Aventail EX-750™ ® イ ン ス ト ールおよび管理ガ イ ド バージ ョ ン 8.5 ©1996-2005 Aventail Corporation。 すべての権利は保有 さ れています。 Aventail、 Aventail EX-1500、 Aventail EX-750、 Aventail ASAP WorkPlace、 Aventail OnDemand、 Aventail Connect、 およびそれに対応する ロ ゴは、 Aventail Corporation の商標、 サービ ス マー ク 、 ま たは登録商標です。 また、 こ のマニ ュ アルに記載 さ れている その他の製品名および会社名は、 各社の商標です。 Last modified 8/29/05 11:21 Part number 0850-000011-02 EX-750 イ ン ス ト ールおよび管理ガ イ ド | i 目次 第1 章 は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aventail ア プ ラ イ ア ン スの機能 . . . . . . . . . . . . . . . . . . . . . 管理者 コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . ユーザー コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . こ の リ リ ースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . こ の リ リ ースでのユーザー イ ン タ フ ェ ースの変更 . . . . . . . シ ス テム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者 コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . ク ラ イ ア ン ト コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . こ のマニ ュ アルについて . . . . . . . . . . . . . . . . . . . . . . . . . . こ のマニ ュ アルの規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第2 章 イ ン ス ト ール と 初期セ ッ ト ア ッ プ . . . . . . . . . . . . . . . . . . . . . . ネ ッ ト ワー ク アーキテ ク チ ャ . . . . . . . . . . . . . . . . . . . . . . . イ ン ス ト ールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イ ン ス ト ールチ ェ ッ ク リ ス ト . . . . . . . . . . . . . . . . . . . . . フ ァ イ アウ ォ ール ポ リ シーの確認 . . . . . . . . . . . . . . . . . 便利な管理ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . イ ン ス ト ールおよび設定プ ロ セス . . . . . . . . . . . . . . . . . . . . . イ ン ス ト ール と 構成の概要 . . . . . . . . . . . . . . . . . . . . . . ア プ ラ イ ア ン スの実稼働環境への移行 . . . . . . . . . . . . . . . ア プ ラ イ ア ン スのイ ン ス ト ール. . . . . . . . . . . . . . . . . . . . . . . ラ ッ クのイ ン ス ト ール . . . . . . . . . . . . . . . . . . . . . . . . . フ ロ ン ト パネルの操作ボ タ ン と イ ン ジケー タ . . . . . . . . . . ア プ ラ イ ア ン スの接続 . . . . . . . . . . . . . . . . . . . . . . . . . 電源投入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ア プ ラ イ ア ン スの電源停止 と 再起動. . . . . . . . . . . . . . . . . 初期ネ ッ ト ワー ク セ ッ ト ア ッ プの実行 . . . . . . . . . . . . . . . . . . Setup Wizard を使用 し た Web ベースの構成. . . . . . . . . . Setup Tool を使用 し た コ マ ン ド ラ イ ンに よ る構成 . . . . . . . 次のス テ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 第3 章 AMC の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AMC へのア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . AMC へのログ イ ン . . . . . . . . . . . . . . . . . . . . . . . . . ログアウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AMC の基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AMC イ ン タ フ ェ ース ク イ ッ ク ツ アー . . . . . . . . . . . . . ヘルプの利用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者ア カ ウ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者ア カ ウ ン ト の管理. . . . . . . . . . . . . . . . . . . . . . 複数管理者の構成 フ ァ イルの衝突回避 . . . . . . . . . . . . . 構成デー タ の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 構成変更のデ ィ ス クへの保存 . . . . . . . . . . . . . . . . . . . 構成変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 さ れている オブ ジ ェ ク ト の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 . . . . . . . . . . . . . . . . . . . . . . . . . . . . ......................................... 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 ii | 目次 第4 章 ネ ッ ト ワー ク と 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 基本ネ ッ ト ワー ク設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . シ ス テム ID の識別 . . . . . . . . . . . . . . . . . . . . . . . . . . ネ ッ ト ワー ク イ ン タ フ ェ ースの構成 . . . . . . . . . . . . . . . . IP ルー ト の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 名前解決の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL 証明書の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 概要 : SSL 証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . 自己署名証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . 商用 CA か らの証明書の取得 . . . . . . . . . . . . . . . . . . . . . 他の コ ン ピ ュ ー タ からの既存の証明書のイ ンポー ト . . . . . . . 証明書の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 証明書の FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . レルムでのユーザー認証の管理. . . . . . . . . . . . . . . . . . . . . . . レルムの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デ フ ォ ル ト 、 表示、 非表示レルム . . . . . . . . . . . . . . . . . . レルムを定義する場合のベス ト プ ラ ク テ ィ ス . . . . . . . . . . レルムの作成 と 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . デ フ ォ ル ト レルムの選択 . . . . . . . . . . . . . . . . . . . . . . . レルムの有効化 と 無効化. . . . . . . . . . . . . . . . . . . . . . . . レルムの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . レルムの コ ピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . レルムの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . レルムでのグループ ア フ ィ ニ テ ィ チ ェ ッ クの有効化 . . . . . . 認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Active Directory サーバーの構成. . . . . . . . . . . LDAP および LDAPS 認証の構成 . . . . . . . . . . . . . . . . . . RADIUS 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . ロー カル ユーザー認証の構成 . . . . . . . . . . . . . . . . . . . . 認証構成のテ ス ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . シ ングル サイ ン オ ンの構成 . . . . . . . . . . . . . . . . . . . . . . 次のス テ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 第5 章 セキ ュ リ テ ィ 管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ソ ースの作成 と 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ソ ースの タ イ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ソ ースおよび リ ソ ース グループの表示 . . . . . . . . . . . . リ ソ ースの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ソ ースの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ソ ースの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ソ ース グループの作成 と 管理 . . . . . . . . . . . . . . . . . . Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの表示 . . . . . . . . . . Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの追加 . . . . . . . . . . Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの編集 . . . . . . . . . . Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの削除 . . . . . . . . . . ア ク セス制御ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . ア ク セス制御ルールの構成 . . . . . . . . . . . . . . . . . . . . . ア ク セス方式 と リ ソ ース と の間の拒否ルール非互換の解決. . 不正な接続先 リ ソ ースの解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 EX-750 イ ン ス ト ールおよび管理ガ イ ド | iii 第6 章 ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 概要 : ユーザー、 グループ、 コ ミ ュ ニ テ ィ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 コ ミ ュ ニ テ ィ の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 コ ミ ュ ニ テ ィ の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 コ ミ ュ ニ テ ィ の作成 と 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 コ ミ ュ ニ テ ィ への メ ンバーの割 り 当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 コ ミ ュ ニ テ ィ に対する ア ク セス方式の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 コ ミ ュ ニ テ ィ での End Point Control 制約の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 コ ミ ュ ニ テ ィ の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 コ ミ ュ ニ テ ィ の コ ピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 コ ミ ュ ニ テ ィ の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 ユーザーま たはグループの メ ンバーシ ッ プの特定 コ ミ ュ ニ テ ィ への制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 ユーザーおよびグループの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 ユーザーおよびグループの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 外部 リ ポジ ト リ にマ ッ ピ ング さ れているユーザーおよびグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 ロー カル ユーザー ア カ ウ ン ト の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 第7 章 シ ス テム管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 オプ シ ョ ン ネ ッ ト ワー ク構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 リ モー ト ホス ト から の SSH ア ク セスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 ICMP の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 時刻設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 シ ス テム ロギングおよびモ ニ タ リ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 概要 : シ ス テム ロギングおよびモ ニ タ リ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 ログ フ ァ イル形式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 ログ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 ログ フ ァ イルのロ ケーシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 シ ス テム メ ッ セージ ログ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 ネ ッ ト ワー ク プ ロキシ / ト ン ネル監査ロ グ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Web プ ロキシ監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 ア プ ラ イ ア ン スの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 SNMP の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 バ ッ ク ア ッ プ、 リ ス ト ア、 シ ス テム更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 構成 フ ァ イルのバ ッ ク ア ッ プ と リ ス ト ア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 シ ス テムへのパ ッ チ当て、 ア ッ プグ レー ド 、 ロールバ ッ ク 、 リ セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 SSL 暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 SSL 暗号化の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 ソ フ ト ウ ェ ア ラ イ セ ン ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 ラ イ セ ン スの詳細の表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 ラ イ セ ン スの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 第8 章 End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 概要 : End Point Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Aventail が End Point Control で ゾーン と デバイ ス プ ロ フ ァ イルを使用する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 End Point Control のシナ リ オ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 ゾーンおよびデバイ ス プ ロ フ ァ イルに よ る EPC の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 End Point Control の有効化 と 無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 ゾーンおよびデバイ ス プ ロ フ ァ イルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 ゾーンの定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 定義済みのゾーンおよびデバイ ス プ ロ フ ァ イルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 特定の状況に対する ゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 ク ラ イ ア ン ト に残 さ れたデー タ の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Aventail Cache Control の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Aventail Secure Desktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Sygate On-Demand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 ク ラ イ ア ン ト の整合性の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 iv | 目次 第9 章 ASAP WorkPlace ポー タ ル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 ASAP WorkPlace のク イ ッ ク ツ アー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 [Home] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 [Intranet Address] ボ ッ ク ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 [Network Explorer] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 ASAP WorkPlace のク ラ イ ア ン ト の要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 ASAP WorkPlace の一般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 ASAP WorkPlace のカ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 シ ョ ー ト カ ッ ト の利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 シ ョ ー ト カ ッ ト の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Web シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 個人 フ ォルダ を示すネ ッ ト ワー ク シ ョ ー ト カ ッ ト の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 シ ョ ー ト カ ッ ト の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 シ ョ ー ト カ ッ ト の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 複数のシ ョ ー ト カ ッ ト の移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 個別のシ ョ ー ト カ ッ ト の移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 WorkPlace サイ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 WorkPlace サイ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 WorkPlace サイ ト の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 WorkPlace サイ ト の コ ピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 WorkPlace サイ ト の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 ASAP WorkPlace のログ イ ン ページ、 エ ラ ー ページ、 通知ページのカ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 概要 : WorkPlace テ ン プ レー ト のカ ス タ マ イ ズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 テ ン プ レー ト フ ァ イルを一致 さ せる方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 WorkPlace テ ン プ レー ト のカ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 WorkPlace カ ス タ ム テ ン プ レー ト のア ッ プ ロー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 ユーザーに よ る ASAP WorkPlace へのア ク セスの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 他の Web ページへのユーザーの リ ダ イ レ ク ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 他の Web サイ ト からの ASAP WorkPlace へのア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 End Point Control と ユーザーの経験 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Aventail Secure Desktop の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Aventail Cache Control の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 第 10 章 ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 概要 : ユーザー ア ク セ ス エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 ASAP WorkPlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Network Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Aventail ト ン ネル ク ラ イ ア ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Connect プ ロキシ ク ラ イ ア ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 OnDemand プ ロキシ エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Web プ ロキシ エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Aventail Connect プ ロキシ ク ラ イ ア ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Aventail OnDemand プ ロキシ エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 概要 : OnDemand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 OnDemand ク ラ イ ア ン ト 要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 OnDemand がネ ッ ト ワー ク ト ラ フ ィ ッ ク を リ ダ イ レ ク ト する方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 OnDemand ダ イ ナ ミ ッ ク モー ド ア ク セスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 特定ア プ リ ケーシ ョ ンにア ク セスする ための OnDemand の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 高度な OnDemand オプ シ ョ ンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 ク ラ イ ア ン ト の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Aventail ア ク セス サービ スの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 概要 : ア ク セス サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Aventail ア ク セス サービ スの停止 と 開始 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 ネ ッ ト ワー ク ト ン ネル サービ スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 IP ア ド レ ス プールの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 ネ ッ ト ワー ク プ ロキシ サービ スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Web プ ロキシ サービ スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 EX-750 イ ン ス ト ールおよび管理ガ イ ド | v 付録 A ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . 一般的なネ ッ ト ワーキングの問題 . . . . . . . . . . . . . . . . . . . . AMC の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 認証の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aventail サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aventail OnDemand プ ロキシの問題 . . . . . . . . . . . . . . . . . 一般的な OnDemand プ ロキシの問題 . . . . . . . . . . . . . . 個別の OnDemand の問題 . . . . . . . . . . . . . . . . . . . . . AMC の ト ラ ブルシ ュ ーテ ィ ング ツール . . . . . . . . . . . . . . . . ping コ マ ン ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . traceroute コ マ ン ド . . . . . . . . . . . . . . . . . . . . . . . . . DNS ル ッ ク ア ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . 現在のルーテ ィ ング テーブルの表示 . . . . . . . . . . . . . . . ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト のロギング ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 付録 B ア プ ラ イ ア ン ス保護のためのベス ト ネ ッ ト ワー ク構成 . . . . . . . . . . . ア プ ラ イ ア ン スの構成 . . . . . . . . 管理者ア カ ウ ン ト . . . . . . . . . . . ア ク セス ポ リ シー . . . . . . . . . . SSL サイ フ ァ . . . . . . . . . . . . . ク ラ イ ア ン ト ア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 付録 C 国際化サポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ネ イ テ ィ ブ文字セ ッ ト のサポー ト . . . . . . . . . . . . . . . . . . . . RADIUS ポ リ シー サーバーの文字セ ッ ト . . . . . . . . . . . . . . . 選択可能な RADIUS 文字セ ッ ト . . . . . . . . . . . . . . . . . サポー ト さ れている その他の RADIUS 文字セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 プラクテ ィ ス ......... ......... ......... ......... ......... ......... ......... ......... ......... ......... ......... ......... ......... 用語集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 vi | 目次 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 1 第1章 は じ めに Aventail SSL VPN アプライアンスは、 従業員、 ビジネス パートナー、 顧客に対して、 セキュアなアクセス (Web ア プリケーションへのクライアントレス アクセス、 クライアント / サーバー アプリケーションへのアクセス、 ファイル共有などを 含む ) を提供するための機器です。 すべてのトラフィックは、 Secure Sockets Layer (SSL) によって暗号化されて おり、 これによって、 許可を受けていないユーザーのアクセスを防止します。 Aventail アプライアンスを使用すると、 Windows、 Macintosh、 Linux などの広範なプラットフォームから、 広範な アクセス方式 ( 標準 Web ブラウザ、 Java アプレット、 Windows クライアントなど ) でアプリケーションを利用すること ができます。 このアプライアンスを使用すると、 次のことができるようになります。 • リモート アクセス VPN の作成。 これにより、 リモートの従業員が、 電子メールなどのプライベートな企業アプリケー ションに、 インターネット経由で安全にアクセスできるようになります。 • ビジネス パートナー VPN の作成。 これにより、 指定されたサプライヤーが、 内部のサプライ チェーン アプリケー ションに、 インターネット経由でアクセスできるようになります。 このアプライアンスでは、 細かいアクセス制御が可能で、 この機能を利用することにより、 ユーザー レベルやリソース レ ベルでポリシーを定義しアクセスを制御することができます。 また、 効率を向上させるために、 このアプライアンスは Web ベースの管理コンソールから管理するようになっています。 これにより、 標準 Web ブラウザを使用して、 ポリシーを素 早く簡単に管理できる他、 アプライアンスの構成も行うことができます。 2 | 第 1 章 - は じ めに Aventail アプ ラ イ アンスの機能 この節では、 このアプライアンスの主なコンポーネントについて説明します。 管理者コ ンポーネン ト • Aventail Web プ ロキシ サービ ス。 このコンポーネントは、 ユーザーが、 Web ベースのアプリケーション、 Web サーバー、 ネットワーク ファイル サーバーなどに、 Web ブラウザから安全にアクセスできるようにするため のものです。 Web プロキシ サービスは、 Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな HTTP リバース プロキシです。 このサービスは、 OnDemand プロキシ エージェントからの TCP/IP 接続の管理 も行います。 • Aventail ネ ッ ト ワー ク ト ン ネル サービ ス。このコンポーネントは、広範囲のアプリケーションにセキュアなネッ トワーク トンネル アクセスを提供するネットワーク ルーティング テクノロジーです。対象となるアプリケーションには、 Voice Over IP (VoIP) や ICMP などの非 TCP/IP プロトコル、 逆方向接続プロトコル、 FTP などの双方向プ ロトコルを使用するものも含まれます。このコンポーネントは、Aventail Connect トンネル クライアントや Aventail OnDemand トンネル エージェントと共同で動作して、 認証され暗号化されたアクセスを可能にします。 ネットワー ク トンネル サービスでは、 ファイアウォールや NAT デバイスの他、 従来型の VPN デバイスと干渉する可能性が あるプロキシ サーバーもトラバースすることができます。 • Aventail ネ ッ ト ワー ク プ ロキシ サービ ス。このコンポーネントは、標準クライアント / サーバー アプリケーショ ンにアクセスするためのセキュアなプロキシを提供します。 Aventail Connect プロキシと共同で動作して、 イン ターネット経由で認証され暗号化されたアクセスを可能にします。 ネットワーク プロキシ サービスは、 SOCKS v5 プロトコルをベースにしています。 ネットワーク プロキシ サービスは、 内部のアプリケーションとネットワークに対す るアクセスを中継し暗号化します。 ネットワーク プロキシ サービスは、 このプロキシベースのアーキテクチャと SSL を使用することにより、 ファイアウォールや NAT デバイスの他、 従来型の VPN デバイスと干渉する可能性がある プロキシ サーバーもトラバースすることができます。 • Aventail® Secure Access Policy (ASAP™) Management Console (AMC)。 Aventail アプラ イアンスを管理するための Web ベースの管理ツールです。 このツールを使用すると、 セキュリティ ポリシーの管 理、 システムの構成 ( ネットワーキングおよび証明書の構成を含む )、 モニタリングについて集中的に管理できる ようになります。 AMC は、 Web ブラウザでアクセスすることができます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 3 ユーザー コ ンポーネン ト このアプライアンスには、 ユーザーに対して、 ネットワーク上のリソースへのアクセスを提供するコンポーネントもいくつか 用意されています。 • Aventail® ASAP™ WorkPlace。 このコンポーネントは、 Web プロキシ サービスで保護された Web ベー スのリソースに対してユーザーがアクセスできるようにします。ユーザーが ASAP WorkPlace にログインするとホー ム ページが現れ、 管理者が定義したショートカットのリストが表示されます。 このリストは、 アクセス ポリシーに基づ いて動的に変動します。 これらのショートカットは、 ユーザーがアクセス権限を持つ、 Web ベースのリソースと Windows ファイル システムのリソースにリンクしています。 ASAP WorkPlace は、 標準 Web ブラウザからアク セスすることができます。 この Web リソースとファイル システム リソースは、 SSL をサポートする任意の Web ブラウザからアクセスすること ができます。 このアプライアンスでは、 Internet Explorer が動作する比較的新しいバージョンの Microsoft Windows システムに対して、 デフォルトで Microsoft ActiveX コントロール ( 「標準 Web エージェント」 ) を インストールするようになっています。 この標準 Web エージェントは、 アプライアンスから Web コンテンツを直接 取り込みます。 他のブラウザを使用するユーザーに対しては、 トランスレーテッド Web アクセスが自動的に提供さ れます。 このエージェントをユーザーのシステムにインストールしたくない場合は、 ユーザーがどのブラウザを使用しているか に関係なく、 トランスレーテッド Web アクセスがすべてのユーザーに提供されるよう構成することができます。 • Aventail® OnDemand™ プ ロキシ エージ ェ ン ト 。 このコンポーネントは、 Aventail Web プロキシ サー ビスで保護されたネットワーク リソースにアクセスできるようにするセキュアなエージェントです。 Aventail OnDemand は、 ユーザーにクライアントレスな VPN アクセスを提供するもので、 任意の Web サーバーから 「オ ンデマンドで」 ダウンロードできるようになっています。 ネットワークに対して標準 VPN アクセスできないパートナー やベンダーや、 キオスク端末など、 仕事用でないコンピュータからネットワーク リソースにモバイルでアクセスする 従業員が使用すると便利です。 • Aventail® Connect™ プ ロキシ ク ラ イ ア ン ト 。このコンポーネントは、Aventail ネットワーク プロキシ サー ビスで保護されたネットワーク リソースにアクセスできるようにする Windows アプリケーションです。 Aventail Connect をユーザーのコンピュータにインストールすると、 パーソナル ファイアウォールやアンチウイルス アプリ ケーションもサポートされ、 セキュリティのレベルが向上します。 ほとんどの場合ユーザーは、 認証クレデンシャル の入力を求められるときや、ローカルおよびリモートのネットワークを選択するよう求められるときに限って、Aventail Connect と通信します。 4 | 第 1 章 - は じ めに • Aventail® Connect™ および Aventail® OnDemand ク ラ イ ア ン ト を Smart Tunneling と併用 すると、 すべてのリソースに対してネットワークレベルでアクセスできるようになり、 それぞれのエンドユーザー デバ イスを、 効率的にネットワークの仮想ノードにすることができます。 Connect トンネル クライアントにより、 Web で インストールされる Windows クライアント (Windows XP および Windows 2000 が動作するコンピュータ ) か ら、 ネットワークおよびアプリケーションに対してフル アクセスできるようになります。 このクライアントは、 ASAP WorkPlace ポータルのリンク、 または標準 Windows インストーラの実行可能パッケージから透過的にインストー ルされます。 Connect トンネル クライアントでは他にも、 スプリットトンネリング制御、 細かいアクセス制御、 自動 プロキシ検出と認証などの機能も提供されます。 OnDemand トンネル エージェントには、 Connect トンネルとほぼ同じ機能があります。 ただし、 ドメイン ログイ ンの際にダイヤルアップ アダプタとして使用することはできません。 また、 ASAP WorkPlace に統合されていると いう点でも異なります。 OnDemand の場合、 スプリットトンネリング モードまたはリダイレクト オール トラフィック モードのいずれかで動作することができます。 • End Point Control コ ンポーネ ン ト 。 ネットワークが、 信頼されていない環境の PC からアクセスされた場合 に危険にさらされることのないようにします。 Aventail アプライアンスには、 重要なデータやネットワークを保護す るための、 複数の End Point Control (EPC) コンポーネントをサポートする機能があります。 Aventail のデー タ保護エージェント -- Aventail Secure Desktop および Aventail Cache Control -- は、 セッション データ を PC から自動的に削除します。 また、 このアプライアンスでは、 アクセスを許可する前にクライアント システム上 のマルウェアを自動的にチェックする、 サードパーティのクライアント インテグリティ コントロールとも統合できるよう になっています。 Aventail Connect プロキシ クライアントと Connect トンネル クライアントを除く、 Aventail の すべてのアクセス方法で、 EPC がサポートされています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 5 この リ リ ースの新機能 Aventail ASAP プラットフォームのバージョン 8.5 では、 次のような機能が追加または強化されています。 • ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト : このリリースでは、 新しいネットワーク トンネル クライアントが 2 つ追加 されており、 フル ネットワーク アクセスが提供されると同時にアプリケーションの互換性が向上しています。 このネッ トワーク トンネル クライアントは、 Connect トンネル、 新世代の Aventail Windows クライアントと、 ブラウザ ア クセスのための OnDemand トンネルで構成されます。 この 2 つのクライアントはどちらも、 ネットワーク トンネル サービスにより、 ASAP WorkPlace ポータルからインストールし、 ASAP Management Console (AMC) から 管理します。 これに関連する変更として、 OnDemand プロキシ エージェントのトラフィックが、 Web プロキシ サービスで管理されるようになっています。 その他のネットワーク トンネル機能には、 次のようなものがあります。 • プ ロ ト コ ルおよびア プ リ ケーシ ョ ンのサポー ト の拡張 : Aventail トンネル クライアントでは、TCP/IP 経 由の標準クライアント / サーバー アプリケーションだけでなく、 Voice Over Internet Protocol (VoIP)、 ICMP、 マルチキャストなどの非 TCP/IP プロトコルを含む、 広範囲のプロトコルとアプリケーションをサポー トしています。 また、 UDP アクセス機能も向上しています。 このアプライアンスでは、 双方向接続、 逆方向 接続、 相互接続がサポートされているため、 VPN レベルで、 SMS アプリケーション、 FTP アプリケーショ ン、 ヘルプ デスク リモート制御アプリケーションなどに対してクライアント アクセスできるようになります。 • Smart Redirection および Smart Addressing : ネットワーク トンネル サービスが、 AMC および ローカル ネットワークの設定で定義されているリソースに基づいて、 リダイレクティングとルーティングの情報を 自動的に提供します。 • Redirection Mode : これは、 トンネル クライアントのトラフィックをアプライアンスにリダイレクトする方法を 管理者が指定するための機能です。 アプライアンスは、 すべてのトラフィックをリダイレクトできる他、 AMC で 定義されたリソースのみをリダイレクトするためにスプリット トンネル リダイレクト機能を使用することもできます。 • 柔軟な ア ク セス制御ポ リ シー : ネットワーク リソースに対するユーザー接続のみでなく、 ユーザーに対するネット ワーク リソース アクセス (SMS など ) についてもアクセス制御ルールを構成することができます。 アクセス ルール は、 ユーザー間のトラフィックをコントロールするためにセットアップすることもできます。 • Setup Wizard : 新しい Setup Wizard を使用することにより、 アプライアンスの初期インストールと構成を簡 単に行うことができます。 このウィザードは、 基本ネットワーク設定の構成、 SSL 証明書の生成、 テスト用のロー カル ユーザーのセットアップ、 初期アクセス制御ルールとリソースの定義などのプロセスをガイドします。 • コ ミ ュ ニ テ ィ : 特定のコミュニティにユーザー集団を割り当てることで、 アクセス エージェントおよび End Point Control ツールについて、 細分性の高いインストールを行うことができます。 また、 アクセス制御ルールを活用す れば、 ポリシー管理も便利になります。 • End Point Control の拡張 : Windows、 Macintosh、 Linux の各クライアント デバイスで、 エンド ポイン トでの保護が強化されました。 このリリースでは、 Macintosh および Linux 用の End Point Control (EPC) デ バイス プロファイルが導入されています。 これには、 ディレクトリやファイルの名前、 ファイル サイズ、 タイムスタン プ、 アプリケーションの他、 Macintosh の場合はアンチウイルス プログラムの検出も指定することができます。 Windows デバイスの場合も、 EPC デバイス プロファイルが強化されており、 Windows バージョンの検出機能 の他、 ファイルのタイムスタンプ、 サイズなどが強化されています。 柔軟性の向上をはかるため、 デバイス プロ ファイルで定義する一定の属性で、 「より大きい」 や 「以上」 などの比較演算子を使用できるようになっています。 • ブ ラ ウザ サポー ト の拡張 : エンド ユーザーは、 Windows、 Macintosh、 Linux の場合 Firefox を、 Macintosh の場合 Safari を使用してアプライアンスに接続できるようになりました。 • グ ラ フ ィ カル シ ス テム と ユーザー モ ニ タ リ ン グ : Aventail ホーム ページで、 システム ステータスの要約を グラフィカルに表示できるようになりました。 これには、 アクティブ ユーザー、 ネットワーク帯域幅、 ディスク容量の 使用状況、 CPU の使用状況などが表示され、 詳細なモニタリング グラフやシステム ステータス情報へのリンクも 設けられています。 • ログ ビ ュ ーアの改善 : アプライアンスのログ ビューアがアップデートされ、 システムおよびサーバー情報の表示 が強化されて、 ログ メッセージ テキストの表現が改善されています。 これによりトラブルシューティングを行いやす くなりました。 ロギングの新機能として、 フィルタリング、 検索、 ソート、 ログ データのカンマ区切りファイルへのエ クスポートなどが追加されています。 • ASAP WorkPlace のカ ス タ マ イ ズ : ASAP WorkPlace ポータルは、ユーザー セグメントごとに別々の独立 したサイトとしてセットアップし、 それぞれ固有の URL を割り当てることができます。 これらのサイトには、 異なるあ いさつ文、 カラー スキーム、 ロゴなどを入れられる他、 認証レルムに対応させることもできます。 • 国際化サポー ト : このアプライアンスでは、 拡張文字セット、 つまり 2 バイト文字セットをサポートしています。 そ のため、 ユーザー名、 パスワード、 リソース名については、 AMC で、 拡張文字または 2 バイト文字を含むネイ ティブ文字セットで入力、表示することができます。このアプライアンスでは、非英語文字セットを使用する RADIUS ポリシー サーバーによる文字エンコーディングもサポートしています。 • AMC ユーザー イ ン タ フ ェ ースの改善 : [Access Control] ページで表示されるルールは、 ルールに関する 詳細な情報も表示するよう拡張することができます。 オブジェクトのリストを表示する他の AMC ページにも、 この拡 張表示機能があります。 6 | 第 1 章 - は じ めに この リ リ ースでのユーザー イ ン タ フ ェ ースの変更 バージョン 8.5 では、 AMC ユーザー インタフェースのデザインが大きく改善されているため、 一部のページ、 コマン ド、 オプションが新しいロケーションに移動しています。 旧バージョンの AMC になじんでいる管理者のために、 このよ うな機能の以前のロケーションと新しいロケーションを次の図で示します。ロケーションの先頭がコマンド名になっている場 合、 そのコマンドは、 メイン ナビゲーション メニューのコマンドを表しています。 機能名 以前のロ ケーシ ョ ン 新 し いロ ケーシ ョ ン / 名前 [Configure client/server access service] リ ン ク [Services] ページ [Services] ページ > [Network proxy service] リンク [Configure Web access service] リンク [Services] ページ [Services] ページ > [Configure Web proxy service] リンク [Users/groups] ボックス [Add/Edit Access Rule] ページ [Add/Edit Access Rule] ページ > [From (User/Resource)] ボックス [User or groups restrictions] オプション [Configure Realm] ページ [Communities] ページ > [Configure Community Members] ページ > [Members] オプション [Available zones] オプション [Configure Realm] ページ [Communities] ページ > [Configure Community] ページ > [End Point Control restrictions] ページ [Access method] オプション [Configure Realm] ページ [Communities] ページ > [Configure Community] ページ > [Access Methods] ページ > [Access method] オプション [WorkPlace Appearance] ページ [ASAP WorkPlace] コマンド > [WorkPlace Appearance] タブ [ASAP WorkPlace] コマンド > [WorkPlace Sites] タブ > [New] ボタン > [Appearance] ページ [Web Application Profiles] タブ [Resources] ページ [Services] ページ > [Web proxy service] リンク > [Web Application Profiles] タブ [Web and client/server message log] オプション [View Logs] ページ [View Logs] ページ > [System message log] オプション [Client/server access log] オプション [View Logs] ページ [View Logs] ページ > [Network proxy/tunnel audit log] オプション [Web access log] オプション [View Logs] ページ [View Logs] ページ > [Web proxy audit log] オプション [Web] ログ レベル リスト [Configure Logging] ページ [Configure Logging] ページ > [Web proxy] ログ レベル リスト [Client/server] ログ レベル リスト [Configure Logging] ページ [Configure Logging] ページ > [Network access] ログ レベル リスト [WorkPlace Configuration] ページ [ASAP WorkPlace] > [WorkPlace Configuration] タブ [Services] > [Configure ASAP WorkPlace] リンク > [Configure WorkPlace] ページ EX-750 イ ン ス ト ールおよび管理ガ イ ド | 7 システム要件 この節では、 Aventail SSL VPN の管理者コンポーネントおよびクライアント コンポーネントのシステム要件について説 明します。 管理者コ ンポーネン ト 管理者コンポーネントのシステム要件は、 次のようになっています。 管理者 コ ンポーネ ン ト オペ レーテ ィ ング シ ス テム ブ ラ ウザ ASAP Management Console (AMC) • Windows XP Professional、 Service Pack 2 • Internet Explorer 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Professional、 Service Pack 4 ク ラ イ ア ン ト コ ンポーネン ト クライアント コンポーネントのシステム要件は、 次のようになっています。 ク ラ イアン ト コ ンポーネ ン ト オペ レーテ ィ ング シ ス テム ブ ラ ウザ ASAP WorkPlace ポータル • Windows XP Pro、 Service Pack 2 • Internet Explorer 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X • Macintosh Safari 1.2 • Mozilla Firefox 1.0 Connect トンネル クライアント OnDemand トンネル エージェント Connect プロキシ クライアント その他の要件 • Linux • Mozilla Firefox 1.0 • Windows XP Pro、 Service Pack 2 • なし • Windows XP Home、 Service Pack 2 • Windows 2000 Pro、 Service Pack 4 • Windows XP Pro、 Service Pack 2 • Internet Explorer • 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Pro、 Service Pack 4 • Windows XP Pro、 Service Pack 2 • Windows XP Home、 Service Pack 2 • Windows 2000 Pro、 Service Pack 4 • なし • インストール時に Windows の Administrator 権限が 必要 Sun JVM 1.5.01 プラグインまたは ActiveX • インストール時に Windows の Administrator 権限が 必要 • インストール時に Windows の Administrator 権限が 必要 8 | 第 1 章 - は じ めに ク ラ イアン ト コ ンポーネ ン ト オペ レーテ ィ ング シ ス テム ブ ラ ウザ OnDemand プロキシ エージェント • Windows XP Pro、 Service Pack 2 • Internet Explorer • 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 • Macintosh OS X • Macintosh Safari 1.2 • Sun JVM 1.4.2 プラグイン • Linux • Mozilla Firefox 1.0 Sun JVM 1.4.2 プラグイン • Windows XP Pro、 Service Pack 2 • Internet Explorer • 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Windows 2000 Pro、 Service Pack 4 • Windows XP Pro、 Service Pack 2 • Internet Explorer 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X • Macintosh Safari 1.2 • Mozilla Firefox 1.0 Web プロキシ エージェント トランスレーテッド Web アクセス End Point Control (Interrogator および Installer) Aventail Cache Control その他の要件 • • • Linux • Mozilla Firefox 1.0 • • Windows XP Pro、 Service Pack 2 • Internet Explorer • 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X • Macintosh Safari 1.2 • • Mozilla Firefox 1.0 • Linux • Mozilla Firefox 1.0 • Windows XP Pro、 Service Pack 2 • Internet Explorer • 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X • Macintosh Safari 1.2 • • Mozilla Firefox 1.0 • Mozilla Firefox 1.0 • Linux • • Sun JVM 1.5.01 プラグインまたは ActiveX 動的リダイレクション モードでは Windows の Administrator 権限が 必要 ActiveX Sun JVM 1.4.2 プラグイン Sun JVM 1.5.01 プラグインまたは ActiveX Sun JVM 1.4.2 プラグイン Sun JVM 1.4.2 プラグイン Sun JVM 1.5.01 プラグイン Sun JVM 1.4.2 プラグイン Sun JVM 1.4.2 プラグイン EX-750 イ ン ス ト ールおよび管理ガ イ ド | 9 ク ラ イアン ト コ ンポーネ ン ト オペ レーテ ィ ング シ ス テム ブ ラ ウザ その他の要件 Aventail Secure Desktop • Windows XP Pro、 Service Pack 2 • Internet Explorer • 6.0、 Service Pack 1 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0 • Windows 2000 Pro、 Service Pack 4 Sun JVM 1.5.01 プラグイン このマニ ュ アルについて このマニュアルでは、 このアプライアンスのインストール、 構成、 保守について詳細に説明しています。 また、 このマ ニュアルの内容は、 AMC からコンテキスト対応ヘルプを呼び出しても参照できます。 詳細については、 26 ページの 「ヘルプの利用」 を参照してください。 このマニ ュ アルの規則 このマニュアルで、 「外部」 という用語を使用している場合は、 インターネットに接続しているネットワーク インタフェース を示します。 また、 「内部」 と記述している場合は、 内部の企業ネットワークに接続しているネットワーク インタフェース を示します。 このマニュアルでは、 次の表記規則を使用しています。 表記規則 使用法 Bold ユーザー インタフェース コンポーネント (Web ページ上のテキスト ボックス やボタン )。 Monospace font ユーザー側が入力するデータ。 Italic ファイル名やディレクトリなど。 commandname -x [-y] コマンド構文の場合、 角かっこはオプション パラメータを表します。 ALL CAPS ENTER や BACKSPACE などのキー名、 CTRL+Q などのキー コンビ ネーション。 10| 第 1 章 - は じ めに EX-750 イ ン ス ト ールおよび管理ガ イ ド | 11 第2章 イ ン ス ト ール と 初期セ ッ ト ア ッ プ この節では、 このアプライアンスが、 ネットワーク環境のどの部分で機能するか示し、 同時にインストールと配線の手順 を紹介します。 また、 Web ベースの Setup Wizard ( またはコマンド ラインによる Setup Tool) を使用して、 基本 ネットワーク構成を行う方法についても説明します。 ネ ッ ト ワーク アーキテ ク チ ャ このアプライアンスには、 2 つの物理ネットワーク インタフェースがあり、 デュアル インタフェースとシングル インタフェー スのいずれかの方法でセットアップすることができます。 • デ ュ アル イ ン タ フ ェ ース構成。外部トラフィック ( つまりインターネットとの通信 ) 用にネットワーク インタフェース を 1 つ使用し、 もう 1 つのインタフェースは内部トラフィック ( 企業ネットワークとの通信 ) 用に使用します。 ડᬺ䮔䮊䮏䮶䯃䭶 ౝㇱ 䭫䮺䮆䮜䭮䯃䮀 䭫䮺䮆䯃䮔䮊䮏 ᄖㇱ 䭫䮺䮆䮜䭮䯃䮀 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䮲 䭼䯃䮗䯃 䭩䮞䮱䭸䯃䭾䮮䮺 Web 䭼䯃䮗䯃 䭼䯃䮗䯃 Aventail 䭩䮞䮰䭫䭩䮺䮀 • シ ン グル イ ン タ フ ェ ース構成。 単一のネットワーク インタフェースが、 内部トラフィックと外部トラフィックの両方 で使用されます。 この構成の場合、 アプライアンスは通常、 非武装地帯 ( 略称 DMZ、 境界ネットワークとも呼ば れる ) に設置します。 DMZ ડᬺ䮔䮊䮏䮶䯃䭶 䭫䮺䮆䯃䮔䮊䮏 ౝㇱ䭫䮺䮆䮜䭮䯃䮀 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䭩䭭䭰䯃䮲 Aventail 䭩䮞䮰䭫䭩䮺䮀 䮜䭨䭫䮲 䭼䯃䮗䯃 䭩䮞䮱䭸䯃䭾䮮䮺 䭼䯃䮗䯃 Web 䭼䯃䮗䯃 12| 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ どちらの構成の場合も、 Aventail サービスに送られてくる要求 ( ネットワーク プロキシ サービスの TCP/IP トラフィック や Web プロキシ サービスの HTTP/S トラフィックなど ) は、 ポート 80 (HTTP) およびポート 443 (HTTPS) を通っ て送信されます。 ただし、 Aventail Connect クライアントおよび OnDemand エージェントからのトラフィックは常に ポート 443 経由で送信されます。 ほとんどのネットワークでは、 トラフィックがこれらのポート経由で送られるように構成 されているため、 ネットワークのファイアウォールを構成し直す必要はありません。 アプライアンスは、 ネットワーク上にある、 次のようなリソースに接続できる場所にインストールする必要があります。 • Web サーバー、 クライアント / サーバー アプリケーション、 Windows ファイル サーバーなどを含む、 アプリケー ション サーバーおよびファイル サーバー。 • 外部認証リポジトリ (LDAP サーバー、 Microsoft Active Directory サーバー、 RADIUS サーバーなど )。 • 1 つまたは複数の Domain Name System (DNS) サーバー。 • ( オプション ) Windows Internet Name Service (WINS) サーバー。 これは、 ASAP WorkPlace を使用し て Windows ネットワークをブラウズするときに必要になります。 ! 注意 Aventail では、 アプライアンスをファイアウォールの内側に入れて安全を確保しておくことを強く推奨しま す。 特に必要ないと思われる場合でも、 アプライアンスが次のリソースと通信できるようにしておけば、 機能と使い勝手が向 上します。 • アプライアンスの時刻を合わせるための Network Time Protocol (NTP) サーバー。 • syslog 出力を保管しておくための外部サーバー。 • Secure Shell (SSH) アクセスのための管理者のワークステーション。 アプライアンスは、 自己署名サーバー証明書を使用する構成にできる他、 商用認証局 (CA) から証明書を得ることで セキュリティを強化する構成にすることもできます。 詳細については、 42 ページの 「商用 CA からの証明書の取得」 を 参照してください。 イ ンス ト ールの準備 インストールを始める前に、 ネットワーキング環境についての情報を収集し、 アプライアンスとの間でトラフィックが行き来 できるようファイアウォールが正しく構成されていることを確認する必要があります。 イ ンス ト ールチ ェ ッ ク リ ス ト アプライアンスの構成を始める前に、 次の情報を収集する必要があります。 この情報の一部については、 Setup Wizard (20 ページの 「Setup Wizard の実行」 を参照 ) または Setup Tool (21 ページの 「Setup Tool の実行」 を参照 ) を実行するときに指定しますが、 ほとんどの情報については、 AMC (33 ページの 「ネットワークと認証の構成」 を参照 ) でアプライアンスを構成するときに使用することになります。 • アプライアンスの管理の際に使用する root パスワード • 内部 IP アドレスおよび ( オプションで ) 外部 IP アドレス • 一方または両方のネットワーク アダプタのインタフェース速度 • アプライアンスの名前 ( この名前はログ ファイルでのみ使用されるため、 DNS に追加する必要はない ) 証明書情報 サーバー証明書および AMC 証明書を生成するときは、 次の情報が使用されます。 • アプライアンスの完全修飾ドメイン名 (FQDN)。 この名前をパブリック DNS に追加すると、 ユーザーが Web ベー スのリソースに接続するときに、 この名前を参照できるようになります。 • ASAP Management Console (AMC) サーバーの FQDN。 アプライアンスを管理するために AMC にアクセス するときは、 AMC サーバー名を使用します。 ネーム ル ッ ク ア ッ プ情報 • アプライアンスを接続するネットワークの内部 DNS ドメイン名 • • プライマリ内部 DNS サーバー アドレス ( 追加 DNS サーバーはオプション ) 内部 WINS サーバーの IP アドレスと Windows ドメインの名前 (Aventail ASAP WorkPlace を使用して Windows ネットワークのファイルをブラウズする場合は必要ですが、 それ以外はオプション ) 認証情報 • 認証サーバー (LDAP、 Active Directory、 RADIUS など ) のサーバー名とログイン情報 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 13 ルーテ ィ ング情報 • デフォルト ゲートウェイ アドレス。 AMC にアクセスする際、 アクセス元のコンピュータがアプライアンスと異なるネッ トワーク上にある場合、 Setup Tool を実行するときにゲートウェイを指定する必要があります。 AMC では、 イン ターネットに接続する際のデフォルト ゲートウェイを指定します。 • 内部リソースへのルーティング情報。 これには、 静的ルートや動的ルートを入れることができます。 動的ルーティ ングを使用する場合は、 サイトがルーティング情報プロトコル (RIP) をサポートしていなければなりません。 仮想ア ド レス プール情報 • ネットワーク トンネル クライアント (Connect トンネルまたは OnDemand トンネルのいずれか ) をインストールす る場合、 1 つまたは複数のアドレス プールに IP アドレスを割り当てる必要があります。 詳細については、 224 ページの 「IP アドレス プールの構成」 を参照してください。 オプシ ョ ンの構成情報 • リモート マシンから SSH アクセスできるようにするときは、 リモート ホストの IP アドレスが必要になります。 • NTP サーバーと同期させるときは、 1 つまたは複数の NTP サーバーの IP アドレスが必要になります。 • データを syslog サーバーに送信するときは、 1 つまたは複数の syslog サーバーの IP アドレスとポート番号が 必要になります。 フ ァ イ アウ ォール ポ リ シーの確認 アプライアンスが正しく機能するためには、外部 ( インターネット側 ) ファイアウォールおよび内部ファイアウォールのポー トを開かなければなりません。 外部 フ ァ イ アウ ォ ール Web ブラウザ、 Aventail Connect、 Aventail OnDemand からアプライアンスへアクセスできるようにするには、 サ イトのファイアウォールでポート 80 とポート 443 を開いておかなければなりません。 SSH アクセスを許可するために ファイアウォールを開いておくというのは必須条件ではありませんが、 リモート システムから管理作業ができるようになる ため便利です。 ト ラフ ィ ック タ イプ ポー ト / プ ロ ト コ ル 用途 必須 ? HTTP 80/tcp 非暗号化ネットワーク アクセス x HTTPS 443/tcp 暗号化ネットワーク アクセス x SSH 22/tcp アプライアンスへの管理アクセス 内部 フ ァ イ アウ ォ ール 内部ネットワークにファイアウォールがある場合、 ポリシーを調整して、 アプライアンスが通信するバックエンド アプリ ケーションのためにポートを開く必要があります。 場合によっては、 DNS や電子メールなどの標準ネットワーク サービ ス用のポートを開く以外に、 アプライアンスが次のサービスにアクセスできるようにするため、 ファイアウォール ポリシー を修正する必要があります。 ト ラフ ィ ッ ク タ イプ ポー ト / プ ロ ト コル 用途 Microsoft ネットワーキング • 138/tcp および 138/udp • 137/tcp および 137/udp • 139/udp ASAP WorkPlace による WINS 名前解決、 要求のブラウズ、 ファイル共有へのアクセスの 際に使用 • 162/snmp • 445/smb LDAP ( 非暗号化 ) 389/tcp LDAP ディレクトリまたは Microsoft Active Directory との通信 LDAP over SSL ( 暗号化 ) 636/tcp SSL を介した LDAP ディレクトリまたは Microsoft Active Directory との通信 RADIUS 1645/udp または 1812/udp RADIUS 認証サーバーとの通信 NTP 123/udp アプライアンスのクロックと NTP サーバーとの 同期 14| 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ ト ラフ ィ ッ ク タ イプ ポー ト / プ ロ ト コル 用途 Syslog 514/tcp システム ログ情報の syslog サーバーへの 送信 SNMP 161/udp SNMP 管理ツールからのアプライアンスの監視 便利な管理ツール Microsoft Windows が動作するリモート システムからアプライアンスを管理するときは、 次の管理ツールを使用すると 便利です。 どちらのツールも、 標準 FTP や Telnet ユーティリティと異なり、 暗号を使用することで情報漏洩を防止し ています。 • Secure Shell (SSH) ク ラ イ ア ン ト 。 このツールを使用すると、 アプライアンスに安全にログインして、 コマン ド ラインから構成を行うことができます。 システムのバックアップ、 ログ ファイルの表示、 高度なネットワーク設定の 構成などを行う際に使用すると便利です。 ポピュラーな Windows SSH クライアントに、 VanDyke Software の SecureCRT があり、 http://www.vandyke.com/products/securecrt/ から評価版をダウンロードできるよ うになっています。 また他にも PuTTY が有名です。 これは、 Telnet と SSH を Windows プラットフォームに実 装するフリー ソフトです。 PuTTY は Cisco が推奨しています。 SSH を使用してアプライアンスに接続するときは、 ユーザー名に 「root」 と入力し、 Setup Tool で作成したパ スワードをあわせて入力します。 • Secure Copy (scp) ク ラ イ ア ン ト 。 このツールを使用すると、 Windows が動作する PC からファイルを安 全かつ容易に転送できるようになります。 証明書などのデータをアプライアンスにコピーするときに使用すると便利 です。 ポピュラーな Windows クライアントは WinSCP で、 http://winscp.sourceforge.net/eng/ で提供さ れています。 イ ンス ト ールおよび設定プ ロセス この節では、 アプライアンスのインストール、 構成、 テストの他、 実稼働環境への設定について概説します。 メモ • Aventail アプライアンスには、 評価版として、 1,000 人のユーザーの同時使用を 3 日間サポートするデフォル ト ライセンスが付属しています。 この 3 日間を過ぎてもアプライアンスを使い続ける場合は、 有効なライセンス ファ イ ル をア ッ プロ ー ド しな け れ ばな り ま せん。 ライ セ ンス 手 続き が 完 了 して いな い場 合、 Aventail ASAP Management Console (AMC) のステータス領域に黄色の 「ライセンス警告」 メッセージが表示されます。 この リンクをクリックすると、 [Licensing] ページに移ることができます。 • ライセンス ファイルをインポートする前に、 アプライアンスの日時が正しく構成されていることを確認してください。 詳 細については、 124 ページの 「時刻設定の構成」 を参照してください。 イ ンス ト ールと 構成の概要 インストール プロセスは、 いくつかの手順で構成されています。 以下のチェックリストを参考にしてください。 1. ア プ ラ イ ア ン ス を ラ ッ ク マウン ト し 、 ケーブルを接続 し ます。 17 ページの 「ラックのインストール」 および 18 ページの 「アプライアンスの接続」 を参照してください。 2. Setup Wizard ( または コ マ ン ド ラ イ ンに よ る Setup Tool) を使用 し て基本的なネ ッ ト ワー ク情報を 構成 し ます。 Setup Wizard ( または Setup Tool) を使用するとき、 次の情報を入力するよう求められます。 • 管理者パスワード • 内部ネットワーク インタフェースの IP アドレス • ( オプション ) 内部インタフェースにアクセスするときに使用するゲートウェイ 19 ページの 「Setup Wizard を使用した Web ベースの構成」 または 21 ページの 「Setup Tool を使用した コマンド ラインによる構成」 を参照してください。 3. AMC にログ イ ン し 、 ネ ッ ト ワー ク構成を行います。 アプライアンスの管理のための Web ベースのアプリケーション、 AMC にログインして、 次の項目を構成します (Setup Wizard ですでに設定している場合は不要 )。 • システム ID • 外部ネットワーク インタフェース ( オプション ) • ルーティング情報 • 名前解決の設定 33 ページの 「基本ネットワーク設定の構成」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 15 4. サーバー証明書を構成 し ます。 アプライアンスは、 Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。 AMC を使用し て自己署名サーバー証明書を作成できる他、 オプションで商用認証局 (CA) から証明書を得ることもできます。 39 ページの 「SSL 証明書の構成」 を参照してください。 5. 1 つまたは複数の認証サーバーを定義 し ます。 認証は、 ユーザーの身分を識別するために使用します。 認証サーバーを構成するとき、 ディレクトリ タイプ (LDAP、 Microsoft Active Directory、 RADIUS、 ローカル ユーザーのいずれか ) とクレデンシャル タイプ ( ユーザー名 / パスワード、 トークン、 デジタル証明書のいずれか ) を指定するよう求められます。 52 ページの 「レルムでのユーザー認証の管理」 を参照してください。 6. ア プ リ ケーシ ョ ン リ ソ ースおよびグループ を定義 し ます。 アプリケーション リソースには、 TCP/IP ベースのリソース ( クライアント / サーバー アプリケーション、 ファイル サーバー、 データベースなど )、 HTTP を介して動作する Web ベースのリソース (Web アプリケーションや Web サイト )、 Windows ネットワーク共有リソース (ASAP WorkPlace からアクセスするもの ) があります。 79 ページの 「リソースの作成と管理」 を参照してください。 7. ユーザー、 グループ、 レルム、 コ ミ ュ ニ テ ィ を定義 し ます。 ユーザーおよびグループの定義は、 アプリケーション リソースへのアクセスを制御するために、 アクセス制御ルー ルで使用します。 レルムを定義すると、 アプライアンスが認証サーバーと直接統合できるようになるため、 ネット ワークにアクセスする必要があるそれぞれのユーザーごとに、 アカウントを作成し管理する必要がなくなります。 ま た、 コミュニティでは、 同様のアクセス要件と End Point Control 要件を持つユーザーを統合します。 105 ページの 「概要 : ユーザー、 グループ、 コミュニティ」 および 52 ページの 「レルムでのユーザー認証の 管理」 を参照してください。 8. ア ク セス制御ルールを作成 し ます。 アクセス制御ルールは、 ユーザーまたはグループがどのリソースを使用できるか定義するものです。 89 ページの 「アクセス制御ルール」 を参照してください。 9. ASAP WorkPlace で Web シ ョ ー ト カ ッ ト およびネ ッ ト ワー ク シ ョ ー ト カ ッ ト を構成 し ます。 ユーザーが ASAP WorkPlace で Web リソースやファイル システム リソースに簡単にアクセスできるようにするた め、 これらのリソースに対するショートカットを作成することができます。 190 ページの 「ショートカットの利用」 を参照してください。 10. 必要に応 じ て、 ネ ッ ト ワー ク ト ン ネル サービ ス を構成 し ます。 ネットワーク トンネル サービスをインストールする場合、 ネットワーク トンネル サービスを構成して、 クライアントに IP アドレス プールを割り当てる必要があります。 223 ページの 「ネットワーク トンネル サービスの構成」 を参照してください。 11. 必要に応 じ て、 End Point Control を有効に し 構成 し ます。 End Point Control は、 重要なデータを保護し、 信頼されていない環境の PC からアクセスされた場合にネット ワークが危険にさらされることのないよう、 オプションでデータ保護コンポーネントを設定します。 End Point Control は、 コミュニティを介して設定します。 165 ページの 「End Point Control」 および 110 ページの 「コミュニティでの End Point Control 制約の使 用」 を参照してください。 12. 変更を適用 し ます。 構成の変更を有効にするには、 変更を適用する必要があります。 29 ページの 「構成変更の適用」 を参照してください。 13. シ ス テムのア ク セス性能を テ ス ト し ます。 アプライアンスが外部ユーザー リポジトリにアクセスできるか確認します。 また、 ネットワーク上のリソースにアクセ スできるかについてもチェックします。 231 ページの 「トラブルシューティング」 を参照してください。 16| 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ アプ ラ イ アンスの実稼働環境への移行 アプライアンスについてネットワーク環境で十分テストし動作を確認したら、 実稼働環境に移行させます。 この節では、 アプライアンスを実稼働環境に移行するための手順について説明します。 • 新 し いア ド レ ス情報を使用 し て、 ア プ ラ イ ア ン ス を再構成 し ます。 アプライアンスを実稼働環境に移行したときにネットワーク環境が変動する場合、 基本ネットワーク設定を再構成 し、 次の値が変動している場合はこれを調整する必要があります。 • • 内部インタフェースおよび外部インタフェースの IP アドレス デフォルト ゲートウェイ IP アドレス • 静的ルート • デフォルト DNS ドメインおよび DNS サーバーの IP アドレス 構成の変更が非常に多い場合は、 アプライアンスをデフォルト設定に戻して、 最初からやり直す方が楽なこともあ ります。 その場合、 Config Reset Tool を使用します。 詳細については、 156 ページの 「工場出荷時デフォ ルト構成への復帰」 を参照してください。 • DNS にア プ ラ イ ア ン ス を登録 し ます。 企業の DNS にアプライアンスをまだ登録していない場合、 ここで登録します。 こうすることにより、 外部ユーザー が、 IP アドレスの代わりに完全修飾ドメイン名を使用して、 ネットワーク リソースにアクセスできるようになります。 DNS サーバーのデータベースを編集して、 アプライアンスの証明書に含まれる完全修飾ドメイン名を登録しま す。 • 商用 SSL 証明書を取得 し ます。 ユーザーの身分を保証するため、 アプライアンスの商用証明書を取得することができます (AMC の場合、 一般 的に自己署名証明書が適している )。 サーバー証明書の生成については、 39 ページの 「SSL 証明書の構成」 を参照してください。 • フ ァ イ アウ ォ ール ポ リ シーを調整 し ます。 インターネット側にファイアウォールがある場合、 場合によっては、 ポリシーを調整して、 アプライアンスで必要な ポートを開く必要があります。 デフォルトの場合、 Web プロキシ サービスとネットワーク プロキシ サービスの両方 がポート 443/tcp を使用して通信します (Web プロキシ サービスは HTTPS の場合ポート 443/tcp、 HTTP の場合ポート 80/tcp を使用 )。 ネットワークの外部から SSH を使用してアプライアンスに接続できるようにしたい 場合、 ポート 22/tcp を開いておきます。 内部ネットワーク側にファイアウォールがある場合、 場合によっては、 ポリシーを調整して、 アプライアンスが通信 するバックエンド アプリケーションのためにポートを開く必要があります ( 対応するポートが開いていない場合 )。 た とえば、 認証のために LDAP サーバーまたは Microsoft Active Directory サーバーを使用している場合、 内 部ファイアウォールでポート 389/tcp を開いておく必要があります。 RADIUS サーバーの場合は、 1645/ucp もしくは 1812/udp のどちらかのポートを開いておく必要があります。 Aventail ASAP WorkPlace を使用して Windows ネットワーク共有リソースにアクセスする場合、 WorkPlace が名前解決、 要求のブラウズ、 ファイル共有へのアクセスを実行できるよう、 内部ファイアウォールでも内部ポート を開いておく必要があります。 詳細については、 12 ページの 「インストールチェックリスト」 を参照してください。 • Aventail Connect ク ラ イ ア ン ト を設定 し ます。 ネットワーク プロキシ サービスを使用する場合、 ユーザーには、 ネットワーク リソースにアクセスするためのソフト ウェア コンポーネントが必要になります。 • • Windows ベースの PC の場合、 デスクトップに Aventail Connect トンネルまたはプロキシ クライアントを インストールすることができます。 209 ページの 「Aventail Connect プロキシ クライアント」 、 または 『Aventail Connect Administrator’s Guide』 の第 3 章を参照してください。 Web シ ョ ー ト カ ッ ト およびネ ッ ト ワー ク シ ョ ー ト カ ッ ト を作成 し 、 ASAP WorkPlace を設定 し ます。 ASAP WorkPlace を、 Web ベースのリソースに対するインタフェースとして使用し、 Windows ネットワーク共 有リソースに Web ベースでアクセスできるようにする場合、 これらのリソースに対するショートカットを作成する必要 があります (190 ページの 「ショートカットの利用」 を参照 )。 また、 VPN を介してリソースにアクセスする方法を ユーザーが理解できるように、 ASAP WorkPlace の URL をパブリッシュすることもできます。 現在の環境に合わせて ASAP WorkPlace の外観をカスタマイズすることもできます。 詳細については、 190 ページの 「ASAP WorkPlace のカスタマイズ」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 17 アプ ラ イ アンスのイ ンス ト ール 製品パッケージを開いたら、 ネットワークへのアプライアンスのインストールを開始し、 構成プロセスの準備に取りかかり ます。 ラ ッ クのイ ンス ト ール アプライアンスを接続する前に、 十分なスペースと適切な電力があることを確認します。 アプライアンスの仕様は次のよう になっています。 • 1U ラックマウント コンポーネント、 幅 16.9" ×奥行 15" • AC 電源 : 200W PFC • AC 電圧 : 100V 時 5A、 240V 時 3A アプライアンスを機器ラックにマウントする場合、 ラック ハードウェアをインストールする必要があります。 ラ ッ ク イ ン ス ト ールのベス ト プ ラ ク テ ィ ス • 周辺動作温度が上昇する場所は避ける : 閉じた環境またはマルチユニット ラック アセンブリにインストールする場 合、 ラック付近の周辺温度は室温よりも高くなります。 そのため、 メーカーが指定している最大周辺温度 (Tma) に適合した環境に機器をインストールするよう配慮しなければなりません。 • 空気の流れがない場所は避ける : 機器をラックにインストールする場合、 機器を安全に運転する上で必要な空気 流を確保できる場所を選びます。 • 均等な機械的荷重 : 機器をラックに取り付けるとき、 機械的荷重が不均等になることで危険な条件が発生しないよ う注意します。 • 回路の過負荷を避ける : 機器の電源回路への接続や、 回路の過負荷が過電流保護や電源配線に与える影響に ついても配慮が必要です。 このような問題に対応する場合、 機器のネームプレートの定格にも配慮する必要があ ります。 • 信頼性の高いアース を維持する : ラックマウントの機器については信頼性の高いアースを維持する必要がありま す。 電源を分岐回路に直接接続しない場合 ( たとえばテーブル タップを使用する場合など ) は、 特に注意が必 要です。 フ ロ ン ト パネルの操作ボ タ ン と イ ンジケー タ アプライアンスの電源を投入する前に、 フロント パネルの操作ボタンを確認しておきます。 18| 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ 次の表は、 フロント パネルの操作ボタンとインジケータを示しています。 文字 名前 説明 A 電源 LED • システムがオンのときは緑色のライトが点灯します。 • システムがオフのときはライトが消えています。 B 電源ボタン システム電源のオン / オフを切り替えます。 C 固定ディスク ドライブ ステータス LED • ディスクが動作しているとき、 緑色のライトがランダムに点滅し ます。 • ディスク ドライブに障害が発生したとき、アンバー色 ( 琥珀色 ) のライトが点灯します。 D リセット ボタン システムを再起動します。 アプ ラ イ アンスの接続 図のように、 アプライアンスには最大 3 箇所の接続端子があります。 n 外部ネ ッ ト ワー ク (EXT 1) o 内部ネ ッ ト ワー ク (INT 2) p コ ン ソ ール X ア プ ラ イ ア ン ス を接続するには 1. 内部のネットワークと Ethernet アダプタ (INT 2 のマークが付いたもの ) をネットワーク ケーブルで接続します。 2. 必要に応じて、 外部のネットワークと Ethernet アダプタ (EXT 1 のマークが付いたもの ) をケーブルで接続し ます。 3. ノート型 PC または端末と背面のシリアル ポートを、 付属の DB9 ケーブルで接続します。 これにより、 アプライ アンスに対してフル コンソール アクセスできるようになります。 詳細については、 18 ページの 「電源投入」 を参 照してください。 4. 標準 AC 電源コードを電源端子に接続します。 電源投入 アプライアンスの接続が終わったら、 電源を投入し、 構成プロセスに移ります。 背面パネルにあるシリアル コネクタに は、 ノート型 PC または端末からアプライアンスを構成するためのインタフェースが用意されています。 X ア プ ラ イ ア ン スの電源を投入するには 1. ノート型 PC または端末の電源をオンにします。 2. 端末エミュレーション プログラムを使用して、 アプライアンスとの間でシリアル接続を確立します。 端末の設定は次 のようになります。 3. • モード : VT100 • 接続速度 : 9600 ボー • ハンドシェーク CTS/RTS • • データビット : 8 パリティ : なし • ストップ ビット : 1 フロント パネルの電源ボタンを押して、 アプライアンスの電源をオンにします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 19 アプ ラ イ アンスの電源停止と 再起動 アプライアンスの電源を停止する場合または再起動する場合は、 正しい手順で行います。 アプライアンスが動作してい るとき、 メモリ内に重要なデータが保管されています。 そのため、 電源を停止する前にデータをハード ディスクに書き込 む必要があります。 ! 注意 アプライアンスの電源を不適切な方法で停止すると、 データが失われ、 システムのファイルに不整合が生 じる可能性があります。 X ア プ ラ イ ア ン ス を電源停止ま たは再起動する には 1. メイン ナビゲーション メニューの [Maintenance] をクリックします。 2. [Maintenance] ページで、 適切なボタンをクリックします。 • アプライアンスを再起動するときは、 [Restart] をクリックします。 これに伴い AMC が応答しなくなります。 アプライアンスが再起動すると、 AMC に再びログインすることができます。 • アプライアンスを停止するときは、 [Shutdown] をクリックします。 これに伴い AMC が応答しなくなり、 ア プライアンスが自動的に停止します。 フロント パネルの電源ボタンを押す必要はありません。 初期ネ ッ ト ワーク セ ッ ト ア ッ プの実行 次のいずれかの方法でアプライアンスをセットアップすることができます。 • Web ベースの Setup Wizard を使用すると、 アプライアンスをすぐに動作させる上で必要な基本設定を簡単に 構成することができます。 Setup Wizard については、 アプライアンスの既定の IP アドレス (192.168.0.10) を使用して、 Web ブラウザからアクセスすることができます。 この IP アドレスが、 ネットワーク上の他のデバイスに よって使用されている場合は、 プライベート ネットワークから Setup Wizard にアクセスしなければなりません ( た とえばローカル ハブを使用してアプライアンスに接続するなど )。 19 ページの 「Setup Wizard を使用した Web ベースの構成」 を参照してください。 • コマンド ライン ユーティリティを使用したい場合は、 シリアル接続を介して Setup Tool にアクセスすることができ ます。 また、 アプライアンスのデフォルト IP アドレスがネットワークですでに使用されている場合も、 この方法を選 択することができます。 Setup Tool を使用する場合、 ノート型 PC または端末を使用して、 アプライアンスとの間 でシリアル接続を確立しなければなりません。 21 ページの 「Setup Tool を使用したコマンド ラインによる構成」 を参照してください。 Setup Wizard を使用し た Web ベースの構成 Setup Wizard では、 リンクされている Web ページで一連の必須手順やオプション手順をガイドに従って実行するこ とで、 アプライアンスを簡単に構成することができます。 Setup Wizard を開始したら、 まず最初に、 必要な構成手順 のみを実行するか、 オプション設定も構成するか選択します。 Setup Wizard の最初のフェーズは [Network Settings] です。これは必須の作業で、次の手順で構成されます。 • アプライアンスの管理者パスワードの設定 • ネットワーク インタフェースの構成 • ルーティングの構成 2 番目のフェーズは [System Configuration] です。 これはオプションの作業で、 次の手順で構成されます。 • 名前解決の設定 • 日付と時刻の設定 • アプライアンス ライセンス ファイルのインポート • SSL 証明書の構成またはインポート • ICMP ping と Secure Shell (SSH) アクセスの有効化 20| 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ Setup Wizard の 3 番目のフェーズは [Basic Security Policy] です。 これはオプションの作業で、 次の手順 で構成されます。 アプライアンスの構成をテストする上で役に立ちます。 • ローカル テスト ユーザーの作成 • リソースの定義 ( ただし AMC で Web アプリケーション プロファイルを作成しなければならない ) • 基本セキュリティ ポリシーの作成 (Setup Wizard が基本的な許可 / 拒否アクセス ルールを作成するが、 高度な ポリシー設定については、 End Point Control とあわせて AMC で構成しなければならない ) Setup Wizard は、 最初から最後まですべてのフェーズを完了するために実行できますが、 3 つのいずれかのフェー ズが終わった後、 つまり [Finish] ボタンを選択できる状態であれば終了することができます。 Setup Wizard の実行 Setup Wizard を実行する場合、 AMC と同じシステム構成が必要になります。 つまり、 Windows XP または 2000 が動作するコンピュータで、 Internet Explorer v6.0 または Mozilla Firefox v1.0 が動作していなければなりませ ん。 ! 注意 このアプライアンスは、 内部インタフェースについては、 ルータブルでない静的 IP アドレスであらかじめ構 成されています。 この IP アドレス (192.168.0.10) が、 ネットワーク上の既存のリソースと衝突する場合、 ネッ トワーク ハブを使用してこのアプライアンスに接続し、 アプライアンスをネットワーク上に設定する前に Setup Wizard を実行するか、 アプライアンスとシリアル接続して、 コマンド ラインから Setup Tool を実行します。 X Setup Wizard を起動するには 1. アプライアンスで予約されている静的 IP アドレスが、 ネットワーク上の既存のリソースと衝突しないことを確認しま す。 2. ネットワーク上のリソースに接続できる場所にアプライアンスをインストールします。 3. アプライアンスの電源をオンにします。 4. ブラウザで次の静的 IP アドレスを指定し、 Setup Wizard を呼び出します。 https://192.168.0.10:8443/websetup Setup Wizard のインタフェースは、 ASAP Management Console (AMC) と似ています。 ただし AMC で は、 ページの左側にメイン ナビゲーション バーがありますが、 Setup Wizard では、 この部分が構成セットアッ プのリストになっており、 クリックできなくなっています。 5. Setup Wizard の各ページの指示に従い、 それぞれのページで設定が終わったら [Next] をクリックします。 6. Setup Wizard の最後のページで、 これまで行ったネットワーク設定を確認してから、 [Finish] をクリックし変 更を適用します。 変更をアプライアンスに適用すると、 アプライアンスが自動的に再起動し、 AMC との接続が切 断されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 21 7. 数分間待ってから、 次のいずれかの作業を行います。 • 「https://<ipaddress>:8443/console」 と入力して AMC にログインします。 ただし 「<ipaddress>」 は、 Setup Wizard を実行したときに指定した内部インタフェースのアドレスにな ります。 • 「http://<fqdn>」 と入力して ASAP WorkPlace にログインします。 ただし 「FQDN」 は、 アプライアン スの SSL 証明書の完全修飾ドメイン名または IP アドレスになります。 この状態で、 基本テストを実行します。 メモ • すでにアプライアンスの構成が終わっている場合は、 アプライアンスを工場出荷時デフォルト構成に戻した場合を 除き、 Setup Wizard を実行することはできません。 これは、 最初に Setup Wizard を使用してアプライアンス を構成した場合だけでなく、 コマンド ラインから setup_tool を実行した場合にも当てはまります。 21 ページの 「Setup Wizard の再実行」 を参照してください。 Setup Wizard の再実行 最初に Setup Wizard を実行してアプライアンスの構成を完了したら、 アプライアンスを工場出荷時デフォルト構成に 戻していない限り、 Setup Wizard を再実行することはできません。 Setup Wizard を再実行するには、 コマンド ラ インから Config Reset Tool を実行しなければなりません。 この操作を行うと、 既存のシステム構成データがすべて削 除され、 アプライアンスのデフォルト静的 IP アドレスに戻されます。 156 ページの 「工場出荷時デフォルト構成への復 帰」 を参照してください。 Setup Tool を使用し た コ マン ド ラ イ ンによ る構成 コマンド ライン ユーティリティを使用したい場合や、 アプライアンスのデフォルト IP アドレスがすでにネットワークで使用 されている場合は、 ノート型 PC または端末を使用し、 シリアル接続を介して Setup Tool を実行し、 アプライアンスを 構成することができます。 Setup Tool の使用についてのヒ ン ト Setup Tool で作業する際のヒントをいくつか紹介します。 • イエスかノーで答える設問の場合、 プロンプトの最後に [y] または [n] が付いています。 対応する文字を入力 して ENTER を押すと、 その次の設問が表示されます。 • 文字を消すときは、 BACKSPACE を押します (Windows ベースの PC の場合、 DELETE キーで文字を削除す ることもできる )。 • IP アドレスまたはネットマスクを入力するとき、 4 桁のオクテット (w.x.y.z) による標準 IP アドレス形式を使用しま す。 Setup Tool では、 基本エラー チェックが行われます ( たとえば、 指定したゲートウェイがアプライアンスと 同じサブネットにあるかどうかの確認など )。 • Setup Tool を終了して変更事項を破棄するときは 「q」 を押します。 Setup Tool の実行 コマンド ラインから Setup Tool を実行するとき、 Aventail End User License Agreement (EULA) を承認するよ う求められます。 またその他に、 root パスワードを作成し、 IP アドレス、 サブネット マスク、 デフォルト ゲートウェイを 指定するよう求められます。 X Setup Tool を実行するには 1. アプライアンスとの間でシリアル接続を確立し (18 ページの 「電源投入」 を参照 )、 フロント パネルの電源ボタ ンを押してアプライアンスをオンにします。 2. Setup Tool が自動的に動作を始めます ( 「setup_tool」 と入力して ENTER を押しても実行可能 )。 3. ログインするよう求められたら、 ユーザー名に 「root」 と入力します。 ENTER を押して次の画面に移ります。 4. Aventail EULA が表示されます。 画面をスクロールして内容を確認し、 ENTER を押して次の画面に移ります。 Do you accept the terms of the license agreement? [n]: • 5. ライセンス契約を承認するのであれば、 「y」 と入力して ENTER を押します。 システムの新しい root パスワードを作成するよう求められます。 このパスワードは、 AMC にアクセスするときも必 要になります。 Password: • パスワードは、 8 文字から 20 文字で指定し、 大文字と小文字を区別します。 大文字と小文字、 数字など を組み合わせて 「強力な」 パスワードを作成することが推奨されます。 その際、 辞書に載っているような単語 22| 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ は避けるようにします。 パスワードはなんらかの形で記録し、 安全な場所に保管しておきます。 ENTER を押 して次に進みます。 Confirm password: • 6. 前に入力したのとまったく同じ ( 大文字小文字を区別した ) root パスワードを再入力し、ENTER を押して次 に進みます。 次に、 内部インタフェースの IP アドレス、 サブネット マスク、 ( オプションで ) ゲートウェイを入力するよう求めら れます。 このインタフェースは、 Web ブラウザからアプライアンスに接続し、 AMC を使用してセットアップを継続 するときに使用します。 IP address: • 内部 ( プライベート ) ネットワークに接続する内部インタフェースの IP アドレスを入力して、 ENTER を押しま す。 Subnet mask: • 内部ネットワーク インタフェースのネットマスクを入力して、 ENTER を押します。 Gateway: • AMC にアクセスする際、 アクセス元のコンピュータがアプライアンスと異なるネットワーク上にある場合、 ゲー トウェイを指定する必要があります。 トラフィックをアプライアンスにルーティングするゲートウェイの IP アドレス を入力して、 ENTER を押します。 アプ ラ イ ア ン ス と 同 じ ネ ッ ト ワ ー ク か ら AMC にア ク セ ス し てい る 場合は、 その ま ま ENTER を押 し ます。 7. 次に、 ここまで入力した情報を確認するよう求められます。 現在の値で良ければそのまま ENTER を押し、 値を 変更したい場合は新しい値を入力してから ENTER を押します。 8. 最後に、 変更を保存して適用するよう求められます。 Do you want to save and apply configuration changes [y]: • ENTER を押して、 変更を保存します。 この時点で、 Setup Tool が変更を保存し、 必要なサービスを再起動します。 また、 これまで指定した情報を基に (SSH アクセスに対する ) SSL 鍵を生成します。 この間、 フィードバックはほとんどありません。 Setup Tool が反応しなくなったなどと早合点せずに、 そのまましばらく お待ちください。 Setup Tool が終了したら、 初期セットアップが完了したことを示すメッセージが表示されます。 このメッセージには、 AMC にアクセスするための URL も示されます。 次のステ ッ プ ネットワークの初期セットアップが完了したら、 次に AMC を使用してアプライアンスの構成を行います。 AMC は、 Web ブラウザを使用してアクセスすることができます。 AMC についてあまり詳しくない場合は、 23 ページの 「AMC の操作」 に進んでください。 アプライアンスの構成をす ぐに始められる場合は、 33 ページの 「ネットワークと認証の構成」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 23 第3章 AMC の操作 この節では、アプライアンスを管理するための Web ベースのインタフェース、ASAPi Management Console (AMC) について説明します。 AMC では、 Microsoft Internet Explorer バージョン 6.0 以降および Mozilla Firefox 1.0 以降をサポートしています。 AMC へのア ク セス この節では、 Web ブラウザを使用して AMC にアクセスする方法とログアウトする方法について説明します。 AMC へのログ イ ン AMC にログインする前に、 Setup Tool を使用して初期セットアップを行ったときに内部インタフェースで入力したホスト 名や IP アドレスを用意しておく必要があります。 X AMC にログ イ ンするには 1. Web ブラウザを起動し、 ア ド レ ス ボックスに 「https://<ipaddress>:8443/console」 と入力します。 ただし 「<ipaddress>」 は、 Setup Tool を実行したときに指定した内部インタフェースのアドレスになります。 この状態で ENTER を押すと、 ログイン画面が表示されます。 2. [Username] ボックスに 「admin」 と入力します。 3. [Password] ボックスに、 Setup Tool を使用して作成した root パスワードを入力します。 4. [Login] をクリックします。 AMC のホーム ページが表示されます。 AMC パスワードの変更方法については、 27 ページの 「管理者アカウントの編集」 を参照してください。 メモ • AMC セッションは、 使用しない状態で 15 分経過すると自動的にタイムアウトします。 セッションがタイムアウトした ら、 再びログインするよう求められます。 24| 第 3 章 - AMC の操作 ログアウ ト AMC 管理者アカウントは、 セキュリティを保つことが重要になります。 AMC での作業が終わったら、 画面上部にある [Log out] ボタンをクリックしてログアウトする必要があります。 Web ブラウザを閉じてセッションを終了した場合、 そのセッションは、 タイムアウトする ( 使用しない状態で 15 分経過 する ) までの間アクティブな状態になっています。 それまでの間、 [Administrator Sessions] ページが表示され ます。 詳細については、 28 ページの 「複数管理者の構成ファイルの衝突回避」 を参照してください。 AMC の基礎 この節では、 AMC の操作法の基本について説明します。 AMC とブラウザの間を行き来するすべての構成データは SSL で暗号化されるため、 データは安全な状態に保たれます。 セキュリティをさらに向上させたい場合、 信頼できるネッ トワーク内 ( ファイアウォールの内側の内部ネットワーク ) で AMC を使用すると良いでしょう。 51 ページの 「証明書の FAQ」 を参照してください。 AMC イ ン タ フ ェ ース ク イ ッ ク ツアー AMC インタフェースは、 同様の Web ベース セキュリティ管理アプリケーションを使用したことがあれば、 容易に使いこ なすことができます。 この節では、 AMC の操作に関する基本事項について説明します。 • メ イ ン ナ ビゲーシ ョ ン メ ニ ュ ー AMC ウィンドウの左側には、 アプライアンスの管理の際に使用するコマンドが並んでいます。 これは、 メイン ナビ ゲーション メニューと呼ばれています。 • 表と タ ブ 多くの AMC ページでは、 表形式レイアウトを使用して、 管理対象のオブジェクトを提示します。 表にはスクロー ル バーが付いており、 長いリストの場合も、 ページの主要な要素 ( ナビゲーション バー、 ヘッダ、 フッタなども 含む ) を容易に表示し続けることができます。 また、 アンダーラインが付いた列見出しをクリックすれば、 表のデー タをソートすることができます。 状況によっては、 タブを使用してモードを切り替えることができます。 たとえば、 管理リソースとそのリソースが含ま れる管理グループとを切り替えるときに、 タブを使用します。 • ページ リ ン ク 一部の AMC ページでは、 スペースを節約するため、 マルチページ フォーマットを使用して、 関連する構成設 定にアクセスするためのリンクをページ上部に設けています。 ページ リンクの一例として、 [Configure Communities] ページを次に示しています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 25 • オブ ジ ェ ク ト の編集 オブジェクトのリストを表示するほとんどの表では、 名前フィールド ([Access Control] ページの場合はルール 番号 ) にハイパーリンクが付いています。 オブジェクトを編集するときは、 対応するハイパーリンクをクリックします。 • ページ ビ ュ ーの変更 AMC の、 比較的長く複雑なページでは、 高度な機能を構成するための編集コントロールが表示されないものもあ ります。 こうすることで、 最も重要な構成オプションに集中できるようになっています。 非表示のオプションを表示す るときは下矢印ボタンをクリックし、 オプションのセットを非表示にするときは上矢印ボタンをクリックします。 • リ ス ト 詳細の拡張ビ ュ ー 次の図の [Access Control] ページのように、 オブジェクトのリストを表示する AMC ページでは、 左側のプラ ス ( 「+」 ) 記号をクリックすることで、 そのオブジェクトに関する詳細事項を表示することができます。 1 行表示に 戻したいときは、 マイナス ( 「-」 ) 記号をクリックします。 • 必須 フ ィ ール ド と エ ラ ー AMC では、 必須フィールドは、 アスタリスクで示されます。 必須フィールドに値を入力しないで [Save] をクリッ クすると、 そのフィールドの下に、 必須であることを示す赤いメッセージが表示されます。 赤いメッセージは、 エ ラー ( たとえば不正な値を入力した場合など ) を示す場合にも使用されます。 • 名前 と 説明の割 り 当て AMC では、 そのほとんどを通して、 アクセス制御ルール、 リソース、 ユーザーとグループの 3 種類のオブジェク トを管理することになります。 AMC でこれらのオブジェクトを作成すると、 その名前を入力するよう求められます。 また AMC では、 オプションで説明を追加することもできます。 必須ではありませんが、 わかりやすい説明を付けると、 管理対象のオブジェクトを参照したときに、 アクセス ルー ルの目的やサブネット範囲にどのリソースがあるかなど、 重要な詳細データを思い起こすことができます。 特にオブ ジェクトのグループを管理するときなど、 わかりやすい説明があると非常に便利です。 今から何カ月も経ってから、 AMC でネットワーク リソースの大規模なグループを管理するようなことになった場合、 そのグループに何があるか 想起させるような説明があれば非常に役に立ちます。 • ページの変更の保存 データの入力や修正を行う AMC ページには、 変更を保存するための 2 つのボタン ([Save] と [Cancel]) が あります。 変更を行った後 [Save] をクリックすると、 その変更がディスクに保存されます。 [Cancel] をクリック するか、 ブラウザの [Back] ボタンを押した場合は、 変更が保存されません。 26| 第 3 章 - AMC の操作 • AMC ス テー タ ス エ リ ア ステータス エリアは、 AMC ヘッダのすぐ下にあり、 重要な情報を表示します。 • • 構成を変更しているにもかかわらずまだ適用していない場合、 ステータス エリアに 「Pending changes」 と 表示されます。 このメッセージ テキストをクリックすると、 [Apply Changes] ページが表示され、 このペー ジから構成を変更することができます。 • 複数の管理者が AMC にログインしている場合、 ステータス エリアに 「Multiple administrator」 と表示さ れます。 このメッセージ テキストをクリックすると、 [Administrator Sessions] ページが表示されます。 • ベース アプライアンス ライセンスまたはコンポーネント ライセンスの有効期限が切れている場合、 ステータス エリアに 「License expired」 と表示されます。 このメッセージ テキストをクリックすると、 [Licensing] ペー ジが表示され、 このページからソフトウェア ライセンスを参照および管理することができます。 ソフトウェア ライ センスの有効期限が近づいている場合は、 ステータス エリアに 「License warning」 と表示されます。 現在の ASAP バージ ョ ン番号 現在のシステム ソフトウェアのバージョンは、 AMC の各ページの左側のナビゲーション バーと [System Status] ページに表示されます。 バージョン番号は、 システム アップデートの計画を行う上で有用です。 また、 技術サポートに連絡する際も、 バージョン番号をお手元に用意しておく必要があります。 ヘルプの利用 それぞれの AMC ページには [Help] ボタンがあり、 このボタンをクリックすると、 コンテキストに応じたオンライン ヘル プが表示されます。 ヘルプを開くときは、 画面の右上にある [Help] ボタンをクリックします。 これをクリックすると、 ヘ ルプが新しいブラウザ ウィンドウに表示されます。 ヘルプ ナビゲーション バーには、 次のボタンが付いています。 ボタ ン 説明 [Contents]、 [Index]、 [Search] の各ボタンを持つヘルプ ナビゲーション ペインを表 示します ( このボタンはヘルプ ナビゲーション ペインを閉じたときに現れる )。 目次を同期し、 最新のトピックを表示します ( このボタンは、 ヘルプ ナビゲーション ペインが 表示されているときに現れる )。 次または前のヘルプ トピックを表示します。 関連するヘルプ トピックのリストを表示します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 27 ボタ ン 説明 現在のヘルプ トピックをプリントします。 ヘルプ ナビゲーションには、 左側のフレームの内容を変更する 3 つのボタンがあります。 • [Contents]。 ヘルプ トピックの階層リストを表示します。 • [Index]。 ヘルプのキーワードをアルファベット順で表示します。 • [Search]。ヘルプの全テキスト検索エンジンを表示します。ボックスに単語または短いフレーズを入力して [Go!] をクリックし、 表示されるリストからトピックを選択します。 管理者ア カウン ト この節では、 AMC 管理者アカウントを管理する方法の他、 複数の管理者がアプライアンスを管理している場合の問題 回避の方法についても説明します。 管理者ア カウン ト の管理 AMC では、 異なるユーザー名とパスワードを持つ複数の管理者アカウントを作成することができます。 すべての管理者 は、 ポリシーと構成について同じレベルでコントロールすることができ、 自身の AMC パスワードを変更することができま す。 ただし、 他の管理者を追加、 編集、 削除できるのは 「プライマリ」 管理者のみです。 管理者ア カウン ト の追加 ポリシー管理の担当者が複数いて、 それぞれの管理者に独自のログイン クレデンシャルを与えたい場合、 他の管理者 アカウントを追加することができます。 ただし、 セカンダリ管理者アカウントを作成できるのは、 「プライマリ」 管理者のみ です。 X 管理者ア カ ウン ト を追加するには 1. メイン ナビゲーション メニューから [General Settings] をクリックします。 2. [General Settings] ページで、 [Administrators] タブをクリックしてから、 [New] ボタンをクリックしま す。 3. [Add/Edit Administrator] ページの [Username] ボックスに、 セカンダリ管理者のユーザー名を入力 します。 4. [Description] ボックスに、 その管理者に関するわかりやすいコメントを入力します。 管理者のフル ネームや 肩書きなどでもかまいません。 このフィールドはオプションですが、 説明を入れておくと、 後で管理者のリストを参 照するときにわかりやすくなるため便利です。 5. [Password] ボックスに、 その管理者のパスワードを入力します。 このパスワードは、 必ず管理者に通知する ようにします。 管理者は、 いつでもこのパスワードを変更することができます。 パスワードは、 8 文字以上にしなければならず、 大文字と小文字も区別します。 大文字と小文字、 数字などを 組み合わせて 「強力な」 パスワードを作成することが推奨されます。 その際、 辞書に載っているような単語は避 けるようにします。 6. 確認のため、 [Confirm Password] ボックスにパスワードを再入力します。 7. [Save] をクリックします。 管理者ア カウン ト の編集 AMC パスワードを安全な状態に保つためには、 パスワードを随時変更する必要があります。 それぞれの管理者は、 自 身のアカウントを編集して、 パスワードを変更したり説明を更新したりすることができます。 プライマリ AMC 管理者 ( ユー ザー名が 「admin」 ) は、 他の管理者のアカウント設定についても編集することができます。 パスワードは、 8 文字から 20 文字にしなければならず、 大文字と小文字も区別します。 大文字と小文字、 数字など を組み合わせて 「強力な」 パスワードを作成することが推奨されます。 その際、 辞書に載っているような単語は避ける ようにします。 パスワードを変更したら、 なんらかの形で記録し、 安全な場所に保管しておきます。 セカンダリ管理者のパスワードを変 更した場合、 該当する管理者にそのパスワードを必ず通知しなければなりません。 28| 第 3 章 - AMC の操作 X 管理者ア カ ウン ト を編集するには 1. メイン ナビゲーション メニューから [General Settings] をクリックします。 2. [General Settings] ページで、 [Administrators] タブをクリックします。 3. [Username] カラムで、 編集したいアカウントを持つ管理者の名前をクリックします。 4. [Add/Edit Administrator] ページで、 説明テキストまたはログイン パスワードを変更します。 メモ • AMC パスワードを変更すると、 AMC にログインするときに使用されるクレデンシャルと、 シェル アクセスに対する root パスワードが更新されます。 管理者ア カウン ト の削除 プライマリ管理者は、 他の管理者アカウントを削除することができます。 ただし、 プライマリ管理者アカウントは削除する ことができません。 