を実行する場
合、このツールを実行する前に、 Aventail のテクニカルサポートにお問い合わせの上、この問題を解決する
ための方法が他にないか確認してください。
SSL 暗号化
アプライアンス上のすべてのトラフィックでデータのセキュリティを保証するため、暗号が使用されます。ネットワークトラ
フィックを SSL で保護するには、最低でも 1 つのサイファを使用するよう構成しなければなりません。セキュリティ効果
とパフォーマンスのバランスをよく考え、使用可能なものの中から「最上の」サイファを選択します ( パフォーマンスより
セキュリティに重点を置くこと )。
SSL では軽度の攻撃についてある程度保護することができますが、一般的には、ユーザーの必要性に合った強力なサ
イファを許可するようサーバーを構成する必要があります。サイファには次のようなものがあります。最も優れたものから
順に並んでいます。
•
•
256 ビット AES、 SHA-1
128 ビット AES、 SHA-1
•
128 ビット RC4、 MD5
•
128 ビット RC4、 SHA-1
•
トリプル DES、 SHA-1
•
56 ビット RC4、 MD5
•
56 ビット DES、 SHA-1
•
40 ビット RC4、 MD5
•
40 ビット DES、 SHA-1 ( ネットワークプロキシサービスでのみ使用可 )
SSL 暗号化の構成
このアプライアンスでは、 SSL 暗号化などの暗号アルゴリズム ( つまりサイファ) を使用して、データ転送を保護します。
アプライアンスの暗号化設定を構成するときは、ネットワークトラフィックを保護するため、最低でも 1 つのサイファを
SSL と組み合わせて使用できるようにします。通常、ほとんどのインストールの場合、デフォルト設定で間に合います。
162|第 7 章 - システム管理
X
SSL 暗号化設定を構成するには
1.
メインナビゲーションメニューから [SSL Settings] をクリックして、 [SSL Encryption] タブをクリックしま
す。
2.
トラフィックの暗号化に使用する転送プロトコルを選択します。
•
FIPS 140-2 準拠の暗号を許可する場合、 [Use only US government-recommended
encryption] チェックボックスを選択します。このオプションを選択すると、 TLS v1 プロトコルのみを使
用するようアプライアンスが構成され、 FIPS 準拠のサイファのみが有効になります。
•
TLS v1 転送プロトコルのみを使用するようアプライアンスを構成する場合、 [Use TLS v1 protocol
only] を選択します。
•
SSL v3 転送プロトコルのみを使用するようアプライアンスを構成する場合、 [Use SSL v3 protocol
only] を選択します。
•
SSL v3 および TLS v1 転送プロトコルを使用するようアプライアンスを構成する場合、 [Use both
protocols] を選択します。
3.
SSL 接続でアプライアンスのアクセスサービス (Web プロキシ、ネットワークプロキシ、ネットワークトンネル )
が受け付けるサイファを選択します。
4.
[Save] をクリックします。
EX-750 インストールおよび管理ガイド | 163
ソフトウェアライセンス
この節では、アプライアンスコンポーネントのソフトウェアライセンスを管理する方法について説明します。 Aventail ア
プライアンスでは、次の 2 種類のライセンスを使用します。
•
ベースアプライアンスライセンス : このライセンスは、同時ユーザーの数を監視し遵守するときに使用します。
デフォルトの場合、同時アクティブユーザーの制限を超えると、アクティブユーザーの数がライセンス済みのユー
ザー制限を下回るまで、ユーザーアクセスが制限を受けることになります。
ただし、ライセンス契約によっては、一定数のユーザーセッションに限り、制限を超えることが認められます ( グ
レースカウント )。その場合、ユーザーアクセスは許可されますが、過剰な使用についてはロギングされます。
ただし、アクティブユーザー数がこのグレースカウントを超えた場合、アクティブユーザーの数がグレースカウン
トを下回るまで、ユーザーアクセスが制限を受けます。
ユーザーアクセスが制限を受けた場合、ユーザーが VPN にログインしようとすると、ライセンス数が超えているた
めネットワークへのアクセスが拒否されたことを示すエラーメッセージが表示されます。
•
コンポーネントライセンス : 特定のアプライアンスコンポーネント ( たとえば Aventail OnDemand) のライセ
ンスの有効期限が切れた場合、ユーザーがそのコンポーネントを使おうとすると、 ASAP WorkPlace でエラーメッ
セージが表示されます。
Aventail アプライアンスには、 1,000 人のユーザーの同時使用を 3 日間サポートするデフォルトライセンスが付属し
ています。この 3 日間を過ぎてもアプライアンスを使い続ける場合は、有効なライセンスファイルをアップロードしなけ
ればなりません。
ライセンスの詳細の表示
AMC では、ベースアプライアンスライセンスの他、 Aventail OnDemand や Aventail Connect など、他に購入
しているアプライアンスコンポーネントのライセンスについて、そのステータスを参照できるようになっています。この節で
は、ライセンスのステータスを表示する方法について説明します。
X
ライセンスの詳細を表示するには
1.
メインナビゲーションメニューから [General Settings] をクリックして、 [Licensing] タブをクリックします。
この操作により、 [Licensing] ページが表示されます。
2.
表示されるデータを確認します。
•
[Product name] には、ライセンスが適用される Aventail アプライアンスのタイプが表示されます。
•
[License holder] には、アプライアンスがライセンスされるエンティティの名前が表示されます。
•
[Maximum concurrent users] には、ベースアプライアンスライセンスで許可されている同時ユー
ザーセッションの最大数が表示されます。 1 つの同時ユーザーは、単一 IP アドレスからの単一ログインに
相当します。ユーザーは、ログオフした時点またはクレデンシャルの期限が切れた時点でカウント対象から
外されます。
•
[Component] および [License type] には、個別のソフトウェアコンポーネントライセンスの詳細が
表示されます。ライセンスが一時ライセンスまたは評価版ライセンスの場合、有効期限も表示されます。ライ
センスの有効期限が近づいている場合、またはライセンスの有効期限が切れた場合、このエリアまたは
AMC ステータスエリアに警告メッセージが表示されます。
164|第 7 章 - システム管理
ライセンスの管理
この節では、ライセンスファイルをアプライアンスにインポートする方法と、アプライアンスから有効期限切れのライセン
スを削除する方法について説明します。
(Aventail OnDemand、 Aventail Connect、 Aventail Secure Desktop などの ) 一部のコンポーネントの場合、
個別に購入しなければなりません。これらのコンポーネントを購入すると、ソフトウェアライセンスファイルを受け取ること
になります。これらのコンポーネントを有効にする前に、 AMC を使用して、有効なライセンスファイルをアップロードし
なければなりません。追加のコンポーネントを購入する方法については、 Aventail チャネルパートナーにお問い合わ
せください。
また、たとえばアプライアンスの購入を決定した後、評価版ライセンスを永続ライセンスで置換する場合などは、ベース
アプライアンスライセンスファイルをインポートする必要もあります。
!
注意ライセンスファイルをインポートするとき、アプライアンスの日付と時刻の設定が時間帯に合わせて正しく構
成されていることをあらかじめ確認してください。システムクロック設定の構成の詳細については、 124 ページの
「時刻設定の構成」を参照してください。
X
ライセンスファイルをインポートするには
1.
メインナビゲーションメニューから [General Settings] をクリックして、 [Licensing] タブをクリックします。
この操作により、 [Licensing] ページが表示されます。
2.
[Import License] をクリックします。この操作により、 [Import License File] ページが表示されます。
3.
[License file] ボックスにライセンスファイルのパスを入力するか、 [Browse] をクリックして、適切なファイル
をブラウズします。
4.
[Save] をクリックします。
有効期限切れのライセンスコンポーネントの削除
有効期限切れのコンポーネントライセンスは、アプライアンスから削除することができます ( たとえば、評価版ライセンス
を発行されたコンポーネントを購入しない場合 )。有効期限切れのライセンスを更新する場合は、 Aventail チャネル
パートナーにお問い合わせの上、新しいライセンスファイルを受け取ってください。ベースアプライアンスライセンスは
削除することができません。
X
有効期限切れのコンポーネントライセンスを削除するには
1.
メインナビゲーションメニューから [General Settings] をクリックして、 [Licensing] タブをクリックします。
この操作により、 [Licensing] ページが表示されます。
2.
コンポーネントライセンスの有効期限が切れたら、 [License type] エリアに「expired」というメッセージが表
示され、 [Clear Expired License] ボタンがあわせて表示されます。この [Clear Expired License] ボ
タンをクリックすると、有効期限切れのライセンスファイルをアプライアンスから削除することができます。
EX-750 インストールおよび管理ガイド | 165
第8章
End Point Control
Aventail アプライアンスでは、重要なデータを保護するための複数の「End Point Control」コンポーネントがサポー
トされており、ネットワークが、信頼されていない環境の PC からアクセスを受けても危険を回避します。
従来の VPN ソリューションでは通常、企業のノート型 PC からの比較的安全なアクセスのみを許可しています。このよ
うな環境で、セキュリティ上大きな懸念になるのが、許可されていないネットワークアクセスです。 SSL VPN では、任
意の Web 対応システムからアクセスできるため、空港やホテルのキオスク端末、従業員が所有する PC など、信頼さ
れていない環境の PC からアクセスがあった場合、危険性が増大します。 End Point Control では、エンドユーザー
デバイスの状態を評価するためのプロセスも必要になります。
概要 : End Point Control
従来の VPN ソリューションでは通常、企業のノート型 PC からの比較的安全なアクセスのみを可能にしています。この
ような環境で、セキュリティ上大きな懸念になるのが、許可されていないネットワークアクセスです。 SSL VPN では、
任意の Web 対応システムからアクセスできるため、空港やホテルのキオスク端末、従業員が所有する PC など、信頼
されていない環境の PC からアクセスがあった場合、危険性が増大します。
Aventail End Point Control では、次の 2 つの方法で、信頼されていない環境からのアクセスを防止します。
•
ユーザーの環境が安全であることを確認
企業の IT 部門では、アンチウイルスソフトウェアやファイアウォールの他、悪意のあるソフトウェア ( 「マルウェア」
) から保護するためのセーフガードソフトウェアなどを使用して、 PC を管理下に置いています。一方、管理され
ていない PC の場合、キーストロークレコーダー、ウイルス、トロイの木馬など、ネットワークを危険に陥れる因子
が簡単に入ってきます。
Aventail では、ユーザーを認証する前に、クライアントシステム上のマルウェアを自動的にチェックする、サード
パーティの「クライアントインテグリティ」コントロールとも統合できるようになっています。
また Aventail では、ユーザーのエンドポイントで信頼のレベルに応じて異なるアクセスレベルを割り当てる「信
頼ゾーン」を定義することができます。接続要求が、 AMC で設定された「デバイスプロファイル」と比較され、
適切なゾーンに割り当てられます。
•
セッション後、ユーザーデータを PC から削除
Web ブラウザの場合、重要なデータを、信頼されていない PC に不用意に残してしまう可能性があります。たと
えば、キオスク端末からログインしたユーザーは、 PC のキャッシュに、パスワード、ブラウザのクッキー、ブック
マークした URL など、さまざまなデータを残すことになります。また、ファイルや電子メールの添付ファイルをハー
ドディスク上に残してしまうこともあります。
Aventail の「データ保護」エージェントは、 PC からセッションを自動的に削除します。
Aventail が End Point Control でゾーンとデバイスプロファイルを使用する方法
アプライアンスでは、 End Point Control がコミュニティレベルで管理されインストールされます。コミュニティは、同
様のアクセス要件を持つユーザーまたはグループの集まりです。認証レルム ( ユーザーがアプライアンスに入るときの入
口 ) は、 1 つまたは複数のコミュニティを参照します。一方でコミュニティは、 1 つまたは複数の EPC ゾーンを参照し、
EPC ゾーンは、 1 つまたは複数のデバイスプロファイルを参照することができます。このデバイスプロファイルは、ク
ライアントコンピュータ上に存在する属性を定義するものです。
End Point Control プロセスは、次のように動作します。
1.
ユーザーがアプライアンスに接続し、認証レルムにログインします。
2.
アプライアンスが、このユーザーを、そのレルムに所属するコミュニティに割り当てます。
166|第 8 章 - End Point Control
3.
アプライアンスは、ユーザーのコンピュータに照会することにより、コミュニティのいずれかの EPC ゾーンで定義さ
れている属性と一致する属性がある ( デバイスプロファイルに含まれている ) か判定します。
4.
デバイスがプロファイルと一致する場合、アプライアンスは、そのコンピュータをその EPC ゾーンに分類し、その
ゾーンで構成されている EPC ツールをインストールします。
次の図は、ゾーンおよびデバイスプロファイルを参照するコミュニティが含まれるレルムにユーザーがログインするとき
に、アプライアンスによって実行される評価プロセスを示しています。
コミュニティが複数のゾーンを参照する場合、アプライアンスは接続要求を評価し、一致するデバイスプロファイルを持
つゾーンが見つかるまで、コミュニティリストに記述されているゾーンを調べます。最初のゾーンに一致するものがなかっ
た場合、アプライアンスは次のゾーンに進み、接続要求がそのデバイスプロファイルと一致するかチェックします。この
調子で、コミュニティのゾーンのリストを次々に調べていきます。どのゾーンにも一致するものが見つからなかった場合、
デバイスは、自動的にグローバルデフォルトゾーンを割り当てます。デフォルトゾーンについては、 175 ページの
「デフォルトゾーンの使用」で説明しています。
䭶䮰䭫䭩䮺䮏䬺䭗䭚
n 䭩䮞䮰䭫䭩䮺䮀䭇䬽ធ⛯
y
y
y
y
y
y
䭩䮺䮈䭭䭫䮲䮀䮞䮴䭷䮰䮧
䭩䮞䮱䭸䯃䭾䮮䮺
䮎䭪䮳䭶䮏䮱䭍䬮䬾䮜䭨䭫䮲ฬ
䮘䯃䮄䮑䮲䮜䭨䭫䭩䭭䭰䯃䮲
䮳䭿䮀䮏䮱䭴䯃
Windows 䮐䮨䭫䮺
䮅䯃䮺 =
IT managed
䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲䬽
ዻᕈ䬽䮈䭮䮊䭶
o
䭶䮰䭫䭩䮺䮏䬺ᾖળ
䭶䮰䭫䭩䮺䮏䭡 End Point
Control 䮅䯃䮺䭇㈩⟎
p
䮅䯃䮺䬺ಽ㘃
例
たとえば、「Employees」レルムのメンバーが、 IT 部門が管理するノート型 PC から接続する場合、そのユーザーに
企業のネットワークリソースに対するアクセス権を割り当てたいと仮定します。このような場合、「IT Trusted Laptop」
という名前のデバイスプロファイルを参照する「IT Managed」という名前のゾーンを作成することができます。この例
の場合、このデバイスプロファイルに、ユーザーの企業ノート PC についての個別の属性が存在しなければなりません。
たとえば、アンチウイルスプログラム、企業固有のアプリケーションのファイル名とディレクトリ、企業アプリケーションの
レジストリキー、パーソナルファイアウォール、企業ドメイン内のメンバーシップなどがこれに該当します。 AMC でこの
ゾーンとデバイスプロファイルを構成した後、そのゾーンを「Employees」レルムに追加します。
従業員がログインし「Employees」レルムを選択すると、アプライアンスはそのコンピュータをチェックし、必要なデバ
イス属性を探します。従業員のノート型 PC が、デバイスプロファイルと完全に一致した場合、アプライアンスは、そ
れを「IT Managed」ゾーンに入れます。これ以降、そのユーザーには、そのレルムに対する適切なアクセスエー
ジェントが与えられるため、ネットワークリソースにアクセスできるようになります。
ゾーンとデバイスの使用例については、 167 ページの「End Point Control のシナリオ」を参照してください。
EX-750 インストールおよび管理ガイド | 167
End Point Control のシナリオ
この節では、ゾーンとデバイスプロファイルを使用して、接続要求を分類し End Point Control ツールをクライアント
にインストールする、一般的な End Point Control シナリオについて説明します。
シナリオ 1 : IT の管理下にあるノート型 PC から従業員が接続する場合
このシナリオでは、最初に従業員が、 IT の管理下にあるノート型 PC からアプライアンスに接続します。
n 䮭䯃䭽䯃⹺⸽
IT 䬽▤ℂਅ䬺䬑䭚
䮕䯃䮏ဳ PC 䬽ᓥᬺຬ
䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀
䮞䮴䮜䭨䭫䮲䭡ᾖળ
ᬌ಴䎃䎝
y 䮳䭿䮀䮏䮱䎃䭴䯃
y 䭩䮺䮈䭭䭫䮲䮀䎃䮄䮜䮏䭭䭮䭩
y 䭩䮞䮱䭸䯃䭾䮮䮺
p
⹺⸽䭼䯃䮗䯃
䮅䯃䮺
䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲
䭶䮰䭫䭩䮺䮏䬛䬄IT Managed䬅
䮎䮗䭫䮀䮞䮴䮜䭨䭫䮲䬷৻⥌
Trusted
- IT
IT managed
laptop
- IT䬅
q 䭶䮰䭫䭩䮺䮏䬛䬄Trusted
䮅䯃䮺䬺ಽ㘃
Semi-trusted
- Home
Employee
home PC
䭶䮰䭫䭩䮺䮏䬶䬽䮎䯃䮆
଻⼔䬾ਇⷐ
o
䬄Employees䬅
䮳䮲䮧
䬄Default䬅
䭺䮦䮬䮒䮍䭪
Default
r
この例では、イベントが次のように発生します。
1.
ユーザーがアプライアンスに接続し「Employees」レルムにログインします。ユーザーは「Default」コミュニ
ティに割り当てられます。
2.
ユーザーが認証されると、クライアントデバイスが照会され、「Default」コミュニティが参照するゾーン内にこれ
と一致するデバイスプロファイルがあるか判定されます。デバイスプロファイルは、ゾーン単位で評価され、コ
ミュニティにリストされている最初のゾーン ( この例では「Trusted - IT」ゾーン ) から順にチェックされます。
3.
「Trusted - IT」ゾーンは、「IT Managed laptop」という名前のデバイスプロファイルを参照しています。ア
プライアンスは、ユーザーのデバイス属性が、「IT Managed laptop」プロファイルで構成されているもの ( レ
ジストリキーエントリ、アンチウイルスソフトウェア、アプリケーション ) と一致していると判定します。
4.
アプライアンスは、その一致に基づいて、このデバイスを「Trusted - IT」ゾーンに分類し、このコミュニティで
リストされているそれ以降の 2 つのゾーンについては評価しません。
5.
「Trusted - IT」ゾーンの場合は、クライアント側にデータ保護ツールがなくてもかまいません。この時点で、
「Default」コミュニティは、このユーザーに対して、このコミュニティ用に構成されているアクセスエージェントを
提供します。これにより、ユーザーは、適切なネットワークリソースにアクセスできるようになります。
シナリオ 2 : ホーム PC から従業員が接続する場合
このシナリオでは、最初に従業員が、ホーム PC からアプライアンスに接続します。
n 䮭䯃䭽䯃⹺⸽
䮢䯃䮧䎃䎳䎦
䬽ᓥᬺຬ
䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀
䮞䮴䮜䭨䭫䮲䭡ᾖળ
ᬌ಴ :
y 䭩䮺䮈䭭䭫䮲䮀䎃䮄䮜䮏䭭䭮䭩
y 䮘䯃䮄䮑䮲䎃䮜䭨䭫䭩䭭䭰䯃䮲
p
䭶䮰䭫䭩䮺䮏䬛䬄Employee
home PC䬅䮎䮗䭫䮀䮞䮴
䮜䭨䭫䮲䬷৻⥌
o
䇸Employees䇹
䊧䊦䊛
䇸Default䇹
䉮䊚䊠䊆䊁䉞
䉹䊷䊮
䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲
Trusted
- IT
IT managed
laptop
Semi-trusted
- Home
Employee
home PC
Aventail Cache Control
䬛䭶䮰䭫䭩䮺䮏䬺䭫䮺䮀䮏䯃䮲
r
⹺⸽䭼䯃䮗䯃
Default
q
䭶䮰䭫䭩䮺䮏䬛䬄Semi-Trusted
- Home䬅䮅䯃䮺䬺ಽ㘃
168|第 8 章 - End Point Control
この例では、イベントが次のように発生します。
1.
ユーザーがアプライアンスに接続し「Employees」レルムにログインします。ユーザーは「Default」コミュニ
ティに割り当てられます。
2.
ユーザーが認証されると、クライアントデバイスが照会され、「Default」コミュニティが参照するゾーン内にこれ
と一致するデバイスプロファイルがあるか判定されます。デバイスプロファイルは、ゾーン単位で評価され、コ
ミュニティにリストされている最初のゾーン ( この例では「Trusted - IT」ゾーン ) から順にチェックされます。こ
のシナリオでは、クライアントが最初のゾーンのデバイスプロファイルと一致しなかったため、リスト内の 2 番目の
ゾーン「Semi-Trusted - Home」に進みます。
3.
「Semi-Trusted - Home」ゾーンは、「Employee home PC」という名前のデバイスプロファイルを参照して
います。アプライアンスは、ユーザーのデバイス属性が、「Employee home PC」デバイスプロファイルで構
成されているもの ( アンチウイルスソフトウェアおよびパーソナルファイアウォール ) と一致していると判定します。
4.
アプライアンスは、その一致に基づいて、このデバイスを「Semi-Trusted - Home」ゾーンに分類し、このコ
ミュニティでリストされているそれ以降のゾーンについては評価しません。
5.
「Semi-Trusted - Home」ゾーンの場合は、クライアント側にデータ保護ツールがなくてもかまわないため、
Aventail Cache Control がクライアントにインストールされます。この時点で、「Default」コミュニティは、こ
のユーザーに対して、このコミュニティ用に構成されているアクセスエージェントを提供します。これにより、ユー
ザーは、適切なネットワークリソースにアクセスできるようになります。
シナリオ 3 : キオスク端末から従業員が接続する場合
このシナリオでは、最初に従業員が、キオスク端末からアプライアンスに接続します。
n 䮭䯃䭽䯃⹺⸽
䭴䭱䮀䭶┵ᧃ䬽ᓥᬺຬ
䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀
䮞䮴䮜䭨䭫䮲䭡ᾖળ
ᬌ಴ :
y
o
䬄Employees䬅
䮳䮲䮧
䬄Default䬅
䭺䮦䮬䮒䮍䭪
䮅䯃䮺
䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲
䬹䬦
⹺⸽䭼䯃䮗䯃
Trusted
- IT
p
৻⥌䬨䭚䮎䮗䭫䮀
䮞䮴䮜䭨䭫䮲䬛䬹䬓
IT managed
laptop
Semi-trusted
- Home
Employee
home PC
Aventail Secure Desktop 䬛
䭶䮰䭫䭩䮺䮏䬺䭫䮺䮀䮏䯃䮲
r
Default
q
䭶䮰䭫䭩䮺䮏䬛䬄Default䬅
䮅䯃䮺䬺ಽ㘃
この例では、イベントが次のように発生します。
1.
ユーザーがアプライアンスに接続し「Employees」レルムにログインします。ユーザーは「Default」コミュニ
ティに割り当てられます。
2.
ユーザーが認証されると、クライアントデバイスが照会され、「Default」コミュニティが参照するゾーン内にこれ
と一致するデバイスプロファイルがあるか判定されます。デバイスプロファイルは、ゾーン単位で評価され、コ
ミュニティにリストされている最初のゾーン ( この例では「Trusted - IT」ゾーン ) から順にチェックされます。こ
のシナリオでは、クライアントが最初のゾーンおよび 2 番目のゾーンのプロファイルと一致しなかったため、リスト
内の最後のゾーン「Default」に進みます。
3.
アプライアンスは、キオスク端末クライアントの属性が、「Default」コミュニティのデバイスプロファイルと一致し
ないと判定します。
4.
アプライアンスは、このデバイスを「Default」ゾーンに分類します。コミュニティ内の他のデバイスプロファイル
と一致しないクライアントは自動的に「Default」に割り当てられます。
「Default」ゾーンは、 AMC で構成されたすべてのコミュニティに暗黙的に存在するグローバルゾーンです。こ
こで割り当てられたすべての接続要求に対して、 VPN アクセスをブロックする構成、または VPN アクセスを許可
する構成になっています。詳細については、 175 ページの「デフォルトゾーンの使用」を参照してください。
5.
このシナリオの場合、「Default」ゾーンは、 Aventail Secure Desktop (ASD) をクライアントにインストール
できる場合、 VPN アクセスを許可する構成になっています。 ASD は、オプションのデータ保護コンポーネント (
別売 ) で、 Windows ユーザーに対して広範なデータ保護を行います。キオスク端末で Windows XP または
2000 が動作し、サポートされているブラウザが動作している場合、 ASD がインストールされます。この時点で、
「Default」コミュニティは、このユーザーに対して、このコミュニティ用に構成されているアクセスエージェントを
EX-750 インストールおよび管理ガイド | 169
提供します。これにより、ユーザーは、適切なネットワークリソースにアクセスできるようになります。ただし、キ
オスク端末のオペレーティングシステムやブラウザが ASD と互換でない場合、アプライアンスは、 Aventail
Cache Control (ACC) を代わりにインストールします。 ASD も ACC もクライアントにロードできない場合は、
ユーザーの接続要求が拒否されます。
ゾーンおよびデバイスプロファイルによる EPC の管理
End Point Control では、ゾーンの使用を通じて、データ保護コンポーネントをユーザーに提供します。このゾーン
が、接続要求をクライアントデバイスの属性に基づいて分類する「信頼ゾーン」です。デバイスプロファイルは、クラ
イアントを識別しゾーンに割り当てる上で必要な属性を定義するもので、次の項目を入れることができます。
•
アンチウイルスソフトウェア
•
パーソナルファイアウォール
•
アプリケーション
•
ディレクトリ名
•
ファイル名
•
ファイルサイズ
•
ファイルタイムスタンプ
•
Windows レジストリエントリ
•
Windows ドメイン
•
Windows バージョン
1 つの EPC ゾーンからは、 1 つまたは複数のデバイスプロファイルを参照することができます。ゾーンが複数のデバ
イスプロファイルを参照しているとき、いずれかのデバイスプロファイルと属性が一致するクライアントコンピュータは、
そのゾーンに割り当てられます。これは、たとえば同様の VPN アクセス要件を持つ複数のユーザーが存在し、異なる
コンピュータプラットフォームを利用している場合などに使用すると便利です。たとえば、 Windows コンピュータのデ
バイスプロファイルを参照する EPC ゾーンと、 Macintosh コンピュータを参照するゾーンを用意することができます。
AMC には、デフォルトゾーンという定義済みのゾーンがあります。このゾーンは削除することができません。デフォル
トゾーンは、接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可またはブロックするためのグローバ
ルな安全装置として機能します。詳細については、 175 ページの「デフォルトゾーンの使用」を参照してください。
このアプライアンスには、共通のアクセスシナリオに合わせて構成されているゾーンとデバイスプロファイルもあります。
End Point Control をすぐに開始したいときは、これらのゾーンとデバイスプロファイルをそのまま使用することができ
ます。また、特定の要件に合わせて、これをカスタマイズして使用することもできます。ゾーンとデバイスプロファイル
は、さまざまなアクセスシナリオと信頼レベル ( たとえば従業員、ビジネスパートナー、請負業者別のゾーン ) に対応
する上で必要であれば、いくらでも作成することができます。 175 ページの「定義済みのゾーンおよびデバイスプロ
ファイルの使用」を参照してください。
ユーザーの認証後、そのユーザーが使用できるゾーンを指定する場合は、コミュニティを使用します。ゾーンをコミュニ
ティにリンクする方法については、 110 ページの「コミュニティでの End Point Control 制約の使用」を参照してくだ
さい。また、ユーザー、グループ、リソースなどと同じように、ゾーンをアクセスポリシーと対応させることもできます。
End Point Control の有効化と無効化
AMC では、 End Point Control はデフォルトで無効になっています。 AMC では、 EPC をグローバルに有効化また
は無効化することができます。
X
End Point Control を有効にするには
1.
メインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End Point
Control] ページが表示されます。
2.
[Enable End Point Control] チェックボックスを選択します。
End Point Control が無効になっているとき、次の EPC 動作は実行されなくなります。
•
クライアントデバイスの属性の評価
•
ゾーンへの接続要求の分類
•
アクセス制御ルールのゾーン制約の強制
170|第 8 章 - End Point Control
ゾーンおよびデバイスプロファイルの表示
AMC で構成されているゾーンとデバイスプロファイルは、 [Zones and Device Profiles] ページで参照すること
ができます。
X
構成されているゾーンとデバイスプロファイルを表示するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。
2.
[End Point Control] ページでは、 AMC で構成されているゾーンとデバイスプロファイルがリストされます。
また、 EPC エージェントのステータスもリストされます。ゾーンまたはデバイスプロファイルの名前をクリックするこ
とで、その設定を表示したり編集したりすることができます。
3.
[Zones and Device Profiles] タブをクリックします。この操作により、 [Zones and Device
Profiles] ページが表示されます。
4.
[End Point Control zones] リストに表示されているデータを確認します。
5.
•
チェックボックス列は、 1 つまたは複数のゾーンを選択するときに使用します。ゾーンの削除やコピーなどを
行うときにこれを使用します。
•
プラス記号 (+) の列をクリックすると、選択したゾーンが拡大され、それに対応するデバイスプロファイルと
コミュニティが表示されます。
•
[Name] 列には、ゾーンを作成するときに割り当てた名前が表示されます。ゾーンは、名前をクリックする
ことで編集できるようになっています。
•
[Description] 列には、ゾーンを作成するときに入力した説明テキストがリストされます。
•
[Device profile] 列には、ゾーンに割り当てた 1 つまたは複数のデバイスプロファイルの名前がリストさ
れます。
•
[Community] 列には、ゾーンがコミュニティによって参照されているかどうかが示されます。青いドットは、
ゾーンが 1 つまたは複数のコミュニティによって使用されていることを示します。ゾーンがコミュニティに参照さ
れていない場合、このフィールドはブランクになります。
[Device profiles] リストに表示されているデータを確認します。
•
チェックボックス列は、 1 つまたは複数のデバイスプロファイルを選択するときに使用します。プロファイルを
削除するときにこれを使用します。
•
[Name] 列には、デバイスプロファイルを作成するときに割り当てた名前が表示されます。デバイスプロ
ファイルは、名前をクリックすることで編集できるようになっています。
•
[Description] 列には、デバイスプロファイルを作成するときに入力した説明テキストがリストされます。
EX-750 インストールおよび管理ガイド | 171
ゾーンの定義
次の手順は、ゾーンを作成する方法を示しています。ゾーンは、 Internet Explorer 6.0 以降または Firefox 1.0
以降が動作する Windows 2000 または XP コンピュータでサポートされています。また、 Safari および Firefox が
動作する Macintosh クライアントや、 Firefox が動作する Linux クライアントでもゾーンを作成することができます。
X
ゾーンを定義するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[End Point Control Zones] エリアで、 [New] をクリックします。この操作により、 [Zone Definition]
ページが表示されます。
4.
[Name] ボックスに、ゾーン名をわかりやすい名前で入力します。
5.
[Description] ボックスに、ゾーンについてのコメントをわかりやすく入力します。
6.
ゾーンに入れたいデバイスプロファイルの左側にあるチェックボックスを選択します。接続プロセスのとき、デ
バイスをこのゾーンに割り当てるためには、プロファイルで定義されているすべての属性がそのデバイス上になけ
ればなりません。また、 [New] をクリックして、そのゾーンのデバイスプロファイルを作成することもできます。
ほとんどの場合、ゾーンには、最低でも 1 つデバイスプロファイルが含まれていなければなりません。詳細につ
いては、 172 ページの「ゾーンに対するデバイスプロファイルの定義」を参照してください。ゾーンが複数のデ
バイスプロファイルを参照している場合、アプライアンスは、接続要求と一致するプロファイルを受け付けて、その
デバイスをそのゾーンに割り当てます。
7.
特定のゾーンについて、 Aventail Cache Control または Aventail Secure Desktop の存在を条件にしたい
場合、 [Required data protection tool] リストから、対応するオプションを選択します。
Aventail Secure Desktop は、 Windows 2000 および XP プラットフォームでサポートされているオプション
コンポーネントで、別途購入することになっています。これがサポートされていないプラットフォームの場合は、
Aventail Cache Control を代わりに使用します。
8.
ゾーンの作成が終わったら、 [Save] をクリックします。この操作により、 [Zones and Device Profiles]
ページに戻ります。
172|第 8 章 - End Point Control
メモ
•
Aventail Connect トンネルまたは Connect プロキシクライアントのユーザーをゾーンに割り当てたい場合、異
なる構成手順が必要になります。 174 ページの「ゾーンへの Aventail Connect ユーザーの割り当て」を参照
してください。ただし、 Aventail Connect トンネルまたは Connect プロキシクライアントを使用する場合、
Aventail Cache Control および Aventail Secure Desktop は使用できなくなります。
ゾーンに対するデバイスプロファイルの定義
デバイスプロファイルは、アンチウイルスプログラム、アプリケーション、 Windows レジストリエントリなど、 1 つまた
は複数の属性を検索することにより、クライアントデバイスとの間に信頼関係を確立します。デバイスプロファイルは、
1 つまたは複数のゾーンから参照されます。
デバイスプロファイルは、クライアントコンピュータ上の 1 つの属性のみを検出するよう定義できる他、複数の属性を必
要とするよう設定することもできます。デバイスプロファイルが複数の属性を参照するとき、そのプロファイルと一致する
ためには、クライアントコンピュータ上にそのすべての属性がなければなりません。
X
あるゾーンに対するデバイスプロファイルを定義するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[Device profiles] エリアで、 [New] をクリックします。この操作により、 [Device Profile Definition]
ページが表示されます。
4.
[Name] テキストボックスに、デバイスプロファイル名をわかりやすい名前で入力します。
5.
[Description] ボックスに、デバイスプロファイルについてのコメントをわかりやすく入力します。
6.
[Add attribute] エリアの [Operating system] で、 [Microsoft Windows]、 [Macintosh]、
[Linux] の中からオペレーティングシステムを選択します。指定できるデバイスプロファイル属性は、選択した
オペレーティングシステムによって変動します。
7.
