Aventail SSL VPNsoftware.sonicwall.com/Aventail/Documentation/860/ST_v8...Aventail® SSL VPN インストールおよび管理ガイドバージョン 8.6 ©1996-2005 Aventail Corporation。すべての権利は保有されています。Aventail、Aventail

Aventail® SSL VPN

インストールおよび管理ガイドバージョン 8.6

©1996-2005 Aventail Corporation。すべての権利は保有されています。 Aventail、 Aventail Cache Control、 Aventail Connect、Aventail Connect Tunnel、 Aventail End Point Control、 Aventail Management Console、 Aventail Connect Mobile、 Aventail OnDemand、 Aventail OnDemand Tunnel、 Aventail Secure Desktop、 Aventail Smart Access、 Aventail Smart Policy、 Aventail Smart SSL VPN、 Aventail Smart Tunneling、 Aventail ST、 Aventail Unified Policy、 Aventail WorkPlace、 Aventail WorkPlace Mobile、 Aventail EX-750、 Aventail EX-1500、 Aventail EX-2500、およびそれに対応するロゴは、 trademarks, registered trademarks, or service marks of Aventail Corporation の商標、登録商標、またはサービスマークです。また、このマニュアルに記載

されているその他の製品名および会社名は、各社の商標です。

Last modified 1/12/06 18:11

Part number 0850-000011-03

Aventail SSL VPN インストールおよび管理ガイド | i

目次

第 1 章はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Aventail アプライアンスの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Aventail アプライアンスモデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2管理者コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2ユーザーコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

このリリースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5このリリースでのユーザーインタフェースの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7管理者コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7クライアントコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

このマニュアルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11このマニュアルの規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

第 2 章インストールと初期セットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

ネットワークアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

インストールの準備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14インストールチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15ファイアウォールポリシーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16便利な管理ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

インストールおよび設定プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17インストールと構成の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17アプライアンスの実稼働環境への移行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

アプライアンスのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20ラックのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20フロントパネルの操作ボタンとインジケータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21アプライアンスの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24電源投入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26アプライアンスの電源停止と再起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

初期ネットワークセットアップの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Setup Wizard を使用した Web ベースの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Setup Tool を使用したコマンドラインによる構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

次のステップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

ii | 目次

第 3 章AMC の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

AMC へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31AMC へのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

AMC の基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32AMC インタフェースクイックツアー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32AMC でのオブジェクトの追加、編集、コピー、削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35ヘルプの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37管理者アカウントと役割の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37複数管理者の構成ファイルの衝突回避. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

構成データの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41構成変更のディスクへの保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41構成変更の適用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

参照されているオブジェクトの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

第 4 章ネットワークと認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

基本ネットワーク設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45システム ID の識別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46ネットワークインタフェースの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46IP ルートの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48名前解決の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

SSL 証明書の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53概要 : SSL 証明書. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53自己署名証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54商用 CA からの証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56他のコンピュータからの既存の証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61証明書の FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

ユーザー認証の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66レルムでのグループアフィニティチェックの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Microsoft Active Directory サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69LDAP および LDAPS 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74RADIUS 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Netegrity SiteMinder または RSA ClearTrust 認証の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83ローカルユーザー認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86認証構成のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86シングルサインオンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

次のステップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Aventail SSL VPN インストールおよび管理ガイド | iii

第 5 章セキュリティ管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

リソースの作成と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89リソースのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89リソースおよびリソースグループの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91リソースの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92リソースの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94リソースの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94リソース排除リストの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95リソースグループの作成と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Web アプリケーションプロファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Web アプリケーションプロファイルの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

アクセス制御ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100アクセス制御ルールの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100アクセス方式とリソースとの間の拒否ルール非互換の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111不正な接続先リソースの解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

第 6 章ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

概要 : ユーザー、グループ、レルム、コミュニティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

レルムおよびコミュニティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116レルムの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116デフォルト、表示、非表示レルム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117デフォルトレルムの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118レルムの有効化と無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119レルムを定義する場合のベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

レルムの作成と構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119レルムへのコミュニティの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121コミュニティの作成と構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122デフォルトコミュニティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128レルムでコミュニティがリストされる順序の変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129レルムでの RADIUS アカウンティングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129コミュニティの編集、コピー、削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131ユーザーまたはグループのメンバーシップの特定コミュニティへの制限. . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

ユーザーおよびグループの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131ユーザーおよびグループの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131外部リポジトリにマッピングされているユーザーおよびグループの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . 132ローカルユーザーアカウントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

iv | 目次

第 7 章システム管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

オプションネットワーク構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141リモートホストからの SSH アクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141ICMP の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142時刻設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

システムロギングおよびモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144概要 : システムロギングおよびモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144ログファイル形式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145ログ設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148ログファイルのロケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149システムメッセージログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150ネットワークプロキシ / トンネル監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151Web プロキシ監査ログ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Management Console 監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153アプライアンスの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153SNMP の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

バックアップ、リストア、システム更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163構成ファイルのバックアップとリストア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164システムへのパッチ当て、アップグレード、ロールバック、リセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

SSL 暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175SSL 暗号化の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

ソフトウェアライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177ライセンスの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177ライセンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

第 8 章End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

概要 : End Point Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179End Point Control のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

ゾーンおよびデバイスプロファイルによる EPC の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184End Point Control の有効化と無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184ゾーンおよびデバイスプロファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185ゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186定義済みのゾーンおよびデバイスプロファイルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191特定の状況に対するゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

クライアントに残されたデータの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194Aventail Cache Control の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194Aventail Secure Desktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Sygate On-Demand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197クライアントの整合性の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

Aventail SSL VPN インストールおよび管理ガイド | v

第 9 章ASAP WorkPlace ポータル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

ASAP WorkPlace のクイックツアー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201[Home] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202[Intranet Address] ボックス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203[Network Explorer] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

ASAP WorkPlace のクライアントの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

ASAP WorkPlace の一般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

ASAP WorkPlace のカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

ショートカットの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207ショートカットの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Web ショートカットの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208ネットワークショートカットの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209グラフィカルターミナルショートカットの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210個人フォルダを示すネットワークショートカットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212ショートカットの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213ショートカットの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213ショートカットの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

WorkPlace サイト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214WorkPlace サイトの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215WorkPlace および小型携帯端末 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

ASAP WorkPlace のログインページ、エラーページ、通知ページのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . 221概要 : WorkPlace テンプレートのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221テンプレートファイルを一致させる方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222WorkPlace テンプレートのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223WorkPlace カスタムテンプレートのアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

ユーザーによる ASAP WorkPlace へのアクセスの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

End Point Control とユーザーのログインプロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Aventail Secure Desktop の動作方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Aventail Cache Control の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

vi | 目次

第 10 章ユーザーアクセスコンポーネントおよびサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

概要 : ユーザーアクセスエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227ASAP WorkPlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Network Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Aventail トンネルクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Aventail プロキシクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Aventail Web エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

Aventail クライアントのインストールパッケージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Aventail クライアントのインストールパッケージのダウンロード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Aventail Connect トンネルクライアント用構成のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233Aventail Connect Mobile クライアント用構成のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Aventail Client セットアップパッケージのデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Aventail OnDemand プロキシエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236概要 : OnDemand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236OnDemand クライアント要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238OnDemand がネットワークトラフィックをリダイレクトする方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239特定アプリケーションにアクセスするための OnDemand の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240高度な OnDemand オプションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243クライアントの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Aventail Connect プロキシクライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

グラフィカルターミナルエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247Windows Terminal Services エージェントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Citrix エージェントの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Aventail アクセスサービスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250概要 : アクセスサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Aventail アクセスサービスの停止と開始 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251ネットワークトンネルサービスの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252IP アドレスプールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253ネットワークプロキシサービスの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Web プロキシサービスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Aventail SSL VPN インストールおよび管理ガイド | vii

第 11 章2 ノードクラスタのインストールと管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

概要 : Aventail クラスタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259クラスタアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259負荷分散サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260ステートフルフェイルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261同期クラスタ管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

クラスタのインストールと構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261ステップ 1: クラスタネットワークの接続. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262ステップ 2: クラスタのすべてのノードで Setup Tool を実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263ステップ 3: マスターノードの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264ステップ 4: クラスタの外部仮想 IP アドレスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265ステップ 5: 残りの構成作業の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266ステップ 6: 管理スイッチ接続の構成 ( 適切な場合 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

クラスタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267各ノードのネットワーク構成の表示と構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267クラスタの起動. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268サービスの開始と停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268クラスタの監視. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268クラスタのバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269クラスタでの保守の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269クラスタのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269単一アプライアンスのクラスタ構成へのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270クラスタのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

クラスタのシナリオ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271正常なフローまたはトラフィック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271ノードの障害 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

付録 Aトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

一般的なネットワーキングの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

AMC の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

認証の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Aventail サービスの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Aventail トンネルの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Aventail OnDemand プロキシの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279一般的な OnDemand プロキシの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279個別の OnDemand の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

AMC のトラブルシューティングツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281ping コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281traceroute コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282DNS ルックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282現在のルーティングテーブルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283ネットワークトンネルクライアントのロギングツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

viii | 目次

付録 Bアプライアンス保護のためのベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

ネットワーク構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

アプライアンスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

アクセスポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

SSL サイファ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

クライアントアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

付録 C国際化サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

ネイティブ文字セットのサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

RADIUS ポリシーサーバーの文字セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289選択可能な RADIUS 文字セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290サポートされているその他の RADIUS 文字セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

付録 DFIPS ハードウェアセキュリティモジュール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

はじめに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293ハードウェアセキュリティモジュールおよびセキュリティワールドの概要 . . . . . . . . . . . . . . . . . . . . . . . . . 293ベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294FIPS 対応アプライアンスに対するその他のマニュアル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294環境仕様 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

セットアップと構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294FIPS アプライアンスを初めて起動する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295ライセンス要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296スマートカードリーダーの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296クライアント構成の要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296

操作手順. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298AMC での FIPS 暗号の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298

セキュリティワールドの置換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299

スマートカードの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302管理者カードセットに対するパスフレーズ保護の追加または変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302管理者カードセットの置換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303管理者カードセットの定足数の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

セキュリティワールドのバックアップと復旧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

ファームウェアアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304FIPS ログの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304異常終了後の hardserver の再起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305SNMP を使用した FIPS データの取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305コマンドラインユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

Aventail SSL VPN インストールおよび管理ガイド | ix

付録 Eマルチノード EX-2500 クラスタの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

EX-2500 アプライアンスのクラスタリングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307クラスタの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307アプライアンス初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307アプライアンスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307スイッチへのアプライアンスの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308ロードバランサの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308

用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319

x | 目次

Aventail SSL VPN インストールおよび管理ガイド | 1

第 1 章はじめに

Aventail SSL VPN アプライアンスは、従業員、ビジネスパートナー、顧客に対して、セキュアなアクセス (Web アプリケーションへのクライアントレスアクセス、クライアント / サーバーアプリケーションへのアク

セス、ファイル共有などを含む ) を提供するための機器です。すべてのトラフィックは、 Secure Sockets Layer (SSL) によって暗号化されており、これによって、許可を受けていないユーザーのアクセスを防止しま

す。

Aventail アプライアンスを使用すると、 Windows、 Macintosh、 Linux などの広範なプラットフォームから、

広範なアクセス方式 ( 標準 Web ブラウザ、 Windows クライアント、モバイルデバイスなど ) でアプリケー

ションを利用することができます。

このアプライアンスを使用すると、次のことができるようになります。

• リモートアクセス VPN の作成。これにより、リモートの従業員が、電子メールなどのプライベートな企

業アプリケーションに、インターネット経由で安全にアクセスできるようになります。

• ビジネスパートナー VPN の作成。これにより、指定されたサプライヤーが、内部のサプライチェーンアプリケーションに、インターネット経由でアクセスできるようになります。

このアプライアンスでは、細かいアクセス制御が可能で、この機能を利用することにより、ユーザーレベルや

リソースレベルでポリシーを定義しアクセスを制御することができます。また、効率を向上させるために、こ

のアプライアンスは Web ベースの管理コンソールから管理するようになっています。これにより、標準 Web ブラウザを使用して、ポリシーを素早く簡単に管理できる他、アプライアンスの構成も行うことができます。

2 | 第 1 章 - はじめに

Aventail アプライアンスの機能

この節では、このアプライアンスの主なコンポーネントについて説明します。

Aventail アプライアンスモデル

Aventail では、次の SSL VPN アプライアンスモデルを提供しています。それぞれの詳細については、このマ

ニュアルで説明します。

• Aventail EX-2500。大 2,000 ユーザーの同時利用をサポートし、内部負荷分散機能を使用して、 2 台の同じアプライアンスをクラスタ化し、 1 つの仮想 IP アドレスにすることができます。また、 1 台の外

部ロードバランサを使用することで、大 8 台のアプライアンスによるクラスタもサポートします。

• Aventail EX-2500 FIPS。 EX-2500 の FIPS 対応バージョンで、内部ハードウェアセキュリティモジュール (HSM) を搭載して、アプライアンスが使用する暗号化秘密鍵を保護できる他、 HSM のアクセ

スに使用されるスマートカードを管理して、その他の運用機能やトラブルシューティング機能を実行す

ることができます。このハードウェアセキュリティモジュールは FIPS 140-2 のレベル 2 に準拠してい

ます。

• Aventail EX-1500。大 1,000 ユーザーの同時利用をサポートし、内部負荷分散機能を使用して、 2 台の同じアプライアンスをクラスタ化し、 1 つの仮想 IP アドレスにすることができます。また、 1 台の外

部ロードバランサを使用することで、大 8 台のアプライアンスによるクラスタもサポートします。

• Aventail EX-750。大 50 ユーザーの同時利用をサポート。

管理者コンポーネント

• Aventail Web プロキシサービス。このサービスは、ユーザーが、 Web ベースのアプリケーション、

Web サーバー、ネットワークファイルサーバーなどに、 Web ブラウザから安全にアクセスできるよう

にするためのものです。 Web プロキシサービスは、 Web ベースのリソースに対するアクセスを中継し暗

号化するセキュアな HTTP リバースプロキシです。このサービスは、Connect Mobile クライアントの場

合は、 OnDemand プロキシエージェントからの TCP/IP 接続の管理も行います。

• Aventail ネットワークトンネルサービス。このコンポーネントは、広範囲のアプリケーションにセ

キュアなネットワークトンネルアクセスを提供するネットワークルーティングテクノロジーです。対象

となるアプリケーションには、 Voice Over IP (VoIP) や ICMP などの非 TCP プロトコル、逆方向接続プ

ロトコル、 FTP などの双方向プロトコルを使用するものも含まれます。このサービスは、 Aventail Connect トンネルクライアントや Aventail OnDemand トンネルエージェントと共同で動作して、認

証され暗号化されたアクセスを可能にします。ネットワークトンネルサービスでは、ファイアウォール

や NAT デバイスの他、従来型の VPN デバイスと干渉する可能性があるプロキシサーバーもトラバース

することができます。

• Aventail ネットワークプロキシサービス。このサービスは、標準クライアント / サーバーアプリケー

ションにアクセスするためのセキュアなプロキシを提供します。 Aventail Connect プロキシと共同で動

作して、インターネット経由で認証され暗号化されたアクセスを可能にします。ネットワークプロキシサービスは、 SOCKS v5 プロトコルをベースにしています。ネットワークプロキシサービスは、内部の

アプリケーションとネットワークに対するアクセスを中継し暗号化します。ネットワークプロキシサー

ビスは、このプロキシベースのアーキテクチャと SSL を使用することにより、ファイアウォールや NAT デバイスの他、従来型の VPN デバイスと干渉する可能性があるプロキシサーバーもトラバースすること

ができます。


• Aventail® ASAP™ Management Console (AMC)。 Aventail アプライアンスを管理するための Web ベースの管理ツールです。このツールを使用すると、セキュリティポリシーの管理、システムの構

成 ( ネットワーキングおよび証明書の構成を含む )、モニタリングについて集中的に管理できるようにな

ります。 AMC は、 Web ブラウザでアクセスすることができます。

ユーザーコンポーネント

このアプライアンスには、ユーザーに対して、ネットワーク上のリソースへのアクセスを提供するコンポーネ

ントもいくつか用意されています。

• Aventail® ASAP™ WorkPlace。このコンポーネントは、Web プロキシサービスで保護された Web ベースのリソースに対してユーザーがアクセスできるようにします。ユーザーが ASAP WorkPlace にロ

グインするとホームページが現れ、管理者が定義したショートカットのリストが表示されます。このリ

ストは、アクセスポリシーに基づいて動的に変動します。これらのショートカットは、ユーザーがアク

セス権限を持つ、 Web ベースのリソース、 Windows ファイルシステムのリソース、ターミナルサー

バーをポイントしています。 ASAP WorkPlace は、標準 Web ブラウザからアクセスすることができま

す。

この Web リソースとファイルシステムリソースは、 SSL をサポートする任意の Web ブラウザからア

クセスすることができます。このアプライアンスでは、 Internet Explorer が動作する比較的新しいバー

ジョンの Microsoft Windows システムに対して、デフォルトで Microsoft ActiveX コントロール ( 「標

準 Web エージェント」 ) をインストールするようになっています。この標準 Web エージェントは、ア

プライアンスから Web コンテンツを直接取り込みます。他のブラウザを使用するユーザーに対しては、

トランスレーテッド Web アクセスが自動的に提供されます。

4 | 第 1 章 - はじめに

このエージェントをユーザーのシステムにインストールしたくない場合は、ユーザーがどのブラウザを使

用しているかに関係なく、トランスレーテッド Web アクセスがすべてのユーザーに提供されるよう構成


• Aventail® OnDemand™ proxy エージェント。このコンポーネントは、 Aventail Web プロキシサービスで保護されたネットワークリソースにアクセスできるようにするセキュアなエージェントです。

Aventail OnDemand は、ユーザーにクライアントレスな VPN アクセスを提供するもので、任意の Web サーバーから「オンデマンドで」ダウンロードできるようになっています。ネットワークに対して標準 VPN アクセスできないパートナーやベンダーや、キオスク端末など、仕事用でないコンピュータから

ネットワークリソースにモバイルでアクセスする従業員が使用すると便利です。

• Aventail® Connect™ プロキシクライアント。このコンポーネントは、Aventail ネットワークプロキ

シサービスで保護されたネットワークリソースにアクセスできるようにする Windows アプリケーショ

ンです。 Aventail Connect をユーザーのコンピュータにインストールすると、パーソナルファイア

ウォールやアンチウイルスアプリケーションもサポートされ、セキュリティのレベルが向上します。ほ

とんどの場合ユーザーは、認証クレデンシャルの入力を求められるときや、ローカルおよびリモートの

ネットワークを選択するよう求められるときに限って、 Aventail Connect と通信します。

• Aventail® Connect™ および Aventail® OnDemand クライアントを Smart Tunneling と併用

すると、すべてのリソースに対してネットワークレベルでアクセスできるようになり、それぞれのエンド

ユーザーデバイスを、効率的にネットワークの仮想ノードにすることができます。

• Connect トンネルクライアントにより、 Web でインストールされる Windows クライアント (Windows XP および Windows 2000 が動作するコンピュータ ) から、ネットワークおよびアプリ

ケーションに対してフルアクセスできるようになります。このクライアントは、 ASAP WorkPlace ポータルのリンク、または標準 Windows インストーラの実行可能パッケージから透過的にインス

トールされます。 Connect トンネルクライアントでは他にも、スプリットトンネリング制御、細か

いアクセス制御、自動プロキシ検出と認証などの機能も提供されます。

• OnDemand トンネルエージェントには、 Connect トンネルとほぼ同じ機能があります。ただし、

ドメインログインの際にダイヤルアップアダプタとして使用することはできません。また、 ASAP WorkPlace に統合されているという点でも異なります。 OnDemand の場合、スプリットトンネリ

ングモードまたはリダイレクトオールトラフィックモードのいずれかで動作することができます。

• Aventail® Connect™ Mobile クライアント。このコンポーネントは、 Windows CE が動作する Pocket PC デバイスに対して、リモート TCP/IP アクセスを提供します。 Connect Mobile クライアント

は、スタンドアロンのインストーラパッケージからインストールされ、Aventail Web プロキシサービス

で管理されます。


• End Point Control™ コンポーネントコンポーネント。ネットワークが、信頼されていない環境の PC からアクセスされた場合に危険にさらされることのないようにします。 Aventail アプライアンスには、

重要なデータやネットワークを保護するための、複数の End Point Control (EPC) コンポーネントをサ

ポートする機能があります。 Aventail のデータ保護エージェント Aventail Secure Desktop および Aventail Cache Control は、セッションデータを PC から自動的に削除します。また、このアプライア

ンスでは、アクセスを許可する前にクライアントシステム上のマルウェアを自動的にチェックする、

サードパーティのクライアントインテグリティコントロールとも統合できるようになっています。

Aventail Connect プロキシを除く、 Aventail のすべてのアクセス方法で、 EPC がサポートされていま

す。

このリリースの新機能

Aventail ASAP プラットフォームのバージョン 8.6 では、次のような機能が追加または強化されています。

• 新しいアプライアンスモデル : Aventail は、このリリースで 2 つの新しいアプライアンスモデルを加え

ました。 1 つは Aventail EX-2500 で、大 2,000 ユーザーの同時利用をサポートし、外部ロードバラ

ンサを使用することで、大 8 台のアプライアンスによるクラスタ構成をサポートしています。もう 1 つは FIPS 対応の EX-2500 で、ハードウェアセキュリティモジュールを搭載しており、アプライアンス

が使用する暗号化秘密鍵を保護できるようになっています。

• ネットワークトンネルサービスの強化 : Aventail ネットワークトンネルサービスを構成し、ネットワー

クトンネルトラフィックをインターネットにルーティングするためのデフォルト IP アドレスを指定でき

るようになっています。また、外部 DHCP (Dynamic Host Configuration Protocol) サーバーを使用す

ることによって、 IP アドレスをネットワークトンネルクライアントに割り当てる際に使用される IP アドレスプールを、動的に割り当てられるようになります。

• Connect トンネルクライアントの強化 : すべての Connect トンネルクライアントを単一のゾーンに限

定するのではなく、 Connect トンネルクライアントによって、エンドポイントイントロゲーションを実

行し、任意の End Point Control ゾーンに分類できるようになっています。また、 Connect トンネルクライアントは、エンドユーザーに配布するために、インストールパッケージとしてダウンロードするこ

ともできます。

• 統合されたリソース排除リスト : この排除リストを使用することで、アプライアンスを介してリダイレク

トするリソースのホスト名または IP アドレスを管理することができます。また、排除リソースを定義す

るときは、「?」と「*」のワイルドカードを使用することができます。

• パスワード管理 : Web アクセスサービスを介してアプライアンスに接続するユーザー、および Active Directory サーバーや LDAP サーバーを介して認証するユーザーは、自身のパスワードをリモートに変更

できるようになっています。

• クラスタリングとハイアベイラビリティ : 新しい Aventail EX-2500 アプライアンスでは、統合された

負荷分散機能を使用することで 2 台のアプライアンス、外部ロードバランサを使用することで大 8 台のアプライアンスをクラスタリングできるようになっています。

• Aventail Connect Mobile クライアント : Connect Mobile クライアントは、Windows CE が動作す

る Pocket PC デバイスに対して、リモート TCP/IP アクセスを提供します。Connect Mobile クライアン

トは、スタンドアロンのインストーラパッケージからインストールされ、Aventail Web プロキシサービ

スで管理されます。

• End Point Control の強化 : デバイスプロファイルで、 Windows ドメイン名、ファイル名、レジスト

リ値を指定するとき、ワイルドカード文字がサポートされるようになりました。また、ファイルがその古

さによってチェックされる他、MD5 または SHA-1 ハッシュや Windows カタログファイルを使用して、

ファイルの整合性が検証されるようになりました。さらに、デバイスプロファイルで使用される比較演

算子に、「否定」演算子が含まれるようになりました。

• 役割ベースの管理 : プライマリ VPN 管理者は、この新しい機能を使用することにより、割り当てられて

いる役割やアクセス権限に基づいて、指定した他の AMC ユーザーに対し、特定の管理作業を委任するこ

とができます。

• ロギングの改善 : 新しい AMC 構成の監査ログでは、管理者が AMC を使用しアプライアンスに対して実

行した構成変更に関する情報が記録されます。

• 小型携帯端末のサポート : ユーザーは、スマートフォン、特定の携帯電話、 Pocket PC、パーソナルデジ

タルアシスタントなど、さまざまな小型携帯端末を使用して ASAP WorkPlace に接続し、 Web リソー

スにアクセスできるようになっています。 AMC では、ブラウザプロファイルを使用することで、デバイ

ス固有の表示機能を構成することができ、小型携帯端末で End Point Control を使用するよう構成するこ

ともできます。

• WorkPlace ショートカットの拡張 : Windows Terminal Services エージェントおよび Citrix エージェ

ントで、 WorkPlace ショートカットを使用できるようになっています。また、 WorkPlace ショートカッ

トは、小型携帯端末でも使用することができます。

6 | 第 1 章 - はじめに

• 認証サポートの拡張 : AMC で、Netegrity SiteMinder および RSA ClearTrust 認証サーバー、RADIUS アカウンティングサーバーとの統合がサポートされています。

• AMC の利用しやすさの改善 : [General Settings]、 [Network Settings]、 [SSL Settings]、 [Agent Configuration] などの新しいサマリーページにより、主要な構成設定に簡単にアクセスできるようにな

りました。レルムやコミュニティなどのオブジェクト同士の関係が簡略化されています。管理者は、 AMC の [Home] ページから直接、 ASAP WorkPlace の主要なサイトにアクセスすることができます。

[Configure Realm] ページの [Communities] セクションでは、ログイン、デバイスプロファイリング、

EPC ゾーンの分類、エージェントプロビジョニング、データ保護など、特定のコミュニティに対する

セッションフローイベントがビジュアルに表示されます。

このリリースでのユーザーインタフェースの変更

バージョン 8.6 では、 AMC ユーザーインタフェースのデザインが大幅に改善されており、一部のページ、コ

マンド、オプションは新しいロケーションに移動したり名前が変わったりしています。旧バージョンの AMC になじんでいる管理者のために、このような機能の以前のロケーションと新しいロケーションを次の図で示し

ます。ロケーションの先頭がコマンド名になっている場合、そのコマンドは、メインナビゲーションメニューのコマンドです。

機能名以前のロケーション新しいロケーション / 名前

[Communities] ページ [Communities] コマンド [Realms] コマンド >[New] ボタン > [Configure Realm] ページ >[Next] ボタン > [Create new] ボタン >[Configure Community] ページ

または

[Realms] コマンド >[realm name] リンク > [Communities] リンク >[community name]

[Configure Client

Integrity] ページ (WholeSecurity Confidence

Online および Zone Labs Integrity Clientless Security)

[End Point Control] コマンド >[Configure data protection]

リンク

[Agent Configuration] コマンド >[Client integrity (pre-authentication)

Edit] リンク

[Configure Community

Access Methods] セクション

[Community] コマンド >[New] ボタン >[Configure Communities] ページ >[Access Methods] セクション

[Realms] コマンド >[New] ボタン >[Configure RealmGeneral] ページ >[Next] ボタン >[Configure RealmCommunities] ページ >[expand community] ボタン (+)>[Access Methods] リンク

または

[Realms] コマンド >[expand realm] ボタン (+)>[Communities] リンク >[Access Methods] リンク

[Configure CommunityEnd Point Controls]

セクション

[Community] コマンド >[New] ボタン >[Configure Communities] ページ >[End Point Control

Restrictions] セクション

[Realms] コマンド >[New] ボタン >[Configure RealmGeneral] ページ >[Next] ボタン >[Configure RealmCommunities] ページ >[expand community] ボタン (+)>[End Point Control Restrictions] リンク

または

[Realms] コマンド > [expand realm] ボタン (+)>[Communities] リンク >[End Point Control Restrictions] リンク


システム要件

この節では、 Aventail SSL VPN の管理者コンポーネントおよびクライアントコンポーネントのシステム要件

について説明します。


管理者コンポーネントのシステム要件は、次の表にリストされています。標準フォントの項目は、サポートさ

れているプラットフォームを表しており、イタリックの項目は互換プラットフォームを表しています。

[Configure Community

Members] セクション

[Community] コマンド >[New] ボタン >[Configure Communities] ページ

>[Members] セクション

[Realms] コマンド >[New] ボタン >[Configure RealmGeneral] ページ >[Next] ボタン >[Configure RealmCommunities] ページ

>[expand community] ボタン (+)>[General] リンク

または

[Realms] コマンド > [expand realm] ボタン (+)>[Communities] リンク >[Members]

リンク

[Configure Data

Protection] ページ


リンク

[Agent Configuration] コマンド >[Data protection (post-authentication)

Edit] リンク

[Configure OnDemand]

ページ

[Aventail OnDemand] コマンド [Agent Configuration] コマンド >[Aventail OnDemand Edit] リンク

[Enable Aventail Cache

Control] および [Enable Aventail Secure Desktop]


リンク >[Configure Data Protection] ページ


Edit] リンク >[Configure Data Protection] ページ

[Enable Sygate On-Demand Protection]


リンク >[Configure Data Protection] ページ


Edit] リンク >[Configure Data Protection] ページ

[Redirection List] ページ [Configure OnDemand] コマンド >[Show network redirection

list] リンク

[Agent Configuration] コマンド >[Aventail OnDemandEdit] リンク >[Show network redirection list] リンク

または

[Resources] コマンド >[Show network redirection list] リンク

機能名以前のロケーション新しいロケーション / 名前


オペレーティングシステム

ブラウザ

ASAP Management Console (AMC) • Windows XP Professional、 Service Pack 2

• Windows XP Professional、 Service Pack 1

• Windows XP Home、 Service Pack 2

• Windows XP Home、 Service Pack 1

• Windows 2000 Professional、 Service Pack 4

• Internet Explorer 6.0、Service Pack 2


• Mozilla Firefox 1.0.6

• Linux (Fedora Core 4) • Mozilla Firefox 1.0.7

8 | 第 1 章 - はじめに

クライアントコンポーネント

クライアントコンポーネントのシステム要件は、次の表にリストされています。標準フォントの項目は、サ

ポートされているプラットフォームを表しており、イタリックの項目は互換プラットフォームを表しています。



ブラウザその他の要件

ASAP WorkPlace ポータル

• Windows XP Pro、Service Pack 2


• Windows XP Home、Service Pack 2


• Windows 2000 Pro、Service Pack 4




• Macintosh OS X v 10.4


• Macintosh Safari 2.0



• Linux (Fedora Core 4) • Mozilla Firefox 1.0.7

Connect トンネルクライアント






• なし • インストール時に Windows の Administrator 権限が必要

OnDemand トンネルエージェント








• Sun JVM 1.5.1 または ActiveX

• Sun JVM 1.4.2 プラグイン

• インストール時に Windows の Administrator 権限が必要

Connect プロキシクライアント






• なし • インストール時に Windows の Administrator 権限が必要

OnDemand プロキシエージェント











• 動的リダイレクションモードでは Windows の Administrator 権限が必要







• Linux • Mozilla Firefox 1.0.7 • Sun JVM 1.4.2 プラグイン

Connect Mobile クライアント

• Windows Pocket PC 4.2.1

• Windows Pocket PC 4.2

• Pocket Internet Explorer 4.01

Web プロキシエージェント








• ActiveX

トランスレーテッド Web アクセス















End Point Control (Interrogator および Installer)

















Aventail Cache Control









• Sun JVM 1.5.1





10 | 第 1 章 - はじめに

サポートされている小型携帯端末

Aventail WorkPlace のモバイルバージョンでは、スマートフォンや PDA など、次のメーカー製の小型携帯

端末をサポートしています。

• Audiovox

• Blackberry

• Danger

• Dell

• Ericsson

• Hewlett-Packard

• Motorola

• NEC

• Nokia

• 02

• Palm

• Panasonic

• Samsung

どのような小型携帯端末がサポートされているかについては、『Aventail Assurance』 Web サイト (http://aventailassurance.aventail.com) を参照してください。







Aventail Secure Desktop

• Service Pack 1 または 2 がインストールされた Windows XP Pro

• Service Pack 1 または 2 がインストールされた Windows XP Home





• Sun JVM 1.5.1






このマニュアルについて

このマニュアルでは、このアプライアンスのインストール、構成、保守について詳細に説明しています。また、

このマニュアルの内容は、 AMC からコンテキスト対応ヘルプを呼び出しても参照できます。詳細については

36 ページの「ヘルプの利用」を参照してください。

Aventail アプライアンスには、『入門ガイド』プリントマニュアルが付属しています。このマニュアルでは、

VPN の重要なコンセプトやコンポーネントについて説明しており、 VPN の配備計画を作成する際に活用でき

るようになっています。

このマニュアルの規則

このマニュアルで、「外部」という用語を使用している場合は、インターネットに接続しているネットワークインタフェースを示します。また、「内部」と記述している場合は、内部の企業ネットワークに接続している

ネットワークインタフェースを示します。このマニュアルでは、次の表記規則を使用しています。

表記規則用途

Bold ユーザーインタフェースコンポーネント。(Web ページ上のテキストボックスやボタン )

Monospace font ユーザー側が入力するデータ。

Italic ファイル名やディレクトリなど。

commandname -x [-y] コマンド構文の場合、角かっこはオプションパラメータを表します。

ALL CAPS ENTER や BACKSPACE などのキー名、CTRL+Q などのキーコンビネーション。

12 | 第 1 章 - はじめに


第 2 章インストールと初期セットアップ

この節では、このアプライアンスが、ネットワーク環境のどの部分で機能するか示し、同時にインストールと

配線の手順を紹介します。また、 Web ベースの Setup Wizard ( またはコマンドラインによる Setup Tool) を使用して、基本ネットワーク構成を行う方法についても説明します。

ネットワークアーキテクチャ

EX-2500 アプライアンスは、デュアルインタフェース、シングルインタフェース、クラスタ化のいずれかの

方法でセットアップすることができます。デュアルインタフェースとシングルインタフェースについてはこ

の節で説明します。付録 E の「マルチノード EX-2500 クラスタの構成」 (307 ページ ) を参照してください。

EX-1500 アプライアンスには、 3 つの物理ネットワークインタフェースがあり、デュアルインタフェース、

シングルインタフェース、クラスタ化のいずれかの方法でセットアップすることができます。デュアルイン

タフェースとシングルインタフェースについてはこの節で説明します。クラスタ構成の詳細については、 261ページの「クラスタのインストールと構成」の節を参照してください。

EX-750 アプライアンスには、 2 つの物理ネットワークインタフェースがあり、デュアルインタフェースとシ

ングルインタフェースのいずれかの方法でセットアップすることができます。

• デュアルインタフェース構成。外部トラフィック ( つまりインターネットとの通信 ) 用にネットワークインタフェースを 1 つ使用し、もう 1 つのインタフェースは内部トラフィック ( 企業ネットワークとの

通信 ) 用に使用します。

Aventail

14 | 第 2 章 - インストールと初期セットアップ

• シングルインタフェース構成。単一のネットワークインタフェースが、内部トラフィックと外部トラ

フィックの両方で使用されます。この構成の場合、アプライアンスは通常、非武装地帯 ( 略称 DMZ、境

界ネットワークとも呼ばれる ) に設置します。

どちらの構成の場合も、 Aventail サービスに送られてくる要求 ( ネットワークプロキシサービスの TCP/IP トラフィックや Web プロキシサービスの HTTP/S トラフィックなど ) は、ポート 80 (HTTP) およびポート 443 (HTTPS) を通って送信されます。ただし、Aventail Connect クライアントおよび OnDemand エージェ

ントからのトラフィックは常にポート 443 経由で送信されます。ほとんどのネットワークでは、トラフィック

がこれらのポート経由で送られるように構成されているため、ネットワークのファイアウォールを構成し直す

必要はありません。

アプライアンスは、ネットワーク上にある、次のようなリソースに接続できる場所にインストールする必要が

あります。

• Web サーバー、クライアント / サーバーアプリケーション、 Windows ファイルサーバーなどを含む、

アプリケーションサーバーおよびファイルサーバー。

• 外部認証リポジトリ (LDAP サーバー、Microsoft Active Directory サーバー、RADIUS サーバーなど )。

• 1 つまたは複数の Domain Name System (DNS) サーバー。

• ( オプション ) Windows Internet Name Service (WINS) サーバー。これは、 ASAP WorkPlace を使

用して Windows ネットワークをブラウズするときに必要になります。

! 注意 Aventail では、アプライアンスをファイアウォールの内側に入れて安全を確保しておくことを強く

推奨します。

特に必要ないと思われる場合でも、アプライアンスが次のリソースと通信できるようにしておけば、機能と使

い勝手が向上します。

• アプライアンスの時刻を合わせるための Network Time Protocol (NTP) サーバー。

• syslog 出力を保管しておくための外部サーバー。

• Secure Shell (SSH) アクセスのための管理者のワークステーション。

アプライアンスは、自己署名サーバー証明書を使用する構成にできる他、商用認証局 (CA) から証明書を得る

ことでセキュリティを強化する構成にすることもできます。詳細については、 56 ページの「商用 CA からの証

明書の取得」を参照してください。

インストールの準備

インストールを始める前に、ネットワーキング環境についての情報を収集し、アプライアンスとの間でトラ

フィックが行き来できるようファイアウォールが正しく構成されていることを確認する必要があります。

Aventail

Web

DMZ


インストールチェックリスト

アプライアンスの構成を始める前に、次の情報を収集する必要があります。この情報の一部については、

Setup Wizard (27 ページの「Setup Wizard の実行」を参照 ) または Setup Tool (29 ページの「Setup Tool の実行」を参照 ) を実行するときに指定しますが、ほとんどの情報については、 AMC (45 ページの

「ネットワークと認証の構成」を参照 ) でアプライアンスを構成するときに使用することになります。

• アプライアンスの管理の際に使用する root パスワード

• 内部 IP アドレスおよび ( オプションで ) 外部 IP アドレス

• 一方または両方のネットワークアダプタのインタフェース速度

• アプライアンスの名前 ( この名前はログファイルでのみ使用されるため、 DNS に追加する必要はない )

メモ

• クラスタをインストールするときは、他にも情報が必要になります。 261 ページの「クラスタのインス

トールと構成」および 307 ページの「マルチノード EX-2500 クラスタの構成」を参照してください。

証明書情報サーバー証明書および AMC 証明書を生成するときは、次の情報が使用されます。

• アプライアンスの完全修飾ドメイン名 (FQDN)。この名前をパブリック DNS に追加すると、ユーザーが Web ベースのリソースに接続するときに、この名前を参照できるようになります。

• ASAP Management Console (AMC) サーバーの FQDN。アプライアンスを管理するために AMC にア

クセスするときは、 AMC サーバー名を使用します。

ネームルックアップ情報• アプライアンスを接続するネットワークの内部 DNS ドメイン名

• プライマリ内部 DNS サーバーアドレス ( 追加 DNS サーバーはオプション )

• 内部 WINS サーバーの IP アドレスと Windows ドメインの名前 (Aventail ASAP WorkPlace を使用し

て Windows ネットワークのファイルをブラウズする場合は必要ですが、それ以外はオプション )

認証情報• 認証サーバー (LDAP、 Active Directory、 RADIUS など ) のサーバー名とログイン情報

ルーティング情報• デフォルトゲートウェイアドレス。 AMC にアクセスする際、アクセス元のコンピュータがアプライアン

スと異なるネットワーク上にある場合、 Setup Tool の実行時にゲートウェイを指定する必要があります。

AMC では、インターネットに接続する際のデフォルトゲートウェイを指定します。

• 内部リソースへのルーティング情報。これには、静的ルートや動的ルートを入れることができます。動的

ルーティングを使用する場合は、サイトがルーティング情報プロトコル (RIP) をサポートしていなければ

なりません。

仮想アドレスプール情報• ネットワークトンネルクライアント (Connect トンネルまたは OnDemand トンネルのいずれか ) をイ

ンストールする場合、 1 つまたは複数のアドレスプールに IP アドレスを割り当てる必要があります。

253 ページの「IP アドレスプールの構成」を参照してください。

オプションの構成情報• リモートマシンから SSH アクセスできるようにするときは、リモートホストの IP アドレスが必要にな

ります。

• NTP サーバーと同期させるときは、 1 つまたは複数の NTP サーバーの IP アドレスが必要になります。

• データを syslog サーバーに送信するときは、1 つまたは複数の syslog サーバーの IP アドレスとポート

番号が必要になります。


ファイアウォールポリシーの確認

アプライアンスが正しく機能するためには、外部 ( インターネット側 ) ファイアウォールおよび内部ファイア

ウォールのポートを開かなければなりません。

外部ファイアウォール

Web ブラウザ、 Aventail Connect、 Aventail OnDemand からアプライアンスへアクセスできるようにする

には、サイトのファイアウォールでポート 80 とポート 443 を開いておかなければなりません。 SSH アクセ

スを許可するためにファイアウォールを開いておくというのは必須条件ではありませんが、リモートシステム

から管理作業ができるようになるため便利です。

内部ファイアウォール

内部ネットワークにファイアウォールがある場合、ポリシーを調整して、アプライアンスが通信するバックエ

ンドアプリケーションのためにポートを開く必要があります。場合によっては、 DNS や電子メールなどの標

準ネットワークサービス用のポートを開く以外に、アプライアンスが次のサービスにアクセスできるようにす

るため、ファイアウォールポリシーを修正する必要があります。

トラフィックタイプポート / プロトコル用途必須 ?

HTTP 80/tcp 非暗号化ネットワークアクセス x

HTTPS 443/tcp 暗号化ネットワークアクセス x

SSH 22/tcp アプライアンスへの管理アクセス

トラフィックタイプポート / プロトコル用途

Microsoft ネットワーキング • 138/tcp および 138/udp

• 137/tcp および 137/udp

• 139/udp

• 162/snmp

• 445/smb

ASAP WorkPlace による WINS 名前解決、要求のブラウズ、ファイル共有へのアクセスの際に使用

LDAP ( 非暗号化 ) 389/tcp LDAP ディレクトリまたは Microsoft Active Directory との通信

LDAP over SSL ( 暗号化 ) 636/tcp SSL を介した LDAP ディレクトリまたは Microsoft Active Directory との通信

RADIUS 1645/udp または 1812/udp RADIUS 認証サーバーとの通信

NTP 123/udp アプライアンスのクロックと NTP サーバーとの同期

Syslog 514/tcp システムログ情報の syslog サーバーへの送信

SNMP 161/udp SNMP 管理ツールからのアプライアンスの監視


便利な管理ツール

Microsoft Windows が動作するリモートシステムからアプライアンスを管理するときは、次の管理ツールを

使用すると便利です。どちらのツールも、標準 FTP や Telnet ユーティリティと異なり、暗号を使用すること

で情報漏洩を防止しています。

• Secure Shell (SSH) クライアント。このツールを使用すると、アプライアンスに安全にログインして、

コマンドラインから構成を行うことができます。システムのバックアップ、ログファイルの表示、高度

なネットワーク設定の構成などを行う際に使用すると便利です。ポピュラーな Windows SSH クライア

ントに、 VanDyke Software の SecureCRT があります

http://www.vandyke.com/products/securecrt/ から評価版をダウンロードできるようになっていま

す。また他にも PuTTY が有名です。これは、 Telnet と SSH を Windows プラットフォームに実装する

フリーソフトです。

SSH を使用してアプライアンスに接続するときは、ユーザー名に「root」と入力し、 Setup Tool で作成

したパスワードをあわせて入力します。

• Secure Copy (scp) クライアント。このツールを使用すると、 Windows が動作する PC からファイル

を安全かつ容易に転送できるようになります。証明書などのデータをアプライアンスにコピーするときに

使用すると便利です。ポピュラーな Windows クライアントは WinSCP で、

http://winscp.sourceforge.net/eng/ で提供されています。

インストールおよび設定プロセス

この節では、アプライアンスのインストール、構成、テストの他、実稼働環境への設定について概説します。

メモ

• Aventail アプライアンスには、評価版として、 1,000 人のユーザーの同時使用を 3 日間サポートするデ

フォルトライセンスが付属しています。この 3 日間を過ぎてもアプライアンスを使い続ける場合は、有

効なライセンスファイルをアップロードしなければなりません。ライセンス手続きが完了していない場

合、 Aventail ASAP Management Console (AMC) のステータス領域に黄色の「ライセンス警告」メッ

セージが表示されます。このリンクをクリックすると、 [Licensing] ページに移ることができます。

• ライセンスファイルをインポートする前に、アプライアンスの日時が正しく構成されていることを確認

してください。詳細については、 143 ページの「時刻設定の構成」を参照してください。

• クラスタをインストールする場合は、 261 ページの「クラスタのインストールと構成」および 307 ペー

ジの「マルチノード EX-2500 クラスタの構成」を参照してください。

• FIPS アプライアンスのインストールと構成を行う場合は、アプライアンスで、異なるセットアップ手順

が必要になります。 295 ページの「FIPS アプライアンスを初めて起動する場合」を参照してください。

インストールと構成の概要

インストールプロセスは、いくつかの手順で構成されています。以下のチェックリストを参考にしてくださ

い。

1. アプライアンスをラックマウントし、ケーブルを接続します。

20 ページの「ラックのインストール」および 24 ページの「アプライアンスの接続」を参照してくださ

い。

2. Setup Wizard ( またはコマンドラインによる Setup Tool) を使用して基本的なネットワーク情報を

構成します。

Setup Wizard ( または Setup Tool) を使用するとき、次の情報を入力するよう求められます。

• 管理者パスワード

• 内部ネットワークインタフェースの IP アドレス

• ( オプション ) 内部インタフェースにアクセスするときに使用するゲートウェイ

27 ページの「Setup Wizard を使用した Web ベースの構成」または 29 ページの「Setup Tool を使用

したコマンドラインによる構成」を参照してください。

http://www.vandyke.com/products/securecrt/

http://www.vandyke.com/products/securecrt/

http://winscp.sourceforge.net/eng/

http://winscp.sourceforge.net/eng/


3. AMC にログインし、ネットワーク構成を行います。

アプライアンスの管理のための Web ベースのアプリケーション、 AMC にログインして、次の項目を構

成します (Setup Wizard ですでに設定している場合は不要 )。

• システム ID

• 外部ネットワークインタフェース ( オプション )

• ルーティング情報

• 名前解決の設定

45 ページの「基本ネットワーク設定の構成」を参照してください。

4. サーバー証明書を構成します。

アプライアンスは、 Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。 AMC を使用して自己署名サーバー証明書を作成できる他、オプションで商用認証局 (CA) から証明書を得ること

もできます。

53 ページの「SSL 証明書の構成」を参照してください。

5. 1 つまたは複数の認証サーバーを定義します。

認証は、ユーザーの身分を識別するために使用します。認証サーバーを構成するとき、ディレクトリタイプ (LDAP、 Microsoft Active Directory、 RADIUS、ローカルユーザーのいずれか ) とクレデンシャ

ルタイプ ( ユーザー名 / パスワード、トークン、デジタル証明書のいずれか ) を指定するよう求められ

ます。

66 ページの「ユーザー認証の管理」を参照してください。

6. アプリケーションリソースおよびグループを定義します。

アプリケーションリソースには、 TCP/IP ベースのリソース ( クライアント / サーバーアプリケーショ

ン、ファイルサーバー、データベースなど )、 HTTP を介して動作する Web ベースのリソース (Web アプリケーションや Web サイト )、 Windows ネットワーク共有リソース (ASAP WorkPlace からアクセ

スするもの ) があります。

89 ページの「リソースの作成と管理」を参照してください。

7. ユーザー、グループ、レルム、コミュニティを定義します。

ユーザーおよびグループの定義は、アプリケーションリソースへのアクセスを制御するために、アクセ

ス制御ルールで使用します。レルムを定義すると、アプライアンスが認証サーバーと直接統合できるよう

になるため、ネットワークにアクセスする必要があるそれぞれのユーザーごとに、アカウントを作成し管

理する必要がなくなります。また、コミュニティでは、同様のアクセス要件と End Point Control 要件

を持つユーザーを統合します。

115 ページの「概要 : ユーザー、グループ、レルム、コミュニティ」および 66 ページの「ユーザー認証

の管理」を参照してください。

8. アクセス制御ルールを作成します。

アクセス制御ルールは、ユーザーまたはグループがどのリソースを使用できるか定義するものです。

100 ページの「アクセス制御ルール」を参照してください。

9. ASAP WorkPlace で Web ショートカットおよびネットワークショートカットを構成します。

ユーザーが ASAP WorkPlace で Web リソースやファイルシステムリソースに簡単にアクセスできるよ

うにするため、これらのリソースに対するショートカットを作成することができます。

207 ページの「ショートカットの利用」を参照してください。

10. 必要に応じて、ネットワークトンネルサービスを構成します。

ネットワークトンネルサービスをインストールする場合、ネットワークトンネルサービスを構成して、

クライアントに IP アドレスプールを割り当てる必要があります。

252 ページの「ネットワークトンネルサービスの構成」を参照してください。

11. 必要に応じて、 End Point Control を有効にし構成します。

End Point Control は、重要なデータを保護し、信頼されていない環境の PC からアクセスされた場合に

ネットワークが危険にさらされることのないよう、オプションでデータ保護コンポーネントを設定しま

す。 End Point Control は、コミュニティを介して設定します。

179 ページの「End Point Control」および 127 ページの「コミュニティでの End Point Control の使

用」を参照してください。

12. 変更を適用します。

構成の変更を有効にするには、変更を適用する必要があります。

41 ページの「構成変更の適用」を参照してください。


13. システムのアクセス性能をテストします。

アプライアンスが外部ユーザーリポジトリにアクセスできるか確認します。また、ネットワーク上のリ

ソースにアクセスできるかについてもチェックします。

273 ページの「トラブルシューティング」を参照してください。

アプライアンスの実稼働環境への移行

アプライアンスについてネットワーク環境で十分テストし動作を確認したら、実稼働環境に移行させます。こ

の節では、アプライアンスを実稼働環境に移行するための手順について説明します。

• 新しいアドレス情報を使用して、アプライアンスを再構成します。

アプライアンスを実稼働環境に移行したときにネットワーク環境が変動する場合、基本ネットワーク設定

を再構成し、次の値が変動している場合はこれを調整する必要があります。

• 内部インタフェースおよび外部インタフェースの IP アドレス

• デフォルトゲートウェイ IP アドレス

• 静的ルート

• デフォルト DNS ドメインおよび DNS サーバーの IP アドレス

構成の変更が非常に多い場合は、アプライアンスをデフォルト設定に戻して、初からやり直す方が楽な

こともあります。その場合、 Config Reset Tool を使用します。詳細については、 169 ページの「工場出

荷時デフォルト構成への復帰」を参照してください。

• DNS にアプライアンスを登録します。

企業の DNS にアプライアンスをまだ登録していない場合、ここで登録します。こうすることにより、外

部ユーザーが、 IP アドレスの代わりに完全修飾ドメイン名を使用して、ネットワークリソースにアクセ

スできるようになります。 DNS サーバーのデータベースを編集して、アプライアンスの証明書および任

意の WorkPlace サイトに含まれる完全修飾ドメイン名を登録します。

• 商用 SSL 証明書を取得します。

ユーザーの身分を保証するため、アプライアンスの商用証明書を取得することができます (AMC の場合、

一般的に自己署名証明書が適している )。サーバー証明書の生成については、 53 ページの「SSL 証明書

の構成」を参照してください。

• ファイアウォールポリシーを調整します。

インターネット側にファイアウォールがある場合、場合によっては、ポリシーを調整して、アプライアン

スで必要なポートを開く必要があります。デフォルトの場合、 Web プロキシサービスとネットワークプロキシサービスの両方がポート 443/tcp を使用して通信します。 (Web プロキシサービスは HTTPS の場合ポート 443/tcp、 HTTP の場合ポート 80/tcp を使用 ) ネットワークの外部から SSH を使用してア

プライアンスに接続できるようにしたい場合、ポート 22/tcp を開いておきます。

内部ネットワーク側にファイアウォールがある場合、場合によっては、ポリシーを調整して、アプライア

ンスが通信するバックエンドアプリケーションのためにポートを開く必要があります ( 対応するポート

が開いていない場合 )。たとえば、認証のために LDAP サーバーまたは Microsoft Active Directory サーバーを使用している場合、内部ファイアウォールでポート 389/tcp を開いておく必要があります。

RADIUS サーバーの場合は、 1645/ucp もしくは 1812/udp のどちらかのポートを開いておく必要があ

ります。

Aventail ASAP WorkPlace を使用して Windows ネットワーク共有リソースにアクセスする場合、

WorkPlace が名前解決、要求のブラウズ、ファイル共有へのアクセスを実行できるよう、内部ファイア

ウォールでも内部ポートを開いておく必要があります。詳細については、 15 ページの「インストール

チェックリスト」を参照してください。

• Aventail Connect クライアントを設定します。

ネットワークプロキシサービスを使用する場合、ユーザーには、ネットワークリソースにアクセスする

ためのソフトウェアコンポーネントが必要になります。

• Windows ベースの PC の場合、デスクトップに Aventail Connect トンネルまたはプロキシクラ

イアントをインストールすることができます。 246 ページの「Aventail Connect プロキシクライ

アント」、または『Aventail Connect Administrator's Guide』の第 3 章を参照してください。

• Web ショートカットおよびネットワークショートカットを作成し、 ASAP WorkPlace を設定します。

ASAP WorkPlace を、 Web ベースのリソースに対するインタフェースとして使用し、 Windows ネット

ワーク共有リソースに Web ベースでアクセスできるようにする場合、これらのリソースに対するショー

トカットを作成する必要があります (207 ページの「ショートカットの利用」を参照 )。また、 VPN を介

してリソースにアクセスする方法をユーザーが理解できるように、 ASAP WorkPlace の URL をパブリッ

シュすることもできます。

現在の環境に合わせて ASAP WorkPlace の外観をカスタマイズすることもできます。詳細については、

206 ページの「ASAP WorkPlace のカスタマイズ」を参照してください。


アプライアンスのインストール

製品パッケージを開いたら、ネットワークへのアプライアンスのインストールを開始し、構成プロセスの準備

に取りかかります。

ラックのインストール

アプライアンスを接続する前に、十分なスペースと適切な電力があることを確認します。それぞれのアプライ

アンスモデルの仕様は次のようになっています。

EX-2500 アプライアンス

• 1U ラックマウントコンポーネント、幅 17.0" ×奥行 19.6"

• AC 電源 : 300W PFC

• AC 電圧 : 120V 時 6.0A、 220V 時 3.0A


• 1U ラックマウントコンポーネント、幅 16.9" ×奥行 23.9"


• AC 電圧 : 115V 時 4.96A、 220V 時 2.48A


• 1U ラックマウントコンポーネント、幅 16.9" ×奥行 15"


• AC 電圧 : 100V 時 5A、 240V 時 3A

アプライアンスを機器ラックにマウントする場合、ラックハードウェアをインストールする必要があります。

EX-1500 および EX-2500 アプライアンスの製品パッケージには、アプライアンスを 4 ポストキャビネット

に取り付けるためのスライドレールキットが付属しています。詳細な取り付け方法については、レールキッ

トに付属する説明書を参照してください。また、 2 ポストラックにミッドマウント取り付けするためのブラ

ケットも付属しています。

EX-750 アプライアンスのラックインストールのベストプラクティス

• 周辺動作温度が上昇する場所は避ける : 閉じた環境またはマルチユニットラックアセンブリにインス

トールする場合、ラック付近の周辺温度は室温よりも高くなります。そのため、メーカーが指定している

大周辺温度 (Tma) に適合した環境に機器をインストールするよう配慮しなければなりません。

• 空気の流れがない場所は避ける : 機器をラックにインストールする場合、機器を安全に運転する上で必要

な空気流を確保できる場所を選びます。

• 均等な機械的荷重 : 機器をラックに取り付けるとき、機械的荷重が不均等になることで危険な条件が発生

しないよう注意します。

• 回路の過負荷を避ける : 機器の電源回路への接続や、回路の過負荷が過電流保護や電源配線に与える影響

についても配慮が必要です。このような問題に対応する場合、機器のネームプレートの定格にも配慮する

必要があります。

• 信頼性の高いアースを維持する : ラックマウントの機器については信頼性の高いアースを維持する必要が

あります。電源を分岐回路に直接接続しない場合 ( たとえばテーブルタップを使用する場合など ) は、特

に注意が必要です。


フロントパネルの操作ボタンとインジケータ

アプライアンスの電源を投入する前に、フロントパネルの操作ボタンを確認しておきます。

EX-2500 アプライアンスのフロントパネルの操作ボタン

次に、 EX-2500 アプライアンスのフロントパネルの操作ボタンを示します。このアプライアンスの電源ス

イッチは、背面パネル上にあります。

次の表は、フロントパネルの操作ボタンとインジケータを示しています。

文字名前説明

A LCD ディスプレイ画面アプライアンスのステータスおよび構成を示します。 22 ページの「EX-2500 LCD ディスプレイおよびキーパッド」を参照してください。

B コンソールシリアルポート DB-9 シリアルケーブルを介してアプライアンスを PC に接続します。

C USB ポートこの USB ポートは、お客さまが使用するためのものではありません。

D LED インジケータ LED インジケータは、左から右へ次の順に配置されています。

• ステータス ( このアプライアンスでは不使用 )• 固定ディスクドライブ ( 赤のライトがディスクの動作に対応 )• 電源 LED ( 電源投入時に緑のライトが点灯 )

E LCD キーパッド LCD ディスプレイ画面のオプションを操作し選択するとき、キーパッドボタンを使用します。 22 ページの「EX-2500 LCD ディスプレイおよびキーパッド」を参照してください。

F 内部ネットワークアプライアンスを内部ネットワークに接続します。

G 外部ネットワークアプライアンスを外部ネットワークに接続します。

H 予約済みのコネクタ初の 3 つのイーサネットコネクタは、このアプライアンスでは使用しません。

I クラスタインタフェースハイアベイラビリティクラスタで、このアプライアンスを他のアプライアンスに接続します。


EX-2500 LCD ディスプレイおよびキーパッド

EX-2500 の LCD ディスプレイの右に 4 ボタンのキーパッドがあり、アプライアンスのステータスや構成情報

を表示する場合や、アプライアンスを終了したり再起動したりする場合に使用できるようになっています。

次の表は、キーパッドの機能を示しています。

文字キーパッドの機能説明

A 左ボタンアプライアンスを再起動したいときは、左ボタンを 1 回押します。その際、次のメッセージが表示されます。

Restart appliance?<Yes No>

そのままアプライアンスを再起動する場合は、左ボタンをもう一度押します。再起動を中止する場合は、右ボタンを押します。

B 上ボタンアプライアンスのネットワーク設定の構成を表示するときは、上ボタンを 1 回押します。そのまま続けて上ボタンを押すと、次のネットワーク設定へスクロールします。

• 内部アドレス

• 外部アドレス

• クラスタアドレス

• デフォルトゲートウェイ

• ホスト名

• ドメイン名

• IP アドレス

• ネットマスク

C 右ボタンアプライアンスを終了したいときは、右ボタンを 1 回押します。その際、次のメッセージが表示されます。

Shut down now?<Yes No>

そのままアプライアンスを終了する場合は、左ボタンをもう一度押します。終了を中止する場合は、右ボタンを押します。

D 下ボタンネットワーク設定の表示を終了するときは、下ボタンを押します。



EX-1500 アプライアンスのフロントパネルの操作ボタンは次のようになっています。

次の表は、フロントパネルの操作ボタンとインジケータを示しています。

文字名前説明

A 外部ネットワークインタフェース ( アダプタ 1) 動作 LED

ネットワークが動作しているとき、緑色のライトが点灯または点滅します。

B 内部ネットワークインタフェース ( アダプタ 2) 動作 LED

ネットワークが動作しているとき、緑色のライトが点灯または点滅します。

C 電源 LED • システムがオンのときは緑色のライトが点灯します。

• システムがオフのときはライトが消えています。

D 電源ボタンシステム電源のオン / オフを切り替えます。

E システムステータス LED • システムが正常に動作しているとき、緑色のライトが点灯します。

• システムが重大な状況または回復不能な状況になっているとき、オレンジのライトが点灯します。

• システムが停止しているとき、ライトが消えています。

F 固定ディスクドライブステータス LED

• ディスクが動作しているとき、緑色のライトがランダムに点滅します。

• ディスクドライブに障害が発生したとき、オレンジのライトが点灯します。

G ID LED ID ボタンを押しているとき、青のライトが点灯します。 ID LED はシャーシの背面から確認できるため、サーバーをラックに差し込むときに、アプライアンスを簡単に識別できるようになっています。

H ID ボタン ID LED のオン / オフを切り替えます。

I リセットボタンシステムを再起動します。



EX-750 アプライアンスのフロントパネルの操作ボタンは次のようになっています。

次の表は、 EX-750 アプライアンスのフロントパネルの操作ボタンとインジケータを示しています。

アプライアンスの接続

アプライアンスをネットワークに接続する場合、それぞれのアプライアンスモデルに対応する手順に従いま

す。

EX-2500 アプライアンスの接続

図のように、 EX-2500 アプライアンスには大 5 箇所の接続端子があります。

EX-2500 アプライアンスを接続するには

1. 内部のネットワークと左の Ethernet アダプタをネットワークケーブルで接続します。

2. 必要に応じて、外部のネットワークと右の Ethernet アダプタをケーブルで接続します。

3. クラスタをセットアップするときは、付属のネットワーククロスケーブルの一方をクラスタインタ

フェースアダプタに接続します。もう一方を、クラスタ内の別のアプライアンスのクラスタインタ

フェースアダプタに接続します。

4. ノート型 PC または端末とシリアルポートを、付属の DB9 ケーブルで接続します。これにより、アプラ

イアンスに対してフルコンソールアクセスできるようになります。詳細については、 26 ページの「電源

投入」を参照してください。

文字名前説明

A 電源 LED • システムがオンのときは緑色のライトが点灯します。

• システムがオフのときはライトが消えています。

B 電源ボタンシステム電源のオン / オフを切り替えます。

C 固定ディスクドライブステータス LED

• ディスクが動作しているとき、緑色のライトがランダムに点滅します。

• ディスクドライブに障害が発生したとき、アンバー色 ( 琥珀色 ) のライトが点灯します。

D リセットボタンシステムを再起動します。


5. 標準 AC 電源コードを電源端子に接続します。


図のように、 EX-1500 アプライアンスには大 5 箇所の接続端子があります。


1. 上の Ethernet アダプタ (INT 2 のマークが付いたもの ) をネットワークケーブルで接続します。

2. 必要に応じて、外部のネットワークと下の Ethernet アダプタ (EXT 1 のマークが付いたもの ) をケーブ

ルで接続します。

3. クラスタをセットアップするときは、付属のネットワーククロスケーブルの一方をクラスタインタ

フェースアダプタ (HA 3 のマークが付いたもの ) に接続します。もう一方を、クラスタ内の別のアプラ

イアンスのクラスタインタフェースアダプタに接続します。

4. ノート型 PC または端末と背面のシリアルポートを、付属の RJ45 ケーブルと DB9-RJ45 変換アダプタ

で接続します。これにより、アプライアンスに対してフルコンソールアクセスできるようになります。

詳細については、 26 ページの「電源投入」を参照してください。



図のように、アプライアンスには大 3 箇所の接続端子があります。

1 2

4 5

外部ネットワーク (EXT 1)

内部ネットワーク (INT 2)

コンソール電源

クラスタインタフェース (HA 3)

内部ネットワーク (INT 2)外部ネットワーク (EXT 1)

コンソール



1. 内部のネットワークと Ethernet アダプタ (INT 2 のマークが付いたもの ) をネットワークケーブルで

接続します。

2. 必要に応じて、外部のネットワークと Ethernet アダプタ (EXT 1 のマークが付いたもの ) をケーブルで

接続します。

3. ノート型 PC または端末と背面のシリアルポートを、付属の DB9 ケーブルで接続します。これにより、

アプライアンスに対してフルコンソールアクセスできるようになります。詳細については、 26 ページの

「電源投入」を参照してください。


電源投入

アプライアンスの接続が終わったら、電源を投入し、構成プロセスに移ります。背面パネルにあるシリアルコネクタには、ノート型 PC または端末からアプライアンスを構成するためのインタフェースが用意されていま

す。

アプライアンスの電源を投入するには

1. ノート型 PC または端末 l の電源をオンにします。

2. 端末エミュレーションプログラムを使用して、アプライアンスとの間でシリアル接続を確立します。端

末の設定は次のようになります。

• モード : VT100

• 接続速度 : 9600 ボー

• ハンドシェーク CTS/RTS

• データビット : 8

• パリティ : なし

• ストップビット : 1

3. フロントパネルの電源ボタンを押して、アプライアンスの電源をオンにします。

アプライアンスの電源停止と再起動

アプライアンスの電源を停止する場合または再起動する場合は、正しい手順で行います。アプライアンスが動

作しているとき、メモリ内に重要なデータが保管されています。そのため、電源を停止する前にデータをハー

ドディスクに書き込む必要があります。

! 注意アプライアンスの電源を不適切な方法で停止すると、データが失われ、システムのファイルに不整

合が生じる可能性があります。

アプライアンスを電源停止または再起動するには

1. メインナビゲーションメニューから [Maintenance] をクリックします。

2. [Maintenance] ページで、適切なボタンをクリックします。

• アプライアンスを再起動するときは、 [Restart] をクリックします。これに伴い AMC が応答しな

くなります。アプライアンスが再起動すると、 AMC に再びログインすることができます。

• アプライアンスを停止するときは、 [Shutdown] をクリックします。これに伴い AMC が応答しな

くなり、アプライアンスが自動的に停止します。フロントパネルの電源ボタンを押す必要はありま

せん。


初期ネットワークセットアップの実行

次のいずれかの方法でアプライアンスをセットアップすることができます。

• Web ベースの Setup Wizard を使用すると、アプライアンスをすぐに動作させる上で必要な基本設定を

簡単に構成することができます。 Setup Wizard については、アプライアンスの既定の IP アドレス (192.168.0.10) を使用して、 Web ブラウザからアクセスすることができます。この IP アドレスが、

ネットワーク上の他のデバイスによって使用されている場合は、プライベートネットワークから Setup Wizard にアクセスしなければなりません ( たとえばローカルハブを使用してアプライアンスに接続する

など )。 27 ページの「Setup Wizard を使用した Web ベースの構成」を参照してください。

• コマンドラインユーティリティを使用したい場合は、シリアル接続を介して Setup Tool にアクセスする

ことができます。また、アプライアンスのデフォルト IP アドレスがネットワークですでに使用されてい

る場合も、この方法を選択することができます。 Setup Tool を使用する場合、ノート型 PC または端末

を使用して、アプライアンスとの間でシリアル接続を確立しなければなりません。 29 ページの「Setup Tool を使用したコマンドラインによる構成」を参照してください。

Setup Wizard を使用した Web ベースの構成

Setup Wizard では、リンクされている Web ページで一連の必須手順やオプション手順をガイドに従って実

行することで、アプライアンスを簡単に構成することができます。 Setup Wizard を開始したら、まず初に、

必要な構成手順のみを実行するか、オプション設定も構成するか選択します。

Setup Wizard の初のフェーズは [Network Settings] です。これは必須の作業で、次の手順で構成され

ます。

• アプライアンスの管理者パスワードの設定

• ネットワークインタフェースの構成

• ルーティングの構成

• ハイアベイラビリティクラスタでのノードの構成 ( オプション )

2 番目のフェーズは [System Configuration] です。これはオプションの作業で、次の手順で構成されま

す。

• 名前解決の設定

• 日付と時刻の設定

• アプライアンスライセンスファイルのインポート

• SSL 証明書の構成またはインポート

• ICMP ping と Secure Shell (SSH) アクセスの有効化

Setup Wizard の 3 番目のフェーズは [Basic Security Policy] です。これはオプションの作業で、次の手

順で構成されます。アプライアンスの構成をテストする上で役に立ちます。

• ローカルテストユーザーの作成

• リソースの定義。 ( ただし AMC で Web アプリケーションプロファイルを作成しなければならない )

• 基本セキュリティポリシーの作成。 (Setup Wizard が基本的な許可 / 拒否アクセスルールを作成する

が、高度なポリシー設定については、 End Point Control とあわせて AMC で構成しなければならない )

Setup Wizard は、初から後まですべてのフェーズを完了するために実行できますが、 3 つのいずれかの

フェーズが終わった後、つまり [Finish] ボタンを選択できる状態であれば終了することができます。

Setup Wizard の実行

Setup Wizard を実行する場合、 AMC と同じシステム構成が必要になります。 7 ページの「システム要件」を

参照してください。

! 注意このアプライアンスは、内部インタフェースについては、ルータブルでない静的 IP アドレスであ

らかじめ構成されています。この IP アドレス (192.168.0.10) が、ネットワーク上の既存のリソース

と衝突する場合、ネットワークハブを使用してこのアプライアンスに接続し、アプライアンスをネット

ワーク上に設定する前に Setup Wizard を実行するか、アプライアンスとシリアル接続して、コマンドラインから Setup Tool を実行します。


Setup Wizard を起動するには

1. アプライアンスで予約されている静的 IP アドレスが、ネットワーク上の既存のリソースと衝突しないこ

とを確認します。

2. ネットワーク上のリソースに接続できる場所にアプライアンスをインストールします。

3. アプライアンスの電源をオンにします。

4. ブラウザで次の静的 IP アドレスを指定し、 Setup Wizard を呼び出します。

https://192.168.0.10:8443/websetup

Setup Wizard のインタフェースは、ASAP Management Console (AMC) と似ています。ただし AMC では、ページの左側にメインナビゲーションバーがありますが、 Setup Wizard では、この部分が構成

セットアップのリストになっており、クリックできなくなっています。

5. Setup Wizard の各ページの指示に従い、それぞれのページで設定が終わったら [Next] をクリックしま

す。

6. Setup Wizard の後のページで、これまで行ったネットワーク設定を確認してから、 [Finish] をク

リックし変更を適用します。変更をアプライアンスに適用すると、アプライアンスが自動的に再起動し、

AMC との接続が切断されます。

7. 数分間待ってから、次のいずれかの作業を行います。

• 「https://<ipaddress>:8443/console」と入力して AMC にログインします。ただし

「<ipaddress>」は、 Setup Wizard を実行したときに指定した内部インタフェースのアドレスにな

ります。

• 「http://<fqdn>」と入力して ASAP WorkPlace にログインします。ただし「FQDN」は、アプラ

イアンスの SSL 証明書の完全修飾ドメイン名または IP アドレスになります。この状態で、基本テ

ストを実行します。

メモ

• すでにアプライアンスの構成が終わっている場合は、アプライアンスを工場出荷時デフォルト構成に戻し

た場合を除き、 Setup Wizard を実行することはできません。これは、初に Setup Wizard を使用して

アプライアンスを構成した場合だけでなく、コマンドラインから setup_tool を実行した場合にも当て

はまります。 29 ページの「Setup Wizard の再実行」を参照してください。


Setup Wizard の再実行

初に Setup Wizard を実行してアプライアンスの構成を完了したら、アプライアンスを工場出荷時デフォル

ト構成に戻していない限り、 Setup Wizard を再実行することはできません。 Setup Wizard を再実行するに

は、コマンドラインから Config Reset Tool を実行しなければなりません。この操作を行うと、既存のシステ

ム構成データがすべて削除され、アプライアンスのデフォルト静的 IP アドレスに戻されます。 169 ページの

「工場出荷時デフォルト構成への復帰」を参照してください。

Setup Tool を使用したコマンドラインによる構成

コマンドラインユーティリティを使用したい場合や、アプライアンスのデフォルト IP アドレスがすでにネッ

トワークで使用されている場合は、ノート型 PC または端末を使用し、シリアル接続を介して Setup Tool を実行し、アプライアンスを構成することができます。

Setup Tool の使用についてのヒント

Setup Tool で作業する際のヒントをいくつか紹介します。

• イエスかノーで答える設問の場合、プロンプトの後に [y] または [n] が付いています。対応する文字

を入力して ENTER を押すと、その次の設問が表示されます。

• 文字を消すときは、 BACKSPACE を押します。 (Windows ベースの PC の場合、 DELETE キーで文字を

削除することもできる )

• IP アドレスまたはネットマスクを入力するとき、 4 桁のオクテット (w.x.y.z) による標準 IP アドレス形

式を使用します。 Setup Tool では、基本エラーチェックが行われます ( たとえば、指定したゲートウェ

イがアプライアンスと同じサブネットにあるかどうかの確認など )。

• Setup Tool を終了して変更事項を破棄するときは「q」を押します。

Setup Tool の実行

コマンドラインから Setup Tool を実行するとき、 Aventail End User License Agreement (EULA) を承認

するよう求められます。またその他に、 root パスワードを作成し、 IP アドレス、サブネットマスク、デフォ

ルトゲートウェイを指定するよう求められます。

クラスタをインストールするときは、この手順で行うことはできません。その場合のインストール手順につい

ては、 261 ページの「クラスタのインストールと構成」または 307 ページの「マルチノード EX-2500 クラス

タの構成」を参照してください。

Setup Tool を実行するには

1. アプライアンスとの間でシリアル接続を確立し (26 ページの「電源投入」を参照 )、フロントパネルの

電源ボタンを押してアプライアンスをオンにします。

2. Setup Tool が自動的に動作を始めます ( 「setup_tool」と入力して ENTER を押しても実行可能 )。

3. ログインするよう求められたら、ユーザー名に「root」と入力します。 ENTER を押して次の画面に移り

ます。

4. Aventail EULA が表示されます。画面をスクロールして内容を確認し、 ENTER を押して次の画面に移り

ます。

Do you accept the terms of the license agreement? [n]:

• ライセンス契約を承認するのであれば、「y」と入力して ENTER を押します。

5. システムの新しい root パスワードを作成するよう求められます。このパスワードは、 AMC にアクセスす

るときも必要になります。

Password:

• パスワードは、 8 文字から 20 文字で指定し、大文字と小文字を区別します大文字と小文字、数字な

どを組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載っている

ような単語は避けるようにします。パスワードはなんらかの形で記録し、安全な場所に保管しておき

ます。 ENTER を押して次に進みます。

Confirm password:

• 前に入力したのとまったく同じ ( 大文字小文字を区別した ) root パスワードを再入力し、 ENTER を押して次に進みます。


6. 次に、内部インタフェースの IP アドレス、サブネットマスク、 ( オプションで ) ゲートウェイを入力す

るよう求められます。このインタフェースは、 Web ブラウザからアプライアンスに接続し、 AMC を使用

してセットアップを継続するときに使用します。

IP address:

• 内部 ( プライベート ) ネットワークに接続する内部インタフェースの IP アドレスを入力して、

ENTER を押します。

Subnet mask:

• 内部ネットワークインタフェースのネットマスクを入力して、 ENTER を押します。

Gateway:

• AMC にアクセスする際、アクセス元のコンピュータがアプライアンスと異なるネットワーク上にあ

る場合、ゲートウェイを指定する必要があります。トラフィックをアプライアンスにルーティングす

るゲートウェイの IP アドレスを入力して、 ENTER を押します。

アプライアンスと同じネットワークから AMC にアクセスしている場合は、そのまま ENTER を押し

ます。

7. 次に、ここまで入力した情報を確認するよう求められます。現在の値で良ければそのまま ENTER を押

し、値を変更したい場合は新しい値を入力してから ENTER を押します。

8. 次に、このノードをクラスタの一部にするかどうか尋ねられます ( ただしこの手順は、 EX-750 には適用

されません )。

Install node in a cluster? [n]:

• この場合、単一ノードインストールであるため、 ENTER を押してデフォルトをそのまま使用しま

す。クラスタのインストールの詳細については、 261 ページの「クラスタのインストールと構成」

および 307 ページの「マルチノード EX-2500 クラスタの構成」を参照してください。

9. 後に、変更を保存して適用するよう求められます。

Do you want to save and apply configuration changes [y]:

• ENTER を押して、変更を保存します。

この時点で、 Setup Tool が変更を保存し、必要なサービスを再起動します。また、これまで指定した情報を基

に (SSH アクセスに対する ) SSL 鍵を生成します。

この間、フィードバックはほとんどありません。 Setup Tool が反応しなくなったなどと早合点せずに、そのま

ましばらくお待ちください。

Setup Tool が終了したら、初期セットアップが完了したことを示すメッセージが表示されます。このメッセー

ジには、 AMC にアクセスするための URL も示されます。

次のステップ

ネットワークの初期セットアップが完了したら、次に AMC を使用してアプライアンスの構成を行います。

AMC は、 Web ブラウザを使用してアクセスすることができます。

AMC についてあまり詳しくない場合は、 31 ページの「AMC の操作」に進んでください。アプライアンスの構

成をすぐに始められる場合は、 45 ページの「ネットワークと認証の構成」を参照してください。


第 3 章AMC の操作

この節では、アプライアンスを管理するための Web ベースのインタフェース、ASAP Management Console (AMC) について説明します。 AMC では、 Microsoft Internet Explorer バージョン 6.0 以降および Mozilla Firefox 1.0 以降をサポートしています。

AMC へのアクセス

この節では、 Web ブラウザを使用して AMC にアクセスする方法とログアウトする方法について説明します。

AMC へのログイン

AMC にログインする前に、 Setup Tool を使用して初期セットアップを行ったときに内部インタフェースで入

力したホスト名や IP アドレスを用意しておく必要があります。

AMC にログインするには

1. Web ブラウザを起動し、アドレスボックスに「https://<ipaddress>:8443/console」と入力しま

す。ただし「<ipaddress>」は、 Setup Tool を実行したときに指定した内部インタフェースのアドレス

になります。この状態で ENTER を押すと、ログイン画面が表示されます。

2. [Username] ボックスに「admin」と入力します。

3. [Password] ボックスに、 Setup Tool を使用して作成した root パスワードを入力します。

4. [Login] をクリックします。 AMC のホームページが表示されます。

AMC パスワードの変更方法については、 38 ページの「管理者アカウントの編集」を参照してください。

メモ

• AMC セッションは、使用しない状態で 15 分経過すると自動的にタイムアウトします。セッションがタ

イムアウトしたら、再びログインするよう求められます。

32 | 第 3 章 - AMC の操作

ログアウト

AMC 管理者アカウントは、セキュリティを保つことが重要になります。 AMC での作業が終わったら、画面上

部にある [Log out] ボタンをクリックしてログアウトする必要があります。

Web ブラウザを閉じてセッションを終了した場合、そのセッションは、タイムアウトする ( 使用しない状態で 15 分経過する ) までの間アクティブな状態になっています。それまでの間、 [Administrator Sessions] ページが表示されます。詳細については、 40 ページの「複数管理者の構成ファイルの衝突回避」を参照して

ください。

AMC の基礎

この節では、 AMC の操作法の基本について説明します。 AMC とブラウザの間を行き来するすべての構成デー

タは SSL で暗号化されるため、データは安全な状態に保たれます。セキュリティをさらに向上させたい場合、

信頼できるネットワーク内 ( ファイアウォールの内側の内部ネットワーク ) で AMC を使用すると良いでしょ

う。詳細については、 65 ページの「証明書の FAQ」を参照してください。

AMC インタフェースクイックツアー

AMC インタフェースは、同様の Web ベースセキュリティ管理アプリケーションを使用したことがあれば、容

易に使いこなすことができます。この節では、 AMC の操作に関する基本事項について説明します。

• サマリーページ

AMC の上位ページはサマリーページで、ここから下位の構成ページに速やかにアクセスし、主要な構

成設定やステータス情報を表示できるようになっています。このサマリーページには、 [General Settings] ページ、 [Network Settings] ページ、 [SSL Settings] ページ、 [Services] ページ、 [Agent Configuration] ページ、 [Servers page] ページがあります。

次に示しているのは [Agent Configuration] ページで、このページには、 End Point Control エージェ

ント、 Aventail エージェント、その他のエージェントを構成するためのページに対するリンクがあり、

それぞれのエージェントが有効になっているか無効になっているかがあわせて示されます。


• 表とタブ

多くの AMC ページでは、表形式レイアウトを使用して、管理対象のオブジェクトを提示します。表には

スクロールバーが付いており、長いリストの場合も、ページの主要な要素 ( ナビゲーションバー、ヘッ

ダ、フッタなども含む ) を容易に表示し続けることができます。また、アンダーラインが付いた列見出し

をクリックすれば、表のデータをソートすることができます。

状況によっては、タブを使用してモードを切り替えることができます。たとえば、管理リソースとそのリ

ソースが含まれる管理グループとを切り替えるときに、タブを使用します。

• ページリンク

一部の AMC ページでは、スペースを節約するため、マルチページフォーマットを使用して、関連する構

成設定にアクセスするためのリンクをページ上部に設けています。ページリンクの一例として、

[Configure Communities] ページを次に示しています。

• オブジェクトの編集

オブジェクトのリストを表示するほとんどの表では、名前フィールド ([Access Control] ページの場合

はルール番号 ) にハイパーリンクが付いています。オブジェクトを編集するときは、対応するハイパーリ

ンクをクリックします。

• ページビューの変更

AMC の、比較的長く複雑なページでは、高度な機能を構成するための編集コントロールが表示されない

ものもあります。こうすることで、も重要な構成オプションに集中できるようになっています。非表示

のオプションを表示するときは下矢印ボタンをクリックし、オプションのセットを非表示にするときは上

矢印ボタンをクリックします。


• リスト詳細の拡張ビュー

次の図の [Access Control] ページのように、オブジェクトのリストを表示する AMC ページでは、左

側のプラス ( 「+」 ) 記号をクリックすることで、そのオブジェクトに関する詳細事項を表示することが

できます。 1 行表示に戻したいときは、マイナス ( 「-」 ) 記号をクリックします。

• 必須フィールドとエラー

AMC では、必須フィールドは、アスタリスクで示されます。必須フィールドに値を入力しないで [Save] をクリックすると、そのフィールドの下に、必須であることを示す赤いメッセージが表示されま