X 管理者ア カ ウン ト を削除するには 1. メイン ナビゲーション メニューから [General Settings] をクリックします。 2. [General Settings] ページで、 [Administrators] タブをクリックします。 3. チェック ボックス カラムで、 削除したい管理者アカウントの横にあるチェック ボックスを選択して、 [Delete] ボタ ンをクリックします。 複数管理者の構成フ ァ イルの衝突回避 複数の管理者がアプライアンスを管理している場合、 AMC を同時に使用するような事態は避けなければなりません。 複 数の管理者が同じオブジェクトを変更した場合、 AMC は最後の変更を保存します。 そのため、 意図しない結果になる ことがある他、 アクセス制御ルールに対して相互に矛盾する変更が行われた場合など、 セキュリティ上の問題の原因に なることもあります。 複数の管理者が AMC にログインしている場合、 AMC のステータス エリアに 「Multiple administrators」 警告メッ セージが表示されます。 このメッセージをクリックすると、 AMC にログインしているすべての管理者のユーザー名と IP ア ドレスが表示されます。 X AMC にログ イ ン し ている他の管理者を表示するには • 警告メッセージが表示されたら、 メッセージ テキストのハイパーリンクをクリックします。 この操作により、 [Administrator Sessions] ページが表示されます。 このページには、 AMC にログインしているすべての管理者のユーザー名と IP アドレスがリストされます。 他の管 理者に連絡して互いの活動を調整することで、 構成ファイルの衝突を避ける必要があります。 メモ • 管理者が、 Web ブラウザの複数のインスタンスを使用して AMC にログインしている場合、 [Administrator Sessions] ページに、 その管理者のユーザー名と IP アドレスが複数回表示されることがあります。 また、 AMC セッションを終了させるときは、 必ず [Log Out] をクリックしなければなりません。 Web ブラウザを閉じてセッショ ンを終了した場合、 そのセッションは、 タイムアウトするまでの間 ( デフォルトで 15 分 ) アクティブ セッションとし てリストに表示されたままになります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 29 構成デー タの操作 この節では、 構成の変更を AMC に保存して有効にする方法について説明します。 構成変更のデ ィ ス クへの保存 AMC のページで変更を行った後 [Save] をクリックすると、 その変更がディスクに保存されます。 [Cancel] をクリッ クするか、 ブラウザの [Back] ボタンを押した場合は、 変更が保存されません。 X 構成変更をデ ィ ス ク に保存する には 1. AMC のページでデータを変更します。 2. ページの下部にある [Save] をクリックします。 構成の変更はディスクに保存されますが、 アクティブな構成には適用されません。 AMC のステータス エリアに、 変更が保留されておりアプライアンスに適用する必要があることを示すメッセージが表示されます。 詳細については、 29 ページの 「構成変更の適用」 を参照してください。 メモ • AMC の [Administrators] ページで行った変更は、 すぐに有効になります。 構成変更の適用 アプライアンスの構成変更を行うとき、 ディスクに保存しても、 その変更がすぐに適用されることはありません。 変更を有 効にするには、 [Apply Changes] ページを使用して変更を適用しなければなりません。 ほとんどの構成変更は、 ユーザーへのサービスを阻害せずに適用することができます。 変更を適用した後は、 すべての新しい接続で新しい構 成が使用されるようになります。 新しい構成変更をすべてのユーザーにすぐに適用したい場合、 適切なサービスを手動で再起動しなければなりません。 この操作により、 既存のユーザー接続が停止し、 ユーザーに再認証を強制します。 サービスの再起動方法の詳細につ いては、 223 ページの 「Aventail アクセス サービスの停止と開始」 を参照してください。 低レベルの構成変更 ( たとえば IP アドレスの変更など ) の場合、 ネットワーク サービスを再起動し、 既存のユーザー 接続を停止して、 既存ユーザーに対し再認証を強制しなければなりません。 可能であれば、 オフピークの時間 ( 保守 期間など ) にこれらの構成変更を適用し、 サーバーを再起動する前にユーザーに通知するようにします。 構成変更で このような再起動が必要な場合は、 [Apply Changes] ページに警告が表示されます。 X 変更を適用するには 1. メイン ナビゲーション メニューから [Maintenance] をクリックします。 2. [Maintenance] ページで、 [Apply Changes] ボタンをクリックします。 この操作により、 [Apply Changes] ページが表示されます (AMC の右上隅に表示される 「Pending changes」 メッセージをクリック することもできます )。 3. [Apply Changes] ページのメッセージを参照して、 変更を適用した場合の影響について評価します。 この手 順の後の表に記述されているメッセージのうち、 いずれかが表示されます。 4. [Apply Changes] をクリックして、 構成変更を適用します。 30| 第 3 章 - AMC の操作 変更が適用されるまでは、 AMC の他のページをブラウズしないでください。 ページが再表示されて、 「Pending configuration changes」 メッセージが AMC のステータス エリアから消えると、 他のページも安全に表示できる ようになります。 [Apply Changes] ページには、 次のいずれかのメッセージが表示されます。 警告 メ ッ セージ 説明 • Applying changes will restart all services この変更を適用すると、 既存のユーザー接続が停止しま and terminate all user connections. す。 • Applying changes will terminate existing 注意 ユーザーの再認証が必要になるため、 データが失わ TCP/IP user connections. れる可能性があります。 Applying changes will terminate existing HTTP user connections. • Your changes will require AMC to restart, which will end your current administrative session. When the request is complete, open a new browser and log in to AMC again. 現在のセッションが終了すると、 AMC を使用できなくなり ます。 ブラウザを閉じて、 AMC に再びログインしてくださ い。 No authentication realms are enabled. This will prevent users from accessing any resources. Click here to configure user authentication. ユーザーがリソースに対してアクセス権を維持するには、 少なくとも 1 つ以上の認証レルムを有効にしなければなり ません。 認証レルムを有効にしなければ、 ユーザーがア プライアンスで認証されなくなります。 メモ • 構成変更を ASAP WorkPlace に適用すると、 AMC がサービスを再起動します。 ユーザーは、 WorkPlace で 再認証する必要がありますが、 ネットワーク共有リソースにアクセスするために Windows ログイン クレデンシャル を提供している場合、 WorkPlace の再起動時に再入力するよう求められます。 • 変更を適用するとき接続がすでに存在している場合、 接続が停止しない限り、 その接続は古い構成を使用し続け ます。 Web 接続は短いので、 Web リソースにアクセスするほとんどのユーザーは、 構成変更が素早く適用され ます。 一方、 クライアント / サーバー接続の場合は、 長期間持続する可能性があります。 構成変更の後、 既存 のクライアント / サーバー接続がどの程度アクティブな状態を持続するか設定する場合は、 [Maximum limbo life] 設定を使用します (227 ページの 「ネットワーク プロキシ サービスの構成」 を参照 )。 この設定により、 構 成変更が、 TCP/IP アプリケーションにアクセスするユーザーにどの程度の頻度で伝播されるかをコントロールする ことができます。 • 新しい構成がロードできない場合、 既存の接続が有効なままになりますが、 新しい接続が試みられた場合は失敗 します。 このような状況でどう対処したらよいかについては、 232 ページの 「AMC の問題」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 31 参照されているオブジ ェ ク ト の削除 あるオブジェクト ( リソースやユーザーなど ) が他のオブジェクトによって参照されている場合、 そのオブジェクトは削除 することができません。 それでも削除しようとすると、 エラー メッセージが表示されます。 たとえば、 アクセス制御ルール が参照しているリソースを削除しようとすると、 エラー メッセージが表示されます。 エラー メッセージのリンクをクリックすると、 削除しようとしているリソースに対する参照がすべてリストされます。 オブジェ クトを削除する前に、 そのオブジェクトに対するすべての参照を削除しなければなりません。 次の表では、 他のオブジェクトから参照されている場合に削除できないオブジェクトのタイプをリストしています。 オブ ジ ェ ク ト タ イ プ こ のオブ ジ ェ ク ト タ イ プ を参照するオブ ジ ェ ク リソース アクセス制御ルール、 リソース グループ、 WorkPlace Web ショートカット リソース グループ アクセス制御ルール ユーザー アクセス制御ルール ユーザー グループ アクセス制御ルール レルム ユーザー、 ユーザー グループ 認証サーバー レルム コミュニティ レルム Web アプリケーション プロファイル リソース End Point Control ゾーン アクセス制御ルール、 コミュニティ デバイス プロファイル End Point Control ゾーン 32| 第 3 章 - AMC の操作 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 33 第4章 ネ ッ ト ワー ク と 認証の構成 この節では、 基本的なネットワーク構成作業、 つまりネットワーク インタフェース、 ルーティング、 名前解決設定の構成 方法や、SSL 証明書の管理方法などについて説明します。また、ユーザー認証を構成する方法についても説明します。 ここで説明するのは、 アプライアンスを稼働させる上での最小限のネットワーク構成です。 NTP、 SSH、 ICMP、 syslog などの付加的なサービスの構成方法については、 123 ページの 「システム管理」 を参照してください。 基本ネ ッ ト ワーク設定の構成 IP インタフェース、 ルーティング、 名前解決などのすべての基本ネットワーク設定は、 AMC で構成することができます。 システム ID の識別 アプライアンスの名前を設定して、 対応するドメインの名前を指定しなければなりません。 X シ ス テム ID を指定するには 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [Domain name] ボックスに、 アプライアンスが属しているドメインの名前を入力します。 たとえば、 「example.com」 のように入力します。 この名前は、 アプライアンスがアクセスするホストを識別するときに使用 される DNS ネームスペースを定義します。 3. [Save] をクリックします。 この操作により、 変更が保存されます。 4. [Network interfaces] テーブルから、 該当するアプライアンスの名前をクリックします。 この操作により、 そ のアプライアンスに対する [Configure Network Interfaces] ページが開きます。 5. [Appliance name] ボックスに、 アプライアンスの名前を入力します。 この名前はシステム ログに表示される もので、 ユーザーが目にすることはありません。 このボックスは、 クラスタ環境の場合、 編集することができませ ん。 6. [Save] をクリックします。 34| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ネ ッ ト ワーク イ ン タ フ ェ ースの構成 ネットワーク インタフェースを構成するには、 IP アドレスとサブネット マスクを入力し、 インタフェース速度を指定します。 アプライアンスを実行する場合、 内部ネットワーク インタフェースのみを使用する構成にできる他、 2 インタフェース構成 にしたいときは、 オプションで外部インタフェースを使用することもできます。 インタフェース構成オプションの詳細につい ては、 11 ページの 「ネットワーク アーキテクチャ」 を参照してください。 X ネ ッ ト ワー ク イ ン タ フ ェ ース を構成する には 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [Network interfaces] テーブルから、 該当するアプライアンスの名前をクリックします。 この操作により、 [Configure Network Interfaces] ページが開きます。 3. [Configure Network Interfaces] ページで、 内部 ( プライベート ) ネットワークに接続する内部インタ フェースの設定を行います。 • インタフェースの IP アドレスとサブネット マスクをそれぞれ [IP address] と [Subnet mask] に入力し ます。 • [Interface speed] のリストから適切なインタフェース速度を選択します。 アダプタがネットワークの速度を オートネゴシエートする構成にすることもできます。 ただしその場合、 一部のネットワーク サービスとの間で互 換性の問題が生じる可能性があります。 通常は、 ネットワーク インタフェース速度を手作業で構成するのが 最良の方法になります。 アプライアンスの設定は、 このインタフェースに接続しているアクティブなネットワーク デバイス ( ハブ、 ス イッチ、 ルータなど ) の設定と一致している必要があります。 4. 5. 両方のネットワーク インタフェースを設定したアプライアンスを動作させる場合は、 外部ネットワーク ( またはイン ターネット ) に接続したインタフェースについても設定を行います。 • 外部ネットワークを有効にするため、 [Enable external interface] チェック ボックスを選択します。 • インターネットから Aventail アプライアンスにアクセスする際に使用される IP アドレスとサブネット マスクをそ れぞれ [IP address] と [Subnet mask] に入力します。 外部 IP アドレスは、 パブリックにアクセスで きるものでなければなりません。 • [Interface speed] リストから、 適切なインタフェース速度を選択します。 [Save] をクリックして、 変更を保存します。 AMC で変更が保存されると、 ブラウザ セッションがタイムアウトしま す。 他のシステム構成作業を続けたい場合は、 再び AMC にログインしてください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 35 メモ • 一般的なスイッチ ( たとえば Cisco) の多くは、 このアプライアンスの二重モードを正しく検出しません。 そのため、 オートネゴシエートを使用しない設定にすることが推奨されます。 ネットワーク レイテンシがある場合は、 アプライア ンスが接続しているスイッチのポート設定をチェックし、 正しい構成が使用されているか調べます。 誤った構成に なっている場合は、 スイッチのポートに、 アプライアンスと一致する設定を静的に割り当てるよう構成します。 • アプライアンスが両方のインタフェースを使用する構成になっている場合、 ルーティング設定を調べ、 内部インタ フェースへのネットワーク ルートが存在しているか確認します。 アプライアンスが、 AMC にアクセスするコンピュー タと異なるネットワーク上にある場合、 アプライアンスが設置されているネットワークへの静的ルートを定義するか、 動的ルーティングを有効にして、 ネットワーク構成の変更を適用した後も AMC へのアクセスが維持されるようにし なければなりません。 詳細については、 35 ページの 「IP ルートの構成」 を参照してください。 IP ルー ト の構成 トラフィックをルーティングするには、 デフォルト ゲートウェイを指定しなければなりません。 また、 アプライアンスが内部 ネットワーク リソースに到達できるよう、 アプライアンスに対してルーティング情報を指定しなければなりません。 その場 合、 動的ルーティングを使用するか、 静的ルートを定義することでこれを行います。 デフ ォル ト ゲー ト ウ ェ イの構成 デフォルト ゲートウェイは、 明示的にルート指定されていないパケットがどこに送信されるか決定します。 そのためこれ は、 インターネットへのアクセスを提供するルータのアドレスになります。 X ルーテ ィ ン グ情報を構成するには 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [General] ページで [Routing] タブをクリックします。 3. [Default gateway IP address] ボックスに、 インターネットへのアクセスを提供するルータの IP アドレスを 入力します。 Setup Tool を実行した後初めて AMC を使用する場合、 すでに指定したゲートウェイがここに表示されます。 こ の値が、 インターネットへのアクセスを提供するゲートウェイと異なる場合 ( 両方のネットワーク インタフェースを有 効にしている場合これが該当する ) は、 この設定をそれに従って修正する必要があります。 4. [Save] をクリックします。 注意 ! アプライアンスが両方のインタフェースを使用する構成になっている場合、 ルーティング設定を調 べ、 内部インタフェースへのネットワーク ルートが存在しているか確認します。 アプライアンスが、 AMC にアクセスするコンピュータと異なるサブネット上にある場合、 動的ルーティング オプションを 使用するか、 アプライアンスが設置されているネットワークへの静的ルートを定義しなければなりま せん。 たとえば、 アプライアンスが両方のインタフェースを使用するよう構成している場合を考えます。 Setup Tool を実行するとき、 内部インタフェースから AMC へアクセスできるようにするデフォルト ゲートウェイを定義します。 次に AMC にログインし、 外部インタフェースを有効にして、 この外部 インタフェースを介してインターネットにアクセスできるようにするルータを、 デフォルト ゲートウェイ として指定します。 このような変更を適用すると、 AMC をブラウズするために使用するコンピュー タが、 アプライアンスと異なるサブネット上にある場合、 AMC へのアクセスが途切れることになりま す。 このような問題を回避するため、 ネットワーク構成の設定を適用する前に次のいずれかを実行しま す。 • 動的ルーティング オプションを有効にします。 • AMC が属しているサブネットへの静的ルートを定義します。 36| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 動的ルーテ ィ ングの構成 動的ルーティングを使用する場合、 内部ルータでルーティング情報プロトコル (RIP) のバージョン 1 またはバージョン 2 を実行していなければなりません。 内部インタフェースや外部インタフェース ( 使用するアプライアンスを構成している 場合 )、 またはその両方で動的ルーティングを有効にすることができます。 RIP の詳細について知りたい場合は、 http://www.ietf.org/rfc/ を訪れ、 RIPv1 については RFC 1058、 RIPv2 については RFC 2453 を参照してく ださい。 X 動的ルーテ ィ ング を構成するには 1. サイトが RIP をサポートしていることを確認します。 2. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 3. [General] ページで [Routing] タブをクリックします。 4. [Dynamic Routing] エリアで、 適切なモー ド をクリックします。 • サイトが RIP のバージョン 1 をサポートしている場合、 [RIP v1] • サイトが RIP のバージョン 2 をサポートしている場合、 [RIP v2] 5. [RIP v2] を選択した場合、 適切な RIPv2 認証を選択します。 選択できるオプションは [None] または [Password] です。 6. RIPv2 認証で [Password] を選択した場合は、 [Password] ボックスに実際のパスワード テキストを入力 します。 パスワードは、 16 文字以内でなければなりません。 7. [Interface selection] ボックスで、 動的ルーティングを有効にするインタフェースを選択します。 8. [Save] をクリックします。 メモ • アプライアンスの RIP ルート プロセッサは、 構成の変更を適用するまで始動しません。 詳細については、 29 ペー ジの 「構成変更の適用」 を参照してください。 • アプライアンスで動作する RIP デーモンは、 パッシブ モードでのみ動作します。 言い換えると、 他の RIP ルー タからルート情報を受信しますが、 ルート情報をアドバタイズすることはありません。 • AMC では、現在のルーティング テーブルのスナップショット ( 動的ルートと静的ルートの両方を含む ) を表示する ことができます。 237 ページの 「現在のルーティング テーブルの表示」 を参照してください。 • 有効でないインタフェースを選択した場合、 AMC では、 構成変更を送信した時点でエラー メッセージ ( 「Interface is not enabled」 ) が表示されます。 • 認証に RIPv2 を使用する場合を除き、 外部インタフェースでは RIP を有効にしないのが得策です。 このような 状況で RIP を有効にすると、 セキュリティが危険にさらされることになります。 静的ルー ト の構成 サイトで RIP がサポートされていない場合や動的ルーティングを使用したくない場合は、 静的ルートを明示的に定義し なければなりません。 その場合、 内部インタフェースから到達するネットワークのエントリを、 ルーティング テーブルに追 加します。 静的ルートは、 必要なだけ追加することができます。 動的ルーティングと静的ルーティングのどちらを使用するかは、 状況に応じて決定します。 静的ルート テーブルの保守 は、 特に大規模なサイトの場合など、 ともすれば非常に面倒になります。 ただし動的ルーティングの場合は、 ネットワー ク トラフィックが増大します。 そのため、 周囲の状況に最も適したオプションを選択するようにします。 必要であれば、 両方のオプションを使用することもできます。 その場合、 検出されるすべてのルートが使用されることになります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 37 X 静的ルーテ ィ ング情報を構成するには 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [General] ページで [Routing] をクリックします。 3. 次の方法で静的ルートを定義します。 a. [Static routes] セクションの [IP address]、 [Subnet mask]、 [Gateway] の各ボックスに ルート情報を入力します。 b. [Add] をクリックします。 追加したルータが、 静的ルート テーブルに表示されます。 4. [Save] をクリックします。 X 静的ルー ト を削除するには 1. [Routing] ページで、 削除する静的ルートの右にある [Delete] ボタンをクリックします。 2. [Save] をクリックします。 メモ • アプライアンスが両方のインタフェースを使用する構成になっている場合、 ルーティング設定を調べ、 内部インタ フェースへのネットワーク ルートが存在しているか確認します。 アプライアンスが、 AMC にアクセスするコンピュー タと異なるネットワーク上にある場合、 アプライアンスが設置されているネットワークへの静的ルートを定義して、 ネットワーク構成の変更を適用した後も AMC へのアクセスが維持されるようにしなければなりません。 詳細につい ては、 35 ページの 「IP ルートの構成」 を参照してください。 • 内部ネットワークに、 連続するアドレス空間がある場合、 静的ルートを作成するときに正しいサブネット マスクを指 定することによって、 複数の静的ルートを組み合わせて 1 つのエントリにすることができます。 次の表では、 サブ ネット マスクを使用することで、 内部トラフィックを単一の静的ルート エントリから複数のネットワークにルートする例 を 2 つ示しています。 トラフィックをルーティングする ネットワーク : 指定する IP アドレス : 指定するサブネット マスク : 192.168.0.0 192.168.1.0 192.168.2.0 192.168.3.0 192.168.0.0 255.255.252.0 192.168.*.* ( すべてのネットワークが 192.168 の 範囲内 ) 192.168.0.0 255.255.0.0 必要であれば、 他のサブネットの静的ルートを明示的に追加することもできます。 これは、 ルーティング テーブル でネットマスクが広い方から狭い方へ検索されるためです。 38| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 名前解決の設定 アプライアンスでは、 ホスト名を IP アドレスに解決するため、 DNS サーバーにアクセスする必要があります。 ASAP WorkPlace を使用して Windows ネットワークをブラウズするとき、 Windows Internet Name Service (WINS) サーバーおよび Windows ドメイン名を指定する必要があります。 Domain Name Service の構成 DNS サーバーを構成すると、 アプライアンスがホスト名を正しく解決できるようになります。 DNS を正しく構成すること で、 アプライアンスが、 ネットワーク リソースへのアクセスを提供できるようになります。 X DNS によ る名前解決を構成する には 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [General] ページで [Name Resolution] タブをクリックします。 3. [Search domains] ボックスに、 企業のデフォルト DNS ドメイン名 ( 「example.com」 など ) を入力しま す。 非修飾ホスト名が指定された場合は、 このドメイン名が追加されて解決されます。 最大で 6 つのドメイン名 を、 セミコロンで区切って入力することができます。 4. [DNS server] ボックスに、 プライマリ DNS サーバーと、 2 つのバックアップ DNS サーバーを入力します。 バックアップ サーバーは、 プライマリ サーバーが使用できない場合に使用されます。 5. [Save] をクリックします。 メモ • DNS 設定を変更する場合、 ネットワーク プロキシ サービスを再起動しなければならず、 その場合、 既存の Aventail Connect または Aventail OnDemand の接続が停止します。 そのためこのような変更は、 オフピー ク時間または保守期間に行うようにすると良いでしょう。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 39 Windows ネ ッ ト ワーク名前解決の設定 Aventail ASAP WorkPlace を使用して Windows ネットワーク上のファイルをブラウズするとき、Windows Internet Name Service (WINS) サーバーおよび Windows ドメイン名を指定する必要があります。 WorkPlace では、 名 前解決を行う場合およびユーザーがブラウズするリソースのリストを構築する場合、 この情報を使用します。 X Windows ネ ッ ト ワー ク名前解決を構成するには 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [General] ページで [Name Resolution] タブをクリックします。 3. [Windows networking] エ リ アで、 次の情報を入力 し ます。 4. • WINS サーバーの IP アドレスを [WINS server IP address] ボックスに入力します。 • NetBIOS の構文 ( たとえば 「mycompany」 ) を使用して、 Windows ドメインの名前を [Windows domain name] ボックスに入力します。 [Save] をクリックします。 SSL 証明書の構成 アプライアンスは、 Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。 AMC を使用して自己 署名サーバー証明書を作成できる他、 オプションで商用認証局 (CA) から証明書を得ることもできます。 また場合によっ ては、 証明書のルート ファイルを使用するよう Aventail クライアントを構成する必要があります。 概要 : SSL 証明書 Aventail アプライアンスでは、 接続ユーザーに対してアプライアンスの ID を証明する場合や、 クライアント コンピュー タからサーバーに送信される情報を保護するための公開鍵を提供する場合に、 SSL 証明書を使用します。 アプライア ンスでは、 2 種類の SSL 証明書が必要になります。 • AMC は、 管理トラフィックを保護するために証明書を使用します。 • Aventail サービスは、 エンドユーザーのトラフィックを保護するために証明書を使用します。 証明書には、 自己署名証明書と商用証明書の 2 種類があります。 自己署名 SSL 証明書の場合、 自身の身元を証 明します。 パスワードを元にして、 対応する秘密鍵データが暗号化されます。 AMC では自己署名証明書を使用します。 自己署名 SSL 証明書も安全ですが、 アプライアンスで商用 CA の証明書を使用する構成にすることもできます。 商用 証明書は、 VeriSign (http://www.verisign.com) などの CA から購入するもので、 通常は 1 年間有効です。 商用 CA では、 企業の身元を識別して、 CA が署名する証明書を提供することにより、 その企業のユーザーの身分を 保証します。 商用 CA の証明書は、 パスポートにたとえることができます。 自身で作成した身分証明書を提示しても、 すでにその人のことがわかっている場合を除き、 往々にしてその身元は疑わしいものと見なされます。 一方、 信頼され ている国が発行したパスポートを提示すれば、 身元の信憑性は高くなります。 これは、 パスポートを発行した機関が、 その持ち主の身元をすでに確認しているためです。 サーバーでどのタイプの証明書を使用するか決定するときは、 そのアプライアンスにどのようなユーザーが接続し、 ネッ トワーク上のリソースをどのように使うかについて考慮します。 • ビジネス パートナーが、 アプライアンスを介して Web リソースに接続する場合、 取引を行ったり機密情報を提供 したりする前に、 相手の身分保証を必要とします。 このような場合、 そのアプライアンスで商用 CA から証明書を 取得するようにすると良いでしょう。 一方、 従業員が Web リソースに接続する場合は、 自己署名証明書を信用することができます。 その場合でも、 エンド ユーザーが接続するたびに自己署名証明書を受け入れる手間を省くため、 サードパーティの証明書を取得 することができます。 • ユーザーが、 Aventail Connect プロキシ クライアントを使用して、 アプライアンスから TCP/IP リソースにアクセ スする場合は、 自己署名証明書を信頼するようクライアントを構成することができるため、 通常であれば自己署名 証明書で十分です。 40| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 自己署名証明書の使用 ( 証明書を商用 CA から取得する代わりに ) 自己署名 SSL 証明書を使用したい場合は、 AMC を使用してこれを作成 することができます。 X 自己署名証明書を作成するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックします。 この操作により、 [SSL Certificates] ページが表示されます。 2. 作成する証明書に応じて、 適切なボタンをクリックします。 • Aventail サービスの証明書を作成する場合、 [Self-Signed Certificate] エリアで [New Certificate] をクリックします。 • AMC の証明書を作成する場合、 [AMC certificate] エリアで [New Certificate] をクリックします。 [Create Self-Signed Certificate] ページまたは [Create AMC Self-Signed Certificate] ページ が表示されます。 3. [Fully qualified domain name] ボックスに、 証明書に記載するサーバー名を入力します。 • アプライアンスの証明書の場合、 「vpn.example.com」 のように入力します。 ユーザーがこのアプライアン スにアクセスできるようにするには、 この名前を外部 DNS に追加しなければなりません。 エンド ユーザーは、 この名前を使用して、 ネットワーク上の Web ベースのリソースにアクセスします。 Aventail Connect クライアントで、 TCP/IP リソースへのアクセスを許可するよう構成するときは、 この名前 を参照します。 • AMC の証明書の場合、 「amc.example.com」 のように入力します。 ほとんどの場合、 AMC へのアクセ スを簡単にするために、 この名前を内部 DNS に追加する必要があります。 4. [Organization] ボックスに、 SSL 証明書に記載する企業名を入力します。 5. [Country] ボックスに、 国を表す 2 文字の省略語を入力します。 有効な国コードのリストについては、 国際標 準化機構 (ISO) の Web サイト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報を参照してください。 6. [Save] をクリックします。 7. 証明書を作成するには、 変更を適用しなければなりません (29 ページの 「構成変更の適用」 を参照 )。 自己署名証明書に対する信頼で き るルー ト フ ァ イルの作成 自己署名証明書を使用する場合、 信頼できるルート ファイルをユーザーに提供する必要があります。 X 自己署名証明書に対する信頼で き るルー ト フ ァ イルを作成するには 1. アプライアンスにログインします。 2. /usr/local/extranet/etc にある server.cert ファイルをコピーします。 3. コピーしたファイルをテキスト エディタで開き、 ルート証明書以外のすべての部分を削除します。 このファイルに は、 1 つまたは複数の証明書があり、 その他に秘密鍵も存在します。 ルート証明書は、 このファイルの最後の EX-750 イ ン ス ト ールおよび管理ガ イ ド | 41 証明書ブロックで、 バナーで識別できます。 次の例では、 最初の証明書ブロックと秘密鍵ブロックを削除してい ます。 証明書 1 ルー ト 証明書 秘密鍵 その結果、 ファイルは次のようになります。 4. このファイルをエンド ユーザーに配布します。 これによりセキュリティが向上し、 ユーザーが接続するたびに SSL 証明書を受け入れるよう求められることもなくなります。 49 ページの 「バックエンド HTTPS リソースに対する新し いルート証明書の追加」 を参照してください。 • Aventail Connect クライアントを介してネットワーク プロキシ サービスに接続するユーザーの場合、 それぞ れのユーザーのコンピュータ上で、 この信頼できるルート ファイルを使用するよう、 クライアントを構成します。 このファイルは、 Aventail Connect プロビジョニング パッケージにも入れなければなりません。 • Web ベースのユーザーのセキュリティを向上させたい場合、 このファイルを、 それぞれのユーザーのブラウ ザに入れます。 メモ • アプライアンスに付属する Setup Tool を使用すると、 AMC に対する自己署名証明書を作成します。 ほとんどの 設定については、 この自己署名証明書で十分であり、 商用 CA から証明書を得る必要はありません。 ただし、 AMC は、 信頼されるネットワーク内で使用しなければなりません。 自己署名証明書は、 受動的な盗み見に対す る防止策にはなりますが、 能動的な攻撃に対する防衛策になりません。 • Apple Macintosh で Microsoft Internet Explorer を使用するユーザーに対して、 Aventail OnDemand を設定している場合、 商用 SSL 証明書を取得する必要があります。 Macintosh の Java Virtual Machine (JVM) が未知の CA から署名入りの証明書を受け付けないため、 自己署名証明書は機能しません。 42| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 商用 CA からの証明書の取得 商用 CA から証明書を取得すると、 アプライアンスを介してネットワークに接続するユーザーの身元を確認できるようにな ります。 商用 CA から証明書を取得して構成する場合、 複数の手順を実行する必要があります。 このプロセスの手順 を次に示します。 CSR 䬽 ↢ ᚑ n ⸽ᦠ⟑ฬⷐ᳞ (CSR) 䭡 ᚑ䬦䭍䬨䫻 o CSR 䭡↪⸽ዪ (CA) 䬺 ㅍା䬦䭍䬨䫻 CSR ᔕ ╵ 䬽 䭫䮺 䮤 䯃 䮏 s CSR ᔕ╵䭡 AMC 䬺䭫䮺䮤䯃䮏 䬦䬵⸽ᦠ䭡ᚑ䬦䭍䬨䫻 CA 䬽䮲䯃䮏 䮜 䭨 䭫 䮲 䭡 CSR ᔕ╵䬺ㅊട CA 䭇䬽 CSR 䬽 ㅍ ା p(䭱䮞䭾䮮䮺) CA 䬽 CSR ᔕ╵䬺 ା㗬䬶䬜䭚䮲䯃䮏 䮜䭨䭫䮲䬛䭍䭛䬵 䬓䬹䬓䬚䬲䬮႐ว䫺ㅊട䬦䭍䬨䫻 Aventail 䭶䮰䭫䭩䮺䮏䬽 ᭴ᚑ ᄌᦝ䬽ㆡ↪ q r 䭼䯃䮚䮀䭡ౣᆎേ䬦䫺⸽ᦠ䭡 ല䬺䬦䭍䬨䫻 ା㗬䬶䬜䭚䮲䯃䮏 䮜䭨䭫䮲䭡 ↪䬨䭚䭗䬕䫺Aventail Connect 䮞䮴䭴䭾䭡᭴ᚑ䬦䭍䬨䫻 このプロセスの手順については、 以下の節で説明します。 ここでは、 Aventail サーバーで商用証明書を取得する状 況を取り上げます ( 自己署名証明書を使用するよう AMC を構成する )。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 43 ステ ッ プ 1: 証明書署名要求の生成 AMC を使用して、 証明書署名要求 (CSR) を生成することができます。 このプロセスでは、 サーバー情報の他、 公 開鍵と識別情報が含まれる CSR を保護するための RSA 鍵ペアを作成します。 ここで指定した情報は、 商用 CA が 証明書を作成するときに使用します。 また、 この情報は、 アプライアンスに接続するエンド ユーザーに提示されます。 X CSR を生成するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックします。 この操作により、 [SSL Certificates] ページが表示されます。 2. [Certificate signing request] エリアで [Create New CSR] ボタンをクリックします。 [Create Certificate Signing Request] ページが表示されます 3. [Certificate information] エリアに情報を入力します。 この情報は、 CSR に保管され、 商用 CA が証明 書を生成するときに使用します。 この情報は、 アプライアンスに接続するエンド ユーザーに提示されます。 a. [Fully qualified domain name] ボックスに、 証明書に記載するサーバー名を入力します。 この サーバー名は、 「共通名」 (CN) とも呼ばれるもので、 通常ホスト名とドメイン名で構成されます。 たとえば 「vpn.example.com」 のように入力することができます。 Web ベースのエンド ユーザーは、 アプライアンスにアクセス ( 言い換えると ASAP WorkPlace にアクセス ) するときにこの名前を使用するため、 憶えやすい名前を使用するようにします。 また、 TCP/IP リソースに アクセスできるようにする目的で Aventail Connect や Aventail OnDemand コンポーネントを構成すると きも、 この名前を参照します。 アプライアンスにユーザーがアクセスできるようにするためには、 この名前を 外部 DNS に追加しなければなりません。 b. [Organizational unit] ボ ッ ク ス に、 部署の名前 ( た と えば 「IT Department」 ) を入力 し ま す。 c. [Organization] ボ ッ ク ス に、 SSL 証明書に記載す る 企業名を入力 し ます。 d. [Locale] ボ ッ ク ス に、 市ま たは町の名前を入力 し ます。 名前はフルネームで記述 し ます ( 省略語は 使用 し ない )。 e. [State] ボ ッ ク ス に、 州ま たは県の名前を入力 し ます。 名前はフルネームで記述 し ます ( 省略語は 使用 し ない )。 f. [Country] ボ ッ ク ス に、 国を表す 2 文字の省略語を入力 し ます。 有効な国 コ ー ド の リ ス ト について は、 国際標準化機構 (ISO) の Web サ イ ト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報 を検索 し て く だ さ い。 44| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 g. [Key length] リ ス ト か ら 、 使用す る 鍵の長 さ を選択 し ます。 [512]、 [768]、 [1024] ( デフ ォ ル ト )、 [1280]、 [1536] のいずれかを選択 し ます。 鍵の長 さ が長いほ ど セキ ュ リ テ ィ が向上 し ます が、 アプ ラ イ ア ン ス の処理速度が遅 く な り ます。 ほ と ん ど の場合、 [1024] や [1280] が適 し てい ま す。 4. 情報が正しく入力されているか見直してから、 [Save] をクリックします。 この操作により CSR が生成されます。 続いて [Create Certificate Signing Request] ページが表示されます。 5. CSR テキストの内容を AMC からクリップボードまたはテキスト ファイルにコピーして、 [OK] をクリックします。 メモ • [Certificate signing request] エリアの下にある [Status] エリアには、 CSR が保留されていることが示 されます。 その場合、 CSR を再送信しないでください。 再送信すると二重に課金されてしまいます。 また、 これ によって内部秘密鍵が変更されるため、 CA からの応答を利用できなくなります。 • 商用 CA によっては、 「&」 や 「!」 のようなシフト文字 (SHIFT キーを押したときに生成される文字 ) が含まれて いる CSR を読み込む際に、 問題が発生することがあります。 企業名などの情報を指定するとき、 「&」 を 「and」 と記述するなどして、 シフト文字を使用しないようにしてください。 ステ ッ プ 2: 商用 CA へ CSR を送信 CSR の送信のプロセスは、 選択する商用 CA によって変動します。 VeriSign は、 Secure Site Services を使用 して SSL 証明書を発行する商用 CA として有名です。 詳細については、 http://www.verisign.com を参照してく ださい。 X 商用 CA へ CSR を送信するには 1. AMC の [Certificate Signing Request] ページから証明書署名要求の内容をコピーします。 2. これを所定の方法で CA に送信します。 通常、 CSR テキストをコピーして CA の Web サイトのフォームにペー ストするか、 電子メールのメッセージに添付します。 CA が指定している方法によっては、 すべてのテキストをペーストする場合と、 「BEGIN NEW CERTIFICATE REQUEST」 と 「ND NEW CERTIFICATE REQUEST」 の 2 つのバナーに挟まれているテキスト ( バナー自体も 含む ) のみをペーストする場合とがあります。 方法がよくわからない場合は、 CA に問い合わせてください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 45 3. 商用 CA が身元を確認するまで待機します。 企業の身元を証明するため、 他のドキュメントを作成するよう求めら れることもあります ( 営業許可や企業の定款など )。 ステ ッ プ 3: CSR 応答を確認し て CA のルー ト 証明書に追加 ( 必要な場合 ) CSR を送信したら、 CA が身元を確認するまで待機します。 このプロセスが終わると、 CA が証明書を返信します。 返 信は、 次の 2 つのいずれかの形式で送られてきます。 • 電子 メ ールの メ ッ セージに添付 さ れた フ ァ イル。 この場合、 ファイルをローカル ファイル システム (AMC にア クセスするもの ) に保存して、 AMC にインポートすることができます。 • 電子 メ ールの メ ッ セージ内に埋め込まれた テキス ト 。 こ の場合、 テ キ ス ト を コ ピー し て、 AMC のテ キ ス ト ボ ッ ク ス にペース ト し ます。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバ ナーを必ず入れ る よ う に し ます。 CA が、 CSR 応答で完全な証明書チェーンを提供しない ( 一般的な方法 ) 場合、 CSR 応答をインポートするときに、 AMC が証明書チェーンを補完しようとします。 チェーンを補完できない場合、 AMC で 「The certificate chain is not complete」 というエラー メッセージが表示されます。 この場合は、 CA のルート証明書または中間公開証明書を アプライアンスにアップロードしなければなりません。 自身で CA の役割も果たしている場合は、 おそらくこの手順を実 行する必要があります。 X 証明書チ ェ ーン を補完するには 1. 信頼できるルート証明書または中間公開証明書を CA から取得します。 ほとんどの外部 CA は、 Web サイトでこ のような証明書を提供しています。 企業が CA の役割を果たしている場合は、 サーバー管理者に確認してくださ い。 2. メイン ナビゲーション メニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま す。 3. [Appliance root certificates] セクションで [Import] ボタンをクリックします。 この操作により、 [Import Root Certificate] ページが表示されます。 4. 証明書をアップロードします。 • 証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカル ファイル システム ( つまり AMC にログインしたコンピュータ ) から証明書の返信をアップロードします。 • 証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、 証明書をテキスト ボックスにペーストします。 このとき、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れるようにします。 5. [Save] をクリックします。 この操作により、 [CA Certificates] ページに戻ります。 6. 証明書が正しくアップロードされたことを確認するため、 ページ上部にある [Manage CA Certificate] ボタン をクリックします。 新しい証明書が [Manage Root Certificates] ページの上部に表示されます。 ステ ッ プ 4: CSR 応答を AMC にイ ンポー ト X 証明書の返信を イ ンポー ト する には 1. メイン ナビゲーション メニューから [SSL Settings] をクリックします。 この操作により、 [SSL Certificates] ページが表示されます。 2. [Certificate Signing Request] エリアで [Import CSR Response] をクリックします。 [Import CSR Certificate] ページが表示されます。 3. 証明書をアップロードします。 • 証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカル ファイル システム ( つまり AMC にログインしたコンピュータ ) から証明書の返信をアップロードします。 • 証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、 証明書をテキスト ボックスにペーストします。 このとき、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れるようにします。 4. [Save] をクリックします。 この操作により、 [SSL Certificates] ページに戻ります。 5. 証明書が正しくアップロードされたことを確認するため、 [View details] ボタンをクリックします。 証明書が [Certificate Details] ページの上部に表示されます。 46| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ステ ッ プ 5: 変更の適用 新しい証明書を使用しはじめるには、 構成の変更を適用する必要があります。 詳細については、 29 ページの 「構成 変更の適用」 を参照してください。 変更を適用したら、 アプライアンスが新しい証明書を検査し、 すべての新しい接続でそれを使用するようになります。 ア プライアンスが証明書を正しく処理できなかった場合、 エラー メッセージが表示され、 そのエラーについての情報がイベ ント ログに記載されます。 このような状況は通常、 証明書がない場合、 証明書の有効期限が切れている場合 ( または まだ有効になっていない場合 )、 暗号化パスワード ファイルにキャッシュされているパスワードが不正な場合などに発生 します。 ステ ッ プ 6: ルー ト フ ァ イルを使用する よ う Aventail Connect を構成 クライアント / サーバー アプリケーションは、 Aventail Connect プロキシ クライアントを使用してアクセスします。 クラ イアントがアプライアンスから証明書を受け取ると、 証明書チェーンのルートを検査し、 自身の信頼できるルートのリストと 照会します。 ルートが一致すると、 クライアントはアプライアンスの身元が正しいことを認識するため、 ユーザーに証明 書を確認するよう求めません。 ユーザーが証明書を確認するよう求められないようにするには、 このルート ファイルを使 用するよう Aventail Connect を構成します。 Aventail Connect でルート ファイルを構成する方法については、 『Aventail Connect Administrator’s Guide』 の 「Configuring Server Validation Options」 を参照してください。 メモ • ユーザーがデジタル証明書を使用して認証するようにしたい場合、 クライアントだけでなくサーバー上でも、 信頼で きるルート ファイルを構成する必要があります。 50 ページの 「クライアント証明書の構成」 を参照してください。 他のコ ン ピ ュー タ からの既存の証明書のイ ンポー ト 商用 CA からすでに証明書を受け取っている場合、 その証明書と秘密鍵をアプライアンスに転送することもできます。 証 明書をインポートしたら、 アプライアンスでエンド ユーザーのトラフィックを保護するために、 サーバーがその証明書を使 用するようになります。 このアプライアンスでは、 証明書を PKCS#12 形式で保管します。 異なる形式で証明書が保管されている場合、 イン ポートする前に、 OpenSSL ( 詳細については 14 ページの 「便利な管理ツール」 を参照 ) などのツールを使用して PKCS#12 に変換する必要があります。 変換を行ったら、 PKCS#12 ファイルに完全な証明書チェーンが含まれてい るか確認してください。 X 既存の証明書を ア プ ラ イ ア ン スに転送するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックします。 この操作により、 [SSL Certificates] ページが表示されます。 2. [Appliance certificate] エリアで [Import] をクリックします。 [Import Certificate] ページが表示さ れます。 3. [Browse] ボタンをクリックして、 ローカル ファイル システム ( つまり AMC にログインしたコンピュータ ) から証 明書をアップロードします。 4. [Password] ボックスに、 秘密鍵を暗号化するときに使用したパスワードを入力します。 5. [Save] をクリックします。 ただし、 構成の変更を適用するまでは、 アプライアンスは以前の証明書を使用します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 47 証明書の管理 この節では、 証明書の管理に関連する、 さまざまな作業について説明します。 ルート ファイルを使用するよう Aventail クライアントを構成する方法や、 バックエンド Web リソースからルート ファイルを確認する方法について解説します。 ま た、 証明書の詳細を確認する方法、 証明書のパスワードを変更する方法、 既存の鍵を使用して証明書を更新する方 法などについても説明します。 概要 : CA 証明書 すべての CA では、 デジタル証明書を要求するエンティティがその CA を 「信頼」 できるようにするため、 ルート証明 書が必要になります。 クライアントが、 CA のルート証明書を信頼した場合、 その CA が発行した他の証明書も自動的 に信頼することになります。 このようにルート証明書は、 公開鍵の暗号化における基礎になります。 ルート証明書は、 CA 自身 ( 自己署名 ) または公開鍵基盤 (PKI) の CA 階層で上位にあたる認証局が署名します。 このアプライアンスには、 一流商用 CA の 100 以上の証明書が搭載されています。 商用 CA から証明書を取得して いる場合、 そのルート証明書や中間公開証明書は、 アプライアンスにほぼインストールされている状態になっています。 ただし、 自身で CA の役割を果たしている場合は、 ルート証明書または中間公開証明書をアプライアンスにインポート しなければなりません。 アプライアンスは、 次のような証明書で構成されています。 • ア プ ラ イ ア ン スの SSL 証明書。 ほとんどの設定の場合、 中心となるサーバー証明書を商用 CA から取得しま す。 その場合、 必要な CA 証明書は、 すでにアプライアンスにインストールされています。 ただし、 自身で CA の役割を果たしている場合は、 ルート証明書や中間公開証明書をアプライアンスにインポートしなければなりませ ん。 • セキ ュ ア な LDAP ま たは AD サーバー接続。 LDAP ま たは Active Directory (AD) 接続を SSL で保護 す る と 、 LDAP サーバーま たは AD サーバーを装お う と す る 試みを排除す る こ と で、 セキ ュ リ テ ィ を強化 す る こ と がで き ます。 LDAP ま たは AD over SSL を構成す る には、 アプ ラ イ ア ン ス を構成 し て、 LDAP ま たは AD 証明書を与え た CA に対す る ルー ト 証明書や中間公開証明書を使用す る よ う 設定 し なければな り ません。 • ク ラ イ ア ン ト 証明書の認証。 ユーザーが ク ラ イ ア ン ト 証明書を使用 し て認証す る 場合、 アプ ラ イ ア ン ス を 構成 し て、 ク ラ イ ア ン ト 証明書を エ ン ド ユーザーに発行 し た CA に対す る ルー ト 証明書や中間公開証明書 を使用す る よ う 設定 し なければな り ません。 こ れ ら の CA 証明書は、 アプ ラ イ ア ン ス に接続す る ユーザー か ら 送信 さ れた証明書の有効性を確認す る ために使用 さ れます。 • バ ッ ク エ ン ド HTTPS Web サーバーへの接続。 バ ッ ク エン ド Web リ ソ ース を SSL で保護 ( つま り HTTP の代わ り に HTTPS を使用 ) し てい る 場合、 アプ ラ イ ア ン ス を構成 し て、 サーバー証明書を発行 し た CA に対す る ルー ト 証明書や中間公開証明書を使用す る よ う 設定す る こ と がで き ます。 バックエンド Web リソースとの接続を正常に確立できる場合、 アプライアンスで、 必要な CA 証明書がすでに構 成されていることになります。 接続を確立できない場合は、 CA 証明書をアプライアンスにアップロードする必要が あります。 [SSL Certificates] ページの [CA Certificates] タブにある [Manage CA Certificate] ボタンをクリックす ることにより、 CA 証明書のリストを参照することができます。 この操作により、 [Manage Root Certificates] ポッ プアップ ウィンドウが表示されますが、 このウィンドウは、 CA 証明書を削除する場合にも使用することができます。 48| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 証明書の詳細の表示 タイトル、 発行者、 開始日と終了日、 シリアル番号、 MD5 チェックサムなど、 アプライアンス証明書の詳細データを表 示することができます。 新しくインポートした証明書の詳細データは、 構成の変更を適用するまで表示されません。 X 証明書の詳細を表示する には 1. メイン ナビゲーション メニューから [SSL Settings] をクリックします。 この操作により、 [SSL Certificates] ページが表示されます。 2. [SSL Certificates] ページで、 証明書の完全修飾ドメイン名、 発行者、 有効期限を確認することができま す。 3. [View details] をクリックすると、 証明書の詳細データが表示されます。 メモ • 証明書に CA の共通名 (CN) が含まれていない場合、 [Issued To] と [Issued By] フィールドに、 タイト ル / 発行者のフルネームが表示されます ( たとえば 「C=US,O=Example Corp,CN=vpn.example.com」 な ど )。 SSL 証明書のエ ク スポー ト アプライアンスのエンド ユーザー トラフィックを保護するために、 SSL 証明書をエクスポートすることができます。 この証 明書は、 PKCS#12 形式で保管されます。 X ア プ ラ イ ア ン スか ら SSL 証明書を エ ク スポー ト するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックします。 この操作により、 [SSL Certificates] ページが表示されます。 2. [Appliance certificate] エリアで [Export] をクリックします。 [Export Certificate] ページが表示さ れます。 3. [Password] ボックスに、 秘密鍵を暗号化するときに使用するパスワードを入力します。 4. [Save] をクリックします。 この操作により、 証明書ファイルがローカル ファイル システム ( つまり AMC にログイ ンしたコンピュータ ) にアップロードされます。 5. [OK] をクリックします。 この操作により、 [SSL Certificates] ページに戻ります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 49 アプ ラ イ アンスへの CA 証明書の追加 アプライアンスで、 必要な CA 証明書が構成されていない場合、 そのコピーを取得して、 アプライアンスにアップロード する必要があります。 X ア プ ラ イ ア ン スに CA 証明書を追加するには 1. 信頼できるルート証明書または中間公開証明書を CA から取得します。 ほとんどの外部 CA は、 Web サイトでこ のような証明書を提供しています。 企業が CA の役割を果たしている場合は、 サーバー管理者に確認してくださ い。 2. メイン ナビゲーション メニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま す。 3. 該当する [Import] ボタンをクリックします。 4. • LDAP サーバーまたは AD サーバーとの接続を保護するための証明書の場合またはクライアント証明書を使 用する場合は、 [Appliance root certificates] エリアの [Import] ボタンをクリックします。 • バックエンド HTTPS Web リソースとの接続を保護するための証明書の場合は、 [Back-end server root certificates] エリアの下部にある [Import] ボタンをクリックします。 証明書をアップロードします。 • 証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカル ファイル システム ( つまり AMC にログインしたコンピュータ ) から証明書の返信をアップロードします。 • 証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、 証明書をテキスト ボックスにペーストします。 このとき、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れるようにします。 5. [Save] をクリックします。 この操作により、 [CA Certificates] ページに戻ります。 6. 証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificate] ボタンをクリックします。 新しい証明書が [Manage Root Certificates] ページの上部に表示されます。 7. クライアント証明書の認証のためにルート ファイルをアップロードしている場合、 Web プロキシ サービスとネット ワーク プロキシ サービスを停止して再起動しなければなりません。 この操作により、 ユーザーへのサービスが短時間中断するため、 このような変更は保守期間に行うと良いでしょう。 詳細については、 223 ページの 「Aventail アクセス サービスの停止と開始」 を参照してください。 メモ • デフォルトの場合、 Web プロキシ サービスは、 バックエンド HTTPS Web サーバーが提示するルート証明書を 確認する構成になっています。 このセキュリティ チェックは重要で、 これにより、 バックエンド サーバーの身元を 信頼できるようになります。詳細については、228 ページの「Web プロキシ サービスの構成」を参照してください。 バ ッ ク エ ン ド HTTPS リ ソ ースに対する新し いルー ト 証明書の追加 バックエンド Web リソースを SSL で保護 ( つまり HTTP の代わりに HTTPS を使用 ) している場合、 Web プロキシ サービスを構成して、 バックエンド サーバーが提示したルート証明書を確認するよう設定する必要があります。 のセキュ リティ チェックは重要で、 これにより、 バックエンド サーバーの身元を信頼できるようになります。 詳細については、 228 ページの 「Web プロキシ サービスの構成」 を参照してください。 バックエンド サーバーのルート証明書が、 あらかじめアプライアンスにインストールされていない場合、 コピーを取得して AMC にインポートする必要があります。 X 新 し いバ ッ ク エ ン ド HTTPS ルー ト 証明書を ア プ ラ イ ア ン スに追加するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま す。 2. [Back-end server root certificates] エリアで、 該当する [Import] ボタンをクリックします。 3. 証明書をアップロードします。 4. • 証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカル ファイル システム ( つまり AMC にログインしたコンピュータ ) から証明書の返信をアップロードします。 • 証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、 証明書をテキスト ボックスにペーストします。 このとき、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れるようにします。 [Save] をクリックします。 この操作により、 [CA Certificates] ページに戻ります。 50| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 5. 証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificate] ボタンをクリックします。 新しい証明書が [Manage Root Certificates] ページの上部に表示されます。 メモ • Web プロキシ サービスは、 バックエンド証明書を HTTPS で確認する構成になっています。 AMC では、 ダウン ストリーム Web サーバーの構成を参照することができます。 詳細については、 228 ページの 「Web プロキシ サービスの構成」 を参照してください。 • [Manage Root Certificates] ページにリストされている CA を信頼したくない場合、 その証明書の隣にある チェック ボックスを選択して、 [Delete] をクリックします。 LDAP または Active Directory over SSL に対する新し いルー ト 証明書の追加 LDAP または Active Directory (AD) 接続を SSL で保護すると、 LDAP サーバーまたは AD サーバーを装おうと する試みを排除することで、 セキュリティを強化することができます。 LDAP または AD over SSL を構成するには、 LDAP または AD 証明書を与えた CA に対するルート証明書を、 SSL の信頼できるルート ファイルに追加しなければ なりません。 また、 デジタル証明書を使用してユーザーを認証している場合、 クライアント証明書をエンド ユーザーに 発行した CA に対するルート証明書を追加しなければなりません。 X LDAP サーバーまたは AD サーバーに対する CA ルー ト 証明書を ア プ ラ イ ア ン スに追加するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックして、 [CA Certificates] タブをクリックしま す。 2. [Appliance root certificates] エリアで、 該当する [Import] ボタンをクリックします。 3. 証明書をアップロードします。 • 証明書がバイナリ形式の場合は、[Browse] ボタンをクリックして、ローカル ファイル システム ( つまり AMC にログインしたコンピュータ ) から証明書の返信をアップロードします。 • 証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリックして、 証明書をテキスト ボックスにペーストします。 このとき、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れるようにします。 4. [Save] をクリックします。 この操作により、 [CA Certificates] ページに戻ります。 5. 証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificate] ボタンをクリックします。 新しい証明書が [Manage Root Certificates] ページの上部に表示されます。 この信頼できるルート ファイルには、 LDAP または AD 証明書を発行した CA だけでなく、 エンド ユーザーにク ライアント証明書を発行した CA ( クライアント証明書を使用している場合 ) に対するルート証明書も記載されてい なければなりません。 ク ラ イ ア ン ト 証明書の構成 ユーザーがクライアント証明書を使用して認証を受ける場合、 アプライアンスで、 信頼できるルート ファイルを構成しな ければなりません ( クライアント証明書の確認のため )。 このルート ファイルは、 アプライアンスに接続するユーザーか ら送信された証明書の有効性を確認するために使用されます。 この手順を実行するとき、 ユーザーへのサービスが短時 間中断するため、 保守期間に行うようにすると良いでしょう。 X ルー ト フ ァ イルを使用する よ う ア プ ラ イ ア ン ス を構成するには 1. ルート ファイルの名前を ldapca.cert に変更します。 2. ldapca.cert ファイルを /usr/local/aventail/etc ディレクトリにコピーします。 3. Web プロキシ サービスとネットワーク プロキシ サービスを停止して再起動します。 この操作により、 ユーザーへ のサービスが短時間中断しますが、 サービスが新しいルート ファイルを認識するためには、 この手順は必須で す。 詳細については、 223 ページの 「Aventail アクセス サービスの停止と開始」 を参照してください。 メモ • 正常に動作するには、 ルート ファイルが PEM 形式 (base64 エンコード ) になっていなければなりません。 ファ イルの変換方法の詳細については、 51 ページの 「証明書の FAQ」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 51 証明書の FAQ この節では、 証明書の使用に関連してよく尋ねられる質問にお答えします。 • 証明書を非商用 CA か ら取得するにはど う し た ら よいですか ? プロセスは、 商用 CA から証明書を取得する場合とほぼ同じですが、 非商用 CA (Microsoft Self-Signed Certificate Authority など ) の場合 CSR を送信する必要があります。 この手順については、 44 ページの 「ス テップ 2: 商用 CA へ CSR を送信」 で解説しています。 • 証明書の有効期限はいつ切れますか ? 自己署名証明書は 5 年間有効です。 サードパーティの証明書の場合、 その証明書の発行者によって、 有効期 限が異なることもあります。 詳細については、 その CA にお問い合わせください。 • ア プ ラ イ ア ン スの CA ルー ト フ ァ イルにはどのよ う な ものがあ り 、 それぞれどのよ う に使用 さ れますか ? /usr/local/aventail/etc の ldapca.cert ファイルには、 次のソースから次のルート証明書を入れなければなり ません。 • ユーザーがクライアント証明書を使用して認証を受ける場合、 証明書を発行した CA から取得した信頼できる ルートを入れます。 • セキュアな LDAP (LDAPS) を使用して、 ユーザー名とパスワードの認証を行う場合、 LDAP サーバーの証 明書を発行した CA から取得した、 信頼できるルートを入れます。 • セキュアな LDAP (LDAPS) を使用して、 クライアント証明書の認証を行う場合、 LDAPS サーバーの証明 書を発行した CA から取得した、 信頼できるルートを入れます (LDAPS およびクライアント証明書が同じ CA から発行されている場合、 署名鍵が 1 つだけ必要になる )。 /usr/local/extranet/etc の backendca.cert ファイルには、 Web プロキシ サービスが管理するセキュアな Web サーバー (HTTPS) で使用されている、 SSL 証明書を発行した CA から取得したルート証明書を入れる必 要があります。 これは、 Web プロキシ サービスが、 セキュアでない (HTTP) リソースを管理している場合は、 必 要ありません。 詳細については、 49 ページの 「バックエンド HTTPS リソースに対する新しいルート証明書の追 加」 を参照してください。 • 信頼で き るルー ト 証明書は、 信頼で き るルー ト フ ァ イルにどれだけ入れる こ と がで き ますか ? ルート ファイルには、 必要なだけ証明書を入れることができます。 信頼できるルート ファイルに証明書を入れる場 合、 >> コマンドを使用してファイルを追加すると良いでしょう ( たとえば 「cat myfile >> ldapca.cert」 のように入力する )。 証明書は、 PEM 形式 (base64 エンコード ) でエンコードし、 開始バナー ( 「---BEGIN CERT...」 ) と終了バナー ( 「----END CERT...」 ) を必ず入れるようにします。 • 他のツールで生成 し た秘密鍵または CSR を ア プ ラ イ ア ン スに イ ンポー ト で き ますか ? 秘密鍵および CSR は、 Setup Tool または認証生成ツールを使用して、 アプライアンスで生成しなければなりま せん。 ただし、 秘密鍵および CSR を、 セキュア コピー (scp) を使用して、 Aventail アプライアンス間でコピー することはできます。 コピーした証明書は、 AMC 内から変更すれば、 上書きされます。 • AMC 証明書はど こ に保管 さ れますか ? AMC の自己署名証明書は、 /usr/local/app/mgmt-server/sysconf/active/keystore.jetty に保管され ます。 AMC の場合、 ほとんどの環境については、 自己署名証明書で十分です。 ただし、 AMC は、 信頼され るネットワーク内で使用しなければなりません。 自己署名証明書は、 受動的な盗み見に対する防止策にはなります が、 能動的な攻撃に対する防衛策になりません。 • ア プ ラ イ ア ン スの CA ルー ト フ ァ イルにはどのよ う な ものがあ り 、 それぞれどのよ う に使用 さ れますか ? (/usr/local/aventail/etc に保管されている ) ldapca.cert ファイルには、 次のソースから次のルート証明書を 入れなければなりません。 • ユーザーがクライアント証明書を使用して認証を受ける場合、 証明書を発行した CA から取得した信頼できる ルートを入れます。 • セキュアな LDAP (LDAPS) を使用して、 ユーザー名とパスワードの認証を行う場合、 LDAP サーバーの証 明書を発行した CA から取得した、 信頼できるルートを入れます。 • セキュアな LDAP (LDAPS) を使用して、 クライアント証明書の認証を行う場合、 LDAPS サーバーの証明 書を発行した CA から取得した、 信頼できるルートを入れます (LDAPS およびクライアント証明書が同じ CA から発行されている場合、 署名鍵が 1 つだけ必要になる )。 (/usr/local/extranet/etc に保管されている ) backendca.cert ファイルには、 Web プロキシ サービスが管 理するセキュアな Web サーバー (HTTPS) で使用されている、 SSL 証明書を発行した CA から取得したルート 証明書を入れる必要があります。 これは、 Web プロキシ サービスが、 セキュアでない (HTTP) リソースを管理し ている場合は、 必要ありません。 詳細については、 49 ページの 「バックエンド HTTPS リソースに対する新しい ルート証明書の追加」 を参照してください。 52| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 • ア プ ラ イ ア ン スのルー ト 証明書に リ ス ト さ れている CA に、 信頼 し た く ない ものがあ り ます。 信頼 さ れて いる証明書を どのよ う に修正 し た ら良いですか ? 特定の CA を信頼したくない場合、 アプライアンスと SSH 接続を確立し、 テキスト エディタで証明書ファイル (backendca.cert または ldapca.cert) を開いて、 CA の証明書をリストから取り除きます。 • 信頼で き るルー ト 証明書は、 信頼で き るルー ト フ ァ イルにどれだけ入れる こ と がで き ますか ? ルート ファイルには、 必要なだけ証明書を入れることができます。 信頼できるルート ファイルに証明書を入れる場 合、 >> コマンドを使用してファイルを追加すると良いでしょう ( たとえば 「cat myfile >> ldapca.cert」 のように入力する )。 証明書は、 base64 エンコード (PEM) 形式でエンコードし、 開始バナー ( 「---BEGIN CERT...」 ) と終了バナー ( 「----END CERT...」 ) を必ず入れるようにします。 レルムでのユーザー認証の管理 認証は、 当人であることを識別するため、 ユーザーの身元を確認するプロセスです ( 認証は許可とは異なる。 認証は 身元を確認するが、 許可はアクセス権を指定するだけである )。 この節では、 ユーザー認証レルムを構成する方法と外 部認証サーバーを参照する方法について説明します。 ユーザー認証を管理するには、 AMC で 1 台以上の外部認証サーバーを定義して、 ユーザーによるアプライアンスへ のログインのためにセットアップするレルムから参照されるようにしなければなりません。 レルムは、 外部認証サーバーに マッピングされたユーザー グループで、 AMC で定義します。 AMC のレルムと外部認証サーバーとの対応関係は、 1 対 1 と多対 1 のいずれかになります。 ネットワークで 1 台の 認証サーバーのみにユーザー情報を保管している場合、AMC に認証レルムを 1 つだけ作成する必要があります。ネッ トワークで複数の認証サーバーを使用している場合、 それぞれのサーバーごとに、 AMC の認証レルムを 1 つ以上作 成する必要があります。 また、 単一の外部リポジトリで、 複数の異なるユーザー グループを参照する複数の認証レルム を、 AMC で作成することもできます。 認証レルムを 1 つしか使用しない場合でも、 アクセス要件やその他のセキュリティ条件に基づいてユーザーのサブセッ トを作成することができます。 これは、 認証レルムをユーザーのコミュニティと対応させる必要があるためです。 コミュニ ティは、 レルムのすべてのユーザーで構成することができる他、 選択したユーザーのみを入れることもできます。 また、 アクセス エージェントを設定したり、 コミュニティのメンバーに End Point Control 制約を適用したりするために使用す ることもできます。 コミュニティの詳細については、 106 ページの 「コミュニティの管理」 を参照してください。 レルムの表示 AMC で構成したレルムが、 [Authentication] ページに表示されます。 X 構成 し た レルムを表示するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Realms] リストのデータを参照します。 • 1 つまたは複数のレルムを選択する場合、 チェック ボックス列を使用します。 これを使用してレルムを削除し たり、 コピーしたりすることができます。 • プラス記号 ( 「+」 ) の列をクリックすると、 レルムが拡大され、 認証サーバーとユーザー コミュニティ ( ある 場合 ) が表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 53 • [Enabled] 列には、そのレルムが有効になっているか無効になっているかが示されます。緑色のインジケー タの場合そのレルムが有効で、 赤いインジケータの場合そのレルムは無効になっています。 レルムが無効の 場合、 そのレルムのユーザーやグループはログインすることができません。 • [Name] 列には、 レルムを作成するときに割り当てた名前が表示されます。 レルム名は、 クリックすると編 集することができます。 • [Authentication server] 列には、 ユーザーの身元を確認するときにそれぞれのレルムによって参照さ れる認証サーバーの名前がリストされます。 • [Description] 列には、 レルムを作成するときに入力した説明テキストがリストされます。 デフ ォル ト 、 表示、 非表示レルム ユーザーを認証するとき、 アプライアンスは、 そのユーザーがどのレルムに所属しているか認識していなければなりませ ん。 有効なレルムが 1 つしかない場合、 アプライアンスは自動的にそのレルムを使用します。 ただし複数のレルムが有 効な場合、 アプライアンスはどのレルムを使用するか認識しておく必要があります。 ユーザーがログインするとき、 通常、 適切なレルムをリストから選択します。 ただし、 AMC でデフォルト レルムを定義すれば、 簡単にレルムを選択できるようにすることもできます (57 ページの 「デフォルト レルムの選択」 を参照 )。 デフォルト レルムが定義されている場合、 レルム選択ボックスに、 デフォルト レ ルムが自動的に入れられます ( ただし Connect クライアントではこれが当てはまらない )。 アクセス方法固有の動作に ついては、 この節で概説します。 デフォルト レルムを選択しておくことが強く推奨されます。 また、 どのレルム名がエンド ユーザーに提示されるかについても選択することができます。 表示されていないレルムにロ グインする必要がある場合、 ユーザーはそのレルム名をログイン ボックスに正確に入力しなければなりません。 たとえ ば、 さまざまなサプライヤー用にレルムを作成していて、 サプライヤー同士が互いを知らない状態が望ましいという状況 を考えてみます。 その場合、 このようなレルム名を非表示にしておくと、 それぞれのサプライヤーは、 アプライアンスに ログインするときにレルム名を入力しなければならなくなります。 次の表は、 さまざまなレルム構成の場合に、 エンド ユーザーによるログイン時の作業がどう変動するかを示しています。 有効なレルム デフォルト レルムの構成 非表示 レルムの構成 ユーザーのログイン時の作業 1つ 該当なし 該当なし ユーザーはログイン時にレルムを選択しません。 認証 の際、 有効なレルムが自動的に使用されます。 複数 あり なし ユーザーがリストからレルムを選択します。 レルム テキ スト ボックスにはデフォルト レルムが入ります。 複数 なし なし ユーザーがリストからレルムを選択します。 レルム テキ スト ボックスには最初のレルム ( アルファベット順にソー トされている ) が入ります。 複数 あり あり ユーザーがリストからレルムを選択します。 レルム テキスト ボックスにはデフォルト レルムが入ります。 レルム リストには、 [Other] というエントリがあり、 2 番目のテキスト ボックスが表示されています。 ログ インの際、 非表示レルムを使用したい場合、 [Other] を選択して、 2 番目のテキスト ボックスにレルム名を 入力します。 以下では、 アクセス方式ごとに、 ユーザーのログイン時の作業を示します。 54| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ASAP WorkPlace ユーザーが最初に ASAP WorkPlace にアクセスするとき、 1 ページまたは複数のログイン ページが表示されます。 1 つのレルムのみが有効な場合、 ユーザー クレデンシャルを要求するページのみが表示されます。 複数のレルムが有効 な場合は、 次のようなログイン ページが表示されます。 このページで適切なレルムを選択します。 非表示レルムが 1 つまたは複数ある場合、 ログイン ページは次のようになります。 [Next] をクリックすると、 ユーザー名とパスワードで認証するユーザーの場合、 クレデンシャルを入力するためのペー ジが表示されます。 レルムを定義する場合のベス ト プ ラ ク テ ィ ス レルムを定義するとき、 ユーザーのログインの作業を軽減するため、 次のベスト プラクティスを実行します。 • エンド ユーザーがログイン時にレルム名を選択するため、 レルム名を定義するときは、 ユーザー グループを明確 に表す名前にしなければなりません。 たとえば、 すべての社内従業員を含むレルムの場合は 「employees」 な どの名前を使用し、 外部のサプライヤーを含むレルムの場合は 「suppliers」 などとします。 • 一部のユーザーが非表示のレルムにログインするような場合、 入力するレルム名と入力方法 ( レルムのリストから [Other] を選択してテキスト ボックスにレルム名を入力 ) をそのユーザーに知らせておきます。 • 必要な場合に限って、 複数のレルムを有効にします。 有効なレルムが 1 つだけの場合、 ユーザーはログイン プ ロセスでレルムを選択する必要がなくなります。 テスト環境から実稼働環境に移行するときは、 すべてのテスト レル ムが削除されていることを確認してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 55 レルムの作成と 構成 認証レルムを作成および構成するときは、 次の手順を実行します。 複数のレルムを作成する場合、 デフォルト レルムと して 1 つ選択する必要があります。 この方法については、 後で説明します。 レルムを作成し、 これを外部認証サーバーと対応させたら、 1 つまたは複数のコミュニティをレルムに割り当てます。 コ ミュニティの詳細については、 106 ページの 「コミュニティの管理」 を参照してください。 X レルムを作成する には 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Realms] セクションで [New] ボタンをクリックします。 この操作により、 [Configure Realm] ページの [General] セクションが表示されます。 3. [Name] テキスト ボックスに、 わかりやすいレルムの名前を入力します。 エンド ユーザーが VPN へのログイン 時にこのレルム名を選択するため、 レルム名を定義するときは、 ユーザー グループを明確に表す名前にしなけ ればなりません。 4. [Description] テキスト ボックスに、 レルムについてのコメントを入力します。 コメントを入れておくと、 VPN で 複数の認証レルムを使用する場合など、 特に便利です。 5. 対応する [Status] を選択することによって、 レルムを有効または無効にします。 詳細については、 57 ページ の 「レルムの有効化と無効化」 を参照してください。 6. ユーザーに提示されるレルムのリストに、 このレルムを入れる ( ほとんどの場合これが推奨される ) 場合、 [Display this realm] チェック ボックスを選択します。 7. [Authentication server] で、 ユーザーの身元を確認するためにレルムが使用する認証サーバーを選択し ます。 このフィールドは必ず設定しなければなりません。 また、 新しい認証サーバーを構成してレルムで参照す る場合は、 [New] をクリックします。 詳細については、 59 ページの 「認証サーバーの構成」 を参照してくださ い。 8. オプションで [Enable group affinity checking] チェック ボックスを選択することにより、 アプライアンス が、 セカンダリ認証リポジトリを照会するよう設定することができます。 詳細については、 58 ページの 「レルムで のグループ アフィニティ チェックの有効化」 を参照してください。 9. ユーザー コミュニティをレルムと対応させるには [Next] (56 ページの 「コミュニティとレルムとの関連付け」 を参 照 )、 [Authentication] ページに戻るには [Finish] をクリックします。 コミュニティを割り当てずに認証レルムを作成し保存した場合、 AMC は自動的にグローバル デフォルト コミュニ ティをそのレルムに割り当てます。 56 ページの 「デフォルト コミュニティの使用」 を参照してください。 56| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 コ ミ ュ ニテ ィ と レルム と の関連付け 認証レルムを作成したら、 レルムに対応させるコミュニティを 1 つまたは複数選択しなければなりません。 構成済みのデ フォルト コミュニティを使用できる (56 ページの 「デフォルト コミュニティの使用」 を参照 ) 他、 他のコミュニティをレル ムに対応させることもできます。 デフォルト コミュニティ以外のコミュニティをレルムに対応させる場合、 既存のコミュニティ を選択するか、 新しいコミュニティを作成します。 時間の経過とともにユーザー アクセス要件やセキュリティ ポリシー要件が変化するのに合わせて、 レルムにコミュニティ を追加できる他、 レルムが参照するユーザー コミュニティを修正したり削除したりすることもできます。 X コ ミ ュ ニ テ ィ を レルムに対応 さ せるには 1. [Configure Realm] ページの [General] セクションでレルムを作成したら、 [Next] ボタンをクリックしま す。 この操作により、 [Configure Realm] ページの [Communities] セクションが表示されます。 2. [Communities] セクションで次の作業を行います。 • [Community] リストから既存のコミュニティを選択して、 [Add] をクリックします。 この操作により、 レル ムがコミュニティのリストに追加されます。 • 新しいユーザー コミュニティを作成し構成するときは、 [New] ボタンをクリックします。 この操作により、 [Configure Community] ページが表示されます。 106 ページの 「コミュニティの作成と構成」 を参照し てください。 3. 別のコミュニティを追加する必要がある場合は、 レルムに追加します。 4. 必要であれば、 コミュニティがリストで表示される順序を変更します。 57 ページの 「レルムでコミュニティがリストさ れる順序の変更」 を参照してください。 5. [Finish] をクリックします。 この操作により、 コミュニティがレルムに対応し、 [Authentication] ページに戻 ります。 デフ ォル ト コ ミ ュ ニテ ィ の使用 認証レルムを作成したら、 そのレルムに 1 つまたは複数のコミュニティを対応させなければなりません。 これが必要にな るのは、 アプライアンスがアクセス エージェントおよび End Point Control コンポーネントをユーザーに設定するとき に、 コミュニティが使用されるためです。 コミュニティを認証レルムと対応させるための最も簡単な手段は、 AMC ですでに構成されているグローバル デフォルト コミュニティを使用する方法です。 デフォルト コミュニティには、 次のような特性が自動的に割り当てられています。 • コミュニティのメンバーシップは [Any] に設定されています。 つまり、 認証レルムのすべてのユーザーがこのコミュ ニティに割り当てられます。 • コミュニティのメンバーは、 Web ベースのプロキシ アクセス (TCP プロトコル ) と Web アクセス (HTTP) の 2 つ の方法を利用できます。 • ユーザーのコンピュータには、 End Point Control 制約が課せられていません。 メモ • レルムのデフォルト コミュニティについても、 他のコミュニティと同様の方法で、 設定を修正することができます。 112 ページの 「コミュニティの編集」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 57 • また、 新しくコミュニティを追加して、 レルムに対応させることもできます。 56 ページの 「コミュニティとレルムとの 関連付け」 を参照してください。 レルムで コ ミ ュ ニテ ィ が リ ス ト される順序の変更 ユーザーが認証レルムにログインするとき、 アプライアンスは、 アクセス エージェントを設定できるようにするため、 その ユーザーが所属するコミュニティを調べます。 1 つのレルムでコミュニティを 1 つしか使用しない場合、 またはそれぞれ のユーザーに 1 つのコミュニティしか割り当てていない場合、 ログインし適切なアクセス エージェントを受け取るプロセス は至極単純なものになります。 しかし、 あるユーザーが複数のコミュニティに所属している場合、 そのユーザーに割り当てられるコミュニティは、 [Configure Realm] ページの [Communities] セクションにリストされるときのコミュニティの順序で決まります。 アプライアンスは、 ユーザーをリストの最初のコミュニティと一致させようとします。 ユーザーは、 一致するリストの最初の コミュニティに割り当てられることになります。 そのため、 このような場合、 最も範囲が狭いコミュニティをリストの最初に配 置するのがベストです。 X レルムに対する コ ミ ュ ニ テ ィ の順序を変更するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. コミュニティの順序を変更する認証レルムの名前をクリックします。 この操作により、 [Configure Realm] ペー ジの [General] セクションが表示されます。 3. [Communities] リンクをクリックします。 この操作により、 [Configure Realm] ページの [Communities] セクションが表示されます。 4. コミュニティのリストで、 移動したいそれぞれのコミュニティに対するチェック ボックスを選択します。 5. [Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。 ボタンをクリックすると、 選択したコミュ ニティがそれぞれ上下方向に 1 段階ずつ移動します。 6. コミュニティが所定の場所まで移動したら、 [Save] をクリックします。 メモ • ユーザーに割 り 当て ら れてい る コ ミ ュ ニテ ィ は、 ASAP WorkPlace の [details] ページに表示 さ れます。 デフ ォル ト レルムの選択 複数の認証レルムを使用する場合、 デフォルト レルムを 1 つ選択する必要があります。 ユーザーを認証するには、 ユー ザーがどのレルムに所属するか、 アプライアンスが認識していなければなりません。 1 つのレルムのみを有効にしている 場合、 アプライアンスは自動的にそのレルムを使用します。 しかし複数のレルムが有効になっている場合は、 どのレル ムを使用するかアプライアンスに通知しておく必要があります。 ユーザーがログインするとき、 通常リストから適切なレル ムを選択しますが、 AMC 内でデフォルト レルムを定義しておけば、 レルムを簡単に選択できるようになります。 レルムを 1 つだけ構成している場合でも、 そのレルムがデフォルトとして指定されていなければ、 [Authentication] ページに 「There is no default realm selected」 という警告メッセージが表示されます。 X デ フ ォ ル ト レルムを選択するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Default realm] リストから、 デフォルト レルムにする認証レルムを選択します。 このリストには、 有効になっ ておりしかも表示レルムとして構成されているレルムのみが表示されます。 非表示レルムはデフォルトとして設定で きないため、 ここに表示されません。 レルムの有効化と 無効化 アプライアンスは、 複数のレルムの同時使用をサポートしています。 レルムを有効化または無効化することにより、 どの レルムをアクティブにするかコントロールすることができます。 レルムを無効化すると、 そのレルムに対応するユーザーと グループがログインできなくなります。 有効な認証レルムがない場合、 ユーザーはネットワークにアクセスできなくなりま す。 X 認証レルムを有効化または無効化する には 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 [Authentication] ページには、 定義されているレルムのリストが表示されます。 あるレルムが有効化されている場合、 緑色のインジ ケータ アイコンが左から 2 番目の列に表示されます。 レルムが無効化されている場合は、 グレーのインジケータ アイコンが表示されます。 58| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 2. 有効化または無効化するレルムの名前をクリックします。 この操作により、 そのレルムに対する [Configure Realm] ページが開きます。 3. [General] セクションで、 そのレルムの [Status] について [Enabled] または [Disabled] を選択し、 [Save] をクリックします。 レルムの編集 レルムの構成を編集する場合、 次の手順を実行します。 X 認証レルムを編集するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. 編集するレルムの名前をクリックします。 この操作により、 そのレルムに対する [Configure Realm] ページが 開きます。 3. [General] セクションおよび [Communities] セクションで構成を変更し、 [Save] をクリックします。 レルムのコ ピー 複数のレルムを作成するとき、 データ入力の時間を節約するため、 既存のレルムから設定をコピーして、 新しいレルム の構成の際にそれを利用することができます。 X レルムを コ ピーするには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Realms] リストで、 コピーしたいそれぞれのレルムの左側にあるチェック ボックスを選択して、 [Copy] ボタン をクリックします。 この操作により、 そのレルムに対する [Configure Realm] ページが開きます。 それぞれの フィールドには、 元のレルムの設定が表示されています。 3. [Name] テキスト ボックスに、 新しいレルムの名前をわかりやすいことばで入力します。 エンド ユーザーがログ イン時にこのレルム名を選択するため、 レルム名を定義するときは、 ユーザー グループを明確に表す名前にしな ければなりません。 4. 必要に応じて設定を変更します。 これらの設定の詳細については、 55 ページの 「レルムの作成と構成」 を参照 してください。 5. [Save] をクリックします。 この操作により、 新しいレルムが作成され、 [Authentication] ページに戻りま す。 レルムの削除 レルムを削除するときは、 次の手順で行います。 X レルムを削除する には 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Realms] リストで、 削除したいそれぞれのレルムの左側にあるチェック ボックスを選択して、 [Delete] ボタン をクリックします。 ユーザーまたはグループと対応しているレルムは削除することができません。 ユーザーおよびグループを削除するか、 他のレルムと対応させなければなりません。 レルムでのグループ ア フ ィ ニテ ィ チ ェ ッ クの有効化 アプライアンスは、 「グループ アフィニティ チェック」 をサポートしています。 この機能は、 異なる複数のシステムで認 証と許可を処理するようなネットワーク環境に対応するものです。 グループ アフィニティ チェックは、 ユーザーが、 あるリポジトリで認証され、 ユーザーのグループ情報が 2 番目のリポ ジトリから渡されるような認証シナリオをサポートしています。 このような状況は、 認証で RADIUS/SecurID トークンが 使用され、 ユーザーのグループ情報が LDAP サーバーまたは Active Directory サーバーから送られるような場合に 当てはまります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 59 X グループ ア フ ィ ニ テ ィ チ ェ ッ ク を有効にするには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Realms] リストで、 修正するレルムの名前をクリックします。 この操作により、 そのレルムに対する [Configure Realm] ページが開きます。 3. [Enable group affinity checking] チェック ボックスを選択します。 4. [Server] リストから、 グループ情報を保管する LDAP サーバーまたは Active Directory サーバーの名前を 選択します。 [New] をクリックすることにより、 [New Authentication Server] ページを使用して、 新し いグループ アフィニティ サーバーを定義することもできます。 5. [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 レルムの作成プロセスの際に、 グループ アフィニティ チェックを有効にしている場合は、 表示されるボタンが異なります。 [Configure Realms] ページの [Communities] セクションに進むには [Next]、 [Authentication] ペー ジに戻るには [Finish] をクリックします。 認証サーバーの構成 AMC を使用して認証をセットアップするとき、 ディレクトリ (LDAP、 Microsoft Active Directory、 RADIUS、 ロー カル ユーザー ) と認証方式 ( ユーザー名 / パスワード、 トークンまたはスマート カード、 デジタル証明書など ) を構成 します。 またその他にも、 認証プロセスごとに固有の構成 ( たとえば LDAP 検索ベースまたは固有のディレクトリ サー バー ) を行います。 Aventail アプライアンスでは、 次のディレクトリと認証方式がサポートされています。 • LDAP でユーザー名 / パスワードまたはデジタル証明書を使用 • Microsoft Active Directory でユーザー名 / パスワードを使用 • RADIUS でユーザー名 / パスワードを使用、 またはトークンベースの認証 (SecurID や SoftID など ) • ローカル ユーザー ( 主にテストのために使用するもので、 実稼働環境には推奨されない ) あるレルムの認証サーバーを参照し、 ユーザーをレルムに対応させたら、 アプライアンスはユーザーのクレデンシャル を、 指定された認証リポジトリに保管されているクレデンシャルと比較してチェックします。 複数の認証サーバーの定義 このアプライアンスでは、 複数の認証サーバーを定義して使用できるようになっています。 次に、 レルムで複数の認証 サーバーが参照される場合の構成例を示します。 • デ ィ レ ク ト リ / 認証方式を複数組み合わせた構成。ユーザー名 / パ ス ワー ド を使用 し た LDAP やデジ タ ル証 明書を使用 し た LDAP の構成な ど があ り ます。 た と えば、 企業従業員がユーザー名 と パス ワー ド を使用 し て ロ グ イ ン し 、 コ ール セ ン タ ー部門の従業員がデジ タ ル証明書で ロ グ イ ンす る 場合な ど が こ れに当た り ま す。こ の よ う な場合、employee レルム と callcenter レルム を作成 し 、それぞれが適切な認証方式 と LDAP 検索ベース を参照す る よ う に し ます。 • 同 じ デ ィ レ ク ト リ / 認証方式の複数のイ ン ス タ ン スが、異な るバ ッ ク エ ン ド サーバーを使用する よ う な構 成。 2 つの RADIUS/ パスワード インスタンスが、 異なる RADIUS サーバーを使用する構成などがあります。 こ の場合、 それぞれ適切なサーバー情報を持つ 2 つの認証サーバーを定義します。 • 同 じ デ ィ レ ク ト リ /認証方式の複数のイ ン ス タ ン スが、同 じ サーバーにあ り ながら異な る方法で構成 さ れて いる構成。 ユーザー名 / パスワードを使用した LDAP が同じサーバーにあり、 異なる検索ベースを使用する構成 などがあります ( レルムごとに、 ディレクトリ内の異なるサブツリーを検索 )。 たとえば、 PartnerA レルムが特定の LDAP サブツリーにあり、 PartnerB レルムが別のサブツリーにあると仮定します。 PartnerA レルムと PartnerB レルムを定義するときは、 それぞれについて適切な検索ベースを構成します。 AMC には 「グループ アフィニティ チェック」 の機能もあります。 この機能は、 異なる複数のサーバーで認証と許可を 処理するようなネットワーク環境に対応するものです。 詳細については、 58 ページの 「レルムでのグループ アフィニ ティ チェックの有効化」 を参照してください。 60| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 レルムでの認証サーバーの参照 レルムの構成を保存する前に、 AMC でレルムを認証サーバーに対応させなければなりません。 これについては、 55 ページの 「レルムの作成と構成」 で解説しています。 その後、 認証プロセスが変更されたら、 異なる認証サーバーを 参照するようレルムを再構成することができます。 X レルムで認証サーバーを参照するには 1. メイン ナビゲーション メニューから [Authentication] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Realms] リストで、 異なる認証サーバーを参照するよう構成するレルムの名前をクリックします。 この操作によ り、 [Configure Realm] ページが表示されます。 3. [Authentication server] リストから、 このレルムでユーザーの身元を確認するために使用する認証サー バーの名前を選択します。 また、 新しい認証サーバーを作成してレルムで参照する場合は、 [New] をクリックします。 4. [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 Microsoft Active Directory サーバーの構成 このアプライアンスでは、 Microsoft Active Directory (AD) でユーザー名 / パスワード クレデンシャルを検証できる ようになっています。 Active Directory でデジタル証明書を使用している場合、 LDAP サーバーとして構成する必要 があります。 63 ページの 「Active Directory 認証を行うための LDAP の構成」 を参照してください。 次の図は、 一般的な Active Directory 構成の例を示しています。 䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲 Aventail 䭩䮞䮰䭫䭩䮺䮀 SSL (䮤䯃䮏 443) y 䮭䯃䭽䯃ฬ䬷 䮘䮀䮶䯃䮐 䭫䮺䮆䯃䮔䮊䮏 y y LDAP (䮤䯃䮏 389) LDAPS (䮤䯃䮏䎃636) 䮜䭨䭫䭩䭭䭰䯃䮲 Microsoft Active Directory Active Directory サーバーを構成したら、 テスト接続を確立して、 レルム構成設定を検証することができます。 詳細 については、 75 ページの 「認証構成のテスト」 を参照してください。 メモ • アプライアンスが Active Directory サーバーと通信できるようにするため、 ファイアウォールまたはルータを修正 する必要があります。 アプライアンスは、 標準 LDAP ポートおよび LDAPS ポートを使用して Active Directory と通信します。 標準 LDAP ポートは 389/tcp で、 LDAPS はポート 636/tcp を使用して通信します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 61 ユーザー名と パスワー ド を使用する Active Directory の構成 ユーザー名 / パスワード検証を使用する Active Directory 認証サーバーを構成する場合、 次の手順を実行します。 Active Directory でデジタル証明書を使用している場合、 LDAP レルムとして構成する必要があります。 63 ページ の 「Active Directory 認証を行うための LDAP の構成」 を参照してください。 X Active Directory を構成するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで [New] ボタンをクリックします。 3. [New Authentication Server] ページの [Directory type/protocol] で [Microsoft Active Directory] を ク リ ッ ク し ます。 4. Active Directory で選択できる [Credential type] は [Username/Password] のみであるため、 選 択する必要はありません。 ここで [Continue] をクリックします。 この操作により、 [Configure Authentication Server] ページが表示されます。 5. [Name] ボックスに、 認証サーバーの名前を入力します。 6. [General] エリアに情報を入力していきます。 • [Active Directory domain controller] ボックスに、 Active Directory ドメイン コントローラの IP アドレスまたはホスト名を入力します。 • 特定の Active Directory ドメインを指定したい場合、 [Active Directory domain name] ボックス に入力します。 ここで指定するのは、 検索ベースとして使用するドメインでなければなりません ( つまり適切 な cn=users コンテナが含まれるドメイン )。 たとえば、 marketing など、 単一のドメインを検索したい場 合、 「marketing.example.com」 と 入 力 し ま す。 ま た、 企 業 の ド メ イ ン 全 体 を 検 索 し た い 場 合 は、 「example.com」 と入力します。 ドメインを指定しない場合、 アプライアンスは、 ドメイン コントローラで最 初に見つかったデフォルト ネーミング コンテキストを検索します。 • Active Directory 検索を実行するためには、 アプライアンスが、 Active Directory にログインしなければ なりません ( アノニマス検索を許可するよう Active Directory を構成している場合を除く )。 そのため [Login name] ボ ッ ク ス に、 Windows ドメ イ ンに ロ グ イ ンす る と き に 使用 す る ユー ザー 名 ま た は sAMAccountname 属性を入力します ( たとえば 「jdoe」 や 「[email protected]」 )。 ログイン名は、 検索を実行しユーザー レコードを参照する権限を持つユーザーのものでなければなりませ ん。 たとえば、 そのドメイン コントローラの管理者などがこれに当たります。 これらの権限を持っていれば、 管理者でないユーザーを指定することもできます。 Active Directory ドメインを指定した場合、 アプライアンスは、 そのドメインでユーザーを検索します。 ドメ インを指定しない場合、 アプライアンスは、 ドメイン コントローラで最初に見つかったデフォルト ネーミング コンテキストを検索します。 ユーザー情報がこのようなロケーションのどれにも保管されていない場合、 このレ 62| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ルムを LDAP レルムとして構成する必要があります。 63 ページの 「Active Directory 認証を行うための LDAP の構成」 を参照してください。 • 7. 8. ログ イ ン名に対応するパスワードを [Password] に入力します。 Active Directory 接続を SSL で保護する場合、 [Active Directory over SSL] エリアに情報を入力しま す。 • Active Directory 接続を SSL で保護するときは、 [Use SSL to secure Active Directory connection] チェック ボックスを選択します。 • 証明書の詳細を表示し、 アプライアンスがルート証明書を使用できるか確認するときは、 [View CA Certificate] をクリックします。 この操作により、 クライアント証明書と SSL 証明書を発行した CA の名前 (1 つまたは複数 ) がリストされます。 Active Directory サーバーの CA がこのファイルにリストされていな い場合または自己署名証明書を使用する場合は、 証明書をこのファイルに追加しなければなりません。 詳 細については、 50 ページの 「LDAP または Active Directory over SSL に対する新しいルート証明書 の追加」 を参照してください。 • Active Directory ドメイン コントローラのホスト名が、 Active Directory サーバーで提示された証明書の 名 前と 同 じ で あ る こと を 確認 す る 場合 は、 [Match certificate CN against Active Directory domain controller] チェック ボックスを選択します。 通常、 サーバー名は、 デジタル証明書で指定さ れている名前と一致します。 使用しているサーバーでもこれが当てはまる場合、 実稼働環境でこのオプション を有効にすると良いでしょう。 こうしておくと、 デジタル証明書または DNS サーバーが危険にさらされた場合 でも、 許可されていないサーバーが、 AD サーバーをマスカレードすることは困難になります。 [Advanced] エリアでは、 Active Directory パスワードの有効期限切れの前にユーザーに通知するオプショ ンの他、 NTLM 認証転送オプションも構成することができます。 ユーザーは、 アプライアンス経由でパスワードを 変更することはできませんが、 この高度な通知機能により、 他の手段でパスワードを変更できるようになります。 • 通知機能を有効にするため、 [Prompt users before password expires] チェック ボックスを選択 します。 この通知機能が、 有効期限の何日前 ( デフォルトは 5 日前 ) に動作するか指定するため、 [days before expiration] ボックスに数値を入力します。 当日になると、 ユーザーに次のメッセージが送信さ れるようになります。 Your password is about to expire in <n> days. ただし <n> は、 有効期限切れま での日数です。 • 9. NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいずれか をクリックします。 詳細については、 76 ページの 「NTLM 認証転送の構成」 を参照してください。 [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 63 メモ • [Login name] および [Password] フィールドは、 Active Directory サーバーに接続する上で必須という わけではありません。 ただし、 これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、 アプ ライアンスは匿名でバインドするようになります。 その場合、 アノニマス検索を許可するよう Active Directory を 構成していなければ、 検索がエラーになります。 • 複数の Active Directory with SSL (ADS) サーバーを定義している場合、 それぞれのサーバーで同じ [Match certificate CN against Active Directory domain controller] 設定を指定します ( 実稼 働環境ではこのオプションを有効にするのが望ましい )。 AMC では、 この設定をレルム単位で構成できるように なっていますが、 アプライアンスは実際のところ、 最後にロードされた ADS レルムで指定されている設定を使用し ます。 たとえば、 3 つの ADS レルムでこのチェック ボックスを選択していて、 4 番目の ADS レルムでは選択解 除しているような場合、 この機能はすべてのレルムで無効になります。 ! 注意 Active Directory over SSL が有効でない場合、 パスワードが、 暗号化されない状態で Active Directory サーバーに転送されます。 内部ネットワークが信頼されていない場合は、 SSL を有効にする必要が あります。 Active Directory サーバーでも、 SSL の使用を有効にしなければなりません。 詳細については、 Microsoft Active Directory のマニュアルを参照してください。 Active Directory 認証を行 う ための LDAP の構成 Active Directory でデジタル証明書を使用している場合、 LDAP を使用して Active Directory で認証する必要が あります。 LDAP サーバーを構成する手順については、 65 ページの 「LDAP および LDAPS 認証の構成」 で定義し ています。 LDAP を構成するとき、 ディレクトリの照会時に使用する属性について、 特に注意を払わなければなりませ ん。 Active Directory のインプリメンテーションはどの場合も異なっているため、 実際の Active Directory スキーマ でオブジェクト クラスおよび関連する属性がどのように構成されているか知っていなければなりません。 次の表は、 ユーザー名 / パスワード クレデンシャルを検証するときに使用される、 主要な Active Directory 属性を示 しています。 すべての属性で大文字と小文字が区別されます。 フィールド 説明 Login DN Active Directory サーバーとの接続を確立するときに使用される DN。 example.com ドメインにある汎用の Active Directory 構成では、 ユーザー名 「John Doe」 の DN は次のようになります。 cn=John Doe,cn=users,dc=example,dc=com Search base ユーザー情報の検索を始める AD ディレクトリ内のポイント。 通常これは、 ユーザー情報 が含まれるディレクトリ ツリーの最下層になります。 AD にバインドしているユーザーに は、 このレベルでこのディレクトリを表示する権限がなければなりません。 一般的なインストールの場合、 検索ベースが 「cn=users,dc=example,dc=com」 になっているとほとんどのユーザーが検索さ れます。 一部のユーザーが異なるブランチに保管されている場合、 高いレベルから検索 することもできます ( たとえば 「dc=example,dc=com」 )。 User name attribute ユーザー名との一致の際に使用される属性。 ほとんどの AD インプリメンテーションで は、 sAMAccountName がユーザー ID ( たとえば 「jdoe」 ) と一致します。 cn を 代わりに使用することもできますが、 その場合は、 ユーザー ID ( 「jdoe」 ) ではなく、 フルネーム ( 「John Doe」 ) で認証しなければならなくなります。 クライアント証明書を Active Directory にインポートしている場合は、 [Attribute mapping] と [Certificate attribute] に特に注意を払ってください。 次の表は、 Active Directory に保管されているクライアント証明書を介し て、 ユーザーを認証するときに使用する属性を示しています。 フィールド 説明 Attribute mapping ここでは、 証明書のユーザー ID フィールドと、 対応する Active Directory のユーザー ID フィールドとのマッピングを作成します。 マッピングは 「a=b」 という形式にします。 ただしこの場合の 「a」 は SSL 属性で 「b」 は LDAP エイリアスになります。 • ほとんどのインプリメンテーションでは、 「cn=cn」 となっている場合、 証明書の CN フィールドが、 Active Directory の CN フィールドと一致することを表します。 • ユーザーの電子メールアドレスが証明書の [Email] で定義されている場合、 「Email=mail」 とすることで、 (Active Directory の [User General] タブで 指定されているように ) ディレクトリの対応するフィールドと一致します。 64| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 フィールド 説明 Certificate attribute Active Directory は、 ユーザー証明書を userCertificate という名前の属性に保管し ます。 そのため、 「userCertificate」 と入力します。 メモ • グループを参照するアクセス制御ルールを作成する場合、 ユーザーは、 ルールとの一致を求める要求を出す際、 そのグループの明確なメンバーでなければなりません。 ネストされたグループのメンバーであっても、 一致したもの として扱われることはありません。 このため、 大規模な Active Directory 設定などで、 ネストされたグループが ある場合は、 なんらかの影響を及ぼす可能性があります。 たとえば、 「SeattleCampus」 グループに 「Marketing」 という名前のグループが含まれていると仮定します。 従業員の 「John Doe」 は、 「Marketing」 グループのメンバーですが、 「SeattleCampus」 グループの明確 なメンバーではありません。 ネストされたグループがメンバーシップを継承することはないため、 このメンバーがその グループの明確なメンバーにならない限り、 「SeattleCampus」 グループのメンバーとして認識されることはありま せん。 • Microsoft では、 ディレクトリの接続、 ブラウズ、 修正などといった、 LDAP 操作を容易にするためのグラフィカ ルなツールを提供しています。 LDP という名前のこのツール (ldp.exe) は、 Windows 2000 Server Support Tools に収録されています。 詳細については、 「Microsoft Product Support」 サイトを参照してください。 Active Directory 認証のための LDAP の例 次に LDAP 構成の例を示します。 例 1—Active Directory Login DN CN=AVtest,CN=Users,DC=testusrs,DC=example,DC=com Search base DC=testusrs,DC=example,DC=com User name attribute sAMAccountName 例 2—Active Directory Login DN CN=johnDoe,CN=Users,DC=na,DC=example,DC=com Search base CN=Users,DC=na,DC=example,DC=com User name attribute sAMAccountname 例 3— デジ タ ル証明書を使用する Active Directory Attribute mapping Email=mail Certificate attribute UserCertificate 例 4—Domino サーバーを使用する LDAP Login DN CN=Aventail,O=peoplesoft Search base o=peoplesoft User name attribute cn EX-750 イ ン ス ト ールおよび管理ガ イ ド | 65 LDAP および LDAPS 認証の構成 Aventail アプライアンスでは、 LDAP または LDAPS (LDAP over SSL) プロトコルを使用した認証をサポートしてい ます。 