デバイスプロファイルで使用する適切な属性を選択します。それぞれの属性で [Type] と [Value] を指定した
ら、 [Add to Current Attributes] ボタンをクリックします。この操作により、今追加したデバイス属性が、
[Current attributes] リストに表示されます。
•
Windows または Macintosh クライアントで [Antivirus program] を選択した場合 ( この属性は
Linux クライアントデバイスでは表示されない )、 [Norton Antivirus] または [McAfee] を選択しま
す。複数の値を選択した場合、クライアントデバイスで検出されるものが 1 つでもあればそれが認められま
す。
ユーザーがリストに載っているもの以外のアンチウイルスプログラムを実行している場合、 [Application]
属性を使用して、それをデバイスプロファイルに追加することができます。
•
[Application] の場合、クライアントデバイスで動作しなければならないアプリケーションプロセスの名前
を入力します。この場合、アプリケーション名では、大文字と小文字が区別されません。複数のアプリケー
ションを入力した場合、すべてのアプリケーションがデバイス上で動作していなければ、そのプロファイルと一
致したことになりません。
EX-750 インストールおよび管理ガイド | 173
•
[Directory name] の場合、デバイスのハードディスク上に存在しなければならないディレクトリの名前を
入力します。この場合、ディレクトリ名では、大文字と小文字が区別されません。デバイスプロファイルで複
数のディレクトリ名を指定した場合、すべてのディレクトリがデバイス上に存在していなければ、そのプロファ
イルと一致したことになりません。
•
[File name] の場合、デバイスのハードディスク上に存在しなければならないファイルの名前を入力します
( 拡張子とフルパスも指定 )。この場合、ファイル名では、大文字と小文字が区別されません。デバイスプ
ロファイルで複数のファイル名を指定した場合、すべてのファイルがデバイス上に存在していなければ、その
プロファイルと一致したことになりません。また、この属性では環境変数 (%windir% や %userprofile%
など ) を使用することもできます。
オプションで、 [File size] にファイルサイズをバイト数単位で指定できる他、 [Date] および [Time]
に、ファイルが最後に更新された日付と時刻を指定することもできます。この 2 つのオプションでは、
[Operator] に比較演算子を指定することができます。 173 ページの「デバイスプロファイル属性での比
較演算子の使用」を参照してください。
•
[Personal firewall program] の場合、 [Sygate]、 [Microsoft]、 [Zone Labs] のいずれか
を選択します。複数の値を選択した場合、クライアントデバイスで検出されるものが 1 つでもあればそれが
認められます。この属性を指定できるのは、 Windows クライアントデバイスのみです。
ユーザーがリストに載っているもの以外のパーソナルファイアウォールプログラムを実行している場合、
[Application]、 [File name]、 [Windows registry entry] のいずれかの属性を使用して、そ
れをデバイスプロファイルに追加することができます。
•
[Windows domain] の場合、ユーザーが所属するドメイン名を DNS 接尾辞を入れずに NetBIOS 構
文で ( 「example」、「mycompany」など ) 入力します。複数の Windows ドメインを指定した場合、該
当するものが 1 つでもあればそれが認められます。複数のエントリは、セミコロンを使用して区切ります。
•
[Windows registry entry] の場合、 [Key name] にキー名を入力します。また、オプションで
[Value name] に値、 [Data] にデータを入力することができます。 [Data] フィールドでは、
[Operator] で比較演算子を選択することができます。 173 ページの「デバイスプロファイル属性での比
較演算子の使用」を参照してください。
複数の Windows レジストリエントリを入力した場合、すべてのレジストリエントリがデバイス上に存在してい
なければ、そのプロファイルと一致したことになりません。
•
[Windows Version] の場合、オペレーティングシステムのメジャーバージョン番号、マイナーバージョ
ン番号、ビルド番号を入力します。 Windows XP および Windows 2000 の場合、メジャーバージョン
番号は 5 で、マイナーバージョン番号は、 Windows XP で 1、 Windows 2000 で 0 になります。
[Windows Version] 属性では、 [Operator] で比較演算子を使用することができます。ただしこの
演算子は、 3 つのすべてのバージョン番号で共通になります。つまり、メジャーバージョン番号で「>=」
演算子を使用すると、マイナーバージョン番号とビルド番号の値でもその演算子を使用することになります。
詳細については、 173 ページの「デバイスプロファイル属性での比較演算子の使用」を参照してくださ
い。
8.
デバイスプロファイルの作成が終わったら、 [Save] をクリックします。この操作により、 [Zones and
Device Profiles] ページに戻ります。
デバイスプロファイル属性での比較演算子の使用
特定のデバイスプロファイル属性は、「より大きい」や「より小さい」などの比較演算子を使用して修正することができま
す。比較演算子は、たとえば、クライアントデバイス上のソフトウェアが自動的に更新される場合、そのソフトウェアに
合わせてデバイスプロファイルを最新にしておくような状況で使用すると便利です。このような場合でも、ソフトウェアの
更新に合わせてその都度手作業でプロファイルを変更する必要がなくなるためです。たとえば、一定の日時よりも新し
いタイムスタンプを持つファイルのみがクライアントマシン上で検出されるよう指定できる他、特定のバージョンより新しい
Windows オペレーティングシステムがクライアントデバイス上で検出されるよう指定することもできます。
使用できる比較演算子は、「より小さい (<)」、「以下 (<=)」、「等しい (=)」、「以上 (>=)」、「より大きい (>)」で
す。比較演算子は、次のデバイスプロファイル属性と組み合わせて使用することができます。
•
特定ファイルのファイルタイムスタンプ
•
特定ファイルのファイルサイズ
•
レジストリエントリ ( レジストリキーで値データが選択されている場合 )
•
Windows バージョン
174|第 8 章 - End Point Control
ゾーンへの Aventail Connect ユーザーの割り当て
Aventail Connect Proxy クライアントまたは Aventail Connect Tunnel クライアントを使用してネットワークリソース
にアクセスするユーザーがいる場合、アプライアンスによって正しく識別されるよう、まったく同じゾーンを割り当てなけれ
ばなりません。このような手順が必要になるのは、 Aventail Connect が他の接続方法と異なる方法でアプライアンス
にルーティングされるためです。
Aventail Connect クライアントユーザー専用のゾーンを設ける必要はなく、このようなユーザーも既存のゾーンに入れ
ることができます。 Aventail Connect は通常、信頼できるコンピュータにのみインストールされるため、これらのユー
ザーを最も信頼できるゾーンに割り当てることもできます。
X
Aventail Connect ユーザーをゾーンに割り当てるには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[Place Aventail Connect users in this zone] リストを使用して、 Aventail Connect ユーザーに適し
たゾーンを選択します。
ゾーンのコピー
手間を省くため、 AMC では、既存のゾーンから属性をコピーして、新しいゾーンでそれを利用することができます。
ゾーンをコピーすると、元のゾーンのデバイスプロファイルも新しいゾーンにコピーされます。
X
ゾーンをコピーするには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
コピーしたいゾーンの左側にあるチェックボックスを選択して、 [Copy] ボタンをクリックします。この操作により、
[Zone Definition] ページが表示されます。 [Name] ボックス ( ブランクになっている ) 以外のそれぞれの
フィールドには、元のゾーンの情報が表示されています。
4.
[Name] ボックスに、新しいゾーン名をわかりやすい名前で入力します。
5.
必要に合わせて、デバイスプロファイルやデータ保護設定を変更します。
6.
[Save] をクリックして、新しいゾーンを作成します。この操作により、 [Zones and Device Profiles]
ページに戻ります。
ゾーンまたはデバイスプロファイルの削除
ゾーンを削除するときは、次の手順を実行します。
X
ゾーンを削除するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[End Point Control zones] エリアで、削除したいゾーンに対するチェックボックスを選択して、 [Delete]
ボタンをクリックします。
X
デバイスプロファイルを削除するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[Device profiles] エリアで、削除したいデバイスプロファイルに対するチェックボックスを選択して、
[Delete] ボタンをクリックします。
メモ
•
ゾーンまたはデバイスプロファイルが他のオブジェクトから参照されている場合は、これを削除することができませ
ん。たとえば、コミュニティから参照されているゾーンを削除しようとすると、エラーメッセージが表示されます。削
除する前に、あらかじめ、ゾーンへのすべての参照を削除しておかなければなりません。詳細については、 31
ページの「参照されているオブジェクトの削除」を参照してください。
EX-750 インストールおよび管理ガイド | 175
定義済みのゾーンおよびデバイスプロファイルの使用
AMC では、 End Point Control をすぐに使えるよう、構成済みの EPC ゾーンとデバイスプロファイルをあらかじめ用
意しています。これらのゾーンとデバイスプロファイルはそのまま使用できる他、アクセスポリシーおよびリソース要件に
合わせて修正することもできます。
構成済みの EPC ゾーンには、次のようなものがあります。
•
Antivirus and cache control required: このゾーンは、 Windows XP/2000 コンピュータと Apple
Macintosh コンピュータのいずれかで使用するもので、 Norton または McAfee のいずれかのアンチウイルスソ
フトウェアがインストールされており、しかも Aventail Cache Cleaner が有効で、ユーザーセッションの後ブラ
ウザのキャッシュが削除されるようになっていなければなりません。このゾーンは、構成済みの Windows
Antivirus および Macintosh Antivirus デバイスプロファイルを参照します。
•
Windows firewall enabled: このゾーンでは、 Windows XP または 2000 コンピュータが必要で、その
コンピュータに、 Sygatge、 Microsoft、 Zone Labs 製のパーソナルファイアウォールプログラムがインストー
ルされていなければなりません。このゾーンは、構成済みの Windows firewall デバイスプロファイルを参照
します。
•
Default: このゾーンは、接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可またはブロック
するためのグローバルな安全装置として機能します。
構成済みのデバイスプロファイルには、次のようなものがあります。
•
Windows Antivirus: このデバイスプロファイルは、Windows XP または 2000 が動作するコンピュータに、
アンチウイルスプログラムとパーソナルファイアウォールプログラムの両方が存在する場合にそのデバイスを検出
するよう構成されています。
•
Macintosh Antivirus: このデバイスプロファイルは、 Apple Macintosh コンピュータに、アンチウイルスプ
ログラムとパーソナルファイアウォールプログラムの両方が存在する場合にそのデバイスを検出するよう構成されて
います。
•
Windows firewall: このデバイスプロファイルは、 Windows XP または 2000 が動作するコンピュータに、
パーソナルファイアウォールがインストールされている場合にそのデバイスを検出するよう構成されています。
•
Macintosh computer: このデバイスプロファイルは、 Macintosh オペレーティングシステムが動作するコ
ンピュータを識別するよう構成されています。
特定の状況に対するゾーンの作成
大部分の接続要求 (Microsoft Windows と Internet Explorer を使用したもの ) は、標準のゾーン構成で対応で
きますが、他のオペレーティングシステムやブラウザ、定義しているゾーンに対応していない接続要求など、特殊な状
況にも対応する必要があります。ゾーンとデバイスプロファイルを使用して、次の状況に対応することができます。
•
定義されているゾーンやデバイスプロファイルに対する基準と一致しないクライアント
•
Macintosh オペレーティングシステムが動作するクライアント
•
Linux オペレーティングシステムが動作するクライアント
•
Windows が動作しているが、 Web ブラウザが Microsoft のものでないクライアント、または以前のバージョンの
Windows
•
動作しているクライアントデバイスに関係なく、アクセスが必要な特殊なクラスのユーザー
また、グローバルデフォルトゾーンを構成し、 AMC で構成されているあらゆるコミュニティに暗黙的に存在するようにし
ます。
デフォルトゾーンの使用
AMC には、グローバルデフォルトゾーンがあり、接続要求が他の設定済みのゾーンの基準と一致しない場合に VPN
アクセスを許可またはブロックするためのグローバルな安全装置として機能します。アプライアンスが、ゾーンに分類でき
ない ( つまりクライアントデバイスのオペレーティングシステム、ブラウザ、その他の属性などを識別できない ) 接続要
求を受け取ったら、そのデバイスは自動的にデフォルトゾーンに入れられます。デバイスがデフォルトゾーンに割り当
てられたユーザーについては、すべての VPN アクセスを許可するか拒否するよう設定することができます。
デフォルトゾーンは、他のゾーンと異なり、デバイスプロファイルはありませんが、データ保護エージェントの存在を求
めるよう構成することはできます。デフォルトゾーンは、 AMC で構成されているあらゆるコミュニティに暗黙的に存在す
ることになります。
176|第 8 章 - End Point Control
X
デフォルトゾーンを構成するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and device profile summary] エリアで、 [Default Zone] リンクをクリックします。この操作
により、 [Zone Definition] ページが表示されます。このとき、 [Name] ボックスには自動的に「Default
Zone」と入力されます。
3.
[Data protection] エリアで、デフォルトゾーンに入れられたクライアントデバイスについて、 Aventail
Secure Desktop または Aventail Cache Control がなければ接続できないようにすることができます。
Aventail Secure Desktop は、 Windows のみで使用できるオプションのデータ保護コンポーネントです。こ
れがサポートされていないプラットフォームの場合は、 Aventail Cache Control が代わりに使用されます。
4.
[Access restrictions] エリアで、デフォルトゾーンに入れられたクライアントデバイスについて、 VPN ア
クセスを許可するかブロックするか選択します。 [Block VPN access] を選択した場合、デフォルトゾー
ンに割り当てられたユーザーは、アプライアンスからログオフします。
5.
[Save] をクリックします。この操作により、デフォルトゾーンの設定が有効になります。
例
あるユーザーの接続要求が信頼関係の基準と合致しない場合にそのユーザーのアクセスを制限したいとき、デフォルト
ゾーンを、制約のあるアクセス制御ルールに入れることができます。たとえば、 Web ブラウザ接続を Outlook Web
Access に限定する「permit」アクセス制御ルールにデフォルトゾーンを入れることで、これらのユーザーが自身の電
子メールにアクセスできるようになります。
高レベルの信頼性に基づく制約のあるアクセスポリシーを設け、明示的に定義されているものを除いて接続要求を認め
ないようにする場合、デフォルトゾーンに [Block VPN access] を設定するのが最も適しています。ただし、他の
ゾーンやアクセス制御ルールで、正当なユーザーが誤って排除された場合でも、デフォルトゾーンは例外なくこれらの
ユーザーをブロックします。
非 Microsoft ブラウザまたは以前の Windows バージョンに対するゾーンの定義
ユーザーの Microsoft Windows PC で、 Internet Explorer 6.0 以降以外のブラウザ (Netscape や Opera な
ど ) が動作している場合、これらのユーザーに特殊なゾーンを割り当てることができます。こうすることにより、非
Microsoft ブラウザを使用する Windows ユーザーがデフォルトゾーンに入れられてアクセスがブロックされてしまうの
を防止することができます。このゾーンのタイプを区別するための唯一の属性は、 Windows システムの存在です。
この構成は、 Windows XP や 2000 より前の Microsoft Windows が動作しているユーザーに対して、ゾーンを定
義するときにも使用することができます。
EX-750 インストールおよび管理ガイド | 177
X
非 Microsoft ブラウザを使用するクライアントのためのゾーンを定義するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[End Point Control Zones] エリアで、 [New] をクリックします。この操作により、 [Zone Definition]
ページが表示されます。
4.
[Description] ボックスに、この特殊ブラウザゾーンについてのコメントをわかりやすく入力します。
5.
[Device Profiles] エリアで、 [New] をクリックします。この操作により、 [New Device Profile
Definition] ポップアップウィンドウが表示されます。
6.
[Name] ボックスに、デバイスプロファイル名をわかりやすい名前で入力します。
7.
[Description] ボックスに、デバイスプロファイルについてのコメントをわかりやすく入力します。
8.
[Add attribute] エリアで、デバイスプロファイルに対する [Operating system] として [Microsoft
Windows] を選択します。他の属性設定は指定しないでください。
9.
[Save] をクリックします。この操作により、 [Zone Definition] ページに戻ります。
10. このゾーンに入れたいブラウザのデバイスプロファイルに対するチェックボックスを選択します。
11. このデバイスプロファイルで、データ保護コンポーネントの存在を条件にしたい場合、 [Required data
protection tool] リストから、 [Aventail Secure Desktop] または [Aventail Cache Control] を
選択します。
12. ゾーンの作成が終わったら、 [Save] をクリックします。この操作により、 [Zones and Device Profiles]
ページに戻ります。
特殊なクラスのユーザーに対するゾーンの定義
信頼されている特殊なクラスのユーザーにデフォルトゾーンを割り当て ( 同時におそらくアクセスが拒否され ) ないように
する方法は他にもあります。デバイスプロファイルが含まれないゾーンを作成し、そのゾーンを、信頼されているユー
ザーのみが所属するコミュニティに割り当てるのです。
たとえば、システム管理者が、使用中のクライアントデバイスに関係なく、ネットワークリソースにアクセスできるようにし
たい場合、システム管理者を、プロファイルがないゾーンを含むコミュニティに割り当てることができます。その後、シス
テム管理者が、そのコミュニティを参照するレルムを選択してログインすると、承認されていないクライアントをブロックす
るためのグローバルデフォルトゾーンではなく、プロファイルがないこのゾーンに入れられます。
X
プロファイルがないゾーンを作成するには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Zones and Device Profiles] タブをクリックします。
3.
[End Point Control Zones] エリアで、 [New] をクリックします。この操作により、 [Zone Definition]
ページが表示されます。
4.
[Name] ボックスに、ゾーン名をわかりやすい名前で入力します。
5.
[Description] ボックスに、ゾーンについてのコメントをわかりやすく入力します。
6.
このゾーンでは、デバイスプロファイルを選択しないでください。
7.
オプションで、このゾーンに対して [Required data protection tool] を選択することができます。ただ
し、このような信頼されている特殊クラスのユーザーに、接続で使用するデバイスのタイプについて柔軟性を持た
せたい場合、このフィールドを「None」のままにしておきます。
8.
[Save] をクリックします。
プロファイルがないゾーンを定義したら、このような信頼されている特殊クラスに特化したレルムを作成し、この特殊クラ
スのみがログインできるよう、レルムを専用のコミュニティに対応させる必要があります。詳細については、 112 ページ
の「ユーザーまたはグループのメンバーシップの特定コミュニティへの制限」を参照してください。
178|第 8 章 - End Point Control
クライアントに残されたデータの削除
Aventail のデータ保護コンポーネントは、ユーザーセッションが終わったら、クライアントに残されたデータを削除する
ようになっています。次の 2 種類のオプションがあります。
•
Aventail Cache Control (ACC)。すべての Web セッションに対して、基本的なデータ保護を行います。
ベースアプライアンスに含まれています。
•
Aventail Secure Desktop (ASD)。 Windows ユーザーに対して広範なデータ保護を行うオプションコン
ポーネント ( 別売 ) です。ユーザーの環境が ASD がサポートしない環境の場合、ACC が代わりに使用されます。
AMC では、高度な End Point Control を提供する、 Sygate On-Demand もサポートしています。詳細について
は、 182 ページの「Sygate On-Demand」を参照してください。
どちらの Aventail コンポーネントも、非アクティブなユーザー接続を自動的に終了させ、クライアントからデータを削除
するタイムアウト設定を構成できるようになっています。このシステムにより、ユーザーがキオスク端末やその他の共有さ
れているコンピュータからログアウトし忘れても、機密漏洩の危険性を最小限に抑えられるようになっています。
ユーザーがセッションを終了するときまたはユーザーのセッションがタイムアウトするとき、 Aventail Cache Control お
よび Aventail Secure Desktop は、データをクライアントのキャッシュから削除します。次の表は、削除されるデー
タをまとめたものです。
コンポーネント
説明
ブラウザの履歴
ブラウザの履歴から、すべてのセッション URL が永続的に削除され、ブ
ラウザから呼び出せなくなります。同時に、外部アプリケーションからプロ
グラム的に呼び出すこともできなくなります。
ブラウザのキャッシュ
ブラウザからアクセスされ、ハードドライブに保管されている可能性がある
すべてのデータファイルの他、関連する URL とパスワードもすべて永続
的に削除されます。
ブラウザのユーザー名とパスワード
セッションで使用されたすべてのユーザー名および関連するパスワードは、
キャッシュから削除されます。
ブラウザの URL オートコンプリート
リスト
セッションで訪問したすべての URL は、ブラウザのオートコンプリートリス
トから削除されます。
Windows index.dat
index.dat ファイルに保管されているブラウザの活動詳細も削除されます。
一時記憶
ユーザーが、Outlook Web Access (OWA) などの Web アプリケーショ
ンから開いたほとんどの添付ファイルは、 Aventail Cache Control が一
時フォルダを削除するときに永続的に削除されます。
Aventail Secure Desktop を使用すると、ダウンロードされローカル
ハードディスクに保管されたセッション関連のすべてのデータファイルが、
永続的に削除されます ( ただしこれは、 Aventail Secure Desktop を
使用する場合のみ )。
EX-750 インストールおよび管理ガイド | 179
Aventail Cache Control の構成
Aventail Cache Control は、 Web セッションが終わるたびに、ブラウザキャッシュから履歴と一時ファイル、ユー
ザーのシステムからパスワードとクッキーを削除します。また、非アクティブ時のタイムアウトを構成することもできます。
X
Aventail Cache Control を構成するには
1.
メインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End Point
Control] ページが表示されます。
2.
[Enable End Point Control] チェックボックスを選択します。
3.
[Post-authentication] で [Configure data protection] をクリックします。この操作により、
[Configure Data Protection] ページが表示されます。
4.
[End inactive user connections] リストから適当な値を選択することにより、非アクティブタイマーを設定
します。これにより、ユーザーが一定期間、非アクティブな状態になると、ユーザーセッションが自動的に終了
しキャッシュが消去されるようになります。
5.
[Aventail Cache Control] エリアで、 [Enable Aventail Cache Control] チェックボックスを選択し
ます。
6.
状況によってわずかに高いレベルのセキュリティが必要な場合は、 [Close other browser windows at
startup] チェックボックスを選択します。この設定により、 ACC が、ネットワークアクセスの際のブラウザコン
テキストに対応するすべてのデータを正確に監視するようになります。ただし、 ACC の起動時にブラウザのウィン
ドウを複数開けておくユーザーには不都合が生じる可能性があります。
7.
セッションの終了時にキャッシュクリーナーが動作しないことをユーザーが選択できるようにする場合は、 [Allow
user to disable cache control] チェックボックスを選択します。この設定は、デフォルトでオフになって
います。
8.
[Save] をクリックします。この操作により、 [End Point Control] ページに戻ります。
Aventail Cache Control を構成したら、ゾーンの [Required data protection tool] としてこれを選択しなけ
ればならなくなります。詳細については、 171 ページの「ゾーンの定義」を参照してください。
メモ
•
さまざまな EPC 要件を持つ、独立した「信頼ゾーン」で ACC を有効にすることで、一定数のユーザーのみに
ACC を提供することもできます。ゾーンを使用して ACC の提供をコントロールする方法については、 171 ペー
ジの「ゾーンの定義」を参照してください。
•
ASAP WorkPlace からログアウトしても、 ACC がキャッシュを消去することはありません。 ACC がキャッシュを消
去してクローズするには、ユーザーが WorkPlace ブラウザウィンドウをクローズしなければなりません。
•
ユーザーのコンピュータで ACC をロードできない場合、ユーザーは WorkPlace にログインできません。
•
非アクティブタイマー設定は、 ACC と ASD の両方に適用されます。 ACC と ASD で異なるタイムアウト設定を
構成することはできません。
180|第 8 章 - End Point Control
Aventail Secure Desktop
Aventail Secure Desktop (ASD) には、基本キャッシュクリーニングを上回る保護機能があります。 ASD は、
Sygate Technologies と共同開発したソリューションで、標準的な Windows デスクトップとほとんど同じ外観の「仮
想的な」 Windows セッションを作成します。デフォルトの場合、ネットワークからアクセスされるすべてのデータは、暗
号化されてからディスクに記録され、 ASD 内からのみアクセス可能になります。
ユーザーがセッションを終了すると、ダウンロードされローカルハードディスクに保管されたセッション関連のすべての
データファイルが、永続的に削除されます。しかも、 Web ブラウザに関連する一時データがあれば、それも削除され
ます。ユーザーには、 ASD を使用しているときはデータをローカルディスクに保存しないよう通達してください。例を
示します。
•
ファイルをローカルディスクに保存しないこと。たとえばユーザーがネットワークからファイルをダウンロードし
てそれをハードディスクに保存すると、セッションの終了時に削除されます。
•
アプリケーションデータをローカルディスクに保存しないこと。一部のクライアント/サーバーアプリケーショ
ン (Microsoft Outlook など ) では、ユーザーがデータをローカルに保管できるようになっています。ユーザー
は、これらのアプリケーションと ASD との通信に気を配る必要があります。たとえば、 Outlook ユーザーが、
ASD の動作中にデータをローカルに (.pst ファイルに ) 保管し、電子メールメッセージをシステムの「Inbox」
からローカルのメールフォルダに移動する場合、セッション終了時に、メッセージがローカルディスクから削除さ
れます。ユーザーが、 ASD によって作成されている仮想セッションを認識しやすくするため、デスクトップには、
特有の背景色とイメージが表示されます。
ASD は、次の環境の Windows ユーザーが使用できます。ただし、ブラウザで Java が有効になっていなければな
りません。
オペレーティングシステム
Web ブラウザ
•
Microsoft Windows XP (Service Pack 2
がインストールされているもの )
•
Microsoft Internet Explorer 6.0 以降 (Service Pack
1 がインストールされているもの )
•
Microsoft Windows 2000 (Service
Pack 4 がインストールされているもの )
•
Firefox 1.0 以降
EX-750 インストールおよび管理ガイド | 181
Aventail Secure Desktop の構成
この節では、 AMC で ASD を設定する方法について説明します。 ASD を構成する前に、有効な ASD ソフトウェア
ライセンスがアプライアンスにアップロードされている必要があります。詳細については、 163 ページの「ソフトウェアラ
イセンス」を参照してください。
X
Aventail Secure Desktop を構成するには
1.
メインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End Point
Control] ページが表示されます。
2.
[Enable End Point Control] チェックボックスを選択します。
3.
[Post-authentication] で [Configure data protection] をクリックします。この操作により、
[Configure Data Protection] ページが表示されます。
4.
[End inactive user connections] リストから適当な値を選択することにより、非アクティブタイマーを構成
します。これにより、ユーザーが一定期間、非アクティブな状態になると、ユーザーセッションが自動的に終了
しキャッシュが消去されるようになります。
5.
[Aventail Cache Control] エリアで、 ACC 設定を構成します (179 ページの「Aventail Cache
Control の構成」を参照 )。ユーザーが ASD を実行できない場合 ( たとえばユーザーが Apple Macintosh
を使用している場合 )、アプライアンスは、指定されている ACC 設定を使用して、クライアント上で ACC を代わ
りに使用します。
6.
[Aventail Secure Desktop] エリアで、 [Enable Aventail Secure Desktop] チェックボックスを選
択します。
7.
ユーザーが標準 Windows セッションと ASD が作成した仮想 Windows セッションとを切り替えられるようにする
ときは、 [Allow user to switch between desktops] チェックボックスを選択します。このオプションを
選択すると、 ASD が提供するデータ保護のレベルがわずかに低下します。
8.
[Save] をクリックします。この操作により、 [End Point Control] ページに戻ります。
Aventail Secure Desktop を構成したら、ゾーンの [Required data protection tool] としてこれを選択しな
ければならなくなります。詳細については、 171 ページの「ゾーンの定義」を参照してください。
メモ
•
さまざまな EPC 要件を持つ、独立した「信頼ゾーン」で ASD を有効にすることで、一定数のユーザーのみに
ASD を提供することもできます。ゾーンを使用して ASD の提供をコントロールする方法については、 171 ペー
ジの「ゾーンの定義」を参照してください。
•
ユーザーが ASD を実行できない場合 ( たとえばユーザーが Apple Macintosh や Linux コンピュータを使って
いる場合 )、アプライアンスは、指定されている ACC 設定を使用して、 ACC を代わりに使用します。ユーザー
のコンピュータで ASD も ACC もロードできない場合、ユーザーはログアウトします。
•
データ保護の非アクティブタイマー設定は、 ACC と ASD の両方に適用されます。 ACC と ASD で異なるタイム
アウト設定を構成することはできません。
182|第 8 章 - End Point Control
Sygate On-Demand
Sygate On-Demand には、高度なキャッシュコントロールとデータ保護の機能があります。アンチウイルスソフトウェ
ア、パーソナルファイアウォール、サービスパック、パッチなどの存在を確認することで、クライアントコンピュータの
ホストの整合性についても検証します。 Sygate On-Demand は、それぞれのエンドポイントのセキュリティを、ネット
ワークロケーションやホストコンピュータの所有権など、さまざまな環境条件に自動的に適合させます。その上で、
Aventail セッションが終了した後も、セキュアな仮想デスクトップ環境がエンドポイントで維持されるようにします。
Sygate On-Demand は、 Aventail アプライアンスと統合してシームレスな経験をユーザーに提供すると同時に、セ
キュリティポリシーを適用して、ハードウェアの追加の必要性を低減させます。
詳細については、 http://www.sygate.com/ssp/aventail/ を参照してください。
このコンポーネントは、別途購入しなければなりません。このコンポーネントを購入する方法については、 Aventail チャ
ネルパートナーにお問い合わせください。
X
Sygate On-Demand を有効にするには
1.
Sygate On-Demand ファイルを取得します ( 詳細については Aventail チャネルパートナーに問い合わせ )。
2.
Sygate On-Demand ファイルをアプライアンスの /usr/local/epcagents/htdocs/postauth/data/ssp
ディレクトリにアップロードします。
3.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
4.
[Post-authentication] で [Configure data protection] をクリックします。この操作により、
[Configure Data Protection] ページが表示されます。
5.
[Enable Sygate On-Demand Protection] チェックボックスを選択します。
6.
[Save] をクリックします。この操作により、 [End Point Control] ページに戻ります。
メモ
•
Sygate On-Demand では、 Sun JVM 1.4.2 以降が必要になります。
クライアントの整合性の検証
Aventail では、 WholeSecurity Confidence Online Enterprise Security ソリューションおよび Zone Labs
Integrity Clientless Security ソリューションとの統合がサポートされています。これらのソリューションでは、ウイル
ス、マルウェア、データの盗難など、さまざまな脅威に対して認証前の保護を行います。
WholeSecurity Confidence Online Enterprise Edition On-Demand
WholeSecurity のエンドポイントセキュリティソリューションでは、トロイの木馬、キーストロークロガー、ワームなど、
既知の脅威および未知の脅威に対して、「未然の」保護を提供します。 WholeSecurity Confidence Online
Enterprise Edition On-Demand は、 ActiveX および Netscape プラグインを使用してオンデマンドで呼び出さ
れ、 Aventail アプライアンスと統合して、随時コンピュータ ( 企業が所有していないものも含め ) を保護します。
WholeSecurity Confidence Online Enterprise Edition On-Demand では、特許出願中の動作検出テクノロ
ジーを使用して、ユーザーに署名の更新を求めることなく、既知の脅威と未知の脅威の両方を自動的に識別して排除
します。詳細については、 http://www.wholesecurity.com/products/on-demand.html を参照してください。
X
WholeSecurity Confidence Online Enterprise Edition On-Demand との統合を有効にするには
1.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
2.
[Pre-authentication] で、 [Configure client integrity] リンクをクリックします。この操作により、
[Configure Client Integrity] ページが表示されます。
3.
[WholeSecurity Confidence Online] をクリックします。
4.
[URL where the Whole Security agent is hosted] ボックスに、Whole Security を受け取る URL
を入力します。 URL には通常、 WholeSecurity サーバーの内部名に、「/llclient/」と WholeSecurity
サーバーのデプロイメント名を続けます。例を示します。
https://whole.example.com/llclient/<deployment_name>
5.
[Save] をクリックします。この操作により、 [End Point Control] ページに戻ります。
EX-750 インストールおよび管理ガイド | 183
Zone Labs Integrity Clientless Security
Zone Labs Integrity Clientless Security では、ネットワークされたゲスト PC および従業員 PC に対する脅威か
ら企業を保護します。その際、クライアントソフトウェアのインストールは不要です。 Zone Labs Integrity Clientless
Security は、スパイウェアの無効化とリモートアクセスを与える前のセキュリティポリシー準拠の強制という、クライアン
トレスセキュリティの 2 つの必須要素を提供する唯一の製品です。 Zone Labs Integrity Clientless Security は、
Aventail アプライアンスと統合することで、 ID およびパスワード盗難を防止し、データ損失を予防して、ネットワーク
帯域幅を回復し、 IT およびユーザーの生産性を向上させます。
詳細については、 http://www.zonelabs.com/store/content/company/corpsales/clientSecurity.jsp を参
照してください。
X
Zone Labs Integrity Clientless Security との統合を有効にするには
1.
Zone Labs Integrity Clientless Security ファイルを取得します ( 詳細については Aventail チャネルパー
トナーに問い合わせ )。
2.
Zone Labs Integrity Clientless Security ファイルをアプライアンスの
/usr/local/epcagents/htdocs/preauth/malware//zls ディレクトリにアップロードします。
3.
AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作により、 [End
Point Control] ページが表示されます。
4.
[Post-authentication] で [Configure client integrity] リンクをクリックします。この操作により、
[Configure Client Integrity] ページが表示されます。
5.
[Zone Labs Integrity Clientless Security] をクリックします。
6.