す。赤いメッセージは、エラー ( たとえば不正な値を入力した場合など ) を示す場合にも使用されます。

• 名前と説明の割り当て

AMC では、そのほとんどを通して、アクセス制御ルール、リソース、ユーザーとグループの 3 種類のオ

ブジェクトを管理することになります。 AMC でこれらのオブジェクトを作成すると、その名前を入力す

るよう求められます。また AMC では、オプションで説明を追加することもできます。

必須ではありませんが、わかりやすい説明を付けると、管理対象のオブジェクトを参照したときに、アク

セスルールの目的やサブネット範囲にどのリソースがあるかなど、重要な詳細データを思い起こすこと

ができます。特にオブジェクトのグループを管理するときなど、わかりやすい説明があると非常に便利で

す。今から何カ月も経ってから、 AMC でネットワークリソースの大規模なグループを管理するようなこ

とになった場合、そのグループに何があるか想起させるような説明があれば非常に役に立ちます。

• ページの変更の保存

データの入力や修正を行う AMC ページには、変更を保存するための 2 つのボタン ([Save] と [Cancel]) があります。変更を行った後 [Save] をクリックすると、その変更がディスクに保存されま

す。 [Cancel] をクリックするか、ブラウザの [Back] ボタンを押した場合は、変更が保存されません。

• AMC ステータスエリア

ステータスエリアは、 AMC ヘッダのすぐ下にあり、重要な情報を表示します。

• 構成を変更しているにもかかわらずまだ適用していない場合、ステータスエリアに「Pending changes」と表示されます。このメッセージテキストをクリックすると、 [Apply Changes] ペー

ジが表示され、このページから構成を変更することができます。

• 複数の管理者が AMC にログインしている場合、ステータスエリアに「Multiple administrator」と表示されます。このメッセージテキストをクリックすると、 [Administrator Sessions] ペー

ジが表示されます。

• ベースアプライアンスライセンスまたはコンポーネントライセンスの有効期限が切れている場合、

ステータスエリアに「License expired」と表示されます。このメッセージテキストをクリックす

ると、 [Licensing] ページが表示され、このページからソフトウェアライセンスを参照および管理

することができます。ソフトウェアライセンスの有効期限が近づいている場合は、ステータスエリ

アに「License warning」と表示されます。


• 現在の ASAP バージョン番号と製品シリアル番号

現在のシステムソフトウェアのバージョンと製品シリアル番号は、 AMC の各ページの左側のナビゲー

ションバーと [System Status] ページに表示されます。バージョン番号は、システムアップデートの

計画を行う上で有用です。また、技術サポートに連絡する際も、バージョン番号をお手元に用意しておく

必要があります。

AMC でのオブジェクトの追加、編集、コピー、削除

AMC には、標準化されたインタフェースが搭載されており、リソース、アクセス制御ルール、ユーザー、コ

ミュニティ、 End Point Control ゾーン、デバイスプロファイル、 VPN を編成し動作させるためのその他のア

イテムなど、ほとんどのオブジェクトを管理できるようになっています。

次に、 AMC でオブジェクトを追加、編集、コピー、削除する際の基本手順を示します。ただし、対象となるオ

ブジェクトや使用する AMC ページによって多少手順が異なることもあります。この例では、 [Realms] ペー

ジを使用しています。


AMC で新しいオブジェクトを追加するには

1. 作成したいオブジェクトタイプがリストされているページで、 [New] ボタンをクリックします。

2. AMC で、 [Add/Edit...] で始まるタイトルのページが表示されます。そのオブジェクトに対応する情報を

入力して、 [Save] ボタンをクリックします。

AMC でオブジェクトを編集するには

1. 編集したいオブジェクトがリストされているページで、修正するオブジェクトの名前 ( 場合によっては数

値 ) のリンクをクリックします。

2. AMC で、 [Add/Edit...] で始まるタイトルのページが表示されます。そのオブジェクトに対応する情報を

変更して、 [Save] ボタンをクリックします。

AMC でオブジェクトをコピーするには

1. コピーしたいオブジェクトがリストされているページで、オブジェクトの左にあるチェックボックスをク

リックして、 [Copy] ボタンをクリックします。

2. AMC で、 [Add/Edit...] で始まるタイトルのページが表示されます。コピー元のオブジェクトに対応する

情報を変更し、必ず新しい名前を指定してから、 [Save] ボタンをクリックします。

AMC でオブジェクトを削除するには

1. 削除したいオブジェクトがリストされているページで、オブジェクトの左にあるチェックボックスをク

リックして、 [Delete] ボタンをクリックします。

メモ

• あるオブジェクトが他のオブジェクトに関連付けられている場合、そのオブジェクトは削除することがで

きません。詳細については、 43 ページの「参照されているオブジェクトの削除」を参照してください。

ヘルプの利用

それぞれの AMC ページには [Help] ボタンがあり、このボタンをクリックすると、コンテキストに応じたオ

ンラインヘルプが表示されます。ヘルプを開くときは、画面の右上にある [Help] ボタンをクリックします。

これをクリックすると、ヘルプが新しいブラウザウィンドウに表示されます。


ヘルプナビゲーションバーには、次のボタンが付いています。

ヘルプナビゲーションには、左側のフレームの内容を変更する 3 つのボタンがあります。

• [Contents]。ヘルプトピックの階層リストを表示します。

• [Index]。ヘルプのキーワードをアルファベット順で表示します。

• [Search]。ヘルプの全テキスト検索エンジンを表示します。ボックスに単語または短いフレーズを入力

して [Go!] をクリックし、表示されるリストからトピックを選択します。

管理者アカウント

この節では、 AMC 管理者アカウントを管理する方法の他、複数の管理者がアプライアンスを管理している場合

の問題回避の方法についても説明します。

管理者アカウントと役割の管理

AMC では、異なるユーザー名とパスワードを持つ複数の管理者アカウントを作成することができます。その上

で、 AMC でアクセスできる機能やアクセスのレベルを指定した役割を、管理者に割り当てることができます。

AMC では、デフォルトで、 AMC のすべての領域にフルアクセスできるプライマリ管理者の役割が構成されて

います。ただし、他の管理者を追加、編集、削除できるのは「プライマリ」管理者のみです。

管理者アカウントの追加

ポリシー管理の担当者が複数いて、それぞれの管理者に独自のログインクレデンシャルを与えたい場合、他の

管理者アカウントを追加することができます。ただし、セカンダリ管理者を追加、編集、削除できるのは「プ

ライマリ」管理者のみです。また「プライマリ」管理者のデフォルト名「admin」は変更することができませ

ん。

管理者アカウントを追加するには

1. メインナビゲーションメニューから [General Settings] をクリックします。

2. [General Settings] ページで、 [Administrator Accounts] セクションの [Edit] リンクをクリッ

クします。

3. [Manage Administrator Accounts] ページで [New] ボタンをクリックします。

4. [Add/Edit Administrator] ページの [Username] ボックスに、セカンダリ管理者のユーザー名を

入力します。

5. [Description] ボックスに、その管理者に関するわかりやすいコメントを入力します。 This might be the administrator’s full name or title. このフィールドはオプションですが、説明を入れておくと、後

で管理者のリストを参照するときにわかりやすくなるため便利です。

ボタン説明

[Contents]、 [Index]、 [Search] の各ボタンを持つヘルプナビゲーションペインを表示します。( このボタンはヘルプナビゲーションペインを閉じたときに現れます。 )

目次を同期し、新のトピックを表示します。 ( このボタンは、ヘルプナビゲーションペインが表示されているときに現れます。 )

次または前のヘルプトピックを表示します。

関連するヘルプトピックのリストを表示します。

現在のヘルプトピックをプリントします。


6. [Password] ボックスに、その管理者のパスワードを入力します。このパスワードは、必ず管理者に通

知するようにします。管理者は、いつでもこのパスワードを変更することができます。

パスワードは、 8 文字以上にしなければならず、大文字と小文字も区別します。大文字と小文字、数字な

どを組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載っているよう

な単語は避けるようにします。

7. 確認のため、 [Confirm Password] ボックスにパスワードを再入力します。

8. [Role] リストで、セカンダリ管理者の役割を選択します。 AMC では、あらかじめ次の役割が定義されて

います。

• 「Super Admin」。 AMC のすべてのページに対して読み取り / 書き込みアクセスが許可されていま

す。

• 「Security Admin」。 AMC のセキュリティ管理ページおよびシステムモニタリングページに対し

て読み取り / 書き込みアクセスが許可されています。

• 「System Admin」。 AMC のシステムモニタリングページに対して読み取り / 書き込みアクセス

が許可されています。また、セキュリティページの表示アクセスが許可されています。

これらの構成済みの役割は、 [Add/Edit Administrator Role] ページで定義されており、このページ

で修正することもできます。 39 ページの「管理者の役割の定義」を参照してください。

9. [Save] をクリックします。この操作により、 [General Settings] ページに戻ります。

メモ

• 管理者アカウントの削除方法については、 35 ページの「AMC でのオブジェクトの追加、編集、コピー、

削除」を参照してください。

管理者アカウントの編集

AMC パスワードを安全な状態に保つためには、パスワードを随時変更する必要があります。それぞれの管理者

は、自身のアカウントを編集して、パスワードを変更したり説明を更新したりすることができます。プライマ

リ AMC 管理者 ( ユーザー名が「admin」 ) は、他の管理者のアカウント設定についても編集することができ

ます。

パスワードは、 8 文字から 20 文字で指定し、大文字と小文字を区別します。大文字と小文字、数字などを組

み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載っているような単語は避

けるようにします。

パスワードを変更したら、なんらかの形で記録し、安全な場所に保管しておきます。セカンダリ管理者のパス

ワードを変更した場合、該当する管理者にそのパスワードを必ず通知しなければなりません。

管理者アカウントを編集するには


2. [General Settings] ページで、 [Administrator Accounts] セクションの [Edit] リンクをクリッ

クします。

3. [Manage Administrator Accounts] ページの [Username] 列で、編集したいアカウントを持つ

管理者の名前をクリックします。

4. [Add/Edit Administrator] ページで、説明テキスト、ログインパスワードまたは役割を変更します。

メモ

• プライマリ管理者のユーザー名と役割は変更することができません。


管理者の役割の定義

AMC の役割ベースの管理により、プライマリ管理者は、セカンダリ AMC 管理者に対して、一定の制約付きで

管理制御権限を与えることができます。

AMC の機能は 4 つのカテゴリに分類されており、これを使用して管理者の役割を定義します。それぞれのカ

テゴリごとに、役割に与えたい権限を指定しなければなりません。権限のレベルは [Modify]、 [View]、[None] の 3 つです。 [Modify] では、そのカテゴリ内の読み取り / 書き込みアクセスを許可し、 [View] では、そのカテゴリ内の読み取り専用アクセスを与えます。 [None] の場合は、そのカテゴリ内の関連 AMC ページへのアクセスを禁止します。

あるカテゴリの権限のレベルに [None] を選択した場合、 AMC では、そのカテゴリ内のページが表示されな

くなります。また、そのページにリンクするメインナビゲーションメニューコマンドも表示されなくなりま

す。

AMC 内の管理者権限の 4 つのカテゴリには、次のようなものがあります。

• [Security administration] 。アクセス制御ルール、リソース、ユーザーおよびグループ、 ASAP WorkPlace、 Aventail OnDemand、 End Point Control の各ページに対する管理者のアクセスを制御し

ます。

• [System configuration]。ネットワーク設定、一般アプライアンス設定、 SSL 設定、アクセスおよび

ネットワークサービス、認証サーバー、レルムの各ページに対する管理者のアクセスを制御します。

• [System maintenance]。アプライアンスの終了や再起動、システムソフトウェアの更新やロールバック、構成データのインポートやエクスポートなどに対する管理者の権限を制御します。

• [System monitoring]。 [View] アクセスでは、管理者がシステムログおよびグラフを表示し、アク

ティブユーザーを表示して、トラブルシューティングツールを実行できるようになります。 [Modify] アクセスでは、その他にユーザーセッション終了およびログ設定変更の権限を与えます。

管理者の役割を作成するには


2. [General Settings] ページで、 [Administrator roles] セクションの [Edit] リンクをクリックし

ます。 [Manage Administrator Roles] ページが表示されます。

3. [New] ボタンをクリックします。 [Add/Edit Administrator Role] ページが表示されます。

4. [Name] ボックスに、管理者の役割名をわかりやすい名前で入力します。


5. [Description] ボックスに、役割についてのコメントを入力します。

6. [Administrator permissions] セクションで、役割に与える権限のカテゴリを 1 つまたは複数選択

します。

7. [Save] をクリックします。この操作により、 [General Settings] ページに戻ります。

管理者の役割の編集

プライマリ AMC 管理者は、セカンダリ管理者の役割を修正して、権限のレベルを変更することができます。

また、セカンダリ管理者の役割を削除することもできます。詳細については、 43 ページの「参照されている

オブジェクトの削除」を参照してください。

複数管理者の構成ファイルの衝突回避

複数の管理者がアプライアンスを管理している場合、 AMC を同時に使用するような事態は避けなければなりま

せん。複数の管理者が同じオブジェクトを変更した場合、 AMC は後の変更を保存します。そのため、意図し

ない結果になることがある他、アクセス制御ルールに対して相互に矛盾する変更が行われた場合など、セキュ

リティ上の問題の原因になることもあります。

複数の管理者が AMC にログインしている場合、ステータスエリアに「Multiple administrator」警告メッ

セージが表示されます。このメッセージをクリックすると、 AMC にログインしているすべての管理者のユー

ザー名と IP アドレスが表示されます。

AMC にログインしている他の管理者を表示するには

• 警告メッセージが表示されたら、メッセージテキストのハイパーリンクをクリックします。この操作に

より、 [Administrator Sessions] ページが表示されます。

このページには、 AMC にログインしているすべての管理者のユーザー名と IP アドレスがリストされま

す。他の管理者に連絡して互いの活動を調整することで、構成ファイルの衝突を避ける必要があります。

メモ

• 管理コンソール監査ログでは、管理者が行った、 AMC のあらゆる構成変更が記録されます。 153 ページ

の「Management Console 監査ログ」を参照してください。

• 管理者が、 Web ブラウザの複数のインスタンスを使用して AMC にログインしている場合、

[Administrator Sessions] ページに、その管理者のユーザー名と IP アドレスが複数回表示されるこ

とがあります。また、 AMC セッションを終了させるときは、必ず [Log Out] をクリックしなければなり

ません。 Web ブラウザを閉じてセッションを終了した場合、そのセッションは、タイムアウトするまで

の間 ( デフォルトで 15 分 ) アクティブセッションとしてリストに表示されたままになります。


構成データの操作

この節では、構成の変更を AMC に保存して有効にする方法について説明します。

構成変更のディスクへの保存

AMC のページで変更を行った後 [Save] をクリックすると、その変更がディスクに保存されます。 [Cancel] をクリックするか、ブラウザの [Back] ボタンを押した場合は、変更が保存されません。

構成変更をディスクに保存するには

1. AMC のページでデータを変更します。

2. ページの下部にある [Save] をクリックします。

構成の変更はディスクに保存されますが、アクティブな構成には適用されません。 AMC のステータスエリアに、変更が保留されておりアプライアンスに適用する必要があることを示すメッセージが表示されま

す。

詳細については、 41 ページの「構成変更の適用」を参照してください。

メモ

• AMC の [Administrators] ページで行った変更は、すぐに有効になります。

構成変更の適用

アプライアンスの構成変更を行うとき、ディスクに保存しても、その変更がすぐに適用されることはありませ

ん。変更を有効にするには、 [Apply Changes] ページを使用して変更を適用しなければなりません。ほとん

どの構成変更は、ユーザーへのサービスを阻害せずに適用することができます。変更を適用した後は、すべて

の新しい接続で新しい構成が使用されるようになります。

新しい構成変更をすべてのユーザーにすぐに適用したい場合、適切なサービスを手動で再起動しなければなり

ません。この操作により、既存のユーザー接続が停止し、ユーザーに再認証を強制します。サービスの再起動

方法の詳細については、 251 ページの「Aventail アクセスサービスの停止と開始」を参照してください。

低レベルの構成変更 ( たとえば IP アドレスの変更など ) の場合、ネットワークサービスを再起動し、既存の

ユーザー接続を停止して、既存ユーザーに対し再認証を強制しなければなりません。可能であれば、オフピー

クの時間 ( 保守期間など ) にこれらの構成変更を適用し、サーバーを再起動する前にユーザーに通知するよう

にします。構成変更でこのような再起動が必要な場合は、 [Apply Changes] ページに警告が表示されます。

変更を適用するには

1. メインナビゲーションメニューから [Maintenance] をクリックします。

2. [Maintenance] ページで、 [Apply changes] ボタンをクリックします。この操作により、 [Apply Changes] ページが表示されます。 (AMC の右上隅に表示される「Pending changes」メッセージを

クリックすることもできます。 )

3. [Apply Changes] ページのメッセージを参照して、変更を適用した場合の影響について評価します。

この手順の後の表に記述されているメッセージのうち、いずれかが表示されます。


4. [Apply Changes] をクリックして、構成変更を適用します。

変更が適用されるまでは、 AMC の他のページをブラウズしないでください。ページが再表示されて、

「Pending configuration changes」メッセージが AMC のステータスエリアから消えると、他のページ

も安全に表示できるようになります。

[Apply Changes] ページには、次のいずれかのメッセージが表示されます。

メモ

• 構成変更を ASAP WorkPlace に適用すると、AMC がサービスを再起動します。ユーザーは、WorkPlace で再認証する必要がありますが、ネットワーク共有リソースにアクセスするために Windows ログインクレデンシャルを提供している場合、 WorkPlace の再起動時に再入力するよう求められます。

• 変更を適用するとき接続がすでに存在している場合、接続が停止しない限り、その接続は古い構成を使用

し続けます。 Web 接続は短いので、 Web リソースにアクセスするほとんどのユーザーは、構成変更が素

早く適用されます。一方、クライアント / サーバー接続の場合は、長期間持続する可能性があります。構

成変更の後、既存のクライアント / サーバー接続がどの程度アクティブな状態を持続するか設定する場合

は、 [Maximum limbo life] 設定を使用します (256 ページの「ネットワークプロキシサービスの構

成」を参照 )。この設定により、構成変更が、 TCP/IP アプリケーションにアクセスするユーザーにどの

程度の頻度で伝播されるかをコントロールすることができます。

• 新しい構成がロードできない場合、既存の接続が有効なままになりますが、新しい接続が試みられた場合

は失敗します。このような状況でどう対処したらよいかについては、 274 ページの「AMC の問題」を参

照してください。

警告メッセージ説明

• Applying changes will restart all services and terminate all user connections. ( 変更を適用すると、すべてのサービスが再始動し、すべてのユーザー接続が停止します。 )

• Applying changes will terminate existing TCP/IP user connections. ( 変更を適用すると、既存の TCP/IP ユーザー接続が停止します。 )

• Applying changes will terminate existing HTTP user connections. ( 変更を適用すると、既存の HTTP ユーザー接続が停止します。 )

この変更を適用すると、既存のユーザー接続が停止します。

注意ユーザーの再認証が必要になるため、データが失われる可能性があります。

Your changes will require AMC to restart, which will end your current administrative session. When the request is complete, open a new browser and log in to AMC again. ( 変更するには、 AMC を再起動して、現在の管理セッションを終了しなければなりません。要求が完了したら、新しいブラウザを開いて AMC にログインし直してください。 )

現在のセッションが終了すると、 AMC を使用できなくなります。ブラウザを閉じて、 AMC に再びログインしてください。

No authentication realms are enabled. This will prevent users from accessing any resources. Click here to configure user authentication. ( 有効な認証レルムがないため、ユーザーがリソースにアクセスできません。ユーザー認証を構成するにはここをクリックします。 )

ユーザーがリソースに対してアクセス権を維持するには、少なくとも 1 つ以上の認証レルムを有効にしなければなりません。認証レルムを有効にしなければ、ユーザーがアプライアンスで認証されなくなります。


参照されているオブジェクトの削除

あるオブジェクト ( リソースやユーザーなど ) が他のオブジェクトによって参照されている場合、そのオブ

ジェクトは削除することができません。それでも削除しようとすると、エラーメッセージが表示されます。た

とえば、アクセス制御ルールが参照しているリソースを削除しようとすると、エラーメッセージが表示されま

す。

エラーメッセージのリンクをクリックすると、削除しようとしているリソースに対する参照がすべてリストさ

れます。オブジェクトを削除する前に、そのオブジェクトに対するすべての参照を削除しなければなりません。

次の表では、他のオブジェクトから参照されている場合に削除できないオブジェクトのタイプをリストしてい

ます。

オブジェクトタイプこのオブジェクトタイプを参照するオブジェク

リソースアクセス制御ルール、リソースグループ、 WorkPlace Web ショートカット

リソースグループアクセス制御ルール

ユーザーアクセス制御ルール

ユーザーグループアクセス制御ルール

レルムユーザー、ユーザーグループ

認証サーバーレルム

コミュニティレルム

Web アプリケーションプロファイル

リソース

End Point Control ゾーンアクセス制御ルール、コミュニティ

デバイスプロファイル End Point Control ゾーン



第 4 章ネットワークと認証の構成

この節では、基本的なネットワーク構成作業、つまりネットワークインタフェース、ルーティング、名前解決

設定の構成方法や、 SSL 証明書の管理方法などについて説明します。また、ユーザー認証を構成する方法につ

いても説明します。

ここで説明するのは、アプライアンスを稼働させる上での小限のネットワーク構成です。 NTP、 SSH、

ICMP、 syslog などの付加的なサービスの構成方法については、 141 ページの「システム管理」を参照してく

ださい。

基本ネットワーク設定の構成

IP インタフェース、ルーティング、名前解決などのすべての基本ネットワーク設定は、 AMC で構成すること

ができます。 AMC でネットワークオプションを構成する場合、初に [Network Settings] ページを使用

します。

46 | 第 4 章 - ネットワークと認証の構成

システム ID の識別

アプライアンスの名前を設定して、対応するドメインの名前を指定しなければなりません。

システム ID を指定するには

1. メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、

[Network Settings] ページが表示されます。

2. [Basic] セクションで [Edit] リンクをクリックします。この操作により、 [Configure General Network Settings] ページが表示されます。

3. [Network interfaces] テーブルから、該当するアプライアンスの名前をクリックします。この操作に

より、そのアプライアンスに対する [Configure Network Interfaces] ページが開きます。

4. [Domain name] ボックスに、アプライアンスが属しているドメインの名前を入力します。たとえば、

「example.com」のように入力します。この名前は、アプライアンスがアクセスするホストを識別すると

きに使用される DNS ネームスペースを定義します。

5. [Appliance name] ボックスに、アプライアンスの名前を入力します。この名前はシステムログに表

示されるもので、ユーザーが目にすることはありません。このボックスは、クラスタ環境の場合、編集す

ることができません。

6. [Save] をクリックして、変更を保存します。

ネットワークインタフェースの構成

ネットワークインタフェースを構成するには、 IP アドレスとサブネットマスクを入力し、インタフェース速

度を指定します。アプライアンスを実行する場合、内部ネットワークインタフェースのみを使用する構成にで

きる他、 2 インタフェース構成にしたいときは、オプションで外部インタフェースを使用することもできます。

インタフェース構成オプションの詳細については、 13 ページの「ネットワークアーキテクチャ」を参照して

ください。

ネットワークインタフェースを構成するには

1. メインナビゲーションメニューから [Network Settings] をクリックします。

2. [Network Settings] ページの、 [Basic] セクションで [Edit] リンクをクリックします。この操作に

より、 [Configure General Network Settings] ページが表示されます。


3. [Network interfaces] テーブルから、該当するアプライアンスの名前をクリックします。この操作に

より、 [Configure Network Interfaces] ページが開きます。

4. [Configure Network Interfaces] ページで、内部 ( プライベート ) ネットワークに接続する内部イ

ンタフェースの設定を行います。

• インタフェースの IP アドレスとサブネットマスクをそれぞれ [IP address] と [Subnet mask] に入力します。

• [Interface speed] のリストから適切なインタフェース速度を選択します。

注意 : アダプタがネットワークの速度をオートネゴシエートする構成にすることもできます。ただし

その場合、一部のネットワークサービスとの間で互換性の問題が生じる可能性があります。一般的

なスイッチ ( たとえば Cisco) の多くは、このアプライアンスの二重モードを正しく検出しません。

そのため、オートネゴシエートを使用する設定にせず、ネットワークのインタフェース速度を手作業

で構成することが強く推奨されます。ネットワークレイテンシがある場合は、アプライアンスが接

続しているスイッチのポート設定をチェックし、正しい構成が使用されているか調べます。アプライ

アンスの設定は、このインタフェースに接続しているアクティブなネットワークデバイス ( ハブ、

スイッチ、ルータなど ) の設定と一致している必要があります。

5. 両方のネットワークインタフェースを設定したアプライアンスを動作させる場合は、外部ネットワーク (またはインターネット ) に接続したインタフェースについても設定を行います。

• 外部ネットワークを有効にするため、 [Enable external interface] チェックボックスを選択し

ます。

• インターネットから Aventail アプライアンスにアクセスする際に使用される IP アドレスとサブ

ネットマスクをそれぞれ [IP address] と [Subnet mask] に入力します。外部 IP アドレスは、

パブリックにアクセスできるものでなければなりません。

• [Interface speed] のリストから適切なインタフェース速度を選択します。

6. [Save] をクリックして、変更を保存します。 AMC で変更が保存されると、ブラウザセッションがタイ

ムアウトします。他のシステム構成作業を続けたい場合は、再び AMC にログインしてください。

メモ

• アプライアンスが両方のインタフェースを使用する構成になっている場合、ルーティング設定を調べ、内

部インタフェースへのネットワークルートが存在しているか確認します。アプライアンスが、 AMC にア

クセスするコンピュータと異なるネットワーク上にある場合、アプライアンスが設置されているネット

ワークへの静的ルートを定義して、ネットワーク構成の変更を適用した後も AMC へのアクセスが維持さ

れるようにしなければなりません。詳細については、 48 ページの「IP ルートの構成」を参照してくださ

い。


IP ルートの構成

トラフィックをルーティングするには、デフォルトゲートウェイを指定しなければなりません。また、アプラ

イアンスが内部ネットワークリソースに到達できるよう、アプライアンスに対してルーティング情報を指定し

なければなりません。その場合、動的ルーティングを使用するか、静的ルートを定義することでこれを行いま

す。

デフォルトゲートウェイの構成

デフォルトゲートウェイは、明示的にルート指定されていないパケットがどこに送信されるか決定します。そ

のためこれは、インターネットへのアクセスを提供するルータのアドレスになります。

ルーティング情報を構成するには


2. [Network Settings] ページで、 [Routing] エリアの [Edit] リンクをクリックします。この操作に

より、 [Configure Routing] ページが表示されます。

3. [Default gateway IP address] ボックスに、インターネットへのアクセスを提供するルータの IP アドレスを入力します。

Setup Tool を実行した後初めて AMC を使用する場合、すでに指定したゲートウェイがここに表示され

ます。この値が、インターネットへのアクセスを提供するゲートウェイと異なる場合 ( 両方のネットワー

クインタフェースを有効にしている場合これが該当する ) は、この設定をそれに従って修正する必要が

あります。

4. [Save] をクリックします。

注意 !

アプライアンスが両方のインタフェースを使用する構成になっている場合、ルーティング

設定を調べ、内部インタフェースへのネットワークルートが存在しているか確認します。

アプライアンスが、 AMC にアクセスするコンピュータと異なるサブネット上にある場合、

動的ルーティングオプションを使用するか、アプライアンスが設置されているネットワー

クへの静的ルートを定義しなければなりません。

たとえば、アプライアンスが両方のインタフェースを使用するよう構成している場合を考

えます。 Setup Tool を実行するとき、内部インタフェースから AMC へアクセスできるよ

うにするデフォルトゲートウェイを定義します。次に AMC にログインし、外部インタ

フェースを有効にして、この外部インタフェースを介してインターネットにアクセスでき

るようにするルータを、デフォルトゲートウェイとして指定します。このような変更を適

用すると、 AMC をブラウズするために使用するコンピュータが、アプライアンスと異なる

サブネット上にある場合、 AMC へのアクセスが途切れることになります。

このような問題を回避するため、ネットワーク構成の設定を適用する前に次のいずれかを

実行します。

• 動的ルーティングオプションを有効にします。

• AMC が属しているサブネットへの静的ルートを定義します。


動的ルーティングの構成

動的ルーティングを使用する場合、内部ルータでルーティング情報プロトコル (RIP) のバージョン 1 または

バージョン 2 を実行していなければなりません。内部インタフェースや外部インタフェース ( 使用するアプラ

イアンスを構成している場合 )、またはその両方で動的ルーティングを有効にすることができます。 RIP の詳

細について知りたい場合は、 http://www.ietf.org/rfc/ を訪れ、 RIPv1 については RFC 1058、 RIPv2 につ

いては RFC 2453 を参照してください。

動的ルーティングを構成するには

1. サイトが RIP をサポートしていることを確認します。


3. [Network Settings] ページで、 [Routing] エリアの [Edit] リンクをクリックします。この操作に

より、 [Configure Routing] ページが表示されます。

4. [Dynamic Routing] エリアで、適切なモードをクリックします。

• サイトが RIP のバージョン 1 をサポートしている場合、 [RIP v1]

• サイトが RIP のバージョン 2 をサポートしている場合、 [RIP v2]

5. [RIP v2] を選択した場合、適切な RIPv2 認証を選択します。選択できるオプションは [None] また

は [Password] です。

6. RIPv2 認証で [Password] を選択した場合は、 [Password] ボックスに実際のパスワードテキスト

を入力します。パスワードは、 16 文字以内でなければなりません。

7. [Interface selection] ボックスで、動的ルーティングを有効にするインタフェースを選択します。


メモ

• アプライアンスの RIP ルートプロセッサは、構成の変更を適用するまで始動しません。詳細については、

41 ページの「構成変更の適用」を参照してください。

• アプライアンスで動作する RIP デーモンは、パッシブモードでのみ動作します。言い換えると、他の RIP ルータからルート情報を受信しますが、ルート情報をアドバタイズすることはありません。

• AMC では、現在のルーティングテーブルのスナップショット ( 動的ルートと静的ルートの両方を含む ) を表示することができます。詳細については、 283 ページの「現在のルーティングテーブルの表示」を


• 有効でないインタフェースを選択した場合、 AMC では、構成変更を送信した時点でエラーメッセージ (「Interface is not enabled」 ) が表示されます。

• 認証に RIPv2 を使用する場合を除き、外部インタフェースでは RIP を有効にしないのが得策です。この

ような状況で RIP を有効にすると、セキュリティが危険にさらされることになります。


静的ルートの構成

サイトで RIP がサポートされていない場合や動的ルーティングを使用したくない場合は、静的ルートを明示的

に定義しなければなりません。その場合、内部インタフェースから到達するネットワークのエントリを、ルー

ティングテーブルに追加します。静的ルートは、必要なだけ追加することができます。

動的ルーティングと静的ルーティングのどちらを使用するかは、状況に応じて決定します。静的ルートテーブ

ルの保守は、特に大規模なサイトの場合など、ともすれば非常に面倒になります。ただし動的ルーティングの

場合は、ネットワークトラフィックが増大します。そのため、周囲の状況にも適したオプションを選択する

ようにします。必要であれば、両方のオプションを使用することもできます。その場合、検出されるすべての

ルートが使用されることになります。

静的ルーティング情報を構成するには


2. [Network Settings] ページで [Routing] エリアの [Edit] リンクをクリックします。この操作によ

り、 [Configure Routing] ページが表示されます。

3. 次の方法で静的ルートを定義します。

a. [Static routes] セクションの [IP address]、 [Subnet mask]、 [Gateway] の各ボックスに

ルート情報を入力します。

b. [Add] をクリックします。追加したルータが、静的ルートテーブルに表示されます。


静的ルートを削除するには

1. [Configure Routing] ページで、削除する静的ルートの右にある [Delete] ボタンをクリックします。



メモ

• アプライアンスが両方のインタフェースを使用する構成になっている場合、ルーティング設定を調べ、内

部インタフェースへのネットワークルートが存在しているか確認します。アプライアンスが、 AMC にア

クセスするコンピュータと異なるネットワーク上にある場合、アプライアンスが設置されているネット

ワークへの静的ルートを定義して、ネットワーク構成の変更を適用した後も AMC へのアクセスが維持さ

れるようにしなければなりません。詳細については、 48 ページの「IP ルートの構成」を参照してくださ

い。

• 内部ネットワークに、連続するアドレス空間がある場合、静的ルートを作成するときに正しいサブネットマスクを指定することによって、複数の静的ルートを組み合わせて 1 つのエントリにすることができま

す。次の表では、サブネットマスクを使用することで、内部トラフィックを単一の静的ルートエントリ

から複数のネットワークにルートする例を 2 つ示しています。

必要であれば、他のサブネットの静的ルートを明示的に追加することもできます。これは、ルーティングテーブルでネットマスクが広い方から狭い方へ検索されるためです。

名前解決の設定

アプライアンスでは、ホスト名を IP アドレスに解決するため、 DNS サーバーにアクセスする必要がありま

す。 ASAP WorkPlace を使用して Windows ネットワークをブラウズするとき、 Windows Internet Name Service (WINS) サーバーおよび Windows ドメイン名を指定する必要があります。

Domain Name Service の構成

DNS サーバーを構成すると、アプライアンスがホスト名を正しく解決できるようになります。 DNS を正しく

構成することで、アプライアンスが、ネットワークリソースへのアクセスを提供できるようになります。

DNS による名前解決を構成するには


2. [Network Settings] ページで、 [Name Resolution] の [Edit] リンクをクリックします。この操

作により、 [Configure Name Resolution] ページが表示されます。

トラフィックをルーティングするネットワーク : 指定する IP アドレス : 指定するサブネットマスク :

192.168.0.0192.168.1.0192.168.2.0192.168.3.0

192.168.0.0 255.255.252.0

192.168.*.* ( すべてのネットワークが 192.168 の範囲内 )

192.168.0.0 255.255.0.0


3. [Search domains] ボックスに、企業のデフォルト DNS ドメイン名 ( 「example.com」など ) を入

力します。非修飾ホスト名が指定された場合は、このドメイン名が追加されて解決されます。大で 6 つのドメイン名を、セミコロンで区切って入力することができます。

4. [DNS server] ボックスに、プライマリ DNS サーバーと、 2 つのバックアップ DNS サーバーを入力し

ます。バックアップサーバーは、プライマリサーバーが使用できない場合に使用されます。


メモ

• DNS 設定を変更する場合、ネットワークプロキシサービスを再起動しなければならず、その場合、既存

の Aventail Connect プロキシクライアントの接続が停止します。そのためこのような変更は、オフピー

ク時間または保守期間に行うようにすると良いでしょう。

Windows ネットワーク名前解決の設定

Aventail ASAP WorkPlace を使用して Windows ネットワーク上のファイルをブラウズするとき、Windows Internet Name Service (WINS) サーバーおよび Windows ドメイン名を指定する必要があります。

WorkPlace では、名前解決を行う場合およびユーザーがブラウズするリソースのリストを構築する場合、この

情報を使用します。

Windows ネットワーク名前解決を構成するには


2. [Network Settings] ページで、 [Name Resolution] の [Edit] リンクをクリックします。この操

作により、 [Configure Name Resolution] ページが表示されます。

3. [Windows networking] エリアで、次の情報を入力します。

• WINS サーバーの IP アドレスを [WINS server IP address] ボックスに入力します。

• NetBIOS の構文 ( たとえば「mycompany」 ) を使用して、 Windows ドメインの名前を [Windows domain name] ボックスに入力します。



SSL 証明書の構成

アプライアンスは、Secure Sockets Layer (SSL) プロトコルを使用して情報を暗号化します。AMC を使用し

て自己署名サーバー証明書を作成できる他、オプションで商用認証局 (CA) から証明書を得ることもできます。

また場合によっては、証明書のルートファイルを使用するよう Aventail クライアントを構成する必要があり

ます。

AMC で SSL 証明書および CA 証明書、 SSL 暗号化を構成する場合、初に [SSL Settings] ページを使用

します。

概要 : SSL 証明書

Aventail アプライアンスでは、接続ユーザーに対してアプライアンスの ID を証明する場合や、クライアントコンピュータからサーバーに送信される情報を保護するための公開鍵を提供する場合に、 SSL 証明書を使用し

ます。アプライアンスでは、 2 種類の SSL 証明書が必要になります。

• AMC は、管理トラフィックを保護するために証明書を使用します。

• Aventail サービスは、エンドユーザーのトラフィックを保護するために証明書を使用します。

証明書には、自己署名証明書と商用証明書の 2 種類があります。自己署名 SSL 証明書の場合、自身の身元を

証明します。パスワードを元にして、対応する秘密鍵データが暗号化されます。 AMC では自己署名証明書を使

用します。

自己署名 SSL 証明書も安全ですが、アプライアンスで商用 CA の証明書を使用する構成にすることもできま

す。商用証明書は、 VeriSign (http://www.verisign.com) などの CA から購入するもので、通常は 1 年間有

効です。

商用 CA では、企業の身元を識別して、 CA が署名する証明書を提供することにより、その企業のユーザーの

身分を保証します。商用 CA の証明書は、パスポートにたとえることができます。自身で作成した身分証明書

を提示しても、すでにその人のことがわかっている場合を除き、往々にしてその身元は疑わしいものと見なさ

れます。一方、信頼されている国が発行したパスポートを提示すれば、身元の信憑性は高くなります。これは、

パスポートを発行した機関が、その持ち主の身元をすでに確認しているためです。

http://www.verisign.com


サーバーでどのタイプの証明書を使用するか決定するときは、そのアプライアンスにどのようなユーザーが接

続し、ネットワーク上のリソースをどのように使うかについて考慮します。

• ビジネスパートナーが、アプライアンスを介して Web リソースに接続する場合、取引を行ったり機密情

報を提供したりする前に、相手の身分保証を必要とします。このような場合、そのアプライアンスで商用 CA から証明書を取得するようにすると良いでしょう。

一方、従業員が Web リソースに接続する場合は、自己署名証明書を信用することができます。その場合

でも、エンドユーザーが接続するたびに自己署名証明書を受け入れる手間を省くため、サードパーティ

の証明書を取得することができます。

• ユーザーが、 Aventail Connect プロキシクライアントを使用して、アプライアンスから TCP/IP リソー

スにアクセスする場合は、自己署名証明書を信頼するようクライアントを構成することができるため、通

常であれば自己署名証明書で十分です。

小型携帯端末での証明書の使用

小型携帯端末 ( スマートフォン、 PDA、その他の携帯電話など ) からアプライアンスに接続するユーザーに対

応するためには、有名 CA ( たとえば VeriSign) の証明書を使用するようアプライアンスを構成するか、ルー

ト証明書を CA からユーザーの小型携帯端末にインポートする必要があります。

アプライアンスが、自己署名証明書または無名の CA の証明書を使用するよう構成されている場合、ほとんど

の小型携帯端末では、セキュリティプロンプトを表示させるか、その証明書を拒否します。たとえば、

Windows Mobile スマートフォンの場合、ルートファイルで VersiSign、 CyberTrust、 Thawte、 Entrust のみが構成されています。

小型携帯端末の詳細については、 217 ページの「WorkPlace および小型携帯端末」を参照してください。

自己署名証明書の使用

( 証明書を商用 CA から取得する代わりに ) 自己署名 SSL 証明書を使用したい場合は、 AMC を使用してこれ

を作成することができます。

自己署名証明書を作成するには

1. メインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、 [SSL Settings] ページが表示されます。

2. [SSL certificates] の [Edit] リンクをクリックします。この操作により、 [Configure SSL Certificates] ページが表示されます。

3. 作成する証明書に応じて、適切なボタンをクリックします。

• Aventail サービスの証明書を作成する場合、 [Self-Signed Certificate] エリアで [New Certificate] をクリックします。

• AMC の証明書を作成する場合、 [AMC certificate] エリアで [New Certificate] をクリックし

ます。

[Create Self-Signed Certificate] ページまたは [Create AMC Self-Signed Certificate] ペー



4. [Fully qualified domain name] ボックスに、証明書に記載するサーバー名を入力します。

• アプライアンスの証明書の場合、「vpn.example.com」のように入力します。ユーザーがこのアプ

ライアンスにアクセスできるようにするには、この名前を外部 DNS に追加しなければなりません。

エンドユーザーは、この名前を使用して、ネットワーク上の Web ベースのリソースにアクセスし

ます。 Aventail Connect クライアントで、 TCP/IP リソースへのアクセスを許可するよう構成する

ときは、この名前を参照します。

• AMC の証明書の場合、「amc.example.com」のように入力します。ほとんどの場合、 AMC へのア

クセスを簡単にするために、この名前を内部 DNS に追加する必要があります。

5. [Organization] ボックスに、 SSL 証明書に記載する企業名を入力します。

6. [Country] ボックスに、国を表す 2 文字の省略語を入力します。有効な国コードのリストについては、

国際標準化機構 (ISO) の Web サイト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報を参照し

てください。


8. 証明書を作成するには、変更を適用しなければなりません (41 ページの「構成変更の適用」を参照 )。

自己署名証明書に対する信頼できるルートファイルの作成

自己署名証明書を使用する場合、信頼できるルートファイルをユーザーに提供する必要があります。

自己署名証明書に対する信頼できるルートファイルを作成するには

1. アプライアンスにログインします。

2. /usr/local/extranet/etc にある server.cert ファイルをコピーします。

3. コピーしたファイルをテキストエディタで開き、ルート証明書以外のすべての部分を削除します。この

ファイルには、 1 つまたは複数の証明書があり、その他に秘密鍵も存在します。ルート証明書は、この

ファイルの後の証明書ブロックで、バナーで識別できます。次の例では、初の証明書ブロックと秘密

鍵ブロックを削除しています。

その結果、ファイルは次のようになります。

4. このファイルをエンドユーザーに配布します。これによりセキュリティが向上し、ユーザーが接続する

たびに SSL 証明書を受け入れるよう求められることもなくなります。 64 ページの「バックエンド HTTPS リソースに対する新しいルート証明書の追加」を参照してください。

• Aventail Connect クライアントを介してネットワークプロキシサービスに接続するユーザーの場

合、それぞれのユーザーのコンピュータ上で、この信頼できるルートファイルを使用するよう、ク

ライアントを構成します。このファイルは、 Aventail Connect プロビジョニングパッケージにも

入れなければなりません。

• Web ベースのユーザーのセキュリティを向上させたい場合、このファイルを、それぞれのユーザー

のブラウザに入れます。

ルート証明書

証明書 1

秘密鍵

http://www.iso.org


メモ

• アプライアンスに付属する Setup Tool を使用すると、AMC に対する自己署名証明書を作成します。ほと

んどの設定については、この自己署名証明書で十分であり、商用 CA から証明書を得る必要はありませ

ん。ただし、 AMC は、信頼されるネットワーク内で使用しなければなりません。自己署名証明書は、受

動的な盗み見に対する防止策にはなりますが、能動的な攻撃に対する防衛策になりません。

• Apple Macintosh で Microsoft Internet Explorer を使用するユーザーに対して、Aventail OnDemand を設定している場合、商用 SSL 証明書を取得する必要があります。Macintosh の Java Virtual Machine (JVM) が未知の CA から署名入りの証明書を受け付けないため、自己署名証明書は機能しません。

商用 CA からの証明書の取得

商用 CA から証明書を取得すると、アプライアンスを介してネットワークに接続するユーザーの身元を確認で

きるようになります。商用 CA から証明書を取得して構成する場合、複数の手順を実行する必要があります。

このプロセスの手順を次に示します。

このプロセスの手順については、以下の節で説明します。ここでは、 Aventail サーバーで商用証明書を取得す

る状況を取り上げます。 ( 自己署名証明書を使用するよう AMC を構成する。 )

ステップ 1: 証明書署名要求の生成

AMC を使用して、証明書署名要求 (CSR) を生成することができます。このプロセスでは、サーバー情報の他、

公開鍵と識別情報が含まれる CSR を保護するための RSA 鍵ペアを作成します。ここで指定した情報は、商用 CA が証明書を作成するときに使用します。また、この情報は、アプライアンスに接続するエンドユーザーに

提示されます。

CSR を生成するには

1. メインナビゲーションメニューから [SSL Settings] をクリックします。

2. [SSL Settings] ページで [SSL certificates] の [Edit] リンクをクリックします。この操作で、

[Configure SSL Certificates] ページが表示されます。

(CSR) CSR (CA)

CSR CA CSR CA

CSR

( ) CA CSR

Aventail Connect

Aventail CSR

CSR AMC


3. [Certificate signing request] エリアで [Create New CSR] ボタンをクリックします。 [Create Certificate Signing Request] ページが表示されます

4. [Certificate information] エリアに情報を入力します。この情報は、 CSR に保管され、商用 CA が証明書を生成するときに使用します。この情報は、アプライアンスに接続するエンドユーザーに提示さ

れます。

a. [Fully qualified domain name] ボックスに、証明書に記載するサーバー名を入力します。この

サーバー名は、「共通名」 (CN) とも呼ばれるもので、通常ホスト名とドメイン名で構成されます。。

たとえば「vpn.example.com」のように入力することができます。

Web ベースのエンドユーザーは、アプライアンスにアクセス ( 言い換えると ASAP WorkPlace にアクセス ) するときにこの名前を使用するため、憶えやすい名前を使用するようにします。また、

TCP/IP リソースにアクセスできるようにする目的で Aventail Connect や Aventail OnDemand コンポーネントを構成するときも、この名前を参照します。ユーザーがこのアプライアンスにアクセ

スできるようにするには、この名前を外部 DNS に追加しなければなりません。

b. [Organizational unit] ボックスに、部署の名前 ( たとえば「IT Department」 ) を入力しま

す。

c. [Organization] ボックスに、 SSL 証明書に記載する企業名を入力します。

d. [Locality] ボックスに、市または町の名前を入力します。名前はフルネームで記述します ( 省略語

は使用しない )。

e. [State] ボックスに、州または県の名前を入力します。名前はフルネームで記述します ( 省略語は

使用しない )。

f. [Country] ボックスに、国を表す 2 文字の省略語を入力します。有効な国コードのリストについて

は、国際標準化機構 (ISO) の Web サイト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報

を検索してください。

g. [Key length] リストから、使用する鍵の長さを選択します。 [512]、 [768]、 [1024] ( デフォル

ト )、 [1280]、 [1536] のいずれかを選択します。鍵の長さが長いほどセキュリティが向上します

が、アプライアンスの処理速度が遅くなります。ほとんどの場合、 [1024] や [1280] が適していま

す。

http://www.iso.org


5. 情報が正しく入力されているか見直してから、 [Save] をクリックします。この操作により CSR が生成

されます。 [Create Certificate Signing Request] ページが表示されます。

6. CSR テキストの内容を AMC からクリップボードまたはテキストファイルにコピーして、 [OK] をク

リックします。

メモ

• [Certificate signing request] エリアの下にある [Status] エリアには、 CSR が保留されているこ

とが示されます。その場合、 CSR を再送信しないでください。再送信すると二重にアカウントされてし

まいます。また、これによって内部秘密鍵が変更されるため、 CA からの応答を利用できなくなります。

• 商用 CA によっては、「&」や「!」のようなシフト文字 (SHIFT キーを押したときに生成される文字 ) が含まれている CSR を読み込む際に、問題が発生することがあります。企業名などの情報を指定するとき、

「&」を「and」と記述するなどして、シフト文字を使用しないようにしてください。


ステップ 2: 商用 CA へ CSR を送信

CSR の送信のプロセスは、選択する商用 CA によって変動します。 VeriSign は、 Secure Site Services を使

用して SSL 証明書を発行する商用 CA として有名です。詳細については、 http://www.verisign.com を参照

してください。

商用 CA へ CSR を送信するには

1. AMC の [Create Certificate Signing Request] ページから証明書署名要求の内容をコピーします。

2. これを所定の方法で CA に送信します。通常、 CSR テキストをコピーして CA の Web サイトのフォーム

にペーストするか、電子メールのメッセージに添付します。

CA が指定している方法によっては、すべてのテキストをペーストする場合と、「BEGIN NEW CERTIFICATE REQUEST」と「END NEW CERTIFICATE REQUEST」の 2 つのバナーに挟まれているテ

キスト ( バナー自体も含む ) のみをペーストする場合とがあります。方法がよくわからない場合は、 CA に問い合わせてください。

3. 商用 CA が身元を確認するまで待機します。企業の身元を証明するため、他のドキュメントを作成するよ

う求められることもあります ( 営業許可や企業の定款など )。

ステップ 3: CSR 応答を確認して CA のルート証明書に追加 ( 必要な場合 )

CSR を送信したら、 CA が身元を確認するまで待機します。このプロセスが終わると、 CA が証明書を返信し

ます。返信は、次の 2 つのいずれかの形式で送られてきます。

• 電子メールのメッセージに添付されたファイル。この場合、ファイルをローカルファイルシステム (AMC にアクセスするもの ) に保存して、 AMC にインポートすることができます。

• 電子メールのメッセージ内に埋め込まれたテキスト。この場合、テキストをコピーして、 AMC のテキス

トボックスにペーストします。このとき、「BEGIN CERTIFICATE」と「END CERTIFICATE」の 2 つの

バナーを必ず入れるようにします。

CA が、 CSR 応答で完全な証明書チェーンを提供しない ( 一般的な方法 ) 場合、 CSR 応答をインポートすると

きに、 AMC が証明書チェーンを補完しようとします。チェーンを補完できない場合、 AMC で「The certificate chain is not complete」というエラーメッセージが表示されます。この場合は、 CA のルート証

明書または中間公開証明書をアプライアンスにアップロードしなければなりません。自身で CA の役割も果た

している場合は、おそらくこの手順を実行する必要があります。

証明書チェーンを補完するには

1. 信頼できるルート証明書または中間公開証明書を CA から取得します。ほとんどの外部 CA は、 Web サイトでこのような証明書を提供しています。企業が CA の役割を果たしている場合は、サーバー管理者に

確認してください。


3. [SSL Settings] ページで [CA certificates] の [Edit] リンクをクリックします。この操作で、

[Configure CA Certificates] ページが表示されます。

4. [Appliance root certificates] セクションで [Import] ボタンをクリックします。この操作により、

[Import Root Certificate] ページが表示されます。

5. 証明書をアップロードします。

• 証明書がバイナリ形式の場合は、 [Browse] ボタンをクリックして、ローカルファイルシステム (つまり AMC にログインしたコンピュータ ) から証明書の返信をアップロードします。

• 証明書が base-64 エンコード (PEM) テキスト形式の場合は、 [Certificate text] ボタンをクリッ

クして、証明書をテキストボックスにペーストします。このとき、「BEGIN CERTIFICATE」と

「END CERTIFICATE」の 2 つのバナーを必ず入れるようにします。

6. [Save] をクリックします。この操作により、 [CA Certificates] ページに戻ります。

7. 証明書が正しくアップロードされたことを確認するため、ページ上部にある [Manage CA Certificate] ボタンをクリックします。新しい証明書が [Manage Root Certificates] ページの上部

に表示されます。

http://www.verisign.com


ステップ 4: CSR 応答を AMC にインポート

証明書の返信をインポートするには


2. [SSL Settings] ページで [SSL certificates] の [Edit] リンクをクリックします。 [Configure SSL Certificates] ページが表示されます。

3. [Certificate Signing Request] エリアで、 [Import CSR Response] をクリックします。

[Import CSR Certificate] ページが表示されます。






5. [Save] をクリックします。この操作により、 [SSL Certificates] ページに戻ります。

6. 明書が正しくアップロードされたことを確認するため、 [View details] ボタンをクリックします。証明

書が [Certificate Details] ページの上部に表示されます。

ステップ 5: 変更の適用

新しい証明書を使用しはじめるには、構成の変更を適用する必要があります。詳細については、 41 ページの

「構成変更の適用」を参照してください。

変更を適用したら、アプライアンスが新しい証明書を検査し、すべての新しい接続でそれを使用するようにな

ります。アプライアンスが証明書を正しく処理できなかった場合、エラーメッセージが表示され、そのエラー

についての情報がイベントログに記載されます。このような状況は通常、証明書がない場合、証明書の有効期

限が切れている場合 ( またはまだ有効になっていない場合 )、暗号化パスワードファイルにキャッシュされて

いるパスワードが不正な場合などに発生します。

ステップ 6: ルートファイルを使用するよう Aventail Connect を構成

クライアント / サーバーアプリケーションは、 Aventail Connect プロキシクライアントを使用してアクセス

します。クライアントがアプライアンスから証明書を受け取ると、証明書チェーンのルートを検査し、自身の

信頼できるルートのリストと照会します。ルートが一致すると、クライアントはアプライアンスの身元が正し

いことを認識するため、ユーザーに証明書を確認するよう求めません。ユーザーが証明書を確認するよう求め

られないようにするには、このルートファイルを使用するよう Aventail Connect を構成します。

Aventail Connect でルートファイルを構成する方法については、『Aventail Connect Administrator's Guide』の「Configuring Server Validation Options」を参照してください。

メモ

• ユーザーがデジタル証明書を使用して認証するようにしたい場合、クライアントだけでなくサーバー上で

も、信頼できるルートファイルを構成する必要があります。 65 ページの「クライアント証明書の構成」

を参照してください。


他のコンピュータからの既存の証明書のインポート

商用 CA からすでに証明書を受け取っている場合、その証明書と秘密鍵をアプライアンスに転送することもで

きます。証明書をインポートしたら、アプライアンスでエンドユーザーのトラフィックを保護するために、

サーバーがその証明書を使用するようになります。

このアプライアンスでは、証明書を PKCS#12 形式で保管します。異なる形式で証明書が保管されている場

合、インポートする前に、 OpenSSL ( 詳細については 17 ページの「便利な管理ツール」を参照 ) などのツー

ルを使用して PKCS#12 に変換する必要があります。変換を行ったら、 PKCS#12 ファイルに完全な証明書

チェーンが含まれているか確認してください。

既存の証明書をアプライアンスに転送するには



3. [Appliance certificate] エリアで、 [Import] をクリックします。この操作により、 [Import Certificate] ページが表示されます。

4. [Browse] ボタンをクリックして、ローカルファイルシステム ( つまり AMC にログインしたコン

ピュータ ) から証明書をアップロードします。

5. [Password] ボックスに、秘密鍵を暗号化するときに使用したパスワードを入力します。


ただし、構成の変更を適用するまでは、アプライアンスは以前の証明書を使用します。

証明書の管理

この節では、証明書の管理に関連する、さまざまな作業について説明します。ルートファイルを使用するよう Aventail クライアントを構成する方法や、バックエンド Web リソースからルートファイルを確認する方法に

ついて解説します。また、証明書の詳細を確認する方法、証明書のパスワードを変更する方法、既存の鍵を使

用して証明書を更新する方法などについても説明します。

概要 : CA 証明書

すべての CA では、デジタル証明書を要求するエンティティがその CA を「信頼」できるようにするため、

ルート証明書が必要になります。クライアントが、 CA のルート証明書を信頼した場合、その CA が発行した

他の証明書も自動的に信頼することになります。このようにルート証明書は、公開鍵の暗号化における基礎に

なります。ルート証明書は、 CA 自身 ( 自己署名 ) または公開鍵基盤 (PKI) の CA 階層で上位にあたる認証局

が署名します。

このアプライアンスには、一流商用 CA の 100 以上の証明書が搭載されています。商用 CA から証明書を取得

している場合、そのルート証明書や中間公開証明書は、アプライアンスにほぼインストールされている状態に

なっています。ただし、自身で CA の役割を果たしている場合は、ルート証明書または中間公開証明書をアプ

ライアンスにインポートしなければなりません。

アプライアンスは、次のような証明書で構成されています。

• アプライアンスの SSL 証明書。ほとんどの設定の場合、中心となるサーバー証明書を商用 CA から取得

します。その場合、必要な CA 証明書は、すでにアプライアンスにインストールされています。ただし、

自身で CA の役割を果たしている場合は、ルート証明書または中間公開証明書をアプライアンスにイン

ポートしなければなりません。

• セキュアな LDAP または AD サーバー接続。 LDAP または Active Directory (AD) 接続を SSL で保護

すると、 LDAP サーバーまたは AD サーバーを装おうとする試みを排除することで、セキュリティを強化

することができます。 LDAP または AD over SSL を構成するには、アプライアンスを構成して、 LDAP または AD 証明書を与えた CA に対するルート証明書や中間公開証明書を使用するよう設定しなければな

りません。

• クライアント証明書の認証。ユーザーがクライアント証明書を使用して認証する場合、アプライアンスを

構成して、クライアント証明書をエンドユーザーに発行した CA に対するルート証明書や中間公開証明書

を使用するよう設定しなければなりません。これらの CA 証明書は、アプライアンスに接続するユーザー

から送信された証明書の有効性を確認するために使用されます。


• バックエンド HTTPS Web サーバーへの接続。バックエンド Web リソースを SSL で保護 ( つまり HTTP の代わりに HTTPS を使用 ) している場合、アプライアンスを構成して、サーバー証明書を発行し

た CA に対するルート証明書や中間公開証明書を使用するよう設定することができます。

バックエンド Web リソースとの接続を正常に確立できる場合、アプライアンスで、必要な CA 証明書が

すでに構成されていることになります。接続を確立できない場合は、 CA 証明書をアプライアンスにアッ

プロードする必要があります。

[SSL Certificates] ページの [CA Certificates] タブにある [Manage CA Certificate] ボタンをクリッ

クすることにより、 CA 証明書のリストを参照することができます。この操作により、 [Manage Root Certificates] ポップアップウィンドウが表示されますが、このウィンドウは、 CA 証明書を削除する場合に

も使用することができます。

証明書の詳細の表示

タイトル、発行者、開始日と終了日、シリアル番号、 MD5 チェックサムなど、アプライアンス証明書の詳細

データを表示することができます。新しくインポートした証明書の詳細データは、構成の変更を適用するまで

表示されません。

証明書の詳細を表示するには



3. [Configure SSL Certificates] ページで、証明書の完全修飾ドメイン名、発行者、有効期限を確認す

ることができます。

4. [View details] をクリックすると、証明書の詳細データが表示されます。

メモ

• 証明書に CA の共通名 (CN) が含まれていない場合、 [Issued To] と [Issued By] フィールドに、タ

イトル / 発行者のフルネームが表示されます ( たとえば「C=US,O=Example Corp,CN=vpn.example.com」など )。


SSL 証明書のエクスポート

アプライアンスのエンドユーザートラフィックを保護するために、 SSL 証明書をエクスポートすることがで

きます。この証明書は、 PKCS#12 形式で保管されます。

アプライアンスから SSL 証明書をエクスポートするには



3. [Appliance certificate] エリアで、 [Export] をクリックします。この操作により、 [Export Certificate] ページが表示されます。

4. [Password] ボックスに、秘密鍵を暗号化するときに使用するパスワードを入力します。

5. [Save] をクリックします。この操作により、証明書ファイルがローカルファイルシステム ( つまり AMC にログインしたコンピュータ ) にアップロードされます。

6. [OK] をクリックします。この操作により、 [SSL Certificates] ページに戻ります。

アプライアンスへの CA 証明書の追加

アプライアンスで、必要な CA 証明書が構成されていない場合、そのコピーを取得して、アプライアンスに

アップロードする必要があります。

アプライアンスに CA 証明書を追加するには

1. 信頼できるルート証明書または中間公開証明書を CA から取得します。ほとんどの外部 CA は、 Web サイトでこのような証明書を提供しています。企業が CA の役割を果たしている場合は、サーバー管理者に

確認してください。



[Manage CA Certificates] ページが表示されます。

4. 該当する [Import] ボタンをクリックします。

• LDAP サーバーまたは AD サーバーとの接続を保護するための証明書の場合またはクライアント証

明書を使用する場合は、 [Appliance root certificates] エリアの [Import] ボタンをクリック

します。

• バックエンド HTTPS Web リソースとの接続を保護するための証明書の場合は、 [Back-end server root certificates] エリアの下部にある [Import] ボタンをクリックします。







7. 証明書が正しくアップロードされたことを確認するため、 [Manage CA Certificates] ボタンをクリッ

クします。新しい証明書が [Manage Root Certificates] ページの上部に表示されます。

8. クライアント証明書の認証のためにルートファイルをアップロードしている場合、 Web プロキシサービ

スとネットワークプロキシサービスを停止して再起動しなければなりません。

この操作により、ユーザーへのサービスが短時間中断するため、このような変更は保守期間に行うと良い

でしょう。詳細については、 251 ページの「Aventail アクセスサービスの停止と開始」を参照してくだ

さい。

メモ

• デフォルトの場合、 Web プロキシサービスは、バックエンド HTTPS Web サーバーが提示するルート証

明書を確認する構成になっています。このセキュリティチェックは重要で、これにより、バックエンドサーバーの身元を信頼できるようになります。詳細については、 258 ページの「Web プロキシサービス



バックエンド HTTPS リソースに対する新しいルート証明書の追加

バックエンド Web リソースを SSL で保護 ( つまり HTTP の代わりに HTTPS を使用 ) している場合、 Web プロキシサービスを構成して、バックエンドサーバーが提示したルート証明書を確認するよう設定する必要

があります。このセキュリティチェックは重要で、これにより、バックエンドサーバーの身元を信頼できる

ようになります。詳細については、 258 ページの「Web プロキシサービスの構成」を参照してください。

バックエンドサーバーのルート証明書が、あらかじめアプライアンスにインストールされていない場合、コ

ピーを取得して AMC にインポートする必要があります。

新しいバックエンド HTTPS ルート証明書をアプライアンスに追加するには




3. [Back-end server root certificates] エリアで、該当する [Import] ボタンをクリックします。









メモ

• Web プロキシサービスは、バックエンド証明書を HTTPS で確認する構成になっています。 AMC では、

ダウンストリーム Web サーバーの構成を参照することができます。詳細については、 258 ページの

「Web プロキシサービスの構成」を参照してください。

• [Manage Root Certificates] ページにリストされている CA を信頼したくない場合、その証明書の隣

にあるチェックボックスを選択して、 [Delete] をクリックします。

LDAP または Active Directory over SSL に対する新しいルート証明書の追加

LDAP または Active Directory (AD) 接続を SSL で保護すると、 LDAP サーバーまたは AD サーバーを装お

うとする試みを排除することで、セキュリティを強化することができます。 LDAP または AD over SSL を構

成するには、 LDAP または AD 証明書を与えた CA に対するルート証明書を、SSL の信頼できるルートファイ

ルに追加しなければなりません。また、デジタル証明書を使用してユーザーを認証している場合、クライアン

ト証明書をエンドユーザーに発行した CA に対するルート証明書を追加しなければなりません。

LDAP サーバーまたは AD サーバーに対する CA ルート証明書をアプライアンスに追加するには




3. [Appliance root certificates] エリアで、該当する [Import] ボタンをクリックします。









この信頼できるルートファイルには、 LDAP または AD 証明書を発行した CA だけでなく、エンドユー

ザーにクライアント証明書を発行した CA ( クライアント証明書を使用している場合 ) に対するルート証

明書も記載されていなければなりません。


クライアント証明書の構成

ユーザーがクライアント証明書を使用して認証を受ける場合、アプライアンスで、信頼できるルートファイル

を構成しなければなりません ( クライアント証明書の確認のため )。このルートファイルは、アプライアンス

に接続するユーザーから送信された証明書の有効性を確認するために使用されます。この手順を実行するとき、

ユーザーへのサービスが短時間中断するため、保守期間に行うようにすると良いでしょう。

ルートファイルを使用するようアプライアンスを構成するには

1. ルートファイルの名前を ldapca.cert に変更します。

2. ldapca.cert ファイルを /usr/local/aventail/etc ディレクトリにコピーします。

3. Web プロキシサービスとネットワークプロキシサービスを停止して再起動します。この操作により、

ユーザーへのサービスが短時間中断しますが、サービスが新しいルートファイルを認識するためには、

この手順は必須です。詳細については、 251 ページの「Aventail アクセスサービスの停止と開始」を参


メモ

• 正常に動作するには、ルートファイルが PEM 形式 (base64 エンコード ) になっていなければなりませ

ん。ファイルの変換方法の詳細については 65 ページの「証明書の FAQ」を参照してください。

証明書の FAQ

この節では、証明書の使用に関連してよく尋ねられる質問にお答えします。

• 証明書を非商用 CA から取得するにはどうしたらよいですか ?

プロセスは、商用 CA から証明書を取得する場合とほぼ同じですが、非商用 CA (Microsoft Self-Signed Certificate Authority など ) の場合 CSR を送信する必要があります。この手順については、 59 ページ

の「ステップ 2: 商用 CA へ CSR を送信」で解説しています。

• 証明書の有効期限はいつ切れますか ?

自己署名証明書は 5 年間有効です。サードパーティの証明書の場合、その証明書の発行者によって、有

効期限が異なることもあります。詳細については、その CA にお問い合わせください。

• 他のツールで生成した秘密鍵または CSR をアプライアンスにインポートできますか ?

秘密鍵および CSR は、 Setup Tool または認証生成ツールを使用して、アプライアンスで生成しなけれ

ばなりません。ただし、秘密鍵および CSR を、セキュアコピー (scp) を使用して、 Aventail アプライ

アンス間でコピーすることはできます。コピーした証明書は、 AMC 内で変更することによって上書きさ

れます。

• AMC 証明書はどこに保管されますか ?

AMC の自己署名証明書は、 /usr/local/app/mgmt-server/sysconf/active/keystore.jetty に保管され

ます。 AMC の場合、ほとんどの環境については、自己署名証明書で十分です。ただし、 AMC は、信頼さ

れるネットワーク内で使用しなければなりません。自己署名証明書は、受動的な盗み見に対する防止策に

はなりますが、能動的な攻撃に対する防衛策になりません。

• アプライアンスの CA ルートファイルにはどのようなものがあり、それぞれどのように使用されますか ?

(/usr/local/aventail/etc に保管されている ) ldapca.cert ファイルには、次のソースから次のルート証

明書を入れなければなりません。

• ユーザーがクライアント証明書を使用して認証を受ける場合、証明書を発行した CA から取得した

信頼できるルートを入れます。

• セキュアな LDAP (LDAPS) を使用して、ユーザー名とパスワードの認証を行う場合、 LDAP サー

バーの証明書を発行した CA から取得した、信頼できるルートを入れます。

• セキュアな LDAP (LDAPS) を使用して、クライアント証明書の認証を行う場合、 LDAPS サーバー

の証明書を発行した CA から取得した、信頼できるルートを入れます。 (LDAPS およびクライアン

ト証明書が同じ CA から発行されている場合、署名鍵が 1 つだけ必要になる )

(/usr/local/extranet/etc に保管されている ) backendca.cert ファイルには、 Web プロキシサービス

が管理するセキュアな Web サーバー (HTTPS) で使用されている、 SSL 証明書を発行した CA から取得

したルート証明書を入れる必要があります。これは、 Web プロキシサービスが、セキュアでない (HTTP) リソースを管理している場合は、必要ありません。詳細については、 64 ページの「バックエン

ド HTTPS リソースに対する新しいルート証明書の追加」を参照してください。


• アプライアンスのルート証明書にリストされている CA に、信頼したくないものがあります。信頼されて

いる証明書をどのように修正したら良いですか ?

特定の CA を信頼したくない場合、アプライアンスと SSH 接続を確立し、テキストエディタで証明書

ファイル (backendca.cert または ldapca.cert) を開いて、 CA の証明書をリストから取り除きます。

• 信頼できるルート証明書は、信頼できるルートファイルにどれだけ入れることができますか ?

信頼できるルートファイルに証明書を入れる場合、 >> コマンドを使用してファイルを追加すると良いで

しょう ( たとえば「cat myfile >> ldapca.cert」のように入力する )。証明書は、 base64 エン

コード (PEM) 形式でエンコードします。開始バナー

( 「---BEGIN CERT...」 ) と終了バナー ( 「----END CERT...」 ) を必ず入れるようにします。

ユーザー認証の管理

認証は、当人であることを識別するため、ユーザーの身元を確認するプロセスです ( 認証は許可とは異なる。

認証は身元を確認するが、許可はアクセス権を指定するだけである )。この節では、外部認証サーバーを参照

する方法について説明します。

ユーザー認証を管理するには、 AMC で 1 台以上の外部認証サーバーを定義して、ユーザーによるアプライア

ンスへのログインのためにセットアップするレルムから参照されるようにしなければなりません。レルムの証

左については、 116 ページの「レルムおよびコミュニティの使用」を参照してください。また、テストの目的

で、アプライアンス上にローカル認証リポジトリを構成することもできます。詳細については、 86 ページの

「ローカルユーザー認証の構成」を参照してください。

AMC で認証サーバーを構成する場合、初に [Authentication Servers] ページを使用します。

認証サーバーの構成

AMC を使用して認証をセットアップするとき、ディレクトリ (LDAP、 Microsoft Active Directory、RADIUS、ローカルユーザー ) と認証方式 ( ユーザー名 / パスワード、トークンまたはスマートカード、デジ

タル証明書など ) を構成します。またその他にも、認証プロセスごとに固有の構成 ( たとえば LDAP 検索ベー

スまたは固有のディレクトリサーバー ) を行います。 Aventail アプライアンスでは、次のディレクトリと認

証方式がサポートされています。

• LDAP でユーザー名 / パスワードまたはデジタル証明書を使用

• Microsoft Active Directory でユーザー名 / パスワードを使用

• RADIUS でユーザー名 / パスワードを使用、またはトークンベースの認証 (SecurID や SoftID など )

• Netegrity SiteMinder でクレデンシャルを使用

• RSA ClearTrust でクレデンシャルを使用

• ローカルユーザー ( 主にテストのために使用するもので、実稼働環境には推奨されない )

あるレルムの認証サーバーを参照し、ユーザーをレルムに対応させたら、アプライアンスはユーザーのクレデ

ンシャルを、指定された認証リポジトリに保管されているクレデンシャルと比較してチェックします。


認証サーバーを構成するには

1. メインナビゲーションメニューから [Authentication Servers] をクリックします。この操作によ

り、 [Authentication Servers] ページが表示されます。

2. [Authentication servers] エリアで [New] ボタンをクリックします。この操作により、 [New Authentication Server] ページが表示されます。

3. [Directory type/protocol] で、構成する認証サーバーのディレクトリタイプ / プロトコルを選択し

ます。

• LDAP - 74 ページの「LDAP および LDAPS 認証の構成」を参照してください。

• Local users - 86 ページの「ローカルユーザー認証の構成」を参照してください。

• Microsoft Active Directory - 69 ページの「Microsoft Active Directory サーバーの構成」を


• Netegrity Siteminder - 83 ページの「Netegrity SiteMinder または RSA ClearTrust 認証の

構成」を参照してください。

• RADIUS - 80 ページの「RADIUS 認証の構成」を参照してください。

• RSA ClearTrust - 83 ページの「Netegrity SiteMinder または RSA ClearTrust 認証の構成」を


4. [Credential type] で、認証サーバーのクレデンシャルタイプを選択します。

• Digital certificate - LDAP で使用します。

• Token/SecurID - RADIUS で使用します。

• Username/Password - LDAP、ローカルユーザー、 Active Directory、 RADIUS で使用しま

す。

5. ここで [Continue] をクリックします。手順 3 で選択した個別のディレクトリタイプ / プロトコルに

対するページを参照して、構成プロセスを続けます。

メモ

• Aventail アプライアンスは、Netegrity SiteMinder または RSA ClearTrust 認証サーバーのいずれか 1 台しかサポートできません。両方のタイプの認証サーバーを同時に使用することはできません。


複数の認証サーバーの定義

このアプライアンスでは、複数の認証サーバーを定義して使用できるようになっています。次に、レルムで複

数の認証サーバーが参照される場合の構成例を示します。

• ディレクトリ / 認証方式を複数組み合わせた構成。ユーザー名 / パスワードを使用した LDAP やデジタル

証明書を使用した LDAP の構成などがあります。たとえば、企業従業員がユーザー名とパスワードを使用

してログインし、コールセンター部門の従業員がデジタル証明書でログインする場合などがこれに当た

ります。このような場合、 employee レルムと callcenter このような場合、 employee レルムと callcenter レルムを作成し、それぞれが適切な認証方式と LDAP 検索ベースを参照するようにします。

• 同じディレクトリ / 認証方式の複数のインスタンスが、異なるバックエンドサーバーを使用するような

構成。 2 つの RADIUS/ パスワードインスタンスが、異なる RADIUS サーバーを使用する構成などがあ

ります。この場合、それぞれ適切なサーバー情報を持つ 2 つの認証サーバーを定義します。

• 同じディレクトリ / 認証方式の複数のインスタンスが、同じサーバーにありながら異なる方法で構成され

ている構成。ユーザー名 / パスワードを使用した LDAP が同じサーバーにあり、異なる検索ベースを使用

する構成などがあります ( レルムごとに、ディレクトリ内の異なるサブツリーを検索 )。たとえば、

PartnerA レルムが特定の LDAP サブツリーにあり、 PartnerB レルムが別のサブツリーにあると仮定し

ます。 partnerA レルムと partnerB レルムを定義するときは、それぞれについて適切な検索ベースを構

成します。

AMC には「グループアフィニティチェック」の機能もあります。この機能は、異なる複数のサーバーで認証

と許可を処理するようなネットワーク環境に対応するものです。詳細については、 69 ページの「レルムでの

グループアフィニティチェックの有効化」を参照してください。

レルムでの認証サーバーの参照

レルムの構成を保存する前に、 AMC でレルムを認証サーバーに対応させなければなりません。これについて

は、 119 ページの「レルムの作成と構成」で解説しています。その後、認証プロセスが変更されたら、異なる

認証サーバーを参照するようレルムを再構成することができます。

レルムで認証サーバーを参照するには

1. メインナビゲーションメニューから [Realms] をクリックします。

2. [Realms] リストで、異なる認証サーバーを参照するよう構成するレルムの名前をクリックします。こ

の操作により、 [Configure Realm] ページが表示されます。

3. [Authentication server] リストから、このレルムでユーザーの身元を確認するために使用する認証

サーバーの名前を選択します。

また、新しい認証サーバーを作成してレルムで参照する場合は、 [New] をクリックします。

4. [Save] をクリックします。この操作により、 [Authentication] ページに戻ります。

メモ

• RADIUS アカウンティングの使用方法については、 129 ページの「レルムでの RADIUS アカウンティン

グの構成」を参照してください。


レルムでのグループアフィニティチェックの有効化

アプライアンスは、「グループアフィニティチェック」をサポートしています。この機能は、異なる複数のシ

ステムで認証と許可を処理するようなネットワーク環境に対応するものです。

グループアフィニティチェックは、ユーザーが、あるリポジトリで認証され、ユーザーのグループ情報が 2 番目のリポジトリから渡されるような認証シナリオをサポートしています。このような状況は、認証で RADIUS/SecurID トークンが使用され、ユーザーのグループ情報が LDAP サーバーまたは Active Directory サーバーから送られるような場合に当てはまります。

グループアフィニティチェックを有効にするには


2. [Realms] ページで、修正するレルムの名前をクリックします。この操作により、そのレルムに対する [Configure Realm] ページが開きます。

3. [Advanced] をクリックして、 [Enable group affinity checking] チェックボックスを選択しま

す。

4. [Server] リストから、グループ情報を保管する LDAP サーバーまたは Active Directory サーバーの名

前を選択します。 [New] をクリックすることにより、 [New Authentication Server] ページを使用

して、新しいグループアフィニティサーバーを定義することもできます。

5. [Save] をクリックします。この操作により、 [Authentication] ページに戻ります。

レルムの作成プロセスの際に、グループアフィニティチェックを有効にしている場合は、表示されるボタン

が異なります。 [Configure Realms] ページの [Communities] セクションに進むには [Next]、[Authentication] ページに戻るには [Finish] をクリックします。

Microsoft Active Directory サーバーの構成

このアプライアンスでは、 Microsoft Active Directory (AD) でユーザー名 / パスワードクレデンシャルを検

証できるようになっています。 Active Directory でデジタル証明書を使用している場合、 LDAP サーバーとし

て構成する必要があります。 73 ページの「Active Directory 認証を行うための LDAP の構成」を参照してく

ださい。

次の図は、一般的な Active Directory 構成の例を示しています。

Active Directory サーバーを構成したら、テスト接続を確立して、レルム構成設定を検証することができま

す。詳細については、 86 ページの「認証構成のテスト」を参照してください。

Aventail SSL ( 443)

LDAP ( 389)LDAPS ( 636)

Microsoft ActiveDirectory


メモ

• アプライアンスが Active Directory サーバーと通信できるようにするため、ファイアウォールまたは

ルータを修正する必要があります。アプライアンスは、標準 LDAP ポートおよび LDAPS ポートを使用し

て Active Directory と通信します。標準 LDAP ポートは 389/tcp で、 LDAPS はポート 636/tcp を使

用して通信します。

ユーザー名とパスワードを使用する Active Directory の構成

ユーザー名 / パスワード検証を使用する Active Directory 認証サーバーを構成する場合、次の手順を実行しま

す。

Active Directory でデジタル証明書を使用している場合、 LDAP レルムとして構成する必要があります。 73ページの「Active Directory 認証を行うための LDAP の構成」を参照してください。

Active Directory を構成するには

1. メインナビゲーションメニューから [Authentication Servers] をクリックします。

2. [Authentication Servers] ページで、 [Authentication servers] の [New] リンクをクリックし

ます。この操作により、 [New Authentication Server] ページが表示されます。

3. [Directory type/protocol] で [Microsoft Active Directory] をクリックします。

4. Active Directory で選択できる [Credential type] は [Username/Password] のみであるため、

選択する必要はありません。ここで [Continue] をクリックします。この操作により、 [Configure Authentication Server] ページが表示されます。

5. [Name] ボックスに、認証サーバーの名前を入力します。

6. [General] エリアに情報を入力していきます。

• [Active Directory domain controller] ボックスに、 Active Directory ドメインコントロー

ラの IP アドレスまたはホスト名を入力します。

• 特定の Active Directory ドメインを指定したい場合、 [Active Directory domain name] ボッ

クスに入力します。ここで指定するのは、検索ベースとして使用するドメインでなければなりません ( つまり適切な cn=users コンテナが含まれるドメイン )。たとえば、 marketing など、単一のド

メインを検索したい場合、「marketing.example.com」と入力します。また、企業のドメイン全体

を検索したい場合は、「example.com」と入力します。ドメインを指定しない場合、アプライアン

スは、ドメインコントローラで初に見つかったデフォルトネーミングコンテキストを検索しま

す。


• Active Directory 検索を実行するためには、アプライアンスが、 Active Directory にログインしな

ければなりません ( アノニマス検索を許可するよう Active Directory を構成している場合を除く )。そのため [Login name] ボックスに、 Windows ドメインにログインするときに使用するユーザー

名または sAMAccountname 属性を入力します ( たとえば「jdoe」や「[email protected]」 )。

ログイン名は、検索を実行しユーザーレコードを参照する権限を持つユーザーのものでなければな

りません。たとえば、そのドメインコントローラの管理者などがこれに当たります。これらの権限

を持っていれば、管理者でないユーザーを指定することもできます。

Active Directory ドメインを指定した場合、アプライアンスは、そのドメインでユーザーを検索し

ます。ドメインを指定しない場合、アプライアンスは、ドメインコントローラで初に見つかった

デフォルトネーミングコンテキストを検索します。ユーザー情報がこのようなロケーションのどれ

にも保管されていない場合、このレルムを LDAP レルムとして構成する必要があります。 73 ページ

の「Active Directory 認証を行うための LDAP の構成」を参照してください。

• ログイン名に対応するパスワードを [Password] に入力します。

7. Active Directory 接続を SSL で保護する場合、[Active Directory over SSL] エリアに情報を入力し

ます。

• Active Directory 接続を SSL で保護するときは、 [Use SSL to secure Active Directory connection] チェックボックスを選択します。

• 証明書の詳細を表示し、アプライアンスがルート証明書を使用できるか確認するときは、 [View CA certificate] をクリックします。この操作により、クライアント証明書と SSL 証明書を発行し

た CA の名前 (1 つまたは複数 ) がリストされます。 Active Directory サーバーの CA がこのファ

イルにリストされていない場合または自己署名証明書を使用する場合は、証明書をこのファイルに追

加しなければなりません。詳細については、 64 ページの「LDAP または Active Directory over SSL に対する新しいルート証明書の追加」を参照してください。

• Active Directory ドメインコントローラのホスト名が、 Active Directory サーバーで提示された証

明書の名前と同じであることを確認する場合は、 [Match certificate CN against Active Directory domain controller] チェックボックスを選択します。通常、サーバー名は、デジタ

ル証明書で指定されている名前と一致します。使用しているサーバーでもこれが当てはまる場合、実

稼働環境でこのオプションを有効にすると良いでしょう。こうしておくと、デジタル証明書または DNS サーバーが危険にさらされた場合でも、許可されていないサーバーが、 AD サーバーをマスカ

レードすることは困難になります。


8. [Advanced] エリアでは、 Active Directory パスワードの有効期限切れの前にユーザーに通知するオプ

ションの他、 NTLM 認証転送オプションも構成することができます。

• Active Directory サーバーがパスワードの有効期限切れについてユーザーに通知するよう設定する

場合、 [Enable password notification] チェックボックスを選択します。この通知機能が、有

効期限の何日前 ( デフォルトは 14 日前で、上限は 30 日前 ) に動作するか指定するため、 [days before password expire] ボックスに数値を入力します。これにより、パスワードプロンプト

の表示が、 AD サーバーによってコントロールされるようになります。

• [Allow user to change password when notified] チェックボックスは、デフォルトで無効

になっています。この設定は、 [Active Directory over SSL] セクションの [Use SSL to secure directory connection] チェックボックスを選択しない限り、変更することができませ