どちらのプロトコルも、 ユーザー名 / パスワード クレデンシャルまたはデジタル証明書の検証に使用することがで きます。 次の図は、 一般的な LDAP 構成の例を示しています。 䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲 Aventail 䭩䮞䮰䭫䭩䮺䮀 SSL (䮤䯃䮏 443) y 䮭䯃䭽䯃ฬ䬷 䮘䮀䮶䯃䮐 y 䮎䭿䮆䮲⸽ᦠ 䭫䮺䮆䯃䮔䮊䮏 y y LDAP (䮤䯃䮏䎃389) LDAPS (䮤䯃䮏䎃636) 䮜䭨䭫䭩䭭䭰䯃䮲 LDAP 䮎䭪䮳䭶䮏䮱 LDAP 接続を SSL で保護する場合、 他の構成も必要になります。 LDAP 証明書を、 SSL の信頼できるルート ファイ ルに提供した CA のルート証明書を追加しなければなりません。 こうすることで、 LDAP サーバーを装おうとする試みを 排除することで、 セキュリティを強化することができます。 50 ページの 「LDAP または Active Directory over SSL に対する新しいルート証明書の追加」 を参照してください。 LDAP サーバーまたは LDAPS サーバーを構成したら、 テスト接続を確立して、 レルム構成設定を検証することができ ます。 詳細については、 75 ページの 「認証構成のテスト」 を参照してください。 メモ • アプライアンスが LDAP サーバーと通信できるようにするため、 ファイアウォールまたはルータを修正する必要があ ります。 標準 LDAP では、 ポート 389/tcp を使用し、 LDAPS はポート 636/tcp を使用して通信します。 ユーザー名と パスワー ド を使用する LDAP の構成 ユーザー名 / パスワード検証を使用する LDAP 認証サーバーを構成する場合、 次の手順を実行します。 X ユーザー名 / パスワー ド 検証を使用する LDAP を構成する には 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで [New] ボタンをクリックします。 3. [New Authentication Server] ページの [Directory type/protocol] で [LDAP] をクリックしま す。 4. [Credential type] で [Username/Password] をクリックして、 [Continue] をクリックします。 この操 作により、 [Configure Authentication Server] ページが表示されます。 5. [Name] ボックスに、 認証サーバーの名前を入力します。 66| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 6. 7. [General] エリアに情報を入力していきます。 • [LDAP server] ボックスに、 LDAP サーバーのホスト名または IP アドレスを入力します。 LDAP サーバー が 389 (LDAP で一般的なポート ) 以外のポートでリッスンする場合、 コロンの後に接尾辞として続けること でポート番号を指定することができます ( たとえば 「myldap.example.com:1300」 )。 • [Login DN] ボックスに、 LDAP サーバーとの接続を確立するときに使用する識別名 (DN) を入力します。 • [Password] ボックスに、 LDAP サーバーとの接続を確立するときに使用するパスワードを入力します。 • [Search base] ボックスに、 ユーザー情報の検索を始める LDAP ディレクトリ内のポイントを入力します。 通常これは、 ユーザー情報が含まれるディレクトリ ツリーの最下層になります。 たとえば 「ou=Users,o=xyz.com」 のように入力します。 LDAP ディレクトリにバインドしているユーザーには、 こ のレベルでこのディレクトリを表示する権限がなければなりません。 • [User name attribute] ボックスに、 ユーザー名との一致の際に使用される属性を入力します。 通常 「cn」 または 「uid」 になります。 [Group lookup] エリアに情報を入力します。 • LDAP 検索のときに、 ユーザー コンテナのグループ属性を検索することにより、 ユーザーのグループ メン バーシップを判定するようにしたい場合、 [Find groups in which a user is a member] チェック ボックスを選択して、 [Group attribute] ボックスにグループ属性を入力します。 この属性は、 通常 「memberOf」 になります。 属性ベースのグループが LDAP サーバーでサポートされておらず有効でない 場合は、 このオプションを選択しないでください。 • 静的グループでグループ メンバーシップが検索されるようにしたい場合、 [Look in static groups for user members] チェック ボックスを選択します。 このような検索では、 LDAP ツリー全体について検索し なければならなくなります。 そのため、 場合によっては、 検索対象が非常に大きくなります。 LDAP サーバーが、 属性ベースのグループをサポートしていない場合またはこの機能が有効でない場合 は、 このオプションを選択する必要があります。 • 8. 属性グループや静的グループの検索結果をキャッシュして検索時間を短縮したい場合、 [Cache group checking] チェック ボックスを選択して、 [Cache lifetime] ボックスに、 適切なキャッシュ持続時間 ( デフォルトは 1800 秒 ) を秒単位で入力します。 LDAP 接続を SSL で保護する場合、 [LDAP over SSL] に情報を入力します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 67 9. • LDAP 接続を SSL で保護するときは、 [Use SSL to secure LDAP connection] チェック ボックス を選択します。 • 証明書の詳細を表示し、 アプライアンスがルート証明書を使用できるか確認するときは、 [View CA Certificate] をクリックします。 このとき表示されるファイルには、 LDAP 証明書を発行した CA のルート 証明書が含まれている必要があります。 これが含まれていない場合は、 追加しなければなりません。 詳細 については、 50 ページの 「LDAP または Active Directory over SSL に対する新しいルート証明書の 追加」 を参照してください。 • LDAP ホストの名前が、 LDAP サーバーで提示された証明書の名前と同じであることを確認する場合は、 [Match certificate CN against LDAP server name] チェック ボックスを選択します。 通常、 サーバー名は、 デジタル証明書で指定されている名前と一致します。 使用しているサーバーでもこれが当て はまる場合、 実稼働環境でこのオプションを有効にすると良いでしょう。 こうしておくと、 デジタル証明書また は DNS サーバーが危険にさらされた場合でも、 許可されていないサーバーが、 LDAP サーバーをマスカ レードすることは困難になります。 必要に応じて [Advanced] エリアに情報を入力します。 • LDAP 参照を有効にするときは、 [Enable LDAP referrals] チェック ボックスを選択します。 この機能 を有効にすると、 ある LDAP サーバーが、 クライアントの照会に回答できない場合、 その回答を知っている 別の LDAP サーバーをそのクライアントに照会できるようになります。 この機能を使用するときは、 場合によっ ては認証プロセスの速度が低下するため、 十分注意して使用する必要があります。 Microsoft Active Directory に照会して認証するよう LDAP を構成している場合などは、 この機能を無効にしておくと良いで しょう。 • [Server timeout] ボックスに、 LDAP サーバーからの返信を待つ時間を秒単位で入力します。 デフォ ルト値は 「60」 です。 • NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいずれか をクリックします。 詳細については、 76 ページの 「NTLM 認証転送の構成」 を参照してください。 メモ • [Login DN] および [Password] フィールドは、 LDAP サーバーに接続する上で必須というわけではありませ ん。 ただし、 これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、 アプライアンスは匿名 で LDAP にバインドするようになります。 その場合、 ユーザーやグループ情報を見つける上で必要な検索の許可 が適切に与えられなくなります。 • 複数の LDAP サーバーを定義している場合、 ldapca.cert ファイルに、 すべてのサーバーで必要な CA ルート 証明書が含まれていなければなりません。また、[Match certificate CN against LDAP server name] 設定も、 すべてのレルムで同じにする必要があります ( 実稼働環境ではこのオプションを有効にするのが望ましい )。 AMC では、 この設定をレルム単位で構成できるようになっていますが、 アプライアンスは実際のところ、 最後 にロードされた LDAPS レルムで構成されている設定を使用します。 たとえば、 3 つの LDAPS サーバーでこの チェック ボックスを選択していて、 4 番目の LDAPS レルムでは選択解除しているような場合、 この機能は 4 つ のすべてのサーバーで無効になります。 68| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 デジ タル証明書を使用する LDAP の構成 デジタル証明書検証を使用する LDAP 認証サーバーを構成する場合、 次の手順を実行します。 X デジ タ ル証明書検証を使用する LDAP を構成するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで [New] ボタンをクリックします。 3. [New Authentication Server] ページの [Directory type/protocol] で [LDAP] をクリックしま す。 4. [Credential type] で [Digital certificate] をクリックして、 [Continue] をクリックします。 この操作に より、 [Configure Authentication Server] ページが表示されます。 5. [Name] ボックスに、 認証サーバーの名前を入力します。 6. [General] エリアに情報を入力していきます。 7. • [LDAP server] ボックスに、 LDAP サーバーのホスト名または IP アドレスを入力します。 LDAP サーバー が 389 (LDAP で一般的なポート ) 以外のポートでリッスンする場合、 コロンの後に接尾辞として続けること でポート番号を指定することができます ( たとえば 「myldap.example.com:1300」 )。 • [Login DN] ボックスに、 LDAP サーバーとの接続を確立するときに使用する識別名 (DN) を入力します。 • [Password] ボックスに、 LDAP サーバーとの接続を確立するときに使用するパスワードを入力します。 • [Search base] ボックスに、 ユーザー情報の検索を始める LDAP ディレクトリ内のポイントを入力します。 通常これは、 ユーザー情報が含まれるディレクトリ ツリーの最下層になります。 たとえば 「ou=Users,o=xyz.com」 のように入力します。 LDAP ディレクトリにバインドしているユーザーには、 こ のレベルでこのディレクトリを表示する権限がなければなりません。 [Matching LDAP Attributes] エリアに情報を入力します。 • [Attribute mapping] ボックスに、 証明書のユーザー ID フィールドと、 対応する LDAP のユーザー ID フィールドとのマッピングを入力します。 たとえば、 証明書の 「cn」 フィールドが LDAP の 「cn」 フィー ルドと対応する場合、 「cn=cn」 と入力します。 また、 証明書の 「cn」 フィールドが LDAP の 「uid」 フィー ルドと対応する場合は 「cn=uid」 と入力します。 ここで入力するテキストでは、 大文字と小文字が区別され ます。 • [Certificate attribute] ボックスに、 ユーザー証明書を保管する LDAP 属性の名前を入力します。 こ れは通常 「userCertificate」 になります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 69 8. [Group lookup] エリアに情報を入力します。 • LDAP 検索のときに、 ユーザー コンテナのグループ属性を検索することにより、 ユーザーのグループ メン バーシップを判定するようにしたい場合、 [Find groups in which a user is a member] チェック ボックスを選択して、 [Group attribute] ボックスにグループ属性を入力します。 この属性は、 通常 「memberOf」 になります。 属性ベースのグループが LDAP サーバーでサポートされておらず有効でない 場合は、 このオプションを有効にしないでください。 • 静的グループでグループ メンバーシップが検索されるようにしたい場合、 [Look in static groups for user members] チェック ボックスを選択します。 このような検索では、 LDAP ツリー全体について検索し なければならなくなります。 そのため、 場合によっては、 検索対象が非常に大きくなります。 LDAP サーバーが、 属性ベースのグループをサポートしていない場合またはこの機能が有効でない場合 は、 このオプションを選択する必要があります。 • 9. 属性グループや静的グループの検索結果をキャッシュして検索時間を短縮したい場合、 [Cache group checking] チェック ボックスを選択して、 [Cache lifetime] ボックスに、 適切なキャッシュ持続時間 ( デフォルトは 1800 秒 ) を入力します。 LDAP 接続を SSL で保護する場合、 [LDAP over SSL] に情報を入力します。 • LDAP 接続を SSL で保護するときは、 [Use SSL to secure LDAP connection] チェック ボックス を選択します。 • 証明書の詳細を表示し、 アプライアンスがルート証明書を使用できるか確認するときは、 [View CA Certificate] をクリックします。 この操作により、 クライアント証明書と LDAP 証明書を発行した CA の名 前 (1 つまたは複数 ) がリストされます。 この名前が含まれていない場合は、 追加しなければなりません。 詳 細については、 50 ページの 「LDAP または Active Directory over SSL に対する新しいルート証明書 の追加」 を参照してください。 • LDAP ホストの名前が、 LDAP サーバーで提示された証明書の名前と同じであることを確認する場合は、 [Match certificate CN against LDAP server name] チェック ボックスを選択します。 通常、 サーバー名は、 デジタル証明書で指定されている名前と一致します。 使用しているサーバーでもこれが当て はまる場合、 実稼働環境でこのオプションを有効にすると良いでしょう。 こうしておくと、 デジタル証明書また は DNS サーバーが危険にさらされた場合でも、 許可されていないサーバーが、 LDAP サーバーをマスカ レードすることは困難になります。 10. [Advanced] エリアに情報を入力します。 • LDAP 参照を有効にするときは、 [Enable LDAP referrals] チェック ボックスを選択します。 この機能 を有効にすると、 ある LDAP サーバーが、 クライアントの照会に回答できない場合、 その回答を知っている 別の LDAP サーバーをそのクライアントに照会できるようになります。 この機能を使用するときは、 場合によっ ては認証プロセスの速度が低下するため、 十分注意して使用する必要があります。 Microsoft Active 70| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 Directory に照会して認証するよう LDAP を構成している場合などは、 この機能を無効にしておくと良いで しょう。 • [Server timeout] ボックスに、 LDAP サーバーからの返信を待つ時間を秒単位で入力します。 デフォ ルト値は 「60」 です。 11. [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 メモ • [Login DN] および [Password] フィールドは、 LDAP サーバーに接続する上で必須というわけではありませ ん。 ただし、 これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、 アプライアンスは匿名 で LDAP にバインドするようになります。 その場合、 ユーザー認証のための許可が適切に与えられなくなります。 • ユーザーがクライアント証明書を使用して認証を受ける場合、 ユーザーが接続するそれぞれのサーバーで、 信頼 できるルート ファイルを構成しなければなりません ( クライアント証明書の確認のため )。詳細については、50 ペー ジの 「クライアント証明書の構成」 を参照してください。 • 複数の LDAP レルムを定義している場合、 ldapca.cert ファイルに、 すべてのレルムで必要な CA ルート証明 書が含まれていなければなりません。 また、 [Match certificate CN against LDAP server name] 設 定も、 すべてのレルムで同じにする必要があります ( 実稼働環境ではこのオプションを有効にするのが望ましい )。 AMC では、 この設定をレルム単位で構成できるようになっていますが、 アプライアンスは実際のところ、 最後に ロードされた LDAPS レルムで構成されている設定を使用します。 たとえば、 3 つの LDAPS レルムでこのチェッ ク ボックスを選択していて、 4 番目の LDAPS レルムでは選択解除しているような場合、 この機能は 4 つのすべ てのレルムで無効になります。 RADIUS 認証の構成 アプライアンスは、 ユーザー名 / パスワードまたはトークンベースのクレデンシャルを、 RADIUS データベースと対照さ せて検証することができます。 次の図は、 一般的な RADIUS 構成の例を示しています。 䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲 y y 䮭䯃䭽䯃ฬ䬷 䮘䮀䮶䯃䮐 䮏䯃䭶䮺 Aventail 䭩䮞䮰䭫䭩䮺䮀 SSL (䮤䯃䮏 443) 䭫䮺䮆䯃䮔䮊䮏 RADIUS (䮤䯃䮏䎃1645) 䮜䭨䭫䭩䭭䭰䯃䮲 RADIUS 䭼䯃䮗䯃 メモ • アプライアンスが RADIUS サーバーと通信できるようにするため、 ファイアウォールまたはルータを修正する必要 があります。 RADIUS 認証プロトコルでは通常、 ポート 1645/udp を使用します。 また、 RADIUS クライアント ( 一般的にネットワーク アクセス サーバーと呼ばれる ) としてアプライアンスの IP アドレスを入れるよう、 RADIUS サーバーを構成しなければなりません。 ユーザー名と パスワー ド を使用する RADIUS の構成 ユーザー名 / パスワード検証を使用する RADIUS 認証方式を構成する場合、 次の手順を実行します。 X ユーザー名 / パスワー ド 検証を使用する RADIUS を構成するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで [New] ボタンをクリックします。 3. [New Authentication Server] ページの [Directory type/protocol] で [RADIUS] を ク リ ッ ク し ます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 71 4. [Credential type] で [Username/Password] をクリックして、 [Continue] をクリックします。 この操 作により、 [Configure Authentication Server] ページが表示されます。 5. [Name] ボックスに、 認証サーバーの名前を入力します。 6. [Primary RADIUS server] ボックスに、 プライマリ RADIUS サーバーのホスト名または IP アドレスを入力 します。 RADIUS サーバーが 1645 (RADIUS で一般的なポート ) 以外のポートでリッスンする場合、 コロンの 後に接尾辞として続けることでポート番号を指定することができます ( たとえば 「myradius.example.com:1812」 と指定すると、 Steel-Belted Radius が使用するポートが設 定される )。 7. [Secondary RADIUS server] ボックスに、 セカンダリ RADIUS サーバーのホスト名または IP アドレスを 入力します。 必要に応じて、 接尾辞としてポート番号を追加することができます。 8. [Shared secret] ボックスに、 RADIUS サーバーの通信を保護するためのパスワードを入力します。 これは、 RADIUS サーバーで指定されたものと同じシークレット パスワードでなければなりません。 9. [Match RADIUS groups by] リストから、 ユーザーが所属するグループの属性を選択します。 RADIUS から返される値が、 アプライアンス アクセス ルールのグループ部分で使用されます。 次の 3 種類の値がありま す。 • [None]: グループ属性を無視します。 • [filterid attribute (11)]: FilterID 属性と一致します。 • [class attribute (25)]: Class 属性と一致します。 10. [Retry interval] ボックスに、 RADIUS サーバーからの返信を待つ時間を秒単位で入力します。 この時間が 経過すると、 接続を再試行します。 72| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 11. [Advanced] エリアに情報を入力します。 • [RADIUS identifier] ボックスに、 RADIUS クライアントを個別に識別するための情報を入力します。 こ の情報は、 RADIUS 要求が構成されるとき、 NAS-Identifier 属性に入れられます。 このフィールドは、 RADIUS サーバーがアプライアンスのホスト名を受け付けられない場合に限って必要になるもので、 その場 合にデフォルト識別子として使用されます。 • [Service type] ボックスに、 RADIUS Service-Type の整数を入力します。 この値は、 RADIUS サー バーに、 どのタイプのサービスを要求するか通知するものです。 ほとんどの RADIUS サーバーでは、 「1」 ( ログイン ) または 「8」 ( 認証のみ ) を入力します。 • RADIUS サーバーが、 UTF-8 文字エンコーディングをサポートしていない古いバージョンの RADIUS プロ トコルを使用する場合、 [Local Encoding] エリアの [Selected] リストからエンコーディング スキームを 選択します。 また [Other] ボックスに直接入力することもできます。 詳細については、 243 ページの 「RADIUS ポリシー サーバーの文字セット」 を参照してください。 • NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいずれか をクリックします。 詳細については、 76 ページの 「NTLM 認証転送の構成」 を参照してください。 12. [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 ト ーク ン を使用する RADIUS の構成 このアプライアンスでは、 SecurID や SoftID など、 RADIUS サーバーのデータベースと照会して検証するトークン ベースのクレデンシャルもサポートしています。トークンベースのクレデンシャルを使用する RADIUS 認証方式を構成す る場合、 次の手順を実行します。 X ト ー ク ン検証を使用する RADIUS を構成するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで [New] ボタンをクリックします。 3. [New Authentication Server] ページの [Directory type/protocol] で [RADIUS] を ク リ ッ ク し ます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 73 4. [Credential type] で [Token/SecurID] をクリックして、 [Continue] をクリックします。 この操作によ り、 [Configure RADIUS Authentication] ページが表示されます。 5. [Name] ボックスに、 認証サーバーの名前を入力します。 6. [Primary RADIUS server] ボックスに、 プライマリ RADIUS サーバーのホスト名または IP アドレスを入力 します。 RADIUS サーバーが 1645 (RADIUS で一般的なポート ) 以外のポートでリッスンする場合、 コロンの 後に接尾辞として続けることでポート番号を指定することができます ( たとえば 「myradius.example.com:1812」 と指定すると、 Steel-Belted Radius が使用するポートが設定される )。 7. [Secondary RADIUS server] ボックスに、 セカンダリ RADIUS サーバーのホスト名または IP アドレスを 入力します。 必要に応じて、 接尾辞としてポート番号を追加することができます。 8. [Shared secret] ボックスに、 RADIUS サーバーの通信を保護するためのパスワードを入力します。 これは、 RADIUS サーバーで指定されたものと同じシークレット パスワードでなければなりません。 9. [Match RADIUS groups by] リストから、 ユーザーが所属するグループの属性を選択します。 RADIUS から返される値が、 アプライアンス アクセス ルールのグループ部分で使用されます。 次の 3 種類の値がありま す。 • [None]: グループ属性を無視します。 • [filterid attribute (11)]: FilterID 属性と一致します。 • [class attribute (25)]: Class 属性と一致します。 10. [Retry interval] ボックスに、 RADIUS サーバーからの返信を待つ時間を秒単位で入力します。 この時間が 経過すると、 接続を再試行します。 11. [Advanced] エリアに情報を入力します。 74| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 • [RADIUS identifier] ボックスに、 RADIUS クライアントを個別に識別するための情報を入力します。 こ の情報は、 RADIUS 要求が構成されるとき、 NAS-Identifier 属性に入れられます。 このフィールドは、 RADIUS サーバーがアプライアンスのホスト名を受け付けられない場合に限って必要になるもので、 その場 合にデフォルト識別子として使用されます。 • [Service type] ボックスに、 RADIUS Service-Type の整数を入力します。 この値は、 RADIUS サー バーに、 どのタイプのサービスを要求するか通知するものです。 ほとんどの RADIUS サーバーでは、 「1」 ( ログイン ) または 「8」 ( 認証のみ ) を入力します。 • RADIUS サーバーで構成しているユーザー パスワード プロンプトが表示されるようにする場合、 [Use RADIUS server password prompt] チェック ボックスを選択します。 RADIUS サーバーでプロン プトが構成されていない場合、 アプライアンスは、 [Custom password prompt] ボックスの内容をプ ロンプトとして表示します。 アプライアンスがユーザー パスワード プロンプトを生成するようにしたい場合、 [Use RADIUS server password prompt] チェック ボックスを選択解除した状態にして、[Custom password prompt] ボックスにプロンプトを入力します。 たとえば、 SecurID プロンプトを作成する場合、 「Please enter your PASSCODE:」 と入力することができます。 このボックスと RADIUS サーバーの双方でプロンプトが 指定されていない場合、 「Enter Password:」 というプロンプトが生成されます。 • RADIUS サーバーが、 UTF-8 文字エンコーディングをサポートしていない古いバージョンの RADIUS プロ トコルを使用する場合、 [Local Encoding] エリアの [Selected] リストからエンコーディング スキームを 選択します。 また [Other] ボックスに直接入力することもできます。 詳細については、 243 ページの 「RADIUS ポリシー サーバーの文字セット」 を参照してください。 12. [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 ローカル ユーザー認証の構成 AMC で、 ローカル ユーザー アカウントを作成し、 それをローカル認証リポジトリに対応させることができます。 アプライ アンスは、 ユーザー名 / パスワード クレデンシャルを、 /etc/passwd にローカルに保管されているユーザー情報と照 らし合わせてチェックします。 ローカル ユーザー認証は、 あくまでテストのために使用するものであり、 実稼働環境では お勧めできません。 ローカル ユーザー アカウントの作成方法については、 120 ページの 「ローカル ユーザー アカウ ントの管理」 を参照してください。 X ロー カル ユーザー認証を構成するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで [New] ボタンをクリックします。 この操作により、 [New Authentication Server] ページが表示されます。 3. [Directory type/protocol] で [Local users] をクリックして、 [Continue] をクリックします。 この操作 により、 [Configure Authentication Server] ページが表示されます。 4. [Name] ボックスに、 認証サーバーの名前を入力します。 5. [Save] をクリックします。 この操作により、 [Authentication] ページに戻ります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 75 認証構成のテス ト 認証構成の設定を検証するため、 Microsoft Active Directory サーバーおよび LDAP サーバーを構成するための AMC ページには、 [Test connection] ボタンがあります。 このボタンをクリックすると、 外部ユーザー リポジトリとの 通信が確立され、 ステータスが送信されます。 アプライアンスの構成が正しい場合、 ボタンのそばに 「Valid connection!」 というメッセージが表示されます。 構成の 設定に問題がある場合は、 問題について簡単に記述したメッセージが表示されます。 メモ • テスト接続機能は、 あくまでもアプライアンスが外部ディレクトリにバインドできるかどうかテストするために用意されて いるものです。 ログイン クレデンシャルを入力した場合アプライアンスはそれを使用しますが、 それ以外の場合は ディレクトリにアノニマスでバインドしようとします。 実際にはディレクトリを検索しないため、 接続のテストを実行して も、 構成されているドメインに、 このログイン クレデンシャルでアクセスできるかどうかは検証されません。 シングル サイ ンオンの構成 シングル サインオン (SSO) を使用すると、 アプライアンスがユーザーのクレデンシャルをバックエンド Web リソースに 転送できるようになります。 基本 HTTP 認証転送以外に、 次の SSO オプションを構成することができます。 • NTLM 認証転送。 ユーザーの認証クレデンシャルとあわせて、 Windows ドメイン名を送信します。 • Netegrity SiteMinder のサポー ト 。 ユーザー認証クレデンシャルを SiteMinder サーバーに転送します。 シングル サインオン (SSO) を使用すると、 ユーザーが複数回ログインする ( いったんアプライアンスに入ってから、 再 びアプリケーション リソースにアクセスし直す ) 手間を省くことができます。 概要 : シングル サイ ンオン シングル サインオン (SSO) を使用すると、 アプライアンスがユーザーのクレデンシャルをバックエンド Web リソースに 転送できるようになります。 これにより、 ユーザーが複数回ログインする ( いったんアプライアンスに入ってから、 再びア プリケーション リソースにアクセスし直す ) 手間を省くことができます。 このアプライアンスでは、 次のようなタイプの Web SSO をサポートしています。 • 基本認証転送。 広くサポートされている認証転送方式ですが、 ネットワークでパスワードをそのまま送信するため、 あまり安全とは言えません。それぞれのユーザー認証クレデンシャルを送信するようアプライアンスを構成できる他、 「静的」 クレデンシャル ( つまり、 すべてのユーザーで同じクレデンシャルを使用 ) を設定することもできます。 基 本認証転送は、 Web アプリケーション プロファイル内で構成します。 86 ページの 「Web アプリケーション プロ ファイルの追加」 を参照してください。 • NTLM 認証転送。Windows ネットワーク クレデンシャルを Microsoft IIS (Internet Information Services) Web サーバーに安全に送信できるようにします。 NTLM (Windows NT LAN Manager の略 ) では、 ネット ワーク経由でパスワードをそのまま送信したりすることなく、チャレンジ / レスポンス メカニズムを使用して、ユーザー を安全に認証します。 NTLM 認証転送では、 ユーザーの認証クレデンシャルとあわせて、 Windows ドメイン名 も渡します。 • Netegrity SiteMinder。シングル サインオンを管理するための集中型メカニズムを提供するサードパーティ製 品です。 ユーザー認証クレデンシャルを SiteMinder サーバーに転送するようアプライアンスを構成することがで きます。 こうすることで、 クレデンシャルが、 保護されている任意のバックエンド Web リソースに転送されるように なります。 76| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 セキュリティのため、 SSO はデフォルトでオフになっています。 次の表では、 さまざまなタイプの SSO を構成するとき の手順をまとめています。 SSO タイプ 構成手順 基本認証転送 • Web アプリケーション プロファイルで SSO を使用するよう構成し、 ど のユーザー クレデンシャルを使用するか指定します。 • この Web アプリケーション プロファイルを、 SSO を使用する任意の Web リソースに添付します。 • Web アプリケーション プロファイルで SSO を使用するよう構成し、 ど のユーザー クレデンシャルを使用するか指定します。 • この Web アプリケーション プロファイルを、 SSO を使用する任意の Web リソースに添付します。 • SSO を使用する認証サーバーごとに、 ドメイン名を構成します。 • SiteMinder サーバーと通信するための設定を構成します。 • SiteMinder ポリシー サーバーで Aventail アプライアンスに対する エージェントを作成します。 NTLM 認証転送 Netegrity SiteMinder メモ • Aventail の標準 Web アクセス エージェントでは、 SSL で保護されたバックエンド Web サーバーに対するシン グル サインオンをサポートしていません。 標準 Web エージェントを介して、 これらのリソースへのリンクにアクセス する場合、 シングル サインオンが提供されません。 HTTPS リソースで基本認証または NTLM 認証転送を実行す るには、 Web リソースに対するエイリアスを作成し、 ASAP WorkPlace で、 それをリンクとして追加します。 こう することで、 トランスレーテッド Web アクセスをアプライアンスに強要します。 NTLM 認証転送の構成 Windows NT LAN Manager (NTLM) 認証を使用すると、 ユーザーが、 ネットワーク経由でパスワードをそのまま送 信したりせずに、 安全に認証されている Windows ネットワーク上の Web リソースにアクセスできるようになります。 NTLM 認証転送の構成は、 2 段階で行います。 最初の段階では、 転送したい Windows ドメイン名を入れるよう認証 サーバーを構成します。 次に、 Web アプリケーション プロファイルで SSO オプションを有効にして、 ユーザー クレデ ンシャルを転送する Web リソースにそのプロファイルを添付します。 NTLM 認証転送の構成に移る前に、 この予備的 な手順を完了していなければなりません。 X NTLM 認証転送を構成するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. [Authentication servers] エリアで、 構成するサーバーの名前をクリックします。 この操作により、 [Configure Authentication Server] ページが表示されます。 3. [Advanced] エリアの [NTLM authentication forwarding] セクションで、 転送するドメイン名を指定 します。 • ドメイン名を指定する場合、 [Forward a custom domain name] をクリックします。 [Domain name] ボックスにカスタム ドメイン名を入力することもできますが、 必須ではありません。 ドメイ ン名を指定しない場合、 空 ( 「ヌル」 ) のドメイン名がユーザー クレデンシャルとあわせて転送されます。 • ( ページ上部の [Name] ボックスで指定した ) 認証サーバー名をユーザー クレデンシャルとあわせて転送 する場合、[Forward the authentication server name as domain name] をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 77 4. Web アプリケーション プロファイルで [Single Sign-On] オプションを有効にします。 Web アプリケーション プロファイルの詳細については、 86 ページの 「Web アプリケーション プロファイルの追加」 を参照してくださ い。 メモ • クレデンシャルが一致しない状況で NTLM 認証転送を使用するには、 NTLM をサポートする Web ブラウザを実 行していなければなりません。 • シングル サインオンが有効な場合、 Web プロキシ サービスとバックエンド サーバーが、 使用されている認証方 式を判定します。 AMC で 1 つの認証方式 ( 基本認証または NTLM 認証 ) のみが有効になっている場合、 認 証方式が使用されます。 ただし、 AMC で基本認証と NTLM 認証の両方が有効な場合、 NTLM 認証の方が安 全な方法であるため、 こちらが使用されます。 Netegrity SiteMinder 認証転送の構成 SiteMinder のネイティブ API を使用して、 ユーザー クレデンシャルを Netegrity SiteMinder サーバーに転送する ようアプライアンスを構成することができます。 SiteMinder は、 このようなクレデンシャルを、 保護されている任意のバッ クエンド Web リソースに転送します。 SiteMinder の構成はグローバル設定になっています。 つまり有効にすると、 ユーザー名クレデンシャルが、 すべての Web リソースの SiteMinder に転送されます。 アプライアンスは、 Netegrity SiteMinder バージョン 4 以上と互換性があります。 AMC で Netegrity SiteMinder 設定を構成する前に、 SiteMinder ポリシー サーバー上で、 Aventail アプライア ンスのエージェントを作成しなければなりません。 詳細については、 Netegrity のマニュアルを参照してください。 X Netegrity SiteMinder 認証転送を構成するには 1. メイン ナビゲーション メニューから [General Settings] をクリックします。 2. [Single Sign-On] タブをクリックします。 3. SiteMinder によって保護されている Web アプリケーションで SSO を有効にするには、[Enable Netegrity SiteMinder authentication forwarding] チェック ボックスを選択します。 4. [Name] ボックスに、 SiteMinder で Aventail エージェントを作成したときに使用した共有名を入力します。 5. [Secret] ボックスに、 Aventail エージェントの共有パスワードを入力します。 6. [Cookie domain] ボックスに、 シングル サインオン クッキーに入れるドメインを入力します。 7. [Primary server] ボックスに、 クレデンシャルを転送する SiteMinder ポリシー サーバーのホスト名または IP アドレスを入力します。 8. [Secondary server] ボックスに、 [Primary server] が使用できない場合に使用するサーバーの名前を 入力します。 9. [HA configuration mode] リストで、 アプライアンスがラウンドロビンとフェイルオーバーのどちらのモードで Netegrity ポリシー サーバーに到達するか指定します。 78| 第 4 章 - ネ ッ ト ワー ク と 認証の構成 10. [Timeout] ボックスに、 Netegrity ポリシー サーバーに到達できるかどうか判断するまで、 アプライアンスがど の程度の時間待つか秒単位で入力します。 デフォルトは 「20」 です。 この秒数が経過すると、 Aventail アプ ライアンスは、 SiteMinder との接続を終了します。 11. [Advanced] エリアで、 SiteMinder サーバーと通信するときに使用するポート番号を指定します。 • [Accounting port] のデフォルトは 「44441」 です。 • [Authentication port] のデフォルトは 「44442」 です。 • [Authorization port] のデフォルトは 「44443」 です。 12. [Save] をクリックします。 次のステ ッ プ 基本的なネットワーク設定が終わり、 アプライアンスに対する SSL 証明書を取得して、 認証設定を構成したら、 ユー ザーとユーザー グループの管理、 リソースの定義、 アクセス制御ルールの構成に着手することができます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 79 第5章 セキ ュ リ テ ィ 管理 セキュリティの管理は、 管理者の役割のうちで最も重要なものでしょう。 Aventail ASAP Management Console (AMC) を使用すると、 セキュリティ管理の機能 ( リソースやアクセス制御ルールなど ) を簡単に管理できるようになりま す。 リ ソ ースの作成と管理 この節では、 リソース、 リソース グループ ( リソースの集まり )、 Web アプリケーション プロファイル (Web リソースの 構成設定 ) を作成し管理する方法について説明します。 リソースは、 アクセス制御ルールで参照する前に定義できます が、 アクセス制御ルール インタフェースから新しいリソースを直接定義することもできます。 詳細については、 99 ペー ジの 「アクセス制御ルールからのユーザーとリソースの追加」 を参照してください。 リ ソ ースのタ イ プ Aventail アプライアンスでは、 広範囲の企業リソースを管理します。 企業リソースは、 Web リソース、 ネットワーク リ ソース、 ファイル システム リソースの 3 種類に分けることができます。 Web リ ソ ース Web リソースには、 HTTP や HTTPS を使用してアクセスする、 Web ベースのアプリケーションやサービスが含まれま す。 たとえば、 Microsoft Outlook Web Access などの Web ベースの電子メール プログラム、 Web ポータル、 企業イントラネット、 標準 Web サーバーなどがこれに該当します。 Web トラフィックは、 Aventail Web プロキシ サービスを介してプロキシされます。 ユーザーは、 このセキュアなゲート ウェイを経由して、 インターネットからプライベートな Web リソースにアクセスできるようになります。 Web リソースは、 Web アクセス制御ルールの接続先としてのみ使用することができます。 詳細については、 89 ページの 「アクセス制御 ルールの構成」 を参照してください。 Web リソースは、 さまざまな方法で定義することができます。 URL のタイプ 例 標準 URL http://host.example.com/index.html ポート番号付きの標準 URL http://host.example.com:8445/index.html セキュア サイトの URL https://host.example.com/index.html IP アドレスを含む URL http://192.0.34.0/index.html 80| 第 5 章 - セキ ュ リ テ ィ 管理 メモ • Web ベースのアプリケーションの中には、HTTP 以外のプロトコルを使用してトラフィックを送信する Java アプレッ トや、 その他のブラウザ エクステンションを使用するものがあります。 これらのアプリケーションについても Web ブ ラウザを使用してアクセスしますが、 (Web リソースとしてではなく ) ネットワーク リソースとして定義し、 ネットワー ク トンネル サービスまたはネットワーク プロキシ サービスを使用してアクセスしなければなりません。 このようなアプ リケーションには、 Citrix NFuse や Oracle J-Initiator の他、 特定バージョンの SAP や PeopleSoft があり ます。 ネ ッ ト ワーク リ ソース ネットワーク リソースは、 TCP/IP 経由で動作するクライアント / サーバー企業アプリケーションです (UDP を使用するア プリケーションを含む )。 このようなアプリケーションには、 Citrix のようなシンクライアント アプリケーション、 Microsoft Outlook のようなフル クライアント / サーバー アプリケーション、 Lotus Notes、 SAP、 端末サーバーなどがあります。 このタイプのクライアント / サーバー アプリケーションは、 ホスト名、 IP アドレスまたは IP 範囲、 サブネット IP アドレ ス、 DNS ドメインなどを指定することによって定義します。 ネットワーク リソースは、 複数の Web リソースを含むネット ワーク オブジェクト ( ドメインなど ) を定義する場合や、 接続要求の送信元ごとにアクセスを制御するためのネットワーク オブジェクトを定義する場合にも使用することもできます。 次の表は、 これらのリソース タイプを定義する際の構文を表しています。 ホスト名は、 完全修飾にすることができる他、 非修飾で指定することもできます。 リソース タイプ 例 ホスト名 bart.private.example.com ホストの IP アドレス 192.0.34.72 IP 範囲 192.0.34.72 - 192.0.34.74 サブネット 192.0.34.0 / 255.255.255.0 ドメイン名 private.example.com Windows ドメイン example または example.com メモ • Microsoft Outlook は、 非修飾ホ ス ト 名を使用 し て、 Microsoft Exchange に接続 し ます。 そのため、 Microsoft Exchange サーバー を ネ ッ ト ワ ー ク リ ソ ー ス と し て定義す る と き は、 非修飾名 ( た と えば 「CorpMail」 ) で定義 し なければな り ません。 • ネットワーク トンネル クライアントを使用するとき、 ローカル DNS で解決できるリソースは、 ホスト名ではなく、 IP アドレスを使用して定義する必要があります。 ほとんどの企業では、 内部ネームスペースをパブリック DNS にパブ リッシュしていません。 したがって、 スプリットトンネル モードで動作する際にローカル リソースに対する侵入アクセ スを防止するために、 ネットワーク トンネル クライアントが過剰防衛することから、 名前に基づくトラフィックをネット ワーク アプライアンスを通してリダイレクトしなくなります。 ユーザーのローカル DNS クライアントが、 プライベート ネットワークでホスト名を解決できる場合、 ホスト名を名前 ではなく IP アドレス ( 単一のアドレスまたは IP 範囲やサブネット ) で定義する必要があります。 このような構成に すれば、 トンネル クライアントが、 VPN リソースにアクセスするため、 アプライアンスをそのまま通過して、 ルート を正しく確立できるようになります ( 通常、このような構成はテスト環境など、実稼働に移る前の環境で使用される )。 フ ァ イル システム リ ソ ース ファイル システム リソースには、 ユーザーが ASAP WorkPlace を介してアクセスできる共有フォルダや共有ファイルが ある Windows ネットワーク サーバーまたはコンピュータが含まれます。 ファイル システム リソースの場合、 UNC パスを入力して個々のファイル システム共有を定義できる他、 完全な Windows ドメインを定義することもできます。 • 完全な Windows ドメインを定義すると、 ドメイン内のすべてのネットワーク ファイル リソースに対してユーザー ア クセスを許可することができます。 • 個々のファイル システム リソースを、 完全なサーバー ( たとえば \\ginkgo)、 共有フォルダ \\john\public)、 ネットワーク フォルダ (\\ginkgo\news) として設定することができます。 • ファイル システム リソースから、 ユーザーの個人フォルダを参照することもできます。 この機能を使用すると、 ASAP WorkPlace で単一のショートカットを作成し、 カレント ユーザーの個人フォルダを動的に参照するよう設定するこ とができます。 ( たとえば EX-750 イ ン ス ト ールおよび管理ガ イ ド | 81 たとえば、 [Add/Edit Resource] ページの [Network share] ボックスで 「\\users\XXX_Username_XXX」 と入力してリソースを作成すると仮定します。 次に、 このリソースを参照す る WorkPlace ショートカットを作成し、 [Link text] ボックスに 「\\users\XXX_Username_XXX」 と入力し ます。 ユーザー jdoe が、 ASAP WorkPlace に接続するとき、 変数が自動的にユーザー名で置き換えられ、 「\\users\jdoe」 という名前のフォルダにアクセスできるようになります。 また、 ユーザー rsmith が同じリンクに アクセスすると、 「\\users\rsmith」 フォルダにアクセスすることになります。 詳細については、 193 ページの 「個人フォルダを示すネットワーク ショートカットの作成」 を参照してください。 リ ソ ースおよび リ ソ ース グループの表示 リソースおよびリソース グループは、 [Resources] ページと [Groups] ページにそれぞれ表示されます。 X 使用可能な リ ソ ースおよび リ ソ ース グループの リ ス ト を表示するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. 使用可能なリソースを表示する場合は [Resources] タブ、 リソース グループを表示する場合は [Groups] タ ブをそれぞれクリックします。 [Type] 列には、 それぞれのリソースまたはリソース グループのタイプが表示されます。 ネットワーク リソースに は、 Web アプリケーションとクライアント / サーバー アプリケーションの両方が含まれます。 3. ページに表示されるリソースのタイプをコントロールするときは、 [Show] リストを使用します。 4. 特定リソースの詳細データを表示する場合は、 [Resource] 列の名前をクリックします。 メモ • アプライアンスには、 デフォルトで 1 つまたは複数の読み取り専用リソース定義が付属しています。 これらの定義 は、 アプライアンス サービスで必要なものであり、 リソース リストに表示されます。 82| 第 5 章 - セキ ュ リ テ ィ 管理 リ ソ ースの追加 X リ ソ ース を追加するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. [Resources] ページで、 [New] ボタンをクリックします。 この操作により、 [Add/Edit Resource] ペー ジが表示されます。 3. [Name] ボックスに、 リソースの名前を入力します。 4. [Description] ボックスに、 リソースについてのコメントを入力します。 5. [Resource definition] エリアで、 必要なオプションを選択して適切な情報を指定します。 ネ ッ ト ワー ク リ ソ ース : • ホストには、 ネットワーク上の任意のコンピュータを指定することができます。 [Host name or IP] ボック スに、 ホスト名 ( 修飾名または非修飾名 ) を入力するか、 ホストの完全な IP アドレスを、 カンマ区切りの十 進数形式 (w.x.y.z) で入力します。 • IP 範囲では通常、 サブネット内の部分的な範囲のコンピュータを識別します。 [IP range] エリアで、 IP 範囲の開始アドレス ([From]) と終了アドレス ([To]) を、 カンマ区切りの十進数形式 (w.x.y.z) で入力 します。 • サブネットは、 共通のアドレス コンポーネントを共有するネットワークの一部を指します。 [Subnet] エリア で、 IP アドレス ([IP address]) とサブネット マスク ([Subnet mask]) を、 カンマ区切りの十進数形 式 (w.x.y.z) で入力します。 • ドメインは、 1 つまたは複数のホストを包含する領域です。 [Domain] ボックスに、 ドメインの名前 ( たとえ ば 「example.com」 ) を入力します。 Web リ ソ ース : • Web リソースを定義するには、 [URL] を選択して、 適切な URL を入力します。 ここでは、 「http://」 や 「https://」 などのプロトコル識別子を指定しなければなりません。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 83 フ ァ イル共有 リ ソ ース : • 特定のファイル システム リソースを定義するには、 [Network share] ボタンをクリックして、 UNC パスを 入力します。 ここでは、 完全なサーバー ( たとえば \\ginkgo)、 共有フォルダ ( たとえば \\john\public)、 ネットワーク フォルダ (\\ginkgo\news) を指定することができます。 • ネットワーク上のユーザーの個人フォルダを参照するには、 [Network share] ボタンをクリックし、 変数 「XXX_Username_XXX」 を入れて、 UNC パスを入力します。 この機能を使用すると、 カレント ユーザー の個人フォルダを動的に参照する単一のショートカットを ASAP WorkPlace で作成することができます。 • 完全な Windows ドメインを定義するには、 [Domain] をクリックして、 [Windows domain] チェック ボックスを選択し、 NetBIOS 構文または DNS 構文で ( 「example」、 「example.com」 など ) ドメイン 名を入力します。 完全な Windows ドメインを定義すると、 そのドメイン内のすべてのネットワーク ファイル リ ソースに対してユーザー アクセスを許可することができます。 6. オプションで、 [Create shortcut on ASAP WorkPlace] チェック ボックスを選択することにより、 WorkPlace に Web リソースまたはファイル システム リソースのショートカットを追加することができます。 このリ ソースに割り当てている名前が、WorkPlace の [Resource] 列に表示されます ( このオプションはネットワーク リソースでは使用できない )。 7. 定義しているリソースによっては、 Web アプリケーション プロファイルやエイリアスなど、 追加の設定を構成するこ とができます。 [Advanced] オプションを表示する場合、 下向き矢印のボタンをクリックします。 83 ページの 「高度なリソース オプションの使用」 を参照してください。 8. 設定が終わったら、 [Save and Add Another] をクリックして、 他のリソースを定義することができます。 ま た、 [Save] をクリックして終了することもできます。 この操作により、 [Resources] ページに戻ります。 高度な リ ソース オプシ ョ ンの使用 次の表は、 高度なオプションと、 それぞれのオプションがサポートするリソース タイプを示しています。 高度な オプション 説明 リソース タイプ [Alias name] プライベート URL を表すパブリックなエイリアスを指定するときは、 このオプショ Web ンを使用します。 このエイリアスの名前はユーザーに提示されるため、 憶えやす い名前を使用します ( 短く具体的なほど良い )。 次のような場合、 [Alias name] を指定すると良いでしょう。 [Synonyms] • このリソースに対する内部ホスト名を隠したい場合。 • この URL リソースが、 [Network Settings] ページの [Name Resolution] タブで構成されている検索ドメインに含まれていない場合。 URL リソース名の代替名 ( 「シノニム」 ) を定義するときは、 このオプションを使 Web 用します。 これは、 ユーザーが異なる名前 ( 通常、 非修飾名や圧縮名 ) を使 用してサーバーにアクセスする場合や、 Web ページに DNS エイリアスを示すリ ンクが含まれていて、 その名前を Web プロキシ サービスが正しく変換できない 場合などに使用すると便利です。 複数のシノニムを指定する場合はセミコロンで 区切ります。 このアプライアンスは、 リソースのショートカットを自動的にシノニムとして定義し ます。 たとえば URL が 「http://mail.example.com」 の場合、 アプライア ンスは 「mail」 というシノニムを追加します。 ただしこれについては、 [Synonyms] ボックスに表示されません。 84| 第 5 章 - セキ ュ リ テ ィ 管理 高度な オプション 説明 リソース タイプ [Allow public access] この URL に無制限のアクセスを許可したい場合、 このチェック ボックスを選択し Web ます。 このオプションがオンの場合は、 ユーザーの身元を識別するための認証 が行われません。 これは、 内部 Web リソースに対してパブリック アクセスを許 可する場合に使用すると便利です ( あるリソースへのパブリック アクセスを許可 するときは、 「Any」 ユーザーによるそのリソースへのアクセスを許可するルー ルを作成しなければならない )。 [Web application profile] このリストには、 いくつかの一般的な Web アプリケーションで推奨される構成済 Web みの Web プロファイルの他、 カスタム Web プロファイルやデフォルト Web プ ロファイルが含まれます。 どのプロファイルを選択すればよいかわからない場合 ネットワーク は、 デフォルトのオプションをそのまま選択してください。 プロファイルを参照する には、 [View selected profile] をクリックします。 詳細については、 86 ページの 「Web アプリケーション プロファイルの追加」 を参照してください。 リ ソ ースの編集 リソースを修正する前に、 関連するルールを慎重に検討して、 その変更がセキュリティ ポリシーにどのような影響を与え るか検証してください。 X リ ソ ース を編集するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. [Resources] ページで、 編集するリソースの名前をクリックします。 3. [Add/Edit Resource] ページで、 必要に応じて値を編集します。 4. [Save] をクリックします。 メモ • 既存のネットワーク リソースの定義設定は、 変更することができません ( たとえばホスト名を IP 範囲に変更するな ど )。 そのような場合は、 新しいネットワーク リソースを作成して、 適切な定義設定を適用しなければなりません。 • 既存の ASAP WorkPlace ショートカットの定義は、変更することができません。そのような場合は、[WorkPlace Shortcuts] ページで新しいショートカットを作成して、 適切なリソース設定を適用しなければなりません。 リ ソ ースの削除 アクセス制御ルール、 リソース グループ、 WorkPlace ショートカットで参照されているリソースは、 削除することができ ません。 リソースを削除する前に、 そのリソースを参照しているルールからそれを除外しなければなりません。 詳細につ いては、 31 ページの 「参照されているオブジェクトの削除」 を参照してください。 X リ ソ ース を削除するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. [Resources] ページで、 削除するリソースの左側にあるチェック ボックスを選択します。 3. [Delete] ボタンをクリックします。 このリソースが、 依然としてアクセス制御ルール、 リソース グループ、 WorkPlace ショートカットなどで参照されている場合、 AMC にエラー メッセージが表示されます。 エラー メッ セージのリンクをクリックすると、 このリソースに対する参照がすべてリストされます。 リ ソ ース グループの作成と管理 個別のリソースを定義することができる他、 個別のリソースの集まりであるリソース グループ単位でリソースを管理すること もできます。 リソースをグループ化すると、 同様の特性を持つリソースのセットに対するアクセスを、 便利な方法で管理 することができます。 たとえば、 リモート従業員アプリケーションを含むリソース グループを定義して、 これらのリソースへ のアクセスを管理するプロセスを簡略化することができます。 リソース グループに入れることができるリソースの数には制限がありません。 新しいリソース グループを作成すると、 使 用可能なリソースおよびグループのリストに追加されます。 この状態になると、 アクセス制御ルールでそのリソース グルー プを使用することができます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 85 リ ソ ース グループの追加 新しいリソース グループを作成すると、 [Resources] ページの [Groups] タブにある、 使用可能グループのリスト に追加されます。 X リ ソ ース グループ を追加するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. [Resources] ページで [Groups] タブをクリックし、 [New] ボタンをクリックします。 この操作により、 [Add/Edit Resource Group] ページが表示されます。 3. [Name] ボックスに、 リソース グループの名前を入力します。 4. [Description] ボックスに、 そのグループについてのコメントを入力します。 5. そのグループに入れたいリソースのチェック ボックスを選択します。 リソース グループに入れることができるリソース の数には制限がありません。 6. 設定が終わったら、 [Save and Add Another] をクリックして、 他のリソース グループを定義することができ ます。 また、 [Save] をクリックして終了することもできます。 この操作により、 [Groups] ページに戻ります。 リ ソ ース グループの編集 リソース グループを修正する前に、 関連するルールを慎重に検討して、 その変更がセキュリティ ポリシーにどのような影 響を与えるか検証してください。 X リ ソ ース グループ を編集するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. [Resources] ページで [Groups] タブをクリックし、 編集するグループの名前をクリックします。 3. [Add/Edit Resource Group] ページで、 必要に応じて値を編集します。 4. 設定が終わったら、 [Save and Add Another] をクリックして、 他のリソース グループを編集することができ ます。 また、 [Save] をクリックして終了することもできます。 この操作により、 [Groups] ページに戻ります。 リ ソ ース グループの削除 アクセス制御ルールで参照されているリソース グループは、 削除することができません。 リソース グループを削除する前 に、 そのグループを参照しているルールからそれを除外しなければなりません。 詳細については、 31 ページの 「参照 されているオブジェクトの削除」 を参照してください。 X リ ソ ース グループ を削除するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. [Resources] ページで、 [Groups] タブをクリックします。 3. 削除するグループの左側にあるチェック ボックスを選択します。 4. [Delete] ボタンをクリックします。 このリソース グループが、 依然としてアクセス制御ルールで参照されている場 合、 AMC にエラー メッセージが表示されます。 エラー メッセージのリンクをクリックすると、 このリソース グルー プに対する参照がすべてリストされます。 86| 第 5 章 - セキ ュ リ テ ィ 管理 Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの表示 Web アプリケーション プロファイルは、 [Web Application Profiles] ページに表示されます。 X Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの リ ス ト を表示するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。 こ の操作により、 [Configure Web Proxy Service] ページが表示されます。 3. [Web Application Profiles] タブをクリックすると、 使用可能な Web プロファイルが表示されます。 このリストには、 いくつかの一般的な Web アプリケーションで推奨される構成済みの Web アプリケーション プロ ファイルの他、 作成しているカスタム Web プロファイルやデフォルト Web プロファイルが含まれます。 4. Web アプリケーション プロファイルの名前をクリックすると、 その設定が表示されます。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの追加 Web アプリケーション プロファイルは、 シングル サインオン特性の他、 特定のリソースに対するコンテンツ変換オプショ ンをコントロールします。 すべての Web リソースには、 それがネットワーク リソースとして定義されているか Web リソー スとして定義されているかに関係なく、 対応する Web アプリケーション プロファイルが存在します。 • シ ン グル サイ ンオ ン ([Single sign-on]) オプ シ ョ ン。 ユーザーのログイン クレデンシャルがダウンストリー ム Web アプリケーションに転送されるかどうかコントロールし、 あわせてその転送方法もコントロールします。 この オプションは、 デフォルトでオフになっています。 • コ ン テ ン ツ変換 ([Content translation]) オプ シ ョ ン。 クッキー本体およびクッキー パスにある JavaScript コードのハイパーリンクが Web プロキシ サービスによって変換されるかどうかコントロールします。 こ のオプションは、 トランスレーテッド Web アクセス エージェントのみが使用し、 標準 Web アクセスでは無視され ます。 X Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルを追加するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。 こ の操作により、 [Configure Web Proxy Service] ページが表示されます。 3. [Web Application Profiles] タブをクリックしてから [Add] ボタンをクリックします。 [Add/Edit Web Application Profile] ページが表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 87 4. [Name] ボックスに、 プロファイルの名前を入力します。 特定のアプリケーションに対応するプロファイルを作成 している場合、 これを反映するプロファイル名を指定することができます。 たとえば、 xyz Web アプリケーション のプロファイルには、 「xyz」 という名前をつけることができます。 5. [Description] ボックスに、 そのプロファイルについてのコメントを入力します。 6. [Single Sign-On] エリアで、 ユーザー クレデンシャルが Web リソースに渡されるかどうか指定し、 あわせて その方法も指定します。 ユーザー クレデンシャルを転送すると、 ユーザーが複数回ログインする ( いったんアプ ライアンスに入ってから、 再びアプリケーション リソースにアクセスし直す ) 手間を省くことができます。 7. • [Forward each user's individual username and password] チェック ボックスを選択する と、 WorkPlace の認証で使用されたユーザー名とパスワードが、 バックエンド Web サーバーに転送される ようになります。 • [Forward static credentials] チェック ボックスを選択すると、 すべてのユーザーについて同じユー ザー名とパスワードを転送します。 これは、 HTTP 基本認証が必要な Web サイトで指定すると便利ですが、 ログイン名に基づいてパーソナライズされた各ユーザーの情報は提供されません。 また、 クライアント証明書 またはトークンで認証するユーザーの場合も役に立ちます。 • どちらのオプションも選択しない場合、 シングル サインオン機能はオフになります。 両方のオプションを選択 すると、 個別のユーザー名とパスワードが優先されます。 たとえば、 ユーザーがユーザー名 / パスワードを 指定した場合はそれが転送されますが、 ユーザー名 / パスワードを指定していない場合は、 Web プロキシ サービスが静的なクレデンシャルを転送します。 [Content Translation] エリアで、 Web プロキシ サービスによる変換を希望する項目を選択します。 • JavaScript コードで埋め込まれた Web リソースのリンクを、 Web プロキシ サービスが変換するよう指定す る場合、 [Translate JavaScript code] チェック ボックスを選択します。 これは、 絶対 URL または絶 対参照 (/to/path/xyz) が含まれる JavaScript や、 URL を動的に生成する JavaScript ( たとえば 「location="http://" + host name + "/index.html"」 ) で使用すると便利です。 この設定により、 JavaScript を使用する、 Microsoft Outlook Web Access などのアプリケーションとの間で互換性が向 上します。 • DHTML が動的に記述する URL を、 Web プロキシ サービスが変換するよう指定する場合、 [Translate DHTML content] チェック ボックスを選択します。 このオプションは、 Web リソースが JavaScript の document.write メソッドを使用して動的に URL を作成する場合に使用すると便利です。 このオプション は、 デフォルトでオフになっています。 • クッキー本体に埋め込む URL を、 Web プロキシ サービスが変換するよう指定する場合、 [Translate cookie body] チェック ボックスを選択します。 クッキー本体に URL を埋め込む方法は一般的ではありま せんが、 Web リソースがこれを行うにもかかわらずこのオプションがオンになっていない場合、 ユーザー側 に問題が発生します ( 一般的な症状として、 他の URL に予期せずリダイレクトされてしまうことがある )。 88| 第 5 章 - セキ ュ リ テ ィ 管理 8. • バックエンド リソースが送信するクッキーのパス属性を、 Web プロキシ サービスが変換するよう指定する場 合、 [Translate cookie path] チェック ボックスを選択します。 ブラウザは、 クッキーをサーバーに返 信するタイミングを判定するとき、 クッキー パスを使用します。 一方、 このアプライアンスは、 ブラウザが参 照するパスを変更するため、 クッキー パスが変換されない場合、 ブラウザがクッキーを送信しなくなります。 このような状況の一般的な症状として、 有効な値を入力しているにもかかわらず、 ログイン クレデンシャルが 何度も表示されるということが挙げられます。 その場合、 このオプションを有効にします。 このオプションは、 デフォルトでオンになっています。 • Web プロキシ サービスが、 MIME タイプではなくファイル拡張子からコンテンツ タイプを判定するよう指定 する場合、 [Ignore MIME types] チェック ボックスを選択します。 通常、 Web プロキシ サービスは、 特定のコンテンツ タイプを変換します ( テキストと HTML も含まれる ) が、 その場合、 HTTP ヘッダの MIME タイプからコンテンツ タイプを判定します。 Web リソースが不正な MIME タイプを送信している場 合、 このオプションを選択します。 この結果、 Web プロキシ サービスは、 ファイル拡張子を基にしてファイ ルを変換するかどうか判定します。 このオプションは、 デフォルトでオフになっています。 [Save] をクリックします。 メモ • • このアプライアンスには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web アプリケーショ ン プロファイルが付属しています。 アプライアンスに付属するプロファイルには、 次のようなものがあります。 • Default — NTLM または基本認証のシングル サインオンを使用しない、 ほとんどの Web アプリケーショ ンまたはサイトで使用できるデフォルト プロファイル。 • Domino Web Access 6.x — Lotus Domino Web Access 用のプロファイル。 バージョン 6.x 専 用。 • iNotes 5.x — Lotus iNotes 用のプロファイル。 バージョン 5.x 専用。 • Onyx CRM 4.x — Onyx CRM Employee Portal 用のプロファイル。 バージョン 4.x 専用。 • OWA/Single Sign-On — NTLM または基本認証のシングル サインオンを使用する、 Microsoft Outlook Web Access などのサイト用のプロファイル。 • WorkPlaceCfg — ASAP WorkPlace 用の読み取り専用プロファイル。 Web リソースは、 きわめて広範囲に定義できるため、 アプライアンスでは、 送られてくる要求にどの Web アプリ ケーション プロファイルを適用するか判定する場合、 一定のルールに従います。 アプライアンスは、 最も狭い範 囲のリソースに対応するプロファイルを選択します。 たとえば、 ある DNS ドメイン (xyz.com) をリソースとして定 義しており、 Web アプリケーション プロファイル A をそれに対応させていると仮定します。 またそれ以外に、 特 定の Web サーバー (web1.xyz.com) をリソースとして定義しており、 Web アプリケーション プロファイル B を それに対応させています。 この状態で、 https://web1.xyz.com/timesheet.html に対するユーザーの要 求が送られてきたら、 アプライアンスは、 Web アプリケーション プロファイル B を使用します。 これは、 プロファ イル B が、 Web アプリケーション プロファイル A ( ドメイン ) よりも狭い範囲のリソース (Web サーバー ) と対応 しているためです。 アプライアンスが実際に使用する順序は次のようになります。 URL --> ホスト名 --> IP アドレス --> サブネット /IP 範囲 --> DNS ドメイン • 同じ Web アプリケーション プロファイルを、 単一ドメイン内のすべてのリソースに対応させる場合、 あるプロファイ ルをそのドメインに対応させて、 そのドメイン内で定義している個別のリソースについては、 プロファイルに [None] を選択します。 個別のリソースは、 そのドメインのプロファイルを 「継承」 します。 特定のリソースにドメ インが対応しておらず、 継承するプロファイルがない場合、 アプライアンスは、 そのプロファイルのシステム デ フォルトを使用します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 89 Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの編集 プロファイルを修正する前に、 プロファイルが対応するアプリケーションとその変更事項の間に互換性があることを確認し てください。 X Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルを編集するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。 この操 作により、 [Configure Web Proxy Service] ページが表示されます。 3. [Web Application Profiles] タブをクリックしてから、 編集するプロファイルの名前をクリックします。 4. [Add/Edit Web Application Profile] ページで、 必要に応じて値を編集します。 5. [Save] をクリックします。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの削除 プロファイルが 1 つまたは複数のリソースと対応している場合、 そのプロファイルは削除することができません。 そのプロ ファイルを削除したい場合、 残存するすべての対応を削除しなければなりません。 詳細については、 31 ページの 「参 照されているオブジェクトの削除」 を参照してください。 X Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルを削除するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックします。 この操 作により、 [Configure Web Proxy Service] ページが表示されます。 3. [Web Application Profiles] タブをクリックしてから、 削除するプロファイルの左側にあるチェック ボックスを 選択します。 4. [Delete] ボタンをクリックします。 このプロファイルが、 依然としてリソースから参照されている場合、 AMC にエ ラー メッセージが表示されます。 エラー メッセージのリンクをクリックすると、 このプロファイルに対する参照がすべ てリストされます。 5. [Save] をクリックします。 ア ク セス制御ルール アクセス制御ルールは、 ユーザーまたはグループがどのリソースを使用できるか決定するものです。 ルールは、 すべて のアクセス方式からのアクセスを受け入れるよう広く定義できる他、 特定のアクセス方式 (Web ブラウザ、 Aventail Connect と Aventail OnDemand、 Network Explorer など ) のみを許可するよう狭く定義することもできます。 アクセス制御ルールは、 ユーザーの身元に基づいてそのユーザーがリソースにアクセスできるかどうか評価する他、 End Point Control ゾーンやデバイス プロファイルを使用し、 ユーザーのアクセス ポイントの信頼性について勘案することも できます。これについては、169 ページの「ゾーンおよびデバイス プロファイルによる EPC の管理」で説明しています。 ア ク セス制御ルールの構成 時間の経過とともにネットワークが変化するのに合わせて、 さまざまなユーザーとグループがどのアプリケーション リソー スを使用できるか決定するアクセス制御ルールを構成する必要が出てきます。 アクセス制御ルールを追加する前に、 既存のルールのリストを慎重に検討します。 場合によっては、 新しいルールを作 成せずに既存のルールを修正できる可能性もあります。 時間を節約するため、 既存のルールをコピーして、 そのパラ メータを修正することもできます。 新しいルールを追加する場合、 現在の構成を確認すると、 新しいルールがルール順序のどの位置に適合するか判定す ることができます。 デフォルトの場合、 新しいルールは、 アクセス制御ルールの先頭に追加されます。 その後、 リスト 内の適切な場所に移動することができます。 ア ク セス制御ルールの表示 アクセス制御ルールは、 [Access Control] ページに番号順に表示されます。 アプライアンスは、 先頭のルールを 最初に評価し、 次に 2 番目のルールを評価します。 デフォルトではすべてのアクセス制御ルールが表示されますが、 [Display] リストを使用することでリソース タイプ別に表示することもできます。 90| 第 5 章 - セキ ュ リ テ ィ 管理 X ア ク セス制御ルールを表示する には 1. メイン ナビゲーション メニューから [Access Control] をクリックします。 この操作により、 [Access Control] ページが表示されます。 2. [Display] リストから、 表示したいルール セットを選択します。 3. • リソース タイプに関係なくすべてのアクセス ルールを表示する場合、 [All] を選択します。 • Web ベース (HTTP および HTTPS) のリソースに対するアクセスを制御するアクセス ルールを表示する場 合、 [Web browser] を選択します。 • クライアント / サーバー (TCP/IP) リソースに対するアクセスを制御するアクセス ルールを表示する場合、 [Aventail Connect/OnDemand] を選択します。 • ASAP WorkPlace を使用した Windows ファイル システム リソースに対するアクセスを制御するアクセス ルールを表示する場合、 [Network Explorer] を選択します。 アクセス制御ルールのリストに表示されるデータを確認します。 • チェック ボックス列は、 1 つまたは複数のルールを選択するときに使用します。 ルールの削除 ([Delete] ボタンを使用 )、コピー ([Copy] ボタンを使用 )、順序変更 ([Move Up] ボタンおよび [Move Down] ボタンを使用 ) などを行うときにこれを使用します。 • 数値の列は、 ルールが評価されるときの順序を示します。 ルールを編集するときは、 対応する番号をクリック します。 • プラス記号 (+) の列をクリックすると、 選択したルールが拡大され、 その構成の詳細と、 そのルールで参照 されているオブジェクトが表示されます。 • [Action] 列は、 ルールがアクセスの許可と拒否のどちらの目的で使用されているか、 あるいは無効になっ ているかを示します。 一致するものが見つかった場合、 アプライアンスは、 ここで指定された動作を実行しま す。 アクセスを許可するルールの場合緑色のインジケータ、 アクセスを拒否するルールの場合赤いインジケー タが表示されます。 また、 インジケータの上にカーソルを置くと、 その動作のタイプを示すテキストが表示さ れます。 ルールが無効になっている場合は、 [Action] 列にグレーのインジケータが表示されます。 ルールが無効 であれば、 そのルールは評価されません。 この機能を利用すると、 ルールを削除せずに一時的に無効に することができるため、 非常に便利です。 • [Description] 列には、 ルールを作成したときに入力した説明テキストが表示されます。 • [From] 列には、 ルールを適用する対象ユーザーが表示されます。 この列に 「Any」 と表示されている場 合、 そのルールはすべてのユーザーに適用されます。 逆方向接続の場合、 この列には、 ユーザーに接続 しているリソースが表示されます。 91 ページの 「双方向接続のアクセス制御ルール」 を参照してください。 • [To] 列には、 ルールが適用される接続元リソースが表示されます。 この列に 「Any」 と表示されている場 合、 そのルールはすべてのリソースに適用されます。 逆方向接続の場合、 この列には、 リソースに逆方向 接続しているユーザーが表示されます。 91 ページの 「双方向接続のアクセス制御ルール」 を参照してくだ さい。 • [Method] 列には、 特定のアクセス方式がルールに対応しているかどうかが示されます。 地球アイコンは、 Web ブラウザベースの HTTP アクセスを表しています。 地球アイコンにフォルダが付いているアイコンは、 Network Explorer、 つまりファイル システム リソースへの Web アクセスを表しています。 Aventail のロ ゴが付いている場合は、 Aventail Connect トンネルまたはプロキシ クライアント、 Aventail OnDemand トンネルまたはプロキシ エージェントのいずれかを介したアクセスを表しています。 この列に 「Any」 と表示さ れている場合は、 そのルールがすべてのアクセス方式に適用されることを示します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 91 • [Zone] 列には、 アクセス ルールが特定の End Point Control ゾーンに対応しているかどうかが示されま す。 EPC ゾーンは、 クライアント デバイスの属性に基づいて、 接続要求を分類するために使用されます。 この列に 「Any」 と表示されている場合は、 そのルールがすべての EPC ゾーンに適用されることを示します。 赤い 「立入禁止」 アイコンは、 このルールが 1 つまたは複数の特定ゾーンについて、 アクセスを制御する ことを表します。 双方向接続のア ク セス制御ルール VPN 接続には通常、 いわゆる順方向接続 ( ネットワーク リソースに対してユーザーが始動する ) が伴います。 ただし、 ネットワーク トンネル サービスを実行しており、 Aventail のネットワーク トンネル クライアント (Connect トンネルまたは OnDemand トンネル ) をユーザーに設定する場合、 双方向接続が可能になります。 Aventail VPN 内では、 双方向接続によって次の機能が実行されます。 • VPN ユーザーからネットワーク リソースへの順方向接続。 92 ページの 「順方向接続のためのアクセス制御ルー ルの追加」 を参照してください。 • ネットワーク リソースから VPN ユーザーへの逆方向接続。 逆方向接続の例には、 ソフトウェア アップデートをユー ザーのマシンに 「プッシュ」 する SMS サーバーがあります。 94 ページの 「逆方向接続のためのアクセス制御 ルールの追加」 を参照してください。 • 相互接続。 VPN ユーザーが他の VPN ユーザーに電話できるようにする Voice over Internet Protocol (VoIP) アプリケーションを特に指します。 相互接続では、 順方向接続に使用するアクセス制御ルールと逆方向接 続に使用するアクセス制御ルールのペアが必要です。 95 ページの 「相互接続のためのアクセス制御ルールの追 加」 を参照してください。 その他の双方向接続の例には、 VPN ユーザーとの間でファイルをダウンロードまたはアップロードする FTP サーバー や、 リモート ヘルプ デスク アプリケーションなどがあります。 逆方向接続および相互接続の要件 逆方向接続および相互接続のアクセス制御ルールを構成する場合、 次の条件が前提になります。 • アプライアンスでネットワーク トンネル サービスが動作していること。 これは [Services] ページで実行します。 • ネットワーク トンネル クライアントのための IP アドレス プールを構成していること。 これは、 [Configure Network Access Service] > [Network Tunnel Options] ページで実行し ます。 • VoIP アプリケーションにアクセスするユーザーが、 ネットワーク トンネル クライアント (Connect トンネルまたは OnDemand トンネル ) を設定する構成のコミュニティに所属していること。 これは、 [Configure Community] > [Access Methods] ページで実行します。 逆方向接続のためのア プ リ ケーシ ョ ン ポー ト の保護 デフォルトの場合、 リソースからユーザーへの逆方向接続では、 ユーザーのコンピュータ上のすべてのポートにアクセス することができます。 セキュリティを向上させるため、 逆方向接続のアクセス制御ルールで、 アプリケーションが特異的 に使用するポートのみにアクセスを限定するよう構成する必要があります。 アプリケーションを使用するときに開けておか なければならないファイアウォール ポートについては、 アプリケーションのマニュアルを参照してください。 逆方向接続のアクセス ルールを構成するときに、 [Destination restrictions] オプションを使用して、 アプリケー ションが逆方向接続で使用する特定ポートのみにアクセスを限定します。 このオプションの詳細については、 97 ページ の 「高度なアクセス制御ルール属性の使用」 を参照してください。 92| 第 5 章 - セキ ュ リ テ ィ 管理 順方向接続のためのア ク セス制御ルールの追加 ユーザーから接続先リソースに対する順方向接続のためにアクセス制御ルールを追加するときは、 次の手順を実行しま す。 VoIP アプリケーションなどの相互接続のためにアクセス制御ルールを作成する場合は、 95 ページの 「相互接続 のためのアクセス制御ルールの追加」 を参照してください。 X 順方向接続のためのア ク セ ス制御ルールを追加する には 1. メイン ナビゲーション メニューから [Access Control] をクリックします。 2. [Access Control] ページで、 [New] をクリックします。 この操作により、 [Add/Edit Access Rule] ページが表示されます。 3. [Number] ボックスに数値を入力して、 アクセス ルール リスト内のルールの位置を指定します。 デフォルトの場 合、 新しいルールは、 リストの先頭に追加されますが、 このボックスを使用すれば、 ルールを任意の場所に入れ ることができます。 たとえば、 新しいルールに 「3」 を割り当てれば、 そのルールは、 カレント ルール 3 ( その 後ルール 4 になる ) の前に挿入されます。 このフィールドは必須です。 4. [Description] ボックスに、 そのルールについてのコメントを入力します。 この手順はオプションですが、 説明 を入れておくと、 後でルールのリストを参照するときにわかりやすくなるため便利です。 また、 このコメントはログ ファイルにも表示されるため、 デバッグの際に役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識 別子で、 編集することはできません。 5. ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタンおよ び [Deny] ボタンでそれぞれ指定します。 また、 [Disabled] でルールを無効にすることもできます。 6. [Basic settings] エリアで、 次の情報を入力します。 7. • ユーザーからリソースへの順方向接続の場合は、 [User] ボタンを選択します。 [User] ボタンと [Resource] ボタンは切替式になっており、 それぞれ順方向接続ルールと逆方向接続ルールに対応しています。 • [From] ボックスでは、 ルールを適用するユーザーまたはユーザー グループを指定します。 ユーザーやグ ループをリストから選択する場合は、 [Edit] をクリックします。 ユーザーやグループが指定されていない場 合、 このフィールドの値はデフォルト値の 「Any user」 になります。 • [To] ボックスでは、 ルールを適用するリソースまたはリソース グループを指定します。 リソースをリストから選 択する場合は、 [Edit] をクリックします。 接続先リソースが選択されていない場合、 このフィールドの値はデ フォルト値の 「Any resource」 になります。 [Access methods] エリアで、 リソースへのアクセスをコントロールするアクセス方式を 1 つまたは複数選択し ます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 93 • [Any] の場合、 要求を出すアクセス方式が何であるかに関係なく、 ルールのすべてのリソースに対するアク セスを管理します。 ほとんどの環境では、 この設定が推奨されます。 ただし、 セキュリティ要件のために、 リ ソースへのアクセスを特定のアクセス方式に制限しなければならない場合はその限りではありません。 • [Web browser] の場合、 Web ブラウザ経由で接続するユーザーの、 HTTP または HTTPS リソースか らのアクセスを管理します。 • [Network Explorer] の場合、 Network Explorer を介して接続する ASAP WorkPlace ユーザー の、 Windows ファイル システム リソースからのアクセスを管理します。 • [Aventail Connect and Aventail OnDemand] の場合、 Aventail Connect トンネルまたはプロ キシ クライアント、 Aventail OnDemand トンネルまたはプロキシ エージェントのいずれかを介して接続す るユーザーの、 クライアント / サーバー アプリケーション、 ファイル サーバー、 データベースなどといった TCP/IP リソースからのアクセスを管理します。 たとえば、 Aventail Connect または Aventail OnDemand を使用するユーザーに対して、 ネットワーク ドメインへのアクセスは許可したいが、 そのドメイン内の Web リソースに対するブラウザ アクセスは許可した くないという状況について考えます。 これは、 [Destination resources] ボックスでネットワーク ドメイ ンを指定し、 アクセス方式として [Aventail Connect and Aventail OnDemand] だけを指定する ルールを作成することで実現できます。 8. [End Point Control zones] エリアで、 リソースへのアクセスを許可または拒否するゾーンを選択します。 ゾーンをリストから選択する場合は、 [Edit] をクリックします。 このフィールドのデフォルト値は 「Any」 です。 ゾーンの構成方法と使用方法については、 169 ページの 「ゾーンおよびデバイス プロファイルによる EPC の管 理」 を参照してください。 9. ルールの作成が終わったら、 [Save and Add Another] をクリックして、 他のルールを定義することができま す。 また、 [Save] をクリックして終了することもできます。 この操作により、 [Access Control] ページに戻り ます。 メモ • AMC では、 複数のアクセス方式を柔軟にリソースに割り当てることができるため、 アクセス方式とリソースとの間に 不適合が起こることがあります。 このような状況は、 指定されたリソースと互換性のないアクセス方式を割り当てるよ うなルールを作成した場合に発生します。 たとえば、 Windows ドメイン リソースに対するアクセス方式として [Web browser] を指定した場合、 AMC で 「Invalid destination resources」 というエラー メッセージが 表示されます。 • 場合によっては、 リソースやアクセス方式を混在させた 「拒否」 ルールを作成し、 それ以降のルールが評価され ないようにすることもできます。ただしこのようなルールは、アクセス ポリシーで参照されている他のリソースへのユー ザー アクセスを誤ってブロックする可能性もあります。 • IP アドレス プールが構成されていない状態でルールを順方向接続から逆方向接続へ変更しようとすると、AMC で エラー メッセージが表示されます。 逆方向接続は、 ネットワーク トンネル クライアントで IP アドレス プールが構成 されている場合に限って使用できます。 94| 第 5 章 - セキ ュ リ テ ィ 管理 逆方向接続のためのア ク セス制御ルールの追加 接続先リソースからユーザーに対する逆方向接続のためにアクセス制御ルールを追加するときは、 次の手順を実行しま す。 逆方向接続の例には、 IBM の Tivoli プロビジョニング製品や、 Microsoft の Systems Management Server (SMS) などがあります。 91 ページの 「逆方向接続および相互接続の要件」 を参照してください。 X 逆方向接続のためのア ク セ ス制御ルールを追加する には 1. 逆方向接続を構成するための要件が満たされていることを確認します。 2. メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Access Control] を ク リ ッ ク し ます。 3. [Access Control] ページで、 [New] をクリックします。 この操作により、 [Add/Edit Access Rule] ページが表示されます。 4. [Number] ボックスに数値を入力して、 アクセス ルール リスト内のルールの位置を指定します。 デフォルトの場 合、 新しいルールは、 リストの先頭に追加されますが、 このボックスを使用すれば、 ルールを任意の場所に入れ ることができます。 たとえば、 新しいルールに 「3」 を割り当てれば、 そのルールは、 カレント ルール 3 ( その 後ルール 4 になる ) の前に挿入されます。 このフィールドは必須です。 5. [Description] ボックスに、 そのルールについてのコメントを入力します。 この手順はオプションですが、 説明 を入れておくと、 後でルールのリストを参照するときにわかりやすくなるため便利です。 また、 このコメントはログ ファイルにも表示されるため、 デバッグの際に役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識 別子で、 編集することはできません。 6. ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタンおよ び [Deny] ボタンでそれぞれ指定します。 また、 [Disabled] でルールを無効にすることもできます。 7. [Basic settings] エリアで、 次の情報を入力します。 • リソースからユーザーへの逆方向接続の場合は、 [Resource] ボタンを選択します。 [User] ボタンと [Resource] ボタンは切替式になっており、それぞれ順方向接続ルールと逆方向接続ルールに対応してい ます。 逆方向接続は、 ネットワーク トンネル クライアントで IP アドレス プールが構成されている場合に限って使用 できます。 IP アドレス プールが構成されていない状態で逆方向接続を作成しようとすると、 AMC でエラー メッセージが表示されます。 91 ページの 「双方向接続のアクセス制御ルール」 を参照してください。 • [From] ボックスでは、 ユーザーに接続するリソースを指定します。 リソースをリストから選択する場合は、 [Edit] をクリックします。 リソースが選択されていない場合、 このフィールドの値はデフォルト値の 「Any resource」 になります。 • [To] ボックスでは、 リソースが接続するユーザーを指定します。 リソースをリストから選択する場合は、 [Edit] をクリックします。 ユーザーが選択されていない場合、 このフィールドの値はデフォルト値の 「Any user」 に なります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 95 8. [Access methods] エリアで [Any] を選択すると、 要求を出すアクセス方式が何であるかに関係なく、 ルー ルですべてのリソースに対するアクセスが自動的に管理されるようになります。 この設定により、 Connect トンネ ル クライアントも OnDemand トンネル エージェントも ( 逆方向接続で必要 ) ルールで管理されるようになります。 他のアクセス方式は、 逆方向接続をサポートしていないため、 バイパスされます。 9. ルールの作成が終わったら、 [Save and Add Another] をクリックして、 他のルールを定義することができま す。 また、 [Save] をクリックして終了することもできます。 この操作により、 [Access Control] ページに戻り ます。 相互接続のためのア ク セス制御ルールの追加 相互接続のためにアクセス制御ルールを作成する際の手順は、 順方向接続または逆方向接続の場合とほとんど同じで す。 ただし、 相互接続の場合、 ユーザーと接続先リソースを指定する方法が他の場合と若干異なります。 たとえば、 VPN ユーザーに対し、 VoIP (Voice over Internet Protocol) テクノロジー アプリケーションを使用して 互いを呼び出す許可を与えたい場合、 ユーザーがアプライアンスの IP アドレス プールに接続するときのルールと、 IP アドレス プールがユーザーに接続するときのルールをそれぞれ作成する必要があります。 また、 FTP サーバーとユーザーの間で双方向接続を許可する場合も、 このような手順でルールのペアを作成する必要 があります。 ただし、 Connect プロキシ クライアントは、 ネットワーク トンネル クライアントの場合と異なり、 FTP 接続 を処理する場合、 アクセス制御ルールを 1 つしか使用することができません。 X 相互接続のためのア ク セス制御ルールを追加するには 1. 逆方向接続を構成するための要件が満たされていることを確認します。 91 ページの 「逆方向接続および相互接 続の要件」 を参照してください。 2. メイン ナビゲーション メニューから [Access Control] をクリックします。 3. [Access Control] ページで、 [New] をクリックします。 この操作により、 [Add/Edit Access Rule] ページが表示されます。 4. [Number] ボックスに数値を入力して、 アクセス ルール リスト内のルールの位置を指定します。 デフォルトの場 合、 新しいルールは、 リストの先頭に追加されますが、 このボックスを使用すれば、 ルールを任意の場所に入れ ることができます。 たとえば、 新しいルールに 「3」 を割り当てれば、 そのルールは、 カレント ルール 3 ( その 後ルール 4 になる ) の前に挿入されます。 このフィールドは必須です。 5. [Description] ボックスに、 そのルールについてのコメントを入力します。 この手順はオプションですが、 説明 を入れておくと、 後でルールのリストを参照するときにわかりやすくなるため便利です。 また、 このコメントはログ ファイルにも表示されるため、 接続が特定のルールと合致していない理由を判断する目的でログを検査する際に 役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識別子で、 編集することはできません。 相互接続では、 順方向接続ルールと逆方向接続ルールのペアが必要になるため、 2 つのルールに同様の名前 を割り当てておきます。 こうしておくと、 対応するルールをアクセス制御ルールのリストから探し出すときに、 容易に 判別できるようになります。 6. ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタンおよ び [Deny] ボタンでそれぞれ指定します。 また、 [Disabled] でルールを無効にすることもできます。 96| 第 5 章 - セキ ュ リ テ ィ 管理 7. 8. 9. [Basic settings] エリアの [User] ボタンと [Resource] ボタンは切替式になっており、 それぞれ順方向 接続ルールと逆方向接続ルールに対応しています。 • ユーザーから IP アドレス プールへの順方向接続ルールを作成する場合は、 [User] ボタンを選択します。 • IP アドレス プールからユーザーへの逆方向接続ルールを作成する場合は、 [Resource] ボタンを選択し ます。 [Basic settings] エリアの [From] ボックスでは、 次のように指定します。 • 順方向接続ルールの場合、 ルールを適用するユーザーまたはユーザー グループを指定します。 ユーザー やグループをリストから選択する場合は、 [Edit] をクリックします。 デフォルト値は 「Any user」 です。 • 逆方向接続ルールの場合、 VoIP アプリケーションで使用するアドレス プールを指定します。 アドレス プー ルをリソースのリストから選択する場合は、 [Edit] をクリックします。 デフォルト値は 「Any resource」 です。 [Basic settings] エリアの [To] ボックスでは、 次のように指定します。 • 順方向接続ルールの場合、 VoIP アプリケーションで使用するアドレス プールを指定します。 アドレス プー ルをリソースのリストから選択する場合は、 [Edit] をクリックします。 デフォルト値は 「Any resource」 です。 • 逆方向接続ルールの場合、 ルールを適用するユーザーを指定します。 ユーザーやグループをリストから選択 する場合は、 [Edit] をクリックします。 デフォルト値は 「Any user」 です。 • [To] ボックスでは、 ルールを適用する接続先リソースまたはリソース グループを指定します。 ただし、 逆方 向接続ルールの場合、 [From] ボックスでリソースが接続するユーザーを指定します。 リストから選択する場 合は、 [Edit] をクリックします。 接続先リソースやユーザーが選択されていない場合、 このフィールドの値は デフォルト値の 「Any」 になります。 10. [Access methods] エリアで [Any] を選択します。 この設定により、 アプライアンスの Smart Access 機 能が、 ユーザーのエンド ポイント デバイスに合った適切なアクセス方式を判定するようになります。 これは、 逆方 向接続の場合、 Connect トンネル クライアントまたは Connect トンネル エージェントになります。 他のアクセス 方式は、 相互接続または双方向接続をサポートしていないため、 バイパスされます。 11. [Access methods] エリアで [Any] を選択すると、 要求を出すアクセス方式が何であるかに関係なく、 ルー ルですべてのリソースに対するアクセスが自動的に管理されるようになります。 この設定により、 Connect トンネ ル クライアントも OnDemand トンネル エージェントも ( 逆方向接続で必要 ) ルールで管理されるようになります。 他のアクセス方式は、 逆方向接続をサポートしていないため、 バイパスされます。 12. 相互接続ルールのペアで最初のルールの作成が終わったら、 [Save and Add Another] をクリックし、 2 番目のルールを作成してから [Save] をクリックして保存します ( また、 最初のルールを作成した時点で保存し、 それをコピーしてから、 ユーザー設定とリソース設定を逆にすることもできる )。 メモ • 相互接続ルールのペアを構成する順方向接続ルールと逆方向接続ルールを接続したら、 この 2 つのルールを、 アクセス制御リストで並べて配置します。 こうしておくことにより、 それぞれのルールについて、 関連するルールと して識別しやすくなります。 • IP アドレス プールが構成されていない状態で相互接続ルールを作成しようとすると、 AMC でエラー メッセージが 表示されます。 91 ページの 「双方向接続のアクセス制御ルール」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 97 高度なア ク セス制御ルール属性の使用 ほとんどのルールには、 ユーザーやグループ、 接続先リソース、 アクセス方式などが含まれる基本構成があり、 通常は これで十分です。 ただし、 さらに詳細なアクセス制御を行いたい場合は、 [Add/Edit Access Rule] ページの [Advanced] エリアのオプションを使用できるようになっています。 たとえば、 特定の IP アドレスからの接続のみを許可したい場合は、 [User's network address] オプションを使 用します。 その場合、 接続先リソースへの接続を許可または拒否する段階で、 要求を出したロケーションに基づいて、 接続元ネットワークをアクセス ルールで参照します。 これによって、 セキュリティが一層向上します。 X ア ク セス制御ルールで高度な設定を使用する には 1. [Add/Edit Access Rule] ページの [Advanced] エリアにある下向き矢印ボタンをクリックします。 2. [User's network address] オプションを使用して、 ルールで評価したい接続元ネットワークの名前を指定 します。 これは、 接続要求の送信元に基づいてアクセスを制御するときに使用すると便利です。 ネットワーク リ ソースをリストから選択する場合は、 [Edit] をクリックします。 接続元ネットワークが指定されていない場合、 この フィールドの値はデフォルト値の 「Any」 になります。 逆方向接続の場合、 このオプションを使用することで、 特 定のポートまたはアプリケーション リソースからの、 ユーザーのコンピュータへのアクセスをブロックすることができま す。 3. SSL 接続を行うときにユーザーのデバイスで求められる最小キー長を [Minimum key length] で指定しま す。 ユーザーのデバイスで最高度のセキュリティが必要な場合は、 [128-bit] を選択します。 環境が強力な暗 号化をサポートしていない場合は、 比較的短いキー長を選択します。 4. 個別のポートまたは一定範囲のポートによるアクセスを制限する場合は、 [Destination restrictions] の [Ports] を使用します。 たとえば、 SMTP メール サーバーへのアクセスを制御するポリシーを構築している場合 は、 ポート 25 (SMTP トラフィックで一般的なポート ) 経由のアクセスのみを許可することができます。 最新の ポート番号割り当てのリストについては、 http://www.iana.org/assignments/port-numbers で参照するこ とができます。 すべてのポート経由のアクセスを許可する場合は、 [Any] をクリックします。 複数のポートを指定する場合、 [Selected] をクリックし、 それぞれのポート番号をセミコロンで区切って入力します。 また、 ポート範囲を指定す る場合は、 最初の番号と最後の番号をハイフンでつないで指定します。 5. [Method Restrictions] エリアの [Protocols] で、 ネットワーク トンネルまたはプロキシ サービスがクライ アントから受け付けるプロトコルを指定します。 それぞれのコマンドについてはここでも簡単に説明していますが、 詳細について知りたい場合は、 http://www.ietf.org/rfc/rfc1928.txt を参照してください。 98| 第 5 章 - セキ ュ リ テ ィ 管理 • [TCP]。 すべての標準 TCP 接続 ( たとえば SSH、 telnet、 scp など ) で使用します。 • [UDP]。 ネットワーク トンネルまたはプロキシ サービスが、 UDP データ転送を行えるようにします。 これは、 オーディオのストリーミングや Microsoft Outlook の新規メール通知などで必要になります。 • [ICMP]。 ICMP (Internet Control Message Protocol) は、 ping や traceroute などのネットワーク トラブルシューティング コマンドに対応しています。 このオプションを選択すると、 ネットワーク トンネルまたは プロキシ サービスが、 ユーザーの代わりにこのような操作を実行するようになります。 また同時に、 ICMP パ ケットがネットワーク トンネルまたはプロキシ サービスを通過できるようになります。 • [Accept bind requests from server]。 クライアントに対してサーバーからの接続の受け入れを求め るプロトコルで使用します。 FTP はその恰好の例です。 バインドは通常、 接続の Connect/Bind ペアで発 生します。 6. ルールでファイル システム リソースに対する読み込みまたは読み込み / 書き込みのどちらを許可するか指定する 場合、 [Permissions] の [Read]、 [Read/Write] をそれぞれ使用します。 これらのアクセス権限は、 同じファイル システム リソースに対応する Windows のアクセス制御ルールと共同で機能します。 ユーザーに特 定の特権を与えるためには、 アクセス権限を両方のエンティティ ( つまり Windows とこのアプライアンス ) で指 定しなければなりません。 ただしファイル アップロードを禁止した場合、 すべてのユーザーがファイルに書き込み できなくなります。 その場合でも、 書き込みのアクセス権限を持っているユーザーであれば、 ファイルの移動と削 除は行うことができます。 これらの設定は、 逆方向接続の場合は無視されます。 7. [Time and date restrictions] エリアでは、 ルールが有効になるタイミングを指定します。 [Shift] または [Range] を指定できる他、 ルールが常に有効になるよう指定することもできます。 8. ルールの作成が終わったら、 [Save and Add Another] をクリックして、 他のルールを定義することができま す。 また、 [Save] をクリックして終了することもできます。 この操作により、 [Access Control] ページに戻り ます。 メモ • アクセス方式を 1 つまたは複数選択すると、 そのアクセス方式に該当するかどうかによって、 高度なオプションが 有効化または無効化されます。 ただし、 アクセス方式として [Any] を選択すると、 すべての高度なオプションが 使用可能になります。 AMC がルールを検証する段階で、 そのアクセス方式に関連しないルール属性は選択でき なくなります。 次の表は、 それぞれのアクセス方式に該当する高度なオプションを示しています。 アクセス方式 該当する高度なオプション [Web browser] (HTTP/HTTPS) • [User’s network address] • [Minimum key length] • [Time and date restrictions] [Network Explorer] ( ファイル システム リソースへの Web アクセス ) • [User’s network address] • [Read/write permissions] • [Time and date restrictions] [Aventail Connect & Aventail OnDemand] (TCP/IP) • [User’s network address] • [Destination restrictions] (ports) • [Minimum key length] • [Time and date restrictions] • [Protocols] EX-750 イ ン ス ト ールおよび管理ガ イ ド | 99 ア ク セス制御ルールからのユーザー と リ ソ ースの追加 管理者によっては、 すべてのポリシー オブジェクト ( ユーザー、 グループ、 リソース ) を定義してからアクセス制御ルー ルを作成する方法を好みます。 この構造化アプローチは、 初期構成の場合など特に有効ですが、 継続的に管理して いく上で不便を感じることもあります。 そのような場合は、 アクセス制御ルールを作成するためのインタフェースから新し いリソースを直接定義することができます。 X ア ク セス制御ルールの中から ユーザーまたは リ ソ ース を追加するには 1. [Add/Edit Access Rule] ページで、 [Users/groups] ボックスまたは [Destination resources] ボックスの隣にある [Edit] ボタンをクリックします。 現在のユーザーおよびグループ、 リソースを表示するポップアップ ウィンドウが表示されます。 2. [New] ボタンをクリックします。 次に表示されるページは、 作成しているオブジェクトのタイプ ( ユーザー、 グ ループ、 リソース ) ごとに異なります。 3. 新しいユーザー、 グループ、 リソースの設定を定義します。 4. 設定が終わったら、 [Save and Add Another] をクリックして、 他のオブジェクトを定義することができます。 また、 [Save] をクリックして終了することもできます。 この操作を実行すると、 前のページに戻ります。 新しいオ ブジェクトが、 ユーザー、 グループ、 リソースのリストに加わっています。 5. アクセス制御ルールに追加したいオブジェクトの隣にあるチェック ボックスを選択して、 [Save] をクリックします。 この操作により、 [Add/Edit Access Rule] ページに戻ります。 100|第 5 章 - セキ ュ リ テ ィ 管理 ア ク セス制御ルールの編集 アクセス制御ルールを修正する前に、 既存のルールを慎重に検討して、 その変更がセキュリティ ポリシーにどのような 影響を与えるか検証してください。 また、 ルールの順序には特に注意を払います。 X ア ク セス制御ルールを編集する には 1. メイン ナビゲーション メニューから [Access Control] をクリックします。 2. [Access Control] ページで、 編集するルールの番号をクリックします。 たとえば、 リストの 3 番目のルール を編集したい場合は、 「3」 をクリックします。 3. [Add/Edit Access Rule] ページで、 必要な編集を行って、 [Save] をクリックします。 ア ク セス制御ルールのコ ピー 新しいアクセス制御ルールをゼロから作成するということをしないで、 既存のルールをコピーしてから、 新しいルールに 合わせて特定のパラメータだけを変更することで、 時間を節約することができます。 作成しようとしているルールとほとん どの特性が共通するルールを選択します。 ルールのコピーは、 アクセス ポリシーのテストの際に使用しても便利です。 X ア ク セス制御ルールを コ ピーするには 1. メイン ナビゲーション メニューから [Access Control] をクリックします。 2. [Access Control] ページで、 コピーするルールの隣にあるチェック ボックスを選択します。 3. [Copy] をクリックします。 この操作により、 [Add/Edit Access Rule] ページが表示されます。 [Number] フィールドが 「1」 になっている以外は、 新しいルールのすべてのフィールドが、 元のルールと同じ になっています。 4. 新しいルールをリストの先頭に入れたい場合は、 [Number] フィールドを 「1」 のままにしておきます。 ルール を別の場所に割り当てる場合は、 対応する番号を入力します。 5. [Description] ボックスに、 ルールのコメントを新しく入力します。 同じコメントにしておくこともできますが、 そ れぞれのルールに個別のコメントをわかりやすく入れておくことが理想的です。 6. [Add/Edit Access Control] ページで、 他のフィールドの設定も適宜変更します。 7. ルールの追加が終わったら、 [Save and Add Another] をクリックして、 他のルールを定義することができま す。 また、 [Save] をクリックして終了することもできます。 この操作により、 [Access Control] ページに戻り ます。 ア ク セス制御ルールの削除 アクセス制御ルールを削除する前に、 既存のルールを慎重に検討して、 その削除がセキュリティ ポリシーにどのような 影響を与えるか検証してください。 削除の際、 確認が求められることはありません。 そのため削除の際は慎重に行って ください。 X ア ク セス制御ルールを削除する には 1. メイン ナビゲーション メニューから [Access Control] をクリックします。 2. [Access Control] ページで、 削除するアクセス ルールの隣にあるチェック ボックスを選択します。 3. [Delete] ボタンをクリックします。 ア ク セス制御ルールの移動 1 つまたは複数のルールについて、 アクセス制御ルール内の位置を変更することができます。 アクセス制御ルールの順 序を変更する前に、 順序を慎重に検討して、 リストの順序変更がセキュリティ ポリシーにどのような影響を与えるか検証 してください。 X ア ク セス制御ルールを移動する には 1. メイン ナビゲーション メニューから [Access Control] をクリックします。 2. [Access Control] ページで、 移動するアクセス ルールの隣にあるチェック ボックスを選択します。 3. [Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。 ボタンをクリックすると、 選択したルー ルがリストの中をそれぞれ上下方向に 1 段階ずつ移動します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 101 メモ • [Display] オプションを使用してアクセス ルールをフィルタリングし、 特定のアクセス方式のみを表示している場 合、 [Move Up] ボタンまたは [Move Down] ボタンを使用してリストの順序を変更することはできません。 ア クセス制御ルールを移動するのは、 [Display] に 「All」 を設定している場合に限られます。 • ルールを複数段階移動する場合は、 [Add/Edit Access Rule] ページで [Number] ボックスの値を変更 する方が速いこともあります。 