[Save] をクリックします。この操作により、 [End Point Control] ページに戻ります。
メモ
•
Zone Labs Integrity Clientless Security との統合を有効にしたら、Zone Labs アップデートを定期的にアッ
プロードすることにより、 Zone Labs ソフトウェアを最新の状態に保つようにします。 Zone Labs Integrity
Clientless Security では、 Aventail アプライアンスから自動更新を実行することはできません。
184|第 8 章 - End Point Control
EX-750 インストールおよび管理ガイド | 185
第9章
ASAP WorkPlace ポータル
ASAP WorkPlace ポータルでは、ユーザーによる Web ベースのリソースに対するアクセス (HTTP) を、動的にパー
ソナライズすることができます。また、ユーザーが、 Windows ファイルサーバーのファイルとフォルダへ Web ブラウ
ザからアクセスできるようになる他、 ASAP WorkPlace が提供する Aventail OnDemand エージェントを使用して
TCP/IP リソースにアクセスできるようになります。
ASAP WorkPlace のクイックツアー
ユーザーが ASAP WorkPlace にアクセスすると、ログインページが表示されます。アプライアンスで複数のレルムが
構成されている場合、ユーザーがいずれかのレルムを指定することになります。
次にユーザーは、実際のクレデンシャルを指定するよう求められます。クライアント証明書で認証するユーザーは、この
ページを目にすることはありません。
システムが End Point Control を使用するよう構成している場合に、エンドユーザーがシステムにアクセスする方法が
どう変わるかについては、 202 ページの「End Point Control とユーザーの経験」を参照してください。
186|第 9 章 - ASAP WorkPlace ポータル
[Home] ページ
ユーザーの認証が終わったら、 ASAP WorkPlace の [Home] ページが表示されます。
ここには、ユーザーがアクセスを許可されている Web リソースおよびファイルシステムリソースに対するショートカットで、
管理者が定義したものが表示されます。これらのショートカットは、アクセスポリシーに基づいて動的に表示されるもの
で、ユーザーが使用する権限を持つリソースのみが表示されます。これらのショートカットを作成する方法については、
190 ページの「ショートカットの利用」を参照してください。
ただし、ファイルシステムリソースに対するすべてのアクセスを拒否している場合は、ファイルシステムリソースをポイ
ントするネットワークショートカットは表示されません。ファイルシステムリソースに対するアクセスを無効にする方法につ
いては、 189 ページの「ASAP WorkPlace の一般設定の構成」を参照してください。また、 [Intranet Address]
ボックスを表示するよう選択することもでき、その場合は、 Web リソース (URL を入力 ) またはファイルシステムリソー
ス (UNC パス名を入力 )、あるいはその両方にアクセスするためにこれを使用できるよう構成することができます。
ASAP WorkPlace の [Home] ページには、 [Connection Status] エリアがあり、現在動作しているユーザー
アクセス方式、ゾーンステータス、セッション開始時刻などが示されます。ユーザーは、このエリアの [Details] リン
クをクリックすると、動作しているユーザーアクセス方式の詳細を参照できる他、詳細な接続ステータス情報も表示する
ことができます。
Aventail OnDemand をユーザー環境にインストールする場合、デフォルトでは、ユーザーが WorkPlace にログイ
ンするときに OnDemand が自動的に起動します。ユーザーは、 [Connection Status] エリアで OnDemand
接続のステータスを参照することができます。また、ユーザーが WorkPlace の [Home] ページのリンクをクリックす
ることで起動できるよう OnDemand を構成することもできます。 OnDemand とともに動作するよう構成した特定のクラ
イアント / サーバーアプリケーションが自動的に起動するようショートカットを作成することもできます。詳細については、
217 ページの「OnDemand と一緒に使用するアプリケーションの構成」を参照してください。
Aventail アクセスエージェントのいずれかをユーザー環境にインストールしている場合、 WorkPlace の [Home]
ページには、 [Access Agents] エリアが表示され、ユーザーが使用を許可されているアクセスエージェントがリスト
されます。このエリアには、次のリンクが入ります。
•
[OnDemand]: このリンクをクリックすると、 Aventail OnDemand が起動します。
•
[Network Explorer]: このリンクをクリックすると、共有フォルダとファイルが含まれる Windows ネットワーク
をユーザーがブラウズできるようになります。
•
[Software Update]: このリンクをクリックすると、最新バージョンの Aventail アクセスエージェントソフトウェ
アをダウンロードすることができます。
ユーザーアクセスエージェントの詳細については、 205 ページの「ユーザーアクセスコンポーネントおよびサービス」
を参照してください。
EX-750 インストールおよび管理ガイド | 187
ユーザーは、右上隅の [Log out] ボタンをクリックすることで、 WorkPlace からログアウトできます。この [Log out]
ボタンをクリックすると、ユーザーは WorkPlace からログアウトしますが、必ずしも、動作中のアプリケーションからログ
アウトするわけではありません ( どのユーザーアクセスエージェントが使用されているかによって異なる )。セキュリティ
を向上させるには、アプリケーションを使用し終わった段階でログアウトして終了する必要があります。特に他のユーザー
と共有しているコンピュータの場合はこれが重要になります。
[Intranet Address] ボックス
[Intranet Address] ボックスを有効にすると、 ASAP WorkPlace の右上隅にこのボックスが表示されるようになり
ます。
[Intranet Address] ボックスでは、リソースにアクセスするための別の方法が提供されます。構成によっては、
WorkPlace が変換モードで動作している場合、ユーザーは、 URL を入力することによって Web リソースにアクセスす
ることができます。また、 UNC パスを入力してファイルシステムリソースにアクセスすることもできます (WorkPlace が
標準モードで動作している場合、ユーザーは Internet Explorer の [Address] ボックスに直接 URL を入力可能
)。これは、 DNS 全体または Windows ドメインをリソースとして定義しており、ユーザーのグループがそのドメイン内
のすべてのリソースに直接アクセスできるようにしたい場合など、特に便利です。
WorkPlace が変換モードで動作しているときに Web リソースにアクセスする場合、ユーザーは URL を [Intranet
Address] ボックスに入力して、 [Go] をクリックします。ユーザーに適切なアクセス権限がある場合、その Web リ
ソースが、新しいブラウザウィンドウで開きます。 [Intranet Address] ボックスは、 Web リソースにアクセスするた
めのさまざまなユーザー入力を受け付けます。ガイドラインをいくつか示します。
要素
説明
リソースアドレス
リソースは、完全な URL ( ドメインおよびホスト名 ) またはホスト名のみを入
力することでアクセスすることができます。
たとえば、「fred」というホストのリソース「CRM」にアクセスする場合、完
全な URL (http://fred.example.com/CRM/) またはホスト名
(http://fred/CRM/ または fred/CRM/ など ) を使用してアクセスすることが
できます。
プロトコル
ユーザーは、標準 Web リソースに http:// プロトコル識別子を入れる必要は
ありません ( デフォルトで [Intranet Address] ボックスに挿入される )。
ただし、セキュアな Web サイトにアクセスする場合は、 https:// プロトコル
識別子を入れなければなりません。
ポート番号
非標準ポート ( つまり 80 以外のポート ) で Web リソースにアクセスする場
合、ユーザーはホスト名の後にポート番号を指定しなければなりません。
たとえば、「fred:8080/SAP」と「https://fred:443/SAP」はどちらも有
効なエントリです。
ファイルシステムリソースにアクセスする場合、ユーザーは UNC パス ( たとえば「\\jax\software\download」 )
を [Intranet Address] ボックスに入力して [Go] をクリックします。ユーザーに適切なアクセス権限がある場合、
[Network Explorer] ページが開き、要求されたファイルシステムリソースの内容が表示されます。
[Intranet Address] ボックスの表示や機能を構成する方法については、 189 ページの「ASAP WorkPlace の
一般設定の構成」を参照してください。
188|第 9 章 - ASAP WorkPlace ポータル
[Network Explorer] ページ
ユーザーが (ネットワークショートカットのクリック、[Intranet Address] ボックスへの UNC パスの入力、WorkPlace
の [Home] ページの [Network Explorer] リンクのクリックのいずれかにより ) ファイルシステムリソースにアクセ
スすると、 [Network Explorer] ページが表示されます。
このページには、要求されたファイルシステムリソースの内容が表示されます。ユーザーのアクセス権限により、ファイ
ルに対して、内容とプロパティの表示、名前の変更、コピー、移動、ダウンロード、削除などのアクションを実行する
ことができます。ユーザーは、新しいフォルダを作成することもできます。管理者がアップロード機能を有効にしており
(189 ページの「ASAP WorkPlace の一般設定の構成」を参照 )、ユーザーに書き込み権限がある場合、ユーザー
はファイルをアップロードすることができます。
ASAP WorkPlace のクライアントの要件
ASAP WorkPlace は、次のオペレーティングシステム、 Web ブラウザの組み合わせと互換性があります。
オペレーティングシステム
Web ブラウザ
Service Pack 1 または 2 がインストールされ Service Pack 1 がインストールされた Microsoft Internet
Explorer v6.0、または Mozilla Firefox 1.0
た Windows XP Professional
Service Pack 1 または 2 がインストールされ
た Windows XP Home Edition、
Windows 2000
Macintosh OS X
Macintosh Safari 1.2 または Mozilla Firefox 1.0
Linux
Mozilla Firefox 1.0
メモ
•
Sygate On-Demand では、 Sun JVM 1.4.2 以降が必要になります。
EX-750 インストールおよび管理ガイド | 189
ASAP WorkPlace の一般設定の構成
この節では、 ASAP WorkPlace の一般設定の構成方法について説明します。 WorkPlace の外観をカスタマイズす
る方法については、 195 ページの「WorkPlace サイト」を参照してください。
X
ASAP WorkPlace の一般設定を構成するには
1.
メインナビゲーションメニューから [Services] をクリックして、 [Access services] セクションの [ASAP
WorkPlace] で [Configure] をクリックします。この操作により、 [Configure WorkPlace] ページが表
示されます。
2.
このタブの上部のセクションで、 Windows ファイルシステムアクセスを制御するオプションを指定します。
3.
•
ユーザーが Windows ファイルシステムリソースに Web ベースでアクセスできるようにしたい場合、
[Enable access to network file shares] チェックボックスを選択します。このオプションが有効に
なると、ユーザーは、 ASAP WorkPlace から ([Network Explorer] ページ、作成したネットワーク
ショートカット、 [Intranet Address] ボックス経由 ( ただし表示されるよう構成している場合 ) で ) ファイ
ルシステムリソースにアクセスできるようになります。このオプションが無効の場合、ユーザーは、 ASAP
WorkPlace から Windows ファイルシステムリソースをブラウズしたり接続したりすることができなくなりま
す。
•
ユーザーが Windows ファイルシステムリソースにファイルをアップロードできるようにしたい場合、
[Enable file uploads] チェックボックスを選択します。この機能は、デフォルトで無効になっています。
この機能が有効になると、アップロードするファイルのサイズによっては、アプライアンスのパフォーマンスが
悪化します。またこの設定は、ファイルシステムのアクセス制御ルールで設定しているユーザー権限よりも優
先されます。アクセスルールでファイルシステムへの書き込みアクセスをユーザーに与えている場合でも、
ファイルアップロードが無効になっていれば、ユーザーはファイルの移動と削除はできますが、書き込みが
できなくなります。
[Intranet Address box] エリアで、 WorkPlace における [Intranet Address] ボックスの表示と機能
を制御するオプションを指定します。一方のオプションまたは両方のオプションを有効にしている場合、
[Intranet Address] ボックスが WorkPlace の右上隅に表示されるようになります。どちらのオプションも無
効であれば、このボックスは表示されません。
•
ユーザーが UNC パスを [Intranet Address] ボックスに入力して Windows ファイルシステムにアクセ
スできるようにする場合、 [Enable access to Windows network resources] チェックボックスを
選択します。このチェックボックスは、 ([Enable access to network file shares] チェックボック
スをクリックすることにより ) ファイルシステムリソースに対する Web ベースのアクセスを許可している場合に
限って表示されます。
•
ユーザーが URL を WorkPlace の [Intranet Address] ボックスに入力して Web リソースにアクセス
できるようにする場合、 [Enable access to Web resources] チェックボックスを選択します。これ
は、 DNS ドメイン全体をリソースとして定義しており、 ( そのドメイン内の個別の Web リソースを定義すること
なしに ) ドメイン内のすべての Web サーバーへのアクセスを許可したい場合など、特に便利です。この設
定は、 WorkPlace が変換モードで動作している場合に限って適用されます。
Web リソースの定義については、 82 ページの「リソースの追加」を参照してください。
190|第 9 章 - ASAP WorkPlace ポータル
メモ
•
これらのオプションの影響を受けるのは、[Intranet Address] ボックスから選択できるリソースのタイプのみで、
アクセス制御ポリシーには影響しません。
•
このボックスの詳細については、 187 ページの「[Intranet Address] ボックス」を参照してください。
ASAP WorkPlace のカスタマイズ
ASAP WorkPlace は、 AMC から大幅にカスタマイズできるようになっています。管理者は、ユーザーに提示される
Web リソースとファイルシステムリソースの他、ユーザーがこれらのリソースにアクセスできる方法、ユーザーインタ
フェースの表示方法などを制御することができます。
以下の節では、 WorkPlace ユーザーインタフェースのカスタマイズ方法の他、 Web ショートカットおよびネットワーク
ショートカットの作成方法と管理方法について説明します。ファイルシステムリソースへのアクセス、ファイルアップロー
ド、 [Intranet Address] ボックスを有効にする方法については、 189 ページの「ASAP WorkPlace の一般設
定の構成」を参照してください。
Web リソースおよびファイルシステムリソースに対するショートカットを構成することもできます。ショートカットを構成する
と、ユーザーが [Intranet Address] ボックスに URL や UNC パスを入力する必要がなくなります。これらのショー
トカットは、 WorkPlace の [Home] ページに表示され、素早く簡単に使用できます。ユーザーが、特定の URL や
ファイルシステムパスを知っておく必要はありません。
ショートカットの利用
ASAP WorkPlace では、 Web リソースを利用するための適切なアクセス権限の他、 Web ブラウザを使用して、
Windows ファイルサーバーのファイルやフォルダをブラウズし利用するためのアクセス権限も与えられます。
ファイルシステムリソースへのアクセスを有効にする方法については、 189 ページの「ASAP WorkPlace の一般設
定の構成」を参照してください。
デフォルトの場合、リソースを AMC で定義していても、適切なショートカットを作成しない限り、 WorkPlace には表示
されません。この節では、 ASAP WorkPlace に表示されるショートカットの作成方法と管理方法について説明します。
ショートカットの表示
[WorkPlace Shortcuts] ページで、リソースに対するショートカットを管理します。管理者は、このページですべ
てのショートカットのリストを参照することができます。ただし、ユーザーが ASAP WorkPlace にアクセスするとき、アク
セスポリシーに従って、そのユーザーがアクセス権限を持っているリソースのみを表示するようフィルタリングすることもで
きます。 ASAP WorkPlace では、このページの表示順序と同じ順序でショートカットが表示されます。
EX-750 インストールおよび管理ガイド | 191
X
ショートカットを表示するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
フィールドのデータを確認します。
•
チェックボックス列は、 1 つまたは複数のショートカットを選択するときに使用します。ショートカットの削除
([Delete] ボタンを使用 ) や順序変更 ([Move Up] ボタンおよび [Move Down] ボタンを使用 ) など
を行うときにこれを使用します。
•
数値の列は、 ASAP WorkPlace でショートカットがリストされる順序を示します。ショートカットを編集するとき
は、対応する番号をクリックします。
•
[Link text] 列には、 Web リソースにアクセスするためのハイパーリンクテキストが表示されます。リンクテ
キストをクリックすることにより、ショートカットを編集することもできます。
•
[Resource] 列には、リソースの名前が表示されます。
192|第 9 章 - ASAP WorkPlace ポータル
Web ショートカットの追加
Web ショートカットを作成すると、ユーザーが Web リソースに素早く簡単にアクセスできるようになります。 Web リソー
スに対するショートカットを作成するときは、あらかじめそのリソースを定義してなければなりません ( 詳細については、
82 ページの「リソースの追加」を参照 )。
X
Web ショートカットを追加するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
[Web shortcuts] エリアで、 [New] ボタンをクリックします。この操作により、 [Add/Edit Web
Shortcut] ページが表示されます。
3.
[Number] ボックスに、 WorkPlace の [Web Shortcuts] リスト内のショートカットの位置を指定する数値を
入力します。
4.
[Link text] ボックスに、 Web リソースにアクセスするときに使用するハイパーリンクテキストを入力します。
5.
[Description] ボックスに、そのショートカットについてのコメントをわかりやすく入力します。この手順はオプ
ションですが、説明を入れておくと、後で Web リソースを参照するときに識別しやすくなるため便利です。このコ
メントはリンクテキストの隣にも表示されます。
6.
[Resource] リストで、このショートカットがリンクしているリソースを選択します。このリストには、定義済みのす
べての URL リソースが表示されます。
7.
必要であれば、 [Start page] ボックスを使用して、選択した URL に固有の情報を追加します。たとえば、リ
ンクがルート以外のディレクトリやファイルをポイントするようにしたい場合、 [Start page] ボックスにその相対パ
スを入力します。この機能は、ルート以外のロケーションに内容を保管する Web アプリケーションで使用すると
便利です。たとえば、選択した URL が Outlook Web Access 用のもので、 mail.example.com をポイント
する場合、スタートページを /exchange/root.asp に設定することができます。この結果、 URL は
https://mail.example.com/exchange/root.asp になります。
EX-750 インストールおよび管理ガイド | 193
ネットワークショートカットの追加
ネットワークショートカットを作成すると、ユーザーがファイルシステムリソースに素早く簡単にアクセスできるようになりま
す。ファイルシステムリソースに対するショートカットを作成するときは、あらかじめそのリソースを定義してなければなり
ません ( 詳細については、 82 ページの「リソースの追加」を参照 )。
X
ネットワークショートカットを追加するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
[Network shortcuts] エリアで、 [New] ボタンをクリックします。この操作により、 [Add/Edit
Network Shortcut] ページが表示されます。
3.
[Number] ボックスに、 WorkPlace の [Network Shortcuts] リスト内のショートカットの位置を指定する
数値を入力します。
4.
[Link text] ボックスに、ファイルシステムリソースにアクセスするときに使用するハイパーリンクテキストを入力
します。
5.
[Description] ボックスに、そのショートカットについてのコメントをわかりやすく入力します。この手順はオプ
ションですが、説明を入れておくと、後でファイルシステムリソースを参照するときに識別しやすくなるため便利
です。このコメントはリンクテキストの隣にも表示されます。
6.
[Resource] リストで、このショートカットがリンクしているファイルシステムリソースを選択します。このリストに
は、定義済みのすべてのファイルシステムリソースが表示されます。
個人フォルダを示すネットワークショートカットの作成
ユーザーの個人フォルダを動的に参照するネットワークショートカットを作成することができます。この機能を使用すると、
ASAP WorkPlace で単一のショートカットを作成し、カレントユーザーの個人フォルダを動的に参照するよう設定する
ことができます。たとえば、ユーザー jdoe が ASAP WorkPlace に接続するとき、リンクをクリックすると、
「\\users\jdoe」という名前のフォルダにアクセスできるようになります。また、ユーザー rsmith が同じリンクをクリック
すると、「\\users\rsmith」フォルダにアクセスすることになります。
X
個人フォルダに対するネットワークショートカットを作成するには
1.
メインナビゲーションメニューから [Resources] をクリックします。
2.
ユーザーフォルダを含む上位ディレクトリに対するものと、ユーザー名変数を参照するものの 2 つのファイルシス
テムリソースを定義します。
リソースを追加するには、 [Resources] タブをクリックして、 [New] ボタンをクリックします。次に [Resource
definition] エリアで [Network share] をクリックして、 UNC パスを指定します。
3.
a.
最初のリソースは、ユーザーフォルダを含む上位ディレクトリを参照します。たとえば個人フォルダが、
\\example\users\ というネットワーク共有に保管されている場合、「\\example\users」と入力します。
b.
2 番目のリソースは、ユーザー名変数、 XXX_Username_XXX を参照します。たとえば個人フォル
ダが、 \\example\users\ というネットワーク共有に保管されている場合、
「\\example\users\XXX_Username_XXX」と入力します。
上位ディレクトリ ( この例では「\\example\users\」 ) へのアクセスを許可するアクセス制御ルールを作成しま
す。
194|第 9 章 - ASAP WorkPlace ポータル
最も簡単な方法は、すべてのユーザーがこのリソースにアクセスできるようにした上で、 Windows ネイティブのア
クセス制御を使用して、それぞれのユーザーのアクセス権を自身のディレクトリに限定することです。
4.
ユーザー名変数 ( この例では「\\example\users\XXX_Username_XXX」 ) が含まれるリソースを参照する
WorkPlace ネットワークショートカットを作成します。
XXX_Username_XXX 変数は、 [Link text] ボックスでも使用することができます。たとえば、 [Link text]
ボックスに「\\example\users\XXX_Username_XXX」と入力すると、ユーザー jdoe が WorkPlace を開
くとき、ハイパーテキストリンクは「\\example\users\jdoe」のようになります。
ショートカットの編集
ASAP WorkPlace に表示されるリソースの名前や説明を変更する場合は、ショートカットを編集する必要があります。リ
ソースを定義するときに新しい WorkPlace ショートカットを作成することもできますが、既存のショートカットの設定を編
集する場合は、 [WorkPlace Shortcuts] ページを使用しなければなりません。
X
ショートカットを編集するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
[Web shortcuts] エリアまたは [Network shortcuts] エリアで、編集するショートカットの番号またはリン
クテキストをクリックします。たとえば、 [Web shortcuts] リストの 3 番目のショートカットを編集したい場合
は、 [Web shortcuts] エリアで「3」をクリックします。
3.
必要な編集を行って、 [Save] をクリックします。
ショートカットの削除
ショートカットを削除すると、ユーザーが ASAP WorkPlace を開いてもそのショートカットが表示されなくなります。リソー
スを定義するときに新しい WorkPlace ショートカットを作成することもできますが、ショートカットを削除する場合は、
[WorkPlace Shortcuts] ページを使用しなければなりません。
X
ショートカットを削除するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
[Web shortcuts] エリアまたは [Network shortcuts] エリアで、削除するショートカットの左にあるチェッ
クボックスを選択して、 [Delete] ボタンをクリックします。
複数のショートカットの移動
ASAP WorkPlace には、ショートカットのリストが、 [WorkPlace Shortcuts] ページとまったく同じ順序で表示さ
れます。この機能では、ショートカットを一度に 1 段階または複数段階移動することができます。この機能は、たとえ
ば頻繁に使用するショートカットをリストの先頭に置きたい場合などに使用すると便利です。
X
複数のショートカットを移動するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
[Web shortcuts] エリアまたは [Network shortcuts] エリアで、移動するショートカットの左にあるチェッ
クボックスを選択します。
3.
[Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。ボタンをクリックすると、選択した
ショートカットがまとまった状態でリストの中をそれぞれ上下方向に 1 段階ずつ移動します。
個別のショートカットの移動
ASAP WorkPlace には、ショートカットのリストが、 [WorkPlace Shortcuts] ページとまったく同じ順序で表示さ
れます。この機能では、個別のショートカットの位置を変更することができます。この機能は、たとえばショートカットをリ
ストの上下方向に素早く数段階移動したい場合に使用すると便利です。
X
ショートカットを移動するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを
クリックします。
2.
移動するショートカットの番号またはリンクテキストをクリックします。たとえば、 3 番目のショートカットを移動した
い場合は「3」をクリックします。
EX-750 インストールおよび管理ガイド | 195
3.
[Number] ボックスに、新しいリスト位置を表す数値を入力します。たとえば、リストの 5 番目の位置に移動し
たい場合は、 [Number] ボックスに「5」と入力します。
複数のショートカットを移動する方法については、 194 ページの「複数のショートカットの移動」を参照してください。
WorkPlace サイト
さまざまなユーザーセグメントに応じて複数の WorkPlace サイトを作成することができます。それぞれのサイトには、独
特の外観 ( ロゴ、見出し、あいさつ文 ) と固有の外部 URL を設定することができます。たとえば、従業員向けに、タ
イトルとロゴをカスタマイズした WorkPlace サイトを作成し、外部 URL、 http://employees.mycompany.com を
割り当てて、パートナー向けには、タイトルとロゴをカスタマイズしたサイトを作成し、
外部 URL、 http://partners.mycompany.com を割り当てることができます。
複数のレルムを構成している場合、オプションで、 WorkPlace サイトを特定のレルムと対応させることができます。ユー
ザーは、通常であれば、認証プロセスでログインするレルムを指定しなければなりませんが、こうしておくと、このプロ
セスを省略することができます。ただし、 WorkPlace サイトを特定のレルムと対応させると、ユーザーが他のレルムへ
のログインを選択できなくなります。また、指定されているレルムにユーザーが所属していない場合は、この WorkPlace
サイトにアクセスできなくなります。
ASAP WorkPlace では、次のコンポーネントをカスタマイズすることができます。
企業ロゴ
WorkPlace タイトル
カスタム URL
カスタムヘルプファイルへのリンク
あいさつ文
ユーザーが外部 URL を入力して ASAP WorkPlace に到達する場合、その URL の先頭に http:// プロトコル識別
子を付けなければなりません。ユーザーが外部 URL を入力して WorkPlace に到達したら、その接続は、セキュアな
HTTP (HTTPS) を使用し https:// プロトコル識別子を持つセキュアサイトにリダイレクトされます。
メモ
•
AMC には、定義済みのデフォルト WorkPlace サイトが用意されています。このデフォルトサイトは編集できま
すが、削除することはできません。
•
カスタム WorkPlace サイトを指定しない場合、またはユーザーがデフォルト名を使用してアプライアンスにアクセ
スする場合、デフォルト WorkPlace サイトが自動的に使用されます。
196|第 9 章 - ASAP WorkPlace ポータル
WorkPlace サイトの追加
AMC には、定義済みのデフォルト WorkPlace サイトが用意されています。 WorkPlace サイトを追加したい場合は、
必要に応じて、新しいサイトを作成することができます。
X
WorkPlace サイトを追加するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック
します。
2.
[New] をクリックします。この操作により、 [Configure WorkPlace Site] ページが表示されます。
3.
[Configure WorkPlace Site] ページの [General] セクションで、 [Name] ボックスに WorkPlace サ
イトの名前を入力します。
4.
[Description] ボックスに、 WorkPlace サイトについてのコメントをわかりやすく入力します。
5.
[Fully qualified domain name] ボックスに、 WorkPlace サイトを表す FQDN のホスト部分を入力しま
す。ユーザーは、 WorkPlace にアクセスするとき、「http://」接頭辞を付けてこの名前を入力します。
ただしこの外部 FQDN は、ユーザーに通知して、 WorkPlace にアクセスする方法を知らせなければなりません。
またこの FQDN は、パブリック DNS にも追加しなければなりません。
6.
ユーザーが、ログインするレルムを指定する手順を省略してこの WorkPlace サイトにログインできるようにするに
は、 [Realm] リストから適切なレルム名をクリックします。
レルムを指定する場合、そのレルムのメンバー以外、その WorkPlace サイトにアクセスできなくなります。ただ
し、 [Prompt for realm] オプションを選択している場合は、任意のユーザーがそのサイトにアクセスできるよ
うになります。 [Prompt user for realm] オプションを選択した場合、ユーザーは、この WorkPlace サイ
トにログインするたびにレルムを指定しなければならなくなります。
7.
[Next] をクリックします。 [Appearance] セクションに次の情報を入力します。
EX-750 インストールおよび管理ガイド | 197
8.
a.
[Font family] リストで、使用するフォントを選択します ([Serif] または [Sans-serif])。
b.
[Color scheme] エリアで、カラースキームを選択します。カラースキームのサムネールを表示
するときは、色の名前 ([Dark blue]、 [Light blue]、 [Purple]、 [Red]、 [Green]) をクリッ
クします。大きいバージョンのサムネールを表示する場合は、イメージをクリックします。
[Content] エリアで、次の情報を入力します。
a.
デフォルトの場合、 WorkPlace では Aventail のロゴが表示されます。ロゴをカスタマイズする場合、
[Replace with] ボックスを使用して、使用するグラフィックを指定します。イメージファイルのパスを直
接入力するか、 [Browse] ボタンをクリックして、使用する .gif ファイルまたは .jpg ファイルを選択しま
す。きれいに表示されるようにするため、グラフィックの寸法が幅 200 ピクセル×高さ 100 ピクセルを超え
ないようにします。
b.
[Title] ボックスに、ページのタイトルおよびブラウザのタイトルバーに表示するテキストを入力
します。タイトルは、 25 文字以内にしなければなりません。
c.
[Greeting] ボックスに、タイトルの下に表示されるあいさつ文を入力します。あいさつ文は、 250
文字以内にしなければなりません。
d.
[Help file] エリアで、 [Browse] ボタンをクリックして、カスタムヘルプ情報を含む HTML ファ
イルをアップロードします。このファイルは、正しい書式の HTML ファイルでなければなりません。
デフォルト WorkPlace Help システムには、エンドユーザーが WorkPlace を使用する上で必要になるす
べての情報が含まれていますが、カスタムヘルプの内容もこれに統合されます。そのため、ユーザーの便
宜を図る目的で、 VPN で使用できるリソースに関する詳細な情報を提示したり、テクニカルサポートを受け
る方法を記述したりすることができます。
9.
WorkPlace サイト設定を保存する場合は [Save] または [Finish]、工場出荷時のデフォルト WorkPlace サ
イト設定へ復帰する場合は [Reset to default] をクリックします。
WorkPlace サイトの編集
デフォルト WorkPlace サイトの [Appearance] 設定を編集することができます。ただし、デフォルト WorkPlace
サイトの [General] 設定は編集できません。
X
WorkPlace サイトを編集するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック
します。
2.
編集する WorkPlace サイトの名前をクリックします。この操作により、 [Configure WorkPlace Site] ペー
ジが表示されます。
3.
[General] セクションおよび [Appearance] セクションで、必要に応じてデータを編集し、 [Save] をクリッ
クします。
198|第 9 章 - ASAP WorkPlace ポータル
WorkPlace サイトのコピー
新しい WorkPlace サイトをゼロから作成するということをせずに、既存のサイトをコピーしてから、新しいサイトに合わせ
て特定のパラメータだけを変更することで、時間を節約することができます。作成しようとしているサイトとほとんどの特性
が共通する、コピー元の WorkPlace サイトを選択します。
X
WorkPlace サイトをコピーするには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック
します。
2.
コピーする WorkPlace サイトの隣にあるチェックボックスを選択します。
3.
[Copy] をクリックします。この操作により、 [Configure WorkPlace Site] ページが表示されます。
[Number] フィールドが「Copy of <site name>」になっている以外は、 WorkPlace サイトのすべての
フィールドが、コピー元のサイトと同じになっています。
4.
[Name] にサイトの新しい名前を入力します。
5.
[Description] ボックスに、サイトのコメントを新しく入力します。同じコメントにしておくこともできますが、それ
ぞれのサイトに個別のコメントをわかりやすく入れておくことが理想的です。
6.
[Configure WorkPlace Site] ページの [General] セクションおよび [Appearance] セクションで、
他のフィールドの設定も適宜変更し、 [Save] をクリックします。
WorkPlace サイトの削除
WorkPlace サイトが不要になったら、削除することができます。ただし、デフォルト WorkPlace サイトは削除すること
ができません。
X
WorkPlace サイトを削除するには
1.
メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック
します。
2.
削除する WorkPlace サイトの左にあるチェックボックスを選択して、 [Delete] ボタンをクリックします。
ASAP WorkPlace のログインページ、エラーページ、通知ページのカスタマイズ
この節では、 ASAP WorkPlace で、認証ページ、エラーページ、通知ページなど、特定のページをカスタマイズ
する方法について説明します。
概要 : WorkPlace テンプレートのカスタマイズ
AMC では、メイン WorkPlace ページのロゴ、カラースキーム、あいさつ文など、 ASAP WorkPlace の外観を修
正できるようになっています。 AMC カスタマイズでは、全般的なルックアンドフィールを便利な方法で変更できますが、
デプロイメントによっては、十分に制御できないこともあります。
次に、アプライアンスのテンプレートを修正する必要がある場合の例をいくつか示します。
•
ログインページとログオフページを、企業の標準と一貫性のあるものにする場合。
•
( リソースが使用できない場合やユーザーが不正なクレデンシャルを指定した場合に表示される ) エラーページを
修正して、詳細なサポートやトラブルシューティング情報が入るようにする場合。
•
ASAP WorkPlace の代わりに、既存の企業ポータル ( ポータルアプリケーションがエイリアスとして定義されてい
る場合 ) を使用する場合。この場合、既存のポータルとルックアンドフィールが一致するように、ログインペー
ジ、ログオフページ、通知ページ、エラーページをカスタマイズします。
•
特定のアプリケーション (アプリケーションがエイリアスとして定義されている場合) に対するアクセスをビジネスパー
トナーに提供する場合。この場合、そのアプリケーションとルックアンドフィールが一致するように、ログインペー
ジ、ログオフページ、通知ページ、エラーページをカスタマイズします。
EX-750 インストールおよび管理ガイド | 199
カスタマイズできるテンプレートは、大きく次の 3 つに分けることができます。
テンプレートタイプ
説明
認証
ユーザーのクレデンシャルを収集するためのページ。レルムの選択、ユーザー
名、パスワード、パスコードの選択なども行います。
ネットワークへのログインの方法をユーザーに知らせる場合、これらのテンプレー
トを使用します。
不正なユーザー入力 ( 不許可メッセージまたはログイン失敗 ) やアプライアンスの
エラーなど、エラーが発生したときに表示されるページ。
エラー
管理者の連絡先など、問題を修正するための方法をユーザーに知らせる場合、
これらのテンプレートを使用します。
通知
システムとの通信で必要な基本情報をユーザーに提供するページ。ログアウト
ページ ( ログアウト成功の確認 ) や、認証モジュールからのメッセージを含む
ページ ( パスワードの期限切れ警告 ) もこれに含まれます。
これらのテンプレートには、特殊な情報要件はありません。認証テンプレートとエ
ラーテンプレートを修正した場合、一貫性を保つため、通知テンプレートも修正し
なければなりません。
これらのページのレイアウトを設計し直したり、グラフィックやテキストを追加したりすることはできますが、
既存の要素を修正したり削除したりすることはできません。たとえば、認証ページの場合、 [Login] ボタンの
名前を変えることはできません。これらの要素は、 WorkPlace によって動的に生成されるものです。
メモ
•
ログイン後、ユーザーに提示される WorkPlace ページは、手作業でカスタマイズすることはできません。 AMC
からコントロールします。
テンプレートファイルを一致させる方法
テンプレートはグローバルにカスタマイズできる他、リソース単位でカスタマイズすることもできます。たとえば、単一の
デザインを使用するようグローバルテンプレートをカスタマイズし、そのテンプレートを修正することによって、特定の
Web リソース ( エイリアスの場合 ) に対するデザインを上書きすることができます。
あるリソースにユーザーが接続すると、アプライアンスは最初に最も範囲が狭いテンプレートを検索します。その範囲で
テンプレートが見つからない場合、そのカテゴリ ( 認証、エラー、通知 ) に対応する汎用のテンプレートをチェックしま
す。どちらも見つからなかった場合、デフォルト WorkPlace テンプレート (AMC が管理するもの ) が使用されます。
次の表は、さまざまなテンプレートと、それに対応するファイル名を示しています。
テンプレート
説明
ファイル名
認証
ユーザーによるレルムの選択
realm-select.tmpl
ユーザーによるログインクレデンシャルの
指定
authentication-request.tmpl
レルム選択の失敗
realm-error.tmpl
不正なクレデンシャル
authentication-error.tmpl
リソースへのアクセスが拒否
authorization-error.tmpl
アプライアンスライセンス数の制限オーバー
licensing-error.tmpl
End Point Control エラー
epc-error.tmpl
認証通知 ( パスワードの期限切れなど )
authentication-status.tmpl
ログオフ成功ページ
logoff-status.tmpl
エラー
ステータス
200|第 9 章 - ASAP WorkPlace ポータル
テンプレート
説明
ファイル名
汎用
End Point Control ダウンロードページ
epc-launch.tmpl
ユーザーによるログインクレデンシャルの
指定
authentication.tmpl
一般エラー
error.tmpl
一般ステータス
status.tmpl
一般ページ
custom.tmpl
メモ
•
デフォルト WorkPlace テンプレートファイル (extraweb.tmpl) は、編集することができません。変更しても、
AMC で WorkPlace をカスタマイズすると上書きされてしまいます。
WorkPlace テンプレートのカスタマイズ
ASAP WorkPlace の外観は、複数の HTML テンプレートで制御されています。テンプレートをカスタマイズするには、
標準的な Web デザインツールやテキストエディタなどを使用して、 HTML ファイルを作成します。
X
1.
WorkPlace テンプレートをカスタマイズするには
望ましいレイアウトで HTML ファイルを作成し、次のような WorkPlace 固有のタグを追加します。
•
BODY タグ内に、「EXTRAWEB」を含む HTML COMMENT タグを追加します。

このタグは、アプライアンスによって動的に生成されるコンテンツがどこに入るか決定します。
•
外部 JavaScript ファイルに対する参照を追加します。
<script language="javascript" src="/__extraweb__/template.js"></script>
•
テンプレートで (.css ファイルまたは AMC で構成したカスタムロゴを含め ) WorkPlace コンテンツを表示さ
せるには、 /__extraweb__/images/ パスを参照するよう HTML コードを修正します。例を示します。
<img src="/__extraweb__/image/mylogo.gif">
2.