ん。パスワード管理は、 Web アクセスを使用するユーザーに限って使用できます。

• NTLM 認証転送を有効にするときは、 [NTLM authentication forwarding] オプションのいず

れかをクリックします。詳細については、 87 ページの「NTLM 認証転送の構成」を参照してくださ

い。

9. [Save] をクリックします。この操作により、 [Authentication Servers] ページに戻ります。

メモ

• [Login name] および [Password] フィールドは、 Active Directory サーバーに接続する上で必須と

いうわけではありません。ただし、これらの値を指定しなかった場合 ( またはパスワードを指定しなかっ

た場合 )、アプライアンスは匿名でバインドするようになります。その場合、アノニマス検索を許可する

よう Active Directory を構成していなければ、検索がエラーになります。

• パスワード通知期間の間、ユーザーに対して、 AD サーバー上で、パスワードを変更する権限を与えてい

なければなりません。また有効期限切れ後は、管理者に、ユーザーパスワードを変更する権限が必要に

なります。この両方の操作では、セキュリティ上の理由から、パスワードがリセットされるのではなく置

換されるようになっています。

• 複数の Active Directory with SSL (ADS) サーバーを定義している場合、それぞれのサーバーで同じ [Match certificate CN against Active Directory domain controller] 設定を指定します。( 実稼働環境ではこのオプションを有効にするのが望ましい )。 AMC では、この設定をレルム単位で構成でき

るようになっていますが、アプライアンスは実際のところ、後にロードされた ADS レルムで指定され

ている設定を使用します。たとえば、 3 つの ADS レルムでこのチェックボックスを選択していて、 4 番目の ADS レルムでは選択解除しているような場合、この機能はすべてのレルムで無効になります。

! 注意 Active Directory over SSL が有効でない場合、パスワードが、暗号化されない状態で Active Directory サーバーに転送されます。内部ネットワークが信頼されていない場合は、 SSL を有効にする

必要があります。 Active Directory サーバーでも、 SSL の使用を有効にしなければなりません。詳細に

ついては、 Microsoft Active Directory のマニュアルを参照してください。


Active Directory 認証を行うための LDAP の構成

Active Directory でデジタル証明書を使用している場合、 LDAP を使用して Active Directory で認証する必

要があります。 LDAP サーバーを構成する手順については、 74 ページの「LDAP および LDAPS 認証の構成」

で定義しています。 LDAP を構成するとき、ディレクトリの照会時に使用する属性について、特に注意を払わ

なければなりません。 Active Directory のインプリメンテーションはどの場合も異なっているため、実際の Active Directory スキーマでオブジェクトクラスおよび関連する属性がどのように構成されているか知ってい

なければなりません。

次の表は、ユーザー名 / パスワードクレデンシャルを検証するときに使用される、主要な Active Directory 属性を示しています。すべての属性で大文字と小文字が区別されます。

クライアント証明書を Active Directory にインポートしている場合は、 [Attribute mapping] と [Certificate attribute] に特に注意を払ってください。次の表は、 Active Directory に保管されているクラ

イアント証明書を介して、ユーザーを認証するときに使用する属性を示しています。

メモ

• グループを参照するアクセス制御ルールを作成する場合、ユーザーは、ルールとの一致を求める要求を出

す際、そのグループの明確なメンバーでなければなりません。ネストされたグループのメンバーであって

も、一致したものとして扱われることはありません。このため、大規模な Active Directory 設定などで、

ネストされたグループがある場合は、なんらかの影響を及ぼす可能性があります。

たとえば、「SeattleCampus」グループに「Marketing」という名前のグループが含まれていると仮定し

ます。従業員の「John Doe」は、「Marketing」グループのメンバーですが、「Seattle Campus」グ

ループの明確なメンバーではありません。ネストされたグループがメンバーシップを継承することはない

ため、このメンバーがそのグループの明確なメンバーにならない限り、「SeattleCampus」グループのメ

ンバーとして認識されることはありません。

• Microsoft では、ディレクトリの接続、ブラウズ、修正などといった、 LDAP 操作を容易にするためのグ

ラフィカルなツールを提供しています。 LDP という名前のこのツール (ldp.exe) は、 Windows 2000 Server Support Tools に収録されています。詳細については、「Microsoft Product Support」サイトを


フィールド説明

Login DN Active Directory サーバーとの接続を確立するときに使用される DN。 example.com ドメインにある汎用の Active Directory 構成では、ユーザー名「John Doe」の DN は次のようになります。

cn=John Doe,cn=users,dc=example,dc=com

Search base ユーザー情報の検索を始める AD ディレクトリ内のポイント。通常これは、ユーザー情報が含まれるディレクトリツリーの下層になります。 AD にバインドしているユーザーには、このレベルでこのディレクトリを表示する権限がなければなりません。

一般的なインストールの場合、検索ベースが「cn=users,dc=example,dc=com 」になっているとほとんどのユーザーが検索されます。一部のユーザーが異なるブランチに保管されている場合、高いレベルから検索することもできます ( たとえば「dc=example,dc=com」 )。

User name attribute ユーザー名との一致の際に使用される属性。ほとんどの AD インプリメンテーションでは、sAMAccountName がユーザー ID ( たとえば「jdoe」 ) と一致します。 cn を代わりに使用することもできますが、その場合は、ユーザー ID ( 「jdoe」 ) ではなく、フルネーム ( 「John Doe」 ) で認証しなければならなくなります。

フィールド説明

Attribute mapping ここでは、証明書のユーザー ID フィールドと、対応する Active Directory のユーザー ID フィールドとのマッピングを作成します。マッピングは「a=b」という形式にします。ただしこの場合の「a」は SSL 属性で「b」は LDAP エイリアスになります

• ほとんどのインプリメンテーションでは、「cn=cn」となっている場合、証明書の CN フィールドが、 Active Directory の CN フィールドと一致することを表します。

• ユーザーの電子メールアドレスが証明書の [Email] で定義されている場合、「Email=mail」とすることで、 (Active Directory の [User General] タブで指定されているように ) ディレクトリの対応するフィールドと一致します。

Certificate attribute Active Directory は、ユーザー証明書を userCertificate という名前の属性に保管します。そのため、「userCertificate」と入力します。


Active Directory 認証のための LDAP の例

次に LDAP 構成の例を示します。

例 1 - Active Directory

例 2 - Active Directory

例 3 - デジタル証明書を使用する Active Directory

例 4 - Domino サーバーを使用する LDAP

LDAP および LDAPS 認証の構成

Aventail アプライアンスでは、 LDAP または LDAPS (LDAP over SSL) プロトコルを使用した認証をサポー

トしています。どちらのプロトコルも、ユーザー名 / パスワードクレデンシャルまたはデジタル証明書の検証

に使用することができます。次の図は、一般的な LDAP 構成の例を示しています。

LDAP 接続を SSL で保護する場合、他の構成も必要になります。 LDAP 証明書を、 SSL の信頼できるルートファイルに提供した CA のルート証明書を追加しなければなりません。こうすることで、 LDAP サーバーを装

おうとする試みを排除し、セキュリティを強化することができます。 64 ページの「LDAP または Active Directory over SSL に対する新しいルート証明書の追加」を参照してください。

LDAP サーバーまたは LDAPS サーバーを構成したら、テスト接続を確立して、レルム構成設定を検証するこ

とができます。詳細については、 86 ページの「認証構成のテスト」を参照してください。

メモ

• アプライアンスが LDAP サーバーと通信できるようにするため、ファイアウォールまたはルータを修正す

る必要があります。標準 LDAP では、ポート 389/tcp を使用し、 LDAPS はポート 636/tcp を使用して

通信します。

Login DN CN=AVtest,CN=Users,DC=testusrs,DC=example,DC=com

Search base DC=testusrs,DC=example,DC=com

User name attribute sAMAccountName

Login DN CN=johnDoe,CN=Users,DC=na,DC=example,DC=com

Search base CN=Users,DC=na,DC=example,DC=com

User name attribute sAMAccountname

Attribute mapping Email=mail

Certificate attribute UserCertificate

Login DN CN=Aventail,O=peoplesoft

Search base o=peoplesoft

User name attribute cn

Aventail SSL ( 443)

LDAP ( 389)LDAPS ( 636)

LDAP


ユーザー名とパスワードを使用する LDAP の構成

ユーザー名 / パスワード検証を使用する LDAP 認証サーバーを構成する場合、次の手順を実行します。

ユーザー名 / パスワード検証を使用する LDAP を構成するには




3. [Directory type/protocol] で、 [LDAP] をクリックします。

4. [Credential type] で [Username/Password] をクリックして、 [Continue] をクリックします。

この操作により、 [Configure Authentication Server] ページが表示されます。



• [LDAP server] ボックスに、 LDAP サーバーのホスト名または IP アドレスを入力します。 LDAP サーバーが 389 (LDAP で一般的なポート ) 以外のポートでリッスンする場合、コロンの後に接尾辞

として続けることでポート番号を指定することができます ( たとえば

「myldap.example.com:1300」 )。

• [Login DN] ボックスに、 LDAP サーバーとの接続を確立するときに使用する識別名 (DN) を入力

します。

• [Password] ボックスに、 LDAP サーバーとの接続を確立するときに使用するパスワードを入力し

ます。

• [Search base] ボックスに、ユーザー情報の検索を始める LDAP ディレクトリ内のポイントを入

力します。通常これは、ユーザー情報が含まれるディレクトリツリーの下層になります。たとえ

ば「ou=Users,o=xyz.com」のように入力します。 LDAP ディレクトリにバインドしているユー

ザーには、このレベルでこのディレクトリを表示する権限がなければなりません。

• [User name attribute] ボックスに、ユーザー名との一致の際に使用される属性を入力します。

通常「cn」または「uid」になります。

7. [Group lookup] エリアに情報を入力します。


• LDAP 検索のときに、ユーザーコンテナのグループ属性を検索することにより、ユーザーのグルー

プメンバーシップを判定するようにしたい場合、 [Find groups in which a user is a member] チェックボックスを選択して、 [Group attribute] ボックスにグループ属性を入力し

ます。この属性は、通常「memberOf」になります。属性ベースのグループが LDAP サーバーでサ

ポートされておらず有効でない場合は、このオプションを選択しないでください。

• 静的グループでグループメンバーシップが検索されるようにしたい場合、 [Look in static groups for user members] チェックボックスを選択します。このような検索では、 LDAP ツリー全体について検索しなければならなくなります。そのため、場合によっては、検索対象が非常に

大きくなります。

LDAP サーバーが、属性ベースのグループをサポートしていない場合またはこの機能が有効でない場

合は、このオプションを選択する必要があります。

• 属性グループや静的グループの検索結果をキャッシュして検索時間を短縮したい場合、 [Cache group checking] チェックボックスを選択して、 [Cache lifetime] ボックスに、適切なキャッ

シュ持続時間 ( デフォルトは 1800 秒 ) を秒単位で入力します。

8. LDAP 接続を SSL で保護する場合、 [LDAP over SSL] に情報を入力します。

• LDAP 接続を SSL で保護するときは、 [Use SSL to secure LDAP connection] チェックボッ

クスを選択します。

• 証明書の詳細を表示し、アプライアンスがルート証明書を使用できるか確認するときは、 [View CA Certificate] をクリックします。このとき表示されるファイルには、 LDAP 証明書を発行した CA のルート証明書が含まれている必要があります。これが含まれていない場合は、追加しなければ

なりません。詳細については、 64 ページの「LDAP または Active Directory over SSL に対する新

しいルート証明書の追加」を参照してください。

• LDAP ホストの名前が、 LDAP サーバーで提示された証明書の名前と同じであることを確認する場合

は、 [Match certificate CN against LDAP server name] チェックボックスを選択します。

通常、サーバー名は、デジタル証明書で指定されている名前と一致します。使用しているサーバーで

もこれが当てはまる場合、実稼働環境でこのオプションを有効にすると良いでしょう。こうしておく

と、デジタル証明書または DNS サーバーが危険にさらされた場合でも、許可されていないサーバー

が、 LDAP サーバーをマスカレードすることは困難になります。

9. 必要に応じて [Advanced] エリアに情報を入力します。

• LDAP 参照を有効にするときは、 [Enable LDAP referrals] チェックボックスを選択します。こ

の機能を有効にすると、ある LDAP サーバーが、クライアントの照会に回答できない場合、その回

答を知っている別の LDAP サーバーをそのクライアントに照会できるようになります。この機能を

使用するときは、場合によっては認証プロセスの速度が低下するため、十分注意して使用する必要が

あります。 Microsoft Active Directory に照会して認証するよう LDAP を構成している場合などは、

この機能を無効にしておくと良いでしょう。

• [Server timeout] ボックスに、 LDAP サーバーからの返信を待つ時間を秒単位で入力します。デ

フォルト値は「60」です。


• LDAP サーバーがパスワードの有効期限切れについてユーザーに通知するよう設定する場合、

[Enable password notification] チェックボックスを選択します。 LDAP サーバーのプロンプ

トが表示されたときにユーザーがパスワードを変更できるようにするには、 [Allow user to change password when notified] チェックボックスを選択します。このチェックボックス

はデフォルトで選択されています。これにより、パスワードプロンプトの表示が、 LDAP サーバー

によってコントロールされるようになります。



い。


メモ

• パスワード管理は、適切なディレクトリ拡張をサポートする、 IBM Directory Server などの LDAP サー

バーでのみサポートされています。また、 Web アクセスまたは Aventail Connect を介してアプライア

ンスに接続するユーザーに限って、使用することができます。ユーザーに対しては、 LDAP サーバー上

で、パスワードを変更する権限を与えていなければなりません。

• [Login DN] および [Password] フィールドは、 LDAP サーバーに接続する上で必須というわけではあ

りません。ただし、これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、アプ

ライアンスは匿名で LDAP にバインドするようになります。その場合、ユーザーやグループ情報を見つけ

る上で必要な検索の許可が適切に与えられなくなります。

• 複数の LDAP サーバーを定義している場合、 ldapca.cert ファイルに、すべてのサーバーで必要な CA ルート証明書が含まれていなければなりませんまた、[Match certificate CN against LDAP server name] 設定も、すべてのレルムで同じにする必要があります ( 実稼働環境ではこのオプションを有効に

するのが望ましい )。 AMC では、この設定をレルム単位で構成できるようになっていますが、アプライア

ンスは実際のところ、後にロードされた LDAPS レルムで構成されている設定を使用します。たとえ

ば、 3 つの LDAPS サーバーでこのチェックボックスを選択していて、 4 番目の LDAPS レルムでは選択

解除しているような場合、この機能は 4 つのすべてのサーバーで無効になります。

デジタル証明書を使用する LDAP の構成

デジタル証明書検証を使用する LDAP 認証サーバーを構成する場合、次の手順を実行します。

デジタル証明書検証を使用する LDAP を構成するには




3. [Directory type/protocol] で、 [LDAP] をクリックします。

4. [Credential type] で [Digital certificate] をクリックして、 [Continue] をクリックします。この

操作により、 [Configure Authentication Server] ページが表示されます。




• [LDAP server] ボックスに、 LDAP サーバーのホスト名または IP アドレスを入力します。 LDAP サーバーが 389 (LDAP で一般的なポート ) 以外のポートでリッスンする場合、コロンの後に接尾辞

として続けることでポート番号を指定することができます ( たとえば

「myldap.example.com:1300」 )。

• [Login DN] ボックスに、 LDAP サーバーとの接続を確立するときに使用する識別名 (DN) を入力

します。

• [Password] ボックスに、 LDAP サーバーとの接続を確立するときに使用するパスワードを入力し

ます。

• [Search base] ボックスに、ユーザー情報の検索を始める LDAP ディレクトリ内のポイントを入

力します。通常これは、ユーザー情報が含まれるディレクトリツリーの下層になります。たとえ

ば「ou=Users,o=xyz.com」のように入力します。 LDAP ディレクトリにバインドしているユー

ザーには、このレベルでこのディレクトリを表示する権限がなければなりません。

7. [Matching LDAP Attributes] エリアに情報を入力します。

• [Attribute mapping] ボックスに、証明書のユーザー ID フィールドと、対応する LDAP のユー

ザー ID フィールドとのマッピングを入力します。たとえば、証明書の「cn」フィールドが LDAP の「cn」フィールドと対応する場合、「cn=cn」と入力します。また、証明書の「cn」フィールド

が LDAP の「uid」フィールドと対応する場合は「cn=uid」と入力します。ここで入力するテキス

トでは、大文字と小文字が区別されます。

• [Certificate attribute] ボックスに、ユーザー証明書を保管する LDAP 属性の名前を入力しま

す。これは通常「userCertificate」になります。

8. [Group lookup] エリアに情報を入力します。

• LDAP 検索のときに、ユーザーコンテナのグループ属性を検索することにより、ユーザーのグルー

プメンバーシップを判定するようにしたい場合、 [Find groups in which a user is a member] チェックボックスを選択して、 [Group attribute] ボックスにグループ属性を入力し

ます。この属性は、通常「memberOf」になります。属性ベースのグループが LDAP サーバーでサ

ポートされておらず有効でない場合は、このオプションを有効にしないでください。

• 静的グループでグループメンバーシップが検索されるようにしたい場合、 [Look in static groups for user members] チェックボックスを選択します。この種類の検索では、 LDAP ツリー全体について検索しなければならなくなります。そのため、場合によっては、検索対象が非常に

大きくなります。

LDAP サーバーが、属性ベースのグループをサポートしていない場合またはこの機能が有効でない場

合は、このオプションを選択する必要があります。

• 属性グループや静的グループの検索結果をキャッシュして検索時間を短縮したい場合、 [Cache group checking] チェックボックスを選択して、 [Cache lifetime] ボックスに、適切なキャッ

シュ持続時間 ( デフォルトは 1800 秒 ) を入力します。


9. LDAP 接続を SSL で保護する場合、 [LDAP over SSL] に情報を入力します。

• LDAP 接続を SSL で保護するときは、 [Use SSL to secure LDAP connection] チェックボッ

クスを選択します。

• 証明書の詳細を表示し、アプライアンスがルート証明書を使用できるか確認するときは、 [View CA certificate] をクリックします。この操作により、クライアント証明書と LDAP 証明書を発行

した CA の名前 (1 つまたは複数 ) がリストされます。この名前が含まれていない場合は、追加しな

ければなりません。詳細は、 64 ページの「LDAP または Active Directory over SSL に対する新し

いルート証明書の追加」を参照してください。

• LDAP ホストの名前が、 LDAP サーバーで提示された証明書の名前と同じであることを確認する場合

は、 [Match certificate CN against LDAP server name] チェックボックスを選択します。

通常、サーバー名は、デジタル証明書で指定されている名前と一致します。使用しているサーバーで

もこれが当てはまる場合、実稼働環境でこのオプションを有効にすると良いでしょう。こうしておく

と、デジタル証明書または DNS サーバーが危険にさらされた場合でも、許可されていないサーバー

が、 LDAP サーバーをマスカレードすることは困難になります。

10. [Advanced] エリアに情報を入力します。

• LDAP 参照を有効にするときは、 [Enable LDAP referrals] チェックボックスを選択します。こ

の機能を有効にすると、ある LDAP サーバーが、クライアントの照会に回答できない場合、その回

答を知っている別の LDAP サーバーをそのクライアントに照会できるようになります。この機能を

使用するときは、場合によっては認証プロセスの速度が低下するため、十分注意して使用する必要が

あります。 Microsoft Active Directory に照会して認証するよう LDAP を構成している場合などは、

この機能を無効にしておくと良いでしょう。

• [Server timeout] ボックスに、 LDAP サーバーからの返信を待つ時間を秒単位で入力します。デ

フォルト値は「60」です。


メモ

• [Login DN] および [Password] フィールドは、 LDAP サーバーに接続する上で必須というわけではあ

りません。ただし、これらの値を指定しなかった場合 ( またはパスワードを指定しなかった場合 )、アプ

ライアンスは匿名で LDAP にバインドするようになります。その場合、ユーザーを認証する上で必要な検

索の許可が適切に与えられなくなります。

• その場合、ユーザー認証のための許可が適切に与えられなくなります。ユーザーがクライアント証明書を

使用して認証を受ける場合、ユーザーが接続するそれぞれのサーバーで、信頼できるルートファイルを

構成しなければなりません ( クライアント証明書の確認のため )。詳細については、 65 ページの「クライ

アント証明書の構成」を参照してください。

• 複数の LDAP サーバーを定義している場合、 ldapca.cert ファイルに、すべてのサーバーで必要な CA ルート証明書が含まれていなければなりませんまた、[Match certificate CN against LDAP server name] 設定も、すべてのレルムで同じにする必要があります ( 実稼働環境ではこのオプションを有効に

するのが望ましい )。 AMC では、この設定をレルム単位で構成できるようになっていますが、アプライア

ンスは実際のところ、後にロードされた LDAPS レルムで構成されている設定を使用します。たとえ

ば、 3 つの LDAPS レルムでこのチェックボックスを選択していて、 4 番目の LDAPS レルムでは選択解

除しているような場合、この機能は 4 つのすべてのレルムで無効になります。


RADIUS 認証の構成

アプライアンスは、ユーザー名 / パスワードまたはトークンベースのクレデンシャルを、 RADIUS データベー

スと対照させて検証することができます。次の図は、一般的な RADIUS 構成の例を示しています。

メモ

• アプライアンスが RADIUS サーバーと通信できるようにするため、ファイアウォールまたはルータを修

正する必要があります。 RADIUS 認証プロトコルでは通常、ポート 1645/udp を使用します。また、

RADIUS クライアント ( 一般的にネットワークアクセスサーバーと呼ばれる ) としてアプライアンスの IP アドレスを入れるよう、 RADIUS サーバーを構成しなければなりません。

ユーザー名とパスワードを使用する RADIUS の構成

ユーザー名 / パスワード検証を使用する RADIUS 認証方式を構成する場合、次の手順を実行します。

ユーザー名 / パスワード検証を使用する RADIUS を構成するには




3. [Directory type/protocol] で [RADIUS] をクリックします。

4. [Credential type] で [Username/Password] をクリックして、 [Continue] をクリックします。



6. [Primary RADIUS server] ボックスに、プライマリ RADIUS サーバーのホスト名または IP アドレ

スを入力します。 RADIUS サーバーが 1645 (RADIUS で一般的なポート ) 以外のポートでリッスンす

る場合、コロンの後に接尾辞として続けることでポート番号を指定することができます ( たとえば

「myradius.example.com:1812」と指定すると、 Steel-Belted Radius が使用するポートが設定さ

れる )。

7. [Secondary RADIUS server] ボックスに、セカンダリ RADIUS サーバーのホスト名または IP アド

レスを入力します。必要に応じて、接尾辞としてポート番号を追加することができます。

Aventail

RADIUS

SSL ( 443)

RADIUS ( 1645)


8. [Shared secret] ボックスに、 RADIUS サーバーの通信を保護するためのパスワードを入力します。こ

れは、 RADIUS サーバーで指定されたものと同じシークレットパスワードでなければなりません。

9. [Match RADIUS groups by] リストから、ユーザーが所属するグループの属性を選択します。

RADIUS から返される値が、アプライアンスアクセスルールのグループ部分で使用されます。ルールの

グループ部分で使用されます。次の 3 種類の値があります。

• [None]: グループ属性を無視します。

• [filterid attribute (11)]: FilterID 属性と一致します。

• [class attribute (25)]: Class 属性と一致します。

10. [Retry interval] ボックスに、 RADIUS サーバーからの返信を待つ時間を秒単位で入力します。この時

間が経過すると、接続を再試行します。


• [RADIUS identifier] ボックスに、 RADIUS クライアントを個別に識別するための情報を入力し

ます。この情報は、 RADIUS 要求が構成されるとき、 NAS-Identifier 属性に入れられます。この

フィールドは、 RADIUS サーバーがアプライアンスのホスト名を受け付けられない場合に限って必

要になるもので、その場合にデフォルト識別子として使用されます。

• [Service type] ボックスに、 RADIUS Service-Type の整数を入力します。この値は、 RADIUS サーバーに、どのタイプのサービスを要求するか通知するものです。ほとんどの RADIUS サーバー

では、「1」 ( ログイン ) または「8」 ( 認証のみ ) を入力します。

• RADIUS サーバーが、 UTF-8 文字エンコーディングをサポートしていない古いバージョンの RADIUS プロトコルを使用する場合、 [Local Encoding] エリアの [Selected] リストからエン

コーディングスキームを選択します。また [Other] ボックスに直接入力することもできます。詳

細については、 289 ページの「RADIUS ポリシーサーバーの文字セット」を参照してください。



い。



トークンを使用する RADIUS の構成

このアプライアンスでは、 SecurID や SoftID など、 RADIUS サーバーのデータベースと照会して検証する

トークンベースのクレデンシャルもサポートしています。トークンベースのクレデンシャルを使用する RADIUS 認証方式を構成する場合、次の手順を実行します。

トークン検証を使用する RADIUS を構成するには




3. [Directory type/protocol] で [RADIUS] をクリックします。

4. [Credential type] で [Token/SecurID] をクリックして、 [Continue] をクリックします。この操

作により、 [Configure RADIUS Authentication] ページが表示されます。


6. [Primary RADIUS server] ボックスに、プライマリ RADIUS サーバーのホスト名または IP アドレ

スを入力します。 RADIUS サーバーが 1645 (RADIUS で一般的なポート ) 以外のポートでリッスンす

る場合、コロンの後に接尾辞として続けることでポート番号を指定することができます ( たとえば

「myradius.example.com:1812」と指定すると、 Steel-Belted Radius が使用するポートが設定さ

れる )。

7. [Secondary RADIUS server] ボックスに、セカンダリ RADIUS サーバーのホスト名または IP アド

レスを入力します。必要に応じて、接尾辞としてポート番号を追加することができます。

8. [Shared secret] ボックスに、 RADIUS サーバーの通信を保護するためのパスワードを入力します。こ

れは、 RADIUS サーバーで指定されたものと同じシークレットパスワードでなければなりません。

9. [Match RADIUS groups by] リストから、ユーザーが所属するグループの属性を選択します。

RADIUS から返される値が、アプライアンスアクセスルールのグループ部分で使用されます。ルールの

グループ部分で使用されます。次の 3 種類の値があります。

• [None]: グループ属性を無視します。

• [filterid attribute (11)]: FilterID 属性と一致します。

• [class attribute (25)]: Class 属性と一致します。


間が経過すると、接続を再試行します。



• [RADIUS identifier] ボックスに、 RADIUS クライアントを個別に識別するための情報を入力し

ます。この情報は、 RADIUS 要求が構成されるとき、 NAS-Identifier 属性に入れられます。この

フィールドは、 RADIUS サーバーがアプライアンスのホスト名を受け付けられない場合に限って必

要になるもので、その場合にデフォルト識別子として使用されます。

• [Service type] ボックスに、 RADIUS Service-Type の整数を入力します。この値は、 RADIUS サーバーに、どのタイプのサービスを要求するか通知するものです。ほとんどの RADIUS サーバー

では、「1」 ( ログイン ) または「8」 ( 認証のみ ) を入力します。

• RADIUS サーバーで構成しているユーザーパスワードプロンプトが表示されるようにする場合、

[Use RADIUS server password prompt] チェックボックスを選択します。 RADIUS サー

バーでプロンプトが構成されていない場合、アプライアンスは、 [Custom password prompt] ボックスの内容をプロンプトとして表示します。

アプライアンスがユーザーパスワードプロンプトを生成するようにしたい場合、 [Use RADIUS server password prompt] チェックボックスを選択解除した状態にして、 [Custom password prompt] ボックスにプロンプトを入力します。たとえば、 SecurID プロンプトを作成

する場合、「Please enter your PASSCODE:」と入力することができます。このボックスと RADIUS サーバーの双方でプロンプトが指定されていない場合、「Enter Password:」というプロン

プトが生成されます。

• RADIUS サーバーが、 UTF-8 文字エンコーディングをサポートしていない古いバージョンの RADIUS プロトコルを使用する場合、 [Local Encoding] エリアの [Selected] リストからエン

コーディングスキームを選択します。また [Other] ボックスに直接入力することもできます。詳

細については、 289 ページの「RADIUS ポリシーサーバーの文字セット」を参照してください。


Netegrity SiteMinder または RSA ClearTrust 認証の構成

Aventail アプライアンスでは、 1 台の Netegrity SiteMinder または RSA ClearTrust 認証サーバーからクレ

デンシャルを受け取る認証をサポートしています。ただしこのアプライアンスでは、両方のタイプの認証サー

バーを同時に使用することはできません。またユーザーは、 Web ブラウザを介して接続する場合に限って、こ

れらのサーバーによる認証を受けることができます。

次の図は、 Netegrity SiteMinder または RSA ClearTrust 認証の一般的な構成を示しています。

Aventail

NetegritySiteMinder

RSAClearTrust

Web


Netegrity SiteMinder 構成

Netegrity SiteMinder をユーザーの認証のために構成する場合、 SiteMinder サーバーがユーザークレデン

シャルとエージェント名をアプライアンスに送信します。その上で、クレデンシャルがアプライアンスでホス

トされるようになります。

AMC で認証サーバーを設定する前に、 Netegrity ポリシーサーバーを構成しなければなりません。ポリシーサーバーは、次の手順で構成します。

1. エージェントを作成します。

2. aventailconfobj という名前のエージェント構成オブジェクトを作成します。

3. ホスト構成オブジェクトを作成します ( このオブジェクトの名前についても、この後、認証サーバーを構

成するときに AMC で入力 )。

4. 認証スキームを作成します。

5. ドメインを作成します。そのドメインの下に、エージェントに対するレルムを作成し、さらにそのレルム

の下に、ルート「/」ディレクトリを保護するためのルールを作成します。

6. これらのルールに対するポリシーを作成します。

7. 以下の方法により、 AMC で Netegrity 認証サーバーを構成します。

AMC で Netegrity SiteMinder 認証を構成するには




3. [Directory type/protocol] で [Netegrity SiteMinder] をクリックして、 [Continue] をクリッ

クします。この操作により、 [Configure Authentication Server] ページが表示されます。


5. [Primary SiteMinder server] ボックスに、プライマリ RADIUS サーバーのホスト名または IP アド

レスを入力します。 SiteMinder サーバーがデフォルト 44442 以外のポートでリッスンする場合、コロ

ンの後に接尾辞として続けることでポート番号を指定することができます。

6. [Secondary SiteMinder server] ボックスに、プライマリサーバーが使用できないときに使用され

るサーバーのホスト名または IP アドレスを入力します。

7. [Administrator username] ボックスおよび [Administrator password] ボックスに、

SiteMinder サーバーの管理者のユーザー名とパスワードを入力します。

8. [Host configuration object] ボックスに、 Netegrity SiteMinder サーバーで構成したホスト構成オ

ブジェクトを入力します。



AMC で Netegrity 認証サーバーを構成したら、 AMC は、このサーバーをネットワーク設定のホスト名として

登録します。 Netegrity 認証サーバーを再度登録 / 設定する場合は、必ず事前に、信頼されているホストのエ

ントリを Netegrity ポリシーサーバーから削除するようにしてください。

RSA ClearTrust 構成

RSA ClearTrust をユーザーの認証のために構成する場合、アプライアンスが RSA ClearTrust エージェント

をホストできないため、外部サーバーの URL を指定する必要があります。また、構成の際は、 ClearTrust サーバーにインストールしなければならない秘密鍵および CGI スクリプトが含まれる .zip ファイルをエクス

ポートしなければなりません。

RSA ClearTrust 認証を構成するには




3. [Directory type/protocol] で [RSA ClearTrust] をクリックして、 [Continue] をクリックしま

す。この操作により、 [Configure Authentication Server] ページが表示されます。


5. [ClearTrust server URL] ボックスに、 ClearTrust エージェントをホストするサーバーの URL を入

力します。 ClearTrust サーバーが、デフォルトの 636 以外のポートで聴取している場合、ポート番号を

コロンで区切って指定することができます。セキュア SSL 接続を使用したい場合、このボックスで

「https://」プロトコルを指定します。

6. [Export] ボタンをクリックすると、 .zip ファイル ( デフォルト名、 ctAgent.zip) が保存されます。こ

の圧縮ファイルには、 RSA ClearTrust サーバー、または RSA ClearTrust Web エージェントのインス

トール対象コンピュータにインストールしなければならない秘密鍵および CGI スクリプトが含まれます。

秘密鍵ファイルは「webagent.key」という名前で、 /usr/local/webagent ディレクトリに含まれてい

なければなりません。また、 RSA ClearTrust web エージェントをインストールするコンピュータの場合

は、 /usr/lib ディレクトリに openssl ライブラリ、または libssl.so.0.9.7 および libcrypto.so.0.9.7 以降のライブラリが含まれていなければなりません。 CGI スクリプトは、 Apache サーバーの /cgi-bin ディレクトリ上に置かれていなければなりません。


メモ

• RSA ClearTrust サーバーに CGI スクリプトファイルをインストールするときは、そのサーバーで、そ

のファイルの所有者、グループ、権限を正しく設定する必要があります。


ローカルユーザー認証の構成

AMC で、ローカルユーザーアカウントを作成し、それをローカル認証リポジトリに対応させることができま

す。アプライアンスは、ユーザー名 / パスワードクレデンシャルを、 /etc/passwd にローカルに保管されて

いるユーザー情報と照らし合わせてチェックします。ローカルユーザー認証は、あくまでテストのために使用

するものであり、実稼働環境ではお勧めできません。ローカルユーザーアカウントの作成方法については、

138 ページの「ローカルユーザーアカウントの管理」を参照してください。

ローカルユーザー認証を構成するには




3. [Directory type/protocol] で [Local users] をクリックして、 [Continue] をクリックします。




認証構成のテスト

認証構成の設定を検証するため、 Microsoft Active Directory サーバーおよび LDAP サーバーを構成するため

の AMC ページには、 [Test connection] ボタンがあります。このボタンをクリックすると、外部ユーザーリポジトリとの通信が確立され、ステータスが送信されます。

アプライアンスの構成が正しい場合、ボタンのそばに「Valid connection!」というメッセージが表示されま

す。構成の設定に問題がある場合は、問題について簡単に記述したメッセージが表示されます。

メモ

• テスト接続機能は、あくまでもアプライアンスが外部ディレクトリにバインドできるかどうかテストする

ために用意されているものです。ログインクレデンシャルを入力した場合アプライアンスはそれを使用

しますが、それ以外の場合はディレクトリにアノニマスでバインドしようとします。実際にはディレクト

リを検索しないため、接続のテストを実行しても、構成されているドメインに、このログインクレデン

シャルでアクセスできるかどうかは検証されません。

シングルサインオンの構成

シングルサインオン (SSO) を使用すると、アプライアンスがユーザーのクレデンシャルをバックエンド Web リソースに転送できるようになります。基本 HTTP 認証転送以外に、次の SSO オプションを構成することが

できます。

• NTLM 認証転送。ユーザーの認証クレデンシャルとあわせて、 Windows ドメイン名を送信します。

• Netegrity SiteMinder のサポート。ユーザー認証クレデンシャルを SiteMinder サーバーに転送しま

す。 Netegrity SiteMinder は、 SSO 機能を持つ認証サーバーとして構成することができます。 84 ペー

ジの「Netegrity SiteMinder 構成」を参照してください。

シングルサインオン (SSO) を使用すると、ユーザーが複数回ログインする ( いったんアプライアンスに入っ

てから、再びアプリケーションリソースにアクセスし直す ) 手間を省くことができます。


概要 : シングルサインオン

シングルサインオン (SSO) を使用すると、アプライアンスがユーザーのクレデンシャルをバックエンド Web リソースに転送できるようになります。これにより、ユーザーが複数回ログインする ( いったんアプライアン

スに入ってから、再びアプリケーションリソースにアクセスし直す ) 手間を省くことができます。

このアプライアンスでは、次のようなタイプの Web SSO をサポートしています。

• 基本認証転送。広くサポートされている認証転送方式ですが、ネットワークでパスワードをそのまま送信

するため、あまり安全とは言えません。それぞれのユーザー認証クレデンシャルを送信するようアプライ

アンスを構成できる他、「静的」クレデンシャル ( つまり、すべてのユーザーで同じクレデンシャルを使

用 ) を設定することもできます。基本認証転送は、 Web アプリケーションプロファイル内で構成します。

97 ページの「Web アプリケーションプロファイルの追加」を参照してください。

• NTLM 認証転送。 Windows ネットワーククレデンシャルを Microsoft IIS (Internet Information Services) Web サーバーに安全に送信できるようにします。NTLM (Windows NT LAN Manager の略 ) では、ネットワーク経由でパスワードをそのまま送信したりすることなく、チャレンジ / レスポンスメカ

ニズムを使用して、ユーザーを安全に認証します。 NTLM 認証転送では、ユーザーの認証クレデンシャル

とあわせて、 Windows ドメイン名も渡します。

セキュリティのため、 SSO はデフォルトでオフになっています。次の表では、さまざまなタイプの SSO を構

成するときの手順をまとめています。

メモ

• Aventail の標準 Web アクセスエージェントでは、SSL で保護されたバックエンド Web サーバーに対す

るシングルサインオンをサポートしていません。標準 Web エージェントを介して、これらのリソースへ

のリンクにアクセスする場合、シングルサインオンが提供されません。 HTTPS リソースで基本認証また

は NTLM 認証転送を実行するには、 Web リソースに対するエイリアスを作成し、 ASAP WorkPlace で、

それをリンクとして追加します。こうすることで、トランスレーテッド Web アクセスをアプライアンス

に強要します。

NTLM 認証転送の構成

Windows NT LAN Manager (NTLM) 認証を使用すると、ユーザーが、ネットワーク経由でパスワードをその

まま送信したりせずに、安全に認証されている Windows ネットワーク上の Web リソースにアクセスできる

ようになります。

NTLM 認証転送の構成は、 2 段階で行います。初の段階では、転送したい Windows ドメイン名を入れるよ

う認証サーバーを構成します。次に、 Web アプリケーションプロファイルで SSO オプションを有効にして、

ユーザークレデンシャルを転送する Web リソースにそのプロファイルを添付します。 NTLM 認証転送の構成

に移る前に、この予備的な手順を完了していなければなりません。

NTLM 認証転送を構成するには

1. メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作によ

り、 [Authentication] ページが表示されます。

2. [Authentication servers] エリアで、構成するサーバーの名前をクリックします。この操作により、

[Configure Authentication Server] ページが表示されます。

SSO タイプ構成手順

基本認証転送 • Web アプリケーションプロファイルで SSO を使用するよう構成し、どのユーザークレデンシャルを使用するか指定します。

• この Web アプリケーションプロファイルを、SSO を使用する任意の Web リソースに添付します。

NTLM 認証転送 • Web アプリケーションプロファイルで SSO を使用するよう構成し、どのユーザークレデンシャルを使用するか指定します。

• この Web アプリケーションプロファイルを、SSO を使用する任意の Web リソースに添付します。

• SSO を使用する認証サーバーごとに、ドメイン名を構成します。


3. [Advanced] エリアの [NTLM authentication forwarding] セクションで、転送するドメイン名

を指定します。

• ドメイン名を指定する場合、 [Forward a custom domain name] をクリックします。

[Domain name] ボックスにカスタムドメイン名を入力することもできますが、必須ではありま

せん。ドメイン名を指定しない場合、空 ( 「ヌル」 ) のドメイン名がユーザークレデンシャルとあわ

せて転送されます。

• ( ページ上部の [Name] ボックスで指定した ) 認証サーバー名をユーザークレデンシャルとあわせ

て転送する場合、 [Forward the authentication server name as domain name] をク

リックします。

4. Web アプリケーションプロファイルで [Single Sign-On] オプションを有効にします。 Web アプリ

ケーションプロファイルの詳細については、 97 ページの「Web アプリケーションプロファイルの追加」


メモ

• クレデンシャルが一致しない状況で NTLM 認証転送を使用するには、NTLM をサポートする Web ブラウ

ザを実行していなければなりません。

• シングルサインオンが有効な場合、Web プロキシサービスとバックエンドサーバーが、使用されている

認証方式を判定します。AMC で 1 つの認証方式 ( 基本認証または NTLM 認証 ) のみが有効になっている

場合、認証方式が使用されます。ただし、 AMC で基本認証と NTLM 認証の両方が有効な場合、 NTLM 認証の方が安全な方法であるため、こちらが使用されます。

次のステップ

基本的なネットワーク設定が終わり、アプライアンスに対する SSL 証明書を取得して、認証設定を構成した

ら、ユーザーとユーザーグループの管理、リソースの定義、アクセス制御ルールの構成に着手することができ

ます。


第 5 章セキュリティ管理

セキュリティの管理は、管理者の役割のうちでも重要なものでしょう。 Aventail ASAP Management Console (AMC) を使用すると、セキュリティ管理の機能 ( リソースやアクセス制御ルールなど ) を簡単に管

理できるようになります。

リソースの作成と管理

この節では、リソース、リソースグループ ( リソースの集まり )、Web アプリケーションプロファイル (Web リソースの構成設定 ) を作成し管理する方法について説明します。リソースは、アクセス制御ルールで参照す

る前に定義できますが、アクセス制御ルールインタフェースから新しいリソースを直接定義することもできま

す。詳細については、 110 ページの「アクセス制御ルールからのユーザーとリソースの追加」を参照してくだ

さい。

リソースのタイプ

Aventail アプライアンスでは、広範囲の企業リソースを管理します。企業リソースは、 Web リソース、ネッ

トワークリソース、ファイルシステムリソースの 3 種類に分けることができます。

Web リソース

Web リソースには、HTTP や HTTPS を使用してアクセスする、Web ベースのアプリケーションやサービスが

含まれます。たとえば、Microsoft Outlook Web Access などの Web ベースの電子メールプログラム、Web ポータル、企業イントラネット、標準 Web サーバーなどがこれに該当します。

Web トラフィックは、 Aventail Web プロキシサービスを介してプロキシされます。ユーザーは、このセキュ

アなゲートウェイを経由して、インターネットからプライベートな Web リソースにアクセスできるようにな

ります。 Web リソースは、 Web アクセス制御ルールの接続先としてのみ使用することができます。詳細につ

いては、 100 ページの「アクセス制御ルールの構成」を参照してください。

90 | 第 5 章 - セキュリティ管理

Web リソースは、さまざまな方法で定義することができます。

メモ

• Web ベースのアプリケーションの中には、 HTTP 以外のプロトコルを使用してトラフィックを送信する Java アプレットや、その他のブラウザエクステンションを使用するものがあります。これらのアプリ

ケーションについても Web ブラウザを使用してアクセスしますが、 (Web リソースとしてではなく ) ネットワークリソースとして定義し、ネットワークトンネルサービスまたはネットワークプロキシサービスを使用してアクセスしなければなりません。このようなアプリケーションには、 Citrix NFuse や Oracle J-Initiator の他、特定バージョンの SAP や PeopleSoft があります。

ネットワークリソース

ネットワークリソースは、 TCP/IP 経由で動作するクライアント / サーバー企業アプリケーションです (UDP を使用するアプリケーションを含む )。このようなアプリケーションには、 Citrix のようなシンクライアントアプリケーション、 Microsoft Outlook のようなフルクライアント / サーバーアプリケーション、 Lotus Notes、 SAP、ターミナルサーバーなどがあります。

このタイプのクライアント / サーバーアプリケーションは、ホスト名、 IP アドレスまたは IP 範囲、サブネッ

ト IP アドレス、 DNS ドメインなどを指定することによって定義します。ネットワークリソースは、複数の Web リソースを含むネットワークオブジェクト ( ドメインなど ) を定義する場合や、接続要求の送信元ごと

にアクセスを制御するためのネットワークオブジェクトを定義する場合にも使用することもできます。

次の表は、これらのリソースタイプを定義する際の構文を表しています。ホスト名は、完全修飾にすることが

できる他、非修飾で指定することもできます。

メモ

• Microsoft Outlook は、非修飾ホスト名を使用して、 Microsoft Exchange に接続します。そのため、

Microsoft Exchange サーバーをネットワークリソースとして定義するときは、非修飾名 ( たとえば

「CorpMail」 ) で定義しなければなりません。

• ネットワークトンネルクライアントを使用するとき、ローカル DNS で解決できるリソースは、ホスト

名ではなく、 IP アドレスを使用して定義する必要があります。ほとんどの企業では、内部ネームスペー

スをパブリック DNS にパブリッシュしていません。したがって、スプリットトンネルモードで動作する

際にローカルリソースに対する侵入アクセスを防止するために、ネットワークトンネルクライアントが

過剰防衛することから、名前に基づくトラフィックをネットワークアプライアンスを通してリダイレク

トしなくなります。

ユーザーのローカル DNS クライアントが、プライベートネットワークでホスト名を解決できる場合、ホ

スト名を名前ではなく IP アドレス ( 単一のアドレスまたは IP 範囲やサブネット ) で定義する必要があ

ります。このような構成にすれば、トンネルクライアントが、 VPN リソースにアクセスするため、アプ

ライアンスをそのまま通過して、ルートを正しく確立できるようになります。 ( 通常、このような構成は

テスト環境など、実稼働に移る前の環境で使用される。 )

URL のタイプ例

標準 URL http://host.example.com/index.html

ポート番号付きの標準 URL http://host.example.com:8445/index.html

セキュアサイトの URL https://host.example.com/index.html

IP アドレスを含む URL http://192.0.34.0/index.html

リソースタイプ例

ホスト名 bart.private.example.com

ホストの IP アドレス 192.0.34.72

IP 範囲 192.0.34.72 - 192.0.34.74

サブネット 192.0.34.0 / 255.255.255.0

ドメイン名 private.example.com

Windows ドメイン example または example.com


ファイルシステムリソース

ファイルシステムリソースには、ユーザーが ASAP WorkPlace を介してアクセスできる共有フォルダや共有

ファイルがある Windows ネットワークサーバーまたはコンピュータが含まれます。

ファイルシステムリソースの場合、 UNC パスを入力して個々のファイルシステム共有を定義できる他、完全

な Windows ドメインを定義することもできます。

• 完全な Windows ドメインを定義すると、そのドメイン内のすべてのネットワークファイルリソースに

対してユーザーアクセスを許可することができます。

• 個々のファイルシステムリソースを、完全なサーバー ( たとえば \\ginkgo)、共有フォルダ ( たとえば \\john\public)、ネットワークフォルダ (\\ginkgo\news) として設定することができます。

• ファイルシステムリソースから、ユーザーの個人フォルダを参照することもできます。この機能を使用

すると、 ASAP WorkPlace で単一のショートカットを作成し、カレントユーザーの個人フォルダを動的

に参照するよう設定することができます。

たとえば、 [Add/Edit Resource] ページの [Network share] ボックスで

「\\users\XXX_Username_XXX」と入力してリソースを作成すると仮定します。次に、このリソースを

参照する WorkPlace ショートカットを作成し、 [Link text] ボックスに

「\\users\XXX_Username_XXX」と入力します。ユーザー jdoe が、 ASAP WorkPlace に接続すると

き、変数が自動的にユーザー名で置き換えられ、「\\users\jdoe」という名前のフォルダにアクセスでき

るようになります。また、ユーザー rsmith が同じリンクにアクセスすると、「\\users\rsmith」フォル

ダにアクセスすることになります。

詳細については、 212 ページの「個人フォルダを示すネットワークショートカットの作成」を参照して

ください。

リソースおよびリソースグループの表示

リソースおよびリソースグループは、 [Resources] ページと [Groups] ページにそれぞれ表示されます。

使用可能なリソースおよびリソースグループのリストを表示するには

1. メインナビゲーションメニューから [Resources] をクリックします。

2. 使用可能なリソースを表示する場合は [Resources] タブ、リソースグループを表示する場合は [Groups] タブをそれぞれクリックします。

[Type] 列には、それぞれのリソースまたはリソースグループのタイプが表示されます。ネットワークリソースには、 Web アプリケーションとクライアント / サーバーアプリケーションの両方が含まれま

す。

3. ページに表示されるリソースのタイプをコントロールするときは、 [Show] リストを使用します。

4. 特定リソースの詳細データを表示する場合は、 [Resource] 列の名前をクリックします。

メモ

• アプライアンスには、デフォルトで 1 つまたは複数の読み取り専用リソース定義が付属しています。これ

らの定義は、アプライアンスサービスで必要なものであり、リソースリストに表示されます。


リソースの追加

リソースを追加するには


2. [Resourcess] ページで、 [New] ボタンをクリックします。この操作により、 [Add/Edit Resource] ページが表示されます。

3. [Name] ボックスに、リソースの名前を入力します。

4. [Description] ボックスに、リソースについてのコメントを入力します。

5. [Resource definition] エリアで、必要なオプションを選択して適切な情報を指定します。

ネットワークリソース :

• ホストには、ネットワーク上の任意のコンピュータを指定することができます。 [Host name or IP] ボックスに、ホスト名 ( 修飾名または非修飾名 ) を入力するか、ホストの完全な IP アドレス

を、ドット区切りの十進数形式 (w.x.y.z) で入力します。

• IP 範囲では通常、サブネット内の部分的な範囲のコンピュータを識別します。 [IP range] エリア

で、 IP 範囲の開始アドレス ([From]) と終了アドレス ([To]) を、ドット区切りの十進数形式 (w.x.y.z) で入力します。

• サブネットは、共通のアドレスコンポーネントを共有するネットワークの一部を指します。

[Subnet] エリアで、 IP アドレス ([IP address]) とサブネットマスク ([Subnet mask]) を、

ドット区切りの十進数形式 (w.x.y.z) で入力します。

• ドメインは、 1 つまたは複数のホストを包含する領域です。 [Domain] ボックスに、ドメインの名

前 ( たとえば「example.com」 ) を入力します。

Web リソース :

• Web リソースを定義するには、 [URL] を選択して、適切な URL を入力します。ここでは、

「http://」や「https://」などのプロトコル識別子を指定しなければなりません。


ファイル共有リソース :

• 特定のファイルシステムリソースを定義するには、 [Network share] ボタンをクリックして、

UNC パスを入力します。ここでは、完全なサーバー ( たとえば \\ginkgo)、共有フォルダ ( たとえ

ば \\john\public)、ネットワークフォルダ (\\ginkgo\news) を指定することができます。

• ネットワーク上のユーザーの個人フォルダを参照するには、 [Network share] ボタンをクリック

し、変数「XXX_Username_XXX」を入れて、 UNC パスを入力します。この機能を使用すると、

ASAP WorkPlace で単一のショートカットを作成し、カレントユーザーの個人フォルダを動的に参

照するよう設定することができます。

• 完全な Windows ドメインを定義するには、 [Domain] をクリックして、 [Windows domain] チェックボックスを選択し、 NetBIOS 構文または DNS 構文で ( 「example」、「example.com」

など ) ドメイン名を入力します。完全な Windows ドメインを定義すると、ドメイン内のすべての

ネットワークファイルリソースに対してユーザーアクセスを許可することができます。

6. オプションで、 [Create shortcut on ASAP WorkPlace] チェックボックスを選択することにより、

WorkPlace に Web リソースまたはファイルシステムリソースのショートカットを追加することができ

ます。このリソースに割り当てている名前が、 WorkPlace の [Resource] 列に表示されます。 ( このオ

プションはネットワークリソースでは使用できない )

7. 定義しているリソースによっては、 Web アプリケーションプロファイルやエイリアスなど、追加の設定

を構成することができます。 [Advanced] オプションを表示する場合、下向き矢印のボタンをクリック

します。 93 ページの「高度なリソースオプションの使用」を参照してください。

8. 設定が終わったら、 [Save and Add Another] をクリックして、他のリソースを定義することができ

ます。また、 [Save] をクリックして終了することもできます。この操作により、 [Resources] ページ

に戻ります。

高度なリソースオプションの使用

次の表は、高度なオプションと、それぞれのオプションがサポートするリソースタイプを示しています。

高度なオプション説明リソースタイプ

[Alias name] プライベート URL を表すパブリックなエイリアスを指定するときは、このオプションを使用します。このエイリアスの名前はユーザーに提示されるため、憶えやすい名前を使用します ( 短く具体的なほど良い )。次のような場合、 [Alias name] を指定すると良いでしょう。

• このリソースに対する内部ホスト名を隠したい場合。

• この URL リソースが、[Network Settings] ページの [Name Resolution] タブで構成されている検索ドメインに含まれていない場合。

Web

[Synonyms] URL リソース名の代替名 ( 「シノニム」 ) を定義するときは、このオプションを使用します。これは、ユーザーが異なる名前 ( 通常、非修飾名や圧縮名 ) を使用してサーバーにアクセスする場合や、 Web ページに DNS エイリアスを示すリンクが含まれていて、その名前を Web プロキシサービスが正しく変換できない場合などに使用すると便利です。複数のシノニムを指定する場合はセミコロンで区切ります。

このアプライアンスは、リソースのショートカットを自動的にシノニムとして定義します。たとえば URL が「http://mail.example.com」の場合、アプライアンスは「maill」というシノニムを追加します。ただしこれについては、 [Synonym] ボックスに表示されません。

Web


リソースの編集

リソースを修正する前に、関連するルールを慎重に検討して、その変更がセキュリティポリシーにどのような

影響を与えるか検証してください。

リソースを編集するには


2. [Resources] ページで、編集するリソースの名前をクリックします。

3. [Add/Edit Resource] ページで、必要に応じて値を編集します。


メモ

• 既存のネットワークリソースの定義設定は、変更することができません ( たとえばホスト名を IP 範囲に

変更するなど )。そのような場合は、新しいネットワークリソースを作成して、適切な定義設定を適用し


• 既存の ASAP WorkPlace ショートカットの定義は、変更することができません。そのような場合は、

[WorkPlace Shortcuts] ページで新しいショートカットを作成して、適切なリソース設定を適用しな

ければなりません。

リソースの削除

アクセス制御ルール、リソースグループ、 WorkPlace ショートカットで参照されているリソースは、削除す

ることができません。リソースを削除する前に、そのリソースを参照しているルールからそれを除外しなけれ

ばなりません。詳細については、 43 ページの「参照されているオブジェクトの削除」を参照してください。

リソースを削除するには


2. [Resources] ページで、削除するリソースの左側にあるチェックボックスを選択します。

3. [Delete] ボタンをクリックします。このリソースが、依然としてアクセス制御ルール、リソースグルー

プ、 WorkPlace ショートカットなどで参照されている場合、 AMC にエラーメッセージが表示されます。

エラーメッセージのリンクをクリックすると、このリソースグループに対する参照がすべてリストされ

ます。

[Allow public access]

この URL に無制限のアクセスを許可したい場合、このチェックボックスを選択します。 I このオプションがオンの場合は、ユーザーの身元を識別するための認証が行われません。これは、内部 Web リソースに対してパブリックアクセスを許可する場合に使用すると便利です。 ( あるリソースへのパブリックアクセスを許可するときは、「Any」ユーザーによるそのリソースへのアクセスを許可するルールを作成しなければならない )

Web

[Web application profile]

このリストには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web プロファイルの他、カスタム Web プロファイルやデフォルト Web プロファイルが含まれます。どのプロファイルを選択すればよいかわからない場合は、デフォルトのオプションをそのまま選択してください。プロファイルを参照するには、 [View selected profile] をクリックします。詳細については、 97 ページの「Web アプリケーションプロファイルの追加」を参照してください。

Web

ネットワーク

高度なオプション説明リソースタイプ


リソース排除リストの使用

デフォルトでは、アクセスエージェントおよび Web ブラウザが、 AMC で定義している対象リソースに対し

て、アプライアンスを介して接続をリダイレクトするようになっています。

ただし、場合によっては、アプライアンスでリダイレクトしたくないリソースもあります。たとえば、ユー

ザーがアプライアンスを介して Outlook Web Access にアクセスしており、アプライアンスで構成されている

ドメインリソース内のパブリックサイトへのリンクが含まれた電子メールメッセージを読み込んだ場合、こ

のトラフィックは、アプライアンスを介して送信されることになります。この場合、排除リストでこのパブ

リックリソースを指定することによって、これを防ぐことができます。

リソース排除リストを使用すると、ホスト名、 IP アドレス、アプライアンスを介してリダイレクトされるドメ

インなどのリソースを指定することができます。ドメインを指定するときは、ワイルドカード文字のアステリ

スク (*) や疑問符 (?) を使用することもできます。このリストは、すべてのアクセスサービスに適用されま

す。

リソース排除リストは、アクセス制御やセキュリティには影響を及ぼしません。特定のホスト名、 IP アドレ

ス、ドメイン名に対するアクセスを防止したい場合、アクセス制御ルールで拒否ルールを作成する必要があり

ます。

リソース排除リストにリソースを追加するには


2. [Resources] ページで、ページの下部にある [Resource exclusion list] リストに対応するリンク

をクリックします。この操作により、 [Resource Exclusion List] ページが表示されます。

3. [Exclusion list] ボックスに、アプライアンスを介したリダイレクトの対象から除外したいホスト名、 IP アドレス、ドメインを入力して、 [Add] ボタンをクリックします。

ドメインを入力する際は、ワイルドカード文字 ( 「*」や「?」など ) を使用できます。

4. [Save] をクリックします。この操作により、 [Resources] ページに戻ります。

メモ

• どのリソースが、アプライアンスを介したリダイレクトの対象になっているか確認したい場合は、

[Show network redirection list] リンクをクリックします。この操作により、[Redirection List] ページが表示されます。

• リソースを排除リストから削除する場合は、リソース名の右にある [Delete] ボタンをクリックします。

• 完全修飾ドメイン名 (FQDN) を指定することによってリソースを除外した場合、トランスレーテッド Web モードでアクセスを提供するレルムから WorkPlace に接続するユーザーについては、 WorkPlace の [Intranet Address] ボックスで非修飾ドメイン名 (UQDN) を入力すれば、リソースにアクセスす



リソースグループの作成と管理

個別のリソースを定義することができる他、個別のリソースの集まりであるリソースグループ単位でリソース

を管理することもできます。リソースをグループ化すると、同様の特性を持つリソースのセットに対するアク

セスを、便利な方法で管理することができます。たとえば、リモート従業員アプリケーションを含むリソースグループを定義して、これらのリソースへのアクセスを管理するプロセスを簡略化することができます。

リソースグループに入れることができるリソースの数には制限がありません。新しいリソースグループを作

成すると、使用可能なリソースおよびグループのリストに追加されます。この状態になると、アクセス制御

ルールでそのリソースグループを使用することができます。

リソースグループの追加

新しいリソースグループを作成すると、 [Resources] ページの [Groups] タブにある、使用可能グループ

のリストに追加されます。

リソースグループを追加するには


2. [Resources] ページで [Groups] タブをクリックし、 [New] ボタンをクリックします。この操作に

より、 [Add/Edit Resource Group] ページが表示されます。

3. [Name] ボックスに、リソースグループの名前を入力します。

4. [Description] ボックスに、そのグループについてのコメントを入力します。

5. そのグループに入れたいリソースのチェックボックスを選択します。リソースグループに入れることが

できるリソースの数には制限がありません。

6. 設定が終わったら、 [Save and Add Another] をクリックして、他のリソースグループを定義するこ

とができます。また、 [Save] をクリックして終了することもできます。この操作により、

[Resources] ページに戻ります。

リソースグループの編集と削除

リソースグループを修正する前に、関連するルールを慎重に検討して、その変更がセキュリティポリシーに

どのような影響を与えるか検証してください。アクセス制御ルールで参照されているリソースグループは、削

除することができません。リソースグループを削除する前に、そのグループを参照しているルールからそれを

除外しなければなりません。詳細については、 43 ページの「参照されているオブジェクトの削除」を参照し

てください。


Web アプリケーションプロファイルの表示

Web アプリケーションプロファイルは、 [Configure Web Proxy Service] ページの [Web Application Profiles] セクションに表示されます。

Web アプリケーションプロファイルのリストを表示するには

1. メインナビゲーションメニューから [Services] をクリックします。この操作により、 [Services] ページが表示されます。

2. [Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックしま

す。この操作により、 [Configure Web Proxy Service] ページが表示されます。

3. [Web Application Profiles] リンクをクリックすると、使用可能な Web プロファイルが表示されま

す。

このリストには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web アプリケー

ションプロファイルの他、作成しているカスタム Web プロファイルやデフォルト Web プロファイルが

含まれます。

4. Web アプリケーションプロファイルの名前をクリックすると、その設定が表示されます。

Web アプリケーションプロファイルの追加

Web アプリケーションプロファイルは、シングルサインオン特性の他、特定のリソースに対するコンテンツ

変換オプションをコントロールします。すべての Web リソースには、それがネットワークリソースとして定

義されているか Web リソースとして定義されているかに関係なく、対応する Web アプリケーションプロ

ファイルが存在します。

• シングルサインオン ([Single sign-on]) オプション。ユーザーのログインクレデンシャルがダウンス

トリーム Web アプリケーションに転送されるかどうかコントロールし、あわせてその転送方法もコント

ロールします。このオプションは、デフォルトでオフになっています。

• コンテンツ変換 ([Content translation]) オプション。クッキー本体およびクッキーパスにある JavaScript コードのハイパーリンクが Web プロキシサービスによって変換されるかどうかコントロー

ルします。このオプションは、トランスレーテッド Web アクセスエージェントのみが使用し、標準 Web アクセスでは無視されます。

Web アプリケーションプロファイルを追加するには


2. [Access Services] エリアで [Web proxy service] に対する [Configure] リンクをクリックしま

す。この操作により、 [Configure Web Proxy Service] ページが表示されます。


3. [Web Application Profiles] リンクをクリックして、 [New] ボタンをクリックします。 [Add/Edit Web Application Profile] ページが表示されます。

4. [Name] ボックスに、プロファイルの名前を入力します。特定のアプリケーションに対応するプロファ

イルを作成している場合、これを反映するプロファイル名を指定することができます。たとえば、 xyz Web アプリケーションのプロファイルには、「xyz」という名前をつけることができます。

5. [Description] ボックスに、そのプロファイルについてのコメントを入力します。

6. [Single Sign-On] エリアで、ユーザークレデンシャルが Web リソースに渡されるかどうか指定し、

あわせてその方法も指定します。ユーザークレデンシャルを転送すると、ユーザーが複数回ログインす

る ( いったんアプライアンスに入ってから、再びアプリケーションリソースにアクセスし直す ) 手間を

省くことができます。

• [Forward each user's individual username and password] チェックボックスを選択す

ると、 WorkPlace の認証で使用されたユーザー名とパスワードが、バックエンド Web サーバーに

転送されるようになります。

• [Forward static credentials] チェックボックスを選択すると、すべてのユーザーについて同

じユーザー名とパスワードを転送します。これは、 HTTP 基本認証が必要な Web サイトで指定する

と便利ですが、ログイン名に基づいてパーソナライズされた各ユーザーの情報は提供されません。ま

た、クライアント証明書またはトークンで認証するユーザーの場合も役に立ちます。

• どちらのオプションも選択しない場合、シングルサインオン機能はオフになります。両方のオプ

ションを選択すると、個別のユーザー名とパスワードが優先されます。たとえば、ユーザーがユー

ザー名 / パスワードを指定した場合はそれが転送されますが、ユーザー名 / パスワードを指定してい

ない場合は、 Web プロキシサービスが静的なクレデンシャルを転送します。

7. [Content Translation] エリアで、 Web プロキシサービスによる変換を希望する項目を選択します。

• JavaScript コードで埋め込まれた Web リソースのリンクを、 Web プロキシサービスが変換する

よう指定する場合、 [Translate JavaScript code] チェックボックスを選択します。これは、絶

対 URL または絶対参照 (/to/path/xyz) o が含まれる JavaScript や、 URL を動的に生成する JavaScript ( たとえば「location=“http://” + host name + “/index.html”」 ) で使用すると便利

です。この設定により、 JavaScript を使用する、 Microsoft Outlook Web Access などのアプリ

ケーションとの間で互換性が向上します。このチェックボックスは、デフォルトで有効です。


• Web プロキシサービスが、 MIME タイプではなくファイル拡張子からコンテンツタイプを判定す

るよう指定する場合、 [Ignore MIME types] チェックボックスを選択します。通常、 Web プロ

キシサービスは、特定のコンテンツタイプを変換します ( テキストと HTML も含まれる )。その場

合、 HTTP ヘッダの MIME タイプからコンテンツタイプを判定します Web リソースが不正な MIME タイプを送信している場合、このオプションを選択します。この結果、 Web プロキシサービ

スは、ファイル拡張子を基にしてファイルを変換するかどうか判定します。このオプションは、デ

フォルトでは無効です。

• クッキー本体に埋め込む URL を、 Web プロキシサービスが変換するよう指定する場合、

[Translate cookie body] チェックボックスを選択します。クッキー本体に URL を埋め込む方

法は一般的ではありませんが、 Web リソースがこれを行うにもかかわらずこのオプションがオンに

なっていない場合、ユーザー側に問題が発生します ( 一般的な症状として、他の URL に予期せずリ

ダイレクトされてしまうことがある )。このチェックボックスは、デフォルトで有効です。

• バックエンドリソースが送信するクッキーのパス属性を、 Web プロキシサービスが変換するよう

指定する場合、 [Translate cookie path] チェックボックスを選択しますブラウザは、クッキー

をサーバーに返信するタイミングを判定するとき、クッキーパスを使用します。一方、このアプラ

イアンスは、ブラウザが参照するパスを変更するため、クッキーパスが変換されない場合、ブラウ

ザがクッキーを送信しなくなります。このような状況の一般的な症状として、有効な値を入力してい

るにもかかわらず、ログインクレデンシャルが何度も表示されるということが挙げられます。その

場合、このオプションを有効にします。このチェックボックスは、デフォルトで有効です。


メモ

• このアプライアンスには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web アプリケーションプロファイルが付属しています。アプライアンスに付属するプロファイルには、次のよ

うなものがあります。

• Default － NTLM または基本認証のシングルサインオンを使用しない、ほとんどの Web アプリ

ケーションまたはサイトで使用できるデフォルトプロファイル。

• Domino Web Access 6.x － Lotus Domino Web Access 用のプロファイル。バージョン 6.x 専用。

• iNotes 5.x － Lotus iNotes 用のプロファイル。バージョン 5.x 専用。

• Onyx CRM Onyx CRM Employee Portal 用のプロファイル。バージョン 4.x 以降。

• OWA/Single Sign-On － NTLM または基本認証のシングルサインオンを使用する、 Microsoft Outlook Web Access などのサイト用のプロファイル。

• WorkPlaceCfg － ASAP WorkPlace 用の読み取り専用プロファイル。

• Web リソースは、きわめて広範囲に定義できるため、アプライアンスでは、送られてくる要求にどの Web アプリケーションプロファイルを適用するか判定する場合、一定のルールに従います。アプライア

ンスは、も狭い範囲のリソースに対応するプロファイルを選択します。たとえば、ある DNS ドメイン (xyz.com) をリソースとして定義しており、 Web アプリケーションプロファイル A をそれに対応させ

ていると仮定します。またそれ以外に、特定の Web サーバー (web1.xyz.com) をリソースとして定義

しており、 Web アプリケーションプロファイル B をそれに対応させています。この状態で、

https://web1.xyz.com/timesheet.html に対するユーザーの要求が送られてきたら、アプライアンス

は、 Web アプリケーションプロファイル B を使用します。これは、プロファイル B が、 Web アプリケーションプロファイル A ( ドメイン ) よりも狭い範囲のリソース (Web サーバー ) と対応しているた

めです。アプライアンスが実際に使用する順序は次のようになります。

URL --> ホスト名 --> IP アドレス --> サブネット /IP 範囲 --> DNS ドメイン

• 同じ Web アプリケーションプロファイルを、単一ドメイン内のすべてのリソースに対応させる場合、あ

るプロファイルをそのドメインに対応させて、そのドメイン内で定義している個別のリソースについて

は、プロファイルに [None] を選択します。個別のリソースは、そのドメインのプロファイルを「継承」

します。特定のリソースにドメインが対応しておらず、継承するプロファイルがない場合、アプライアン

スは、そのプロファイルのシステムデフォルトを使用します。

Web アプリケーションプロファイルの編集と削除

プロファイルを修正する前に、プロファイルが対応するアプリケーションとその変更事項の間に互換性がある

ことを確認してください。

プロファイルが 1 つまたは複数のリソースと対応している場合、そのプロファイルは削除することができませ

ん。そのプロファイルを削除したい場合、残存するすべての対応を削除しなければなりません。詳細について

は、 43 ページの「参照されているオブジェクトの削除」を参照してください。


アクセス制御ルール

アクセス制御ルールは、ユーザーまたはグループがどのリソースを使用できるか定義するものです。ルールは、

すべてのアクセス方式からのアクセスを受け入れるよう広く定義できる他、特定のアクセス方式 (Web ブラウ

ザ、 Aventail Connect と Aventail OnDemand、 Network Explorer など ) のみを許可するよう狭く定義す

ることもできます。

アクセス制御ルールは、ユーザーの身元に基づいてそのユーザーがリソースにアクセスできるかどうか評価す

る他、 End Point Control ゾーンやデバイスプロファイルを使用し、ユーザーのアクセスポイントの信頼性に

ついて勘案することもできます。これについては、 184 ページの「ゾーンおよびデバイスプロファイルによる EPC の管理」で説明しています。

アクセス制御ルールの構成

時間の経過とともにネットワークが変化するのに合わせて、さまざまなユーザーとグループがどのアプリケー

ションリソースを使用できるか決定するアクセス制御ルールを構成する必要が出てきます。

アクセス制御ルールを追加する前に、既存のルールのリストを慎重に検討します。場合によっては、新しい

ルールを作成せずに既存のルールを修正できる可能性もあります。時間を節約するため、既存のルールをコ

ピーして、そのパラメータを修正することもできます。

新しいルールを追加する場合、現在の構成を確認すると、新しいルールがルール順序のどの位置に適合するか

判定することができます。デフォルトの場合、新しいルールは、アクセス制御ルールの先頭に追加されます。

その後、リスト内の適切な場所に移動することができます。

アクセス制御ルールの表示

アクセス制御ルールは、 [Access Control] ページに番号順に表示されます。アプライアンスは、先頭のルー

ルを初に評価し、次に 2 番目のルールを評価します。デフォルトではすべてのアクセス制御ルールが表示さ

れますが、 [Display] リストを使用することでリソースタイプ別に表示することもできます。

アクセス制御ルールを表示するには

1. メインナビゲーションメニューから [Access Control] をクリックします。この操作により、[Access Control] ページが表示されます。


2. [Display] リストから、表示したいルールセットを選択します。

• リソースタイプに関係なくすべてのアクセスルールを表示する場合、 [All] を選択します。

• Web ベース (HTTP および HTTPS) のリソースに対するアクセスを制御するアクセスルールを表示

する場合、 [Web browser] を選択します。

• クライアント / サーバー (TCP/IP) リソースに対するアクセスを制御するアクセスルールを表示す

る場合、 [Aventail Connect/OnDemand] を選択します。

• ASAP WorkPlace を使用した Windows ファイルシステムリソースに対するアクセスを制御する

アクセスルールを表示する場合、 [Network Explorer] を選択します。

3. アクセス制御ルールのリストに表示されるデータを確認します。

• チェックボックス列は、 1 つまたは複数のルールを選択するときに使用します。ルールの削除 ([Delete] ボタンを使用 )、コピー ([Copy] ボタンを使用 )、順序変更 ([Move Up] ボタンおよ

び [Move Down] ボタンを使用 ) などを行うときにこれを使用します。

• 数値の列は、ルールが評価されるときの順序を示します。ルールを編集するときは、対応する番号を

クリックします。

• プラス記号 (+) の列をクリックすると、選択したルールが拡大され、その構成の詳細と、そのルー

ルで参照されているオブジェクトが表示されます。

• [Action] 列は、ルールがアクセスの許可と拒否のどちらの目的で使用されているか、あるいは無効

になっているかを示します。一致するものが見つかった場合、アプライアンスは、ここで指定された

動作を実行します。アクセスを許可するルールの場合緑色のインジケータ、アクセスを拒否するルー

ルの場合赤いインジケータが、 [Action] 列に表示されます。また、インジケータの上にカーソルを

置くと、その動作のタイプを示すテキストが表示されます。

ルールが無効になっている場合は、 [Action] 列にグレーのインジケータが表示されます。ルールが

無効であれば、そのルールは評価されません。この機能を利用すると、ルールを削除せずに一時的に

無効にすることができるため、非常に便利です。

• [Description] 列には、ルールを作成したときに入力した説明テキストが表示されます。

• [From] 列には、ルールを適用する対象ユーザーが表示されます。この列に「Any」と表示されて

いる場合、そのルールはすべてのユーザーに適用されます。逆方向接続の場合、この列には、ユー

ザーに接続しているリソースが表示されます。 102 ページの「双方向接続のアクセス制御ルール」


• [To] 列には、ルールが適用される接続元リソースが表示されます。この列に「Any」と表示されて

いる場合、そのルールはすべてのリソースに適用されます。逆方向接続の場合、この列には、リソー

スに逆方向接続しているユーザーが表示されます。 102 ページの「双方向接続のアクセス制御ルー

ル」を参照してください。

• [Method] 列には、特定のアクセス方式がルールに対応しているかどうかが示されます。地球アイ

コンにフォルダが付いているアイコンは、 Network Explorer、つまりファイルシステムリソース

への Web アクセスを表しています。 Aventail のロゴが付いている場合は、 Aventail Connect トン

ネルまたはプロキシクライアント、 Aventail OnDemand トンネルまたはプロキシエージェントの

いずれかを介したアクセスを表しています。この列に「Any」と表示されている場合は、そのルール

がすべてのアクセス方式に適用されることを示します。

• [Zone] 列には、アクセスルールが特定の End Point Control ゾーンに対応しているかどうかが示

されます。 EPC ゾーンは、クライアントデバイスの属性に基づいて、接続要求を分類するために使

用されます。この列に「Any」と表示されている場合は、そのルールがすべての EPC ゾーンに適用

されることを示します。赤い「立入禁止」アイコンは、このルールが 1 つまたは複数の特定ゾーン

について、アクセスを制御することを表します。


双方向接続のアクセス制御ルール

VPN 接続には通常、いわゆる順方向接続 ( ネットワークリソースに対してユーザーが始動する ) が伴います。

ただし、ネットワークトンネルサービスを実行しており、 Aventail のネットワークトンネルクライアント (Connect トンネルまたは OnDemand トンネル ) をユーザーに設定する場合、双方向接続が可能になります。

Aventail VPN 内では、双方向接続によって次の機能が実行されます。

• VPN ユーザーからネットワークリソースへの順方向接続。 103 ページの「順方向接続のためのアクセス

制御ルールの追加」を参照してください。

• ネットワークリソースから VPN ユーザーへの逆方向接続。逆方向接続の例には、ユーザーのマシンにソ

フトウェアアップデートを「プッシュ」する SMS サーバーがあります。 105 ページの「逆方向接続のた

めのアクセス制御ルールの追加」を参照してください。

• 相互接続。 VPN ユーザーが他の VPN ユーザーに電話できるようにする Voice over Internet Protocol (VoIP) アプリケーションを特に指します。相互接続では、順方向接続に使用するアクセス制御ルールと

逆方向接続に使用するアクセス制御ルールのペアが必要です。 106 ページの「相互接続のためのアクセス

制御ルールの追加」を参照してください。

その他の双方向接続の例には、 VPN ユーザーとの間でファイルをダウンロードまたはアップロードする FTP サーバーや、リモートヘルプデスクアプリケーションなどがあります。

逆方向接続および相互接続の要件

逆方向接続および相互接続のアクセス制御ルールを構成する場合、次の条件が前提になります。

• アプライアンスでネットワークトンネルサービスが動作していること。これは [Services] ページで実

行します。

• ネットワークトンネルクライアントのための IP アドレスプールを構成していること。これは、

[Configure Network Access Service] > [Network Tunnel Options] ページで実行します。

• VoIP アプリケーションにアクセスするユーザーが、ネットワークトンネルクライアント (Connect トン

ネルまたは OnDemand トンネル ) を設定する構成のコミュニティに所属していること。これは、

[Configure Community] > [Access Methods] ページで実行します。

逆方向接続のためのアプリケーションポートの保護

デフォルトの場合、リソースからユーザーへの逆方向接続では、ユーザーのコンピュータ上のすべてのポート

にアクセスすることができます。セキュリティを向上させるため、逆方向接続のアクセス制御ルールで、アプ

リケーションが特異的に使用するポートのみにアクセスを限定するよう構成する必要があります。アプリケー

ションを使用するときに開けておかなければならないファイアウォールポートについては、アプリケーション

のマニュアルを参照してください。

逆方向接続のアクセスルールを構成するときに、 [Destination restrictions] オプションを使用して、ア

プリケーションが逆方向接続で使用する特定ポートのみにアクセスを限定します。詳細については、 108 ペー

ジの「高度なアクセス制御ルール属性の使用」を参照してください。


順方向接続のためのアクセス制御ルールの追加

ユーザーから接続先リソースに対する順方向接続のためにアクセス制御ルールを追加するときは、次の手順を

実行します。 VoIP アプリケーションなどの相互接続のためにアクセス制御ルールを作成する場合は、 106ページの「相互接続のためのアクセス制御ルールの追加」を参照してください。

順方向接続のためのアクセス制御ルールを追加するには

1. メインナビゲーションメニューから [Access Control] をクリックします。

2. [Access Control] ページで、 [New] をクリックします。この操作により、 [Add/Edit Access Rule] ページが表示されます。

3. [Number] ボックスに数値を入力して、アクセスルールリスト内のルールの位置を指定します。デ

フォルトの場合、新しいルールは、リストの先頭に追加されますが、このボックスを使用すれば、ルール

を任意の場所に入れることができます。たとえば、新しいルールに「3」を割り当てれば、そのルールは、

カレントルール 3 ( その後ルール 4 になる ) の前に挿入されます。このフィールドは必須です。

4. [Description] ボックスに、そのルールについてのコメントを入力します。この手順はオプションです

が、説明を入れておくと、後でルールのリストを参照するときにわかりやすくなるため便利です。また、

このコメントはログファイルにも表示されるため、デバッグの際に役に立ちます。 [ID] は、 AMC が自

動的に割り当てる固有の識別子で、編集することはできません。

5. ルールをアクセスの許可のために使用するか拒否のために使用するかは、 [Action] の [Permit] ボタン

および [Deny] ボタンでそれぞれ指定します。また、 [Disabled] でルールを無効にすることもできま

す。

6. [Basic settings] エリアで、次の情報を入力します。

• ユーザーからリソースへの順方向接続の場合は、 [User] ボタンを選択します。 [User] ボタンと [Resource] ボタンは切替式になっており、それぞれ順方向接続ルールと逆方向接続ルールに対応

しています。

• [From] ボックスでは、ルールを適用するユーザーまたはユーザーグループを指定します。ユー

ザーやグループをリストから選択する場合は、 [Edit] をクリックします。ユーザーやグループが指

定されていない場合、このフィールドの値はデフォルト値の「Any user」になります。

• [To] ボックスでは、ルールを適用するリソースまたはリソースグループを指定します。リソースを

リストから選択する場合は、 [Edit] をクリックします。接続先リソースが選択されていない場合、

このフィールドの値はデフォルト値の「Any resource」になります。


7. [Access methods] エリアで、リソースへのアクセスをコントロールするアクセス方式を 1 つまたは

複数選択します。

• [Any] の場合、要求を出すアクセス方式が何であるかに関係なく、ルールのすべてのリソースに対

するアクセスを管理します。ほとんどの環境では、この設定が推奨されます。ただし、セキュリティ

要件のために、リソースへのアクセスを特定のアクセス方式に制限しなければならない場合はその限

りではありません。

• [Web browser] の場合、 Web ブラウザ経由で接続するユーザーの、 HTTP または HTTPS リソー

スからのアクセスを管理します。

• [Network Explorer] の場合、 Network Explorer を介して接続する ASAP WorkPlace ユーザー

の、 Windows ファイルシステムリソースからのアクセスを管理します。

• [Aventail Connect and Aventail OnDemand] の場合、 Aventail Connect トンネルまたは

プロキシクライアント、 Aventail OnDemand トンネルまたはプロキシエージェントのいずれかを

介して接続するユーザーの、クライアント / サーバーアプリケーション、ファイルサーバー、デー

タベースなどといった TCP/IP リソースからのアクセスを管理します。

たとえば、 Aventail Connect または Aventail OnDemand を使用するユーザーに対して、ネット

ワークドメインへのアクセスは許可したいが、そのドメイン内の Web リソースに対するブラウザアクセスは許可したくないという状況について考えます。これは、 [Destination resources] ボックスでネットワークドメインを指定し、アクセス方式として [Aventail Connect and Aventail OnDemand] だけを指定するルールを作成することで実現できます。

8. [End Point Control zones] エリアで、リソースへのアクセスを許可または拒否するゾーンを選択し

ます。リソースをリストから選択する場合は、 [Edit] をクリックします。このフィールドのデフォルト

値は「Any」です。ゾーンの構成方法と使用方法については、 184 ページの「ゾーンおよびデバイスプロファイルによる EPC の管理」を参照してください。

9. ルールの作成が終わったら、 [Save and Add Another] をクリックして、他のルールを定義すること

ができます。また、 [Save] をクリックして終了することもできます。この操作により、 [Access Control] ページに戻ります。

メモ

• AMC では、複数のアクセス方式を柔軟にリソースに割り当てることができるため、アクセス方式とリ

ソースとの間に不適合が起こることがあります。このような状況は、指定されたリソースと互換性のない

アクセス方式を割り当てるようなルールを作成した場合に発生します。たとえば、 Windows ドメインリソースに対するアクセス方式として [Web browser] を指定した場合、 AMC で「Invalid destination resources」というエラーメッセージが表示されます。詳細については、

• 場合によっては、リソースやアクセス方式を混在させた「拒否」ルールを作成し、それ以降のルールが評

価されないようにすることもできます。ただしこのようなルールは、アクセスポリシーで参照されてい

る他のリソースへのユーザーアクセスを誤ってブロックする可能性もあります。

• IP アドレスプールが構成されていない状態でルールを順方向接続から逆方向接続へ変更しようとすると、

AMC でエラーメッセージが表示されます。逆方向接続は、ネットワークトンネルクライアントで IP アドレスプールが構成されている場合に限って使用できます。


逆方向接続のためのアクセス制御ルールの追加

接続先リソースからユーザーに対する逆方向接続のためにアクセス制御ルールを追加するときは、次の手順を

実行します。逆方向接続の例には、 IBM の Tivoli プロビジョニング製品や、 Microsoft の Systems Management Server (SMS) などがあります。 102 ページの「逆方向接続および相互接続の要件」を参照し

てください。

逆方向接続のためのアクセス制御ルールを追加するには

1. 逆方向接続を構成するための要件が満たされていることを確認します。









このコメントはログファイルにも表示されるため、デバッグの際に役に立ちます。 [ID] は、 AMC が自

動的に割り当てる固有の識別子で、編集することはできません。



す。

7. [Basic settings] エリアで、次の情報を入力します。

• リソースからユーザーへの逆方向接続の場合は、 [Resource] ボタンを選択します。 [User] ボタ

ンと [Resource] ボタンは切替式になっており、それぞれ順方向接続ルールと逆方向接続ルールに

対応しています。

逆方向接続は、ネットワークトンネルクライアントで IP アドレスプールが構成されている場合に

限って使用できます。 IP アドレスプールが構成されていない状態で逆方向接続を作成しようとする

と、 AMC でエラーメッセージが表示されます。 102 ページの「双方向接続のアクセス制御ルール」


• [From] ボックスでは、ユーザーに接続するリソースを指定します。リソースをリストから選択す

る場合は、 [Edit] をクリックします。リソースが選択されていない場合、このフィールドの値はデ

フォルト値の「Any resource」になります。

• [To] ボックスでは、リソースが接続するユーザーを指定します。リソースをリストから選択する場

合は、 [Edit] をクリックします。ユーザーが選択されていない場合、このフィールドの値はデフォ

ルト値の「Any user」になります。


8. [Access methods] エリアで [Any] を選択すると、要求を出すアクセス方式が何であるかに関係な

く、ルールですべてのリソースに対するアクセスが自動的に管理されるようになります。この設定によ

り、 Connect トンネルクライアントも OnDemand トンネルエージェントも ( 逆方向接続で必要 ) ルールで管理されるようになります。他のアクセス方式は、逆方向接続をサポートしていないため、バイ

パスされます。



相互接続のためのアクセス制御ルールの追加

相互接続のためにアクセス制御ルールを作成する際の手順は、順方向接続または逆方向接続の場合とほとんど

同じです。ただし、相互接続の場合、ユーザーと接続先リソースを指定する方法が他の場合と若干異なります。

たとえば、 VPN ユーザーに対し、 VoIP (Voice over Internet Protocol) テクノロジーアプリケーションを使

用して互いを呼び出す許可を与えたい場合、ユーザーがアプライアンスの IP アドレスプールに接続するとき

のルールと、 IP アドレスプールがユーザーに接続するときのルールをそれぞれ作成する必要があります。

また、 FTP サーバーとユーザーの間で双方向接続を許可する場合も、このような手順でルールのペアを作成す

る必要があります。ただし、 Connect プロキシクライアントは、ネットワークトンネルクライアントの場合

と異なり、 FTP 接続を処理する場合、アクセス制御ルールを 1 つしか使用することができません。

相互接続のためのアクセス制御ルールを追加するには

1. 逆方向接続を構成するための要件が満たされていることを確認します。 102 ページの「逆方向接続および

相互接続の要件」を参照してください。









このコメントはログファイルにも表示されるため、接続が特定のルールと合致していない理由を判断す

る目的でログを検査する際に役に立ちます。 [ID] は、 AMC が自動的に割り当てる固有の識別子で、編集

することはできません。

相互接続では、順方向接続ルールと逆方向接続ルールのペアが必要になるため、 2 つのルールに同様の名

前を割り当てておきます。こうしておくと、対応するルールをアクセス制御ルールのリストから探し出す

ときに、容易に判別できるようになります。



す。


7. [Basic settings] エリアの [User] ボタンと [Resource] ボタンは切替式になっており、それぞれ順

方向接続ルールと逆方向接続ルールに対応しています。

• ユーザーから IP アドレスプールへの順方向接続ルールを作成する場合は、 [User] ボタンを選択し

ます。

• IP アドレスプールからユーザーへの逆方向接続ルールを作成する場合は、 [Resource] ボタンを

選択します。

8. [Basic settings] エリアの [From] ボックスでは、次のように指定します。

• 順方向接続ルールの場合、ルールを適用するユーザーまたはユーザーグループを指定します。ユー

ザーやグループをリストから選択する場合は、 [Edit] をクリックします。デフォルト値は「Any user」です。

• 逆方向接続ルールの場合、 VoIP アプリケーションで使用するアドレスプールを指定します。アドレ

スプールをリソースのリストから選択する場合は、 [Edit] をクリックします。デフォルト値は

「Any resource」です。

9. [Basic settings] エリアの [To] ボックスでは、次のように指定します。

• 順方向接続ルールの場合、 VoIP アプリケーションで使用するアドレスプールを指定します。アドレ

スプールをリソースのリストから選択する場合は、 [Edit] をクリックします。デフォルト値は

「Any resource」です。

• 逆方向接続ルールの場合、ルールを適用するユーザーを指定します。ユーザーやグループをリストか

ら選択する場合は、 [Edit] をクリックします。デフォルト値は「Any user」です。

• [To] ボックスでは、ルールを適用するリソースまたはリソースグループを指定します。ただし、逆

方向接続ルールの場合、 [From] ボックスでリソースが接続するユーザーを指定します。リソース

をリストから選択する場合は、 [Edit] をクリックします。接続先リソースやユーザーが選択されて

いない場合、このフィールドの値はデフォルト値の「Any」になります。

10. [Access methods] エリアで [Any] を選択します。この設定により、アプライアンスの Smart Access 機能が、ユーザーのエンドポイントデバイスに合った適切なアクセス方式を判定するようにな

ります。これは、逆方向接続の場合、 Connect トンネルクライアントまたは Connect トンネルエー

ジェントになります。他のアクセス方式は、相互接続または双方向接続をサポートしていないため、バイ


11. [Access methods] エリアで [Any] を選択すると、要求を出すアクセス方式が何であるかに関係な

く、ルールですべてのリソースに対するアクセスが自動的に管理されるようになります。この設定によ

り、 Connect トンネルクライアントも OnDemand トンネルエージェントも ( 逆方向接続で必要 ) ルールで管理されるようになります。他のアクセス方式は、逆方向接続をサポートしていないため、バイ


12. 相互接続ルールのペアで初のルールの作成が終わったら、 [Save and Add Another] をクリックし、

2 番目のルールを作成してから [Save] をクリックして保存します。 ( また、初のルールを作成した時

点で保存し、それをコピーしてから、ユーザー設定とリソース設定を逆にすることもできる )

メモ

• 相互接続ルールのペアを構成する順方向接続ルールと逆方向接続ルールを接続したら、この 2 つのルール

を、アクセス制御リストで並べて配置します。こうしておくことにより、それぞれのルールについて、関

連するルールとして識別しやすくなります。

• IP アドレスプールが構成されていない状態で相互接続ルールを作成しようとすると、 AMC でエラーメッセージが表示されます。 102 ページの「双方向接続のアクセス制御ルール」を参照してください。


高度なアクセス制御ルール属性の使用

ほとんどのルールには、ユーザーやグループ、接続先リソース、アクセス方式などが含まれる基本構成があり、

通常はこれで十分です。ただし、さらに詳細なアクセス制御を行いたい場合は、 [Add/Edit Access Rule] ページの [Advanced] エリアのオプションを使用できるようになっています。

たとえば、特定の IP アドレスからの接続のみを許可したい場合は、 [User’s network address] オプショ

ンを使用します。その場合、接続先リソースへの接続を許可または拒否する段階で、要求を出したロケーショ

ンに基づいて、接続元ネットワークをアクセスルールで参照します。これによって、セキュリティが一層向上

します。 .