ア ク セス方式と リ ソ ース と の間の拒否ルール非互換の解決 次の表の 3 種類の組み合わせのいずれかを参照する 「拒否」 ルールを定義するとき、 「Some of the resources in this rule are not supported by the selected access method(s), which could inadvertently deny access to some resources」 という警告メッセージが表示されます。 「許可」 ルールの場合は、 リソースとアクセス方式を任意の方法で混在させ組み合わせることができます。 ただし 「拒 否」 ルールにリソースとアクセス方式の一定の組み合わせが含まれていると、 それ以降のルールが評価されなくなりま す。 このようなルールは、 アクセス ポリシーでそれ以降参照されている、 リソースへのユーザー アクセスを誤ってブロッ クする可能性もあります。 場合によっては、 ポリシーの評価のときに、 拒否ルールが接続要求と一致しているかどうかアプライアンスが判定できな くなることがあります。 このような場合、 セキュリティ上の予防措置として、 ルール セットの処理を停止し、 ユーザー ア クセスをブロックします。 これは、 リソース タイプとアクセス方式が次のような組み合わせで拒否ルールに含まれている場 合に、 そのルールが評価されると発生します。 ルール動作 リソース タイプ アクセス方式 [Deny] [Windows domain] • [Any] • [Web browser] • [Aventail Connect and OnDemand] • [Any] • [Aventail Connect and OnDemand] • [Any] • [Aventail Connect and OnDemand] [Deny] [Deny] [URL] [Network share] 例 たとえば、 Windows ドメインへのアクセスをブロックし、 ア ク セ ス方式を 「Any」 にしておく拒否ルールを作成すると 仮定します。 Windows ドメインは ASAP WorkPlace からアクセスできるため、 アプライアンスが ASAP WorkPlace からの接続試行を受け取ると、 ルールと一致し、 そのアクセスが拒否されます。 一方で、 ユーザーが Aventail Connect や OnDemand、 あるいは標準 Web ブラウザから接続要求を出すとしま す。 この場合、 アプライアンスは、 ( どの接続先リソースが要求されていても ) Windows ドメインのルールが要求に合 致しているかどうか判定することができません。 アプライアンスはそのため、 ポリシー内のそれ以降のルールの評価を停 止して、 即座にアクセスを拒否します。 そのため、 Windows ドメイン ルールがアクセス制御ルールの先頭にある場 合、 高い確率で、 ユーザーが VPN リソースにアクセスできなくなります。 たとえば、 リストの次のルールが、 ユーザー の VPN リソースへのアクセスを許可する許可ルールの場合でも、 このルールが評価されることはありません。 問題の解決 このようなルールの非互換性を解決するため、 当社では、 不確定のアクセス方式を参照しないようにルールを修正する ことを推奨しています。 たとえば、 Windows ドメインまたはネットワーク共有の場合は、 アクセス方式として Network Explorer 以外選択しないようにし、URL の場合は、Web ブラウザと ASAP WorkPlace 以外選択しないようにします。 102|第 5 章 - セキ ュ リ テ ィ 管理 不正な接続先 リ ソ ースの解決 アクセス方式を非互換の接続先リソースに割り当てるルールを作成しようとした場合、 AMC は、 「Invalid destination resources: These resources are not accessible from the selected access method(s)」 という警告を出し て不適合が発生するのを防止します。 次の表では、 このような警告が出されるアクセス方式 / 接続先リソースの組み合 わせを示しています。 アクセス方式 不正な接続先リソース [Web browser] • [Windows domain] • [Network share] [Network Explorer] • [URL] [Aventail Connect and Aventail OnDemand] • [URL] • [Windows domain] 例 たとえば、 Windows ドメイン リソースにアクセスし、 アクセス方式として [Web browser] を指定するルールを作成 していると仮定します。 このような組み合わせを選択すると、 [Add/Edit Access Rule] ページの [Access methods] エリアのすぐ上に 「Invalid destination resource」 という警告が表示されます。 このようなルールは、 アクセス方式 / リソースの不適合が含まれていることから、 保存することができません。 このような不適合が残っている状 態で [Save] をクリックすると、 不正なリソースがルールから除去されます。 ルールに含まれている不適合リソースが 1 つだけの場合、 そのリソースは 「Any」 で置き換えられます。 問題の解決 接続先リソースのエラーを解決するため、 アクセス方式のタイプが接続先リソースと互換性を持つようにルールを修正しま す。 アクセス方式 / 接続先リソースの不適合を回避するための最も簡単な方法は、 [Add/Edit Access Rule] ペー ジの [Access method] オプションを 「Any」 に設定することです。 オプション 説明 リソース タイプ [Alias name] プライベート URL を表すパブリックなエイリアスを指定するときは、 このオ プションを使用します。 このエイリアスの名前はユーザーに提示されるた め、 憶えやすい名前を使用します ( 短く具体的なほど良い )。 次のような 場合、 [Alias name] を指定すると良いでしょう。 [Synonyms] • このリソースに対する内部ホスト名を隠したい場合。 • この URL リソースが、 [Network Settings] ページの [Name Resolution] タブで構成されている検索ドメインに含まれていない 場合。 Web URL リソース名の代替名 ( 「シノニム」 ) を定義するときは、 このオプショ Web ンを使用します。 これは、 ユーザーが異なる名前 ( 通常、 非修飾名や圧 縮名 ) を使用してサーバーにアクセスする場合や、 Web ページに DNS エイリアスを示すリンクが含まれていて、 その名前を Web プロキシ サービ スが正しく変換できない場合などに使用すると便利です。 複数のシノニムを 指定する場合はセミコロンで区切ります。 このアプライアンスは、 リソースのショートカットを自動的にシノニムとして定 義します。 たとえば URL が 「http://mail.example.com」 の場合、 ア プライアンスは 「mail」 というシノニムを追加します。 ただしこれについて は、 [Synonyms] ボックスに表示されません。 [Allow public access] この URL に無制限のアクセスを許可したい場合、 このチェック ボックスを Web 選択します。 このオプションがオンの場合は、 ユーザーの身元を識別する ための認証が行われません。 これは、 内部 Web リソースに対してパブ リック アクセスを許可する場合に使用すると便利です ( あるリソースへのパ ブリック アクセスを許可するときは、 「Any」 ユーザーによるそのリソース へのアクセスを許可するルールを作成しなければならない )。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 103 オプション [Web application profile] 説明 リソース タイプ Web このリストには、 いくつかの一般的な Web アプリケーションで推奨される 構成済みの Web プロファイルの他、 カスタム Web プロファイルやデフォ ルト Web プロファイルが含まれます。 どのプロファイルを選択すればよい ネットワーク かわからない場合は、 デフォルトのオプションをそのまま選択してください。 プロファイルを参照するには、 [View selected profile] をクリックしま す。 詳細については、 86 ページの 「Web アプリケーション プロファイル の追加」 を参照してください。 104|第 5 章 - セキ ュ リ テ ィ 管理 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 105 第6章 ユーザー管理 アクセス制御ルールでは、 ユーザーやユーザーのグループがどのリソースを使用できるか決定します。 したがって、 外 部ユーザー ディレクトリに保管されているユーザーやグループにマッピングするユーザーやグループを AMC で定義し なければなりません。 さらに高いレベルのコミュニティでも、 共通の特性を共有するユーザーやユーザー グループ、 ア クセス ポリシーやアクセス方式などを編成できます。 また、 これらはアクセス制御ルールでも使用することができます。 概要 : ユーザー、 グループ、 コ ミ ュ ニテ ィ ユーザーとは、 ネットワーク上のリソースにアクセスする必要がある個人を指します。 また、 ユーザー グループは、 ユー ザーの集まりです。 アプライアンスでユーザーやユーザー グループを作成したら、 リソースへのアクセスを許可または拒 否するために、 アクセス制御ルール内で参照することができます。 ア プラ イア ンス では、 ユー ザー と グ ル ー プを実 際 に保 管 し ま せん。 そ の代 わり に、 外 部の Microsoft Active Directory、 LDAP、 RADIUS リポジトリに保管されている既存のユーザーやグループへの参照を作成します。 こうす ることにより、 アプライアンスで直接ユーザーを作成し管理する必要がなくなります。 ユーザーやグループを定義してか らアクセス制御ルールで参照することもできますが、 アクセス制御ルール インタフェースから新しいユーザーやグループ を直接定義することもできます。 コミュニティはユーザーの集まりで、 ユーザー集団のメンバーがレルムにログインするときに、 どのアクセス クライアントと End Point Control エージェントが設定されるかがこれによって決まります。 たとえば、 モバイル従業員に対しては OnDemand を有効にし、ビジネス パートナーには Web アクセスのみを提供することができます。End Point Control が有効な場合、 コミュニティは、 コミュニティ内のどの 「信頼ゾーン」 にメンバーが所属するか決定するために使用する こともできます。 レルムとユーザー コミュニティを構成するとき、 AMC では、 コミュニティのメンバーにどのアクセス エージェントがプロビ ジョニングされるか指定することができます。 またオプションで、 コミュニティ メンバーのデバイスを 「信頼ゾーン」 に分 類することもできます。 次の図は、 レルムがユーザーを認証して、 これをコミュニティに割り当て、 アクセス エージェント をプロビジョニングして、 End Point Control が有効であれば、 コンピュータの信頼性に基づいてコミュニティ メンバー をさまざまなゾーンに割り当てる過程を示しています。 ⸽ 䮞䮴䮚䭿䮮䮒䮺䭷䬷 End Point Control 䮳䮲䮧 䭺䮦䮬䮒䮍䭪 CompanyXYZ Employees 䭷䮲䯃䮞 = “Employees” 䭺䮦䮬䮒䮍䭪 ⸽䭼䯃䮗䯃 AD.example.com Partners 䭷䮲䯃䮞 = “Partners” 䭩䭶䮂䮀ᣇᑼ OnDemand Web 䮞䮴䭴䭾 䭯䯃䭿䭮䮺䮏 䬸䬽䭩䭶䮂䮀ᣇᑼ䭡 ↪䬶䬜䭚䬚 䭩䭶䮂䮀ᣇᑼ 䊃䊤䊮䉴䊧䊷䊁䉾䊄㩷㪮㪼㪹 䮅䯃䮺 IT ᡰ⛎ PC 䮢䯃䮧 PC 䬸䬽䭗䬕䬹䮎䯃䮆⼔ 䭺䮺䮤䯃䮔䮺䮏䬛 ᔅⷐ䬚䎃䎢 䮅䯃䮺 ᧂ⍮䬽 PC 106|第 6 章 - ユーザー管理 コ ミ ュ ニテ ィ の管理 アプライアンスのそれぞれの認証レルムでは、 1 つ以上のコミュニティを参照しなければなりません。 複数のコミュニティ を使用すると、 ユーザー集団を効率的に分割することができます。 その結果、 特定のユーザーに個別のアクセス エー ジェントを割り当てたり、 コミュニティのメンバーが使用する特定タイプのデバイスについて End Point Control 制約を 課したりすることができます。 メモ • コミュニティを割り当てずに認証レルムを作成し保存した場合、 レルムにデフォルト コミュニティが自動的に割り当て られます。 56 ページの 「デフォルト コミュニティの使用」 を参照してください。 コ ミ ュ ニテ ィ の表示 AMC のユーザーのコミュニティは、 [Communities] ページで表示することができます。 このページにリストされてい るコミュニティは、 AMC で設定する任意の認証レルムから参照できます。 X 構成済みの コ ミ ュ ニテ ィ の リ ス ト を参照する には 1. AMC のメイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページが表示されます。 2. [Communities] リストのデータを確認します。 • チェック ボックス列は、 1 つまたは複数のコミュニティを選択するときに使用します。 コミュニティの削除やコ ピーなどを行うときにこれを使用します。 • プラス記号 (+) の列をクリックすると、 選択したコミュニティが拡大され、 そのメンバー、 アクセス方式、 参 照されている End Point Control ゾーン、 レルムが表示されます。 • [Name] 列には、 コミュニティを作成するときに割り当てた名前が表示されます。 コミュニティ名は、 クリック すると編集することができます。 • [Description] 列には、 コミュニティを作成するときに入力した説明テキストがリストされます。 • [Realm] 列には、 コミュニティが認証レルムによって参照されているかどうかが示されます。 青いドットは、 コミュニティが 1 つまたは複数のレルムによって使用されていることを示します。 コミュニティがレルムに参照さ れていない場合、 このフィールドはブランクになります。 コ ミ ュ ニテ ィ の作成と 構成 コミュニティを作成するときは、 基本的に次の 3 段階の手順を実行します。 それぞれの手順が、 [Configure Community] ページにある、 リンク付きの 3 つのセクションに対応しています。 • コミュニティへのメンバーの割り当て • コミュニティに対するアクセス方式の選択 • ( オプション ) コミュニティに対する End Point Control 制約の指定 コミュニティは、 2 種類の方法で作成することができます。 1 つ目の方法では、 認証レルムを構成するプロセスで、 コ ミュニティを作成します ( コミュニティが動作するには認証レルムから参照されていなければならない )。 56 ページの 「コ ミュニティとレルムとの関連付け」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 107 2 つ目の方法では、 コミュニティを作成してから、 認証レルムからそのコミュニティを参照します。 この 2 番目のアプロー チについては、 107 ページの 「コミュニティへのメンバーの割り当て」 の節で説明します。 コ ミ ュ ニテ ィ への メ ンバーの割 り 当て コミュニティ作成の最初の基本手順では、 どのユーザーがそのコミュニティのメンバーになるか指定します。 デフォルトの 場合、 すべてのユーザー ([Any]) がコミュニティのメンバーになります。 X メ ンバーを コ ミ ュ ニテ ィ に割 り 当て る には 1. AMC のメイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページの [Members] セクションが表示されます。 2. [New] をクリックします。 この操作により、 [Configure Community] ページが表示されます。 3. [Name] テキスト ボックスに、 わかりやすいコミュニティの名前を入力します。 4. [Description] テキスト ボックスに、 コミュニティについてのコメントを入力します。 5. [Members] ボックスで、 どのユーザーまたはグループがこのコミュニティに所属するか指定します。 ユーザー やグループをリストから選択する場合は、 [Edit] をクリックします。 ユーザーやグループが指定されていない場合、 このフィールドの値はデフォルト値の 「Any」 になります。 これは、 このコミュニティを参照するすべての認証レルムのユーザーが自動的にこのコミュニティのメンバーになることを表し てい ます。 個 別 の ユー ザー が コ ミュニ ティ に 追加 さ れて いるとき、 [Members] ボ ッ ク スに、 <username>@<realm> の形式で情報が表示されます。 あるコミュニティにメンバーシップを制限する方法については、 112 ページの 「ユーザーまたはグループのメンバー シップの特定コミュニティへの制限」 を参照してください。 6. [Next] をクリックします。 この操作により、 [Access Methods] セクションが表示されます。 ここで、 コミュニ ティのメンバーがどのアクセス方式を使用できるようにするか選択します。 108 ページの 「コミュニティに対するア クセス方式の選択」 を参照してください。 この時点でアクセス方式を選択したくない場合、 または他のコミュニティの設定を構成したい場合は、 オプションで [Finish] をクリックすることもできます。 ただし、 別の機会に、 このコミュニティの設定を必ず完了しなければなり ません。 108|第 6 章 - ユーザー管理 コ ミ ュ ニテ ィ に対する ア ク セス方式の選択 コミュニティ作成の 2 番目の基本手順は、 コミュニティのメンバーがアプライアンスへの接続とネットワーク リソースへのア クセスの際にどのアクセス方式を使用できるようにするか決定することです。 ユーザーの環境と互換性があるアクセス方式については、 3 ページの 「ユーザー コンポーネント」 を参照してください。 X コ ミ ュ ニ テ ィ の メ ンバーが使用で き る ア ク セス方式を選択するには 1. [Configure Communities] ページの [Access Method] セクションが表示されていない場合は、 ペー ジ上部にある [Access Method] リンクをクリックするか、 [Members] セクションの [Next] ボタンをクリック します。 2. コミュニティのメンバーがネットワークのリソースに接続するとき、 どのアクセス方式を使用できるようにするか選択し ます。 アプライアンスは、 選択されたアクセス エージェントを、 ユーザーのシステムの機能に基づいて有効にしま す。 あるエージェントが動作しない場合は、 リスト内の ( 上から下の方向で ) 次に選択されているエージェントが 代わりに使用されます。 さまざまなアクセス エージェントの機能とシステム要件については、 205 ページの 「ユーザー アクセス コンポーネントおよびサービス」 を参照してください。 デフォルトの場合、 ネットワーク トンネル クライアント ([Network tunnel client]) を除くすべてのアクセス方 式が選択されています。 3. ネットワーク トンネル クライアント アクセスをコミュニティのメンバーに与えたい場合は、 [Network tunnel client] チェック ボックスをクリックして、 次のいずれかのオプションを選択します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 109 • [Auto-activate from ASAP WorkPlace]。 このオプションを選択すると、 プロビジョニングが自動的 に行われる設定になり、 ユーザーが ASAP WorkPlace に接続するときに、 Web ベースの OnDemand トンネル エージェントが有効になります。 • [Provision client from ASAP WorkPlace]。 ユーザーが ASAP WorkPlace のリンクから Connect トンネル クライアントをダウンロードするようにしたい場合、 このオプションを選択します。 [Network tunnel access] を選択する場合、 次に説明しているように、 1 つまたは複数の IP アドレス プー ルをコミュニティに割り当てなければなりません。 4. ネットワーク トンネル クライアントをユーザーに設定するためには、 まず、 コミュニティが 1 つまたは複数の IP ア ドレス プールを使用できるようにします。 デフォルトの場合、 使用可能な IP アドレス プールがあれば、 それがコ ミュニティに割り当てられます。 109 ページの 「ネットワーク トンネル クライアントの構成」 を参照してください。 5. コミュニティに対するアクセス方式を選択したら、 [Next] をクリックします。 この操作により、 [End Point Control restrictions] セクションが表示されます。 ここで、 クライアント デバイスのセキュリティに基づいて、 コミュニティのメンバーのアクセス権限を制約することができます。 110 ページの 「コミュニティでの End Point Control 制約の使用」 を参照してください。 このコミュニティに対して、 End Point Control を採用したくない場合は、 [Finish] をクリックします。 ネ ッ ト ワーク ト ンネル ク ラ イ アン ト の構成 ネットワーク トンネル クライアントからの TCP/IP 接続を管理するためネットワーク トンネル サービスを構成する場合、IP アドレスをクライアントに割り当てるための IP アドレス プールを設定しなければなりません。 IP アドレス プールの設定 は、 通常、 ネットワーク トンネル サービスを構成するときに行います。 IP アドレス プールを最初に設定する方法につ いては、 224 ページの 「IP アドレス プールの構成」 を参照してください。 ネットワーク トンネル クライアントをユーザーに設定するコミュニティを作成するとき、 ユーザーがどの IP アドレス プール を使用できるようにするか選択しなければなりません。 デフォルトの場合、 構成されているすべてのアドレス プールが使 用可能になっています。 ネットワーク トンネル クライアントを構成する場合、 リダイレクション モードも選択しなければなりません。 またオプション で、 カスタマイズ設定を選択することもできます。 X ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を構成するには 1. 選択したコミュニティの [Access Methods] ページで、 [Network tunnel client] オプションの隣にある [Configure] ボタンをクリックします。 この操作により、 [Network Tunnel Client Settings] ページが 表示されます。 2. デフォルトの場合、 構成されているすべての ( 「Any」 ) アドレス プールがコミュニティで使用可能になっていま す。 特定の IP アドレス プールを、 構成済みアドレス プールのポップアップ リストから選択する場合は、 [Edit] をクリックします。 3. クライアント トラフィックをアプライアンスにリダイレクトする際のリダイレクション モードを選択します。 ネットワーク ト ンネル サービスでは、 次の 2 種類の リ ダ イ レ ク シ ョ ン モー ド をサポートしています。 • [Split tunnel]。 このモードでは、 AMC で定義されているリソースにバインドされたトラフィックはトンネル 経由でリダイレクトされ、 その他のすべてのトラフィックは普通の方法でルートされます。 これが、 デフォルト 110|第 6 章 - ユーザー管理 のリダイレクション モードになります。 このオプションの場合、 プリンタやローカル ホストなどの、 ローカル ネットワーク上のリソースに対するアクセスや、 インターネット アクセスが妨げられることはないため、 ユーザー にとっては利便性が高くなります。 インターネット接続 ( スプリット トンネル経由でリルーティングすることにより ネットワーク リソースに到達する可能性がある ) を介して、ユーザーのコンピュータに対し許可されていないア クセスが行われるのを防止するために、 ユーザーのコンピュータがパーソナル ファイアウォールやアンチウイ ルス保護を搭載するよう求める End Point Control 制約の使用についても考慮します。 • 4. [Redirect all]。 このモードでは、 AMC でリソースがどのように定義されているかにかかわらず、 すべて のトラフィックがトンネル経由でリダイレクトされます。 このオプションでは、 セキュリティが強化されますが、 ロー カル ネットワーク上のリソースへのアクセスが阻害され、 しかもネットワークの構成によっては、 インターネット アクセスも阻害されてしまいます。 [Redirect all] は、 [Split tunnel] リダイレクションよりも安全です が、 ユーザーが、 アプライアンスをバイパスしネットワークに戻る独自のスプリット トンネル接続を作成するた めに、 コンピュータ上のルーティング テーブルを修正する可能性が出てきます。 ([Configure Community] ページで [Provision client from ASAP WorkPlace (Connect Tunnel)] オプションを選択することにより ) Connect トンネル クライアントを使用するようコミュニティを構成して いる場合、 次のオプションを使用して、 この Windows クライアントをカスタマイズすることができます。 これらのオプションは、 コミュニティで OnDemand トンネルを選択している場合は使用できません。 5. • [Caption for start menu and icon]。 Windows の [ スタート ] メニューおよび Connect アイコン の下に表示される、 Connect トンネル クライアントを示すテキストをカスタマイズすることができます。 • [Create icon on Windows desktop]。 デスクトップに Connect トンネル クライアント アイコンを作 成します。 • [Run client at Windows startup]。 ユーザーのコンピュータで Windows が起動するとき、 Connect トンネル クライアントが自動的に動作するよう設定します。 • [Override default realm and appliance FQDN settings]。 デフォルト レルム、 および ASAP WorkPlace のプロビジョニング ページにアクセスするときに使用するアプライアンス名を上書きします。 [Save] をクリックします。 この操作により、 そのコミュニティにアドレス プールが割り当てられ、 その他のネット ワーク トンネル クライアント設定が構成されます。 [Access Methods] ページに戻ります。 コ ミ ュ ニテ ィ での End Point Control 制約の使用 コミュニティ作成の 3 番目の基本手順は、 クライアント デバイスのセキュリティに基づいて、 コミュニティのユーザーにア クセスを制限することです。 そのために、 このコミュニティのユーザーが、 どの End Point Control ゾーンを使用でき るか指定します。 ゾーンは、 リストされている順序 ( 先頭が最初 ) で処理されます。 [Configure Communities] ページの [End Point Control restrictions] セクションでは、 Web プロキシ エージェントまたは Connect トンネル クライアントのいずれかを使用してアプライアンスにアクセスするユーザーに対し、 非アクティブ タイマーを設定することができます。 コミュニティで End Point Control ゾーンを使用しない場合でも、 非 アクティブ タイマーは設定することができます。 End Point Control ゾーンの作成方法と構成方法、 および接続要求の分類のために使用するデバイス プロファイルに ついては、 169 ページの 「ゾーンおよびデバイス プロファイルによる EPC の管理」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 111 X コ ミ ュ ニ テ ィ に End Point Control 制約を適用するには 1. [Configure Communities] ページの [End Point Control restrictions] セクションが表示されてい ない場合は、 ページ上部にある [End Point Control restrictions] リンクをクリックするか、 [Members] セクションの [Next] ボタンをクリックします。 2. コミュニティには、 1 つまたは複数の End Point Control 制約を割り当てることができます。 ゾーンは、 どのデ バイスにコミュニティへのアクセス権限があるか決定します。 ゾーンを選択しない場合、 コミュニティのメンバーに は、 デフォルト ゾーンが割り当てられます。 その場合、 アクセス ポリシーに基づいて、 リソースに対するアクセス の制限や拒否が決定されます。 [Available Zones] リストからエントリを選択して、 [Add] をクリックします。 また、 [New] ボタンをクリックすることで、 新しい EPC ゾーンを作成し、 それをリストに追加することもできます。 ゾーンの作成方法については、 171 ページの 「ゾーンの定義」 を参照してください。 3. コミュニティが複数のゾーンを参照する場合、 [Move Up] ボタンまたは [Move Down] ボタンを使用して、 リ スト内のゾーンの順序を変更します。 ゾーンはリストされている順序で処理されるため、 それぞれのゾーンでどの デバイスに許可を与えるか慎重に検討する必要があります。 最も狭い範囲のゾーンをリストの先頭に持ってくるよう にします。 4. Web プロキシ エージェントまたは Connect トンネル クライアントを使用するコミュニティのメンバーに対して、 ア クティブでない ( ユーザーがキーボードもマウスも使用しない状態になっている ) 接続を終了させるために非アク ティブ タイマーを設定する場合、 [End inactive user connections] リストから時間制限オプション ([3 minutes] から [10 hours]) を選択します。 5. [Finish] または [Save] をクリックして、 コミュニティの構成を終了します。 メモ • コミュニティがメンバーにユーザー アクセス エージェントを提供する場合や、 End Point Control 制約をメンバー のクライアント デバイスに適用する場合、 あらかじめ、 1 つまたは複数の認証レルムからそのコミュニティを参照し ていなければなりません。 56 ページの 「コミュニティとレルムとの関連付け」 を参照してください。 112|第 6 章 - ユーザー管理 コ ミ ュ ニテ ィ の編集 コミュニティの構成を編集する場合、 次の手順を実行します。 X コ ミ ュ ニ テ ィ を編集する には 1. AMC のメイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページが表示されます。 2. 編集するコミュニティの名前をクリックします。 この操作により、 そのコミュニティに対する [Configure Community] ページが開きます。 3. [Configure Communities] の [Members]、 [Access Methods]、 [End Point Control Restrictions] の各セクションで構成を変更し、 変更したそれぞれのセクションごとに [Save] をクリックしま す。 コ ミ ュ ニテ ィ のコ ピー 手間を省くため、 既存のコミュニティから設定をコピーして、 新しいコミュニティでそれを利用することができます。 X コ ミ ュ ニ テ ィ を コ ピーするには 1. AMC のメイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページが表示されます。 2. コピーしたいコミュニティの左側にあるチェック ボックスを選択して、 [Copy] ボタンをクリックします。 この操作に より、 そのコミュニティに対する [Configure Community] ページが開きます。 [Name] テキスト ボックス ( ブランクになっている ) 以外のそれぞれのフィールドには、 元のコミュニティの情報が表示されています。 3. [Name] テキスト ボックスに、 新しいコミュニティの名前をわかりやすいことばで入力します。 4. 新しいコミュニティの [Members]、 [Access Methods]、 [End Point Control Restrictions] の各 セクションで、 必要に応じて設定を変更し、 [Save] をクリックします。 コ ミ ュ ニテ ィ の削除 コミュニティを削除するときは、 次の手順を実行します。 X コ ミ ュ ニ テ ィ を削除する には 1. メイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページが表示されます。 2. 削除したいコミュニティの左側にあるチェック ボックスを選択して、 [Delete] ボタンをクリックします。 メモ • 認証レルムと対応しているコミュニティは削除することができません。 あらかじめ、 レルムの構成からコミュニティへ の参照を削除しておかなければなりません。 これを削除していない場合は、 エラー メッセージが表示されます。 ユーザーまたはグループの メ ンバーシ ッ プの特定コ ミ ュ ニテ ィ への制限 デフォルトの場合、 コミュニティは、 対応している認証レルムのすべてのメンバーを、 そのメンバーとして含むよう構成さ れています。 ただし、 レルム内の特定ユーザーまたは特定ユーザー グループのみにアクセスを限定するよう、 コミュニ ティを構成することもできます。 これはたとえば、 レルムを、 従業員用のコミュニティと、 ビジネス パートナー用のコミュニティに分割したい場合などに使 用すると便利です。 こうしておくと、 それぞれのコミュニティに適切なアクセス エージェントを割り当てたり、 セキュアでな いコンピュータからログインする場合に End Point Control 制約を課したりすることができます。 コミュニティは、 アクセ ス制御ルールからも参照できるため、 特定のユーザー コミュニティに対して、 リソースへのアクセスを許可または拒否す ることができます。 X コ ミ ュ ニ テ ィ の メ ンバーシ ッ プ を制限するには 1. メイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページが表示されます。 2. メンバーシップを修正するコミュニティの名前をクリックします。 この操作により、 [Configure Community] ページが表示されます。 3. [Members] ボックスの横にある [Edit] ボタンをクリックします。 この操作により、 現在のユーザーおよびグ ループを示すポップアップ ウィンドウが表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 113 4. [Users and Groups] ポップアップ ウィンドウで、 コミュニティに割り当てたいそれぞれのユーザーまたはグ ループに対するチェック ボックスを選択します。 5. メンバーをコミュニティに追加し終わったら、 次の作業を行います。 • メンバーを既存のコミュニティに追加したら、 [Save] をクリックします。 この操作により、 [Communities] ページに戻ります。 • 新しいコミュニティを作成する場合は、 [Next] をクリックします。 この操作により、 [Configure Community] ページの [Access Methods] セクションが表示されます。 X コ ミ ュ ニ テ ィ リ ス ト か ら ユーザーまたはグループ を削除する には 1. メイン ナビゲーション メニューから [Communities] をクリックします。 この操作により、 [Communities] ページが表示されます。 2. メンバーシップを修正するコミュニティの名前をクリックします。 この操作により、 [Configure Community] ページが表示されます。 3. [Members] ボックスの横にある [Edit] ボタンをクリックします。 この操作により、 現在のユーザーおよびグ ループを示すポップアップ ウィンドウが表示されます。 4. [Users and Groups] ポップアップ ウィンドウで、 コミュニティから排除したいそれぞれのユーザーまたはグ ループに対するチェック ボックスを選択解除します。 5. [Save] をクリックします。 この操作により、 [Communities] ページに戻ります。 メモ • コミュニティに追加されているすべてのユーザーまたはグループを削除すると、 コミュニティのメンバーシップ構成は デフォルトに戻り、 「Any」 ( すべてのユーザーまたはグループ ) になります。 114|第 6 章 - ユーザー管理 ユーザーおよびグループの管理 ユーザーおよびグループの管理は、 継続的な作業になります。 ユーザーとグループは、 直接アプライアンスに保管さ れるわけでなく、 外部ユーザー ディレクトリから参照されます。 ほとんどのユーザー管理は、 外部ユーザー リポジトリを 介して行われますが、 信頼できるアクセスを提供するためには、 AMC リストで最新の状態が保たれるようにすることが必 須になります。 AMC で定義されているユーザーとグループは、 アプライアンスで現在構成されているディレクトリと対応しています。 ユーザーおよびグループの表示 AMC で構成されているユーザーとグループは、 [Groups]、 [Users]、 [Local Accounts] の各ページに表示 されます。 X ユーザー と グループ を表示する には 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] ページ が表示されます。 2. 表示するオブジェクトのタイプを選択します。 3. 4. • 外部認証サーバーに保管されたグループ情報にマッピングされているユーザーのグループを管理する場合、 [Groups] タブをクリックします。 • 外部認証サーバーに保管されたグループ情報にマッピングされている個別のユーザーを管理する場合、 [Users] タブをクリックします。 • アプライアンスのローカル リポジトリに保管されているユーザーを管理する場合、 [Local Accounts] タブ をクリックします。 グループ、 ユーザー、 ローカル アカウントの各リストに表示されたデータを確認します。 • チェック ボックス列は、 1 つまたは複数のグループ、 ユーザー、 ローカル アカウントを選択するときに使用 します。 これらを削除するときにこれを使用します。 • プラス記号 (+) の列をクリックすると、 ユーザー、 グループ、 ローカル アカウントが拡大されます。 • [Name] 列には、 ユーザー、 グループ、 ローカル ユーザー アカウントを作成するときに割り当てた名前が 表示されます。 • [Description] 列には、 ユーザー、 グループ、 ローカル ユーザー アカウントを作成するときに入力した 説明テキストがリストされます。 • [Realm] 列には、 ユーザー、 グループ、 ローカル ユーザー アカウントを参照する認証レルムが示されま す。 列は、 各列の見出しをクリックすることにより、 昇順または降順でソートすることができます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 115 外部 リ ポジ ト リ にマ ッ ピ ング されているユーザーおよびグループの管理 ユーザーおよびグループの管理は、 継続的な作業になります。 ユーザーとグループは、 直接アプライアンスに保管さ れるわけでなく、 外部ユーザー ディレクトリから参照されます。 ほとんどのユーザー管理は、 外部ユーザー リポジトリを 介して行われますが、 安全で信頼できるアクセスを提供するためには、 AMC リストで最新の状態が保たれるようにする ことが必須になります。 ほとんどのディレクトリでは、 同様のユーザー アカウントをまとめて、 同様の権利や権限を与えています。 ディレクトリを このように管理する場合、 アプライアンスでのユーザー管理のほとんどは、 通常、 個別のユーザー単位ではなく、 ユー ザー グループ中心に行われることになります。 最初に、 ディレクトリに保管されているユーザー グループを参照するよ う、 アプライアンスをセットアップして、 その後、 アクセス制御ルールでそのグループを参照します。 個別のユーザーを 管理する必要があるのは、 ほとんどの場合、 グループ メンバーシップで認められているものと異なる権限を割り当てる場 合に限られます。 AMC で定義されているユーザーとグループは、 アプライアンスで現在構成されているディレクトリと対応しています。 テストや評価のために、 アプライアンスでローカル ユーザーを作成することもできます。 120 ページの 「ローカル ユー ザー アカウントの管理」 を参照してください。 デ ィ レ ク ト リ の検索によ るユーザーやグループの追加 Microsoft Active Directory ディレクトリおよび LDAP ディレクトリの場合、 ディレクトリの内容を検索して、 ユーザー やグループをリストから選択することにより、 ユーザーを追加することができます。 その場合、 識別名 (DN) をわざわざ 入力する必要はありません。 ただしこの機能は、 RADIUS レルム ( またはローカル ユーザー ストア ) に含まれている ユーザーを追加する場合以外は使用できません。 ユーザーやグループを追加すると、 [Users] ページ、 [Groups] ページにそれぞれリストされます。 この状態で、 ユーザーやグループをアクセス制御ルールに追加することができます。 X デ ィ レ ク ト リ の検索によ り ユーザーやグループ を追加するには 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] が表示 されます。 2. 追加するオブジェクトのタイプを選択します。 • グループを追加する場合、 [Groups] タブをクリックします。 • ユーザーを追加する場合、 [Users] タブをクリックします。 3. [Search] ボタンをクリックします。 この操作により、 [Search Directory] ウィンドウが表示されます。 4. [Look in] リストで、 検索するディレクトリを選択します。 5. 検索基準を定義します。 • [Search for] ボックスに、 ユーザー名またはグループ名のすべてまたは一部を入力します。 デフォルトは 「*」 で、 この場合、 レルム内のすべてのレコードが返されます。 ワイルドカード文字 ( 「*」 ) は、 検索文 字列のどの部分にも使用することができます。 たとえば、 「j」 で始まるグループ名を検索する場合は、 「j*」 と入力します。 また、 「Mary」 または 「Marty」 という名前のユーザー ( ただし 「Max」 は除外 ) を検索 するときは、 「m*y」 と入力することができます。 • 検索範囲を狭めるときは、 [Attribute] ボックスに LDAP 属性を入力します。 たとえば、 ユーザーの姓を 検索する場合は 「sn」、 共通名を検索する場合は 「cn」 と入力することができます。 • 各ページで返される結果の数を、 [Show] ボックスで指定することができます。 デフォルトは 「25」 です。 • 詳細な検索基準を指定する場合は [Advanced] タブをクリックします。 詳細については、 117 ページの 「高度な検索方法」 を参照してください。 116|第 6 章 - ユーザー管理 6. [Search] をクリックします。 7. 追加するオブジェクトを指定します。 • 結果表示ページを切り替えるときは、 左下のペインにある矢印ボタンを使用します。 [<] および [>] をクリッ クすると、 ページが 1 ページずつ前後に移動します。 [<<] および [>>] をクリックすると、 最初のページ および最後のページがそれぞれ表示されます。 • ユーザーまたはグループについての詳細な情報を参照するときは、 名前をクリックします。 詳細な属性のリス トが右側のペインに表示されます。 • アプライアンスに追加するユーザーまたはグループの左側にあるチェック ボックスを選択します。 8. [Insert Selected] ボタンをクリックします。 この操作により、 選択しているユーザーまたはグループがアプライ アンスに追加されます。 現在のページのすべてのユーザーまたはグループを選択 ( または選択解除 ) するに は、 [Select all/none] の横にあるチェック ボックスを選択します。 9. 設定が終わったら、 右上の [Close] ボタンをクリックします。 この操作により、 ポップアップ ウィンドウが閉じて、 メイン AMC ページに戻ります。 メモ • デフォルトの場合、 基本 ([basic]) 検索は、 sAMAccountName、 cn、 uid、 userid の各属性を照会 することによって、 ユーザーおよびグループを検索するよう構成されています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 117 高度な検索方法 LDAP 構文に慣れている場合は、 高度な検索を行うことで、 照会の範囲をさらに狭めることができます。 これは、 特に 大規模なディレクトリを照会する場合など、 検索結果の数を減らす必要がある場合に使用すると非常に便利です。 状況 によっては、 非標準スキーマを使用してディレクトリを照会するために、 高度な検索を実行する必要があります。 高度な検索を実行する場合、 [Advanced] タブをクリックします。 次の表では、 高度な検索基準を指定するための フィールドについて説明します。 属性 説明 [Filter] ボックス 検索の範囲を狭める LDAP 検索フィルタを指定します。 構文 filter=(operator(LDAP attribute=value)(..)) 演算子 • OR = “|” • AND = “&” • NOT = “!” 例 (cn=Babs Jensen) (!(cn=Tim Howes)) (&(objectClass=Person)(|(sn=Jensen)(cn=Babs J*))) [Search base] ボックス 検索を始める LDAP ディレクトリ内のポイントを指定します。 通常これは、 ユーザー またはグループが含まれるディレクトリ ツリーの最下層になります。 LDAP の場合、 「ou=Users,o=example.com」 のように入力します。 Microsoft Active Directory を検索するときは、 「CN=users,DC=example,DC=corp,DC=com」 と指定します。 118|第 6 章 - ユーザー管理 属性 説明 [Object class] ボックス ユーザーまたはグループが含まれるオブジェクト クラスを指定します。 ユーザーの場合、 これは通常 「user」 または 「inetOrgPerson」 になります。 グループの場合は通常 「group」、 「groupOfNames」、 「groupOfUniqueNames」 のいずれかになります。 [Scope] リスト 検索するコンテナを指定します。 [base] の場合、 検索ベースからのみ情報を検索します。 検索ベースより下のコン テナは検索されません。 [one] の場合、 検索ベースより 1 レベル下から情報を検索します。 この範囲には、 検索ベース自体は含まれません。 [sub] の場合、 検索ベースおよび検索ベースの下のすべてのレベルから情報を検 索します。 これがデフォルト設定です。 メモ • LDAP 検索フィルタの詳細については、 RFC 2254 (http://www.ietf.org/rfc/rfc2254.txt) を参照してくだ さい。 • LDAP 検索構文は非常に柔軟で、 複数の方法を使用して同じ結果を引き出せるようになっています。 たとえば、 あるディレクトリのすべてのグループを検索するとき、 オブジェクト クラスを使用することができます。 objectclass=group;groupOfNames また、 検索フィルタを使用しても、 同じ結果を引き出すことができます。 (|(objectclass=group)(objectclass=groupOfNames)) ユーザーまたはグループの手作業によ る追加 ユーザーまたはグループを作成すると、 [Groups] ページまたは [Users] ページにそれぞれリストされます。 この状 態で、 ユーザーやグループをアクセス制御ルールに追加することができます。 X ユーザーやグループ を追加する には 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] が表示 されます。 2. 追加するオブジェクトのタイプを選択します。 3. • グループを追加する場合、 [Groups] タブをクリックして、 [New] ボタンをクリックします。 この操作により、 [Add/Edit Group Mapping] ページが表示されます。 • ユーザーを追加する場合、 [Users] タブをクリックして、 [New] ボタンをクリックします。 この操作により、 [Add/Edit User Mapping] ページが表示されます。 [Realm name] リストから、 ユーザーやグループが所属するレルムを選択します。 ユーザーやグループが複 数のレルムに所属しており、 それぞれを検索したい場合は、 レルム リストから [Any] を選択します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 119 4. [Group name] または [User name] ボックスに、 グループまたはユーザーの情報を入力します。 外部リポ ジトリ内の名前を正確に入力します。 次の表は、 ユーザーおよびグループを定義するときに使用する構文につい て説明しています。 オブジェクト ディレクトリ タイプ 入力事項 グループ Active Directory 共通名 (CN) または識別名 (DN) を入力します。 CN は DN よりも簡単に入力できます ( たとえば 「cn=Sales,cn=Users,dc=example,dc=com」 と入力 せずに 「Sale」 と入力できる ) が、 CN の場合、 唯一の 一致が保証されません。 疑わしい場合は、 DN を使用する 方が安全です。 ユーザー LDAP 識別名 (DN) を入力します。 たとえば 「cn=Sales,cn=Users,dc=example,dc=com」 と入力 することができます。 RADIUS グループ名を入力します。 たとえば 「Sale」 と入力すること ができます。 Active Directory または RADIUS ユーザー名を入力します。 たとえば 「jsmith」 と入力する ことができます。 LDAP 識別名 (DN) を入力します。 たとえば 「cn=jsmith,cn=Users,dc=example,dc=com」 と入 力することができます。 メモ • ユーザー名とグループ名では、 大文字と小文字が区別されます。 • 入力した名前が間違っている場合 ( たとえば「marketing」と入力すべきところを「mktg」や「Marketing」 と入力するなど)、そのユーザーまたはグループ メンバーによるリソースへのアクセスが許可されなくなります。 • Active Directory または LDAP ディレクトリの場合、 [Browse] をクリックして、 ディレクトリを検索するこ とができます。 5. [Description] ボックスに、 ユーザーやグループについてのコメントを入力します。 6. [Save] をクリックします。 この操作により、 [Groups] ページまたは [Users] ページに戻ります。 また、 [Save and Add Another] をクリックして、 他のユーザーまたはグループを定義することもできます。 メモ • AMC でユーザー グループを追加するとき、 ユーザーを実際にグループ化しているわけではありません。 外部ユー ザー リポジトリで定義されているユーザー グループの名前を単に追加しているにすぎません。 • このアプライアンスでは、 テストや評価のために、 ローカル ユーザーもサポートしています。 120 ページの 「ロー カル ユーザー アカウントの管理」 を参照してください。 ユーザーまたはグループの編集 外部ディレクトリで、 ユーザーまたはグループの名前、 識別名などが変更された場合、 アプライアンスでアカウントを修 正する必要があります。 X ユーザーまたはグループ を編集するには 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] が表示 されます。 2. 編集するオブジェクトを選択します。 • グループを編集する場合、 [Groups] タブをクリックして、 編集するグループの名前をクリックします。 この 操作により、 [Add/Edit Group Mapping] ページが表示されます。 • ユーザーを編集する場合、 [Users] タブをクリックして、 編集するユーザーの名前をクリックします。 この操 作により、 [Add/Edit User Mapping] ページが表示されます。 120|第 6 章 - ユーザー管理 3. 必要な編集を行います。 ユーザーやグループが Active Directory または LDAP レルムに所属している場合、 [Browse] ボタンをクリッ クして、ユーザーを検索することができます。[Insert Selected User] または [Insert Selected Group] をクリックすると、 アプライアンスのユーザーまたはグループのマッピングがそれぞれ更新されます。 4. [Save] をクリックします。 この操作により、 [Groups] ページまたは [Users] ページに戻ります。 また、 [Save and Add Another] をクリックして、 他のユーザーまたはグループを定義することもできます。 ユーザーまたはグループの削除 ユーザーまたはグループを削除すると、 そのマッピングがシステムから削除されます。 ユーザーやグループを削除して も、 外部ユーザー ディレクトリからそのユーザーやグループが削除されるわけではありません。 X ユーザーまたはグループ を削除するには 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] が表示 されます。 2. 削除するオブジェクトを選択します。 3. • グループを削除する場合、 [Groups] タブをクリックして、 削除するグループの左側にあるチェック ボックス を選択します。 • ユーザーを削除する場合、 [Users] タブをクリックして、 削除するユーザーの左側にあるチェック ボックスを 選択します。 [Delete] ボタンをクリックします。 メモ • ユーザーまたはグループが他のオブジェクトから参照されている場合は、 これを削除することができません。 たとえ ば、 アクセス制御ルールで参照されているユーザーまたはグループを削除しようとすると、 エラー メッセージが表 示されます。 削除する前に、 あらかじめ、 ユーザーまたはグループへのすべての参照を削除しておかなければな りません。 詳細については、 31 ページの 「参照されているオブジェクトの削除」 を参照してください。 ローカル ユーザー ア カウン ト の管理 このアプライアンスでは、 次の 2 種類の方法でローカル ユーザー アカウントを作成できるようになっています。 • Setup Wizard を実行してアプライアンスを構成するときにローカル ユーザーを作成することができます。 19 ページの 「Setup Wizard を使用した Web ベースの構成」 を参照してください。 • AMC でローカル ユーザー アカウントを作成し、 ローカル認証リポジトリに保管することができます。 どちらの場合も、 ローカル ユーザーはその名の通り、 アプライアンスに保管されます。 これは、 外部認証リポジトリに保 管されていて AMC から参照される他のすべてのユーザーの場合と異なっています。 AMC では、 アプライアンス上の 個別のユーザーに対するローカル アカウントを作成、 修正、 削除できるようになっています。 ただし、 AMC では、 ユー ザーのグループに対するローカル アカウントはサポートしていません。 メモ • ローカル ユーザーは、 テストや評価のためのものです。 実稼働環境では、 LDAP や Microsoft Active Directory などの外部認証ディレクトリと統合するようセットアップすることをお勧めします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 121 ローカル ユーザーの追加 ローカル ユーザーを追加する場合、 あらかじめ、 アプライアンスにローカル認証リポジトリを作成していなければなりま せん。 74 ページの 「ローカル ユーザー認証の構成」 を参照してください。 いったんローカル認証ストアを作成したら、 ローカル ユーザーをアプライアンスに追加できるようになります。 X ロー カル ユーザーを ア プ ラ イ ア ン スに追加する には 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] ページ が表示されます。 2. [Local Accounts] タブをクリックして、 [New] ボタンをクリックします。 この操作により、 [Add/Edit Local User] ページが表示されます。 3. [Realm name] リストから、 ローカル認証リポジトリを選択します。 4. [Username] ボックスに、 ローカル認証リポジトリに追加するローカル ユーザーの名前を入力します。 5. [Description] ボックスに、 ローカル ユーザーについてのコメントを入力します。 6. [Password] ボックスに、 ローカル ユーザーのパスワードを入力し、 [Confirm Password] ボックスに再 入力します。 7. [Save] をクリックします。 この操作により、 ローカル ユーザー アカウントが作成され、 アプライアンスのローカル 認証リポジトリに保存されます。 ローカル ユーザーの編集 ローカル ユーザーの設定を編集する場合、 次の手順を実行します。 X ロー カル ユーザーを編集するには 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] が表示 されます。 2. [Local Accounts] タブをクリックします。 3. [Local Accounts] ページで、 編集するユーザーの名前をクリックします。 4. [Add/Edit Local User] ページでユーザーの設定を編集して、 [Save] をクリックします。 ローカル ユーザーの削除 ローカル ユーザーを削除するときは、 次の手順を実行します。 X ロー カル ユーザーを削除するには 1. メイン ナビゲーション メニューから [Users & Groups] をクリックします。 この操作により、 [Groups] が表示 されます。 2. [Local Accounts] タブをクリックします。 3. [Local Accounts] ページで、 削除したいユーザーの左側にあるチェック ボックスを選択して、 [Delete] ボ タンをクリックします。 122|第 6 章 - ユーザー管理 メモ • ローカル ユーザーが他のオブジェクトから参照されている場合は、 これを削除することができません。 たとえば、 アクセス制御ルールで参照されているローカル ユーザーを削除しようとすると、 エラー メッセージが表示されます。 削除する前に、 あらかじめ、 ローカル ユーザーへのすべての参照を削除しておかなければなりません。 エラー メッセージのリンクをクリックすると、 このユーザー グループに対する参照がすべてリストされます。 詳細について は、 31 ページの 「参照されているオブジェクトの削除」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 123 第7章 シス テム管理 この節では、 システム ロギングとモニタリングの構成方法と使用方法、 および Secure Sockets Layer (SSL) 暗号 化オプションの構成方法について説明します。 また、 ソフトウェア バージョンのアップグレード、 ロールバック、 リセット の他、 構成ファイルをバックアップ、 リセットするためのさまざまなツールの使用方法についても説明します。 オプシ ョ ン ネ ッ ト ワーク構成 この節では、 さまざまなネットワーク サービスおよびツールを構成する方法について解説します。 リモート ホストからの SSH アクセスを有効にする方法や、アプライアンスを ping できるよう Internet Control Message Protocol (ICMP) を有効にする方法について説明します。 また、 アプライアンスで時刻設定を構成する方法についても説明します。 SNMP の構成方法および使用方法については、 143 ページの 「SNMP の構成」 を参照してください。 リ モー ト ホス ト からの SSH ア ク セスの有効化 SSH を有効にすると、 他のシステムからアプライアンスのコンソールに簡単にアクセスすることができます。 内部ネット ワークまたは外部ネットワークについて SSH アクセスを有効にすることができます。 ローカル SSH サーバー ドメイン (sshd) はポート 22 (SSH で一般的なポート番号 ) でリッスンします。 X SSH ア ク セス を有効にする には 1. メイン ナビゲーション メニューから [Services] をクリックします。 2. [Network Services] エリアの [SSH] に対応する [Configure] リンクをクリックします。 この操作により、 [Configure SSH] ページが表示されます。 3. SSH を有効にするには、 [Enable SSH] チェック ボックスを選択します。 4. SSH アクセスを許可するホストを追加するには、 追加するホストの IP アドレスとサブネット マスクを入力して [Add] をクリックします。 124|第 7 章 - シ ス テム管理 5. [Save] をクリックします。 X ホス ト を削除する には 1. 削除するホストの右側にある [Delete] ボタンをクリックします。 2. [Save] をクリックします。 メモ • IP アドレスとサブネット マスクに 「0.0.0.0」 と入力することで、 任意のホストからの SSH アクセスを有効にする ことができます。 これは便利な設定ではありますが、 アプライアンスのセキュリティが低下するという欠点もあります。 • コマンド ラインからアップグレードを行うときは、 SSH を使用しないでください。 代わりにシリアル コンソールから アップグレードを行うようにします。 ICMP の有効化 ICMP を有効にすると、 同じサブネット上の他のコンピュータからアプライアンスへのネットワーク接続をテストするために ping コマンドを使用できるようになります。 ただしこれは、 ブロードキャスト ping を有効にするものではありません。 ! 注意 ICMP を有効にすると、 両方のネットワーク インタフェースからアプライアンスを ping できるようになります。 そのため、 ファイアウォールやその他のネットワーク デバイスを使用して ICMP Echo Request トラフィックを禁 止しない限り、 アプライアンスをインターネットから検出できる状態になります。 X ICMP を有効にするには 1. メイン ナビゲーション メニューから [Network Settings] をクリックします。 この操作により、 [General] ページが表示されます。 2. [ICMP] エリアで、 [Enable ICMP pings] チェック ボックスを選択します。 3. [Save] をクリックします。 時刻設定の構成 デフォルトの場合、 アプライアンスはグリニッチ標準時 (GMT) に設定されています。 現地時間を使用してログをとりた い場合、 アプライアンスで時刻設定を構成します。 システム クロックを正確に合わせるためにアプライアンスで Network Time Protocol (NTP) を使用する構成にすることもできます。 また、 日付、 時刻、 時間帯を手作業で構成することも できます。 X NTP を使用 し て時刻設定を構成する には 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Network Services] エリアの [NTP] に対応する [Configure] リンクをクリックします。 この操作により、 [Configure NTP Settings] ページが表示されます。 3. NTP を有効にするには、 [Enable NTP] チェック ボックスを選択します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 125 4. NTP を構成するため、 [Primary server] ボックスおよび [Backup server] ボックスに、 1 つまたは複数 の NTP サービスの IP アドレスを入力します。 時刻の同期の際、 通常はプライマリ サーバーが使用されますが、 プライマリ サーバーが使用できないときは、 必要に応じてセカンダリ サーバーが使用されます。 5. [Save] をクリックします。 メモ • アプライアンスでは NTP 認証鍵を使用していないため、 何者かが NTP サーバーになりすまして、 アプライアンス にニセの時刻設定を提供することもできます。 そのため、 NTP サーバーを同期するときは、 内部ネットワークのも のだけを使用すると良いでしょう。 X 時刻設定を手作業で構成するには 1. メイン ナビゲーション メニューから [General Settings] をクリックします。 この操作により、 [General Settings] ページが表示されます。 2. [Date/Time] エリアで、 次の情報を入力します。 3. • 時間帯を変更するときは、 [Time zone] ボックスから現在の時間帯を選択します。 • 現在の時刻を設定するときは、 [Date] ボックスに現在の日付を 「mm/dd/yyyy」 の書式で入力して、 [Time] ボックスに現在の時刻を 「hh:mm」 の書式で 24 時間表記を使用して入力します。 変更をすぐに 適用する場合は、 [Set now] をクリックします。 [Save] をクリックします。 メモ • Aventail が提供した評価版ライセンスを使用している場合は、 システム時刻を現在時刻から前に戻さないでくださ い。 時刻を前に戻すと、 ライセンス上の理由から、 アプライアンスのすべてのサービスが無効になります。 126|第 7 章 - シ ス テム管理 システム ロギングおよびモニ タ リ ング Aventail アプライアンスは、 ユーザー アクセスやシステム イベントなど、 さまざまな有用な情報をロギングします。 この 節では、 ログの構成方法と表示方法、 さまざまなログ ファイル形式、 外部 syslog サーバーへのメッセージの送信方 法などについて説明します。 また、 AMC で表示されるシステム ステータス情報についても解説します。 概要 : システム ロギングおよびモニ タ リ ング アプライアンスでは、 アプライアンス上のサービスのデータをロギングします。 システム ログは、 収集されたら、 すべて syslog 形式で保管されます。 ログ メッセージは、 更新バージョンの標準 syslog 形式を使用して処理されます。 アプライアンスは当初、 ログ ファイルをローカルに保管するよう構成されています。 ログ ファイルを中央の syslog サー バーに送信するよう構成すると、 システムレベルのイベントをほぼリアルタイムに監視できるようになり、 重要なイベントに ついて通知を受けることもできます。 中央の syslog サーバーが使用できない場合は、 AMC または (tail、 cat、 more などの標準 UNIX コマンドを使用して ) アプライアンス自体のコマンド ライン インタフェースからログ ファイルを 手動で参照することができます。 また、 ログ メッセージ データをカンマ区切り形式 (.csv) のファイルにエクスポートすることにより、 Microsoft Excel な どのアプリケーションで表示と分析を行うこともできます。 ログ フ ァ イル形式 アプライアンスは、 さまざまなタイプのログ ファイルを生成します。 • シ ス テム メ ッ セージ ログ — メッセージ ログには、 ネットワーク プロキシ サービス、 ネットワーク トンネル サー ビス、 Web プロキシ サービスについてのサーバー処理情報および診断情報が表示されます。 また、 すべての アクセス制御決定に関する詳細なメッセージも記述されます。 つまり、 ユーザーの要求がポリシー ルールと合致 すると、 そのときに実行された動作を示すログ ファイル エントリが記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [System message log] を選択しま す。 ファイル名は 「/var/log/aventail/access_servers.log」 です。 • 監査ログ — アプライアンスは、 2 種類のアクセス ログを生成します。 1 つは Web プロキシ サービスを記録した もので、 もう 1 つは、 ネットワーク プロキシ サービスとネットワーク トンネル サービスの両方のメッセージを組み合 わせたものです。 これらの 2 つのログには、 ネットワークにアクセスしたユーザーや転送されたデータの量のリスト など、 接続活動に関する詳細な情報が記録されます。 AMC から監査ログにアクセスするときは、 [View Logs] ページから [Web proxy audit log] または [Network proxy/tunnel audit log] を選択します。 対応するファイル名は 「/var/log/aventail/extraweb_access.log」 および 「/var/log/aventail/extranet_access.log」 です。 • ASAP WorkPlace ログ — アプライアンスは、 エラー条件や情報メッセージを記述した、 ASAP WorkPlace に対するログ ファイルを 1 つ生成します。 ASAP WorkPlace ログは、 [View Logs] ページから参照すること ができません。 ファイル名は 「/var/log/aventail/workplace.log」 です。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 127 ログの表示 Aventail サービスに対する監査ログおよびシステム メッセージ ログのデータを参照するときは、AMC を使用することが できます。 AMC の [View Logs] ページを使用して、 ログ メッセージをソート、 検索、 フィルタリングすることができ ます。 X ロ グ を表示する には 1. メイン ナビゲーション メニューから [Logging] をクリックします。 この操作により、 [View Logs] ページが表 示されます。 2. [Log file] リストを使用して、 表示する Aventail システムまたはサービス ログ ファイルを選択します。 表示さ れる情報の列は、 それぞれのログ ファイルごとに異なります。 参照できるログ ファイルには、 次のようなものがあ ります。 • システム メッセージ ログ。 Web プロキシ サービス、 ネットワーク トンネル サービス、 ネットワーク プロキシ サービス、 ポリシー サーバーに関する情報が含まれます。 このログの詳細については、 131 ページの 「システム メッセージ ログ」 を参照してください。 • ネットワーク プロキシ サービスおよびネットワーク トンネル サービスに対する監査ログ ( ログ ファイルでは 「Anywhere VPN」 と表記される )。 詳細については、 135 ページの 「ネットワーク プロキシ / トンネル監 査ログ」 を参照してください。 • Web プロキシ サービスに対する監査ログ ( ログ ファイルでは 「ExtraWeb」 と表記される )。 詳細について は、 138 ページの 「Web プロキシ監査ログ」 を参照してください。 3. [Show last] ボックスを使用して、 表示するログ メッセージの数を選択します。 [50]、 [100]、 [250]、 [500]、 [1000] のいずれかを選択することができます。 4. 最新のログ メッセージが含まれるようページを更新するときや、 実行したばかりのフィルタリングの結果を表示する ときは、 [Refresh] ボタンをクリックします。 デフォルトの場合、 ログ ビューアの [Auto-refresh] オプションは [1 minute] に設定されています。 リフレッ シュ 時 間 は、 オ プシ ョ ンで、 [30 seconds]、 [1 minute]、 [5 minutes]、 [10 minutes]、 [15 minutes] のいずれかを選択することができます。 また、 [Off] を選択して、 リフレッシュをオフにすることもでき ます。 5. オプションで [Search for]、 [Level]、 [Source]、 [Status] などのソート オプションを使用することがで きます。 これらのオプションを使用すると、 特定の基準に合致するログ メッセージのみが表示されます。 128 ページの 「ログ メッセージのソート、 検索、 フィルタリング」 を参照してください。 メモ • [Auto-refresh] が [Off] 以外に設定されている場合、 更新動作が持続的に行われるため、 デフォルトの非 アクティブ期間 (15 分 ) が経過しても、 AMC セッションが自動的にタイムアウトしなくなり、 [View Logs] ペー ジが表示された状態になります。 これは実際問題として、 コンピュータで AMC を実行し、 オートリフレッシュ モー ドを有効にした状態で [View Logs] ページを表示したまま席を外すと、 AMC がタイムアウトしなくなるということ を表しています。 セキュリティを向上させるための習慣として、 ログ メッセージを表示し終わったら、 AMC の他の ページに必ず移るようにしておきます。 128|第 7 章 - シ ス テム管理 ログ メ ッ セージのソー ト 、 検索、 フ ィ ルタ リ ング AMC ログ ビューアでは、 ソート、 検索、 フィルタリングなどのオプションを使用して、 ログ メッセージ データの表示を カスタマイズすることができます。 これらのオプションは、 単独で使用できる他、 組み合わせて使用することもできます。 • ソー ト 表示されているデータは、 ログ テーブルのそれぞれの列をクリックすることで、 列ごとに昇順または降順にソートす ることができます。 デフォルトの場合、 ログ メッセージは、 [Time] 列でソートされており、 最新のメッセージが先 頭に表示されるようになっています。 • 検索 ログ ビューアでは、 IP アドレスやユーザー ID など、 ログ ファイル内のテキスト文字列を検索できるようになって います。 [Search for] ボックスに検索基準を入力して [Refresh] をクリックすると、 検索結果が表示されま す。 検索基準では、 「*」 や 「?」 などのワイルドカード文字を使用することもできます。 検索基準を消去するとき は、 [reset] リンクをクリックします。 システム メッセージ ログの場合、 [ID] 列のセッション ID 番号をクリックすると、 同じセッション ID 番号を共有す るすべてのログ メッセージが自動的に検索されます。 セッション ID の詳細については、 131 ページの 「システ ム メッセージ ログ」 を参照してください。 Web プロキシ監査ログおよびネットワーク プロキシ / トンネル監査ログの場合は、 [Username] 列のユーザー ID をクリックすると、 特定のユーザーについてのすべてのログ メッセージが自動的に検索されます。 • フ ィ ル タ リ ング フィルタリング チェック ボックスを使用することで、 それぞれのログ ファイルに特定タイプのロギング データを包含 または除外することができます。 使用可能なフィルタリング オプションは、 どのログ ファイルを表示しているかによっ て異なります。 ログ ファイル フィルタリング オプション システム メッセージ ログ [Level]: [Error]、 [Warning]、 [Info]、 [Verbose] [Source]: [Network proxy]、 [Network tunnel]、 [Web] ネットワーク プロキシ / トンネル 監査ログ [Status]: [Error]、 [Info]、 [Success] カーソルを特定のログ メッセージの接続ステータス コードの上に置くと、 メッセージの下に説明テキストが表示されます。 このコードについては、 137 ページの 「接続ステータス メッセージの監査」 で説明しています。 Web プロキシ監査ログ [Status]: [500]、 [400]、 [300]、 [200] カーソルを特定のログ メッセージの HTTP 戻りコード番号の上に置くと、 メッセージの下に、 それぞれのコードに対応する説明テキストが、 「server error」 (500)、 「client error」 (400)、 「redirection」 (300)、 「success」 (200) のように表示されます。 このコードについては、 138 ページの 「Web プロキシ監査ログ」 で説明しています。 ログ フ ァ イルのエ ク スポー ト ログ メッセージ データをさらに分析したい場合、 または [View Logs] ページに表示される以外の方法で表示したい 場合、 選択したデータをカンマ区切り形式 (.csv) のファイルにエクスポートすることにより、 Microsoft Excel などのア プリケーションで使用することができます。 デフォルトの場合、 ログ ファイル内の選択したすべてのメッセージがエクスポートされます。 エクスポートする前にフィル タリングしたり検索基準を適用したりすることで、 エクスポート ファイルのサイズを小さくすることができます。 [Show last] オプションを使用すると、 [View Logs] ページに表示されるメッセージの数をコントロールできますが、 これは .csv ファイルにエクスポートされるメッセージの数には影響しません。 エクスポートされたメッセージは、 [View Logs] ページで選択しているソート順に関係なく、 時間の降順でソートされます。 X ログ フ ァ イルを エ ク スポー ト するには 1. メイン ナビゲーション メニューから [Logging] をクリックします。 この操作により、 [View Logs] ページが表 示されます。 2. [Log file] リストを使用して、 表示する Aventail システムまたはサービス ログ ファイルを選択します。 3. ログ データにフィルタリングや検索基準を適用します。 128 ページの 「ログ メッセージのソート、 検索、 フィルタ リング」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 129 4. [Export] ボタンをクリックします。 5. .csv ファイルを保存またはオープンするための [File Download] ダイアログ ボックスが表示されます。 [Save] をクリックします。 6. 名前を変更してファイルを保存する場合、 [Save As] ダイアログ ボックスを使用して、 ロケーションをブラウズ し、 [Save] をクリックします。 デフォルトの場合、 .csv ファイルには次のファイル名が割り当てられます。 • システム メッセージ ログ : sysmessage.csv • ネットワーク プロキシ / トンネル監査ログ : netaudit.csv • Web プロキシ監査ログ : webaudit.csv ログ設定の構成 システムをデバッグしている場合、 AMC で、 Aventail サービスごとにメッセージ ログ レベルを設定することができま す。 また、 ログ ファイルを外部 syslog サーバーに送信するよう、 アプライアンスを構成することもできます。 ログ レベルの設定 AMC を使用して、 それぞれのサービスごとにメッセージ ログの詳細レベルを指定することができます。 メッセージ ログ の詳細レベルを上げると、 必要なディスク容量が増加するため、 システムのパフォーマンスに大きく影響します。 X ロギング レ ベルを設定するには 1. メイン ナビゲーション メニューから [Logging] をクリックします。 この操作により、 [View Logs] ページが表 示されます。 2. [Configure Logging] タブをクリックします。 3. [Web proxy] リストおよび [Network access] リストを使用して、 監査ログで使用する適切なメッセージ詳 細レベルを選択します ([Network access] はネットワーク トンネル サービスとネットワーク プロキシ サービス の両方に対応する )。 ログ レベルは、 詳細レベルが低い順に、 [Fatal]、 [Error]、 [Warning]、 [Info]、 [Verbose] になります。 たとえば、 [Info] ログ レベルの場合、 [Error] レベルよりもログ情報が多くなります。 4. [Save] をクリックします。 メモ • トラブルシューティングの場合、 詳細ログ レベルを最高にしておくと便利ですが、 パフォーマンスへの影響が甚大 になる可能性があるため、 通常の動作の場合は使用しない方が無難です。 130|第 7 章 - シ ス テム管理 syslog サーバーへのログ フ ァ イルの送信 Aventail アプライアンスでは、 システム ログを syslog サーバーに送信することができます。 また、 すべてのシステム イベントは、 syslog を構成するかどうかに関係なく、 ローカルにロギングされます。 ネットワークにログ情報が氾濫する ような状況を避けるため、 上位 3 段階の重大度レベル ([Warning]、 [Error]、 [Fatal]) のログ メッセージのみ が転送されます。 syslog プロトコルの詳細については、 RFC 3164 http://www.ietf.org/rfc/rfc3164.txt を参照してください。 X syslog サーバーへロ グ フ ァ イルを送信する には 1. メイン ナビゲーション メニューから [Logging] をクリックします。 この操作により、 [View Logs] ページが表 示されます。 2. [Configure Logging] タブをクリックします。 3. [Syslog configuration] エリアで、 1 つまたは複数の syslog サーバーに対する IP アドレスとポート番号 を入力します。 syslog-ng ポートには、 デフォルトでポート 514/tcp が割り当てられますが、 必要に応じて他 のポートを使用することもできます。 4. [Save] を ク リ ッ ク し ます。 メモ • syslog データは暗号化されないため、 ログ メッセージを外部サーバーに送信する場合、 セキュリティ上の問題が 常に存在することになります。 ログ フ ァ イルのロケーシ ョ ン 次の表は、 各ログ ファイルのアプライアンス内のロケーションを示しています。 Aventail サービス ログ ファイル形式 ロケーション ネットワーク プロキシ / トンネル サービス syslog /var/log/aventail/access_servers.log SOCKS5LF /var/log/aventail/extranet_access.log Web プロキシ サービス syslog /var/log/aventail/access_servers.log W3C CLF /var/log/aventail/extraweb_access.log ASAP Management Console (AMC) syslog /var/log/aventail/management.log ASAP WorkPlace syslog /var/log/aventail/workplace.log ログ ファイルのストレージ要件を抑えるために、 ファイルがローテーションされます。 次の表では、 ログ ローテーション プロセスについて説明しています。 頻度 手順 60 分おき • 20MB 以上のログ ファイルがローテーションされます。 • • syslog ログ ファイルが強制的にローテーションされます。 /var/log のディスクの空き容量がチェックされます。 空き容量が 25% を下 回る場合、 空き容量が 25% になるまで古いログ ファイルから順に削除され ます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 131 頻度 手順 毎日 • すべてのログ ファイルがローテーションされます。 • 7 日以上前のログ ファイルをすべて削除します。 1 日以上前のファイルは、 非圧縮形式で保管されます。 ログ ファイル名には、 1 から 7 までの数値が割り振られた接 尾辞が付けられます。 こうすると、 ログ ローテーションが毎日発生した場合、 「7」 の接尾辞が付くログ ファイルが最も 古くなります。 例を示します。 • extraweb_access.log が、 Web プロキシ サービスの現在のログ ファイルです。 • その場合、 extraweb_access.log1 から extraweb_access.log.7 が、 それ以前のローテーションのログに なります。 システム メ ッ セージ ログ システム メッセージ ログには、 Web プロキシ サービス、 ネットワーク プロキシ サービス、 ネットワーク トンネル サービ スについてのサーバー処理情報および診断情報が記録されます。 また、 すべてのアクセス制御決定に関する詳細なメッ セージも記述されます。 つまり、 ユーザーの要求がポリシー ルールと合致すると、 そのときに実行された動作を示すロ グ ファイル エントリが記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [System message log] を選択します。 [View Logs] ページには、 システム メッセージ ログ ファイルに含まれる情報が簡潔に表示されます。 詳細について は、 この後に紹介する、 フィールドについて説明した表を参照してください。 • [Level] 列には、 ログ メッセージの詳細レベル ([Fatal]、 [Error]、 [Warning]、 [Info]、 [Verbose]) が表示されます。 • [Time] 列には、 サービスによってメッセージが生成された日付と時刻が表示されます。 • [Source] 列には、 メッセージを生成したサービス ([Network proxy]、 [Network Tunnel]、 [Web proxy]、 [Policy] の各サーバー ) が表示されます。 • [ID] 列には、 それぞれのユーザー セッションに割り当てられた固有の ID 番号が表示されます。 セッション ID 番号をクリックすると、 同じセッション ID を共有するすべてのログ メッセージが自動的に検索されます。 セッション ID 番号の詳細については、 この後に紹介する、 フィールドについて説明した表を参照してください。 • [Message] 列には、 実際のメッセージ テキストが表示されます。 システム メッセージ ログ (/var/log/aventail/access_servers.log) は、 syslog 形式 (RFC 3164) で生成され、 これには、 Web プロキシ サービス、 ネットワーク トンネル サービス、 ネットワーク プロキシ サービス、 ポリシー サー バー ( 他のサービスのポリシーを制御する内部サービス ) のメッセージ ログが含まれます。 次に、 メッセージ ログの一部を紹介します。 132|第 7 章 - シ ス テム管理 Nov 10 12:22:01 appliance logserver: [10/Nov/2003:12:22:01.132120 -0800] 016527 en 00000001 Verbose System Acceptor: Socks Server is now Listening on 192.168.1.200:1081, fd=14. フィールド 説明 例 syslog によって 生成されたデータの 識別 Nov 10 12:22:01 このデータは、 syslog によって生成され、 ログ サーバーから syslog に送信されたときのタイム スタンプが付けられます。 日付と時 appliance logserver: 刻 (Nov 10 12:22:01)、 syslog に送信したホスト (appliance)、 syslog に送信したプロセス (logserver) が記録 されます。 正確なタイム スタンプ このタイム スタンプは、 サービス (Web プロキシ、 ネットワーク トン [10/Nov/2003:12 ネル、 ネットワーク プロキシ、 ポリシー ) によってメッセージが生成さ :22:01.132120 0800] れた日付と時刻を示します。 syslog が生成したタイム スタンプより も、 こちらのタイム スタンプの方が信頼できます。 サービス によって 生成されたデータの 識別 このデータは、 メッセージの発信元を識別します。 このメッセージ部 分は、 次のコンポーネントで構成されます。 • 最初の数値 (016527) はプロセス ID (PID) で、 メッセージを 生成したサーバー プロセスを示します。 • PID の次のコード ( この例では 「en」 ) は、 サーバーを示しま す。 コードは次のようになっています。 • • ps ( ポリシー サーバー ) • ew (Web プロキシ サービス ) • en ( ネットワーク プロキシ サービス ) • pt (ping/traceroute ツール ) • nm ( ノード マネージャ ) • ls ( ログ サーバー ) • ev ( ネットワーク トンネル サービス ) • kt ( カーネル トンネル コンポーネント ) • us ( ネットワーク トンネル ユーザー スペース SSL デーモン ) • ks (SSL デーモンとのネットワーク トンネル カーネル モード インタフェース ) • up ( ネットワーク トンネル ポリシー サーバー デーモン ) • kp ( ネットワーク トンネル カーネル モード ポリシー サーバー インタフェース ) • un ( 未知 ) 次の数値 ( この例では 「00000001」 ) は、 セッション ID で す。 それぞれのユーザー セッションには、 固有の番号が割り当 てられ、 4 つのサービス (Web プロキシ、 ネットワーク トンネル / プロキシ、 ポリシー、 WorkPlace) のメッセージで使用されま す。 このため、 単一のユーザー セッションに関連するすべての メッセージを簡単に検索できるようになります。 メッセージが特定 のユーザー セッションと関連していない場合、 00000010 未満 の値が割り当てられます。 この ID の最初の数値は、 元々どの サービスがセッションを生成したか示すもので、 次の値になりま す。 • 0 ( ポリシー サービス ) • • 1 (Web プロキシ サービス ) 2 ( ネットワーク プロキシ サービス ) • 3 (WorkPlace サービス ) • セッション ID の次のテキストは、 メッセージのレベルを示してい ます ( この例では 「Verbose」 )。 • その次のテキストは、メッセージ タイプを示しています ( この例で は 「System」 )。 016527 en 00000001 Verbose System EX-750 イ ン ス ト ールおよび管理ガ イ ド | 133 フィールド 説明 例 メッセージ テキスト これらの識別情報の後に続くテキストが、 実際のメッセージです。 Acceptor: Socks Server is now Listening on 192.168.1.200:1 081, fd=14. アクセス ポリシー決定のメッセージ テキストの詳細については、 133 ページの 「アクセス ポリシー決定の監査」 を参照してください。 ア ク セス ポ リ シー決定の監査 システム メッセージ ログの主要な用途に、 アクセス ポリシー決定を監査することがあります。 ユーザー要求がポリシー ルールに合致するたびに、 アプライアンスは、 実行した動作に関するエントリをメッセージ テキスト フィールド ( メッセー ジ ログの最後のフィールド ) に書き込みます。 アクセス ポリシー決定のメッセージの例を次に示します。 Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339706 -0800] 021383 ps f0005393 Info CS ACL Matched C/S Rule #10 'Allow access to ALL!', User '(tester)@(business partner)' connecting from '192.168.2.100:1234': Attempting to access 'w5.example.com:80' 接続要求がルールに合致するたびに、 Info レベルでログ メッセージが生成されます。 ルールに合致しない要求は、 Verbose レベルでロギングされます ( ただしルールがまったく合致しなかった場合はその限りでない。 このような場合は Info レベルでロギングされる )。 以上をまとめると、 1 回の接続要求によって、 (1 回のルールの合致に対し ) 1 つの Info メッセージと、 ( 合致しない場合は ) 1 つまたは複数の Verbose メッセージが生成されます。 ポリシー決定の場合、 ログ メッセージのメッセージ テキスト フィールドには、 次の情報が含まれます。 <Log Type> <Match> <Rule Identifier> <Username> <Details> フィールド 説明 <Log Type> 評価されたアクセス ポリシー : • 「CS ACL」 は、 クライアント / サーバー アクセス ポリシーを示します。 • 「EW ACL」 は、 Web アクセス ポリシーを示します。 • 「WP ACL」 は、 WorkPlace アクセス ポリシーを示します。 • 「NE ACL」 は、 ファイル システム アクセス ポリシー (ASAP WorkPlace の [Network Explorer] タブからアクセスするファイル共有 ) を示します。 <Match> ルール合致ステータス ( 「Matched」 または 「No Match」 )。 <Rule Identifier> 次で構成されるルール識別子。 <rule list name> <rule number> <rule description> <Username> 要求を行ったユーザーの名前。 アプライアンスが複数のレルムを使用する構成になってい る場合、 このユーザー名は、 「(user)@(realm)」 の形式で表示されます。 <Details> • ルールが合致した場合、 このフィールドは空になります。 • ルールが合致しなかった場合、 次のいずれかのメッセージが表示されます。 • Source Network is <network> • Date/time specification <time> • User <username> not in User/Group List. • Destination Network is <dest> • Virtual Host is <vhost> • Destination Services dest is <dest> • Command is <command> • UDPEncrypt is <true or false> • Key Length <length from the policy rule> requires a stronger cipher 134|第 7 章 - シ ス テム管理 ルールがまったく合致しなかった場合は、 一致ルールが見つからなかったことを示す、 Info レベルのメッセージが生 成されます。 例 次に、 アクセス制御を監査するメッセージの例をいくつか示します。 例 1—Verbose レ ベル Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.295719 -0800] 021383 ps f0005393 Verbose CS ACL No Match C/S Rule #3 'User Sample', User '(tester)@(business partner)' not in User/Group List Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339266 -0800] 021383 ps f0005393 Verbose CS ACL No Match C/S Rule #4 'Dest Sample', User '(tester)@(business partner)', Destination Network is 'w5.scd.yahoo.com:80' 例 2— 成功の場合の Info レ ベル Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339706 -0800] 021383 ps f0005393 Info CS ACL Matched C/S Rule #10 'Allow access to ALL!', User '(tester)@(business partner)' connecting from '216.239.51.100:1234': Attempting to access 'w5.scd.yahoo.com:80'. 例 3— 失敗の場合の Info レ ベル Mar 11 16:39:40 bobbie logserver: [11/Mar/2004:16:39:40.339706 -0800] 021383 ps f0005393 Info CS ACL No Match C/S Unable to find any rule that matched user '(tester)@(business partner)' connecting from '216.239.51.100:1234': Attempting to access 'w5.scd.yahoo.com:80'. ログのク ラ イ アン ト 証明書エ ラーの表示 アプライアンスが証明書チェーンを確認できない場合、 Web およびクライアント / サーバー メッセージ ログ ファイルに 次のようなメッセージが表示されます。 ps 10000006 Info Module CERT: Certificate error:0000000A:lib(0):func(0):DSA lib validation status 0, error is 10: このメッセージには、 証明書チェックが失敗した理由を示すエラー コード ( この場合 「10」 ) が記述されます。 エラー コードには、 次のようなものがあります。 エラー メッセージ 説明 2 Unable to get issuer certificate 発行者側の証明書が見つかりませんでした。 これは、 信 頼されていない証明書の発行者側の証明書が見つからな い場合に発生します。 7 Certificate signature failure 証明書の署名が不正です。 9 Certificate is not yet valid 証明書がまだ有効になっていません。 10 Certificate has expired 証明書の有効期限が切れています。 18 Self signed certificate 渡された証明書が自己署名証明書で、 同じ証明書が、 信 頼できる証明書のリストに見つかりません。 19 Self signed certificate in certificate chain 証明書チェーンが、 信頼されていない証明書を使用して構 成されている可能性がありますが、 ルートがローカルで見 つかりません。 20 Unable to get local issuer certificate ローカルに検出された証明書の発行者側の証明書が見つ かりませんでした。 これは通常、 信頼できる証明書のリス トが完全でないことを示しています。 21 Unable to verify the first certificate チェーンに証明書が 1 つしかなく、 しかも自己署名証明書 でないため、 署名を確認できませんでした。 22 Certificate chain too long 証明書チェーンの長さが、 指定されている最大深度よりも 大きくなっています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 135 エラー メッセージ 説明 23 Certificate revoked 証明書が無効になっています。 24 Invalid CA certificate CA 証明書が不正です。 CA 証明書でないか、 そのエク ステンションが、 指定された目的と矛盾しているかのいず れかです。 ネ ッ ト ワーク プ ロキシ / ト ンネル監査ログ ネットワーク プロキシ / トンネル監査ログには、ネットワークにアクセスしたユーザーのリストや転送されたデータの量など、 ネットワーク トンネル サービスおよびネットワーク プロキシ サービスの場合の、 接続活動に関する詳細な情報が記録さ れます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [Network proxy/tunnel audit log] を選択します。 [View Logs] ページには、ネットワーク プロキシ / トンネル監査ログ ファイルに含まれる情報が簡潔に表示されます。 詳細については、 この後に紹介する、 フィールドについて説明した表を参照してください。 • [Status] 列には、 それぞれの接続要求に対する、 色分けされた接続ステータスが表示されます。 Error コード は赤、 Info コードはオレンジ色、 Success コードは緑でそれぞれ表示されます。 カーソルを特定のログ メッセー ジの接続ステータス コードの上に置くと、 メッセージの下に説明テキストが表示されます。 • [Time] 列には、 接続の日付と時刻が表示されます。 • [Source IP] 列には、 ネットワーク プロキシまたはトンネル サービスにアクセスするコンピュータの IP アドレスと ポート番号が表示されます。 • [Destination IP] 列には、 アクセスされるリソースの IP アドレスとポート番号が表示されます。 • [Bytes] 列には、 送信されたバイト数、 受信されたバイト数、 接続期間 ( 秒単位 ) が表示されます。 • [Username] 列には、 リソースにアクセスしているユーザーが表示されます。 [Username] リンクをクリックす ると、 特定のユーザーに対するすべてのログ メッセージが検索されます。 メッセージは、 Aventail SOCKS5LF 形式でディスクの /var/log/aventail/extranet_access.log ファイルに保管 されます。 次の例は、 ネットワーク プロキシ / トンネル サービスの監査ログ ファイルの一部です。 12.230.158.210:1110 ssl:LDAP “fred figment” “13/Sep/2002:19:18:28 -0700” v5 connect 192.168.136.254:22 0 21722 60631 263 136|第 7 章 - シ ス テム管理 このログ エントリには、 ( スペースで区切られた状態で ) 次のフィールドが含まれています。 フィールド 説明 例 接続元 IP ネットワーク トンネルまたはネットワーク プロキシ サービスに アクセスしているコンピュータの IP アドレスおよびポート番 号。 12.230.158.210:1110 認証 使用されている認証方式 ( 「ssl:LDAP」、 「ssl:Radius」、 ssl:LDAP 「none」 )。 “ ユーザー名 ” リソースにアクセスするユーザーとそのレルムを "username@realm" 形式で表現したもの。 “ 日付 / 時刻 ” 接続の日付 ( 日 / 月 / 年形式 ) および時刻 (24 時間表示の “13/Sep/2002:19:18:28 0700” 時間、 分、 秒、 ミリ秒形式 )。 バージョン ネットワーク プロキシまたはネットワーク トンネルのバージョ ン。 v5 ( ネットワーク プロキシ ) 実行されるコマンドのタイプ。 ネットワーク プロキシ サービスの場合、 「bind」、 「connect」、 「udp」、 「traceroute」、 「ping」、 「none」。 ネットワーク トンネル サービスの場合、 「tunnel」、 「flow:tcp」、 「flow:udp」、 「flow:icmp」。 connect ( ネットワーク プロキ シ) 接続先 IP アクセスされるリソースの IP アドレスおよびポート番号。 192.168.136.254:22 接続ステータス 接続のステータス。 0 コマンド • 「0」 の場合正常です。 • 256 未満の値は、 クライアントに送信された一般障害 コードを示します。 • 256 を超える値は、 内部デバッグ コードを示します。 “fred figment” ev ( ネットワーク トンネル ) tunnel ( ネットワーク トンネル ) さまざまなステータス コードの詳細については、 137 ページ の 「接続ステータス メッセージの監査」 を参照してください。 受信バイト数 受信したバイト数。 21722 送信バイト数 送信したバイト数。 60631 接続期間 接続期間 ( 秒単位 )。 263 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 137 接続ステー タ ス メ ッ セージの監査 接続ステータス コード ( ネットワーク プロキシ / トンネル監査ログの 4 番目以降のフィールドに表示。 詳細については、 135 ページの 「ネットワーク プロキシ / トンネル監査ログ」 を参照 ) は、 クライアント / サーバー接続の問題をデバッグ する場合に使用すると便利です。 次の表では、 それぞれのコードを示しています。 接続ステータス コード 説明 0 接続の試行が成功しました。 256 未満の値 256 未満の値は、 クライアントに送信された一般障害コードを示します。 256 を超え る値 • 1 = 一般サーバー障害。 • 2 = ルールセットによって接続が許可されていない。 • 3 = ネットワークに到達できない。 • 4 = ホストに到達できない。 • 5 = 接続が拒否された。 • 6 = TTL 有効期限切れ。 • 7 = コマンドがサポートされていない。 • 8 = アドレス タイプがサポートされていない。 • 9 = 不正なアドレス。 • 10 = アドレスを解決できない。 256 を超える値は、 内部デバッグ コードを示します。 • • 257 = 認証方式がない。 258 = 認証の失敗 ( たとえばエンドユーザーが不正なユーザー名 / パスワードを入力した )。 • 259 = 認証入出力の失敗。 • 260 = 認証静止の失敗。 • 261 = クライアント接続の喪失。 • 262 = モジュールをロードできない。 • 263 = 権限がない ( たと えばポリ シーによ り アク セスが拒否さ れ た )。 • 264 = 暗号の障害。 • 265 = 未知の障害。 例 エンドユーザーが不正なユーザー名 / パスワードを入力した場合、 エラー番号 258 がログに記録されます。 192.168.2.69:3127 ssl "testing" "26/Feb/2004:21:31:51.947 +0000" v5 none -:258 385 0 14 アプライアンスで RADIUS のシークレットが不正に構成されている場合、 ユーザー接続要求が発生すると、 エラー番号 259 がログに記録されます。 192.168.2.69:3127 ssl "testing" "26/Feb/2004:21:31:51.947 +0000" v5 none -:259 385 0 1 138|第 7 章 - シ ス テム管理 Web プ ロキシ監査ログ Web プロキシ監査ログには、 ネットワークにアクセスしたユーザーのリストや転送されたデータの量など、 接続活動に関 する詳細な情報が記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [Web proxy audit log] を選択します。 [View Logs] ページには、 Web プロキシ監査ログ ファイルに含まれる情報が簡潔に表示されます。 詳細について は、 この後に紹介する、 フィールドについて説明した表を参照してください。 • [Status] 列には、 それぞれの HTTP 要求に対する、 色分けされた戻りコードが表示されます。 カーソルを特定 のログ メッセージの HTTP 戻りコード番号の上に置くと、 メッセージの下に、 それぞれのコードに対応する説明テ キストが、 「server error」 (500、 赤 )、 「client error」 (400、 オレンジ )、 「redirection」 (300、 緑 )、 「success」 (200、 緑 ) のように表示されます。 • [Time] 列には、 要求の処理が終わった日付と時刻が表示されます。 • [Source IP] 列には、 Web プロキシ サービスにアクセスするコンピュータの IP アドレスが表示されます。 • [Bytes] 列には、 応答の本文で送信されたバイト数が表示されます。 ただし HTTP ヘッダは除外されます。 • [Username] 列には、 Web プロキシ サービスで認証されているユーザーが表示されます。 [Username] リ ンクをクリックすると、 特定のユーザーに対するすべてのログ メッセージが検索されます。 • [Request] 列には、 HTTP 要求の 1 行目が表示されます。 これには HTTP コマンド (GET や POST など )、 要求されたリソース、 HTTP バージョン番号などが含まれます。 /var/log/aventail/extraweb_access.log ファイル メッセージは、 World Wide Web Consortium (W3C) の Common Log Format (CLF) で保管されます。 CLF ログの詳細については、 http://httpd.apache.org/docs/logs.html を参照してください。 次の例は、 ログ メッセージのサンプルです。 10.0.0.4 uid=jsmith,ou=mycompany,ou=people,o=mycompany.com [16/Apr/2003:21:36:37 +0000] “GET /alias1/foo.gif HTTP/1.1” 304 0 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 139 このログ エントリには、 ( スペースで区切られた状態で ) 次のフィールドが含まれています。 フィールド 説明 例 接続元 IP Web プロキシ サービスにアクセスしているコンピュータの IP アド 10.0.0.4 レス (NAT が使用されている場合、 このフィールドにはトランス レーテッド アドレスが入る )。 ID このフィールドは、 Web プロキシ サービスでは使用されず、 ハ イフンが常に入ります。 ユーザー名 Web プロキシ サービスで認証されているユーザーが表示されま jsmith す。 • LDAP および Active Directory ユーザー名は、 DN で表 示されます。 他のユーザー名は CN で表示されます。 • アプライアンスで複数のレルムが定義されている場合、 こ のフィールドには 「Username@realm」 の形式で表示さ れます。 • ユーザーが認証されていない場合、 または (ASAP WorkPlace ログイン ページなど ) 認証の不要なコンテンツ にアクセスしている場合、 このフィールドにはハイフン ( 「-」 ) が入ります。 • 認証が使用されていない場合 ( つまり AMC の [Authentication] ページにある [Active Configuration] フィールドで 「None」 が設定されてい る場合 )、 このフィールドには 「anonymous-user」 が入 ります。 日付 / 時刻 ( 要求が行われた時刻ではなく ) 要求が完了した日付と時刻。 [16/Apr/2003:21:36:38 +0000] “ 要求 ” HTTP 要求の 1 行目が入ります。 これには HTTP コマンド (GET や POST など )、 要求されたリソース、 HTTP バージョ ン番号などが含まれます。 “GET /alias2/bar.jpg HTTP/1.1” HTTP 戻りコード サーバーが応答したときの戻りコード。 200 • 「2xx」 コードは、 要求が成功したことを示しています。 • 「3xx」 コードは、 ある種のリダイレクションまたはキャッ シュされた応答を示しています。 • 「4xx」 コードは、 ( リソースが見つからない、 要求が許可 されないなどの ) エラーを示しています。 • 「5xx」 コードは、 サーバー エラーを示しています。 これらのコードの詳細については、 http://www.ietf.org/rfc/rfc2616.txt を参照してください。 送信バイト 応答の本文で送信さ れたバイト 数 (HTTP ヘッ ダのサイズは除外 )。 140 例 • 認証の試行が失敗した場合 ( たとえばユーザーが不正なユーザー名やパスワードを入力したなど )、 ログには、 戻 りコード 200 が付いた単一のメッセージが記録されます ( 「OK」 の意味。 クライアントの要求が理解されたことを 示す )。 メッセージに記述されている接続元 IP アドレスは、 要求を出したユーザーを識別するための唯一の手段 になります。 192.168.2.69 - - [26/Feb/2004:21:43:30 +0000] "POST /__extraweb__authen HTTP/1.1" 200 3610 認証が成功した場合も同様のメッセージが記録されますが、 戻りコードが 302 になります ( 「検出」 の意味 )。 エ ンドユーザーの認証クレデンシャルと戻りコード 「200」 を含む他のメッセージがその後に続きます。 192.168.2.69 - - [26/Feb/2004:21:44:25 +0000] "POST /__extraweb__authen HTTP/1.1" 302 206 140|第 7 章 - シ ス テム管理 192.168.2.69 - (jsmith)@(AD) [26/Feb/2004:21:44:25 +0000] "GET /workplace/access/home HTTP/1.1" 200 15424 • エンドユーザーが正しく認証されたにもかかわらず、 アクセス ルールによって Web リソースへのアクセスが拒否さ れた場合、 戻りコード 「403」 ( 「禁止」 の意味 ) を含むメッセージが記録されます。 192.168.2.69 - (jsmith)@(AD) [26/Feb/2004:21:52:25 +0000] "GET /dukes HTTP/1.1" 403 3358 • エンドユーザーが正しく認証され、 URL へのアクセスが許可された場合、 認証の失敗の場合と同様のメッセージ が記録されます ( この場合も戻りコード 「200」 が記述される )。 ただしこの場合は、 ユーザーのクレデンシャル が含まれます。 192.168.2.69 - (jdoe)@(AD) [26/Feb/2004:21:51:03 +0000] "GET /dukes HTTP/1.1" 200 262 アプ ラ イ アンスの監視 この節では、 システム ステータスとアクティブ ユーザーを監視する方法や、 選択したユーザーに対するすべての VPN 接続を一時的に停止する方法について説明します。 AMC では、 基本システム設定、 ディスクおよびメモリ使用量、 現在の接続、 ネットワーク帯域幅利用などを監視する 上で役に立つさまざまな情報が表示されます。 全体の活動と システム ステー タ スの監視 AMC では、 システム ステータスを監視する上で役に立つさまざまな情報が表示されます。 AMC の [Home] ページ では、 現在のアクティブ ユーザー数、 ネットワーク帯域幅、 ディスク使用量、 CPU 利用度などがグラフィカルに表示さ れます。 このようなグラフは、 最新 1 時間分の活動に対する平均利用を表すものです。 AMC の [Home] ページの [System Status] 画面で [Details] をクリックすると、 詳細なステータス情報を表示 する [System Status] ページが表示されます。 このページで表示されるデータのタイプは、 カスタマイズできるよう になっています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 141 X シ ス テム ス テー タ ス を監視するには 1. メイン ナビゲーション メニューから [System Status] をクリックします。 この操作により、 [System Status] ページが現れ、 アプライアンスの現在のステータスに関する情報が表示されます。 2. [Show] ボックスには、 表示するデータのタイプや時間間隔が示されます。 • • [Active users] : 指定された時間間隔におけるアクティブ ユーザー セッションの数を表示します。 表示さ れるグラフでは、 水平軸が、 ライセンスで許可されている同時ユーザーの最大数を示します。 [CPU utilization] : 指定された時間間隔における CPU 利用率を表示します。 • [Memory utilization] : 指定された時間間隔におけるメモリ利用率を表示します。 • [Network bandwidth] : 指定された時間間隔におけるネットワーク帯域幅を Mbps 単位で表示しま す。 内部インタフェースと外部インタフェースの両方が有効な場合、 グラフでは、 内部インタフェースの データが緑の線、 外部インタフェースのデータが青の線で表されます。 このグラフのスケールは、 トラフィッ クの量に応じて自動的に調整されます ( たとえば、 トラフィック量に応じて 1Mbps または 100Mbps のス ケールが使用される )。 • [Swap utilization] : 指定された時間間隔における空きスワップ容量を表示します。 • [Hourly] : 20 秒ごとに収集されたサンプルに基づく最新 1 時間分の平均活動を表示します。 • • [Daily] : 10 分ごとに収集されたサンプルに基づく最新 1 日分の平均活動を表示します。 [Weekly] : 60 分ごとに収集されたサンプルに基づく最新 1 週間分の平均活動を表示します。 3. [Auto-refresh] ボックスでは、 選択しているデータの表示が自動的に更新される頻度を選択します。 自動更 新機能をオフにするときは [Off] をクリックします。 ただし、 自動更新機能を有効にすると、 現在の AMC セッ ションがタイムアウトしなくなります。 4. オプションとして、 [Also show] ボックスで、 他のタイプのデータを別のグラフで表示するよう指定することがで きます。 これは、 一定の時間間隔に対する 2 種類のデータを比較する場合に使用すると便利です。 5. ページを随時更新するときは [Refresh] をクリックします。 142|第 7 章 - シ ス テム管理 ア ク テ ィ ブ ユーザーの監視 一定期間のアクティブ ユーザー セッションの総数を表示できる他、 選択したユーザーに対するすべての接続を一時的 に停止することもできます。 この節では、 アクティブ ユーザー セッションを表示する方法、 アクティブ ユーザー セッショ ンを検索する方法、 アクティブ ユーザー セッションを一時的に停止する方法について説明します。 ア ク テ ィ ブ ユーザーの表示 現在アクティブなユーザー セッションを表示することができます。 アクティブ ユーザー セッションのリストは、 ユーザー 名、 レルム名、 セッション開始時間でソートすることができます。 X すべてのア ク テ ィ ブ ユーザー セ ッ シ ョ ン を表示するには 1. メイン ナビゲーション メニューから [Active Users] をクリックします。 この操作により、 [Active Users] ページが表示されます。 2. 3. アクティブ ユーザー セッションのデータを確認します。 • [Current active users] フィールドには、 アクティブ ユーザー セッションの総数が表示されます。 • [Username] 列には、 個別のユーザーの名前がアクティブ セッションとあわせて表示されます。 • [Realm] 列には、 ユーザーが所属するレルムの名前が表示されます。 • [Session start time] 列には、 セッションが開始した時刻が表示されます。 デフォルトの場合、 アクティブ ユーザー セッション リストは、 ユーザー名でソートされます。 リストを他の方法で ソートするときは、 それぞれの列の一番上にある [Username]、 [Realm]、 [Session start time] をク リックします。 ア ク テ ィ ブ ユーザーの検索 現在のユーザー セッションのリスト内をユーザー名で検索することができます。 X ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を検索するには 1. メイン ナビゲーション メニューから [Active Users] をクリックします。 この操作により、 [Active Users] ページが表示されます。 2. [Search for] ボックスに、 ユーザー名のすべてまたは一部を入力します。 ワイルドカード文字 ( 「*」 ) は、 検索文字列のどの部分にも使用することができます。 たとえば、 「j」 で始まるグループ名を検索する場合は、 「j*」 と入力します。 また、 「Mary」 または 「Marty」 という名前のユーザー ( ただし 「Max」 は除外 ) を検索 するときは、 「M*y」 と入力することができます。 3. 各ページで返される結果の数を、 [Show] ボックスで指定することができます。 デフォルトは 「200」 です ( こ のフィールドは、 たとえば同時ユーザー数の制限を超え、 最も古い 10 の接続を停止したい場合などに使用する と便利である。 たとえば最初に [Session start time] でユーザー セッション リストをソートする。 次に [Show] ボックスに 「10」 と入力し、 検索結果が返されたら、 [Select all] チェック ボックスをクリックしてから [End session] をクリックする )。 4. [Search] をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 143 アクティブ ユーザー セッション リストが更新され、 検索基準に合致するユーザーのみが表示されます。 ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの停止 ユーザーのセッションは、 そのユーザーのアクティブな接続が、 異なるサービスに複数ある場合でも、 即座に停止する ことができます。 アクティブ ユーザー セッションを停止すると、 そのユーザーのネットワーク アクセスが 10 分間だけ一 時的に無効になります。 アクセス ポリシーが許せば、 所定の時間後、 そのユーザーは再度ネットワークにログインする ことができます。 あるユーザーを永続的に VPN にログインできなくする場合、 該当するアクセス制御ルールを修正し、 適切なユーザーおよびグループ定義を修正または削除して、 そのユーザーをユーザー ディレクトリから削除します。 X ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を一時的に停止するには 1. メイン ナビゲーション メニューから [Active Users] をクリックします。 この操作により、 [Active Users] ページが表示されます。 2. アクティブ ユーザー セッションのリストから、 アクセスを一時的に停止するユーザー (1 人または複数 ) を見つけ 出します。 また、 特定のユーザーを検索することもできます。 3. アクセスを停止したいユーザーの横にあるチェック ボックスを選択して、 [End session] をクリックします。 リスト 上部の [Select all] チェック ボックスを選択すると、 リスト内のすべてのユーザーを選択することができます。 こ の方法を使用すると、 アプライアンス サービスを停止するのと同様の方法で、 すべてのアクティブ ユーザー セッ ションを停止することができます。 SNMP の構成 Hewlett-Packard OpenView や IBM Tivoli などの Simple Network Management Protocol (SNMP) ツー ルがある場合、 これらのツールを使用することにより、 アプライアンスを SNMP エージェントとして監視することができま す。 