.tmpl 拡張子を使用して、ファイルに適切なファイル名を付けて保存します (199 ページの「テンプレートファイ
ルを一致させる方法」を参照 )。
メモ
•
images ディレクトリが存在しない場合は、次のコマンドを実行して作成します。
mkdir -p /usr/local/extranet/htdocs/_extraweb_/images
EX-750 インストールおよび管理ガイド | 201
WorkPlace カスタムテンプレートのアップロード
この節では、 WorkPlace カスタムテンプレートをアプライアンスにアップロードする方法について説明します。
X
WorkPlace カスタムテンプレートをアップロードするには
1.
SSH を使用してアプライアンスと接続します。
2.
適切なディレクトリに移ります。
•
デフォルト WorkPlace サイトのテンプレートは /usr/local/extranet/templates に保管されています。
•
カスタム WorkPlace サイトのテンプレートは /usr/local/extranet/templates/<site_ID> に保管され
ています。ただし <site_ID> はサイトの AMC 生成 ID 文字列で、 AMC の [Configure WorkPlace
Site] ページの [General] セクションに表示されるものと同じです。
WorkPlace
サイトの
ID 文字列
3.
カスタムテンプレートをアプライアンスにアップロードします。テンプレートファイルには、ワールドリーダブル ( つ
まり 644) なアクセス権限を割り当てます。
4.
サポートファイル ( カスケーディングスタイルシートやイメージなども含む ) を
/usr/local/extranet/htdocs/__extraweb__/images ディレクトリにコピーします。
メモ
•
images ディレクトリが存在しない場合は、次のコマンドを実行して作成します。
mkdir -p /usr/local/extranet/htdocs/_extraweb_/images
ユーザーによる ASAP WorkPlace へのアクセスの許可
ASAP WorkPlace は Web アプリケーションであるため、標準 Web ブラウザからアクセスすることができます。ユー
ザーには、 WorkPlace に対するデフォルト URL を通知する必要があります。この場合のデフォルト URL は、
「https://<server_name>」で、 server_name は、アプライアンスの SSL 証明書に記述されている正規のドメイ
ン名 (FQDN) になります (39 ページの「SSL 証明書の構成」を参照 )。
また、カスタマイズ済みの WorkPlace サイトにユーザーがアクセスできるようにしたい場合、ユーザーには、そのサイ
トの URL を通知します。この場合の URL は、「http://<custom_fqdn>」で、 <custom_fqdn> は、 WorkPlace
サイトに対応する外部 FQDN になります (195 ページの「WorkPlace サイト」を参照 )。
他の Web ページへのユーザーのリダイレクト
ネットワークリソースへのアクセスを可能にする Web ポータルがある場合、 ASAP WorkPlace の代わりにそれを使用
することもできます。その場合、ユーザーをアプライアンスで認証した後、自動的にそのポータルにリダイレクトすること
ができます。ただし、ユーザーが ASAP WorkPlace にアクセスしていない場合、 Windows ファイルシステムリソー
スへ Web アクセスすることはできません。
ユーザーをリダイレクトする場合、ポータルのホームページをポイントするよう、スタートページを修正します。デフォル
トの場合、スタートページは、メタリフレッシュタグを使用して、自動的に ASAP WorkPlace を表示するよう構成され
ています。
202|第 9 章 - ASAP WorkPlace ポータル
X
ユーザーを他のサイトにリダイレクトするには
1.
vi などのテキストエディタで /usr/local/extranet/htdocs/__extraweb__/index.html を開きます。
2.
ファイルの <HEAD> セクションで <meta> タグを探し、 refresh= 属性を変更して、 Web ポータルをポイ
ントするようにします。次の例では、 WorkPlace スタートページがロードされた時点で即座に (0 秒で ) ユー
ザーがポータルページにリダイレクトされます。
<meta http-equiv="refresh" content="0; URL=/servlets/iclient/app">
3.
ファイルを保存します。
他の Web サイトからの ASAP WorkPlace へのアクセス
ネットワーク上の他の Web ページまたはポータルから ASAP WorkPlace にアクセスできるよう設定することもできます。
X
他の Web サイトから ASAP WorkPlace へアクセスするには
1.
https://server_name/ へのハイパーリンクを作成し、 server_name をアプライアンスの実際の名前で置き
換えます。その場合、アプライアンスの SSL 証明書に記述されている FQDN を使用する必要があります。
また、カスタマイズしている WorkPlace サイトにユーザーがアクセスできるようにする場合、
http://<custom_fqdn> へのハイパーリンクを作成し、 custom_fqdn を、 WorkPlace サイトに対応する外
部 FQDN で置き換えます (195 ページの「WorkPlace サイト」を参照 )。
2.
[Log out] ボタンを設けるには、 https://server_name/__extraweb__logoff をポイントするハイパーリン
クを作成します ( この場合も、 server_name を、アプライアンスの SSL 証明書に記述されている実際の
FQDN で置き換えます )。こうすることで、ユーザーアカウントのセキュリティを守ることにもなります。
End Point Control とユーザーの経験
Aventail End Point Control コンポーネントが有効になっているとき、 WorkPlace ログインプロセスで、別の手順
が必要になります。この手順は、 Aventail Secure Desktop (ASD) が使用されているか Aventail Cache Control
(ACC) が使用されているかで異なります。 Aventail End Point Control の詳細については、 165 ページの「概要
: End Point Control」を参照してください。
Aventail Secure Desktop の動作方法
ASD を使用すると、一般的な WorkPlace セッションに次の手順が追加されます。
1.
Web ブラウザで、ユーザーが適切な WorkPlace URL を入力します。
2.
ユーザーが WorkPlace にログインします。
3.
Aventail セキュリティ警告が表示されたら、ユーザーはこれを承認しなければなりません。 ASD デスクトップが
表示され、タスクバー表示エリアに ASD アイコンが現れます。 ASD デスクトップの新しいブラウザウィンドウに、
WorkPlace ログインページが自動的に表示されます。
4.
ユーザーが、必要に応じてネットワークリソースにアクセスします。
5.
WorkPlace セッションでの作業が終了したら、 WorkPlace を終了します。これにより WorkPlace セッションが
終了し、ブラウザウィンドウがクローズします。 ASD は、ダウンロードされローカルハードディスクに保管された
セッション関連のすべてのデータファイルを永続的に削除します。しかも、 Web ブラウザに関連する一時データ
があれば、それも削除します。
メモ
ASD は、セッション関連のすべてのデータファイルをローカルハードディスクから永続的に削除するため、ユーザー
には、 ASD を使用しているときはデータをローカルディスクに保存しないよう通達してください。例を示します。
•
ファイルをローカルディスクに保存しないこと。たとえばユーザーがネットワークからファイルをダウンロードし
てそれをハードディスクに保存すると、セッションの終了時に削除されます。
•
アプリケーションデータをローカルディスクに保存しないこと。一部のクライアント/サーバーアプリケーショ
ン (Microsoft Outlook など ) では、ユーザーがデータをローカルに保管できるようになっています。ユーザー
は、これらのアプリケーションと ASD との通信に気を配る必要があります。たとえば、 Outlook ユーザーが、
ASD の動作中にデータをローカルに (.pst ファイルに ) 保管し、電子メールメッセージをシステムの「Inbox」
からローカルのメールフォルダに移動する場合、セッション終了時に、メッセージがローカルディスクから削除さ
れます。ユーザーが、 ASD によって作成されている仮想セッションを認識しやすくするため、デスクトップには、
特有の背景色とイメージが表示されます。
EX-750 インストールおよび管理ガイド | 203
Aventail Cache Control の動作方法
ACC を使用すると、一般的な WorkPlace セッションに次の手順が追加されます。
1.
Web ブラウザで、ユーザーが適切な WorkPlace URL を入力します。
2.
ユーザーが WorkPlace にログインします。
3.
Aventail セキュリティ警告が表示されたら、ユーザーはこれを承認しなければなりません。 ACC アイコンがタスク
バー表示エリアに現れます。
4.
ユーザーが、必要に応じてネットワークリソースにアクセスします。
5.
ACC セッションが終了したら、 ACC は、セッション関連のすべてのデータを削除します。
メモ
•
ACC の起動時に他のブラウザウィンドウが閉じるよう構成している場合、ユーザーに対して、 URL をブックマーク
するか、まだ送信していないデータが失われないよう注意を呼びかける必要があります。
204|第 9 章 - ASAP WorkPlace ポータル
EX-750 インストールおよび管理ガイド | 205
第 10 章
ユーザーアクセスコンポーネントおよびサービス
Aventail アプライアンスには、ネットワーク上のリソースに対するユーザーアクセスを可能にするコンポーネントが含ま
れています。この節では、それぞれのユーザーアクセスコンポーネントと、それを制御するアクセスサービスについて
説明します。
ユーザーアクセスコンポーネントの多くは、 ASAP WorkPlace ポータルから設定し有効にします。詳細については、
185 ページの「ASAP WorkPlace ポータル」を参照してください。
概要 : ユーザーアクセスエージェント
次の表では、それぞれのアクセスエージェントについて、機能と要件を比較しています。システム要件の詳細につい
ては、 7 ページの「クライアントコンポーネント」を参照してください。
206|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
Aventail OnDemand
プロキシエージェント、
マップドモード
Aventail Connect
プロキシクライアント
x
x
x
x
x
TCP または UDP ベースのクライアント /
サーバーアプリケーション
x
x
URL および Web アプリケーション
x
x
トランスレーテッド Web
エージェント
Aventail OnDemand
プロキシエージェント、
ダイナミックモード
TCP ベースのクライアント / サーバー
アプリケーション
Web アクセス
(HTTP プロトコル )
Web プロキシエージェント
Aventail Connect
トンネルクライアント
プロキシアクセス (IP プロトコル )
Aventail OnDemand
トンネルエージェント
ネットワークトンネル
アクセス (IP プロトコル )
x
x
x
x
アプリケーションサポート
x
x
x
x
x
x
Windows ネットワーキングサポート
Web ベースのファイルアクセス
x
ネイティブ Windows ファイルアクセス
([ ネットワークコンピュータ ])
x
x
x
マップドネットワークドライブ
x
x
x
x
x
Windows ドメインログイン
サポートされている接続タイプ
順方向接続
x
x
逆方向接続 (FTP や SMS など )
x
x
相互接続 (VoIP など )
x
x
x
x
x
x
x
x
x
x
x
x
x
x
サポートされているオペレーティング
システム
Windows
Linux または Macintosh
x
x
Pocket PC
x
x
クライアント / エージェントのインストールで
必要な管理者権限
x
x
x
x
x
x
x
x
x
x
デプロイメント
WorkPlace からの自動起動
WorkPlace からの設定
x
WorkPlace 以外からの設定
x
x
x
x
EX-750 インストールおよび管理ガイド | 207
Aventail Connect プロキシクライアント ( 個別にインストール ) 以外のすべての Aventail ユーザーアクセスコン
ポーネントは、 ASAP WorkPlace ポータルで設定し有効にします。オプションとして、 Aventail Connect トンネル
クライアントコンポーネントを使用できるようにすると、ユーザーが、 ASAP WorkPlace にログインせずに、他のネット
ワークロケーション (Web サーバー、 FTP サーバー、ファイルサーバーなど ) からダウンロードとインストールを行え
るようになります。
ユーザーアクセスエージェントは、コミュニティ単位でインストールすることができます。ユーザーコミュニティを構成す
るとき、コミュニティのメンバーが、どのアクセス方式を使用して、ネットワーク上のリソースに接続できるようにするか指
定することができます。詳細については、 108 ページの「コミュニティに対するアクセス方式の選択」を参照してください。
複数のエージェントを同時にアクティブにすることもできます。たとえば、ダイナミックモードの OnDemand プロキシ
エージェントと Web プロキシエージェントを同時にアクティブにすることができます。 OnDemand をダイナミックモー
ドで使用すると、ユーザーが TCP/IP リソースにアクセスできるようになり、 Web プロキシエージェントを使用すると、
ユーザーが Web リソースにアクセスできるようになります。
ユーザーが初めて ASAP WorkPlace にログインするとき、そのユーザーのコミュニティの設定に基づいて、適切なユー
ザーアクセスエージェントが自動的に設定されインストールされます。デプロイされているエージェントは、ユーザーの
コンピュータにインストールされ、その後、同じコンピュータから同じ Web ブラウザに接続されるときは、同じエージェ
ントが自動的にデプロイされます。
ASAP WorkPlace
Aventail ASAP WorkPlace は、 Web ベースのポータルで、 Web プロキシサービスで保護された Web リソースに
対するアクセスを、動的にパーソナライズすることができます。また、ユーザーが、ネットワークファイルサーバーを
Web ブラウザからブラウズできるようになります。ユーザーが ASAP WorkPlace にログインするとホームページが現
れ、管理者が定義したショートカットのリストが表示されます。これらのショートカットは、ユーザーがアクセス権限を持
つ、 Web ベースのリソースと Windows ファイルシステムのリソースをポイントしています。
Aventail Connect プロキシクライアント ( 個別にインストール ) 以外のすべての Aventail ユーザーアクセスコン
ポーネントは、 ASAP WorkPlace ポータルで設定し有効にします。
ASAP WorkPlace は、任意の標準 Web ブラウザからアクセスすることができます。詳細については、 185 ページの
「ASAP WorkPlace ポータル」を参照してください。
Network Explorer
Network Explorer は、 ASAP WorkPlace で使用する Web ベースのユーザーインタフェースです。ユーザーに
アクセス権限がある場合、これを使用することで、共有されている Windows ファイルシステムリソースにアクセスする
ことができます。このリソースには、ドメイン、サーバー、コンピュータ、ワークグループ、フォルダ、ファイルなどが含
まれます。
Network Explorer は、オプションコンポーネントであり、ポリシーで制御できる他、完全に無効にすることもできま
す。 WorkPlace がサポートする任意のブラウザがサポートされています。詳細については、 185 ページの「ASAP
WorkPlace ポータル」を参照してください。
Aventail トンネルクライアント
Aventail Smart Tunneling は、 TCP および UDP トラフィック、リモートヘルプデスクアプリケーションなどの双方
向トラフィック、 VoIP アプリケーションなどの相互接続、 SMS などの逆方向接続についてセキュアなアクセスを提供し
ます。
Smart Tunneling では、 Aventail OnDemand トンネルエージェント (Web 起動されたブラウザベースのエージェ
ント ) と Aventail Connect トンネルクライアント (Web インストールされた Windows クライアント ) の 2 つのアクセ
スエージェントを使用してアクセスを提供します。それぞれのクライアントは、すべてのリソースに対してネットワークレベ
ルのアクセスを提供することで、ユーザーのコンピュータを効率的にネットワーク上のノードにします。トンネルクライアン
トは、 AMC から Aventail ネットワークトンネルサービスを使用して管理します。ネットワークトンネルクライアントから
TCP/IP 接続を管理するよう、このサービスを構成する場合、クライアントに IP アドレスを割り当てるための IP アドレス
プールを設定しなければなりません。
208|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
メモ
•
Sygatge、 Microsoft、 Zone Alarm 製のパーソナルファイアウォールと一緒に Aventail トンネルクライアン
トを使用する場合は、これらのファイアウォールの構成を変更しなければリモートネットワークへアクセスすることが
できません。ユーザーに対して、 Aventail VPN サービス (ngvpnmgr.exe) がインターネットにアクセスできる
ようパーソナルファイアウォールを構成すると同時に、 Aventail アプライアンスのホスト名と IP アドレスを、信頼
されているホストまたはゾーンに追加するよう通達してください。
OnDemand トンネルエージェント
Aventail OnDemand トンネルエージェントを使用すると、 Web ブラウザを使用して、 Aventail ネットワークトンネ
ルサービスで保護されたリソースに対し、完全なネットワークおよびアプリケーションアクセスが可能になります。
OnDemand トンネルエージェントは、 Connect トンネルクライアントと同様、広範なアプリケーションおよびプロトコ
ルアクセスを提供する軽量のエージェントですが、 ASAP WorkPlace ポータルに統合されており、ユーザーが
WorkPlace にログインするたびに自動的に起動します。 OnDemand トンネルエージェントでは、 Aventail アプライ
アンスの End Point Control 機能をサポートしています。
OnDemand トンネルエージェントは、Windows XP および Windows 2000 でサポートされていますが、Microsoft
Internet Explorer とともに Sun JVM または ActiveX が動作しているか、 Mozilla Firefox とともに Java が動作
していることが条件になります。
Connect トンネルクライアント
Aventail Connect トンネルクライアントは、 Aventail ネットワークトンネルサービスで保護されたリソースに対して、
フルアクセスできるようにする Windows アプリケーションです。 Connect トンネルクライアントを使用すると、 TCP/IP
を使用するアプリケーションや、 VoIP や ICMP といった非 TCP プロトコルを使用するアプリケーションなど、あらゆる
種類のアプリケーションにアクセスできるようになります。 Connect トンネルクライアントでは他にも、スプリットトンネリン
グ制御、細かいアクセス制御、プロキシ検出、認証などの機能も提供されます。 Connect トンネルクライアントでは、
Aventail アプライアンスの End Point Control 機能をサポートしていません。
Aventail Connect トンネルクライアントは、 2 種類の方法でインストールすることができます。 1 つ目の方法は、ユー
ザーが、 ASAP WorkPlace ホームページの [Install Software] リンクをクリックして、 Windows クライアントを
ダウンロードしインストールする方法です。もう 1 つの方法では、ユーザーが ASAP WorkPlace にログインしなくても、
他のネットワークロケーション (Web サーバー、 FTP サーバー、ファイルサーバーなど ) からダウンロードしインストー
ルできるように、 Connect トンネルクライアントを用意しておきます。
Connect トンネルクライアントは、 Windows XP および Windows 2000 でサポートされていますが、 Connect ト
ンネルクライアントをインストールする場合は、ユーザーに管理者権限が必要になります。 Connect トンネルのすべて
の構成と管理は AMC から実行し、構成の更新は、 Connect トンネルクライアントが Aventail アプライアンスに接続
するたびに動的に行われます。
Connect プロキシクライアント
Aventail Connect プロキシクライアントは、 Aventail ネットワークプロキシサービスで保護された広範囲のリソース
( 従来のクライアント / サーバーアプリケーション、シンクライアントアプリケーション、ファイルサーバー、 Web リソー
スを含む ) へのアクセスを可能にする 32 ビット Windows アプリケーションです。 Aventail Connect プロキシクライ
アントをユーザーのコンピュータにインストールし、パーソナルファイアウォールやアンチウイルスアプリケーションを搭載
するよう求めることにより、エンドポイントセキュリティを向上させることができます。 Aventail Connect では、 Microsoft
のシングルサインオンをサポートしており、 [ ネットワークコンピュータ ] からネットワーク共有リソースにシームレスにアク
セスできるようになっています。
Aventail Connect プロキシクライアントは、 Windows オペレーティングシステムでサポートされていますが、ユー
ザーには管理者権限が必要になります。
Aventail Connect をインストールするときは、 Web サーバー、 FTP サーバー、ファイルサーバーのセットアップパッ
ケージを配布します。Aventail Connect の構成の詳細については、『Aventail Connect Administrator's Guide』
を参照してください。
OnDemand プロキシエージェント
Aventail OnDemand プロキシエージェントは、 Aventail Web プロキシサービスで保護されたクライアント / サー
バーアプリケーションや Web リソースへのアクセスを可能にする安全かつ軽量のエージェントです。 Aventail
OnDemand プロキシエージェントは、ネットワークに対して標準 VPN アクセスできないパートナーやベンダーの他、
キオスク端末などの、仕事用でないコンピュータからネットワークリソースにモバイルでアクセスする従業員が使用すると
便利です。
OnDemand プロキシエージェントは、 Java または ActiveX が有効な Web ブラウザか、スタンドアロン Java 環境
が構成された環境 (Macintosh や Linux システムなど ) でサポートされています。
EX-750 インストールおよび管理ガイド | 209
Web プロキシエージェント
Aventail Web プロキシエージェントを使用すると、 ASAP WorkPlace から、 Windows ネットワーク共有へのアクセ
スだけでなく、 Web ベースのアプリケーション、 Web ポータル、 Web サーバーなど、任意の Web リソースにもアク
セスできるようになります。 Aventail Web プロキシエージェントでは、トランスレーテッド Web エージェントが間に入
ることで互換性は向上しますが、 Web プロキシエージェントを使用すると、場合によっては、ユーザーが ASAP
WorkPlace に最初にログインするときに余分の時間がかかるようになります。
Web プロキシエージェントは、 Windows XP および Windows 2000 でサポートされていますが、 Internet
Explorer とともに ActiveX が動作していることが条件になります。
トランスレーテッド Web エージェント
デフォルトの場合、このアプライアンスでは、 Internet Explorer が動作する Microsoft Windows システムに、
Microsoft ActiveX コントロール (Web プロキシエージェント ) がインストールされます。ただし Web プロキシエー
ジェントが動作不可能な場合は、代替システムとしてトランスレーテッド Web エージェントが使用されます。トランスレー
テッド Web エージェントでは、 Web リソースに対する基本アクセスが可能になると同時に、内部ホスト名を隠すエイリ
アスも作成できるようになります。このエージェントは、 Web コンテンツをアプライアンスから直接プロキシするもので、こ
れを使用すると、 Windows ネットワーク共有へのアクセスだけでなく、 WorkPlace で実行するよう個別に構成されて
いる任意の Web リソースにもアクセスできるようになります。
トランスレーテッド Web エージェントは、ASAP WorkPlace でサポートされている任意の Web ブラウザで動作します。
Aventail Connect プロキシクライアント
Aventail Connect クライアントは、Aventail ネットワークプロキシサービスで保護された TCP/IP リソースへのアクセ
スを可能にする Windows アプリケーションです。ほとんどの場合ユーザーは、クレデンシャルを入力するよう求められ
た場合かリモートネットワークアクセスを有効にするよう求められた場合に限り、 Aventail Connect クライアントと通信
します。
210|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
Aventail Connect は、構成ファイルで割り当てられているルーティング指示文に従って、ネットワークトラフィックをリ
ダイレクトしリルートします。構成ファイルは、 Aventail Connect Configuration Tool を使用して作成します。
Aventail Connect クライアントが接続要求を受け取ると、その接続を Aventail ネットワークプロキシサービスにリダ
イレクトする必要があるかどうか判断します。リダイレクトする必要がない場合、 Aventail Connect は、接続要求 ( お
よびそれ以降のデータ転送 ) を TCP/IP スタックに直接渡します。
次に、 Aventail Connect クライアントのインストール、構成、デプロイの基本手順について説明します。 Aventail
Connect クライアントの詳細については、『Aventail Connect Administrator's Guide』を参照してください。
X
Aventail Connect クライアントをインストール、構成、デプロイするには
1.
コンピュータに Aventail Connect 管理者ツールをインストールします。 Aventail Connect 管理者ツールに
は、 Configuration Tool と Customizer が含まれます。
2.
Aventail Connect Configuration Tool を開いて、構成 (.cfg) ファイルを作成します。構成ファイルを作成
するための基本手順は、次のようになります。
•
•
リモートネットワークと、リモートネットワークアクセスモードを構成します。
Aventail Connect がトラフィックをリダイレクトするリモートネットワークの接続先を指定します。
•
必要なプロキシサーバー設定を定義します。
•
適切な Aventail ネットワークプロキシサービスの信頼できるルートファイルを参照します。
3.
Aventail Connect Customizer ツールを使用して、 Aventail Connect セットアップパッケージを作成しま
す。手順 2 で作成した構成ファイルとあわせて、手順 2 で参照した信頼できるルートファイルも入れます。
4.
Aventail Connect セットアップパッケージをユーザーに配布します。セットアップパッケージを配布する場合の
最も一般的な方法には次のようなものがあります。
5.
•
セットアップパッケージを HTTP または HTTPS サーバーに置きます。
•
セットアップパッケージを FTP サイトに置きます。
•
セットアップパッケージを、マップドドライブとしてアクセスできるネットワークドライブに置きます。
Microsoft ネットワークの場合は、 UNC パス名 ( たとえば
「\\computer_name\share_name\Connect」 ) を使用します。
•
パッケージを電子メールの添付ファイルとしてユーザーに送信します。
ユーザーに、このセットアップパッケージを取得して開くよう通知します。実行可能ファイルが動作すると、
Aventail Connect インストールパッケージが自動的に解凍され、ユーザーのコンピュータ上でセットアップが始
まります。
メモ
•
Aventail Connect を介したネットワークリソースへのアクセスを許可するには、 Aventail Connect アクセスを
明確に許可するゾーンにユーザーを割り当てなければなりません。詳細については、 174 ページの「ゾーンへの
Aventail Connect ユーザーの割り当て」を参照してください。
EX-750 インストールおよび管理ガイド | 211
Aventail OnDemand プロキシエージェント
Aventail OnDemand プロキシエージェントは、 Aventail ネットワークプロキシサービスで保護された TCP/IP リ
ソースへのアクセスを可能にする安全かつ軽量のエージェントです。 OnDemand では、ローカルループバックプロ
キシングを使用し、 AMC で定義されているルーティング指示文に従って、保護されたネットワークリソースへ通信をリダ
イレクトします (OnDemand では UDP アプリケーションをサポートしていない )。
この節では、 OnDemand の概要について説明し、 OnDemand の構成方法とインストール方法について説明します。
OnDemand ライセンスを購入していない場合は、 AMC の OnDemand オプションが無効になっています。
概要 : OnDemand
Aventail OnDemand は、クライアントアプリケーションとアプリケーションサーバー間の通信を保護する、ループバッ
クベースのプロキシソリューションです。ユーザーは、クライアントレスな VPN アクセスを得るために OnDemand を
Aventail アプライアンスから「オンデマンドで」ダウンロードすることができます。ネットワークに対してフルアクセスで
きないパートナーやベンダーの他、キオスク端末やホームコンピュータからネットワークリソースにモバイルでアクセスす
る従業員が使用すると便利です。
次の図は、接続の手順を示しています。
1.
デフォルトの場合、 OnDemand は、ユーザーが ASAP WorkPlace にログインするときに自動的に始動しま
す。また、ユーザーが ASAP WorkPlace のリンクをクリックすることで起動できるよう OnDemand を構成する
こともできます。
2.
デフォルトの場合、 OnDemand は、 ASAP WorkPlace のウィンドウ内で動作を開始します。また、「スタンド
アロン」モードで、独立したウィンドウで動作するよう OnDemand を構成することもできます。
3.
OnDemand は、ローカルループバックアドレス (127.0.0.1) でアプリケーション要求を待ち、そのトラフィック
を Aventail ネットワークプロキシサービスにリダイレクトします。
4.
Aventail ネットワークプロキシサービスは、アプリケーションが要求するポートで、トラフィックをアプリケーション
サーバーにプロキシします。
5.
アプリケーションサーバーは、アプリケーショントラフィックをネットワークプロキシサービスに送信します。
6.
ネットワークプロキシサービスは、アプリケーショントラフィックを OnDemand に送信し、 OnDemand がクライ
アントアプリケーションにそれを渡します。
OnDemand は、 1 つのポートまたは複数のポートを使用する TCP アプリケーションをサポートしています。ポートを動
的に定義するアプリケーションもこれに含まれます。 OnDemand では通常、次の 2 種類のアプリケーションにアクセ
スします。
•
常駐クライアント / サーバーアプリケーション。インターネット電子メールアプリケーション (Microsoft
Outlook、 Outlook Express、 Lotus Notes、 Netscape Mail、 Eudora など )、端末エミュレーションア
プリケーション (WRQ Reflection、 NetManage RUMBA PC-to-Host など )、リモートオフィス接続アプリ
ケーション (Citrix ICA/MetaFrame、 Microsoft Windows Terminal Services など ) がこれに当たります。
通常これらのクライアント / サーバーアプリケーションは、クライアントコンピュータにローカルにインストールされま
す。 OnDemand では、 Microsoft Outlook 2000 と Outlook XP をサポートしています。
•
ダウンロード可能なシンクライアントアプリケーション。端末エミュレーションプログラム (Attachmate
myEXTRA! Terminal Viewers、 NetManage RUMBA Web-to-Host、 WRQ Reflection for the Web
など )、リモートオフィス接続アプリケーション (Citrix ICA client for Java、 Microsoft Windows Terminal
Services Advanced Client など ) がこれに当たります。シンクライアントアプリケーションは通常、 Java アプ
レットまたは ActiveX コントロールを内蔵する Web ベースのアプリケーションです。
OnDemand では、 UDP ベースのアプリケーションをサポートしていません。
212|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
デフォルトの場合、 OnDemand は、ユーザーが ASAP WorkPlace に接続するときに、自動的に動作するよう構成
されています。また、 OnDemand をスタンドアロンモードで構成することもできます。この場合は、ユーザーが、
ASAP WorkPlace のリンクをクリックすることによって OnDemand を起動します。パフォーマンスを向上させるため、
OnDemand は、最初にアクセスしたときにユーザーのコンピュータにインストールされるようになっており、ユーザーが
使用するたびにダウンロードが発生するのを避けています。
Microsoft Windows ユーザーの場合、 OnDemand は、接続要求を動的にアプライアンスにリダイレクトするよう構
成することができます。このダイナミックモードでは、特定のアプリケーションが OnDemand と一緒に動作するよう構
成する必要があります。ただしユーザーは、使用したいクライアント / サーバーアプリケーションを手動で起動しなけれ
ばなりません。また、ユーザーが ASAP WorkPlace のリンクをクリックしたときに、 OnDemand が自動的にクライア
ント / サーバーアプリケーションを実行するようセットアップすることもできます ( この構成は、非 Windows プラットフォー
ムのユーザーも必要 )。
OnDemand リダイレクションモード
デフォルトの場合、 Aventail OnDemand は、ユーザーが ASAP WorkPlace にログインするときに自動的に始動し
ます。また AMC には、ユーザーが ASAP WorkPlace のリンクをクリックしたときに、 Aventail OnDemand を手動
で起動するオプションもあります。
OnDemand には、ダイナミックモードとマップドモードの 2 種類の動作モードがあります。ダイナミックモードでは、
Windows ユーザーが任意のネットワークアプリケーションにアクセスすることができ、一方のマップドモードでは、ユー
ザーが、特定のアプリケーション用に構成されたショートカットをクリックします。また、 OnDemand アクセスを完全に
無効にすることもできます。
•
ダイナミックモード。ダイナミックモードでは、 AMC で定義されているすべてのネットワークリソースからのトラ
フィックを、 OnDemand が自動的にリダイレクトします。このモードの場合、使用するアプリケーションをユーザー
が手動で起動します。ダイナミックモードは、 Windows でのみサポートされており、ユーザーに管理者権限が
必要になります。
•
マップドモード。マップドモードでは、 OnDemand が、特定のネットワークアプリケーションに対応するトラ
フィックをリダイレクトします。オプションで、ユーザーがショートカットをクリックしたときに指定の Web URL が自動
的に開かれるよう、 OnDemand を構成することもできます。このモードは、 OnDemand が動作するときにアプ
リケーション ( シンクライアントアプリケーションなど ) が始動するよう設定する場合に使用すると便利です。ただ
し、特定のアプリケーションをポイントするショートカットを手動で作成しなければなりません。マップドモードは、
Windows、 Macintosh、 Linux でサポートされています。
Windows PC の場合、ユーザーが ASAP WorkPlace に初めてログインするとき、 WorkPlace が自動的に
OnDemand をユーザーのコンピュータにダウンロードし、インストールして、これを起動します。それ以降の
WorkPlace ログインでは、 OnDemand が自動的に起動するようになります。ただし、この自動始動を無効にし、ダ
イナミックモードで、ユーザーが手動で OnDemand を開始するためのリンクを入れることもできます。
OnDemand の起動
デフォルトの場合、 Aventail OnDemand が有効になっていれば、ユーザーが ASAP WorkPlace にログインすると
き OnDemand が自動的に始動し、 WorkPlace のウィンドウで動作します。ユーザーは、この埋め込みモードで
OnDemand を使用するとき、 WorkPlace ウィンドウを開いたままにしておかなければなりません。
また、 OnDemand はスタンドアロンモードで動作するよう構成することもできます。この場合、 OnDemand を開始
するためのリンクをユーザーがクリックすると、OnDemand が独立したウィンドウで開きます。ユーザーは、OnDemand
に影響を与えずに、 ASAP WorkPlace ウィンドウを閉じることができます。また、 OnDemand ウィンドウを最小化す
ることもできますが、ネットワークで使用しているときは閉じることができません。これを閉じると、アプリケーション接続も
停止し、ユーザーが OnDemand からログアウトすることになります。ユーザーが作業を終了したら、 OnDemand ウィ
ンドウを閉じることで、 OnDemand からログアウトすることができます。
次の表は、 OnDemand を起動する方法についてまとめています。
起動モード
説明
ASAP WorkPlace への埋め込み
OnDemand が、メイン WorkPlace ウィンドウで透過的に動作します。
ユーザーは、 OnDemand を使用するとき、 WorkPlace ウィンドウを
開いたままにしておかなければなりません。 OnDemand 接続について
の情報は、 [Connection status] エリアに表示されます。
スタンドアロンエージェント
OnDemand が、独立したウィンドウで動作します。ユーザーが
WorkPlace ブラウザウィンドウを閉じても、 OnDemand は動作を続
けます。 OnDemand 接続についての情報は、独立した [Details]
ウィンドウに表示されます。
EX-750 インストールおよび管理ガイド | 213
メモ
•
ユーザーは、 OnDemand ウィンドウからアプリケーションを開始することができません。 URL が自動的に開かれ
るよう OnDemand を構成している場合を除き、ユーザーは通常の方法で、アプリケーションを手動で開始しなけ
ればなりません。
•
ユーザーは、パーソナルファイアウォールで、OnDemand トラフィックを許可するよう構成する必要はありません。
OnDemand クライアント要件
Aventail OnDemand プロキシエージェントでは、 Java Virtual Machine (JVM) が構成された Web ブラウザが
必要になります。 OnDemand では、次のクライアント構成をサポートしています。
オペレーティングシステム
Web ブラウザ
その他の要件
Service Pack 2 がインストール Service Pack 1 がインストールされた
された Windows XP
Microsoft Internet Explorer 6.0、
Professional
または Mozilla Firefox 1.0
Service Pack 2 がインストール
された Windows XP Home
Edition
Service Pack 4 がインストール
された Windows 2000
Sun JVM 1.5.02 プラグインまたは
ActiveX が動作
Macintosh OS X
Sun JVM 1.4.2 プラグイン
Macintosh Safari 1.2 または
Mozilla Firefox 1.0
OnDemand スタンドアロンデプロイメントを計画するときは、ユーザーが OnDemand を使用してアクセスするクライ
アントアプリケーションで、どのようなテクノロジーが使用されているかについて考慮します。たとえば、 Microsoft の
ActiveX テクノロジーを使用するアプリケーションであれば、 Macintosh や Linux システムで動作しません。
OnDemand がネットワークトラフィックをリダイレクトする方法
OnDemand では、ローカルループバックアドレスを使用して、アプライアンスを介したトラフィックをリダイレクトし保護
します。この節では、ループバックプロキシングの概要を紹介し、さまざまなリダイレクション方式について説明します。
概要 : ループバックプロキシング
OnDemand では、 Aventail ネットワークプロキシサービスを介してアプリケーショントラフィックを安全に送信すると
き、ローカルループバックプロキシングを使用します。たとえば、 Windows ユーザーがアプライアンスに接続し、
Citrix アプリケーションを実行する場合、次のようにします。
1.