アクセス制御ルールで高度な設定を使用するには

1. [Add/Edit Access Rule] ページの [Advanced] エリアにある下向き矢印ボタンをクリックします。

2. [User’s network address] オプションを使用して、ルールで評価したい接続元ネットワークの名前

を指定します。これは、接続要求の送信元に基づいてアクセスを制御するときに使用すると便利です。

ネットワークリソースをリストから選択する場合は、 [Edit] をクリックします。接続元ネットワークが

指定されていない場合、このフィールドの値はデフォルト値の「Any」になります。逆方向接続の場合、

このオプションを使用することで、特定のポートまたはアプリケーションリソースからの、ユーザーの

コンピュータへのアクセスをブロックすることができます。

3. SSL 接続を行うときにユーザーのデバイスで求められる小キー長を [Minimum key length] で指定

します。ユーザーのデバイスで高度のセキュリティが必要な場合は、 [128-bit] を選択します。環境

が強力な暗号化をサポートしていない場合は、比較的短いキー長を選択します。

4. 個別のポートまたは一定範囲のポートによるアクセスを制限する場合は、[Destination restrictions] の [Ports] を使用します。たとえば、 SMTP メールサーバーへのアクセスを制御するポリシーを構築し

ている場合は、ポート 25 (SMTP トラフィックで一般的なポート ) 経由のアクセスのみを許可すること

ができます。新のポート番号割り当てのリストについては、

http://www.iana.org/assignments/port-numbers で参照することができます。

すべてのポート経由のアクセスを許可する場合は、 [Any] をクリックします。複数のポートを指定する

場合、 [Selected] をクリックし、それぞれのポート番号をセミコロンで区切って入力します。また、

ポート範囲を指定する場合は、初の番号と後の番号をハイフンでつないで指定します。

5. [Method Restrictions] エリアの [Protocols] で、ネットワークトンネルまたはプロキシサービス

がクライアントから受け付けるプロトコルを指定します。それぞれのコマンドについてはここでも簡単に

説明していますが、詳細について知りたい場合は、 http://www.ietf.org/rfc/rfc1928.txt を参照してく

ださい。

http://www.ietf.org/rfc/rfc1928.txt


• [TCP]。すべての標準 TCP 接続 ( たとえば SSH、 telnet、 scp など ) で使用します。

• [UDP]。ネットワークトンネルまたはプロキシサービスが、 UDP データ転送を行えるようにしま

す。これは、オーディオのストリーミングや Microsoft Outlook の新規メール通知などで必要にな

ります。

• [ICMP]。 ICMP (Internet Control Message Protocol) は、 ping や traceroute などのネット

ワークトラブルシューティングコマンドに対応しています。このオプションを選択すると、ネット

ワークトンネルまたはプロキシサービスが、ユーザーの代わりにこのような操作を実行するように

なります。また同時に、 ICMP パケットがネットワークトンネルまたはプロキシサービスを通過で

きるようになります。

• [Accept bind requests from server]。クライアントに対してサーバーからの接続の受け入れ

を求めるプロトコルで使用します。 FTP はその恰好の例です。

6. ルールでファイルシステムリソースに対する読み込みまたは読み込み / 書き込みのどちらを許可するか

指定する場合、 [Permissions] の [Read]、 [Read/Write] をそれぞれ使用します。これらのアクセ

ス権限は、同じファイルシステムリソースに対応する Windows のアクセス制御ルールと共同で機能し

ます。ユーザーに特定の特権を与えるためには、アクセス権限を両方のエンティティ ( つまり Windows とこのアプライアンス ) で指定しなければなりません。ただしファイルアップロードを禁止した場合、

すべてのユーザーがファイルに書き込みできなくなります。その場合でも、書き込みのアクセス権限を

持っているユーザーであれば、ファイルの移動と削除は行うことができます。これらの設定は、逆方向接

続の場合は無視されます。

7. [Time and date restrictions] エリアでは、ルールが有効になるタイミングを指定します。 [Shift] または [Range] を指定できる他、ルールが常に有効になるよう指定することもできます。ただし、この

時間制約フィールドのタイムゾーンは現地時間になります。



メモ

• アクセス方式を 1 つまたは複数選択すると、そのアクセス方式に該当するかどうかによって、高度なオプ

ションが有効化または無効化されます。ただし、アクセス方式として [Any] を選択すると、すべての高

度なオプションが使用可能になります。 AMC がルールを検証する段階で、そのアクセス方式に関連しな

いルール属性は選択できなくなります。次の表は、それぞれのアクセス方式に該当する高度なオプション

を示しています。

アクセス方式該当する高度なオプション

[Web browser](HTTP/HTTPS)

• [User’s network address]

• [Minimum key length]

• [Time and date restrictions]

[Network Explorer]( ファイルシステムリソースへの Web アクセス )


• [Read/write permissions]


[Aventail Connect & Aventail OnDemand](TCP/IP)


• [Destination restrictions] (ports)

• [Minimum key length]


• [Protocols]


アクセス制御ルールからのユーザーとリソースの追加

管理者によっては、すべてのポリシーオブジェクト ( ユーザー、グループ、リソース ) を定義してからアクセ

ス制御ルールを作成する方法を好みます。この構造化アプローチは、初期構成の場合など特に有効ですが、継

続的に管理していく上で不便を感じることもあります。そのような場合は、アクセス制御ルールを作成するた

めのインタフェースから新しいリソースを直接定義することができます。

アクセス制御ルールの中からユーザーまたはリソースを追加するには

1. [Add/Edit Access Rule] ページで、 [Users/groups] ボックスまたは [Destination resources] ボックスの隣にある [Edit] ボタンをクリックします。

現在のユーザーおよびグループ、リソースを表示するポップアップウィンドウが表示されます。

2. [New] ボタンをクリックします。次に表示されるページは、作成しているオブジェクトのタイプ ( ユー

ザー、グループ、リソース ) ごとに異なります。

3. 新しいユーザー、グループ、リソースの設定を定義します。

4. 設定が終わったら、 [Save and Add Another,] をクリックして、他のオブジェクトを定義することが

できます。また、 [Save] をクリックして終了することもできます。この操作を実行すると、前のページ

に戻ります。新しいオブジェクトが、ユーザー、グループ、リソースのリストに加わっています。

5. アクセス制御ルールに追加したいオブジェクトの隣にあるチェックボックスを選択して、 [Save] をク

リックします。この操作により、 [Add/Edit Access Rule] ページに戻ります。


アクセス制御ルールの編集、コピー、削除

アクセス制御ルールを修正する前に、既存のルールを慎重に検討して、その変更がセキュリティポリシーにど

のような影響を与えるか検証してください。また、ルールの順序には特に注意を払います。

1 つまたは複数のルールについて、アクセス制御ルール内の位置を変更することができます。アクセス制御

ルールの順序を変更する前に、順序を慎重に検討して、リストの順序変更がセキュリティポリシーにどのよう

な影響を与えるか検証してください。

新しいアクセス制御ルールをゼロから作成するということをしないで、既存のルールをコピーしてから、新し

いルールに合わせて特定のパラメータだけを変更することで、時間を節約することができます。作成しようと

しているルールとほとんどの特性が共通するルールを選択します。ルールのコピーは、アクセスポリシーのテ

ストの際に使用しても便利です。

アクセス制御ルールを削除する前に、既存のルールを慎重に検討して、その削除がセキュリティポリシーにど

のような影響を与えるか検証してください。削除の際、確認が求められることはありません。そのため削除の

際は慎重に行ってください。

アクセス制御ルールの編集、コピー、削除の詳細については、 43 ページの「参照されているオブジェクトの


メモ

• [Display] オプションを使用してアクセスルールをフィルタリングし、特定のアクセス方式のみを表示

している場合、 [Move Up] ボタンまたは [Move Down] ボタンを使用してリストの順序を変更するこ

とはできません。アクセス制御ルールを移動するのは、 [Display] に「All」を設定している場合に限ら

れます。

• ルールを複数段階移動する場合は、 [Add/Edit Access Rule] ページで [Number] ボックスの値を変

更する方が速いこともあります。

アクセス方式とリソースとの間の拒否ルール非互換の解決

次の表の 3 種類の組み合わせのいずれかを参照する「拒否」ルールを定義するとき、「Some of the resources in this rule are not supported by the selected access method(s), which could inadvertently deny access to some resources」という警告メッセージが表示されます。

「許可」ルールの場合は、リソースとアクセス方式を任意の方法で混在させ組み合わせることができます。ただ

し「拒否」ルールにリソースとアクセス方式の一定の組み合わせが含まれていると、それ以降のルールが評価

されなくなります。このようなルールは、アクセスポリシーでそれ以降参照されている、リソースへのユー

ザーアクセスを誤ってブロックする可能性もあります。

場合によっては、ポリシーの評価のときに、拒否ルールが接続要求と一致しているかどうかアプライアンスが

判定できなくなることがあります。このような場合、セキュリティ上の予防措置として、ルールセットの処理

を停止し、ユーザーアクセスをブロックします。これは、リソースタイプとアクセス方式が次のような組み

合わせで拒否ルールに含まれている場合に、そのルールが評価されると発生します。

ルール動作リソースタイプアクセス方式

[Deny] [Windows domain] • [Any]

• [Web browser]

• [Aventail Connect and OnDemand]

[Deny] [URL] • [Any]


[Deny] [Network share] • [Any]



例

たとえば、 Windows ドメインへのアクセスをブロックし、アクセス方式を「Any」にしておく拒否ルールを

作成すると仮定します。Windows ドメインは ASAP WorkPlace からアクセスできるため、アプライアンスが ASAP WorkPlace からの接続試行を受け取ると、ルールと一致し、そのアクセスが拒否されます。

一方で、ユーザーが Aventail Connect や OnDemand、あるいは標準 Web ブラウザから接続要求を出すとし

ます。この場合、アプライアンスは、 ( どの接続先リソースが要求されていても ) Windows ドメインのルール

が要求に合致しているかどうか判定することができません。アプライアンスはそのため、ポリシー内のそれ以

降のルールの評価を停止して、即座にアクセスを拒否します。そのため、 Windows ドメインルールがアクセ

ス制御ルールの先頭にある場合、高い確率で、ユーザーが VPN リソースにアクセスできなくなります。たと

えば、リストの次のルールが、ユーザーの VPN リソースへのアクセスを許可する許可ルールの場合でも、こ

のルールが評価されることはありません。

問題の解決

このようなルールの非互換性を解決するため、当社では、不確定のアクセス方式を参照しないようにルールを

修正することを推奨しています。たとえば、 Windows ドメインまたはネットワーク共有の場合は、アクセス

方式として Network Explorer 以外選択しないようにします。 URL の場合は、 Web ブラウザと ASAP WorkPlace 以外選択しないようにします。

不正な接続先リソースの解決

アクセス方式を非互換の接続先リソースに割り当てるルールを作成しようとした場合、 AMC は、「Invalid destination resources: These resources are not accessible from the selected access method(s)」と

いう警告を出して不適合が発生するのを防止します。次の表では、このような警告が出されるアクセス方式 /接続先リソースの組み合わせを示しています。

例

たとえば、 Windows ドメインリソースにアクセスし、アクセス方式として [Web browser] を指定する

ルールを作成していると仮定します。このような組み合わせを選択すると、 [Add/Edit Access Rule] ペー

ジの [Access methods] エリアのすぐ上に「Invalid destination resource」という警告が表示されます。

このようなルールは、アクセス方式 / リソースの不適合が含まれていることから、保存することができません。

このような不適合が残っている状態で [Save] をクリックすると、不正なリソースがルールから除去されま

す。ルールに含まれている不適合リソースが 1 つだけの場合、そのリソースは「Any」で置き換えられます。

問題の解決

接続先リソースのエラーを解決するため、アクセス方式のタイプが接続先リソースと互換性を持つようにルー

ルを修正します。アクセス方式 / 接続先リソースの不適合を回避するためのも簡単な方法は、 [Add/Edit Access Rule] ページの [Access method] オプションを「Any」に設定することです。

アクセス方式不正な接続先リソース

[Web browser] • [Windows domain]

• [Network share]

[Network Explorer] • [URL]

[Aventail Connect and Aventail OnDemand] • [URL]

• [Windows domain]

オプション説明リソースタイプ

[Alias name] プライベート URL を表すパブリックなエイリアスを指定するときは、このオプションを使用します。このエイリアスの名前はユーザーに提示されるため、憶えやすい名前を使用します ( 短く具体的なほど良い )。次のような場合、 [Alias name] を指定すると良いでしょう。

• このリソースに対する内部ホスト名を隠したい場合。

• この URL リソースが、 [Network Settings] ページの [Name Resolution] タブで構成されている検索ドメインに含まれていない場合。

Web


[Synonyms] URL リソース名の代替名 ( 「シノニム」 ) を定義するときは、このオプションを使用します。これは、ユーザーが異なる名前 ( 通常、非修飾名や圧縮名 ) を使用してサーバーにアクセスする場合や、 Web ページに DNS エイリアスを示すリンクが含まれていて、その名前を Web プロキシサービスが正しく変換できない場合などに使用すると便利です。複数のシノニムを指定する場合はセミコロンで区切ります。

このアプライアンスは、リソースのショートカットを自動的にシノニムとして定義します。たとえば URL が「http://mail.example.com」の場合、アプライアンスは「mail」というシノニムを追加します。ただしこれについては、[Synonym] ボックスに表示されません。

Web

[Allow public access]

この URL に無制限のアクセスを許可したい場合、このチェックボックスを選択します。このオプションがオンの場合は、ユーザーの身元を識別するための認証が行われません。これは、内部 Web リソースに対してパブリックアクセスを許可する場合に使用すると便利です。 ( あるリソースへのパブリックアクセスを許可するときは、「Any」ユーザーによるそのリソースへのアクセスを許可するルールを作成しなければならない )

Web

[Web application profile]

このリストには、いくつかの一般的な Web アプリケーションで推奨される構成済みの Web プロファイルの他、カスタム Web プロファイルやデフォルト Web プロファイルが含まれます。どのプロファイルを選択すればよいかわからない場合は、デフォルトのオプションをそのまま選択してください。プロファイルを参照するには、 [View selected profile] をクリックします。詳細については、97 ページの「Web アプリケーションプロファイルの追加」を参照してください。

Web

ネットワーク

オプション説明リソースタイプ



第 6 章ユーザー管理

アクセス制御ルールでは、ユーザーやユーザーのグループがどのリソースを使用できるか決定します。した

がって、外部ユーザーディレクトリに保管されているユーザーやグループにマッピングするユーザーやグルー

プを AMC で定義しなければなりません。さらに高いレベルのコミュニティでも、共通の特性、たとえばアク

セスポリシーやアクセス方式などを共有するユーザーやユーザーグループを編成できます。また、これらは

アクセス制御ルールで使用することもできます。

概要 : ユーザー、グループ、レルム、コミュニティ

ユーザーとは、ネットワーク上のリソースにアクセスする必要がある個人を指します。また、ユーザーグルー

プは、ユーザーの集まりです。アプライアンスでユーザーやユーザーグループを作成したら、リソースへのア

クセスを許可または拒否するために、アクセス制御ルール内で参照することができます。

アプライアンスでは、ユーザーとグループを実際に保管しません。その代わりに、 LDAP や Microsoft Active Directory などの外部認証サーバーに保管されている既存のユーザーやグループへの参照を作成します。こう

することにより、アプライアンスで直接ユーザーを作成し管理する必要がなくなります。ユーザーやグループ

を定義してからアクセス制御ルールで参照することもできますが、アクセス制御ルールインタフェースから新

しいユーザーやグループを直接定義することもできます。

コミュニティはユーザーの集まりで、ユーザー集団のメンバーがレルムにログインするときに、どのアクセスクライアントと End Point Control エージェントが設定されるかがこれによって決まります。たとえば、モバ

イル従業員に対しては OnDemand を有効にし、ビジネスパートナーには Web アクセスのみを提供すること

ができます。 End Point Control が有効な場合、コミュニティは、コミュニティ内のどの「信頼ゾーン」にメ

ンバーが所属するか決定するために使用することもできます。

レルムは、認証サーバーを参照して、ユーザーに対してどのアクセスエージェントをプロビジョニングし、ど

の End Point Control を課すか判定します。

116 | 第 6 章 - ユーザー管理

レルムおよびコミュニティの使用

レルムとユーザーコミュニティを構成するとき、 AMC では、コミュニティのメンバーにどのアクセスエー

ジェントがプロビジョニングされるか指定することができます。またオプションで、コミュニティメンバーの

デバイスを「信頼ゾーン」に分類することもできます。次の図は、レルムがユーザーを認証して、これをコ

ミュニティに割り当て、アクセスエージェントをプロビジョニングして、 End Point Control が有効であれ

ば、コンピュータの信頼性に基づいてコミュニティメンバーをさまざまなゾーンに割り当てる過程を示してい

ます。

ネットワークで 1 台の認証サーバーのみにユーザー情報を保管している場合、 AMC に認証レルムを 1 つだけ

作成する必要があります。ネットワークで複数の認証サーバーを使用している場合、それぞれのサーバーごと

に、レルムを 1 つ以上作成する必要があります。また、単一の外部リポジトリで、複数の異なるユーザーグループを参照する複数のレルムを、 AMC で作成することもできます。

認証レルムを 1 つしか使用しない場合でも、アクセス要件やその他のセキュリティ条件に基づいてユーザーの

サブセットを作成することができます。これは、レルムをユーザーのコミュニティと対応させる必要があるた

めです。コミュニティは、レルムのすべてのユーザーで構成することができる他、選択したユーザーのみを入

れることもできます。また、アクセスエージェントを設定したり、コミュニティのメンバーに End Point Control を適用したりするために使用することもできます。コミュニティの詳細については、 131 ページの

「コミュニティの編集、コピー、削除」を参照してください。

レルムの表示

AMC で構成したレルムが、 [Realms] ページに表示されます。

構成したレルムを表示するには

1. メインナビゲーションメニューから [Realms] をクリックします。この操作により、 [Realms] ペー


2. [Realms] リストのデータを参照します。

• 1 つまたは複数のレルムを選択する場合、チェックボックス列を使用します。これを使用してレル

ムを削除したり、コピーしたりすることができます。

• プラス記号 ( 「+」 ) の列をクリックすると、レルムが拡大され、認証サーバーとユーザーコミュニ

ティ ( ある場合 ) が表示されます。

End Point Control

AD.example.com

CompanyXYZ Employees

Partners

= "Employees"

= "Partners"

? ?

OnDemandWeb

IT PC PC

Web PC


• [Enabled] 列には、そのレルムが有効になっているか無効になっているかが示されます。緑色のイ

ンジケータの場合そのレルムが有効で、赤いインジケータの場合そのレルムは無効になっています。

レルムが無効の場合、そのレルムのユーザーやグループはログインすることができません。

• [Name] 列には、レルムを作成するときに割り当てた名前が表示されます。レルム名は、クリック

すると編集することができます。

• [Authentication server] 列には、ユーザーの身元を確認するときにそれぞれのレルムによって

参照される認証サーバーの名前がリストされます。

• [Description] 列には、レルムを作成するときに入力した説明テキストがリストされます。

デフォルト、表示、非表示レルム

ユーザーを認証するとき、アプライアンスは、そのユーザーがどのレルムに所属しているか認識していなけれ

ばなりません。有効なレルムが 1 つしかない場合、アプライアンスは自動的にそのレルムを使用します。しか

し複数のレルムが有効になっている場合は、どのレルムを使用するかアプライアンスに通知しておく必要があ

ります。ユーザーがログインするとき、通常、適切なレルムをリストから選択します。

ただし、 AMC でデフォルトレルムを定義すれば、簡単にレルムを選択できるようにすることもできます (118ページの「デフォルトレルムの選択」を参照 )。デフォルトレルムが定義されている場合、レルム選択ボック

スに、デフォルトレルムが自動的に入れられます ( ただし Connect クライアントではこれが当てはまらない )。アクセス方法固有の動作については、この節で概説します。デフォルトレルムを選択しておくことが強く推奨

されます。

また、どのレルム名がエンドユーザーに提示されるかについても選択することができます。表示されていない

レルムにログインする必要がある場合、ユーザーはそのレルム名をログインボックスに正確に入力しなければ

なりません。たとえば、さまざまなサプライヤー用にレルムを作成していて、サプライヤー同士が互いを知ら

ない状態が望ましいという状況を考えてみます。その場合、このようなレルム名を非表示にしておくと、それ

ぞれのサプライヤーは、アプライアンスにログインするときにレルム名を入力しなければならなくなります。

次の表は、さまざまなレルム構成の場合に、エンドユーザーによるログイン時の作業がどう変動するかを示し

ています。

以下では、アクセス方式ごとに、ユーザーのログイン時の作業を示します。

有効なレルムデフォルトレルムの構成

非表示レルムの構成

ユーザーのログイン時の作業

1 つ該当なし該当なしユーザーはログイン時にレルムを選択しません。認証の際、有効なレルムが自動的に使用されます。

複数ありなしユーザーがリストからレルムを選択します。レルムテキストボックスにはデフォルトレルムが入ります。

複数なしなしユーザーがリストからレルムを選択します。レルムテキストボックスには初のレルム ( アルファベット順にソートされている ) が入ります。

複数ありありユーザーがリストからレルムを選択します。レルムテキストボックスにはデフォルトレルムが入ります。レルムリストには、 [Other] というエントリがあり、 2 番目のテキストボックスが表示されています。ログインの際、非表示レルムを使用したい場合、 [Other] を選択して、 2 番目のテキストボックスにレルム名を入力します。


ASAP WorkPlace

ユーザーが初に ASAP WorkPlace にアクセスするとき、 1 ページまたは複数のログインページが表示され

ます。 1 つのレルムのみが有効な場合、ユーザークレデンシャルを要求するページのみが表示されます。複数

のレルムが有効な場合は、次のようなログインページが表示されます。このページで適切なレルムを選択しま

す。

非表示レルムが 1 つまたは複数ある場合、ログインページは次のようになります。

[Next] をクリックすると、ユーザー名とパスワードで認証するユーザーの場合、クレデンシャルを入力する

ためのページが表示されます。

デフォルトレルムの選択

複数の認証レルムを使用する場合、デフォルトレルムを 1 つ選択する必要があります。ユーザーを認証すると

き、アプライアンスは、そのユーザーがどのレルムに所属しているか認識していなければなりません。有効な

レルムが 1 つしかない場合、アプライアンスは自動的にそのレルムを使用します。しかし複数のレルムが有効

になっている場合は、どのレルムを使用するかアプライアンスに通知しておく必要があります。ユーザーがロ

グインするとき、通常、適切なレルムをリストから選択します。ただし、 AMC でデフォルトレルムを定義す

れば、簡単にレルムを選択できるようにすることもできます。

レルムを 1 つだけ構成している場合でも、そのレルムがデフォルトとして指定されていなければ、 [Realms] ページに「There is no default realm selected」という警告メッセージが表示されます。

デフォルトレルムを選択するには



2. [Default realm] リストから、デフォルトレルムにする認証レルムを選択します。このリストには、有

効になっておりしかも表示対象として構成されているレルムのみが表示されます。非表示レルムはデフォ

ルトとして設定できないため、ここに表示されません。


レルムの有効化と無効化

アプライアンスは、複数のレルムの同時使用をサポートしています。レルムを有効化または無効化することに

より、どのレルムをアクティブにするかコントロールすることができます。レルムを無効化すると、そのレル

ムに対応するユーザーとグループがログインできなくなります。有効な認証レルムがない場合、ユーザーは

ネットワークにアクセスできなくなります。

認証レルムを有効化または無効化するには

1. メインナビゲーションメニューから [Realms] をクリックします。 [Realms] ページには、定義され

ているレルムのリストが表示されます。あるレルムが有効化されている場合、緑色のインジケータアイ

コンが左から 2 番目の列に表示されます。レルムが無効化されている場合は、グレーのインジケータアイコンが表示されます。

2. 有効化または無効化するレルムの名前をクリックします。この操作により、そのレルムに対する [Configure Realm] ページが開きます。

3. [General] セクションで、そのレルムの [Status] について [Enabled] または [Disabled] を選択

し、 [Save] をクリックします。

レルムを定義する場合のベストプラクティス

レルムを定義するとき、ユーザーのログインの作業を軽減するため、次のベストプラクティスを実行します。

• エンドユーザーがログイン時にレルム名を選択するため、レルム名を定義するときは、ユーザーグルー

プを明確に表す名前にしなければなりません。たとえば、すべての社内従業員を含むレルムの場合は

「employees」などの名前を使用し、外部のサプライヤーを含むレルムの場合は「suppliers」などとし

ます。

• 一部のユーザーが非表示のレルムにログインするような場合、入力するレルム名と入力方法 ( レルムのリ

ストから [Other] を選択してテキストボックスにレルム名を入力 ) をそのユーザーに知らせておきま

す。

• 必要な場合に限って、複数のレルムを有効にします。有効なレルムが 1 つだけの場合、ユーザーはログイ

ンプロセスでレルムを選択する必要がなくなります。テスト環境から実稼働環境に移行するときは、す

べてのテストレルムが削除されていることを確認してください。

レルムの作成と構成

認証レルムを作成および構成するときは、次の手順を実行します。複数のレルムを作成する場合、デフォルトレルムとして 1 つ選択する必要があります。この方法については、後で説明します。

レルムを作成し、これを外部認証サーバーと対応させたら、 1 つまたは複数のコミュニティをレルムに追加し

たり、構成済みのデフォルトレルムを使用できます。コミュニティを割り当てずにレルムを作成し保存した場

合、レルムにデフォルトコミュニティが自動的に割り当てられます。 128 ページの「デフォルトコミュニ

ティの使用」と 131 ページの「コミュニティの編集、コピー、削除」を参照してください。

レルムを作成するには



2. [Realms] ページで、 [New] をクリックします。この操作により、 [Configure Realm] ページの [General] セクションが表示されます。

3. [Name] テキストボックスに、わかりやすいレルムの名前を入力します。エンドユーザーが VPN への

ログイン時にこのレルム名を選択するため、レルム名を定義するときは、ユーザーグループを明確に表

す名前にしなければなりません。

4. [Description] テキストボックスに、レルムについてのコメントを入力します。コメントを入れておく

と、 VPN で複数の認証レルムを使用する場合など、特に便利です。

5. 対応する [Status] を選択することによって、レルムを有効または無効にします。詳細については、 119ページの「レルムの有効化と無効化」を参照してください。

6. ユーザーに提示されるレルムのリストに、このレルムを入れる ( ほとんどの場合これが推奨される ) 場合、 [Display this realm] チェックボックスを選択します。

7. [Authentication server] で、ユーザーの身元を確認するためにレルムが使用する認証サーバーを選

択します。このフィールドは必須です。また、新しい認証サーバーを構成してレルムで参照する場合は、

[New] をクリックします。詳細については、 66 ページの「認証サーバーの構成」を参照してください。

8. このレルムに対して、アカウンティング情報を送信する RADIUS サーバーを使用してアカウンティング

を実行したい場合、 [Enable RADIUS accounting] チェックボックスを選択します。

RADIUS アカウンティングサーバーの構成方法については、 129 ページの「レルムでの RADIUS アカ

ウンティングの構成」を参照してください。

9. [Advanced] セクションを拡張してから、オプションで [Enable group affinity checking] チェッ

クボックスを選択することにより、アプライアンスが、セカンダリ認証リポジトリを照会するよう設定

することができます。詳細については、 69 ページの「レルムでのグループアフィニティチェックの有効

化」を参照してください。

10. ユーザーコミュニティをレルムと対応させるには [Next] (121 ページの「レルムへのコミュニティの追

加」 )、 [Realms] ページに戻るには [Finish] をクリックします。

コミュニティを割り当てずにレルムを作成し保存した場合、レルムにグローバルデフォルトコミュニ

ティが自動的に割り当てられます。 128 ページの「デフォルトコミュニティの使用」を参照してくださ

い。

メモ

• レルムの編集、コピー、削除については、 35 ページの「AMC でのオブジェクトの追加、編集、コピー、



レルムへのコミュニティの追加

レルムを作成したら、そのレルムに 1 つまたは複数のコミュニティを対応させなければなりません。コミュニ

ティでは、レルム内のユーザーのサブセットを定義し、そのユーザーがレルムにログインするときどのアクセ

ス方式を使用できるかや、そのエンドポイントデバイスに制約が設定されるかどうかを決定します。

アプライアンスのそれぞれのレルムでは、 1 つ以上のコミュニティを参照しなければなりません。複数のコ

ミュニティを使用すると、ユーザー集団を効率的に分割することができます。その結果、特定のユーザーに個

別のアクセスエージェントを割り当てたり、コミュニティのメンバーが使用する特定タイプのデバイスについ

て End Point Control を課したりすることができます。

構成済みのデフォルトコミュニティを使用できる (128 ページの「デフォルトコミュニティの使用」を参照 ) 他、他のコミュニティをレルムに対応させることもできます。時間の経過とともにユーザーアクセス要件やセ

キュリティポリシー要件が変化するのに合わせて、レルムにコミュニティを追加できる他、レルムが参照する

ユーザーコミュニティを修正したり削除したりすることもできます。

コミュニティをレルムに追加するには

1. [Configure Realm] ページの [General] セクションでレルムを作成したら、 [Next] ボタンをク

リックします。 [Configure Realm] ページの [Communities] セクションが表示されます。

2. [Communities] セクションで次の作業を行います。

• レルムに対して新しいコミュニティを作成しない場合は、 [Finish] をクリックしてデフォルトコミュニティを使用することができます。 128 ページの「デフォルトコミュニティの使用」を参照し

てください。

• レルムに対して新しいコミュニティを作成する場合は、 [Create new] をクリックします。この操

作により、 [Configure Community] ページが表示されます。 122 ページの「コミュニティの作

成と構成」を参照してください。

3. 必要であれば、コミュニティがリストで表示される順序を変更します。 129 ページの「レルムでコミュニ

ティがリストされる順序の変更」を参照してください。

4. いずれかの [Configure Community] ページで [Finish] をクリックすると、コミュニティに関する情

報が入力された状態で、 [Configure Realm] ページが表示されます。


[Session Flow] エリアに、そのコミュニティで選択した構成設定が、ログイン、デバイスプロファイ

ルのイントロゲーション、 EPC ゾーンの分類、アクセス方式のプロビジョニング、 VPN セッション中の

データ保護プロセスなどでどのように利用されるか表示されます。

5. コミュニティの構成変更を行う必要がある場合、 [General]、 [Access Methods]、 [End Point Control] の各リンクをクリックして、それぞれの構成ページに移ることができます。

6. コミュニティの構成設定に問題がなければ、 [Finish] をクリックします。この操作により、 [Realms] ページに戻ります。

コミュニティの作成と構成

コミュニティを作成するときは、基本的に次の 3 段階の手順を実行します。

• コミュニティへのメンバーの割り当て

• コミュニティに対するアクセス方式の選択

• ( オプション ) コミュニティに対する End Point Control の指定

レルム内のコミュニティは、 2 種類の異なる方法で作成することができます。 1 つ目の方法では、レルムを構

成するプロセスで、コミュニティを作成します。 2 つ目の方法では、コミュニティを既存のレルムに追加しま

す。どちらの方法の場合も、 [Configure Realm] ページの [Communities] セクションで操作を開始しま

す。


コミュニティへのメンバーの割り当て

コミュニティ作成の初の基本手順では、どのユーザーがそのコミュニティのメンバーになるか指定します。

デフォルトの場合、すべてのユーザー ([Any]) がコミュニティのメンバーになります。

メンバーをコミュニティに割り当てるには

1. [Configure Realm] ページの [Communities] セクションで、 [Create new] をクリックします。

この操作により、 [Configure Community] ページの [Members] セクションが表示されます。

2. [Name] テキストボックスに、わかりやすいコミュニティの名前を入力します。

3. [Description] テキストボックスに、コミュニティについてのコメントを入力します。

4. [Members] ボックスで、どのユーザーまたはグループがこのコミュニティに所属するか指定します。

ユーザーやおよびグループをリストから選択する場合は、 [Edit] をクリックします。

ユーザーやグループが指定されていない場合、このフィールドの値はデフォルト値の「Any」になりま

す。これは、このコミュニティを参照するすべての認証レルムのユーザーがこのコミュニティに属してい

ることを表しています。

あるコミュニティにメンバーシップを制限する方法については、 131 ページの「ユーザーまたはグループ

のメンバーシップの特定コミュニティへの制限」を参照してください。

5. [Next] をクリックします。この操作により、 [Access Methods] セクションが表示されます。ここ

で、コミュニティのメンバーがどのアクセス方式を使用できるようにするか選択します。 124 ページの

「コミュニティに対するアクセス方式の選択」を参照してください。

この時点でアクセス方式を選択したくない場合、または他のコミュニティの設定を構成したい場合は、オ

プションで [Finish] をクリックすることもできます。ただし、別の機会に、このコミュニティの設定を

必ず完了しなければなりません。


コミュニティに対するアクセス方式の選択

コミュニティ作成の 2 番目の基本手順は、コミュニティのメンバーがアプライアンスへの接続とネットワークリソースへのアクセスの際にどのアクセス方式を使用できるようにするか決定することです。

ユーザーの環境と互換性があるアクセス方式については、 3 ページの「ユーザーコンポーネント」を参照して

ください。

コミュニティのメンバーが使用できるアクセス方式を選択するには

1. [Configure Communities] ページの [Access Method] セクションが表示されていない場合は、

[Members] セクションの [Next] ボタンをクリックします。

2. コミュニティのメンバーがネットワークのリソースに接続するとき、どのアクセス方式を使用できるよう

にするか選択します。アプライアンスは、選択されたアクセスエージェントを、ユーザーのシステムの

機能に基づいて有効にします。あるエージェントが動作しない場合は、リスト内の ( 上から下の方向で ) 次に選択されているエージェントが代わりに使用されますさまざまなアクセスエージェントの機能とシ

ステム要件については、 227 ページの「ユーザーアクセスコンポーネントおよびサービス」を参照して

ください。

デフォルトの場合、ネットワークトンネルクライアント ([Network tunnel client]) を除くすべての

アクセス方式が選択されています。


3. ネットワークトンネルクライアントアクセスをコミュニティのメンバーに与えたい場合は、[Network tunnel client] チェックボックスをクリックして、次のいずれかのオプションを選択します。

• [Auto-activate from ASAP WorkPlace]。このオプションを選択すると、プロビジョニング

が自動的に行われる設定になり、ユーザーが ASAP WorkPlace に接続するときに、 Web ベースの OnDemand トンネルエージェントが有効になります。

• [Provision client from ASAP WorkPlace]。ユーザーが ASAP WorkPlace のリンクから Connect トンネルクライアントをダウンロードするようにしたい場合、このオプションを選択しま

す。

[Network tunnel access] を選択する場合、次に説明しているように、 1 つまたは複数の IP アドレ

スプールをコミュニティに割り当てなければなりません。

4. ネットワークトンネルクライアントをユーザーにインストールするには、初に、コミュニティで使用

するための IP アドレスプールを 1 つまたは複数作成しなければなりません。デフォルトの場合、使用可

能な IP アドレスプールがあれば、それがコミュニティに割り当てられます。 125 ページの「ネットワー

クトンネルクライアントの構成」を参照してください。

5. コミュニティに対するアクセス方式を選択したら、 [Next] をクリックします。この操作により、 [End Point Control restrictions] セクションが表示されます。ここで、クライアントデバイスのセキュリ

ティに基づいて、コミュニティのメンバーのアクセス権限を制約することができます。 127 ページの「コ

ミュニティでの End Point Control の使用」を参照してください。

このコミュニティに対して、 End Point Control を採用したくない場合は、 [Finish] をクリックします。

メモ

• 特定のコミュニティで、ネットワークトンネルクライアントオプションが有効になっていない場合で

も、 Connect トンネルクライアントがあらかじめプロビジョニングされているユーザーは、そのコミュ

ニティにそのままアクセスすることができます。

• このアプライアンスは、Windows Terminal Services (WTS) ホストおよび Citrix ホストに対する Web ベースのアクセスをサポートしています。これらのホストは、ネイティブアプリケーションプロトコル

を使用してデータをターミナルサーバーに送信する Web ベースのターミナルエージェントからアクセス

することができます。たとえば、 Citrix サーバーにアクセスするとき、クライアントは、 Citrix のプロプ

ライエタリな (HTTP でない ) プロトコルを使用して、クライアントからサーバーへトラフィックを送り

ます。したがって、このコミュニティのユーザーにターミナルサーバーリソースへのアクセスを提供す

る場合、 Aventail のいずれかのアクセス方式 (Web プロキシエージェント、 OnDemand、またはいず

れかのトンネルクライアント ) をプロビジョニングするよう、コミュニティを構成しなければなりませ

ん。コミュニティが、トランスレーテッド Web アクセスのみを提供するよう構成されている場合、クラ

イアント PC が、プロプライエタリなアプリケーションプロトコルにアクセスする上で必要なネットワー

ク転送を使用できないため、端末リソースが使用できなくなります。グラフィカルターミナルエージェ

ントの構成の詳細については、 247 ページの「Graphical Terminal Agents」を参照してください。 247ページの「グラフィカルターミナルエージェント」を参照してください。

ネットワークトンネルクライアントの構成

ネットワークトンネルクライアントからの TCP/IP 接続を管理するため、ネットワークトンネルサービスを

構成する場合、 IP アドレスをクライアントに割り当てるための IP アドレスプールをセットアップしなければ

なりません。 IP アドレスプールの設定は、通常、ネットワークトンネルサービスを構成するときに行いま

す。 IP アドレスプールを初に設定する方法については、 253 ページの「IP アドレスプールの構成」を参照


ネットワークトンネルクライアントをユーザーに設定するコミュニティを作成するとき、ユーザーがどの IP アドレスプールを使用できるようにするか選択しなければなりません。デフォルトの場合、構成されているす

べてのアドレスプールが使用可能になっています

Connect トンネルクライアントを構成する場合、リダイレクションモードも選択しなければなりません。ま

たオプションで、カスタマイズ設定を選択することもできます。


ネットワークトンネルクライアントを構成するには

1. 選択したコミュニティの [Access Methods] ページで、 [Network tunnel clientt] オプションの隣

にある [Configure] ボタンをクリックします。この操作により、 [Network Tunnel Client Settings] ページが表示されます。

2. デフォルトの場合、構成されているすべての ( 「Any」 ) アドレスプールがコミュニティで使用可能に

なっています。特定の IP アドレスプールを、構成済みアドレスプールのポップアップリストから選択

する場合は、 [Edit] をクリックします。

3. クライアントトラフィックをアプライアンスにリダイレクトする際のリダイレクションモードを選択し

ます。ネットワークトンネルサービスでは、次の 2 種類のリダイレクションモードをサポートしていま

す。

• [Split tunnel]。 AMC で定義されているリソースにバインドされたトラフィックがトンネル経由で

リダイレクトされ、その他のすべてのトラフィックが普通の方法でルートされるリダイレクションモード。これが、デフォルトのリダイレクションモードになります。このオプションの場合、プリ

ンタやローカルホストなどの、ローカルネットワーク上のリソースに対するアクセスや、インター

ネットアクセスが妨げられることはないため、ユーザーにとっては利便性が高くなります。イン

ターネット接続 ( スプリットトンネル経由でリルーティングすることによりネットワークリソース

に到達する可能性がある ) を介して、ユーザーのコンピュータに対し許可されていないアクセスが

行われるのを防止するために、ユーザーのコンピュータがパーソナルファイアウォールやアンチウ

イルス保護を搭載するよう求める End Point Control の使用についても考慮します。

• [Redirect all]。このモードでは、 AMC でリソースがどのように定義されているかにかかわらず、

すべてのトラフィックがトンネル経由でリダイレクトされます。このオプションでは、セキュリティ

が強化されますが、ローカルネットワーク上のリソースへのアクセスが阻害され、しかもネット

ワークの構成によっては、インターネットアクセスも阻害されてしまいます。 [Redirect all] は、

[Split tunnel] リダイレクションよりも安全ですが、ユーザーが、アプライアンスをバイパスし

ネットワークに戻る独自のスプリットトンネル接続を作成するために、コンピュータ上のルーティ

ングテーブルを修正する可能性が出てきます。 252 ページの「ネットワークトンネルサービスの

構成」を参照してください。


4. ([Configure Community] ページで [Provision client from ASAP WorkPlace (Connect Tunnel)] オプションを選択することにより ) Connect トンネルクライアントを使用するようコミュニ

ティを構成している場合、次のオプションを使用して、この Windows クライアントをカスタマイズする

ことができます。

これらのオプションは、コミュニティで OnDemand トンネルを選択している場合は使用できません。

• [Caption for start menu and icon]。 Windows の [ スタート ] メニューおよび Connect アイコンの下に表示される、 Connect トンネルクライアントを示すテキストをカスタマイズすること

ができます。

• [Create icon on Windows desktop]。デスクトップに Connect トンネルクライアントアイ

コンを作成します。

• [Run client at Windows startup]。ユーザーのコンピュータで Windows が起動するとき、

Connect トンネルクライアントが自動的に動作するよう設定します。

• [Override default realm and appliance FQDN settings]。デフォルトレルム、および ASAP WorkPlace のプロビジョニングページにアクセスするときに使用するアプライアンス名を上

書きします。

5. [Save] をクリックします。この操作により、そのコミュニティにアドレスプールが割り当てられ、その

他のネットワークトンネルクライアント設定が構成されます。 [Access Methods] ページに戻ります。

コミュニティでの End Point Control の使用

コミュニティ作成の 3 番目の基本手順は、クライアントデバイスのセキュリティに基づいて、コミュニティの

ユーザーにアクセスを制限することです。そのために、このコミュニティのユーザーが、どの End Point Control ゾーンを使用できるか指定します。ゾーンは、リストされている順序 ( 先頭が初 ) で処理されます。

[Configure Communities] ページの [End Point Control restrictions] セクションでは、 Web プロキシエージェントまたは Connect トンネルクライアントのいずれかを使用してアプライアンスにアクセスする

ユーザーに対し、非アクティブタイマーを設定することができます。コミュニティで End Point Control ゾー

ンを使用しない場合でも、非アクティブタイマーは設定することができます。

End Point Control ゾーンの作成方法と構成方法、および接続要求の分類のために使用するデバイスプロファ

イルについては、 184 ページの「ゾーンおよびデバイスプロファイルによる EPC の管理」を参照してくださ

い。


コミュニティに End Point Control を適用するには

1. [Configure Communities] ページの [End Point Control restrictions] セクションが表示され

ていない場合は、ページ上部にある [End Point Control restrictions] リンクをクリックするか、

[Access Methods] セクションの [Next] ボタンをクリックします。

2. コミュニティには、 1 つまたは複数の End Point Control を割り当てることができます。ゾーンは、ど

のデバイスにコミュニティへのアクセス権限があるか決定します。ゾーンを選択しない場合、コミュニ

ティのメンバーには、デフォルトゾーンが割り当てられます。その場合、アクセスポリシーに基づいて、

リソースに対するアクセスの制限や拒否が決定されます。 [All Zones] リストで、ゾーンに対する

チェックボックスを選択して、 [>>] ボタンをクリックします。この操作により、このゾーンが [In Use] テーブルに移動します。

また、 [New] ボタンをクリックすることで、新しい EPC ゾーンを作成し、それをリストに追加するこ

ともできます。ゾーンの作成方法については、 186 ページの「ゾーンの定義」を参照してください。

3. コミュニティが複数のゾーンを参照する場合、 [Move up] ボタンまたは [Move down] ボタンを使用

して、リスト内のゾーンの順序を変更します。ゾーンはリストされている順序で処理されるため、それぞ

れのゾーンでどのデバイスに許可を与えるか慎重に検討する必要があります。も狭い範囲のゾーンをリ

ストの先頭に持ってくるようにします。

4. Web プロキシエージェントまたは Connect トンネルクライアントを使用するコミュニティのメンバー

に対して、アクティブでない ( ユーザーがキーボードもマウスも使用しない状態になっている ) 接続を終

了させるために非アクティブタイマーを設定する場合、 [End inactive user connections] リストか

ら時間制限オプション ([3 minutes] から [10 hours]) を選択します。

5. [Finish] または [Save] をクリックして、コミュニティの構成を終了します。

デフォルトコミュニティの使用

レルムを作成したら、そのレルムに 1 つまたは複数のコミュニティを対応させなければなりません。これが必

要になるのは、アプライアンスがアクセスエージェントおよび End Point Control コンポーネントをユーザー

に設定するときに、コミュニティが使用されるためです。

コミュニティを認証レルムと対応させるためのも簡単な手段は、 AMC ですでに構成されているグローバルデフォルトコミュニティを使用する方法です。デフォルトコミュニティには、次のような特性が自動的に割

り当てられています。

• コミュニティのメンバーシップは [Any] に設定されています。つまり、認証レルムのすべてのユーザー

がこのコミュニティに割り当てられます。

• コミュニティのメンバーは、 Web ベースのプロキシアクセス (TCP プロトコル ) と Web アクセス (HTTP) の 2 つの方法を利用できます。

• ユーザーのコンピュータには、 End Point Control が課せられていません。


メモ

• レルムのデフォルトコミュニティについても、他のコミュニティと同様の方法で、設定を修正すること

ができます。 131 ページの「コミュニティの編集、コピー、削除」を参照してください。

• また、新しくコミュニティを追加して、レルムに対応させることもできます。 121 ページの「レルムへの

コミュニティの追加」を参照してください。

レルムでコミュニティがリストされる順序の変更

ユーザーが認証レルムにログインするとき、アプライアンスは、アクセスエージェントを設定できるようにす

るため、そのユーザーが所属するコミュニティを調べます。 1 つのレルムでコミュニティを 1 つしか使用しな

い場合、またはそれぞれのユーザーに 1 つのコミュニティしか割り当てていない場合、ログインし適切なアク

セスエージェントを受け取るプロセスは至極単純なものになります。

しかし、あるユーザーが複数のコミュニティに所属している場合、そのユーザーに割り当てられるコミュニ

ティは、 [Configure Realm] ページの [Communities] セクションにリストされるときのコミュニティの

順序で決まります。アプライアンスは、ユーザーをリストの初のコミュニティと一致させようとします。

ユーザーは、一致するリストの初のコミュニティに割り当てられることになります。そのため、このような

場合、も範囲が狭いコミュニティをリストの初に配置するのがベストです。

レルムに対するコミュニティの順序を変更するには



2. コミュニティの順序を変更する認証レルムの名前をクリックします。この操作により、 [Configure Realm] ページの [General] セクションが表示されます。

3. [Communities] リンクをクリックします。この操作により、 [Configure Realm] ページの [Communities] セクションが表示されます。

4. コミュニティのリストには、コミュニティに対して [Move Up] リンクまたは [Move Down] リンク

が適宜対応しています。それぞれのリンクをクリックすると、選択しているコミュニティが 1 段階ずつ

上下に移動します。

5. コミュニティが所定の場所まで移動したら、 [Save] をクリックします。

メモ

• ユーザーに割り当てられているコミュニティは、 ASAP WorkPlace の [details] ページに表示されます。

レルムでの RADIUS アカウンティングの構成

アカウンティング情報を収集するために RADIUS サーバーを使用する場合、 AMC で RADIUS アカウンティ

ングサーバーを構成して、レルム単位でアカウンティングを有効にすることができます。アプライアンスで

は、ログインしたユーザー、接続の時刻と時間、接続元 IP アドレスなどを示す RADIUS アカウンティングメッセージをサーバーに送信します。

アプライアンスは、一度に 1 台の RADIUS サーバーのみに接続することができます。 AMC で 2 台の RADIUS サーバーが構成されている場合、アプライアンスはプライマリサーバーのみにメッセージを送信し、

プライマリサーバーとの接続が失敗した場合に限り、セカンダリサーバーと通信します。

RADIUS アカウンティングサーバーを構成するには



2. [Authentication Servers] ページで [RADIUS Accounting] に対応する [Edit] リンクをクリッ

クします。この操作により、 [RADIUS Accounting] ページが表示されます。

3. [Enable RADIUS accounting] チェックボックスを選択して、アプライアンスが RADIUS アカウン

ティングメッセージをサーバーに送信できるようにします。

4. [Primary RADIUS server] ボックスにプライマリアカウンティングサーバーの IP アドレスを入力

し、 [Accounting port] ボックスにサーバーとの通信で使用するポート番号を入力します。ここをブラ

ンクにすると、デフォルトのサーバーポート (1646) が使用されます。

5. アプライアンスとサーバー間の通信に障害が発生した場合のバックアップとして、 2 台目の RADIUS アカウンティングサーバーを使用する場合は、 [Secondary RADIUS server] ボックスにサーバーの IP アドレスを入力し、 [Accounting port] ボックスにポート番号を入力します。

6. [Shared secret] ボックスに、アプライアンスが RADIUS アカウンティングサーバーと通信する上で

必要な、事前に設定された秘密情報を入力します。


間が経過すると、サーバーとの接続を再試行します。

8. デフォルトの場合、アプライアンスは、そのアプライアンス名 ([Configure Network Interfaces] ページの設定 ) を使用して、 RADIUS アカウンティングサーバーで認証を受けます。ただし、 [NAS-Identifier] ボックスや [NAS-IP-Address] ボックスの設定を使用することで、アプライアンスが異

なる識別情報を送信するよう設定することもできます。

9. [Locale encoding] エリアで次のように設定します。

• [Selected] リストボックスから文字セットを選択します。選択可能な文字セットのリストについ

ては、 291 ページの「サポートされているその他の RADIUS 文字セット」を参照してください。

• [Other] をクリックし、テキストボックスに文字セットの名前を入力します。入力できる文字セッ

トのリストについては、 291 ページの「サポートされているその他の RADIUS 文字セット」を参照




コミュニティの編集、コピー、削除

コミュニティの編集方法、コピー方法、削除方法の詳細については、 35 ページの「AMC でのオブジェクトの

追加、編集、コピー、削除」を参照してください。

ユーザーまたはグループのメンバーシップの特定コミュニティへの制限

デフォルトの場合、コミュニティは、対応している認証レルムのすべてのメンバーを、そのメンバーとして含

むよう構成されています。ただし、レルム内の特定ユーザーまたは特定ユーザーグループのみにアクセスを限

定するよう、コミュニティを構成することもできます。

これはたとえば、レルムを、従業員用のコミュニティと、ビジネスパートナー用のコミュニティに分割したい

場合などに使用すると便利です。こうしておくと、それぞれのコミュニティに適切なアクセスエージェントを

割り当てたり、セキュアでないコンピュータからログインする場合に End Point Control を課したりすること

ができます。コミュニティは、アクセス制御ルールからも参照できるため、特定のユーザーコミュニティに対

して、リソースへのアクセスを許可または拒否することができます。

コミュニティのメンバーシップを制限するには



2. 修正するコミュニティを含むレルムの名前をクリックします。この操作により、 [Configure Realm] ページが表示されます。

3. [Communities] リンクをクリックして、レルムに割り当てられているコミュニティを表示します。次

に、修正したいコミュニティの名前の横にある [+] 記号をクリックして、設定を拡張表示します。

4. コミュニティに対応する [General] リンクをクリックします。この操作により、 [Configure Community] ページの [Members] セクションが表示されます。

5. [Members] ボックスの横にある [Edit] ボタンをクリックします。現在のユーザーおよびグループを表

示するポップアップウィンドウが表示されます。

6. [Users and Groups] ポップアップウィンドウで、コミュニティに割り当てたいそれぞれのユーザー

またはグループに対するチェックボックスを選択します。

7. メンバーをコミュニティに追加し終わったら、 [Save] を、続いて [OK] をクリックします。

ユーザーおよびグループの管理

ユーザーおよびグループの管理は、継続的な作業になります。ユーザーとグループは、直接アプライアンスに

保管されるわけでなく、外部ユーザーディレクトリから参照されます。ほとんどのユーザー管理は、外部ユー

ザーリポジトリを介して行われますが、信頼できるアクセスを提供するためには、 AMC リストで新の状態

が保たれるようにすることが必須になります。

AMC で定義されているユーザーとグループは、アプライアンスで現在構成されているディレクトリと対応して

います。

ユーザーおよびグループの表示

AMC で構成されているユーザーとグループは、 [Groups]、 [Users]、 [Local Accounts] の各ページに表

示されます。


ユーザーとグループを表示するには

1. メインナビゲーションメニューで [Users & Groups] をクリックします。この操作により、

[Groups] ページが表示されます。

2. 表示するオブジェクトのタイプを選択します。

• 外部認証サーバーに保管されたグループ情報にマッピングされているユーザーのグループを管理する

場合、 [Groups] タブをクリックします。

• 外部認証サーバーに保管されたグループ情報にマッピングされている個別のユーザーを管理する場

合、 [Users] タブをクリックします。

• アプライアンスのローカルリポジトリに保管されているユーザーを管理する場合、 [Local Accounts] タブをクリックします。

3. グループ、ユーザー、ローカルアカウントの各リストに表示されたデータを確認します。

• チェックボックス列は、 1 つまたは複数のグループ、ユーザー、ローカルアカウントを選択すると

きに使用します。これらを削除するときにこれを使用します。

• プラス記号 (+) の列をクリックすると、ユーザー、グループ、ローカルアカウントが拡大されま

す。

• [Name] 列には、ユーザー、グループ、ローカルユーザーアカウントを作成するときに割り当て

た名前が表示されます。

• [Description] 列には、ユーザー、グループ、ローカルユーザーアカウントを作成するときに入

力した説明テキストがリストされます。

• [Realm] 列には、ユーザー、グループ、ローカルユーザーアカウントを参照する認証レルムが示

されます。

4. 列は、各列の見出しをクリックすることにより、昇順または降順でソートすることができます。

外部リポジトリにマッピングされているユーザーおよびグループの管理

ユーザーおよびグループの管理は、継続的な作業になります。ユーザーとグループは、直接アプライアンスに

保管されるわけでなく、外部ユーザーディレクトリから参照されます。ほとんどのユーザー管理は、外部ユー

ザーリポジトリを介して行われますが、安全で信頼できるアクセスを提供するためには、 AMC リストで新

の状態が保たれるようにすることが必須になります。

ほとんどのディレクトリでは、同様のユーザーアカウントをまとめて、同様の権利や権限を与えています。

ディレクトリをこのように管理する場合、アプライアンスでのユーザー管理のほとんどは、通常、個別のユー

ザー単位ではなく、ユーザーグループ中心に行われることになります。初に、ディレクトリに保管されてい

るユーザーグループを参照するよう、アプライアンスをセットアップして、その後、アクセス制御ルールでそ

のグループを参照します。個別のユーザーを管理する必要があるのは、ほとんどの場合、グループメンバー

シップで認められているものと異なる権限を割り当てる場合に限られます。

AMC で定義されているユーザーとグループは、アプライアンスで現在構成されているディレクトリと対応して

います。

テストや評価のために、アプライアンスでローカルユーザーを作成することもできます。 138 ページの「ロー

カルユーザーアカウントの管理」を参照してください。


ディレクトリの検索によるユーザーやグループの追加

Microsoft Active Directory ディレクトリおよび LDAP ディレクトリの場合、ディレクトリの内容を検索し

て、ユーザーやグループをリストから選択することにより、ユーザーを追加することができます。その場合、

識別名 (DN) をわざわざ入力する必要はありません。ただしこの機能は、 RADIUS レルム ( またはローカルユーザーストア ) に含まれているユーザーを追加する場合以外は使用できません。

ユーザーやグループを追加すると、 [Users page] ページ、 [Groups page] ページにそれぞれリストされま

す。この状態で、ユーザーやグループをアクセス制御ルールに追加することができます。

ディレクトリの検索によりユーザーやグループを追加するには

1. メインナビゲーションメニューから [Users & Groups] をクリックします。この操作により、


2. 追加するオブジェクトのタイプを選択します。

• グループを追加する場合、 [Groups] タブをクリックします。

• ユーザーを追加する場合、 [Users] タブをクリックします。

3. [Search] ボタンをクリックします。この操作により、 [Search Directory] ウィンドウが表示されま

す。

4. [Look in] リストで、検索するディレクトリを選択します。

5. 検索基準を定義します。

• [Search for] ボックスに、ユーザー名またはグループ名のすべてまたは一部を入力します。デフォ

ルトは「*」で、この場合、レルム内のすべてのレコードが返されます。ワイルドカード文字 ( 「*」) は、検索文字列のどの部分にも使用することができます。たとえば、「j」で始まるグループ名を検

索する場合は、「j*」と入力します。また、「Mary」または「Marty」という名前のユーザー ( ただ

し「Max」は除外 ) を検索するときは、「m*y」と入力することができます。

• 検索範囲を狭めるときは、 [Attribute] ボックスに LDAP 属性を入力します。たとえば、ユーザー

の姓を検索する場合は「sn」、共通名を検索する場合は「cn」と入力することができます。

• 各ページで返される結果の数を、 [Show] ボックスで指定することができます。デフォルトは

「25」です。

• 詳細な検索基準を指定する場合は [Advanced] タブをクリックします。詳細については、 135ページの「高度な検索方法」を参照してください。


6. [Search] をクリックします。

7. 追加するオブジェクトを指定します。

• 結果表示ページを切り替えるときは、左下のペインにある矢印ボタンを使用します。 [<] および [>] をクリックすると、ページが 1 ページずつ前後に移動します。 [<<] および [>>] をクリック

すると、初のページおよび後のページがそれぞれ表示されます。

• ユーザーまたはグループについての詳細な情報を参照するときは、名前をクリックします。詳細な属

性のリストが右側のペインに表示されます。

• アプライアンスに追加するユーザーまたはグループの左側にあるチェックボックスを選択します。

8. [Insert Selected] ボタンをクリックします。この操作により、選択しているユーザーまたはグループ

がアプライアンスに追加されます。現在のページのすべてのユーザーまたはグループを選択 ( または選択

解除 ) するには、 [Select all/none] の横にあるチェックボックスを選択します。

9. 設定が終わったら、右上の [Close] ボタンをクリックします。この操作により、ポップアップウィンド

ウが閉じて、メイン AMC ページに戻ります。

メモ

• デフォルトの場合、基本 ([basic]) 検索は、 sAMAccountName、 cn、 uid、 userid の各属性を照会

することによって、ユーザーおよびグループを検索するよう構成されています。


高度な検索方法

LDAP 構文に慣れている場合は、高度な検索を行うことで、照会の範囲をさらに狭めることができます。これ

は、特に大規模なディレクトリを照会する場合など、検索結果の数を減らす必要がある場合に使用すると非常

に便利です。状況によっては、非標準スキーマを使用してディレクトリを照会するために、高度な検索を実行

する必要があります。

高度な検索を実行する場合、 [Advanced] タブをクリックします。次の表では、高度な検索基準を指定する

ためのフィールドについて説明します。

属性説明

[Filter] ボックス検索の範囲を狭める LDAP 検索フィルタを指定します。

構文filter=(operator(LDAP attribute=value)(..))

演算子• OR = “|”• AND = “&”• NOT = “!”

例(cn=Babs Jensen)(!(cn=Tim Howes))(&(objectClass=Person)(|(sn=Jensen)(cn=Babs J*)))

[Search base] ボックス検索を始める LDAP ディレクトリ内のポイントを指定します。通常これは、ユーザーまたはグループが含まれるディレクトリツリーの下層になります。

LDAP の場合、「ou=Users,o=example.com」のように入力します。 Microsoft Active Directory を検索するときは、「CN=users,DC=example,DC=corp,DC=com」と指定します。

[Object class] ボックスユーザーまたはグループが含まれるオブジェクトクラスを指定します。ユーザーの場合、これは通常「user] または [inetOrgPerson] になります。グループの場合は通常「group」、「groupOfNames」、「groupOfUniqueNames」のいずれかになります。


メモ

• LDAP 検索フィルタの詳細については、 RFC 2254 (http://www.ietf.org/rfc/rfc2254.txt) を参照して

ください。

• LDAP 検索構文は非常に柔軟で、複数の方法を使用して同じ結果を引き出せるようになっています。たと

えば、あるディレクトリのすべてのグループを検索するとき、オブジェクトクラスを使用することがで

きます。

objectclass=group;groupOfNames

また、検索フィルタを使用しても、同じ結果を引き出すことができます。

(|(objectclass=group)(objectclass=groupOfNames))

ユーザーまたはグループの手作業による追加

ユーザーまたはグループを作成すると、 [Groups] ページまたは [Users] ページにそれぞれリストされます。

この状態で、ユーザーやグループをアクセス制御ルールに追加することができます。

ユーザーやグループを追加するには



2. 追加するオブジェクトのタイプを選択します。

• グループを追加する場合、 [Groups] タブをクリックして、 [New] ボタンをクリックします。この

操作により、 [Add/Edit Group Mapping] ページが表示されます。

• ユーザーを追加する場合、 [Users] タブをクリックして、 [New] ボタンをクリックします。この

操作により、 [Add/Edit User Mapping] ページが表示されます。

3. [Realm name] リストから、ユーザーやグループが所属するレルムを選択します。 I ユーザーやグルー

プが複数のレルムに所属しており、それぞれを検索したい場合は、レルムリストから [Any] を選択しま

す。

[Scope] リスト検索するコンテナを指定します。

• [base] の場合、検索ベースからのみ情報を検索します。検索ベースより下のコンテナは検索されません。

• [one] の場合、検索ベースより 1 レベル下から情報を検索します。この範囲には、検索ベース自体は含まれません。

• [sub] の場合、検索ベースおよび検索ベースの下のすべてのレベルから情報を検索しますこれがデフォルト設定になります。

属性説明


4. [Group name] または [User name] ボックスに、グループまたはユーザーの情報を入力します。外

部リポジトリ内の名前を正確に入力します。次の表は、ユーザーおよびグループを定義するときに使用す

る構文について説明しています。

メモ

• ユーザー名とグループ名では、大文字と小文字が区別されます。

• 入力した名前が間違っている場合 ( たとえば「marketing」と入力すべきところを「mktg」や

「Marketing」と入力するなど )、そのユーザーまたはグループメンバーによるリソースへのアクセ

スが許可されなくなります。

• Active Directory または LDAP ディレクトリの場合、 [Browse] をクリックして、ディレクトリを

検索することができます。

5. [Description] ボックスに、ユーザーやグループについてのコメントを入力します。

6. [Save] をクリックします。この操作により、 [Groups] ページまたは [Users] ページに戻ります。ま

た、 [Save and Add Another] をクリックして、他のユーザーまたはグループを定義することもでき

ます。

メモ

• AMC でユーザーグループを追加するとき、ユーザーを実際にグループ化しているわけではありません。

外部ユーザーリポジトリで定義されているユーザーグループの名前を単に追加しているにすぎません。

• このアプライアンスでは、テストや評価のために、ローカルユーザーもサポートしています。 138 ペー

ジの「ローカルユーザーアカウントの管理」を参照してください。

ユーザーまたはグループの編集

外部ディレクトリで、ユーザーまたはグループの名前、識別名などが変更された場合、アプライアンスでアカ

ウントを修正する必要があります。

ユーザーまたはグループを編集するには



2. 編集するオブジェクトを選択します。

• グループを編集する場合、 [Groups] タブをクリックして、編集するグループの名前をクリックし

ます。この操作により、 [Add/Edit Group Mapping] ページが表示されます。

• ユーザーを編集する場合、 [Users] タブをクリックして、編集するグループの名前をクリックしま

す。この操作により、 [Add/Edit User Mapping] ページが表示されます。

3. 必要な編集を行います。

ユーザーやグループが Active Directory または LDAP レルムに所属している場合、 [Browse] ボタン

をクリックして、ユーザーを検索することができます。 [Insert Selected User] または [Insert Selected Group] をクリックすると、アプライアンスのユーザーまたはグループのマッピングがそれ

ぞれ更新されます。

オブジェクトディレクトリタイプ入力事項

グループ Active Directory 共通名 (CN) または識別名 (DN) を入力します。

CN は DN よりも簡単に入力できます ( たとえば「cn=Sales,cn=Users,dc=example,dc=com」と入力せずに「Sale」と入力できる ) が、 CN の場合、唯一の一致が保証されません。疑わしい場合は、 DN を使用する方が安全です。

LDAP 識別名 (DN) を入力します。たとえば「cn=Sales,cn=Users,dc=example,dc=com」と入力することができます。

RADIUS グループ名を入力します。たとえば「Sales」と入力することができます。

ユーザー Active Directory または RADIUS

ユーザー名を入力します。たとえば「jsmith」と入力することができます。

LDAP 識別名 (DN) を入力します。たとえば「cn=jsmith,cn=Users,dc=example,dc=com」と入力することができます。


4. [Save] をクリックします。この操作により、 [Groups] ページまたは [Users] ページに戻ります。ま

た、 [Save and Add Another] をクリックして、他のユーザーまたはグループを定義することもでき

ます。

ユーザーまたはグループの削除

ユーザーまたはグループを削除すると、そのマッピングがシステムから削除されます。ユーザーやグループを

削除しても、外部ユーザーディレクトリからそのユーザーやグループが削除されるわけではありません。

ユーザーまたはグループを削除するには



2. 削除するオブジェクトを選択します。

• グループを削除する場合、 [Groups] タブをクリックして、削除するグループの左側にあるチェッ

クボックスを選択します。

• ユーザーを削除する場合、 [Users] タブをクリックして、削除するユーザーの左側にあるチェックボックスを選択します。

3. [Delete] ボタンをクリックします。

メモ

• ユーザーまたはグループが他のオブジェクトから参照されている場合は、これを削除することができませ

ん。たとえば、アクセス制御ルールで参照されているユーザーまたはグループを削除しようとすると、エ

ラーメッセージが表示されます。 Y 削除する前に、あらかじめ、ユーザーまたはグループへのすべての参

照を削除しておかなければなりません。詳細については、 43 ページの「参照されているオブジェクトの


ローカルユーザーアカウントの管理

このアプライアンスでは、次の 2 種類の方法でローカルユーザーアカウントを作成できるようになっていま

す。

• Setup Wizard を実行してアプライアンスを構成するときにローカルユーザーを作成することができま

す。 27 ページの「Setup Wizard を使用した Web ベースの構成」を参照してください。

• AMC でローカルユーザーアカウントを作成し、ローカル認証リポジトリに保管することができます。

どちらの場合も、ローカルユーザーはその名の通り、アプライアンスに保管されます。これは、外部認証リポ

ジトリに保管されていて AMC から参照される他のすべてのユーザーの場合と異なっています。 AMC では、ア

プライアンス上の個別のユーザーに対するローカルアカウントを作成、修正、削除できるようになっていま

す。ただし、 AMC では、ユーザーのグループに対するローカルアカウントはサポートしていません。

メモ

• ローカルユーザーは、テストや評価のためのものです。実稼働環境では、 LDAP や Microsoft ActiveDirectory などの外部認証ディレクトリと統合するようセットアップすることをお勧めします。


ローカルユーザーの追加

ローカルユーザーを追加する場合、あらかじめ、アプライアンスにローカル認証リポジトリを作成していなけ

ればなりません。 86 ページの「ローカルユーザー認証の構成」を参照してください。

いったんローカル認証ストアを作成したら、ローカルユーザーをアプライアンスに追加できるようになりま

す。

ローカルユーザーをアプライアンスに追加するには

1. メインナビゲーションメニューで [Users & Groups] をクリックします。この操作により、


2. [Local Accounts] タブをクリックして、 [New] ボタンをクリックします。この操作により、

[Add/Edit Local User] ページが表示されます。

3. [Realm name] リストから、ローカル認証リポジトリを選択します。

4. [Username] ボックスに、ローカル認証リポジトリに追加するローカルユーザーの名前を入力します。

5. [Description] ボックスに、ローカルユーザーについてのコメントを入力します。

6. [Password] ボックスに、ローカルユーザーのパスワードを入力し、 [Confirm Password] ボック

スに再入力します。

7. [Save] をクリックします。この操作により、ローカルユーザーアカウントが作成され、アプライアン

スのローカル認証リポジトリに保存されます。

ローカルユーザーの編集

ローカルユーザーの設定を編集する場合、次の手順を実行します。

ローカルユーザーを編集するには



2. [Local Accounts] タブをクリックします。

3. [Local Accounts] ページで、編集するユーザーの名前をクリックします。

4. [Add/Edit Local User] ページでユーザーの設定を編集して、 [Save] をクリックします。


ローカルユーザーの削除

ローカルユーザーを削除するときは、次の手順を実行します。

ローカルユーザーを削除するには



2. [Local Accounts] タブをクリックします。

3. [Local Accounts] ページで、削除したいユーザーの左側にあるチェックボックスを選択して、

[Delete] ボタンをクリックします。

メモ

• ローカルユーザーが他のオブジェクトから参照されている場合は、これを削除することができません。

たとえば、アクセス制御ルールで参照されているローカルユーザーを削除しようとすると、エラーメッ

セージが表示されます。削除する前に、あらかじめ、ローカルユーザーへのすべての参照を削除してお

かなければなりません。エラーメッセージのリンクをクリックすると、このユーザーグループに対する

参照がすべてリストされます。詳細については、 43 ページの「参照されているオブジェクトの削除」を



第 7 章システム管理

この節では、システムロギングとモニタリングの構成方法と使用方法、および Secure Sockets Layer (SSL) 暗号化オプションの構成方法について説明します。また、ソフトウェアバージョンのアップグレード、ロール

バック、リセットの他、構成ファイルをバックアップ、リセットするためのさまざまなツールの使用方法につ

いても説明します。

オプションネットワーク構成

この節では、さまざまなネットワークサービスおよびツールを構成する方法について解説します。リモートホストからの SSH アクセスを有効にする方法や、アプライアンスを ping できるよう Internet Control Message Protocol (ICMP) を有効にする方法について説明します。また、アプライアンスで時刻設定を構成

する方法についても説明します。

SNMP の構成方法および使用方法については、 157 ページの「SNMP の構成」を参照してください。

リモートホストからの SSH アクセスの有効化

SSH を有効にすると、他のシステムからアプライアンスのコンソールに簡単にアクセスすることができます。

内部ネットワークまたは外部ネットワークについて SSH アクセスを有効にすることができます。ローカル SSH サーバードメイン (sshd) はポート 22 (SSH で一般的なポート番号 ) でリッスンします。

SSH アクセスを有効にするには

1. メインナビゲーションメニューから [Services] をクリックします。

2. [Network Services] エリアの [SSH] に対応する [Configure] リンクをクリックします。この操作

により、 [Configure SSH] ページが表示されます。

3. SSH を有効にするには、 [Enable SSH] チェックボックスを選択します。

142 | 第 7 章 - システム管理

4. SSH アクセスを許可するホストを追加するには、追加するホストの IP アドレスとサブネットマスクを

入力して [Add] をクリックします。


ホストを削除するには

1. 削除するホストの右側にある [Delete] ボタンをクリックします。


メモ

• IP アドレスとサブネットマスクに「0.0.0.0」と入力することで、任意のホストからの SSH アクセス

を有効にすることができます。これは便利な設定ではありますが、アプライアンスのセキュリティが低下

するという欠点もあります。

• コマンドラインからアップグレードを行うときは、 SSH を使用しないでください。代わりにシリアルコンソールからアップグレードを行うようにします。

ICMP の有効化

ICMP を有効にすると、同じサブネット上の他のコンピュータからアプライアンスへのネットワーク接続をテ

ストするために ping コマンドを使用できるようになります。ただしこれは、ブロードキャスト ping を有効に

するものではありません。

! 注意 ICMP を有効にすると、両方のネットワークインタフェースからアプライアンスを ping できるよ

うになります。そのため、ファイアウォールやその他のネットワークデバイスを使用して ICMP Echo Request トラフィックを禁止しない限り、アプライアンスをインターネットから検出できる状態になり

ます。

ICMP を有効にするには

1. メインナビゲーションメニューから [Network Settings] をクリックします。この操作により、


2. [Basic] セクションの [Edit] リンクをクリックします。この操作により、 [Configure General Network Settings] ページが表示されます。

3. [ICMP] エリアで、 [Enable ICMP pings] チェックボックスを選択します。



時刻設定の構成

デフォルトの場合、アプライアンスはグリニッチ標準時 (GMT) に設定されています。現地時間を使用してロ

グをとりたい場合、アプライアンスで時刻設定を構成します。システムクロックを正確に合わせるためにアプ

ライアンスで Network Time Protocol (NTP) を使用する構成にすることもできます。また、日付、時刻、タ

イムゾーンを手作業で構成することもできます。

NTP を使用して時刻設定を構成するには


2. [Network Services] エリアの [NTP] に対応する [Configure] リンクをクリックします。この操作

により、 [Configure NTP Settings] ページが表示されます。

3. NTP を有効にするには、 [Enable NTP] チェックボックスを選択します。

4. NTP を構成するため、 [Primary server] ボックスおよび [Backup server] ボックスに、 1 つまた

は複数の NTP サービスの IP アドレスを入力します。時刻の同期の際、通常はプライマリサーバーが使

用されますが、プライマリサーバーが使用できないときは、必要に応じてセカンダリサーバーが使用さ

れます。


メモ

• アプライアンスでは NTP 認証鍵を使用していないため、何者かが NTP サーバーになりすまして、アプラ

イアンスに偽の時刻設定を提供することもできます。そのため、 NTP サーバーを同期するときは、内部

ネットワークのものだけを使用すると良いでしょう。


時刻設定を手作業で構成するには


2. [General Settings] ページで、 [Appliance options] セクションの [Edit] リンクをクリックしま

す。 [Configure General Appliance Options] ページが表示されます。

3. [Date/Time] エリアで、次の情報を入力します。

• タイムゾーンを変更するときは、 [Time zone] ボックスから現在のタイムゾーンを選択します。

• 現在の時刻を設定するときは、 [Date] ボックスに現在の日付を「mm/dd/yyyy」の書式で入力し

て、 [Time] ボックスに現在の時刻を「hh:mm」の書式で 24 時間表記を使用して入力します。変

更をすぐに適用する場合は、 [Set now] をクリックします。


メモ

• Aventail が提供した評価版ライセンスを使用している場合は、システム時刻を現在時刻から前に戻さな

いでください。時刻を前に戻すと、ライセンス上の理由から、アプライアンスのすべてのサービスが無効

になります。

システムロギングおよびモニタリング

Aventail アプライアンスは、ユーザーアクセスやシステムイベントなど、さまざまな有用な情報をロギング

します。この節では、ログの構成方法と表示方法、さまざまなログファイル形式、外部 syslog サーバーへの

メッセージの送信方法などについて説明します。また、 AMC で表示されるシステムステータス情報について

も解説します。

概要 : システムロギングおよびモニタリング

アプライアンスでは、アプライアンス上のサービスのデータをロギングします。システムログは、収集された

ら、すべて syslog 形式で保管されます。ログメッセージは、更新バージョンの標準 syslog 形式を使用して

処理されます。

アプライアンスは当初、ログファイルをローカルに保管するよう構成されています。ログファイルを中央の syslog サーバーに送信するよう構成すると、システムレベルのイベントをほぼリアルタイムに監視できるよう

になり、重要なイベントについて通知を受けることもできます。中央の syslog サーバーが使用できない場合

は、 AMC または (tail、 cat、 more などなどの標準 UNIX コマンドを使用して ) アプライアンス自体のコマ

ンドラインインタフェースからログファイルを手動で参照することができます。生ログデータの参照方法や

解釈の方法については、 Aventail チャネルパートナーのサポート窓口までお問い合わせ下さい。

また、ログメッセージデータをカンマ区切り形式 (.csv) のファイルにエクスポートすることにより、

Microsoft Excel などのアプリケーションで表示と分析を行うこともできます。


ログファイル形式

アプライアンスは、さまざまなタイプのログファイルを生成します。

• システムメッセージログ - メッセージログには、ネットワークプロキシサービス、ネットワークトン

ネルサービス、 Web プロキシサービスについてのサーバー処理情報および診断情報が表示されます。ま

た、すべてのアクセス制御決定に関する詳細なメッセージも記述されます。つまり、ユーザーの要求がポ

リシールールと合致すると、そのときに実行された動作を示すログファイルエントリが記録されます。

AMC からこのログにアクセスするときは、 [View Log] ページから [System message log] を選択

します。

• 監査ログ - アプライアンスは、2 種類のアクセスログを生成します。1 つは Web プロキシサービスを記

録したもので、もう 1 つは、ネットワークプロキシサービスとネットワークトンネルサービスの両方の

メッセージを組み合わせたものです。これらの 2 つのログには、ネットワークにアクセスしたユーザーや

転送されたデータの量のリストなど、接続活動に関する詳細な情報が記録されます。 AMC から監査ログ

にアクセスするときは、 [View Logs] ページから [Web proxy audit log] または [Network proxy/tunnel audit log] を選択します。

• ASAP WorkPlace ログ - このアプライアンスは、エラー条件や情報メッセージを記述した、 ASAP WorkPlace に対するログファイルを 1 つ生成します。ASAP WorkPlace ログは、 [View Logs] ページ

から参照することはできません。

• Management Console 監査ログ - このアプライアンスは、 AMC でプライマリ ( デフォルト ) 管理者

およびセカンダリ管理者が行った構成変更に対する監査履歴を生成します。

ログの表示

Aventail サービスに対する監査ログおよびシステムメッセージログのデータを参照するときは、AMC を使用

することができます。 AMC の [View Logs] ページを使用して、ログメッセージをソート、検索、フィルタ

リングすることができます。

ログを表示するには

1. メインナビゲーションメニューから [Logging] をクリックします。この操作により、 [View Logs] ページが表示されます。

2. [Log file] リストを使用して、表示する Aventail システムまたはサービスログファイルを選択します。

表示される情報の列は、それぞれのログファイルごとに異なります。

• システムメッセージログ。 Web プロキシサービス、ネットワークトンネルサービス、ネット

ワークプロキシサービス、ポリシーサーバーに関する情報が含まれます。このログの詳細について

は、 150 ページの「システムメッセージログ」を参照してください。

• ネットワークプロキシサービスおよびネットワークトンネルサービスに対する監査ログ ( ログファイルでは「Anywhere VPN」と表記される )。このログの詳細については、 151 ページの

「ネットワークプロキシ / トンネル監査ログ」を参照してください。

• Web プロキシサービスに対する監査ログ ( ログファイルでは「ExtraWeb」と表記される )。この

ログの詳細については、 152 ページの「Web プロキシ監査ログ」を参照してください。

• Management Console 監査ログ。指定の管理者が AMC で行った構成変更が記録されています。こ

のログの詳細については、 153 ページの「Management Console 監査ログ」を参照してください。


3. [Show last] ボックスを使用して、表示するログメッセージの数を選択します。 [50]、 [100]、[250]、 [500]、 [1000] のいずれかを選択することができます。

4. 新のログメッセージが含まれるようページを更新するときや、実行したばかりのフィルタリングの結

果を表示するときは、 [Refresh] ボタンをクリックします。

デフォルトの場合、ログビューアの [Auto-refresh] オプションは [1 minute] に設定されています。

リフレッシュ時間は、オプションで、 [30 seconds]、 [1minute]、 [5 minutes]、 [10 minutes]、[15 minutes] のいずれかを選択することができます。また、 [Off] を選択して、リフレッシュをオフに

することもできます。

5. オプションで [Search for]、 [Level]、 [Source]、 [Status] などのソートオプションを使用するこ

とができます。これらのオプションを使用すると、特定の基準に合致するログメッセージのみが表示さ

れます。 146 ページの「ログメッセージのソート、検索、フィルタリング」を参照してください。

メモ

• [Auto-refresh] が [Off] 以外に設定されている場合、更新動作が持続的に行われるため、デフォルト

の非アクティブ期間 (15 分 ) が経過しても、 AMC セッションが自動的にタイムアウトしなくなり、

[View Logs] ページが表示された状態になります。 [View Logs] ページが表示された状態になります。

これは実際問題として、コンピュータで AMC を実行し、オートリフレッシュモードを有効にした状態で [View Logs] ページを表示したまま席を外すと、 AMC がタイムアウトしなくなるということを表して

います。セキュリティを向上させるための習慣として、ログメッセージを表示し終わったら、 AMC の他

のページに必ず移るようにしておきます。

ログメッセージのソート、検索、フィルタリング

AMC ログビューアでは、ソート、検索、フィルタリングなどのオプションを使用して、ログメッセージデー

タの表示をカスタマイズすることができます。これらのオプションは、単独で使用できる他、組み合わせて使

用することもできます。

• ソート

表示されているデータは、ログテーブルのそれぞれの列をクリックすることで、列ごとに昇順または降

順にソートすることができます。デフォルトの場合、ログメッセージは、 [Time] 列でソートされてお

り、新のメッセージが先頭に表示されるようになっています。

• 検索

ログビューアでは、 IP アドレスやユーザー ID など、ログファイル内のテキスト文字列を検索できるよ

うになっています。 [Search for] ボックスに検索基準を入力して [Refresh] をクリックすると、検索

結果が表示されます。 Y 検索基準では、「*」や「?」などのワイルドカード文字を使用することもできま

す検索基準を消去するときは、 [reset] リンクをクリックします。

システムメッセージログの場合、 [ID] 列のセッション ID 番号をクリックすると、同じセッション ID 番号を共有するすべてのログメッセージが自動的に検索されます。セッション ID の詳細については、

150 ページの「システムメッセージログ」に記載されたフィールドについて説明した表を参照してくだ

さい。

Web プロキシ監査ログおよびネットワークプロキシ / トンネル監査ログの場合は、 [Username] 列の

ユーザー ID をクリックすると、特定のユーザーについてのすべてのログメッセージが自動的に検索され

ます。


• フィルタリング

フィルタリングチェックボックスを使用することで、それぞれのログファイルに特定タイプのロギングデータを包含または除外することができます。使用可能なフィルタリングオプションは、どのログファ

イルを表示しているかによって異なります。

ログファイルのエクスポート

ログメッセージデータをさらに分析したい場合、または [View Logs] ページに表示される以外の方法で表

示したい場合、選択したデータをカンマ区切り形式 (.csv) のファイルにエクスポートすることにより、

Microsoft Excel などのアプリケーションで使用することができます。

デフォルトの場合、ログファイル内の選択したすべてのメッセージがエクスポートされます。エクスポートす

る前にフィルタリングしたり検索基準を適用したりすることで、エクスポートファイルのサイズを小さくする

ことができます。 [Show last] オプションを使用すると、 [View Logs] ページに表示されるメッセージの数

をコントロールできますが、これは .csv ファイルにエクスポートされるメッセージの数には影響しません。

エクスポートされたメッセージは、 [View Logs] ページで選択しているソート順に関係なく、時間の降順で

ソートされます。

ログファイルをエクスポートするには


2. [Log file] リストを使用して、表示する Aventail システムまたはサービスログファイルを選択します。

3. ログデータにフィルタリングや検索基準を適用します。 146 ページの「ログメッセージのソート、検

索、フィルタリング」を参照してください。

4. [Export] ボタンをクリックします。

5. .csv ファイルを保存またはオープンするための [File Download] ダイアログボックスが表示されま

す。 [Save] をクリックします。

6. 名前を変更してファイルを保存する場合、 [Save As] ダイアログボックスを使用して、ロケーションを

ブラウズし、 [Save] をクリックします。デフォルトの場合、 .csv ファイルには次のファイル名が割り当

てられます。

• システムメッセージログ : sysmessage.csv

• ネットワークプロキシ / トンネル監査ログ : netaudit.csv

• Web プロキシ監査ログ : webaudit.csv

• Management Console 監査ログ : consoleaudit.csv.