このアプライアンスでは、 SNMP バージョン 1.2c および 3 をサポートしており、 さまざまな管理データを Management Information Base (MIB) II 形式で提供します。 SNMP の構成方法 この節では、 AMC を使用して SNMP を構成する方法について説明します。 X SNMP を構成する には 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [SNMP Settings] ペー ジが表示されます。 2. [Network Services] エリアの [SNMP Configuration] をクリックします。 3. [Enable SNMP] チェック ボックスを選択して、 SNMP を有効にします ( ただし、 [OK] をクリックしないまま、 SNMP ホストを構成するためにこのページを離れた場合、 この設定のステータスは保存されない )。 4. [Interface selection] リストから適切なオプション ([Internal]、 [External]、 [Both]) を選択して、 SNMP で使用するネットワーク インタフェースを選択します。 5. [Agent properties] エリアで、 アプライアンスを識別します。 • ネットワーク管理ツールが Aventail アプライアンスに照会するときに使用する文字列を [Community string] ボックスに入力します。 このフィールドは必須で、 デフォルトでは 「public」 に設定されます。 「public」 は安全ではないため、 セキュリティを向上させるための習慣として、 コミュニティ文字列に安全な パスフレーズを設定するようにします。 144|第 7 章 - シ ス テム管理 • 6. 7. [System location] ボックスと [System contact] ボックスにアプライアンス エージェントを記述しま す。 たとえば、 アプライアンスの物理ロケーション ( 「Floor 2 - server lab」 など ) やシステム管理者の連 絡先 ( 「Jim Jamerson, 206-555-1212」 など ) を指定することができます。 SNMP 要求を許可する管理システムを定義します。 a. [SNMP hosts] エリアで [Add] をクリックします。 この操作により、 [Add/Edit Allowed Hosts] ページが表示されます。 b. [IP address] と [Subnet mask] に、 ホ ス ト の IP ア ド レ スお よ びサブネ ッ ト マ ス ク を それぞれ 入力 し ます。 [Save] をクリックします。 メモ • SNMP マネージャの他、 アプライアンスが使用する Management Information Base (MIB) を構成しなけれ ばなりません。 このアプライアンスでは、 UCD (University of California, Davis) MIB および MIB II のバー ジョン 4.2.3 をサポートしています。 また SNMP マネージャでは、アプライアンスの照会の際に必要になるコミュニティ文字列も構成しなければなりませ ん。 • 内部ファイアウォールは、 ポート 161/udp トラフィックを許可するよう構成しなければなりません。 Aventail MIB フ ァ イルのダウン ロー ド AMC では、 Aventail MIB ファイルをダウンロードすることができます。 このファイルは、 Aventail VPN 固有のデー タを、すでにサポートされている MIB に追加するものです。Aventail MIB で提供される情報の詳細については、 146 ページの 「Aventail MIB データ」 を参照してください。 X Aventail MIB を ダウン ロー ド するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Network Services] エ リ アの [Simple Network Management Protocol (SNMP)] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure SNMP] ページが表示 さ れます。 3. [Download Aventail MIB] ボタンをクリックします。 この操作により、 ファイル ダウンロード メッセージが表 示されます。 4. [Save] をクリックして、 正しいディレクトリをブラウズします。 ここで設定したディレクトリに aventailCustomMibs.tar ファイルが保存されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 145 SNMP を使用し た管理デー タの取得 SNMP データは、 標準化された階層構造に編成され、 それを構成する構造化テキスト ファイルに、 価値のある管理 データが記述されています。 これらのテキスト ファイル (MIB と呼ばれる ) には、 システム情報やステータスなどの固有 のデータ変数が記述されています。 SNMP を介して情報を取得する場合、 システムで 「オブジェクト識別子」 (OID) を照会します。 それぞれの OID に は、 テキスト名も含まれていますが、 通常は番号で参照されます。 たとえば、 システム アップタイム (sysUpTime) は 1.3.6.1.2.1.1.3 になります。 SNMP 管理パッケージがない場合は、 アプライアンスに接続して 「root」 としてログインし snmpwalk または snmpget コマンドを実行することによって、 SNMP データを取得することができます。 たとえば、 ディスク容量につい ての情報を取得する場合、 次の snmpwalk コマンドを入力することで、 OID 1.3.6.1.4.1.2021.9 を照会します。 snmpwalk -v 1 localhost -c public 1.3.6.1.4.1.2021.9 すべての MIB 変数のリストを表示するときは、 次のコマンドを入力します。 snmpwalk -v 1 -O n localhost -c public |more このコマンドにより、 次のようなリストが表示されます。 .1.3.6.1.2.1.1.1.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686 .1.3.6.1.2.1.1.2.0 = OID: .1.3.6.1.4.1.2021.250.10 .1.3.6.1.2.1.1.3.0 = Timeticks: (1707979) 4:44:39.79 .1.3.6.1.2.1.1.4.0 = Root < root@localhost> (configure /etc/snmp/snmp.local.conf) .1.3.6.1.2.1.1.5.0 = aventailvpn .1.3.6.1.2.1.1.6.0 = Unknown (configure /etc/snmp/snmp.local.conf) .1.3.6.1.2.1.1.8.0 = Timeticks: (7) 0:00:00.07 .1.3.6.1.2.1.1.9.1.2.1 = OID: .1.3.6.1.2.1.31 .. すべての MIB 名のリストを表示するとき (snmpget コマンドを使用するときに便利 ) は、 次のコマンドを入力します。 snmpwalk -O S localhost -c public |more このコマンドにより、 次のようなリストが表示されます。 SNMPv2-MIB::sysDescr.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686 SNMPv2-MIB::sysObjectID.0 = OID : SNMPv2-SMI::enterprises.2021.250.10 SNMPv2-MIB::sysUpTime.0 = Timeticks: (1712451) 4:45:24.51 SNMPv2-MIB::sysContact.0 = Root (configure /etc/snmp/snmp.local.conf) SNMPv2-MIB::sysName.0 = aventailvpn SNMPv2-MIB::sysLocation.0 = Unknown (configure /etc/snmp/snmp.local.conf) SNMPv2-MIB::sysORLastChange.0 = Timeticks: (7) 0:00:00.07 SNMPv2-MIB::sysORID.1 = OID: IF-MIB::ifMIB .. メモ • UCD MIB SNMP エージェントの詳細については、 http://www.ece.ucdavis.edu/ucd-snmp/ を参照して ください。 • MIB II の詳細 (MIB II 変数名の説明も含まれる ) については、http://www.ietf.org/rfc/rfc1213.txt を参 照してください。 146|第 7 章 - シ ス テム管理 Aventail MIB デー タ Aventail MIB モジュールは、 Aventail VPN に関する次の情報を提供する、 オブジェクト識別子 (OID) を参照しま す。 • システム情報 • システム健全性 • サービス健全性 • サービス履歴 • セキュリティ履歴 • ネットワーク トンネル サービス シ ス テム情報モ ジ ュ ール Aventail のシステム情報モジュールの OID では、 アプライアンスに関する基本情報が提供されます。 項目 OID 説明 ASAP バージ ョ ン 1.3.6.1.4.1.4331.1.1.0 このノード上で動作する ASAP のバージョンで、 major.minor.micro-patch-build の形式 ( たとえ ば 「8.0.0-64」 ) になります。 ハー ド ウ ェ ア モデル 1.3.6.1.4.1.4331.1.2.0 アプライアンスのモデル番号で、 「EX-750」 または 「EX-1500」 になります。 シ ス テム健全性モ ジ ュ ール Aventail のシステム健全性モジュールの OID では、 アプライアンスの動作ステータスに関する情報が提供されます。 項目 OID 説明 現在のログ イ ン 1.3.6.1.4.1.4331.2.1.1.0 現在認証されているユーザーの数。 ピー ク ロ グ イ ン 1.3.6.1.4.1.4331.2.1.2.0 前回のリセット以降、 アプライアンスに同時にログイン したユーザーの最大数。 リセット間隔は 24 時間で す。 最大ラ イ セ ン ス ユーザー 1.3.6.1.4.1.4331.2.1.3.0 このアプライアンスでライセンスされている同時ユー ザーの最大数。 現在の接続 1.3.6.1.4.1.4331.2.2.1.0 Aventail ネットワーク トンネル、 ネットワーク プ ロキシ、 Web プロキシ サービスで提供される同時 接続の数。 ピー ク 接続 1.3.6.1.4.1.4331.2.2.2.0 前回のリセット以降、 アプライアンスに同時に接続した ユーザーの最大数。 リセット間隔は 24 時間です。 CPU 利用 1.3.6.1.4.1.4331.2.3.0 単一のアプライアンス ノードでの、 CPU 全体に占める 現在の CPU の利用率。 RAM 利用 1.3.6.1.4.1.4331.2.4.1.0 現在の仮想メモリ (RAM) の利用率。 スワ ッ プ利用 1.3.6.1.4.1.4331.2.4.2.0 現在の仮想メモリ ( スワップ ) の利用率。 内部イ ン タ フ ェ ースの 現在のスループ ッ ト 1.3.6.1.4.1.4331.2.5.1.0 前回のリセット以降、 ノードの内部インタフェースで計 測された、 現在の VPN スループット ( 秒あたりのメガ ビット単位 )。 リセット間隔は 24 時間です。 内部イ ン タ フ ェ ースの ピー ク スループ ッ ト 1.3.6.1.4.1.4331.2.5.2.0 前回のリセット以降の、 ピーク VPN 内部インタフェー ス スループット ( 秒あたりのメガビット単位 )。 リセット 間隔は 24 時間です。 外部イ ン タ フ ェ ースの 現在のスループ ッ ト 1.3.6.1.4.1.4331.2.5.3.0 前回のリセット以降、 ノードの外部インタフェースで計 測された、 現在の VPN スループット ( 秒あたりのメガ ビット単位 )。 リセット間隔は 24 時間です。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 147 項目 OID 説明 外部イ ン タ フ ェ ースの ピー ク スループ ッ ト 1.3.6.1.4.1.4331.2.5.4.0 前回のリセット以降の、 ピーク VPN 外部インタフェー ス スループット ( 秒あたりのメガビット単位 )。 リセット間隔は 24 時間です。 ログ利用率 1.3.6.1.4.1.4331.2.9.0 使用済みのログ ファイル ディスク パーティション の割合。 サービ ス健全性 Aventail のサービス健全性モジュールの OID では、 アプライアンスで動作する各サービスのステータスに関する情報 が提供されます。 MIB では、 それぞれのサービスごとに、 サービス ID、 サービスの記述、 サービスの状態 ( 「アッ プ」 または 「ダウン」 ) について通知します。 項目 OID 説明 サービ ス ID 1.3.6.1.4.1.4331.3.1.1.1.0 Aventail ASAP Management Console のサービス ID 番号は 「0」 です。 1.3.6.1.4.1.4331.3.1.1.1.1 Aventail ネットワーク プロキシ サービスのサービス ID 番号は 「1」 です。 1.3.6.1.4.1.4331.3.1.1.1.2 Aventail Web プロキシ サービスのサービス ID 番号 は 「2」 です。 1.3.6.1.4.1.4331.3.1.1.1.3 ASAP WorkPlace のサービス ID 番号は 「3」 です。 サービ スの記述 サービ スの状態 1.3.6.1.4.1.4331.3.1.1.2.0 Aventail ASAP Management Console。 1.3.6.1.4.1.4331.3.1.1.2.1 Aventail ネットワーク プロキシ サービス。 1.3.6.1.4.1.4331.3.1.1.2.2 Aventail Web プロキシ サービス。 1.3.6.1.4.1.4331.3.1.1.2.3 Aventail ASAP WorkPlace。 1.3.6.1.4.1.4331.3.1.1.3.0 AMC の現在の状態 : 1 = アップおよび 0 = ダウン。 1.3.6.1.4.1.4331.3.1.1.3.1 Aventail ネットワーク プロキシ サービスの現在の状 態 : 1 = アップおよび 0 = ダウン。 1.3.6.1.4.1.4331.3.1.1.3.2 Aventail Web プロキシ サービスの現在の状態 : 1 = アップおよび 0 = ダウン。 1.3.6.1.4.1.4331.3.1.1.3.3 Aventail ASAP WorkPlace の現在の状態 : 1 = アップおよび 0 = ダウン。 148|第 7 章 - シ ス テム管理 セキ ュ リ テ ィ 履歴モ ジ ュ ール Aventail のセキュリティ履歴モジュールの OID では、 ログインおよびアクセス拒否に関する情報が提供されます。 項目 OID 説明 ログ イ ン拒否の回数 1.3.6.1.4.1.4331.4.1.0 前回のリセット以降の、 ログイン拒否の回数。 リセット間隔は 24 時間です。 前回ロ グ イ ンが拒否 さ れたユーザー 1.3.6.1.4.1.4331.4.2.1.0 前回認証が拒否されたユーザー。 「user@realm」 の形式になります。 前回ロ グ イ ンが拒否 さ れた時刻 1.3.6.1.4.1.4331.4.2.2.0 前回ユーザーの認証が拒否された日付と時刻。 ア ク セス拒否の回数 1.3.6.1.4.1.4331.4.3.0 前回のリセット以降の、 アクセス拒否の回数。 リセット間隔は 24 時間です。 前回ア ク セスが拒否 さ れたユーザー 1.3.6.1.4.1.4331.4.4.1.0 前回アクセスが拒否されたユーザー。 「user@realm」 の形式になります。 前回ア ク セスが拒否 さ れた リ ソ ース 1.3.6.1.4.1.4331.4.4.2.0 前回アクセスが拒否されたリソースの URL。 前回ア ク セスが拒否 さ れた時刻 1.3.6.1.4.1.4331.4.4.3.0 前回ユーザーのアクセスが拒否された日付と時刻。 ネ ッ ト ワー ク ト ン ネル サービ ス モ ジ ュ ール Aventail の NG サーバー モジュールの OID では、 ネットワーク トンネル サービスのステータスに関する情報が提供 されます。 項目 OID 説明 NG サーバーの状態 1.3.6.1.4.1.4331.5.1.0 ネットワーク トンネル サービスの現在の状態 : 「Active」、 「Down」、 「Crashed」 のいずれか。 ク ラ イアン ト ア ド レス プールの数 1.3.6.1.4.1.4331.5.2.0 ネットワーク トンネル サービスに割り当てられているクラ イアント アドレス プールの数。 ク ラ イアン ト ア ド レス プール範囲テーブル 1.3.6.1.4.1.4331.5.3.0 現在アクティブな IP アドレス プールの数とその IP アドレ ス範囲を示すテーブル。 ク ラ イアン ト ア ド レス プール エ ン ト リ 1.3.6.1.4.1.4331.5.3.1 現在アクティブな IP アドレス プールの数。 ク ラ イアン ト ア ド レス プール ID 1.3.6.1.4.1.4331.5.3.1.1 IP アドレス プールに割り当てられている ID 番号。 ク ラ イアン ト ア ド レス プール利用率 1.3.6.1.4.1.4331.5.3.1.2 クライアント アドレス プールから発行されている仮想 IP アドレス (VIP) の割合。 ク ラ イ ア ン ト IP ア ド レ ス プール開始範囲 1.3.6.1.4.1.4331.5.3.1.3 クライアント IP アドレス プール範囲の最初の IP アドレ ス。 ク ラ イアン ト ア ド レス プール終了範囲 1.3.6.1.4.1.4331.5.3.1.4 クライアント IP アドレス プール範囲の最後の IP アドレ ス。 NG SLL ト ン ネルの数 1.3.6.1.4.1.4331.5.4.0 アクティブ ネットワーク トンネルの総数。 SSL ト ンネル テーブル 1.3.6.1.4.1.4331.5.5.0 ネットワーク トンネル統計を示すテーブル。 1.3.6.1.4.1.4331.5.5.1.1 ネットワーク トンネル セッションに割り当てられている ID 番号。 SSL ト ンネル ユーザー 1.3.6.1.4.1.4331.5.5.1.2 ネットワーク トンネル セッションに対応するユーザー名。 SSL ト ン ネル ID SSL ト ン ネル VIP 1.3.6.1.4.1.4331.5.5.1.3 ネットワーク トンネル セッションに対応する仮想 IP アドレ ス (VIP)。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 149 項目 OID 説明 ト ン ネルあた り の フ ロー数 1.3.6.1.4.1.4331.5.5.1.4 ネットワーク トンネル セッションのデータ フローの数。 SSL ト ン ネル ア ッ プ タ イム 1.3.6.1.4.1.4331.5.5.1.5 ネットワーク トンネル セッションのアップタイム統計。 その他の SNMP デー タ SNMP を使用して標準 MIB ファイルから取得可能な、 アプライアンスに関するその他の情報を、 次に示します。 項目 OID 説明 サービ ス ス テー タ ス 1.3.6.1.4.1.2021.2 次のいずれかのサービスのステータスをチェックします。 戻りデータは、 次のプロセス名になります。 プロセス ス テータスが 「非動作」 としてリストされている場合、 エラー が出されます。 • socks5d ( ネットワーク プロキシ サービス ) • apache2 (Web プロキシ サービス ) • • logserver ( ログ サーバー ) syslog-ng (syslog) • policyserver ( ポリシー サーバー ) デ ィ ス ク 容量の可用性 1.3.6.1.4.1.2021.9 「/」、 「/var/log」、 「/upgrade」 の各パーティションに ついて、 ディスク容量の可用性をチェックします。 いずれ かのパーティションのディスク容量が 10MB 以下になって いる場合、 エラーが出されます。 負荷平均チ ェ ッ ク 1.3.6.1.4.1.2021.10 1 分、 5 分、 15 分間隔で負荷平均をチェックします。 負 荷平均が 1 分間隔で 12 以上、 5 分間隔および 15 分 間隔で 14 以上の場合、 エラーが出されます。 ソ フ ト ウ ェ アの バージ ョ ン番号 1.3.6.1.4.1.2021.50 ASAP システム ソフトウェアの現在のバージョンをチェック します。 シ ス テム名 1.3.6.1.2.1.1.1.0 システムの名前をチェックします。 150|第 7 章 - シ ス テム管理 バ ッ ク ア ッ プ、 リ ス ト ア、 システム更新 このアプライアンスには、 構成設定のバックアップ、 ソフトウェアのパッチ当てとアップグレード、 構成の以前のバージョ ンのリストアなどを行うためのコマンド ライン管理ツールが多数用意されています。 これらのツールは、 構成ファイルの バックアップとリストアを管理するツール、 およびシステム ソフトウェアのパッチ当て、 アップグレード、 ロールバック、 リ セットを行うツールの 2 つのグループに分けることができます。 次の表では、 これらのツールをまとめており、 ツールの 使用法についてもあわせて解説しています。 構成ファイルのバックアップとリストアを管理する場合は、 次のツールを使用します。 これらの構成ファイルには、 AMC 内で構成する情報 ( たとえば、 証明書、 IP アドレス、 リソース定義、 ユーザーおよびユーザー グループ、 アクセス 制御ルールなど ) がすべて含まれます。 ツール 目的 Config Backup Tool 現在の構成ファイルをバックアップします。 Config Restore Tool 1 つまたは複数の構成ファイルの以前のバージョンをリストアします。 Config Compare Tool バックアップ構成ファイルを現在の構成ファイルと比較します。 Config Reset Tool 構成ファイルを工場出荷時のデフォルトにリセットします。 コマンド ライン ツールを使用して構成をバックアップおよびリストアする場合、 AMC を使用して構成をインポートおよび エクスポートすることもできます。 詳細については、 150 ページの 「AMC による構成のインポートおよびエクスポート」 を参照してください。 アプライアンス システム ソフトウェアのパッチ当て、 アップグレード、 ロールバックを行う場合は、 次のツールを使用しま す。 ツール 目的 Update Tool システム ソフトウェアの既存のバージョンにパッチを当てます。 また、 新 しいバージョンへのアップグレードも行います。 Rollback Tool システム ソフトウェアを、 パッチまたはアップグレードの直前の状態に ロールバックします。 Factory Reset Tool アプライアンスを、 ベンダーから購入したときの状態にリストアします。 こ のツールは最後の手段として使用します。 構成フ ァ イルのバ ッ ク ア ッ プ と リ ス ト ア アプライアンスの構成ファイルは、 いつでもバックアップすることができます。 システムを頻繁に変更している場合や前の 構成を維持しておきたい場合など、 バックアップを頻繁に行うようにすると良いでしょう。 バックアップ ファイルを使用す れば、 アプライアンスの構成を完全に前の状態にリストアできるだけでなく、 単一のファイルのみをリストアすることもでき ます。 この方法を利用することにより、 複数のアプライアンスで同じアクセス ポリシーを使用することもできます。 ファイ ル比較ツールを使用すると、 バックアップ ファイルを現在の構成ファイルと比較することができます。 Aventail アプライアンスでは、 構成をバックアップおよびリストアするとき、 2 種類の方法で行うことができます。 1 つは AMC のインポート / エクスポート機能を使用する方法で、 もう 1 つはコマンド ライン ユーティリティの Backup Tool お よび Config Restore Tool を使用する方法です。 AMC のインポート / エクスポート機能の方が便利ではありますが、 コマンド ライン ツールの方が堅牢です。 AMC によ る構成のイ ンポー ト およびエ ク スポー ト AMC を使用すれば、 あるアプライアンスから現在の構成をエクスポートして、 この構成のすべてまたは一部を他のアプ ライアンスにインポートすることができます。 これは、 コマンド ライン ツールの Backup Tool および Config Restore Tool の機能に似ていますが、 AMC の場合、 Backup Tool および Config Restore Tool などでバックアップ、 リス トアしたデータのサブセットのみをインポートしたりエクスポートしたりすることができるため、 AMC の方が便利です。 154 ページの 「Backup Tool による現在の構成のバックアップ」 および 155 ページの 「Config Restore Tool による構 成ファイルのリストア」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 151 次の表では、 インポートおよびエクスポートできるデータのタイプを、 AMC のインポート / エクスポート機能を使用した場 合と、 コマンド ライン ツールの Backup Tool および Config Restore Tool の機能を使用した場合とで比較していま す。 AMC コマンド ライン ツール アクセス ポリシー x x 証明書 x x ASAP WorkPlace のカスタマイズ データ x x ノード固有のネットワーク設定 x x 構成項目 OnDemand 構成ファイル x 手作業で編集した構成ファイル x AMC によ る現在の構成のエ ク スポー ト AMC インタフェースを使用して、 単一の Aventail Export Archive (.aea) ファイルの現在の構成をエクスポートする ことができます。 AMC で生成された構成データのみがエクスポートされ、 手作業で編集した構成ファイルはエクスポー トされません。 次の表では、 エクスポートされるファイルに含まれる構成データのタイプをまとめています。 構成を部分的 にエクスポートすることはできません。 エクスポートされたファイルには、 すべての構成データが含まれます。 構成データのタイプ 説明 アクセス ポリシー ルール、 リソース、 ユーザー、 グループ、 ASAP WorkPlace ショート カット、 EPC 署名、 ゾーンが含まれます。 証明書 証明書、 秘密鍵、 証明書パスワードが含まれます。 ASAP WorkPlace のカスタマイズ データ 一般的な表示設定、 カスタム コンテンツ、 カスタム テンプレートが含まれ ます。 ネットワーク固有の設定 ホスト名、 IP アドレス、 デフォルト ルート情報、 DNS 設定が含まれます。 現在保存されている構成データのみがエクスポートされます。 まだ適用していない保留中の変更はエクスポートされませ ん。 保留中の変更をエクスポートしたい場合は、 構成を適用してからエクスポートしなければなりません。 この特徴は、 保存済みの構成を、 新しい変更の適用前にエクスポートしたい場合などに、 活用することができます。 152|第 7 章 - シ ス テム管理 X AMC を使用 し て現在の構成を エ ク スポー ト するには 1. メイン ナビゲーション メニューから [Maintenance] をクリックします。 この操作により、 [Maintenance] ページが表示されます。 2. [System configuration] エリアの [Import or export] セクションで、 [Import/Export] をクリック します。 この操作により、 [Import/Export] ページが表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 153 3. [Export] をクリックします。 この操作により、 [Export Configuration] ページが表示されます。 [File Download] ダイアログ ボックスで、 asap.aea を開くかこれをハード ディスクに保存するよう求められます。 4. [Save] をクリックして、 正しいディレクトリをブラウズします。 ここで設定したディレクトリに asap.aea ファイルが 保存されます。 5. [Export] ページで [OK] をクリックします。 この操作により、 [Import/Export] ページに戻ります。 AMC によ る構成のすべてまたは一部のイ ンポー ト AMC インタフェースを使用して、 構成のすべてまたは一部をインポートすることができます。 これは、 コマンド ライン Config Restore Tool による構成のリストアに似ていますが、 AMC の場合、 Config Restore Tool のように、 構成 データ全体をインポートすることはありません。 インポートするファイルは、 ASAP Platform の現在のバージョンと互換性がなければなりません。 同じ major.minor バージョンの構成は、 他の構成と互換性があります。 たとえば、 ASAP Platform v7.0.1 ファイルは、 既存の ASAP Platform v7.0.2-1.3 構成にインポートすることができます。 次の表では、 既存の AMC 構成にインポートできるデータのタイプをまとめています。 構成データのタイプ 説明 構成の一部 • ア ク セス ポ リ シー : ルール、 リソース、 ユーザー、 グループ、 ASAP WorkPlace ショートカット、 EPC 署名、 ゾーンが含まれます。 • 証明書 : 証明書、 秘密鍵、 SSL で保護された LDAP サーバーのパ スワード、 SSL で保護されたバックエンド Web サーバーのルート証 明書が含まれます。 • ASAP WorkPlace のカ ス タ マ イ ズ デー タ : 一般的な表示設定、 カスタム コンテンツ、 カスタム テンプレートが含まれます。 • すべての部分構成データ ( 上記参照 )。 • 証明書 : 証明書、 秘密鍵、 AMC のパスワード、 アプライアンス証 明書が含まれます。 • Network-specific settings: Includes host names, IP addresses, default route information, and DNS settings. 構成のすべて X AMC を使用 し て構成のすべて または一部を イ ンポー ト するには 1. メイン ナビゲーション メニューから [Maintenance] をクリックします。 この操作により、 [Maintenance] ページが表示されます。 2. [System configuration] エリアの [Import or export] セクションで、 [Import/Export] をクリック します。 この操作により、 [Import/Export] ページが表示されます。 3. [Import] エリアで、 インポートしたい構成データのタイプを指定します。 • [Partial configuration] : [Access policy]、 [Certificates]、 [ASAP WorkPlace customizations] チェック ボックスを組み合わせて選択します。 • [Entire configuration] : アクセス ポリシー、 証明書、 ASAP WorkPlace のカスタマイズ データ、 ノード固有およびネットワーク固有の設定をすべてインポートするとき、 これをクリックします。 4. [Configuration file] ボックスに適切な asap.aea ファイルのパスを入力するか、 [Browse] をクリックし て、 適切なファイルをブラウズします。 5. [Import] をクリックします。 154|第 7 章 - シ ス テム管理 6. インポートした構成を有効にするには、 変更を適用しなければなりません。 29 ページの 「構成変更の適用」 を 参照してください。 メモ • ローカル ユーザー アカウントは、 AMC ではバックアップもリストアもできません。 その場合は、 コマンド ライン Backup Tool を使用することができます。 • インポートが失敗した場合、 /var/log/aventail/management.log ファイルで詳細について調べることができま す。 • AMC で他の構成変更を保留している状態で、 構成をインポートすると、 保留中の変更が上書きされてしまいます。 Backup Tool によ る現在の構成のバ ッ ク ア ッ プ アプライアンスに搭載されているコマンド ライン Backup Tool を使用すると、 次のような、 アプライアンスの重要なファ イルをバックアップすることができます。 • Aventail サービスの構成ファイル • • ネットワーク設定 アクセス制御ルール • ログ ローテーション設定 • サーバー証明書、 鍵、 パスワード • ローカル ユーザー アカウント バックアップ ファイルは、 圧縮された tar ファイル ( デフォルトの場合、 /var/backups/cfgback.tgz) に保存されま す。 特にシステムを何度もカスタマイズするような場合は、 システムを定期的にバックアップすることが推奨されます。 X 構成をバ ッ ク ア ッ プする には 1. SSH またはシリアル接続を使用してアプライアンスに接続し、 「root」 としてログインします。 2. 「config_backup」 と入力し、 次のようなオプション パラメータを続けます。 config_backup [-t tarfile] [-q] [-d debuglevel] [-h] パラメータ 説明 -t tarfile 構成をバックアップするファイルを指定します。 このパラメータは、 デフォルト ファイル (/var/backups/cfgback.tgz) と異なるバックアップ ファイルに バックアップする場合に限って必要になります。 リストア プログラムは通常、 リストアの際にデフォルト ファイルを検索するた め、 このパラメータはセットしない方が良いでしょう。 -q 確認プロンプトをオフにします ( バックアップを 「静かに (quiet)」 行う )。 通常であれば、 既存のバックアップ ファイルを上書きするか尋ねられます。 -d debuglevel バックアップ操作の際に表示する情報の量を指定します。 debuglevel には 「0」 から 「10」 までの整数を指定します。 情報を表示しない場合は 「0」、 すべての情報を表示する場合は 「10」 を指定します。 デフォルトは 「1」 ( 標準的な情報量 ) です。 -h 使用可能なパラメータを示すヘルプ リストを表示します。 Backup Tool を実行したら、 システムの構成ファイルが、 上記で指定した名前とロケーションのバックアップ ファイルに 保存されます。 同じロケーションにバックアップ ファイルがすでに存在する場合は、 上書きしても良いか尋ねられます (q パラメータを使用していない場合 )。 メモ • Update Tool を使用して新しいシステム アップデートをインストールした場合、 構成が自動的にバックアップされ ます。 その場合、 管理者が手作業で作成したバックアップは上書きされません。 • 安全性を高めたい場合は、 scp などのプログラムを使用して .tgz ファイルをアプライアンスから別のロケーション、 たとえばネットワーク上のドライブやリムーバブル ディスクなどにコピーします。 • Backup Tool をスクリプトに追加することにより、 バックアップを自動化することができます。 その場合、 -q パラ メータを使用して、 確認プロンプトが出ないようにします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 155 Config Restore Tool によ る構成フ ァ イルの リ ス ト ア 変更によって構成に問題が発生した場合など、 バックアップ ファイルを使用してリストアすることができます。 アプライア ンスに搭載されているコマンド ライン Config Restore Tool を使用すると、 構成のすべて、 または単一のファイルのみ をリストアすることができます。 構成ファイルをリストアする前に、 バックアップ ファイルと、 システム上の現在のファイルを比較することができます。 詳 細については、 156 ページの 「バックアップ ファイルとシステム上のファイルとの比較」 を参照してください。 ! X 注意 システム ソフトウェアの以前のメジャー バージョン、 マイナー バージョン、 マイクロ バージョンから構成ファ イルをリストアしないでください。 メジャー / マイナー / マイクロ バージョンのアップデートの際には、 構成ファイ ルの定義方法が変更されている場合もあります。 古い構成ファイルでは、 新しいバージョンと定義方法が異なる ために、 アプライアンスが正常に動作しなくなることがあります。 たとえば、 システムをバージョン 7.1.0 以降に アップグレードしており、 バージョン 7.0.0 の構成ファイルをリストアした場合、 システムが非互換であるため問題 が発生します。 そのため、 必ず Config Restore Tool を使用して、 現在システム上にあるものと同じメジャー / マイナー / マイクロ バージョンの構成ファイルをリストアするようにします。 ただし、 メジャー / マイナー / マイクロ バージョンが同じであれば、 パッチを当てているバージョンから構成ファイルをリストアしても問題はありません ( たとえば、 アプライアンスでバージョン 7.1.0-1.6 が動作している場合、 7.1.0-1.2 の構成ファイルをリストアし てもかまわないが、 7.0.0-1.8 の構成ファイルは使用できない )。 構成 フ ァ イルをバ ッ ク ア ッ プ フ ァ イルか ら リ ス ト アするには 1. 「root」 としてアプライアンスにログインします。 2. 「config_restore」 と入力し、 次のようなオプション パラメータを続けます。 config_restore [-f filename] [-t tarfile] [-q] [-d debuglevel] [-h] パラメータ 説明 -f filename リストアするファイルを指定します。 バックアップ ファイルのすべての構成ファ イルではなく、 単一のファイルのみをリストアする場合は、 このプログラムを 使用します。 バックアップ ファイルのリストについては、 /var/backups を 参照してください。 -t tarfile 構成をリストアするファイルを指定します。 このパラメータは、 デフォルト ファ イル (/var/backups/cfgback.tgz) 以外のバックアップ ファイルからリスト アする場合のみ必要になります。 -q 確認プロンプトをオフにします ( リストアを 「静かに (quiet)」 行う )。 通常 であれば、 ファイルをリストアするか尋ねられます。 -d debuglevel リストア操作の際に表示する情報の量を指定します。 debuglevel には 「0」 から 「10」 までの整数を指定します。 情報を表示しない場合は 「0」、 すべての情報を表示する場合は 「10」 を指定します。 デフォルトは 「1」 ( 標準的な情報量 ) です。 -h 使用可能なパラメータを示すヘルプ リストを表示します。 本当にリストアして良いか確認を求められます (-q パラメータを使用していない場合 )。 その後、 Config Restore Tool が、 指定されたバックアップ ファイルからすべての構成ファイル (-f パラメータを使用している場合は指定したファイルの み ) をコピーします。 同じ構成ファイルがすでに存在している場合は、 これを上書きします。 メモ • バックアップ ファイルが見つからない場合、 「it requires a backup file to run」 というエラーが表示されます。 システムは、 154 ページの 「Backup Tool による現在の構成のバックアップ」 の手順を使用して、 手作業でバッ クアップすることもできます。 156|第 7 章 - シ ス テム管理 工場出荷時デフ ォル ト 構成への復帰 場合によっては、 工場出荷時デフォルト構成をリストアしたい場合も出てきます。 たとえば、 アプライアンスを異なる環境 に移動し構成変更を何度も行うような場合、 アプライアンスをデフォルト設定に戻して、 ゼロからやり直す方が便利なこと もあります。 工場出荷時デフォルト構成をリストアする場合は、 Config Reset Tool というコマンド ライン ユーティリティ を実行します。 ! 注意 Config Reset Tool を実行すると、 既存のシステム構成データがすべて削除されます。 構成をバックアッ プからリストアしたい場合は必ず、 バックアップ ファイルをあらかじめ他のシステムにコピーしておいてください。 X 工場出荷時デ フ ォ ル ト 構成へ復帰する には 1. (SSH またはシリアル接続を使用して ) アプライアンスに接続し、 「root」 としてログインします。 2. 「config_reset」 と入力し、 Config Reset Tool を実行します。 3. デフォルト設定に戻して良いか確認するプロンプトが表示されます。 Reset the appliance configuration to factory defaults? (n) 「y」 を押して ENTER キーを押します。 この操作により、 変更が保存されます。 4. アプライアンスを再起動するかシャットダウン ( 停止 ) するか尋ねるプロンプトが表示されます。 再起動のときは 「r」、 停止のときは 「h」 を押します。 システムを再起動すると、 起動時にログイン プロンプトが表示されます。 5. Setup Tool をもう一度実行してネットワークを構成します。 21 ページの 「Setup Tool の実行」 を参照してくだ さい。 バ ッ ク ア ッ プ フ ァ イルと システム上のフ ァ イルと の比較 バックアップ ファイルを、 現在システム上にあるファイルと比較することができます。 これは、 どのファイルが異なるか調 べる場合や、 ファイル間の差を詳細に調べる場合 ( ただしテキスト ファイルのとき ) などに使用すると便利です。 X バ ッ ク ア ッ プ フ ァ イル と 現在の構成を比較する には 1. (SSH またはシリアル接続を使用して ) アプライアンスに接続し、 「root」 としてログインします。 2. 「config_compare」 と入力し、 次のようなオプション パラメータを続けます。 config_compare [-s] [-f filename] [-t tarfile] [-d debuglevel] [-h] パラメータ 説明 -s システム上のファイルとバックアップ ファイルとの差を詳細に表示します。 こ れは、 「diff」 コマンドの場合と似ています。 テキスト ファイルの場合、 ファ イルの違いを行単位で比較することができます。 Compare Tool でバイナリ ファイルを比較した場合、 ファイルが異なってい ることのみが示されます。 -f filename 同名のバックアップ ファイルと比較するファイルを指定します ( このパラメータ を使用するとバックアップ ファイルの他のファイルは比較されなくなる )。 バッ クアップ ファイルのリストについては、 /var/backups を参照してください。 2 つのテキスト ファイルを比較している場合、 このパラメータを -s パラメータ と一緒に使用します。 こうすることで、 ファイル間の違いが詳細に表示され ます。 -t tarfile ファイルと比較するバックアップ ファイルを指定します。 このパラメータは、 システム ファイルを、 デフォルト ファイル (/var/backups/cfgback.tgz) 以外のバックアップ ファイルと比較する場合のみ必要になります。 -d debuglevel リストア操作の際に表示する情報の量を指定します。 debuglevel には 「0」 から 「10」 までの整数を指定します。 情報を表示しない場合は 「0」、 すべての情報を表示する場合は 「10」 を指定します。 デフォルトは 「1」 ( 標準的な情報量 ) です。 -h 使用可能なパラメータを示すヘルプ リストを表示します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 157 Config Compare Tool によって、 バックアップ ファイルのどのファイルが、 現在の構成ファイルと異なるかを示すレ ポートが生成されます (-f パラメータを使用して単一ファイルをバックアップと比較している場合を除く )。 また、 現在の 構成からなくなっているファイルが存在する場合も通知されます。 -s パラメータを使用すると、 テキスト ファイル間の違いが詳細に表示されます。 それぞれの違いの詳細を確認した後、 ENTER キーを押すよう求められます。 システムへのパ ッ チ当て、 ア ッ プグレー ド 、 ロールバ ッ ク、 リ セ ッ ト Aventail では、 サーバーに新しい機能を追加したり既存の問題に対応したりする目的で、 システム アップデートを定 期的に提供します。 システム アップデートは圧縮済みの .bin ファイルで、 パッチまたはアップグレードの形式になりま す。 パッチは、 特定バージョンに存在する問題に対応するもので、 通常は、 元のバージョンから変更されたファイルの みが含まれます。 アップグレードには、 新しいバージョンのソフトウェアが含まれますが、 個々のファイルが含まれる代 わりに、 フル イメージの形式になっています。 アップデートは、 コマンド ライン Update Tool を使用して、 システムにインストールすることができます。 このツールは、 シリアル コンソールから実行するか、 AMC インタフェースを使用して実行します。 アップデートをインストールした後、 必要であれば、 AMC またはコマンド ライン Rollback Tool を使用して、 前のバージョンにロールバックすることもでき ます。 システムの現在のバージョンを表示するときは、 メイン ナビゲーション メニューから [System Status] をクリックしま す。 詳細については、 140 ページの 「アプライアンスの監視」 を参照してください。 システム ア ッ プデー ト のダウン ロー ド システム アップデート ( パッチおよびアップグレード ) は、 Aventail Web サイトのサポート ページに置かれています。 このエリアにアクセスするには、 アカウントを作成し、 ユーザー名とパスワードを受け取る必要があります。 サポート アカ ウントを取得する方法については、 チャネル パートナーまたは Aventail の営業マンにお問い合わせください。 アカウ ントを取得すると、 新しいアップグレードが公開されるたびに電子メールで定期的に通知されます。 X シ ス テム ア ッ プデー ト を ダウ ン ロー ド するには 1. Aventail Web サイトのサポート ページ ( http://aventailassurance.aventail.com) にログインします。 2. [Downloads] エリアに進み、 お使いのアプライアンスに対応するセクションを参照してください。 3. インストールするアップデートをダウンロードします。 また、 アップデート ファイルと一緒に .md5 ファイルもダウン ロードします。 それぞれのシステム アップデートは、 圧縮済みの .bin ファイルになっており、 同じ名前に .txt 拡張子が付いた リリース ノート ファイルが付属しています。 このアップデートでどのような変更が行われるか確認するときは、 リリー ス ノートを参照してください。 アップデート ファイルの命名規則については、 次の節を参照してください。 4. scp を使用して、 アップデートをアプライアンスの /upgrade ディレクトリに転送します。 ア ッ プデー ト フ ァ イルの命名規則 upgrade_<major>_<minor>_<micro>_<build>.bin 名前 説明 major このアップデートのメジャー リリース番号。 この番号のみが存在する場合、 このリリースには、 重要な新しい機能とバグ フィックスが含まれていることになります。 また同時に、 システム全体 のフル イメージが含まれていることになります。 minor このアップデートのマイナー リリース番号。 バージョン番号にメジャー番号とマイナー番号のみ が含まれている場合、 このリリースには、 追加機能とバグ フィックスが含まれていることになり ます。 また同時に、 システム全体のフル イメージが含まれていることになります。 micro このアップデートのマイクロ リリース番号。 バージョン番号にメジャー番号、 マイナー番号、 マ イクロ番号が含まれている場合、 このリリースには、 ごくわずかの追加機能とバグ フィックスが 含まれていることになります。 また同時に、 システム全体のフル イメージが含まれていることに なります。 build Aventail で使用される内部ビルド番号。 すべてのリリースにはビルド番号が含まれます。 158|第 7 章 - シ ス テム管理 䊜䉳䊞䊷 䊙䉟䉪䊨 upgrade_8_1_5_19.bin 䊙䉟䊅䊷 䊎䊦䊄 例 • upgrade_8_0_0_23.bin は、 アプライアンスを、 8.0 メジャー リリース ( ビルド 23) にアップグレードするもの です。 • upgrade_8_1_0_13.bin は、 アプライアンスを、 8.1 マイナー リリース ( ビルド 13) にアップグレードするもの です。 • upgrade_8_1_1_21.bin は、 アプライアンスを、 8.1.1 マイクロ リリース ( ビルド 21) にアップグレードするも のです。 • upgrade_8_1_5_19.bin は、 アプライアンスの 8.1.5 マイナー リリースにパッチを当てるものです。 このパッ チには、 前回のマイクロ リリース 8.1.5 から修正されたパッケージのみが含まれます。 このパッチをインストール する場合は、 システム上にバージョン 8.1.5 がなければなりません。 メモ • リリース ノートをダウンロードする必要はありません。 リリース ノートは、 アップデート ファイルに含まれており、 アッ プデートを実行すると、 /upgrade ディレクトリに展開されます。 ダウン ロー ド し た フ ァ イルの確認 アップデートをインストールする前に、 ファイルが正しくダウンロードされたか確認する必要があります。 X ダウ ン ロー ド し た フ ァ イルを確認する には 1. コマンド ラインから、 次のコマンドを入力します。 このコマンドにより、 ダウンロードしたファイルのチェックサムが 返されます。 md5sum <upgrade_filename>.bin 2. 対応する .md5 ファイル (Aventail Web サイトからダウンロードしたもの ) からチェックサムを抽出します。 cat <update-filename>.md5 3. 2 つのチェックサムを比較します。 この 2 つが一致した場合、 そのままアップデートを継続することができます。 それぞれで異なる場合、 再びダウンロードして、 同様の方法でチェックサムを比較します。 それでもチェックサム が一致しない場合は、 Aventail のテクニカル サポートにお問い合わせください。 コ マン ド ラ イ ンからのシステム ア ッ プデー ト のイ ンス ト ール システム アップデートをダウンロードしてアプライアンスにコピーしたら、 コマンド ラインを使用してインストールすることが できます。 この手順は、 バージョン アップグレードのインストールの他、 パッチにも使用することができます。 X シ ス テム ア ッ プデー ト を イ ン ス ト ールするには 1. SSH ( またはシリアル接続 ) を使用してアプライアンスに接続し、 「root」 としてログインします。 2. アップグレード ファイルをアプライアンスの /upgrade ディレクトリにコピーします。 3. 適切なアップグレード バージョン番号を指定し、 「/upgrade/upgrade_<version>.bin」 と入力します。 4. scp プログラムによっては、 転送後に元のファイル権限が引き継がれないものもあります。 「chmod +x upgrade_<version>.bin」 と入力して、 アップデート ファイルが実行可能になっていることを確認してくださ い。 5. アプライアンスを再起動します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 159 メモ • アプライアンスを再起動する前に、 バックアップを行うようにすると良いでしょう。 詳細については、 154 ページの 「Backup Tool による現在の構成のバックアップ」 を参照してください。 AMC によ るシステム ア ッ プデー ト のイ ンス ト ール AMC のアップデート機能を使用しても、 バージョン アップグレードやパッチをインストールすることができます。 X AMC を使用 し てシ ス テム ア ッ プデー ト を イ ン ス ト ールするには 1. AMC のメイン ナビゲーション メニューから [Maintenance] をクリックします。 この操作により、 [Maintenance] ページが表示されます。 2. [System configuration] エリアで [Update] をクリックします。 この操作により、 [Update] ページが表 示されます。 3. アップグレード ファイルやパッチ ファイルをまだダウンロードしていない場合は、 [Aventail Assurance Web site] リンクをクリックします。 この操作により、 対応するアップデート ファイルまたはパッチ ファイルがロー カル ファイル システムにダウンロードされます。 4. アップデート ファイルまたはパッチ ファイルのパスを入力するか、 [Browse] をクリックして、 適切なファイルを ブラウズします。 5. [Install Update] をクリックします。 ファイル アップロード ステータス インジケータが表示されます。 必要であ れば、 [Cancel] をクリックしてアップロード プロセスを停止することができます。 ファイル アップロード プロセスが完了したら、 アップデートがアプライアンスに自動的にインストールされます。 ただ し、 インストール プロセスはキャンセルすることができません。 160|第 7 章 - シ ス テム管理 インストール プロセスが完了したら、 アプライアンスが自動的に再起動します。 6. アプライアンスが再起動したら、 AMC にログインして、 AMC の [Home] ページで新しい ASAP Platform バージョン番号を確認します。 コ マン ド ラ イ ンからの以前のバージ ョ ンへのロールバ ッ ク Rollback Tool を使用すると、 システムにインストールしたシステム アップデートを最大 2 つまで取り消すことができま す。 アップデートの完了後、 問題が発生した場合は、 このツールを使用して、 問題がなかった状態までロールバックす ることができます。 Rollback Tool を実行するたびに、 最新のシステム アップデートが削除され、 そのアップデート前 のバージョンに復帰します。 ! 注意 システムをアップデートした後なんらかの構成変更を行っている場合、 Rollback Tool を使用すると、 この ような構成変更も消去されます。 X シ ス テム ア ッ プデー ト を取 り 消すには 1. SSH ( またはシリアル接続 ) を使用してアプライアンスに接続し、 「root」 としてログインします。 2. 「rollback_tool」 と入力します。 このコマンドにより、 Rollback Tool が最新のアップデートを削除します。 3. コマンド プロンプトが再び表示されたら、 「reboot」 と入力してアプライアンスを再起動します。 AMC によ る以前のバージ ョ ンへのロールバ ッ ク AMC からも、 システムにインストールした最新のアップデートを取り消すことができます。 アップデートの完了後、 問題 が発生した場合は、 この機能を使用して、 問題がなかった状態までロールバックすることができます。 ソフトウェア イメー ジのロールバックを行うたびに、 最新のシステム アップデートが削除され、 そのアップデート前のバージョンに復帰しま す。 ! 注意 システムをアップデートした後なんらかの構成変更を行っている場合、 ソフトウェア イメージのロールバック により、 このような構成変更も消去されます。 X AMC を使用 し て前のバージ ョ ンにロールバ ッ ク するには 1. AMC のメイン ナビゲーション メニューから [Maintenance] をクリックします。 この操作により、 [Maintenance] ページが表示されます。 2. [System configuration] エリアで [Rollback] をクリックします。 この操作により、 [Rollback] ページ が表示されます。 3. [Rollback] ページに表示されているバージョンにロールバックするときは [OK] をクリックします。 ロールバック プロセスが完了したら、 アプライアンスが自動的に再起動し、 変更が適用されます。 4. アプライアンスが再起動したら、 AMC の [Home] ページで新しい ASAP Platform バージョン番号を確認しま す。 工場出荷時 リ セ ッ ト の実行 工場出荷時リセットを実行すると、 アプライアンスが、 最初の購入時の状態に戻ります。 Factory Reset Tool を実行 すると、 アプライアンス購入後に実行、 作成したすべてのアップデートおよび構成ファイルが消去されます。 たとえば、 元のアプライアンスにバージョン 7.0.0 が搭載されていた場合、Factory Reset Tool を実行すると、バージョン 7.0.0 に復帰し、 アプライアンス上でインストール、 作成したすべてのアップデート、 構成ファイル、 ログ ファイルなどが消去 されます。 このツールを使用すべき状況として、 次の 2 つの場合があります。 • マシンを完全にきれいな状態にして、 別の場所で再利用したい場合。 • アプライアンスが、 取り返しの付かない状態になった場合。 この場合は、 Aventail のテクニカル サポートにお問 い合わせの上、 この問題を解決するための方法が他にないか確認してください。 Factory Reset はあくまでも、 アプライアンスを動作可能な状況に復帰させるための最後の手段として使用します。 X ア プ ラ イ ア ン ス を元の工場出荷時の状態に戻すには 1. シリアル コンソールで、 「root」 としてアプライアンスにログインします。 2. 「factory_reset」 と入力します。 構成ファイルをバックアップするよう促すメッセージが表示されます。 その 後、 アプライアンスを再起動します。 3. 「reboot」 と入力して、 アプライアンスを再起動します。 リセットが完了したら、 次のようなプロンプトが表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 161 Debian GNU/Linux 3.0 SSL-VPN ttyS1 SSL-VPN login: 4. ! 「root」 としてログインすると、 Setup Tool が自動的に動作を開始します。 注意 特に、 取り返しの付かない状態から問題がなかった状態に戻すために Factory Reset Tool を実行する場 合、 このツールを実行する前に、 Aventail のテクニカル サポートにお問い合わせの上、 この問題を解決する ための方法が他にないか確認してください。 SSL 暗号化 アプライアンス上のすべてのトラフィックでデータのセキュリティを保証するため、 暗号が使用されます。 ネットワーク トラ フィックを SSL で保護するには、 最低でも 1 つのサイファを使用するよう構成しなければなりません。 セキュリティ効果 とパフォーマンスのバランスをよく考え、 使用可能なものの中から 「最上の」 サイファを選択します ( パフォーマンスより セキュリティに重点を置くこと )。 SSL では軽度の攻撃についてある程度保護することができますが、 一般的には、 ユーザーの必要性に合った強力なサ イファを許可するようサーバーを構成する必要があります。 サイファには次のようなものがあります。 最も優れたものから 順に並んでいます。 • • 256 ビット AES、 SHA-1 128 ビット AES、 SHA-1 • 128 ビット RC4、 MD5 • 128 ビット RC4、 SHA-1 • トリプル DES、 SHA-1 • 56 ビット RC4、 MD5 • 56 ビット DES、 SHA-1 • 40 ビット RC4、 MD5 • 40 ビット DES、 SHA-1 ( ネットワーク プロキシ サービスでのみ使用可 ) SSL 暗号化の構成 このアプライアンスでは、 SSL 暗号化などの暗号アルゴリズム ( つまりサイファ) を使用して、 データ転送を保護します。 アプライアンスの暗号化設定を構成するときは、 ネットワーク トラフィックを保護するため、 最低でも 1 つのサイファを SSL と組み合わせて使用できるようにします。 通常、 ほとんどのインストールの場合、 デフォルト設定で間に合います。 162|第 7 章 - シ ス テム管理 X SSL 暗号化設定を構成するには 1. メイン ナビゲーション メニューから [SSL Settings] をクリックして、 [SSL Encryption] タブをクリックしま す。 2. トラフィックの暗号化に使用する転送プロトコルを選択します。 • FIPS 140-2 準拠の暗号を許可する場合、 [Use only US government-recommended encryption] チェック ボックスを選択します。 このオプションを選択すると、 TLS v1 プロトコルのみを使 用するようアプライアンスが構成され、 FIPS 準拠のサイファのみが有効になります。 • TLS v1 転送プロトコルのみを使用するようアプライアンスを構成する場合、 [Use TLS v1 protocol only] を選択します。 • SSL v3 転送プロトコルのみを使用するようアプライアンスを構成する場合、 [Use SSL v3 protocol only] を選択します。 • SSL v3 および TLS v1 転送プロトコルを使用するようアプライアンスを構成する場合、 [Use both protocols] を選択します。 3. SSL 接続でアプライアンスのアクセス サービス (Web プロキシ、 ネットワーク プロキシ、 ネットワーク トンネル ) が受け付けるサイファを選択します。 4. [Save] をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 163 ソ フ ト ウ ェ ア ラ イ センス この節では、 アプライアンス コンポーネントのソフトウェア ライセンスを管理する方法について説明します。 Aventail ア プライアンスでは、 次の 2 種類のライセンスを使用します。 • ベース ア プ ラ イ ア ン ス ラ イ セ ン ス : このライセンスは、同時ユーザーの数を監視し遵守するときに使用します。 デフォルトの場合、 同時アクティブ ユーザーの制限を超えると、 アクティブ ユーザーの数がライセンス済みのユー ザー制限を下回るまで、 ユーザー アクセスが制限を受けることになります。 ただし、 ライセンス契約によっては、 一定数のユーザー セッションに限り、 制限を超えることが認められます ( グ レース カウント )。 その場合、 ユーザー アクセスは許可されますが、 過剰な使用についてはロギングされます。 ただし、 アクティブ ユーザー数がこのグレース カウントを超えた場合、 アクティブ ユーザーの数がグレース カウン トを下回るまで、 ユーザー アクセスが制限を受けます。 ユーザー アクセスが制限を受けた場合、 ユーザーが VPN にログインしようとすると、 ライセンス数が超えているた めネットワークへのアクセスが拒否されたことを示すエラー メッセージが表示されます。 • コ ンポーネ ン ト ラ イ セ ン ス : 特定のアプライアンス コンポーネント ( たとえば Aventail OnDemand) のライセ ンスの有効期限が切れた場合、 ユーザーがそのコンポーネントを使おうとすると、 ASAP WorkPlace でエラー メッ セージが表示されます。 Aventail アプライアンスには、 1,000 人のユーザーの同時使用を 3 日間サポートするデフォルト ライセンスが付属し ています。 この 3 日間を過ぎてもアプライアンスを使い続ける場合は、 有効なライセンス ファイルをアップロードしなけ ればなりません。 ラ イ センスの詳細の表示 AMC では、 ベース アプライアンス ライセンスの他、 Aventail OnDemand や Aventail Connect など、 他に購入 しているアプライアンス コンポーネントのライセンスについて、 そのステータスを参照できるようになっています。 この節で は、 ライセンスのステータスを表示する方法について説明します。 X ラ イ セ ン スの詳細を表示するには 1. メイン ナビゲーション メニューから [General Settings] をクリックして、 [Licensing] タブをクリックします。 この操作により、 [Licensing] ページが表示されます。 2. 表示されるデータを確認します。 • [Product name] には、 ライセンスが適用される Aventail アプライアンスのタイプが表示されます。 • [License holder] には、 アプライアンスがライセンスされるエンティティの名前が表示されます。 • [Maximum concurrent users] には、 ベース アプライアンス ライセンスで許可されている同時ユー ザー セッションの最大数が表示されます。 1 つの同時ユーザーは、 単一 IP アドレスからの単一ログインに 相当します。 ユーザーは、 ログオフした時点またはクレデンシャルの期限が切れた時点でカウント対象から 外されます。 • [Component] および [License type] には、 個別のソフトウェア コンポーネント ライセンスの詳細が 表示されます。 ライセンスが一時ライセンスまたは評価版ライセンスの場合、 有効期限も表示されます。 ライ センスの有効期限が近づいている場合、 またはライセンスの有効期限が切れた場合、 このエリアまたは AMC ステータス エリアに警告メッセージが表示されます。 164|第 7 章 - シ ス テム管理 ラ イ センスの管理 この節では、 ライセンス ファイルをアプライアンスにインポートする方法と、 アプライアンスから有効期限切れのライセン スを削除する方法について説明します。 (Aventail OnDemand、 Aventail Connect、 Aventail Secure Desktop などの ) 一部のコンポーネントの場合、 個別に購入しなければなりません。 これらのコンポーネントを購入すると、 ソフトウェア ライセンス ファイルを受け取ること になります。 これらのコンポーネントを有効にする前に、 AMC を使用して、 有効なライセンス ファイルをアップロードし なければなりません。 追加のコンポーネントを購入する方法については、 Aventail チャネル パートナーにお問い合わ せください。 また、 たとえばアプライアンスの購入を決定した後、 評価版ライセンスを永続ライセンスで置換する場合などは、 ベース アプライアンス ライセンス ファイルをインポートする必要もあります。 ! 注意 ライセンス ファイルをインポートするとき、 アプライアンスの日付と時刻の設定が時間帯に合わせて正しく構 成されていることをあらかじめ確認してください。 システム クロック設定の構成の詳細については、 124 ページの 「時刻設定の構成」 を参照してください。 X ラ イ セ ン ス フ ァ イルを イ ンポー ト するには 1. メイン ナビゲーション メニューから [General Settings] をクリックして、 [Licensing] タブをクリックします。 この操作により、 [Licensing] ページが表示されます。 2. [Import License] をクリックします。 この操作により、 [Import License File] ページが表示されます。 3. [License file] ボックスにライセンス ファイルのパスを入力するか、 [Browse] をクリックして、 適切なファイル をブラウズします。 4. [Save] をクリックします。 有効期限切れのラ イ センス コ ンポーネン ト の削除 有効期限切れのコンポーネント ライセンスは、 アプライアンスから削除することができます ( たとえば、 評価版ライセンス を発行されたコンポーネントを購入しない場合 )。 有効期限切れのライセンスを更新する場合は、 Aventail チャネル パートナーにお問い合わせの上、 新しいライセンス ファイルを受け取ってください。 ベース アプライアンス ライセンスは 削除することができません。 X 有効期限切れの コ ンポーネ ン ト ラ イ セ ン ス を削除する には 1. メイン ナビゲーション メニューから [General Settings] をクリックして、 [Licensing] タブをクリックします。 この操作により、 [Licensing] ページが表示されます。 2. コンポーネント ライセンスの有効期限が切れたら、 [License type] エリアに 「expired」 というメッセージが表 示され、 [Clear Expired License] ボタンがあわせて表示されます。 この [Clear Expired License] ボ タンをクリックすると、 有効期限切れのライセンス ファイルをアプライアンスから削除することができます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 165 第8章 End Point Control Aventail アプライアンスでは、 重要なデータを保護するための複数の 「End Point Control」 コンポーネントがサポー トされており、 ネットワークが、 信頼されていない環境の PC からアクセスを受けても危険を回避します。 従来の VPN ソリューションでは通常、 企業のノート型 PC からの比較的安全なアクセスのみを許可しています。 このよ うな環境で、 セキュリティ上大きな懸念になるのが、 許可されていないネットワーク アクセスです。 SSL VPN では、 任 意の Web 対応システムからアクセスできるため、 空港やホテルのキオスク端末、 従業員が所有する PC など、 信頼さ れていない環境の PC からアクセスがあった場合、 危険性が増大します。 End Point Control では、 エンドユーザー デバイスの状態を評価するためのプロセスも必要になります。 概要 : End Point Control 従来の VPN ソリューションでは通常、 企業のノート型 PC からの比較的安全なアクセスのみを可能にしています。 この ような環境で、 セキュリティ上大きな懸念になるのが、 許可されていないネットワーク アクセスです。 SSL VPN では、 任意の Web 対応システムからアクセスできるため、 空港やホテルのキオスク端末、 従業員が所有する PC など、 信頼 されていない環境の PC からアクセスがあった場合、 危険性が増大します。 Aventail End Point Control では、 次の 2 つの方法で、 信頼されていない環境からのアクセスを防止します。 • ユーザーの環境が安全である こ と を確認 企業の IT 部門では、 アンチウイルス ソフトウェアやファイアウォールの他、 悪意のあるソフトウェア ( 「マルウェア」 ) から保護するためのセーフガード ソフトウェアなどを使用して、 PC を管理下に置いています。 一方、 管理され ていない PC の場合、 キーストローク レコーダー、 ウイルス、 トロイの木馬など、 ネットワークを危険に陥れる因子 が簡単に入ってきます。 Aventail では、 ユーザーを認証する前に、 クライアント システム上のマルウェアを自動的にチェックする、 サード パーティの 「クライアント インテグリティ」 コントロールとも統合できるようになっています。 また Aventail では、 ユーザーのエンド ポイントで信頼のレベルに応じて異なるアクセス レベルを割り当てる 「信 頼ゾーン」 を定義することができます。 接続要求が、 AMC で設定された 「デバイス プロファイル」 と比較され、 適切なゾーンに割り当てられます。 • セ ッ シ ョ ン後、 ユーザー デー タ を PC から 削除 Web ブラウザの場合、 重要なデータを、 信頼されていない PC に不用意に残してしまう可能性があります。 たと えば、 キオスク端末からログインしたユーザーは、 PC のキャッシュに、 パスワード、 ブラウザのクッキー、 ブック マークした URL など、 さまざまなデータを残すことになります。 また、 ファイルや電子メールの添付ファイルをハー ド ディスク上に残してしまうこともあります。 Aventail の 「データ保護」 エージェントは、 PC からセッションを自動的に削除します。 Aventail が End Point Control でゾーン と デバイ ス プ ロ フ ァ イルを使用する方法 アプライアンスでは、 End Point Control がコミュニティ レベルで管理されインストールされます。 コミュニティは、 同 様のアクセス要件を持つユーザーまたはグループの集まりです。 認証レルム ( ユーザーがアプライアンスに入るときの入 口 ) は、 1 つまたは複数のコミュニティを参照します。 一方でコミュニティは、 1 つまたは複数の EPC ゾーンを参照し、 EPC ゾーンは、 1 つまたは複数のデバイス プロファイルを参照することができます。 このデバイス プロファイルは、 ク ライアント コンピュータ上に存在する属性を定義するものです。 End Point Control プロセスは、 次のように動作します。 1. ユーザーがアプライアンスに接続し、 認証レルムにログインします。 2. アプライアンスが、 このユーザーを、 そのレルムに所属するコミュニティに割り当てます。 166|第 8 章 - End Point Control 3. アプライアンスは、 ユーザーのコンピュータに照会することにより、 コミュニティのいずれかの EPC ゾーンで定義さ れている属性と一致する属性がある ( デバイス プロファイルに含まれている ) か判定します。 4. デバイスがプロファイルと一致する場合、 アプライアンスは、 そのコンピュータをその EPC ゾーンに分類し、 その ゾーンで構成されている EPC ツールをインストールします。 次の図は、 ゾーンおよびデバイス プロファイルを参照するコミュニティが含まれるレルムにユーザーがログインするとき に、 アプライアンスによって実行される評価プロセスを示しています。 コミュニティが複数のゾーンを参照する場合、 アプライアンスは接続要求を評価し、 一致するデバイス プロファイルを持 つゾーンが見つかるまで、 コミュニティ リストに記述されているゾーンを調べます。 最初のゾーンに一致するものがなかっ た場合、 アプライアンスは次のゾーンに進み、 接続要求がそのデバイス プロファイルと一致するかチェックします。 この 調子で、 コミュニティのゾーンのリストを次々に調べていきます。 どのゾーンにも一致するものが見つからなかった場合、 デバイスは、 自動的にグローバル デフォルト ゾーンを割り当てます。 デフォルト ゾーンについては、 175 ページの 「デフォルト ゾーンの使用」 で説明しています。 䭶䮰䭫䭩䮺䮏䬺䭗䭚 n 䭩䮞䮰䭫䭩䮺䮀䭇䬽ធ⛯ y y y y y y 䭩䮺䮈䭭䭫䮲䮀 䮞䮴䭷䮰䮧 䭩䮞䮱䭸䯃䭾䮮䮺 䮎䭪䮳䭶䮏䮱䭍䬮䬾䮜䭨䭫䮲ฬ 䮘䯃䮄䮑䮲 䮜䭨䭫䭩䭭䭰䯃䮲 䮳䭿䮀䮏䮱 䭴䯃 Windows 䮐䮨䭫䮺 䮅䯃䮺 = IT managed 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲䬽 ዻᕈ䬽䮈䭮䮊䭶 o 䭶䮰䭫䭩䮺䮏䬺ᾖળ 䭶䮰䭫䭩䮺䮏䭡 End Point Control 䮅䯃䮺䭇㈩⟎ p 䮅䯃䮺䬺ಽ㘃 例 たとえば、 「Employees」 レルムのメンバーが、 IT 部門が管理するノート型 PC から接続する場合、 そのユーザーに 企業のネットワーク リソースに対するアクセス権を割り当てたいと仮定します。 このような場合、 「IT Trusted Laptop」 という名前のデバイス プロファイルを参照する 「IT Managed」 という名前のゾーンを作成することができます。 この例 の場合、 このデバイス プロファイルに、 ユーザーの企業ノート PC についての個別の属性が存在しなければなりません。 たとえば、 アンチウイルス プログラム、 企業固有のアプリケーションのファイル名とディレクトリ、 企業アプリケーションの レジストリ キー、 パーソナル ファイアウォール、 企業ドメイン内のメンバーシップなどがこれに該当します。 AMC でこの ゾーンとデバイス プロファイルを構成した後、 そのゾーンを 「Employees」 レルムに追加します。 従業員がログインし 「Employees」 レルムを選択すると、 アプライアンスはそのコンピュータをチェックし、 必要なデバ イス属性を探します。 従業員のノート型 PC が、 デバイス プロファイルと完全に一致した場合、 アプライアンスは、 そ れを 「IT Managed」 ゾーンに入れます。 これ以降、 そのユーザーには、 そのレルムに対する適切なアクセス エー ジェントが与えられるため、 ネットワーク リソースにアクセスできるようになります。 ゾーンとデバイスの使用例については、 167 ページの 「End Point Control のシナリオ」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 167 End Point Control のシナ リ オ この節では、 ゾーンとデバイス プロファイルを使用して、 接続要求を分類し End Point Control ツールをクライアント にインストールする、 一般的な End Point Control シナリオについて説明します。 シナ リ オ 1 : IT の管理下にあ る ノ ー ト 型 PC から従業員が接続する場合 このシナリオでは、 最初に従業員が、 IT の管理下にあるノート型 PC からアプライアンスに接続します。 n 䮭䯃䭽䯃⸽ IT 䬽▤ℂਅ䬺䬑䭚 䮕䯃䮏ဳ PC 䬽ᓥᬺຬ 䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䭡ᾖળ ᬌ䎃䎝 y 䮳䭿䮀䮏䮱䎃䭴䯃 y 䭩䮺䮈䭭䭫䮲䮀䎃䮄䮜䮏䭭䭮䭩 y 䭩䮞䮱䭸䯃䭾䮮䮺 p ⸽䭼䯃䮗䯃 䮅䯃䮺 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲 䭶䮰䭫䭩䮺䮏䬛䬄IT Managed䬅 䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䬷৻⥌ Trusted - IT IT managed laptop - IT䬅 q 䭶䮰䭫䭩䮺䮏䬛䬄Trusted 䮅䯃䮺䬺ಽ㘃 Semi-trusted - Home Employee home PC 䭶䮰䭫䭩䮺䮏䬶䬽䮎䯃䮆 ⼔䬾ਇⷐ o 䬄Employees䬅 䮳䮲䮧 䬄Default䬅 䭺䮦䮬䮒䮍䭪 Default r この例では、 イベントが次のように発生します。 1. ユーザーがアプライアンスに接続し 「Employees」 レルムにログインします。 ユーザーは 「Default」 コミュニ ティに割り当てられます。 2. ユーザーが認証されると、 クライアント デバイスが照会され、 「Default」 コミュニティが参照するゾーン内にこれ と一致するデバイス プロファイルがあるか判定されます。 デバイス プロファイルは、 ゾーン単位で評価され、 コ ミュニティにリストされている最初のゾーン ( この例では 「Trusted - IT」 ゾーン ) から順にチェックされます。 3. 「Trusted - IT」 ゾーンは、 「IT Managed laptop」 という名前のデバイス プロファイルを参照しています。 ア プライアンスは、 ユーザーのデバイス属性が、 「IT Managed laptop」 プロファイルで構成されているもの ( レ ジストリ キー エントリ、 アンチウイルス ソフトウェア、 アプリケーション ) と一致していると判定します。 4. アプライアンスは、 その一致に基づいて、 このデバイスを 「Trusted - IT」 ゾーンに分類し、 このコミュニティで リストされているそれ以降の 2 つのゾーンについては評価しません。 5. 「Trusted - IT」 ゾーンの場合は、 クライアント側にデータ保護ツールがなくてもかまいません。 この時点で、 「Default」 コミュニティは、 このユーザーに対して、 このコミュニティ用に構成されているアクセス エージェントを 提供します。 これにより、 ユーザーは、 適切なネットワーク リソースにアクセスできるようになります。 シナ リ オ 2 : ホーム PC から従業員が接続する場合 このシナリオでは、 最初に従業員が、 ホーム PC からアプライアンスに接続します。 n 䮭䯃䭽䯃⸽ 䮢䯃䮧䎃䎳䎦 䬽ᓥᬺຬ 䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䭡ᾖળ ᬌ : y 䭩䮺䮈䭭䭫䮲䮀䎃䮄䮜䮏䭭䭮䭩 y 䮘䯃䮄䮑䮲䎃䮜䭨䭫䭩䭭䭰䯃䮲 p 䭶䮰䭫䭩䮺䮏䬛䬄Employee home PC䬅䮎䮗䭫䮀 䮞䮴 䮜䭨䭫䮲䬷৻⥌ o 䇸Employees䇹 䊧䊦䊛 䇸Default䇹 䉮䊚䊠䊆䊁䉞 䉹䊷䊮 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲 Trusted - IT IT managed laptop Semi-trusted - Home Employee home PC Aventail Cache Control 䬛䭶䮰䭫䭩䮺䮏䬺䭫䮺䮀䮏䯃䮲 r ⸽䭼䯃䮗䯃 Default q 䭶䮰䭫䭩䮺䮏䬛䬄Semi-Trusted - Home䬅䮅䯃䮺䬺ಽ㘃 168|第 8 章 - End Point Control この例では、 イベントが次のように発生します。 1. ユーザーがアプライアンスに接続し 「Employees」 レルムにログインします。 ユーザーは 「Default」 コミュニ ティに割り当てられます。 2. ユーザーが認証されると、 クライアント デバイスが照会され、 「Default」 コミュニティが参照するゾーン内にこれ と一致するデバイス プロファイルがあるか判定されます。 デバイス プロファイルは、 ゾーン単位で評価され、 コ ミュニティにリストされている最初のゾーン ( この例では 「Trusted - IT」 ゾーン ) から順にチェックされます。 こ のシナリオでは、 クライアントが最初のゾーンのデバイス プロファイルと一致しなかったため、 リスト内の 2 番目の ゾーン 「Semi-Trusted - Home」 に進みます。 3. 「Semi-Trusted - Home」 ゾーンは、 「Employee home PC」 という名前のデバイス プロファイルを参照して います。 アプライアンスは、 ユーザーのデバイス属性が、 「Employee home PC」 デバイス プロファイルで構 成されているもの ( アンチウイルス ソフトウェアおよびパーソナル ファイアウォール ) と一致していると判定します。 4. アプライアンスは、 その一致に基づいて、 このデバイスを 「Semi-Trusted - Home」 ゾーンに分類し、 このコ ミュニティでリストされているそれ以降のゾーンについては評価しません。 5. 「Semi-Trusted - Home」 ゾーンの場合は、 クライアント側にデータ保護ツールがなくてもかまわないため、 Aventail Cache Control がクライアントにインストールされます。 この時点で、 「Default」 コミュニティは、 こ のユーザーに対して、 このコミュニティ用に構成されているアクセス エージェントを提供します。 これにより、 ユー ザーは、 適切なネットワーク リソースにアクセスできるようになります。 シナ リ オ 3 : キオス ク 端末か ら従業員が接続する場合 このシナリオでは、 最初に従業員が、 キオスク端末からアプライアンスに接続します。 n 䮭䯃䭽䯃⸽ 䭴䭱䮀䭶┵ᧃ䬽ᓥᬺຬ 䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䭡ᾖળ ᬌ : y o 䬄Employees䬅 䮳䮲䮧 䬄Default䬅 䭺䮦䮬䮒䮍䭪 䮅䯃䮺 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲 䬹䬦 ⸽䭼䯃䮗䯃 Trusted - IT p ৻⥌䬨䭚䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䬛䬹䬓 IT managed laptop Semi-trusted - Home Employee home PC Aventail Secure Desktop 䬛 䭶䮰䭫䭩䮺䮏䬺䭫䮺䮀䮏䯃䮲 r Default q 䭶䮰䭫䭩䮺䮏䬛䬄Default䬅 䮅䯃䮺䬺ಽ㘃 この例では、 イベントが次のように発生します。 1. ユーザーがアプライアンスに接続し 「Employees」 レルムにログインします。 ユーザーは 「Default」 コミュニ ティに割り当てられます。 2. ユーザーが認証されると、 クライアント デバイスが照会され、 「Default」 コミュニティが参照するゾーン内にこれ と一致するデバイス プロファイルがあるか判定されます。 デバイス プロファイルは、 ゾーン単位で評価され、 コ ミュニティにリストされている最初のゾーン ( この例では 「Trusted - IT」 ゾーン ) から順にチェックされます。 こ のシナリオでは、 クライアントが最初のゾーンおよび 2 番目のゾーンのプロファイルと一致しなかったため、 リスト 内の最後のゾーン 「Default」 に進みます。 3. アプライアンスは、 キオスク端末クライアントの属性が、 「Default」 コミュニティのデバイス プロファイルと一致し ないと判定します。 4. アプライアンスは、 このデバイスを 「Default」 ゾーンに分類します。 コミュニティ内の他のデバイス プロファイル と一致しないクライアントは自動的に 「Default」 に割り当てられます。 「Default」 ゾーンは、 AMC で構成されたすべてのコミュニティに暗黙的に存在するグローバル ゾーンです。 こ こで割り当てられたすべての接続要求に対して、 VPN アクセスをブロックする構成、 または VPN アクセスを許可 する構成になっています。 詳細については、 175 ページの 「デフォルト ゾーンの使用」 を参照してください。 5. このシナリオの場合、 「Default」 ゾーンは、 Aventail Secure Desktop (ASD) をクライアントにインストール できる場合、 VPN アクセスを許可する構成になっています。 ASD は、 オプションのデータ保護コンポーネント ( 別売 ) で、 Windows ユーザーに対して広範なデータ保護を行います。 キオスク端末で Windows XP または 2000 が動作し、 サポートされているブラウザが動作している場合、 ASD がインストールされます。 この時点で、 「Default」 コミュニティは、 このユーザーに対して、 このコミュニティ用に構成されているアクセス エージェントを EX-750 イ ン ス ト ールおよび管理ガ イ ド | 169 提供します。 これにより、 ユーザーは、 適切なネットワーク リソースにアクセスできるようになります。 ただし、 キ オスク端末のオペレーティング システムやブラウザが ASD と互換でない場合、 アプライアンスは、 Aventail Cache Control (ACC) を代わりにインストールします。 ASD も ACC もクライアントにロードできない場合は、 ユーザーの接続要求が拒否されます。 ゾーンおよびデバイ ス プ ロ フ ァ イルによ る EPC の管理 End Point Control では、 ゾーンの使用を通じて、 データ保護コンポーネントをユーザーに提供します。 このゾーン が、 接続要求をクライアント デバイスの属性に基づいて分類する 「信頼ゾーン」 です。 デバイス プロファイルは、 クラ イアントを識別しゾーンに割り当てる上で必要な属性を定義するもので、 次の項目を入れることができます。 • アンチウイルス ソフトウェア • パーソナル ファイアウォール • アプリケーション • ディレクトリ名 • ファイル名 • ファイル サイズ • ファイル タイムスタンプ • Windows レジストリ エントリ • Windows ドメイン • Windows バージョン 1 つの EPC ゾーンからは、 1 つまたは複数のデバイス プロファイルを参照することができます。 ゾーンが複数のデバ イス プロファイルを参照しているとき、 いずれかのデバイス プロファイルと属性が一致するクライアント コンピュータは、 そのゾーンに割り当てられます。 これは、 たとえば同様の VPN アクセス要件を持つ複数のユーザーが存在し、 異なる コンピュータ プラットフォームを利用している場合などに使用すると便利です。 たとえば、 Windows コンピュータのデ バイス プロファイルを参照する EPC ゾーンと、 Macintosh コンピュータを参照するゾーンを用意することができます。 AMC には、 デフォルト ゾーンという定義済みのゾーンがあります。 このゾーンは削除することができません。 デフォル ト ゾーンは、 接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可またはブロックするためのグローバ ルな安全装置として機能します。 詳細については、 175 ページの 「デフォルト ゾーンの使用」 を参照してください。 このアプライアンスには、 共通のアクセス シナリオに合わせて構成されているゾーンとデバイス プロファイルもあります。 End Point Control をすぐに開始したいときは、 これらのゾーンとデバイス プロファイルをそのまま使用することができ ます。 また、 特定の要件に合わせて、 これをカスタマイズして使用することもできます。 ゾーンとデバイス プロファイル は、 さまざまなアクセス シナリオと信頼レベル ( たとえば従業員、 ビジネス パートナー、 請負業者別のゾーン ) に対応 する上で必要であれば、 いくらでも作成することができます。 175 ページの 「定義済みのゾーンおよびデバイス プロ ファイルの使用」 を参照してください。 ユーザーの認証後、 そのユーザーが使用できるゾーンを指定する場合は、 コミュニティを使用します。 ゾーンをコミュニ ティにリンクする方法については、 110 ページの 「コミュニティでの End Point Control 制約の使用」 を参照してくだ さい。 また、 ユーザー、 グループ、 リソースなどと同じように、 ゾーンをアクセス ポリシーと対応させることもできます。 End Point Control の有効化と 無効化 AMC では、 End Point Control はデフォルトで無効になっています。 AMC では、 EPC をグローバルに有効化また は無効化することができます。 X End Point Control を有効にするには 1. メイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Enable End Point Control] チェック ボックスを選択します。 End Point Control が無効になっているとき、 次の EPC 動作は実行されなくなります。 • クライアント デバイスの属性の評価 • ゾーンへの接続要求の分類 • アクセス制御ルールのゾーン制約の強制 170|第 8 章 - End Point Control ゾーンおよびデバイ ス プ ロ フ ァ イルの表示 AMC で構成されているゾーンとデバイス プロファイルは、 [Zones and Device Profiles] ページで参照すること ができます。 X 構成 さ れている ゾーン と デバイ ス プ ロ フ ァ イルを表示するには 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 2. [End Point Control] ページでは、 AMC で構成されているゾーンとデバイス プロファイルがリストされます。 また、 EPC エージェントのステータスもリストされます。 ゾーンまたはデバイス プロファイルの名前をクリックするこ とで、 その設定を表示したり編集したりすることができます。 3. [Zones and Device Profiles] タブをクリックします。 この操作により、 [Zones and Device Profiles] ページが表示されます。 4. [End Point Control zones] リストに表示されているデータを確認します。 5. • チェック ボックス列は、 1 つまたは複数のゾーンを選択するときに使用します。 ゾーンの削除やコピーなどを 行うときにこれを使用します。 • プラス記号 (+) の列をクリックすると、 選択したゾーンが拡大され、 それに対応するデバイス プロファイルと コミュニティが表示されます。 • [Name] 列には、 ゾーンを作成するときに割り当てた名前が表示されます。 ゾーンは、 名前をクリックする ことで編集できるようになっています。 • [Description] 列には、 ゾーンを作成するときに入力した説明テキストがリストされます。 • [Device profile] 列には、 ゾーンに割り当てた 1 つまたは複数のデバイス プロファイルの名前がリストさ れます。 • [Community] 列には、 ゾーンがコミュニティによって参照されているかどうかが示されます。 青いドットは、 ゾーンが 1 つまたは複数のコミュニティによって使用されていることを示します。 ゾーンがコミュニティに参照さ れていない場合、 このフィールドはブランクになります。 [Device profiles] リストに表示されているデータを確認します。 • チェック ボックス列は、 1 つまたは複数のデバイス プロファイルを選択するときに使用します。 プロファイルを 削除するときにこれを使用します。 • [Name] 列には、 デバイス プロファイルを作成するときに割り当てた名前が表示されます。 デバイス プロ ファイルは、 名前をクリックすることで編集できるようになっています。 • [Description] 列には、 デバイス プロファイルを作成するときに入力した説明テキストがリストされます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 171 ゾーンの定義 次の手順は、 ゾーンを作成する方法を示しています。 ゾーンは、 Internet Explorer 6.0 以降または Firefox 1.0 以降が動作する Windows 2000 または XP コンピュータでサポートされています。 また、 Safari および Firefox が 動作する Macintosh クライアントや、 Firefox が動作する Linux クライアントでもゾーンを作成することができます。 X ゾーン を定義する には 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [End Point Control Zones] エリアで、 [New] をクリックします。 この操作により、 [Zone Definition] ページが表示されます。 4. [Name] ボックスに、 ゾーン名をわかりやすい名前で入力します。 5. [Description] ボックスに、 ゾーンについてのコメントをわかりやすく入力します。 6. ゾーンに入れたいデバイ ス プ ロ フ ァ イルの左側にあるチェック ボックスを選択します。 接続プロセスのとき、 デ バイスをこのゾーンに割り当てるためには、 プロファイルで定義されているすべての属性がそのデバイス上になけ ればなりません。 また、 [New] をクリックして、 そのゾーンのデバイス プロファイルを作成することもできます。 ほとんどの場合、 ゾーンには、 最低でも 1 つデバイス プロファイルが含まれていなければなりません。 詳細につ いては、 172 ページの 「ゾーンに対するデバイス プロファイルの定義」 を参照してください。 ゾーンが複数のデ バイス プロファイルを参照している場合、 アプライアンスは、 接続要求と一致するプロファイルを受け付けて、 その デバイスをそのゾーンに割り当てます。 7. 特定のゾーンについて、 Aventail Cache Control または Aventail Secure Desktop の存在を条件にしたい 場合、 [Required data protection tool] リストから、 対応するオプションを選択します。 Aventail Secure Desktop は、 Windows 2000 および XP プラットフォームでサポートされているオプション コンポーネントで、 別途購入することになっています。 これがサポートされていないプラットフォームの場合は、 Aventail Cache Control を代わりに使用します。 8. ゾーンの作成が終わったら、 [Save] をクリックします。 この操作により、 [Zones and Device Profiles] ページに戻ります。 172|第 8 章 - End Point Control メモ • Aventail Connect トンネルまたは Connect プロキシ クライアントのユーザーをゾーンに割り当てたい場合、 異 なる構成手順が必要になります。 174 ページの 「ゾーンへの Aventail Connect ユーザーの割り当て」 を参照 してください。 ただし、 Aventail Connect トンネルまたは Connect プロキシ クライアントを使用する場合、 Aventail Cache Control および Aventail Secure Desktop は使用できなくなります。 ゾーンに対するデバイ ス プ ロ フ ァ イルの定義 デバイス プロファイルは、 アンチウイルス プログラム、 アプリケーション、 Windows レジストリ エントリなど、 1 つまた は複数の属性を検索することにより、 クライアント デバイスとの間に信頼関係を確立します。 デバイス プロファイルは、 1 つまたは複数のゾーンから参照されます。 デバイス プロファイルは、 クライアント コンピュータ上の 1 つの属性のみを検出するよう定義できる他、 複数の属性を必 要とするよう設定することもできます。 デバイス プロファイルが複数の属性を参照するとき、 そのプロファイルと一致する ためには、 クライアント コンピュータ上にそのすべての属性がなければなりません。 X ある ゾーン に対するデバイ ス プ ロ フ ァ イルを定義する には 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [Device profiles] エリアで、 [New] をクリックします。 この操作により、 [Device Profile Definition] ページが表示されます。 4. [Name] テキスト ボックスに、 デバイス プロファイル名をわかりやすい名前で入力します。 5. [Description] ボックスに、 デバイス プロファイルについてのコメントをわかりやすく入力します。 6. [Add attribute] エリアの [Operating system] で、 [Microsoft Windows]、 [Macintosh]、 [Linux] の中からオペレーティング システムを選択します。 指定できるデバイス プロファイル属性は、 選択した オペレーティング システムによって変動します。 7. デバイス プロファイルで使用する適切な属性を選択します。 それぞれの属性で [Type] と [Value] を指定した ら、 [Add to Current Attributes] ボタンをクリックします。 この操作により、 今追加したデバイス属性が、 [Current attributes] リストに表示されます。 • Windows または Macintosh クライアントで [Antivirus program] を選択した場合 ( この属性は Linux クライアント デバイスでは表示されない )、 [Norton Antivirus] または [McAfee] を選択しま す。 複数の値を選択した場合、 クライアント デバイスで検出されるものが 1 つでもあればそれが認められま す。 ユーザーがリストに載っているもの以外のアンチウイルス プログラムを実行している場合、 [Application] 属性を使用して、 それをデバイス プロファイルに追加することができます。 • [Application] の場合、 クライアント デバイスで動作しなければならないアプリケーション プロセスの名前 を入力します。 この場合、 アプリケーション名では、 大文字と小文字が区別されません。 複数のアプリケー ションを入力した場合、 すべてのアプリケーションがデバイス上で動作していなければ、 そのプロファイルと一 致したことになりません。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 173 • [Directory name] の場合、 デバイスのハード ディスク上に存在しなければならないディレクトリの名前を 入力します。 この場合、 ディレクトリ名では、 大文字と小文字が区別されません。 デバイス プロファイルで複 数のディレクトリ名を指定した場合、 すべてのディレクトリがデバイス上に存在していなければ、 そのプロファ イルと一致したことになりません。 • [File name] の場合、 デバイスのハード ディスク上に存在しなければならないファイルの名前を入力します ( 拡張子とフル パスも指定 )。 この場合、 ファイル名では、 大文字と小文字が区別されません。 デバイス プ ロファイルで複数のファイル名を指定した場合、 すべてのファイルがデバイス上に存在していなければ、 その プロファイルと一致したことになりません。 また、 この属性では環境変数 (%windir% や %userprofile% など ) を使用することもできます。 オプションで、 [File size] にファイル サイズをバイト数単位で指定できる他、 [Date] および [Time] に、 ファイルが最後に更新された日付と時刻を指定することもできます。 この 2 つのオプションでは、 [Operator] に比較演算子を指定することができます。 173 ページの 「デバイス プロファイル属性での比 較演算子の使用」 を参照してください。 • [Personal firewall program] の場合、 [Sygate]、 [Microsoft]、 [Zone Labs] のいずれか を選択します。 複数の値を選択した場合、 クライアント デバイスで検出されるものが 1 つでもあればそれが 認められます。 この属性を指定できるのは、 Windows クライアント デバイスのみです。 ユーザーがリストに載っているもの以外のパーソナル ファイアウォール プログラムを実行している場合、 [Application]、 [File name]、 [Windows registry entry] のいずれかの属性を使用して、 そ れをデバイス プロファイルに追加することができます。 • [Windows domain] の場合、 ユーザーが所属するドメイン名を DNS 接尾辞を入れずに NetBIOS 構 文で ( 「example」、 「mycompany」 など ) 入力します。 複数の Windows ドメインを指定した場合、 該 当するものが 1 つでもあればそれが認められます。 複数のエントリは、 セミコロンを使用して区切ります。 • [Windows registry entry] の場合、 [Key name] にキー名を入力します。 また、 オプションで [Value name] に 値、 [Data] に デー タ を入 力 する こ と が で き ま す。 [Data] フ ィ ール ド で は、 [Operator] で比較演算子を選択することができます。 173 ページの 「デバイス プロファイル属性での比 較演算子の使用」 を参照してください。 複数の Windows レジストリ エントリを入力した場合、 すべてのレジストリ エントリがデバイス上に存在してい なければ、 そのプロファイルと一致したことになりません。 • [Windows Version] の場合、 オペレーティング システムのメジャー バージョン番号、 マイナー バージョ ン番号、 ビルド番号を入力します。 Windows XP および Windows 2000 の場合、 メジャー バージョン 番号は 5 で、 マイナー バージョン番号は、 Windows XP で 1、 Windows 2000 で 0 になります。 [Windows Version] 属性では、 [Operator] で比較演算子を使用することができます。 ただしこの 演算子は、 3 つのすべてのバージョン番号で共通になります。 つまり、 メジャー バージョン番号で 「>=」 演算子を使用すると、 マイナー バージョン番号とビルド番号の値でもその演算子を使用することになります。 詳細については、 173 ページの 「デバイス プロファイル属性での比較演算子の使用」 を参照してくださ い。 8. デバイス プロファイルの作成が終わったら、 [Save] をクリックします。 この操作により、 [Zones and Device Profiles] ページに戻ります。 デバイ ス プ ロ フ ァ イル属性での比較演算子の使用 特定のデバイス プロファイル属性は、 「より大きい」 や 「より小さい」 などの比較演算子を使用して修正することができま す。 比較演算子は、 たとえば、 クライアント デバイス上のソフトウェアが自動的に更新される場合、 そのソフトウェアに 合わせてデバイス プロファイルを最新にしておくような状況で使用すると便利です。 このような場合でも、 ソフトウェアの 更新に合わせてその都度手作業でプロファイルを変更する必要がなくなるためです。 たとえば、 一定の日時よりも新し いタイムスタンプを持つファイルのみがクライアント マシン上で検出されるよう指定できる他、 特定のバージョンより新しい Windows オペレーティング システムがクライアント デバイス上で検出されるよう指定することもできます。 使用できる比較演算子は、 「より小さい (<)」、 「以下 (<=)」、 「等しい (=)」、 「以上 (>=)」、 「より大きい (>)」 で す。 比較演算子は、 次のデバイス プロファイル属性と組み合わせて使用することができます。 • 特定ファイルのファイル タイムスタンプ • 特定ファイルのファイル サイズ • レジストリ エントリ ( レジストリ キーで値データが選択されている場合 ) • Windows バージョン 174|第 8 章 - End Point Control ゾーンへの Aventail Connect ユーザーの割 り 当て Aventail Connect Proxy クライアントまたは Aventail Connect Tunnel クライアントを使用してネットワーク リソース にアクセスするユーザーがいる場合、 アプライアンスによって正しく識別されるよう、 まったく同じゾーンを割り当てなけれ ばなりません。 このような手順が必要になるのは、 Aventail Connect が他の接続方法と異なる方法でアプライアンス にルーティングされるためです。 Aventail Connect クライアント ユーザー専用のゾーンを設ける必要はなく、 このようなユーザーも既存のゾーンに入れ ることができます。 Aventail Connect は通常、 信頼できるコンピュータにのみインストールされるため、 これらのユー ザーを最も信頼できるゾーンに割り当てることもできます。 X Aventail Connect ユーザーを ゾーンに割 り 当て る には 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [Place Aventail Connect users in this zone] リストを使用して、 Aventail Connect ユーザーに適し たゾーンを選択します。 ゾーンのコ ピー 手間を省くため、 AMC では、 既存のゾーンから属性をコピーして、 新しいゾーンでそれを利用することができます。 ゾーンをコピーすると、 元のゾーンのデバイス プロファイルも新しいゾーンにコピーされます。 X ゾーン を コ ピーするには 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. コピーしたいゾーンの左側にあるチェック ボックスを選択して、 [Copy] ボタンをクリックします。 この操作により、 [Zone Definition] ページが表示されます。 [Name] ボックス ( ブランクになっている ) 以外のそれぞれの フィールドには、 元のゾーンの情報が表示されています。 4. [Name] ボックスに、 新しいゾーン名をわかりやすい名前で入力します。 5. 必要に合わせて、 デバイ ス プ ロ フ ァ イルやデー タ 保護設定を変更します。 6. [Save] をクリックして、 新しいゾーンを作成します。 この操作により、 [Zones and Device Profiles] ページに戻ります。 ゾーン またはデバイ ス プ ロ フ ァ イルの削除 ゾーンを削除するときは、 次の手順を実行します。 X ゾーン を削除する には 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [End Point Control zones] エリアで、 削除したいゾーンに対するチェック ボックスを選択して、 [Delete] ボタンをクリックします。 X デバイ ス プ ロ フ ァ イルを削除するには 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [Device profiles] エリアで、 削除したいデバイス プロファイルに対するチェック ボックスを選択して、 [Delete] ボタンをクリックします。 メモ • ゾーンまたはデバイス プロファイルが他のオブジェクトから参照されている場合は、 これを削除することができませ ん。 たとえば、 コミュニティから参照されているゾーンを削除しようとすると、 エラー メッセージが表示されます。 削 除する前に、 あらかじめ、 ゾーンへのすべての参照を削除しておかなければなりません。 詳細については、 31 ページの 「参照されているオブジェクトの削除」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 175 定義済みのゾーンおよびデバイ ス プ ロ フ ァ イルの使用 AMC では、 End Point Control をすぐに使えるよう、 構成済みの EPC ゾーンとデバイス プロファイルをあらかじめ用 意しています。 これらのゾーンとデバイス プロファイルはそのまま使用できる他、 アクセス ポリシーおよびリソース要件に 合わせて修正することもできます。 構成済みの EPC ゾーンには、 次のようなものがあります。 • Antivirus and cache control required: このゾーンは、 Windows XP/2000 コンピュータと Apple Macintosh コンピュータのいずれかで使用するもので、 Norton または McAfee のいずれかのアンチウイルス ソ フトウェアがインストールされており、 しかも Aventail Cache Cleaner が有効で、 ユーザー セッションの後ブラ ウザのキャッシュが削除されるようになっていなければなりません。 このゾーンは、 構成済みの Windows Antivirus および Macintosh Antivirus デバイス プロファイルを参照します。 • Windows firewall enabled: このゾーンでは、 Windows XP または 2000 コンピュータが必要で、 その コンピュータに、 Sygatge、 Microsoft、 Zone Labs 製のパーソナル ファイアウォール プログラムがインストー ルされていなければなりません。 このゾーンは、 構成済みの Windows firewall デバイス プロファイルを参照 します。 • Default: このゾーンは、 接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可またはブロック するためのグローバルな安全装置として機能します。 構成済みのデバイス プロファイルには、 次のようなものがあります。 • Windows Antivirus: このデバイス プロファイルは、Windows XP または 2000 が動作するコンピュータに、 アンチウイルス プログラムとパーソナル ファイアウォール プログラムの両方が存在する場合にそのデバイスを検出 するよう構成されています。 • Macintosh Antivirus: このデバイス プロファイルは、 Apple Macintosh コンピュータに、 アンチウイルス プ ログラムとパーソナル ファイアウォール プログラムの両方が存在する場合にそのデバイスを検出するよう構成されて います。 • Windows firewall: このデバイス プロファイルは、 Windows XP または 2000 が動作するコンピュータに、 パーソナル ファイアウォールがインストールされている場合にそのデバイスを検出するよう構成されています。 • Macintosh computer: このデバイス プロファイルは、 Macintosh オペレーティング システムが動作するコ ンピュータを識別するよう構成されています。 特定の状況に対する ゾーンの作成 大部分の接続要求 (Microsoft Windows と Internet Explorer を使用したもの ) は、 標準のゾーン構成で対応で きますが、 他のオペレーティング システムやブラウザ、 定義しているゾーンに対応していない接続要求など、 特殊な状 況にも対応する必要があります。 ゾーンとデバイス プロファイルを使用して、 次の状況に対応することができます。 • 定義されているゾーンやデバイス プロファイルに対する基準と一致しないクライアント • Macintosh オペレーティング システムが動作するクライアント • Linux オペレーティング システムが動作するクライアント • Windows が動作しているが、 Web ブラウザが Microsoft のものでないクライアント、 または以前のバージョンの Windows • 動作しているクライアント デバイスに関係なく、 アクセスが必要な特殊なクラスのユーザー また、 グローバル デフォルト ゾーンを構成し、 AMC で構成されているあらゆるコミュニティに暗黙的に存在するようにし ます。 デフ ォル ト ゾーンの使用 AMC には、 グローバル デフォルト ゾーンがあり、 接続要求が他の設定済みのゾーンの基準と一致しない場合に VPN アクセスを許可またはブロックするためのグローバルな安全装置として機能します。 アプライアンスが、 ゾーンに分類でき ない ( つまりクライアント デバイスのオペレーティング システム、 ブラウザ、 その他の属性などを識別できない ) 接続要 求を受け取ったら、 そのデバイスは自動的にデフォルト ゾーンに入れられます。 デバイスがデフォルト ゾーンに割り当 てられたユーザーについては、 すべての VPN アクセスを許可するか拒否するよう設定することができます。 デフォルト ゾーンは、 他のゾーンと異なり、 デバイス プロファイルはありませんが、 データ保護エージェントの存在を求 めるよう構成することはできます。 デフォルト ゾーンは、 AMC で構成されているあらゆるコミュニティに暗黙的に存在す ることになります。 176|第 8 章 - End Point Control X デ フ ォ ル ト ゾーン を構成するには 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and device profile summary] エリアで、 [Default Zone] リンクをクリックします。 この操作 により、 [Zone Definition] ページが表示されます。 このとき、 [Name] ボックスには自動的に 「Default Zone」 と入力されます。 3. [Data protection] エリアで、 デフォルト ゾーンに入れられたクライアント デバイスについて、 Aventail Secure Desktop または Aventail Cache Control がなければ接続できないようにすることができます。 Aventail Secure Desktop は、 Windows のみで使用できるオプションのデータ保護コンポーネントです。 こ れがサポートされていないプラットフォームの場合は、 Aventail Cache Control が代わりに使用されます。 4. [Access restrictions] エリアで、 デフォルト ゾーンに入れられたクライアント デバイスについて、 VPN ア ク セス を許可するかブ ロ ッ ク するか選択します。 [Block VPN access] を選択した場合、 デフォルト ゾー ンに割り当てられたユーザーは、 アプライアンスからログオフします。 5. [Save] をクリックします。 この操作により、 デフォルト ゾーンの設定が有効になります。 例 あるユーザーの接続要求が信頼関係の基準と合致しない場合にそのユーザーのアクセスを制限したいとき、 デフォルト ゾーンを、 制約のあるアクセス制御ルールに入れることができます。 たとえば、 Web ブラウザ接続を Outlook Web Access に限定する 「permit」 アクセス制御ルールにデフォルト ゾーンを入れることで、 これらのユーザーが自身の電 子メールにアクセスできるようになります。 高レベルの信頼性に基づく制約のあるアクセス ポリシーを設け、 明示的に定義されているものを除いて接続要求を認め ないようにする場合、 デフォルト ゾーンに [Block VPN access] を設定するのが最も適しています。 ただし、 他の ゾーンやアクセス制御ルールで、 正当なユーザーが誤って排除された場合でも、 デフォルト ゾーンは例外なくこれらの ユーザーをブロックします。 非 Microsoft ブ ラ ウザまたは以前の Windows バージ ョ ンに対する ゾーンの定義 ユーザーの Microsoft Windows PC で、 Internet Explorer 6.0 以降以外のブラウザ (Netscape や Opera な ど ) が動作している場合、 これらのユーザーに特殊なゾーンを割り当てることができます。 こうすることにより、 非 Microsoft ブラウザを使用する Windows ユーザーがデフォルト ゾーンに入れられてアクセスがブロックされてしまうの を防止することができます。 このゾーンのタイプを区別するための唯一の属性は、 Windows システムの存在です。 この構成は、 Windows XP や 2000 より前の Microsoft Windows が動作しているユーザーに対して、 ゾーンを定 義するときにも使用することができます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 177 X 非 Microsoft ブ ラ ウザを使用する ク ラ イ ア ン ト のためのゾーン を定義するには 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [End Point Control Zones] エリアで、 [New] をクリックします。 この操作により、 [Zone Definition] ページが表示されます。 4. [Description] ボックスに、 この特殊ブラウザ ゾーンについてのコメントをわかりやすく入力します。 5. [Device Profiles] エリアで、 [New] をクリックします。 この操作により、 [New Device Profile Definition] ポップアップ ウィンドウが表示されます。 6. [Name] ボックスに、 デバイス プロファイル名をわかりやすい名前で入力します。 7. [Description] ボックスに、 デバイス プロファイルについてのコメントをわかりやすく入力します。 8. [Add attribute] エリアで、 デバイス プロファイルに対する [Operating system] として [Microsoft Windows] を選択します。 他の属性設定は指定しないでください。 9. [Save] をクリックします。 この操作により、 [Zone Definition] ページに戻ります。 10. このゾーンに入れたいブラウザのデバイ ス プ ロ フ ァ イルに対するチェック ボックスを選択します。 11. このデバイス プロファイルで、 データ保護コンポーネントの存在を条件にしたい場合、 [Required data protection tool] リストから、 [Aventail Secure Desktop] または [Aventail Cache Control] を 選択します。 12. ゾーンの作成が終わったら、 [Save] をクリックします。 この操作により、 [Zones and Device Profiles] ページに戻ります。 特殊な ク ラ スのユーザーに対する ゾーンの定義 信頼されている特殊なクラスのユーザーにデフォルト ゾーンを割り当て ( 同時におそらくアクセスが拒否され ) ないように する方法は他にもあります。 デバイス プロファイルが含まれないゾーンを作成し、 そのゾーンを、 信頼されているユー ザーのみが所属するコミュニティに割り当てるのです。 たとえば、 システム管理者が、 使用中のクライアント デバイスに関係なく、 ネットワーク リソースにアクセスできるようにし たい場合、 システム管理者を、 プロファイルがないゾーンを含むコミュニティに割り当てることができます。 その後、 シス テム管理者が、 そのコミュニティを参照するレルムを選択してログインすると、 承認されていないクライアントをブロックす るためのグローバル デフォルト ゾーンではなく、 プロファイルがないこのゾーンに入れられます。 X プ ロ フ ァ イルがないゾーン を作成する には 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Zones and Device Profiles] タブをクリックします。 3. [End Point Control Zones] エリアで、 [New] をクリックします。 この操作により、 [Zone Definition] ページが表示されます。 4. [Name] ボックスに、 ゾーン名をわかりやすい名前で入力します。 5. [Description] ボックスに、 ゾーンについてのコメントをわかりやすく入力します。 6. このゾーンでは、 デバイ ス プ ロ フ ァ イルを選択しないでください。 7. オプションで、 このゾーンに対して [Required data protection tool] を選択することができます。 ただ し、 このような信頼されている特殊クラスのユーザーに、 接続で使用するデバイスのタイプについて柔軟性を持た せたい場合、 このフィールドを 「None」 のままにしておきます。 8. [Save] をクリックします。 プロファイルがないゾーンを定義したら、 このような信頼されている特殊クラスに特化したレルムを作成し、 この特殊クラ スのみがログインできるよう、 レルムを専用のコミュニティに対応させる必要があります。 詳細については、 112 ページ の 「ユーザーまたはグループのメンバーシップの特定コミュニティへの制限」 を参照してください。 178|第 8 章 - End Point Control ク ラ イ アン ト に残されたデー タの削除 Aventail のデータ保護コンポーネントは、 ユーザー セッションが終わったら、 クライアントに残されたデータを削除する ようになっています。 次の 2 種類のオプションがあります。 • Aventail Cache Control (ACC)。 すべての Web セッションに対して、 基本的なデータ保護を行います。 ベース アプライアンスに含まれています。 • Aventail Secure Desktop (ASD)。 Windows ユーザーに対して広範なデータ保護を行うオプション コン ポーネント ( 別売 ) です。ユーザーの環境が ASD がサポートしない環境の場合、ACC が代わりに使用されます。 AMC では、 高度な End Point Control を提供する、 Sygate On-Demand もサポートしています。 詳細について は、 182 ページの 「Sygate On-Demand」 を参照してください。 どちらの Aventail コンポーネントも、 非アクティブなユーザー接続を自動的に終了させ、 クライアントからデータを削除 するタイムアウト設定を構成できるようになっています。 このシステムにより、 ユーザーがキオスク端末やその他の共有さ れているコンピュータからログアウトし忘れても、 機密漏洩の危険性を最小限に抑えられるようになっています。 