ユーザーが ASAP WorkPlace にログインします。このとき、 OnDemand がダイナミックモードで自動的に動
作します。
2.
OnDemand がローカルループバックアドレスを Citrix サーバーのホスト名に自動的にマッピングします。
3.
ユーザーが Citrix アプリケーションを実行すると、 citrix.example.com に接続が試みられます。
OnDemand は、 Citrix ホスト名を 127.0.0.1 に解決し、トラフィックをネットワークプロキシサービスにルー
ティングします。
4.
OnDemand は、 SSL を使用して Citrix トラフィックを暗号化し、 Aventail アプライアンスへ安全にルーティン
グします。一方でアプライアンスは、これを Citrix サーバーに転送します。
5.
Citrix サーバーはこれに応答し、 ASAP WorkPlace アプライアンスを介してデータを返信します。
6.
アプライアンスは、 SSL を使用して応答を OnDemand に転送します。
7.
OnDemand は、情報を Citrix アプリケーションに転送します。
OnDemand では、複数のリダイレクション方式をサポートしています。選択する方法は通常、 ( 使用中のオペレーティ
ングシステムやローカルシステム権限など ) エンドユーザーのプロファイルによって決まります。
214|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
ダイナミックモード
Windows システムの場合、 OnDemand は、 AMC で定義されている任意の接続先リソース ( ドメイン、ホスト、 IP
アドレスなど ) へトラフィックを動的にリダイレクトします。このモードで動作する場合、 OnDemand は TCP/IP プロトコ
ルのトランスポート層に入り込み、必要に応じてトラフィックを動的にリダイレクトします。
ダイナミックモードは通常、 Windows ユーザーの場合に有効になります。個別のアプリケーションごとに特定のポート
やループバックアドレスを構成する必要はありません。この方法は、同種の Windows 環境を管理する場合に適して
おり、広く使用されています。詳細については、 215 ページの「OnDemand ダイナミックモードアクセスの有効化」
を参照してください。
OnDemand をダイナミックモードでインストールする場合、ユーザーにローカルコンピュータ上の管理者権限がなけ
ればなりません。ただし、インストール後、ダイナミックモードで OnDemand を使用する段階では管理者権限は必要
ありません。
hosts ファイルのリダイレクション
もう 1 つの方法は、トラフィックを接続先サーバーにリダイレクトするよう、ユーザーのコンピュータ上の hosts ファイル
を修正することです。このリダイレクション方式は、 Windows、 Macintosh、 Linux プラットフォームでサポートされて
います。
エンドユーザーのシステムで hosts ファイルを修正し、接続先サーバーをローカルループバックアドレスにマッピング
します。アプリケーションがホスト名を解決するとき、トラフィックが、 OnDemand がリストしているループバックアドレス
にリダイレクトされます。
次の例は、ホスト名が IP アドレスに割り当てられた一般的な hosts ファイルと、 OnDemand で使用するために修正
した hosts ファイルを示しています。 OnDemand のホスト名が、ホストの IP アドレスではなく、ローカルループバッ
クアドレスにマッピングされていることに注目してください。アプリケーション固有の構成の場合、これらのループバック
アドレスは、 AMC で OnDemand を構成するときに指定したアドレスと一致します。詳細については、 216 ページの
「特定アプリケーションにアクセスするための OnDemand の構成」を参照してください。
一般的な hosts ファイル
192.168.1.135 telnet.example.com telnet
192.168.1.140 mailhost.example.com mail
192.168.1.143 citrix.example.com citrix
OnDemand の hosts ファイル
127.0.0.1 telnet.example.com telnet
127.0.0.1 mailhost.example.com mail
127.0.0.1 citrix.example.com citrix
hosts ファイルを書き換えるには、ユーザーにローカルコンピュータ上の管理者権限がなければなりません。このアプ
ローチは、モバイルユーザーの場合あまり実際的ではありません。というのは、ローカルネットワークで作業している場
合とリモートロケーションで作業している場合で、元の hosts ファイルと OnDemand hosts ファイルを切り替える必要
が出てくるためです。
ローカル hosts ファイルの管理
hosts ファイルリダイレクションを使用する場合、修正した hosts ファイルを配布するか、ユーザー自身の手で hosts
ファイルを手作業で修正する必要があります ( 技術がないユーザーの場合あまり実際的ではない )。 hosts ファイルに
不正があれば接続に問題が出る可能性もあるため、作業は慎重に行わなければなりません。 hosts ファイルのロケー
ションは、オペレーティングシステムによって異なります。
•
•
Windows : hosts ファイル ( 拡張子がない hosts という名前のテキストファイル ) のロケーションは、使用して
いる Windows のバージョンごとに異なります。
•
Windows XP Home c:\windows\system32\drivers\etc
•
Windows 2000 または Windows XP Pro c:\winnt\system32\drivers\etc
•
Windows 98 または Windows Me c:\windows
Macintosh : OS X の場合、テキストエディタで /etc/hosts ファイルを編集できる他、 NetInfo Manager
アプリケーションを使用して、ホストエントリのローカルデータベースを修正することができます。
Macintosh OS 9.x の場合、 [TCP/IP] コントロールパネルから、上級ユーザーモードで hosts エントリをロー
ドすることができます。ファイルの形式は、前の例とは異なります。 Macintosh OS 9 の場合、「hostname A
address」という形式にしなければなりません ( たとえば「mailhost.example.com A 127.0.0.1」 )。
•
Linux : Linux の hosts ファイル情報は /etc/hosts ファイルに記述されています。
EX-750 インストールおよび管理ガイド | 215
その他のリダイレクション方式
ほとんどの OnDemand デプロイメントでは、ダイナミックモードを使用するか、ローカル hosts ファイルを書き換える
ことでリダイレクションを管理しますが、どちらの方法も使用できない場合は、他のリダイレクション方式を使用します。
•
スプリット DNS の使用。サーバーの FQDN をループバックアドレスに解決するようパブリック DNS を修正し、
内部 DNS は修正しない状態 ( 実際の内部 IP アドレスをポイントした状態 ) で残しておきます。このアプローチ
には、アプリケーションのマッピングを集中的に管理できるという利点があります。ただしダウンサイドではプライベー
トなホスト名が公開されるため、企業の DNS を管理していない場合は、管理が難しくなります。
•
ループバックアドレスを使用したアプリケーションへのアクセス。ホスト名や IP アドレスを使用してアプリ
ケーションにアクセスする代わりに、ユーザーがローカルループバックアドレスにアクセスすることによってアプリ
ケーションを実行することができます。このアプローチは、高度な技術を持つユーザーが使用する場合に限って実
践的です。
•
アプリケーション構成の修正。この場合、サーバーのホスト名や IP アドレスの代わりにループバックインタフェー
スをポイントするよう、クライアントアプリケーションの構成を修正します。
OnDemand ダイナミックモードアクセスの有効化
Windows が動作するユーザーの場合、 OnDemand は、すべての接続を、 AMC で定義しているネットワークリソー
ス ( ドメイン、サブネット、 IP 範囲、ホスト名、 IP アドレスなど ) と合致する接続先アドレスへ自動的にリダイレクトしま
す。 AMC でこのダイナミックモードを使用するとき、アプリケーション構成 ( 特定のポートやループバックアドレスを定
義するなど ) は実行する必要がありません。
X
OnDemand ダイナミックモードアクセスを有効にするには
•
[Configure Community] ページの [Access Methods] セクションにある [Web-based proxy
access (TCP protocol)] でコミュニティ設定を構成するとき、 [Client/server proxy agent
(OnDemand)] チェックボックスと [Dynamically redirect connections] チェックボックスをクリックし
ます。
ユーザーが OnDemand からダイナミックモードでアクセスできる定義済みのネットワークリソースのリストを参照すること
ができます。
X
ユーザーが OnDemand からアクセスできるリソースを表示するには
•
[Configure OnDemand] ページの [Dynamic mode] エリアで、 [Show network redirection
list] をクリックします。この操作により、 [Redirection List] ページが表示され、ユーザーが OnDemand
からダイナミックモードでアクセスできる、定義されているすべてのネットワークリソースがリスト表示されます。
メモ
•
ダイナミックモードは、 Microsoft Windows オペレーティングシステムでのみ使用でき、 Macintosh や Linux
ではサポートされていません。
•
OnDemand をダイナミックモードで使用するには、自身のコンピュータに対する管理者権限がなければなりませ
ん。ユーザーに管理者権限がない場合、 OnDemand をマップドモードで構成して、異なるリダイレクション方
式を採用する必要があります。
•
OnDemand が始動するときに Web ページが開くようにする場合は、ダイナミックモードを構成することができま
せん。 OnDemand の始動時にアプリケーションが自動的に開始するよう設定する場合は、 OnDemand を、特
定のアプリケーションに対してマップドモードで構成しなければなりません。
216|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
特定アプリケーションにアクセスするための OnDemand の構成
OnDemand を非 Windows プラットフォームのユーザーにインストールする場合や、ユーザーが OnDemand を実
行するときにシンクライアントアプリケーションが始動するよう、 URL 起動機能を自動的に使用する場合は、 AMC でア
プリケーション固有の構成を定義しなければなりません。これには、クライアントやサーバーに対するポート番号のマッピ
ングや、「ポートマッピング」と呼ばれるプロセスが含まれます。
概要 : ポートマッピング
固有のアプリケーションでトラフィックをリダイレクトするよう OnDemand を構成する場合、クライアントとサーバーでアプ
リケーションが使用するポート番号を知っておき、 AMC でこれらのポートをマッピングする必要があります。 OnDemand
は、要求が送られるとき、クライアントの特定のポートでこれをリッスンし、それをアプライアンスへプロキシします。アプ
ライアンスはこの情報を、アプリケーションサーバーの IP アドレスとポートに転送します。
たとえば、ホストに接続するクライアントの IP アドレスとポート ( たとえば 127.0.1.1:23) や、接続先サーバーの IP
アドレスとポート ( たとえば telneta.example.com:23) などを構成することができます。
( 電子メールなど ) 一部のアプリケーションでは、複数のプロトコルのために複数のポートを使用します。その場合、複
数の異なるポートでリッスンするよう OnDemand を構成しなければなりません。このような構成は、 OnDemand で複
数の異なるアプリケーションを使用するよう構成するときに使用しても便利です。次の例の OnDemand では、 5 つの
異なるポートを介して 3 つのアプリケーションを使用するよう構成しています。
Aventail OnDemand
㔚ሶ䮨䯃䮲
Telnet
䮤䯃䮏 23
Citrix ICA
䮤䯃䮏䎃1494
䭊䬷䭢䬸䬽䭩䮞䮱䭸䯃䭾䮮䮺䬾
න৻䬽䮤䯃䮏䭡૶↪
䮤䯃䮏䎃25
(SMTP)
䮤䯃䮏䎃110
(POP3)
䮤䯃䮏䎃143
(IMAP)
ⶄᢙ䬽䭼䯃䮚䮀䭡ᜬ䬳䭩䮞䮱䭸䯃䭾䮮䮺䬾
ⶄᢙ䬽䮤䯃䮏䭡૶↪
ここでは、ポート 110 (POP3)、ポート 143 (IMAP)、ポート 25 (SMTP) で電子メール要求をリッスンするよう
OnDemand を構成しています。また、ポート 23 で Telnet を、ポート 1494 で Citrix をリッスンするよう構成して
います。
状況によっては、ポートマッピングのプロセスはもっと複雑になります。
•
•
Macintosh オペレーティングシステムでは、単一のループバックアドレス、 127.0.0.1 のみが有効です。その
ため、 Macintosh ユーザーにデプロイする場合、すべてのネットワークサービスを単一のローカルホスト IP アド
レス、 127.0.0.1 にマッピングします。異なるポートで動作するサービスがある場合 ( たとえば Telnet と電子メー
ルホスト )、次のように異なるポート番号を指定して、両方を 127.0.0.1 にマッピングすることができます。
接続元
接続先
127.0.0.1:23
telnet.example.com:23
127.0.0.1:110
mail.example.com:110
Macintosh OS X および Linux で OnDemand をサポートする場合、 1023 より上のローカルループバック
ポートを使用して、 OnDemand がトラフィックをプロキシできるようにする必要があります。
EX-750 インストールおよび管理ガイド | 217
•
特定のポート番号でリッスンするのは、いつでも 1 つのサービスに限られます。たとえば、 2 つの異なる Telnet
ホストがネットワーク上にある場合、 OnDemand では、 1 つのポートリスナのみを 127.0.0.1 のポート 23 に
割り当てることができます。この場合、異なるポート番号をローカルループバックと接続先ホストに割り当てる必要
があります。
接続元
接続先
127.0.0.1:2021
telneta.example.com:23
127.0.0.1:2023
telnetb.example.com:23
接続元ポートはポート 2021 と 2023 にマッピングされており、接続先ポートはポート 23 にマッピングされていま
す。この構成では、この他に次の構成を実行する必要があります。
1.ユーザーのコンピュータ上の Telnet アプリケーションを修正して、 telneta ホストおよび telnetb ホストで、
新しくマッピングされたポート 2021 と 2023 を使用するようにします。
2.AMC で、通常の方法でポートを構成します ( クライアントの接続元アドレスとポートを接続先サーバーのアドレ
スとポートにマッピングする )。
ローカル hosts ファイルに次のエントリを追加します。これらのエントリは、それぞれの接続先サーバーを同じルー
プバックアドレスにマッピングするものです。
127.0.0.1 mail.example.com
127.0.0.1 telneta.example.com
127.0.0.1 telnetb.example.com
•
それぞれのローカルアドレスは、単一の接続先アドレスにマッピングされます。アドレス範囲をマッピングすること
はできません ( ただしアドレス範囲内の個別のアドレスを 1 つずつマッピングすることは可能 )。
OnDemand と一緒に使用するアプリケーションの構成
OnDemand を非 Windows プラットフォームのユーザーにインストールする場合や、シンクライアントアプリケーショ
ンを起動するための WorkPlace リンクを作成する場合、 AMC でアプリケーション固有の構成を定義しなければなりま
せん。これには、クライアントやサーバーに対するポート番号のマッピングや、「ポートマッピング」と呼ばれるプロセス
が含まれます。
アプリケーションを構成するには、それぞれのサービスで使用するプロトコルを知っておき、クライアントの接続元アドレ
スとポートを、接続先ホストのアドレスとポートにマッピングする必要があります。ユーザーが OnDemand を実行したと
きに Web ページが開くようにしたい場合、 URL を指定することもできます ( 自動的にアプリケーションを始動する場合
便利 )。
218|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
X
OnDemand と一緒に使用するアプリケーションを構成するには
1.
AMC のメインナビゲーションメニューから [Aventail OnDemand] をクリックします。この操作により、
[Configure OnDemand] ページが表示されます。
2.
[Mapped mode] エリアで、 [New] ボタンをクリックします。この操作により、 [Mapped Mode] ページ
が表示されます。
3.
[Application name] ボックスに、アプリケーションの名前を入力します。この名前は、 ASAP WorkPlace
で表示されます。簡潔でわかりやすい名前を使用します。
4.
[Description] ボックスに、アプリケーションについてのコメントを入力します。
5.
[Add mapping] エリアで、アプリケーションが使用するそれぞれのサービスを構成します。
a.
[Destination resource] ボックスの横にある [Edit] ボタンをクリックし、構成するネットワークリソース
を選択して、 [Save] をクリックします。また、 [Resources] ダイアログボックスの [New Resource]
ボタンをクリックすることで、新しいネットワークリソースを作成することができます。
b.
サービスの IP アドレス / ポートの組み合わせが、他のサービスと競合する場合、 [Local host]
ボックスの IP アドレスを修正するか、以下で説明しているポートをマッピングすることができま
す。 [Local host] の値を、 127.x.y.z アドレススペース内の任意の IP アドレスに変更することが
できます。
c.
[Service type] ボックスで、アプリケーションが使用するサービスのタイプをクリックします。
サービスタイプをクリックすると、 [Destination/local ports] ボックスに、そのサービスに適
したポートの値が入力されます。
サービスがローカルポートと異なる接続先ポートを使用する場合、 [Destination/local ports] ボック
スの情報を適宜編集して、ポートを別のポートにマッピングします。
d.
6.
[Add to Current Mapping] をクリックします。この操作により、マッピングが [Current
mapping] リストに追加されます。
アプリケーションが複数のサービスを使用する場合、手順 5 を繰り返してそれぞれのサービスを構成します。ほと
んどのアプリケーションでは、 1 つのサービスしか使用しませんが、複数のプロトコルを使用するアプリケーション
( たとえば電子メール ) では複数のサービスを使用します。
EX-750 インストールおよび管理ガイド | 219
7.
[Create shortcut on ASAP WorkPlace] チェックボックスを選択します。
OnDemand を実行したときに Web ページが開くようにする場合 ( シンクライアントアプリケーションが自動的に
始動するようにする場合便利 )、 [Start an application by launching this URL] ボックスに、適切な
ページの URL を指定します。ただし、 http:// または https:// プロトコル識別子は必ず指定しなければなりま
せん。
OnDemand がロードされると、新しいブラウザウィンドウに、指定した URL が自動的に開きます。
メモ
•
[Create shortcut on ASAP WorkPlace] オプションを最初に構成したら、 [Mapped Mode] ページ
で設定の表示のみを行うことができます。このページで編集することはできません。この設定の最初の構成が終
わったら、 AMC の [WorkPlace Shortcuts] ページでショートカットを管理します。詳細については、 190
ページの「ショートカットの利用」を参照してください。
高度な OnDemand オプションの構成
この節では、外部 IP アドレスを使用してアプライアンスへアクセスする方法と、 OnDemand ログにデバッグメッセー
ジを追加する方法について説明します。
外部 IP アドレスを使用したアプライアンスへのアクセス
デフォルトの場合、 OnDemand は、アプライアンスの SSL 証明書に記述されている FQDN を使用してアプライアン
スにアクセスします。これは実稼働環境 (FQDN がパブリック DNS に追加される ) では問題ありませんが、テスト環境
では次のいずれかの理由で問題が発生します。
•
そのアプライアンスの FQDN が DNS に追加されていないため。
•
ユーザーの環境でネットワークアドレス変換 (NAT) が使用されていることから、外部 IP アドレスがアプライアンス
の外部ネットワークアドレスと一致しないため。
どちらの場合も、外部ネットワークインタフェースの IP アドレスを使用するよう OnDemand を構成する必要があります。
X
アプライアンスの外部 IP アドレスを使用するよう OnDemand を構成するには
1.
AMC のメインナビゲーションメニューから [Aventail OnDemand] をクリックし、 [Advanced] エリアをク
リックして拡張します。
2.
[Appliance FQDN or IP address] ボックスに、外部ネットワークインタフェースの IP アドレスを入力しま
す。
アプライアンスを実稼働環境に移す前に、この値に、アプライアンスの SSL 証明書に記述されている FQDN が含まれ
ていることを確認します。アプライアンスの SSL 証明書を更新すると、 FQDN が自動的にこのフィールドに挿入されま
す ( 前に指定した値は上書きされる )。
ユーザーが初めて OnDemand を起動すると、 OnDemand を実行するための許可を与えるよう求めるセキュリティ警
告が Web ブラウザに表示されます。このような場合のブラウザの構成については、 220 ページの「Java セキュリティ
警告の抑止」を参照してください。
OnDemand ログへのデバッグメッセージの追加
デバッグメッセージを OnDemand ログに記録することができます。 OnDemand ログには、情報メッセージと警告メッ
セージのみが記述されます。そのためこのログは、トラブルシューティングの場合に限って使用します。
X
OnDemand ログへデバッグメッセージを追加するには
1.
AMC のメインナビゲーションメニューから [Aventail OnDemand] をクリックし、 [Advanced] エリアをク
リックして拡張します。
2.
[Enable debug OnDemand log messages] チェックボックスを選択します。
220|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
クライアントの構成
この節では、 OnDemand で使用すると便利なクライアント側の構成について説明します。
Java セキュリティ警告の抑止
OnDemand が始動すると、 OnDemand を実行するための許可を与えるよう求めるセキュリティ警告が Web ブラウザ
に表示されます。この警告は、オペレーティングシステムやブラウザによっても変動します。 OnDemand を実行する
ためには、この証明書を受け入れなければなりません。
OnDemand には、アプレットの妥当性を保証する、 Java コード署名証明書が含まれます。 Windows および
Macintosh OS X の場合、証明書には、商用ソフトウェアで広範に使用されている、 Thawte のクラス 3 デジタル
ID が含まれます。
OnDemand を起動するたびにセキュリティプロンプトが表示されるのを抑止するためには、システムが Aventail 証明
書を信頼するよう構成します。このような構成を行うと、ブラウザは、 Aventail からのそれ以降のソフトウェアダウンロー
ドをすべて信頼するようになります。たとえば Internet Explorer の場合、 [Grant Always] をクリックすれば、
Aventail 証明書を信頼するよう構成することができます。
Web ブラウザでのプロキシサーバーの構成
プロキシサーバー経由でアウトバウンド接続を渡すとき、 OnDemand では Web ブラウザの設定を使用して、プロキ
シサーバーのアドレスとポートを判定します。この構成では、アウトバウンドプロキシサーバーのアドレスとポートを指
定するか、自動プロキシ検出を有効にすることにより、ユーザーが自身の Web ブラウザを構成しなければなりません。
ユーザーが自動プロキシ検出と手動プロキシ識別の両方を有効にしている場合、この順序でプロキシサーバー設定が
チェックされます。
1.
[Automatically detect settings] オプションが有効な場合、 OnDemand はプロキシサーバー設定を
自動的に検出しようとします。
2.
OnDemand がプロキシサーバー設定を自動的に検出できない場合、ブラウザの [Use automatic
configuration script] オプションが有効になっていれば、自動構成スクリプトがないかチェックします。
3.
構成スクリプトでプロキシサーバー設定を検出できなかった場合、ユーザーが手動で指定したプロキシサーバー
設定が使用されます。
X
Internet Explorer for Windows で自動プロキシ検出を構成するには
1.
[Tools] メニューの [Internet Options] をクリックします。
2.
[Connections] タブで、 [LAN Settings] をクリックします。
3.
[Automatic Configuration] で、次のいずれかまたは両方のオプションを有効にします。
•
プロキシサーバー設定を自動的に検出する場合、 [Automatically detect settings] チェックボック
スを選択します ( このオプションは Microsoft Virtual Machine を使用して Internet Explorer を実行し
ているユーザーに限ってサポートされている )。
•
構成ファイルに含まれている構成情報を使用する場合、 [Use automatic configuration script]
チェックボックスを選択して、 [Address] ボックスに構成ファイルの URL またはパスを入力します。
EX-750 インストールおよび管理ガイド | 221
X
Internet Explorer for Windows でプロキシサーバー設定を手作業で指定するには
1.
[Tools] メニューの [Internet Options] をクリックします。
2.
[Connections] タブで、 [LAN Settings] をクリックします。
3.
[Proxy Server] で、 [Use a Proxy Server] チェックボックスを選択し、 [Address] および [Port]
ボックスでプロキシサーバーの IP アドレスとポートを指定します。
また、異なるプロトコルで異なるプロキシサーバーを使用している場合、 [Advanced] をクリックして、必要な情
報を指定します。 [HTTP] と [Secure] の両方についてプロキシサーバーを指定します。
!
注意 [LAN Settings] ダイアログボックスのいずれかの自動設定 ([Automatically detect settings]
チェックボックスまたは [Use automatic configuration script] チェックボックス ) を有効にすると、プ
ロキシサーバー設定が上書きされます。プロキシ検出が正常に動作するには、この 2 つのチェックボックスを
オフにしておかなければなりません。
Aventail アクセスサービスの管理
この節では、 Aventail アクセスサービスの概要を紹介し、このサービスの起動、停止、構成の方法について説明し
ます。
概要 : アクセスサービス
ユーザーは、 4 つの基本方式、またはアクセスサービスを使用して、 Aventail アプライアンスで保護された VPN リ
ソースにアクセスすることができます。この節では、それぞれのアクセスサービスと、それぞれのサービスでアクセスで
きるリソースのタイプについて説明します。
•
Aventail ネットワークトンネルサービス。このサービスは、広範囲のクライアント / サーバーアプリケーショ
ンにセキュアなネットワークトンネルアクセスを提供するネットワークルーティングテクノロジーです。対象となるア
プリケーションには、 Voice Over IP (VoIP) や ICMP などの非 TCP プロトコル、逆方向接続プロトコル、リモー
トヘルプデスクアプリケーションなどの双方向プロトコルを使用するものも含まれます。このサービスは、 Aventail
Connect トンネルクライアントや Aventail OnDemand トンネルエージェントと共同で動作して、認証され暗号
化されたアクセスを可能にします。ネットワークトンネルサービスでは、ファイアウォールや NAT デバイスの他、
従来型の VPN デバイスと干渉する可能性があるプロキシサーバーもトラバースすることができます。
•
Aventail Web プロキシサービス。このサービスは、ユーザーが、 Web ベースのアプリケーション、 Web
サーバー、ネットワークファイルサーバーなどに、 Web ブラウザから安全にアクセスできるようにするためのもの
です。 Web プロキシサービスは、 Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな HTTP
リバースプロキシです。このサービスは、 OnDemand プロキシエージェントからの TCP/IP 接続の管理も行い
ます。
•
Aventail ネットワークプロキシサービス。このサービスは、標準クライアント / サーバーアプリケーションに
アクセスするためのセキュアなプロキシを提供します。 Aventail Connect プロキシと共同で動作して、インター
ネット経由で認証され暗号化されたアクセスを可能にします。ネットワークプロキシサービスは、 SOCKS v5 プロ
トコルをベースにしています。ネットワークプロキシサービスは、内部のアプリケーションとネットワークに対するア
クセスを中継し暗号化します。ネットワークプロキシサービスは、このプロキシベースのアーキテクチャと SSL を
使用することにより、ファイアウォールや NAT デバイスの他、従来型の VPN デバイスと干渉する可能性があるプ
ロキシサーバーもトラバースすることができます。
222|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
•
ASAP WorkPlace サービス。このサービスは、 Web ブラウザからアクセスするネットワークファイル共有に対
するアクセスを制御します。 ASAP WorkPlace サービスは、 Server Message Block (SMB) ファイル共有プ
ロトコルを使用して、Windows ファイルサーバーおよびネットワーク共有 (Microsoft Distributed file system
(DFS) リソース ) と通信します。 ASAP WorkPlace サービスの構成については、 189 ページの「ASAP
WorkPlace の一般設定の構成」を参照してください。
䭩䭶䮂䮀䎃䭼䯃䮚䮀
Web 䮝䮰䭭䭽 OnDemand
䮞䮴䭴䭾䭯䯃䭿䭮䮺䮏
(HTTP 䮞䮴䮏䭺䮲)
Web 䮞䮴䭴䭾
ASAP WorkPlace
䮏䮺䮔䮲䭯䯃䭿䭮䮺䮏
Connect 䮏䮺䮔䮲䭶䮰䭫䭩䮺䮏
(IP 䮞䮴䮏䭺䮲)
䮔䮊䮏䮶䯃䭶
䮏䮺䮔䮲
Aventail Connect
䮞䮴䭴䭾䭶䮰䭫䭩䮺䮏
(TCP 䮞䮴䮏䭺䮲)
䮔䮊䮏䮶䯃䭶
䮞䮴䭴䭾
䮗䮊䭶䭯䮺䮐
䮱䮄䯃䮀
次の表は、 Aventail アクセスサービスと、そのサービスが制御するユーザーアクセスコンポーネントとの関係を示し
ています。
サービス
ユーザーアクセス
コンポーネント
説明
Aventail ネットワークトンネル
サービス
•
Aventail OnDemand
トンネルエージェント
•
•
Aventail Connect
トンネルクライアント
ネットワークトンネルクライアントからの
TCP/IP 接続および非 TCP/IP (VoIP や
ICMP などの ) 接続を管理します。
•
すべてのリソースに対してネットワークレ
ベルのアクセスを提供することで、ユー
ザーのコンピュータを効率的にネットワー
ク上のノードにします。
•
マップドネットワークドライブ、ネイティブ
電子メールクライアント、 Voice over IP
(VoIP) などの逆方向接続を行うアプリ
ケーションをサポートします。
Aventail ネットワーク
プロキシサービス
•
Aventail Connect
プロキシクライアント
•
Aventail Connect プロキシクライアント
からの TCP/IP 接続を管理します。
Aventail Web プロキシ
サービス
•
Aventail OnDemand
プロキシエージェント
•
•
Web プロキシエージェント
Web ブラウザおよび Aventail
OnDemand プロキシエージェントからの
HTTP 接続および TCP/IP 接続を管理し
ます。
•
トランスレーテッド
Web エージェント
•
ASAP WorkPlace
ポータル
•
Web ブラウザから使用できる Web ベー
スのポータルです。
•
ファイルシステムリソースへのアクセスを
提供します。
•
Aventail Connect プロキシクライアント以外
のすべてのユーザーアクセスコンポーネント
の設定とインストールを行います。
Aventail ASAP WorkPlace
サービス
EX-750 インストールおよび管理ガイド | 223
Aventail アクセスサービスの停止と開始
状況に応じて、 Aventail サービスを一時的に停止することもできます。
!
注意サービスは、予定されている保守期間やオフピークのときに限って停止するようにします。また、サービス
が停止する際は、あらかじめユーザーに通知しておく必要があります。
X
サービスを開始または停止するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] エリアで、適切なリンクをクリックします。
•
サービスを停止するときは、 [Stop] をクリックします。この操作により、現在のすべての接続が停止します。
•
サービスを開始するときは、 [Start] をクリックします。
ネットワークトンネルサービスの構成
Aventail ネットワークトンネルサービスは、 Connect トンネルクライアントおよび OnDemand トンネルエージェン
トからのアクセスを制御します。ネットワークトンネルクライアントをユーザーにインストールするには、最初に、コミュニ
ティで使用するための IP アドレスプールを 1 つまたは複数作成しなければなりません。ネットワークトンネルクライア
ントからの TCP/IP 接続を管理するため、ネットワークトンネルサービスを構成する場合、 IP アドレスをクライアントに
割り当てるための IP アドレスプールをセットアップしなければなりません。
この節では、ネットワークトンネルサービスを構成する方法と、ネットワークトンネルクライアントが使用できる一定範囲
の IP アドレスを割り当てる方法について説明します。
224|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
X
ネットワークトンネルサービスを構成するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。この操作
により、 [Configure Network Access Service] ページが表示されます。
3.
[Network tunnel options] の [IP address pools] エリアで、 IP アドレスプールを 1 つまたは複数
作成します。詳細については、 224 ページの「IP アドレスプールの構成」を参照してください。
4.
[Advanced] エリアをクリックして拡張し、 [Show network redirection list] をクリックします。この操
作により [Redirection List] が表示されます。ユーザーが [Redirection List] のリソースにアクセスする
と、その接続がアプライアンスを経由するときに自動的にリダイレクトされます。ただしこのオプションは、
「Redirect All」モードで動作するよう構成されているクライアントには適用されません。
5.
[Save] をクリックします。
IP アドレスプールの構成
IP アドレスプールは、直接ユーザーコミュニティにバインドされるもので、 IP アドレスをネットワークトンネルクライア
ントに割り当てるために使用されます。ユーザーが Connect トンネルクライアントまたは OnDemand トンネルエー
ジェントを使用して接続する場合、 Aventail アプライアンスは、クライアントに対して、使用可能なアドレスのプールか
ら IP アドレスを動的に割り当てます。 IP アドレスプールは、サブネットまたはアドレス範囲として構成することができま
す。
IP アドレスプールを構成するとき、次の点に留意する必要があります。
•
他のネットワークリソースにすでに割り当てられている IP アドレスは指定しないでください。
•
ネットワークトンネルクライアントが使用するよう構成している IP アドレスは、クライアントネットワークですでに使
用されている IP アドレスと衝突する可能性があります。可能な限り、ユーザーのネットワークで使用されているこ
とがわかっている IP アドレスは構成しないでください。
•
最大数の同時ユーザーに対応できるだけの、十分な IP アドレスがあることを確認します。たとえば、同時ユー
ザーの最大数が 100 の場合、 100 以上の IP アドレスが使用可能でなければなりません。
EX-750 インストールおよび管理ガイド | 225
IP アドレスプールの追加
この節では、 IP アドレスプールを作成する方法について説明します。
X
IP アドレスプールを追加するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。この操作
により、 [Configure Network Access Service] ページが表示されます。
3.
[Network tunnel options] の [IP address pools] エリアで、 [New] をクリックします。この操作に
より、 [Configure IP Address Pool] ページが表示されます。
4.
[Name] ボックスに、アドレスプールの名前を入力します。
5.
[Description] ボックスに、アドレスプールについてのコメントをわかりやすく入力します。
6.
[IP addresses] に、トンネルクライアントが使用できるようにする IP アドレス (1 つまたは複数 ) を入力しま
す。 IP アドレスとサブネットマスクを、カンマ区切りの十進数形式 (w.x.y.z) で入力します。
7.
•
単一のホストを定義するときは、 [IP address] にその IP アドレスを入力し、 [Subnet mask] に
「255.255.255.255」を指定します。
•
IP アドレスを範囲で指定するときは、 [IP address] ボックスに開始アドレスを入力して、 [IP range
end] ボックスに終了アドレスを入力し、 [Subnet mask] を指定します。
•
サブネットを定義するときは、 [IP address] と [Subnet mask] を指定します。サブネットマスクは、
ある範囲に変換され、対応する値が入れられます。サブネットの IP アドレスが入力されている場合、それが
ネットワーク内の最初の使用可能アドレスに変換されますが、サブネットの真ん中のアドレスがそのまま使用さ
れます。終了アドレスには、サブネットの最大の使用可能アドレスが入ります。
[Add] をクリックします。このプールが、使用可能な IP アドレスプールのリストの追加されます。
226|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
8.
( オプション ) クライアントインタフェースを構成するための仮想インタフェース設定を変更するには、
[Advanced] エリアをクリックして拡張し、 [Customize default settings] チェックボックスを選択しま
す。 [DNS server]、 [WINS server]、 [Domain name] の値には「Virtual interface
settings」があらかじめ構成されており、それぞれの値がネットワーク構成から取り込まれます。ただし、必要
であれば設定を編集することもできます。
9.
[Save] をクリックします。
IP アドレスプールの編集
ネットワーク構成が変わった場合、既存の IP アドレスプールの設定を編集することができます。
X
IP アドレスプールを編集するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。この操作
により、 [Configure Network Access Service] ページが表示されます。
3.
[Network tunnel options] セクションの [IP address pools] エリアには、 AMC で構成されているす
べての IP アドレスプールのリストが表示されます。編集したいアドレスプールの名前をクリックします。この操作
により、 [Configure IP Address Pool] ページが表示されます。
4.