ログファイルフィルタリングオプション

システムメッセージログ [Level]: [Error]、 [Warning]、 [Info]、 [Verbose]

[Source]: [Network proxy]、 [Network tunnel]、 [Web]

ネットワークプロキシ /トンネル監査ログ

[Status]: [Error]、 [Info]、 [Success]

カーソルを特定のログメッセージの接続ステータスコードの上に置くと、メッセージの下に説明テキストが表示されます。

Web プロキシ監査ログ [Status]: [500]、 [400]、 [300]、 [200]

カーソルを特定のログメッセージの HTTP 戻りコード番号の上に置くと、メッセージの下に、それぞれのコードに対応する説明テキストが、「server error」 (500)、「client error」 (400)、「redirection」 (300)、「success」 (200) のように表示されます。このコードについては、 152 ページの「Web プロキシ監査ログ」で説明しています。


ログ設定の構成

システムをデバッグしている場合、 AMC で、 Aventail サービスごとにメッセージログレベルを設定すること

ができます。また、ログファイルを外部 syslog サーバーに送信するよう、アプライアンスを構成することも

できます。

ログレベルの設定

AMC を使用して、それぞれのサービスごとにメッセージログの詳細レベルを指定することができます。メッ

セージログの詳細レベルを上げると、必要なディスク容量が増加するため、システムのパフォーマンスに大き

く影響します。

ロギングレベルを設定するには


2. [Configure Logging] タブをクリックします。

3. [Web proxy] リストおよび [Network access] リストを使用して、監査ログで使用する適切なメッ

セージ詳細レベルを選択します。 ([Network access] はネットワークトンネルサービスとネットワー

クプロキシサービスの両方に対応する ) ログレベルは、詳細レベルが低い順に、 [Error]、[Warning]、 [Info]、 [Verbose] になります。

たとえば、 [Info] ログレベルの場合、 [Error] レベルよりもログ情報が多くなります。


メモ

• トラブルシューティングの場合、詳細ログレベルを高にしておくと便利ですが、パフォーマンスへの

影響が甚大になる可能性があるため、通常の動作の場合は使用しない方が無難です。

syslog サーバーへのログファイルの送信

Aventail アプライアンスでは、システムログを syslog サーバーに送信することができます。また、すべての

システムイベントは、 syslog を構成するかどうかに関係なく、ローカルにロギングされます。ネットワーク

にログ情報が氾濫するような状況を避けるため、上位 3 段階の重大度レベル ([Warning]、 [Error]、 [Fatal]) のログメッセージのみが転送されます。

syslog プロトコルの詳細については、 RFC 3164 http://www.ietf.org/rfc/rfc3164.txt を参照してくださ

い。


syslog サーバーへログファイルを送信するには


2. [Configure Logging] タブをクリックします。

3. [Syslog configuration] エリアで、 1 つまたは複数の syslog サーバーに対する IP アドレスとポート

番号を入力します。 syslog-ng ポートには、デフォルトでポート 514/tcp が割り当てられますが、必要

に応じて他のポートを使用することもできます。アプライアンスが syslog と通信するとき、 TCP プロト

コルと UDP プロトコルのどちらを使用するか指定するときは、 [Protocol] リストを使用します。


メモ

• syslog データは暗号化されないため、ログメッセージを外部サーバーに送信する場合、セキュリティ上

の問題が常に存在することになります。

ログファイルのロケーション

次の表は、各ログファイルのアプライアンス内のロケーションを示しています。

ログファイルのストレージ要件を抑えるために、ファイルがローテーションされます。次の表では、ログローテーションプロセスについて説明しています。

1 日以上前のファイルは、非圧縮形式で保管されます。ログファイル名には、 1 から 7 までの数値が割り振ら

れた接尾辞が付けられます。こうすると、ログローテーションが毎日発生した場合、「7」の接尾辞が付くログファイルがも古くなります。例 :

• extraweb_access.log が、 Web プロキシサービスの現在のログファイルです。

• その場合、 extraweb_access.log1 から extraweb_access.log.7 が、それ以前のローテーションのロ

グになります。

Aventail サービスログファイル形式ロケーション

ネットワークプロキシ / トンネルサービス

syslog

SOCKS5LF

/var/log/aventail/access_servers.log

/var/log/aventail/extranet_access.log

Web プロキシサービス syslog

W3C CLF

/var/log/aventail/access_servers.log

/var/log/aventail/extraweb_access.log

ASAP Management Console (AMC)

syslog /var/log/aventail/management.log

ASAP WorkPlace syslog /var/log/aventail/workplace.log

頻度手順

60 分おき • 20MB 以上のログファイルがローテーションされます。

• syslog ログファイルが強制的にローテーションされます。

• /var/log のディスクの空き容量がチェックされます。空き容量が 25% を下回る場合、空き容量が 25% になるまで古いログファイルから順に削除されます。

毎日 • すべてのログファイルがローテーションされます。

• 7 日以上前のログファイルをすべて削除します。


システムメッセージログ

システムメッセージログには、 Web プロキシサービス、ネットワークプロキシサービス、ネットワークトンネルサービスについてのサーバー処理情報および診断情報が記録されます。また、すべてのアクセス制御決

定に関する詳細なメッセージも記述されます。つまり、ユーザーの要求がポリシールールと合致すると、その

ときに実行された動作を示すログファイルエントリが記録されます。 AMC からこのログにアクセスするとき

は、 [View Logs] ページから [System message log] を選択します。

[View Logs] ページには、システムメッセージログファイルに含まれる、次のような情報が表示されます。

• [Level] 列には、ログメッセージの詳細レベル ([Error]、 [Warning]、 [Info]、 [Verbose]) が表示

されます。

• [Time] 列には、サービスによってメッセージが生成された日付と時刻が表示されます。

• [Source] 列には、メッセージを生成したサービス ([Network proxy]、 [Network Tunnel]、[Web proxy]、 [Policy] の各サーバー ) が表示されます。

• [ID] 列には、それぞれのユーザーセッションに割り当てられた固有の ID 番号が表示されます。セッ

ション ID 番号をクリックすると、同じセッション ID を共有するすべてのログメッセージが自動的に検

索されます。セッション ID 番号の詳細については、この後に紹介する、フィールドについて説明した表


• [Message] 列には、実際のメッセージテキストが表示されます。


ネットワークプロキシ / トンネル監査ログ

ネットワークプロキシ / トンネル監査ログには、ネットワークにアクセスしたユーザーのリストや転送された

データの量など、ネットワークトンネルサービスおよびネットワークプロキシサービスの場合の、接続活動

に関する詳細な情報が記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページから [Network proxy/tunnel audit log] を選択します。

[View Logs] ページには、ネットワークプロキシ / トンネル監査ログファイルに含まれる、次のような情報

が表示されます。

• [Status] 列には、それぞれの接続要求に対する、色分けされた接続ステータスが表示されます。 Error コードは赤、 Info コードはオレンジ色、 Success コードは緑でそれぞれ表示されます。カーソルを特定

のログメッセージの接続ステータスコードの上に置くと、メッセージの下に説明テキストが表示されま

す。

• [Time] 列には、接続の日付と時刻が表示されます。

• [Source IP] 列には、ネットワークプロキシまたはトンネルサービスにアクセスするコンピュータの IP アドレスとポート番号が表示されます。

• [Destination IP] 列には、アクセスされるリソースの IP アドレスとポート番号が表示されます。

• [Bytes] 列には、送信されたバイト数、受信されたバイト数、接続期間 ( 秒単位 ) が表示されます。

• [Username] 列には、リソースにアクセスしているユーザーが表示されます。 [Username] リンクを

クリックすると、特定のユーザーに対するすべてのログメッセージが検索されます。


Web プロキシ監査ログ

Web プロキシ監査ログには、ネットワークにアクセスしたユーザーのリストや転送されたデータの量など、接

続活動に関する詳細な情報が記録されます。 AMC からこのログにアクセスするときは、 [View Logs] ページ

から [Web proxy audit log] を選択します。

[View Logs] ページには、 Web プロキシ監査ログファイルに含まれる、次のような情報が表示されます。

• [Status] 列には、それぞれの HTTP 要求に対する、色分けされた戻りコードが表示されます。カーソル

を特定のログメッセージの HTTP 戻りコード番号の上に置くと、メッセージの下に、それぞれのコード

に対応する説明テキストが、「server error」 (500red)、「client error」 (400orange)、「redirection」(300green)、「success (200green)」のように表示されます。

• [Time] 列には、要求の処理が終わった日付と時刻が表示されます。

• [Source IP] 列には、 Web プロキシサービスにアクセスするコンピュータの IP アドレスが表示されま

す。

• [Bytes] 列には、応答の本文で送信されたバイト数が表示されます。ただし HTTP ヘッダは除外されま

す。

• [Username] 列には、 Web プロキシサービスで認証されているユーザーが表示されます。

[Username] リンクをクリックすると、特定のユーザーに対するすべてのログメッセージが検索されま

す。

• [Request] 列には、 HTTP 要求の 1 行目が表示されます。これには HTTP コマンド (GET や POST など )、要求されたリソース、 HTTP バージョン番号などが含まれます。


Management Console 監査ログ

Management Console 監査ログには、 AMC で管理者が行った構成変更の監査履歴が記録されます。このログ

は、構成変更を表示する以外に、「適用された構成変更」のメッセージも表示し、管理者が [Apply Changes] ページで変更を有効にした時刻や、管理者がログイン、ログアウトした時刻なども示されます。こ

のログにアクセスする場合は、AMC の [View Logs] ページで [Management Console audit log] を選

択します。

[View Logs] ページには、 Management Console 監査ログに関する、次のような情報が表示されます。

• [Level] 列には、ログメッセージの詳細レベル ([Error]、 [Warning]、 [Info]) が表示されます。

• [Time] 列には、 AMC 構成の変更の日付と時刻が表示されます。

• [Username] 列には、 [Manage Administrator Accounts] ページで構成している管理者の名前が

表示されます。

• [Message] 列には、 AMC を介して行われた実際の構成変更が表示されます。

アプライアンスの監視

この節では、システムステータスとアクティブユーザーを監視する方法や、選択したユーザーに対するすべ

ての VPN 接続を一時的に停止する方法について説明します。

AMC では、基本システム設定、ディスクおよびメモリ使用量、現在の接続、ネットワーク帯域幅利用などを監

視する上で役に立つさまざまな情報が表示されます。


全体の活動とシステムステータスの監視

AMC では、システムステータスを監視する上で役に立つさまざまな情報が表示されます。 AMC の [Home] ページでは、現在のアクティブユーザー数、ネットワーク帯域幅、ディスク使用量、 CPU 利用度などがグラ

フィカルに表示されます。

このようなグラフは、新 1 時間分の活動に対する平均利用を表すものです。

AMC の [Home] ページの [System Status] 画面で [Details] をクリックすると、詳細なステータス情報

を表示する [System Status] ページが表示されます。このページで表示されるデータのタイプは、カスタマ

イズできるようになっています。

システムステータスを監視するには

1. メインナビゲーションメニューから [System Status] をクリックします。この操作により、

[System Status] ページが現れ、アプライアンスの現在のステータスに関する情報が表示されます。


2. [Show] ボックスには、表示するデータのタイプや時間間隔が示されます。

• [Active users]: 指定された時間間隔におけるアクティブユーザーセッションの数を表示します。

表示されるグラフでは、水平軸が、ライセンスで許可されている同時ユーザーの大数を示します。

• [CPU utilization] : 指定された時間間隔における CPU 利用率を表示します。

• [Memory utilization] : 指定された時間間隔におけるメモリ利用率を表示します。

• [Network bandwidth]: 指定された時間間隔におけるネットワーク帯域幅を Mbps 単位で表示

します。内部インタフェースと外部インタフェースの両方が有効な場合、グラフでは、内部インタ

フェースのデータが緑の線、外部インタフェースのデータが青の線で表されます。このグラフのス

ケールは、トラフィックの量に応じて自動的に調整されます ( たとえば、トラフィック量に応じて 1Mbps または 100Mbps のスケールが使用される )。

• [Swap utilization] : 指定された時間間隔における空きスワップ容量を表示します。

• [Hourly] : 20 秒ごとに収集されたサンプルに基づく新 1 時間分の平均活動を表示します。

• [Daily] : 10 分ごとに収集されたサンプルに基づく新 1 日分の平均活動を表示します。

• [Weekly] : 60 分ごとに収集されたサンプルに基づく新 1 週間分の平均活動を表示します。

3. [Auto-refresh] ボックスでは、選択しているデータの表示が自動的に更新される頻度を選択します。

自動更新機能をオフにするときは [Off] をクリックします。ただし、自動更新機能を有効にすると、現在

の AMC セッションがタイムアウトしなくなります。

4. オプションとして、 [Also show] ボックスで、他のタイプのデータを別のグラフで表示するよう指定す

ることができます。これは、一定の時間間隔に対する 2 種類のデータを比較する場合に使用すると便利

です。

5. ページを随時更新するときは [Refresh] をクリックします。

メモ

• [Auto-refresh] が [Off] 以外に設定されている場合、更新動作が持続的に行われるため、デフォルト


[System Status] ページが表示された状態になります。これは実際問題として、コンピュータで AMC を実行し、オートリフレッシュモードを有効にした状態で [System Status] ページを表示したまま席

を外すと、 AMC がタイムアウトしなくなるということを表しています。セキュリティを向上させるため

の習慣として、ログメッセージを表示し終わったら、 AMC の他のページに必ず移るようにしておきま

す。


アクティブユーザーの監視

一定期間のアクティブユーザーセッションの総数を表示できる他、選択したユーザーに対するすべての接続

を一時的に停止することもできます。この節では、アクティブユーザーセッションを表示する方法、アク

ティブユーザーセッションを検索する方法、アクティブユーザーセッションを一時的に停止する方法につい

て説明します。

アクティブユーザーの表示

現在アクティブなユーザーセッションを表示することができます。アクティブユーザーセッションのリスト

は、ユーザー名、レルム名、セッション開始時間でソートすることができます。

すべてのアクティブユーザーセッションを表示するには

1. メインナビゲーションメニューから [Active Users] をクリックします。この操作により、 [Active Users] ページが表示されます。

2. アクティブユーザーセッションのデータを確認します。

• [Current active users] フィールドには、アクティブユーザーセッションの総数が表示されま

す。

• [Username] 列には、個別のユーザーの名前がアクティブセッションとあわせて表示されます。

• [Realm] 列には、ユーザーが所属するレルムの名前が表示されます。

• [Session start time] 列には、セッションが開始した時刻が表示されます。

3. デフォルトの場合、アクティブユーザーセッションリストを他の方法でソートするときは、それぞれの

列の一番上にある [Username]、 [Realm]、 [Session start time] をクリックします。

アクティブユーザーの検索

現在のユーザーセッションのリスト内をユーザー名で検索することができます。

アクティブユーザーセッションを検索するには


2. [Search for] ボックスに、ユーザー名のすべてまたは一部を入力します。ワイルドカード文字 ( 「*」 ) は、検索文字列のどの部分にも使用することができます。たとえば、「j」で始まるグループ名を検索する

場合は、「j*」と入力します。また、「Mary」または「Marty」という名前のユーザー ( ただし「Max」は除外 ) を検索するときは、「M*y」と入力することができます。

3. 各ページで返される結果の数を、 [Show] ボックスで指定することができます。デフォルトは「200」で

す。 ( このフィールドは、たとえば同時ユーザー数の制限を超え、も古い 10 の接続を停止したい場合

などに使用すると便利である。たとえば初に [Session start time] でユーザーセッションリスト

をソートする。次に [Show] ボックスに「10」と入力し、検索結果が返されたら、 [Select all] チェッ

クボックスをクリックしてから [End session] をクリックする )。

4. [Search] をクリックします。

アクティブユーザーセッションリストが更新され、検索基準に合致するユーザーのみが表示されます。


アクティブユーザーセッションの停止

ユーザーのセッションは、そのユーザーのアクティブな接続が、異なるサービスまたはノードに複数ある場合

でも、即座に停止することができます。アクティブユーザーセッションを停止すると、そのユーザーのネッ

トワークアクセスが 10 分間だけ一時的に無効になります。アクセスポリシーが許せば、所定の時間後、その

ユーザーは再度ネットワークにログインすることができます。あるユーザーを永続的に VPN にログインでき

なくする場合、該当するアクセス制御ルールを修正し、適切なユーザーおよびグループ定義を修正または削除

して、そのユーザーをユーザーディレクトリから削除します。

アクティブユーザーセッションを一時的に停止するには


2. アクティブユーザーセッションのリストから、アクセスを一時的に停止するユーザー (1 人または複数 ) を見つけ出します。また、特定のユーザーを検索することもできます。

3. アクセスを停止したいユーザーの横にあるチェックボックスを選択して、 [End session] をクリックし

ます。リスト上部の [Select all] チェックボックスを選択すると、リスト内のすべてのユーザーを選択

することができます。この方法を使用すると、アプライアンスサービスを停止するのと同様の方法で、

すべてのアクティブユーザーセッションを停止することができます。

SNMP の構成

Hewlett-Packard OpenView や IBM Tivoli などの Simple Network Management Protocol (SNMP) ツー

ルがある場合、これらのツールを使用することにより、アプライアンスを SNMP エージェントとして監視する

ことができます。このアプライアンスでは、 SNMP バージョン 1.2c および 3 をサポートしており、さまざま

な管理データを Management Information Base (MIB) II 形式で提供します。

SNMP の構成方法

この節では、 AMC を使用して SNMP を構成する方法について説明します。

SNMP を構成するには


2. [Network services] で [SNMP Configuration] に対応する [Configure] リンクをクリックしま

す。この操作により、 [Configure SNMP] ページが表示されます。

3. [Enable SNMP] チェックボックスを選択して、 SNMP を有効にします。 ( ただし、 [OK] をクリック

しないまま、 SNMP ホストを構成するためにこのページを離れた場合、この設定のステータスは保存され

ない )

4. [Interface selection] リストから適切なオプション ([Internal]、 [External]、 [Both]) を選択し

て、 SNMP で使用するネットワークインタフェースを選択します。


5. [Agent properties] エリアで、アプライアンスを識別します。

• ネットワーク管理ツールが Aventail アプライアンスに照会するときに使用する文字列を [Community string] ボックスに入力します。このフィールドは必須で、デフォルトでは

「public」に設定されます。

「public」は安全ではないため、セキュリティを向上させるための習慣として、コミュニティ文字列

に安全なパスフレーズを設定するようにします。

• [System location] ボックスと [System contact] ボックスにアプライアンスエージェントを

記述します。たとえば、アプライアンスの物理ロケーション ( 「Floor 2 server lab」など ) やシス

テム管理者の連絡先 ( 「Jim Jamerson, 206-555-1212」など ) を指定することができます。

6. SNMP 要求を許可する管理システムを定義します。

a. [SNMP hosts] エリアで [Add] をクリックします。この操作により、 [Add/Edit Allowed Hosts] ページが表示されます。

b. [IP address] と [Subnet mask] に、ホストの IP アドレスおよびサブネットマスクをそれぞれ

入力します。


メモ

• SNMP マネージャの他、アプライアンスが使用する Management Information Base (MIB) を構成しな

ければなりません。このアプライアンスでは、UCD (University of California, Davis) MIB および MIB II のバージョン 4.2.3 をサポートしています。

また SNMP マネージャでは、アプライアンスの照会の際に必要になるコミュニティ文字列も構成しなけ

ればなりません。

• 内部ファイアウォールは、ポート 161/udp トラフィックを許可するよう構成しなければなりません。

Aventail MIB ファイルのダウンロード

AMC では、 Aventail MIB ファイルをダウンロードすることができます。このファイルは、 Aventail VPN 固有のデータを、すでにサポートされている MIB に追加するものです。 Aventail MIB で提供される情報の詳細

については、 160 ページの「Aventail MIB データ」を参照してください。

Aventail MIB をダウンロードするには


2. [Network services] で [SNMP] に対応する [Configure] リンクをクリックします。この操作によ

り、 [Configure SNMP] ページが表示されます。

3. [Download Aventail MIB] ボタンをクリックします。この操作により、ファイルダウンロードメッ

セージが表示されます。

4. [Save] をクリックして、正しいディレクトリをブラウズします。ここで設定したディレクトリに aventailCustomMibs.tar ファイルが保存されます。


SNMP を使用した管理データの取得

SNMP データは、標準化された階層構造に編成され、それを構成する構造化テキストファイルに、価値のある

管理データが記述されています。これらのテキストファイル (MIB と呼ばれる ) には、システム情報やステー

タスなどの固有のデータ変数が記述されています。

SNMP を介して情報を取得する場合、システムで「オブジェクト識別子」 (OID) を照会します。それぞれの OID には、テキスト名も含まれていますが、通常は番号で参照されます。たとえば、システムアップタイム (sysUpTime) は 1.3.6.1.2.1.1.3 になります。

SNMP 管理パッケージがない場合は、アプライアンスに接続して「root」としてログインし snmpwalk また

は snmpget コマンドを実行することによって、 SNMP データを取得することができます。たとえば、ディ

スク容量についての情報を取得する場合、次の snmpwalk コマンドを入力することで、 OID 1.3.6.1.4.1.2021.9: を照会します。

snmpwalk -v 1 localhost -c public 1.3.6.1.4.1.2021.9

すべての MIB 変数のリストを表示するときは、次のコマンドを入力します。

snmpwalk -v 1 -O n localhost -c public |more

このコマンドにより、次のようなリストが表示されます。

.1.3.6.1.2.1.1.1.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686.1.3.6.1.2.1.1.2.0 = OID: .1.3.6.1.4.1.2021.250.10.1.3.6.1.2.1.1.3.0 = Timeticks: (1707979) 4:44:39.79.1.3.6.1.2.1.1.4.0 = Root < root@localhost> (configure /etc/snmp/snmp.local.conf).1.3.6.1.2.1.1.5.0 = aventailvpn.1.3.6.1.2.1.1.6.0 = Unknown (configure /etc/snmp/snmp.local.conf).1.3.6.1.2.1.1.8.0 = Timeticks: (7) 0:00:00.07.1.3.6.1.2.1.1.9.1.2.1 = OID: .1.3.6.1.2.1.31..

すべての MIB 名のリストを表示するとき (snmpget コマンドを使用するときに便利 ) は、次のコマンドを入

力します。

snmpwalk -O S localhost -c public |more

このコマンドにより、次のようなリストが表示されます。

SNMPv2-MIB::sysDescr.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686SNMPv2-MIB::sysObjectID.0 = OID : SNMPv2-SMI::enterprises.2021.250.10SNMPv2-MIB::sysUpTime.0 = Timeticks: (1712451) 4:45:24.51SNMPv2-MIB::sysContact.0 = Root (configure /etc/snmp/snmp.local.conf)SNMPv2-MIB::sysName.0 = aventailvpnSNMPv2-MIB::sysLocation.0 = Unknown (configure /etc/snmp/snmp.local.conf)SNMPv2-MIB::sysORLastChange.0 = Timeticks: (7) 0:00:00.07SNMPv2-MIB::sysORID.1 = OID: IF-MIB::ifMIB..

メモ

• UCD MIB SNMP エージェントの詳細については、http://www.ece.ucdavis.edu/ucd-snmp/ を参照し

てください。

• MIB II の詳細 (MIB II 変数名の説明も含まれる ) については、http://www.ietf.org/rfc/rfc1213.txt を


http://www.ece.ucdavis.edu/ucd-snmp/

http://www.ietf.org/rfc/rfc1213.txt


Aventail MIB データ

Aventail MIB モジュールは、 Aventail VPN に関する次の情報を提供する、オブジェクト識別子 (OID) を参

照します。

• システム情報

• システムヘルス

• サービスヘルス

• サービス履歴

• セキュリティ履歴

• ネットワークトンネルサービス

メモ

• FIPS 対応 EX-1500 の場合、Aventail MIB は、 FIPS ハードウェアセキュリティモジュールに関する情

報も提供します。 305 ページの「SNMP を使用した FIPS データの取得」を参照してください。

システム情報モジュール

Aventail のシステム情報モジュールの OID では、アプライアンスに関する基本情報が提供されます。

システムヘルスモジュール

Aventail のシステムヘルスモジュールの OID では、アプライアンスの動作ステータスに関する情報が提供さ

れます。

項目 OID 説明

ASAP バージョン 1.3.6.1.4.1.4331.1.1.0 このノード上で動作する ASAP のバージョンで、major.minor.micro-patch-build の形式 ( たとえば「8.0.0-64」 ) になります。

ハードウェアモデル 1.3.6.1.4.1.4331.1.2.0 アプライアンスのモデル番号で、「EX-750」または「EX-1500」になります。

項目 OID 説明

現在のログイン 1.3.6.1.4.1.4331.2.1.1.0 現在認証されているユーザーの数。

ピークログイン 1.3.6.1.4.1.4331.2.1.2.0 前回のリセット以降、アプライアンスに同時にログインしたユーザーの大数。リセット間隔は 24 時間です。

大ライセンスユーザー 1.3.6.1.4.1.4331.2.1.3.0 このアプライアンスでライセンスされている同時ユーザーの大数。

現在の接続 1.3.6.1.4.1.4331.2.2.1.0 Aventail ネットワークトンネル、ネットワークプロキシ、 Web プロキシサービスで提供される同時接続の数。

ピーク接続 1.3.6.1.4.1.4331.2.2.2.0 前回のリセット以降、アプライアンスに同時に接続したユーザーの大数。リセット間隔は 24 時間です。

CPU 利用 1.3.6.1.4.1.4331.2.3.0 単一のアプライアンスノードでの、 CPU 全体に占める現在の CPU の利用率。

RAM 利用 1.3.6.1.4.1.4331.2.4.1.0 現在の仮想メモリ (RAM) の利用率。

スワップ利用 1.3.6.1.4.1.4331.2.4.2.0 現在の仮想メモリ ( スワップ ) の利用率。

内部インタフェースの現在のスループット

1.3.6.1.4.1.4331.2.5.1.0 前回のリセット以降、ノードの内部インタフェースで計測された、現在の VPN スループット ( 秒あたりのメガビット単位 )。リセット間隔は 24 時間です。

内部インタフェースのピークスループット

1.3.6.1.4.1.4331.2.5.2.0 前回のリセット以降の、ピーク VPN 内部インタフェーススループット ( 秒あたりのメガビット単位 )。リセット間隔は 24 時間です。

外部インタフェースの現在のスループット

1.3.6.1.4.1.4331.2.5.3.0 前回のリセット以降、ノードの外部インタフェースで計測された、現在の VPN スループット ( 秒あたりのメガビット単位 )。リセット間隔は 24 時間です。

外部インタフェースのピークスループット

1.3.6.1.4.1.4331.2.5.4.0 前回のリセット以降の、ピーク VPN 外部インタフェーススループット ( 秒あたりのメガビット単位 )。リセット間隔は 24 時間です。


サービスヘルス

Aventail のサービスヘルスモジュールの OID では、アプライアンスで動作する各サービスのステータスに関

する情報が提供されます。 MIB では、それぞれのサービスごとに、サービス ID、サービスの記述、サービス

の状態 ( 「アップ」または「ダウン」 ) について通知します。

クラスタインタフェースの現在のスループット

1.3.6.1.4.1.4331.2.5.5.0 前回のリセット以降の、現在の平均 VPN クラスタインタフェーススループット ( 秒あたりのメガビット単位 )。リセット間隔は 24 時間です。

クラスタインタフェースのピークスループット

1.3.6.1.4.1.4331.2.5.6.0 前回のリセット以降の、ピーク VPN クラスタインタフェーススループット ( 秒あたりのメガビット単位 )。リセット間隔は 24 時間です。

ログ利用率 1.3.6.1.4.1.4331.2.9.0 使用済みのログファイルディスクパーティションの割合。

項目 OID 説明

サービス ID 1.3.6.1.4.1.4331.3.1.1.1.0 Aventail ASAP Management Console のサービス ID 番号は「0」です。

1.3.6.1.4.1.4331.3.1.1.1.1 Aventail ネットワークプロキシサービスのサービス ID 番号は「1」です。

1.3.6.1.4.1.4331.3.1.1.1.2 Aventail Web プロキシサービスのサービス ID 番号は「2」です。

1.3.6.1.4.1.4331.3.1.1.1.3 ASAP WorkPlace のサービス ID 番号は「3」です。

サービスの記述 1.3.6.1.4.1.4331.3.1.1.2.0 Aventail ASAP Management Console。

1.3.6.1.4.1.4331.3.1.1.2.1 Aventail ネットワークプロキシサービス。

1.3.6.1.4.1.4331.3.1.1.2.2 Aventail Web プロキシサービス

1.3.6.1.4.1.4331.3.1.1.2.3 Aventail ASAP WorkPlace。

サービスの状態 1.3.6.1.4.1.4331.3.1.1.3.0 AMC の現在の状態 : 1 = アップおよび 0 = ダウン。

1.3.6.1.4.1.4331.3.1.1.3.1 Aventail ネットワークプロキシサービスの現在の状態 : 1 = アップおよび 0 = ダウン。

1.3.6.1.4.1.4331.3.1.1.3.2 Aventail Web プロキシサービスの現在の状態 : 1 = アップおよび 0 = ダウン。

1.3.6.1.4.1.4331.3.1.1.3.3 Aventail ASAP WorkPlace の現在の状態 : 1 = アップおよび 0 = ダウン。

項目 OID 説明


セキュリティ履歴モジュール

Aventail のセキュリティ履歴モジュールの OID では、ログインおよびアクセス拒否に関する情報が提供され

ます。

ネットワークトンネルサービスモジュール

Aventail の NG サーバーモジュールの OID では、ネットワークトンネルサービスのステータスに関する情

報が提供されます。

項目 OID 説明

ログイン拒否の回数 1.3.6.1.4.1.4331.4.1.0 前回のリセット以降の、ログイン拒否の回数。リセット間隔は 24 時間です。

前回ログインが拒否されたユーザー

1.3.6.1.4.1.4331.4.2.1.0 前回認証が拒否されたユーザー。「user@realm」の形式になります。

前回ログインが拒否された時刻

1.3.6.1.4.1.4331.4.2.2.0 前回ユーザーの認証が拒否された日付と時刻。

アクセス拒否の回数 1.3.6.1.4.1.4331.4.3.0 前回のリセット以降の、アクセス拒否の回数。リセット間隔は 24 時間です。

前回アクセスが拒否されたユーザー

1.3.6.1.4.1.4331.4.4.1.0 前回アクセスが拒否されたユーザー。「user@realm」の形式になります。

前回アクセスが拒否されたリソース

1.3.6.1.4.1.4331.4.4.2.0 前回アクセスが拒否されたリソースの URL。

前回アクセスが拒否された時刻

1.3.6.1.4.1.4331.4.4.3.0 前回ユーザーのアクセスが拒否された日付と時刻。

項目 OID 説明

NG サーバーの状態 1.3.6.1.4.1.4331.5.1.0 ネットワークトンネルサービスの現在の状態 : 「Active」、「Down」、「Crashed」のいずれか。

クライアントアドレスプールの数

1.3.6.1.4.1.4331.5.2.0 ネットワークトンネルサービスに割り当てられているクライアントアドレスプールの数。

クライアントアドレスプール範囲テーブル

1.3.6.1.4.1.4331.5.3.0 現在アクティブな IP アドレスプールの数とその IP アドレス範囲を示すテーブル。

クライアントアドレスプールエントリ

1.3.6.1.4.1.4331.5.3.1 現在アクティブな IP アドレスプールの数。

クライアントアドレスプール ID

1.3.6.1.4.1.4331.5.3.1.1 IP アドレスプールに割り当てられている ID 番号。

クライアントアドレスプール利用率

1.3.6.1.4.1.4331.5.3.1.2 クライアントアドレスプールから発行されている仮想 IP アドレス (VIP) の割合。

クライアント IP アドレスプール開始範囲

1.3.6.1.4.1.4331.5.3.1.3 クライアント IP アドレスプール範囲の初の IP アドレス。

クライアントアドレスプール終了範囲

1.3.6.1.4.1.4331.5.3.1.4 クライアント IP アドレスプール範囲の後の IP アドレス。

NG SLL トンネルの数 1.3.6.1.4.1.4331.5.4.0 アクティブネットワークトンネルの総数。

SSL トンネルテーブル 1.3.6.1.4.1.4331.5.5.0 ネットワークトンネル統計を示すテーブル。

SSL トンネル ID 1.3.6.1.4.1.4331.5.5.1.1 ネットワークトンネルセッションに割り当てられているID 番号。

SSL トンネルユーザー 1.3.6.1.4.1.4331.5.5.1.2 ネットワークトンネルセッションに対応するユーザー名。

SSL トンネル VIP 1.3.6.1.4.1.4331.5.5.1.3 ネットワークトンネルセッションに対応する仮想 IPアドレス (VIP)。

トンネルあたりのフロー数

1.3.6.1.4.1.4331.5.5.1.4 ネットワークトンネルセッションのデータフローの数。

SSL トンネルアップタイム

1.3.6.1.4.1.4331.5.5.1.5 ネットワークトンネルセッションのアップタイム統計。


その他の SNMP データ

SNMP を使用して標準 MIB ファイルから取得可能な、アプライアンスに関するその他の情報を、次に示しま

す。

バックアップ、リストア、システム更新

このアプライアンスには、構成設定のバックアップ、ソフトウェアのパッチ当てとアップグレード、構成の以

前のバージョンのリストアなどを行うためのコマンドライン管理ツールが多数用意されています。これらの

ツールは、構成ファイルのバックアップとリストアを管理するツール、およびシステムソフトウェアのパッチ

当て、アップグレード、ロールバック、リセットを行うツールの 2 つのグループに分けることができます。次

の表では、これらのツールをまとめており、ツールの使用法についてもあわせて解説しています。

構成ファイルのバックアップとリストアを管理する場合は、次のツールを使用します。これらの構成ファイル

には、 AMC 内で構成する情報 ( たとえば、証明書、 IP アドレス、リソース定義、ユーザーおよびユーザーグループ、アクセス制御ルールなど ) がすべて含まれます。

コマンドラインツールを使用して構成をバックアップおよびリストアする場合、 AMC を使用して構成をイン

ポートおよびエクスポートすることもできます。詳細については、 164 ページの「AMC による構成のイン

ポートおよびエクスポート」を参照してください。

項目 OID 説明

サービスステータス 1.3.6.1.4.1.2021.2 次のいずれかのサービスのステータスをチェックします。戻りデータは、次のプロセス名になります。プロセスステータスが「非動作」としてリストされている場合、エラーが出されます

• socks5d ( ネットワークプロキシサービス )

• apache2 (Web プロキシサービス )

• logserver ( ログサーバー )

• syslog-ng (syslog)

• policyserver ( ポリシーサーバー )

• srvcmond ( クラスタマネージャ )

ディスク容量の可用性 1.3.6.1.4.1.2021.9 「/」、「/var/log」、「/upgrade」の各パーティションについて、ディスク容量の可用性をチェックします。いずれかのパーティションのディスク容量が 10MB 以下になっている場合、エラーが出されます。

負荷平均チェック 1.3.6.1.4.1.2021.10 1 分、 5 分、 15 分間隔で負荷平均をチェックします。負荷平均が 1 分間隔で 12 以上、 5 分間隔および 15 分間隔で 14 以上の場合、エラーが出されます。

ソフトウェアのバージョン番号

1.3.6.1.4.1.2021.50 ASAP システムソフトウェアの現在のバージョンをチェックします。

システム名 1.3.6.1.2.1.1.1.0 システムの名前をチェックします。

ツール目的

Config Backup Tool 現在の構成ファイルをバックアップします。

Config Restore Tool 1 つまたは複数の構成ファイルの以前のバージョンをリストアします。

Config Compare Tool バックアップ構成ファイルを現在の構成ファイルと比較します。

Config Reset Tool 構成ファイルを工場出荷時のデフォルトにリセットします。


アプライアンスシステムソフトウェアのパッチ当て、アップグレード、ロールバックを行う場合は、次の

ツールを使用します。

構成ファイルのバックアップとリストア

アプライアンスの構成ファイルは、いつでもバックアップすることができます。システムを頻繁に変更してい

る場合や前の構成を維持しておきたい場合など、バックアップを頻繁に行うようにすると良いでしょう。バッ

クアップファイルを使用すれば、アプライアンスの構成を完全に前の状態にリストアできるだけでなく、単一

のファイルのみをリストアすることもできます。この方法を利用することにより、複数のアプライアンスで同

じアクセスポリシーを使用することもできます。ファイル比較ツールを使用すると、バックアップファイル

を現在の構成ファイルと比較することができます。

Aventail アプライアンスでは、構成をバックアップおよびリストアするとき、 2 種類の方法で行うことができ

ます。1 つは AMC のインポート / エクスポート機能を使用する方法で、もう 1 つはコマンドラインユーティ

リティの Backup Tool および Config Restore Tool を使用する方法です。 AMC のインポート / エクスポート

機能の方が便利ではありますが、コマンドラインツールの方が堅牢です。

AMC による構成のインポートおよびエクスポート

AMC を使用すれば、あるアプライアンスから現在の構成をエクスポートして、この構成のすべてまたは一部を

他のアプライアンスにインポートすることができます。これは、コマンドラインツールの Backup Tool およ

び Config Restore Tool の機能に似ていますが、 AMC の場合、 Backup Tool および Config Restore Tool などでバックアップ、リストアしたデータのサブセットのみをインポートしたりエクスポートしたりすることが

できるため、 AMC の方が便利です。 167 ページの「Backup Tool による現在の構成のバックアップ」と 168ページの「Config Restore Tool による構成ファイルのリストア」を参照してください。

次の表では、インポートおよびエクスポートできるデータのタイプを、 AMC のインポート / エクスポート機能

を使用した場合と、コマンドラインツールの Backup Tool および Config Restore Tool の機能を使用した場

合とで比較しています。

ツール目的

Update Tool システムソフトウェアの既存のバージョンにパッチを当てます。また、新しいバージョンへのアップグレードも行います。

Rollback Tool システムソフトウェアを、パッチまたはアップグレードの直前の状態にロールバックします。

Factory Reset Tool アプライアンスを、ベンダーから購入したときの状態にリストアします。このツールは後の手段として使用します。

構成項目 AMC コマンドラインツール

アクセスポリシー ○ ○

証明書 ○ ○

ASAP WorkPlace のカスタマイズデータ ○ ○

ノード固有のネットワーク設定 ○ ○

OnDemand 構成ファイル ○

手作業で編集した構成ファイル ○


AMC による現在の構成のエクスポート

AMC インタフェースを使用して、単一の Aventail Export Archive (..aea) ファイルの現在の構成をエクス

ポートすることができます。 AMC で生成された構成データのみがエクスポートされ、手作業で編集した構成

ファイルはエクスポートされません。次の表では、エクスポートされるファイルに含まれる構成データのタイ

プをまとめています。構成を部分的にエクスポートすることはできません。エクスポートされたファイルには、

すべての構成データが含まれます。

現在保存されている構成データのみがエクスポートされます。まだ適用していない保留中の変更はエクスポー

トされません。保留中の変更をエクスポートしたい場合は、構成を適用してからエクスポートしなければなり

ません。この特徴は、保存済みの構成を、新しい変更の適用前にエクスポートしたい場合などに、活用するこ

とができます。

AMC を使用して現在の構成をエクスポートするには

1. メインナビゲーションメニューから [Maintenance] をクリックします。この操作により、

[Maintenance] ページが表示されます。

構成データのタイプ説明

アクセスポリシールール、リソース、ユーザー、グループ、 ASAP WorkPlace ショートカット、EPC 署名、ゾーンが含まれます。

証明書証明書、秘密鍵、証明書パスワードが含まれます。

ASAP WorkPlace のカスタマイズデータ一般的な表示設定、カスタムコンテンツ、カスタムテンプレートが含まれます。

ノード固有およびネットワーク固有の設定

ホスト名、 IP アドレス、デフォルトルート情報、 DNS 設定、クラスタ設定が含まれます。


2. [System configuration] エリアの [Import or export] セクションで、 [Import/Export] をク

リックします。この操作により、 [Import/Export] ページが表示されます。

3. [Export] をクリックします。この操作により、 [Export Configuration] ページが表示されます。

[File Download] ダイアログボックスで、 asap.aea を開くかこれをハードディスクに保存するよう

求められます。

4. [Save] をクリックして、正しいディレクトリをブラウズします。ここで設定したディレクトリに asap.aea ファイルが保存されます。

5. [Export] ページで [OK] をクリックします。この操作により、 [Import/Export] ページに戻ります。

AMC による構成のすべてまたは一部のインポート

AMC インタフェースを使用して、構成のすべてまたは一部をインポートすることができます。これは、コマン

ドライン Config Restore Tool による構成のリストアに似ていますが、 AMC の場合、 Config Restore Tool のように、構成データ全体をインポートすることはありません。

インポートするファイルは、 ASAP Platform の現在のバージョンと互換性がなければなりません。同じ major.minor バージョンの構成は、他の構成と互換性があります。たとえば、 ASAP Platform v7.0.1 ファイ

ルは、既存の ASAP Platform v7.0.2-1.3 構成にインポートすることができます。


次の表では、既存の AMC 構成にインポートできるデータのタイプをまとめています。

AMC を使用して構成のすべてまたは一部をインポートするには

1. メインナビゲーションメニューから [Maintenance] をクリックします。この操作により、


2. [System configuration] エリアの [Import or export] セクションで、 [Import/Export] をク

リックします。この操作により、 [Import/Export] ページが表示されます。

3. [Import] エリアで、インポートしたい構成データのタイプを指定します。

• [Partial configuration]: [Access policy]、 [Certificates] チェックボックスを組み合わせ

て選択します。

• [Entire configuration] : アクセスポリシー、証明書、 ASAP WorkPlace のカスタマイズデー

タ、ノード固有およびネットワーク固有の設定をすべてインポートするとき、これをクリックしま

す。

4. [Configuration file] ボックスに適切な asap.aea ファイルのパスを入力するか、 [Browse] をク

リックして、適切なファイルをブラウズします。

5. [Import] をクリックします。

6. インポートした構成を有効にするには、変更を適用しなければなりません。 41 ページの「構成変更の適


メモ

• ローカルユーザーアカウントは、 AMC ではバックアップもリストアもできません。その場合は、コマン

ドライン Backup Tool を使用することができます。

• インポートが失敗した場合、 /var/log/aventail/management.log ファイルで詳細について調べること

ができます。

• AMC で他の構成変更を保留している状態で、構成をインポートすると、保留中の変更が上書きされてし

まいます。

Backup Tool による現在の構成のバックアップ

アプライアンスに搭載されているコマンドライン Backup Tool を使用すると、次のような、アプライアンス

の重要なファイルをバックアップすることができます。

• Aventail サービスの構成ファイル

• ネットワーク設定

• アクセス制御ルール

• ログローテーション設定

• サーバー証明書、鍵、パスワード

• ローカルユーザーアカウント

バックアップファイルは、圧縮された tar ファイル ( デフォルトの場合、 /var/backups/cfgback.tgz) に保

存されます。特にシステムを何度もカスタマイズするような場合は、システムを定期的にバックアップするこ

とが推奨されます。

構成データのタイプ説明

構成の一部 • アクセスポリシー : ルール、リソース、ユーザー、グループ、 ASAP WorkPlace ショートカット、 EPC 署名、ゾーンが含まれます。

• 証明書 : 証明書、秘密鍵、 SSL で保護された LDAP サーバーのパスワード、SSL で保護されたバックエンド Web サーバーのルート証明書が含まれます。

• ASAP WorkPlace のカスタマイズデータ : 一般的な表示設定、カスタムコンテンツ、カスタムテンプレートが含まれます。

構成のすべて • すべての部分構成データ ( 上記参照 )。

• 証明書 : 証明書、秘密鍵、 AMC のパスワード、アプライアンス証明書が含まれます。

• ノード固有およびネットワーク固有の設定 : ホスト名、 IP アドレス、デフォルトルート情報、 DNS 設定、クラスタ設定が含まれます。


構成をバックアップするには

1. SSH またはシリアル接続を使用してアプライアンスに接続し、「root」としてログインします。

2. 「config_backup」と入力し、次のようなオプションパラメータを続けます。

config_backup [-t tarfile] [-q] [-d debuglevel] [-h]

Backup Tool を実行したら、システムの構成ファイルが、上記で指定した名前とロケーションのバックアップファイルに保存されます。同じロケーションにバックアップファイルがすでに存在する場合は、上書きしても

良いか尋ねられます (-q パラメータを使用していない場合 )。

メモ

• Update Tool を使用して新しいシステムアップデートをインストールした場合、構成が自動的にバック

アップされます。その場合、管理者が手作業で作成したバックアップは上書きされません。

• 安全性を高めたい場合は、 SCP などのプログラムを使用して .tgz ファイルをアプライアンスから別のロ

ケーション、たとえばネットワーク上のドライブやリムーバブルディスクなどにコピーします。

• Backup Tool をスクリプトに追加することにより、バックアップを自動化することができます。その場

合、 -q パラメータを使用して、確認プロンプトが出ないようにします。

Config Restore Tool による構成ファイルのリストア

変更によって構成に問題が発生した場合など、バックアップファイルを使用してリストアすることができま

す。アプライアンスに搭載されているコマンドライン Config Restore Tool を使用すると、構成のすべて、ま

たは単一のファイルのみをリストアすることができます。

構成ファイルをリストアする前に、バックアップファイルと、システム上の現在のファイルを比較することが

できます。詳細については、 170 ページの「バックアップファイルとシステム上のファイルとの比較」を参照


! 注意システムソフトウェアの以前のメジャーバージョン、マイナーバージョン、マイクロバージョン

から構成ファイルをリストアしないでください。メジャー / マイナー / マイクロバージョンのアップ

デートの際には、構成ファイルの定義方法が変更されている場合もあります。古い構成ファイルでは、

新しいバージョンと定義方法が異なるために、アプライアンスが正常に動作しなくなることがあります。

たとえば、システムをバージョン 7.1.0 以降にアップグレードしており、バージョン 7.0.0 の構成ファ

イルをリストアした場合、システムが非互換であるため問題が発生します。そのため、必ず Config Restore Tool を使用して、現在システム上にあるものと同じメジャー / マイナー / マイクロバージョン

の構成ファイルをリストアするようにします。ただし、メジャー / マイナー / マイクロバージョンが同

じであれば、パッチを当てているバージョンから構成ファイルをリストアしても問題はありません ( た

とえば、アプライアンスでバージョン 7.1.0-1.6 が動作している場合、 7.1.0-1.2 の構成ファイルをリ

ストアしてもかまわないが、 7.0.0-1.8 の構成ファイルは使用できない )。

パラメータ説明

-t tarfile 構成をバックアップするファイルを指定します。このパラメータは、デフォルトファイル (/var/backups/cfgback.tgz) と異なるバックアップファイルにバックアップする場合に限って必要になります。

リストアプログラムは通常、リストアの際にデフォルトファイルを検索するため、このパラメータはセットしない方が良いでしょう。

-q 確認プロンプトをオフにします ( バックアップを「静かに (quiet)」行う )。通常であれば、既存のバックアップファイルを上書きするか尋ねられます。

-d debuglevel バックアップ操作の際に表示する情報の量を指定します。 Set debuglevel には「0」から「10」までの整数を指定します。情報を表示しない場合は「0」、すべての情報を表示する場合は「10」を指定します。デフォルトは「1」 ( 標準的な情報量 ) です。

-h 使用可能なパラメータを示すヘルプリストを表示します。


構成ファイルをバックアップファイルからリストアするには

1. 「root」としてアプライアンスにログインします。

2. 「config_restore」と入力し、次のようなオプションパラメータを続けます。

config_restore [-f filename] [-t tarfile] [-q] [-d debuglevel] [-h]

本当にリストアして良いか確認を求められます (-q パラメータを使用していない場合 )。その後、 Config Restore Tool が、指定されたバックアップファイルからすべての構成ファイル (-f パラメータを使用している

場合は指定したファイルのみ ) をコピーします。同じ構成ファイルがすでに存在している場合は、これを上書

きします。

メモ

• バックアップファイルが見つからない場合、「it requires a backup file to run」というエラーが表示さ

れますシステムは、 167 ページの「Backup Tool による現在の構成のバックアップ」の手順を使用して、

手作業でバックアップすることもできます。

工場出荷時デフォルト構成への復帰

場合によっては、工場出荷時デフォルト構成をリストアしたい場合も出てきます。たとえば、アプライアンス

を異なる環境に移動し構成変更を何度も行うような場合、アプライアンスをデフォルト設定に戻して、ゼロか

らやり直す方が便利なこともあります。工場出荷時デフォルト構成をリストアする場合は、Config Reset Tool というコマンドラインユーティリティを実行します。

! 注意 Config Reset Tool を実行すると、既存のシステム構成データがすべて削除されます。構成をバッ

クアップからリストアしたい場合は必ず、バックアップファイルをあらかじめ他のシステムにコピーし

ておいてください。

工場出荷時デフォルト構成へ復帰するには

1. (SSH またはシリアル接続を使用して ) アプライアンスに接続し、「root」としてログインします。

2. 「config_reset」と入力し、 Config Reset Tool を実行します。

3. デフォルト設定に戻して良いか確認するプロンプトが表示されます。

Reset the appliance configuration to factory defaults? (n)

「y」を押して ENTER キーを押します。

4. この操作により、変更が保存されます。アプライアンスを再起動するかシャットダウン ( 停止 ) するか尋

ねるプロンプトが表示されます。再起動のときは「r」、停止のときは「h」を押します。

システムを再起動すると、起動時にログインプロンプトが表示されます。

5. Setup Tool をもう一度実行してネットワークを構成します。 29 ページの「Setup Tool の実行」を参照



-f filename リストアするファイルを指定します。バックアップファイルのすべての構成ファイルではなく、単一のファイルのみをリストアする場合は、このプログラムを使用します。バックアップファイルのリストについては、 /var/backups を参照してください。

-t tarfile 構成をリストアするファイルを指定します。このパラメータは、デフォルトファイル (/var/backups/cfgback.tgz) 以外のバックアップファイルからリストアする場合のみ必要になります。

-q 確認プロンプトをオフにします ( リストアを「静かに (quiet)」行う )。通常であれば、ファイルをリストアするか尋ねられます。

-d debuglevel リストア操作の際に表示する情報の量を指定します。 Set debuglevel には「0」から「10」までの整数を指定します。情報を表示しない場合は「0」、すべての情報を表示する場合は「10」を指定します。デフォルトは「1」 ( 標準的な情報量 ) です。



バックアップファイルとシステム上のファイルとの比較

バックアップファイルを、現在システム上にあるファイルと比較することができます。これは、どのファイル

が異なるか調べる場合や、ファイル間の差を詳細に調べる場合 ( ただしテキストファイルのとき ) などに使用

すると便利です。

バックアップファイルと現在の構成を比較するには

1. (SSH またはシリアル接続を使用して ) アプライアンスに接続し、「root」としてログインします。

2. 「config_compare」と入力し、次のようなオプションパラメータを続けます。

config_compare [-s] [-f filename] [-t tarfile] [-d debuglevel] [-h]

Config Compare Tool によって、バックアップファイルのどのファイルが、現在の構成ファイルと異なるか

を示すレポートが生成されます (-f パラメータを使用して単一ファイルをバックアップと比較している場合を

除く )。また、現在の構成からなくなっているファイルが存在する場合も通知されます。

-s パラメータを使用すると、テキストファイル間の違いが詳細に表示されます。それぞれの違いの詳細を確

認した後、 ENTER キーを押すよう求められます。

システムへのパッチ当て、アップグレード、ロールバック、リセット

Aventail では、サーバーに新しい機能を追加したり既存の問題に対応したりする目的で、システムアップ

デートを定期的に提供します。システムアップデートは圧縮済みの .bin ファイルで、パッチまたはアップグ

レードの形式になります。パッチは、特定バージョンに存在する問題に対応するもので、通常は、元のバー

ジョンから変更されたファイルのみが含まれます。アップグレードには、新しいバージョンのソフトウェアが

含まれますが、個々のファイルが含まれる代わりに、フルイメージの形式になっています。

アップデートは、コマンドライン Update Tool を使用して、システムにインストールすることができます。

このツールは、シリアルコンソールから実行するか、 AMC インタフェースを使用して実行します。アップ

デートをインストールした後、必要であれば、 AMC またはコマンドライン Rollback Tool を使用して、前の

バージョンにロールバックすることもできます。

root パスワードを初期設定から変更している場合、システムをアップグレードしたら、 root パスワードが初

期設定に戻されます。システムをアップグレードしたら、初期 root パスワードを使用して AMC にログイン

し、その後、 [Add/Edit Administrator] ページでパスワードを適宜変更します。

システムの現在のバージョンを表示するときは、メインナビゲーションメニューから [System Status] をクリックします。詳細については、 153 ページの「アプライアンスの監視」を参照してください。


-s システム上のファイルとバックアップファイルとの差を詳細に表示します。これは、「diff」コマンドの場合と似ています。テキストファイルの場合、ファイルの違いを行単位で比較することができます。

Compare Tool でバイナリファイルを比較した場合、ファイルが異なっていることのみが示されます。

-f filename 同名のバックアップファイルと比較するファイルを指定します ( このパラメータを使用するとバックアップファイルの他のファイルは比較されなくなる )。バックアップファイルのリストについては、 /var/backups を参照してください。

2 つのテキストファイルを比較している場合、このパラメータを -s パラメータと一緒に使用します。こうすることで、ファイル間の違いが詳細に表示されます。

-t tarfile ファイルと比較するバックアップファイルを指定します。このパラメータは、システムファイルを、デフォルトファイル (/var/backups/cfgback.tgz) 以外のバックアップファイルと比較する場合のみ必要になります。

-d debuglevel リストア操作の際に表示する情報の量を指定します。 Set debuglevel には「0」から「10」までの整数を指定します。情報を表示しない場合は「0」、すべての情報を表示する場合は「10」を指定します。デフォルトは「1」 ( 標準的な情報量 ) です。



システムアップデートのダウンロード

システムアップデート ( パッチおよびアップグレード ) は、Aventail Web サイトのサポートページに置かれ

ています。このエリアにアクセスするには、アカウントを作成し、ユーザー名とパスワードを受け取る必要が

あります。サポートアカウントを取得する方法については、チャネルパートナーまたは Aventail の営業マン

にお問い合わせください。アカウントを取得すると、新しいアップグレードが公開されるたびに電子メールで

定期的に通知されます。

システムアップデートをダウンロードするには

1. Aventail Web サイトのサポートページ (http://aventailassurance.aventail.com) にログインしま

す。

2. [Downloads] エリアに進み、お使いのアプライアンスに対応するセクションを参照してください。

3. インストールするアップデートをダウンロードします。また、アップデートファイルと一緒に .md5 ファイルもダウンロードします。

それぞれのシステムアップデートは、圧縮済みの .bin ファイルになっており、同じ名前に .txt 拡張子が

付いたリリースノートファイルが付属しています。このアップデートでどのような変更が行われるか確

認するときは、リリースノートを参照してください。アップデートファイルの命名規則については、次

の節を参照してください。

4. scp を使用して、アップデートをアプライアンスの /upgrade ディレクトリに転送します。

アップデートファイルの命名規則

upgrade_<major>_<minor>_<micro>_<build>.bin

名前説明

major このアップデートのメジャーリリース番号。この番号のみが存在する場合、このリリースには、重要な新しい機能とバグフィックスが含まれていることになります。また同時に、システム全体のフルイメージが含まれていることになります。

minor このアップデートのマイナーリリース番号。このアップデートのマイナーリリース番号。バージョン番号にメジャー番号とマイナー番号のみが含まれている場合、このリリースには、追加機能とバグフィックスが含まれていることになります。また同時に、システム全体のフルイメージが含まれていることになります。

micro このアップデートのマイクロリリース番号。バージョン番号にメジャー番号、マイナー番号、マイクロ番号が含まれている場合、このリリースには、ごくわずかの追加機能とバグフィックスが含まれていることになります。また同時に、システム全体のフルイメージが含まれていることになります。

build Aventail で使用される内部ビルド番号。すべてのリリースにはビルド番号が含まれます。

Major

upgrade_8_1_5_19.bin

Minor

Micro

Build


例

• upgrade_8_0_0_23.bin は、アプライアンスを、 8.0 メジャーリリース ( ビルド 23) にアップグレー

ドするものです。

• upgrade_8_1_0_13.bin は、アプライアンスを、 8.1 マイナーリリース ( ビルド 13) にアップグレー

ドするものです。

• upgrade_8_1_1_21.bin は、アプライアンスを、 8.1.1 マイクロリリース ( ビルド 21) にアップグ

レードするものです。

• upgrade_8_1_5_19.bin は、アプライアンスの 8.1.5 マイナーリリースにパッチを当てるものです。

このパッチには、前回のマイクロリリース 8.1.5 から修正されたパッケージのみが含まれます。この

パッチをインストールする場合は、システム上にバージョン 8.1.5 がなければなりません。

メモ

• リリースノートをダウンロードする必要はありません。リリースノートは、アップデートファイルに含

まれており、アップデートを実行すると、 /upgrade ディレクトリに展開されます。

ダウンロードしたファイルの確認

アップデートをインストールする前に、ファイルが正しくダウンロードされたか確認する必要があります。

ダウンロードしたファイルを確認するには

1. コマンドラインから、次のコマンドを入力します。このコマンドにより、ダウンロードしたファイルの

チェックサムが返されます。

md5sum <upgrade_filename>.bin

2. 対応する .md5 ファイル (Aventail Web サイトからダウンロードしたもの ) からチェックサムを抽出し

ます。

cat <update-filename>.md5

3. 2 つのチェックサムを比較します。この 2 つが一致した場合、そのままアップデートを継続することがで

きます。それぞれで異なる場合、再びダウンロードして、同様の方法でチェックサムを比較します。それ

でもチェックサムが一致しない場合は、 Aventail のテクニカルサポートにお問い合わせください。

コマンドラインからのシステムアップデートのインストール

システムアップデートをダウンロードしてアプライアンスにコピーしたら、コマンドラインを使用してイン

ストールすることができます。この手順は、バージョンアップグレードのインストールの他、パッチにも使用


クラスタのソフトウェアをアップデートする方法については、 269 ページの「クラスタのアップグレード」を


システムアップデートをインストールするには

1. SSH ( またはシリアル接続 ) を使用してアプライアンスに接続し、「root」としてログインします。

2. アップグレードファイルをアプライアンスの /upgrade ディレクトリにコピーします。

3. 適切なアップグレードバージョン番号を指定し、「/upgrade/upgrade_<version>.bin」と入力しま

す。

4. scp プログラムによっては、転送後に元のファイル権限が引き継がれないものもあります。「chmod +x upgrade_<version>.bin」と入力して、アップデートファイルが実行可能になっていることを確認し

てください。

5. アプライアンスを再起動します。

メモ

• アプライアンスを再起動する前に、バックアップを行うようにすると良いでしょう。詳細については、

167 ページの「Backup Tool による現在の構成のバックアップ」を参照してください。


AMC によるシステムアップデートのインストール

AMC のアップデート機能を使用しても、バージョンアップグレードやパッチをインストールすることができ

ます。

クラスタのソフトウェアをアップデートする方法については、 269 ページの「クラスタのアップグレード」を


AMC を使用してシステムアップデートをインストールするには

1. AMC のメインナビゲーションメニューから [Maintenance] をクリックします。この操作により、


2. [System configuration] エリアで、 [Update] をクリックします。この操作により、 [Update] ページが表示されます。

3. アップグレードファイルやパッチファイルをまだダウンロードしていない場合は、 [Aventail Assurance Web site] リンクをクリックします。この操作により、対応するアップデートファイルま

たはパッチファイルがローカルファイルシステムにダウンロードされます。

4. アップデートファイルまたはパッチファイルのパスを入力するか、 [Browse] をクリックして、適切な

ファイルをブラウズします。


5. [Install Update] をクリックします。ファイルアップロードステータスインジケータが表示されま

す。必要であれば、 [Cancel] をクリックしてアップロードプロセスを停止することができます。

ファイルアップロードプロセスが完了したら、アップデートがアプライアンスに自動的にインストール

されます。ただし、インストールプロセスはキャンセルすることができません。

インストールプロセスが完了したら、アプライアンスが自動的に再起動します。

6. アプライアンスが再起動したら、 AMC にログインして、 AMC の [Home] ページで新しい ASAP Platform バージョン番号を確認します。

コマンドラインからの以前のバージョンへのロールバック

Rollback Tool を使用すると、システムにインストールしたシステムアップデートを大 2 つまで取り消すこ

とができます。アップデートの完了後、問題が発生した場合は、このツールを使用して、問題がなかった状態

までロールバックすることができます。 Rollback Tool を実行するたびに、新のシステムアップデートが削

除され、そのアップデート前のバージョンに復帰します。

! 注意システムをアップデートした後なんらかの構成変更を行っている場合、 Rollback Tool を使用する

と、このような構成変更も消去されます。

システムアップデートを取り消すには

1. SSH ( またはシリアル接続 ) を使用してアプライアンスに接続し、「root」としてログインします。

2. 「rollback_tool」と入力します。このコマンドにより、 Rollback Tool が新のアップデートを削除し

ます。

3. コマンドプロンプトが再び表示されたら、「reboot」と入力してアプライアンスを再起動します。

AMC による以前のバージョンへのロールバック

AMC からも、システムにインストールした新のアップデートを取り消すことができます。アップデートの完

了後、問題が発生した場合は、この機能を使用して、問題がなかった状態までロールバックすることができま

す。ソフトウェアイメージのロールバックを行うたびに、新のシステムアップデートが削除され、その

アップデート前のバージョンに復帰します。

! 注意システムをアップデートした後なんらかの構成変更を行っている場合、ソフトウェアイメージの

ロールバックにより、このような構成変更も消去されます。

AMC を使用して前のバージョンにロールバックするには

1. AMC のメインナビゲーションメニューから [Maintenance] をクリックします。この操作により、


2. [System configuration] エリアで、 [Rollbacke] をクリックします。この操作により、

[Rollback] ページが表示されます。

3. [Rollback] ページに表示されているバージョンにロールバックするときは [OK] をクリックします。

ロールバックプロセスが完了したら、アプライアンスが自動的に再起動し、変更が適用されます。

4. アプライアンスが再起動したら、 AMC の [Home] ページで新しい ASAP Platform バージョン番号を確

認します。

工場出荷時リセットの実行

工場出荷時リセットを実行すると、アプライアンスが、初の購入時の状態に戻ります。 Factory Reset Tool を実行すると、アプライアンス購入後に実行、作成したすべてのアップデートおよび構成ファイルが消去され

ます。たとえば、元のアプライアンスにバージョン 7.0.0 が搭載されていた場合、 Factory Reset Tool を実行

すると、バージョン 7.0.0 に復帰し、アプライアンス上でインストール、作成したすべてのアップデート、構

成ファイル、ログファイルなどが消去されます。このツールを使用すべき状況として、次の 2 つの場合があり

ます。

• マシンを完全にきれいな状態にして、別の場所で再利用したい場合。

• アプライアンスが、取り返しの付かない状態になった場合。この場合は、 Aventail のテクニカルサポー

トにお問い合わせの上、この問題を解決するための方法が他にないか確認してください。工場出荷時リ

セットはあくまでも、アプライアンスを動作可能な状況に復帰させるための後の手段として使用しま

す。


アプライアンスを元の工場出荷時の状態に戻すには

1. シリアルコンソールで、「root」としてアプライアンスにログインします。

2. 「factory_reset」と入力します。構成ファイルをバックアップするよう促すメッセージが表示されま

す。その後、アプライアンスを再起動します。

3. 「reboot」と入力して、アプライアンスを再起動します。

リセットが完了したら、次のようなプロンプトが表示されます。

Debian GNU/Linux 3.0 SSL-VPN ttyS1SSL-VPN login:

4. 「root」としてログインすると、 Setup Tool が自動的に動作を開始します。

! 注意特に、取り返しの付かない状態から問題がなかった状態に戻すために Factory Reset Tool を実行す

る場合、このツールを実行する前に、 Aventail のテクニカルサポートにお問い合わせの上、この問題を

解決するための方法が他にないか確認してください。

SSL 暗号化

アプライアンス上のすべてのトラフィックでデータのセキュリティを保証するため、暗号が使用されます。ア

プライアンスは SSL で使用するすべてのデータを暗号化します。ネットワークトラフィックを SSL で保護す

るには、低でも 1 つのサイファを使用するよう構成しなければなりません。セキュリティ効果とパフォーマ

ンスのバランスをよく考え、使用可能なものの中から「上の」サイファを選択します ( パフォーマンスより

セキュリティに重点を置くこと )。

SSL では軽度の攻撃についてある程度保護することができますが、一般的には、ユーザーの必要性に合った強

力なサイファを許可するようサーバーを構成する必要があります。サイファには次のようなものがあります。

も優れたものから順に並んでいます。

• 256 ビット AES、 SHA-1

• 128 ビット AES、 SHA-1

• 128 ビット RC4、 MD5

• 128 ビット RC4、 SHA-1

• トリプル DES、 SHA-1

• 56 ビット RC4、 MD5

• 56 ビット DES、 SHA-1

• 40 ビット RC4、 MD5

• 40 ビット DES、 SHA-1 ( ネットワークプロキシサービスでのみ使用可 )

SSL 暗号化の構成

このアプライアンスでは、 SSL 暗号化などの暗号アルゴリズム ( つまりサイファ ) を使用して、データ転送を

保護します。アプライアンスの暗号化設定を構成するときは、ネットワークトラフィックを保護するため、

低でも 1 つのサイファを SSL と組み合わせて使用できるようにします。通常、ほとんどのインストールの場

合、デフォルト設定で間に合います。


SSL 暗号化設定を構成するには

1. メインナビゲーションメニューから [SSL Settings] をクリックして、 [SSL Encryption section] セクションの [Edit] リンクをクリックします。 [Configure SSL Encryption] ページが表示されま

す。

2. トラフィックの暗号化に使用する転送プロトコルを選択します。

• FIPS 140-2 準拠の暗号を許可する場合、 [Use only US government-recommended encryption] チェックボックスを選択します。このオプションを選択すると、 TLS v1 プロトコル

のみを使用するようアプライアンスが構成され、 FIPS 準拠のサイファのみが有効になります。

(FIPS 対応 EX-1500 アプライアンスの場合、これがデフォルト設定になる。 293 ページの「FIPS ハードウェアセキュリティモジュール」を参照してください。 )

• TLS v1 転送プロトコルのみを使用するようアプライアンスを構成する場合、 [Use TLS v1 protocol only] を選択します。

• SSL v3 転送プロトコルのみを使用するようアプライアンスを構成する場合、 [Use SSL v1 protocol only] を選択します。

• SSL v3 および TLS v1 転送プロトコルを使用するようアプライアンスを構成する場合、 [Use both protocols] を選択します。

3. SSL 接続でアプライアンスのアクセスサービス (Web プロキシ、ネットワークプロキシ、ネットワークトンネル ) が受け付けるサイファを選択します。


メモ

• [Use TLS v1 protocol only] オプションを選択すると、 Aventail Connect プロキシユーザーがアプ

ライアンスにアクセスできなくなります。

• FIPS 対応 EX-1500 アプライアンスを使用する場合は、本書の 293 ページの「FIPS ハードウェアセキュリティモジュール」を参照してください。


ソフトウェアライセンス

この節では、アプライアンスコンポーネントのソフトウェアライセンスを管理する方法について説明します。

Aventail アプライアンスでは、次の 2 種類のライセンスを使用します。

• ベースアプライアンスライセンス。このライセンスは、同時ユーザーの数を監視し遵守するときに使用

します。デフォルトの場合、同時アクティブユーザーの制限を超えると、アクティブユーザーの数がラ

イセンス済みのユーザー制限を下回るまで、ユーザーアクセスが制限を受けることになります。

ただし、ライセンス契約によっては、一定数のユーザーセッションに限り、制限を超えることが認めら

れます ( グレースカウント )。その場合、ユーザーアクセスは許可されますが、過剰な使用については

ロギングされます。ただし、アクティブユーザー数がこのグレースカウントを超えた場合、アクティブユーザーの数がグレースカウントを下回るまで、ユーザーアクセスが制限を受けます。

ユーザーアクセスが制限を受けた場合、ユーザーが VPN にログインしようとすると、ライセンス数が超

えているためネットワークへのアクセスが拒否されたことを示すエラーメッセージが表示されます。

• コンポーネントライセンス。特定のアプライアンスコンポーネント ( たとえば Aventail OnDemand) のライセンスの有効期限が切れた場合、ユーザーがそのコンポーネントを使おうとすると、 ASAP WorkPlace でエラーメッセージが表示されます。

Aventail アプライアンスには、 1,000 人のユーザーの同時使用を 3 日間サポートするデフォルトライセンス

が付属しています。この 3 日間を過ぎてもアプライアンスを使い続ける場合は、有効なライセンスファイルを

アップロードしなければなりません。

メモ

• Federal Information Processing Standard (FIPS) をサポートするアプライアンスの場合、別のライセ

ンスが必要になります。詳細については、 293 ページの「FIPS ハードウェアセキュリティモジュール」


ライセンスの詳細の表示

AMC では、ベースアプライアンスライセンスの他、 Aventail OnDemand や Aventail Connect など、他に

購入しているアプライアンスコンポーネントのライセンスについて、そのステータスを参照できるようになっ

ています。この節では、ライセンスのステータスを表示する方法について説明します。

ライセンスの詳細を表示するには

1. メインナビゲーションメニューから [General Settings] をクリックして、 [Licensing] セクション

の [Edit] リンクをクリックします。 [Manage Licenses] ページが表示されます。

2. 表示されるデータを確認します。

• [Product name] には、ライセンスが適用される Aventail アプライアンスのタイプが表示されま

す。

• [License holder] には、アプライアンスがライセンスされるエンティティの名前が表示されます。

• [Maximum concurrent users] には、ベースアプライアンスライセンスで許可されている同

時ユーザーセッションの大数が表示されます。 1 つの同時ユーザーは、単一 IP アドレスからの単

一ログインに相当します。ユーザーは、ログオフした時点またはクレデンシャルの期限が切れた時点

でカウント対象から外されます。

• [Appliance serial number] には、アプライアンスにインポートしたライセンスファイルに記

載されているシリアル番号が表示されます。このシリアル番号は、 Aventail のテクニカルサポート

にお問い合わせの際、必要になります。この番号は、メインナビゲーションメニューの下部にも表

示されています。


• [Component] および [License type] には、個別のソフトウェアコンポーネントライセンスの

詳細が表示されます。ライセンスが一時ライセンスまたは評価版ライセンスの場合、有効期限も表示

されます。ライセンスの有効期限が近づいている場合、またはライセンスの有効期限が切れた場合、

このエリアまたは AMC ステータスエリアに警告メッセージが表示されます。

ライセンスの管理

この節では、ライセンスファイルをアプライアンスにインポートする方法と、アプライアンスから有効期限切

れのライセンスを削除する方法について説明します。

(Aventail OnDemand、 Aventail Connect、 Aventail Secure Desktop などの ) 一部のコンポーネントの場

合、個別に購入しなければなりません。これらのコンポーネントを購入すると、ソフトウェアライセンスファイルを受け取ることになります。これらのコンポーネントを有効にする前に、 AMC を使用して、有効なラ

イセンスファイルをアップロードしなければなりません。追加のコンポーネントを購入する方法については、

Aventail チャネルパートナーにお問い合わせください。

また、たとえばアプライアンスの購入を決定した後、評価版ライセンスを永続ライセンスで置換する場合など

は、ベースアプライアンスライセンスファイルをインポートする必要もあります。

! 注意ライセンスファイルをインポートするとき、アプライアンスの日付と時刻の設定がタイムゾーンに

合わせて正しく構成されていることをあらかじめ確認してください。システムクロック設定の構成の詳

細については、 143 ページの「時刻設定の構成」を参照してください。

ライセンスファイルをインポートするには



2. [Import License] をクリックします。この操作により、 [Import License File] ページが表示され

ます。

3. [License file] ボックスにライセンスファイルのパスを入力するか、 [Browse] をクリックして、適切

なファイルをブラウズします。


有効期限切れのライセンスコンポーネントの削除

有効期限切れのコンポーネントライセンスは、アプライアンスから削除することができます ( たとえば、評価

版ライセンスを発行されたコンポーネントを購入しない場合 )。有効期限切れのライセンスを更新する場合は、

Aventail チャネルパートナーにお問い合わせの上、新しいライセンスファイルを受け取ってください。ベー

スアプライアンスライセンスは削除することができません。

有効期限切れのコンポーネントライセンスを削除するには



2. コンポーネントライセンスの有効期限が切れたら、 [License type] エリアに「expired」というメッ

セージが表示され、 [Clear Expired License] ボタンがあわせて表示されます。この [Clear Expired License] ボタンをクリックすると、有効期限切れのライセンスファイルをアプライアンスか