ユーザーがセッションを終了するときまたはユーザーのセッションがタイムアウトするとき、 Aventail Cache Control お よび Aventail Secure Desktop は、 データをクライアントのキャッシュから削除します。 次の表は、 削除されるデー タをまとめたものです。 コンポーネント 説明 ブラウザの履歴 ブラウザの履歴から、 すべてのセッション URL が永続的に削除され、 ブ ラウザから呼び出せなくなります。 同時に、 外部アプリケーションからプロ グラム的に呼び出すこともできなくなります。 ブラウザのキャッシュ ブラウザからアクセスされ、 ハード ドライブに保管されている可能性がある すべてのデータ ファイルの他、 関連する URL とパスワードもすべて永続 的に削除されます。 ブラウザのユーザー名とパスワード セッションで使用されたすべてのユーザー名および関連するパスワードは、 キャッシュから削除されます。 ブラウザの URL オートコンプリート リスト セッションで訪問したすべての URL は、 ブラウザのオートコンプリート リス トから削除されます。 Windows index.dat index.dat ファイルに保管されているブラウザの活動詳細も削除されます。 一時記憶 ユーザーが、Outlook Web Access (OWA) などの Web アプリケーショ ンから開いたほとんどの添付ファイルは、 Aventail Cache Control が一 時フォルダを削除するときに永続的に削除されます。 Aventail Secure Desktop を使用すると、 ダウンロードされローカル ハード ディスクに保管されたセッション関連のすべてのデータ ファイルが、 永続的に削除されます ( ただ し こ れは、 Aventail Secure Desktop を 使用する場合のみ )。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 179 Aventail Cache Control の構成 Aventail Cache Control は、 Web セッションが終わるたびに、 ブラウザ キャッシュから履歴と一時ファイル、 ユー ザーのシステムから パスワードとクッキーを削除します。 また、 非アクティブ時のタイムアウトを構成することもできます。 X Aventail Cache Control を構成するには 1. メイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Enable End Point Control] チェック ボックスを選択します。 3. [Post-authentication] で [Configure data protection] をクリックします。 この操作により、 [Configure Data Protection] ページが表示されます。 4. [End inactive user connections] リストから適当な値を選択することにより、 非アクティブ タイマーを設定 します。 これにより、 ユーザーが一定期間、 非アクティブな状態になると、 ユーザー セッションが自動的に終了 しキャッシュが消去されるようになります。 5. [Aventail Cache Control] エリアで、 [Enable Aventail Cache Control] チェック ボックスを選択し ます。 6. 状況によってわずかに高いレベルのセキュリティが必要な場合は、 [Close other browser windows at startup] チェック ボックスを選択します。 この設定により、 ACC が、 ネットワーク アクセスの際のブラウザ コン テキストに対応するすべてのデータを正確に監視するようになります。 ただし、 ACC の起動時にブラウザのウィン ドウを複数開けておくユーザーには不都合が生じる可能性があります。 7. セッションの終了時にキャッシュ クリーナーが動作しないことをユーザーが選択できるようにする場合は、 [Allow user to disable cache control] チェック ボックスを選択します。 この設定は、 デフォルトでオフになって います。 8. [Save] をクリックします。 この操作により、 [End Point Control] ページに戻ります。 Aventail Cache Control を構成したら、 ゾーンの [Required data protection tool] としてこれを選択しなけ ればならなくなります。 詳細については、 171 ページの 「ゾーンの定義」 を参照してください。 メモ • さまざまな EPC 要件を持つ、 独立した 「信頼ゾーン」 で ACC を有効にすることで、 一定数のユーザーのみに ACC を提供することもできます。 ゾーンを使用して ACC の提供をコントロールする方法については、 171 ペー ジの 「ゾーンの定義」 を参照してください。 • ASAP WorkPlace からログアウトしても、 ACC がキャッシュを消去することはありません。 ACC がキャッシュを消 去してクローズするには、 ユーザーが WorkPlace ブラウザ ウィンドウをクローズしなければなりません。 • ユーザーのコンピュータで ACC をロードできない場合、 ユーザーは WorkPlace にログインできません。 • 非アクティブ タイマー設定は、 ACC と ASD の両方に適用されます。 ACC と ASD で異なるタイムアウト設定を 構成することはできません。 180|第 8 章 - End Point Control Aventail Secure Desktop Aventail Secure Desktop (ASD) には、 基本キャッシュ クリーニングを上回る保護機能があります。 ASD は、 Sygate Technologies と共同開発したソリューションで、 標準的な Windows デスクトップとほとんど同じ外観の 「仮 想的な」 Windows セッションを作成します。 デフォルトの場合、 ネットワークからアクセスされるすべてのデータは、 暗 号化されてからディスクに記録され、 ASD 内からのみアクセス可能になります。 ユーザーがセッションを終了すると、 ダウンロードされローカル ハード ディスクに保管されたセッション関連のすべての データ ファイルが、 永続的に削除されます。 しかも、 Web ブラウザに関連する一時データがあれば、 それも削除され ます。 ユーザーには、 ASD を使用しているときはデータをローカル ディスクに保存しないよう通達してください。 例を 示します。 • フ ァ イルを ロー カル デ ィ ス ク に保存 し ない こ と 。 たとえばユーザーがネットワークからファイルをダウンロードし てそれをハード ディスクに保存すると、 セッションの終了時に削除されます。 • ア プ リ ケーシ ョ ン デー タ を ロー カル デ ィ ス ク に保存 し ない こ と 。一部のクライアント/サーバー アプリケーショ ン (Microsoft Outlook など ) では、 ユーザーがデータをローカルに保管できるようになっています。 ユーザー は、 これらのアプリケーションと ASD との通信に気を配る必要があります。 たとえば、 Outlook ユーザーが、 ASD の動作中にデータをローカルに (.pst ファイルに ) 保管し、 電子メール メッセージをシステムの 「Inbox」 からローカルのメール フォルダに移動する場合、 セッション終了時に、 メッセージがローカル ディスクから削除さ れます。 ユーザーが、 ASD によって作成されている仮想セッションを認識しやすくするため、 デスクトップには、 特有の背景色とイメージが表示されます。 ASD は、 次の環境の Windows ユーザーが使用できます。 ただし、 ブラウザで Java が有効になっていなければな りません。 オペレーティング システム Web ブラウザ • Microsoft Windows XP (Service Pack 2 がインストールされているもの ) • Microsoft Internet Explorer 6.0 以降 (Service Pack 1 がインストールされているもの ) • Microsoft Windows 2000 (Service Pack 4 がインストールされているもの ) • Firefox 1.0 以降 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 181 Aventail Secure Desktop の構成 この節では、 AMC で ASD を設定する方法について説明します。 ASD を構成する前に、 有効な ASD ソフトウェア ライセンスがアプライアンスにアップロードされている必要があります。 詳細については、 163 ページの 「ソフトウェア ラ イセンス」 を参照してください。 X Aventail Secure Desktop を構成するには 1. メイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Enable End Point Control] チェック ボックスを選択します。 3. [Post-authentication] で [Configure data protection] をクリックします。 この操作により、 [Configure Data Protection] ページが表示されます。 4. [End inactive user connections] リストから適当な値を選択することにより、 非アクティブ タイマーを構成 します。 これにより、 ユーザーが一定期間、 非アクティブな状態になると、 ユーザー セッションが自動的に終了 しキャッシュが消去されるようになります。 5. [Aventail Cache Control] エリアで、 ACC 設定を構成します (179 ページの 「Aventail Cache Control の構成」 を参照 )。 ユーザーが ASD を実行できない場合 ( たとえばユーザーが Apple Macintosh を使用している場合 )、 アプライアンスは、 指定されている ACC 設定を使用して、 クライアント上で ACC を代わ りに使用します。 6. [Aventail Secure Desktop] エリアで、 [Enable Aventail Secure Desktop] チェック ボックスを選 択します。 7. ユーザーが標準 Windows セッションと ASD が作成した仮想 Windows セッションとを切り替えられるようにする ときは、 [Allow user to switch between desktops] チェック ボックスを選択します。 このオプションを 選択すると、 ASD が提供するデータ保護のレベルがわずかに低下します。 8. [Save] をクリックします。 この操作により、 [End Point Control] ページに戻ります。 Aventail Secure Desktop を構成したら、 ゾーンの [Required data protection tool] としてこれを選択しな ければならなくなります。 詳細については、 171 ページの 「ゾーンの定義」 を参照してください。 メモ • さまざまな EPC 要件を持つ、 独立した 「信頼ゾーン」 で ASD を有効にすることで、 一定数のユーザーのみに ASD を提供することもできます。 ゾーンを使用して ASD の提供をコントロールする方法については、 171 ペー ジの 「ゾーンの定義」 を参照してください。 • ユーザーが ASD を実行できない場合 ( たとえばユーザーが Apple Macintosh や Linux コンピュータを使って いる場合 )、 アプライアンスは、 指定されている ACC 設定を使用して、 ACC を代わりに使用します。 ユーザー のコンピュータで ASD も ACC もロードできない場合、 ユーザーはログアウトします。 • データ保護の非アクティブ タイマー設定は、 ACC と ASD の両方に適用されます。 ACC と ASD で異なるタイム アウト設定を構成することはできません。 182|第 8 章 - End Point Control Sygate On-Demand Sygate On-Demand には、 高度なキャッシュ コントロールとデータ保護の機能があります。 アンチウイルス ソフトウェ ア、 パーソナル ファイアウォール、 サービス パック、 パッチなどの存在を確認することで、 クライアント コンピュータの ホストの整合性についても検証します。 Sygate On-Demand は、 それぞれのエンド ポイントのセキュリティを、 ネット ワーク ロケーションやホスト コンピュータの所有権など、 さまざまな環境条件に自動的に適合させます。 その上で、 Aventail セッションが終了した後も、 セキュアな仮想デスクトップ環境がエンド ポイントで維持されるようにします。 Sygate On-Demand は、 Aventail アプライアンスと統合してシームレスな経験をユーザーに提供すると同時に、 セ キュリティ ポリシーを適用して、 ハードウェアの追加の必要性を低減させます。 詳細については、 http://www.sygate.com/ssp/aventail/ を参照してください。 このコンポーネントは、 別途購入しなければなりません。 このコンポーネントを購入する方法については、 Aventail チャ ネル パートナーにお問い合わせください。 X Sygate On-Demand を有効にするには 1. Sygate On-Demand ファイルを取得します ( 詳細については Aventail チャネル パートナーに問い合わせ )。 2. Sygate On-Demand ファイルをアプライアンスの /usr/local/epcagents/htdocs/postauth/data/ssp ディレクトリにアップロードします。 3. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 4. [Post-authentication] で [Configure data protection] をクリックします。 この操作により、 [Configure Data Protection] ページが表示されます。 5. [Enable Sygate On-Demand Protection] チェック ボックスを選択します。 6. [Save] をクリックします。 この操作により、 [End Point Control] ページに戻ります。 メモ • Sygate On-Demand では、 Sun JVM 1.4.2 以降が必要になります。 ク ラ イ ア ン ト の整合性の検証 Aventail では、 WholeSecurity Confidence Online Enterprise Security ソリューションおよび Zone Labs Integrity Clientless Security ソリューションとの統合がサポートされています。 これらのソリューションでは、 ウイル ス、 マルウェア、 データの盗難など、 さまざまな脅威に対して認証前の保護を行います。 WholeSecurity Confidence Online Enterprise Edition On-Demand WholeSecurity のエンドポイント セキュリティ ソリューションでは、 トロイの木馬、 キーストローク ロガー、 ワームなど、 既知の脅威および未知の脅威に対して、 「未然の」 保護を提供します。 WholeSecurity Confidence Online Enterprise Edition On-Demand は、 ActiveX および Netscape プラグインを使用してオンデマンドで呼び出さ れ、 Aventail アプライアンスと統合して、 随時コンピュータ ( 企業が所有していないものも含め ) を保護します。 WholeSecurity Confidence Online Enterprise Edition On-Demand では、 特許出願中の動作検出テクノロ ジーを使用して、 ユーザーに署名の更新を求めることなく、 既知の脅威と未知の脅威の両方を自動的に識別して排除 します。 詳細については、 http://www.wholesecurity.com/products/on-demand.html を参照してください。 X WholeSecurity Confidence Online Enterprise Edition On-Demand との統合を有効にするには 1. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 2. [Pre-authentication] で、 [Configure client integrity] リンクをクリックします。 この操作により、 [Configure Client Integrity] ページが表示されます。 3. [WholeSecurity Confidence Online] をクリックします。 4. [URL where the Whole Security agent is hosted] ボックスに、Whole Security を受け取る URL を入力します。 URL には通常、 WholeSecurity サーバーの内部名に、 「/llclient/」 と WholeSecurity サーバーのデプロイメント名を続けます。 例を示します。 https://whole.example.com/llclient/<deployment_name> 5. [Save] をクリックします。 この操作により、 [End Point Control] ページに戻ります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 183 Zone Labs Integrity Clientless Security Zone Labs Integrity Clientless Security では、 ネットワークされたゲスト PC および従業員 PC に対する脅威か ら企業を保護します。 その際、 クライアント ソフトウェアのインストールは不要です。 Zone Labs Integrity Clientless Security は、 スパイウェアの無効化とリモート アクセスを与える前のセキュリティ ポリシー準拠の強制という、 クライアン トレス セキュリティの 2 つの必須要素を提供する唯一の製品です。 Zone Labs Integrity Clientless Security は、 Aventail アプライアンスと統合することで、 ID およびパスワード盗難を防止し、 データ損失を予防して、 ネットワーク 帯域幅を回復し、 IT およびユーザーの生産性を向上させます。 詳細については、 http://www.zonelabs.com/store/content/company/corpsales/clientSecurity.jsp を参 照してください。 X Zone Labs Integrity Clientless Security と の統合を有効にするには 1. Zone Labs Integrity Clientless Security ファイルを取得します ( 詳細については Aventail チャネル パー トナーに問い合わせ )。 2. Zone Labs Integrity Clientless Security ファイルをアプライアンスの /usr/local/epcagents/htdocs/preauth/malware//zls ディレクトリにアップロードします。 3. AMC のメイン ナビゲーション メニューから [End Point Control] をクリックします。 この操作により、 [End Point Control] ページが表示されます。 4. [Post-authentication] で [Configure client integrity] リンクをクリックします。 この操作により、 [Configure Client Integrity] ページが表示されます。 5. [Zone Labs Integrity Clientless Security] をクリックします。 6. [Save] をクリックします。 この操作により、 [End Point Control] ページに戻ります。 メモ • Zone Labs Integrity Clientless Security との統合を有効にしたら、Zone Labs アップデートを定期的にアッ プロードすることにより、 Zone Labs ソフトウェアを最新の状態に保つようにします。 Zone Labs Integrity Clientless Security では、 Aventail アプライアンスから自動更新を実行することはできません。 184|第 8 章 - End Point Control EX-750 イ ン ス ト ールおよび管理ガ イ ド | 185 第9章 ASAP WorkPlace ポー タ ル ASAP WorkPlace ポータルでは、 ユーザーによる Web ベースのリソースに対するアクセス (HTTP) を、 動的にパー ソナライズすることができます。 また、 ユーザーが、 Windows ファイル サーバーのファイルとフォルダへ Web ブラウ ザからアクセスできるようになる他、 ASAP WorkPlace が提供する Aventail OnDemand エージェントを使用して TCP/IP リソースにアクセスできるようになります。 ASAP WorkPlace のク イ ッ ク ツアー ユーザーが ASAP WorkPlace にアクセスすると、 ログイン ページが表示されます。 アプライアンスで複数のレルムが 構成されている場合、 ユーザーがいずれかのレルムを指定することになります。 次にユーザーは、 実際のクレデンシャルを指定するよう求められます。 クライアント証明書で認証するユーザーは、 この ページを目にすることはありません。 システムが End Point Control を使用するよう構成している場合に、 エンドユーザーがシステムにアクセスする方法が どう変わるかについては、 202 ページの 「End Point Control とユーザーの経験」 を参照してください。 186|第 9 章 - ASAP WorkPlace ポー タ ル [Home] ページ ユーザーの認証が終わったら、 ASAP WorkPlace の [Home] ページが表示されます。 ここには、ユーザーがアクセスを許可されている Web リソースおよびファイル システム リソースに対するショートカットで、 管理者が定義したものが表示されます。 これらのショートカットは、 アクセス ポリシーに基づいて動的に表示されるもの で、 ユーザーが使用する権限を持つリソースのみが表示されます。 これらのショートカットを作成する方法については、 190 ページの 「ショートカットの利用」 を参照してください。 ただし、 ファイル システム リソースに対するすべてのアクセスを拒否している場合は、 ファイル システム リソースをポイ ントするネットワーク ショートカットは表示されません。 ファイル システム リソースに対するアクセスを無効にする方法につ いては、 189 ページの 「ASAP WorkPlace の一般設定の構成」 を参照してください。 また、 [Intranet Address] ボックスを表示するよう選択することもでき、 その場合は、 Web リソース (URL を入力 ) またはファイル システム リソー ス (UNC パス名を入力 )、 あるいはその両方にアクセスするためにこれを使用できるよう構成することができます。 ASAP WorkPlace の [Home] ページには、 [Connection Status] エリアがあり、 現在動作しているユーザー アクセス方式、 ゾーン ステータス、 セッション開始時刻などが示されます。 ユーザーは、 このエリアの [Details] リン クをクリックすると、 動作しているユーザー アクセス方式の詳細を参照できる他、 詳細な接続ステータス情報も表示する ことができます。 Aventail OnDemand をユーザー環境にインストールする場合、 デフォルトでは、 ユーザーが WorkPlace にログイ ンするときに OnDemand が自動的に起動します。 ユーザーは、 [Connection Status] エリアで OnDemand 接続のステータスを参照することができます。 また、 ユーザーが WorkPlace の [Home] ページのリンクをクリックす ることで起動できるよう OnDemand を構成することもできます。 OnDemand とともに動作するよう構成した特定のクラ イアント / サーバー アプリケーションが自動的に起動するようショートカットを作成することもできます。 詳細については、 217 ページの 「OnDemand と一緒に使用するアプリケーションの構成」 を参照してください。 Aventail アクセス エージェントのいずれかをユーザー環境にインストールしている場合、 WorkPlace の [Home] ページには、 [Access Agents] エリアが表示され、 ユーザーが使用を許可されているアクセス エージェントがリスト されます。 このエリアには、 次のリンクが入ります。 • [OnDemand]: このリンクをクリックすると、 Aventail OnDemand が起動します。 • [Network Explorer]: このリンクをクリックすると、 共有フォルダとファイルが含まれる Windows ネットワーク をユーザーがブラウズできるようになります。 • [Software Update]: このリンクをクリックすると、 最新バージョンの Aventail アクセス エージェント ソフトウェ アをダウンロードすることができます。 ユーザー アクセス エージェントの詳細については、 205 ページの 「ユーザー アクセス コンポーネントおよびサービス」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 187 ユーザーは、 右上隅の [Log out] ボタンをクリックすることで、 WorkPlace からログアウトできます。 この [Log out] ボタンをクリックすると、 ユーザーは WorkPlace からログアウトしますが、 必ずしも、 動作中のアプリケーションからログ アウトするわけではありません ( どのユーザー アクセス エージェントが使用されているかによって異なる )。 セキュリティ を向上させるには、 アプリケーションを使用し終わった段階でログアウトして終了する必要があります。 特に他のユーザー と共有しているコンピュータの場合はこれが重要になります。 [Intranet Address] ボ ッ ク ス [Intranet Address] ボックスを有効にすると、 ASAP WorkPlace の右上隅にこのボックスが表示されるようになり ます。 [Intranet Address] ボックスでは、 リソースにアクセスするための別の方法が提供されます。 構成によっては、 WorkPlace が変換モードで動作している場合、 ユーザーは、 URL を入力することによって Web リソースにアクセスす ることができます。 また、 UNC パスを入力してファイル システム リソースにアクセスすることもできます (WorkPlace が 標準モードで動作している場合、 ユーザーは Internet Explorer の [Address] ボックスに直接 URL を入力可能 )。 これは、 DNS 全体または Windows ドメインをリソースとして定義しており、 ユーザーのグループがそのドメイン内 のすべてのリソースに直接アクセスできるようにしたい場合など、 特に便利です。 WorkPlace が変換モードで動作しているときに Web リソースにアクセスする場合、 ユーザーは URL を [Intranet Address] ボックスに入力して、 [Go] をクリックします。 ユーザーに適切なアクセス権限がある場合、 その Web リ ソースが、 新しいブラウザ ウィンドウで開きます。 [Intranet Address] ボックスは、 Web リソースにアクセスするた めのさまざまなユーザー入力を受け付けます。 ガイドラインをいくつか示します。 要素 説明 リ ソ ース ア ド レ ス リソースは、 完全な URL ( ドメインおよびホスト名 ) またはホスト名のみを入 力することでアクセスすることができます。 たとえば、 「fred」 というホストのリソース 「CRM」 にアクセスする場合、 完 全な URL (http://fred.example.com/CRM/) またはホスト名 (http://fred/CRM/ または fred/CRM/ など ) を使用してアクセスすることが できます。 プロ ト コル ユーザーは、 標準 Web リソースに http:// プロトコル識別子を入れる必要は ありません ( デフォルトで [Intranet Address] ボックスに挿入される )。 ただし、 セキュアな Web サイトにアクセスする場合は、 https:// プロトコル 識別子を入れなければなりません。 ポー ト 番号 非標準ポート ( つまり 80 以外のポート ) で Web リソースにアクセスする場 合、 ユーザーはホスト名の後にポート番号を指定しなければなりません。 たとえば、 「fred:8080/SAP」 と 「https://fred:443/SAP」 はどちらも有 効なエントリです。 ファイル システム リソースにアクセスする場合、 ユーザーは UNC パス ( たとえば 「\\jax\software\download」 ) を [Intranet Address] ボックスに入力して [Go] をクリックします。 ユーザーに適切なアクセス権限がある場合、 [Network Explorer] ページが開き、 要求されたファイル システム リソースの内容が表示されます。 [Intranet Address] ボックスの表示や機能を構成する方法については、 189 ページの 「ASAP WorkPlace の 一般設定の構成」 を参照してください。 188|第 9 章 - ASAP WorkPlace ポー タ ル [Network Explorer] ページ ユーザーが (ネットワーク ショートカットのクリック、[Intranet Address] ボックスへの UNC パスの入力、WorkPlace の [Home] ページの [Network Explorer] リンクのクリックのいずれかにより ) ファイル システム リソースにアクセ スすると、 [Network Explorer] ページが表示されます。 このページには、 要求されたファイル システム リソースの内容が表示されます。 ユーザーのアクセス権限により、 ファイ ルに対して、 内容とプロパティの表示、 名前の変更、 コピー、 移動、 ダウンロード、 削除などのアクションを実行する ことができます。 ユーザーは、 新しいフォルダを作成することもできます。 管理者がアップロード機能を有効にしており (189 ページの 「ASAP WorkPlace の一般設定の構成」 を参照 )、 ユーザーに書き込み権限がある場合、 ユーザー はファイルをアップロードすることができます。 ASAP WorkPlace のク ラ イ アン ト の要件 ASAP WorkPlace は、 次のオペレーティング システム、 Web ブラウザの組み合わせと互換性があります。 オペレーティング システム Web ブラウザ Service Pack 1 または 2 がインストールされ Service Pack 1 がインストールされた Microsoft Internet Explorer v6.0、 または Mozilla Firefox 1.0 た Windows XP Professional Service Pack 1 または 2 がインストールされ た Windows XP Home Edition、 Windows 2000 Macintosh OS X Macintosh Safari 1.2 または Mozilla Firefox 1.0 Linux Mozilla Firefox 1.0 メモ • Sygate On-Demand では、 Sun JVM 1.4.2 以降が必要になります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 189 ASAP WorkPlace の一般設定の構成 この節では、 ASAP WorkPlace の一般設定の構成方法について説明します。 WorkPlace の外観をカスタマイズす る方法については、 195 ページの 「WorkPlace サイト」 を参照してください。 X ASAP WorkPlace の一般設定を構成するには 1. メイン ナビゲーション メニューから [Services] をクリックして、 [Access services] セクションの [ASAP WorkPlace] で [Configure] をクリックします。 この操作により、 [Configure WorkPlace] ページが表 示されます。 2. このタブの上部のセクションで、 Windows ファイル システム アクセスを制御するオプションを指定します。 3. • ユーザーが Windows ファイル システム リソースに Web ベースでアクセスできるようにしたい場合、 [Enable access to network file shares] チェック ボックスを選択します。 このオプションが有効に なると、 ユーザーは、 ASAP WorkPlace から ([Network Explorer] ページ、 作成したネットワーク ショートカット、 [Intranet Address] ボックス経由 ( ただし表示されるよう構成している場合 ) で ) ファイ ル システム リソースにアクセスできるようになります。 このオプションが無効の場合、 ユーザーは、 ASAP WorkPlace から Windows ファイル システム リソースをブラウズしたり接続したりすることができなくなりま す。 • ユーザーが Windows ファイル システム リソースにファイルをアップロードできるようにしたい場合、 [Enable file uploads] チェック ボックスを選択します。 この機能は、 デフォルトで無効になっています。 この機能が有効になると、 アップロードするファイルのサイズによっては、 アプライアンスのパフォーマンスが 悪化します。 またこの設定は、 ファイル システムのアクセス制御ルールで設定しているユーザー権限よりも優 先されます。 アクセス ルールでファイル システムへの書き込みアクセスをユーザーに与えている場合でも、 ファイル アップロードが無効になっていれば、 ユーザーはファイルの移動と削除はできますが、 書き込みが できなくなります。 [Intranet Address box] エリアで、 WorkPlace における [Intranet Address] ボックスの表示と機能 を制御するオプションを指定します。 一方のオプションまたは両方のオプションを有効にしている場合、 [Intranet Address] ボックスが WorkPlace の右上隅に表示されるようになります。 どちらのオプションも無 効であれば、 このボックスは表示されません。 • ユーザーが UNC パスを [Intranet Address] ボックスに入力して Windows ファイル システムにアクセ スできるようにする場合、 [Enable access to Windows network resources] チェック ボックスを 選択します。 このチェック ボックスは、 ([Enable access to network file shares] チェック ボック スをクリックすることにより ) ファイル システム リソースに対する Web ベースのアクセスを許可している場合に 限って表示されます。 • ユーザーが URL を WorkPlace の [Intranet Address] ボックスに入力して Web リソースにアクセス できるようにする場合、 [Enable access to Web resources] チェック ボックスを選択します。 これ は、 DNS ドメイン全体をリソースとして定義しており、 ( そのドメイン内の個別の Web リソースを定義すること なしに ) ドメイン内のすべての Web サーバーへのアクセスを許可したい場合など、 特に便利です。 この設 定は、 WorkPlace が変換モードで動作している場合に限って適用されます。 Web リソースの定義については、 82 ページの 「リソースの追加」 を参照してください。 190|第 9 章 - ASAP WorkPlace ポー タ ル メモ • これらのオプションの影響を受けるのは、[Intranet Address] ボックスから選択できるリソースのタイプのみで、 アクセス制御ポリシーには影響しません。 • このボックスの詳細については、 187 ページの 「[Intranet Address] ボックス」 を参照してください。 ASAP WorkPlace のカ ス タ マ イズ ASAP WorkPlace は、 AMC から大幅にカスタマイズできるようになっています。 管理者は、 ユーザーに提示される Web リソースとファイル システム リソースの他、 ユーザーがこれらのリソースにアクセスできる方法、 ユーザー インタ フェースの表示方法などを制御することができます。 以下の節では、 WorkPlace ユーザー インタフェースのカスタマイズ方法の他、 Web ショートカットおよびネットワーク ショートカットの作成方法と管理方法について説明します。 ファイル システム リソースへのアクセス、 ファイル アップロー ド、 [Intranet Address] ボックスを有効にする方法については、 189 ページの 「ASAP WorkPlace の一般設 定の構成」 を参照してください。 Web リソースおよびファイル システム リソースに対するショートカットを構成することもできます。 ショートカットを構成する と、 ユーザーが [Intranet Address] ボックスに URL や UNC パスを入力する必要がなくなります。 これらのショー トカットは、 WorkPlace の [Home] ページに表示され、 素早く簡単に使用できます。 ユーザーが、 特定の URL や ファイル システム パスを知っておく必要はありません。 シ ョ ー ト カ ッ ト の利用 ASAP WorkPlace では、 Web リソースを利用するための適切なアクセス権限の他、 Web ブラウザを使用して、 Windows ファイル サーバーのファイルやフォルダをブラウズし利用するためのアクセス権限も与えられます。 ファイル システム リソースへのアクセスを有効にする方法については、 189 ページの 「ASAP WorkPlace の一般設 定の構成」 を参照してください。 デフォルトの場合、 リソースを AMC で定義していても、 適切なショートカットを作成しない限り、 WorkPlace には表示 されません。 この節では、 ASAP WorkPlace に表示されるショートカットの作成方法と管理方法について説明します。 シ ョ ー ト カ ッ ト の表示 [WorkPlace Shortcuts] ページで、 リソースに対するショートカットを管理します。 管理者は、 このページですべ てのショートカットのリストを参照することができます。 ただし、 ユーザーが ASAP WorkPlace にアクセスするとき、 アク セス ポリシーに従って、 そのユーザーがアクセス権限を持っているリソースのみを表示するようフィルタリングすることもで きます。 ASAP WorkPlace では、 このページの表示順序と同じ順序でショートカットが表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 191 X シ ョ ー ト カ ッ ト を表示するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. フィールドのデータを確認します。 • チェック ボックス列は、 1 つまたは複数のショートカットを選択するときに使用します。 ショートカットの削除 ([Delete] ボタンを使用 ) や順序変更 ([Move Up] ボタンおよび [Move Down] ボタンを使用 ) など を行うときにこれを使用します。 • 数値の列は、 ASAP WorkPlace でショートカットがリストされる順序を示します。 ショートカットを編集するとき は、 対応する番号をクリックします。 • [Link text] 列には、 Web リソースにアクセスするためのハイパーリンク テキストが表示されます。 リンク テ キストをクリックすることにより、 ショートカットを編集することもできます。 • [Resource] 列には、 リソースの名前が表示されます。 192|第 9 章 - ASAP WorkPlace ポー タ ル Web シ ョ ー ト カ ッ ト の追加 Web ショートカットを作成すると、 ユーザーが Web リソースに素早く簡単にアクセスできるようになります。 Web リソー スに対するショートカットを作成するときは、 あらかじめそのリソースを定義してなければなりません ( 詳細については、 82 ページの 「リソースの追加」 を参照 )。 X Web シ ョ ー ト カ ッ ト を追加するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. [Web shortcuts] エリアで、 [New] ボタンをクリックします。 この操作により、 [Add/Edit Web Shortcut] ページが表示されます。 3. [Number] ボックスに、 WorkPlace の [Web Shortcuts] リスト内のショートカットの位置を指定する数値を 入力します。 4. [Link text] ボックスに、 Web リソースにアクセスするときに使用するハイパーリンク テキストを入力します。 5. [Description] ボックスに、 そのショートカットについてのコメントをわかりやすく入力します。 この手順はオプ ションですが、 説明を入れておくと、 後で Web リソースを参照するときに識別しやすくなるため便利です。 このコ メントはリンク テキストの隣にも表示されます。 6. [Resource] リストで、 このショートカットがリンクしているリソースを選択します。 このリストには、 定義済みのす べての URL リソースが表示されます。 7. 必要であれば、 [Start page] ボックスを使用して、 選択した URL に固有の情報を追加します。 たとえば、 リ ンクがルート以外のディレクトリやファイルをポイントするようにしたい場合、 [Start page] ボックスにその相対パ スを入力します。 この機能は、 ルート以外のロケーションに内容を保管する Web アプリケーションで使用すると 便利です。 たとえば、 選択した URL が Outlook Web Access 用のもので、 mail.example.com をポイント する場合、 スタート ページを /exchange/root.asp に設定することができます。 この結果、 URL は https://mail.example.com/exchange/root.asp になります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 193 ネ ッ ト ワーク シ ョ ー ト カ ッ ト の追加 ネットワーク ショートカットを作成すると、 ユーザーがファイル システム リソースに素早く簡単にアクセスできるようになりま す。 ファイル システム リソースに対するショートカットを作成するときは、 あらかじめそのリソースを定義してなければなり ません ( 詳細については、 82 ページの 「リソースの追加」 を参照 )。 X ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を追加する には 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. [Network shortcuts] エリアで、 [New] ボタンをクリックします。 この操作により、 [Add/Edit Network Shortcut] ページが表示されます。 3. [Number] ボックスに、 WorkPlace の [Network Shortcuts] リスト内のショートカットの位置を指定する 数値を入力します。 4. [Link text] ボックスに、 ファイル システム リソースにアクセスするときに使用するハイパーリンク テキストを入力 します。 5. [Description] ボックスに、 そのショートカットについてのコメントをわかりやすく入力します。 この手順はオプ ションですが、 説明を入れておくと、 後でファイル システム リソースを参照するときに識別しやすくなるため便利 です。 このコメントはリンク テキストの隣にも表示されます。 6. [Resource] リストで、 このショートカットがリンクしているファイル システム リソースを選択します。 このリストに は、 定義済みのすべてのファイル システム リソースが表示されます。 個人フ ォルダを示すネ ッ ト ワーク シ ョ ー ト カ ッ ト の作成 ユーザーの個人フォルダを動的に参照するネットワーク ショートカットを作成することができます。この機能を使用すると、 ASAP WorkPlace で単一のショートカットを作成し、 カレント ユーザーの個人フォルダを動的に参照するよう設定する こ と がで き ま す。 た と え ば、 ユ ー ザ ー jdoe が ASAP WorkPlace に接 続 する と き、 リ ンク をク リッ クす る と、 「\\users\jdoe」 という名前のフォルダにアクセスできるようになります。 また、 ユーザー rsmith が同じリンクをクリック すると、 「\\users\rsmith」 フォルダにアクセスすることになります。 X 個人 フ ォルダに対する ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を作成するには 1. メイン ナビゲーション メニューから [Resources] をクリックします。 2. ユーザー フォルダを含む上位ディレクトリに対するものと、 ユーザー名変数を参照するものの 2 つのファイル シス テム リソースを定義します。 リソースを追加するには、 [Resources] タブをクリックして、 [New] ボタンをクリックします。 次に [Resource definition] エリアで [Network share] をクリックして、 UNC パスを指定します。 3. a. 最初のリソースは、 ユーザー フォルダを含む上位ディレクトリを参照します。 たとえば個人フォルダが、 \\example\users\ というネットワーク共有に保管されている場合、 「\\example\users」 と入力します。 b. 2 番目の リ ソ ース は、 ユーザー名変数、 XXX_Username_XXX を参照 し ます。 た と えば個人フ ォ ル ダが、 \\example\users\ と い う ネ ッ ト ワ ー ク 共有に保管 さ れてい る 場合、 「\\example\users\XXX_Username_XXX」 と 入力 し ます。 上位ディレクトリ ( この例では 「\\example\users\」 ) へのアクセスを許可するアクセス制御ルールを作成しま す。 194|第 9 章 - ASAP WorkPlace ポー タ ル 最も簡単な方法は、 すべてのユーザーがこのリソースにアクセスできるようにした上で、 Windows ネイティブのア クセス制御を使用して、 それぞれのユーザーのアクセス権を自身のディレクトリに限定することです。 4. ユーザー名変数 ( この例では 「\\example\users\XXX_Username_XXX」 ) が含まれるリソースを参照する WorkPlace ネットワーク ショートカットを作成します。 XXX_Username_XXX 変数は、 [Link text] ボックスでも使用することができます。 たとえば、 [Link text] ボックスに 「\\example\users\XXX_Username_XXX」 と入力すると、 ユーザー jdoe が WorkPlace を開 くとき、 ハイパーテキスト リンクは 「\\example\users\jdoe」 のようになります。 シ ョ ー ト カ ッ ト の編集 ASAP WorkPlace に表示されるリソースの名前や説明を変更する場合は、 ショートカットを編集する必要があります。 リ ソースを定義するときに新しい WorkPlace ショートカットを作成することもできますが、 既存のショートカットの設定を編 集する場合は、 [WorkPlace Shortcuts] ページを使用しなければなりません。 X シ ョ ー ト カ ッ ト を編集するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. [Web shortcuts] エリアまたは [Network shortcuts] エリアで、 編集するショートカットの番号またはリン ク テキストをクリックします。 たとえば、 [Web shortcuts] リストの 3 番目のショートカットを編集したい場合 は、 [Web shortcuts] エリアで 「3」 をクリックします。 3. 必要な編集を行って、 [Save] をクリックします。 シ ョ ー ト カ ッ ト の削除 ショートカットを削除すると、 ユーザーが ASAP WorkPlace を開いてもそのショートカットが表示されなくなります。 リソー スを定義するときに新しい WorkPlace ショートカットを作成することもできますが、 ショートカットを削除する場合は、 [WorkPlace Shortcuts] ページを使用しなければなりません。 X シ ョ ー ト カ ッ ト を削除するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. [Web shortcuts] エリアまたは [Network shortcuts] エリアで、 削除するショートカットの左にあるチェッ ク ボックスを選択して、 [Delete] ボタンをクリックします。 複数のシ ョ ー ト カ ッ ト の移動 ASAP WorkPlace には、 ショートカットのリストが、 [WorkPlace Shortcuts] ページとまったく同じ順序で表示さ れます。 この機能では、 ショートカットを一度に 1 段階または複数段階移動することができます。 この機能は、 たとえ ば頻繁に使用するショートカットをリストの先頭に置きたい場合などに使用すると便利です。 X 複数のシ ョ ー ト カ ッ ト を移動するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. [Web shortcuts] エリアまたは [Network shortcuts] エリアで、 移動するショートカットの左にあるチェッ ク ボックスを選択します。 3. [Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。 ボタンをクリックすると、 選択した ショートカットがまとまった状態でリストの中をそれぞれ上下方向に 1 段階ずつ移動します。 個別のシ ョ ー ト カ ッ ト の移動 ASAP WorkPlace には、 ショートカットのリストが、 [WorkPlace Shortcuts] ページとまったく同じ順序で表示さ れます。 この機能では、 個別のショートカットの位置を変更することができます。 この機能は、 たとえばショートカットをリ ストの上下方向に素早く数段階移動したい場合に使用すると便利です。 X シ ョ ー ト カ ッ ト を移動するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブを クリックします。 2. 移動するショートカットの番号またはリンク テキストをクリックします。 たとえば、 3 番目のショートカットを移動した い場合は 「3」 をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 195 3. [Number] ボックスに、 新しいリスト位置を表す数値を入力します。 たとえば、 リストの 5 番目の位置に移動し たい場合は、 [Number] ボックスに 「5」 と入力します。 複数のショートカットを移動する方法については、 194 ページの 「複数のショートカットの移動」 を参照してください。 WorkPlace サイ ト さまざまなユーザー セグメントに応じて複数の WorkPlace サイトを作成することができます。 それぞれのサイトには、 独 特の外観 ( ロゴ、 見出し、 あいさつ文 ) と固有の外部 URL を設定することができます。 たとえば、 従業員向けに、 タ イトルとロゴをカスタマイズした WorkPlace サイトを作成し、 外部 URL、 http://employees.mycompany.com を 割り当てて、 パートナー向けには、 タイトルとロゴをカスタマイズしたサイトを作成し、 外部 URL、 http://partners.mycompany.com を割り当てることができます。 複数のレルムを構成している場合、 オプションで、 WorkPlace サイトを特定のレルムと対応させることができます。 ユー ザーは、 通常であれば、 認証プロセスでログインするレルムを指定しなければなりませんが、 こうしておくと、 このプロ セスを省略することができます。 ただし、 WorkPlace サイトを特定のレルムと対応させると、 ユーザーが他のレルムへ のログインを選択できなくなります。 また、 指定されているレルムにユーザーが所属していない場合は、 この WorkPlace サイトにアクセスできなくなります。 ASAP WorkPlace では、 次のコンポーネントをカスタマイズすることができます。 企業ロ ゴ WorkPlace タ イ ト ル カ ス タ ム URL カ ス タ ム ヘルプ フ ァ イルへの リ ン ク あい さ つ文 ユーザーが外部 URL を入力して ASAP WorkPlace に到達する場合、 その URL の先頭に http:// プロトコル識別 子を付けなければなりません。 ユーザーが外部 URL を入力して WorkPlace に到達したら、 その接続は、 セキュアな HTTP (HTTPS) を使用し https:// プロトコル識別子を持つセキュア サイトにリダイレクトされます。 メモ • AMC には、 定義済みのデフォルト WorkPlace サイトが用意されています。 このデフォルト サイトは編集できま すが、 削除することはできません。 • カスタム WorkPlace サイトを指定しない場合、 またはユーザーがデフォルト名を使用してアプライアンスにアクセ スする場合、 デフォルト WorkPlace サイトが自動的に使用されます。 196|第 9 章 - ASAP WorkPlace ポー タ ル WorkPlace サイ ト の追加 AMC には、 定義済みのデフォルト WorkPlace サイトが用意されています。 WorkPlace サイトを追加したい場合は、 必要に応じて、 新しいサイトを作成することができます。 X WorkPlace サイ ト を追加するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック します。 2. [New] をクリックします。 この操作により、 [Configure WorkPlace Site] ページが表示されます。 3. [Configure WorkPlace Site] ページの [General] セクションで、 [Name] ボックスに WorkPlace サ イトの名前を入力します。 4. [Description] ボックスに、 WorkPlace サイトについてのコメントをわかりやすく入力します。 5. [Fully qualified domain name] ボックスに、 WorkPlace サイトを表す FQDN のホスト部分を入力しま す。 ユーザーは、 WorkPlace にアクセスするとき、 「http://」 接頭辞を付けてこの名前を入力します。 ただしこの外部 FQDN は、 ユーザーに通知して、 WorkPlace にアクセスする方法を知らせなければなりません。 またこの FQDN は、 パブリック DNS にも追加しなければなりません。 6. ユーザーが、 ログインするレルムを指定する手順を省略してこの WorkPlace サイトにログインできるようにするに は、 [Realm] リストから適切なレルム名をクリックします。 レルムを指定する場合、 そのレルムのメンバー以外、 その WorkPlace サイトにアクセスできなくなります。 ただ し、 [Prompt for realm] オプションを選択している場合は、 任意のユーザーがそのサイトにアクセスできるよ うになります。 [Prompt user for realm] オプションを選択した場合、 ユーザーは、 この WorkPlace サイ トにログインするたびにレルムを指定しなければならなくなります。 7. [Next] をクリックします。 [Appearance] セクションに次の情報を入力します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 197 8. a. [Font family] リストで、 使用するフォントを選択します ([Serif] または [Sans-serif])。 b. [Color scheme] エ リ アで、 カ ラ ー ス キーム を選択 し ます。 カ ラ ー ス キームのサム ネールを表示 す る と き は、 色の名前 ([Dark blue]、 [Light blue]、 [Purple]、 [Red]、 [Green]) を ク リ ッ ク し ます。 大 き いバージ ョ ンのサム ネールを表示す る 場合は、 イ メ ージ を ク リ ッ ク し ます。 [Content] エリアで、 次の情報を入力します。 a. デフォルトの場合、 WorkPlace では Aventail のロゴが表示されます。 ロゴをカスタマイズする場合、 [Replace with] ボックスを使用して、 使用するグラフィックを指定します。 イメージ ファイルのパスを直 接入力するか、 [Browse] ボタンをクリックして、 使用する .gif ファイルまたは .jpg ファイルを選択しま す。 きれいに表示されるようにするため、 グラフィックの寸法が幅 200 ピクセル×高さ 100 ピクセルを超え ないようにします。 b. [Title] ボ ッ ク ス に、 ページの タ イ ト ルお よ びブ ラ ウ ザの タ イ ト ル バーに表示す る テ キ ス ト を入力 し ます。 タ イ ト ルは、 25 文字以内に し なければな り ません。 c. [Greeting] ボ ッ ク ス に、 タ イ ト ルの下に表示 さ れ る あい さ つ文を入力 し ます。 あい さ つ文は、 250 文字以内に し なければな り ません。 d. [Help file] エ リ アで、 [Browse] ボ タ ン を ク リ ッ ク し て、 カ ス タ ム ヘルプ情報を含む HTML フ ァ イ ルを ア ッ プ ロ ー ド し ます。 こ の フ ァ イ ルは、 正 し い書式の HTML フ ァ イ ルでなければな り ません。 デフォルト WorkPlace Help システムには、 エンドユーザーが WorkPlace を使用する上で必要になるす べての情報が含まれていますが、 カスタム ヘルプの内容もこれに統合されます。 そのため、 ユーザーの便 宜を図る目的で、 VPN で使用できるリソースに関する詳細な情報を提示したり、 テクニカル サポートを受け る方法を記述したりすることができます。 9. WorkPlace サイト設定を保存する場合は [Save] または [Finish]、 工場出荷時のデフォルト WorkPlace サ イト設定へ復帰する場合は [Reset to default] をクリックします。 WorkPlace サイ ト の編集 デフォルト WorkPlace サイトの [Appearance] 設定を編集することができます。 ただし、 デフォルト WorkPlace サイトの [General] 設定は編集できません。 X WorkPlace サイ ト を編集するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック します。 2. 編集する WorkPlace サイトの名前をクリックします。 この操作により、 [Configure WorkPlace Site] ペー ジが表示されます。 3. [General] セクションおよび [Appearance] セクションで、 必要に応じてデータを編集し、 [Save] をクリッ クします。 198|第 9 章 - ASAP WorkPlace ポー タ ル WorkPlace サイ ト のコ ピー 新しい WorkPlace サイトをゼロから作成するということをせずに、 既存のサイトをコピーしてから、 新しいサイトに合わせ て特定のパラメータだけを変更することで、 時間を節約することができます。 作成しようとしているサイトとほとんどの特性 が共通する、 コピー元の WorkPlace サイトを選択します。 X WorkPlace サイ ト を コ ピーするには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック します。 2. コピーする WorkPlace サイトの隣にあるチェック ボックスを選択します。 3. [Copy] をクリックします。 この操作により、 [Configure WorkPlace Site] ページが表示されます。 [Number] フィールドが 「Copy of <site name>」 になっている以外は、 WorkPlace サイトのすべての フィールドが、 コピー元のサイトと同じになっています。 4. [Name] にサイトの新しい名前を入力します。 5. [Description] ボックスに、 サイトのコメントを新しく入力します。 同じコメントにしておくこともできますが、 それ ぞれのサイトに個別のコメントをわかりやすく入れておくことが理想的です。 6. [Configure WorkPlace Site] ページの [General] セクションおよび [Appearance] セクションで、 他のフィールドの設定も適宜変更し、 [Save] をクリックします。 WorkPlace サイ ト の削除 WorkPlace サイトが不要になったら、 削除することができます。 ただし、 デフォルト WorkPlace サイトは削除すること ができません。 X WorkPlace サイ ト を削除するには 1. メイン ナビゲーション メニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリック します。 2. 削除する WorkPlace サイトの左にあるチェック ボックスを選択して、 [Delete] ボタンをクリックします。 ASAP WorkPlace のログイ ン ページ、 エ ラー ページ、 通知ページのカ ス タ マ イズ この節では、 ASAP WorkPlace で、 認証ページ、 エラー ページ、 通知ページなど、 特定のページをカスタマイズ する方法について説明します。 概要 : WorkPlace テ ン プ レー ト のカ ス タ マ イズ AMC では、 メイン WorkPlace ページのロゴ、 カラー スキーム、 あいさつ文など、 ASAP WorkPlace の外観を修 正できるようになっています。 AMC カスタマイズでは、 全般的なルック アンド フィールを便利な方法で変更できますが、 デプロイメントによっては、 十分に制御できないこともあります。 次に、 アプライアンスのテンプレートを修正する必要がある場合の例をいくつか示します。 • ログイン ページとログオフ ページを、 企業の標準と一貫性のあるものにする場合。 • ( リソースが使用できない場合やユーザーが不正なクレデンシャルを指定した場合に表示される ) エラー ページを 修正して、 詳細なサポートやトラブルシューティング情報が入るようにする場合。 • ASAP WorkPlace の代わりに、 既存の企業ポータル ( ポータル アプリケーションがエイリアスとして定義されてい る場合 ) を使用する場合。 この場合、 既存のポータルとルック アンド フィールが一致するように、 ログイン ペー ジ、 ログオフ ページ、 通知ページ、 エラー ページをカスタマイズします。 • 特定のアプリケーション (アプリケーションがエイリアスとして定義されている場合) に対するアクセスをビジネス パー トナーに提供する場合。 この場合、 そのアプリケーションとルック アンド フィールが一致するように、 ログイン ペー ジ、 ログオフ ページ、 通知ページ、 エラー ページをカスタマイズします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 199 カスタマイズできるテンプレートは、 大きく次の 3 つに分けることができます。 テンプレート タイプ 説明 認証 ユーザーのクレデンシャルを収集するためのページ。 レルムの選択、 ユーザー 名、 パスワード、 パスコードの選択なども行います。 ネットワークへのログインの方法をユーザーに知らせる場合、 これらのテンプレー トを使用します。 不正なユーザー入力 ( 不許可メッセージまたはログイン失敗 ) やアプライアンスの エラーなど、 エラーが発生したときに表示されるページ。 エラー 管理者の連絡先など、 問題を修正するための方法をユーザーに知らせる場合、 これらのテンプレートを使用します。 通知 システムとの通信で必要な基本情報をユーザーに提供するページ。 ログアウト ページ ( ログアウト成功の確認 ) や、 認証モジュールからのメッセージを含む ページ ( パスワードの期限切れ警告 ) もこれに含まれます。 これらのテンプレートには、 特殊な情報要件はありません。 認証テンプレートとエ ラー テンプレートを修正した場合、 一貫性を保つため、 通知テンプレートも修正し なければなりません。 こ れ らのページのレ イ アウ ト を設計 し 直 し た り 、 グ ラ フ ィ ッ クやテキス ト を追加 し た り する こ と はで き ますが、 既存の要素を修正 し た り 削除 し た り する こ と はで き ません。 た と えば、 認証ページの場合、 [Login] ボ タ ンの 名前を変え る こ と はで き ません。 これ らの要素は、 WorkPlace に よ っ て動的に生成 さ れる も のです。 メモ • ログイン後、 ユーザーに提示される WorkPlace ページは、 手作業でカスタマイズすることはできません。 AMC からコントロールします。 テ ン プ レー ト フ ァ イルを一致さ せる方法 テンプレートはグローバルにカスタマイズできる他、 リソース単位でカスタマイズすることもできます。 たとえば、 単一の デザインを使用するようグローバル テンプレートをカスタマイズし、 そのテンプレートを修正することによって、 特定の Web リソース ( エイリアスの場合 ) に対するデザインを上書きすることができます。 あるリソースにユーザーが接続すると、 アプライアンスは最初に最も範囲が狭いテンプレートを検索します。 その範囲で テンプレートが見つからない場合、 そのカテゴリ ( 認証、 エラー、 通知 ) に対応する汎用のテンプレートをチェックしま す。 どちらも見つからなかった場合、 デフォルト WorkPlace テンプレート (AMC が管理するもの ) が使用されます。 次の表は、 さまざまなテンプレートと、 それに対応するファイル名を示しています。 テンプレート 説明 ファイル名 認証 ユーザーによるレルムの選択 realm-select.tmpl ユーザーによるログイン クレデンシャルの 指定 authentication-request.tmpl レルム選択の失敗 realm-error.tmpl 不正なクレデンシャル authentication-error.tmpl リソースへのアクセスが拒否 authorization-error.tmpl アプライアンス ライセンス数の制限オーバー licensing-error.tmpl End Point Control エラー epc-error.tmpl 認証通知 ( パスワードの期限切れなど ) authentication-status.tmpl ログオフ成功ページ logoff-status.tmpl エラー ス テー タ ス 200|第 9 章 - ASAP WorkPlace ポー タ ル テンプレート 説明 ファイル名 汎用 End Point Control ダウンロード ページ epc-launch.tmpl ユーザーによるログイン クレデンシャルの 指定 authentication.tmpl 一般エラー error.tmpl 一般ステータス status.tmpl 一般ページ custom.tmpl メモ • デフォルト WorkPlace テンプレート ファイル (extraweb.tmpl) は、 編集することができません。 変更しても、 AMC で WorkPlace をカスタマイズすると上書きされてしまいます。 WorkPlace テ ン プ レー ト のカ ス タ マ イズ ASAP WorkPlace の外観は、 複数の HTML テンプレートで制御されています。 テンプレートをカスタマイズするには、 標準的な Web デザイン ツールやテキスト エディタなどを使用して、 HTML ファイルを作成します。 X 1. WorkPlace テ ン プ レー ト を カ ス タ マ イ ズするには 望ましいレイアウトで HTML ファイルを作成し、 次のような WorkPlace 固有のタグを追加します。 • BODY タグ内に、 「EXTRAWEB」 を含む HTML COMMENT タグを追加します。 <!-- EXTRAWEB --> このタグは、 アプライアンスによって動的に生成されるコンテンツがどこに入るか決定します。 • 外部 JavaScript ファイルに対する参照を追加します。 <script language="javascript" src="/__extraweb__/template.js"></script> • テンプレートで (.css ファイルまたは AMC で構成したカスタム ロゴを含め ) WorkPlace コンテンツを表示さ せるには、 /__extraweb__/images/ パスを参照するよう HTML コードを修正します。 例を示します。 <img src="/__extraweb__/image/mylogo.gif"> 2. .tmpl 拡張子を使用して、 ファイルに適切なファイル名を付けて保存します (199 ページの 「テンプレート ファイ ルを一致させる方法」 を参照 )。 メモ • images ディレクトリが存在しない場合は、 次のコマンドを実行して作成します。 mkdir -p /usr/local/extranet/htdocs/_extraweb_/images EX-750 イ ン ス ト ールおよび管理ガ イ ド | 201 WorkPlace カ ス タ ム テ ン プ レー ト のア ッ プ ロー ド この節では、 WorkPlace カスタム テンプレートをアプライアンスにアップロードする方法について説明します。 X WorkPlace カ ス タ ム テ ン プ レー ト を ア ッ プ ロー ド するには 1. SSH を使用してアプライアンスと接続します。 2. 適切なディレクトリに移ります。 • デフォルト WorkPlace サイトのテンプレートは /usr/local/extranet/templates に保管されています。 • カスタム WorkPlace サイトのテンプレートは /usr/local/extranet/templates/<site_ID> に保管され ています。 ただし <site_ID> はサイトの AMC 生成 ID 文字列で、 AMC の [Configure WorkPlace Site] ページの [General] セクションに表示されるものと同じです。 WorkPlace サイ ト の ID 文字列 3. カスタム テンプレートをアプライアンスにアップロードします。 テンプレート ファイルには、 ワールドリーダブル ( つ まり 644) なアクセス権限を割り当てます。 4. サポート ファイル ( カスケーディング スタイル シートやイメージなども含む ) を /usr/local/extranet/htdocs/__extraweb__/images ディレクトリにコピーします。 メモ • images ディレクトリが存在しない場合は、 次のコマンドを実行して作成します。 mkdir -p /usr/local/extranet/htdocs/_extraweb_/images ユーザーによ る ASAP WorkPlace へのア ク セスの許可 ASAP WorkPlace は Web アプリケーションであるため、 標準 Web ブラウザからアクセスすることができます。 ユー ザーには、 WorkPlace に対するデフォルト URL を通知する必要があります。 この場合のデフォルト URL は、 「https://<server_name>」 で、 server_name は、 アプライアンスの SSL 証明書に記述されている正規のドメイ ン名 (FQDN) になります (39 ページの 「SSL 証明書の構成」 を参照 )。 また、 カスタマイズ済みの WorkPlace サイトにユーザーがアクセスできるようにしたい場合、 ユーザーには、 そのサイ トの URL を通知します。 この場合の URL は、 「http://<custom_fqdn>」 で、 <custom_fqdn> は、 WorkPlace サイトに対応する外部 FQDN になります (195 ページの 「WorkPlace サイト」 を参照 )。 他の Web ページへのユーザーの リ ダ イ レ ク ト ネットワーク リソースへのアクセスを可能にする Web ポータルがある場合、 ASAP WorkPlace の代わりにそれを使用 することもできます。 その場合、 ユーザーをアプライアンスで認証した後、 自動的にそのポータルにリダイレクトすること ができます。 ただし、 ユーザーが ASAP WorkPlace にアクセスしていない場合、 Windows ファイル システム リソー スへ Web アクセスすることはできません。 ユーザーをリダイレクトする場合、 ポータルのホーム ページをポイントするよう、 スタート ページを修正します。 デフォル トの場合、 スタート ページは、 メタリフレッシュ タグを使用して、 自動的に ASAP WorkPlace を表示するよう構成され ています。 202|第 9 章 - ASAP WorkPlace ポー タ ル X ユーザーを他のサイ ト に リ ダ イ レ ク ト するには 1. vi などのテキスト エディタで /usr/local/extranet/htdocs/__extraweb__/index.html を開きます。 2. ファイルの <HEAD> セクションで <meta> タグを探し、 refresh= 属性を変更して、 Web ポータルをポイ ントするようにします。 次の例では、 WorkPlace スタート ページがロードされた時点で即座に (0 秒で ) ユー ザーがポータル ページにリダイレクトされます。 <meta http-equiv="refresh" content="0; URL=/servlets/iclient/app"> 3. ファイルを保存します。 他の Web サイ ト からの ASAP WorkPlace へのア ク セス ネットワーク上の他の Web ページまたはポータルから ASAP WorkPlace にアクセスできるよう設定することもできます。 X 他の Web サイ ト から ASAP WorkPlace へア ク セスするには 1. https://server_name/ へのハイパーリンクを作成し、 server_name をアプライアンスの実際の名前で置き 換えます。 その場合、 アプライアンスの SSL 証明書に記述されている FQDN を使用する必要があります。 また、 カスタマイズしている WorkPlace サイトにユーザーがアクセスできるようにする場合、 http://<custom_fqdn> へのハイパーリンクを作成し、 custom_fqdn を、 WorkPlace サイトに対応する外 部 FQDN で置き換えます (195 ページの 「WorkPlace サイト」 を参照 )。 2. [Log out] ボタンを設けるには、 https://server_name/__extraweb__logoff をポイントするハイパーリン クを作成します ( この場合も、 server_name を、 アプライアンスの SSL 証明書に記述されている実際の FQDN で置き換えます )。 こうすることで、 ユーザー アカウントのセキュリティを守ることにもなります。 End Point Control と ユーザーの経験 Aventail End Point Control コンポーネントが有効になっているとき、 WorkPlace ログイン プロセスで、 別の手順 が必要になります。 この手順は、 Aventail Secure Desktop (ASD) が使用されているか Aventail Cache Control (ACC) が使用されているかで異なります。 Aventail End Point Control の詳細については、 165 ページの 「概要 : End Point Control」 を参照してください。 Aventail Secure Desktop の動作方法 ASD を使用すると、 一般的な WorkPlace セッションに次の手順が追加されます。 1. Web ブラウザで、 ユーザーが適切な WorkPlace URL を入力します。 2. ユーザーが WorkPlace にログインします。 3. Aventail セキュリティ警告が表示されたら、 ユーザーはこれを承認しなければなりません。 ASD デスクトップが 表示され、 タスクバー表示エリアに ASD アイコンが現れます。 ASD デスクトップの新しいブラウザ ウィンドウに、 WorkPlace ログイン ページが自動的に表示されます。 4. ユーザーが、 必要に応じてネットワーク リソースにアクセスします。 5. WorkPlace セッションでの作業が終了したら、 WorkPlace を終了します。 これにより WorkPlace セッションが 終了し、 ブラウザ ウィンドウがクローズします。 ASD は、 ダウンロードされローカル ハード ディスクに保管された セッション関連のすべてのデータ ファイルを永続的に削除します。 しかも、 Web ブラウザに関連する一時データ があれば、 それも削除します。 メモ ASD は、 セッション関連のすべてのデータ ファイルをローカル ハード ディスクから永続的に削除するため、 ユーザー には、 ASD を使用しているときはデータをローカル ディスクに保存しないよう通達してください。 例を示します。 • フ ァ イルを ロー カル デ ィ ス ク に保存 し ない こ と 。 たとえばユーザーがネットワークからファイルをダウンロードし てそれをハード ディスクに保存すると、 セッションの終了時に削除されます。 • ア プ リ ケーシ ョ ン デー タ を ロー カル デ ィ ス ク に保存 し ない こ と 。一部のクライアント/サーバー アプリケーショ ン (Microsoft Outlook など ) では、 ユーザーがデータをローカルに保管できるようになっています。 ユーザー は、 これらのアプリケーションと ASD との通信に気を配る必要があります。 たとえば、 Outlook ユーザーが、 ASD の動作中にデータをローカルに (.pst ファイルに ) 保管し、 電子メール メッセージをシステムの 「Inbox」 からローカルのメール フォルダに移動する場合、 セッション終了時に、 メッセージがローカル ディスクから削除さ れます。 ユーザーが、 ASD によって作成されている仮想セッションを認識しやすくするため、 デスクトップには、 特有の背景色とイメージが表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 203 Aventail Cache Control の動作方法 ACC を使用すると、 一般的な WorkPlace セッションに次の手順が追加されます。 1. Web ブラウザで、 ユーザーが適切な WorkPlace URL を入力します。 2. ユーザーが WorkPlace にログインします。 3. Aventail セキュリティ警告が表示されたら、 ユーザーはこれを承認しなければなりません。 ACC アイコンがタスク バー表示エリアに現れます。 4. ユーザーが、 必要に応じてネットワーク リソースにアクセスします。 5. ACC セッションが終了したら、 ACC は、 セッション関連のすべてのデータを削除します。 メモ • ACC の起動時に他のブラウザ ウィンドウが閉じるよう構成している場合、 ユーザーに対して、 URL をブックマーク するか、 まだ送信していないデータが失われないよう注意を呼びかける必要があります。 204|第 9 章 - ASAP WorkPlace ポー タ ル EX-750 イ ン ス ト ールおよび管理ガ イ ド | 205 第 10 章 ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス Aventail アプライアンスには、 ネットワーク上のリソースに対するユーザー アクセスを可能にするコンポーネントが含ま れています。 この節では、 それぞれのユーザー アクセス コンポーネントと、 それを制御するアクセス サービスについて 説明します。 ユーザー アクセス コンポーネントの多くは、 ASAP WorkPlace ポータルから設定し有効にします。 詳細については、 185 ページの 「ASAP WorkPlace ポータル」 を参照してください。 概要 : ユーザー ア ク セス エージ ェ ン ト 次の表では、 それぞれのアクセス エージェントについて、 機能と要件を比較しています。 システム要件の詳細につい ては、 7 ページの 「クライアント コンポーネント」 を参照してください。 206|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス Aventail OnDemand プロキシ エージェント、 マップド モード Aventail Connect プロキシ クライアント x x x x x TCP または UDP ベースのクライアント / サーバー アプリケーション x x URL および Web アプリケーション x x トランスレーテッド Web エージェント Aventail OnDemand プロキシ エージェント、 ダイナミック モード TCP ベースのクライアント / サーバー アプリケーション Web アクセス (HTTP プロトコル ) Web プロキシ エージェント Aventail Connect トンネル クライアント プロキシ アクセス (IP プロトコル ) Aventail OnDemand トンネル エージェント ネットワーク トンネル アクセス (IP プロトコル ) x x x x ア プ リ ケーシ ョ ン サポー ト x x x x x x Windows ネ ッ ト ワーキング サポー ト Web ベースのファイル アクセス x ネイティブ Windows ファイル アクセス ([ ネットワーク コンピュータ ]) x x x マップド ネットワーク ドライブ x x x x x Windows ドメイン ログイン サポー ト さ れている接続 タ イ プ 順方向接続 x x 逆方向接続 (FTP や SMS など ) x x 相互接続 (VoIP など ) x x x x x x x x x x x x x x サポー ト さ れている オペ レーテ ィ ング シ ス テム Windows Linux または Macintosh x x Pocket PC x x クライアント / エージェントのインストールで 必要な管理者権限 x x x x x x x x x x デプ ロ イ メ ン ト WorkPlace からの自動起動 WorkPlace からの設定 x WorkPlace 以外からの設定 x x x x EX-750 イ ン ス ト ールおよび管理ガ イ ド | 207 Aventail Connect プロキシ クライアント ( 個別にインストール ) 以外のすべての Aventail ユーザー アクセス コン ポーネントは、 ASAP WorkPlace ポータルで設定し有効にします。 オプションとして、 Aventail Connect トンネル クライアント コンポーネントを使用できるようにすると、 ユーザーが、 ASAP WorkPlace にログインせずに、 他のネット ワーク ロケーション (Web サーバー、 FTP サーバー、 ファイル サーバーなど ) からダウンロードとインストールを行え るようになります。 ユーザー アクセス エージェントは、 コミュニティ単位でインストールすることができます。 ユーザー コミュニティを構成す るとき、 コミュニティのメンバーが、 どのアクセス方式を使用して、 ネットワーク上のリソースに接続できるようにするか指 定することができます。詳細については、 108 ページの「コミュニティに対するアクセス方式の選択」を参照してください。 複数のエージェントを同時にアクティブにすることもできます。 たとえば、 ダイナミック モードの OnDemand プロキシ エージェントと Web プロキシ エージェントを同時にアクティブにすることができます。 OnDemand をダイナミック モー ドで使用すると、 ユーザーが TCP/IP リソースにアクセスできるようになり、 Web プロキシ エージェントを使用すると、 ユーザーが Web リソースにアクセスできるようになります。 ユーザーが初めて ASAP WorkPlace にログインするとき、そのユーザーのコミュニティの設定に基づいて、適切なユー ザー アクセス エージェントが自動的に設定されインストールされます。 デプロイされているエージェントは、 ユーザーの コンピュータにインストールされ、 その後、 同じコンピュータから同じ Web ブラウザに接続されるときは、 同じエージェ ントが自動的にデプロイされます。 ASAP WorkPlace Aventail ASAP WorkPlace は、 Web ベースのポータルで、 Web プロキシ サービスで保護された Web リソースに 対するアクセスを、 動的にパーソナライズすることができます。 また、 ユーザーが、 ネットワーク ファイル サーバーを Web ブラウザからブラウズできるようになります。 ユーザーが ASAP WorkPlace にログインするとホーム ページが現 れ、 管理者が定義したショートカットのリストが表示されます。 これらのショートカットは、 ユーザーがアクセス権限を持 つ、 Web ベースのリソースと Windows ファイル システムのリソースをポイントしています。 Aventail Connect プロキシ クライアント ( 個別にインストール ) 以外のすべての Aventail ユーザー アクセス コン ポーネントは、 ASAP WorkPlace ポータルで設定し有効にします。 ASAP WorkPlace は、 任意の標準 Web ブラウザからアクセスすることができます。 詳細については、 185 ページの 「ASAP WorkPlace ポータル」 を参照してください。 Network Explorer Network Explorer は、 ASAP WorkPlace で使用する Web ベースのユーザー インタフェースです。 ユーザーに アクセス権限がある場合、 これを使用することで、 共有されている Windows ファイル システム リソースにアクセスする ことができます。 このリソースには、 ドメイン、 サーバー、 コンピュータ、 ワークグループ、 フォルダ、 ファイルなどが含 まれます。 Network Explorer は、 オプション コンポーネントであり、 ポリシーで制御できる他、 完全に無効にすることもできま す。 WorkPlace がサポートする任意のブラウザがサポートされています。 詳細については、 185 ページの 「ASAP WorkPlace ポータル」 を参照してください。 Aventail ト ンネル ク ラ イ アン ト Aventail Smart Tunneling は、 TCP および UDP トラフィック、 リモート ヘルプ デスク アプリケーションなどの双方 向トラフィック、 VoIP アプリケーションなどの相互接続、 SMS などの逆方向接続についてセキュアなアクセスを提供し ます。 Smart Tunneling では、 Aventail OnDemand トンネル エージェント (Web 起動されたブラウザベースのエージェ ント ) と Aventail Connect トンネル クライアント (Web インストールされた Windows クライアント ) の 2 つのアクセ ス エージェントを使用してアクセスを提供します。 それぞれのクライアントは、 すべてのリソースに対してネットワークレベ ルのアクセスを提供することで、 ユーザーのコンピュータを効率的にネットワーク上のノードにします。 トンネル クライアン トは、 AMC から Aventail ネットワーク トンネル サービスを使用して管理します。 ネットワーク トンネル クライアントから TCP/IP 接続を管理するよう、 このサービスを構成する場合、 クライアントに IP アドレスを割り当てるための IP アドレス プールを設定しなければなりません。 208|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス メモ • Sygatge、 Microsoft、 Zone Alarm 製のパーソナル ファイアウォールと一緒に Aventail トンネル クライアン トを使用する場合は、 これらのファイアウォールの構成を変更しなければリモート ネットワークへアクセスすることが できません。 ユーザーに対して、 Aventail VPN サービス (ngvpnmgr.exe) がインターネットにアクセスできる ようパーソナル ファイアウォールを構成すると同時に、 Aventail アプライアンスのホスト名と IP アドレスを、 信頼 されているホストまたはゾーンに追加するよう通達してください。 OnDemand ト ンネル エージ ェ ン ト Aventail OnDemand トンネル エージェントを使用すると、 Web ブラウザを使用して、 Aventail ネットワーク トンネ ル サービスで保護されたリソースに対し、 完全なネットワークおよびアプリケーション アクセスが可能になります。 OnDemand トンネル エージェントは、 Connect トンネル クライアントと同様、 広範なアプリケーションおよびプロトコ ル アクセスを提供する軽量のエージェントですが、 ASAP WorkPlace ポータルに統合されており、 ユーザーが WorkPlace にログインするたびに自動的に起動します。 OnDemand トンネル エージェントでは、 Aventail アプライ アンスの End Point Control 機能をサポートしています。 OnDemand トンネル エージェントは、Windows XP および Windows 2000 でサポートされていますが、Microsoft Internet Explorer とともに Sun JVM または ActiveX が動作しているか、 Mozilla Firefox とともに Java が動作 していることが条件になります。 Connect ト ンネル ク ラ イ アン ト Aventail Connect トンネル クライアント は、 Aventail ネットワーク トンネル サービスで保護されたリソースに対して、 フル アクセスできるようにする Windows アプリケーションです。 Connect トンネル クライアントを使用すると、 TCP/IP を使用するアプリケーションや、 VoIP や ICMP といった非 TCP プロトコルを使用するアプリケーションなど、 あらゆる 種類のアプリケーションにアクセスできるようになります。 Connect トンネル クライアントでは他にも、 スプリットトンネリン グ制御、 細かいアクセス制御、 プロキシ検出、 認証などの機能も提供されます。 Connect トンネル クライアントでは、 Aventail アプライアンスの End Point Control 機能をサポートしていません。 Aventail Connect トンネル クライアントは、 2 種類の方法でインストールすることができます。 1 つ目の方法は、 ユー ザーが、 ASAP WorkPlace ホーム ページの [Install Software] リンクをクリックして、 Windows クライアントを ダウンロードしインストールする方法です。 もう 1 つの方法では、 ユーザーが ASAP WorkPlace にログインしなくても、 他のネットワーク ロケーション (Web サーバー、 FTP サーバー、 ファイル サーバーなど ) からダウンロードしインストー ルできるように、 Connect トンネル クライアントを用意しておきます。 Connect トンネル クライアントは、 Windows XP および Windows 2000 でサポートされていますが、 Connect ト ンネル クライアントをインストールする場合は、 ユーザーに管理者権限が必要になります。 Connect トンネルのすべて の構成と管理は AMC から実行し、 構成の更新は、 Connect トンネル クライアントが Aventail アプライアンスに接続 するたびに動的に行われます。 Connect プ ロキシ ク ラ イ アン ト Aventail Connect プロキシ クライアントは、 Aventail ネットワーク プロキシ サービスで保護された 広範囲のリソース ( 従来のクライアント / サーバー アプリケーション、 シンクライアント アプリケーション、 ファイル サーバー、 Web リソー スを含む ) へのアクセスを可能にする 32 ビット Windows アプリケーションです。 Aventail Connect プロキシ クライ アントをユーザーのコンピュータにインストールし、パーソナル ファイアウォールやアンチウイルス アプリケーションを搭載 するよう求めることにより、 エンドポイント セキュリティを向上させることができます。 Aventail Connect では、 Microsoft のシングル サインオンをサポートしており、 [ ネットワーク コンピュータ ] からネットワーク共有リソースにシームレスにアク セスできるようになっています。 Aventail Connect プロキシ クライアントは、 Windows オペレーティング システムでサポートされていますが、 ユー ザーには管理者権限が必要になります。 Aventail Connect をインストールするときは、 Web サーバー、 FTP サーバー、 ファイル サーバーのセットアップ パッ ケージを配布します。Aventail Connect の構成の詳細については、『Aventail Connect Administrator's Guide』 を参照してください。 OnDemand プ ロキシ エージ ェ ン ト Aventail OnDemand プロキシ エージェント は、 Aventail Web プロキシ サービスで保護されたクライアント / サー バー アプリケーションや Web リソースへのアクセスを可能にする安全かつ軽量のエージェントです。 Aventail OnDemand プロキシ エージェントは、 ネットワークに対して標準 VPN アクセスできないパートナーやベンダーの他、 キオスク端末などの、 仕事用でないコンピュータからネットワーク リソースにモバイルでアクセスする従業員が使用すると 便利です。 OnDemand プロキシ エージェントは、 Java または ActiveX が有効な Web ブラウザか、 スタンドアロン Java 環境 が構成された環境 (Macintosh や Linux システムなど ) でサポートされています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 209 Web プ ロキシ エージ ェ ン ト Aventail Web プロキシ エージェントを使用すると、 ASAP WorkPlace から、 Windows ネットワーク共有へのアクセ スだけでなく、 Web ベースのアプリケーション、 Web ポータル、 Web サーバーなど、 任意の Web リソースにもアク セスできるようになります。 Aventail Web プロキシ エージェントでは、 トランスレーテッド Web エージェントが間に入 ることで互換性は向上しますが、 Web プロキシ エージェントを使用すると、 場合によっては、 ユーザーが ASAP WorkPlace に最初にログインするときに余分の時間がかかるようになります。 Web プロキシ エージェントは、 Windows XP および Windows 2000 でサポートされていますが、 Internet Explorer とともに ActiveX が動作していることが条件になります。 ト ラ ンス レーテ ッ ド Web エージ ェ ン ト デフォルトの場合、 このアプライアンスでは、 Internet Explorer が動作する Microsoft Windows システムに、 Microsoft ActiveX コントロール (Web プロキシ エージェント ) がインストールされます。 ただし Web プロキシ エー ジェントが動作不可能な場合は、 代替システムとしてトランスレーテッド Web エージェントが使用されます。 トランスレー テッド Web エージェントでは、 Web リソースに対する基本アクセスが可能になると同時に、 内部ホスト名を隠すエイリ アスも作成できるようになります。 このエージェントは、 Web コンテンツをアプライアンスから直接プロキシするもので、 こ れを使用すると、 Windows ネットワーク共有へのアクセスだけでなく、 WorkPlace で実行するよう個別に構成されて いる任意の Web リソースにもアクセスできるようになります。 トランスレーテッド Web エージェントは、ASAP WorkPlace でサポートされている任意の Web ブラウザで動作します。 Aventail Connect プ ロキシ ク ラ イ アン ト Aventail Connect クライアントは、Aventail ネットワーク プロキシ サービスで保護された TCP/IP リソースへのアクセ スを可能にする Windows アプリケーションです。 ほとんどの場合ユーザーは、 クレデンシャルを入力するよう求められ た場合かリモート ネットワーク アクセスを有効にするよう求められた場合に限り、 Aventail Connect クライアントと通信 します。 210|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス Aventail Connect は、 構成ファイルで割り当てられているルーティング指示文に従って、 ネットワーク トラフィックをリ ダイレクトしリルートします。 構成ファイルは、 Aventail Connect Configuration Tool を使用して作成します。 Aventail Connect クライアントが接続要求を受け取ると、 その接続を Aventail ネットワーク プロキシ サービスにリダ イレクトする必要があるかどうか判断します。 リダイレクトする必要がない場合、 Aventail Connect は、 接続要求 ( お よびそれ以降のデータ転送 ) を TCP/IP スタックに直接渡します。 次に、 Aventail Connect クライアントのインストール、 構成、 デプロイの基本手順について説明します。 Aventail Connect クライアントの詳細については、 『Aventail Connect Administrator's Guide』 を参照してください。 X Aventail Connect ク ラ イ ア ン ト を イ ン ス ト ール、 構成、 デプ ロ イ する には 1. コンピュータに Aventail Connect 管理者ツールをインストールします。 Aventail Connect 管理者ツールに は、 Configuration Tool と Customizer が含まれます。 2. Aventail Connect Configuration Tool を開いて、 構成 (.cfg) ファイルを作成します。 構成ファイルを作成 するための基本手順は、 次のようになります。 • • リモート ネットワークと、 リモート ネットワーク アクセス モードを構成します。 Aventail Connect がトラフィックをリダイレクトするリモート ネットワークの接続先を指定します。 • 必要なプロキシ サーバー設定を定義します。 • 適切な Aventail ネットワーク プロキシ サービスの信頼できるルート ファイルを参照します。 3. Aventail Connect Customizer ツールを使用して、 Aventail Connect セットアップ パッケージを作成しま す。 手順 2 で作成した構成ファイルとあわせて、 手順 2 で参照した信頼できるルート ファイルも入れます。 4. Aventail Connect セットアップ パッケージをユーザーに配布します。 セットアップ パッケージを配布する場合の 最も一般的な方法には次のようなものがあります。 5. • セットアップ パッケージを HTTP または HTTPS サーバーに置きます。 • セットアップ パッケージを FTP サイトに置きます。 • セットアップ パッケージを、 マップド ドライブとしてアクセスできるネットワーク ドライブに置きます。 Microsoft ネットワークの場合は、 UNC パス名 ( たとえば 「\\computer_name\share_name\Connect」 ) を使用します。 • パッケージを電子メールの添付ファイルとしてユーザーに送信します。 ユーザーに、 このセットアップ パッケージを取得して開くよう通知します。 実行可能ファイルが動作すると、 Aventail Connect インストール パッケージが自動的に解凍され、 ユーザーのコンピュータ上でセットアップが始 まります。 メモ • Aventail Connect を介したネットワーク リソースへのアクセスを許可するには、 Aventail Connect アクセスを 明確に許可するゾーンにユーザーを割り当てなければなりません。 詳細については、 174 ページの 「ゾーンへの Aventail Connect ユーザーの割り当て」 を参照してください。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 211 Aventail OnDemand プ ロキシ エージ ェ ン ト Aventail OnDemand プロキシ エージェントは、 Aventail ネットワーク プロキシ サービスで 保護された TCP/IP リ ソースへのアクセスを可能にする安全かつ軽量のエージェントです。 OnDemand では、 ローカル ループバック プロ キシングを使用し、 AMC で定義されているルーティング指示文に従って、 保護されたネットワーク リソースへ通信をリダ イレクトします (OnDemand では UDP アプリケーションをサポートしていない )。 この節では、 OnDemand の概要について説明し、 OnDemand の構成方法とインストール方法について説明します。 OnDemand ライセンスを購入していない場合は、 AMC の OnDemand オプションが無効になっています。 概要 : OnDemand Aventail OnDemand は、 クライアント アプリケーションとアプリケーション サーバー間の通信を保護する、 ループバッ クベースのプロキシ ソリューションです。 ユーザーは、 クライアントレスな VPN アクセスを得るために OnDemand を Aventail アプライアンスから 「オンデマンドで」 ダウンロードすることができます。 ネットワークに対してフル アクセスで きないパートナーやベンダーの他、 キオスク端末やホーム コンピュータからネットワーク リソースにモバイルでアクセスす る従業員が使用すると便利です。 次の図は、 接続の手順を示しています。 1. デフォルトの場合、 OnDemand は、 ユーザーが ASAP WorkPlace にログインするときに自動的に始動しま す。 また、 ユーザーが ASAP WorkPlace のリンクをクリックすることで起動できるよう OnDemand を構成する こともできます。 2. デフォルトの場合、 OnDemand は、 ASAP WorkPlace のウィンドウ内で動作を開始します。 また、 「スタンド アロン」 モードで、 独立したウィンドウで動作するよう OnDemand を構成することもできます。 3. OnDemand は、 ローカル ループバック アドレス (127.0.0.1) でアプリケーション要求を待ち、 そのトラフィック を Aventail ネットワーク プロキシ サービスにリダイレクトします。 4. Aventail ネットワーク プロキシ サービスは、 アプリケーションが要求するポートで、 トラフィックをアプリケーション サーバーにプロキシします。 5. アプリケーション サーバーは、 アプリケーション トラフィックをネットワーク プロキシ サービスに送信します。 6. ネットワーク プロキシ サービスは、 アプリケーション トラフィックを OnDemand に送信し、 OnDemand がクライ アント アプリケーションにそれを渡します。 OnDemand は、 1 つのポートまたは複数のポートを使用する TCP アプリケーションをサポートしています。 ポートを動 的に定義するアプリケーションもこれに含まれます。 OnDemand では通常、 次の 2 種類のアプリケーションにアクセ スします。 • 常駐 ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン。 インターネット電子メール アプリケーション (Microsoft Outlook、 Outlook Express、 Lotus Notes、 Netscape Mail、 Eudora など )、 端末エミュレーション ア プリケーション (WRQ Reflection、 NetManage RUMBA PC-to-Host など )、 リモート オフィス接続アプリ ケーション (Citrix ICA/MetaFrame、 Microsoft Windows Terminal Services など ) がこれに当たります。 通常これらのクライアント / サーバー アプリケーションは、 クライアント コンピュータにローカルにインストールされま す。 OnDemand では、 Microsoft Outlook 2000 と Outlook XP をサポートしています。 • ダウ ン ロー ド 可能な シ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン。 端末エミュレーション プログラム (Attachmate myEXTRA! Terminal Viewers、 NetManage RUMBA Web-to-Host、 WRQ Reflection for the Web など )、 リモート オフィス接続アプリケーション (Citrix ICA client for Java、 Microsoft Windows Terminal Services Advanced Client など ) がこれに当たります。 シン クライアント アプリケーションは通常、 Java アプ レットまたは ActiveX コントロールを内蔵する Web ベースのアプリケーションです。 OnDemand では、 UDP ベースのアプリケーションをサポートしていません。 212|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス デフォルトの場合、 OnDemand は、 ユーザーが ASAP WorkPlace に接続するときに、 自動的に動作するよう構成 されています。 また、 OnDemand をスタンドアロン モードで構成することもできます。 この場合は、 ユーザーが、 ASAP WorkPlace のリンクをクリックすることによって OnDemand を起動します。 パフォーマンスを向上させるため、 OnDemand は、 最初にアクセスしたときにユーザーのコンピュータにインストールされるようになっており、 ユーザーが 使用するたびにダウンロードが発生するのを避けています。 Microsoft Windows ユーザーの場合、 OnDemand は、 接続要求を動的にアプライアンスにリダイレクトするよう構 成することができます。 このダイナミック モードでは、 特定のアプリケーションが OnDemand と一緒に動作するよう構 成する必要があります。 ただしユーザーは、 使用したいクライアント / サーバー アプリケーションを手動で起動しなけれ ばなりません。 また、 ユーザーが ASAP WorkPlace のリンクをクリックしたときに、 OnDemand が自動的にクライア ント / サーバー アプリケーションを実行するようセットアップすることもできます ( この構成は、非 Windows プラットフォー ムのユーザーも必要 )。 OnDemand リ ダ イ レ ク シ ョ ン モー ド デフォルトの場合、 Aventail OnDemand は、 ユーザーが ASAP WorkPlace にログインするときに自動的に始動し ます。 また AMC には、 ユーザーが ASAP WorkPlace のリンクをクリックしたときに、 Aventail OnDemand を手動 で起動するオプションもあります。 OnDemand には、 ダイナミック モードとマップド モードの 2 種類の動作モードがあります。 ダイナミック モードでは、 Windows ユーザーが任意のネットワーク アプリケーションにアクセスすることができ、 一方のマップド モードでは、 ユー ザーが、 特定のアプリケーション用に構成されたショートカットをクリックします。 また、 OnDemand アクセスを完全に 無効にすることもできます。 • ダ イ ナ ミ ッ ク モー ド 。 ダイナミック モードでは、 AMC で定義されているすべてのネットワーク リソースからのトラ フィックを、 OnDemand が自動的にリダイレクトします。 このモードの場合、 使用するアプリケーションをユーザー が手動で起動します。 ダイナミック モードは、 Windows でのみサポートされており、 ユーザーに管理者権限が 必要になります。 • マ ッ プ ド モー ド 。 マップド モードでは、 OnDemand が、 特定のネットワーク アプリケーションに対応するトラ フィックをリダイレクトします。 オプションで、 ユーザーがショートカットをクリックしたときに指定の Web URL が自動 的に開かれるよう、 OnDemand を構成することもできます。 このモードは、 OnDemand が動作するときにアプ リケーション ( シン クライアント アプリケーションなど ) が始動するよう設定する場合に使用すると便利です。 ただ し、 特定のアプリケーションをポイントするショートカットを手動で作成しなければなりません。 マップド モードは、 Windows、 Macintosh、 Linux でサポートされています。 Windows PC の 場 合、 ユ ー ザー が ASAP WorkPlace に 初 め て ロ グ イ ン す る と き、 WorkPlace が 自動 的 に OnDemand をユーザーのコンピュータにダウンロードし、 インストールして、 これを起動 します。 そ れ以 降の WorkPlace ログインでは、 OnDemand が自動的に起動するようになります。 ただし、 この自動始動を無効にし、 ダ イナミック モードで、 ユーザーが手動で OnDemand を開始するためのリンクを入れることもできます。 OnDemand の起動 デフォルトの場合、 Aventail OnDemand が有効になっていれば、 ユーザーが ASAP WorkPlace にログインすると き OnDemand が自動的に始動し、 WorkPlace のウィンドウで動作します。 ユーザーは、 この埋め込みモードで OnDemand を使用するとき、 WorkPlace ウィンドウを開いたままにしておかなければなりません。 また、 OnDemand はスタンドアロン モードで動作するよう構成することもできます。 この場合、 OnDemand を開始 するためのリンクをユーザーがクリックすると、OnDemand が独立したウィンドウで開きます。ユーザーは、OnDemand に影響を与えずに、 ASAP WorkPlace ウィンドウを閉じることができます。 また、 OnDemand ウィンドウを最小化す ることもできますが、 ネットワークで使用しているときは閉じることができません。 これを閉じると、 アプリケーション接続も 停止し、 ユーザーが OnDemand からログアウトすることになります。 ユーザーが作業を終了したら、 OnDemand ウィ ンドウを閉じることで、 OnDemand からログアウトすることができます。 次の表は、 OnDemand を起動する方法についてまとめています。 起動モード 説明 ASAP WorkPlace への埋め込み OnDemand が、 メイン WorkPlace ウィンドウで透過的に動作します。 ユーザーは、 OnDemand を使用するとき、 WorkPlace ウィンドウを 開いたままにしておかなければなりません。 OnDemand 接続について の情報は、 [Connection status] エリアに表示されます。 スタンドアロン エージェント OnDemand が、 独立したウィンドウで動作します。 ユーザーが WorkPlace ブラウザ ウィンドウを閉じても、 OnDemand は動作を続 けます。 OnDemand 接続についての情報は、 独立した [Details] ウィンドウに表示されます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 213 メモ • ユーザーは、 OnDemand ウィンドウからアプリケーションを開始することができません。 URL が自動的に開かれ るよう OnDemand を構成している場合を除き、 ユーザーは通常の方法で、 アプリケーションを手動で開始しなけ ればなりません。 • ユーザーは、パーソナル ファイアウォールで、OnDemand トラフィックを許可するよう構成する必要はありません。 OnDemand ク ラ イ ア ン ト 要件 Aventail OnDemand プロキシ エージェントでは、 Java Virtual Machine (JVM) が構成された Web ブラウザが 必要になります。 OnDemand では、 次のクライアント構成をサポートしています。 オペレーティング システム Web ブラウザ その他の要件 Service Pack 2 がインストール Service Pack 1 がインストールされた された Windows XP Microsoft Internet Explorer 6.0、 Professional または Mozilla Firefox 1.0 Service Pack 2 がインストール された Windows XP Home Edition Service Pack 4 がインストール された Windows 2000 Sun JVM 1.5.02 プラグインまたは ActiveX が動作 Macintosh OS X Sun JVM 1.4.2 プラグイン Macintosh Safari 1.2 または Mozilla Firefox 1.0 OnDemand スタンドアロン デプロイメントを計画するときは、 ユーザーが OnDemand を使用してアクセスするクライ アント アプリケーションで、 どのようなテクノロジーが使用されているかについて考慮します。 たとえば、 Microsoft の ActiveX テクノロジーを使用するアプリケーションであれば、 Macintosh や Linux システムで動作しません。 OnDemand がネ ッ ト ワーク ト ラ フ ィ ッ ク を リ ダ イ レ ク ト する方法 OnDemand では、 ローカル ループバック アドレスを使用して、 アプライアンスを介したトラフィックをリダイレクトし保護 します。 この節では、 ループバック プロキシングの概要を紹介し、 さまざまなリダイレクション方式について説明します。 概要 : ループバ ッ ク プ ロキシング OnDemand では、 Aventail ネットワーク プロキシ サービスを介してアプリケーション トラフィックを安全に送信すると き、 ローカル ループバック プロキシングを使用します。 たとえば、 Windows ユーザーがアプライアンスに接続し、 Citrix アプリケーションを実行する場合、 次のようにします。 1. ユーザーが ASAP WorkPlace にログインします。 このとき、 OnDemand がダイナミック モードで自動的に動 作します。 2. OnDemand がローカル ループバック アドレスを Citrix サーバーのホスト名に自動的にマッピングします。 3. ユーザーが Citrix アプリケーションを実行すると、 citrix.example.com に接続が試みられます。 OnDemand は、 Citrix ホスト名を 127.0.0.1 に解決し、 トラフィックをネットワーク プロキシ サービスにルー ティングします。 4. OnDemand は、 SSL を使用して Citrix トラフィックを暗号化し、 Aventail アプライアンスへ安全にルーティン グします。 一方でアプライアンスは、 これを Citrix サーバーに転送します。 5. Citrix サーバーはこれに応答し、 ASAP WorkPlace アプライアンスを介してデータを返信します。 6. アプライアンスは、 SSL を使用して応答を OnDemand に転送します。 7. OnDemand は、 情報を Citrix アプリケーションに転送します。 OnDemand では、 複数のリダイレクション方式をサポートしています。 選択する方法は通常、 ( 使用中のオペレーティ ング システムやローカル システム権限など ) エンド ユーザーのプロファイルによって決まります。 214|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス ダ イ ナ ミ ッ ク モー ド Windows システムの場合、 OnDemand は、 AMC で定義されている任意の接続先リソース ( ドメイン、 ホスト、 IP アドレスなど ) へトラフィックを動的にリダイレクトします。 このモードで動作する場合、 OnDemand は TCP/IP プロトコ ルのトランスポート層に入り込み、 必要に応じてトラフィックを動的にリダイレクトします。 ダイナミック モードは通常、 Windows ユーザーの場合に有効になります。 個別のアプリケーションごとに特定のポート やループバック アドレスを構成する必要はありません。 この方法は、 同種の Windows 環境を管理する場合に適して おり、 広く使用されています。 詳細については、 215 ページの 「OnDemand ダイナミック モード アクセスの有効化」 を参照してください。 OnDemand をダイナミック モードでインストールする場合、 ユーザーにローカル コンピュータ上の管理者権限がなけ ればなりません。 ただし、 インストール後、 ダイナミック モードで OnDemand を使用する段階では管理者権限は必要 ありません。 hosts フ ァ イルの リ ダ イ レ ク シ ョ ン もう 1 つの方法は、 トラフィックを接続先サーバーにリダイレクトするよう、 ユーザーのコンピュータ上の hosts ファイル を修正することです。 このリダイレクション方式は、 Windows、 Macintosh、 Linux プラットフォームでサポートされて います。 エンドユーザーのシステムで hosts ファイルを修正し、 接続先サーバーをローカル ループバック アドレスにマッピング します。 アプリケーションがホスト名を解決するとき、 トラフィックが、 OnDemand がリストしているループバック アドレス にリダイレクトされます。 次の例は、 ホスト名が IP アドレスに割り当てられた一般的な hosts ファイルと、 OnDemand で使用するために修正 した hosts ファイルを示しています。 OnDemand のホスト名が、 ホストの IP アドレスではなく、 ローカル ループバッ ク アドレスにマッピングされていることに注目してください。 アプリケーション固有の構成の場合、 これらのループバック アドレスは、 AMC で OnDemand を構成するときに指定したアドレスと一致します。 詳細については、 216 ページの 「特定アプリケーションにアクセスするための OnDemand の構成」 を参照してください。 一般的な hosts フ ァ イル 192.168.1.135 telnet.example.com telnet 192.168.1.140 mailhost.example.com mail 192.168.1.143 citrix.example.com citrix OnDemand の hosts フ ァ イル 127.0.0.1 telnet.example.com telnet 127.0.0.1 mailhost.example.com mail 127.0.0.1 citrix.example.com citrix hosts ファイルを書き換えるには、 ユーザーにローカル コンピュータ上の管理者権限がなければなりません。 このアプ ローチは、 モバイル ユーザーの場合あまり実際的ではありません。 というのは、 ローカル ネットワークで作業している場 合とリモート ロケーションで作業している場合で、元の hosts ファイルと OnDemand hosts ファイルを切り替える必要 が出てくるためです。 ロー カル hosts フ ァ イルの管理 hosts ファイル リダイレクションを使用する場合、 修正した hosts ファイルを配布するか、 ユーザー自身の手で hosts ファイルを手作業で修正する必要があります ( 技術がないユーザーの場合あまり実際的ではない )。 hosts ファイルに 不正があれば接続に問題が出る可能性もあるため、 作業は慎重に行わなければなりません。 hosts ファイルのロケー ションは、 オペレーティング システムによって異なります。 • • Windows : hosts ファイル ( 拡張子がない hosts という名前のテキストファイル ) のロケーションは、 使用して いる Windows のバージョンごとに異なります。 • Windows XP Home c:\windows\system32\drivers\etc • Windows 2000 または Windows XP Pro c:\winnt\system32\drivers\etc • Windows 98 または Windows Me c:\windows Macintosh : OS X の場合、 テキスト エディタで /etc/hosts ファイルを編集できる他、 NetInfo Manager アプリケーションを使用して、 ホスト エントリのローカル データベースを修正することができます。 Macintosh OS 9.x の場合、 [TCP/IP] コントロールパネルから、 上級ユーザー モードで hosts エントリをロー ドすることができます。 ファイルの形式は、 前の例とは異なります。 Macintosh OS 9 の場合、 「hostname A address」 という形式にしなければなりません ( たとえば 「mailhost.example.com A 127.0.0.1」 )。 • Linux : Linux の hosts ファイル情報は /etc/hosts ファイルに記述されています。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 215 その他の リ ダ イ レ ク シ ョ ン方式 ほとんどの OnDemand デプロイメントでは、 ダイナミック モードを使用するか、 ローカル hosts ファイルを書き換える ことでリダイレクションを管理しますが、 どちらの方法も使用できない場合は、 他のリダイレクション方式を使用します。 • ス プ リ ッ ト DNS の使用。サーバーの FQDN をループバック アドレスに解決するようパブリック DNS を修正し、 内部 DNS は修正しない状態 ( 実際の内部 IP アドレスをポイントした状態 ) で残しておきます。 このアプローチ には、アプリケーションのマッピングを集中的に管理できるという利点があります。ただしダウンサイドではプライベー トなホスト名が公開されるため、 企業の DNS を管理していない場合は、 管理が難しくなります。 • ループバ ッ ク ア ド レ ス を使用 し たア プ リ ケーシ ョ ンへのア ク セス。 ホスト名や IP アドレスを使用してアプリ ケーションにアクセスする代わりに、 ユーザーがローカル ループバック アドレスにアクセスすることによってアプリ ケーションを実行することができます。 このアプローチは、 高度な技術を持つユーザーが使用する場合に限って実 践的です。 • ア プ リ ケーシ ョ ン構成の修正。この場合、サーバーのホスト名や IP アドレスの代わりにループバック インタフェー スをポイントするよう、 クライアント アプリケーションの構成を修正します。 