アドレスプールの設定を必要に応じて修正し、 [Save] をクリックします。
IP アドレスプールの削除
IP アドレスプールを削除する前に、削除した場合、ユーザーにどのような影響が及ぼされるか考慮します。
X
IP アドレスプールを削除するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。この操作
により、 [Configure Network Access Service] ページが表示されます。
3.
[Network tunnel options] の [IP address pools] エリアで、削除するアドレスプールの左側にある
チェックボックスを選択して、 [Delete] をクリックします。
EX-750 インストールおよび管理ガイド | 227
ネットワークプロキシサービスの構成
この節では、ネットワークプロキシサービスオプションを構成する方法について説明します。
X
ネットワークプロキシサービスを構成するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。この操作
により、 [Configure Network Access Service] ページが表示されます。
3.
[Network proxy options] をクリックして、 [Timeout values] エリアに情報を入力します。
•
[SSL timeout] ボックスに、 SSL ハンドシェークがタイムアウトするまでの時間を秒単位で入力します。デ
フォルトは「300」です。
•
[SSL cache lifetime] ボックスに、 SSL セッションレコードがキャッシュ内に残される時間を分単位で入
力します。 [SSL cache lifetime] が過ぎると、ネットワークプロキシサービスは、新しい SSL セッショ
ンとネゴシエートするようになります。ただし AMC には、 SSL セッションの長さに対するグローバル設定があ
ります。そのため、この設定と同じ値を使用することが推奨されます。値が異なる場合、ネットワークプロキ
シセッションで短い値が優先されます。 [SSL cache lifetime] のデフォルト値は「720」分 (12 時間
) です。
•
[Default connection timeout] ボックスに、ユーザー接続がタイムアウトするまでの非動作時間を秒
単位で入力します。ここで指定した時間内にデータが転送されていない場合、接続が終了し、ユーザーが
再認証を受けなければならなくなります。
•
[Authentication timeout] ボックスに、認証要求のタイムアウト値を秒単位で入力します。認証フェー
ズの際、ここで指定した時間内にデータが受け取られなかった場合、その要求はタイムアウトします。一般
的に、この値と [SOCKS client timeout] を同じ値に設定します。
•
[SOCKS client timeout] ボックスに、 SOCKS プロトコル応答のタイムアウト値を秒単位で入力します。
非認証接続の際、ここで指定した時間内にクライアントからデータが受け取られなかった場合、その要求はタ
イムアウトします。一般的に、この値と [Authentication timeout] を同じ値に設定します。
•
[Maximum limbo life] ボックスに、サーバー構成が修正された後も接続を持続できる最大ライフタイム
を秒単位で入力します。構成の変更をネットワークプロキシサービスに適用する場合、既存の接続は、ユー
ザーが停止させるか、 [Maximum limbo life] 秒が経過するまでアクティブな状態になります。この設
定を短くするほど、セキュリティは向上しますが、一部のユーザーの接続が突然停止するなどということが起
こりやすくなります。
228|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
4.
[DNS cache] エリアに情報を入力します。
•
[Forward lookup] の [Success] ボックスに、成功した順方向 DNS ルックアップがキャッシュされる
時間を秒単位で入力します。 [Failure] ボックスには、失敗した順方向 DNS ルックアップがキャッシュされ
る時間を秒単位で入力します。
•
[Reverse lookup] の [Success] ボックスに、成功した逆方向 DNS ルックアップがキャッシュされる時
間を秒単位で入力します。 [Failure] ボックスには、失敗した逆方向 DNS ルックアップがキャッシュされる
時間を秒単位で入力します。
5.
[Miscellaneous] エリアの [Save performance metrics every] ボックスに、何回接続を行ったとき
にパフォーマンスメトリックスが保存されるか、その接続回数で指定します。メトリックスは syslog にロギングさ
れ、他のログ情報とローテーションされます。
6.
[Save] をクリックします。
メモ
•
ネットワークプロキシサービスでは、内部 DNS キャッシュを使用して、成功および失敗した名前ルックアップを
保管します。順方向および逆方向ルックアップは別々にキャッシュされます。 DNS ルックアップをキャッシュする
と、パフォーマンスが向上します。これは特に、失敗したルックアップの場合に顕著です。というのも、失敗した
接続要求は、成功した要求よりも処理に時間がかかるためです。
Web プロキシサービスの構成
この節では、 Web リソースへのアクセスを管理するサービスの構成方法について説明します。 Web プロキシサービス
では、 Web プロキシアクセス、トランスレーテッド Web アクセス、 Aventail OnDemand プロキシエージェントの 3
種類のモードで Web ベースのアクセスを提供します。
X
Web プロキシサービスを構成するには
1.
メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示
されます。
2.
[Access Services] の [Web proxy service] エリアで [Configure] をクリックします。この操作によ
り、 [Configure Web Proxy Service] ページが表示されます。
3.
[Web proxy agent redirection list] エリアに、リダイレクトされた Web リソースを表示するリンクがありま
す。 Windows XP または 2000 が動作し Internet Explorer と ActiveX が有効になっているユーザーの場
合、 AMC で定義している接続先リソースについては、標準モードで、アプライアンスによって Web 接続が自動
的にリダイレクトされます。標準モードのユーザーが自動的にリダイレクトされる Web リソースのリストを表示すると
きは、 [Show network redirection list] をクリックします。
EX-750 インストールおよび管理ガイド | 229
4.
5.
[Downstream Web resources] 設定を構成します。
•
Web プロキシサービスが、バックエンド Web サービスによって提示される証明書の妥当性をチェックするよ
うにしたい場合、 [Validate SSL server certificates] チェックボックスを選択します。この設定を有
効にすると、証明書の CN がホスト名と合致し証明書が有効であることを、アプライアンスが確認するようにな
ります。ダウンストリーム HTTPS を使用している場合は、この機能をできる限り有効にしてください。
•
証明書をバックエンド Web サーバーに発行した CA をリストするアプライアンスのルート証明書の
詳細を表示する場合は、 [View CA certificate] リンクをクリックします。 CA 証明書の管理につ
いては、 47 ページの「証明書の管理」を参照してください。
•
証明書をインポートするときは、 [SSL Settings] リンクをクリックします。
[Advanced] の [Translated mode -- redirection list] エリアで、トランスレーテッド Web アクセスを
構成します。
デフォルトの場合、アプライアンスは、 [Name Resolution] ページの DNS 検索リストでリストされているドメイ
ンのコンテンツをプロキシします。プロキシするリソースを上書きしたい場合、ここでそれを指定することができます。
•
アプライアンスで特定ドメインのリソースをプロキシする場合、 [Type] リストから [Domain] を選択し、
[Value] ボックスにドメイン名を入力して、 [Add] をクリックします。
•
アプライアンスで特定ホストのリソースをプロキシする場合、 [Type] リストから [Host name] を選択し、
[Value] ボックスにホスト名を入力して、 [Add] をクリックします。
•
アプライアンスで特定ネットワークのリソースをプロキシする場合、 [Type]
リストから
[Network
address] を選択し、 [Value] ボックスにネットワークアドレスを入力して、 [Add] をクリックします。
[Translated mode -- redirection list] エリアでドメイン、ホスト、ネットワークアドレスを指定する場合、
デフォルト DNS 検索リストが上書きされます ( デフォルト DNS 検索リストは [Name Resolution] ページの
[Search domains] ボックスで構成されている )。 [Translated mode -- redirection list] エリアで指
定したドメイン、ホスト、ネットワークアドレスのリソースのみが、アプライアンスでプロキシされるようになります。こ
こで参照されているもの以外のリソースはプロキシされません。
DNS 検索リストのすべてのドメインの他、 1 つまたは複数のドメインをプロキシ対象に追加したい場合、 DNS 検
索リストのものとこれらのドメインをこのエリアで指定しなければなりません。 [Translated mode -redirection list] をブランクにした場合、アプライアンスは、デフォルトで、 DNS 検索リストのドメインのみをプ
ロキシするようになります。
230|第 10 章 - ユーザーアクセスコンポーネントおよびサービス
EX-750 インストールおよび管理ガイド | 231
付録 A
トラブルシューティング
この節では、一般的なトラブルシューティングの方法について説明し、 ASAP Management Console (AMC) に付
属するトラブルシューティングツールについて説明します。ただし、コアネットワーキングサービス (DHCP、 DNS、
WINS など ) の障害の場合は、不測の障害の原因になります。
一般的なネットワーキングの問題
•
すべてのネットワークケーブルをチェックし、不良なケーブルがないか確認します。
•
ネットワークアドレス変換 (NAT) を使用している場合、ファイアウォールでブロックされる可能性があります。クロ
スケーブルを使用して物理インタフェースでノート型 PC をアプライアンスに接続することにより、ファイアウォール
を一時的にバイパスして、ネットワークの接続性を確認します。
このような接続が不可能な場合は、ノート型 PC を、アプライアンスの外部インタフェースと同じネットワークセグメ
ントに ( できる限りアプライアンスに近い位置に ) 入れます。
•
外部インタフェースを ping しネットワーク接続を確認します。ホストの IP アドレスが ping できるにもかかわらず、
正規のドメイン名を ping できない場合は、名前解決の問題が考えられます。 ping コマンドは、コマンドライン
または AMC 内から発行することができます (235 ページの「ping コマンド」を参照 )。
•
すでに新しい IP アドレスをアプライアンスに割り当てている場合、ファイアウォールやルータなどのネットワークデ
バイスからローカルアドレス解決プロトコル (ARP) キャッシュを消去してください。この操作により、これらのネット
ワークデバイスが古い IP-MAC アドレスマッピングを使用しなくなります。
•
外部インタフェースでパケットトレースを実行して、トラフィックがアプライアンスに到達し返ってくることを確認しま
す。これは一般的に、 tcpdump ユーティリティを使用して行います。たとえば「tcpdump -i -n eth1:1
port 80 or 443」を実行すると、 eth1:1 インタフェースのポート 80 とポート 443 のトラフィックがチェックさ
れます。
•
トラフィックが接続先に到達しない場合、iptables ( アプライアンスで動作するファイアウォール ) によってフィルタ
リングされていないことを確認します。ログファイル、 /var/log/kern.iptables の内容を検査し、ドロップしてい
るパケットがないか調べます。 iptables ルールセットを参照するときは、「iptables -L -n -v」コマンドを
実行します ( ただし、iptables でフィルタリングされたトラフィックを示すログメッセージは外部 syslog サーバー
には転送されない )。
•
外部ネットワークに接続できない場合、デフォルトゲートウェイを ping し、インターネット接続が存在することを確
認します。 ping コマンドは、コマンドラインまたは AMC 内から発行することができます。 235 ページの「ping
コマンド」を参照してください。
•
scp ファイルコピーのパフォーマンスの低下や、 Web プロキシ、ネットワークトンネル、ネットワークプロキシ
サービスのパフォーマンスの低下など、ネットワークレイテンシが発生している場合は、アプライアンスのインタ
フェース設定と、アプライアンスが接続するスイッチポートの構成に違いがある可能性があります。つまり、スイッ
チが誤って二重モード設定を検出している可能性があります ( たとえば、アプライアンスが全二重で構成されてい
るにもかかわらずスイッチが半二重を検出しているなど )。 Cisco 製のスイッチには、このような問題があることがわ
かっています。この問題は、アプライアンスのパフォーマンスを低下させる可能性があります。
この問題を解決するには、オートネゴシエートを使用しない設定にします。代わりに、スイッチポートに、アプラ
イアンスと一致する設定を静的に割り当てるよう構成します。両方のスイッチポートと両方のアプライアンスインタ
フェースの設定 ( 必要であれば、内部と外部 ) をチェックしなければなりません。いずれかのインタフェース / ス
イッチポートが不適合になっている場合、パフォーマンスに悪影響が出ます。
ネットワークレイテンシが発生しているにもかかわらず、アプライアンス / スイッチポートが正しく構成されている場
合、問題はネットワークの他の箇所にあります。アプリケーションレベルの問題の可能性もあります (Web プロキ
シ、ネットワークトンネル、ネットワークプロキシサービスがアクセスする DNS サーバーの名前解決が遅いなど )。
232|付録 A - トラブルシューティング
AMC の問題
•
AMC にアクセスできない場合は、アプライアンスの内部ネットワークインタフェースにクロスケーブルを接続し、
ネットワークを介さないで AMC にアクセスできるか確認します。このような接続が不可能な場合は、ノート型 PC
を、内部インタフェースと同じネットワークセグメントに ( できる限りアプライアンスに近い位置に ) 入れます。
•
それでも AMC にアクセスできない場合、 URL に https:// プロトコル識別子が入っているか確認します。また同
時に、 URL にポート番号 8443 が入っているか確認します。
•
構成の変更が有効にならない場合、 AMC で [Apply Changes] をクリックして、サービスを再起動し、変更
を適用します。
•
プライマリ管理者のパスワードを紛失した場合、アプライアンスに「root」としてログインし、
/usr/local/app/mgmt-server/sysconf/pending/avconfig.xml を修正する必要があります。プライマリ管
理者に対する <credentials> ブロックを探し、<password> 要素を次のパスワード (MD5 ハッシュを使用
して暗号化している ) で置き換えます。
$1$h/Vql8b.$G8FZroTP0ainA4wT8uZga.
AMC を再起動すると、パスワードが「password」にリセットされます ( もちろん、すぐに AMC を使用してもっ
と安全なパスワードに変更する必要がある )。セカンダリ管理者がパスワードを紛失した場合は、プライマリ管理者
が、パスワードをリセットしなければなりません。
認証の問題
•
外部認証サーバーにアクセスできるか確認します。これは一般的に、 tcpdump ユーティリティを使用して行いま
す。たとえば「tcpdump -i eth0 udp port 1645」を実行すると、ポート 1645 で RADIUS 認証サー
バーにアクセスできるか確認することができます。
•
外部サーバーにアクセスするときに必要になる正しいクレデンシャルが AMC に含まれていることを確認します。
LDAP の場合は [Login DN] および [Password] 設定をチェックし、 RADIUS の場合は [Shared
secret] 設定をチェックします。
•
認証サーバーのログを確認します。不正なクレデンシャルを入力していないか確認し、同時に接続の問題がない
か確認します。
Aventail サービス
Web プロキシサービスの問題
•
AMC のサーバーログレベルを一時的に [Verbose] に上げます ( 必ず [Apply Changes] ページに行きア
プライアンスを再起動する )。
•
[View Logs] ページで Web プロキシサービスログを参照します。
また、「tail -f /var/log/aventail/access_servers.log」のように tail コマンドを使用して、ログ
をネイティブ形式で表示することもできます。ログに接続要求が記述されているか確認します。
•
DNS サーバーが、 AMC の Web プロキシサービス [Server name] 設定を Web プロキシサービスインタ
フェースの IP アドレスに解決できることを確認します。 AMC でルックアップツール (237 ページの「DNS ルック
アップ」を参照 ) を使用できる他、コマンドラインから nslookup コマンドまたは dig コマンドを発行することもで
きます。
•
ネットワークで NAT を使用して IP アドレスを変換している場合、 Web プロキシサービス [Server name] 設
定に、 NAT によって置換される外部 ( またはパブリック ) IP アドレスが含まれていることを確認します。
Web プロキシエージェントの問題
Web プロキシエージェントは、Internet Explorer 6.0 以降が動作する Windows XP および Windows 2000 の
URL リソースに対するアクセスを提供します。 ASAP WorkPlace の [Connection Status] エリアに「Aventail
Web proxy」と表示されていれば、クライアントで Web プロキシモードがアクティブであることがわかります。 Web プ
ロキシエージェントがクライアントマシン上で正常に動作しているかどうかチェックする場合は、次の手順を実行します。
1.
クライアントマシン上で、 CTRL+ALT+DELETE を押し、 [ タスクマネージャ ] をクリックします。
2.
Windows タスクマネージャの [Processes] リストを参照し、 ewpca.exe プロセスがないか調べます。この
ファイルが存在する場合、ネットワークトラフィックを受け取っていない場合でも、標準 Web モードアクセス
エージェントが動作しています。
3.
Web プロキシエージェントがトラフィックを受け取っていることを Internet Explorer で確認するときは、
[Tools] メニューから [Internet Options] を選択して、 [Connections] タブで [LAN Settings] をク
リックするか、アプライアンスへの接続で使用しているダイヤルアップ /VPN 接続に対する [Settings] をクリック
します。
EX-750 インストールおよび管理ガイド | 233
4.
接続タイプに対応する [Settings] ダイアログボックスで、 [Use automatic configuration script]
チェックボックスが選択されており、 [Address] ボックスに次のアドレスが入力されていることを確認します。
http://127.0.0.1:<portnumber>/redirect.pac
この設定により、 Internet Explorer が、どの接続を Web プロキシエージェントに送信するか判定するときに
redirect.pac ファイルを使用するようになります。
5.
redirect.pac ファイルの設定でリダイレクトされるリソースアドレスを参照するには、このファイルをテキストエディ
タで開きます。このファイルは、クライアントマシンの次のフォルダに置かれています。
\Documents and Settings\<username>\Application Data\Aventail\ewpca
redirect.pac の「//Redirection Rules//」セクションには、標準 Web プロキシエージェントによって送
信される際の接続先として定義されているアドレスがリストされています。これらのアドレスは、 AMC で定義されて
いるネットワークおよび URL のリストから取り込まれたものです。
ネットワークプロキシサービスの問題
•
AMC のサーバーログレベルを一時的に [Verbose] に上げます ( 必ず [Apply Changes] ページに行きア
プライアンスを再起動する )。
•
接続するとき、クライアント / サーバーサービスログをリアルタイムに参照します。
これは、「tail -f /var/log/aventail/access_servers.log」のように、 tail コマンドを使用して表
示することができます。ログに接続要求が記述されているか確認します。
Aventail OnDemand プロキシの問題
この節では、 OnDemand プロキシの一般的な問題と個別の問題に対処する方法について説明します。
一般的な OnDemand プロキシの問題
OnDemand が正常に動作しない場合、次の診断を行います。
OnDemand のテスト
適切な URL に接続しアプレットを起動して、サポートされているアプリケーションを実行することで、 OnDemand をテ
ストします。
テストのときは、次の点を確認します。
•
OnDemand が、必要な Aventail ネットワークアクセスサービスと通信できるか。
•
Aventail ネットワークプロキシサービスの認証とアクセス制御が動作しているか。
•
OnDemand が、自動的に接続を正しくリダイレクトするか。
•
OnDemand が、構成されているそれぞれのアプリケーションごとに接続を作成するか。
•
OnDemand が、自動的に始動する構成になっているシンクライアントアプリケーションを起動させるか。
OnDemand ログファイルの表示
Windows を使用しているユーザーの場合、 OnDemand が起動するときログファイルが作成されます。このファイル
には、トラブルシューティングで活用できるメッセージが記述されます。このログファイル (od.log および odapp.log)
のロケーションは、ユーザーが実行しているオペレーティングシステムによって異なります。
•
Windows 2000 および Windows XP :
%SystemRoot%\Documents and Settings\<username>\Application Data\Logfiles\
•
Windows 98 SE および Windows Me :
%SystemRoot%\Windows\Application data\Aventail\Logfiles\
JVM のバージョンの検出
OnDemand が正常に動作しない場合、 OnDemand でサポートされている JVM が動作しているか確認します。サ
ポートされている JVM のリストについては、 213 ページの「OnDemand クライアント要件」を参照してください。ま
た、ユーザーがブラウザで Java を有効にしていることも確認します。 234 ページの「ブラウザでの Java の有効化」
を参照してください。
クライアントコンピュータで動作している JVM のバージョンを判定するには、次の手順を実行します。
234|付録 A - トラブルシューティング
X
JVM のバージョンを検出するには
•
Internet Explorer for Windows : ブラウザの Java コンソールを開いて、 JVM の情報を参照することができ
ます。 234 ページの「Java コンソールの表示」を参照してください。
Internet Explorer for Macintosh OS X : 「Applications」フォルダの「Utilities」フォルダを開き、
「Java」フォルダを開きます。 Java Plugin Settings プログラムを実行し、 [About] タブを開いて、 JVM
バージョンに関する情報を参照します。
•
•
Internet Explorer for Macintosh OS 9.2 : 「Applications」フォルダの「Apple Extras」フォルダを
開き、「Apple Mac OS Runtime」フォルダを開きます。「About MRJ」ドキュメントを開いて、 JVM バー
ジョンに関する情報を参照します。
•
Netscape Navigator 7.x for Windows : ブラウザの [Tools] メニューから [Web Development] を選
択して、 [Java Console] をクリックします。この操作により、 Java Console が開きます。このウィンドウの最
初の 2 行に JVM バージョンが表示されます。
メモ
•
一部のバージョンの Windows には、 JVM が含まれていないこともあります。その場合、「jview.exe must
exist in \path or you need to set JAVA_HOME」 (jview.exe が \path に存在するか JAVA_HOME を
設定する必要があります ) というエラーメッセージが表示されます。このメッセージが表示されたにもかかわらず
Windows コンピュータに JVM があることがわかっている場合は、 [Environment Variables ] ダイアログ
ボックスで「JAVA_HOME」に JVM ディレクトリのパスを設定します。詳細については、 Windows ヘルプを参
照してください。また、 JVM を Windows コンピュータにインストールしたり、異なるコンピュータを使用したりす
ることもできます。
ブラウザでの Java の有効化
OnDemand アプレットが動作するためには、ユーザーのブラウザで Java を有効にしなければなりません。 Internet
Explorer および Netscape Navigator の場合、 Java はデフォルトで有効になっています。 OnDemand が動作し
ない状況でデフォルト設定を変えている可能性がある場合は、次の方法で設定を変更してください。ただし、ここで紹
介する方法は、ブラウザの最新バージョンに対応するものです。それ以前のバージョンについては、各ブラウザのマ
ニュアルを参照してください。
X
Internet Explorer 5.5 for Windows で Java を有効にするには
1.
[Tools] メニューから [Internet Options] を選択します。
2.
[Security] タブで、 [Custom Level] をクリックします。
3.
[Microsoft VM] の下にある [Java Permissions] セクションで、 [Disable Java] 以外のオプションを
選択します。
4.
[Scripting] まで下方向にスクロールし、 [Active Scripting] セクションで [Disable] 以外のオプションを
選択します。
X
Internet Explorer for Macintosh で Java を有効にするには
1.
[Explorer] メニューまたは [Edit] メニューで [Preferences] をクリックします。
2.
[Web Browser] で [Java] をクリックします。
3.
[Enable Java] チェックボックスをクリックします。
X
Netscape Navigator 7.x for Windows で JavaScript を有効にするには
1.
[Edit] メニューで [Preferences] を選択します。
2.
[Advanced/Scripts & Plugins] の下にある [Enable JavaScript for Navigator] チェックボック
スを選択します。
Java コンソールの表示
OnDemand アプレットが起動しない場合、ユーザー側で、 Java コンソールを開き、 OnDemand に関する技術メッ
セージを表示する必要があります。
X
Java コンソールを開くには
•
Internet Explorer for Windows : [Tools] メニューから [Internet Options] を選択して、
[Advanced] タブをクリックします。[Microsoft VM] の下にある [Java Console enabled] チェックボッ
クスと [Java logging enabled] チェックボックスを選択して、 [OK] をクリックします。ブラウザをいったん閉
じて再び開き、 [View] メニューの [Java Console] をクリックします。
EX-750 インストールおよび管理ガイド | 235
•
Internet Explorer for Macintosh OS X : 「Applications」フォルダの「Utilities」フォルダを開き、
「Console」プログラムを実行します。
•
Internet Explorer for Macintosh OS 9.2 : [View] メニューの [Java Messages] をクリックします。こ
の機能が動作しない場合、 Java ロギングがオンになっていることを確認するため、 [Edit] メニューの
[Preferences] をクリックします。 [Web Browser] の下にある [Java] をクリックして、 Java メッセージロ
ギングに対するチェックボックスを選択します。
•
Netscape Navigator 7.x : ブラウザの [Tools] メニューから [Web Development] を選択して、[Java
Console] をクリックします。
•
Windows で Sun Java プラグインを使用する場合、ユーザーはタスクバー通知エリアの「Sun Java」アイコン
をダブルクリックすることで、 Java コンソールにアクセスすることができます。
個別の OnDemand の問題
次に、 OnDemand を使用するときの個別の状況に応じたトラブルシューティングのヒントを示します。
OnDemand が始動しない
最初に、 OnDemand を実行しようとしているコンピュータ上の Web ブラウザで Java または JavaScript が有効に
なっているか確認します。 Java を有効にする方法については、 234 ページの「ブラウザでの Java の有効化」を参
照してください。
ブラウザで Java が有効になっている場合、ブラウザが、OnDemand でサポートされているバージョンの Java Virtual
Machine (JVM) を使用しているか確認します。サポートされている JVM のリストについては、 213 ページの
「OnDemand クライアント要件」を参照してください。
この両方のオプションが有効であるにもかかわらず OnDemand が始動しない場合、ユーザーのコンピュータ上で
Java コンソールを開いて、 Java メッセージを参照してみます。このメッセージは、テクニカルサポートを受ける上で役
に立ちます。 234 ページの「Java コンソールの表示」を参照してください。
OnDemand でアプリケーションが正常に動作しない
ユーザー側で、 [OnDemand Details] ページをチェックし、アプリケーション名がアクティブになっているか非アク
ティブになっているか確認します。問題の原因として考えられるのは、同じローカル IP アドレスおよびポートを複数のア
プリケーションが使用する構成になっていることです。問題の詳細について知りたい場合は、ユーザーに、
[OnDemand Details] ページのログメッセージをコピーした上でメールするよう頼んでください。
サーバー証明書の [Accept] ボタンが使用できない
一部の環境では、 OnDemand がユーザーに提示したサーバー証明書を、ユーザーが受け入れられないということも
あります。証明書ページの [Accept] ボタンが使用できない場合、 OnDemand はサーバー証明書の問題を検出し
ます。このような問題の一般的な原因として次のようなものが考えられます。
•
コンピュータとサーバー間の日付 / 時刻の不適合。クライアントコンピュータと Aventail ネットワークプロキシサー
ビスの日付 / 時刻の設定が正しいか確認します。
•
証明書の有効期限が切れているか、まだ有効になっていない場合。
•
証明書情報がサーバー情報と一致しない場合。
•
証明書チェーンが不正の場合。
AMC のトラブルシューティングツール
AMC には、基本的なネットワークトラブルシューティングツールが付属しています。たとえば、 ping、 traceroute、
DNS ルックアップなどの他、現在のルーティングテーブルを表示する機能も搭載されています。
トラブルシューティングツールを実行するとき、コマンドを実行するのに数分かかることがあります。そのまましばらく待
ち、コマンドが終了するまで、 AMC の他のページをブラウズしたりすることのないよう注意してください。
ping コマンド
ネットワーク接続を確認するときは、 ping コマンドを使用します。 ping コマンドは、 ICMP ECHO_REQUEST パケッ
トをターゲットホストに送信し、ホストの返信があるまで待機して確認します。
X
ping コマンドを発行するには
1.
メインナビゲーションメニューから [Troubleshooting] をクリックします。
2.
[Ping] タブをクリックします。
3.
[Address] ボックスに、 ping したいマシンの IP アドレスまたはホスト名を入力します。
236|付録 A - トラブルシューティング
4.
[Go] をクリックします。 AMC が ping コマンドを発行します。 5 秒ほど経ったら、結果がページ下部の大きな
ボックスに表示されます。接続が成功した場合は、次のような結果が返されます。
ping コマンドがホストに到達できなかった場合は、次のような結果が返されます。
traceroute コマンド
IP パケットが接続先に到達するまでに通過する一連のゲートウェイを確認するときは、 traceroute コマンドを使用しま
す。これは、ネットワーク障害がどこにあるか探す場合に使用すると便利です。
X
traceroute を発行するには
1.
メインナビゲーションメニューから [Troubleshooting] をクリックします。
2.
[Ping] タブをクリックします。
3.
[Address] ボックスに、 traceroute コマンドを発行するマシンの IP アドレスまたはホスト名を入力します。
4.
[Use traceroute] チェックボックスを選択します。
5.
[Go] をクリックします。 AMC が traceroute コマンドを発行します。結果はページ下部の大きなボックスに表示
されます。 traceroute は、ホストのリストを返します。このリストでは、最初のゲートウェイが最初に来て、接続
先が最後にリストされます。
EX-750 インストールおよび管理ガイド | 237
DNS ルックアップ
AMC のルックアップツールを使用して、 DNS が IP アドレスやホスト名を解決する方法を調べることができます。この
ツールは、さまざまな DNS の問題に対処するときに使用すると便利で、 DNS サーバーが動作しているか判定する場
合にも使用することができます。
ルックアップツールでは、正規のドメイン名または IP アドレスを使用することが前提になっています。ただし、
([Network Settings] の ) [Name Resolution] タブでデフォルト検索ドメインを 1 つまたは複数定義していれ
ば、正規でないホスト名を入力することもできます。名前解決の設定については、 38 ページの「名前解決の設定」を
参照してください。
X
DNS が IP アドレスやホスト名を解決する方法を調べるには
1.
メインナビゲーションメニューから [Troubleshooting] をクリックします。
2.
[Lookup] タブをクリックします。
3.
[Address] ボックスに、このコマンドを発行するマシンの IP アドレスまたはホスト名を入力します。
4.
[Go] をクリックします。結果はページ下部の大きなボックスに表示されます。
現在のルーティングテーブルの表示
AMC から、動的ルートと静的ルートの両方について、現在のルーティングテーブルを表示することができます。
X
現在のルーティングテーブルを表示するには
1.
メインナビゲーションメニューから [Troubleshooting] をクリックします。
2.
[Routes] タブをクリックします。
3.
[Go] をクリックします。動的ルートと静的ルートの両方を含む結果が、次の図のようにページ下部の大きなボック
スに表示されます。
238|付録 A - トラブルシューティング
ネットワークトンネルクライアントのロギングツール
ngutil ツールを使用すると、いずれかのネットワークトンネルクライアントが動作するユーザーセッションについてロ
グをとることができます。
X
クライアントコンピュータで ngutil を実行するには
1.
ユーザー側で、 [ スタート ] > [ ファイル名を指定して実行 ] を選択し「command」と入力して、コマンド
プロンプトを開きます。
2.
ユーザーが DOS コマンドプロンプトから「ngutil -reset」と入力します。この操作により、イベントログが
消去されます。
3.
ユーザーが、ネットワークトンネルクライアントを起動し、ログに取り込みたいアクションを実行します。
4.
ユーザーがコマンドプロンプトから「ngutil > log.txt」と入力します。この操作により、バッファされたログ
メッセージが、カレントディレクトリ上の log.txt ファイルにパイプされます。
5.