ら削除することができます。


第 8 章End Point Control

Aventail アプライアンスでは、重要なデータを保護するための複数の「End Point Control」コンポーネント

がサポートされており、ネットワークが、信頼されていない環境の PC からアクセスを受けても危険を回避し

ます。

従来の VPN ソリューションでは通常、企業のノート型 PC からの比較的安全なアクセスのみを許可していま

す。このような環境で、セキュリティ上大きな懸念になるのが、許可されていないネットワークアクセスで

す。 SSL VPN では、任意の Web 対応システムからアクセスできるため、空港やホテルのキオスク端末、従業

員が所有する PC など、信頼されていない環境の PC からアクセスがあった場合、危険性が増大します。 End Point Control では、エンドユーザーデバイスの状態を評価するためのプロセスも必要になります。

概要 : End Point Control

従来の VPN ソリューションでは通常、企業のノート型 PC からの比較的安全なアクセスのみを許可していま

す。このような環境で、セキュリティ上大きな懸念になるのが、許可されていないネットワークアクセスで

す。 SSL VPN では、任意の Web 対応システムからアクセスできるため、空港やホテルのキオスク端末、従業

員が所有する PC など、信頼されていない環境の PC からアクセスがあった場合、危険性が増大します。

Aventail End Point Control では、次の 3 つの方法で、信頼されていない環境からのアクセスを防止します。

• ユーザーの環境が安全であることを確認

企業の IT 部門では、アンチウイルスソフトウェアやファイアウォールの他、悪意のあるソフトウェア (「マルウェア」 ) から保護するためのセーフガードソフトウェアなどを使用して、 PC を管理下に置いてい

ます。一方、管理されていない PC の場合、キーストロークレコーダー、ウイルス、トロイの木馬など、

ネットワークを危険に陥れる因子が簡単に入ってきます。

Aventail では、ユーザーを認証する前に、クライアントシステム上のマルウェアを自動的にチェックす

る、サードパーティの「クライアントインテグリティ」コントロールとも統合できるようになっていま

す。

また Aventail では、ユーザーのエンドポイントで信頼のレベルに応じて異なるアクセスレベルを割り

当てる「信頼ゾーン」を定義することができます。接続要求が、 AMC で設定された「デバイスプロファ

イル」と比較され、適切なゾーンに割り当てられます。

• セッション後、ユーザーデータを PC から削除

Web ブラウザの場合、重要なデータを、信頼されていない PC に不用意に残してしまう可能性がありま

す。たとえば、キオスク端末からログインしたユーザーは、 PC のキャッシュに、パスワード、ブラウザ

のクッキー、ブックマークした URL など、さまざまなデータを残すことになります。また、ファイルや

電子メールの添付ファイルをハードディスク上に残してしまうこともあります。

Aventail の「データ保護」エージェントは、 PC からセッションを自動的に削除します。

• 重要なリソースへのアクセスを制御

End Point Control ゾーンは、アクセス制御ルールからも参照できるため、信頼性の低い EPC ゾーンか

ら接続が試みられた場合、重要なリソースへのアクセスを制御することができます。

180 | 第 8 章 - End Point Control

Aventail が End Point Control でゾーンとデバイスプロファイルを使用する方法

アプライアンスでは、 End Point Control がコミュニティレベルで管理されインストールされます。コミュニ

ティは、同様のアクセス要件を持つユーザーまたはグループの集まりです。認証レルム ( ユーザーがアプライ

アンスに入るときの入口 ) は、 1 つまたは複数のコミュニティを参照します。一方でコミュニティは、 1 つま

たは複数の EPC ゾーンを参照します。 EPC ゾーンは、 1 つまたは複数のデバイスプロファイルを参照するこ

とができます。このデバイスプロファイルは、クライアントコンピュータ上に存在する属性を定義するもの

です。

End Point Control プロセスは、次のように動作します。

1. ユーザーがアプライアンスに接続し、認証レルムにログインします。

2. アプライアンスが、このユーザーを、そのレルムに所属するコミュニティに割り当てます。

3. アプライアンスは、ユーザーのコンピュータに照会することにより、コミュニティのいずれかの EPC ゾーンで定義されている属性と一致する属性がある ( デバイスプロファイルに含まれている ) か判定し

ます。

4. デバイスがプロファイルと一致する場合、アプライアンスは、そのコンピュータをその EPC ゾーンに分

類し、そのゾーンで構成されている EPC ツールをインストールします。

次の図は、ゾーンおよびデバイスプロファイルを参照するコミュニティが含まれるレルムにユーザーがログイ

ンするときに、アプライアンスによって実行される評価プロセスを示しています。

コミュニティが複数のゾーンを参照する場合、アプライアンスは接続要求を評価し、一致するデバイスプロ

ファイルを持つゾーンが見つかるまで、コミュニティリストに記述されているゾーンを調べます。初のゾー

ンに一致するものがなかった場合、アプライアンスは次のゾーンに進み、接続要求がそのデバイスプロファイ

ルと一致するかチェックします。この調子で、コミュニティのゾーンのリストを次々に調べていきます。どの

ゾーンにも一致するものが見つからなかった場合、デバイスは、自動的にグローバルデフォルトゾーンを割

り当てます。デフォルトゾーンについては、 191 ページの「デフォルトゾーンの使用」で説明しています。

例

たとえば、「Employees」レルムのメンバーが、 IT 部門が管理するノート型 PC から接続する場合、そのユー

ザーに企業のネットワークリソースに対するアクセス権を割り当てたいと仮定します。このような場合、「IT Trusted Laptop」という名前のデバイスプロファイルを参照する「IT Managed」という名前のゾーンを作成

することができます。この例の場合、このデバイスプロファイルに、ユーザーの企業ノート PC についての個

別の属性が存在しなければなりません。たとえば、アンチウイルスプログラム、企業固有のアプリケーション

のファイル名とディレクトリ、企業アプリケーションのレジストリキー、パーソナルファイアウォール、企

業ドメイン内のメンバーシップなどがこれに該当します。 AMC でこのゾーンとデバイスプロファイルを構成

した後、そのゾーンを「Employees」レルムに追加します。

従業員がログインし「Employees」レルムを選択すると、アプライアンスはそのコンピュータをチェックし、

必要なデバイス属性を探します。従業員のノート型 PC が、デバイスプロファイルと完全に一致した場合、ア

プライアンスは、それを「IT Managed」ゾーンに入れます。これ以降、そのユーザーには、そのレルムに対

する適切なアクセスエージェントが与えられるため、ネットワークリソースにアクセスできるようになりま

す。

ゾーンとデバイスの使用例については、 181 ページの「End Point Control のシナリオ」を参照してください。


End Point Control のシナリオ

この節では、ゾーンとデバイスプロファイルを使用して、接続要求を分類し End Point Control ツールをクラ

イアントにインストールする、一般的な End Point Control シナリオについて説明します。

シナリオ 1 : IT の管理下にあるノート型 PC から従業員が接続する場合

このシナリオでは、初に従業員が、 IT の管理下にあるノート型 PC からアプライアンスに接続します。

この例では、イベントが次のように発生します。

1. ユーザーがアプライアンスに接続し「Employees」レルムにログインします。ユーザーは「Default」コ

ミュニティに割り当てられます。

2. ユーザーが認証されると、クライアントデバイスが照会され、「Default」コミュニティが参照するゾー

ン内にこれと一致するデバイスプロファイルがあるか判定されます。デバイスプロファイルは、ゾーン

単位で評価され、コミュニティにリストされている初のゾーン ( この例では「Trusted - IT」ゾーン ) から順にチェックされます。

3. 「Trusted - IT」ゾーンは、「IT Managed laptop」という名前のデバイスプロファイルを参照していま

す。アプライアンスは、ユーザーのデバイス属性が、「IT Managed laptop」プロファイルで構成されて

いるもの ( レジストリキーエントリ、アンチウイルスソフトウェア、アプリケーション ) と一致してい

ると判定します。

4. アプライアンスは、その一致に基づいて、このデバイスを「Trusted - IT」ゾーンに分類し、このコミュ

ニティでリストされているそれ以降の 2 つのゾーンについては評価しません。

5. 「Trusted - IT」ゾーンの場合は、クライアント側にデータ保護ツールがなくてもかまいません。この時

点で、「Default」コミュニティは、このユーザーに対して、このコミュニティ用に構成されているアクセ

スエージェントを提供します。これにより、ユーザーは、適切なネットワークリソースにアクセスでき

るようになります。

Employees

Default

IT PC

Trusted- IT

Semi-trusted- Home

Employeehome PC

Default

IT ManagedTrusted - ITIT managed

laptop

:


シナリオ 2 : ホーム PC から従業員が接続する場合

このシナリオでは、初に従業員が、ホーム PC からアプライアンスに接続します。






単位で評価され、コミュニティにリストされている初のゾーン ( この例では「Trusted - IT」ゾーン ) から順にチェックされます。このシナリオでは、クライアントが初のゾーンのデバイスプロファイル

と一致しなかったため、リスト内の 2 番目のゾーン「Semi-Trusted - Home」に進みます。

3. 「Semi-Trusted - Home」ゾーンは、「Employee home PC」という名前のデバイスプロファイルを参

照しています。アプライアンスは、ユーザーのデバイス属性が、「Employee home PC」デバイスプロ

ファイルで構成されているもの ( アンチウイルスソフトウェアおよびパーソナルファイアウォール ) と一致していると判定します。

4. アプライアンスは、その一致に基づいて、このデバイスを「Semi-Trusted - Home」ゾーンに分類し、

このコミュニティでリストされているそれ以降のゾーンについては評価しません。

5. 「Semi-Trusted - Home」ゾーンの場合は、クライアント側にデータ保護ツールがなくてもかまわない

ため、 Aventail Cache Control がクライアントにインストールされます。この時点で、

「Default」コミュニティは、このユーザーに対して、このコミュニティ用に構成されているアクセスエージェントを提供します。これにより、ユーザーは、適切なネットワークリソースにアクセスできる

ようになります。

PC

Trusted- IT

Semi-trusted- Home

Default

Employeehome PC

Aventail Cache Control

IT managedlaptop

Semi-Trusted- Home

Employeehome PC

:

Employees

Default


シナリオ 3 : キオスク端末から従業員が接続する場合

このシナリオでは、初に従業員が、キオスク端末からアプライアンスに接続します。






単位で評価され、コミュニティにリストされている初のゾーン ( この例では「Trusted - IT」ゾーン ) から順にチェックされます。このシナリオでは、クライアントが初のゾーンおよび 2 番目のゾーンの

プロファイルと一致しなかったため、リスト内の後のゾーン「Default」に進みます。

3. アプライアンスは、キオスク端末クライアントの属性が、「Default」コミュニティのデバイスプロファ

イルと一致しないと判定します。

4. アプライアンスは、このデバイスを「Default」ゾーンに分類します。コミュニティ内の他のデバイスプロファイルと一致しないクライアントは自動的に「Default」に割り当てられます。

「Default」ゾーンは、 AMC で構成されたすべてのコミュニティに暗黙的に存在するグローバルゾーンで

す。ここで割り当てられたすべての接続要求に対して、 VPN アクセスをブロックする構成、または VPN アクセスを許可する構成になっています。詳細については、 191 ページの「デフォルトゾーンの使用」


5. このシナリオの場合、「Default」ゾーンは、 Aventail Secure Desktop (ASD) をクライアントにインス

トールできる場合、 VPN アクセスを許可する構成になっています。 ASD は、オプションのデータ保護コ

ンポーネント ( 別売 ) で、 Windows ユーザーに対して広範なデータ保護を行います。キオスク端末で Windows XP または 2000 が動作し、サポートされているブラウザが動作している場合、 ASD がインス

トールされます。この時点で、「Default」コミュニティは、このユーザーに対して、このコミュニティ用

に構成されているアクセスエージェントを提供します。これにより、ユーザーは、適切なネットワークリソースにアクセスできるようになります。ただし、キオスク端末のオペレーティングシステムやブラ

ウザが ASD と互換でない場合、アプライアンスは、 Aventail Cache Control (ACC) を代わりにインス

トールします。 ASD も ACC もクライアントにロードできない場合は、ユーザーの接続要求が拒否されま

す。

Trusted- IT

Semi-trusted- Home

DefaultAventail Secure Desktop

Default

IT managedlaptop

Employeehome PC

:

Employees

Default


ゾーンおよびデバイスプロファイルによる EPC の管理

End Point Control では、ゾーンの使用を通じて、データ保護コンポーネントをユーザーに提供します。この

ゾーンが、接続要求をクライアントデバイスの属性に基づいて分類する「信頼ゾーン」です。デバイスプロ

ファイルは、クライアントを識別しゾーンに割り当てる上で必要な属性を定義するもので、次の項目を入れる


• アンチウイルスソフトウェア

• パーソナルファイアウォール

• アプリケーション

• ディレクトリ名

• ファイル名

• ファイルサイズ

• ファイルタイムスタンプ

• Windows レジストリエントリ

• Windows ドメイン

• Windows バージョン

1 つの EPC ゾーンからは、 1 つまたは複数のデバイスプロファイルを参照することができます。ゾーンが複

数のデバイスプロファイルを参照しているとき、いずれかのデバイスプロファイルと属性が一致するクライ

アントコンピュータは、そのゾーンに割り当てられます。これは、たとえば同様の VPN アクセス要件を持つ

複数のユーザーが存在し、異なるコンピュータプラットフォームを利用している場合などに使用すると便利で

す。たとえば、 Windows コンピュータのデバイスプロファイルを参照する EPC ゾーンと、 Macintosh コン

ピュータを参照するゾーンを用意することができます。 AMC は、 Windows、 Macintosh、 Linux、 PocketPC と PDAs、 Mobile Phone 用のデバイスプロファイルをサポートしています。

AMC には、デフォルトゾーンという定義済みのゾーンがあります。このゾーンは削除することができません。

デフォルトゾーンは、接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可またはブロック

するためのグローバルな安全装置として機能します。詳細については、 191 ページの「デフォルトゾーンの使


このアプライアンスには、共通のアクセスシナリオに合わせて構成されているゾーンとデバイスプロファイ

ルもあります。 End Point Control をすぐに開始したいときは、これらのゾーンとデバイスプロファイルをそ

のまま使用することができます。また、特定の要件に合わせて、これをカスタマイズして使用することもでき

ます。ゾーンとデバイスプロファイルは、さまざまなアクセスシナリオと信頼レベル ( たとえば従業員、ビジ

ネスパートナー、請負業者別のゾーン ) に対応する上で必要であれば、いくらでも作成することができます。

191 ページの「定義済みのゾーンおよびデバイスプロファイルの使用」を参照してください。

ユーザーの認証後、そのユーザーが使用できるゾーンを指定する場合は、コミュニティを使用します。ゾーン

をコミュニティにリンクする方法については、 127 ページの「コミュニティでの End Point Control の使用」

を参照してください。また、ユーザー、グループ、リソースなどと同じように、ゾーンをアクセスポリシーと

対応させることもできます。

End Point Control の有効化と無効化

AMC では、 End Point Control はデフォルトで無効になっています。 AMC では、 EPC をグローバルに有効化

または無効化することができます。

End Point Control を有効にするには

1. メインナビゲーションメニューから [End Point Control] をクリックします。この操作により、

[End Point Control] ページが表示されます。

2. [Enable End Point Control] チェックボックスを選択します。

End Point Control が無効になっているとき、次の EPC 動作は実行されなくなります。

• クライアントデバイスの属性の評価

• ゾーンへの接続要求の分類

• アクセス制御ルールのゾーン制約の強制


ゾーンおよびデバイスプロファイルの表示

AMC で構成されているゾーンとデバイスプロファイルは、 [Zones and Device Profiles] ページで参照する


構成されているゾーンとデバイスプロファイルを表示するには

1. AMC のメインナビゲーションメニューから [End Point Control] をクリックします。

2. [End Point Control] ページでは、 AMC で構成されているゾーンとデバイスプロファイルがリストさ

れます。また、 EPC エージェントのステータスもリストされます。ゾーンまたはデバイスプロファイル

の名前をクリックすることで、その設定を表示したり編集したりすることができます。

3. [End Point Control zones] リストに表示されているデータを確認します。

• チェックボックス列は、 1 つまたは複数のゾーンを選択するときに使用します。ゾーンの削除やコ

ピーなどを行うときにこれを使用します。

• プラス記号 (+) の列をクリックすると、選択したゾーンが拡大され、それに対応するデバイスプロ

ファイルとコミュニティが表示されます。

• [Name] 列には、ゾーンを作成するときに割り当てた名前が表示されます。ゾーンは、名前をク

リックすることで編集できるようになっています。

• [Description] 列には、ゾーンを作成するときに入力した説明テキストがリストされます。

• [Community] 列には、ゾーンがコミュニティによって参照されているかどうかが示されます。青

いドットは、ゾーンが 1 つまたは複数のコミュニティによって使用されていることを示します。

ゾーンがコミュニティに参照されていない場合、このフィールドはブランクになります。

4. [Device profiles] リストに表示されているデータを確認します。

• チェックボックス列は、 1 つまたは複数のデバイスプロファイルを選択するときに使用します。プ

ロファイルを削除するときにこれを使用します。

• [Name] 列には、デバイスプロファイルを作成するときに割り当てた名前が表示されます。デバイ

スプロファイルは、名前をクリックすることで編集できるようになっています。

• [Description] 列には、デバイスプロファイルを作成するときに入力した説明テキストがリストさ

れます。


• [Type] 列には、デバイスプロファイルによってサポートされているプラットフォームが表示され

ます。 [Microsoft Windows]、 [Apple Macintosh]、 [Linux]、 [Pocket PC/PDA]、[Mobile phone]

ゾーンの定義

次の手順は、ゾーンを作成する方法を示しています。ゾーンは、 Internet Explorer 6.0 以降または Firefox 1.0 以降が動作する Windows 2000 または XP コンピュータでサポートされています。また、 Safari および Firefox が動作する Macintosh クライアントや、 Firefox が動作する Linux クライアントでもゾーンを作成で

きる他、 PDA や携帯電話などの小型携帯端末についてもサポートされています。

ゾーンを定義するには

1. AMC のメインナビゲーションメニューから [End Point Control] をクリックします。この操作によ

り、 [End Point Control] ページが表示されます。

2. [Zones] エリアで、 [New] をクリックします。この操作により、 [Zone Definition] ページが表示さ

れます。

3. [Name] ボックスに、ゾーン名をわかりやすい名前で入力します。

4. [Description] ボックスに、ゾーンについてのコメントをわかりやすく入力します。

5. [All Profiles] リストで、ゾーンに入れたいデバイスプロファイルの左側にあるチェックボックスを選

択して、右矢印 ([>>]) ボタンをクリックします。この操作により、このデバイスプロファイルが [In Use] リストに移動します。接続プロセスのとき、デバイスをこのゾーンに割り当てるためには、プロ

ファイルで定義されているすべての属性がそのデバイス上になければなりません。また、 [New] をク

リックして、そのゾーンのデバイスプロファイルを作成することもできます。

ほとんどの場合、ゾーンには、低でも 1 つデバイスプロファイルが含まれていなければなりません。

詳細については、 187 ページの「ゾーンに対するデバイスプロファイルの定義」を参照してください。

ゾーンが複数のデバイスプロファイルを参照している場合、アプライアンスは、接続要求と一致するプ

ロファイルを受け付けて、そのデバイスをそのゾーンに割り当てます。


6. 特定のゾーンについて、 Aventail Cache Control または Aventail Secure Desktop の存在を条件にし

たい場合、 [Required data protection tool] リストから、対応するオプションを選択します。

Aventail Secure Desktop は、 Windows 2000 および XP プラットフォームでサポートされているオプ

ションコンポーネントで、別途購入することになっています。これがサポートされていないプラット

フォームの場合は、 Aventail Cache Control を代わりに使用します。

7. ゾーンの作成が終わったら、 [Save] をクリックします。この操作により、 [End Point Control] ペー

ジに戻ります。

メモ

• Connect Proxy クライアントのユーザーをゾーンに割り当てたい場合、異なる構成手順が必要になりま

す。 190 ページの「ゾーンへの Aventail Connect Proxy クライアントユーザーの割り当て」を参照し

てください。

• ただし、 Aventail Connect Proxy クライアントまたは Connect Tunnel クライアントを使用する場合、

Aventail Cache Control および Aventail Secure Desktop は使用できなくなります。

• EPC ゾーンをコピーする方法と削除する方法の詳細については 35 ページの「AMC でのオブジェクトの

追加、編集、コピー、削除」を参照してください。

ゾーンに対するデバイスプロファイルの定義

デバイスプロファイルは、アンチウイルスプログラム、アプリケーション、 Windows レジストリエントリ

など、 1 つまたは複数の属性を検索することにより、クライアントデバイスとの間に信頼関係を確立します。

デバイスプロファイルは、 1 つまたは複数のゾーンから参照されます。

デバイスプロファイルは、クライアントコンピュータ上の 1 つの属性のみを検出するよう定義できる他、複

数の属性を必要とするよう設定することもできます。デバイスプロファイルが複数の属性を参照するとき、そ

のプロファイルと一致するためには、クライアントコンピュータ上にそのすべての属性がなければなりませ

ん。

デバイスプロファイルは、 Microsoft Windows、 Apple Macintosh、 Linux などのオペレーティングシステ

ムの他、 Pocket PC や PDA、携帯電話でも使用することができます。 Pocket PC、 PDA、携帯電話で唯一構成

できるのは [name] フィールドと [description] フィールドのみですが、これらのデバイスを、アクセス制御

ルールで参照されるゾーンに分類することにより、リソースに対するアクセスを許可するか拒否するよう設定


あるゾーンに対するデバイスプロファイルを定義するには



2. [Device profiles] エリアで、 [New] をクリックして、ショートカットから次のいずれかのプラット

フォームを選択します。

• Microsoft Windows

• Apple Macintosh

• Linux

• Pocket PC/PDA

• Mobile phone


3. [Device Profile Definition] ページで、 [Name] テキストボックスにデバイスプロファイル名をわ

かりやすい名前で入力します。

4. [Description] ボックスに、デバイスプロファイルについてのコメントをわかりやすく入力します。

5. デバイスプロファイルで使用する適切な属性を選択します。それぞれの属性で [Type] と [Value] を指

定したら、 [Add to Current Attributes] ボタンをクリックします。この操作により、今追加したデ

バイス属性が、 [Current attributes] リストに表示されます。

• Windows または Macintosh クライアントで [Antivirus program] を選択した場合 ( この属性

は Linux クライアントデバイスでは表示されない )、 [Norton Antivirus] または [McAfee] を選択します。 ( この属性は Linux クライアントデバイスでは表示されない ) 複数の値を選択した場

合、クライアントデバイスで検出されるものが 1 つでもあればそれが認められます。

ユーザーがリストに載っているもの以外のアンチウイルスプログラムを実行している場合、

[Application] 属性を使用して、それをデバイスプロファイルに追加することができます。

• [Application] の場合、クライアントデバイスで動作しなければならないアプリケーションプロ

セスの名前を入力します。この場合、アプリケーション名では、大文字と小文字が区別されません。

複数のアプリケーションを入力した場合、すべてのアプリケーションがデバイス上で動作していなけ

れば、そのプロファイルと一致したことになりません。また、 Windows、 Macintosh、 Linux プラットフォームでデバイスプロファイルのファイル名やファイル拡張子を指定するときは、アステ

リスク ( 「*」 ) や疑問符 ( 「?」 ) などのワイルドカード文字を使用することもできます。

• [Directory name] の場合、デバイスのハードディスク上に存在しなければならないディレクト

リの名前を入力します。この場合、ディレクトリ名では、大文字と小文字が区別されません。デバイ

スプロファイルで複数のディレクトリ名を指定した場合、すべてのディレクトリがデバイス上に存

在していなければ、そのプロファイルと一致したことになりません。

• [File name] の場合、デバイスのハードディスク上に存在しなければならないファイルの名前を入

力します ( 拡張子とフルパスも指定 )。この場合、ファイル名では、大文字と小文字が区別されま

せん。デバイスプロファイルで複数のファイル名を指定した場合、すべてのファイルがデバイス上

に存在していなければ、そのプロファイルと一致したことになりません。また、この属性では環境変

数 (%windir% や %userprofile% など ) を使用することもできます。また、 [Absolute] または [Relative] を指定することで、ファイルの絶対日時や相対日時をそれぞれ指定することができます。

たとえば、修正日が特定日数より古い日付のファイルなどを指定できるようになります。


オプションで、 [File size] にファイルサイズをバイト数単位で指定できる他、 [Date] および [Time] に、ファイルが後に更新された日付と時刻を指定することもできます。 [Time] のタイム

ゾーンは、グリニッチ標準時 (GMT) に設定されています。この 2 つのオプションでは、

[Operator] に比較演算子を指定することができます。 190 ページの「デバイスプロファイル属性

での比較演算子の使用」を参照してください。

また、 [Absolute] または [Relative] を指定することで、ファイルの絶対日時や相対日時をそれ

ぞれ指定することができます。たとえば、修正日が特定日数より古い日付のファイルなどを指定でき

るようになります。

さらに、 Windows、 Macintosh、 Linux デバイスでは MD5 または SHA-1 ハッシュ、 Windows システムファイルの検証では Windows カタログファイルを使用してファイルの整合性を検証するよ

う、デバイスプロファイルを設定することもできます。その場合、 [Validate file integrity] チェックボックスを選択してから、 [Use MD5 hash] を選択しハッシュ値を入力するか、 [Use Windows catalog file] を選択します。

• [Personal firewall program] の場合、 [Sygate]、 [Microsoft]、 [ Zone Labs] のいずれか

を選択します。複数の値を選択した場合、クライアントデバイスで検出されるものが 1 つでもあれ

ばそれが認められます。この属性を指定できるのは、 Windows クライアントデバイスのみです。

ユーザーがリストに載っているもの以外のパーソナルファイアウォールプログラムを実行している

場合、 [Application]、 [File name]、 [Windows registry entry] のいずれかの属性を使用し

て、それをデバイスプロファイルに追加することができます。

• [Windows domain] の場合、ユーザーが所属するドメイン名を DNS 接尾辞を入れずに NetBIOS 構文で ( 例：「mycompany」など ) 入力します。複数の Windows ドメインを指定した

場合、該当するものが 1 つでもあればそれが認められます。複数のエントリは、セミコロンを使用

して区切ります。 Windows ドメインをしている場合は、アスタリスク (*) および疑問符 (?) など

のワイルドカード文字も入力できます。

[Windows registry entry] の場合、 [Key name] にキー名を入力します。また、オプション

で [Value name] に値、 [Data] にデータを入力することができます。 [Date] フィールドでは、

[Operatorata] で比較演算子を選択することができます。 190 ページの「デバイスプロファイル

属性での比較演算子の使用」を参照してください。 [Value name] フィールドや [Registry Data] フィールドに特殊文字を入力する場合は、その前にバックスラッシュを指定しなければなり

ません。ここで言う特殊文字には、ワイルドカード ( 「*」や「?」 ) とバックスラッシュ (\) が該当

します。ワイルドカードは、値やデータを指定するときに使用できますが、キーを指定する場合は使

用することができません。

複数の Windows レジストリエントリを入力した場合、すべてのレジストリエントリがデバイス上

に存在していなければ、そのプロファイルと一致したことになりません。

• [Windows version] の場合、オペレーティングシステムのメジャーバージョン番号、マイナーバージョン番号、ビルド番号を入力します。 Windows XP および Windows 2000 の場合、メ

ジャーバージョン番号は 5 で、マイナーバージョン番号は、 Windows XP で 1、 Windows 2000 で 0 になります。

[Windows version] 属性では、 [Operator] で比較演算子を使用することができます。ただし

この演算子は、 3 つのすべてのバージョン番号で共通になります。つまり、メジャーバージョン番

号で「>=」演算子を使用すると、マイナーバージョン番号とビルド番号の値でもその演算子を使用

することになります。詳細については、 190 ページの「デバイスプロファイル属性での比較演算子

の使用」を参照してください。

6. デバイスプロファイルの作成が終わったら、 [Save] をクリックします。この操作により、 [Zones and Device Profiles] ページに戻ります。

メモ

• デバイスプロファイルをコピーする方法と削除する方法の詳細については 35 ページの「AMC でのオブ

ジェクトの追加、編集、コピー、削除」を参照してください。


デバイスプロファイル属性での比較演算子の使用

特定のデバイスプロファイル属性は、「より大きい」や「より小さい」などの比較演算子を使用して修正する

ことができます。比較演算子は、たとえば、クライアントデバイス上のソフトウェアが自動的に更新される場

合、そのソフトウェアに合わせてデバイスプロファイルを新にしておくような状況で使用すると便利です。

このような場合でも、ソフトウェアの更新に合わせてその都度手作業でプロファイルを変更する必要がなくな

るためです。たとえば、一定の日時よりも新しいタイムスタンプを持つファイルのみがクライアントマシン上

で検出されるよう指定できる他、特定のバージョンより新しい Windows オペレーティングシステムがクライ

アントデバイス上で検出されるよう指定することもできます。

使用できる比較演算子は、「より小さい (<)」、「以下 (<=)」、「等しい (=)」、「以上 (>=)」、「より大きい (>)」、「等しくない (!=)」です。比較演算子は、次のデバイスプロファイル属性と組み合わせて使用すること

ができます。

• 特定のファイルの日付もしくはタイムスタンプ

• 特定ファイルのファイルサイズ

• レジストリエントリ ( レジストリキーで値データが選択されている場合 )

• Windows バージョン

ゾーンへの Aventail Connect Proxy クライアントユーザーの割り当て

Aventail Connect Proxy クライアントまたは Aventail Connect Tunnel クライアントを使用してネットワー

クリソースにアクセスするユーザーがいる場合、アプライアンスによって正しく識別されるよう、まったく同

じゾーンを割り当てなければなりません。このような手順が必要になるのは、 Aventail Connect が他の接続

方法と異なる方法でアプライアンスにルーティングされるためです。

Aventail Connect クライアントユーザー専用のゾーンを設ける必要はなく、このようなユーザーも既存の

ゾーンに入れることができます。 Aventail Connect は通常、信頼できるコンピュータにのみインストールさ

れるため、これらのユーザーをも信頼できるゾーンに割り当てることもできます。

Aventail Connect Proxy ユーザーをゾーンに割り当てるには



2. [Zones and Device Profiles] タブをクリックします。

3. [Place Aventail Connect users in this zone] リストを使用して、 Aventail Connect Proxy ユー

ザーに適したゾーンを選択します。

Connect Tunnel クライアントでの End Point Control の使用

Connect Tunnel クライアントを介してアプライアンスに接続するデバイスでも、 End Point Control を使用

することができます。 Connect Tunnel クライアントの EPC の場合も、他の方式の場合と同様、デバイスプロファイルと EPC ゾーンの使用がサポートされています。ただし、 Connect Tunnel クライアントでは、

Aventail Secure Desktop や Aventail Cache Control がサポートされません。そのため、Connect Tunnel クライアントの場合、このようなデータ保護オプションは無視されます。


定義済みのゾーンおよびデバイスプロファイルの使用

AMC では、 End Point Control をすぐに使えるよう、構成済みの EPC ゾーンとデバイスプロファイルをあら

かじめ用意しています。これらのゾーンとデバイスプロファイルはそのまま使用できる他、アクセスポリ

シーおよびリソース要件に合わせて修正することもできます。

構成済みの EPC ゾーンには、次のようなものがあります。

• Antivirus and cache control required: このゾーンは、Windows XP/2000 コンピュータと Apple Macintosh コンピュータのいずれかで使用するもので、Norton または McAfee のいずれかのアンチウイ

ルスソフトウェアがインストールされており、しかも Aventail Cache Cleaner が有効で、ユーザーセッションの後ブラウザのキャッシュが削除されるようになっていなければなりません。このゾーンは、

構成済みの Windows Antivirus および Macintosh Antivirus デバイスプロファイルを参照しま

す。

• Windows firewall enabled: このゾーンでは、 Windows XP または 2000 コンピュータが必要で、

そのコンピュータに、 Sygatge、 Microsoft、 Zone Labs 製のパーソナルファイアウォールプログラム

がインストールされていなければなりません。このゾーンは、構成済みの Windows firewall デバイスプロファイルを参照します。

• Default: このゾーンは、接続要求が他のゾーンの基準と一致しない場合に VPN アクセスを許可または

ブロックするためのグローバルな安全装置として機能します。

構成済みのデバイスプロファイルには、次のようなものがあります。

• Windows Antivirus: このデバイスプロファイルは、 Windows XP または 2000 が動作するコン

ピュータに、アンチウイルスプログラムとパーソナルファイアウォールプログラムの両方が存在する場

合にそのデバイスを検出するよう構成されています。

• Macintosh Antivirus: このデバイスプロファイルは、 Apple Macintosh コンピュータに、アンチウ

イルスプログラムとパーソナルファイアウォールプログラムの両方が存在する場合にそのデバイスを検

出するよう構成されています。

• Windows firewall: このデバイスプロファイルは、Windows XP または 2000 が動作するコンピュー

タに、パーソナルファイアウォールがインストールされている場合にそのデバイスを検出するよう構成

されています。

特定の状況に対するゾーンの作成

大部分の接続要求 (Microsoft Windows と Internet Explorer を使用したもの ) は、標準のゾーン構成で対応

できますが、他のオペレーティングシステムやブラウザ、定義しているゾーンに対応していない接続要求な

ど、特殊な状況にも対応する必要があります。ゾーンとデバイスプロファイルを使用して、次の状況に対応す


• 定義されているゾーンやデバイスプロファイルに対する基準と一致しないクライアント

• Windows が動作しているが、Web ブラウザが Microsoft のものでないクライアント、または以前のバー

ジョンの Windows

• 動作しているクライアントデバイスに関係なく、アクセスが必要な特殊なクラスのユーザー

また、グローバルデフォルトゾーンを構成し、 AMC で構成されているあらゆるコミュニティに暗黙的に存在

するようにします。

デフォルトゾーンの使用

AMC には、グローバルデフォルトゾーンがあり、接続要求が他の設定済みのゾーンの基準と一致しない場合

に VPN アクセスを許可またはブロックするためのグローバルな安全装置として機能します。アプライアンス

が、ゾーンに分類できない ( つまりクライアントデバイスのオペレーティングシステム、ブラウザ、その他の

属性などを識別できない ) 接続要求を受け取ったら、そのデバイスは自動的にデフォルトゾーンに入れられま

す。デバイスがデフォルトゾーンに割り当てられたユーザーについては、すべての VPN アクセスを許可する

か拒否するよう設定することができます。

デフォルトゾーンは、他のゾーンと異なり、デバイスプロファイルはありませんが、データ保護エージェン

トの存在を求めるよう構成することはできます。デフォルトゾーンは、 AMC で構成されているあらゆるコ

ミュニティに暗黙的に存在することになります。


デフォルトゾーンを構成するには



2. [Zones] エリアで、 [Default zone] リンクをクリックします。この操作により、 [Zone Definition] ページが表示されます。このとき、 [Name] ボックスには自動的に「Default Zone」と入

力されます ( このゾーンの名前は変更できない )。

3. [Data protection] エリアで、デフォルトゾーンに入れられたクライアントデバイスについて、

Aventail Secure Desktop または Aventail Cache Control がなければ接続できないようにする


Aventail Secure Desktop は、 Windows のみで使用できるオプションのデータ保護コンポーネントで

す。これがサポートされていないプラットフォームの場合は、 Aventail Cache Control が代わりに使用

されます。

4. [Access restrictions] エリアで、デフォルトゾーンに入れられたクライアントデバイスについて、

VPN アクセスを許可するか VPN アクセスをブロックするか選択します。 [Block VPN access] を選

択した場合、デフォルトゾーンに割り当てられたユーザーは、アプライアンスからログオフします。

5. [Save] をクリックします。この操作により、デフォルトゾーンの設定が有効になります。

例

あるユーザーの接続要求が信頼関係の基準と合致しない場合にそのユーザーのアクセスを制限したいとき、デ

フォルトゾーンを、制約のあるアクセス制御ルールに入れることができます。たとえば、 Web ブラウザ接続

を Outlook Web Access に限定する「permit」アクセス制御ルールにデフォルトゾーンを入れることで、こ

れらのユーザーが自身の電子メールにアクセスできるようになります。

高レベルの信頼性に基づく制約のあるアクセスポリシーを設け、明示的に定義されているものを除いて接続要

求を認めないようにする場合、デフォルトゾーンに [Block VPN access] を設定するのがも適していま

す。ただし、他のゾーンやアクセス制御ルールで、正当なユーザーが誤って排除された場合でも、デフォルトゾーンは例外なくこれらのユーザーをブロックします。

非 Microsoft ブラウザまたは以前の Windows バージョンに対するゾーンの定義

ユーザーの Microsoft Windows PC で、Internet Explorer 6.0 以降以外のブラウザ (Netscape や Opera など ) が動作している場合、これらのユーザーに特殊なゾーンを割り当てることができます。こうすることによ

り、非 Microsoft ブラウザを使用する Windows ユーザーがデフォルトゾーンに入れられてアクセスがブロッ

クされてしまうのを防止することができます。このゾーンのタイプを区別するための唯一の属性は、Windows システムの存在です。

この構成は、 Windows XP や 2000 より前の Microsoft Windows が動作しているユーザーに対して、ゾーン

を定義するときにも使用することができます。


非 Microsoft ブラウザを使用するクライアントのためのゾーンを定義するには



2. [Zones] エリアで、 [New] をクリックします。この操作により、 [Zone Definition] ページが表示さ

れます。

3. [Description] ボックスに、この特殊ブラウザゾーンについてのコメントをわかりやすく入力します。

4. [Device Profiles] エリアで、 [New] をクリックします。この操作により、 [New Device Profile Definition] ポップアップウィンドウが表示されます。

5. [Name] ボックスに、デバイスプロファイル名をわかりやすい名前で入力します。

6. [Description] ボックスに、デバイスプロファイルについてのコメントをわかりやすく入力します。

7. [Add attribute] エリアで、デバイスプロファイルに対する [Operating system] として [Microsoft Windows] を選択します。他の属性設定は指定しないでください。

8. [Save] をクリックします。この操作により、 [Zone Definition] ページに戻ります。

9. このゾーンに入れたいブラウザのデバイスプロファイルに対するチェックボックスを選択します。

10. このデバイスプロファイルで、データ保護コンポーネントの存在を条件にしたい場合、 [Required data protection tool] リストから、 [Aventail Secure Desktop] または [Aventail Cache Control] を選択します。

11. ゾーンの作成が終わったら、 [Save] をクリックします。この操作により、 [Zones and Device Profiles] ページに戻ります。

特殊なクラスのユーザーに対するゾーンの定義

おｚ－－ん信頼されている特殊なクラスのユーザーにデフォルトゾーンを割り当て (同時におそらくアクセス

が拒否され ) ないようにする方法は他にもあります。デバイスプロファイルが含まれないゾーンを作成し、そ

のゾーンを、信頼されているユーザーのみが所属するコミュニティに割り当てるのです。

たとえば、システム管理者が、使用中のクライアントデバイスに関係なく、ネットワークリソースにアクセ

スできるようにしたい場合、システム管理者を、プロファイルがないゾーンを含むコミュニティに割り当てる

ことができます。その後、システム管理者が、そのコミュニティを参照するレルムを選択してログインすると、

承認されていないクライアントをブロックするためのグローバルデフォルトゾーンではなく、プロファイル

がないこのゾーンに入れられます。

プロファイルがないゾーンを作成するには



2. [Zones and Device Profiles] タブをクリックします。

3. [End Point Control Zones] エリアで、 [New] をクリックします。この操作により、 [Zone Definition] ページが表示されます。

4. [Name] ボックスに、ゾーン名をわかりやすい名前で入力します。

5. [Description] ボックスに、ゾーンについてのコメントをわかりやすく入力します。

6. このゾーンでは、デバイスプロファイルを選択しないでください。

7. オプションで、このゾーンに対して [Required data protection tool] を選択することができます。

ただし、このような信頼されている特殊クラスのユーザーに、接続で使用するデバイスのタイプについて

柔軟性を持たせたい場合、このフィールドを「None」のままにしておきます。


プロファイルがないゾーンを定義したら、このような信頼されている特殊クラスに特化したレルムを作成し、

この特殊クラスのみがログインできるよう、レルムを専用のコミュニティに対応させる必要があります。詳細

については、 131 ページの「ユーザーまたはグループのメンバーシップの特定コミュニティへの制限」を参照



クライアントに残されたデータの削除

Aventail のデータ保護コンポーネントは、ユーザーセッションが終わったら、クライアントに残されたデー

タを削除するようになっています。次の 2 種類のオプションがあります。

• Aventail Cache Control (ACC)。すべての Web セッションに対して、基本的なデータ保護を行いま

す。ベースアプライアンスに含まれています。

• Aventail Secure Desktop (ASD)。 Windows ユーザーに対して広範なデータ保護を行うオプションコンポーネント ( 別売 ) です。ユーザーの環境が ASD がサポートしない環境の場合、 ACC が代わりに使

用されます。

AMC では、高度な End Point Control を提供する、 Sygate On-Demand もサポートしています。詳細につ

いては、 197 ページの「Sygate On-Demand」を参照してください。

どちらの Aventail コンポーネントも、非アクティブなユーザー接続を自動的に終了させ、クライアントから

データを削除するタイムアウト設定を構成できるようになっています。このシステムにより、ユーザーがキオ

スク端末やその他の共有されているコンピュータからログアウトし忘れても、機密漏洩の危険性を小限に抑

えられるようになっています。

ユーザーがセッションを終了するときまたはユーザーのセッションがタイムアウトするとき、Aventail Cache Control および Aventail Secure Desktop は、データをクライアントのキャッシュから削除します。次の表

は、削除されるデータをまとめたものです。

Aventail Cache Control の構成

Aventail Cache Control は、 Web セッションが終わるたびに、ブラウザキャッシュから履歴と一時ファイ

ル、ユーザーのシステムからパスワードとクッキーを削除します。また、非アクティブ時のタイムアウトを構

成することもできます。

次の手順では、 End Point Control が有効になっていることが前提になっています。 184 ページの「End Point Control の有効化と無効化」を参照してください。

Aventail Cache Control を構成するには

1. メインナビゲーションメニューから、 [Agent Configuration] をクリックします。この操作により、

[Agent Configuration] ページが表示されます。

コンポーネント説明

ブラウザの履歴ブラウザの履歴から、すべてのセッション URL が永続的に削除され、ブラウザから呼び出せなくなります。同時に、外部アプリケーションからプログラム的に呼び出すこともできなくなります。

ブラウザのキャッシュブラウザからアクセスされ、ハードドライブに保管されている可能性があるすべてのデータファイルの他、関連する URL とパスワードもすべて永続的に削除されます。

ブラウザのユーザー名とパスワードセッションで使用されたすべてのユーザー名および関連するパスワードは、キャッシュから削除されます。

ブラウザの URL オートコンプリートリスト

セッションで訪問したすべての URL は、ブラウザのオートコンプリートリストから削除されます。

Windows index.dat index.dat ファイルに保管されているブラウザの活動詳細も削除されます。

一時ファイルユーザーが、Outlook Web Access (OWA) などの Web アプリケーションから開いたほとんどの添付ファイルは、 Aventail Cache Control が一時フォルダを削除するときに永続的に削除されます。

Aventail Secure Desktop を使用すると、ダウンロードされローカルハードディスクに保管されたセッション関連のすべてのデータファイルが、永続的に削除されます。 ( ただしこれは、 Aventail Secure Desktop を使用する場合のみ )


2. [End Point Control Agents] セクションで、 [Data Protection] に対応する [Edit] リンクをク

リックします。この操作により、 [Configure Data Protection] ページが表示されます。

3. [End inactive user connections] リストから適当な値を選択することにより、非アクティブタイ

マーを設定します。これにより、ユーザーが一定期間、非アクティブな状態になると、ユーザーセッ

ションが自動的に終了しキャッシュが消去されるようになります。

この設定は、 [End Point Control Restrictions] ページの一般的な非アクティブタイマーよりも優

先されます。この設定は、 Web プロキシクライアントおよび Connect Tunnel クライアントに限って

使用されるもので、 End Point Control が無効であっても機能します。

4. [Aventail Cache Control] エリアで、 [Enable Aventail Cache Control] チェックボックスを選

択します。

5. 状況によってわずかに高いレベルのセキュリティが必要な場合は、 [Close other browser windows at startup] チェックボックスを選択します。この設定により、 ACC が、ネットワークアクセスの際

のブラウザコンテキストに対応するすべてのデータを正確に監視するようになります。ただし、 ACC の起動時にブラウザのウィンドウを複数開けておくユーザーには不都合が生じる可能性があります。

6. セッションの終了時にキャッシュクリーナーが動作しないことをユーザーが選択できるようにする場合

は、 [Allow user to disable cache control] チェックボックスを選択します。この設定は、デフォ

ルトで無効になっています。

7. [Save] をクリックします。この操作により、 [Agent Configuration] ページに戻ります。

Aventail Cache Control を構成したら、ゾーンの [Required data protection tool] としてこれを選択し

なければならなくなります。詳細については、 186 ページの「ゾーンの定義」を参照してください。

メモ

• さまざまな EPC 要件を持つ、独立した「信頼ゾーン」で ACC を有効にすることで、一定数のユーザーの

みに ACC を提供することもできます。ゾーンを使用して ACC の提供をコントロールする方法について

は、 186 ページの「ゾーンの定義」を参照してください

• ASAP WorkPlace からログアウトしても、 ACC がキャッシュを消去することはありません。 ACC がキャッシュを消去してクローズするには、ユーザーが WorkPlace ブラウザウィンドウをクローズしなけ

ればなりません。

• ユーザーのコンピュータで ACC をロードできない場合、ユーザーは WorkPlace にログインできません。

• 非アクティブタイマー設定は、 ACC と ASD の両方に適用されます。 ACC と ASD で異なるタイムアウ

ト設定を構成することはできません。


Aventail Secure Desktop

Aventail Secure Desktop (ASD) には、基本キャッシュクリーニングを上回る保護機能があります。 ASD は、 Sygate Technologies と共同開発したソリューションで、標準的な Windows デスクトップとほとんど同

じ外観の「仮想的な」 Windows セッションを作成します。デフォルトの場合、ネットワークからアクセスさ

れるすべてのデータは、暗号化されてからディスクに記録され、 ASD 内からのみアクセス可能になります。

ユーザーがセッションを終了すると、ダウンロードされローカルハードディスクに保管されたセッション関

連のすべてのデータファイルが、永続的に削除されます。しかも、 Web ブラウザに関連する一時データがあ

れば、それも削除されます。ユーザーには、 ASD を使用しているときはデータをローカルディスクに保存し

ないよう通知してください。例を示します。

• ファイルをローカルディスクに保存しないこと。たとえばユーザーがネットワークからファイルをダウ

ンロードしてそれをハードディスクに保存すると、セッションの終了時に削除されます。

• アプリケーションデータをローカルディスクに保存しないこと。一部のクライアント / サーバーアプリ

ケーション (Microsoft Outlook など ) では、ユーザーがデータをローカルに保管できるようになってい

ます。ユーザーは、これらのアプリケーションと ASD との通信に気を配る必要があります。たとえば、

Outlook ユーザーが、 ASD の動作中にデータをローカルに (.pst ファイルに ) 保管し、電子メールメッ

セージをシステムの「Inbox」からローカルのメールフォルダに移動する場合、セッション終了時に、

メッセージがローカルディスクから削除されます。ユーザーが、 ASD によって作成されている仮想セッ

ションを認識しやすくするため、デスクトップには、特有の背景色とイメージが表示されます。

ASD は、次の環境の Windows ユーザーが使用できます。ただし、ブラウザで Java が有効になっていなけれ

ばなりません。

Aventail Secure Desktop の構成

この節では、 AMC で ASD を設定する方法について説明します。 ASD を構成する前に、有効な ASD ソフト

ウェアライセンスがアプライアンスにアップロードされている必要があります。詳細については、 177 ページ

の「ソフトウェアライセンス」を参照してください。

次の手順では、 End Point Control が有効になっていることが前提になっています。 184 ページの「End Point Control の有効化と無効化」を参照してください。

オペレーティングシステム Web ブラウザ

• Microsoft Windows XP (Service Pack 2 がインストールされているもの )

• Microsoft Windows 2000 (Service Pack 4 がインストールされているもの )

• Microsoft Internet Explorer 6.0 以降 (Service Pack 1 がインストールされているもの )

• Firefox 1.0.6 with Sun JVM 1.4.2


Aventail Secure Desktop を構成するには




リックします。この操作により、 [Configure Data Protection] ページが表示されます。

3. [End inactive user connections] リストから適当な値を選択することにより、非アクティブタイ

マーを構成します。これにより、ユーザーが一定期間、非アクティブな状態になると、ユーザーセッ

ションが自動的に終了しキャッシュが消去されるようになります。

この設定は、 ASD が動作している場合に限って使用され、 [End Point Control Restrictions] ペー

ジの一般的な非アクティブタイマーよりも優先されます。

4. [Aventail Cache Control] エリアで、 ACC 設定を構成します (194 ページの「Aventail Cache Control の構成」を参照 )。ユーザーが ASD を実行できない場合 ( たとえばユーザーが Apple Macintosh を使用している場合 )、アプライアンスは、指定されている ACC 設定を使用して、クライア

ント上で ACC を代わりに使用します。

5. [Aventail Secure Desktop] エリアで、 [Enable Aventail Secure Desktop] チェックボックス

を選択します。

6. ユーザーが標準 Windows セッションと ASD が作成した仮想 Windows セッションとを切り替えられる

ようにするときは、 [Allow user to switch between desktops] チェックボックスを選択します。

このオプションを選択すると、 ASD が提供するデータ保護のレベルがわずかに低下します。


Aventail Secure Desktop を構成したら、ゾーンの [Required data protection tool] としてこれを選択

しなければならなくなります。詳細については、 186 ページの「ゾーンの定義」を参照してください。

メモ

• さまざまな EPC 要件を持つ、独立した「信頼ゾーン」で ASD を有効にすることで、一定数のユーザーの

みに ASD を提供することもできます。ゾーンを使用して ASD の提供をコントロールする方法について

は、 186 ページの「ゾーンの定義」を参照してください。

• ユーザーが ASD を実行できない場合 ( たとえばユーザーが Apple Macintosh や Linux コンピュータを

使っている場合 )、アプライアンスは、指定されている ACC 設定を使用して、 ACC を代わりに使用しま

す。ユーザーのコンピュータで ASD も ACC もロードできない場合、ユーザーはログアウトします。

• データ保護の非アクティブタイマー設定は、 ACC と ASD の両方に適用されます。 ACC と ASD で異な

るタイムアウト設定を構成することはできません。

Sygate On-Demand

Sygate On-Demand には、高度なキャッシュコントロールとデータ保護の機能があります。アンチウイルスソフトウェア、パーソナルファイアウォール、サービスパック、パッチなどの存在を確認することで、クラ

イアントコンピュータのホストの整合性についても検証します。Sygate On-Demand は、それぞれのエンドポイントのセキュリティを、ネットワークロケーションやホストコンピュータの所有権など、さまざまな環

境条件に自動的に適合させます。その上で、 Aventail セッションが終了した後も、セキュアな仮想デスクトッ

プ環境がエンドポイントで維持されるようにします。 Sygate On-Demand は、 Aventail アプライアンスと

統合してシームレスな経験をユーザーに提供すると同時に、セキュリティポリシーを適用して、ハードウェア

の追加の必要性を低減させます。詳細については、 http://www.sygate.com/ssp/aventail/ を参照してくだ

さい。

このコンポーネントは、別途購入しなければなりません。このコンポーネントを購入する方法については、

Aventail チャネルパートナーにお問い合わせください。

http://www.sygate.com/ssp/aventail/


Sygate On-Demand を有効にするには

1. Sygate On-Demand ファイルを取得します。 ( 詳細については Aventail チャネルパートナーに問い合

わせ )

2. Sygate On-Demand ファイルをアプライアンスの /usr/local/epcagents/htdocs/postauth/data/ssp ディレクトリにアップロードします。




リックしますこの操作により、 [Configure Data Protection] ページが表示されます。

5. [Enable Sygate On-Demand Protection] チェックボックスを選択します。


メモ

• Sygate On-Demand では、 Sun JVM 1.4.2 以降が必要になります。

クライアントの整合性の検証

Aventail では、WholeSecurity Confidence Online Enterprise Security ソリューションおよび Zone Labs Integrity Clientless Security ソリューションとの統合がサポートされています。これらのソリューションで

は、ウイルス、マルウェア、データの盗難など、さまざまな脅威に対して認証前の保護を行います。

WholeSecurity Confidence Online Enterprise Edition On-Demand

WholeSecurity のエンドポイントセキュリティソリューションでは、トロイの木馬、キーストロークロガー、ワームなど、既知の脅威および未知の脅威に対して、「未然の」保護を提供します。 WholeSecurity Confidence Online Enterprise Edition On-Demand は、 ActiveX および Netscape プラグインを使用して

オンデマンドで呼び出され、 Aventail アプライアンスと統合して、随時コンピュータ ( 企業が所有していない

ものも含め ) を保護します。 WholeSecurity Confidence Online Enterprise Edition On-Demand では、特

許出願中の動作検出テクノロジーを使用して、ユーザーに署名の更新を求めることなく、既知の脅威と未知の

脅威の両方を自動的に識別して排除します。詳細については、

http://www.wholesecurity.com/products/on-demand.html を参照してください。

WholeSecurity Confidence Online Enterprise Edition On-Demand との統合を

有効にするには

1. メインナビゲーションメニューから [Agent Configuration] をクリックします。この操作により、


2. [End Point Control Agents] セクションで、 [Client integrity] に対する [Edit] リンクをクリッ

クします。この操作により、 [Configure Client Integrity] ページが表示されます。

3. [WholeSecurity Confidence Online] をクリックします。

4. [URL where the Whole Security agent is hosted] ボックスに、 Whole Security を受け取る URL を入力します。 TURL には通常、 WholeSecurity サーバーの内部名に、「/llclient/」と WholeSecurity サーバーのデプロイメント名を続けます。例を示します。

https://whole.example.com/llclient/<deployment_name>


Zone Labs Integrity Clientless Security

Zone Labs Integrity Clientless Security では、ネットワークされたゲスト PC および従業員 PC に対する脅

威から企業を保護します。その際、クライアントソフトウェアのインストールは不要です。 Zone Labs Integrity Clientless Security は、スパイウェアの無効化とリモートアクセスを与える前のセキュリティポリシー準拠の強制という、クライアントレスセキュリティの 2 つの必須要素を提供する唯一の製品です。

Zone Labs Integrity Clientless Security は、 Aventail アプライアンスと統合することで、 ID およびパス

ワード盗難を防止し、データ損失を予防して、ネットワーク帯域幅を回復し、 IT およびユーザーの生産性を向

上させます。詳細については、

http://www.zonelabs.com/store/content/company/corpsales/clientSecurity.jsp を参照してください。

http://www.wholesecurity.com/products/on-demand.html

http://www.wholesecurity.com/products/on-demand.html

http://www.zonelabs.com/store/content/company/corpsales/clientSecurity.jsp

http://www.zonelabs.com/store/content/company/corpsales/clientSecurity.jsp


Zone Labs Integrity Clientless Security との統合を有効にするには

1. Zone Labs Integrity Clientless Security ファイルを取得します。( 詳細については Aventail チャネルパートナーに問い合わせ )

2. Zone Labs Integrity Clientless Security ファイルをアプライアンスの /usr/local/epcagents/htdocs/preauth/malware/zls ディレクトリにアップロードします。



4. [End Point Control Agents] セクションで、 [Client integrity] に対応する [Edit] リンクをク

リックします。この操作により、 [Configure Client Integrity] ページが表示されます。

5. [Zone Labs Integrity Clientless Security] をクリックします。


メモ

• Zone Labs Integrity Clientless Security との統合を有効にしたら、 Zone Labs アップデートを定期的

にアップロードすることにより、 Zone Labs ソフトウェアを新の状態に保つようにします。 Zone Labs Integrity Clientless Security では、 Aventail アプライアンスから自動更新を実行することはでき

ません。



第 9 章ASAP WorkPlace ポータル

Aventail® の ASAP™ WorkPlace ポータルでは、ユーザーによる Web ベースのリソースに対するアクセス (HTTP) を、動的にパーソナライズすることができます。また、ユーザーが、 Windows ファイルサーバーの

ファイルとフォルダへ Web ブラウザからアクセスできるようになる他、 ASAP WorkPlace が提供する Aventail® OnDemand™ エージェントを使用して TCP/IP リソースにアクセスできるようになります。

ASAP WorkPlace のクイックツアー

ユーザーが ASAP WorkPlace にアクセスすると、ログインページが表示されます。アプライアンスで複数の

レルムが構成されている場合、ユーザーがいずれかのレルムを指定することになります。

次にユーザーは、認証クレデンシャルを指定するよう求められます。クライアント証明書で認証するユーザー

は、このページを目にすることはありません。

システムが End Point Control を使用するよう構成している場合に、エンドユーザーがシステムにアクセスす

る方法がどう変わるかについては、 225 ページの「End Point Control とユーザーのログインプロセス」を参


202 | 第 9 章 - ASAP WorkPlace ポータル

[Home] ページ

ユーザーの認証が終わったら、 ASAP WorkPlace の [Home] ページが表示されます。

ここには、ユーザーがアクセスを許可されている Web リソース、ファイルシステムリソース、ターミナルサーバーリソースに対するショートカットで、管理者が定義したものが表示されます。これらのショートカッ

トは、アクセスポリシーに基づいて動的に表示されるもので、ユーザーが使用する権限を持つリソースのみが

表示されます。これらのショートカットを作成する方法については、 207 ページの「ショートカットの利用」


ユーザーが Web リソースに対するショートカットをクリックすると、そのリソースが、新しいブラウザウィ

ンドウで開きます。ユーザーがターミナルサーバーのリソースに対するショートカットをクリックすると、そ

のリソースが、新しいブラウザウィンドウで開き、対応するグラフィカルターミナルエージェントが自動的

に始動します。必要であればプロビジョニングされます。ユーザーが共有フォルダまたはファイルに対する

ショートカットをクリックすると、そのリソースが、 WorkPlace の [Network Explorer] ページで開きます。

ただし、ファイルシステムリソースに対するすべてのアクセスを拒否している場合は、ファイルシステムリソースをポイントするネットワークショートカットは表示されません。ファイルシステムリソースに対する

アクセスを無効にする方法については、 205 ページの「ASAP WorkPlace の一般設定の構成」を参照してくだ

さい。また、 [Intranet Address] ボックスを表示するよう選択することもでき、その場合は、 Web リソー

ス (URL を入力 ) またはファイルシステムリソース (UNC パス名を入力 )、あるいはその両方にアクセスする

ためにこれを使用できるよう構成することができます。

ASAP WorkPlace の [Home] ページには、 [Connection Status] エリアがあり、現在動作しているユー

ザーアクセス方式、ゾーンステータス、セッション開始時刻などが示されます。ユーザーは、このエリアの [Details] リンクをクリックすると、動作しているユーザーアクセス方式の詳細を参照できる他、詳細な接続

ステータス情報も表示することができます。

Aventail OnDemand をユーザー環境にインストールする場合、デフォルトでは、ユーザーが WorkPlace にログインするときに OnDemand が自動的に起動します。ユーザーは、 [Connection Status] エリアで OnDemand 接続のステータスを参照することができます。また、ユーザーが WorkPlace の [Home] ページ

のリンクをクリックすることで起動できるよう OnDemand を構成することもできます。 OnDemand ととも

に動作するよう構成した特定のクライアント / サーバーアプリケーションが自動的に起動するようショート

カットを作成することもできます。詳細については、 241 ページの「OnDemand と一緒に使用するアプリ

ケーションの構成」を参照してください。


Aventail アクセスエージェントのいずれかをユーザー環境にインストールしている場合、 WorkPlace の [Home] ページには、 [Access Agents] エリアが表示され、ユーザーが使用を許可されているアクセスエー

ジェントがリストされます。このエリアには、次のリンクが入ります。

• [OnDemand]: このリンクをクリックすると、 Aventail OnDemand が起動します。

• [Network Explorer]: このリンクをクリックすると、共有フォルダとファイルが含まれる Windows ネットワークをユーザーがブラウズできるようになります。

• [Software Update]: このリンクをクリックすると、新バージョンの Aventail アクセスエージェン

トソフトウェアをダウンロードすることができます。

ユーザーアクセスエージェントの詳細については 227 ページの「ユーザーアクセスコンポーネントおよび

サービス」を参照してください。

ユーザーは、右上隅の [Log out] ボタンをクリックすることで、 WorkPlace からログアウトできます。この [Log out] ボタンをクリックすると、ユーザーは WorkPlace からログアウトしますが、必ずしも、動作中の

アプリケーションからログアウトするわけではありません ( どのユーザーアクセスエージェントが使用されて

いるかによって異なる )。セキュリティを向上させるには、アプリケーションを使用し終わった段階でログア

ウトして終了する必要があります。特に他のユーザーと共有しているコンピュータの場合はこれが重要になり

ます。

メモ

• 小型携帯端末で WorkPlace にアクセスする場合、そのデバイスの機能によって WorkPlace の外観が変

動します。詳細については、 225 ページの「End Point Control とユーザーのログインプロセス」を参照


[Intranet Address] ボックス

[Intranet Address] ボックスを有効にすると、 ASAP WorkPlace の右上隅にこのボックスが表示されるよ

うになります。ただし小型携帯端末の場合、 [Intranet Address] ボックスは使用できません。

[Intranet Address] ボックスでは、 Web リソース、 Windows ネットワークリソース、ターミナルサー

バーにアクセスするための別の方法が提供されます。構成によっては、 WorkPlace がトランスレーテッドモードで動作している場合、ユーザーは、 URL を入力することによって Web リソースにアクセスすることが

できます。また、 UNC パスを入力してファイルシステムリソースにアクセスすることもできます。

(WorkPlace が標準モードで動作している場合、ユーザーは Internet Explorer の [Address] ボックスに直

接 URL を入力可 )。これは、 DNS 全体または Windows ドメインをリソースとして定義しており、ユーザー

のグループがそのドメイン内のすべてのリソースに直接アクセスできるようにしたい場合など、特に便利です。

WorkPlace がトランスレーテッドモードで動作しているときに Web リソースやターミナルサーバーにアク

セスする場合、ユーザーは URL を [Intranet Address] ボックスに入力して、 [Go] をクリックします。

ユーザーに適切なアクセス権限がある場合、その Web リソースが、新しいブラウザウィンドウで開きます。

[Intranet Address] ボックスは、 Web リソースにアクセスするためのさまざまなユーザー入力を受け付け

ます。

要素説明

リソースアドレスリソースは、完全な URL ( ドメインおよびホスト名 ) またはホスト名のみを入力することでアクセスすることができます。たとえば、「fred」というホストのリソース「CRM」にアクセスする場合、完全な URL (http://fred.example.com/CRM/) またはホスト名 (http://fred/CRM/ または fred/CRM/ など ) を使用してアクセスすることができます。

プロトコルユーザーは、標準 Web リソースに http:// プロトコル識別子を入れる必要はありません ( デフォルトで [Intranet Address] ボックスに挿入される )。ただし、セキュアな Web サイトにアクセスする場合は、 https:// プロトコル識別子を入れなければなりません。

ターミナルサーバーのリソースの名前を指定するとき、ユーザーは URL に適切なプロトコル識別子を入れなければなりません。サポートされているターミナルサーバータイプは Windows Terminal Services と Citrix で、前者の場合「rdp://」識別子、後者の場合「citrix://」識別子を使用します。

ポート番号非標準ポート ( つまり 80 以外のポート ) で Web リソースにアクセスする場合、ユーザーはホスト名の後にポート番号を指定しなければなりません。

たとえば、「fred:8080/SAP」と「https://fred:443/SAP」はどちらも有効なエントリです。


ファイルシステムリソースにアクセスする場合、ユーザーは UNC パス ( たとえば

「\\jax\software\download」 ) を [Intranet Address] ボックスに入力して [Go] をクリックします。

ユーザーに適切なアクセス権限がある場合、 [Network Explorer] ページが開き、要求されたファイルシステ

ムリソースの内容が表示されます。

[Intranet Address] ボックスの表示や機能を構成する方法については、 205 ページの「ASAP WorkPlace の一般設定の構成」を参照してください。

[Network Explorer] ページ

ユーザーが ( ネットワークショートカットのクリック、 [Intranet Address] ボックスへの UNC パスの入

力、WorkPlace の [Home] ページの [Network Explorer] リンクのクリックのいずれかにより ) ファイルシステムリソースにアクセスすると、 [Network Explorer] ページが表示されます。ただし小型携帯端末の場

合、 [Network Explorer] ページは使用できません。

このページには、要求されたファイルシステムリソースの内容が表示されます。ユーザーのアクセス権限に

より、ファイルに対して、内容とプロパティの表示、名前の変更、コピー、移動、ダウンロード、削除などの

アクションを実行することができます。ユーザーは、新しいフォルダを作成することもできます。管理者が

アップロード機能を有効にしており (205 ページの「ASAP WorkPlace の一般設定の構成」を参照 )、ユー

ザーに書き込み権限がある場合、ユーザーはファイルをアップロードすることができます。


ASAP WorkPlace のクライアントの要件

ASAP WorkPlace は、次のデバイスタイプと互換性があります。小型携帯端末では、広範囲のオペレーティ

ングシステムとブラウザを、さまざまな組み合わせで使用しています。それぞれのタイプの小型携帯端末で WorkPlace をデプロイする場合の詳細については、225 ページの「End Point Control とユーザーのログインプロセス」を参照してください。

標準的なパソコン

ASAP WorkPlace は、次のオペレーティングシステムとブラウザが動作する標準的なパソコンで動作します。

スマートフォンおよび Pocket PC デバイス

ASAP WorkPlace は、スマートフォン、 Windows Pocket PC デバイス、携帯情報端末 (PDA) で動作します。

このクラスのデバイスには、 XHTML を使用する Pocket PC および PDA デバイス、スマートフォンが含まれ

ます。

携帯電話

ASAP WorkPlace は、 Wireless Application Protocol (WAP) v2.0 または XHTML を使用する携帯電話、

cHTML を使用する iMode で動作します。ただし WorkPlace では、 WML プロトコルはサポートしていませ

ん。

ASAP WorkPlace の一般設定の構成

この節では、 ASAP WorkPlace の一般設定の構成方法について説明します。 WorkPlace の外観をカスタマイ

ズする方法については、 214 ページの「WorkPlace サイト」を参照してください。ただしこの設定は、小型

携帯端末には当てはまりません。小型携帯端末に合わせて WorkPlace を適化する方法については、 225ページの「End Point Control とユーザーのログインプロセス」を参照してください。

ASAP WorkPlace の一般設定を構成するには

1. メインナビゲーションメニューから [Services] をクリックして、 [Access services] セクションの [ASAP WorkPlace] で [Configure] をクリックします。この操作により、 [Configure WorkPlace] ページが表示されます。

2. このタブの上部のセクションで、 Windows ファイルシステムアクセスを制御するオプションを指定し

ます。

• ユーザーが Windows ファイルシステムリソースに Web ベースでアクセスできるようにしたい場

合、 [Enable access to network file shares] チェックボックスを選択します。このオプショ

ンが有効になると、ユーザーは、 ASAP WorkPlace から ([Network Explorer] ページ、作成した

ネットワークショートカット、 [Intranet Address] ボックス経由 ( ただし表示されるよう構成

している場合 ) で ) ファイルシステムリソースにアクセスできるようになります。このオプション

が無効の場合、ユーザーは、 ASAP WorkPlace から Windows ファイルシステムリソースをブラ

ウズしたり接続したりすることができなくなります。

オペレーティングシステム Web ブラウザ

Service Pack 2 がインストールされた Windows XP Professional、Service Pack 2 がインストールされた Windows XP Home Edition、 Service Pack 4 がインストールされた Windows 2000

Service Pack 1 がインストールされた Microsoft Internet Explorer v6.0、または Mozilla Firefox 1.0

Macintosh OS X Macintosh Safari 1.2 または Java 対応の Mozilla Firefox 1.0

Linux Java 対応の Mozilla Firefox 1.0


• ユーザーが Windows ファイルシステムリソースにファイルをアップロードできるようにしたい場

合、 [Enable file uploads] チェックボックスを選択します。この機能は、デフォルトで無効に

なっています。この機能が有効になると、アップロードするファイルのサイズによっては、アプライ

アンスのパフォーマンスが悪化します。またこの設定は、ファイルシステムのアクセス制御ルール

で設定しているユーザー権限よりも優先されます。アクセスルールでファイルシステムへの書き込

みアクセスをユーザーに与えている場合でも、ファイルアップロードが無効になっていれば、ユー

ザーはファイルの移動と削除はできますが、書き込みができなくなります。

3. [Intranet Address box] エリアで、 WorkPlace における [Intranet Address] ボックスの表示と

機能を制御するオプションを指定します。一方のオプションまたは両方のオプションを有効にしている場

合、 [Intranet Address] ボックスが WorkPlace の右上隅に表示されるようになります。どちらのオ

プションも無効であれば、このボックスは表示されません。

• ユーザーが UNC パスを [Intranet Address] ボックスに入力して Windows ファイルシステム

にアクセスできるようにする場合、 [Enable access to Windows network resources] チェックボックスを選択します。このチェックボックスは、 ([Enable access to network file shares] チェックボックスをクリックすることにより ) ファイルシステムリソースに対する Web ベースのアクセスを許可している場合に限って表示されます。

• ユーザーが URL を WorkPlace の [Intranet Address] ボックスに入力して Web リソースにア

クセスできるようにする場合、 [Enable access to Web resources] チェックボックスを選択

します。これは、 DNS ドメイン全体をリソースとして定義しており、 ( そのドメイン内の個別の Web リソースを定義することなしに ) ドメイン内のすべての Web サーバーへのアクセスを許可し

たい場合など、特に便利です。この設定は、 WorkPlace がトランスレーテッドモードで動作してい

る場合に限って適用されます。

Web リソースの定義については、 92 ページの「リソースの追加」を参照してください。

メモ

• これらのオプションの影響を受けるのは、 [Intranet Address] ボックスから選択できるリソースのタ

イプのみで、アクセス制御ポリシーには影響しません。

• このボックスの詳細については、 203 ページの「[Intranet Address] ボックス」を参照してください。

ASAP WorkPlace のカスタマイズ

ASAP WorkPlace は、 AMC から大幅にカスタマイズできるようになっています。管理者は、ユーザーに提示

される Web リソースとファイルシステムリソースの他、ユーザーがこれらのリソースにアクセスできる方

法、ユーザーインタフェースの表示方法などを制御することができます。

以下の節では、 WorkPlace ユーザーインタフェースのカスタマイズ方法の他、ショートカットの作成方法と

管理方法について説明します。ファイルシステムリソースへのアクセス、ファイルアップロード、

[Intranet Address] ボックスを有効にする方法については、 205 ページの「ASAP WorkPlace の一般設定


Web リソースおよびファイルシステムリソースに対するショートカットを構成することもできます。ショー

トカットを構成すると、ユーザーが [Intranet Address] ボックスに URL や UNC パスを入力する必要がな

くなります。これらのショートカットは、 WorkPlace の [Home] ページに表示され、素早く簡単に使用でき

ます。ユーザーが、特定の URL、ホスト名、ファイルシステムパスを知っておく必要はありません。


ショートカットの利用

ASAP WorkPlace では、適切なアクセス権限を持つユーザーが、 Web ブラウザを使用して Web リソース、

ターミナルサーバー、 Windows ファイルサーバー上のファイルやフォルダにアクセスすることができます。

デフォルトの場合、リソースを AMC で定義していても、適切なショートカットを作成しない限り、

WorkPlace には表示されません。この節では、 ASAP WorkPlace に表示されるショートカットの作成方法と

管理方法について説明します。

ファイルシステムリソースへのアクセスを有効にする方法については、 205 ページの「ASAP WorkPlace の一般設定の構成」を参照してください。

ショートカットの表示

管理者は、 AMC で構成されたすべてのショートカットのリストを参照することができます。ただし、ユーザー

が ASAP WorkPlace にアクセスするとき、アクセスポリシーおよび各ショートカットに対応したデバイスの

タイプに従って、そのユーザーがアクセス権限を持っているリソースのみを表示するようフィルタリングする

こともできます。 AMC と ASAP WorkPlace の両方で、あらゆる種類のショートカット (Web、ネットワーク、

グラフィカルターミナル ) が 1 つのリストに表示されます。また、 ASAP WorkPlace では、ショートカット

のリストが [WorkPlace Shortcuts] ページとまったく同じ順序で表示されます。

ショートカットを表示するには

1. メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Shortcuts] タブをクリックします。

2. フィールドのデータを確認します。

• チェックボックス列は、 1 つまたは複数のショートカットを選択するときに使用します。ショート

カットの削除 ([Delete] ボタンを使用 ) や順序変更 ([Move Up] ボタンおよび [Move Down] ボタンを使用 ) などを行うときにこれを使用します。

• 数値の列は、 ASAP WorkPlace でショートカットがリストされる順序を示します。ショートカット

を編集するときは、対応する番号をクリックします。

• [Link text] 列には、 Web リソースにアクセスするためのハイパーリンクテキストが表示されま

す。リンクテキストをクリックすることにより、ショートカットを編集することもできます。

• [Resource] 列には、リソースの名前が表示されます。

• [Type] 列には、ショートカットのタイプが表示されます。サポートされているショートカットタイプは、 Web ショートカット、ネットワークショートカット、グラフィカルターミナルショート

カットです。


Web ショートカットの追加

Web ショートカットを使用すると、ユーザーが Web リソースに素早くアクセスできるようになります。Web リソースに対するショートカットを作成するときは、あらかじめそのリソースを定義してなければなりません ( 詳細については、 92 ページの「リソースの追加」を参照 )。

Web ショートカットを追加するには


2. [New] をクリックして、リストから [Web shortcut] を選択します。この操作により、 [Add/Edit Web Shortcut] ページが表示されます。

3. [Add/Edit Web Shortcut] ページの [Genral] セクションで [Number] ボックスに、 WorkPlace の [Shortcuts] リスト内のショートカットの位置を指定する数値を入力します。

4. [Link text] ボックスに、 Web リソースにアクセスするときに使用するハイパーリンクテキストを入力

します。

5. [Description] ボックスに、そのショートカットについてのコメントをわかりやすく入力します。この

手順はオプションですが、説明を入れておくと、後で Web リソースを参照するときに識別しやすくなる

ため便利です。このコメントはリンクテキストの下に表示されます。

6. [Resource] リストで、このショートカットがリンクしているリソースを選択します。このリストには、

定義済みのすべての URL リソースが表示されます。

7. 高度なオプションを指定するには、 [Next] をクリックします。この操作により、 [Add/Edit Web Shortcut] ページの [Advanced] セクションが表示されます。


8. [Make link available to these devices] で、ショートカットを使用するデバイスのタイプを指定し

ます。 WorkPlace では、さまざまな小型携帯端末をサポートしていますが、すべての Web リソースが

すべてのデバイスと互換性を持っているわけではありません。たとえば、 Outlook Web Access は、標

準ブラウザでなければ使用できませんが、 Outlook Mobile Access は、小型携帯端末でなければ使用で

きません。また Java や JavaScript を必要とするアプリケーションは、このプロトコルをサポートして

いない小型携帯端末では動作しません。それぞれの WorkPlace ショートカットは、それをサポートする

デバイスタイプに対応させることができます。たとえば、 [All] をクリックすると、 Web リソース自体

がすべてのデバイスでサポートされていない場合でも、すべてのデバイスタイプでショートカットが表

示されるようになります。小型携帯端末限定でショートカットをプロビジョニングする場合、

[Selected] をクリックして、サポート対象のデバイスタイプを指定します。

9. 必要であれば、 [Start page] ボックスを使用して、選択した URL に固有の情報を追加します。たとえ

ば、リンクがルート以外のディレクトリやファイルをポイントするようにしたい場合、 [Start page] ボックスにその相対パスを入力します。

この機能は、ルート以外のロケーションに内容を保管する Web アプリケーションで使用すると便利で

す。たとえば、選択した URL が Outlook Web Access 用のもので、 mail.example.com をポイントす

る場合、スタートページを /exchange/root.asp に設定することができます。この結果、 URL は https://mail.example.com/exchange/root.asp になります。

ネットワークショートカットの追加

ネットワークショートカットを作成すると、ユーザーがファイルシステムリソースに素早くアクセスできる

ようになります。ファイルシステムリソースに対するショートカットを作成するときは、あらかじめそのリ

ソースを定義してなければなりません ( 詳細については、 92 ページの「リソースの追加」を参照 )。

ネットワークショートカットを追加するには


2. [New] をクリックして、リストから [Network shortcut] を選択します。この操作により、

[Add/Edit Network Shortcut] ページが表示されます。

3. [Number] ボックスに、 WorkPlace の [Shortcuts] リスト内のショートカットの位置を指定する数値

を入力します。

4. [Link text] ボックスに、ファイルシステムリソースにアクセスするときに使用するハイパーリンクテキストを入力します。


手順はオプションですが、説明を入れておくと、後でファイルシステムリソースを参照するときに識別

しやすくなるため便利です。このコメントは ASAP WorkPlace のリンクテキストの隣にも表示されま

す。

6. [Resource] リストで、このショートカットがリンクしているファイルシステムリソースを選択しま

す。このリストには、定義済みのファイルシステムリソースが表示されます。


グラフィカルターミナルショートカットの追加

グラフィカルターミナルショートカットを作成すると、Windows Terminal Services ホストまたは Citrix ホストで提供されるリソースに対して、ユーザーが Web ベースで素早くアクセスできるようになります。グラ

フィカルリソースに対するショートカットを作成する場合は、あらかじめリソースを定義しておかなければな

りません ( 詳細については、 96 ページの「リソースの追加」を参照 )。また、 AMC で現在の Windows ター

ミナルエージェントが指定されている必要もあります。詳細については、 247 ページの「グラフィカルター

ミナルエージェント」を参照してください。

グラフィカルターミナルショートカットを追加するには


2. [New] をクリックして、リストから [Graphical terminal shortcut] を選択します。この操作によ

り、 [Add/Edit Graphical Terminal Shortcut] ページが表示されます。

3. [Add/Edit Graphical Terminal Shortcut] ページの [Genral] セクションで [Number] ボック

スに、 WorkPlace の [Shortcuts] リスト内のショートカットの位置を指定する数値を入力します。

4. [Link text] ボックスに、グラフィカルリソースにアクセスするときに使用するハイパーリンクテキス

トを入力します。


手順はオプションですが、説明を入れておくと、後でホストを参照するときに識別しやすくなるため便利

です。このコメントは ASAP WorkPlace のリンクテキストの隣にも表示されます。

6. [Resource] リストで、このショートカットがリンクしているリソースを選択します。このリストには、

定義済みのリソースが表示されます。


7. [Next] をクリックします。この操作で、 [Add/Edit Graphical Terminal Shortcut] ページの [Advanced] セクションが表示されます。

8. [Session type] で、起動するセッションのタイプを指定します。

• Windows Terminal Services ホストとの接続を起動する場合は、 [Windows Terminal Services] をクリックします。 [Port] ボックスには、 Windows Terminal Services 接続のポー

ト番号を指定します。

• Citrix ホストとの接続を起動する場合は、 [Citrix] をクリックします。 [Port] ボックスには、接続

のポート番号を指定します。オプションとして、 [Custom ICA file] にパスを入力するか [Browse] をクリックして指定することで、カスタム ICA ファイルを指定することができます。カ

スタム ICA ファイルには通常、 Citrix ホストに対する追加の構成設定が含まれています。

9. [Single sign-on] エリアで、ユーザークレデンシャルがホストに渡される方法を指定します。ユー

ザークレデンシャルを転送すると、ユーザーが複数回ログインする ( いったんアプライアンスに入って

から、再びホストにアクセスし直す ) 手間を省くことができます。

• シングルサインオンをオフにしてユーザーにクレデンシャルを要求するときは、 [None] をクリッ

クします。

• 認証に使用されるユーザー名とパスワードを WorkPlace とホストの両方に渡すときは、[Forward user's session credentials] をクリックします。

• すべてのユーザーについて同じユーザー名とパスワードを転送するには、 [Forward static credentials] をクリックします。すべてのユーザーに転送するには、静的な [Username] と [Password] を入力します。

10. [Startup options] を指定します。

• [Start application] ボックスに、起動するアプリケーションのパスを入力します。

• そのアプリケーションで作業ディレクトリが必要な場合、 [Working directory] ボックスにパス

を入力します。

11. [Display properties] を指定します。

• [Screen resolution] リストで、そのアプリケーションに対する適切な解像度を選択します。デ

フォルト解像度は [1024 x 768 pixels] です。

• [Color depth] リストで、カラー深度を選択します。デフォルト設定は [Lowest (8-bit)] です。

カラー深度設定を高くすると、ダウンロード速度に影響が出る可能性があります。


12. [Local resource redirection] 設定を指定します。ただしこれらの設定は、 Windows Terminal Services ホストのみに当てはまります。

• セッション中にローカルドライブに対するユーザーアクセスを可能にするには、 [Allow access to local drives] を指定します。

• セッション中にローカルプリンタに対するユーザーアクセスを可能にするには、 [Allow access to local printers] を指定します。


メモ

• Citrix ホストでシングルサインオンを有効にすると、ユーザーの認証クレデンシャルがクライアントに転

送されるようになるため、セキュリティが危険にさらされる可能性があります。

• Windows Terminal Services エージェントの、オープンソースバージョンの Java では、 [Single sign-on]、 [Start application]、 [Local resource redirection] の各オプションはサポートされ