OnDemand ダ イナ ミ ッ ク モー ド ア ク セスの有効化 Windows が動作するユーザーの場合、 OnDemand は、 すべての接続を、 AMC で定義しているネットワーク リソー ス ( ドメイン、 サブネット、 IP 範囲、 ホスト名、 IP アドレスなど ) と合致する接続先アドレスへ自動的にリダイレクトしま す。 AMC でこのダイナミック モードを使用するとき、 アプリケーション構成 ( 特定のポートやループバック アドレスを定 義するなど ) は実行する必要がありません。 X OnDemand ダ イ ナ ミ ッ ク モー ド ア ク セ ス を有効にするには • [Configure Community] ページの [Access Methods] セクションにある [Web-based proxy access (TCP protocol)] で コ ミ ュ ニテ ィ設 定を 構成 す る とき、 [Client/server proxy agent (OnDemand)] チェック ボックスと [Dynamically redirect connections] チェック ボックスをクリックし ます。 ユーザーが OnDemand からダイナミック モードでアクセスできる定義済みのネットワーク リソースのリストを参照すること ができます。 X ユーザーが OnDemand から ア ク セス で き る リ ソ ース を表示するには • [Configure OnDemand] ページの [Dynamic mode] エリアで、 [Show network redirection list] をクリックします。 この操作により、 [Redirection List] ページが表示され、 ユーザーが OnDemand からダイナミック モードでアクセスできる、 定義されているすべてのネットワーク リソースがリスト表示されます。 メモ • ダイナミック モードは、 Microsoft Windows オペレーティング システムでのみ使用でき、 Macintosh や Linux ではサポートされていません。 • OnDemand をダイナミック モードで使用するには、 自身のコンピュータに対する管理者権限がなければなりませ ん。 ユーザーに管理者権限がない場合、 OnDemand をマップド モードで構成して、 異なるリダイレクション方 式を採用する必要があります。 • OnDemand が始動するときに Web ページが開くようにする場合は、 ダイナミック モードを構成することができま せん。 OnDemand の始動時にアプリケーションが自動的に開始するよう設定する場合は、 OnDemand を、 特 定のアプリケーションに対してマップド モードで構成しなければなりません。 216|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス 特定アプ リ ケーシ ョ ンにア ク セスするための OnDemand の構成 OnDemand を非 Windows プラットフォームのユーザーにインストールする場合や、 ユーザーが OnDemand を実 行するときにシン クライアント アプリケーションが始動するよう、 URL 起動機能を自動的に使用する場合は、 AMC でア プリケーション固有の構成を定義しなければなりません。 これには、 クライアントやサーバーに対するポート番号のマッピ ングや、 「ポート マッピング」 と呼ばれるプロセスが含まれます。 概要 : ポー ト マ ッ ピ ング 固有のアプリケーションでトラフィックをリダイレクトするよう OnDemand を構成する場合、 クライアントとサーバーでアプ リケーションが使用するポート番号を知っておき、 AMC でこれらのポートをマッピングする必要があります。 OnDemand は、 要求が送られるとき、 クライアントの特定のポートでこれをリッスンし、 それをアプライアンスへプロキシします。 アプ ライアンスはこの情報を、 アプリケーション サーバーの IP アドレスとポートに転送します。 たとえば、 ホストに接続するクライアントの IP アドレスとポート ( たとえば 127.0.1.1:23) や、 接続先サーバーの IP アドレスとポート ( たとえば telneta.example.com:23) などを構成することができます。 ( 電子メールなど ) 一部のアプリケーションでは、 複数のプロトコルのために複数のポートを使用します。 その場合、 複 数の異なるポートでリッスンするよう OnDemand を構成しなければなりません。 このような構成は、 OnDemand で複 数の異なるアプリケーションを使用するよう構成するときに使用しても便利です。 次の例の OnDemand では、 5 つの 異なるポートを介して 3 つのアプリケーションを使用するよう構成しています。 Aventail OnDemand 㔚ሶ䮨䯃䮲 Telnet 䮤䯃䮏 23 Citrix ICA 䮤䯃䮏䎃1494 䭊䬷䭢䬸䬽䭩䮞䮱䭸䯃䭾䮮䮺䬾 න৻䬽䮤䯃䮏䭡↪ 䮤䯃䮏䎃25 (SMTP) 䮤䯃䮏䎃110 (POP3) 䮤䯃䮏䎃143 (IMAP) ⶄᢙ䬽䭼䯃䮚䮀䭡ᜬ䬳䭩䮞䮱䭸䯃䭾䮮䮺䬾 ⶄᢙ䬽䮤䯃䮏䭡↪ ここでは、 ポート 110 (POP3)、 ポート 143 (IMAP)、 ポート 25 (SMTP) で電子メール要求をリッスンするよう OnDemand を構成しています。 また、 ポート 23 で Telnet を、 ポート 1494 で Citrix をリッスンするよう構成して います。 状況によっては、 ポート マッピングのプロセスはもっと複雑になります。 • • Macintosh オペレーティング システムでは、 単一のループバック アドレス、 127.0.0.1 のみが有効です。 その ため、 Macintosh ユーザーにデプロイする場合、 すべてのネットワーク サービスを単一のローカルホスト IP アド レス、 127.0.0.1 にマッピングします。 異なるポートで動作するサービスがある場合 ( たとえば Telnet と電子メー ル ホスト )、 次のように異なるポート番号を指定して、 両方を 127.0.0.1 にマッピングすることができます。 接続元 接続先 127.0.0.1:23 telnet.example.com:23 127.0.0.1:110 mail.example.com:110 Macintosh OS X および Linux で OnDemand をサポートする場合、 1023 より上のローカル ループバック ポートを使用して、 OnDemand がトラフィックをプロキシできるようにする必要があります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 217 • 特定のポート番号でリッスンするのは、 いつでも 1 つのサービスに限られます。 たとえば、 2 つの異なる Telnet ホストがネットワーク上にある場合、 OnDemand では、 1 つのポート リスナのみを 127.0.0.1 のポート 23 に 割り当てることができます。 この場合、 異なるポート番号をローカル ループバックと接続先ホストに割り当てる必要 があります。 接続元 接続先 127.0.0.1:2021 telneta.example.com:23 127.0.0.1:2023 telnetb.example.com:23 接続元ポートはポート 2021 と 2023 にマッピングされており、 接続先ポートはポート 23 にマッピングされていま す。 この構成では、 この他に次の構成を実行する必要があります。 1.ユーザーのコンピュータ上の Telnet アプリケーションを修正して、 telneta ホストおよび telnetb ホストで、 新しくマッピングされたポート 2021 と 2023 を使用するようにします。 2.AMC で、 通常の方法でポートを構成します ( クライアントの接続元アドレスとポートを接続先サーバーのアドレ スとポートにマッピングする )。 ローカル hosts ファイルに次のエントリを追加します。 これらのエントリは、 それぞれの接続先サーバーを同じルー プバック アドレスにマッピングするものです。 127.0.0.1 mail.example.com 127.0.0.1 telneta.example.com 127.0.0.1 telnetb.example.com • それぞれのローカル アドレスは、 単一の接続先アドレスにマッピングされます。 アドレス範囲をマッピングすること はできません ( ただしアドレス範囲内の個別のアドレスを 1 つずつマッピングすることは可能 )。 OnDemand と 一緒に使用するアプ リ ケーシ ョ ンの構成 OnDemand を非 Windows プラットフォームのユーザーにインストールする場合や、 シン クライアント アプリケーショ ンを起動するための WorkPlace リンクを作成する場合、 AMC でアプリケーション固有の構成を定義しなければなりま せん。 これには、 クライアントやサーバーに対するポート番号のマッピングや、 「ポート マッピング」 と呼ばれるプロセス が含まれます。 アプリケーションを構成するには、 それぞれのサービスで使用するプロトコルを知っておき、 クライアントの接続元アドレ スとポートを、 接続先ホストのアドレスとポートにマッピングする必要があります。 ユーザーが OnDemand を実行したと きに Web ページが開くようにしたい場合、 URL を指定することもできます ( 自動的にアプリケーションを始動する場合 便利 )。 218|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス X OnDemand と 一緒に使用する ア プ リ ケーシ ョ ン を構成するには 1. AMC のメイン ナビゲーション メニューから [Aventail OnDemand] をクリックします。 この操作により、 [Configure OnDemand] ページが表示されます。 2. [Mapped mode] エリアで、 [New] ボタンをクリックします。 この操作により、 [Mapped Mode] ページ が表示されます。 3. [Application name] ボックスに、 アプリケーションの名前を入力します。 この名前は、 ASAP WorkPlace で表示されます。 簡潔でわかりやすい名前を使用します。 4. [Description] ボックスに、 アプリケーションについてのコメントを入力します。 5. [Add mapping] エリアで、 アプリケーションが使用するそれぞれのサービスを構成します。 a. [Destination resource] ボックスの横にある [Edit] ボタンをクリックし、 構成するネットワーク リソース を選択して、 [Save] をクリックします。 また、 [Resources] ダイアログ ボックスの [New Resource] ボタンをクリックすることで、 新しいネットワーク リソースを作成することができます。 b. サービ ス の IP ア ド レ ス / ポー ト の組み合わせが、 他のサービ ス と 競合す る 場合、 [Local host] ボ ッ ク ス の IP ア ド レ ス を修正す る か、 以下で説明 し てい る ポー ト を マ ッ ピ ン グす る こ と がで き ま す。 [Local host] の値を、 127.x.y.z ア ド レ ス スペース内の任意の IP ア ド レ ス に変更す る こ と が で き ます。 c. [Service type] ボ ッ ク ス で、 アプ リ ケーシ ョ ンが使用す る サービ ス の タ イ プ を ク リ ッ ク し ます。 サービ ス タ イ プを ク リ ッ ク す る と 、 [Destination/local ports] ボ ッ ク ス に、 そのサービ ス に適 し たポー ト の値が入力 さ れます。 サービスがローカル ポートと異なる接続先ポートを使用する場合、 [Destination/local ports] ボック スの情報を適宜編集して、 ポートを別のポートにマッピングします。 d. 6. [Add to Current Mapping] を ク リ ッ ク し ます。 こ の操作に よ り 、 マ ッ ピ ン グが [Current mapping] リ ス ト に追加 さ れます。 アプリケーションが複数のサービスを使用する場合、 手順 5 を繰り返してそれぞれのサービスを構成します。 ほと んどのアプリケーションでは、 1 つのサービスしか使用しませんが、 複数のプロトコルを使用するアプリケーション ( たとえば電子メール ) では複数のサービスを使用します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 219 7. [Create shortcut on ASAP WorkPlace] チェック ボックスを選択します。 OnDemand を実行したときに Web ページが開くようにする場合 ( シン クライアント アプリケーションが自動的に 始動するようにする場合便利 )、 [Start an application by launching this URL] ボックスに、 適切な ページの URL を指定します。 ただし、 http:// または https:// プロトコル識別子は必ず指定しなければなりま せん。 OnDemand がロードされると、 新しいブラウザ ウィンドウに、 指定した URL が自動的に開きます。 メモ • [Create shortcut on ASAP WorkPlace] オプションを最初に構成したら、 [Mapped Mode] ページ で設定の表示のみを行うことができます。 このページで編集することはできません。 この設定の最初の構成が終 わったら、 AMC の [WorkPlace Shortcuts] ページでショートカットを管理します。 詳細については、 190 ページの 「ショートカットの利用」 を参照してください。 高度な OnDemand オプシ ョ ンの構成 この節では、 外部 IP アドレスを使用してアプライアンスへアクセスする方法と、 OnDemand ログにデバッグ メッセー ジを追加する方法について説明します。 外部 IP ア ド レス を使用し たアプ ラ イ ア ンスへのア ク セス デフォルトの場合、 OnDemand は、 アプライアンスの SSL 証明書に記述されている FQDN を使用してアプライアン スにアクセスします。 これは実稼働環境 (FQDN がパブリック DNS に追加される ) では問題ありませんが、 テスト環境 では次のいずれかの理由で問題が発生します。 • そのアプライアンスの FQDN が DNS に追加されていないため。 • ユーザーの環境でネットワーク アドレス変換 (NAT) が使用されていることから、 外部 IP アドレスがアプライアンス の外部ネットワーク アドレスと一致しないため。 どちらの場合も、外部ネットワーク インタフェースの IP アドレスを使用するよう OnDemand を構成する必要があります。 X ア プ ラ イ ア ン スの外部 IP ア ド レ ス を使用する よ う OnDemand を構成するには 1. AMC のメイン ナビゲーション メニューから [Aventail OnDemand] をクリックし、 [Advanced] エリアをク リックして拡張します。 2. [Appliance FQDN or IP address] ボックスに、 外部ネットワーク インタフェースの IP アドレスを入力しま す。 アプライアンスを実稼働環境に移す前に、 この値に、 アプライアンスの SSL 証明書に記述されている FQDN が含まれ ていることを確認します。 アプライアンスの SSL 証明書を更新すると、 FQDN が自動的にこのフィールドに挿入されま す ( 前に指定した値は上書きされる )。 ユーザーが初めて OnDemand を起動すると、 OnDemand を実行するための許可を与えるよう求めるセキュリティ警 告が Web ブラウザに表示されます。 このような場合のブラウザの構成については、 220 ページの 「Java セキュリティ 警告の抑止」 を参照してください。 OnDemand ログへのデバ ッ グ メ ッ セージの追加 デバッグ メッセージを OnDemand ログに記録することができます。 OnDemand ログには、 情報メッセージと警告メッ セージのみが記述されます。 そのためこのログは、 トラブルシューティングの場合に限って使用します。 X OnDemand ログへデバ ッ グ メ ッ セージ を追加するには 1. AMC のメイン ナビゲーション メニューから [Aventail OnDemand] をクリックし、 [Advanced] エリアをク リックして拡張します。 2. [Enable debug OnDemand log messages] チェック ボックスを選択します。 220|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス ク ラ イ ア ン ト の構成 この節では、 OnDemand で使用すると便利なクライアント側の構成について説明します。 Java セキュ リ テ ィ 警告の抑止 OnDemand が始動すると、 OnDemand を実行するための許可を与えるよう求めるセキュリティ警告が Web ブラウザ に表示されます。 この警告は、 オペレーティング システムやブラウザによっても変動します。 OnDemand を実行する ためには、 この証明書を受け入れなければなりません。 OnDemand には、 アプレットの妥当性を保証する、 Java コード署名証明書が含まれます。 Windows および Macintosh OS X の場合、 証明書には、 商用ソフトウェアで広範に使用されている、 Thawte のクラス 3 デジタル ID が含まれます。 OnDemand を起動するたびにセキュリティ プロンプトが表示されるのを抑止するためには、 システムが Aventail 証明 書を信頼するよう構成します。 このような構成を行うと、 ブラウザは、 Aventail からのそれ以降のソフトウェア ダウンロー ドをすべて信頼するようになります。 たとえば Internet Explorer の場合、 [Grant Always] をクリックすれば、 Aventail 証明書を信頼するよう構成することができます。 Web ブ ラ ウザでのプ ロキシ サーバーの構成 プロキシ サーバー経由でアウトバウンド接続を渡すとき、 OnDemand では Web ブラウザの設定を使用して、 プロキ シ サーバーのアドレスとポートを判定します。 この構成では、 アウトバウンド プロキシ サーバーのアドレスとポートを指 定するか、 自動プロキシ検出を有効にすることにより、 ユーザーが自身の Web ブラウザを構成しなければなりません。 ユーザーが自動プロキシ検出と手動プロキシ識別の両方を有効にしている場合、 この順序でプロキシ サーバー設定が チェックされます。 1. [Automatically detect settings] オプションが有効な場合、 OnDemand はプロキシ サーバー設定を 自動的に検出しようとします。 2. OnDemand がプロキシ サーバー設定を自動的に検出できない場合、 ブラウザの [Use automatic configuration script] オプションが有効になっていれば、 自動構成スクリプトがないかチェックします。 3. 構成スクリプトでプロキシ サーバー設定を検出できなかった場合、 ユーザーが手動で指定したプロキシ サーバー 設定が使用されます。 X Internet Explorer for Windows で自動プ ロキシ検出を構成する には 1. [Tools] メニューの [Internet Options] をクリックします。 2. [Connections] タブで、 [LAN Settings] をクリックします。 3. [Automatic Configuration] で、 次のいずれかまたは両方のオプションを有効にします。 • プロキシ サーバー設定を自動的に検出する場合、 [Automatically detect settings] チェック ボック スを選択します ( このオプションは Microsoft Virtual Machine を使用して Internet Explorer を実行し ているユーザーに限ってサポートされている )。 • 構成ファイルに含まれている構成情報を使用する場合、 [Use automatic configuration script] チェック ボックスを選択して、 [Address] ボックスに構成ファイルの URL またはパスを入力します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 221 X Internet Explorer for Windows で プ ロキシ サーバー設定を手作業で指定するには 1. [Tools] メニューの [Internet Options] をクリックします。 2. [Connections] タブで、 [LAN Settings] をクリックします。 3. [Proxy Server] で、 [Use a Proxy Server] チェック ボックスを選択し、 [Address] および [Port] ボックスでプロキシ サーバーの IP アドレスとポートを指定します。 また、 異なるプロトコルで異なるプロキシ サーバーを使用している場合、 [Advanced] をクリックして、 必要な情 報を指定します。 [HTTP] と [Secure] の両方についてプロキシ サーバーを指定します。 ! 注意 [LAN Settings] ダイアログ ボックスのいずれかの自動設定 ([Automatically detect settings] チェック ボックスまたは [Use automatic configuration script] チェック ボックス ) を有効にすると、 プ ロキシ サーバー設定が上書きされます。 プロキシ検出が正常に動作するには、 この 2 つのチェック ボックスを オフにしておかなければなりません。 Aventail ア ク セス サービスの管理 この節では、 Aventail アクセス サービスの概要を紹介し、 このサービスの起動、 停止、 構成の方法について説明し ます。 概要 : ア ク セス サービス ユーザー は、 4 つの基本方式、 またはアクセス サービスを使用して、 Aventail アプライアンスで保護された VPN リ ソースにアクセスすることができます。 この節では、 それぞれのアクセス サービスと、 それぞれのサービスでアクセスで きるリソースのタイプについて説明します。 • Aventail ネ ッ ト ワー ク ト ン ネル サービ ス。このサービスは、 広範囲のクライアント / サーバー アプリケーショ ンにセキュアなネットワーク トンネル アクセスを提供するネットワーク ルーティング テクノロジーです。 対象となるア プリケーションには、 Voice Over IP (VoIP) や ICMP などの非 TCP プロトコル、 逆方向接続プロトコル、 リモー ト ヘルプ デスク アプリケーションなどの双方向プロトコルを使用するものも含まれます。 このサービスは、 Aventail Connect トンネル クライアントや Aventail OnDemand トンネル エージェントと共同で動作して、 認証され暗号 化されたアクセスを可能にします。 ネットワーク トンネル サービスでは、 ファイアウォールや NAT デバイスの他、 従来型の VPN デバイスと干渉する可能性があるプロキシ サーバーもトラバースすることができます。 • Aventail Web プ ロキシ サービ ス。 このサービスは、 ユーザーが、 Web ベースのアプリケーション、 Web サーバー、 ネットワーク ファイル サーバーなどに、 Web ブラウザから安全にアクセスできるようにするためのもの です。 Web プロキシ サービスは、 Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな HTTP リバース プロキシです。 このサービスは、 OnDemand プロキシ エージェントからの TCP/IP 接続の管理も行い ます。 • Aventail ネ ッ ト ワー ク プ ロキシ サービ ス。 このサービスは、 標準クライアント / サーバー アプリケーションに アクセスするためのセキュアなプロキシを提供します。 Aventail Connect プロキシと共同で動作して、 インター ネット経由で認証され暗号化されたアクセスを可能にします。 ネットワーク プロキシ サービスは、 SOCKS v5 プロ トコルをベースにしています。 ネットワーク プロキシ サービスは、 内部のアプリケーションとネットワークに対するア クセスを中継し暗号化します。 ネットワーク プロキシ サービスは、 このプロキシベースのアーキテクチャと SSL を 使用することにより、 ファイアウォールや NAT デバイスの他、 従来型の VPN デバイスと干渉する可能性があるプ ロキシ サーバーもトラバースすることができます。 222|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス • ASAP WorkPlace サービ ス。 このサービスは、 Web ブラウザからアクセスするネットワーク ファイル共有に対 するアクセスを制御します。 ASAP WorkPlace サービスは、 Server Message Block (SMB) ファイル共有プ ロトコルを使用して、Windows ファイル サーバーおよびネットワーク共有 (Microsoft Distributed file system (DFS) リソース ) と通信します。 ASAP WorkPlace サービスの構成については、 189 ページの 「ASAP WorkPlace の一般設定の構成」 を参照してください。 䭩䭶䮂䮀䎃䭼䯃䮚䮀 Web 䮝䮰䭭䭽 OnDemand 䮞䮴䭴䭾 䭯䯃䭿䭮䮺䮏 (HTTP 䮞䮴䮏䭺䮲) Web 䮞 䮴 䭴 䭾 ASAP WorkPlace 䮏䮺䮔䮲 䭯䯃䭿䭮䮺䮏 Connect 䮏䮺䮔䮲 䭶䮰䭫䭩䮺䮏 (IP 䮞䮴䮏䭺䮲) 䮔䮊䮏䮶䯃䭶 䮏䮺䮔䮲 Aventail Connect 䮞䮴䭴䭾 䭶䮰䭫䭩䮺䮏 (TCP 䮞䮴䮏䭺䮲) 䮔䮊䮏䮶䯃䭶 䮞䮴䭴䭾 䮗䮊䭶䭯䮺䮐 䮱䮄䯃䮀 次の表は、 Aventail アクセス サービスと、 そのサービスが制御するユーザー アクセス コンポーネントとの関係を示し ています。 サービス ユーザー アクセス コンポーネント 説明 Aventail ネットワーク トンネル サービス • Aventail OnDemand トンネル エージェント • • Aventail Connect トンネル クライアント ネットワーク トンネル クライアントからの TCP/IP 接続および非 TCP/IP (VoIP や ICMP などの ) 接続を管理します。 • すべてのリソースに対してネットワークレ ベルのアクセスを提供することで、 ユー ザーのコンピュータを効率的にネットワー ク上のノードにします。 • マップド ネットワーク ドライブ、 ネイティブ 電子メール クライアント、 Voice over IP (VoIP) などの逆方向接続を行うアプリ ケーションをサポートします。 Aventail ネットワーク プロキシ サービス • Aventail Connect プロキシ クライアント • Aventail Connect プロキシ クライアント からの TCP/IP 接続を管理します。 Aventail Web プロキシ サービス • Aventail OnDemand プロキシ エージェント • • Web プロキシ エージェント Web ブラウザおよび Aventail OnDemand プロキシ エージェントからの HTTP 接続および TCP/IP 接続を管理し ます。 • トランスレーテッド Web エージェント • ASAP WorkPlace ポータル • Web ブラウザから使用できる Web ベー スのポータルです。 • ファイル システム リソースへのアクセスを 提供します。 • Aventail Connect プロキシ クライアント以外 のすべてのユーザー アクセス コンポーネント の設定とインストールを行います。 Aventail ASAP WorkPlace サービス EX-750 イ ン ス ト ールおよび管理ガ イ ド | 223 Aventail ア ク セス サービスの停止と開始 状況に応じて、 Aventail サービスを一時的に停止することもできます。 ! 注意 サービスは、 予定されている保守期間やオフピークのときに限って停止するようにします。 また、 サービス が停止する際は、 あらかじめユーザーに通知しておく必要があります。 X サービ ス を開始または停止する には 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] エリアで、 適切なリンクをクリックします。 • サービスを停止するときは、 [Stop] をクリックします。 この操作により、 現在のすべての接続が停止します。 • サービスを開始するときは、 [Start] をクリックします。 ネ ッ ト ワーク ト ンネル サービスの構成 Aventail ネットワーク トンネル サービスは、 Connect トンネル クライアント および OnDemand トンネル エージェン トからのアクセスを制御します。 ネットワーク トンネル クライアントをユーザーにインストールするには、 最初に、 コミュニ ティで使用するための IP アドレス プールを 1 つまたは複数作成しなければなりません。 ネットワーク トンネル クライア ントからの TCP/IP 接続を管理するため、 ネットワーク トンネル サービスを構成する場合、 IP アドレスをクライアントに 割り当てるための IP アドレス プールをセットアップしなければなりません。 この節では、 ネットワーク トンネル サービスを構成する方法と、 ネットワーク トンネル クライアントが使用できる一定範囲 の IP アドレスを割り当てる方法について説明します。 224|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス X ネ ッ ト ワー ク ト ン ネル サービ ス を構成するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。 この操作 により、 [Configure Network Access Service] ページが表示されます。 3. [Network tunnel options] の [IP address pools] エリアで、 IP アドレス プールを 1 つまたは複数 作成します。 詳細については、 224 ページの 「IP アドレス プールの構成」 を参照してください。 4. [Advanced] エリアをクリックして拡張し、 [Show network redirection list] をクリックします。 この操 作により [Redirection List] が表示されます。 ユーザーが [Redirection List] のリソースにアクセスする と、 その接続がアプライアンスを経由するときに自動的にリダイレクトされます。 ただしこのオプションは、 「Redirect All」 モードで動作するよう構成されているクライアントには適用されません。 5. [Save] をクリックします。 IP ア ド レ ス プールの構成 IP アドレス プールは、 直接ユーザー コミュニティにバインドされるもので、 IP アドレスをネットワーク トンネル クライア ントに割り当てるために使用されます。 ユーザーが Connect トンネル クライアントまたは OnDemand トンネル エー ジェントを使用して接続する場合、 Aventail アプライアンスは、 クライアントに対して、 使用可能なアドレスのプールか ら IP アドレスを動的に割り当てます。 IP アドレス プールは、 サブネットまたはアドレス範囲として構成することができま す。 IP アドレス プールを構成するとき、 次の点に留意する必要があります。 • 他のネットワーク リソースにすでに割り当てられている IP アドレスは指定しないでください。 • ネットワーク トンネル クライアントが使用するよう構成している IP アドレスは、 クライアント ネットワークですでに使 用されている IP アドレスと衝突する可能性があります。 可能な限り、 ユーザーのネットワークで使用されているこ とがわかっている IP アドレスは構成しないでください。 • 最大数の同時ユーザーに対応できるだけの、 十分な IP アドレスがあることを確認します。 たとえば、 同時ユー ザーの最大数が 100 の場合、 100 以上の IP アドレスが使用可能でなければなりません。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 225 IP ア ド レ ス プールの追加 この節では、 IP アドレス プールを作成する方法について説明します。 X IP ア ド レ ス プールを追加する には 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。 この操作 により、 [Configure Network Access Service] ページが表示されます。 3. [Network tunnel options] の [IP address pools] エリアで、 [New] をクリックします。 この操作に より、 [Configure IP Address Pool] ページが表示されます。 4. [Name] ボックスに、 アドレス プールの名前を入力します。 5. [Description] ボックスに、 アドレス プールについてのコメントをわかりやすく入力します。 6. [IP addresses] に、 トンネル クライアントが使用できるようにする IP アドレス (1 つまたは複数 ) を入力しま す。 IP アドレスとサブネット マスクを、 カンマ区切りの十進数形式 (w.x.y.z) で入力します。 7. • 単一のホストを定義するときは、 [IP address] にその IP アドレスを入力し、 [Subnet mask] に 「255.255.255.255」 を指定します。 • IP アドレスを範囲で指定するときは、 [IP address] ボックスに開始アドレスを入力して、 [IP range end] ボックスに終了アドレスを入力し、 [Subnet mask] を指定します。 • サブネットを定義するときは、 [IP address] と [Subnet mask] を指定します。 サブネット マスクは、 ある範囲に変換され、 対応する値が入れられます。 サブネットの IP アドレスが入力されている場合、 それが ネットワーク内の最初の使用可能アドレスに変換されますが、 サブネットの真ん中のアドレスがそのまま使用さ れます。 終了アドレスには、 サブネットの最大の使用可能アドレスが入ります。 [Add] をクリックします。 このプールが、 使用可能な IP アドレス プールのリストの追加されます。 226|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス 8. ( オプション ) クライアント インタフェースを構成するための仮想インタフェース設定を変更するには、 [Advanced] エリアをクリックして拡張し、 [Customize default settings] チェック ボックスを選択しま す。 [DNS server]、 [WINS server]、 [Domain name] の値には 「Virtual interface settings」 があらかじめ構成されており、 それぞれの値がネットワーク構成から取り込まれます。 ただし、 必要 であれば設定を編集することもできます。 9. [Save] をクリックします。 IP ア ド レ ス プールの編集 ネットワーク構成が変わった場合、 既存の IP アドレス プールの設定を編集することができます。 X IP ア ド レ ス プールを編集する には 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。 この操作 により、 [Configure Network Access Service] ページが表示されます。 3. [Network tunnel options] セクションの [IP address pools] エリアには、 AMC で構成されているす べての IP アドレス プールのリストが表示されます。 編集したいアドレス プールの名前をクリックします。 この操作 により、 [Configure IP Address Pool] ページが表示されます。 4. アドレス プールの設定を必要に応じて修正し、 [Save] をクリックします。 IP ア ド レ ス プールの削除 IP アドレス プールを削除する前に、 削除した場合、 ユーザーにどのような影響が及ぼされるか考慮します。 X IP ア ド レ ス プールを削除する には 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。 この操作 により、 [Configure Network Access Service] ページが表示されます。 3. [Network tunnel options] の [IP address pools] エリアで、 削除するアドレス プールの左側にある チェック ボックスを選択して、 [Delete] をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 227 ネ ッ ト ワーク プ ロキシ サービスの構成 この節では、 ネットワーク プロキシ サービス オプションを構成する方法について説明します。 X ネ ッ ト ワー ク プ ロキシ サービ ス を構成するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] の [Network tunnel service] エリアで [Configure] をクリックします。 この操作 により、 [Configure Network Access Service] ページが表示されます。 3. [Network proxy options] をクリックして、 [Timeout values] エリアに情報を入力します。 • [SSL timeout] ボックスに、 SSL ハンドシェークがタイムアウトするまでの時間を秒単位で入力します。 デ フォルトは 「300」 です。 • [SSL cache lifetime] ボックスに、 SSL セッション レコードがキャッシュ内に残される時間を分単位で入 力します。 [SSL cache lifetime] が過ぎると、 ネットワーク プロキシ サービスは、 新しい SSL セッショ ンとネゴシエートするようになります。 ただし AMC には、 SSL セッションの長さに対するグローバル設定があ ります。 そのため、 この設定と同じ値を使用することが推奨されます。 値が異なる場合、 ネットワーク プロキ シ セッションで短い値が優先されます。 [SSL cache lifetime] のデフォルト値は 「720」 分 (12 時間 ) です。 • [Default connection timeout] ボックスに、 ユーザー接続がタイムアウトするまでの非動作時間を秒 単位で入力します。 ここで指定した時間内にデータが転送されていない場合、 接続が終了し、 ユーザーが 再認証を受けなければならなくなります。 • [Authentication timeout] ボックスに、 認証要求のタイムアウト値を秒単位で入力します。 認証フェー ズの際、 ここで指定した時間内にデータが受け取られなかった場合、 その要求はタイムアウトします。 一般 的に、 この値と [SOCKS client timeout] を同じ値に設定します。 • [SOCKS client timeout] ボックスに、 SOCKS プロトコル応答のタイムアウト値を秒単位で入力します。 非認証接続の際、 ここで指定した時間内にクライアントからデータが受け取られなかった場合、 その要求はタ イムアウトします。 一般的に、 この値と [Authentication timeout] を同じ値に設定します。 • [Maximum limbo life] ボックスに、 サーバー構成が修正された後も接続を持続できる最大ライフタイム を秒単位で入力します。 構成の変更をネットワーク プロキシ サービスに適用する場合、 既存の接続は、 ユー ザーが停止させるか、 [Maximum limbo life] 秒が経過するまでアクティブな状態になります。 この設 定を短くするほど、 セキュリティは向上しますが、 一部のユーザーの接続が突然停止するなどということが起 こりやすくなります。 228|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス 4. [DNS cache] エリアに情報を入力します。 • [Forward lookup] の [Success] ボックスに、 成功した順方向 DNS ルックアップがキャッシュされる 時間を秒単位で入力します。 [Failure] ボックスには、 失敗した順方向 DNS ルックアップがキャッシュされ る時間を秒単位で入力します。 • [Reverse lookup] の [Success] ボックスに、成功した逆方向 DNS ルックアップがキャッシュされる時 間を秒単位で入力します。 [Failure] ボックスには、 失敗した逆方向 DNS ルックアップがキャッシュされる 時間を秒単位で入力します。 5. [Miscellaneous] エリアの [Save performance metrics every] ボックスに、 何回接続を行ったとき にパフォーマンス メトリックスが保存されるか、 その接続回数で指定します。 メトリックスは syslog にロギングさ れ、 他のログ情報とローテーションされます。 6. [Save] をクリックします。 メモ • ネットワーク プロキシ サービスでは、 内部 DNS キャッシュを使用して、 成功および失敗した名前ルックアップを 保管します。 順方向および逆方向ルックアップは別々にキャッシュされます。 DNS ルックアップをキャッシュする と、 パフォーマンスが向上します。 これは特に、 失敗したルックアップの場合に顕著です。 というのも、 失敗した 接続要求は、 成功した要求よりも処理に時間がかかるためです。 Web プ ロキシ サービスの構成 この節では、 Web リソースへのアクセスを管理するサービスの構成方法について説明します。 Web プロキシ サービス では、 Web プロキシ アクセス、 トランスレーテッド Web アクセス、 Aventail OnDemand プロキシ エージェントの 3 種類のモードで Web ベースのアクセスを提供します。 X Web プ ロキシ サービ ス を構成するには 1. メイン ナビゲーション メニューから [Services] をクリックします。 この操作により、 [Services] ページが表示 されます。 2. [Access Services] の [Web proxy service] エリアで [Configure] をクリックします。 この操作によ り、 [Configure Web Proxy Service] ページが表示されます。 3. [Web proxy agent redirection list] エリアに、 リダイレクトされた Web リソースを表示するリンクがありま す。 Windows XP または 2000 が動作し Internet Explorer と ActiveX が有効になっているユーザーの場 合、 AMC で定義している接続先リソースについては、 標準モードで、 アプライアンスによって Web 接続が自動 的にリダイレクトされます。 標準モードのユーザーが自動的にリダイレクトされる Web リソースのリストを表示すると きは、 [Show network redirection list] をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 229 4. 5. [Downstream Web resources] 設定を構成します。 • Web プロキシ サービスが、 バックエンド Web サービスによって提示される証明書の妥当性をチェックするよ うにしたい場合、 [Validate SSL server certificates] チェック ボックスを選択します。 この設定を有 効にすると、 証明書の CN がホスト名と合致し証明書が有効であることを、 アプライアンスが確認するようにな ります。 ダウンストリーム HTTPS を使用している場合は、 この機能をできる限り有効にしてください。 • 証明書をバ ッ ク エ ン ド Web サーバーに発行 し た CA を リ ス ト す る アプ ラ イ ア ン ス のルー ト 証明書の 詳細を表示す る 場合は、 [View CA certificate] リ ン ク を ク リ ッ ク し ま す。 CA 証明書の管理につ いては、 47 ページの 「証明書の管理」 を参照 し て く だ さ い。 • 証明書をインポートするときは、 [SSL Settings] リンクをクリックします。 [Advanced] の [Translated mode -- redirection list] エリアで、 トランスレーテッド Web アクセスを 構成します。 デフォルトの場合、 アプライアンスは、 [Name Resolution] ページの DNS 検索リストでリストされているドメイ ンのコンテンツをプロキシします。プロキシするリソースを上書きしたい場合、ここでそれを指定することができます。 • アプライアンスで特定ドメインのリソースをプロキシする場合、 [Type] リストから [Domain] を選択し、 [Value] ボックスにドメイン名を入力して、 [Add] をクリックします。 • アプライアンスで特定ホストのリソースをプロキシする場合、 [Type] リストから [Host name] を選択し、 [Value] ボックスにホスト名を入力して、 [Add] をクリックします。 • アプライアンスで特定ネットワークのリソースをプロキシする場合、 [Type] リストから [Network address] を選択し、 [Value] ボックスにネットワーク アドレスを入力して、 [Add] をクリックします。 [Translated mode -- redirection list] エリアでドメイン、 ホスト、 ネットワーク アドレスを指定する場合、 デフォルト DNS 検索リストが上書きされます ( デフォルト DNS 検索リストは [Name Resolution] ページの [Search domains] ボックスで構成されている )。 [Translated mode -- redirection list] エリアで指 定したドメイン、 ホスト、 ネットワーク アドレスのリソースのみが、 アプライアンスでプロキシされるようになります。 こ こで参照されているもの以外のリソースはプロキシされません。 DNS 検索リストのすべてのドメインの他、 1 つまたは複数のドメインをプロキシ対象に追加したい場合、 DNS 検 索 リス ト のも の と これ らの ド メイ ンを この エ リア で 指 定 しな け れ ばな り ま せん。 [Translated mode -redirection list] をブランクにした場合、 アプライアンスは、 デフォルトで、 DNS 検索リストのドメインのみをプ ロキシするようになります。 230|第 10 章 - ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス EX-750 イ ン ス ト ールおよび管理ガ イ ド | 231 付録 A ト ラ ブルシ ュ ーテ ィ ン グ この節では、 一般的なトラブルシューティングの方法について説明し、 ASAP Management Console (AMC) に付 属するトラブルシューティング ツールについて説明します。 ただし、 コア ネットワーキング サービス (DHCP、 DNS、 WINS など ) の障害の場合は、 不測の障害の原因になります。 一般的なネ ッ ト ワーキングの問題 • すべてのネットワーク ケーブルをチェックし、 不良なケーブルがないか確認します。 • ネットワーク アドレス変換 (NAT) を使用している場合、 ファイアウォールでブロックされる可能性があります。 クロ ス ケーブルを使用して物理インタフェースでノート型 PC をアプライアンスに接続することにより、 ファイアウォール を一時的にバイパスして、 ネットワークの接続性を確認します。 このような接続が不可能な場合は、 ノート型 PC を、 アプライアンスの外部インタフェースと同じネットワーク セグメ ントに ( できる限りアプライアンスに近い位置に ) 入れます。 • 外部インタフェースを ping しネットワーク接続を確認します。 ホストの IP アドレスが ping できるにもかかわらず、 正規のドメイン名を ping できない場合は、 名前解決の問題が考えられます。 ping コマンドは、 コマンド ライン または AMC 内から発行することができます (235 ページの 「ping コマンド」 を参照 )。 • すでに新しい IP アドレスをアプライアンスに割り当てている場合、 ファイアウォールやルータなどのネットワーク デ バイスからローカル アドレス解決プロトコル (ARP) キャッシュを消去してください。 この操作により、 これらのネット ワーク デバイスが古い IP-MAC アドレス マッピングを使用しなくなります。 • 外部インタフェースでパケット トレースを実行して、 トラフィックがアプライアンスに到達し返ってくることを確認しま す。 これは一般的に、 tcpdump ユーティリティを使用して行います。 たとえば 「tcpdump -i -n eth1:1 port 80 or 443」 を実行すると、 eth1:1 インタフェースのポート 80 とポート 443 のトラフィックがチェックさ れます。 • トラフィックが接続先に到達しない場合、iptables ( アプライアンスで動作するファイアウォール ) によってフィルタ リングされていないことを確認します。 ログ ファイル、 /var/log/kern.iptables の内容を検査し、 ドロップしてい るパケットがないか調べます。 iptables ルールセットを参照するときは、 「iptables -L -n -v」 コマンドを 実行します ( ただし、iptables でフィルタリングされたトラフィックを示すログ メッセージは外部 syslog サーバー には転送されない )。 • 外部ネットワークに接続できない場合、 デフォルト ゲートウェイを ping し、 インターネット接続が存在することを確 認します。 ping コマンドは、 コマンド ラインまたは AMC 内から発行することができます。 235 ページの 「ping コマンド」 を参照してください。 • scp ファイル コピーのパフォーマンスの低下や、 Web プロキシ、 ネットワーク トンネル、 ネットワーク プロキシ サービスのパフォーマンスの低下など、 ネットワーク レイテンシが発生している場合は、 アプライアンスのインタ フェース設定と、 アプライアンスが接続するスイッチ ポートの構成に違いがある可能性があります。 つまり、 スイッ チが誤って二重モード設定を検出している可能性があります ( たとえば、 アプライアンスが全二重で構成されてい るにもかかわらずスイッチが半二重を検出しているなど )。 Cisco 製のスイッチには、 このような問題があることがわ かっています。 この問題は、 アプライアンスのパフォーマンスを低下させる可能性があります。 この問題を解決するには、 オートネゴシエートを使用しない設定にします。 代わりに、 スイッチ ポートに、 アプラ イアンスと一致する設定を静的に割り当てるよう構成します。 両方のスイッチ ポートと両方のアプライアンス インタ フェースの設定 ( 必要であれば、 内部と外部 ) をチェックしなければなりません。 いずれかのインタフェース / ス イッチ ポートが不適合になっている場合、 パフォーマンスに悪影響が出ます。 ネットワーク レイテンシが発生しているにもかかわらず、 アプライアンス / スイッチ ポートが正しく構成されている場 合、 問題はネットワークの他の箇所にあります。 アプリケーションレベルの問題の可能性もあります (Web プロキ シ、ネットワーク トンネル、ネットワーク プロキシ サービスがアクセスする DNS サーバーの名前解決が遅いなど )。 232|付録 A - ト ラ ブルシ ュ ーテ ィ ン グ AMC の問題 • AMC にアクセスできない場合は、 アプライアンスの内部ネットワーク インタフェースにクロス ケーブルを接続し、 ネットワークを介さないで AMC にアクセスできるか確認します。 このような接続が不可能な場合は、 ノート型 PC を、 内部インタフェースと同じネットワーク セグメントに ( できる限りアプライアンスに近い位置に ) 入れます。 • それでも AMC にアクセスできない場合、 URL に https:// プロトコル識別子が入っているか確認します。 また同 時に、 URL にポート番号 8443 が入っているか確認します。 • 構成の変更が有効にならない場合、 AMC で [Apply Changes] をクリックして、 サービスを再起動し、 変更 を適用します。 • プ ラ イ マ リ 管 理 者 の パ ス ワ ー ド を 紛 失 し た 場 合、 ア プ ラ イ ア ン ス に 「root」 と し て ロ グ イ ン し、 /usr/local/app/mgmt-server/sysconf/pending/avconfig.xml を修正する必要があります。 プライマリ管 理者に対する <credentials> ブロックを探し、<password> 要素を次のパスワード (MD5 ハッシュを使用 して暗号化している ) で置き換えます。 $1$h/Vql8b.$G8FZroTP0ainA4wT8uZga. AMC を再起動すると、 パスワードが 「password」 にリセットされます ( もちろん、 すぐに AMC を使用してもっ と安全なパスワードに変更する必要がある )。 セカンダリ管理者がパスワードを紛失した場合は、 プライマリ管理者 が、 パスワードをリセットしなければなりません。 認証の問題 • 外部認証サーバーにアクセスできるか確認します。 これは一般的に、 tcpdump ユーティリティを使用して行いま す。 たとえば 「tcpdump -i eth0 udp port 1645」 を実行すると、 ポート 1645 で RADIUS 認証サー バーにアクセスできるか確認することができます。 • 外部サーバーにアクセスするときに必要になる正しいクレデンシャルが AMC に含まれていることを確認します。 LDAP の 場 合は [Login DN] お よ び [Password] 設定 をチ ェ ッ ク し、 RADIUS の 場 合 は [Shared secret] 設定をチェックします。 • 認証サーバーのログを確認します。 不正なクレデンシャルを入力していないか確認し、 同時に接続の問題がない か確認します。 Aventail サービス Web プ ロキシ サービ スの問題 • AMC のサーバー ログ レベルを一時的に [Verbose] に上げます ( 必ず [Apply Changes] ページに行きア プライアンスを再起動する )。 • [View Logs] ページで Web プロキシ サービス ログを参照します。 また、 「tail -f /var/log/aventail/access_servers.log」 のように tail コマンドを使用して、 ログ をネイティブ形式で表示することもできます。 ログに接続要求が記述されているか確認します。 • DNS サーバーが、 AMC の Web プロキシ サービス [Server name] 設定を Web プロキシ サービス インタ フェースの IP アドレスに解決できることを確認します。 AMC でルックアップ ツール (237 ページの 「DNS ルック アップ」 を参照 ) を使用できる他、 コマンド ラインから nslookup コマンドまたは dig コマンドを発行することもで きます。 • ネットワークで NAT を使用して IP アドレスを変換している場合、 Web プロキシ サービス [Server name] 設 定に、 NAT によって置換される外部 ( またはパブリック ) IP アドレスが含まれていることを確認します。 Web プ ロキシ エージ ェ ン ト の問題 Web プロキシ エージェントは、Internet Explorer 6.0 以降が動作する Windows XP および Windows 2000 の URL リソースに対するアクセスを提供します。 ASAP WorkPlace の [Connection Status] エリアに 「Aventail Web proxy」 と表示されていれば、 クライアントで Web プロキシ モードがアクティブであることがわかります。 Web プ ロキシ エージェントがクライアント マシン上で正常に動作しているかどうかチェックする場合は、 次の手順を実行します。 1. クライアント マシン上で、 CTRL+ALT+DELETE を押し、 [ タ ス ク マネージ ャ ] をクリックします。 2. Windows タスク マネージャの [Processes] リストを参照し、 ewpca.exe プロセスがないか調べます。 この ファイルが存在する場合、 ネットワーク トラフィックを受け取っていない場合でも、 標準 Web モード アクセス エージェントが動作しています。 3. Web プロキシ エージェントがトラフィックを受け取っていることを Internet Explorer で確認するときは、 [Tools] メニューから [Internet Options] を選択して、 [Connections] タブで [LAN Settings] をク リックするか、 アプライアンスへの接続で使用しているダイヤルアップ /VPN 接続に対する [Settings] をクリック します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 233 4. 接続タイプに対応する [Settings] ダイアログ ボックスで、 [Use automatic configuration script] チェック ボックスが選択されており、 [Address] ボックスに次のアドレスが入力されていることを確認します。 http://127.0.0.1:<portnumber>/redirect.pac この設定により、 Internet Explorer が、 どの接続を Web プロキシ エージェントに送信するか判定するときに redirect.pac ファイルを使用するようになります。 5. redirect.pac ファイルの設定でリダイレクトされるリソース アドレスを参照するには、 このファイルをテキスト エディ タで開きます。 このファイルは、 クライアント マシンの次のフォルダに置かれています。 \Documents and Settings\<username>\Application Data\Aventail\ewpca redirect.pac の 「//Redirection Rules//」 セクションには、 標準 Web プロキシ エージェントによって送 信される際の接続先として定義されているアドレスがリストされています。 これらのアドレスは、 AMC で定義されて いるネットワークおよび URL のリストから取り込まれたものです。 ネ ッ ト ワー ク プ ロキシ サービ スの問題 • AMC のサーバー ログ レベルを一時的に [Verbose] に上げます ( 必ず [Apply Changes] ページに行きア プライアンスを再起動する )。 • 接続するとき、 クライアント / サーバー サービス ログをリアルタイムに参照します。 これは、 「tail -f /var/log/aventail/access_servers.log」 のように、 tail コマンドを使用して表 示することができます。 ログに接続要求が記述されているか確認します。 Aventail OnDemand プ ロキシの問題 この節では、 OnDemand プロキシの一般的な問題と個別の問題に対処する方法について説明します。 一般的な OnDemand プ ロキシの問題 OnDemand が正常に動作しない場合、 次の診断を行います。 OnDemand のテス ト 適切な URL に接続しアプレットを起動して、 サポートされているアプリケーションを実行することで、 OnDemand をテ ストします。 テストのときは、 次の点を確認します。 • OnDemand が、 必要な Aventail ネットワーク アクセス サービスと通信できるか。 • Aventail ネットワーク プロキシ サービスの認証とアクセス制御が動作しているか。 • OnDemand が、 自動的に接続を正しくリダイレクトするか。 • OnDemand が、 構成されているそれぞれのアプリケーションごとに接続を作成するか。 • OnDemand が、 自動的に始動する構成になっているシンクライアント アプリケーションを起動させるか。 OnDemand ログ フ ァ イルの表示 Windows を使用しているユーザーの場合、 OnDemand が起動するときログ ファイルが作成されます。 このファイル には、 トラブルシューティングで活用できるメッセージが記述されます。 このログ ファイル (od.log および odapp.log) のロケーションは、 ユーザーが実行しているオペレーティング システムによって異なります。 • Windows 2000 および Windows XP : %SystemRoot%\Documents and Settings\<username>\Application Data\Logfiles\ • Windows 98 SE および Windows Me : %SystemRoot%\Windows\Application data\Aventail\Logfiles\ JVM のバージ ョ ンの検出 OnDemand が正常に動作しない場合、 OnDemand でサポートされている JVM が動作しているか確認します。 サ ポートされている JVM のリストについては、 213 ページの 「OnDemand クライアント要件」 を参照してください。 ま た、 ユーザーがブラウザで Java を有効にしていることも確認します。 234 ページの 「ブラウザでの Java の有効化」 を参照してください。 クライアント コンピュータで動作している JVM のバージョンを判定するには、 次の手順を実行します。 234|付録 A - ト ラ ブルシ ュ ーテ ィ ン グ X JVM のバージ ョ ン を検出するには • Internet Explorer for Windows : ブラウザの Java コンソールを開いて、 JVM の情報を参照することができ ます。 234 ページの 「Java コンソールの表示」 を参照してください。 Internet Explorer for Macintosh OS X : 「Applications」 フォルダの 「Utilities」 フォルダを開き、 「Java」 フォルダを開きます。 Java Plugin Settings プログラムを実行し、 [About] タブを開いて、 JVM バージョンに関する情報を参照します。 • • Internet Explorer for Macintosh OS 9.2 : 「Applications」 フォルダの 「Apple Extras」 フォルダを 開き、 「Apple Mac OS Runtime」 フォルダを開きます。 「About MRJ」 ドキュメントを開いて、 JVM バー ジョンに関する情報を参照します。 • Netscape Navigator 7.x for Windows : ブラウザの [Tools] メニューから [Web Development] を選 択して、 [Java Console] をクリックします。 この操作により、 Java Console が開きます。 このウィンドウの最 初の 2 行に JVM バージョンが表示されます。 メモ • 一部のバージョンの Windows には、 JVM が含まれていないこともあります。 その場合、 「jview.exe must exist in \path or you need to set JAVA_HOME」 (jview.exe が \path に存在するか JAVA_HOME を 設定する必要があります ) というエラー メッセージが表示されます。 このメッセージが表示されたにもかかわらず Windows コンピュータに JVM があることがわかっている場合は、 [Environment Variables ] ダイアログ ボックスで 「JAVA_HOME」 に JVM ディレクトリのパスを設定します。 詳細については、 Windows ヘルプを参 照してください。 また、 JVM を Windows コンピュータにインストールしたり、 異なるコンピュータを使用したりす ることもできます。 ブ ラ ウザでの Java の有効化 OnDemand アプレットが動作するためには、 ユーザーのブラウザで Java を有効にしなければなりません。 Internet Explorer および Netscape Navigator の場合、 Java はデフォルトで有効になっています。 OnDemand が動作し ない状況でデフォルト設定を変えている可能性がある場合は、 次の方法で設定を変更してください。 ただし、 ここで紹 介する方法は、 ブラウザの最新バージョンに対応するものです。 それ以前のバージョンについては、 各ブラウザのマ ニュアルを参照してください。 X Internet Explorer 5.5 for Windows で Java を有効にするには 1. [Tools] メニューから [Internet Options] を選択します。 2. [Security] タブで、 [Custom Level] をクリックします。 3. [Microsoft VM] の下にある [Java Permissions] セクションで、 [Disable Java] 以外のオプションを 選択します。 4. [Scripting] まで下方向にスクロールし、 [Active Scripting] セクションで [Disable] 以外のオプションを 選択します。 X Internet Explorer for Macintosh で Java を有効にするには 1. [Explorer] メニューまたは [Edit] メニューで [Preferences] をクリックします。 2. [Web Browser] で [Java] をクリックします。 3. [Enable Java] チェック ボックスをクリックします。 X Netscape Navigator 7.x for Windows で JavaScript を有効にする には 1. [Edit] メニューで [Preferences] を選択します。 2. [Advanced/Scripts & Plugins] の下にある [Enable JavaScript for Navigator] チェック ボック スを選択します。 Java コ ン ソ ールの表示 OnDemand アプレットが起動しない場合、 ユーザー側で、 Java コンソールを開き、 OnDemand に関する技術メッ セージを表示する必要があります。 X Java コ ン ソ ールを開 く には • Internet Explorer for Windows : [Tools] メニューから [Internet Options] を選択して、 [Advanced] タブをクリックします。[Microsoft VM] の下にある [Java Console enabled] チェック ボッ クスと [Java logging enabled] チェック ボックスを選択して、 [OK] をクリックします。 ブラウザをいったん閉 じて再び開き、 [View] メニューの [Java Console] をクリックします。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 235 • Internet Explorer for Macintosh OS X : 「Applications」 フォルダの 「Utilities」 フォルダを開き、 「Console」 プログラムを実行します。 • Internet Explorer for Macintosh OS 9.2 : [View] メニューの [Java Messages] をクリックします。 こ の機能が動作しない場合、 Java ロギングがオンになっていることを確認するため、 [Edit] メニューの [Preferences] をクリックします。 [Web Browser] の下にある [Java] をクリックして、 Java メッセージ ロ ギングに対するチェック ボックスを選択します。 • Netscape Navigator 7.x : ブラウザの [Tools] メニューから [Web Development] を選択して、[Java Console] をクリックします。 • Windows で Sun Java プラグインを使用する場合、 ユーザーはタスクバー通知エリアの 「Sun Java」 アイコン をダブルクリックすることで、 Java コンソールにアクセスすることができます。 個別の OnDemand の問題 次に、 OnDemand を使用するときの個別の状況に応じたトラブルシューティングのヒントを示します。 OnDemand が始動 し ない 最初に、 OnDemand を実行しようとしているコンピュータ上の Web ブラウザで Java または JavaScript が有効に なっているか確認します。 Java を有効にする方法については、 234 ページの 「ブラウザでの Java の有効化」 を参 照してください。 ブラウザで Java が有効になっている場合、ブラウザが、OnDemand でサポートされているバージョンの Java Virtual Machine (JVM) を使用しているか確認します。 サポートされている JVM のリストについては、 213 ページの 「OnDemand クライアント要件」 を参照してください。 この両方のオプションが有効であるにもかかわらず OnDemand が始動しない場合、 ユーザーのコンピュータ上で Java コンソールを開いて、 Java メッセージを参照してみます。 このメッセージは、 テクニカル サポートを受ける上で役 に立ちます。 234 ページの 「Java コンソールの表示」 を参照してください。 OnDemand で ア プ リ ケーシ ョ ンが正常に動作 し ない ユーザー側で、 [OnDemand Details] ページをチェックし、 アプリケーション名がアクティブになっているか非アク ティブになっているか確認します。 問題の原因として考えられるのは、 同じローカル IP アドレスおよびポートを複数のア プ リ ケ ー シ ョ ン が 使 用 す る 構 成 に な っ て い る こ と で す。 問 題 の 詳 細 に つ い て 知 り た い 場 合 は、 ユ ー ザ ー に、 [OnDemand Details] ページのログ メッセージをコピーした上でメールするよう頼んでください。 サーバー証明書の [Accept] ボ タ ンが使用で き ない 一部の環境では、 OnDemand がユーザーに提示したサーバー証明書を、 ユーザーが受け入れられないということも あります。 証明書ページの [Accept] ボタンが使用できない場合、 OnDemand はサーバー証明書の問題を検出し ます。 このような問題の一般的な原因として次のようなものが考えられます。 • コンピュータとサーバー間の日付 / 時刻の不適合。クライアント コンピュータと Aventail ネットワーク プロキシ サー ビスの日付 / 時刻の設定が正しいか確認します。 • 証明書の有効期限が切れているか、 まだ有効になっていない場合。 • 証明書情報がサーバー情報と一致しない場合。 • 証明書チェーンが不正の場合。 AMC の ト ラ ブルシ ューテ ィ ング ツール AMC には、 基本的なネットワーク トラブルシューティング ツールが付属しています。 たとえば、 ping、 traceroute、 DNS ルックアップなどの他、 現在のルーティング テーブルを表示する機能も搭載されています。 トラブルシューティング ツールを実行するとき、 コマンドを実行するのに数分かかることがあります。 そのまましばらく待 ち、 コマンドが終了するまで、 AMC の他のページをブラウズしたりすることのないよう注意してください。 ping コ マン ド ネットワーク接続を確認するときは、 ping コマンドを使用します。 ping コマンドは、 ICMP ECHO_REQUEST パケッ トをターゲット ホストに送信し、 ホストの返信があるまで待機して確認します。 X ping コ マ ン ド を発行するには 1. メイン ナビゲーション メニューから [Troubleshooting] をクリックします。 2. [Ping] タブをクリックします。 3. [Address] ボックスに、 ping したいマシンの IP アドレスまたはホスト名を入力します。 236|付録 A - ト ラ ブルシ ュ ーテ ィ ン グ 4. [Go] をクリックします。 AMC が ping コマンドを発行します。 5 秒ほど経ったら、 結果がページ下部の大きな ボックスに表示されます。 接続が成功した場合は、 次のような結果が返されます。 ping コマンドがホストに到達できなかった場合は、 次のような結果が返されます。 traceroute コ マン ド IP パケットが接続先に到達するまでに通過する一連のゲートウェイを確認するときは、 traceroute コマンドを使用しま す。 これは、 ネットワーク障害がどこにあるか探す場合に使用すると便利です。 X traceroute を発行するには 1. メイン ナビゲーション メニューから [Troubleshooting] をクリックします。 2. [Ping] タブをクリックします。 3. [Address] ボックスに、 traceroute コマンドを発行するマシンの IP アドレスまたはホスト名を入力します。 4. [Use traceroute] チェック ボックスを選択します。 5. [Go] をクリックします。 AMC が traceroute コマンドを発行します。 結果はページ下部の大きなボックスに表示 されます。 traceroute は、 ホストのリストを返します。 このリストでは、 最初のゲートウェイが最初に来て、 接続 先が最後にリストされます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 237 DNS ル ッ ク ア ッ プ AMC のルックアップ ツールを使用して、 DNS が IP アドレスやホスト名を解決する方法を調べることができます。 この ツールは、 さまざまな DNS の問題に対処するときに使用すると便利で、 DNS サーバーが動作しているか判定する場 合にも使用することができます。 ルックアップ ツールでは、 正規のドメイン名または IP アドレスを使用することが前提になっています。 ただし、 ([Network Settings] の ) [Name Resolution] タブでデフォルト検索ドメインを 1 つまたは複数定義していれ ば、 正規でないホスト名を入力することもできます。 名前解決の設定については、 38 ページの 「名前解決の設定」 を 参照してください。 X DNS が IP ア ド レ スやホス ト 名を解決する方法を調べるには 1. メイン ナビゲーション メニューから [Troubleshooting] をクリックします。 2. [Lookup] タブをクリックします。 3. [Address] ボックスに、 このコマンドを発行するマシンの IP アドレスまたはホスト名を入力します。 4. [Go] をクリックします。 結果はページ下部の大きなボックスに表示されます。 現在のルーテ ィ ング テーブルの表示 AMC から、 動的ルートと静的ルートの両方について、 現在のルーティング テーブルを表示することができます。 X 現在のルーテ ィ ン グ テーブルを表示する には 1. メイン ナビゲーション メニューから [Troubleshooting] をクリックします。 2. [Routes] タブをクリックします。 3. [Go] をクリックします。 動的ルートと静的ルートの両方を含む結果が、 次の図のようにページ下部の大きなボック スに表示されます。 238|付録 A - ト ラ ブルシ ュ ーテ ィ ン グ ネ ッ ト ワーク ト ンネル ク ラ イ アン ト のロギング ツール ngutil ツールを使用すると、 いずれかのネットワーク トンネル クライアントが動作するユーザー セッションについてロ グをとることができます。 X ク ラ イ ア ン ト コ ン ピ ュ ー タ で ngutil を実行する には 1. ユーザー側で、 [ ス タ ー ト ] > [ フ ァ イル名を指定 し て実行 ] を選択し 「command」 と入力して、 コマンド プロンプトを開きます。 2. ユーザーが DOS コマンド プロンプトから 「ngutil -reset」 と入力します。 この操作により、 イベント ログが 消去されます。 3. ユーザーが、 ネットワーク トンネル クライアントを起動し、 ログに取り込みたいアクションを実行します。 4. ユーザーがコマンド プロンプトから 「ngutil > log.txt」 と入力します。 この操作により、 バッファされたログ メッセージが、 カレント ディレクトリ上の log.txt ファイルにパイプされます。 5. ユーザーに log.txt ファイルを送信してもらいます。 また、 ユーザーが 「ngutil -poll」 を実行しても、 クライアント コンピュータ上のリアルタイムなロギングを参照 することができます。 メモ • ngutil コマンドの構文について知りたい場合は、 コマンド プロンプトで 「ngutil -help」 と入力します。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 239 付録 B ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス この節では、 Aventail アプライアンスのセキュリティを向上させるためのヒントを紹介します。 ネ ッ ト ワーク構成 • ア プ ラ イ ア ン ス で、 デ ュ アル イ ン タ フ ェ ース を使用する構成に し ます。 Aventail アプライアンスでは、 外部インタフェースと内部インタフェースの両方がある場合、 最適なファイアウォー ル設定が可能になります。 それぞれのサービスは、 両方のインタフェースに分割されるため、 Aventail ASAP Management Console (AMC) などの管理サービスはサービスを内部でのみリッスンし、 Aventail アクセス サービスなどのパブリック サービスは、 外部でのみリッスンします。 • 両方のア プ ラ イ ア ン ス イ ン タ フ ェ ース を フ ァ イ アウ ォ ールで保護 し ます。 インターネットからのトラフィックは、 ポート 80 とポート 443 でのみ許可します。 アプライアンスは、 顧客ネットワー ク上の必要なリソースにのみアクセスできるようにし、 顧客ネットワークからは、 信頼できる IP アドレスのみが AMC にアクセスできるようにします。 • SSH サービ スでは、 厳格な IP ア ド レ ス制約を実施 し ます。 両方のネットワーク インタフェースが有効な場合、 Secure Shell (SSH) は両方のインタフェースでリッスンしま す。 SSH サービスのアクセスは、 信頼できる管理ワークステーションの IP アドレスに制限するか、 少なくとも内部 ネットワークのアドレス範囲に制限します。 • SNMP サービスでは、 厳格な IP アドレス制約を実施します。 両方のネットワーク インタフェースが有効な場合、 Simple Network Management Protocol (SNMP) は両方 のインタフェースでリッスンします。 SNMP サービスのアクセスは、 信頼できる管理ワークステーションの IP アドレ スに制限するか、 少なくとも内部ネットワークのアドレス範囲に制限します。 • SNMP コ ミ ュ ニ テ ィ 文字列には、 安全なパス フ レーズを使用 し ます。 AMC の SNMP 構成では、 ネットワーク管理ツールが Aventail アプライアンスに照会するために使用する文字 列を、 [Community string] ボックスで設定します。 この値は、 デフォルトで 「public」 に設定されていま す。 このコミュニティ文字列は、 必ず安全なパスフレーズに変更するようにしてください。 • ICMP ト ラ フ ィ ッ ク は無効にするか禁止 し ます。 両方のネットワーク インタフェースが有効な場合、 Internet Control Message Protocol (ICMP) を有効にす ると、 インターネットからアプライアンスを検出できるようになります。 最も安全なアプローチは、 ICMP を無効にす ることです。 ICMP をあえて有効にする場合は、 ファイアウォールやその他のネットワーク デバイスを使用して ICMP Echo Request トラフィックを禁止する必要があります。 • NTP サーバーを使用 し ます。 クロックを外部 Network Time Protocol (NTP) サーバーに合わせ、 システム ログに正確なタイムスタンプが記 録されるようにします。 • ア プ ラ イ ア ン スが使用する こ と にな っ ているサーバー証明書を保護 し ます。 アプライアンスのサーバー証明書を、 他のユーザーがアクセスできる場所に残さないようにし、 必ず強力なパスワー ドを使用して鍵が暗号化されるようにします。 攻撃者がこの証明書を入手した場合、 どのホストに侵入できるか知る ところとなり、 プライベートなデータも解読できるようになります。 240|付録 B - ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス アプ ラ イ アンスの構成 • ア プ ラ イ ア ン スの ソ フ ト ウ ェ ア イ メ ージ を最新の状態に し てお き ます。 パッチやアップグレード ファイルには、 セキュリティ関連のバグ フィックスが含まれていることが多いため、 [Update] ページを使用して速やかに適用するようにします。 • 定期的に構成をバ ッ ク ア ッ プ し ます。 [Import/Export] ページの [Export] オプション、 またはコマンドライン ユーティリティを使用して、 現在の 構成を定期的にバックアップします。 管理者ア カウン ト • 強力なパスワー ド を使用 し ます。 パスワードは、 8 文字以上にし、 句読文字、 大文字と小文字、 数字などを組み合わせるようにします。 • AMC 管理者パスワー ド を変更 し ます。 AMC 管理者パスワードは、 初期インストールの際、 root のパスワードと同じ値に設定されます。 AMC 管理者パ スワードは、 Web ブラウザと AMC サーバーとの間の SSL トンネルで送信されるため、 変更するようにします。 • 管理者パスワー ド を頻繁に変更 し ます。 • 管理者パスワー ド を他人 と 共有 し ないよ う に し ます。 特に必要でない限り、 管理者パスワードを他人と共有しないようにします。 他の管理者にアクセスを許可する必要 がある場合は、 個別の管理アカウントを作成します。 1 人のユーザーが管理者アカウントを持つべきで、 パスワー ドはエスクローとして預けるか、 安全な場所に保管しておきます。 • 作成する管理ア カ ウン ト の数を制限 し 、 管理権限は、 信頼で き る個人にのみ割 り 当て る よ う に し ます。 • 「最小限の権限」 の原則を守 り ます。 ア ク セス ポ リ シー ポリシー設計における最も安全なアプローチは、 アクセスを許可したいリソースを個別にリストするというものです。 このアプライアンスでは、 「許可」 ルールで指定されていないものはすべて拒否されます。 このアプローチは、 「ア クセス権は、 ユーザーにデフォルトで与えるのではなく、 明示的に与えなければならない」 という、 コンピュータ セ キュリティの基本設計原理に基づくものです。 もう 1 つのアプローチは、 制限されているリソースに対して、 「拒否ルール」 を作成し、 他の全員にデフォルトで アクセスを許可するというものです。 この場合、 最終的に 「拒否」 ルールが処理されるまで、 「拒否」 ルールで指 定されていないものはすべてアクセス可能になります。 この方法の場合セットアップは簡単ですが、 間違いが生じ やすいためあまり安全とは言えません。 もちろん、 許可ルールと拒否ルールを組み合わせて使用することもできます。 その場合、 ユーザーに対して、 一 部のリソースに対するアクセス許可を与えますが、 他のリソースについてはアクセスを拒否します。 • ルールの順序には特に注意を払います。 アプライアンスは、 アクセス制御ルールを順番に処理するため、 アクセスを許可するか拒否するかという点でルー ルの順序が非常に重要になります。 アプライアンスは、 一致するものが見つかればその時点でルールの読み込み をやめます。 セキュリティ ポリシーの設定を慎重に検討し、 ルールを誤った順序で指定しないよう気を付けてくださ い。 • 最も 範囲が狭いルールを リ ス ト の最初に配置 し ます。 最も範囲が狭いルールをリストの最初に配置すると、 アプライアンスは、 範囲の広いルールを処理する前に一致を 見つけます。 そのため、 最も範囲が狭いルールをリストの最初に配置するのがベストです。 • 「Any」 を含むルールは慎重に監査 し ます。 アクセスを特定のユーザーや特定のリソースに制限しないルールを作成する場合、 「Any」 という言葉がアクセス制 御リストに登場します。 「Any」 がポリシー ルールで持つ意味について慎重に検討します。 「許可」 ルールの場合、 「Any」 基準が多す ぎると、 セキュリティ ホールをさらすことにもなりかねません。 一方、 「拒否」 ルールで 「Any」 基準が多すぎる場 合は、 ネットワーク アクセスを不必要に制限してしまう可能性があります。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 241 SSL サイ フ ァ • 低強度の共通鍵暗号は無効に し ます。 • AMC のメイン ナビゲーション メニューから [SSL Settings] をクリックして、 [SSL Encryption] タブを クリックします。 • 40 ビットおよび 56 ビット サイファの横にあるチェック ボックスのチェックをすべて外します。 ク ラ イ アン ト ア ク セス • タ イ ムアウ ト 設定を変更 し ます。 [General Settings] ページで [Maximum session length] を設定し、 ユーザーに定期的に再認証を 求めるような設定にします。 この設定は、 ネットワーク アクセス サービスと Web プロキシ サービスの両方に適用 されます。 [Configure Network Access Service] > [Networky Proxy Options] ペ ージ で、 [SSL timeout]、 [Default connection timeout]、 [Authentication timeout] に対する [Timeout value] の設定を構成し、 ユーザーに定期的に再認証を求めるような設定にします。 • End Point Control コ ンポーネ ン ト を イ ン ス ト ール し ます。 Aventail の End Point Control コンポーネントをインストールすると、 重要なデータが保護されるため、 ネット ワークが、 信頼されていない環境の PC からアクセスを受けても危険にさらされることがなくなります。 また、 Aventail Cache Control と Aventail Secure Desktop の両方に非アクティブ タイマーが搭載されており、一 定時間非アクティブな状態が続くと、 そのユーザー接続を停止できるようになっています。 • SecurID のよ う な、 強力な二因子認証 メ カ ニズムを使用 し ます。 • Aventail Connect プロキシ クライアントを、 次の SSL 設定で構成します。 • 証明書チェーンの最大長を 「2」 に設定します。 • 信頼できるルート ファイルを使用します。 アプライアンスの SSL 証明書の署名証明書は、 ルート ファイルに のみ入れます。 • Aventail Connect の [SSL Options] ダイアログ ボックスで、 [If a Server Certificate is Suspect] の下にある、 [Show me the certificate, but reject the connection] をクリックし ます。 242|付録 B - ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス EX-750 イ ン ス ト ールおよび管理ガ イ ド | 243 付録 C 国際化サポー ト この節では、 このアプライアンスでサポートされている国際化機能について説明します。 ネ イ テ ィ ブ文字セ ッ ト のサポー ト このアプライアンスでは、 拡張文字セット、 つまり 2 バイト文字セットをサポートしています。 そのため、 ユーザー名、 パスワード、 リソース名、 WorkPlace ショートカット、 アクセス制御ルールについては、 AMC で、 拡張文字または 2 バイト文字を含むネイティブ文字セットで入力、 表示することができます。 また、 このアプライアンスでは、 ユーザー名 フィールドやパスワード フィールドなどのユーザー認証プロンプトについても、 拡張文字または 2 バイト文字をサポート しています。 RADIUS ポ リ シー サーバーの文字セ ッ ト このアプライアンスでは、 非英語文字セットを使用する RADIUS ポリシー サーバーによる文字エンコーディングをサ ポートしています。 RADIUS 仕様の最新バージョン (RFC2865) では、 すべてのテキスト フィールドで UTF-8 エン コード文字に対応することが求められています。 ただし古いバージョンの RADIUS プロトコルでは、 テキスト フィールド を 7 ビット US-ASCII で定義しています。 AMC では、 古いバージョンのプロトコルを使用する RADIUS サーバーも サポートするため、 最も一般的に使用する文字セットのリストを選択できるようになっています。 また、 他の文字セットで 入力することも可能です。 X RADIUS サーバーの言語設定を変更するには 1. メイン ナビゲーション メニューから [Authentication Realms] をクリックします。 この操作により、 [Authentication] ページが表示されます。 2. 構成済みの [Authentication servers] のリストから RADIUS サーバーを選択します ( 初めて AMC で RADIUS サーバーを構成する場合は、 70 ページの 「RADIUS 認証の構成」 を参照 )。 3. [Configure Authentication Server] ページで、 [Advanced] ボタンをクリックします。 4. 5. [Locale encoding] エリアで次のように設定します。 • [Selected] リスト ボックスから文字セットを選択します。 選択可能な文字セットのリストについては、 244 ページの 「選択可能な RADIUS 文字セット」 を参照してください。 • [Other] をクリックし、 テキスト ボックスに文字セットの名前を入力します。 入力できる文字セットのリストにつ いては、 245 ページの 「サポートされているその他の RADIUS 文字セット」 を参照してください。 [Save] をクリックします。 244|付録 C - 国際化サポー ト 選択可能な RADIUS 文字セ ッ ト [Configure Authentication Server] ページの [Selected] リストでは、 次の文字セットを選択することができ ます。 文字セット コード ページ Japanese (Shift-JIS) 932 Chinese Simplified (GBK) 936 Korean (EUC-KR) 949 Chinese Traditional (Big5) 950 Central European 1250 Cyrillic 1251 Western 1252 Greek 1253 Turkish 1254 Hebrew 1255 Arabic 1256 Baltic 1257 Vietnamese 1258 Unicode (UTF-8) 65001 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 245 サポー ト さ れているその他の RADIUS 文字セ ッ ト [Configure Authentication Server] ページの [Other] テキスト ボックスでは、 次の文字セットを入力するこ とができます。 言語タイプ サポートされている文字セット ヨーロッパ語 ASCII ISO-8859-1 ISO-8859-2 ISO-8859-3 ISO-8859-4 ISO-8859-5 ISO-8859-7 ISO-8859-9 ISO-8859-10 ISO-8859-13 ISO-8859-14 ISO-8859-15 ISO-8859-16 KOI8-R KOI8-U KOI8-RU CP1250 CP1251 CP1252 CP1253 CP1254 CP1257 CP850 CP866 MacRoman MacCentralEurope MacIceland MacCroatian MacRomania MacCyrillic MacUkraine MacGreek MacTurkish Macintosh セム語 ISO-8859-6 ISO-8859-8 CP1255 CP1256 CP862 MacHebrew MacArabic 246|付録 C - 国際化サポー ト 言語タイプ サポートされている文字セット 日本語 EUC-JP SHIFT_JIS CP932 ISO-2022-JP ISO-2022-JP-2 ISO-2022-JP-1 中国語 EUC-CN HZ GBK GB18030 EUC-TW BIG5 CP950 BIG5-HKSCS ISO-2022-CN ISO-2022-CN-EXT 韓国語 EUC-KR CP949 ISO-2022-KR JOHAB アルメニア語 ARMSCII-8 グルジア語 Georgian-Academy Georgian-PS タジク語 KOI8-T タイ語 TIS-620 CP874 MacThai ラオ語 MuleLao-1 CP1133 ヴェトナム語 VISCII TCVN CP1258 Unicode UTF-8 UCS-2 UCS-2BE UCS-2LE UCS-4 UCS-4BE UCS-4LE UTF-16 UTF-16BE UTF-16LE UTF-32 UTF-32BE UTF-32LE UTF-7 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 247 用語集 ア ク セ ス制御 ユーザーの身元情報や ク レデン シ ャ ルに基づいて、 ア ク セ ス を制限す る 手段。 通常、 ネ ッ ト ワー ク リ ソ ースへのユーザー ア ク セ ス を制御す る ために使用 さ れます。 ア ク セ ス ポ リ シーは、 シ ス テ ム上のユー ザーの権限を定義す る ルールのセ ッ ト です。 こ の よ う なルールでは、 ユーザーま たはユーザー グループ がア ク セ ス を許可 さ れてい る アプ リ ケーシ ョ ンやネ ッ ト ワ ー ク リ ソ ース を定義 し ます。 エイ リ アス ネ ッ ト ワー ク 、 ホ ス ト コ ン ピ ュ ー タ 、 ネ ッ ト ワー ク リ ソ ース な ど のオブジ ェ ク ト を示す代替の ラ ベルや 名前。 Web プ ロ キ シ サービ ス の場合、 エ イ リ ア ス には特別な意味があ り 、 内部ネ ッ ト ワー ク の URL を隠 す役割があ り ます。 すべての要求は、 Web プ ロ キ シ サービ ス にダ イ レ ク ト さ れ る ため、 ユーザーが目に す る のは、 入っ て く る 、 エ イ リ ア ス を含む URL のみです。 Web プ ロ キ シ サービ ス は、 こ のエ イ リ ア ス を、 AMC で定義 さ れてい る リ ス ト と 一致 さ せて、 URL を変換 し ます。 エ イ リ ア ス は、 ト ラ ン ス レーテ ッ ド Web ア ク セ ス に限っ て使用す る こ と がで き ます。 認証 リ ソ ースへのア ク セ ス を許可す る ために、 ユーザーの身元情報や ク レデン シ ャ ルを確認す る 方法。 ク レデ ン シ ャ ルは通常、 あ る 種のパー ミ ッ シ ョ ン リ ス ト と 比較 さ れます。 認証の方法には、 ユーザーが持つ ク レデン シ ャ ルの種類を規定す る も のや、 認証の タ イ ミ ン グ を規定す る も のな ど、 さ ま ざ ま な種類があ り ま す。 認証サーバー 外部認証サーバーでは、 ユーザーの身元情報や ク レデン シ ャ ルを保管 し ます。 ユーザーがアプ ラ イ ア ン ス に ロ グ イ ン で き る よ う セ ッ ト ア ッ プ し た レ ルムが こ れを参照 し ます。 こ のアプ ラ イ ア ン ス は、 LDAP、 Microsoft Active Directory、 RADIUS の各認証サーバーをサポー ト し てい ます。 許可 ユーザーに対 し て、 シ ス テ ムお よ びそ こ に保管 さ れてい る デー タ を使用で き る よ う 認め る パー ミ ッ シ ョ ン。 ユーザーが認証を受けた後、 こ の許可に よ っ て ア ク セ ス権限が指定 さ れます。 Aventail ASAP Management Console (AMC) アプ ラ イ ア ン ス を管理す る ための Web ベース の管理ツール。 こ の ツールを使用す る と 、 セキ ュ リ テ ィ ポ リ シーの管理、 シ ス テ ムの構成 ( ネ ッ ト ワ ーキ ン グお よ び証明書の構成を含む )、 モニ タ リ ン グについて 集中的にア ク セ ス で き る よ う にな り ます。 AMC は、 任意の Web ブ ラ ウ ザか ら ア ク セ スす る こ と がで き ま す。 Aventail ASAP WorkPlace 任意の Web ブ ラ ウ ザか ら 、Web ベース の リ ソ ースや Windows ネ ッ ト ワー ク 共有 リ ソ ースへア ク セ ス で き る よ う にす る 、 動的なパー ソ ナ ラ イ ズが可能なユーザー ア ク セ ス コ ン ポーネ ン ト 。 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト Aventail ネ ッ ト ワー ク ア ク セ ス サービ ス に接続 し 、 ネ ッ ト ワー ク リ ソ ース に対 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能にす る 、 構成可能な 32 ビ ッ ト Windows ク ラ イ ア ン ト 。 Aventail Connect は、 ユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れます。 Aventail Connect ト ン ネル ク ラ イ ア ン ト Aventail ネ ッ ト ワー ク ト ン ネル サービ ス で保護 さ れた リ ソ ース に対 し て、 フル ア ク セ ス で き る よ う にす る Windows アプ リ ケーシ ョ ン。 Connect ト ン ネル ク ラ イ ア ン ト を使用す る と 、 TCP/IP を使用す る アプ リ ケーシ ョ ンや、 VoIP や ICMP と いっ た非 TCP プ ロ ト コ ルを使用す る アプ リ ケーシ ョ ン な ど、 あ ら ゆ る 種類のアプ リ ケーシ ョ ンにア ク セ ス で き る よ う にな り ます。 Connect ト ン ネル ク ラ イ ア ン ト では他に も 、 ス プ リ ッ ト ト ン ネ リ ン グ制御、 細かいア ク セ ス制御、 プ ロ キ シ検出、 認証な ど の機能 も 提供 さ れます。 Aventail OnDemand プ ロ キ シ エージ ェ ン ト Aventail ネ ッ ト ワー ク ア ク セ ス サービ ス に接続 し 、 ネ ッ ト ワー ク リ ソ ース に対 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能にす る 、 安全かつ軽量の Java アプ レ ッ ト 。 デフ ォ ル ト では、 ユーザーが WorkPlace に ロ グ イ ンす る と き に OnDemand が自動的に起動 し ます。 ま た、 ユーザーが ASAP WorkPlace の リ ン ク を ク リ ッ ク す る こ と で起動で き る よ う OnDemand を構成す る こ と も で き ます。 248| - 用語集 Aventail OnDemand ト ン ネル エージ ェ ン ト Connect ト ン ネル ク ラ イ ア ン ト と 同様、 広範な アプ リ ケーシ ョ ンお よ びプ ロ ト コ ル ア ク セ ス を提供す る 軽量のエージ ェ ン ト ですが、 ASAP WorkPlace ポー タ ルに統合 さ れてお り 、 ユーザーが WorkPlace に ロ グ イ ンす る たびに自動的に起動 し ます。 Aventail OnDemand ト ン ネル エージ ェ ン ト を使用す る と 、 Web ブ ラ ウ ザを使用 し て、 Aventail ネ ッ ト ワー ク ト ン ネル サービ ス で保護 さ れた リ ソ ース に対 し 、 完全 なネ ッ ト ワ ー ク お よ びアプ リ ケーシ ョ ン ア ク セ ス が可能にな り ます。 バ ッ ク エン ド ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン ま たはシ ス テ ムの場合に、 サーバー上で動作す る プ ロ グ ラ ムの 一部 ( 注 : サーバーにはフ ロ ン ト エ ン ド と バ ッ ク エン ド があ る )。 双方向ア ク セ ス制御ルール ユーザー と リ ソ ース の両方が、 アプ ラ イ ア ン ス を通 る ト ラ フ ィ ッ ク を開始で き る よ う にす る ルール。 こ れ には、 順方向接続、 逆方向接続、 相互接続が含まれます。 CA ( 認証局 ) 証明書の発行、 更新、 廃止な ど を行 う 、 信頼で き る 第三者機関。 CA は、 独自の証明書が与え ら れた個人 が、 実際にその当人であ る こ と を証明 し ます (CA の個人ポ リ シーに従っ て )。 ルー ト CA は通常、 中間 CA に証明書を発行 し 、 その中間 CA がユーザーに証明書を発行 し ます。 証明書は、 ルー ト ま で証明書 チ ェ ーン を遡 る こ と で、 こ の信頼の階層に従っ て確認 さ れます。 証明書 サーバーま たは ク ラ イ ア ン ト の身元を確認 し 、 デジ タ ル情報の暗号化 と 署名のための RSA 鍵ペアにバ イ ン ド す る ためのデジ タ ル証明書。 証明書には、 その個人の身元を保証す る CA が署名 し ます。 証明書チ ェ ーン 最下層にユーザーの証明書 ( 「 リ ーフ」 )、 中間層に中間 CA ( あ る 場合 ) の証明書、 最上層にプ ラ イ マ リ CA の証明書を含む証明書の系列。 サイ フ ァ 鍵を使用 し てプ レーン テ キ ス ト をサ イ フ ァ テ キ ス ト ( ま たはその逆 ) に変換す る 暗号アルゴ リ ズ ムの一 種。 ク ラ イ アン ト ク ラ イ ア ン ト / サーバー アーキ テ ク チ ャ の ク ラ イ ア ン ト コ ン ポーネ ン ト 。 対応す る サーバー コ ン ポーネ ン ト に コ マ ン ド を送信 し 、 要求を実行 し たサーバーか ら 情報を受信す る と き に使用 し ます。 クラスタ 2 台の同 じ アプ ラ イ ア ン ス を ま と め、 1 つの仮想 IP ア ド レ ス に統合 し た も の。 Aventail ク ラ ス タ では、 統合 さ れた負荷分散、 ス テー ト フル ユーザー認証フ ェ イ ルオーバー、 集中管理な ど の機能を搭載す る こ と で、 シ ン グル ポ イ ン ト 障害を防止 し 、 高可用性を実現 し てい ます。 コ ミ ュ ニテ ィ ユーザーの集ま り で、 ユーザー集団の メ ンバーが レルムに ロ グ イ ンす る と き に、 ど のア ク セ ス ク ラ イ ア ン ト と End Point Control エージ ェ ン ト が イ ン ス ト ール さ れ る かが こ れに よ っ て決ま り ます。 ク レデン シ ャ ル 認証のために使用 さ れ る 個別のパ ス ワ ー ド や、 証明書に含ま れ る 実際の情報な ど、 リ ソ ース に対す る ユー ザーのア ク セ ス許可を確認す る 情報。 相互接続 VPN ユーザーが他の VPN ユーザー と の間でデー タ を交換で き る よ う にす る Voice over Internet Protocol (VoIP) アプ リ ケーシ ョ ン な ど の双方向接続。 相互接続では、 順方向接続に使用す る ア ク セ ス制 御ルール と 逆方向接続に使用す る ア ク セ ス制御ルールのペアが必要です。 CSR ( 証明書署名要求 ) ユーザーの名前や暗号鍵が含ま れ る 証明書の発行を CA に求め る 要求。 CSR には、 CA がユーザーを認証 で き る よ う にす る 情報は含まれてい ません。 CA には慎重 さ が求め ら れ る ため、 そのポ リ シーに従っ て、 こ の よ う な情報は個別に処理 さ れ る よ う にな っ てい ます。 こ の要求の フ ァ イ ル名の最後には通常、 .req がつ き ます。 DES ( デー タ 暗号化規格 ) デー タ の暗号化のための、 一般的な標準化サ イ フ ァ 。 デー タ の暗号化 と 復号化に共通の 56 ビ ッ ト 鍵が使 用 さ れます。 56 ビ ッ ト は、 現代のセキ ュ リ テ ィ 標準か ら 考え る と 不足気味であ る ため、 共通の方式を使 用 し て、 異な る 鍵で DES を三重にかけ ます ( ト リ プル DES)。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 249 デバ イ ス プ ロ フ ァ イ ル AMC で定義 さ れてい る 固有の属性を ま と めた も ので、 アプ ラ イ ア ン ス が ク ラ イ ア ン ト デバ イ ス を識別 し 、 信頼性の レベルを評価 し て、 End Point Control ゾーンにそれを割 り 当て る ために使用 し ます。 DMZ イ ン タ ーネ ッ ト と ネ ッ ト ワー ク の フ ァ イ ア ウ ォ ールの間に設定 さ れ る 「非武装地帯」。 通常、 DMZ は、 プ ラ イ ベー ト ネ ッ ト ワー ク のセキ ュ リ テ ィ を維持 し なが ら 、 イ ン タ ーネ ッ ト 経由でア ク セ ス可能な リ ソ ー ス を ホ ス ト す る ために使用 さ れます。 DN ( 識別名 ) 属性お よ びそれに対応す る 値の リ ス ト に よ っ て構成 さ れ る 名前で、 ユーザーま たはグループを識別 し ま す。 DN は、 証明書で名前を指定す る と き や、 デ ィ レ ク ト リ サーバーでエ ン ト リ をル ッ ク ア ッ プす る と き な ど に使用 さ れます。 Aventail では、 DN を表現す る と き 、 一般的に RFC 2253 ガ イ ド ラ イ ン を使用 し てい ます。 DNS (domain name system) 英字の ド メ イ ン名を数値の IP ア ド レ ス に変換す る イ ン タ ーネ ッ ト ユーテ ィ リ テ ィ 。 ド メ イ ン名が使用 さ れ る たびに、 DNS サーバーがそれを変換 し なければな り ません。 あ る DNS サーバーが、 特定の ド メ イ ン 名の変換方法を認識で き ない場合、 ド メ イ ン名が正 し く 変換 さ れ る ま で、 他のサーバーに順番に尋ねてい き ます。 DNS サーバー Domain Name System (DNS) か ら の照会に回答す る コ ン ピ ュ ー タ 。 DNS サーバーは、 ホ ス ト コ ン ピ ュ ー タ と ド メ イ ン名、 対応す る IP ア ド レ ス のデー タ ベース を保持 し ます。 ド メ イ ン名が照会 さ れた ら 、 それ と 一致す る IP ア ド レ ス を返 し ます。 ド メ イン 1 つの単位 と し て共通のルール と 手順で管理 さ れ る 、 ネ ッ ト ワ ー ク 上の コ ン ピ ュ ー タ と デバ イ ス のグルー プ。 イ ン タ ーネ ッ ト 内では、 ド メ イ ンは IP ア ド レ ス で定義 さ れます。 IP ア ド レ ス の共通部分を共有す る デバ イ ス はすべて、 同 じ ド メ イ ンに入っ てい る こ と にな り ます。 ダ ウ ン ス ト リ ーム Web サーバー Aventail Web プ ロ キ シ サービ ス で保護 さ れてい る 、 内部ネ ッ ト ワー ク 上のプ ラ イ ベー ト サーバー。 Web プ ロ キ シ サービ ス では、 エ イ リ ア ス を使用 し て、 ダ ウ ン ス ト リ ーム サーバー上の URL を隠 し ます。 すべての要求は、 Web プ ロ キ シ サービ ス にダ イ レ ク ト さ れ る ため、 ユーザーが目にす る のは、 入っ て く る 、 エ イ リ ア ス を含む URL のみです。 Web プ ロ キ シ サービ ス は、 こ のエ イ リ ア ス を、 AMC で定義 さ れ てい る リ ス ト と 一致 さ せて、 URL を変換 し ます。 動的 リ ダ イ レ ク シ ョ ン Aventail OnDemand リ ダ イ レ ク シ ョ ン モー ド は、 Windows を使用す る ユーザー向けの も ので、 OnDemand が、 AMC で定義 さ れてい る 任意の ド メ イ ン ま たは IP ア ド レ ス に接続を動的に リ ダ イ レ ク ト で き る よ う に し ます。 こ の動的 リ ダ イ レ ク シ ョ ンは、 Windows ユーザーの場合、 自動的に有効にな り ま す。 個別のアプ リ ケーシ ョ ン ご と に特定のポー ト やループバ ッ ク ア ド レ ス を構成す る 必要はあ り ません。 暗号化 サ イ フ ァ を使用 し て、 プ レーン テ キ ス ト と 鍵か ら サ イ フ ァ テ キ ス ト を生成 し ます。 暗号化は、 デー タ の漏 洩を防止 し ます。 End Point Control 重要なデー タ を保護 し 、 信頼 さ れていない環境の PC か ら ア ク セ ス さ れた場合にネ ッ ト ワー ク が危険に さ ら さ れ る こ と のない よ う にす る コ ン ポーネ ン ト 。 フ ァ イ ル シ ス テ ム リ ソ ース Windows ネ ッ ト ワー ク 上の ド メ イ ン、 サーバー、 共有、 フ ォ ルダ。 ASAP WorkPlace を使用す る こ と で、 ユーザーが フ ァ イ ル シ ス テ ム リ ソ ース にア ク セ ス で き る よ う にす る こ と がで き ます。 ASAP WorkPlace は、 任意の標準 Web ブ ラ ウ ザか ら 使用す る こ と がで き ます。 Filter-ID ユーザーが所属す る グループを示す RADIUS 属性。 こ の属性を使用す る こ と に よ り 、 許可ルールの設定 ポ リ シーで、 ユーザー名の代わ り にグループ名を指定す る こ と がで き ます。 FIPS 暗号化 ソ フ ト ウ ェ ア を実装す る ための基準を設定 し た米国の規格。 FIPS (Federal Information Processing Standard) では、 暗号アルゴ リ ズ ムの実装、 鍵素材 と デー タ バ ッ フ ァ の処理、 オペレーテ ィ ン グ シ ス テ ム と の協調な ど に関す る ベス ト プ ラ ク テ ィ ス を指定 し てい ます。 250| - 用語集 フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ ア ま たはハー ド ウ ェ アに実装 し 、 ネ ッ ト ワー ク に対す る 無許可ア ク セ ス を防止す る こ と がで き る シ ス テ ム。 フ ァ イ ア ウ ォ ールでは、 通過 し よ う と す る メ ッ セージ を検査 し 、 指定 さ れてい る 基準 と 合致 し ない も のについては通行を妨げ ます。 フ ァ イ ア ウ ォ ール技術にはい く つかの種類があ り 、 2 種類の技術 を組み合わせて使用す る のが一般的です。 フ ァ イ ア ウ ォールは、 セ キ ュ リ テ ィ に基づ く アーキ テ ク チ ャ で は、 最前線の防衛手段にな る と 考え ら れてい ます。 順方向接続 VPN ユーザーか ら ネ ッ ト ワー ク リ ソ ースへの接続。 正規 「完全」 や 「FQDN」 ( 正規の ド メ イ ン名 ) な ど と 呼ばれ る こ と も あ り ます。 コ ン ピ ュ ー タ の名前、 ア ド レ ス、 パ スや、 ホ ス ト 、 ド メ イ ン、 フ ァ イ ルな ど を完全に記述す る と き に使用 し ます。 正規の名前は、 個別 の フ ァ イ ル、 IP ア ド レ ス、 ホ ス ト 、 ド メ イ ン な ど に誘導す る 、 階層シ ス テ ムのすべての コ ン ポーネ ン ト の リ ス ト を表 し ます。 正規でない名前、 ア ド レ ス、 パ ス の場合、 エ イ リ ア ス が含ま れてい る か、 短縮バー ジ ョ ンにな っ てい ます。 ゲー ト ウ ェ イ ハー ド ウ ェ ア と ソ フ ト ウ ェ ア を組み合わせ、 異な る 通信プ ロ ト コ ルを使用 し て 2 つのネ ッ ト ワー ク を接続 し ます。 ネ ッ ト ワ ー ク 間で交換 さ れ る デー タ を変換 し 、 それぞれのネ ッ ト ワー ク が も う 一方のネ ッ ト ワー ク か ら 受け取っ たデー タ を読み込め る よ う に し ます。 グループ ア フ ィ ニテ ィ チ ェ ッ ク セカ ン ダ リ 認証サーバーでグループ メ ンバーシ ッ プをル ッ ク ア ッ プす る こ と に よ り 、 権限を制御 し ます。 こ の構成は通常、 RADIUS サーバーが ト ー ク ンでユーザーを認証 し 、 Active Directory サーバーや LDAP サーバーにグループ メ ンバーシ ッ プ情報が含まれてい る 場合に使用 さ れます。 ハッシュ 「ハ ッ シ ュ 値」 と も 呼ばれます。 式を テ キ ス ト 文字列に適用 し て生成 さ れ る 数値で、 他の文字列か ら 同 じ 数が生成 さ れ る こ と はほ と ん ど あ り ません。 ハ ッ シ ュ は常に、 テ キ ス ト 自体 よ り は る かに小 さ く な り ま す。 ホス ト TCP/IP ネ ッ ト ワー ク ( イ ン タ ーネ ッ ト を含む ) に接続す る コ ン ピ ュ ー タ で、 イ ン タ ーネ ッ ト へ リ ソ ース と サービ ス を提供す る サーバー プ ロ グ ラ ムが動作す る も の。 それぞれのホ ス ト には、 固有の IP ア ド レ ス があ り ます。 ホス ト 名 イ ン タ ーネ ッ ト 経由で探す こ と がで き る 、 個別の コ ン ピ ュ ー タ に対す る 非数値の名前。 ホ ス ト 名はた と え ば 「private.aventail.com」 の よ う にな り ます。 ホ ス ト 名 と い う 言葉は、 名前の最 も 左の部分 (private) と 、 名前全体 (private.aventail.com) の両方を指 し ます。 残 り の 2 つの部分は、 ド メ イ ン名 (aventail) と ト ッ プ レベル ド メ イ ン (com) にな り ます。 HTTPS SSL 内で階層化す る こ と に よ り HTTP プ ロ ト コ ルを保護す る ための一般的な方法。 IP (Internet Protocol) イ ン タ ーネ ッ ト で使用 さ れ る 基本デー タ 転送プ ロ ト コ ル。 送信者や受信者のア ド レ ス な ど の情報が、 電子 的な 「パケ ッ ト 」 に挿入 さ れて転送 さ れます。 詳細については、 RFC 791 を参照 し て く だ さ い。 IP ア ド レ ス イ ン タ ーネ ッ ト 上の個別の コ ン ピ ュ ー タ を識別す る 固有の ID 番号。 それぞれの 32 ビ ッ ト ア ド レ ス は、 0 か ら 255 ま での 8 ビ ッ ト の 4 つの数値を ピ リ オ ド で区切っ て集めた も のです。 左か ら 右への階層は、 イ ン タ ーネ ッ ト 全体の大ま かな編成を表現 し てい ます。 そのため、 他のネ ッ ト ワー ク を含むネ ッ ト ワー ク も 存在 し ます。 右端の最後の数値は、 個別のホ ス ト コ ン ピ ュ ー タ を識別 し ます。 IP ア ド レ ス プール Aventail ト ン ネル ク ラ イ ア ン ト を使用 し た リ モー ト ク ラ イ ア ン ト 接続のために、ネ ッ ト ワー ク ト ン ネル サービ ス に よ っ て割 り 当て ら れた IP ア ド レ ス のグループ。 鍵 特定の暗号操作を実行す る 上で必要な情報の集ま り 。 鍵は、 ラ ン ダ ムに生成で き る 他、 ユーザーに と っ て わか り やすい表現 ( パ ス ワー ド な ど ) か ら 生成す る こ と も で き ます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 251 鍵の長 さ 一般的に ビ ッ ト 数で表 さ れ る 、 鍵のサ イ ズ。 他のすべての条件が同 じ 場合、 鍵の長 さ が長いほ ど安全性は 向上 し ます。 ただ し 、 アルゴ リ ズ ムの速度は遅 く な り がちです。 鍵ペア 公開鍵暗号アルゴ リ ズ ム ( た と えば RSA) で使用 さ れ る 、 公開鍵 と 秘密鍵のペア。 公開鍵 と 秘密鍵は、 そ れぞれ対応す る 操作 ( 公開鍵で メ ッ セージ を暗号化 し 、 秘密鍵で復号化す る な ど ) で使用 さ れます。 LAN ( ロ ーカル エ リ ア ネ ッ ト ワー ク ) 比較的小 さ い領域 ( 通常は単一のバ イ ンデ ィ ン グ ) で ワー ク ス テーシ ョ ン、 コ ン ピ ュ ー タ 、 その他のデバ イ ス を接続す る ネ ッ ト ワ ー ク 。 LAN を使用す る と 、 ユーザーが他の コ ン ピ ュ ー タ のデー タ にア ク セ ス で き る よ う にな る 他、 プ リ ン タ な ど のデバ イ ス も 共有で き る よ う にな り ます。 複数の LAN を リ ン ク し て、 WAN を形成す る こ と も で き ます。 LDAP (Lightweight Directory Access Protocol) X.500 デ ィ レ ク ト リ ア ク セ ス プ ロ ト コ ル (DAP) の簡易バージ ョ ン。 詳細については、 RFC 2251 を参 照 し て く だ さ い。 マス ター ノ ー ド Aventail ク ラ ス タ で、 ク ラ ス タ 内においてポ リ シー と 構成の伝播、 同期を コ ン ト ロ ールす る ノ ー ド 。 す べての構成は、 マ ス タ ー ノ ー ド で行われ、 その後マ ス タ ー ノ ー ド は、 構成の変更を ス レーブ ノ ー ド に伝 播 し ます。 MD5 固有の メ ッ セージ要約アルゴ リ ズ ム。 MD5 は、 SHA-1 ほ ど安全性は高 く あ り ませんが、 は る かに高速 で、 一般的に 「十分な安全性を持つ」 と 考え ら れてい ます。 マルチホーム ド 複数の NIC ( ネ ッ ト ワ ー ク イ ン タ フ ェース カー ド ) を搭載 し 、 複数のネ ッ ト ワー ク に接続す る マシ ン。 NAS ( ネ ッ ト ワー ク ア ク セ ス サーバー ) ダ イ ヤル イ ン モデム を処理す る 端末サーバーな ど、 リ ソ ース のセ ッ ト に、 管理 さ れた接続性を提供す る サーバー。 RADIUS ク ラ イ ア ン ト は、 一般的に NAS と 呼ばれます。 NAT ( ネ ッ ト ワ ー ク ア ド レ ス変換 ) 内部 IP ア ド レ ス を 1 つの外部 IP ア ド レ ス に変換す る イ ン タ ーネ ッ ト 規格。 こ れに よ り 、 組織は、 IP ア ド レ ス を 1 つだけ イ ン タ ーネ ッ ト に提示す る こ と がで き ます。 NAT を使用す る と 、 内部ア ド レ ス を隠せ る だけでな く 、 組織が必要 と す る ア ド レ ス の数を減 ら す こ と で IP ア ド レ ス を一定に保つ こ と も で き ます。 [Network Explorer] ページ ASAP WorkPlace のページで、 ユーザーがア ク セ ス権限を持つ Windows フ ァ イ ル シ ス テ ム リ ソ ース が 表示 さ れます。 こ の リ ソ ース には、 サーバー、 コ ン ピ ュ ー タ 、 ワ ー ク グループ、 フ ォ ルダ、 フ ァ イ ルな ど が含ま れます。 ネ ッ ト ワー ク プ ロ キ シ サービ ス 標準 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ンにア ク セ スす る ための、 セキ ュ ア なプ ロ キ シ を提供す る ア ク セ ス サービ ス。Aventail Connect プ ロ キ シ ク ラ イ ア ン ト お よ び Aventail OnDemand プ ロ キ シ エー ジ ェ ン ト と 共同で動作 し て、 イ ン タ ーネ ッ ト 経由で、 認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ます。 ネ ッ ト ワー ク プ ロ キ シ サービ ス は、 SOCKS v5 プ ロ ト コ ルをベース に し てい ます。 ネ ッ ト ワー ク リ ソ ース ネ ッ ト ワー ク 上の ク ラ イ ア ン ト / サーバー (TCP/IP) リ ソ ース。 こ の よ う な アプ リ ケーシ ョ ンには、 Citrix の よ う なシ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン、 Microsoft Outlook の よ う な フル ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 Lotus Notes、 SAP、 端末サーバーな ど があ り ます。 ネ ッ ト ワ ー ク リ ソ ー ス は、 ホ ス ト 名、 IP ア ド レ ス、 IP ア ド レ ス範囲、 サブネ ッ ト IP ア ド レ ス、 DNS ド メ イ ン な ど で定義す る こ と がで き ます。 ネ ッ ト ワー ク 共有 Windows ネ ッ ト ワー ク 上にあ り 、 権限を持つユーザーがその内容にア ク セ ス で き る ワー ク グループ、 コ ン ピ ュ ー タ 、 フ ォ ルダ。 ネ ッ ト ワー ク 共有に対 し ては、 ユーザーが、 ASAP WorkPlace を介 し て標準 Web ブ ラ ウ ザか ら ア ク セ スす る こ と がで き ます。 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト ネ ッ ト ワー ク 上の フ ァ イ ル シ ス テ ム リ ソ ース にア ク セ スす る ための ASAP WorkPlace の リ ン ク 。ネ ッ ト ワー ク シ ョ ー ト カ ッ ト は、 Windows サーバー、 コ ン ピ ュ ー タ 、 ワー ク グループ、 フ ォ ルダに対す る も の を定義す る こ と がで き ます。 252| - 用語集 ネ ッ ト ワー ク ト ン ネル サービ ス 広範囲のアプ リ ケーシ ョ ンにセキ ュ ア なネ ッ ト ワー ク ト ン ネル ア ク セ ス を提供す る ネ ッ ト ワ ー ク ルー テ ィ ン グ テ ク ノ ロ ジー。 対象 と な る アプ リ ケーシ ョ ンには、 Voice Over IP (VoIP) や ICMP な ど の非 TCP/IP プ ロ ト コ ル、 逆方向接続プ ロ ト コ ル、 FTP な ど の双方向プ ロ ト コ ルを使用す る も の も 含ま れます。 こ の コ ン ポーネ ン ト は、 Aventail Connect ト ン ネル ク ラ イ ア ン ト や Aventail OnDemand ト ン ネル エージ ェ ン ト と 共同で動作 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ます。 NIC ( ネ ッ ト ワ ー ク イ ン タ フ ェ ース カー ド ) コ ン ピ ュ ー タ にデー タ 交換機能を提供す る プ リ ン ト 基盤ま たはカー ド で、 ネ ッ ト ワー ク 内の ク ラ イ ア ン ト やサーバーに取 り 付け ます。 ネ ッ ト ワ ー ク ア ダプ タ と 呼ばれ る こ と も あ り ます。 ping 接続性を判定す る ための診断ツール。 リ モー ト ホ ス ト を 「ping」 す る 場合、 ICMP ECHO_REQUEST パ ケ ッ ト を送信 し 、 ホ ス ト の応答があ る ま で待機 し て確認 し ます。 