ユーザーに log.txt ファイルを送信してもらいます。
また、ユーザーが「ngutil -poll」を実行しても、クライアントコンピュータ上のリアルタイムなロギングを参照
することができます。
メモ
•
ngutil コマンドの構文について知りたい場合は、コマンドプロンプトで「ngutil -help」と入力します。
EX-750 インストールおよび管理ガイド | 239
付録 B
アプライアンス保護のためのベストプラクティス
この節では、 Aventail アプライアンスのセキュリティを向上させるためのヒントを紹介します。
ネットワーク構成
•
アプライアンスで、デュアルインタフェースを使用する構成にします。
Aventail アプライアンスでは、外部インタフェースと内部インタフェースの両方がある場合、最適なファイアウォー
ル設定が可能になります。それぞれのサービスは、両方のインタフェースに分割されるため、 Aventail ASAP
Management Console (AMC) などの管理サービスはサービスを内部でのみリッスンし、 Aventail アクセス
サービスなどのパブリックサービスは、外部でのみリッスンします。
•
両方のアプライアンスインタフェースをファイアウォールで保護します。
インターネットからのトラフィックは、ポート 80 とポート 443 でのみ許可します。アプライアンスは、顧客ネットワー
ク上の必要なリソースにのみアクセスできるようにし、顧客ネットワークからは、信頼できる IP アドレスのみが AMC
にアクセスできるようにします。
•
SSH サービスでは、厳格な IP アドレス制約を実施します。
両方のネットワークインタフェースが有効な場合、 Secure Shell (SSH) は両方のインタフェースでリッスンしま
す。 SSH サービスのアクセスは、信頼できる管理ワークステーションの IP アドレスに制限するか、少なくとも内部
ネットワークのアドレス範囲に制限します。
•
SNMP サービスでは、厳格な IP アドレス制約を実施します。
両方のネットワークインタフェースが有効な場合、 Simple Network Management Protocol (SNMP) は両方
のインタフェースでリッスンします。 SNMP サービスのアクセスは、信頼できる管理ワークステーションの IP アドレ
スに制限するか、少なくとも内部ネットワークのアドレス範囲に制限します。
•
SNMP コミュニティ文字列には、安全なパスフレーズを使用します。
AMC の SNMP 構成では、ネットワーク管理ツールが Aventail アプライアンスに照会するために使用する文字
列を、 [Community string] ボックスで設定します。この値は、デフォルトで「public」に設定されていま
す。このコミュニティ文字列は、必ず安全なパスフレーズに変更するようにしてください。
•
ICMP トラフィックは無効にするか禁止します。
両方のネットワークインタフェースが有効な場合、 Internet Control Message Protocol (ICMP) を有効にす
ると、インターネットからアプライアンスを検出できるようになります。最も安全なアプローチは、 ICMP を無効にす
ることです。 ICMP をあえて有効にする場合は、ファイアウォールやその他のネットワークデバイスを使用して
ICMP Echo Request トラフィックを禁止する必要があります。
•
NTP サーバーを使用します。
クロックを外部 Network Time Protocol (NTP) サーバーに合わせ、システムログに正確なタイムスタンプが記
録されるようにします。
•
アプライアンスが使用することになっているサーバー証明書を保護します。
アプライアンスのサーバー証明書を、他のユーザーがアクセスできる場所に残さないようにし、必ず強力なパスワー
ドを使用して鍵が暗号化されるようにします。攻撃者がこの証明書を入手した場合、どのホストに侵入できるか知る
ところとなり、プライベートなデータも解読できるようになります。
240|付録 B - アプライアンス保護のためのベストプラクティス
アプライアンスの構成
•
アプライアンスのソフトウェアイメージを最新の状態にしておきます。
パッチやアップグレードファイルには、セキュリティ関連のバグフィックスが含まれていることが多いため、
[Update] ページを使用して速やかに適用するようにします。
•
定期的に構成をバックアップします。
[Import/Export] ページの [Export] オプション、またはコマンドラインユーティリティを使用して、現在の
構成を定期的にバックアップします。
管理者アカウント
•
強力なパスワードを使用します。
パスワードは、 8 文字以上にし、句読文字、大文字と小文字、数字などを組み合わせるようにします。
•
AMC 管理者パスワードを変更します。
AMC 管理者パスワードは、初期インストールの際、 root のパスワードと同じ値に設定されます。 AMC 管理者パ
スワードは、 Web ブラウザと AMC サーバーとの間の SSL トンネルで送信されるため、変更するようにします。
•
管理者パスワードを頻繁に変更します。
•
管理者パスワードを他人と共有しないようにします。
特に必要でない限り、管理者パスワードを他人と共有しないようにします。他の管理者にアクセスを許可する必要
がある場合は、個別の管理アカウントを作成します。 1 人のユーザーが管理者アカウントを持つべきで、パスワー
ドはエスクローとして預けるか、安全な場所に保管しておきます。
•
作成する管理アカウントの数を制限し、管理権限は、信頼できる個人にのみ割り当てるようにします。
•
「最小限の権限」の原則を守ります。
アクセスポリシー
ポリシー設計における最も安全なアプローチは、アクセスを許可したいリソースを個別にリストするというものです。
このアプライアンスでは、「許可」ルールで指定されていないものはすべて拒否されます。このアプローチは、「ア
クセス権は、ユーザーにデフォルトで与えるのではなく、明示的に与えなければならない」という、コンピュータセ
キュリティの基本設計原理に基づくものです。
もう 1 つのアプローチは、制限されているリソースに対して、「拒否ルール」を作成し、他の全員にデフォルトで
アクセスを許可するというものです。この場合、最終的に「拒否」ルールが処理されるまで、「拒否」ルールで指
定されていないものはすべてアクセス可能になります。この方法の場合セットアップは簡単ですが、間違いが生じ
やすいためあまり安全とは言えません。
もちろん、許可ルールと拒否ルールを組み合わせて使用することもできます。その場合、ユーザーに対して、一
部のリソースに対するアクセス許可を与えますが、他のリソースについてはアクセスを拒否します。
•
ルールの順序には特に注意を払います。
アプライアンスは、アクセス制御ルールを順番に処理するため、アクセスを許可するか拒否するかという点でルー
ルの順序が非常に重要になります。アプライアンスは、一致するものが見つかればその時点でルールの読み込み
をやめます。セキュリティポリシーの設定を慎重に検討し、ルールを誤った順序で指定しないよう気を付けてくださ
い。
•
最も範囲が狭いルールをリストの最初に配置します。
最も範囲が狭いルールをリストの最初に配置すると、アプライアンスは、範囲の広いルールを処理する前に一致を
見つけます。そのため、最も範囲が狭いルールをリストの最初に配置するのがベストです。
•
「Any」を含むルールは慎重に監査します。
アクセスを特定のユーザーや特定のリソースに制限しないルールを作成する場合、「Any」という言葉がアクセス制
御リストに登場します。
「Any」がポリシールールで持つ意味について慎重に検討します。「許可」ルールの場合、「Any」基準が多す
ぎると、セキュリティホールをさらすことにもなりかねません。一方、「拒否」ルールで「Any」基準が多すぎる場
合は、ネットワークアクセスを不必要に制限してしまう可能性があります。
EX-750 インストールおよび管理ガイド | 241
SSL サイファ
•
低強度の共通鍵暗号は無効にします。
•
AMC のメインナビゲーションメニューから [SSL Settings] をクリックして、 [SSL Encryption] タブを
クリックします。
•
40 ビットおよび 56 ビットサイファの横にあるチェックボックスのチェックをすべて外します。
クライアントアクセス
•
タイムアウト設定を変更します。
[General Settings] ページで [Maximum session length] を設定し、ユーザーに定期的に再認証を
求めるような設定にします。この設定は、ネットワークアクセスサービスと Web プロキシサービスの両方に適用
されます。
[Configure Network Access Service] > [Networky Proxy Options] ページで、 [SSL
timeout]、 [Default connection timeout]、 [Authentication timeout] に対する [Timeout
value] の設定を構成し、ユーザーに定期的に再認証を求めるような設定にします。
•
End Point Control コンポーネントをインストールします。
Aventail の End Point Control コンポーネントをインストールすると、重要なデータが保護されるため、ネット
ワークが、信頼されていない環境の PC からアクセスを受けても危険にさらされることがなくなります。また、
Aventail Cache Control と Aventail Secure Desktop の両方に非アクティブタイマーが搭載されており、一
定時間非アクティブな状態が続くと、そのユーザー接続を停止できるようになっています。
•
SecurID のような、強力な二因子認証メカニズムを使用します。
•
Aventail Connect プロキシクライアントを、次の SSL 設定で構成します。
•
証明書チェーンの最大長を「2」に設定します。
•
信頼できるルートファイルを使用します。アプライアンスの SSL 証明書の署名証明書は、ルートファイルに
のみ入れます。
•
Aventail Connect の [SSL Options] ダイアログボックスで、 [If a Server Certificate is
Suspect] の下にある、 [Show me the certificate, but reject the connection] をクリックし
ます。
242|付録 B - アプライアンス保護のためのベストプラクティス
EX-750 インストールおよび管理ガイド | 243
付録 C
国際化サポート
この節では、このアプライアンスでサポートされている国際化機能について説明します。
ネイティブ文字セットのサポート
このアプライアンスでは、拡張文字セット、つまり 2 バイト文字セットをサポートしています。そのため、ユーザー名、
パスワード、リソース名、 WorkPlace ショートカット、アクセス制御ルールについては、 AMC で、拡張文字または 2
バイト文字を含むネイティブ文字セットで入力、表示することができます。また、このアプライアンスでは、ユーザー名
フィールドやパスワードフィールドなどのユーザー認証プロンプトについても、拡張文字または 2 バイト文字をサポート
しています。
RADIUS ポリシーサーバーの文字セット
このアプライアンスでは、非英語文字セットを使用する RADIUS ポリシーサーバーによる文字エンコーディングをサ
ポートしています。 RADIUS 仕様の最新バージョン (RFC2865) では、すべてのテキストフィールドで UTF-8 エン
コード文字に対応することが求められています。ただし古いバージョンの RADIUS プロトコルでは、テキストフィールド
を 7 ビット US-ASCII で定義しています。 AMC では、古いバージョンのプロトコルを使用する RADIUS サーバーも
サポートするため、最も一般的に使用する文字セットのリストを選択できるようになっています。また、他の文字セットで
入力することも可能です。
X
RADIUS サーバーの言語設定を変更するには
1.
メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作により、
[Authentication] ページが表示されます。
2.
構成済みの [Authentication servers] のリストから RADIUS サーバーを選択します ( 初めて AMC で
RADIUS サーバーを構成する場合は、 70 ページの「RADIUS 認証の構成」を参照 )。
3.
[Configure Authentication Server] ページで、 [Advanced] ボタンをクリックします。
4.
5.
[Locale encoding] エリアで次のように設定します。
•
[Selected] リストボックスから文字セットを選択します。選択可能な文字セットのリストについては、 244
ページの「選択可能な RADIUS 文字セット」を参照してください。
•
[Other] をクリックし、テキストボックスに文字セットの名前を入力します。入力できる文字セットのリストにつ
いては、 245 ページの「サポートされているその他の RADIUS 文字セット」を参照してください。
[Save] をクリックします。
244|付録 C - 国際化サポート
選択可能な RADIUS 文字セット
[Configure Authentication Server] ページの [Selected] リストでは、次の文字セットを選択することができ
ます。
文字セット
コードページ
Japanese (Shift-JIS)
932
Chinese Simplified (GBK)
936
Korean (EUC-KR)
949
Chinese Traditional (Big5)
950
Central European
1250
Cyrillic
1251
Western
1252
Greek
1253
Turkish
1254
Hebrew
1255
Arabic
1256
Baltic
1257
Vietnamese
1258
Unicode (UTF-8)
65001
EX-750 インストールおよび管理ガイド | 245
サポートされているその他の RADIUS 文字セット
[Configure Authentication Server] ページの [Other] テキストボックスでは、次の文字セットを入力するこ
とができます。
言語タイプ
サポートされている文字セット
ヨーロッパ語
ASCII
ISO-8859-1
ISO-8859-2
ISO-8859-3
ISO-8859-4
ISO-8859-5
ISO-8859-7
ISO-8859-9
ISO-8859-10
ISO-8859-13
ISO-8859-14
ISO-8859-15
ISO-8859-16
KOI8-R
KOI8-U
KOI8-RU
CP1250
CP1251
CP1252
CP1253
CP1254
CP1257
CP850
CP866
MacRoman
MacCentralEurope
MacIceland
MacCroatian
MacRomania
MacCyrillic
MacUkraine
MacGreek
MacTurkish
Macintosh
セム語
ISO-8859-6
ISO-8859-8
CP1255
CP1256
CP862
MacHebrew
MacArabic
246|付録 C - 国際化サポート
言語タイプ
サポートされている文字セット
日本語
EUC-JP
SHIFT_JIS
CP932
ISO-2022-JP
ISO-2022-JP-2
ISO-2022-JP-1
中国語
EUC-CN
HZ
GBK
GB18030
EUC-TW
BIG5
CP950
BIG5-HKSCS
ISO-2022-CN
ISO-2022-CN-EXT
韓国語
EUC-KR
CP949
ISO-2022-KR
JOHAB
アルメニア語
ARMSCII-8
グルジア語
Georgian-Academy
Georgian-PS
タジク語
KOI8-T
タイ語
TIS-620
CP874
MacThai
ラオ語
MuleLao-1
CP1133
ヴェトナム語
VISCII
TCVN
CP1258
Unicode
UTF-8
UCS-2
UCS-2BE
UCS-2LE
UCS-4
UCS-4BE
UCS-4LE
UTF-16
UTF-16BE
UTF-16LE
UTF-32
UTF-32BE
UTF-32LE
UTF-7
EX-750 インストールおよび管理ガイド | 247
用語集
アクセス制御
ユーザーの身元情報やクレデンシャルに基づいて、アクセスを制限する手段。通常、ネットワークリ
ソースへのユーザーアクセスを制御するために使用されます。アクセスポリシーは、システム上のユー
ザーの権限を定義するルールのセットです。このようなルールでは、ユーザーまたはユーザーグループ
がアクセスを許可されているアプリケーションやネットワークリソースを定義します。
エイリアス
ネットワーク、ホストコンピュータ、ネットワークリソースなどのオブジェクトを示す代替のラベルや
名前。 Web プロキシサービスの場合、エイリアスには特別な意味があり、内部ネットワークの URL を隠
す役割があります。すべての要求は、 Web プロキシサービスにダイレクトされるため、ユーザーが目に
するのは、入ってくる、エイリアスを含む URL のみです。 Web プロキシサービスは、このエイリアス
を、 AMC で定義されているリストと一致させて、 URL を変換します。エイリアスは、トランスレーテッ
ド Web アクセスに限って使用することができます。
認証
リソースへのアクセスを許可するために、ユーザーの身元情報やクレデンシャルを確認する方法。クレデ
ンシャルは通常、ある種のパーミッションリストと比較されます。認証の方法には、ユーザーが持つク
レデンシャルの種類を規定するものや、認証のタイミングを規定するものなど、さまざまな種類がありま
す。
認証サーバー
外部認証サーバーでは、ユーザーの身元情報やクレデンシャルを保管します。ユーザーがアプライアンス
にログインできるようセットアップしたレルムがこれを参照します。このアプライアンスは、 LDAP、
Microsoft Active Directory、 RADIUS の各認証サーバーをサポートしています。
許可
ユーザーに対して、システムおよびそこに保管されているデータを使用できるよう認めるパーミッショ
ン。ユーザーが認証を受けた後、この許可によってアクセス権限が指定されます。
Aventail ASAP Management Console (AMC)
アプライアンスを管理するための Web ベースの管理ツール。このツールを使用すると、セキュリティポ
リシーの管理、システムの構成 ( ネットワーキングおよび証明書の構成を含む )、モニタリングについて
集中的にアクセスできるようになります。 AMC は、任意の Web ブラウザからアクセスすることができま
す。
Aventail ASAP WorkPlace
任意の Web ブラウザから、Web ベースのリソースや Windows ネットワーク共有リソースへアクセスで
きるようにする、動的なパーソナライズが可能なユーザーアクセスコンポーネント。
Aventail Connect プロキシクライアント
Aventail ネットワークアクセスサービスに接続し、ネットワークリソースに対して、認証され暗号化さ
れたアクセスを可能にする、構成可能な 32 ビット Windows クライアント。 Aventail Connect は、
ユーザーのコンピュータにインストールされます。
Aventail Connect トンネルクライアント
Aventail ネットワークトンネルサービスで保護されたリソースに対して、フルアクセスできるようにす
る Windows アプリケーション。 Connect トンネルクライアントを使用すると、 TCP/IP を使用するアプ
リケーションや、 VoIP や ICMP といった非 TCP プロトコルを使用するアプリケーションなど、あらゆる
種類のアプリケーションにアクセスできるようになります。 Connect トンネルクライアントでは他にも、
スプリットトンネリング制御、細かいアクセス制御、プロキシ検出、認証などの機能も提供されます。
Aventail OnDemand プロキシエージェント
Aventail ネットワークアクセスサービスに接続し、ネットワークリソースに対して、認証され暗号化さ
れたアクセスを可能にする、安全かつ軽量の Java アプレット。デフォルトでは、ユーザーが WorkPlace
にログインするときに OnDemand が自動的に起動します。また、ユーザーが ASAP WorkPlace のリン
クをクリックすることで起動できるよう OnDemand を構成することもできます。
248| - 用語集
Aventail OnDemand トンネルエージェント
Connect トンネルクライアントと同様、広範なアプリケーションおよびプロトコルアクセスを提供する
軽量のエージェントですが、 ASAP WorkPlace ポータルに統合されており、ユーザーが WorkPlace にロ
グインするたびに自動的に起動します。 Aventail OnDemand トンネルエージェントを使用すると、
Web ブラウザを使用して、 Aventail ネットワークトンネルサービスで保護されたリソースに対し、完全
なネットワークおよびアプリケーションアクセスが可能になります。
バックエンド
クライアント / サーバーアプリケーションまたはシステムの場合に、サーバー上で動作するプログラムの
一部 ( 注 : サーバーにはフロントエンドとバックエンドがある )。
双方向アクセス制御ルール
ユーザーとリソースの両方が、アプライアンスを通るトラフィックを開始できるようにするルール。これ
には、順方向接続、逆方向接続、相互接続が含まれます。
CA ( 認証局 )
証明書の発行、更新、廃止などを行う、信頼できる第三者機関。 CA は、独自の証明書が与えられた個人
が、実際にその当人であることを証明します (CA の個人ポリシーに従って )。ルート CA は通常、中間
CA に証明書を発行し、その中間 CA がユーザーに証明書を発行します。証明書は、ルートまで証明書
チェーンを遡ることで、この信頼の階層に従って確認されます。
証明書
サーバーまたはクライアントの身元を確認し、デジタル情報の暗号化と署名のための RSA 鍵ペアにバイ
ンドするためのデジタル証明書。証明書には、その個人の身元を保証する CA が署名します。
証明書チェーン
最下層にユーザーの証明書 ( 「リーフ」 )、中間層に中間 CA ( ある場合 ) の証明書、最上層にプライマリ
CA の証明書を含む証明書の系列。
サイファ
鍵を使用してプレーンテキストをサイファテキスト ( またはその逆 ) に変換する暗号アルゴリズムの一
種。
クライアント
クライアント / サーバーアーキテクチャのクライアントコンポーネント。対応するサーバーコンポーネ
ントにコマンドを送信し、要求を実行したサーバーから情報を受信するときに使用します。
クラスタ
2 台の同じアプライアンスをまとめ、 1 つの仮想 IP アドレスに統合したもの。 Aventail クラスタでは、
統合された負荷分散、ステートフルユーザー認証フェイルオーバー、集中管理などの機能を搭載するこ
とで、シングルポイント障害を防止し、高可用性を実現しています。
コミュニティ
ユーザーの集まりで、ユーザー集団のメンバーがレルムにログインするときに、どのアクセスクライア
ントと End Point Control エージェントがインストールされるかがこれによって決まります。
クレデンシャル
認証のために使用される個別のパスワードや、証明書に含まれる実際の情報など、リソースに対するユー
ザーのアクセス許可を確認する情報。
相互接続
VPN ユーザーが他の VPN ユーザーとの間でデータを交換できるようにする Voice over Internet
Protocol (VoIP) アプリケーションなどの双方向接続。相互接続では、順方向接続に使用するアクセス制
御ルールと逆方向接続に使用するアクセス制御ルールのペアが必要です。
CSR ( 証明書署名要求 )
ユーザーの名前や暗号鍵が含まれる証明書の発行を CA に求める要求。 CSR には、 CA がユーザーを認証
できるようにする情報は含まれていません。 CA には慎重さが求められるため、そのポリシーに従って、
このような情報は個別に処理されるようになっています。この要求のファイル名の最後には通常、 .req
がつきます。
DES ( データ暗号化規格 )
データの暗号化のための、一般的な標準化サイファ。データの暗号化と復号化に共通の 56 ビット鍵が使
用されます。 56 ビットは、現代のセキュリティ標準から考えると不足気味であるため、共通の方式を使
用して、異なる鍵で DES を三重にかけます ( トリプル DES)。
EX-750 インストールおよび管理ガイド | 249
デバイスプロファイル
AMC で定義されている固有の属性をまとめたもので、アプライアンスがクライアントデバイスを識別
し、信頼性のレベルを評価して、 End Point Control ゾーンにそれを割り当てるために使用します。
DMZ
インターネットとネットワークのファイアウォールの間に設定される「非武装地帯」。通常、 DMZ は、プ
ライベートネットワークのセキュリティを維持しながら、インターネット経由でアクセス可能なリソー
スをホストするために使用されます。
DN ( 識別名 )
属性およびそれに対応する値のリストによって構成される名前で、ユーザーまたはグループを識別しま
す。 DN は、証明書で名前を指定するときや、ディレクトリサーバーでエントリをルックアップするとき
などに使用されます。 Aventail では、 DN を表現するとき、一般的に RFC 2253 ガイドラインを使用し
ています。
DNS (domain name system)
英字のドメイン名を数値の IP アドレスに変換するインターネットユーティリティ。ドメイン名が使用さ
れるたびに、 DNS サーバーがそれを変換しなければなりません。ある DNS サーバーが、特定のドメイン
名の変換方法を認識できない場合、ドメイン名が正しく変換されるまで、他のサーバーに順番に尋ねてい
きます。
DNS サーバー
Domain Name System (DNS) からの照会に回答するコンピュータ。 DNS サーバーは、ホストコン
ピュータとドメイン名、対応する IP アドレスのデータベースを保持します。ドメイン名が照会されたら、
それと一致する IP アドレスを返します。
ドメイン
1 つの単位として共通のルールと手順で管理される、ネットワーク上のコンピュータとデバイスのグルー
プ。インターネット内では、ドメインは IP アドレスで定義されます。 IP アドレスの共通部分を共有する
デバイスはすべて、同じドメインに入っていることになります。
ダウンストリーム Web サーバー
Aventail Web プロキシサービスで保護されている、内部ネットワーク上のプライベートサーバー。
Web プロキシサービスでは、エイリアスを使用して、ダウンストリームサーバー上の URL を隠します。
すべての要求は、 Web プロキシサービスにダイレクトされるため、ユーザーが目にするのは、入ってく
る、エイリアスを含む URL のみです。 Web プロキシサービスは、このエイリアスを、 AMC で定義され
ているリストと一致させて、 URL を変換します。
動的リダイレクション
Aventail OnDemand リダイレクションモードは、 Windows を使用するユーザー向けのもので、
OnDemand が、 AMC で定義されている任意のドメインまたは IP アドレスに接続を動的にリダイレクト
できるようにします。この動的リダイレクションは、 Windows ユーザーの場合、自動的に有効になりま
す。個別のアプリケーションごとに特定のポートやループバックアドレスを構成する必要はありません。
暗号化
サイファを使用して、プレーンテキストと鍵からサイファテキストを生成します。暗号化は、データの漏
洩を防止します。
End Point Control
重要なデータを保護し、信頼されていない環境の PC からアクセスされた場合にネットワークが危険にさ
らされることのないようにするコンポーネント。
ファイルシステムリソース
Windows ネットワーク上のドメイン、サーバー、共有、フォルダ。 ASAP WorkPlace を使用すること
で、ユーザーがファイルシステムリソースにアクセスできるようにすることができます。 ASAP
WorkPlace は、任意の標準 Web ブラウザから使用することができます。
Filter-ID
ユーザーが所属するグループを示す RADIUS 属性。この属性を使用することにより、許可ルールの設定
ポリシーで、ユーザー名の代わりにグループ名を指定することができます。
FIPS
暗号化ソフトウェアを実装するための基準を設定した米国の規格。 FIPS (Federal Information
Processing Standard) では、暗号アルゴリズムの実装、鍵素材とデータバッファの処理、オペレーティ
ングシステムとの協調などに関するベストプラクティスを指定しています。
250| - 用語集
ファイアウォール
ソフトウェアまたはハードウェアに実装し、ネットワークに対する無許可アクセスを防止することができ
るシステム。ファイアウォールでは、通過しようとするメッセージを検査し、指定されている基準と合致
しないものについては通行を妨げます。ファイアウォール技術にはいくつかの種類があり、 2 種類の技術
を組み合わせて使用するのが一般的です。ファイアウォールは、セキュリティに基づくアーキテクチャで
は、最前線の防衛手段になると考えられています。
順方向接続
VPN ユーザーからネットワークリソースへの接続。
正規
「完全」や「FQDN」 ( 正規のドメイン名 ) などと呼ばれることもあります。コンピュータの名前、アドレ
ス、パスや、ホスト、ドメイン、ファイルなどを完全に記述するときに使用します。正規の名前は、個別
のファイル、 IP アドレス、ホスト、ドメインなどに誘導する、階層システムのすべてのコンポーネント
のリストを表します。正規でない名前、アドレス、パスの場合、エイリアスが含まれているか、短縮バー
ジョンになっています。
ゲートウェイ
ハードウェアとソフトウェアを組み合わせ、異なる通信プロトコルを使用して 2 つのネットワークを接続
します。ネットワーク間で交換されるデータを変換し、それぞれのネットワークがもう一方のネットワー
クから受け取ったデータを読み込めるようにします。
グループアフィニティチェック
セカンダリ認証サーバーでグループメンバーシップをルックアップすることにより、権限を制御します。
この構成は通常、 RADIUS サーバーがトークンでユーザーを認証し、 Active Directory サーバーや
LDAP サーバーにグループメンバーシップ情報が含まれている場合に使用されます。
ハッシュ
「ハッシュ値」とも呼ばれます。式をテキスト文字列に適用して生成される数値で、他の文字列から同じ
数が生成されることはほとんどありません。ハッシュは常に、テキスト自体よりはるかに小さくなりま
す。
ホスト
TCP/IP ネットワーク ( インターネットを含む ) に接続するコンピュータで、インターネットへリソース
とサービスを提供するサーバープログラムが動作するもの。それぞれのホストには、固有の IP アドレス
があります。
ホスト名
インターネット経由で探すことができる、個別のコンピュータに対する非数値の名前。ホスト名はたとえ
ば「private.aventail.com」のようになります。ホスト名という言葉は、名前の最も左の部分 (private)
と、名前全体 (private.aventail.com) の両方を指します。残りの 2 つの部分は、ドメイン名 (aventail)
とトップレベルドメイン (com) になります。
HTTPS
SSL 内で階層化することにより HTTP プロトコルを保護するための一般的な方法。
IP (Internet Protocol)
インターネットで使用される基本データ転送プロトコル。送信者や受信者のアドレスなどの情報が、電子
的な「パケット」に挿入されて転送されます。詳細については、 RFC 791 を参照してください。
IP アドレス
インターネット上の個別のコンピュータを識別する固有の ID 番号。それぞれの 32 ビットアドレスは、
0 から 255 までの 8 ビットの 4 つの数値をピリオドで区切って集めたものです。左から右への階層は、
インターネット全体の大まかな編成を表現しています。そのため、他のネットワークを含むネットワーク
も存在します。右端の最後の数値は、個別のホストコンピュータを識別します。
IP アドレスプール
Aventail トンネルクライアントを使用したリモートクライアント接続のために、ネットワークトンネル
サービスによって割り当てられた IP アドレスのグループ。
鍵
特定の暗号操作を実行する上で必要な情報の集まり。鍵は、ランダムに生成できる他、ユーザーにとって
わかりやすい表現 ( パスワードなど ) から生成することもできます。
EX-750 インストールおよび管理ガイド | 251
鍵の長さ
一般的にビット数で表される、鍵のサイズ。他のすべての条件が同じ場合、鍵の長さが長いほど安全性は
向上します。ただし、アルゴリズムの速度は遅くなりがちです。
鍵ペア
公開鍵暗号アルゴリズム ( たとえば RSA) で使用される、公開鍵と秘密鍵のペア。公開鍵と秘密鍵は、そ
れぞれ対応する操作 ( 公開鍵でメッセージを暗号化し、秘密鍵で復号化するなど ) で使用されます。
LAN ( ローカルエリアネットワーク )
比較的小さい領域 ( 通常は単一のバインディング ) でワークステーション、コンピュータ、その他のデバ
イスを接続するネットワーク。 LAN を使用すると、ユーザーが他のコンピュータのデータにアクセスで
きるようになる他、プリンタなどのデバイスも共有できるようになります。複数の LAN をリンクして、
WAN を形成することもできます。
LDAP (Lightweight Directory Access Protocol)
X.500 ディレクトリアクセスプロトコル (DAP) の簡易バージョン。詳細については、 RFC 2251 を参
照してください。
マスターノード
Aventail クラスタで、クラスタ内においてポリシーと構成の伝播、同期をコントロールするノード。す
べての構成は、マスターノードで行われ、その後マスターノードは、構成の変更をスレーブノードに伝
播します。
MD5
固有のメッセージ要約アルゴリズム。 MD5 は、 SHA-1 ほど安全性は高くありませんが、はるかに高速
で、一般的に「十分な安全性を持つ」と考えられています。
マルチホームド
複数の NIC ( ネットワークインタフェースカード ) を搭載し、複数のネットワークに接続するマシン。
NAS ( ネットワークアクセスサーバー )
ダイヤルインモデムを処理する端末サーバーなど、リソースのセットに、管理された接続性を提供する
サーバー。 RADIUS クライアントは、一般的に NAS と呼ばれます。
NAT ( ネットワークアドレス変換 )
内部 IP アドレスを 1 つの外部 IP アドレスに変換するインターネット規格。これにより、組織は、 IP ア
ドレスを 1 つだけインターネットに提示することができます。 NAT を使用すると、内部アドレスを隠せ
るだけでなく、組織が必要とするアドレスの数を減らすことで IP アドレスを一定に保つこともできます。
[Network Explorer] ページ
ASAP WorkPlace のページで、ユーザーがアクセス権限を持つ Windows ファイルシステムリソースが
表示されます。このリソースには、サーバー、コンピュータ、ワークグループ、フォルダ、ファイルなど
が含まれます。
ネットワークプロキシサービス
標準クライアント / サーバーアプリケーションにアクセスするための、セキュアなプロキシを提供するア
クセスサービス。Aventail Connect プロキシクライアントおよび Aventail OnDemand プロキシエー
ジェントと共同で動作して、インターネット経由で、認証され暗号化されたアクセスを可能にします。
ネットワークプロキシサービスは、 SOCKS v5 プロトコルをベースにしています。
ネットワークリソース
ネットワーク上のクライアント / サーバー (TCP/IP) リソース。このようなアプリケーションには、
Citrix のようなシンクライアントアプリケーション、 Microsoft Outlook のようなフルクライアント /
サーバーアプリケーション、 Lotus Notes、 SAP、端末サーバーなどがあります。ネットワークリソー
スは、ホスト名、 IP アドレス、 IP アドレス範囲、サブネット IP アドレス、 DNS ドメインなどで定義す
ることができます。
ネットワーク共有
Windows ネットワーク上にあり、権限を持つユーザーがその内容にアクセスできるワークグループ、コ
ンピュータ、フォルダ。ネットワーク共有に対しては、ユーザーが、 ASAP WorkPlace を介して標準
Web ブラウザからアクセスすることができます。
ネットワークショートカット
ネットワーク上のファイルシステムリソースにアクセスするための ASAP WorkPlace のリンク。ネット
ワークショートカットは、 Windows サーバー、コンピュータ、ワークグループ、フォルダに対するもの
を定義することができます。
252| - 用語集
ネットワークトンネルサービス
広範囲のアプリケーションにセキュアなネットワークトンネルアクセスを提供するネットワークルー
ティングテクノロジー。対象となるアプリケーションには、 Voice Over IP (VoIP) や ICMP などの非
TCP/IP プロトコル、逆方向接続プロトコル、 FTP などの双方向プロトコルを使用するものも含まれます。
このコンポーネントは、 Aventail Connect トンネルクライアントや Aventail OnDemand トンネル
エージェントと共同で動作して、認証され暗号化されたアクセスを可能にします。
NIC ( ネットワークインタフェースカード )
コンピュータにデータ交換機能を提供するプリント基盤またはカードで、ネットワーク内のクライアント
やサーバーに取り付けます。ネットワークアダプタと呼ばれることもあります。
ping
接続性を判定するための診断ツール。リモートホストを「ping」する場合、 ICMP ECHO_REQUEST パ
ケットを送信し、ホストの応答があるまで待機して確認します。応答がない場合、リモートホストがダ
ウンしているか到達不能になっています。応答がある場合は、応答の遅延時間を使用して、そのホストと
データ交換するときに必要なラウンドトリップ時間 (RTT) を判定することができます。
プレーンテキスト
暗号化されていないため、そのまま読むことができるメッセージのテキスト。
ポートおよびポート番号
TCP/IP および UDP ネットワークを参照する場合の論理チャネルまたはチャネルエンドポイント。ポー
ト番号は、アプリケーションプログラムに割り当てられ、入ってくるデータを正しいサービスにリンク
するために使用されます。一般的なポートとは、特定タイプのトラフィックで一般的に使用される標準
ポート番号を示します。たとえば、ポート 80 は一般的に HTTP (Web) トラフィックで使用され、ポート
20 は一般的に FTP 転送に割り当てられます。
秘密鍵
公開鍵暗号アルゴリズムで使用される鍵ペアの半分で、所有者のみが知っており共有されることはありま
せん。公開鍵が、鍵ペアの残りの半分になります。
プロトコル
コンピュータシステムのネットワーク間の情報交換に使用されるルールと手順。
プロキシサーバー
LAN とのインターネットトラフィックを管理するファイアウォールコンポーネント。内部リソースとこ
れらのリソースの外部要求との間のプロキシまたは中間コンポーネントとして機能します。プロキシ
サーバーは、実際のネットワークアドレスを隠して (IP アドレスが盗まれたりマッピングされたりする
のを防止 )、すべてのアプリケーション通信を保護し管理します。プロキシサーバーを使用すると、外部
ユーザーと内部リソースとの間に直接接続がなくなります。内部リソースとの間のすべてのトラフィック
は、プロキシサーバーにプロキシされます。 Aventail ネットワークアクセスサービスは、 SOCKS v5
プロキシサーバーになります。
公開鍵
公開鍵暗号アルゴリズムで使用される鍵ペアの半分で、一般に公開されておりユーザーの証明書にも含ま
れます。秘密鍵が、鍵ペアの残りの半分になります。
公開鍵暗号
データの暗号化と復号化に 2 つの異なる鍵を使用する暗号アルゴリズム ( 両方で同じ鍵を使用する従来型
のサイファとは異なる )。このようなシステムでは、鍵ペア ( 半分が公開鍵、残りの半分が秘密鍵 ) を生
成し、デジタル署名と鍵交換に使用することができます。公開鍵システムは、非常に安全性が高く、あら
かじめ鍵を交換しなくても通信が可能になります。そのため、関連性のない多数の人々の間でも ( イン
ターネットを介して ) 通信を容易に行うことができます。このアイデアは、 Diffie と Hellman が開発し
たもので、最もよく使用される公開鍵アルゴリズムは RSA です。
RADIUS (Remote Authentication Dial-In User Service)
バックエンド認証データベースと通信するためのプロトコル。ユーザー名 / パスワード、 CHAP、 CRAM
認証メカニズムで使用すると便利です。ユーザーは、ネットワークアクセスサーバーつまり NAS ( たと
えば Aventail ネットワークアクセスサービス ) にクレデンシャルを送信し、今度は NAS が RADIUS
サーバーにそれを送信します。 RADIUS サーバーは、パスワードをチェックし、認証が正しいかどうか
NAS に通知します。詳細については、 RFC 2138 を参照してください。
レルム
外部認証サーバーにマッピングされたユーザーグループで、 AMC で定義します。
EX-750 インストールおよび管理ガイド | 253
逆方向接続
ネットワークリソースから VPN ユーザーへの接続。逆方向接続の例には、ユーザーのマシンにソフト
ウェアアップデートを「プッシュ」する SMS サーバーがあります。
RIP ( ルーティング情報プロトコル )
ルータ同士でルーティングテーブル情報を動的に共有できるようにするためのプロトコル。
RSA (Rivest-Shamir-Adelman) 暗号
今日、最も広い範囲で使用されている公開鍵アルゴリズム。 RSA という名前は、 1978 年に MIT でこれ
を開発した Ron Rivest、 Adi Shamir、 Leonard Adelman からそれぞれとられています。 PGP、 SSL、
S/MIME などが、 RSA と共同で鍵交換やデジタル署名を行うために広く使用されています。 RSA は米国
で特許を取っており、使用が制限されていましたが、この特許権は 2000 年の 9 月に期限が切れました。
SecurID
RSA Security が開発した二因子ユーザー認証システム。このシステムは、判明しているもの (PIN) と所
有するもの ( ハードウェアトークン ) に基づいて認証を行います。これらの因子の組み合わせによってダ
イナミックパスコードが生成され、ユーザーはこれを認証メカニズムで入力します。
サーバー
ネットワークに接続しているコンピュータのことで、他のコンピュータとリソースを共有します。サー
バーは、情報をクライアントに「提供」します。
シングルサインオン
ユーザーのログインクレデンシャルがダウンストリーム Web アプリケーションに転送されるかどうかコ
ントロールするオプション。ユーザーのクレデンシャルを転送すると、ユーザーが複数回ログインする手
間を省くことができます。
スレーブノード
Aventail クラスタで、マスターノードによってコントロールされるセカンダリノード。すべての構成
は、マスターノードで行われ、その後マスターノードは、構成の変更をスレーブノードに伝播します。
SOCKS v5
プロキシサーバーを通る TCP トラフィックを操作するためのセキュリティプロトコル。 SOCKS は、認
証済みのファイアウォールトラバースのための IETF 規格で、ほとんどすべての TCP アプリケーション
で使用することができます。 LAN、イントラネット、エクストラネットなどのデータトラフィックに対
するフローとセキュリティを管理するためのプロキシメカニズムとして動作します。 SOCKS では、ソ
ケットを使用して、個別の接続を表現し記録します。 SOCKS には大きく分けて、 SOCKS v4 と SOCKS
v5 の 2 種類のバージョンがあります。 SOCKS v5 には認証メカニズムがありますが、 SOCKS v4 には
ありません。詳細については、 RFC 1928 を参照してください。
スプリットトンネリング
AMC で定義されているリソースにバインドされたトラフィックがトンネル経由でリダイレクトされ、そ
の他のすべてのトラフィックが普通の方法でルートされるリダイレクションモード。これが、デフォル
トのリダイレクションモードになります。 Aventail トンネルクライアントでは、スプリットトンネリン
グ制御が提供されます。
SSL (Secure Sockets Layer)
インターネットで使用する HTTP などのアプリケーションプロトコルを保護するために Netscape
Communications が開発した認証および暗号化プロトコル。 SSL では、交換対象のすべてのデータを情
報漏洩や改変などから守るため、鍵交換方式 (RSA が最も一般的 ) を使用して、サイファで暗号化しハッ
シュする環境を確立します。 IETF は、 SSL の後継プロトコルとして、 Transport Layer Security (TLS)
というネットワーク規格を作成しています。 SSL は、今日のインターネットで、もっとも広くデプロイさ
れているセキュリティプロトコルです。詳細については、 RFC 2246 を参照してください。
サブネット
ネットワークのセグメント。ネットワークは、パフォーマンスおよびセキュリティ上の理由から、サブ
ネット ( またはサブネットワーク ) に分割されます。サブネットは、それぞれのネットワーク部分が物理
的に互いに独立している場合でも、共通のネットワークアドレスをネットワークの他の部分と共有しま
す。サブネットは、サブネット番号で区別され、ルータでブリッジされます。 IP ネットワークは、サブ
ネットマスクを使用して分割されます。
サブネットマスク
IP ネットワークを小さなセグメント、つまりサブネットに分割するための方法。サブネットマスクは、
IP アドレスが所属するサブネットを識別します。ネットワーク管理者は、 IP アドレスのホスト部分を 2
つ以上のサブネットに分割することができます。この状態で、ホストアドレスの一部が解決され、特定
のサブネットが識別されます。
254| - 用語集
syslog
ロギング情報が出力される UNIX システムログ。
TCP/IP (Transmission Control Protocol/Internet Protocol)
TCP と IP に基づく、インターネットの基本プロトコルスイート。 TCP は、このスイートのトランスポー
ト層で、 OSI の第 4 層に相当し、トラフィックを制限します。 IP は、このスイートのネットワーク層で、
OSI の第 3 層に相当し、アドレッシングを処理します (TCP/IP では 4 層を使用するが、 OSI ネットワー
キングモデルでは 7 層を使用する )。 TCP では、送信先に対して信頼性の高いパケット送信を行い、 IP
では、パケットを正しくアドレッシングします。 TCP/IP スイートのその他のプロトコルには、 SNMP
(Simple Network Management Protocol)、 PPP (Point-to-Point Protocol)、 SMTP (Simple Mail
Transfer Protocol)、 UDP (User Datagram Protocol) などがあります。 TCP/IP プロトコルスイート
は、アメリカの国防総省が、コンピュータ間通信のために開発したものです。インターネットを含む、
ネットワーク経由のデータ転送におけるデファクトスタンダードになっています。詳細については、 RFC
793 を参照してください。
TLS
トラフィックを暗号化するための FIPS 140-2 暗号化プロトコル。 Aventail アプライアンスでは、 TLS
v1 転送プロトコルをサポートしています。
トークン
ダイナミックパスワードを生成するための小さなセキュリティデバイス。一部のトークンは、頻繁に変
動する数値を表示します。この数値が、短期間だけ有効なパスワードになります。また別のトークンに
は、試し入力用のキーパッドがあり、入力値に基づいて、正しく認証される適切な応答が計算されます。
トークンは、「第一世代のスマートカード」と呼ばれることもあります。
信頼できるルートファイル
管理者が選択するルート証明書のリスト。すべての証明書チェーンの最後には、ルート証明書が付いてい
ます。ルートを確認するための「これより上位」の CA はないため、ルートについては信頼するかどうか
はっきりしなければなりません ( 信頼できない場合は、すべてのチェーンが信頼されず、拒否される )。
UDP (User Datagram Protocol)
配信を保証することなく、データをインターネット経由で送信する手段。コネクションレスプロトコル
とも呼ばれます。 UDP は、 TCP/IP プロトコルスイートの一部で、 OSI ネットワーキングモデルの第 4
層 ( トランスポート層 ) に相当します。 UDP では、アプリケーションで生成されたデータメッセージを
パケットに変換し、 IP ネットワーク経由で送信しますが、すべてのパケットが正しい順序で送信先に配
信されることを保証しません。 UDP では、 TCP と異なり、エラーリカバリサービスを提供しないため、
主として、メッセージの再構築があまり必要ない、非常に小さなデータユニット ( データグラム ) の交換
に使用されます。詳細については、 RFC 768 を参照してください。
URL リソース
HTTP または HTTPS を使用してアクセスされる Web ベースのアプリケーションまたはサービス。 URL
リソースの例には、 Web ポータル、標準 Web サーバー、 Microsoft Outlook Web Access などの Web
ベースの電子メールプログラムなどがあります。
virtual private network (VPN)
( インターネットなどの ) パブリックネットワークを介してプライベートネットワークにアクセスするた
めのセキュアなチャネル。 VPN には大きく分けて、リモートアクセス VPN とエクストラネット VPN の
2 種類があります。前者は、リモートの従業員が、電子メールやファイルサーバーなどのネットワーク
リソースに安全にアクセスできるようにするもので、後者は、ビジネスパートナー ( サプライヤーやベン
ダー) がさまざまなアプリケーション ( サプライチェーンマネジメント (scm) プログラムなど ) に安全
にアクセスできるようにするものです。
Web アプリケーションプロファイル
個別の Web アプリケーションが、アプライアンスによって処理される方法を定義するプロファイル。認
証転送や変換などもこれに含まれます。
Web プロキシアクセス
ユーザーが WorkPlace から URL にアクセスするときに使用されるデフォルトアクセス方式。 Web プロ
キシアクセスを使用すると、 Web コンテンツの変換が不要になり、企業の Web アプリケーションに広
範にアクセスできるようになります。 Web プロキシアクセスは自動的にユーザーに提供されるため、特
別な構成は必要ありません。
EX-750 インストールおよび管理ガイド | 255
Web プロキシサービス
ユーザーが、 Web ベースのアプリケーション、 Web サーバー、ネットワークファイルサーバーなどに、
Web ブラウザから安全にアクセスできるようにするアクセスサービス。 Web プロキシサービスは、
Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな HTTP リバースプロキシです。
このサービスは、 OnDemand プロキシエージェントからの TCP/IP 接続の管理も行います。
Web ショートカット
Web ベースのアプリケーションまたはネットワーク上のサービスにアクセスするための ASAP
WorkPlace のリンク。
ワイルドカード
1 つまたは複数の文字を表す特殊な記号。ワイルドカードは、ユーザーが 1 回の指定で多くのファイルを
選択できるようにするためのもので、複数のファイルやディレクトリを識別するために使用することがで
きます。たとえば Windows オペレーティングシステムの場合、アスタリスクは、任意の文字の組み合
わせを表すワイルドカードになります。そのため、「n*」は「n」が最初に付くすべてのファイルを表し、
「n*.doc」は「n」が最初に付き「.doc」が最後に付くすべてのファイルを表します。
X.500
ITU ( 国際電気通信連合 ) および ISO ( 国際標準化機構 ) が 1980 年代中頃に制定した、グローバルディ
レクトリの構造を定義する規格セット。認証 ( 公開鍵と秘密鍵のペアに基づくもの ) に関する X.509 系
および LDAP は、 X.500 を発展させたものです。
X.509
デジタル署名の定義に使用される ITU 勧告。この規格は正式に承認されていないため、企業ごとに異な
る方法で実装されています。今日使用されているほとんどすべての証明書 (SSL、 S/MIME) は X.509 証
明書です。
ゾーン
ユーザーのエンドポイントで信頼のレベルに応じて異なるアクセスレベルを割り当てる「信頼ゾーン」
を定義する End Point Control 機能。接続要求が、 AMC で設定されたデバイスプロファイルと比較さ
れ、適切なゾーンに割り当てられます。
256| - 用語集
EX-750 インストールおよび管理ガイド |257
索引
A
ACC。 Aventail Cache Control を参照
Active Directory ............................................60、 61、 63
[Administrator Sessions] ページ ................................... 28
AMC
アカウント .......................................................... 27
アクセス ............................................................. 23
インタフェース ..................................................... 24
概要 ..............................................................2、 23
構成データ .......................................................... 29
タイムアウト ....................................... 28、 127、 140
ヘルプの利用 ....................................................... 26
変更の適用 .......................................................... 29
変更の保存 .................................................... 25、 29
ログアウト .......................................................... 28
ログイン ............................................................. 23
AMC からのログアウト ................................................. 24
AMC での構成データの操作 ........................................... 29
AMC へのログイン ...................................................... 23
AMC
ログアウト .......................................................... 24
ASAP Management Console。 AMC を参照
ASAP WorkPlace ............................................. 188、 195
End Point Control .............................................. 202
Network Explorer .............................................. 207
アクセス ........................................................... 202
概要 .................................................... 3、 185、 207
カスタマイズ ..................................... 190、 195、 198
クライアントのシステム要件 .............................. 7、 188
構成 ........................................................ 190、 195
サービスの開始 ................................................... 223
サービスの停止 ................................................... 223
サポートプラットフォーム ................................ 7、 188
設定 .......................................................... 16、 201
テンプレート ..................................................... 198
レルム ................................................................ 54
ログイン ........................................................... 185
ASAP WorkPlace のカスタマイズ ......... 190、 195、 198、 195
ASAP WorkPlace のロゴ ............................................ 195
ASAP WorkPlace へのログイン .................................... 185
ASD。 Aventail Secure Desktop を参照
Aventail ASAP WorkPlace。 ASAP WorkPlace を参照
Aventail Cache Control ............................. 178、 179、 203
Aventail Connect トンネルクライアント ........... 4、 174、 208
Aventail Connect プロキシクライアント ... 3、 16、 174、 208、
209
Aventail Management Console。 AMC を参照
Aventail OnDemand。 OnDemand を参照
Aventail Secure Desktop
概要 ................................................................ 180
構成 ................................................................ 181
有効 ................................................................ 181
Aventail アプライアンス
アーキテクチャ .....................................................11
インジケータ ........................................................17
インストール ................................................. 14、 17
概要 .................................................................... 1
管理 ...................................................................14
構成 ...................................................................14
再起動 ................................................................19
実稼働環境への移行 ...............................................16
接続 ...................................................................18
操作 ...................................................................17
停止 ...................................................................19
電源停止 .............................................................19
電源投入 .............................................................18
トラブルシューティング ........................................ 231
保護のためのベストプラクティス ............................ 239
モニタリング ...................................................... 126
C
CA 証明書 .................................................................49
Cache Control。 Aventail Cache Control を参照
Config Backup Tool .................................................. 154
Config Compare Tool ............................................... 156
Config Reset Tool .................................................... 156
Config Restore Tool ................................................. 155
Connect トンネルクライアント。 Aventail Connect トンネルク
ライアントを参照
Connect プロキシクライアント。 Aventail Connect プロキシク
ライアントを参照
Console。 AMC を参照
D
DNS キャッシュ ................................................ 227、 228
DNS キャッシュの設定 ....................................... 227、 228
DNS の構成 ...............................................................38
E
End Point Control
ASAP WorkPlace ................................................ 202
Aventail Cache Control ....................... 178、 179、 203
Aventail Secure Desktop ............................ 180、 181
Sygate On-Demand ........................................... 182
WholeSecurity .................................................. 182
Zone Labs Integrity ........................................... 183
概要 ................................................................. 165
クライアントの整合性 ........................................... 182
シナリオ ........................................................... 167
制約 ................................................................. 110
ゾーン ...................................................... 165、 169
デバイスプロファイル .................................. 165、 169
無効 ................................................................. 169
258| 索引
有効 ................................................................ 169
H
hosts ファイルのリダイレクション ................................ 214
I
ICMP の有効化 ......................................................... 124
IP アドレス ............................................................. 224
IP アドレスプール
構成 ................................................................ 224
削除 ................................................................ 226
追加 ................................................................ 225
編集 ................................................................ 226
IP アドレスの設定 ....................................................... 34
J
Java コンソールの表示 ............................................... 234
Java セキュリティ警告の抑止 ....................................... 220
JVM バージョンの判定 ................................................ 233
L
LDAP 認証
Active Directory に対する ...................................... 63
SSL ................................................................... 65
概要 .................................................................. 65
サーバー ............................................................. 65
デジタル証明書 ..................................................... 68
ユーザー名とパスワード .......................................... 65
LDAP 認証の保護 ........................................................ 65
M
Management Console。 AMC を参照
[Maximum limbo life] ボックス
...................................................................... 227
N
Netegrity SiteMinder .................................................. 77
Network Explorer .................................................... 207
ngutil ツール ........................................................... 238
NTLM 認証転送 .......................................................... 76
NTP ....................................................................... 124
O
OnDemand
Windows が動作するユーザー ................................ 215
ウィンドウの状態 ................................................ 212
概要 ............................................... 3、 4、 208、 211
起動 ................................................................ 212
クライアントのシステム要件 .............................. 7、 213
クロスプラットフォームサポート ................ 7、 216、 217
サポートしているアプリケーション .......................... 211
サポートしているプラットフォーム ...................... 7、 213
ダイナミックモード .................................... 212、 215
テスト .............................................................. 233
デバッグメッセージ ............................................ 219
ネットワークアクセス ......................................... 215
プロキシ検出 ...................................................... 220
マップドモード .................................................. 212
リダイレクション ................................................ 214
ループバックアドレス .......................................... 216
ロギング ........................................................... 219
OnDemand での Linux のサポート .......................... 7、 216
OnDemand での Macintosh のサポート .................... 7、 216
OnDemand でのデバッグメッセージ ............................. 219
OnDemand トンネルエージェント .......................... 4、 208
OnDemand の起動 .................................................... 212
P
ping コマンド .......................................................... 124
R
RADIUS 認証
概要 ...................................................................70
スマートカード ....................................................72
トークン .............................................................72
ユーザー名とパスワード ..........................................70
レルム ................................................................70
Rollback Tool .......................................................... 160
S
scp ..........................................................................14
Secure Desktop。 Aventail Secure Desktop を参照
Setup Tool ......................................................... 19、 21
Setup Wizard ............................................................19
SNMP
Aventail MIB データ ........................................... 146
Aventail MIB ファイルのダウンロード ..................... 144
SNMP を使用した管理データの取得 .......................... 145
概要 ................................................................. 143
構成 ................................................................. 143
SSH アクセス .....................................................14、 123
SSL 暗号化
LDAP 接続 ..........................................................65
Web プロキシサービス ........................................ 161
概要 ................................................................. 161
構成 ................................................................. 161
ネットワークアクセスサービス .............................. 161
ベストプラクティス ............................................ 241
Sygate On-Demand ................................................. 182
syslog サーバー ........................................................ 130
V