ていません。また、このエージェントでサポートされる [Color depth] は、 [Lowest (8-bit)] のみで

す。

個人フォルダを示すネットワークショートカットの作成

ユーザーの個人フォルダを動的に参照するネットワークショートカットを作成することができます。この機能

を使用すると、 ASAP WorkPlace で単一のショートカットを作成し、カレントユーザーの個人フォルダを動

的に参照するよう設定することができます。たとえば、ユーザー jdoe が ASAP WorkPlace に接続するとき、

リンクをクリックすると、「\\users\jdoe」という名前のフォルダにアクセスできるようになります。また、

ユーザー rsmith が同じリンクをクリックすると、「\\users\rsmith」フォルダにアクセスすることになりま

す。

個人フォルダに対するネットワークショートカットを作成するには


2. ユーザーフォルダを含む上位ディレクトリに対するものと、ユーザー名変数を参照するものの 2 つの

ファイルシステムリソースを定義します。

リソースを追加するには、 [Resources] タブをクリックして、 [New] ボタンをクリックします。次に [Resource definition] エリアで [Network share] をクリックして、 UNC パスを指定します。

a. 初のリソースは、ユーザーフォルダを含む上位ディレクトリを参照します。たとえば個人フォル

ダが、 \\example\users\ というネットワーク共有に保管されている場合、「\\example\users」と

入力します。

b. 2 番目のリソースは、ユーザー名変数、 XXX_Username_XXX を参照します。たとえば個人フォル

ダが、 \\example\users\ というネットワーク共有に保管されている場合、

「\\example\users\XXX_Username_XXX」と入力します。

3. 上位ディレクトリ ( この例では「\\example\users\」 ) へのアクセスを許可するアクセス制御ルールを

作成します。

も簡単な方法は、すべてのユーザーがこのリソースにアクセスできるようにした上で、 Windows ネイ

ティブのアクセス制御を使用して、それぞれのユーザーのアクセス権を自身のディレクトリに限定するこ

とです。

4. ユーザー名変数 ( この例では「\\example\users\XXX_Username_XXX」 ) が含まれるリソースを参照

する WorkPlace ネットワークショートカットを作成します。

XXX_Username_XXX 変数は、 [Link text] ボックスでも使用することができます。たとえば、 [Link text] ボックスに「\example\users\XXX_Username_XXX」と入力すると、ユーザー jdoe が WorkPlace を開くとき、ハイパーテキストリンクは「\\example\users\jdoe」のようになります。


ショートカットの編集

ASAP WorkPlace に表示されるリソースの名前や説明を変更する場合は、ショートカットを編集する必要があ

ります。リソースを定義するときに新しい WorkPlace ショートカットを作成することもできますが、既存の

ショートカットの設定を編集する場合は、 [WorkPlace Shortcuts] ページを使用しなければなりません。

ショートカットを編集するには


2. [Web shortcuts] エリアまたは [Network shortcuts] エリアで、編集するショートカットの番号

またはリンクテキストをクリックします。たとえば、 [Web shortcuts] リストの 3 番目のショート

カットを編集したい場合は、 [Web shortcuts] エリアで「3」をクリックします。

3. 必要な編集を行って、 [Save] をクリックします。

ショートカットの削除

ショートカットを削除すると、ユーザーが ASAP WorkPlace を開いてもそのショートカットが表示されなく

なります。リソースを定義するときに新しい WorkPlace ショートカットを作成することもできますが、

ショートカットを削除する場合は、 [WorkPlace Shortcuts] ページを使用しなければなりません。

ショートカットを削除するには


2. [Web shortcuts] エリアまたは [Network shortcuts] エリアで、削除するショートカットの左に

あるチェックボックスを選択して、 [Delete] ボタンをクリックします。

ショートカットの移動

ASAP WorkPlace には、ショートカットのリストが、 [WorkPlace Shortcuts] ページとまったく同じ順序

で表示されます。この機能では、ショートカットを一度に 1 段階または複数段階移動することができます。こ

の機能は、たとえば頻繁に使用するショートカットをリストの先頭に置きたい場合などに使用すると便利です。

複数のショートカットを移動するには


2. [Web shortcuts] エリアまたは [Network shortcuts] エリアで、移動するショートカットの左に

あるチェックボックスを選択します。

3. [Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。 [Move Up] ボタンまたは [Move Down] ボタンをクリックすると、選択したショートカットがまとまった状態でリストの中をそ

れぞれ上下方向に 1 段階ずつ移動します。

個別のショートカットを移動するには


2. 移動するショートカットの番号またはリンクテキストをクリックします。たとえば、 3 番目のショート

カットを移動したい場合は「3」をクリックします。

3. [Number] ボックスに、新しいリスト位置を表す数値を入力します。たとえば、リストの 5 番目の位置

に移動したい場合は、 [Number] ボックスに「5」と入力します。


WorkPlace サイト

従業員、ビジネスパートナー、サプライヤーなどのさまざまなユーザーセグメントに応じて複数の WorkPlace サイトを作成することができます。それぞれのサイトには、独特の外観 ( ロゴ、見出し、あいさつ

文 ) と固有の外部 URL を設定することができます。たとえば、従業員向けに、タイトルとロゴをカスタマイズ

した WorkPlace サイトを作成し、外部 URL、 http://employees.mycompany.com を割り当てて、パート

ナー向けには、タイトルとロゴをカスタマイズしたサイトを作成し、外部 http://partners.mycompany.com を割り当てることができます。

複数のレルムを構成している場合、オプションで、 WorkPlace サイトを特定のレルムと対応させることができ

ます。ユーザーは、通常であれば、認証プロセスでログインするレルムを指定しなければなりませんが、こう

しておくと、このプロセスを省略することができます。ただし、 WorkPlace サイトを特定のレルムと対応させ

ると、ユーザーが他のレルムへのログインを選択できなくなります。また、指定されているレルムにユーザー

が所属していない場合は、この WorkPlace サイトにアクセスできなくなります。

ASAP WorkPlace では、次のコンポーネントをカスタマイズすることができます。

ユーザーが外部 URL を入力して ASAP WorkPlace に到達する場合、その URL の先頭は http:// プロトコル

識別子でなければなりません。ユーザーが外部 URL を入力して WorkPlace に到達したら、その接続は、セ

キュアな HTTP (HTTPS) を使用し https:// プロトコル識別子を持つセキュアサイトにリダイレクトされま

す。

メモ

• AMC には、定義済みのデフォルト WorkPlace サイトが用意されています。このデフォルトサイトは編

集できますが、削除することはできません。

• カスタム WorkPlace サイトを指定しない場合、またはユーザーがデフォルト名を使用してアプライアン

スにアクセスする場合、デフォルト WorkPlace サイトが自動的に使用されます。

• デフォルト WorkPlace サイトの [Appearance] 設定を編集することができます。ただし、デフォルト WorkPlace サイトの [General] 設定は編集できません。 WorkPlace サイトの編集方法については、 35ページの「AMC でのオブジェクトの追加、編集、コピー、削除」を参照してください。

• 新しい WorkPlace サイトをゼロから作成するということをせずに、既存のサイトをコピーしてから、新

しいサイトに合わせて特定のパラメータだけを変更することで、時間を節約することができます。作成し

ようとしているサイトとほとんどの特性が共通する、コピー元の WorkPlace サイトを選択します。

WorkPlace サイトのコピー方法については、 35 ページの「AMC でのオブジェクトの追加、編集、コ

ピー、削除」を参照してください。

• WorkPlace サイトが不要になったら、削除することができます。ただし、デフォルト WorkPlace サイト

は削除することができません。 WorkPlace サイトの削除方法については、 35 ページの「AMC でのオブ

ジェクトの追加、編集、コピー、削除」を参照してください。

企業ロゴ WorkPlace タイトル

あいさつ文

カスタムヘルプファイルへのリンクカスタム URL


WorkPlace サイトの追加

AMC には、定義済みのデフォルト WorkPlace サイトが用意されています。 WorkPlace サイトを追加したい

場合は、必要に応じて、新しいサイトを作成することができます。この節では、 WorkPlace サイトを作成する

方法について説明します。小型携帯端末に対する WorkPlace サイトについては、 217 ページの「WorkPlace および小型携帯端末」を参照してください。

WorkPlace サイトを追加するには

1. メインナビゲーションメニューから [ASAP WorkPlace] をクリックして、 [WorkPlace Sites] タブをクリックします。

2. [New] をクリックします。この操作により、 [Configure WorkPlace Site] ページが表示されます。

3. [Configure WorkPlace Site] ページの [General] セクションで、 [Name] ボックスに WorkPlace サイトの名前を入力します。

4. [Description] ボックスに、 WorkPlace サイトについてのコメントをわかりやすく入力します。

5. [Fully qualified domain name] ボックスに、 WorkPlace サイトを表す FQDN のホスト部分を入力

します。ユーザーは、 WorkPlace にアクセスするとき、「http://」接頭辞を付けてこの名前を入力しま

す。

この外部 FQDN は、ユーザーに通知して、 WorkPlace にアクセスする方法を知らせなければなりませ

ん。またこの FQDN は、パブリック DNS にも追加しなければなりません。

6. ユーザーが、ログインするレルムを指定する手順を省略してこの WorkPlace サイトにログインできるよ

うにするには、 [Realm] リストから適切なレルム名をクリックします。

レルムを指定すると、ユーザーがレルムを指定するよう求められることがなくなり、そのレルムのメン

バーのみがその WorkPlace サイトにアクセスできるようになります。ただし、 [Prompt for realm] オプションを選択している場合は、任意のユーザーがそのサイトにアクセスできるようになります。

[Prompt user for realm] オプションを選択した場合、ユーザーは、この WorkPlace サイトにログ

インするたびにレルムを指定しなければならなくなります。


7. [Next] をクリックします。 [Appearance] セクションに次の情報を入力します。

a. [Font family] リストで、使用するフォントを選択します ([Serif] または [Sans-serif])。

b. [Color scheme] エリアで、カラースキームを選択します。 [Custom] を選択する場合、カスタ

ムカラースキームを指定して、 WorkPlace で暗部の色 ([Dark])、明部の色 ([Light])、テキスト

色 ([Text]) がどのようにレンダリングされるか決定しなければなりません。カスタムカラー設定

は、適切な 16 進 RGB 値を入力するか、カラースウォッチをクリックし [Please choose a color] ダイアログボックスで色を選択して [OK] をクリックすることで指定します。

8. [Content] の General settings] エリアで、次の情報を入力します。

a. WorkPlace で表示される Aventail のロゴを、異なるグラフィックで置き換える場合、 [Replace with] ボックスを使用して、使用するグラフィックを指定します。イメージファイルのパスを直接

入力するか、 [Browse] ボタンをクリックして、使用する .gif または .jpg ファイルを選択します。

きれいに表示されるようにするため、グラフィックの寸法が幅 200 ピクセル×高さ 100 ピクセル

を超えないようにします。

b. [Title] ボックスに、ページのタイトルおよびブラウザのタイトルバーに表示するテキストを入力

します。タイトルは、 25 文字以内にしなければなりません。

c. [Greeting] ボックスに、タイトルの下に表示されるあいさつ文を入力します。あいさつ文の上限

は 250 文字ですが、短いあいさつ文を使用することもできます ( 特に小型携帯端末に表示する場合

など )。

d. [Help file] エリアで、 [Browse] ボタンをクリックして、カスタムヘルプ情報を含む HTML ファ

イルをアップロードします。このファイルは、正しい書式の HTML ファイルでなければなりません。

デフォルト WorkPlace Help システムには、エンドユーザーが WorkPlace を使用する上で必要に

なるすべての情報が含まれていますが、カスタムヘルプの内容もこれに統合されます。そのため、

ユーザーの便宜を図る目的で、 VPN で使用できるリソースに関する詳細な情報を提示したり、テク

ニカルサポートを受ける方法を記述したりすることができます。

9. WorkPlace サイト設定を保存する場合は [Save] または [Finish]、工場出荷時のデフォルト WorkPlace サイト設定へ復帰する場合は [Reset Default] をクリックします。


WorkPlace および小型携帯端末

WorkPlace では、 PDA、 Pocket PC、スマートフォン、 WAP 互換電話、 iMode など、広範囲の小型携帯端末

をサポートしています。この節では、このようなデバイスをサポートするようアプライアンスを構成する方法

について説明します。

概要 : WorkPlace および小型携帯端末

ユーザーが、小型携帯端末から WorkPlace にログインするとき、 WorkPlace はそのデバイスタイプを検出し

て、自動的にそのクライアントデバイスの機能に合わせて適な設定に変更します。この変更は、エンドユー

ザー経験のさまざまな局面に影響を与えます。

• WorkPlace の機能 - 標準デスクトップブラウザから使用できる一部の WorkPlace 機能は、小型携帯端

末では省かれます。

• [Network Explorer] ページを使用して、ネットワーク共有にアクセスすることができません。

• [Intranet Address] ボックスで、 URL や UNC パス名を入力することができません。

• OnDemand アクセスエージェント、 EPC データ保護エージェント、ターミナルサーバーエー

ジェントなど、ほとんどの Web ベースのエージェントがサポートされていません。ただし、

Pocket PC の場合は Connect Mobile が使用できます。

• [Details] ページおよびオンラインヘルプファイルが使用できません。

• WorkPlace のルックアンドフィール - 標準 WorkPlace の外観が、小型携帯端末で適な表示になる

よう自動的に修正されます。デバイスは、次の 3 つのカテゴリのいずれかに分類され、レイアウトが次の

表のように変更されます。

たとえば、 Pocket PC では WorkPlace は次のような表示になります。

デバイスのカテゴリ画面解像度 WorkPlace カラーの表示

WorkPlace イメージの表示

PDA または Pocket PC 240x320 ピクセルありあり

スマートフォン (Basic および Advanced) 176x220 ピクセルありあり

基本的なデバイス (WAP v2.0 または iMode) 12x12 文字なしなし


基本的なデバイス (WAP 電話などの ) の場合、 WorkPlace の同じインスタンスが次のように表示されます。

小型携帯端末上の WorkPlace の外観を構成する方法については、 219 ページの「小型携帯端末の表示に

合わせた WorkPlace の適化」を参照してください。

• リソースの利用可能性 - 小型携帯端末でどの WorkPlace ショートカットが表示されるかコントロールす

ることができます。これにより、特定タイプのデバイスと互換性がない Web リソースを省くことができ

ます。

たとえば、 Outlook Web Access に対するリンクを表示せず、 Outlook Mobile Access に対するリンク

を表示することができます。この設定は、 WorkPlace ショートカットを作成するときに指定することが

できます。詳細については、 208 ページの「Web ショートカットの追加」を参照してください。

• End Point Control の分類 - 特定タイプのデバイスごとに EPC ゾーンを作成し、アクセス制御ルール

でそのゾーンを参照することで、デバイスタイプに基づいてアクセスを制約することができます。詳細

については、 186 ページの「ゾーンの定義」を参照してください。

アプライアンスでは、一般的なほとんどの小型携帯端末が 3 つのいずれかのカテゴリにあらかじめ分類されて

います。ほとんどのインストールの場合、デフォルト設定で間に合いますが、必要に応じて分類を変更したり

他のデバイスを認識したりするよう、構成を修正することもできます。詳細については、 219 ページの「概要 : ブラウザプロファイル」を参照してください。

メモ

• 一部の小型携帯端末では、エラーページが表示される代わりに、 Web サーバーからエラーコード (「500」エラーなど ) が返されるようになっています。その場合、詳細なエラーテキストは返されません。

• WAP v1.x デバイスはサポートされていません。このようなデバイスからユーザーがログインしようとす

ると、エラーメッセージが返されます。

• 小型携帯端末からアプライアンスに接続するユーザーがいる場合、 (VeriSign などの ) 著名な CA の証明

書を使用するか、ルート証明書を CA からユーザーの小型携帯端末にインポートするよう構成する必要が

あります。詳細については、 61 ページの「証明書の管理」を参照してください。


小型携帯端末の表示に合わせた WorkPlace の適化

一般的な WorkPlace の外観は、行っているカスタマイズを含め、小型携帯端末で適な表示になるよう自動

的に修正されます。ほとんどのインストールの場合、自動的に提供される結果で間に合いますが、適な表示

にするために、 2、 3 の設定を手作業で構成することもできます。

小型携帯端末の表示に合わせて WorkPlace サイトを適化するには

1. 215 ページの「WorkPlace サイトの追加」の記述に従って、 WorkPlace サイトの設定を構成します。

2. [Configure WorkPlace Site] ページの [Appearance] セクションをクリックします。

3. [General Settings] エリアで指定されているロゴを置き換える場合、 [Settings for small form factor devices] の下にある [Replace with] ボックスを使用して、別のイメージを指定します。

デフォルトの場合、ブラウザが、 [General Settings] エリアで指定されているロゴを自動的にリサイ

ズしますが、適な結果になるようにするため、別のイメージを指定することもできます。適なイメー

ジサイズは、ターゲットデバイスの画面の解像度によって変動しますが、上の結果になるようにする

には、一般的にグラフィックの寸法が 50 ピクセル× 50 ピクセルを超えないようにします。イメージファイルのパスを直接入力するか、 [Browse] ボタンをクリックして、使用する .gif または .jpg ファイ

ルを選択します。

WAP および iMode デバイスの場合、ロゴは自動的に省略されます。そのためこの設定は、このようなデ

バイスの表示には影響を与えません。

4. 必要な垂直スクロール量を減らすために、 [Display Greeting text on small form-factor devices] チェックボックスのチェックを外すことによって、 WorkPlace のあいさつ文を省くことがで

きます。

5. WorkPlace サイト設定を保存する場合は [Save] または [Finish]、工場出荷時のデフォルト WorkPlace サイト設定へ復帰する場合は [Reset Default] をクリックします。

概要 : ブラウザプロファイル

アプライアンスは、一般的なデスクトップブラウザおよび小型携帯端末を認識 ( またはプロファイル ) するよ

うあらかじめ構成されています。ユーザーが WorkPlace に接続するとき、 WorkPlace は、このプロファイル

情報を使用してそのデバイスをいくつかのカテゴリに分類します。これに合わせて、 WorkPlace の表示方法、

そのデバイスで表示される WorkPlace ショートカット、 EPC で使用するためのデバイスの分類方法が決まり

ます。

ブラウザプロファイルは、 Web ブラウザのユーザーエージェント文字列や HTTP ヘッダなど、クライアント

から送られるさまざまな情報を検証することで決定されます。分類の詳細について、次の表で示します。

クライアント情報 : 分類結果 :

• Windows

• Firefox

• Safari

Standard PC (HTML 3.2+)

• Pocket PC

• Windows CE

• Palm OS

Pocket PC/PDA

• スマートフォン Smartphone

• WAP(WML および XHTML のサポートを含む )

WAP v2.0


携帯電話およびハンドヘルドデバイスの市場は急速に発展しているため、デフォルトのアプライアンス設定を

変更する必要が出てくるかも知れません。たとえば、営業部が新しいタイプのスマートフォンを購入したら、

それをサポートするようアプライアンスを構成する必要があります。また、 PDA ベンダーがユーザーエージェ

ント文字列を変更した場合は、それに対応するため、アプライアンスのデフォルトプロファイルを上書きする

必要があります。ブラウザプロファイルを定義した場合、アプライアンスで構成されている組み込みのプロ

ファイルよりも、そのプロファイルが優先されます。

AMC のブラウザプロファイルを使用すると、新の小型携帯端末をサポートするようアプライアンスを構成

することができます。ブラウザプロファイルでは、特定のユーザーエージェント文字列をデバイスタイプと

対応させます。 217 ページの「概要 : WorkPlace および小型携帯端末」で説明したように、プロファイルは、

次の 3 点を決定するために使用されます。

• そのデバイス上での WorkPlace の表示方法。 217 ページの「概要 : WorkPlace および小型携帯端末」を

参照。

• WorkPlace で表示されるリンク。 208 ページの「Web ショートカットの追加」を参照。

• デバイスの End Point Control ゾーンへの分類方法。 180 ページの「Aventail が End Point Control でゾーンとデバイスプロファイルを使用する方法」を参照。

アプライアンスは、一致するものが見つかるまで、リストされている順序でブラウザプロファイルを評価して

いきます。定義されているユーザーエージェント文字列に一致するものがない場合、アプライアンスは、組み

込みのプロファイルリストをチェックします。どのリストにも一致するものが見つからなかった場合、デバイ

スは「Standard PC (HTML 3.2+)」に分類され、ブラウザの全機能が取り込まれます。

ブラウザプロファイルの追加

アプライアンスは、多くの一般的な小型携帯端末を認識するよう、あらかじめ構成されています。この情報を

上書きまたは補足するために、ブラウザプロファイルを作成し、 WorkPlace の変更方法を決定するときにこ

れが使用されるようにすることができます。プロファイルは、ブラウザによって送信されるユーザーエージェ

ント文字列と、 AMC で定義されているさまざまなデバイスタイプのいずれかとの対応を指定します。ブラウ

ザプロファイルを定義した場合、アプライアンスで構成されている組み込みのプロファイルよりも、そのプロ

ファイルが優先されます。

ブラウザプロファイルを追加するには



2. [Web browser profiles] の [Other Agents] エリアで [Edit] をクリックします。この操作によ

り、 [Browser Profiles] が表示されます。

3. [User-agent string] ボックスに、このデバイスで使用するユーザーエージェント文字列の特徴的な部

分を入力します。ユーザーエージェント文字列を指定するときは、標準的なワイルドカード文字、「*」と

「?」を使用することができます。たとえば、ユーザーエージェント文字列に「do*」と指定すると

「DoCoMo」と一致し、「MSI?」と指定すると「MSIE」と一致します。一般的に使用されるユーザーエー

ジェント文字列のリストについては、 http://www.pgts.com.au/download/data/browser_list.txt を参照してください。


4. [Device type] リストから、このユーザーエージェント文字列によって識別されるデバイスの機能に

も近いエントリを選択します。

• 画面解像度が 240 × 320 ピクセルのデバイスの場合、「Pocket PC/PDA」を選択します。

• 画面解像度が 176 × 220 ピクセルのデバイスの場合、「Smartphone Basic」を選択します。デ

バイスが JavaScript をサポートしている場合は、 [Smartphone Advanced] を選択します。

• 低解像度 (12 × 12 ピクセル ) のデバイスの場合、 [WAP Phone (v2.0)] を選択します。デバイ

スがクッキーをサポートしていない場合は、 [iMode phone (cHTML)] を選択します。

5. [Description] ボックスに、ブラウザプロファイルについてのコメントをわかりやすく入力します。

6. [Add] をクリックします。新規プロファイルが、リストの下部に追加されます。


メモ

• アプライアンスは、一致するものが見つかるまで、リストされている順序でブラウザプロファイルを評

価します。詳細については、 221 ページの「ブラウザプロファイルの移動」を参照してください。

ブラウザプロファイルの移動

ブラウザプロファイルは、リストされている順序で処理されます。一致しているプロファイルが見つかると、

リストの評価はそこで終了します。そのため、特定の小型携帯端末が正しく識別されるよう、必要に応じて 1 つまたは複数のプロファイルの位置を変更することができます。

ブラウザプロファイルを移動するには



2. [Web browser profiles] の [Other Agents] エリアで [Edit] をクリックします。この操作によ

り、 [Browser Profiles] が表示されます。

3. 移動する各プロファイルのチェックボックスを選択します。複数のプロファイルを選択できます。

4. [Move Up] ボタンまたは [Move Down] ボタンを適宜クリックします。ボタンをクリックすると、選

択したプロファイルがリストの中をそれぞれ上下方向に 1 段階ずつ移動します。


ASAP WorkPlace のログインページ、エラーページ、通知ページのカスタマイズ

この節では、 ASAP WorkPlace で、認証ページ、エラーページ、通知ページなど、特定のページをカスタマ

イズする方法について説明します。

概要 : WorkPlace テンプレートのカスタマイズ

AMC では、メイン WorkPlace ページのロゴ、カラースキーム、あいさつ文など、 ASAP WorkPlace の外観

を修正できるようになっています。 AMC カスタマイズでは、全般的なルックアンドフィールを便利な方法で

変更できますが、デプロイメントによっては、十分に制御できないこともあります。

次に、アプライアンスのテンプレートを修正する必要がある場合の例をいくつか示します。

• ログインページとログオフページを、企業の標準と一貫性のあるものにする場合。

• ( リソースが使用できない場合やユーザーが不正なクレデンシャルを指定した場合に表示される ) エラーページを修正して、詳細なサポートやトラブルシューティング情報が入るようにする場合。

• ASAP WorkPlace の代わりに、既存の企業ポータル ( ポータルアプリケーションがリソースとして定義

されている場合 ) を使用する場合。この場合、既存のポータルとルックアンドフィールが一致するよう

に、ログインページ、ログオフページ、通知ページ、エラーページをカスタマイズします。

• 特定のアプリケーション ( アプリケーションがリソースとして定義されている場合 ) に対するアクセスを

ビジネスパートナーに提供する場合。この場合、そのアプリケーションとルックアンドフィールが一致

するように、ログインページ、ログオフページ、通知ページ、エラーページをカスタマイズします。


カスタマイズできるテンプレートは、大きく次の 3 つに分けることができます。

これらのページのレイアウトを設計し直したり、グラフィックやテキストを追加したりすることはできますが、

既存の要素を修正したり削除したりすることはできません。たとえば、認証ページの場合、 [Login] ボタンの

名前を変えることはできません。これらの要素は、 WorkPlace によって動的に生成されるものです。

メモ

• ログイン後、ユーザーに提示される WorkPlace ページは、手作業でカスタマイズすることはできません。

AMC からコントロールします。

テンプレートファイルを一致させる方法

テンプレートはグローバルにカスタマイズできる他、リソース単位でカスタマイズすることもできます。たと

えば、単一のデザインを使用するようグローバルテンプレートをカスタマイズし、サイトごとにそのテンプ

レートを修正することによって、特定の Web リソースに対するデザインを上書きすることができます。

あるリソースにユーザーが接続すると、アプライアンスは初にも範囲が狭いテンプレートを検索します。

その範囲でテンプレートが見つからない場合、そのカテゴリ ( 認証、エラー、通知 ) に対応する汎用のテンプ

レートをチェックします。どちらも見つからなかった場合、デフォルト WorkPlace テンプレート (AMC が管

理するもの ) が使用されます。

次の表は、さまざまなテンプレートと、それに対応するファイル名を示しています。

テンプレートタイプ説明

認証ユーザーのクレデンシャルを収集するためのページ。レルムの選択、ユーザー名、パスワード、パスコードの選択なども行います。

ネットワークへのログインの方法をユーザーに知らせる場合、これらのテンプレートを使用します。

エラー不正なユーザー入力 ( 不許可メッセージまたはログイン失敗 ) やアプライアンスのエラーなど、エラーが発生したときに表示されるページ。

管理者の連絡先など、問題を修正するための方法をユーザーに知らせる場合、これらのテンプレートを使用します。

通知システムとの通信で必要な基本情報をユーザーに提供するページ。ログアウトページ (ログアウト成功の確認 ) や、認証モジュールからのメッセージを含むページ ( パスワードの期限切れ警告 ) もこれに含まれます。

これらのテンプレートには、特殊な情報要件はありません。認証テンプレートとエラーテンプレートを修正した場合、一貫性を保つため、通知テンプレートも修正しなければなりません。

テンプレート説明ファイル名

認証ユーザーによるレルムの選択

ユーザーによるログインクレデンシャルの指定

realm-select.tmpl

authentication-request.tmpl

エラーレルム選択の失敗

不正なクレデンシャル

リソースへのアクセスが拒否

アプライアンスライセンス数の制限オーバー

End Point Control エラー

realm-error.tmpl

authentication-error.tmpl

authorization-error.tmpl

licensing-error.tmpl

epc-error.tmpl

ステータス認証通知 ( パスワードの期限切れなど )

ログオフ成功ページ

End Point Control ログオフ成功ページ

authentication-status.tmpl

logoff-status.tmpl

epc-logoff.tmpl

汎用 End Point Control ダウンロードページ

ユーザーによるログインクレデンシャルの指定

一般エラー

一般ステータス

一般ページ

epc-launch.tmpl

authentication.tmpl

error.tmpl

status.tmpl

custom.tmpl


メモ

• デフォルト WorkPlace テンプレートファイル (extraweb.tmpl) は、編集することができません。変更

しても、 AMC で WorkPlace をカスタマイズすると上書きされてしまいます。

WorkPlace テンプレートのカスタマイズ

ASAP WorkPlace の外観は、複数の HTML テンプレートで制御されています。テンプレートをカスタマイズ

するには、標準的な Web デザインツールやテキストエディタなどを使用して、 HTML ファイルを作成しま

す。

WorkPlace テンプレートをカスタマイズするには

1. 望ましいレイアウトで HTML ファイルを作成し、次のような WorkPlace 固有のタグを追加します。

• BODY タグ内に、「EXTRAWEB」を含む HTML COMMENT タグを追加します。



このタグは、アプライアンスによって動的に生成されるコンテンツがどこに入るか決定します。

• 外部 JavaScript ファイルに対する参照を追加します。

<script language="javascript" src="/__extraweb__/template.js"></script>

• テンプレートで (.css ファイルまたは AMC で構成したカスタムロゴを含め ) WorkPlace コンテン

ツを表示させるには、 /__extraweb__/images/ パスを参照するよう HTML コードを修正します。

例 :

<img src="/__extraweb__/image/mylogo.gif">

2. .tmpl 拡張子を使用して、ファイルに適切なファイル名を付けて保存します (222 ページの「テンプレー

トファイルを一致させる方法」を参照 )。

メモ

• images ディレクトリが存在しない場合は、次のコマンドを実行して作成します。

mkdir -p /usr/local/extranet/htdocs/__extraweb__/images


WorkPlace カスタムテンプレートのアップロード

この節では、 WorkPlace カスタムテンプレートをアプライアンスにアップロードする方法について説明しま

す。

WorkPlace カスタムテンプレートをアップロードするには

1. SSH を使用してアプライアンスと接続します。

2. 適切なディレクトリに移ります。

• デフォルト WorkPlace サイトのテンプレートは /usr/local/extranet/templates に保管されてい

ます。

• カスタム WorkPlace サイトのテンプレートは /usr/local/extranet/templates/<site_ID> に保

管されています。ただし <site_ID> はサイトの AMC 生成 ID 文字列で、 AMC の [Configure WorkPlace Site] ページの [General] セクションに表示されるものと同じです。

3. カスタムテンプレートをアプライアンスにアップロードします。テンプレートファイルには、ワールド

リーダブル ( つまり 644) なアクセス権限を割り当てます。

4. サポートファイル ( カスケーディングスタイルシートやイメージなども含む ) を /usr/local/extranet/htdocs/__extraweb__/images ディレクトリにコピーします。

メモ

• images ディレクトリが存在しない場合は、次のコマンドを実行して作成します。

mkdir -p /usr/local/extranet/htdocs/__extraweb__/images

ユーザーによる ASAP WorkPlace へのアクセスの許可

ASAP WorkPlace は Web アプリケーションであるため、標準 Web ブラウザからアクセスすることができま

す。ユーザーには、 WorkPlace に対するデフォルト URL を通知する必要があります。この場合のデフォルト URL は、「https://<server_name>」で、 server_name は、アプライアンスの SSL 証明書に記述されてい

る正規のドメイン名 (FQDN) になります (53 ページの「SSL 証明書の構成」を参照 )。

また、カスタマイズ済みの WorkPlace サイトにユーザーがアクセスできるようにしたい場合、ユーザーには、

そのサイトの URL を通知します。この場合の URL は、「http://<custom_fqdn>」で、 <custom_fqdn>iは、 WorkPlace サイトに対応する外部 FQDN になります (214 ページの「WorkPlace サイト」を参照 )。

代わりにネットワーク上の他の Web ページまたはポータルから ASAP WorkPlace にアクセスできるよう設定

することもできます。

WorkPlace サイトの ID 文字列


他の Web サイトから ASAP WorkPlace へアクセスするには

1. https://server_name/ へのハイパーリンクを作成し、 server_name をアプライアンスの実際の名前で

置き換えます。その場合、アプライアンスの SSL 証明書に記述されている FQDN を使用する必要があり

ます。

また、カスタマイズしている WorkPlace サイトにユーザーがアクセスできるようにする場合、

http://<custom_fqdn> へのハイパーリンクを作成し、 custom_fqdn を、 WorkPlace サイトに対応す

る外部 FQDN で置き換えます (214 ページの「WorkPlace サイト」を参照 )。

2. [Log out] ボタンを設けるには、 https://server_name/__extraweb__logoff をポイントするハイ

パーリンクを作成します ( この場合も、 server_name を、アプライアンスの SSL 証明書に記述されて

いる実際の FQDN で置き換えます )。こうすることで、ユーザーアカウントのセキュリティを守ること

にもなります。

End Point Control とユーザーのログインプロセス

Aventail End Point Control コンポーネントが有効になっているとき、 WorkPlace ログインプロセスで、別

の手順が必要になります。この手順は、 Aventail Secure Desktop (ASD) が使用されているか Aventail Cache Control (ACC) が使用されているかで異なります。 Aventail End Point Control の詳細については、

179 ページの「概要 : End Point Control」を参照してください。

Aventail Secure Desktop の動作方法

ASD を使用すると、一般的な WorkPlace セッションに次の手順が追加されます。

1. Web ブラウザで、ユーザーが適切な WorkPlace URL を入力します。

2. ユーザーが WorkPlace にログインします。

3. Aventail セキュリティ警告が表示されたら、ユーザーはこれを承認しなければなりません。 ASD デスク

トップが表示され、タスクバー表示エリアに ASD アイコンが現れます。 ASD デスクトップの新しいブラ

ウザウィンドウに、 WorkPlace ログインページが自動的に表示されます。

4. ユーザーが、必要に応じてネットワークリソースにアクセスします。

5. WorkPlace セッションでの作業が終了したら、 WorkPlace を終了します。これにより WorkPlace セッ

ションが終了し、ブラウザウィンドウがクローズします。 ASD は、ダウンロードされローカルハードディスクに保管されたセッション関連のすべてのデータファイルを永続的に削除します。しかも、 Web ブラウザに関連する一時データがあれば、それも削除します。

メモ

ASD は、セッション関連のすべてのデータファイルをローカルハードディスクから永続的に削除するため、

ユーザーには、 ASD を使用しているときはデータをローカルディスクに保存しないよう通知してください。

例を示します。

• ファイルをローカルディスクに保存しないこと。たとえばユーザーがネットワークからファイルをダウ

ンロードしてそれをハードディスクに保存すると、セッションの終了時に削除されます。

• アプリケーションデータをローカルディスクに保存しないこと。一部のクライアント / サーバーアプリ

ケーション (Microsoft Outlook など ) では、ユーザーがデータをローカルに保管できるようになってい

ます。ユーザーは、これらのアプリケーションと ASD との通信に気を配る必要があります。たとえば、

Outlook ユーザーが、 ASD の動作中にデータをローカルに (.pst f ファイルに ) 保管し、電子メールメッセージをシステムの「Inbox」からローカルのメールフォルダに移動する場合、セッション終了時

に、メッセージがローカルディスクから削除されます。ユーザーが、 ASD によって作成されている仮想

セッションを認識しやすくするため、デスクトップには、特有の背景色とイメージが表示されます。


Aventail Cache Control の動作方法

ACC を使用すると、一般的な WorkPlace セッションに次の手順が追加されます。

1. Web ブラウザで、ユーザーが適切な WorkPlace URL を入力します。

2. ユーザーが WorkPlace にログインします。

3. Aventail セキュリティ警告が表示されたら、ユーザーはこれを承認しなければなりません。 ACC アイコ

ンがタスクバー表示エリアに現れます。

4. ユーザーが、必要に応じてネットワークリソースにアクセスします。

5. ACC セッションが終了したら、 ACC は、セッション関連のすべてのデータを削除します。

メモ

• ACC の起動時に他のブラウザウィンドウが閉じるよう構成している場合、ユーザーに対して、 URL をブックマークするか、まだ送信していないデータが失われないよう注意を呼びかける必要があります。


第 10 章ユーザーアクセスコンポーネントおよびサービス

Aventail アプライアンスには、ネットワーク上のリソースに対するユーザーアクセスを可能にするコンポー

ネントが含まれています。この節では、それぞれのユーザーアクセスコンポーネントと、それを制御するア

クセスサービスについて説明します。

ユーザーアクセスコンポーネントの多くは、 ASAP WorkPlace ポータルから設定し有効にします。詳細につ

いては、 201 ページの「ASAP WorkPlace ポータル」を参照してください。

概要 : ユーザーアクセスエージェント

次の表では、それぞれのアクセスエージェントについて、機能と要件を比較しています。システム要件の詳細

については、 8 ページの「クライアントコンポーネント」を参照してください。

228 | 第 10 章 - ユーザーアクセスコンポーネントおよびサービス

ネットワークトンネルアクセス (IP プロトコル ) プロキシアクセス (IP プロトコル ) Web アクセス

(HTTP プロトコル )

Aven

tail

On

Dem

an

d

トンネル

エー

ジェン

ト

Aven

tail

Co

nn

ect

トンネル

クラ

イア

ント

Aven

tail

On

Dem

an

dプ

ロキ

シエ

ージ

ェン

ト、

ダイナ

ミック

モー

ド

Aven

tail

On

Dem

an

dプ

ロキ

シエ

ージ

ェン

ト、

マップ

ドモ

ード

Aven

tail

Co

nn

ect

Mo

bile ク

ライア

ント

Aven

tail

Co

nn

ect

プロキ

シク

ライア

ント

Web

プロキ

シ

エー

ジェン

ト

トランス

レー

テッ

ド

Web

エー

ジェン

アプリケーションサポート

TCP ベースのクライアント/ サーバーアプリケーション

x x x x x x

TCP または UDP ベースのクライアント / サーバーアプリケーション

x x x x

URL および Web アプリケーション

x x x x x x x x

Windows ネットワーキングサポート

Web ベースのファイルアクセス

x x x x x

ネイティブ Windows ファイルアクセス ([ ネットワークコンピュータ ])

x x x

マップドネットワークドライブ

x x x

Windows ドメインログイン

x x

サポートされている接続タイプ

順方向接続 x x x x x x x x

逆方向接続 (FTP や SMS など )

x x

相互接続(VoIP など )

x x

サポートされているオペレーティングシステム

Windows x x x x x x x

Linux または Macintosh x x

Pocket PC x x x

クライアント / エージェントのインストールで必要な管理者権限

x x x x

デプロイメント

WorkPlace からの自動起動 x x x x x

WorkPlace からの設定 x

WorkPlace 以外からの設定 x x x x x


Aventail® Connect™ プロキシクライアント ( 個別にインストール ) 以外のすべての Aventail ユーザーアクセスコンポーネントは、 Aventail® ASAP™ WorkPlace ポータルで設定し有効にします。必要に応じて、

ユーザーが ASAP WorkPlace にログインしなくても、他のネットワークロケーション (Web サーバー、 FTP サーバー、ファイルサーバーなど ) からダウンロードしインストールできるように、 Aventail® Connect™ トンネルクライアントと Aventail® Connect Mobile™ コンポーネントを用意しておきます。また、SMS や Tivoli などのアプリケーションを使用して、これらのインストールパッケージを配布することもできます。

ユーザーアクセスエージェントは、コミュニティ単位でインストールすることができます。ユーザーコミュ

ニティを構成するとき、コミュニティのメンバーが、どのアクセス方式を使用するか指定することができます。

詳細については、 124 ページの「コミュニティに対するアクセス方式の選択」を参照してください。

複数のエージェントを同時にアクティブにすることもできます。たとえば、ダイナミックモードの Aventail® OnDemand™ プロキシエージェントと Web プロキシエージェントを同時にアクティブにするこ

とができます。 OnDemand をダイナミックモードで使用すると、ユーザーが TCP リソースにアクセスでき

るようになり、 Web プロキシエージェントを使用すると、ユーザーが Web リソースにアクセスできるように

なります。

ユーザーが初めて ASAP WorkPlace にログインするとき、そのユーザーのコミュニティの設定に基づいて、

適切なユーザーアクセスエージェントが自動的に設定されインストールされます。デプロイされているエー

ジェントは、ユーザーのコンピュータにインストールされ、その後、同じコンピュータから同じ Web ブラウ

ザに接続されるときは、同じエージェントが自動的にデプロイされます。

ASAP WorkPlace

Aventail ASAP WorkPlace は、Web ベースのポータルで、Web プロキシサービスで保護された Web リソー

スに対するアクセスを、動的にパーソナライズすることができます。また、ユーザーが、ネットワークファイ

ルサーバーを Web ブラウザからブラウズできるようになります。ユーザーが ASAP WorkPlace にログイン

するとホームページが現れ、管理者が定義したショートカットのリストが表示されます。これらのショート

カットは、ユーザーがアクセス権限を持つ、 Web ベースのリソース、 Windows ファイルシステムのリソー

ス、ターミナルサーバーリソースなどをポイントします。

Aventail Connect プロキシクライアントと Aventail Connect Mobile クライアント ( 個別にインストール ) 以外のすべての Aventail ユーザーアクセスコンポーネントは、ASAP WorkPlace ポータルで設定し有効にし

ます。

ASAP WorkPlace は、任意の標準 Web ブラウザからアクセスすることができます。詳細については、 201ページの「ASAP WorkPlace ポータル」を参照してください。

Network Explorer

Network Explorer は、 ASAP WorkPlace で使用する Web ベースのユーザーインタフェースです。ユーザー

にアクセス権限がある場合、これを使用することで、共有されている Windows ファイルシステムリソース

にアクセスすることができます。このリソースには、ドメイン、サーバー、コンピュータ、ワークグループ、

フォルダ、ファイルなどが含まれます。

Network Explorer は、オプションコンポーネントであり、ポリシーで制御できる他、完全に無効にすること

もできます。 WorkPlace がサポートする任意のブラウザがサポートされています。詳細については、 201ページの「ASAP WorkPlace ポータル」を参照してください。


Aventail トンネルクライアント

AventailSmart Tunneling は、 TCP および UDP トラフィック、リモートヘルプデスクアプリケーションな

どの双方向トラフィック、 VoIP アプリケーションなどの相互接続、 SMS などの逆方向接続についてセキュア

なアクセスを提供します。

Smart Tunneling では、 Aventail® OnDemand™ トンネルエージェント (Web 起動されたブラウザベース

のエージェント ) と Aventail Connect トンネルクライアント (Web インストールされた Windows クライ

アント ) の 2 つのアクセスエージェントを使用してアクセスを提供します。それぞれのクライアントは、すべ

てのリソースに対してネットワークレベルのアクセスを提供することで、ユーザーのコンピュータを効率的に

ネットワーク上のノードにします。トンネルクライアントは、 AMC から Aventail ネットワークトンネルサービスを使用して管理します。ネットワークトンネルクライアントから TCP/IP 接続を管理するよう、この

サービスを構成する場合、クライアントに IP アドレスを割り当てるための IP アドレスプールを設定しなけれ


メモ

• Sygatge、 Microsoft、 Zone Alarm 製のパーソナルファイアウォールと一緒に Aventail トンネルクラ

イアントを使用する場合は、これらのファイアウォールの構成を変更しなければリモートネットワーク

へアクセスすることができません。ユーザーに対して、 Aventail VPN サービス (ngvpnmgr.exe) がイ

ンターネットにアクセスできるようパーソナルファイアウォールを構成すると同時に、 Aventail アプラ

イアンスのホスト名と IP アドレスを、信頼されているホストまたはゾーンに追加するよう通知してくだ

さい。

OnDemand トンネルエージェント

Aventail OnDemand トンネルエージェントを使用すると、 Web ブラウザを使用して、 Aventail ネットワー

クトンネルサービスで保護されたリソースに対し、完全なネットワークおよびアプリケーションアクセスが

可能になります。 OnDemand トンネルエージェントは、 Connect トンネルクライアントと同様、広範なア

プリケーションおよびプロトコルアクセスを提供する軽量のエージェントですが、 ASAP WorkPlace ポータ

ルに統合されており、ユーザーが WorkPlace にログインするたびに自動的に起動します。 OnDemand トン

ネルエージェントでは、 Aventail アプライアンスの End Point Control 機能をサポートしています。

OnDemand トンネルエージェントは、 Windows XP および Windows 2000 でサポートされていますが、

Microsoft Internet Explorer とともに Sun JVM または ActiveX が動作しているか、Mozilla Firefox ととも

に Java が動作していることが条件になります。

Connect トンネルクライアント

AventailConnect トンネルクライアントは、 Aventail ネットワークトンネルサービスで保護されたリソー

スに対して、フルアクセスできるようにする Windows アプリケーションです。 Connect トンネルクライア

ントを使用すると、 TCP を使用するアプリケーションや、 VoIP や ICMP といった非 TCP プロトコルを使用す

るアプリケーションなど、あらゆる種類のアプリケーションにアクセスできるようになります。 Connect トン

ネルクライアントでは他にも、スプリットトンネリング制御、細かいアクセス制御、プロキシ検出、認証など

の機能も提供されます。 Connect トンネルクライアントでは、 Aventail アプライアンスの End Point Control 機能をサポートしていません。

Aventail Connect トンネルクライアントは、 2 種類の方法でインストールすることができます。 1 つ目の方

法は、ユーザーが、 ASAP WorkPlace ホームページの [Install Software] リンクをクリックして、

Windows クライアントをダウンロードしインストールする方法です。もう 1 つの方法では、ユーザーが ASAP WorkPlace にログインしなくても、他のネットワークロケーション (Web サーバー、 FTP サーバー、

ファイルサーバーなど ) からダウンロードしインストールできるように、 Connect トンネルクライアントを

用意しておきます。また、 SMS や Tivoli などのアプリケーションを使用して、これらのインストールパッ

ケージを配布することもできます。詳細については、 232 ページの「Aventail クライアントのインストールパッケージ」を参照してください。

Connect トンネルクライアントは、 Windows XP および Windows 2000 でサポートされていますが、

Connect トンネルクライアントをインストールする場合は、ユーザーに管理者権限が必要になります。

Connect トンネルのすべての構成と管理は AMC で実行し、構成の更新は、 Connect トンネルクライアント

が Aventail アプライアンスに接続するたびに動的に行われます。


Aventail プロキシクライアント

この節では、 Aventail OnDemand プロキシエージェント、 Aventail Connect Mobile クライアント、

Aventail Connect プロキシクライアントの概要を紹介します。

OnDemand プロキシエージェント

AventailOnDemand プロキシエージェントは、Aventail Web プロキシサービスで保護されたクライアント

/ サーバーアプリケーションや Web リソースへのアクセスを可能にする安全かつ軽量のエージェントです。

Aventail OnDemand プロキシエージェントは、ネットワークに対して標準 VPN アクセスできないパート

ナーやベンダーの他、キオスク端末などの、仕事用でないコンピュータからネットワークリソースにモバイル

でアクセスする従業員が使用すると便利です。

OnDemand プロキシエージェントは、 Java または ActiveX が有効な Web ブラウザか、スタンドアロン Java 環境が構成された環境 (Macintosh や Linux システムなど ) でサポートされています。

Connect Mobile クライアント

Aventail Connect Mobile クライアントは、 Pocket PC デバイスで動作する軽量のアプリケーションで、クラ

イアント / サーバーアプリケーション、シンクライアントアプリケーション、 Aventail Web プロキシサー

ビスで保護された Web リソースなど、広範囲のリソースに対するアクセスを提供します。

Connect Mobile クライアントは、 Pocket PC デバイスで動作し、 Windows セットアッププログラムを使用

してインストールします。このプログラムを実行すると、アプリケーションファイルが抽出され、

ActiveSync を介して、ユーザーの Pocket PC デバイスへファイルがコピーされ、クライアントがインストー

ルされます。セットアップファイルのユーザーへのインストールについては、 232 ページの「Aventail クラ

イアントのインストールパッケージ」を参照してください。

Connect プロキシクライアント

Aventail Connect プロキシクライアントは、従来のクライアント / サーバーアプリケーション、シンクライ

アントアプリケーション、ファイルサーバー、 Aventail ネットワークプロキシサービスで保護された Web リソースなど、広範囲のリソースに対するアクセスを提供します。 Aventail Connect プロキシクライアント

をユーザーのコンピュータにインストールし、パーソナルファイアウォールやアンチウイルスアプリケー

ションを搭載するよう求めることにより、エンドポイントセキュリティを向上させることができます。

Aventail Connect では、 Microsoft のシングルサインオンをサポートしており、 [ ネットワークコンピュー

タ ] からネットワーク共有リソースにシームレスにアクセスできるようになっています。

Aventail Connect プロキシクライアントは、 Windows オペレーティングシステムでサポートされています

が、ユーザーには管理者権限が必要になります。

Aventail Connect をインストールするときは、 Web サーバー、 FTP サーバー、ファイルサーバーのセット

アップパッケージを配布します。 Aventail Connect の構成の詳細については、『Aventail Connect Administrator’s Guide』を参照してください。

Aventail Web エージェント

この節では、Aventail Web プロキシエージェントと Aventail トランスレーテッド Web エージェントについ

て概説します。

Web プロキシエージェント

Aventail Web プロキシエージェントを使用すると、 ASAP WorkPlace から、 Windows ネットワーク共有へ

のアクセスだけでなく、 Web ベースのアプリケーション、 Web ポータル、 Web サーバーなど、任意の Web リソースにもアクセスできるようになります。 Aventail Web プロキシエージェントでは、トランスレーテッ

ド Web エージェントが間に入ることで互換性は向上しますが、 Web プロキシエージェントを使用すると、場

合によっては、ユーザーが ASAP WorkPlace に初にログインするときに余分の時間がかかるようになりま

す。

Web プロキシエージェントは、Windows XP および Windows 2000 でサポートされていますが、 Internet Explorer とともに ActiveX が動作していることが条件になります。


トランスレーテッド Web エージェント

このアプライアンスでは、 Internet Explorer が動作する Microsoft Windows システムに対して、デフォル

トで Microsoft ActiveX コントロール ( 「標準 Web エージェント」 ) をインストールするようになっていま

す。ただし Web プロキシエージェントが動作不可能な場合は、代替システムとしてトランスレーテッド Web エージェントが使用されます。トランスレーテッド Web エージェントでは、 Web リソースに対する基本アク

セスが可能になると同時に、内部ホスト名を隠すエイリアスも作成できるようになります。このエージェント

は、 Web コンテンツをアプライアンスから直接プロキシするもので、これを使用すると、 Windows ネット

ワーク共有へのアクセスだけでなく、 WorkPlace で実行するよう個別に構成されている任意の Web リソース

にもアクセスできるようになります。

トランスレーテッド Web エージェントは、 ASAP WorkPlace でサポートされている任意の Web ブラウザで

動作します。

Aventail クライアントのインストールパッケージ

ユーザーが ASAP WorkPlace にログインしなくても、他のネットワークロケーション (Web サーバー、 FTP サーバー、ファイルサーバーなど ) からダウンロードしインストールできるように、 Aventail Connect コネ

クトクライアントや Aventail Connect Mobile クライアントを用意しておきます。また、SMS や Tivoli など

のアプリケーションを使用して、 Connect トンネルクライアントのインストールパッケージをユーザーに

プッシュすることもできます。

クライアントセットアップパッケージは、 AMC からダウンロードすることができます。また、クライアント

をエンドユーザーに配布する前に、 .ini 構成ファイルでさまざまなクライアント設定を構成することができま

す。

Aventail クライアントのインストールパッケージのダウンロード

この節では、Aventail Connect トンネルクライアントまたは Aventail Connect Mobile クライアントのイン

ストールパッケージをローカルワークステーションにダウンロードする方法について説明します。

クライアントのインストールパッケージをダウンロードするには



2. [Aventail access agents] エリアの [Client installation packages] で、 [Download] をク

リックします。この操作により、 [Client Installation Packages] ページが表示されます。

3. 適切なプログラムファイルをダウンロードするには

• Aventail Connect トンネルクライアントのインストールファイル (ngsetup.exe) をダウンロー

ドするには、 [Connect tunnel client] で [Download] をクリックします。

• Aventail Connect Mobile クライアントのインストールファイル (cmsetup.exe) をダウンロード

するには、 [Connect Mobile client] で [Download] をクリックします。

4. この操作により、 [Download Client Package] ページが表示されます。 [File Download] ダイア

ログボックスで、ローカルコンピュータにファイルを保存するよう求められます。

5. [Save] をクリックして、正しいディレクトリをブラウズします。再び、 [Save] をクリックします。

6. [Download Client Package] ページで [OK] をクリックします。この操作により、 [Client Installation Packages] ページに戻ります。


Aventail Connect トンネルクライアント用構成のカスタマイズ

アプライアンスからダウンロードした Aventail Connect トンネルクライアントセットアップパッケージは、

そのままではまだ構成されていません。セットアップパッケージをユーザーにデプロイする前に Connect トンネル構成ファイル (.ini ファイル ) をカスタマイズすることができます。こうすることで、それぞれのクライ

アントについて、アプライアンスのホスト名や IP アドレス、ログイン時に使用するレルム名などのクライア

ントオプションをあらかじめ構成することができます。この手順を省略した場合、パッケージではデフォルトアプライアンス設定が使用されます。

Aventail Connect トンネルの構成ファイルをカスタマイズするには

1. 232 ページの「Aventail クライアントのインストールパッケージのダウンロード」の手順に従って、

Connect トンネルインストールファイルを Windows コンピュータにダウンロードします。

2. [ スタート ] > [ ファイル名を指定して実行 ] を選択しボックスに「cmd」と入力して、 Windows コマン

ドプロンプトを開きます。

3. ngsetup.exe ファイルを保存したディレクトリに移り、次のコマンドを入力してインストールファイル

を抽出します。ただし path には、ファイルを展開するパスを指定します。

ngsetup.exe -expand=path

4. テキストエディタで ngsetup.ini ファイルを開き、適切な構成設定を指定します。

5. ngsetup.ini ファイルを修正したら、これを保存して閉じます。このファイルが ngsetup.exe ファイル

を保存したディレクトリに置かれていることを確認します。

次の表では、構成オプションを示しており、それに続いてサンプル .ini ファイルを紹介しています。オプショ

ンコンポーネントを指定しなかった場合は、デフォルト値が使用されます。

オプション説明必須 ?

[Connectoid number] セクションこのオプションは、アプライアンスへのアクセスに関する基本設定を指定します。ユーザーが複数のアプライアンスにアクセスできるようにするには、この構成ブロックをコピーし、 ([Connectoid 1]、[Connectoid 2] のように ) number の値を 1 ずつ増やしていきます。

必須

ConnectionName=name クライアントユーザーインタフェースに表示される接続の名前。値を指定していない場合、デフォルト接続名、「Aventail VPN Connection」が使用されます。

オプション

VpnServer=host name | IP address

アプライアンスのホスト名または IP アドレス。値を指定していない場合、アプライアンスのホスト名や IP アドレスをユーザーが手作業で入力しなければなりません。

オプション

StartMenuIcon=[0 | 1] ショートカットを Aventail VPN Client グループに追加するかどうか指定します。デフォルト値は「1」で、その場合、ショートカットが追加されます。

オプション

DesktopIcon=[0 | 1] ショートカットをデスクトップに追加するかどうか指定します。デフォルト値は「1」で、その場合、ショートカットが構成されます。

オプション

UserRealm=name ユーザーがログインするデフォルトレルムを指定します。レルム名は、 AMC で表示されているのと同じものを正確に指定します。

オプション

DefaultAuthType=[UNPW | CRAM]

実行するユーザー認証のタイプを、ユーザー名 / パスワード (UNPW) と CRAM のいずれかで指定します。デフォルト値は「UNPW」です。

オプション

StatusDlg=[0 | 1] アプライアンスに接続するとき、ステータスダイアログボックスを表示するかどうか指定します。デフォルト値は「1」で、その場合、ステータスダイアログボックスが表示されます。

オプション

Taskbar=[0 | 1] アプライアンスに接続するとき、タスクバー通知エリアにアイコンを表示するかどうか指定します。デフォルト値は「1」で、その場合、アイコンが表示されます。

オプション

RunAtStartup=[0 | 1] Windows の起動時に、自動的に接続が始動するかどうか指定します。デフォルト値は「1」で、その場合、自動的に接続が始動します。

オプション

[Install Settings] セクションこのセクションでは、実行する MSI インストールのタイプに関する情報を指定します。それぞれの .ini ファイルには、 [Install Settings] セクションを 1 つだけ入れることができます。

オプション

Level=[FULL | REDUCED | BASIC | NONE]

インストールの際のユーザーインタフェースのレベルを指定します。デフォルト値は「NONE」です。

オプション


サンプル ngsetup.ini ファイル

[Install Settings]Level=FULLProductCode={A814B50B-B392-458A-8C31-51697E1EBB7A}PackageCode={A77CB50B-0384-5D8A-DE3D-61099E9EB37C}

[Connectoid 1]ConnectionName=XYZ Company NetworkVpnServer=64.94.142.134

[Connectoid 2]ConnectionName=Test NetworkVpnServer=64.94.142.134StartMenuIcon=1DesktopIcon=1UserRealm=employeesDefaultAuthType=UNPWStatusDlg=1Taskbar=1RunAtStartup=1

Aventail Connect Mobile クライアント用構成のカスタマイズ

アプライアンスからダウンロードした Aventail Connect Mobile クライアントセットアップパッケージは、

そのままではまだ構成されていません。セットアップパッケージをユーザーにデプロイする前に Connect Mobile 構成ファイル (.ini ファイル ) をカスタマイズすることができます。こうすることで、それぞれのクラ

イアントについて、アプライアンスのホスト名や IP アドレス、レルム名などのオプションをあらかじめ構成

することができます。この手順を省略した場合、パッケージではデフォルトアプライアンス設定が使用されま

す。

Aventail Connect Mobile の構成ファイルをカスタマイズするには

1. 232 ページの「Aventail クライアントのインストールパッケージのダウンロード」の手順に従って、

Connect Mobile インストールファイルを Windows コンピュータにダウンロードします。

2. [ スタート ] > [ ファイル名を指定して実行 ] を選択しボックスに「cmd」と入力して、 Windows コマン


3. cmsetup.exe ファイルを保存したディレクトリに移り、次のコマンドを入力してインストールファイル

を抽出します。ただし path には、ファイルを展開するパスを指定します。

cmsetup.exe -extract=path

4. テキストエディタで cmsetup.ini ファイルを開き、適切な構成設定を指定します。

5. cmsetup.ini ファイルを修正したら、これを保存して閉じます。このファイルが cmsetup.exe ファイル

を保存したディレクトリに置かれていることを確認します。

ProductCode=key

PackageCode=key

FileSize=bytecount

ProductVersion=x.yy.zzz

これらの設定は、すでに構成されているため、修正することができません。



次の表では、構成オプションを示しており、それに続いてサンプル .ini ファイルを紹介しています。オプショ

ンコンポーネントを指定しなかった場合は、デフォルト値が使用されます。

Aventail Client セットアップパッケージのデプロイ

ユーザーが ASAP WorkPlace にログインしなくても、ネットワークロケーション (Web サーバー、 FTP サー

バー、ファイルサーバーなど ) から Aventail Connect トンネルクライアントと Aventail Connect Mobile のセットアップパッケージをデプロイできます。

Connect トンネルクライアントの場合、 Microsoft Systems Management Server (SMS) または IBM Tivoli Configuration Manager などの構成管理アプリケーションを使用して、ユーザーにインストールパッ

ケージをプッシュすることができます。

クライアントの .ini ファイルを構成している場合、セットアッププログラムの他に .ini ファイルも配布する必

要があります ( セットアッププログラムを単独で配布した場合、クライアントはデフォルト設定を使用 )。

Aventail Connect トンネルクライアントのインストールパッケージのデプロイ

Aventail Connect トンネルクライアントは、 .exe ファイルとしてインストールできる他、 Microsoft Installer (.msi) ファイルを使用してデプロイすることもできます。

.exe として Aventail Connect トンネルクライアントをデプロイするには

• エンドユーザーに ngsetup.exe ファイルを配布します。

ngsetup.ini ファイルを修正している場合 (233 ページの「Aventail Connect トンネルクライアント用

構成のカスタマイズ」の方法で )、このファイルもあわせて配布し、セットアップ時に起動する必要があ

ります。 .ini ファイルを起動するときは、次のようにコマンドラインパラメータで指定し、セットアッ

ププログラムに渡します。

ngsetup.exe -f=ngsetup.ini

エンドユーザーの手間を軽減するため、このパラメータを付けてセットアッププログラムを呼び出す

バッチファイルを記述することもできます。

Aventail Connect tunnel client as an .msi として Aventail Connect トンネルクライアントを

デプロイするには

• .msi インストールパッケージと修正済みの ngsetup.ini ファイル ( 作成している場合 ) をデプロイする

よう (Microsoft SMS または IBM Tivoli などの ) 構成管理ソフトウェアプログラムを設定します。


[Connectoid number] セクションこのオプションは、アプライアンスへのアクセスに関する基本設定を指定します。ユーザーが複数のアプライアンスにアクセスできるようにするには、この構成ブロックをコピーし、 ([Connectoid 1]、[Connectoid 2] のように ) number の値を 1 ずつ増やしていきます。

必須

ConnectionName=name クライアントユーザーインタフェースに表示される接続の名前。値を指定していない場合、デフォルト接続名、「Aventail Connect Mobile」が使用されます。

オプション

VpnServer=host name | IP address

アプライアンスのホスト名または IP アドレス。値を指定していない場合、アプライアンスのホスト名や IP アドレスをユーザーが手作業で入力しなければなりません。

オプション

AutoStart=[0 | 1] 起動時に、自動的に接続が始動するかどうか指定します。デフォルト値は「0」で、その場合、接続は自動的に始動しません。

オプション

Logging=[0 | 1] クライアントのロギングを有効にするかどうか指定します。デフォルト値は「0」で、その場合、ロギングは無効になります。

オプション


Aventail Connect Mobile クライアントのインストールパッケージのデプロイ

Aventail Connect Mobile クライアントは、 Pocket PC デバイスで動作します。このクライアントをインス

トールする場合、 ActiveSync を使用して、シリアル、 USB、ネットワークなどで接続した Windows デスク

トップコンピュータとモバイルデバイスとを同期します。 ActiveSync をインストールして、モバイルデバ

イスをクレードルにセットすると、デスクトップインストールプログラムがアプリケーションファイルをコ

ピーし、初期設定を構成します。インストールが終わったら、モバイルデバイスをクレードルから外し、イン

ターネットサービスプロバイダに接続することにより、 VPN で使用できるようになります。

.exe として Aventail Connect Mobile をデプロイするには

• エンドユーザーに cmsetup.exe ファイルを配布します。

234 ページの「Aventail Connect Mobile クライアント用構成のカスタマイズ」の方法で ) cmsetup.ini ファイルを修正している場合、このファイルもあわせて配布し、セットアップ時に起動する

必要があります。 .ini ファイルを起動するときは、次のようにコマンドラインパラメータで指定し、

セットアッププログラムに渡します。

cmsetup.exe -install=cmsetup.ini

Aventail OnDemand プロキシエージェント

Aventail OnDemand プロキシエージェントは、 Aventail ネットワークプロキシサービスで保護された TCP リソースへのアクセスを可能にする安全かつ軽量のエージェントです。 OnDemand では、ローカルルー

プバックプロキシングを使用し、 AMC で定義されているルーティング指示文に従って、保護されたネット

ワークリソースへ通信をリダイレクトします。 (OnDemand では UDP アプリケーションをサポートしていま

せん )

この節では、 OnDemand の概要について説明し、 OnDemand の構成方法とインストール方法について説明

します。 OnDemand ライセンスを購入していない場合は、 AMC の OnDemand オプションが無効になって

います。

概要 : OnDemand

Aventail OnDemand は、クライアントアプリケーションとアプリケーションサーバー間の通信を保護する、

ループバックベースのプロキシソリューションです。ユーザーは、クライアントレスな VPN アクセスを得る

ために OnDemand を Aventail アプライアンスから「オンデマンドで」ダウンロードすることができます。

ネットワークに対してフルアクセスできないパートナーやベンダーの他、キオスク端末やホームコンピュー

タからネットワークリソースにモバイルでアクセスする従業員が使用すると便利です。

次の図は、接続の手順を示しています。

1. デフォルトの場合、 OnDemand は、ユーザーが ASAP WorkPlace にログインするときに自動的に始動

します。また、ユーザーが ASAP WorkPlace のリンクをクリックすることで起動できるよう OnDemand を構成することもできます。

2. デフォルトの場合、 OnDemand は、 ASAP WorkPlace のウィンドウ内で動作を開始します。また、「ス

タンドアロン」モードで、独立したウィンドウで動作するよう OnDemand を構成することもできます。

3. OnDemand は、ローカルループバックアドレス (127.0.0.1) でアプリケーション要求を待ち、そのト

ラフィックを Aventail ネットワークプロキシサービスにリダイレクトします。

4. Aventail ネットワークプロキシサービスは、アプリケーションが要求するポートで、トラフィックをア

プリケーションサーバーにプロキシします。

5. アプリケーションサーバーは、アプリケーショントラフィックをネットワークプロキシサービスに送

信します。


6. ネットワークプロキシサービスは、アプリケーショントラフィックを OnDemand に送信し、

OnDemand がクライアントアプリケーションにそれを渡します。

OnDemand は、 1 つのポートまたは複数のポートを使用する TCP アプリケーションをサポートしています。

ポートを動的に定義するアプリケーションもこれに含まれます。 OnDemand では通常、次の 2 種類のアプリ

ケーションにアクセスします。

• 常駐クライアント / サーバーアプリケーション。インターネット電子メールアプリケーション (Microsoft Outlook、 Outlook Express、 Lotus Notes、 Netscape Mail、 Eudora など )、端末エミュ

レーションアプリケーション (WRQ Reflection、NetManage RUMBA PC-to-Host など )、リモートオフィス接続アプリケーション (Citrix ICA/MetaFrame、Microsoft Windows Terminal Services など ) がこれに当たります。通常これらのクライアント / サーバーアプリケーションは、クライアントコン

ピュータにローカルにインストールされます。OnDemand では、Microsoft Outlook 2000 と Outlook XP をサポートしています。

• ダウンロード可能なシンクライアントアプリケーション。端末エミュレーションプログラム (Attachmate myEXTRA! Terminal Viewers、 NetManage RUMBA Web-to-Host、 WRQ Reflection for the Web など )、リモートオフィス接続アプリケーション (Citrix ICA client for Java、 Microsoft Windows Terminal Services Advanced Client など ) がこれに当たります。シンクライアントアプリ

ケーションは通常、 Java アプレットまたは ActiveX コントロールを内蔵する Web ベースのアプリケー

ションです。

OnDemand では、 UDP ベースのアプリケーションをサポートしていません。

デフォルトの場合、 OnDemand は、ユーザーが ASAP WorkPlace に接続するときに、自動的に動作するよう

構成されています。また、 OnDemand をスタンドアロンモードで構成することもできます。この場合は、

ユーザーが、ASAP WorkPlace のリンクをクリックすることによって OnDemand を起動します。パフォーマ

ンスを向上させるため、 OnDemand は、初にアクセスしたときにユーザーのコンピュータにインストール

されるようになっており、ユーザーが使用するたびにダウンロードが発生するのを避けています。

Microsoft Windows ユーザーの場合、 OnDemand は、接続要求を動的にアプライアンスにリダイレクトする

よう構成することができます。このダイナミックモードでは、特定のアプリケーションが OnDemand と一緒

に動作するよう構成する必要があります。ただしユーザーは、使用したいクライアント / サーバーアプリケー

ションを手動で起動しなければなりません。また、ユーザーが ASAP WorkPlace のリンクをクリックしたと

きに、 OnDemand が自動的にクライアント / サーバーアプリケーションを実行するようセットアップするこ

ともできます ( この構成は、非 Windows プラットフォームのユーザーも必要 )。

OnDemand リダイレクションモード

デフォルトの場合、 Aventail OnDemand は、ユーザーが ASAP WorkPlace にログインするときに自動的に

始動します。また AMC には、ユーザーが ASAP WorkPlace のリンクをクリックしたときに、 Aventail OnDemand を手動で起動するオプションもあります。

OnDemand には、ダイナミックモードとマップドモードの 2 種類の動作モードがあります。ダイナミックモードでは、 Windows ユーザーが任意のネットワークアプリケーションにアクセスすることができ、一方の

マップドモードでは、ユーザーが、特定のアプリケーション用に構成されたショートカットをクリックしま

す。また、 OnDemand アクセスを完全に無効にすることもできます。

• ダイナミックモード。ダイナミックモードでは、 AMC で定義されているすべてのネットワークリソー

スからのトラフィックを、 OnDemand が自動的にリダイレクトします。このモードの場合、使用するア

プリケーションをユーザーが手動で起動します。ダイナミックモードは、 Windows でのみサポートされ

ており、ユーザーに管理者権限が必要になります。

• マップドモード。マップドモードでは、 OnDemand が、特定のネットワークアプリケーションに対応

するトラフィックをリダイレクトします。オプションで、ユーザーがショートカットをクリックしたとき

に指定の Web URL が自動的に開かれるよう、 OnDemand を構成することもできます。このモードは、

OnDemand が動作するときにアプリケーション ( シンクライアントアプリケーションなど ) が始動す

るよう設定する場合に使用すると便利です。ただし、特定のアプリケーションをポイントするショート

カットを手動で作成しなければなりません。マップドモードは、 Windows、 Macintosh、 Linux でサ

ポートされています。

Windows PC の場合、ユーザーが ASAP WorkPlace に初めてログインするとき、コンピュータが構成されて

いれば、 WorkPlace が自動的に OnDemand をユーザーのコンピュータにダウンロードし、インストールし

て、これを起動します。それ以降の WorkPlace ログインでは、 OnDemand が自動的に起動するようになり

ます。ただし、この自動始動を無効にし、ダイナミックモードで、ユーザーが手動で OnDemand を開始する

ためのリンクを入れることもできます。


OnDemand の起動

デフォルトの場合、 Aventail OnDemand が有効になっていれば、ユーザーが ASAP WorkPlace にログイン

するとき OnDemand が自動的に始動し、 WorkPlace のウィンドウで動作します。ユーザーは、この埋め込

みモードで OnDemand を使用するとき、 WorkPlace ウィンドウを開いたままにしておかなければなりませ

ん。

また、 OnDemand はスタンドアロンモードで動作するよう構成することもできます。この場合、

OnDemand を開始するためのリンクをユーザーがクリックすると、 OnDemand が独立したウィンドウで開

きます。ユーザーは、 OnDemand に影響を与えずに、 ASAP WorkPlace ウィンドウを閉じることができま

す。また、 OnDemand ウィンドウを小化することもできますが、ネットワークで使用しているときは閉じ

ることができません。これを閉じると、アプリケーション接続も停止し、ユーザーが OnDemand からログア

ウトすることになります。ユーザーが作業を終了したら、 OnDemand ウィンドウを閉じることで、

OnDemand からログアウトすることができます。

次の表は、 OnDemand を起動する方法についてまとめています。

メモ

• ユーザーは、 OnDemand ウィンドウからアプリケーションを開始することができません。 URL が自動的

に開かれるよう OnDemand を構成している場合を除き、ユーザーは通常の方法で、アプリケーションを

手動で開始しなければなりません。

• ユーザーは、パーソナルファイアウォールで、 OnDemand トラフィックを許可するよう構成する必要は

ありません。

OnDemand クライアント要件

Aventail OnDemand プロキシエージェントでは、 Java Virtual Machine (JVM) が構成された Web ブラウ

ザが必要になります。 OnDemand では、次のクライアント構成をサポートしています。

OnDemand スタンドアロンデプロイメントを計画するときは、ユーザーが OnDemand を使用してアクセス

するクライアントアプリケーションで、どのようなテクノロジーが使用されているかについて考慮します。た

とえば、 Microsoft の ActiveX テクノロジーを使用するアプリケーションであれば、 Macintosh や Linux システムで動作しません。

起動モード説明

ASAP WorkPlace への埋め込み OnDemand が、メイン WorkPlace ウィンドウで透過的に動作します。ユーザーは、 OnDemand を使用するとき、 WorkPlace ウィンドウを開いたままにしておかなければなりません。 OnDemand 接続についての情報は、[Connection status] エリアに表示されます。

スタンドアロンエージェント OnDemand が、独立したウィンドウで動作します。ユーザーが WorkPlace ブラウザウィンドウを閉じても、 OnDemand は動作を続けます。OnDemand 接続についての情報は、独立した [Details] ウィンドウに表示されます。

オペレーティングシステム Web ブラウザその他の要件

Service Pack 2 がインストールされた Windows XP Professional、Service Pack 2 がインストールされた Windows XP Home Edition、Service Pack 4 がインストールされた Windows 2000

Service Pack 1 がインストールされた Microsoft Internet Explorer 6.0、または Mozilla Firefox 1.0

Sun JVM 1.5.1 プラグインまたは ActiveX が動作

Macintosh OS X Macintosh Safari 1.2 または Mozilla Firefox 1.0

Sun JVM 1.4.2 プラグイン


OnDemand がネットワークトラフィックをリダイレクトする方法

OnDemand では、ローカルループバックアドレスを使用して、アプライアンスを介したトラフィックをリダ

イレクトし保護します。この節では、ループバックプロキシングの概要を紹介し、さまざまなリダイレクショ

ン方式について説明します。

概要 : ループバックプロキシング

OnDemand では、 Aventail ネットワークプロキシサービスを介してアプリケーショントラフィックを安全

に送信するとき、ローカルループバックプロキシングを使用します。たとえば、 Windows ユーザーがアプラ

イアンスに接続し、 Citrix アプリケーションを実行する場合、次のようにします。

1. ユーザーが ASAP WorkPlace にログインします。このとき、 OnDemand がダイナミックモードで自動

的に動作します。

2. OnDemand がローカルループバックアドレスを Citrix サーバーのホスト名に自動的にマッピングしま

す。

3. ユーザーが Citrix アプリケーションを実行すると、 citrix.example.com に接続が試みられます。

OnDemand は、 Citrix ホスト名を 127.0.0.1 に解決し、トラフィックをネットワークプロキシサービ

スにルーティングします。

4. OnDemand は、 SSL を使用して Citrix トラフィックを暗号化し、 Aventail アプライアンスへ安全に

ルーティングします。一方でアプライアンスは、これを Citrix サーバーに転送します。

5. Citrix サーバーはこれに応答し、 ASAP WorkPlace アプライアンスを介してデータを返信します。

6. アプライアンスは、 SSL を使用して応答を OnDemand に転送します。

7. OnDemand は、情報を Citrix アプリケーションに転送します。

OnDemand では、複数のリダイレクション方式をサポートしています。選択する方法は通常、 ( 使用中のオ

ペレーティングシステムやローカルシステム権限など ) エンドユーザーのプロファイルによって決まります。

ダイナミックモード

Windows システムの場合、 OnDemand は、 AMC で定義されている任意の接続先リソース ( ドメイン、ホス

ト、 IP アドレス ) へトラフィックを動的にリダイレクトします。このモードで動作する場合、 OnDemand は TCP/IP プロトコルのトランスポート層に入り込み、必要に応じてトラフィックを動的にリダイレクトします。

ダイナミックモードは通常、 Windows ユーザーの場合に有効になります。個別のアプリケーションごとに特

定のポートやループバックアドレスを構成する必要はありません。この方法は、同種の Windows 環境を管理

する場合に適しており、広く使用されています。

OnDemand をダイナミックモードでインストールする場合、ユーザーにローカルコンピュータ上の管理者権

限がなければなりません。ただし、インストール後、ダイナミックモードで OnDemand を使用する段階では

管理者権限は必要ありません。

hosts ファイルのリダイレクション

もう 1 つの方法は、トラフィックを接続先サーバーにリダイレクトするよう、ユーザーのコンピュータ上の hosts ファイルを修正することです。このリダイレクション方式は、ユーザーにローカルコンピュータ上の管

理者権限が付与されている、 Windows、 Macintosh、 Linux プラットフォームでサポートされています。

エンドユーザーのシステムで hosts ファイルを修正し、接続先サーバーをローカルループバックアドレスに

マッピングします。アプリケーションがホスト名を解決するとき、トラフィックが、 OnDemand がリストし

ているループバックアドレスにリダイレクトされます。

次の例は、ホスト名が IP アドレスに割り当てられた一般的な hosts ファイルと、 OnDemand で使用するた

めに修正した hosts ファイルを示しています。 OnDemand のホスト名が、ホストの IP アドレスではなく、

ローカルループバックアドレスにマッピングされていることに注目してください。アプリケーション固有の

構成の場合、これらのループバックアドレスは、 AMC で OnDemand を構成するときに指定したアドレスと

一致します。詳細については、 240 ページの「特定アプリケーションにアクセスするための OnDemand の構

成」を参照してください。


一般的な hosts ファイル192.168.1.135 telnet.example.com telnet192.168.1.140 mailhost.example.com mail192.168.1.143 citrix.example.com citrix

OnDemand の hosts ファイル127.0.0.1 telnet.example.com telnet127.0.0.1 mailhost.example.com mail127.0.0.1 citrix.example.com citrix

Macintosh OS X 上のダイナミック hosts ファイルのリダイレクション

Macintosh OS X プラットフォームでは、ダイナミック hosts ファイルリダイレクションが自動的に実行され

ます。そのため、アプライアンスを介して TCP/IP トラフィックをリダイレクトする場合も、エンドユーザー

の hosts ファイルを手作業で編集する必要がありません ( ただし、 241 ページの「OnDemand と一緒に使用

するアプリケーションの構成」の方法により、 AMC でアプリケーションポートマッピングを作成する必要が

ある )。ダイナミック hosts ファイルリダイレクションでは、 1023 未満のポートでローカルループバックを

構成することもできます。

hosts ファイルの修正は、 OnDemand デーモンが管理します。ユーザーが WorkPlace にログインするとき、

リモートポートがマッピングされたリソースを、ローカルループバックにマッピングするためのエントリが、

このデーモンによって hosts ファイルに作成されます。ユーザーが WorkPlace からログアウトするとき、

hosts ファイルが元の状態にリストアされます。このデーモンをインストールするには、ユーザーに管理者権

限が必要になります。ユーザーに管理者権限がない場合、デーモンはインストールされないため、 hosts ファ

イルリダイレクション機能は使用できません。

特定アプリケーションにアクセスするための OnDemand の構成

OnDemand を非 Windows プラットフォームのユーザーにインストールする場合や、ユーザーが OnDemand を実行するときにシンクライアントアプリケーションが始動するよう、 URL 起動機能を自動的

に使用する場合は、 AMC でアプリケーション固有の構成を定義しなければなりません。これには、クライアン

トやサーバーに対するポート番号のマッピングや、「ポートマッピング」と呼ばれるプロセスが含まれます。

概要 : ポートマッピング

固有のアプリケーションでトラフィックをリダイレクトするよう OnDemand を構成する場合、クライアント

とサーバーでアプリケーションが使用するポート番号を知っておき、 AMC でこれらのポートをマッピングする

必要があります。 OnDemand は、要求が送られるとき、クライアントの特定のポートでこれをリッスンし、

それをアプライアンスへプロキシします。アプライアンスはこの情報を、アプリケーションサーバーの IP アドレスとポートに転送します。

たとえば、ホストに接続するクライアントの IP アドレスとポート ( たとえば 127.0.1.1:23) や、接続先サー

バーの IP アドレスとポート ( たとえば telneta.example.com:23) などを構成することができます。


( 電子メールなど ) 一部のアプリケーションでは、複数のプロトコルのために複数のポートを使用します。そ

の場合、複数の異なるポートでリッスンするよう OnDemand を構成しなければなりません。このような構成

は、 OnDemand で複数の異なるアプリケーションを使用するよう構成するときに使用しても便利です。次の

例の OnDemand では、 5 つの異なるポートを介して 3 つのアプリケーションを使用するよう構成していま

す。

ここでは、ポート 110 (POP3)、ポート 143 (IMAP)、ポート 25 (SMTP) で電子メール要求をリッスンする

よう OnDemand を構成しています。また、ポート 23 で Telnet を、ポート 1494 で Citrix をリッスンする

よう構成しています。

OnDemand と一緒に使用するアプリケーションの構成

OnDemand を非 Windows プラットフォームのユーザーにインストールする場合や、シンクライアントアプ

リケーションを起動するための WorkPlace リンクを作成する場合、 AMC でアプリケーション固有の構成を定

義しなければなりません。これには、クライアントやサーバーに対するポート番号のマッピングや、「ポートマッピング」と呼ばれるプロセスが含まれます。

アプリケーションを構成するには、それぞれのサービスで使用するプロトコルを知っておき、クライアントの

接続元アドレスとポートを、接続先ホストのアドレスとポートにマッピングする必要があります。ユーザーが OnDemand を実行したときに Web ページが開くようにしたい場合、 URL を指定することもできます ( 自動

的にアプリケーションを始動する場合便利 )。

OnDemand と一緒に使用するアプリケーションを構成するには

1. AMC のメインナビゲーションメニューで [Agent Configuration] をクリックします。この操作によ

り、 [Agent Configuration] ページが表示されます。

2. [Aventail access agents] の [Aventail OnDemand] エリアで [Edit] をクリックします。これ

で、 [Configure OnDemand] ページが表示されます。

Telnet 23 25

(SMTP) 110

(POP3) 143

(IMAP)

Citrix ICA 1494

Aventail OnDemand


3. [Mapped mode] エリアで、 [New] ボタンをクリックします。この操作により、 [Mapped Mode] ページが表示されます。

4. [Application name] ボックスに、アプリケーションの名前を入力します。この名前は、 ASAP WorkPlace で表示されます。簡潔でわかりやすい名前を使用します。

5. [Description] ボックスに、アプリケーションについてのコメントを入力します。

6. [Add mapping] エリアで、アプリケーションが使用するそれぞれのサービスを構成します。

a. [Destination resource] ボックスの横にある [Edit] ボタンをクリックし、構成するネットワー

クリソースを選択して、 [Save] をクリックします。また、 [Resources] ダイアログボックスの [New Resource] ボタンをクリックすることで、新しいネットワークリソースを作成することが

できます。

b. サービスの IP アドレス / ポートの組み合わせが、他のサービスと競合する場合、 [Local host] ボックスの IP アドレスを修正するか、以下で説明しているポートをマッピングすることができま

す。 [Local host] の値を、 127.x.y.z アドレススペース内の任意の IP アドレスに変更することが

できます。

c. [Service type] ボックスで、アプリケーションが使用するサービスのタイプをクリックします。

サービスタイプをクリックすると、 [Destination/local ports] ボックスに、そのサービスに適

したポートの値が入力されます。

サービスがローカルポートと異なる接続先ポートを使用する場合、 [Destination/local ports] ボックスの情報を適宜編集して、ポートを別のポートにマッピングします。

d. [Add to Current Mapping] をクリックします。この操作により、マッピングが [Current mapping] リストに追加されます。