応答がない場合、 リ モー ト ホ ス ト がダ ウ ン し てい る か到達不能にな っ てい ます。 応答があ る 場合は、 応答の遅延時間を使用 し て、 そのホ ス ト と デー タ 交換す る と き に必要な ラ ウ ン ド ト リ ッ プ時間 (RTT) を判定す る こ と がで き ます。 プ レーン テ キ ス ト 暗号化 さ れていないため、 その ま ま読む こ と がで き る メ ッ セージのテ キ ス ト 。 ポー ト お よ びポー ト 番号 TCP/IP お よ び UDP ネ ッ ト ワー ク を参照す る 場合の論理チ ャ ネル ま たはチ ャ ネル エ ン ド ポ イ ン ト 。 ポー ト 番号は、 アプ リ ケーシ ョ ン プ ロ グ ラ ムに割 り 当て ら れ、 入っ て く る デー タ を正 し いサービ ス に リ ン ク す る ために使用 さ れます。 一般的なポー ト と は、 特定 タ イ プの ト ラ フ ィ ッ ク で一般的に使用 さ れ る 標準 ポー ト 番号を示 し ます。 た と えば、 ポー ト 80 は一般的に HTTP (Web) ト ラ フ ィ ッ ク で使用 さ れ、 ポー ト 20 は一般的に FTP 転送に割 り 当て ら れます。 秘密鍵 公開鍵暗号アルゴ リ ズ ム で使用 さ れ る 鍵ペアの半分で、 所有者のみが知っ てお り 共有 さ れ る こ と はあ り ま せん。 公開鍵が、 鍵ペアの残 り の半分にな り ます。 プロ ト コル コ ン ピ ュ ー タ シ ス テ ムのネ ッ ト ワー ク 間の情報交換に使用 さ れ る ルール と 手順。 プ ロ キ シ サーバー LAN と の イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク を管理す る フ ァ イ ア ウ ォ ール コ ン ポーネ ン ト 。 内部 リ ソ ース と こ れ ら の リ ソ ース の外部要求 と の間のプ ロ キ シ ま たは中間 コ ン ポーネ ン ト と し て機能 し ます。 プ ロ キ シ サーバーは、 実際のネ ッ ト ワー ク ア ド レ ス を隠 し て (IP ア ド レ ス が盗ま れた り マ ッ ピ ン グ さ れた り す る の を防止 )、 すべてのアプ リ ケーシ ョ ン通信を保護 し 管理 し ます。 プ ロ キ シ サーバーを使用す る と 、 外部 ユーザー と 内部 リ ソ ース と の間に直接接続がな く な り ます。 内部 リ ソ ース と の間のすべての ト ラ フ ィ ッ ク は、 プ ロ キ シ サーバーにプ ロ キ シ さ れます。 Aventail ネ ッ ト ワー ク ア ク セ ス サービ ス は、 SOCKS v5 プ ロ キ シ サーバーにな り ます。 公開鍵 公開鍵暗号アルゴ リ ズ ム で使用 さ れ る 鍵ペアの半分で、 一般に公開 さ れてお り ユーザーの証明書に も 含ま れます。 秘密鍵が、 鍵ペアの残 り の半分にな り ます。 公開鍵暗号 デー タ の暗号化 と 復号化に 2 つの異な る 鍵を使用す る 暗号アルゴ リ ズ ム ( 両方で同 じ 鍵を使用す る 従来型 のサ イ フ ァ と は異な る )。 こ の よ う な シ ス テ ムでは、 鍵ペア ( 半分が公開鍵、 残 り の半分が秘密鍵 ) を生 成 し 、 デジ タ ル署名 と 鍵交換に使用す る こ と がで き ます。 公開鍵シ ス テ ムは、 非常に安全性が高 く 、 あ ら か じ め鍵を交換 し な く て も 通信が可能にな り ます。 そのため、 関連性のない多数の人々の間で も ( イ ン タ ーネ ッ ト を介 し て ) 通信を容易に行 う こ と がで き ます。 こ のア イ デアは、 Diffie と Hellman が開発 し た も ので、 最 も よ く 使用 さ れ る 公開鍵アルゴ リ ズ ムは RSA です。 RADIUS (Remote Authentication Dial-In User Service) バ ッ ク エン ド 認証デー タ ベース と 通信す る ためのプ ロ ト コ ル。 ユーザー名 / パ ス ワー ド 、 CHAP、 CRAM 認証 メ カ ニズ ムで使用す る と 便利です。 ユーザーは、 ネ ッ ト ワー ク ア ク セ ス サーバーつま り NAS ( た と えば Aventail ネ ッ ト ワ ー ク ア ク セ ス サービ ス ) に ク レデン シ ャ ルを送信 し 、 今度は NAS が RADIUS サーバーにそれを送信 し ます。 RADIUS サーバーは、 パ ス ワー ド をチ ェ ッ ク し 、 認証が正 し いか ど う か NAS に通知 し ます。 詳細については、 RFC 2138 を参照 し て く だ さ い。 レ ルム 外部認証サーバーにマ ッ ピ ン グ さ れたユーザー グループで、 AMC で定義 し ます。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 253 逆方向接続 ネ ッ ト ワー ク リ ソ ース か ら VPN ユーザーへの接続。 逆方向接続の例には、 ユーザーのマシ ンに ソ フ ト ウ ェ ア ア ッ プデー ト を 「プ ッ シ ュ 」 す る SMS サーバーがあ り ます。 RIP ( ルーテ ィ ン グ情報プ ロ ト コ ル ) ルー タ 同士でルーテ ィ ン グ テーブル情報を動的に共有で き る よ う にす る ためのプ ロ ト コ ル。 RSA (Rivest-Shamir-Adelman) 暗号 今日、 最 も 広い範囲で使用 さ れてい る 公開鍵アルゴ リ ズ ム。 RSA と い う 名前は、 1978 年に MIT で こ れ を開発 し た Ron Rivest、 Adi Shamir、 Leonard Adelman か ら それぞれ と ら れてい ます。 PGP、 SSL、 S/MIME な ど が、 RSA と 共同で鍵交換やデジ タ ル署名を行 う ために広 く 使用 さ れてい ます。 RSA は米国 で特許を取っ てお り 、 使用が制限 さ れてい ま し たが、 こ の特許権は 2000 年の 9 月に期限が切れま し た。 SecurID RSA Security が開発 し た二因子ユーザー認証シ ス テ ム。 こ のシ ス テ ムは、 判明 し てい る も の (PIN) と 所 有す る も の ( ハー ド ウ ェ ア ト ー ク ン ) に基づいて認証を行い ます。 こ れ ら の因子の組み合わせに よ っ てダ イ ナ ミ ッ ク パ ス コ ー ド が生成 さ れ、 ユーザーは こ れを認証 メ カ ニズ ムで入力 し ます。 サーバー ネ ッ ト ワー ク に接続 し てい る コ ン ピ ュ ー タ の こ と で、 他の コ ン ピ ュ ー タ と リ ソ ース を共有 し ます。 サー バーは、 情報を ク ラ イ ア ン ト に 「提供」 し ます。 シ ン グル サ イ ンオン ユーザーの ロ グ イ ン ク レデン シ ャ ルがダ ウ ン ス ト リ ーム Web アプ リ ケーシ ョ ンに転送 さ れ る か ど う か コ ン ト ロ ールす る オプシ ョ ン。 ユーザーの ク レデン シ ャ ルを転送す る と 、 ユーザーが複数回 ロ グ イ ンす る 手 間を省 く こ と がで き ます。 ス レーブ ノ ー ド Aventail ク ラ ス タ で、 マ ス タ ー ノ ー ド に よ っ て コ ン ト ロ ール さ れ る セ カ ン ダ リ ノ ー ド 。 すべての構成 は、 マ ス タ ー ノ ー ド で行われ、 その後マ ス タ ー ノ ー ド は、 構成の変更を ス レーブ ノ ー ド に伝播 し ます。 SOCKS v5 プ ロ キ シ サーバーを通 る TCP ト ラ フ ィ ッ ク を操作す る ためのセキ ュ リ テ ィ プ ロ ト コ ル。 SOCKS は、 認 証済みの フ ァ イ ア ウ ォール ト ラ バース のための IETF 規格で、 ほ と ん どすべての TCP アプ リ ケーシ ョ ン で使用す る こ と がで き ます。 LAN、 イ ン ト ラ ネ ッ ト 、 エ ク ス ト ラ ネ ッ ト な ど のデー タ ト ラ フ ィ ッ ク に対 す る フ ロ ー と セキ ュ リ テ ィ を管理す る ためのプ ロ キ シ メ カ ニズ ム と し て動作 し ます。 SOCKS では、 ソ ケ ッ ト を使用 し て、 個別の接続を表現 し 記録 し ます。 SOCKS には大 き く 分けて、 SOCKS v4 と SOCKS v5 の 2 種類のバージ ョ ンがあ り ます。 SOCKS v5 には認証 メ カ ニズ ムがあ り ますが、 SOCKS v4 には あ り ません。 詳細については、 RFC 1928 を参照 し て く だ さ い。 スプ リ ッ ト ト ンネ リ ング AMC で定義 さ れてい る リ ソ ース にバ イ ン ド さ れた ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れ、 そ の他のすべての ト ラ フ ィ ッ ク が普通の方法でルー ト さ れ る リ ダ イ レ ク シ ョ ン モー ド 。 こ れが、 デフ ォ ル ト の リ ダ イ レ ク シ ョ ン モー ド にな り ます。 Aventail ト ン ネル ク ラ イ ア ン ト では、 ス プ リ ッ ト ト ン ネ リ ン グ制御が提供 さ れます。 SSL (Secure Sockets Layer) イ ン タ ーネ ッ ト で使用す る HTTP な ど のアプ リ ケーシ ョ ン プ ロ ト コ ルを保護す る ために Netscape Communications が開発 し た認証お よ び暗号化プ ロ ト コ ル。 SSL では、 交換対象のすべてのデー タ を情 報漏洩や改変な ど か ら 守 る ため、 鍵交換方式 (RSA が最 も 一般的 ) を使用 し て、 サ イ フ ァ で暗号化 し ハ ッ シ ュ す る 環境を確立 し ます。 IETF は、 SSL の後継プ ロ ト コ ル と し て、 Transport Layer Security (TLS) と い う ネ ッ ト ワー ク 規格を作成 し てい ます。 SSL は、 今日の イ ン タ ーネ ッ ト で、 も っ と も 広 く デプ ロ イ さ れてい る セキ ュ リ テ ィ プ ロ ト コ ルです。 詳細については、 RFC 2246 を参照 し て く だ さ い。 サブネ ッ ト ネ ッ ト ワー ク のセグ メ ン ト 。 ネ ッ ト ワ ー ク は、 パフ ォ ーマ ン スお よ びセキ ュ リ テ ィ 上の理由か ら 、 サブ ネ ッ ト ( ま たはサブネ ッ ト ワ ー ク ) に分割 さ れます。 サブネ ッ ト は、 それぞれのネ ッ ト ワー ク 部分が物理 的に互いに独立 し てい る 場合で も 、 共通のネ ッ ト ワ ー ク ア ド レ ス を ネ ッ ト ワー ク の他の部分 と 共有 し ま す。 サブネ ッ ト は、 サブネ ッ ト 番号で区別 さ れ、 ルー タ でブ リ ッ ジ さ れます。 IP ネ ッ ト ワー ク は、 サブ ネ ッ ト マ ス ク を使用 し て分割 さ れます。 サブネ ッ ト マ ス ク IP ネ ッ ト ワ ー ク を小 さ なセ グ メ ン ト 、 つま り サブネ ッ ト に分割す る ための方法。 サブネ ッ ト マ ス ク は、 IP ア ド レ ス が所属す る サブネ ッ ト を識別 し ます。 ネ ッ ト ワ ー ク 管理者は、 IP ア ド レ ス のホ ス ト 部分を 2 つ以上のサブネ ッ ト に分割す る こ と がで き ます。 こ の状態で、 ホ ス ト ア ド レ ス の一部が解決 さ れ、 特定 のサブネ ッ ト が識別 さ れます。 254| - 用語集 syslog ロ ギ ン グ情報が出力 さ れ る UNIX シ ス テ ム ロ グ。 TCP/IP (Transmission Control Protocol/Internet Protocol) TCP と IP に基づ く 、 イ ン タ ーネ ッ ト の基本プ ロ ト コ ル ス イ ー ト 。 TCP は、 こ の ス イ ー ト の ト ラ ン ス ポー ト 層で、 OSI の第 4 層に相当 し 、 ト ラ フ ィ ッ ク を制限 し ます。 IP は、 こ の ス イ ー ト のネ ッ ト ワー ク 層で、 OSI の第 3 層に相当 し 、 ア ド レ ッ シ ン グ を処理 し ます (TCP/IP では 4 層を使用す る が、 OSI ネ ッ ト ワ ー キ ン グ モデルでは 7 層を使用す る )。 TCP では、 送信先に対 し て信頼性の高いパケ ッ ト 送信を行い、 IP では、 パケ ッ ト を正 し く ア ド レ ッ シ ン グ し ます。 TCP/IP ス イ ー ト のその他のプ ロ ト コ ルには、 SNMP (Simple Network Management Protocol)、 PPP (Point-to-Point Protocol)、 SMTP (Simple Mail Transfer Protocol)、 UDP (User Datagram Protocol) な ど があ り ます。 TCP/IP プ ロ ト コ ル ス イ ー ト は、 ア メ リ カの国防総省が、 コ ン ピ ュ ー タ 間通信のために開発 し た も のです。 イ ン タ ーネ ッ ト を含む、 ネ ッ ト ワー ク 経由のデー タ 転送におけ る デフ ァ ク ト ス タ ン ダー ド にな っ てい ます。 詳細については、 RFC 793 を参照 し て く だ さ い。 TLS ト ラ フ ィ ッ ク を暗号化す る ための FIPS 140-2 暗号化プ ロ ト コ ル。 Aventail アプ ラ イ ア ン ス では、 TLS v1 転送プ ロ ト コ ルをサポー ト し てい ます。 ト ーク ン ダ イ ナ ミ ッ ク パ ス ワー ド を生成す る ための小 さ なセキ ュ リ テ ィ デバ イ ス。 一部の ト ー ク ンは、 頻繁に変 動す る 数値を表示 し ます。 こ の数値が、 短期間だけ有効なパ ス ワ ー ド にな り ます。 ま た別の ト ー ク ンに は、 試 し 入力用のキーパ ッ ド があ り 、 入力値に基づいて、 正 し く 認証 さ れ る 適切な応答が計算 さ れます。 ト ー ク ンは、 「第一世代の ス マー ト カー ド 」 と 呼ばれ る こ と も あ り ます。 信頼で き る ルー ト フ ァ イ ル 管理者が選択す る ルー ト 証明書の リ ス ト 。 すべての証明書チ ェーンの最後には、 ルー ト 証明書が付いてい ます。 ルー ト を確認す る ための 「 こ れ よ り 上位」 の CA はないため、 ルー ト については信頼す る か ど う か はっ き り し なければな り ません ( 信頼で き ない場合は、 すべてのチ ェ ーンが信頼 さ れず、 拒否 さ れ る )。 UDP (User Datagram Protocol) 配信を保証す る こ と な く 、 デー タ を イ ン タ ーネ ッ ト 経由で送信す る 手段。 コ ネ ク シ ョ ン レ ス プ ロ ト コ ル と も 呼ばれます。 UDP は、 TCP/IP プ ロ ト コ ル ス イ ー ト の一部で、 OSI ネ ッ ト ワ ーキ ン グ モデルの第 4 層 ( ト ラ ン ス ポー ト 層 ) に相当 し ます。 UDP では、 アプ リ ケーシ ョ ンで生成 さ れたデー タ メ ッ セージ を パケ ッ ト に変換 し 、 IP ネ ッ ト ワ ー ク 経由で送信 し ますが、 すべてのパケ ッ ト が正 し い順序で送信先に配 信 さ れ る こ と を保証 し ません。 UDP では、 TCP と 異な り 、 エ ラ ー リ カバ リ サービ ス を提供 し ないため、 主 と し て、 メ ッ セージの再構築があ ま り 必要ない、 非常に小 さ なデー タ ユニ ッ ト ( デー タ グ ラ ム ) の交換 に使用 さ れます。 詳細については、 RFC 768 を参照 し て く だ さ い。 URL リ ソ ース HTTP ま たは HTTPS を使用 し て ア ク セ ス さ れ る Web ベース のアプ リ ケーシ ョ ン ま たはサービ ス。 URL リ ソ ース の例には、 Web ポー タ ル、 標準 Web サーバー、 Microsoft Outlook Web Access な ど の Web ベース の電子 メ ール プ ロ グ ラ ム な ど があ り ます。 virtual private network (VPN) ( イ ン タ ーネ ッ ト な ど の ) パブ リ ッ ク ネ ッ ト ワー ク を介 し てプ ラ イ ベー ト ネ ッ ト ワ ー ク にア ク セ スす る た めのセキ ュ ア なチ ャ ネル。 VPN には大 き く 分けて、 リ モー ト ア ク セ ス VPN と エ ク ス ト ラ ネ ッ ト VPN の 2 種類があ り ます。 前者は、 リ モー ト の従業員が、 電子 メ ールやフ ァ イ ル サーバーな ど のネ ッ ト ワー ク リ ソ ース に安全にア ク セ ス で き る よ う にす る も ので、 後者は、 ビ ジネ ス パー ト ナー ( サプ ラ イ ヤーやベン ダー) が さ ま ざ ま な アプ リ ケーシ ョ ン ( サプ ラ イ チ ェーン マネジ メ ン ト (scm) プ ロ グ ラ ム な ど ) に安全 にア ク セ ス で き る よ う にす る も のです。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル 個別の Web アプ リ ケーシ ョ ンが、 アプ ラ イ ア ン ス に よ っ て処理 さ れ る 方法を定義す る プ ロ フ ァ イ ル。 認 証転送や変換な ど も こ れに含ま れます。 Web プ ロ キ シ ア ク セ ス ユーザーが WorkPlace か ら URL にア ク セ スす る と き に使用 さ れ る デフ ォ ル ト ア ク セ ス方式。 Web プ ロ キ シ ア ク セ ス を使用す る と 、 Web コ ン テ ン ツ の変換が不要にな り 、 企業の Web アプ リ ケーシ ョ ンに広 範にア ク セ ス で き る よ う にな り ます。 Web プ ロ キ シ ア ク セ ス は自動的にユーザーに提供 さ れ る ため、 特 別な構成は必要あ り ません。 EX-750 イ ン ス ト ールおよび管理ガ イ ド | 255 Web プ ロ キ シ サービ ス ユーザーが、 Web ベース のアプ リ ケーシ ョ ン、 Web サーバー、 ネ ッ ト ワ ー ク フ ァ イ ル サーバーな ど に、 Web ブ ラ ウ ザか ら 安全にア ク セ ス で き る よ う にす る ア ク セ ス サービ ス。 Web プ ロ キ シ サービ ス は、 Web ベース の リ ソ ース に対す る ア ク セ ス を中継 し 暗号化す る セキ ュ ア な HTTP リ バース プ ロ キ シです。 こ のサービ ス は、 OnDemand プ ロ キ シ エージ ェ ン ト か ら の TCP/IP 接続の管理 も 行い ます。 Web シ ョ ー ト カ ッ ト Web ベース のアプ リ ケーシ ョ ン ま たはネ ッ ト ワー ク 上のサービ ス にア ク セ スす る ための ASAP WorkPlace の リ ン ク 。 ワ イ ル ド カー ド 1 つま たは複数の文字を表す特殊な記号。 ワ イ ル ド カー ド は、 ユーザーが 1 回の指定で多 く の フ ァ イ ルを 選択で き る よ う にす る ための も ので、 複数の フ ァ イ ルやデ ィ レ ク ト リ を識別す る ために使用す る こ と がで き ます。 た と えば Windows オペレーテ ィ ン グ シ ス テ ムの場合、 ア ス タ リ ス ク は、 任意の文字の組み合 わせを表す ワ イ ル ド カー ド にな り ます。 そのため、 「n*」 は 「n」 が最初に付 く すべての フ ァ イ ルを表 し 、 「n*.doc」 は 「n」 が最初に付 き 「.doc」 が最後に付 く すべての フ ァ イ ルを表 し ます。 X.500 ITU ( 国際電気通信連合 ) お よ び ISO ( 国際標準化機構 ) が 1980 年代中頃に制定 し た、グ ロ ーバル デ ィ レ ク ト リ の構造を定義す る 規格セ ッ ト 。 認証 ( 公開鍵 と 秘密鍵のペアに基づ く も の ) に関す る X.509 系 お よ び LDAP は、 X.500 を発展 さ せた も のです。 X.509 デジ タ ル署名の定義に使用 さ れ る ITU 勧告。 こ の規格は正式に承認 さ れていないため、 企業ご と に異な る 方法で実装 さ れてい ます。 今日使用 さ れてい る ほ と ん どすべての証明書 (SSL、 S/MIME) は X.509 証 明書です。 ゾーン ユーザーのエン ド ポ イ ン ト で信頼の レベルに応 じ て異な る ア ク セ ス レベルを割 り 当て る 「信頼ゾーン」 を定義す る End Point Control 機能。 接続要求が、 AMC で設定 さ れたデバ イ ス プ ロ フ ァ イ ル と 比較 さ れ、 適切な ゾーンに割 り 当て ら れます。 256| - 用語集 EX-750 イ ン ス ト ールおよび管理ガ イ ド |257 索引 A ACC。 Aventail Cache Control を 参照 Active Directory ............................................60、 61、 63 [Administrator Sessions] ページ ................................... 28 AMC ア カ ウ ン ト .......................................................... 27 ア ク セス ............................................................. 23 イ ン タ フ ェ ース ..................................................... 24 概要 ..............................................................2、 23 構成デー タ .......................................................... 29 タ イ ムアウ ト ....................................... 28、 127、 140 ヘルプの利用 ....................................................... 26 変更の適用 .......................................................... 29 変更の保存 .................................................... 25、 29 ログアウ ト .......................................................... 28 ログ イ ン ............................................................. 23 AMC か らのロ グアウ ト ................................................. 24 AMC での構成デー タ の操作 ........................................... 29 AMC へのログ イ ン ...................................................... 23 AMC ログアウ ト .......................................................... 24 ASAP Management Console。 AMC を 参照 ASAP WorkPlace ............................................. 188、 195 End Point Control .............................................. 202 Network Explorer .............................................. 207 ア ク セス ........................................................... 202 概要 .................................................... 3、 185、 207 カ ス タ マ イ ズ ..................................... 190、 195、 198 ク ラ イ ア ン ト のシ ス テム要件 .............................. 7、 188 構成 ........................................................ 190、 195 サービ スの開始 ................................................... 223 サービ スの停止 ................................................... 223 サポー ト プ ラ ッ ト フ ォ ーム ................................ 7、 188 設定 .......................................................... 16、 201 テ ン プ レー ト ..................................................... 198 レルム ................................................................ 54 ログ イ ン ........................................................... 185 ASAP WorkPlace のカ ス タ マ イ ズ ......... 190、 195、 198、 195 ASAP WorkPlace のロ ゴ ............................................ 195 ASAP WorkPlace へのログ イ ン .................................... 185 ASD。 Aventail Secure Desktop を 参照 Aventail ASAP WorkPlace。 ASAP WorkPlace を 参照 Aventail Cache Control ............................. 178、 179、 203 Aventail Connect ト ンネル ク ラ イ ア ン ト ........... 4、 174、 208 Aventail Connect プ ロキシ ク ラ イ ア ン ト ... 3、 16、 174、 208、 209 Aventail Management Console。 AMC を 参照 Aventail OnDemand。 OnDemand を 参照 Aventail Secure Desktop 概要 ................................................................ 180 構成 ................................................................ 181 有効 ................................................................ 181 Aventail ア プ ラ イ ア ン ス アーキテ ク チ ャ .....................................................11 イ ン ジケー タ ........................................................17 イ ン ス ト ール ................................................. 14、 17 概要 .................................................................... 1 管理 ...................................................................14 構成 ...................................................................14 再起動 ................................................................19 実稼働環境への移行 ...............................................16 接続 ...................................................................18 操作 ...................................................................17 停止 ...................................................................19 電源停止 .............................................................19 電源投入 .............................................................18 ト ラ ブルシ ュ ーテ ィ ング ........................................ 231 保護のためのベス ト プ ラ ク テ ィ ス ............................ 239 モニ タ リ ン グ ...................................................... 126 C CA 証明書 .................................................................49 Cache Control。 Aventail Cache Control を 参照 Config Backup Tool .................................................. 154 Config Compare Tool ............................................... 156 Config Reset Tool .................................................... 156 Config Restore Tool ................................................. 155 Connect ト ン ネル ク ラ イ ア ン ト 。 Aventail Connect ト ン ネル ク ラ イ ア ン ト を 参照 Connect プ ロキシ ク ラ イ ア ン ト 。 Aventail Connect プ ロキシ ク ラ イ ア ン ト を 参照 Console。 AMC を 参照 D DNS キ ャ ッ シ ュ ................................................ 227、 228 DNS キ ャ ッ シ ュの設定 ....................................... 227、 228 DNS の構成 ...............................................................38 E End Point Control ASAP WorkPlace ................................................ 202 Aventail Cache Control ....................... 178、 179、 203 Aventail Secure Desktop ............................ 180、 181 Sygate On-Demand ........................................... 182 WholeSecurity .................................................. 182 Zone Labs Integrity ........................................... 183 概要 ................................................................. 165 ク ラ イ ア ン ト の整合性 ........................................... 182 シナ リ オ ........................................................... 167 制約 ................................................................. 110 ゾーン ...................................................... 165、 169 デバイ ス プ ロ フ ァ イル .................................. 165、 169 無効 ................................................................. 169 258| 索引 有効 ................................................................ 169 H hosts フ ァ イルの リ ダ イ レ ク シ ョ ン ................................ 214 I ICMP の有効化 ......................................................... 124 IP ア ド レ ス ............................................................. 224 IP ア ド レ ス プール 構成 ................................................................ 224 削除 ................................................................ 226 追加 ................................................................ 225 編集 ................................................................ 226 IP ア ド レ スの設定 ....................................................... 34 J Java コ ン ソ ールの表示 ............................................... 234 Java セキ ュ リ テ ィ 警告の抑止 ....................................... 220 JVM バージ ョ ンの判定 ................................................ 233 L LDAP 認証 Active Directory に対する ...................................... 63 SSL ................................................................... 65 概要 .................................................................. 65 サーバー ............................................................. 65 デジ タ ル証明書 ..................................................... 68 ユーザー名 と パスワー ド .......................................... 65 LDAP 認証の保護 ........................................................ 65 M Management Console。 AMC を 参照 [Maximum limbo life] ボ ッ ク ス ...................................................................... 227 N Netegrity SiteMinder .................................................. 77 Network Explorer .................................................... 207 ngutil ツール ........................................................... 238 NTLM 認証転送 .......................................................... 76 NTP ....................................................................... 124 O OnDemand Windows が動作するユーザー ................................ 215 ウ ィ ン ド ウの状態 ................................................ 212 概要 ............................................... 3、 4、 208、 211 起動 ................................................................ 212 ク ラ イ ア ン ト のシ ス テム要件 .............................. 7、 213 ク ロ ス プ ラ ッ ト フ ォ ーム サポー ト ................ 7、 216、 217 サポー ト し ている ア プ リ ケーシ ョ ン .......................... 211 サポー ト し ている プ ラ ッ ト フ ォ ーム ...................... 7、 213 ダ イ ナ ミ ッ ク モー ド .................................... 212、 215 テ ス ト .............................................................. 233 デバ ッ グ メ ッ セージ ............................................ 219 ネ ッ ト ワー ク ア ク セス ......................................... 215 プ ロキシ検出 ...................................................... 220 マ ッ プ ド モー ド .................................................. 212 リ ダ イ レ ク シ ョ ン ................................................ 214 ループバ ッ ク ア ド レ ス .......................................... 216 ロギング ........................................................... 219 OnDemand での Linux のサポー ト .......................... 7、 216 OnDemand での Macintosh のサポー ト .................... 7、 216 OnDemand でのデバ ッ グ メ ッ セージ ............................. 219 OnDemand ト ン ネル エージ ェ ン ト .......................... 4、 208 OnDemand の起動 .................................................... 212 P ping コ マ ン ド .......................................................... 124 R RADIUS 認証 概要 ...................................................................70 スマー ト カ ー ド ....................................................72 ト ー ク ン .............................................................72 ユーザー名 と パスワー ド ..........................................70 レルム ................................................................70 Rollback Tool .......................................................... 160 S scp ..........................................................................14 Secure Desktop。 Aventail Secure Desktop を 参照 Setup Tool ......................................................... 19、 21 Setup Wizard ............................................................19 SNMP Aventail MIB デー タ ........................................... 146 Aventail MIB フ ァ イルのダウ ン ロー ド ..................... 144 SNMP を使用 し た管理デー タ の取得 .......................... 145 概要 ................................................................. 143 構成 ................................................................. 143 SSH ア ク セス .....................................................14、 123 SSL 暗号化 LDAP 接続 ..........................................................65 Web プ ロキシ サービ ス ........................................ 161 概要 ................................................................. 161 構成 ................................................................. 161 ネ ッ ト ワー ク ア ク セ ス サービ ス .............................. 161 ベス ト プ ラ ク テ ィ ス ............................................ 241 Sygate On-Demand ................................................. 182 syslog サーバー ........................................................ 130 V VPN の概要 ................................................................ 1 W Web プ ロキシ サービ ス 構成 ................................................................. 228 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 概要 ...................................................................75 削除 ...................................................................89 追加 ...................................................................86 表示 ...................................................................86 編集 ...................................................................89 Web シ ョ ー ト カ ッ ト .................................................. 192 EX-750 イ ン ス ト ールおよび管理ガ イ ド |259 Web プ ロキシ エージ ェ ン ト ........................................ 209 Web プ ロキシ サービ ス SSL 暗号化 ....................................................... 161 ア ク セス ログ ............................................ 126、 127 開始 ................................................................ 223 概要 ............................................................ 2、 221 停止 ................................................................ 223 Web ポー タ ル .......................................................... 201 Web リ ソ ース ............................................................ 79 WholeSecurity Confidence Online .............................. 182 Windows ネ ッ ト ワー ク 名前解決の設定 ............................. 39 WorkPlace サイ ト 概要 ................................................................ 195 コ ピー .............................................................. 198 削除 ................................................................ 198 追加 ................................................................ 196 編集 ................................................................ 197 Z Zone Labs Integrity ................................................. 183 あ アウ ト バウ ン ド プ ロキシ サーバー ................................. 220 ア ク セス AMC .................................................................. 23 ASAP WorkPlace ............................................... 202 OnDemand ...................................................... 212 ア ク セス エージ ェ ン ト Connect ト ン ネル ク ラ イ ア ン ト ............................. 208 Connect プ ロキシ ク ラ イ ア ン ト ..................... 208、 209 OnDemand ト ン ネル エージ ェ ン ト ......................... 208 OnDemand プ ロキシ エージ ェ ン ト ......................... 208 Web プ ロキシ エージ ェ ン ト .................................. 209 ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト ..................... 209 ト ン ネル ク ラ イ ア ン ト ......................................... 207 ア ク セス サービ ス Web プ ロキシ サービ ス ........................................ 228 概要 ................................................................ 221 ネ ッ ト ワー ク ト ン ネル サービ ス ............................. 223 ネ ッ ト ワー ク プ ロキシ サービ ス ............................. 227 ア ク セス ログ ................................................... 126、 127 ア ク セス エージ ェ ン ト Network Explorer .............................................. 207 ア ク セス制御ルール 移動 ................................................................ 100 概要 .................................................................. 89 管理 .................................................................. 89 構成 .................................................................. 89 コ ピー .............................................................. 100 削除 ................................................................ 100 順序の変更 ........................................................ 100 追加 ............................................................ 92、 94 表示 .................................................................. 89 編集 ................................................................ 100 無効 .................................................................. 90 有効 .................................................................. 90 ア ド レ ス プール ........................................................ 224 ア プ ラ イ ア ン ス。 Aventail ア プ ラ イ ア ン ス を 参照 ア プ ラ イ ア ン スの再起動 ................................................ 19 ア プ ラ イ ア ン スの実稼働環境への移行 ............................... 16 ア プ ラ イ ア ン スへの接続 ................................................18 ア プ ラ イ ア ン スの保護 ................................................. 239 暗号化 Web プ ロキシ サービ ス ........................................ 161 ネ ッ ト ワー ク ア ク セ ス サービ ス .............................. 161 い 移動 ア ク セ ス制御ルール ............................................. 100 個別のシ ョ ー ト カ ッ ト ........................................... 194 コ ミ ュ ニ テ ィ ........................................................57 複数のシ ョ ー ト カ ッ ト ........................................... 194 イ ン ス ト ール ASAP WorkPlace ................................................ 201 Aventail Connect プ ロキシ ク ラ イ ア ン ト ................. 208 Aventail ア プ ラ イ ア ン ス .........................................17 ア プ ラ イ ア ン スのチ ェ ッ ク リ ス ト ...............................12 概要 ...................................................................14 ハー ド ウ ェ ア ........................................................17 イ ン タ フ ェ ース 設定速度 .............................................................34 ネ ッ ト ワー ク ........................................................34 イ ンポー ト 構成 フ ァ イル ...................................................... 150 証明書 ......................................................... 46、 49 え エ イ リ ア ス .......................................................... 63、 83 エ ク スポー ト 構成 フ ァ イル ...................................................... 150 証明書 ................................................................48 ログ フ ァ イル ..................................................... 128 お オ ン ラ イ ン ヘルプ .......................................................26 か 監視 ア ク テ ィ ブ ユーザー ............................................ 142 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン .............................. 142 ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの停止 ..................... 143 ア プ ラ イ ア ン ス ................................................... 140 ユーザーの検索 ................................................... 142 管理 Aventail ア プ ラ イ ア ン ス .........................................14 End Point Control .............................................. 169 ア ク セ ス制御ルール ...............................................89 管理者ア カ ウン ト ..................................................27 証明書 ................................................................47 ユーザー グループ ............................................... 114 リ ソ ース .............................................................79 リ ソ ース グループ .................................................84 管理権限 ベス ト プ ラ ク テ ィ ス ............................................. 240 管理者ア カ ウン ト 概要 ...................................................................27 管理 ...................................................................27 削除 ...................................................................28 追加 ...................................................................27 260| 索引 ベス ト プ ラ ク テ ィ ス ............................................ 240 編集 .................................................................. 27 き 逆方向接続 .......................................... 91、 94、 207、 221 く ク ッ キーの変換 ........................................................... 87 ク ラ イ ア ン ト ア ク セス ................................................ 241 ク ラ イ ア ン ト 証明書 ............................................... 47、 50 ク ラ イ ア ン ト のシ ス テム要件 .................................... 7、 213 ク ラ イ ア ン ト の整合性の検証 ........................................ 182 グループ 管理 .................................................................. 84 名前を マ ッ ピ ングする .......................................... 105 ユーザー ........................................................... 105 リ ソ ース ............................................................. 84 グループ ア フ ィ ニ テ ィ チ ェ ッ ク ...................................... 58 ク レデン シ ャル転送 ............................................... 86、 87 保存 ...................................................................25 リ ス ト ア ................................................... 150、 155 リ セ ッ ト ........................................................... 156 構成の比較 ............................................................... 156 構成変更の適用 ...........................................................29 コ ピー WorkPlace サイ ト ............................................... 198 ア ク セ ス制御ルール ............................................. 100 コ ミ ュ ニ テ ィ ...................................................... 112 ゾーン .............................................................. 174 レルム ................................................................58 コ ミ ュ ニテ ィ EPC 制約 .......................................................... 110 移動 ...................................................................57 構成 ................................................................. 106 コ ピー .............................................................. 112 削除 ................................................................. 112 デ フ ォ ル ト ..........................................................56 表示 ................................................................. 106 編集 ................................................................. 112 レルム と の関連付け ...............................................56 コ ン テ ン ツの変換 ........................................................87 こ 工場出荷時デ フ ォル ト 構成 ........................................... 156 工場出荷時 リ セ ッ ト の実行 ........................................... 160 構成 ASAP WorkPlace ....................................... 190、 195 Aventail Cache Control ...................................... 179 Aventail Connect プ ロキシ ク ラ イ ア ン ト ................. 208 Aventail Secure Desktop .................................... 181 DNS .................................................................. 38 IP ア ド レ ス ......................................................... 34 IP ア ド レ ス プール .............................................. 224 LDAP 認証 .......................................................... 65 RADIUS 認証 ...................................................... 70 SNMP .............................................................. 143 SSH ................................................................ 123 SSL 暗号化 ....................................................... 161 SSL 暗号化設定 .................................................. 161 Web プ ロキシ サービ スの構成 ................................ 228 ア ク セス制御ルール ............................................... 89 概要 .................................................................. 14 コ ミ ュ ニ テ ィ ..................................................... 106 時刻設定 ........................................................... 124 証明書 ................................................................ 39 シ ョ ー ト カ ッ ト ................................................... 190 シ ングル サイ ン オ ン .............................................. 75 認証 .................................................................. 52 ネ ッ ト ワー ク プ ロキシ サービ スの構成 ..................... 227 ネ ッ ト ワー ク設定 .................................................. 33 ユーザー ア ク セス コ ンポーネ ン ト ....................... 3、 205 ユーザー名 / パスワー ド 認証 .............................. 65、 70 レルム ................................................................ 55 ロー カル ユーザー認証 ........................................... 74 ログ設定 ........................................................... 129 構成設定 イ ンポー ト / エ ク スポー ト ..................................... 150 シ ス テム更新 ..................................................... 150 バ ッ ク ア ッ プ ............................................. 150、 154 比較 ................................................................ 156 フ ァ イルの衝突回避 ............................................... 28 さ サーバー syslog ............................................................. 130 ダウ ン ス ト リ ーム ................................................ 229 認証 ...................................................................59 サーバー証明書 .............................................. 39、 65、 68 サービ ス 開始 ................................................................. 223 概要 ................................................................. 221 停止 ................................................................. 223 サービ スの開始 ......................................................... 223 サービ スの停止 ......................................................... 223 サイ フ ァ の選択 ......................................................... 161 削除 IP ア ド レ ス プール .............................................. 226 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル ..........................89 WorkPlace サイ ト ............................................... 198 ア ク セ ス制御ルール ............................................. 100 管理者ア カ ウン ト ..................................................28 コ ミ ュ ニ テ ィ ...................................................... 112 参照 さ れている オブ ジ ェ ク ト ....................................31 シ ョ ー ト カ ッ ト ................................................... 194 ゾーン .............................................................. 174 デバイ ス プ ロ フ ァ イル .......................................... 174 ユーザー ........................................................... 120 ユーザー グループ ............................................... 120 リ ソ ース .............................................................84 リ ソ ース グループ .................................................85 参照 さ れている オブ ジ ェ ク ト の削除 ..................................31 し 時刻設定 ................................................................. 124 自己署名証明書 ...........................................................40 シ ス テム 更新 ......................................................... 150、 157 ス テー タ スの表示 ................................................ 140 バ ッ ク ア ッ プ ...................................................... 150 EX-750 イ ン ス ト ールおよび管理ガ イ ド |261 バ ッ ク ア ッ プ フ ァ イル ......................................... 156 要件 .................................................................... 7 リ ス ト ア ........................................................... 150 ロギング ........................................................... 126 シ ス テム ア ッ プデー ト のダウン ロー ド ............................ 157 シ ス テム ア ッ プデー ト の取 り 消 し .................................. 160 シ ス テム更新 ................................................... 150、 157 順序の変更 ア ク セス制御ルール ............................................. 100 コ ミ ュ ニ テ ィ ....................................................... 57 シ ョ ー ト カ ッ ト ................................................... 194 順方向接続 ................................................................ 91 証明書 CSR 応答のイ ンポー ト ........................................... 45 CSR の生成 ......................................................... 43 CSR の送信 ......................................................... 44 FAQ .................................................................. 51 イ ンポー ト .................................................... 46、 49 エ ク スポー ト ....................................................... 48 概要 .................................................................. 39 管理 .................................................................. 47 ク ラ イ ア ン ト ................................................. 47、 50 構成 .................................................................. 39 サー ド パーテ ィ か らの取得 ....................................... 42 サーバー ....................................................... 39、 65 自己署名 ............................................................. 40 詳細の表示 .......................................................... 48 信頼で き るルー ト フ ァ イル ................................ 40、 46 設定 ............................................................ 47、 50 追加 ......................................................47、 49、 50 認証 .................................................................. 68 証明書署名要求 応答のイ ンポー ト .................................................. 45 概要 .................................................................. 43 生成 .................................................................. 43 送信 .................................................................. 44 商用 CA か らの証明書の取得 .......................................... 42 ショート カッ ト 移動 ................................................................ 194 概要 ................................................................ 185 構成 ................................................................ 190 個人 フ ォルダ ..................................................... 193 削除 ................................................................ 194 順序の変更 ........................................................ 194 追加 ........................................................ 192、 193 表示 ................................................................ 190 編集 ................................................................ 194 シ リ アル接続 ............................................................. 18 シ ングル サイ ン オ ン ........................... 75、 76、 77、 86、 87 信頼で き るルー ト フ ァ イル ......................... 65、 70、 40、 46 す ス プ リ ッ ト ト ン ネ リ ング ......................................... 3、 109 ス マー ト カ ー ド 認証方式 ............................................... 72 せ 静的ルー ト ................................................................ 36 セッシ ョ ン ア ク テ ィ ブ ユーザー ............................................ 142 管理者 ................................................................ 27 停止 ................................................................. 143 接続 逆方向 ..........................................91、 94、 207、 221 順方向 ................................................................91 シ リ アル .............................................................18 相互 ...................................................91、 207、 221 双方向 ................................................91、 207、 221 設定 ASAP WorkPlace ..................................................16 Aventail Connect プ ロキシ ク ラ イ ア ン ト ...................16 IP ア ド レ ス .........................................................34 証明書 ......................................................... 47、 50 そ 相互接続 ...................................................91、 207、 221 双方向接続 .................................................91、 207、 221 ゾーン Aventail Connect ............................................... 174 概要 ................................................................. 165 コ ピー .............................................................. 174 削除 ................................................................. 174 定義 ................................................. 171、 176、 177 デバイ ス プ ロ フ ァ イル .................................. 165、 169 デ フ ォ ル ト ゾーン ............................................... 175 特定の状況 ........................................................ 175 表示 ................................................................. 170 た ダ イ ナ ミ ッ ク モー ド ........................................... 212、 215 ダウ ン ス ト リ ーム Web サーバー ................................... 229 他のサイ ト への リ ダ イ レ ク ト ......................................... 201 ち チェ ッ クリスト ア プ ラ イ ア ン スの実稼働環境への移行 .........................16 初期セ ッ ト ア ッ プ ..................................................12 つ 追加 CA 証明書 ...........................................................49 IP ア ド レ ス プール .............................................. 225 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル ..........................86 WorkPlace サイ ト ............................................... 196 ア ク セ ス制御ルール ........................................ 92、 94 管理者ア カ ウン ト ..................................................27 シ ョ ー ト カ ッ ト ........................................... 192、 193 ゾーン ...................................... 171、 175、 176、 177 デバイ ス プ ロ フ ァ イル .......................................... 172 認証サーバー ........................................................59 認証レルム ..........................................................55 ユーザー .............................................99、 115、 118 ユーザー グループ .................................99、 115、 118 リ ソ ース ...................................................... 82、 99 リ ソ ース グループ .................................................85 ルー ト 証明書 ........................................... 47、 49、 50 レルム ................................................................55 ツール Config Backup Tool ............................................ 154 Config Compare Tool ......................................... 156 262| 索引 Config Reset Tool .............................................. 156 Config Restore Tool ........................................... 155 Rollback Tooll ................................................... 160 Setup Tool ................................................... 19、 21 て 停止 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン ............................. 143 デバイ ス プ ロ フ ァ イル 概要 ................................................................ 165 削除 ................................................................ 174 定義 ................................................................ 172 表示 ................................................................ 170 デ フ ォ ル ト ゲー ト ウ ェ イ ............................................... 35 デ フ ォ ル ト コ ミ ュ ニ テ ィ ............................................... 56 デ フ ォ ル ト ゾーン ..................................................... 175 デ フ ォ ル ト レルム ................................................. 53、 57 電源停止 ................................................................... 19 電源投入 ................................................................... 18 と 動的ルーテ ィ ング ........................................................ 36 ト ー ク ン認証方式 ........................................................ 72 ド メ イ ン名の指定 ........................................................ 33 ト ラ ブルシ ュ ーテ ィ ング 概要 ................................................................ 231 ツール .............................................................. 235 ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト ........................... 209 ト ン ネル ク ラ イ ア ン ト ................................................ 207 な 名前解決の設定 ..................................................... 38、 39 に 認証 Active Directory .................................................. 60 LDAP ................................................................. 65 Netegrity SiteMinder ........................................... 77 NTLM ................................................................ 76 RADIUS ............................................................. 70 概要 .................................................................. 52 グループ ア フ ィ ニ テ ィ チ ェ ッ ク ............................... 58 構成 .................................................................. 52 シ ングル サイ ン オ ン ........................................ 76、 77 ス マー ト カ ー ド .................................................... 72 デジ タ ル証明書 ..................................................... 68 ト ー ク ン ............................................................. 72 ユーザー名 と パスワー ド ..............................65、 70、 61 レルム ........................................................ 52、 105 レルムの追加 ....................................................... 55 ロー カル ユーザー ................................................. 74 認証サーバー Active Directory 認証 ........................................... 60 LDAP 認証 .......................................................... 65 RADIUS 認証 ...................................................... 70 概要 .................................................................. 59 構成例 ................................................................ 59 定義 .................................................................. 59 複数の使用 .......................................................... 59 レルムの参照 ........................................................60 認証転送 ............................................................ 86、 87 ね ネ ッ ト ワー ク アーキテ ク チ ャ ..........................................11 ネ ッ ト ワー ク ア ク セス サービ ス ア ク セ ス ロ グ ..................................................... 126 ネ ッ ト ワー ク イ ン タ フ ェ ース ..........................................34 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト ........................................ 193 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト 概要 ................................................................. 207 ト ラ ブルシ ュ ーテ ィ ング ツール ............................... 238 ネ ッ ト ワー ク ト ン ネル サービ ス 開始 ................................................................. 223 概要 ............................................................ 2、 221 構成 ................................................................. 223 停止 ................................................................. 223 ネ ッ ト ワー ク プ ロキシ サービ ス Aventail Connect プ ロキシ ク ラ イ ア ン ト ................. 208 OnDemand ....................................................... 211 開始 ................................................................. 223 概要 ............................................................ 2、 221 構成 ................................................................. 227 停止 ................................................................. 223 ネ ッ ト ワー ク リ ソ ース ..................................................80 ネ ッ ト ワー ク構成 ...................................................... 239 ネ ッ ト ワー ク設定 DNS ..................................................................38 ICMP ............................................................... 124 NTP ................................................................. 124 SSH ................................................................ 123 Windows ネ ッ ト ワー ク名前解決 ...............................39 概要 ...................................................................33 サーバー証明書 .....................................................39 シ ス テム ID .........................................................33 デ フ ォ ル ト ゲー ト ウ ェ イ .........................................35 ネ ッ ト ワー ク イ ン タ フ ェ ース ...................................34 は ハー ド ウ ェ アのイ ン ス ト ール ...........................................17 パスワー ド ベス ト プ ラ ク テ ィ ス ............................................ 240 変更 ...................................................................27 パスワー ド の変更 ........................................................27 バッ クア ッ プ 構成設定 ................................................... 150、 154 バ ッ ク ア ッ プ フ ァ イル ................................ 154、 155、 156 バ ッ ク エ ン ド サーバーか らルー ト フ ァ イルの確認 ......... 47、 49 ひ 非表示レルム ....................................................... 53、 57 表示 ア ク セ ス制御ルール ...............................................89 コ ミ ュ ニ テ ィ ...................................................... 106 シ ス テム ス テー タ ス ............................................ 140 証明書の表示 ........................................................48 シ ョ ー ト カ ッ ト ................................................... 190 ゾーン .............................................................. 170 デバイ ス プ ロ フ ァ イル .......................................... 170 EX-750 イ ン ス ト ールおよび管理ガ イ ド |263 リ ソ ース ............................................................. 81 リ ソ ース グループ ................................................. 81 レルム ................................................................ 52 ログ メ ッ セージ .................................................. 127 表示レルム .......................................................... 53、 57 む 無効化 End Point Control .............................................. 169 ア ク セ ス制御ルール ...............................................90 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン .............................. 143 レルム ................................................................57 ふ フ ァ イ アウ ォ ール ポ リ シー ............................................ 13 フ ァ イル 更新 ................................................................ 157 構成 .......................................................... 28、 150 信頼で き るルー ト ............................... 40、 46、 65、 70 バ ッ ク ア ッ プ ..................................... 154、 155、 156 比較 ................................................................ 156 ログ ........................................................ 126、 130 フ ァ イル シ ス テム リ ソ ース ........................................... 80 フ ァ イル更新 ........................................................... 157 復帰 工場出荷時構成 ................................................... 156 ブ ラ ウザ Java コ ン ソ ールの表示 ......................................... 234 Java の有効化 .................................................... 234 JVM バージ ョ ンの判定 ......................................... 233 OnDemand のシ ス テム要件 .............................. 7、 213 WorkPlace のシ ス テム要件 ............................... 7、 188 ブ ラ ウザでの Java の有効化 ........................................ 234 プ ロキシ サーバー ..................................................... 220 フ ロ ン ト パネルのイ ン ジケー タ ....................................... 17 へ 変換 ク ッ キー ............................................................. 87 コ ン テ ン ツ .......................................................... 87 変更の保存 .......................................................... 25、 29 編集 AMC のオブ ジ ェ ク ト ............................................. 25 IP ア ド レ ス プール ............................................... 226 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル ......................... 89 WorkPlace サイ ト .............................................. 197 ア ク セス制御ルール ............................................. 100 管理者ア カ ウ ン ト .................................................. 27 コ ミ ュ ニ テ ィ ..................................................... 112 シ ョ ー ト カ ッ ト ................................................... 194 ユーザー ........................................................... 119 ユーザー グループ ............................................... 119 リ ソ ース ............................................................. 84 リ ソ ース グループ ................................................. 85 レルム ................................................................ 58 ほ ポー ト マ ッ ピ ング ..................................................... 216 ま マ ッ ピ ング OnDemand でのポー ト ........................................ 216 グループ名 ........................................................ 105 ユーザー名 ........................................................ 105 も モニ タ リ ン グ ア プ ラ イ ア ン ス ................................................... 126 ゆ 有効化 Aventail Cache Control ....................................... 179 Aventail Secure Desktop .................................... 181 End Point Control .............................................. 169 Sygate On-Demand ........................................... 182 WholeSecurity .................................................. 182 Zone Labs Integrity ........................................... 183 ア ク セ ス制御ルール ...............................................90 レルム ................................................................57 ユーザー [Searching for] フ ィ ール ド .................................. 142 ア ク テ ィ ブ セ ッ シ ョ ンの停止 ................................. 143 概要 ................................................................. 105 監視 ................................................................. 142 削除 ................................................................. 120 追加 ...................................................99、 115、 118 名前を マ ッ ピ ングする ........................................... 105 編集 ................................................................. 119 ロー カル ........................................................... 120 ユーザー ア ク セス ..................................................... 241 ユーザー ア ク セス コ ンポーネ ン ト ............................ 3、 205 ユーザー グループ 概要 ................................................................. 105 管理 ......................................................... 114、 115 削除 ................................................................. 120 追加 ...................................................99、 115、 118 名前を マ ッ ピ ングする ........................................... 105 編集 ................................................................. 119 ユーザー セ ッ シ ョ ンの停止 .......................................... 143 ユーザーの検索 ......................................................... 142 ユーザー名 / パスワー ド 認証方式 ........................ 70、 61、 65 ら ラ イセンス 概要 ................................................................. 163 管理 ................................................................. 164 コ ンポーネ ン ト ................................................... 163 詳細の表示 ........................................................ 163 ベース .............................................................. 163 ラ ッ クのイ ン ス ト ール ...................................................17 264| 索引 り リストア 構成設定 ........................................................... 155 リセッ ト Factory Reset Tool ............................................ 161 構成設定 ........................................................... 156 リ ソ ース Web .................................................................. 79 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル ......................... 86 管理 .................................................................. 79 高度なオプ シ ョ ン .................................................. 83 削除 .................................................................. 84 追加 ............................................................ 82、 99 ネ ッ ト ワー ク ....................................................... 80 表示 .................................................................. 81 フ ァ イル シ ス テム ................................................. 80 編集 .................................................................. 84 リ ソ ース グループ 管理 .................................................................. 84 削除 .................................................................. 85 追加 .................................................................. 85 表示 .................................................................. 81 編集 .................................................................. 85 る ルーテ ィ ング ............................................................. 35 ルー ト フ ァ イルの確認 ............................................ 47、 49 ルー ト 証明書 追加 .................................................................. 47 ループバ ッ ク ア ド レ ス ................................................ 216 れ レルム Active Directory .................................................. 60 ASAP WorkPlace ................................................. 54 RADIUS ............................................................. 70 概要 ................................................................ 105 グループ ア フ ィ ニ テ ィ チ ェ ッ ク ............................... 58 検索 ................................................................ 115 コ ピー ................................................................ 58 コ ミ ュ ニ テ ィ を対応 さ せる ....................................... 56 削除 .................................................................. 58 追加 .................................................................. 55 デ フ ォ ル ト .................................................... 53、 57 認証サーバーの参照 ............................................... 60 非表示 .......................................................... 53、 57 表示 ......................................................52、 53、 57 ベス ト プ ラ ク テ ィ ス .............................................. 54 編集 .................................................................. 58 無効 .................................................................. 57 有効 .................................................................. 57 レルムの検索 ........................................................... 115 ろ ロー カル ユーザー認証 .......................................... 120、 74 ロギング OnDemand ...................................................... 219 syslog サーバー ................................................. 130 エ ク スポー ト フ ァ イル ......................................... 128 概要 ................................................................. 126 構成設定 ........................................................... 129 フ ァ イル ロ ケーシ ョ ン .......................................... 130 フ ァ イル形式 ...................................................... 126 メ ッ セージの表示 ................................................ 127 レ ベル .............................................................. 129
© Copyright 2024 Paperzz