VPN の概要 ................................................................ 1
W
Web プロキシサービス
構成 ................................................................. 228
Web アプリケーションプロファイル
概要 ...................................................................75
削除 ...................................................................89
追加 ...................................................................86
表示 ...................................................................86
編集 ...................................................................89
Web ショートカット .................................................. 192
EX-750 インストールおよび管理ガイド |259
Web プロキシエージェント ........................................ 209
Web プロキシサービス
SSL 暗号化 ....................................................... 161
アクセスログ ............................................ 126、 127
開始 ................................................................ 223
概要 ............................................................ 2、 221
停止 ................................................................ 223
Web ポータル .......................................................... 201
Web リソース ............................................................ 79
WholeSecurity Confidence Online .............................. 182
Windows ネットワーク名前解決の設定 ............................. 39
WorkPlace サイト
概要 ................................................................ 195
コピー .............................................................. 198
削除 ................................................................ 198
追加 ................................................................ 196
編集 ................................................................ 197
Z
Zone Labs Integrity ................................................. 183
あ
アウトバウンドプロキシサーバー ................................. 220
アクセス
AMC .................................................................. 23
ASAP WorkPlace ............................................... 202
OnDemand ...................................................... 212
アクセスエージェント
Connect トンネルクライアント ............................. 208
Connect プロキシクライアント ..................... 208、 209
OnDemand トンネルエージェント ......................... 208
OnDemand プロキシエージェント ......................... 208
Web プロキシエージェント .................................. 209
トランスレーテッド Web エージェント ..................... 209
トンネルクライアント ......................................... 207
アクセスサービス
Web プロキシサービス ........................................ 228
概要 ................................................................ 221
ネットワークトンネルサービス ............................. 223
ネットワークプロキシサービス ............................. 227
アクセスログ ................................................... 126、 127
アクセスエージェント
Network Explorer .............................................. 207
アクセス制御ルール
移動 ................................................................ 100
概要 .................................................................. 89
管理 .................................................................. 89
構成 .................................................................. 89
コピー .............................................................. 100
削除 ................................................................ 100
順序の変更 ........................................................ 100
追加 ............................................................ 92、 94
表示 .................................................................. 89
編集 ................................................................ 100
無効 .................................................................. 90
有効 .................................................................. 90
アドレスプール ........................................................ 224
アプライアンス。 Aventail アプライアンスを参照
アプライアンスの再起動 ................................................ 19
アプライアンスの実稼働環境への移行 ............................... 16
アプライアンスへの接続 ................................................18
アプライアンスの保護 ................................................. 239
暗号化
Web プロキシサービス ........................................ 161
ネットワークアクセスサービス .............................. 161
い
移動
アクセス制御ルール ............................................. 100
個別のショートカット ........................................... 194
コミュニティ ........................................................57
複数のショートカット ........................................... 194
インストール
ASAP WorkPlace ................................................ 201
Aventail Connect プロキシクライアント ................. 208
Aventail アプライアンス .........................................17
アプライアンスのチェックリスト ...............................12
概要 ...................................................................14
ハードウェア ........................................................17
インタフェース
設定速度 .............................................................34
ネットワーク ........................................................34
インポート
構成ファイル ...................................................... 150
証明書 ......................................................... 46、 49
え
エイリアス .......................................................... 63、 83
エクスポート
構成ファイル ...................................................... 150
証明書 ................................................................48
ログファイル ..................................................... 128
お
オンラインヘルプ .......................................................26
か
監視
アクティブユーザー ............................................ 142
アクティブユーザーセッション .............................. 142
アクティブユーザーセッションの停止 ..................... 143
アプライアンス ................................................... 140
ユーザーの検索 ................................................... 142
管理
Aventail アプライアンス .........................................14
End Point Control .............................................. 169
アクセス制御ルール ...............................................89
管理者アカウント ..................................................27
証明書 ................................................................47
ユーザーグループ ............................................... 114
リソース .............................................................79
リソースグループ .................................................84
管理権限
ベストプラクティス ............................................. 240
管理者アカウント
概要 ...................................................................27
管理 ...................................................................27
削除 ...................................................................28
追加 ...................................................................27
260| 索引
ベストプラクティス ............................................ 240
編集 .................................................................. 27
き
逆方向接続 .......................................... 91、 94、 207、 221
く
クッキーの変換 ........................................................... 87
クライアントアクセス ................................................ 241
クライアント証明書 ............................................... 47、 50
クライアントのシステム要件 .................................... 7、 213
クライアントの整合性の検証 ........................................ 182
グループ
管理 .................................................................. 84
名前をマッピングする .......................................... 105
ユーザー ........................................................... 105
リソース ............................................................. 84
グループアフィニティチェック ...................................... 58
クレデンシャル転送 ............................................... 86、 87
保存 ...................................................................25
リストア ................................................... 150、 155
リセット ........................................................... 156
構成の比較 ............................................................... 156
構成変更の適用 ...........................................................29
コピー
WorkPlace サイト ............................................... 198
アクセス制御ルール ............................................. 100
コミュニティ ...................................................... 112
ゾーン .............................................................. 174
レルム ................................................................58
コミュニティ
EPC 制約 .......................................................... 110
移動 ...................................................................57
構成 ................................................................. 106
コピー .............................................................. 112
削除 ................................................................. 112
デフォルト ..........................................................56
表示 ................................................................. 106
編集 ................................................................. 112
レルムとの関連付け ...............................................56
コンテンツの変換 ........................................................87
こ
工場出荷時デフォルト構成 ........................................... 156
工場出荷時リセットの実行 ........................................... 160
構成
ASAP WorkPlace ....................................... 190、 195
Aventail Cache Control ...................................... 179
Aventail Connect プロキシクライアント ................. 208
Aventail Secure Desktop .................................... 181
DNS .................................................................. 38
IP アドレス ......................................................... 34
IP アドレスプール .............................................. 224
LDAP 認証 .......................................................... 65
RADIUS 認証 ...................................................... 70
SNMP .............................................................. 143
SSH ................................................................ 123
SSL 暗号化 ....................................................... 161
SSL 暗号化設定 .................................................. 161
Web プロキシサービスの構成 ................................ 228
アクセス制御ルール ............................................... 89
概要 .................................................................. 14
コミュニティ ..................................................... 106
時刻設定 ........................................................... 124
証明書 ................................................................ 39
ショートカット ................................................... 190
シングルサインオン .............................................. 75
認証 .................................................................. 52
ネットワークプロキシサービスの構成 ..................... 227
ネットワーク設定 .................................................. 33
ユーザーアクセスコンポーネント ....................... 3、 205
ユーザー名 / パスワード認証 .............................. 65、 70
レルム ................................................................ 55
ローカルユーザー認証 ........................................... 74
ログ設定 ........................................................... 129
構成設定
インポート / エクスポート ..................................... 150
システム更新 ..................................................... 150
バックアップ ............................................. 150、 154
比較 ................................................................ 156
ファイルの衝突回避 ............................................... 28
さ
サーバー
syslog ............................................................. 130
ダウンストリーム ................................................ 229
認証 ...................................................................59
サーバー証明書 .............................................. 39、 65、 68
サービス
開始 ................................................................. 223
概要 ................................................................. 221
停止 ................................................................. 223
サービスの開始 ......................................................... 223
サービスの停止 ......................................................... 223
サイファの選択 ......................................................... 161
削除
IP アドレスプール .............................................. 226
Web アプリケーションプロファイル ..........................89
WorkPlace サイト ............................................... 198
アクセス制御ルール ............................................. 100
管理者アカウント ..................................................28
コミュニティ ...................................................... 112
参照されているオブジェクト ....................................31
ショートカット ................................................... 194
ゾーン .............................................................. 174
デバイスプロファイル .......................................... 174
ユーザー ........................................................... 120
ユーザーグループ ............................................... 120
リソース .............................................................84
リソースグループ .................................................85
参照されているオブジェクトの削除 ..................................31
し
時刻設定 ................................................................. 124
自己署名証明書 ...........................................................40
システム
更新 ......................................................... 150、 157
ステータスの表示 ................................................ 140
バックアップ ...................................................... 150
EX-750 インストールおよび管理ガイド |261
バックアップファイル ......................................... 156
要件 .................................................................... 7
リストア ........................................................... 150
ロギング ........................................................... 126
システムアップデートのダウンロード ............................ 157
システムアップデートの取り消し .................................. 160
システム更新 ................................................... 150、 157
順序の変更
アクセス制御ルール ............................................. 100
コミュニティ ....................................................... 57
ショートカット ................................................... 194
順方向接続 ................................................................ 91
証明書
CSR 応答のインポート ........................................... 45
CSR の生成 ......................................................... 43
CSR の送信 ......................................................... 44
FAQ .................................................................. 51
インポート .................................................... 46、 49
エクスポート ....................................................... 48
概要 .................................................................. 39
管理 .................................................................. 47
クライアント ................................................. 47、 50
構成 .................................................................. 39
サードパーティからの取得 ....................................... 42
サーバー ....................................................... 39、 65
自己署名 ............................................................. 40
詳細の表示 .......................................................... 48
信頼できるルートファイル ................................ 40、 46
設定 ............................................................ 47、 50
追加 ......................................................47、 49、 50
認証 .................................................................. 68
証明書署名要求
応答のインポート .................................................. 45
概要 .................................................................. 43
生成 .................................................................. 43
送信 .................................................................. 44
商用 CA からの証明書の取得 .......................................... 42
ショートカット
移動 ................................................................ 194
概要 ................................................................ 185
構成 ................................................................ 190
個人フォルダ ..................................................... 193
削除 ................................................................ 194
順序の変更 ........................................................ 194
追加 ........................................................ 192、 193
表示 ................................................................ 190
編集 ................................................................ 194
シリアル接続 ............................................................. 18
シングルサインオン ........................... 75、 76、 77、 86、 87
信頼できるルートファイル ......................... 65、 70、 40、 46
す
スプリットトンネリング ......................................... 3、 109
スマートカード認証方式 ............................................... 72
せ
静的ルート ................................................................ 36
セッション
アクティブユーザー ............................................ 142
管理者 ................................................................ 27
停止 ................................................................. 143
接続
逆方向 ..........................................91、 94、 207、 221
順方向 ................................................................91
シリアル .............................................................18
相互 ...................................................91、 207、 221
双方向 ................................................91、 207、 221
設定
ASAP WorkPlace ..................................................16
Aventail Connect プロキシクライアント ...................16
IP アドレス .........................................................34
証明書 ......................................................... 47、 50
そ
相互接続 ...................................................91、 207、 221
双方向接続 .................................................91、 207、 221
ゾーン
Aventail Connect ............................................... 174
概要 ................................................................. 165
コピー .............................................................. 174
削除 ................................................................. 174
定義 ................................................. 171、 176、 177
デバイスプロファイル .................................. 165、 169
デフォルトゾーン ............................................... 175
特定の状況 ........................................................ 175
表示 ................................................................. 170
た
ダイナミックモード ........................................... 212、 215
ダウンストリーム Web サーバー ................................... 229
他のサイトへのリダイレクト ......................................... 201
ち
チェックリスト
アプライアンスの実稼働環境への移行 .........................16
初期セットアップ ..................................................12
つ
追加
CA 証明書 ...........................................................49
IP アドレスプール .............................................. 225
Web アプリケーションプロファイル ..........................86
WorkPlace サイト ............................................... 196
アクセス制御ルール ........................................ 92、 94
管理者アカウント ..................................................27
ショートカット ........................................... 192、 193
ゾーン ...................................... 171、 175、 176、 177
デバイスプロファイル .......................................... 172
認証サーバー ........................................................59
認証レルム ..........................................................55
ユーザー .............................................99、 115、 118
ユーザーグループ .................................99、 115、 118
リソース ...................................................... 82、 99
リソースグループ .................................................85
ルート証明書 ........................................... 47、 49、 50
レルム ................................................................55
ツール
Config Backup Tool ............................................ 154
Config Compare Tool ......................................... 156
262| 索引
Config Reset Tool .............................................. 156
Config Restore Tool ........................................... 155
Rollback Tooll ................................................... 160
Setup Tool ................................................... 19、 21
て
停止
アクティブユーザーセッション ............................. 143
デバイスプロファイル
概要 ................................................................ 165
削除 ................................................................ 174
定義 ................................................................ 172
表示 ................................................................ 170
デフォルトゲートウェイ ............................................... 35
デフォルトコミュニティ ............................................... 56
デフォルトゾーン ..................................................... 175
デフォルトレルム ................................................. 53、 57
電源停止 ................................................................... 19
電源投入 ................................................................... 18
と
動的ルーティング ........................................................ 36
トークン認証方式 ........................................................ 72
ドメイン名の指定 ........................................................ 33
トラブルシューティング
概要 ................................................................ 231
ツール .............................................................. 235
トランスレーテッド Web エージェント ........................... 209
トンネルクライアント ................................................ 207
な
名前解決の設定 ..................................................... 38、 39
に
認証
Active Directory .................................................. 60
LDAP ................................................................. 65
Netegrity SiteMinder ........................................... 77
NTLM ................................................................ 76
RADIUS ............................................................. 70
概要 .................................................................. 52
グループアフィニティチェック ............................... 58
構成 .................................................................. 52
シングルサインオン ........................................ 76、 77
スマートカード .................................................... 72
デジタル証明書 ..................................................... 68
トークン ............................................................. 72
ユーザー名とパスワード ..............................65、 70、 61
レルム ........................................................ 52、 105
レルムの追加 ....................................................... 55
ローカルユーザー ................................................. 74
認証サーバー
Active Directory 認証 ........................................... 60
LDAP 認証 .......................................................... 65
RADIUS 認証 ...................................................... 70
概要 .................................................................. 59
構成例 ................................................................ 59
定義 .................................................................. 59
複数の使用 .......................................................... 59
レルムの参照 ........................................................60
認証転送 ............................................................ 86、 87
ね
ネットワークアーキテクチャ ..........................................11
ネットワークアクセスサービス
アクセスログ ..................................................... 126
ネットワークインタフェース ..........................................34
ネットワークショートカット ........................................ 193
ネットワークトンネルクライアント
概要 ................................................................. 207
トラブルシューティングツール ............................... 238
ネットワークトンネルサービス
開始 ................................................................. 223
概要 ............................................................ 2、 221
構成 ................................................................. 223
停止 ................................................................. 223
ネットワークプロキシサービス
Aventail Connect プロキシクライアント ................. 208
OnDemand ....................................................... 211
開始 ................................................................. 223
概要 ............................................................ 2、 221
構成 ................................................................. 227
停止 ................................................................. 223
ネットワークリソース ..................................................80
ネットワーク構成 ...................................................... 239
ネットワーク設定
DNS ..................................................................38
ICMP ............................................................... 124
NTP ................................................................. 124
SSH ................................................................ 123
Windows ネットワーク名前解決 ...............................39
概要 ...................................................................33
サーバー証明書 .....................................................39
システム ID .........................................................33
デフォルトゲートウェイ .........................................35
ネットワークインタフェース ...................................34
は
ハードウェアのインストール ...........................................17
パスワード
ベストプラクティス ............................................ 240
変更 ...................................................................27
パスワードの変更 ........................................................27
バックアップ
構成設定 ................................................... 150、 154
バックアップファイル ................................ 154、 155、 156
バックエンドサーバーからルートファイルの確認 ......... 47、 49
ひ
非表示レルム ....................................................... 53、 57
表示
アクセス制御ルール ...............................................89
コミュニティ ...................................................... 106
システムステータス ............................................ 140
証明書の表示 ........................................................48
ショートカット ................................................... 190
ゾーン .............................................................. 170
デバイスプロファイル .......................................... 170
EX-750 インストールおよび管理ガイド |263
リソース ............................................................. 81
リソースグループ ................................................. 81
レルム ................................................................ 52
ログメッセージ .................................................. 127
表示レルム .......................................................... 53、 57
む
無効化
End Point Control .............................................. 169
アクセス制御ルール ...............................................90
アクティブユーザーセッション .............................. 143
レルム ................................................................57
ふ
ファイアウォールポリシー ............................................ 13
ファイル
更新 ................................................................ 157
構成 .......................................................... 28、 150
信頼できるルート ............................... 40、 46、 65、 70
バックアップ ..................................... 154、 155、 156
比較 ................................................................ 156
ログ ........................................................ 126、 130
ファイルシステムリソース ........................................... 80
ファイル更新 ........................................................... 157
復帰
工場出荷時構成 ................................................... 156
ブラウザ
Java コンソールの表示 ......................................... 234
Java の有効化 .................................................... 234
JVM バージョンの判定 ......................................... 233
OnDemand のシステム要件 .............................. 7、 213
WorkPlace のシステム要件 ............................... 7、 188
ブラウザでの Java の有効化 ........................................ 234
プロキシサーバー ..................................................... 220
フロントパネルのインジケータ ....................................... 17
へ
変換
クッキー ............................................................. 87
コンテンツ .......................................................... 87
変更の保存 .......................................................... 25、 29
編集
AMC のオブジェクト ............................................. 25
IP アドレスプール ............................................... 226
Web アプリケーションプロファイル ......................... 89
WorkPlace サイト .............................................. 197
アクセス制御ルール ............................................. 100
管理者アカウント .................................................. 27
コミュニティ ..................................................... 112
ショートカット ................................................... 194
ユーザー ........................................................... 119
ユーザーグループ ............................................... 119
リソース ............................................................. 84
リソースグループ ................................................. 85
レルム ................................................................ 58
ほ
ポートマッピング ..................................................... 216
ま
マッピング
OnDemand でのポート ........................................ 216
グループ名 ........................................................ 105
ユーザー名 ........................................................ 105
も
モニタリング
アプライアンス ................................................... 126
ゆ
有効化
Aventail Cache Control ....................................... 179
Aventail Secure Desktop .................................... 181
End Point Control .............................................. 169
Sygate On-Demand ........................................... 182
WholeSecurity .................................................. 182
Zone Labs Integrity ........................................... 183
アクセス制御ルール ...............................................90
レルム ................................................................57
ユーザー
[Searching for] フィールド .................................. 142
アクティブセッションの停止 ................................. 143
概要 ................................................................. 105
監視 ................................................................. 142
削除 ................................................................. 120
追加 ...................................................99、 115、 118
名前をマッピングする ........................................... 105
編集 ................................................................. 119
ローカル ........................................................... 120
ユーザーアクセス ..................................................... 241
ユーザーアクセスコンポーネント ............................ 3、 205
ユーザーグループ
概要 ................................................................. 105
管理 ......................................................... 114、 115
削除 ................................................................. 120
追加 ...................................................99、 115、 118
名前をマッピングする ........................................... 105
編集 ................................................................. 119
ユーザーセッションの停止 .......................................... 143
ユーザーの検索 ......................................................... 142
ユーザー名 / パスワード認証方式 ........................ 70、 61、 65
ら
ライセンス
概要 ................................................................. 163
管理 ................................................................. 164
コンポーネント ................................................... 163
詳細の表示 ........................................................ 163
ベース .............................................................. 163
ラックのインストール ...................................................17
264| 索引
り
リストア
構成設定 ........................................................... 155
リセット
Factory Reset Tool ............................................ 161
構成設定 ........................................................... 156
リソース
Web .................................................................. 79
Web アプリケーションプロファイル ......................... 86
管理 .................................................................. 79
高度なオプション .................................................. 83
削除 .................................................................. 84
追加 ............................................................ 82、 99
ネットワーク ....................................................... 80
表示 .................................................................. 81
ファイルシステム ................................................. 80
編集 .................................................................. 84
リソースグループ
管理 .................................................................. 84
削除 .................................................................. 85
追加 .................................................................. 85
表示 .................................................................. 81
編集 .................................................................. 85
る
ルーティング ............................................................. 35
ルートファイルの確認 ............................................ 47、 49
ルート証明書
追加 .................................................................. 47
ループバックアドレス ................................................ 216
れ
レルム
Active Directory .................................................. 60
ASAP WorkPlace ................................................. 54
RADIUS ............................................................. 70
概要 ................................................................ 105
グループアフィニティチェック ............................... 58
検索 ................................................................ 115
コピー ................................................................ 58
コミュニティを対応させる ....................................... 56
削除 .................................................................. 58
追加 .................................................................. 55
デフォルト .................................................... 53、 57
認証サーバーの参照 ............................................... 60
非表示 .......................................................... 53、 57
表示 ......................................................52、 53、 57
ベストプラクティス .............................................. 54
編集 .................................................................. 58
無効 .................................................................. 57
有効 .................................................................. 57
レルムの検索 ........................................................... 115
ろ
ローカルユーザー認証 .......................................... 120、 74
ロギング
OnDemand ...................................................... 219
syslog サーバー ................................................. 130
エクスポートファイル ......................................... 128
概要 ................................................................. 126
構成設定 ........................................................... 129
ファイルロケーション .......................................... 130
ファイル形式 ...................................................... 126
メッセージの表示 ................................................ 127
レベル .............................................................. 129

Download Report