7. アプリケーションが複数のサービスを使用する場合、手順 5 を繰り返してそれぞれのサービスを構成し

ます。ほとんどのアプリケーションでは、 1 つのサービスしか使用しませんが、複数のプロトコルを使用

するアプリケーション ( たとえば電子メール ) では複数のサービスを使用します。

8. [Create shortcut on ASAP WorkPlace] チェックボックスを選択します。


OnDemand を実行したときに Web ページが開くようにする場合 ( シンクライアントアプリケーショ

ンが自動的に始動するようにする場合便利 )、 [Start an application by launching this URL] ボックスに、適切なページの URL を指定します。ただし、 http:// または https:// プロトコル識別子は

必ず指定しなければなりません。

OnDemand がロードされると、新しいブラウザウィンドウに、指定した URL が自動的に開きます。

メモ

• [Create shortcut on ASAP WorkPlace] オプションを初に構成したら、 [Mapped Mode] ペー

ジで設定の表示のみを行うことができます。このページで編集することはできません。この設定の初の

構成が終わったら、 AMC の [WorkPlace Shortcuts] ページでショートカットを管理します。詳細に

ついては、 207 ページの「ショートカットの利用」を参照してください。

高度な OnDemand オプションの構成

この節では、外部 IP アドレスを使用してアプライアンスへアクセスする方法と、OnDemand ログにデバッグメッセージを追加する方法について説明します。

外部 IP アドレスを使用したアプライアンスへのアクセス

デフォルトの場合、 OnDemand は、アプライアンスの SSL 証明書に記述されている FQDN を使用してアプ

ライアンスにアクセスします。これは実稼働環境 (FQDN がパブリック DNS に追加される ) では問題ありま

せんが、テスト環境では次のいずれかの理由で問題が発生します。

• そのアプライアンスの FQDN が DNS に追加されていないため。

• ユーザーの環境でネットワークアドレス変換 (NAT) が使用されていることから、外部 IP アドレスがアプ

ライアンスの外部ネットワークアドレスと一致しないため。

どちらの場合も、外部ネットワークインタフェースの IP アドレスを使用するよう OnDemand を構成する必

要があります。

アプライアンスの外部 IP アドレスを使用するよう OnDemand を構成するには

1. AMC のメインナビゲーションメニューから [Agent Configuration] をクリックします。この操作に

より、 [Agent Configuration] ページが表示されます。

2. [Aventail OnDemand] の右側にある [Aventail access agents] エリアで [Edit] をクリックし

ます。これで、 [Configure OnDemand] ページが表示されます。

3. [Advanced] エリアをクリックして拡張し、 [Appliance FQDN or IP address] ボックスに、外部

ネットワークインタフェースの IP アドレスを入力します。

アプライアンスを実稼働環境に移す前に、この値に、アプライアンスの SSL 証明書に記述されている FQDN が含まれていることを確認しますアプライアンスの SSL 証明書を更新すると、 FQDN が自動的にこのフィー

ルドに挿入されます ( 前に指定した値は上書きされる )。

ユーザーが初めて OnDemand を起動すると、 OnDemand を実行するための許可を与えるよう求めるセキュ

リティ警告が Web ブラウザに表示されます。このような場合のブラウザの構成については、 244 ページの

「Java セキュリティ警告の抑止」を参照してください。

OnDemand ログへのデバッグメッセージの追加

デバッグメッセージを OnDemand ログに記録することができます。 OnDemand ログには、情報メッセージ

と警告メッセージのみが記述されます。そのためこのログは、トラブルシューティングの場合に限って使用し

ます。

OnDemand ログへデバッグメッセージを追加するには



2. [Aventail OnDemand] の右側にある [Aventail access agents] エリアで [Edit] をクリックし

ます。これで、 [Configure OnDemand] ページが表示されます。

3. [Advanced] エリアをクリックして拡張し、 [Enable debug OnDemand log messages] チェッ

クボックスを選択します。


クライアントの構成

この節では、 OnDemand で使用すると便利なクライアント側の構成について説明します。

Java セキュリティ警告の抑止

OnDemand が始動すると、OnDemand を実行するための許可を与えるよう求めるセキュリティ警告が Web ブラウザに表示されます。この警告は、オペレーティングシステムやブラウザによっても変動します。

OnDemand を実行するためには、この証明書を受け入れなければなりません。

OnDemand には、アプレットの妥当性を保証する、 Java コード署名証明書が含まれます。 Windows および Macintosh OS X の場合、証明書には、商用ソフトウェアで広範に使用されている、 Thawte のクラス 3 デジ

タル ID が含まれます。

OnDemand を起動するたびにセキュリティプロンプトが表示されるのを抑止するためには、システムが Aventail 証明書を信頼するよう構成します。このような構成を行うと、ブラウザは、 Aventail からのそれ以

降のソフトウェアダウンロードをすべて信頼するようになります。たとえば Internet Explorer の場合、

[Always trust content from Aventail Corporation] をクリックすれば、 Aventail 証明書を信頼する

よう構成することができます。


Web ブラウザでのプロキシサーバーの構成

プロキシサーバー経由でアウトバウンド接続を渡すとき、OnDemand では Web ブラウザの設定を使用して、

プロキシサーバーのアドレスとポートを判定します。この構成では、アウトバウンドプロキシサーバーのア

ドレスとポートを指定するか、自動プロキシ検出を有効にすることにより、ユーザーが自身の Web ブラウザ

を構成しなければなりません。

ユーザーが自動プロキシ検出と手動プロキシ識別の両方を有効にしている場合、この順序でプロキシサーバー

設定がチェックされます。

1. [Automatically detect settings] オプションが有効な場合、 OnDemand はプロキシサーバー設定

を自動的に検出しようとします。

2. OnDemand がプロキシサーバー設定を自動的に検出できない場合、ブラウザの [Use automatic configuration script] オプションが有効になっていれば、自動構成スクリプトがないかチェックしま

す。

3. 構成スクリプトでプロキシサーバー設定を検出できなかった場合、ユーザーが手動で指定したプロキシサーバー設定が使用されます。

Internet Explorer for Windows で自動プロキシ検出を構成するには

1. [Tools] メニューから [Internet Options] を選択します。

2. [Connections] タブで、 [LAN Settings] をクリックします。

3. [Automatic Configuration] で、次のいずれかまたは両方のオプションを有効にします。

• プロキシサーバー設定を自動的に検出する場合、 [Automatically detect settings] チェックボックスを選択します。 ( このオプションは Microsoft Virtual Machine を使用して Internet Explorer を実行しているユーザーに限ってサポートされている )

• 構成ファイルに含まれている構成情報を使用する場合、 [Use automatic configuration script] チェックボックスを選択して、 [Address] ボックスに構成ファイルの URL またはパスを

入力します。

Internet Explorer for Windows でプロキシサーバー設定を手作業で指定するには

1. [Tools] メニューから [Internet Options] を選択します。

2. [Connections] タブで、 [LAN Settings] をクリックします。

3. [Proxy Server] で、 [Use a Proxy Server] チェックボックスを選択し、 [Address] および [Port] ボックスでプロキシサーバーの IP アドレスとポートを指定します。

また、異なるプロトコルで異なるプロキシサーバーを使用している場合、 [Advanced] をクリックし

て、必要な情報を指定します。 [HTTP] と [Secure] の両方についてプロキシサーバーを指定します。

! 注意 [LAN Settings] ダイアログボックスのいずれかの自動設定 ([Automatically detect settings] チェックボックスまたは [Use automatic configuration script] チェックボックス ) を有効にすると、プロキシサーバー設定が上書きされます。プロキシ検出が正常に動作するには、この 2 つのチェックボックスをオフにしておかなければなりません。


Aventail Connect プロキシクライアント

Aventail Connect クライアントは、 Aventail ネットワークプロキシサービスで保護された TCP リソースへ

のアクセスを可能にする Windows アプリケーションです。ほとんどの場合ユーザーは、クレデンシャルを入

力するよう求められた場合かリモートネットワークアクセスを有効にするよう求められた場合に限り、

Aventail Connect クライアントと通信します。

Aventail Connect は、構成ファイルで割り当てられているルーティング指示文に従って、ネットワークトラ

フィックをリダイレクトしリルートします。構成ファイルは、 Aventail Connect Configuration Tool を使用

して作成します。

Aventail Connect クライアントが接続要求を受け取ると、その接続を Aventail ネットワークプロキシサー

ビスにリダイレクトする必要があるかどうか判断します。リダイレクトする必要がない場合、 Aventail Connect は、接続要求 ( およびそれ以降のデータ転送 ) を TCP/IP スタックに直接渡します。

次に、 Aventail Connect クライアントのインストール、構成、デプロイの基本手順について説明します。

Aventail Connect クライアントの詳細については、『Aventail Connect Administrator’s Guide』を参照し

てください。


Aventail Connect クライアントをインストール、構成、デプロイするには

1. コンピュータに Aventail Connect 管理者ツールをインストールします。 Aventail Connect 管理者ツー

ルには、 Configuration Tool と Customizer が含まれます。

2. Aventail Connect Configuration Tool を開いて、構成 (.cfg) ファイルを作成します。構成ファイルを

作成するための基本手順は、次のようになります。

• リモートネットワークと、リモートネットワークアクセスモードを構成します。

• Aventail Connect がトラフィックをリダイレクトするリモートネットワークの接続先を指定しま

す。

• 必要なプロキシサーバー設定を定義します。

• 適切な Aventail ネットワークプロキシサービスの信頼できるルートファイルを参照します。

3. Aventail Connect Customizer ツールを使用して、 Aventail Connect セットアップパッケージを作成

します。手順 2 で作成した構成ファイルとあわせて、手順 2 で参照した信頼できるルートファイルも入

れます。

4. Aventail Connect セットアップパッケージをユーザーに配布します。セットアップパッケージを配布

する場合のも一般的な方法には次のようなものがあります。

• セットアップパッケージを HTTP または HTTPS サーバーに置きます。

• セットアップパッケージを FTP サイトに置きます。

• セットアップパッケージを、マップドドライブとしてアクセスできるネットワークドライブに置き

ます。 Microsoft ネットワークの場合は、 UNC パス名 ( たとえば

「\\computer_name\share_name\Connect」 ) を使用します。

• パッケージを電子メールの添付ファイルとしてユーザーに送信します。

5. ユーザーに、このセットアップパッケージを取得して開くよう通知します。実行可能ファイルが動作す

ると、 Aventail Connect インストールパッケージが自動的に解凍され、ユーザーのコンピュータ上で

セットアップが始まります。

メモ

• Aventail Connect を介したネットワークリソースへのアクセスを許可するには、 Aventail Connect アクセスを明確に許可するゾーンにユーザーを割り当てなければなりません。詳細については、 190 ページ

の「ゾーンへの Aventail Connect Proxy クライアントユーザーの割り当て」を参照してください。

グラフィカルターミナルエージェント

Aventail アプライアンスは、Windows Terminal Services (WTS) ホストおよび Citrix ホストに対する Web ベースのアクセスをサポートしています。このホストには、 ASAP WorkPlace でデプロイされる Web ベース

のエージェントからアクセスします。

この Web ベースのターミナルエージェントを使用すると、ネイティブアプリケーションプロトコルを使用し

てターミナルサーバーにアクセスできるようになります。たとえば、 Citrix サーバーにアクセスするとき、ク

ライアントは、 Citrix のプロプライエタリな (HTTP でない ) プロトコルを使用して、クライアントからサー

バーにトラフィックを送ります。したがって、ターミナルサーバーリソースに対するアクセスを提供すると

き、 Aventail のいずれかのアクセス方式 (Web プロキシエージェント、 OnDemand、いずれかのトンネルクライアント ) をプロビジョニングするよう、WorkPlace を構成しなければなりません。トランスレーテッド Web アクセスのみを提供するよう WorkPlace を構成している場合、プロプライエタリなアプリケーションプロトコルにアクセスする上で必要なネットワークトランスポートがクライアント PC にないため、端末リソー

スが使用できなくなります。アクセス方式の構成の詳細については、 124 ページの「コミュニティに対するア

クセス方式の選択」を参照してください。

ユーザーが、 ASAP WorkPlace から Citrix または Windows Terminal Services リソースへの接続を開始す

るとき、アプライアンスは、アプライアンス上の適切なバージョンのエージェントがユーザーのコンピュータ

上にインストールされているかどうか判定し、必要に応じて、エージェントを自動的にインストールまたは更

新します。

この節では、サポートされているグラフィカルターミナルエージェントについて概説し、その構成方法につ

いて説明します。 ASAP WorkPlace からターミナルサーバーにアクセスを提供する方法については、 210ページの「グラフィカルターミナルショートカットの追加」を参照してください。


Windows Terminal Services エージェントの管理

このアプライアンスには、 2 つのバージョンの Windows Terminal Services エージェントがインストールさ

れています。 1 つは、 Windows で動作する ActiveX バージョンで、もう 1 つはクロスプラットフォームの Java バージョンです。

異なるバージョン ( アップグレードバージョンなど ) の ActiveX エージェントを Windows ユーザーにプロ

ビジョニングしたい場合、アプライアンスの構成を更新することができます。ユーザーが次に ASAP WorkPlace から Windows Terminal Services リソースにアクセスするとき、アプライアンスはそれをユー

ザーにプロビジョニングするようになります ( ただし Java バージョンの Windows Terminal Services エー

ジェントは更新できない )。

ActiveX Windows Terminal Services エージェントを更新するには

1. WTS エージェントをローカル PC にダウンロードします。 MSDN からコピーを入手できる他、http://download.microsoft.com/download/d/c/8/dc88fe77-4316-45f5-816b-0f06f1cbffe3/tswebsetup.exe からダウンロードすることもできます。

2. エージェントのバージョン番号を調べます。

a. WinZip などの zip ファイル解凍プログラムで、 tswebsetup.exe を開き、 msrdp.cab. という名前

のファイルを抽出します。

b. zip ファイル解凍プログラムで msrdp.cab を開き、 msrdp.inf という名前のファイルを抽出しま

す。

c. 「FileVersion」の行が「FileVersion=5,1,2600,2180」のようになっています。このバー

ジョン番号を AMC に入力します。



4. [Other agents] エリアの [Graphical terminal agents] で [Configure] をクリックします。こ

の操作により、 [Configure Graphical Terminal Agents] ページが表示されます。

5. [Windows Terminal Services agent] の [Agent file] ボックスに、エージェントファイルへの

パスを入力するか、 [Browse] をクリックして、適切なファイルをブラウズします。

6. [Version] ボックスに、 ( ステップ 2 の方法で ) エージェントのバージョン番号を入力します。バー

ジョン番号を入力するとき、バージョン番号の数値間の区切り文字にはピリオドではなく必ずコンマを使

用するようにします。たとえば「9,00,32649,0」のように入力します。

7. [Update] をクリックします。


Citrix エージェントの管理

ユーザーが Citrix リソースにアクセスできるようにするには、アプライアンスでエージェントを構成しなけれ

ばなりません ( デフォルトではエージェントが構成されていない )。 Citrix エージェントには、 2 つのバージョ

ンがあります。 1 つは、 Windows で動作する ActiveX コントロールで、もう 1 つはクロスプラットフォーム

の Java アプレットです。

アプライアンスで Citrix エージェントを構成する場合、このエージェントがホストされる Citrix サーバーの URL を指定します。通常このエージェントは、企業のプライベートネットワーク上のサーバーまたはベン

ダーの Web サイトのいずれかでホストされます。ユーザーが ASAP WorkPlace から Citrix リソースに初め

てアクセスするとき、 Aventail アプライアンスは、指定されたロケーションから Citrix エージェントを取得

し、ユーザーにこれをプロビジョニングします。

Citrix エージェントをインストールするには



2. [Other agents] エリアの [Graphical terminal agents] で [Configure] をクリックします。こ

の操作により、 [Configure Graphical Terminal Agents] ページが表示されます。

3. ActiveX エージェントを指定するときは、 [Citrix agents] の下にある [Windows (ActiveX control)] エリアを構成します。

a. このエージェントがホストされる Citrix サーバーの URL を [URL for agent file] ボックスに入

力します。この URL には、プライベート URL、または

「http://download2.citrix.com/files/en/products/client/ica/current/wficat.cab」などのパブ

リック URL を指定します。

b. [Version] ボックスに、エージェントのバージョン番号を入力します。

バージョン番号を調べるときは、 .cab ファイルのコピーをローカルデスクトップにダウンロードし

た後、 WinZip などの zip ファイル解凍プログラムを使用してファイルを解凍し、 wficat.inf という

名前のファイルを開きます。「FileVersion=9,00,32649,0」のようになっている

「FileVersion」の行を調べます。このバージョン番号を AMC にコピーアンドペーストするか、

入力します ( バージョン番号の数値間の区切り文字にはピリオドではなく必ずコンマを使用する )。

c. [Update] をクリックします。

4. Java エージェントを指定するときは、 [Citrix agents] の下にある [Cross-platform (Java applet)] エリアを構成します。

a. このエージェントがホストされる Citrix サーバーの URL を [URL for agent file] ボックスに入

力します。この URL では、 zip されている Java アーカイブファイル (.gz ファイル拡張子を持つ

もの ) を参照しなければなりません。この URL は、プライベート URL、または

「http://download2.citrix.com/FILES/Java_v90/JICAComponents.tar.gz」などのパブリック URL を指定します。

b. [Update] をクリックします。


Aventail アクセスサービスの管理

この節では、 Aventail アクセスサービスの概要を紹介し、このサービスの起動、停止、構成の方法について

説明します。

概要 : アクセスサービス

ユーザーは、 4 つの基本方式、またはアクセスサービスを使用して、 Aventail アプライアンスで保護された VPN リソースにアクセスすることができます。この節では、それぞれのアクセスサービスと、それぞれの

サービスでアクセスできるリソースのタイプについて説明します。

• Aventail ネットワークトンネルサービス。このコンポーネントは、広範囲のクライアント / サーバーアプリケーションにセキュアなネットワークトンネルアクセスを提供するネットワークルーティングテクノロジーです。対象となるアプリケーションには、 Voice Over IP (VoIP) や ICMP などの非 TCP/IP プロトコル、逆方向接続プロトコル、リモートヘルプデスクアプリケーションなどの双方向プロトコル

を使用するものも含まれます。このサービスは、 Aventail Connect トンネルクライアントや Aventail OnDemand トンネルエージェントと共同で動作して、認証され暗号化されたアクセスを可能にします。

ネットワークトンネルサービスでは、ファイアウォールや NAT デバイスの他、従来型の VPN デバイス

と干渉する可能性があるプロキシサーバーもトラバースすることができます。

• Aventail Web プロキシサービス。このサービスは、ユーザーが、 Web ベースのアプリケーション、

Web サーバー、ネットワークファイルサーバーなどに、 Web ブラウザから安全にアクセスするために

利用されます。また Aventail Connect Mobile クライアントを使用した Pocket PC デバイスから Web ベースのアプリケーションや Web サーバーににアクセスする際にも使われます。 Web プロキシサービ

スは、 Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな HTTP リバースプロキシ

です。このサービスは、 OnDemand プロキシエージェントからの TCP/IP 接続の管理も行います。

• Aventail ネットワークプロキシサービス。このサービスは、標準クライアント / サーバーアプリケー

ションにアクセスするためのセキュアなプロキシを提供します。 Aventail Connect プロキシクライアン

トと共同で動作して、インターネット経由で、認証され暗号化されたアクセスを可能にします。ネット

ワークプロキシサービスは、 SOCKS v5 プロトコルをベースにしています。ネットワークプロキシサービスは、内部のアプリケーションとネットワークに対するアクセスを中継し暗号化します。ネット

ワークプロキシサービスは、このプロキシベースのアーキテクチャと SSL を使用することにより、ファ

イアウォールや NAT デバイスの他、従来型の VPN デバイスと干渉する可能性があるプロキシサーバー

もトラバースすることができます。

• ASAP WorkPlace サービス。このサービスは、Web ブラウザからアクセスするネットワークファイル

共有に対するアクセスを制御します。 ASAP WorkPlace サービスは、 Server Message Block (SMB) ファイル共有プロトコルを使用して、 Windows ファイルサーバーおよびネットワーク共有 (Microsoft Distributed file system (DFS) リソース ) と通信します。 ASAP WorkPlace サービスの構成について

は、 205 ページの「ASAP WorkPlace の一般設定の構成」を参照してください。

WebOnDemand

(HTTP )Web

OnDemand Connect

(IP )

Aventail Connect

(TCP )


次の表は、 Aventail アクセスサービスと、そのサービスが制御するユーザーアクセスコンポーネントとの関

係を示しています。

Aventail アクセスサービスの停止と開始

状況に応じて、 Aventail サービスを一時的に停止することもできます。

! 注意サービスは、予定されている保守期間やオフピークのときに限って停止するようにします。また、

サービスが停止する際は、あらかじめユーザーに通知しておく必要があります。

サービスを開始または停止するには


サービスユーザーアクセスコンポーネント説明

Aventail ネットワークトンネルサービス

• Aventail OnDemand トンネルエージェント

• Aventail Connect トンネルクライアント

• ネットワークトンネルクライアントからの TCP 接続および非 TCP (VoIP や ICMP などの) 接続を管理します。

• すべてのリソースに対してネットワークレベルのアクセスを提供することで、ユーザーのコンピュータを効率的にネットワーク上のノードにします。

• マップドネットワークドライブ、ネイティブ電子メールクライアント、 Voice over IP (VoIP) などの逆方向接続を行うアプリケーションをサポートします。

Aventail ネットワークプロキシサービス

• Aventail Connect プロキシクライアント

• Aventail Connect プロキシクライアントからの TCP/IP 接続を管理します。

Aventail Web プロキシサービス • Aventail OnDemand プロキシエージェント

• Aventail ConnectMobile クライアント

• Web プロキシエージェント

• トランスレーテッドWeb エージェント

• Web ブラウザ、 Aventail Connect Mobile クライアント、 Aventail OnDemand プロキシエージェントからの HTTP 接続および TCP/IP 接続を管理します。

Aventail ASAP WorkPlace サービス

• ASAP WorkPlace ポータル • Web ブラウザから使用できる Web ベースのポータルです。

• ファイルシステムリソースへのアクセスを提供します。

• Aventail Connect プロキシクライアント以外のすべてのユーザーアクセスコンポーネントの設定とインストールを行います。


2. [Access Services] エリアで、適切なリンクをクリックします。

• サービスを停止するときは、 [Stop] をクリックします。この操作により、現在のすべての接続が停

止します。

• サービスを開始するときは、 [Start] をクリックします。

ネットワークトンネルサービスの構成

Aventail ネットワークトンネルサービスは、Connect トンネルクライアントおよび OnDemand トンネルエージェントからのアクセスを制御します。ネットワークトンネルクライアントをユーザーにインストール

するには、初に、コミュニティで使用するための IP アドレスプールを 1 つまたは複数作成しなければなり

ません。ネットワークトンネルサービスを構成する場合、 IP アドレスをクライアントに割り当てるための IP アドレスプールをセットアップしなければなりません。これらの IP アドレスは、 VPN 接続におけるクライア

ントのエンドポイントとなります。

ネットワークトンネルサービスを構成するには


2. [Access services] の [Network tunnel service] エリアで [Configure] をクリックします。こ

の操作により、 [Configure Network Tunnel Service] ページが表示されます。

3. [IP address pools] エリアで、 IP アドレスプールを 1 つまたは複数作成します。詳細については、

253 ページの「IP アドレスプールの構成」を参照してください。

4. [Advanced] エリアをクリックして拡張します。インターネットへのトンネルトラフィックを異なる

ゲートウェイでルーティングしたい場合、 [Enable route to Internet] チェックボックスを選択し

て、ゲートウェイの IP アドレスを入力します。このオプションを有効にすると、クライアントからイン

ターネットへのすべてのトンネルトラフィックが、アプライアンスのデフォルトゲートウェイではなく、

指定した IP アドレスを介してルーティングされるようになります。



IP アドレスプールの構成

IP アドレスプールは、 IP アドレスをネットワークトンネルクライアントに割り当てるために使用されます。

ユーザーが Connect トンネルクライアントまたは OnDemand トンネルエージェントを使用して接続する場

合、 Aventail アプライアンスは、クライアントに対して、構成可能なアドレスのプールから IP アドレスを割

り当てます。これにより、クライアントのコミュニティで使用できるプールのみが対象になります。

IP アドレスは、 DHCP サーバーから動的に割り当てられるよう構成することができます。また、 1 つまたは複

数の静的 IP アドレスプールを指定し、そこから IP アドレスがトンネルクライアントに割り当てられるよう

にすることもできます。動的なダイナミックアドレスプールを構成した場合、 DHCP サーバーが、プールの IP アドレスをトンネルクライアントに割り当てるようになります。静的なスタティック IP アドレスプールを

サブネットまたはアドレス範囲として構成することもできます。

IP アドレスプールの編集および削除の詳細については、 35 ページの「AMC でのオブジェクトの追加、編集、

コピー、削除」を参照してください。

IP アドレスプールの構成のためのベストプラクティス

IP アドレスプールを構成するとき、次の点に留意する必要があります。

• スタティック IP アドレスプールを構成するときは、他のネットワークリソースにすでに割り当てられて

いる IP アドレスは指定しないでください。

• ネットワークトンネルクライアントが使用するよう構成している IP アドレスは、クライアントネット

ワークですでに使用されている IP アドレスと衝突する可能性があります。可能な限り、ユーザーのネッ

トワークで使用されていることがわかっている IP アドレスは構成しないでください。

• 大数の同時ユーザーに対応できるだけの、十分な IP アドレスがあることを確認します。たとえば、同

時ユーザーの大数が 100 の場合、 100 以上の IP アドレスが使用可能でなければなりません。

ダイナミック IP アドレスプールの追加

この節では、ダイナミック IP アドレスプールを作成する方法について説明します。

ダイナミック IP アドレスプールを追加するには





3. [IP address pools] で [New] をクリックします。この操作により、 [Configure IP Address Pool] ページが表示されます。

4. [Name] ボックスに、アドレスプールの名前を入力します。

5. [Description] ボックスに、アドレスプールについてのコメントをわかりやすく入力します。

6. [IP addresses] で [Dynamic address pools] をクリックします。

7. オプションとして、 [DHCP server] ボックスに DHCP サーバーの IP アドレスを入力します。 [DHCP server] ボックスをブランクにすると、アプライアンスが、 DHCP サーバーを探すためのブロードキャ

スト要求を送信し、見つかったサーバーを使用してアドレスを割り当てるようになります。通常このボッ

クスは、特定の DHCP サーバーを構成する必要がある場合を除き、ブランクにしておきます。

8. [Add] をクリックします。このプールが、使用可能な IP アドレスプールのリストの追加されます。


9. ( オプション ) クライアントインタフェースを構成するための仮想インタフェース設定を変更するには、

[Advanced] エリアをクリックして拡張し、 [Customize default settings] チェックボックスを選

択します。 [DNS server]、 [WINS server]、 [Domain name] の値には「Virtual interface settings」があらかじめ構成されており、それぞれの値がネットワーク構成から取り込まれます。ただ

し、必要であれば設定を編集することもできます。


スタティック IP アドレスプールの追加

この節では、スタティック IP アドレスプールの作成する方法について説明します。

スタティック IP アドレスプールを追加するには




3. [IP address pools] で [New] をクリックします。この操作により、 [Configure IP Address Pool] ページが表示されます。

4. [Name] ボックスに、アドレスプールの名前を入力します。

5. [Description] ボックスに、アドレスプールについてのコメントをわかりやすく入力します。

6. [IP addresses] で [Static IP address pools] をクリックして、 IP アドレスあるいはトンネルクライアントが使用できるようにするアドレスを指定します。 IP アドレスとサブネットマスクを、カンマ

区切りの十進数形式 (w.x.y.z) で入力します。

• 単一のホストを定義するときは、 [IP address] にその IP アドレスを入力し、 [Subnet mask] に「255.255.255.255」を指定します。

• IP アドレスを範囲で指定するときは、 [IP address] ボックスに開始アドレスを入力して、 [IP range end] ボックスに終了アドレスを入力し、 [Subnet mask] を指定します。

• 完全なサブネットを定義するには、 [IP address] ボックスにネットワークアドレスを、 [Subnet mask] ボックスにサブネットマスクのネットワークアドレスを入力します。サブネットマスク

は、ある範囲に変換され、対応する値が入れられます。サブネットの IP アドレスが入力されている

場合、それがネットワーク内の初の使用可能アドレスに変換されますが、サブネットの真ん中のア

ドレスがそのまま使用されます。終了アドレスには、サブネットの大の使用可能アドレスが入りま

す。


7. [Add] をクリックします。このプールが、使用可能な IP アドレスプールのリストの追加されます。

8. ( オプション ) クライアントインタフェースを構成するための仮想インタフェース設定を変更するには、

[Advanced] エリアをクリックして拡張し、 [Customize default settings] チェックボックスを選

択します。「DNS server]、 [WINS server]、 [Domain name] の値には「Virtual interface settings」があらかじめ構成されており、それぞれの値がネットワーク構成から取り込まれます。ただ

し、必要であれば設定を編集することもできます。


ネットワークプロキシサービスの構成

この節では、ネットワークプロキシサービスオプションを構成する方法について説明します。

ネットワークプロキシサービスを構成するには



の操作により、 [Configure Network Proxy Service] ページが表示されます。


3. [Network proxy options] をクリックして、 [Timeout values] エリアに情報を入力します。

• [SSL timeout] ボックスに、 SSL ハンドシェークがタイムアウトするまでの時間を秒単位で入力

します。デフォルトは「300」です。

• [SSL cache lifetime] ボックスに、 SSL セッションレコードがキャッシュ内に残される時間を分

単位で入力します。 [SSL cache lifetime] が過ぎると、ネットワークプロキシサービスは、新

しい SSL セッションとネゴシエートするようになります。ただし AMC には、 SSL セッションの長

さに対するグローバル設定があります。そのため、この設定と同じ値を使用することが推奨されま

す。値が異なる場合、ネットワークプロキシセッションで短い値が優先されます。 [SSL cache lifetime] のデフォルト値は「720」分 (12 時間 ) です。

• [Default connection timeout] ボックスに、ユーザー接続がタイムアウトするまでの非動作時

間を秒単位で入力します。ここで指定した時間内にデータが転送されていない場合、接続が終了し、

ユーザーが再認証を受けなければならなくなります。

• [Authentica] ボックスに、認証要求のタイムアウト値を秒単位で入力します。認証フェーズの際、

ここで指定した時間内にデータが受け取られなかった場合、その要求はタイムアウトします。一般的

に、この値と [SOCKS client timeout] を同じ値に設定します。

• [SOCKS client timeout] ボックスに、 SOCKS プロトコル応答のタイムアウト値を秒単位で入力

します。非認証接続の際、ここで指定した時間内にクライアントからデータが受け取られなかった場

合、その要求はタイムアウトします。一般的に、この値と [Authentication timeout] を同じ値

に設定します。

• [Maximum limbo life] ボックスに、サーバー構成が修正された後も接続を持続できる大ライ

フタイムを秒単位で入力します。構成の変更をネットワークプロキシサービスに適用する場合、既

存の接続は、ユーザーが停止させるか、 [Maximum limbo life] 秒が経過するまでアクティブな状態

になります。この設定を短くするほど、セキュリティは向上しますが、一部のユーザーの接続が突然

停止するなどということが起こりやすくなります。

4. [DNS cache] エリアに情報を入力します。

• [Forward lookup] の [Success] ボックスに、成功した順方向 DNS ルックアップがキャッシュ

される時間を秒単位で入力します。 [Failure] ボックスには、失敗した順方向 DNS ルックアップが

キャッシュされる時間を秒単位で入力します。

• [Reverse lookup] の [Success] ボックスに、成功した逆方向 DNS ルックアップがキャッシュ

される時間を秒単位で入力します。 [Failure] ボックスには、失敗した逆方向 DNS ルックアップが

キャッシュされる時間を秒単位で入力します。

5. [Miscellaneous] エリアの [Save performance metrics every] ボックスに、何回接続を行った

ときにパフォーマンスメトリックスが保存されるか、その接続回数で指定します。メトリックスは syslog にロギングされ、他のログ情報とローテーションされます。


メモ

• ネットワークプロキシサービスでは、内部 DNS キャッシュを使用して、成功および失敗した名前ルッ

クアップを保管します。順方向および逆方向ルックアップは別々にキャッシュされます。 DNS ルック

アップをキャッシュすると、パフォーマンスが向上します。これは特に、失敗したルックアップの場合に

顕著です。というのも、失敗した接続要求は、成功した要求よりも処理に時間がかかるためです。


Web プロキシサービスの構成

この節では、 Web リソースへのアクセスを管理するサービスの構成方法について説明します。 Web プロキシサービスでは、 Web プロキシアクセス、トランスレーテッド Web アクセス、 Aventail OnDemand プロキ

シエージェントの 3 種類のモードで Web ベースのアクセスを提供します。

Web プロキシサービスを構成するには


2. [Access services] の [Web proxy service] エリアで [Configure] をクリックします。この操作

により、 [Configure Web Proxy Service] ページが表示されます。

3. HTTP 圧縮を有効にしたい場合、[Configure Web Proxy Service] ページの [General] セクション

で [Enable HTTP compression] チェックボックスを選択します。 HTTP 圧縮を有効にすると、アプ

ライアンス経由でアクセスされる Web ページのダウンロードサイズは小さくなりますが、システムのパ

フォーマンスに影響する可能性もあります。

4. [Downstream Web resources] 設定を構成します。

• Web プロキシサービスが、バックエンド Web サービスによって提示される証明書の妥当性を

チェックするようにしたい場合、 [Validate SSL server certificates] チェックボックスを選択

します。この設定を有効にすると、証明書の CN がホスト名と合致し証明書が有効であることを、

アプライアンスが確認するようになります。ダウンストリーム HTTPS を使用している場合は、この

機能をできる限り有効にしてください。

• 証明書をバックエンド Web サーバーに発行した CA をリストするアプライアンスのルート証明書の

詳細を表示する場合は、 [View CA certificate] リンクをクリックします。 CA 証明書の管理につ

いては、 61 ページの「証明書の管理」を参照してください。

• 証明書をインポートするときは、 [SSL Settings] リンクをクリックします。

メモ

• Web アプリケーションプロファイルの構成法オフについては、 97 ページの「Web アプリケーションプロファイルの追加」を参照してください。


第 11 章2 ノードクラスタのインストールと管理

Aventail EX-1500 と EX-2500 アプライアンスでは、2 台の同じアプライアンスをクラスタ化して、1 つの仮

想 IP アドレスにすることができます。 Aventail クラスタでは、統合された負荷分散、ステートフルユーザー

認証フェイルオーバー、集中管理などの機能を搭載することで高可用性を実現しています。

また、 Aventail EX-2500 では、 1 台の外部ロードバランサを使用することで大 8 台のアプライアンスによ

るクラスタ構成をサポートしています。 1 台の外部ロードバランサを使用した複数のアプライアンスのクラス

タ化については、 307 ページの「マルチノード EX-2500 クラスタの構成」を参照してください。

この節では、 Aventail クラスタの機能を紹介し、クラスタのインストール、構成、保守などの手順について説

明します。

概要 : Aventail クラスタ

クラスタは、シングルポイント障害を防止するためのものです。クラスタをインストールすると、アプリケー

ションを複数のコンピュータに分散できるため、応答時間が向上し、障害が発生しても不必要なダウンタイム

を避けることができます。クラスタは、ユーザー、アプリケーション、ネットワークには単一のシステムとし

て提示され、管理者にとってはシングルポイント管理が可能になります。

Aventail EX-1500 アプライアンスは、 2 ノードクラスタをサポートしており、大 1,000 人のユーザーに

対して高可用性の構成をサポートしています。 Aventail EX-2500 の場合、内部負荷分散機能による同様の 2 ノード構成では、大で 2,000 人のユーザーをサポートしています。これらのクラスタでは、アクティブ / ア

クティブ構成をサポートしています。つまり、クラスタの両方のノードが同時にアクティブになることが可能

で、ユーザーの負荷を分散できるようになっています。

クラスタアーキテクチャ

Aventail クラスタは、デュアルインタフェース構成とシングルインタフェース構成の 2 種類の構成でインス

トールすることができます。これらの構成の詳細については 13 ページの「ネットワークアーキテクチャ」を

参照してください。クラスタをどちらの構成でインストールするときも、 2 台のアプライアンスをクラスタネットワークで互いに接続しなければなりません。両方のアプライアンスのクラスタインタフェース同士を接

続すると、 2 つのクラスタノードが ( ステート同期、クレデンシャル共有、負荷分散のために ) 互いに通信で

きるプライベートネットワークが構築できます。

インストールのシナリオがどういうものであっても、次の接続要件が必要になります。

• 負荷分散の冗長性を実現するため、クラスタの両方のノードが負荷分散ノードとして動作しなければなり

ません。そのため、両方のノードを、インターネットにつながるネットワークスイッチに接続しなけれ


• 内部リソースと通信するため、クラスタの両方のノードが、イントラネットにつながるネットワークスイッチに接続しなければなりません ( シングルインタフェース構成の場合は外部スイッチと同じ )。

• すでに説明したように、両方のクラスタノードが、クラスタインタフェースを介して互いに接続してい


260 | 第 11 章 - 2 ノードクラスタのインストールと管理

デュアルインタフェース構成の場合、クラスタアーキテクチャは、次の図のようになります。

シングルインタフェース構成の場合、クラスタアーキテクチャは、次の図のようになります。

メモ

• シングルインタフェース構成では、ネットワークトンネルサービスを使用できません。

負荷分散サービス

アクティブなノード [ あくてぃぶなのーど ]; 冗長ノード [ じょうちょうのーど ]; ノード : アクティブ [ のー

ど : あくてぃぶ ]; ノード : 冗長 [ のーど : じょうちょう ]Aventail クラスタには、負荷分散機能が統合されて

いるため、外部ロードバランサを用意する必要がありません。この内部負荷分散サービスは、次の 2 つの主要

な役割を果たします。

• 入ってくる要求を、現在接続数がも少ないノードに送ることによって、 2 つのノード間で接続を分配し

ます。

• ノード障害を検出する内部監視サービスを持ち、そのノードのリモート接続を、クラスタ内のもう一方の

ノードに対してフェイルオーバーします。ノード障害が発生した場合、障害が発生したノードが復旧する

まで、入ってくる要求をもう一方のノードに送ります。復旧したら、再び接続を 2 つのノードに分配しま

す。

負荷分散機能は、一度に 1 つのノード ( アクティブ負荷分散ノード ) のみに存在します。もう一方のノード

は、冗長なロードバランサとして動作し、アクティブなロードバランサがダウンしたときに負荷分散の役割

を引き継ぎます。このとき、この冗長ノードがアクティブなロードバランサになり、障害が発生したノードが

復旧してもその状態が続きます。アクティブ負荷分散ノードは、プライベートクラスタネットワークを介し

て、スタンバイ負荷分散ノードと通信します (259 ページの「クラスタアーキテクチャ」を参照 )。

2

1

2

1


ステートフルフェイルオーバー

クラスタには、ステートフルユーザー認証フェイルオーバー機能があります ( すべてのノードが共有するメモ

リキャッシュ内の認証クレデンシャルがリアルタイムに共有される )。両方のノードは同期されるため、アク

ティブ負荷分散ノードが開始した接続についてフェイルオーバーが処理されるときも、ユーザーに再認証を求

める必要はありません。

クラスタでは、ステートフルアプリケーションセッションフェイルオーバーは提供されません。ユーザーが

どの程度の混乱を被るかは、フェイルオーバー発生時に使用していたアプリケーションの TCP/IP 切断許容度

によって変動してきます。

同期クラスタ管理

Aventail クラスタの両方のノードは、一方のマスター AMC から管理します。ソフトウェアを両方のノードに

インストールしたら、一方のノードの AMC にログインし、それをマスターとして割り当てます。それ以降、

このノードから、両方のノードのポリシーと構成の伝播、同期をコントロールします。スレーブノードの AMC にログインすると、 [Node Administration] ページが表示され、マスターノードでないことを知らせ

るメッセージが表示されます ( スレーブノードのサービスに関するステータス情報も表示される )。

クラスタの各ノードには、ホスト構成およびポリシーのデータが格納されます。マスターノードは、クラスタインタフェースを介してスレーブノードと通信しますが、このデータを次の方法で同期します。

• 2 番目のノードをクラスタに追加するとき、マスターノードは新しいノードに構成データを提供し、その

後、新しいノードがアクセスサービスを始動します。

• マスターノードに構成の変更を適用するとき、 AMC はその変更をスレーブノードに伝播します。

スレーブノードでは冗長 AMC を用意しますが、マスターノードに障害が発生しても、このノードが自動的に

マスターに割り当てられることはありません。この場合は、スレーブノードの AMC にログインして、手動で

マスターに割り当てなければなりません。元のマスターノードが復旧してオンラインになると、もう一方の

ノードがマスターになっていることを検出し、自身のノードをスレーブノードに降格させます。

! 注意マスターノードのソフトウェアをアップグレードしている場合、元のマスタノードがダウンしてい

る間は、スレーブノードをマスターに割り当てないでください。このようなことを行うと、アップグ

レードしたノードがもう一方のノードから ( バージョンの不適合によって ) 拒否されるため、動作しな

くなります。クラスタ全体を復旧する場合、 2 番目のノードをアップグレードするときに、ユーザーに

ダウンタイムが発生することになります。

272 ページの「マスター (AMC) ノードの障害」では、マスターノードに障害が発生した場合どうなるか手順

を追って解説しています。マスター AMC を使用してクラスタを管理する方法については、 267 ページの「ク

ラスタの管理」を参照してください。

クラスタのインストールと構成

Aventail クラスタをインストールするときは、両方のアプライアンスをラックマウントし、 2 台のアプライア

ンスのクラスタインタフェースを接続して、それぞれのアプライアンスで Setup Tool を実行しなければなり

ません。その後、一方のノードをマスターにして、クラスタの仮想 IP アドレス (VIP) を構成します。次の図

は、その作業の流れを示しています。

Aventail クラスタをインストールし構成する前に、次の情報を収集しておくと便利です。

HA-3 NIC ID

Setup Tool

AMC

VIP

( )


デュアルホームドインストレーションの場合の IP アドレス

• 合計 6 つの IP アドレスで、それぞれ、各ノードの内部インタフェース、外部インタフェース、クラスタインタフェースに対応するもの。

• クラスタに対して 1 つの仮想 IP アドレス (VIP)。 VIP は、クラスタ全体に対する単一の外部アドレスと

して機能し、外部インタフェースと同じサブネット上になければなりません。

• クラスタ環境でネットワークトンネルサービスを使用する場合、ネットワークトンネルサービスに対す

る内部 IP アドレスが必要になります。このアドレスは、クラスタ全体のバックコネクトアドレスとして

機能し、内部インタフェースと同じサブネット上になければなりません。

シングルホームドインストレーションの場合の IP アドレス

• 合計 4 つの IP アドレスで、それぞれ、各ノードの内部インタフェースとクラスタインタフェースに対応

するもの。

• クラスタに対して 1 つの仮想 IP アドレス (VIP)。 VIP は、クラスタ全体に対する単一の外部アドレスと

して機能し、内部インタフェースと同じサブネット上になければなりません。

クラスタ名とノード名

• 英数字によるクラスタの固有の名前 ( 初の文字は英字でなければならない )。

• それぞれのノード ID に対する、 2 つの固有の英数字名 ( 初の文字は英字でなければならない )。

ステップ 1: クラスタネットワークの接続

Setup Tool を実行する前に、クラスタの 2 つのノードでクラスタネットワークを接続します。

クラスタネットワークを接続するには

1. アプライアンスに付属するネットワーククロスケーブルを取り出します。

2. このケーブルを使用して、両方のアプライアンスのクラスタインタフェース同士を接続します。 24 ペー

ジの「アプライアンスの接続」を参照してください。

! 注意クラスタネットワークの 2 つのノードを接続するときは、アプライアンスに付属するクロスケー

ブルを使用しなければなりません。他のケーブルで代用しないでください。また、 2 つのノードを接続

するときに、他のネットワークハードウェアデバイス ( ルータやスイッチなど ) を使用することはでき

ません。


ステップ 2: クラスタのすべてのノードで Setup Tool を実行

Setup Tool は、アプライアンスの初期ネットワーク設定を実行するためのコマンドラインユーティリティで

す。単一ノード環境でこのツールを実行する場合の詳細については、 27 ページの「初期ネットワークセット

アップの実行」で説明しています。クラスタをインストールするとき、一方のアプライアンスで Setup Tool を実行して、 2 番目のアプライアンスでそのプロセスを繰り返します。作業を始める前に、 29 ページの

「Setup Tool の使用についてのヒント」を参照してください。

クラスタ環境で Setup Tool を実行するには

1. クラスタ内の一方のアプライアンスにシリアル接続し、 2 つのノード間でクラスタネットワークが接続

されていることを確認します。次に、フロントパネルの電源ボタンを押してアプライアンスをオンにし

ます。この操作により、 Setup Tool が自動的に動作を始めます ( 「setup_tool」と入力して ENTER を押しても実行可能 )。

2. ログインするよう求められたら、ユーザー名に「root」と入力します。

3. Aventail EULA が表示されます。画面をスクロールして内容を確認し、 ENTER を押して次の画面に移る

か、「q」と入力して終了します。



4. システムの新しい root パスワードを作成するよう求められます ( このパスワードは、 AMC にアクセスす

るときも使用する )。

Password:

• パスワードは、 8 文字から 20 文字で指定し、大文字と小文字を区別します。大文字と小文字、数字

などを組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載ってい

るような単語は避けるようにします。パスワードはなんらかの形で記録し、安全な場所に保管してお

きます。万一パスワードを紛失した場合、 Aventail のサポートでも復帰させることができません。

ENTER を押して次に進みます。

Confirm password:





IP address:



Subnet mask:


Gateway:





ます。


し、値を変更したい場合は新しい値を入力します。

7. 次に、このノードをクラスタの一部にするかどうか尋ねられます。

Install node in a cluster? [n]:

• 「y」と入力して ENTER を押します。

8. 次にクラスタ名を入力するよう求められます。この名前は、英数字で指定し、初の文字には英字を指定

しなければなりません。

Cluster name:

• このクラスタに対するクラスタ名を入力して ENTER を押します。


! 注意 2 番目のノードに対するクラスタ名を入力するとき、初のノードに入力した名前と同じにしなけ

ればなりません。これらの名前が異なる場合、クラスタはクラスタとして機能しなくなります。これら

の名前では、大文字と小文字を区別します。

9. 次に、このアプライアンスのノード ID を入力するよう求められます。ノード ID 名も英数字で指定し、

初の文字には英字を指定しなければなりません。 AMC では、このノード ID を使用して、それぞれの

アプライアンスを識別します。この ID は、複数の AMC ページで表示されます。

Node ID:

• このアプライアンスに対する固有のノード ID を入力して ENTER を押します。

! 注意 2 番目のノードに対するノード ID を入力するとき、初のノードのノード ID と異なるものにしな

ければなりません。これらの ID が同じ場合、ノードはクラスタに参加できなくなります。これらの名前

では、大文字と小文字を区別します。

10. 次に、クラスタインタフェースに対する IP アドレスとサブネットマスクを入力するよう求められます。

このインタフェースは、クラスタの 2 つのノード間の通信に使用されます。

Cluster interface IP address:

• このアプライアンスに対するクラスタインタフェースの IP アドレスを入力して ENTER を押しま

す。

Cluster interface subnet mask:

• このアプライアンスに対するクラスタインタフェースのサブネットマスクを入力して ENTER を押

します。

! 注意 2 番目のノードに対するクラスタインタフェースの IP アドレスを入力するとき、初のノードの

クラスタインタフェース IP アドレスと異なるものにしなければなりません。それぞれのクラスタイン

タフェース IP アドレスは固有でなければなりません。また、クラスタインタフェースの IP アドレスを

入力するとき、クラスタインタフェースに使用するネットワーク範囲やサブネットが他のインタフェー

スのネットワーク範囲と異なっていなければなりません。クラスタインタフェースのネットワーク範囲

は固有のものでなければなりません。


し、値を変更したい場合は新しい値を入力します。




この時点で、 Setup Tool が変更を保存し、必要なサービスを再起動します。また、これまで指定した情

報を基に Secure Shell (SSH) 鍵を生成します。

この間、フィードバックはほとんどありません。 Setup Tool が反応しなくなったなどと早合点せずに、

そのまましばらくお待ちください。

変更が保存されたら、初期セットアップが完了したことを示すメッセージが表示されます。

13. 初のノードで Setup Tool を実行し終わったら、次のノードでも同じプロセスを繰り返します。

ステップ 3: マスターノードの割り当て

両方のアプライアンスで Setup Tool を実行したら、一方のアプライアンスをマスターノードに割り当てます。

クラスタを管理するときは、マスターノードで AMC を使用します。

! 注意デュアルホームドノードを構成している場合は特に、両方のノードで Setup Tool を実行し終わる

まで、ノードをマスターに割り当てないでください。両方のノードは、同じ数のインタフェースで構成

しなければなりません。こうしなければ、クラスタが正常に機能しません。そのため、両方のノードで Setup Tool を実行し終わるまで、 AMC でインタフェースを構成するのは避けなければなりません。


マスターノードを割り当てるには

1. マスターにしたいノードで AMC にログインします。ログインの詳細については、 31 ページの「AMC へのログイン」を参照してください。 AMC のホームページが表示されます。

2. [Cluster management] で、 [Assign as master] リンクをクリックします。この操作により、こ

のノードの AMC ホームページにリダイレクトされます。

ステップ 4: クラスタの外部仮想 IP アドレスの構成

クラスタの仮想 IP アドレスは、クラスタ全体に対する単一の外部アドレスとして機能します。

クラスタの仮想 IP アドレスを構成するには

1. メインナビゲーションページから [Network Settings] をクリックします。この操作により、



3. [Cluster configuration] セクションの [Virtual IP address] に、クラスタの仮想 IP アドレスを

入力します。これは、インターネットに接続しているインタフェース ( シングルホームド構成の場合は内

部インタフェース、デュアルホームド構成の場合は外部インタフェース ) の IP アドレスと同じサブネッ

ト上になければなりません。

4. クラスタ環境でネットワークトンネルサービスを使用している場合、 [Network tunnel service virtual IP address] ボックスに仮想 IP アドレスを入力します。

この IP アドレスは、クラスタ全体に対する、ネットワークトンネルサービスの単一の内部アドレスと

して機能します。この VIP は、内部インタフェースと同じサブネット上になければなりません。この設

定は、デュアルホームドクラスタのみに適用されます。


ステップ 5: 残りの構成作業の実行

ソフトウェアを両方のノードにインストールし、一方の AMC がマスター管理コンソールとして機能し始めた

ら、残りの構成作業に取りかかります。単一ノードアプライアンスとクラスタとの構成にはほとんど差はあり

ません。クラスタを構成する場合の違いには、主に次のようなものがあります。

• AMC の [Network Settings] ページに、クラスタの両方のノードが表示されます。単一ノード環境の

場合、 1 つのノードしか表示されません。

• 前のステップで使用した [Cluster interface settings] セクションが表示されます。このセクション

は単一ノードの場合は表示されません。

• [Network Interface Configuration] ページで、アプライアンスの名前 ( 実際はノード ID) を編集

できません。単一ノードの場合は、アプライアンスの名前を編集できます。

45 ページの「ネットワークと認証の構成」に進んでクラスタ構成を続けた後、後にこの手順に戻ります。

メモ

• 外部インタフェースを有効にする場合、両方のノードで同時に有効にしなければなりません ( 言い換える

と、 AMC では、両方のノードでインタフェースを有効にしない限り構成の変更を適用できない )。

ステップ 6: 管理スイッチ接続の構成 ( 適切な場合 )

802.1d スパニングツリープロトコルをサポートするスイッチ接続を使用している場合、フェイルオーバーの

ためにどのインタフェースを監視するか指定しなければなりません。また、このステップを実行する前に、

ネットワークインタフェースをすべて構成していなければなりません。 266 ページの「ステップ 5: 残りの構

成作業の実行」を参照してください。

この設定は、信頼性の高いフェイルオーバー機能を実現するため、ネットワーク環境でサポートされている場

合は有効にしておきます。ほとんどのテスト環境では、この設定を有効にすることはできませんが、実稼働環

境では可能な限りこの設定を使用します。この設定は、デフォルトで無効になっています。

! 注意この設定は、 802.1d スパニングツリープロトコルに対応している管理スイッチを使用している場

合を除き、有効にしないでください。誤ってこの設定を有効にすると、マスターノードがスレーブノー

ドの存在を検出できなくなります。

管理スイッチ接続を構成するには

1. メインナビゲーションページから [Network Settings] をクリックします。この操作により、



3. [Cluster configuration] セクションの [Check for managed switch connection on:] で、適

切な設定を選択します。この設定は、デフォルトで無効になっています。この設定を有効にするには、ス

イッチで管理するインタフェースを選択します。


クラスタの管理

ほとんどのクラスタ管理作業は、単一の AMC ( マスターとして指定されている AMC) から実行することがで

きます。この節では、クラスタを管理する方法について詳細に説明します。

各ノードのネットワーク構成の表示と構成

マスター AMC から、クラスタ内の両方のノードに対するネットワークインタフェース設定を表示し構成する


ネットワークインタフェース構成設定を表示するには

1. メインナビゲーションページから [Network Settings] をクリックします。


3. [Network interfaces] セクションのテーブルには、 2 つのそれぞれのノードに関する情報が表示され

ます。それぞれのノードはノード ID で識別されます。マスターノードについては、ノード ID の下に

「(master)」と表示されます。特定のノードに対するネットワークインタフェース構成ページを表示す

るときは、その名前をクリックします。この操作により、そのノードに対する [Configure Network Interfaces] ページが表示されます。

このページから、それぞれのインタフェースに対する構成を変更することができます。これらのネット

ワーク設定の構成については、 46 ページの「ネットワークインタフェースの構成」を参照してくださ

い。


クラスタの起動

クラスタ内の両方のノードを起動するとき、どちらのノードの電源を先にオンにしてもかまいません。

サービスの開始と停止

クラスタ環境のサービスを開始したり停止したりするときは、マスターノードを使用します。サービスの開始

と停止の方法については、 251 ページの「Aventail アクセスサービスの停止と開始」を参照してください。

ただし、クラスタの単一ノードのサービスを制御することはできません。サービスを開始または停止するとき、

サービスはクラスタの両方のノードで開始または停止します。クラスタの単一ノードでサービスを停止すると

きは、アプライアンス自体の電源をオフにしなければなりません。

メモ

• マスターの [Services] ページの [Status] 列には、マスターノードのサービスのステータスのみが表

示されます。スレーブノードを監視する方法については、 268 ページの「クラスタの監視」を参照して

ください。

クラスタの監視

マスターノードからは、マスターノードで動作するサービスのみを監視することができます。スレーブノー

ドのサービスのステータスを表示するときは、スレーブノードの AMC にログインしなければなりません。

マスターノードのサービスのステータスを表示するには

1. メインナビゲーションメニューから [Services] をクリックします。

2. [Access services] エリアで、それぞれのサービスに対する [Status] インジケータを参照します。

[Stop]/[Start] の値は、マスターノードのサービスのステータスを示します。

スレーブノードのサービスのステータスを表示するには

1. スレーブノードの AMC にログインします。 [Slave Node Administration] ページが表示されます。

2. [Node status] エリアで、 [Services]、 [System information] [Current connections] を参

照します。このページには、前回クラスタを同期したときのタイムスタンプも表示されます。

3. 新の統計データを参照するときは、 [Refresh] ボタンをクリックします。


4. [Slave Node Administration] ページから、メインナビゲーションメニューを使用して次の AMC ページにアクセスすることができます。

• [System Status] ページ

• [View Logs] ページ

• [Maintenance] ページ

5. クラスタを管理したい場合は、 AMC の [Home] ページの [Cluster Management] でマスターに対応

するリンクをクリックします。

メモ

• クラスタ環境の場合、 AMC ホームページおよび [System Status] ページに表示されるアクティブユーザー数は、カレントノードのユーザー数ですが、 [Active Users] ページに表示されるユーザー数

は、全クラスタのアクティブユーザーになるため、この値より大きくなります。

クラスタのバックアップ

クラスタの構成データをバックアップするときは、マスターノードのみで Backup Tool を実行します。この

操作により、両方のノードの構成データがバックアップされます。 Backup Tool の実行方法については、 167ページの「Backup Tool による現在の構成のバックアップ」を参照してください。

クラスタでの保守の実行

クラスタの一方または両方のノードで保守作業を行うとき、両方のノードでサービスを停止しなければなりま

せん。すべての保守活動は、ユーザーの妨げにならない適な時間を選んで計画する必要があります。詳細に

ついては、 268 ページの「サービスの開始と停止」を参照してください。

クラスタのアップグレード

クラスタ環境で Aventail ソフトウェアをアップデートするときは、クラスタのそれぞれのノードで Update Tool を実行しなければなりません。クラスタ内のノードをアップデートする順序は、非常に重要になります。

アップグレードを実施するときは、サービスを極力中断しないようにするため、保守期間に行うよう計画しま

す。

クラスタをアップグレードするには

1. マスターノードで Update Tool を実行します。 FUpdate Tool の実行方法については、 172 ページの

「コマンドラインからのシステムアップデートのインストール」を参照してください。マスターノード

のアップデート中は、スレーブノードが要求の処理を引き継ぎます。

2. マスターノードのアップデートが終わってマスターがオンラインに戻ると、スレーブノードのバージョ

ンが異なっていることを検出します。スレーブノードのサービスを停止し、入ってくる要求をすべてマ

スターが処理するようになります。

3. スレーブノードで Update Tool を実行します。

4. スレーブノードのアップデートが終わってスレーブがオンラインに戻ると、再びクラスタに参加し、マ

スターノードと同期します。これに伴い、ロードバランサは、両方のノードが要求を処理できるように

なったことを検出します。

メモ

• アップグレードを実行したら、ユーザーは再認証を受けなければならなくなります。ただし、新しい接続

が影響を受けることはありません。

• アップグレードを実行する前に、 Config Backup Tool を実行することが推奨されます。詳細については、

167 ページの「Backup Tool による現在の構成のバックアップ」を参照してください。

• クラスタバージョンをロールバックしたい場合、アップグレードの場合と同じ手順で行います。

• クラスタバージョンを変更するときは、マスターノードでプロセスを開始することが非常に重要になり

ます。また、クラスタの両方のノードでこの手順を実行することも重要です。


単一アプライアンスのクラスタ構成へのアップグレード

アプライアンスが単一ノードで動作しており、これをアップグレードしてクラスタの一部にしたい場合、この

ツールでは、アプライアンスを再構成して、クラスタ対応にします。このツールを実行しても、既存の接続が

中断されることはありません。

Cluster Tool を実行するには

1. アプライアンスのコマンドラインで、「cluster_tool」と入力します。

2. クラスタ名を入力するよう求められます。この名前は、英数字で指定し、初の文字には英字を指定しな

ければなりません。

Cluster name:

• このクラスタに対するクラスタ名を入力して ENTER を押します。同じクラスタ名を使用したい場合

は、そのまま ENTER を押します。

! 注意この名前は正しく入力しなければなりません。クラスタ名は、クラスタの両方のノードで同じでな

ければなりません。クラスタ名が異なる場合、ノードがクラスタとして機能しなくなります。

3. 次に、このアプライアンスのノード ID を入力するよう求められます。ノード ID 名も英数字で指定し、

初の文字には英字を指定しなければなりません。 AMC では、このノード ID を使用して、それぞれの

アプライアンスを識別します。この ID は、複数の AMC ページで表示されます。

Node ID:

• このアプライアンスに対する固有のノード ID を入力して ENTER を押します。

4. 次に、クラスタインタフェースに対する IP アドレスとサブネットマスクを入力するよう求められます。

このインタフェースは、クラスタの 2 つのノード間の通信に使用されます。

Cluster interface IP address:

• このアプライアンスに対するクラスタインタフェースの IP アドレスを入力して ENTER を押しま

す。

Cluster interface subnet mask:

• このアプライアンスに対するクラスタインタフェースのサブネットマスクを入力して ENTER を押

します。

! 注意それぞれのクラスタノードのクラスタインタフェース IP アドレスは固有でなければなりません。






この時点で、 Cluster Tool が変更を保存し、アプライアンスを自動的に再起動します。変更が完了したら、ア

プライアンスがクラスタの一部として構成されたことを示すメッセージが表示されます。アップグレードした

アプライアンスをスレーブノードとして使用する場合はこれでプロセスが完了します。しかし、アプライアン

スをマスターノードとして使用する場合は、これをマスターとして指定する必要があります。 264 ページの

「ステップ 3: マスターノードの割り当て」を参照してください。

クラスタのトラブルシューティング

この節では、クラスタ環境で発生するさまざまな問題への対処方法について説明します。

フェイルオーバーが発生した場合のサービスの遅延の回避

ノードがスタンバイからアクティブまたはアクティブからスタンバイに移行するとき、ポートが他のスイッチ

に接続されているかスイッチがチェックするため、そのインタフェースが短時間だけ使用できなくなります。

ただし、スパニングツリーの高速ポートネゴシエーションを有効にすれば、このようなチェックをスキップす

る構成にすることもできます。 Cisco スイッチの場合、この機能は PortFast と呼ばれています。


クラスタエラーメッセージ

クラスタを構成したとき、対応するエラー条件が発生すると、 AMC に次のメッセージが表示されます。

クラスタのシナリオ

この節では、クラスタがさまざまな状況にどのように対応するか手順を追って紹介します。

正常なフローまたはトラフィック

両方のノードが正常に動作している場合、トラフィックはクラスタ内を次のように流れます。

1. 入ってくる要求がクラスタの仮想 IP アドレスにルーティングされます。

2. クラスタ内のノードを監視している、アクティブなロードバランサが、すべてのノードが使用可能であ

ると判定します。

3. ロードバランサが、どのサービスの接続数が現在も少ないかチェックし、要求をそのサービスにルー

ティングします。

ノードの障害

次のシナリオは、クラスタノードに障害が発生している場合にどうなるかについて示しています。ほとんどの

障害の場合、ユーザーが再認証を求められることはなく、現在のユーザー接続は正常に動作を続けます。ただ

し、特定のアプリケーションがユーザーに再認証を求める場合は、サービスが中断される可能性もあります。

エラーメッセージ説明

You are trying to cluster too many nodes (your system supports a maximum of two nodes). ( クラスタ化しようとしているノード数が多すぎます ( このシステムでは大 2 ノードをサポート )。 )

クラスタには 2 つのノードしか入れることができません。複数のクラスタを構成している場合は、それぞれのクラスタ名が固有のものであるか確認してください。

Invalid configuration. Each node in the cluster must use the same number of network interfaces.( 構成が不正です。クラスタ内のそれぞれのノードでは同じ数のネットワークインタフェースを使用しなければなりません。 )

クラスタ内の両方のノードは、同じ構成になっていなければなりません。一方のノードがデュアルホームドで、もう一方がシングルホームドになっている場合、 [Network Settings] ページにこのメッセージが表示されます。この問題を解消せずに変更を適用しようとすると、 [Apply Changes] ページでも同じメッセージが表示され、変更を適用するボタンが使用できない状態になります。

You have specified a duplicate cluster IP address. Re-run Setup Tool and assign a different one.( 指定したクラスタ IP アドレスが重複しています。Setup Tool を実行し直し、別のアドレスを割り当ててください。 )

ノードのクラスタインタフェースの IP アドレスが、固有のものでなければなりません。

You have specified a duplicate node ID. Re-run Setup Tool and assign a different one.( 指定したノード ID が重複しています。 Setup Tool を実行し直し、別の ID を割り当ててください。 )

クラスタが正常に動作するには、それぞれのノードに固有の ID が割り当てられていなければなりません。

The version of the software running on this node is incompatible with the master. Compare the version numbers and upgrade the appropriate node.( このノードで動作しているソフトウェアのバージョンには、マスターとの間で互換性がありません。バージョン番号を比較して、適切なノードをアップグレードしてください。 )

クラスタが正常に動作するには、それぞれのノードで同じバージョンのソフトウェアが動作していなければなりません。詳細については、 269 ページの「クラスタのアップグレード」を参照してください。


アクティブロードバランサの障害

アクティブロードバランサに障害が発生すると、スタンバイロードバランサが次のように処理を引き継ぎま

す。

1. アクティブロードバランサに障害が発生します。

2. クラスタネットワークを監視している、スタンバイロードバランサが、アクティブロードバランサの

障害を検出します。

3. スタンバイロードバランサが、アクティブロードバランサの仕事を再開します。入ってくるすべての

要求が、使用可能な単一ノードにルーティングされるようになります。

4. 元のアクティブロードバランサがオンラインに戻ると、そのままスタンバイロードバランサになりま

す。

5. 新しいアクティブロードバランサは、 2 番目のノードがオンラインになっていることを検出し、入って

くる要求を両方のノードに分散し始めます。

スタンバイロードバランサの障害

1. スタンバイロードバランサに障害が発生します。

2. クラスタネットワークを監視している、アクティブロードバランサが、スタンバイロードバランサの

障害を検出します。

3. アクティブロードバランサは、入ってくるすべての要求を、使用可能な単一ノードにルーティングしま

す。

4. スタンバイロードバランサがオンラインに戻ると、アクティブロードバランサは、入ってくる要求を

両方のノードに分散し始めます。

マスター (AMC) ノードの障害

このシナリオは、マスターノードに障害が発生した場合に、 AMC がどうなるかを示しています。初のシナ

リオでは、元のマスターがマスターの状態を維持する場合を示します。 2 番目のシナリオでは、元のマスター

がスレーブに指定される状態を示します。

元のマスターがマスターの状態を維持する場合

1. マスターノードに障害が発生します。

2. スレーブノードが正常に動作を続け、管理者はスレーブノードをマスターに割り当てません。

3. マスターノードはオンラインに戻りますが、依然としてマスターノードであることを認識します。

4. マスターのステートがスレーブノードのステートと同期されます。

5. マスターは ( 管理、構成、同期の点で ) マスターとして機能し続けます。

スレーブノードがマスターノードになる場合

1. マスターノードに障害が発生します。

2. 管理者が、スレーブノードの AMC にログインし、そのノードをマスターに割り当てます。

3. 元のマスターがオンラインに戻ると、もう一方のノードと通信し、そのノードがマスターとして機能して

いることを検出します。元のマスターは、自身のノードをスレーブノードに指定します。

4. 新しいマスターは、そのステートを新しいスレーブノードのステートと同期させます。

クラスタネットワークの障害

クラスタネットワークに障害が発生すると、クラスタの 2 つのノードが相手と通信できなくなります。

1. アクティブロードバランサが、クラスタネットワークがダウンしていることを検出します。入ってくる

すべての要求を、自身のノードに送ります。

2. マスター AMC が、クラスタネットワークのダウンを検出します。スレーブノードとは通信できなくな

ります。

メモ

• クラスタネットワークに障害がある場合の症状は、スレーブノードは動作しているが、マスターノード

がそれと通信できないというものです。


付録 Aトラブルシューティング

この節では、一般的なトラブルシューティングの方法について説明し、 ASAP Management Console (AMC) に付属するトラブルシューティングツールについて説明します。ただし、コアネットワーキングサービス (DHCP、 DNS、 WINS など ) の障害の場合は、不測の障害の原因になります。

一般的なネットワーキングの問題

• すべてのネットワークケーブルをチェックし、不良なケーブルがないか確認します。

• ネットワークアドレス変換 (NAT) を使用している場合、ファイアウォールでブロックされる可能性があ

ります。クロスケーブルを使用して物理インタフェースでノート型 PC をアプライアンスに接続すること

により、ファイアウォールを一時的にバイパスして、ネットワークの接続性を確認します。

このような接続が不可能な場合は、ノート型 PC を、アプライアンスの外部インタフェースと同じネット

ワークセグメントに ( できる限りアプライアンスに近い位置に ) 入れます。

• 外部インタフェースを ping しネットワーク接続を確認します。ホストの IP アドレスが ping できるにも

かかわらず、正規のドメイン名を ping できない場合は、名前解決の問題が考えられます。 ping コマンド

は、コマンドラインまたは AMC 内から発行することができます (281 ページの「ping コマンド」を参

照 )。

• すでに新しい IP アドレスをアプライアンスに割り当てている場合、ファイアウォールやルータなどの

ネットワークデバイスからローカルアドレス解決プロトコル (ARP) キャッシュを消去してください。こ

の操作により、これらのネットワークデバイスが古い IP-MAC アドレスマッピングを使用しなくなりま

す。

• 外部インタフェースでパケットトレースを実行して、トラフィックがアプライアンスに到達し返ってく

ることを確認します。これは一般的に、 tcpdump ユーティリティを使用して行います。たとえば「

tcpdump -i -n eth1:1 port 80 or 443」を実行すると、 eth1:1 インタフェースのポート 80 とポート 443 のトラフィックがチェックされます。

• トラフィックが接続先に到達しない場合、 iptables ( アプライアンスで動作するファイアウォール ) によってフィルタリングされていないことを確認します。ログファイル、 /var/log/kern.iptables の内容

を検査し、ドロップしているパケットがないか調べます。 iptables ルールセットを参照するときは、

「iptables -L -n -v」コマンドを実行します ( ただし、 iptables でフィルタリングされたトラフィッ

クを示すログメッセージは外部 syslog サーバーには転送されない )。

• 外部ネットワークに接続できない場合、デフォルトゲートウェイを ping し、インターネット接続が存在

することを確認します。 ping コマンドは、コマンドラインまたは AMC 内から発行することができます。

281 ページの「ping コマンド」を参照してください。

• scp ファイルコピーのパフォーマンスの低下や、 Web プロキシ、ネットワークトンネル、ネットワークプロキシサービスのパフォーマンスの低下など、ネットワークレイテンシが発生している場合は、アプ

ライアンスのインタフェース設定と、アプライアンスが接続するスイッチポートの構成に違いがある可

能性があります。つまり、スイッチが誤って二重モード設定を検出している可能性があります ( たとえ

ば、アプライアンスが全二重で構成されているにもかかわらずスイッチが半二重を検出しているなど )。Cisco 製のスイッチには、このような問題があることがわかっています。この問題は、アプライアンスの

パフォーマンスを低下させる可能性があります。

この問題を解決するには、オートネゴシエートを使用しない設定にします。代わりに、スイッチポート

に、アプライアンスと一致する設定を静的に割り当てるよう構成します。両方のスイッチポートと両方

のアプライアンスインタフェースの設定 ( 必要であれば、内部と外部 ) をチェックしなければなりませ

ん。いずれかのインタフェース / スイッチポートが不適合になっている場合、パフォーマンスに悪影響

が出ます。

274 | 付録 A - トラブルシューティング

ネットワークレイテンシが発生しているにもかかわらず、アプライアンス / スイッチポートが正しく構

成されている場合、問題はネットワークの他の箇所にあります。アプリケーションレベルの問題の可能性

もあります (Web プロキシ、ネットワークトンネル、ネットワークプロキシサービスがアクセスする DNS サーバーの名前解決が遅いなど )。

• DNS に問題がある場合、初に次のテストを行い、クライアントの DNS 解決が動作しているかどうか調

べます。この手順では、クライアントマシンがインターネットにアクセスできることが条件になってい

ます。 [ スタート ] > [ ファイル名を指定して実行 ] を選択し次のコマンドを入力して、コンソールウィ

ンドウを開きます。

cmd

次のように入力します。

ping google.com

「Pinging google.com [NNN.NNN.NNN.NNN]」というテキストの後に、google.com アドレスからの ping の応答が表示されるはずです。角かっこ内の IP アドレスは、 DNS ルックアップで解決されたもの

を表すため、この表示があれば、基本的な DNS 機能がクライアント側で動作していることになります。

基本的な DNS 機能が動作していない場合、 ping プログラムが数秒間停止し、ホスト、 google.com が見つからないことを表すメッセージを表示します。

• これでも DNS の問題が解消されない場合は、DNS がアプライアンスのホスト名を解決できるかどうか調

べます。「google.com」の箇所をアプライアンスのホスト名で置き換えて、上記の ping の手順を繰り

返します。

ping がホスト名に対するアドレスを検出できない場合、ホスト名を提供するはずの DNS サーバーで問

題を解決します。ホスト名の代わりにアプライアンスの外部インタフェースの IP アドレスを指定するこ

とで、クライアント接続に問題がないか調べます。

ping がホスト名に対するアドレスを検出できるにも関わらず応答が表示されない ( 「Request timed out ( 要求がタイムアウトしました )」 ) 場合、クライアントとアプライアンス間のいずれかのホップで、

ICMP エコーがブロックされている可能性があります。

AMC の問題

• AMC にアクセスできない場合は、アプライアンスの内部ネットワークインタフェースにクロスケーブル

を接続し、ネットワークを介さないで AMC にアクセスできるか確認します。このような接続が不可能な

場合は、ノート型 PC を、内部インタフェースと同じネットワークセグメントに ( できる限りアプライア

ンスに近い位置に ) 入れます。

• それでも AMC にアクセスできない場合、URL に https:// プロトコル識別子が入っているか確認します。

また同時に、 URL にポート番号 8443 が入っているか確認します。

• ブラウザから内部ネットワークの AMC にログインできない場合、クライアントからアプライアンスの内

部インタフェースの IP アドレスに対するトラフィックが、実際に内部インタフェースに到達しているか

確認します。 tcpdump ファイルを調べ、クライアントが AMC に到達しようとするとき、 eth0 からの

ネットワークトレースが、クライアントの IP アドレスからポート 8443 へのトラフィック TCP SYN パケットを示していることを確認します。

• 構成の変更が有効にならない場合、 AMC で [Apply Changes] をクリックして、サービスを再起動し、

変更を適用します。

• 「Invalid Login Credentials ( 不正なログインクレデンシャル )」というエラーが表示されて AMC ログ

インが失敗する場合は、ユーザー名とパスワードを正しく指定しているか確認します。パスワードでは大

文字と小文字が区別されます。 CAPS LOCK や NUM LOCK が押されていないことを確認してください。

• プライマリ管理者のパスワードを紛失した場合、アプライアンスに「root」としてログインし、

/usr/local/app/mgmt-server/sysconf/pending/avconfig.xml を修正する必要があります。プライマ

リ管理者に対する <credentials> ブロックを探し、<password> 要素を次のパスワード (MD5 ハッ

シュを使用して暗号化している ) で置き換えます。

$1$h/Vql8b.$G8FZroTP0ainA4wT8uZga.

AMC を再起動すると、パスワードが「password」にリセットされます ( もちろん、すぐに AMC を使用

してもっと安全なパスワードに変更する必要がある )。セカンダリ管理者がパスワードを紛失した場合は、

プライマリ管理者が、パスワードをリセットしなければなりません。


認証の問題

• 外部認証サーバーにアクセスできるか確認します。これは一般的に、 tcpdump ユーティリティを使用し

て行います。たとえば「tcpdump -i eth0 udp port 1645」を実行すると、ポート 1645 で RADIUS 認証サーバーにアクセスできるか確認することができます。

• 外部サーバーにアクセスするときに必要になる正しいクレデンシャルが AMC に含まれていることを確認

します。 LDAP の場合は [Login DN] および [Password] 設定をチェックし、 RADIUS の場合は [Shared secret] 設定をチェックします。

• 認証サーバーのログを確認します。不正なクレデンシャルを入力していないか確認し、同時に接続の問題

がないか確認します。

Aventail サービスの問題

Web プロキシサービスの問題

• AMC のサーバーログレベルを一時的に [Verbose] に上げます ( 必ず [Apply Changes] ページに行

きサービスを再起動させます )。

• [View Logs] ページで Web プロキシサービスログを参照します。また、「tail -f /var/log/aventail/access_servers.log」のように

tail コマンドを使用して、ログをネイティブ形式で表示することもできます。ログに接続要求が記述され

ているか確認します。

• DNS サーバーが、AMC の Web プロキシサービス [Server name] 設定を Web プロキシサービスインタフェースの IP アドレスに解決できることを確認します。AMC でルックアップツール (282 ページの

「DNS ルックアップ」を参照 ) を使用できる他、コマンドラインから nslookup または dig コマンドを

発行することもできます。

• ネットワークで NAT を使用して IP アドレスを変換している場合、 Web プロキシサービス [Server name] 設定に、 NAT によって置換される外部 ( またはパブリック ) IP アドレスが含まれていることを

確認します。

Web プロキシエージェントの問題

Web プロキシエージェントは、Internet Explorer 6.0 以降が動作する Windows XP および Windows 2000 の URL リソースに対するアクセスを提供します。 ASAP WorkPlace の [Connection Status] エリアに

「Aventail Web proxy」と表示されていれば、クライアントで Web プロキシモードがアクティブであること

がわかります。 Web プロキシエージェントがクライアントマシン上で正常に動作しているかどうかチェック

する場合は、次の手順を実行します。

1. クライアントマシン上で、 CTRL+ALT+DELETE を押し、 [ タスクマネージャ ] をクリックします。

2. Windows タスクマネージャの [Processes] リストを参照し、 ewpca.exe プロセスがないか調べま

す。このファイルが存在する場合、ネットワークトラフィックを受け取っていない場合でも、標準 Web モードアクセスエージェントが動作しています。

3. Web プロキシエージェントがトラフィックを受け取っていることを Internet Explorer で確認するとき

は、 [Tools] メニューから [Internet Options] を選択して、 [Connections] タブで [LAN Settings] をクリックするか、アプライアンスへの接続で使用しているダイヤルアップ /VPN 接続に対

する [Settings] をクリックします。

4. 接続タイプに対応する [Settings] ダイアログボックスで、 [Use automatic configuration script] チェックボックスが選択されており、 [Address] ボックスに次のアドレスが入力されているこ


http://127.0.0.1:<portnumber>/redirect.pac

この設定により、 Internet Explorer が、どの接続を Web プロキシエージェントに送信するか判定する

ときに redirect.pac ファイルを使用するようになります。

5. redirect.pac ファイルの設定でリダイレクトされるリソースアドレスを参照するには、このファイルを

テキストエディタで開きます。このファイルは、クライアントマシンの次のフォルダに置かれています。

|Documents and Settings|<username>|Application Data|Aventail|ewpca

redirect.pac の「//Redirection Rules//」セクションには、標準 Web プロキシエージェントに

よって送信される際の接続先として定義されているアドレスがリストされています。これらのアドレス

は、 AMC で定義されているネットワークおよび URL のリストから取り込まれたものです。


ネットワークプロキシサービスの問題

• AMC のサーバーログレベルを一時的に [Verbose] に上げます ( 必ず [Apply Changes] ページに行

きサービスを再起動する )。

• 接続するとき、クライアント / サーバーサービスログをリアルタイムに参照します。これは、「tail -f /var/log/aventail/access_servers.log」のように、

tail コマンドを使用して表示することができます。ログに接続要求が記述されているか確認します。

Aventail トンネルの問題

この節では、 Aventail ネットワークトンネルサービスおよびトンネルクライアントの問題に対処する方法に

ついて説明します。

• Aventail Connect トンネルクライアントがインストールされない場合 : プロビジョニングするクライ

アントは、インストールパッケージとしてクライアントコンピュータに配備されないため、インストー

ル手順が必要になります。この節では、インストールが失敗する場合の問題とその解決策について説明し

ます。

• システムがサポートされていない: クライアントコンピュータのシステムソフトウェアが Aventail Connect トンネルクライアントでサポートされているか確認してください。

• クライアントソフトウェアがシステム要件に合っていない : ユーザーが WorkPlace にアクセスで

きる場合、 WorkPlace で利用できるクライアントをインストールします。

• ユーザーにローカルの管理者権限がない : Aventail Connect トンネルクライアントをインストー

ルするためには、ユーザーに管理者権限が必要になります。

• Aventail Connect トンネルクライアントのインストールログファイル (ngsetup.log) には、イ

ンストールの問題に対処する上で役に立つ情報が記述されています。このファイルは、ユーザーのコ

ンピュータ上の次のディレクトリ内にあります。

%documents and settings%|all users|application data|aventail|ngsetup.log

• Aventail OnDemand トンネルエージェントがインストールされない場合 : OnDemand トンネルクライアントは、ユーザーが、適切に構成されたレルムで認証を受けた上で WorkPlace ページをブラウズ

すると、自動的にインストールされ有効になります。通常、 OnDemand トンネルエージェントは、ユー

ザーの介入なしで動作するようになっているため、 WorkPlace ウィンドウが開いている限り、構成され

たリソースに対し、トンネルを介して安全にアクセスすることができます。この節では、 OnDemand トンネルエージェントのインストールや有効化ができない場合の問題とその解決策について説明します。

• OnDemand トンネルが WorkPlace レルムで有効にならない : AMC のメインナビゲーションメニューから [Realms] をクリックします。 [Realms] ページに、アプライアンスで定義されてい

るすべてのレルムのリストが表示されます。特定のレルムのネットワークトンネルサービスに影響

する設定を確認するときは、そのレルムの名前をクリックします。 [Configure Realm] ページの [Communities] セクションで、 [Access Methods] をクリックして、 [Network tunnel client] チェックボックスが選択されていることを確認します。

• システムがサポートされていない: クライアントコンピュータのシステムソフトウェアが Aventail OnDemand トンネルクライアントでサポートされているか確認してください。

• ブラウザがサポートされていない : ユーザーが使用している Web ブラウザが Aventail OnDemand トンネルエージェントでサポートされているか確認してください。

• クライアントが接続できない場合 : コミュニティが OnDemand トンネルエージェントをサポートして

いれば、Aventail OnDemand トンネルエージェントは、ユーザーが WorkPlace で正常に認証されると

自動的に始動します。

プロビジョニングする Connect トンネルクライアントは、トンネルセッションを開始するたびに有効

化しなければなりません。トンネルセッションは、何時間もの間アクティブな状態を維持できます。た

だし、ネットワーク接続が数秒以上中断される ( たとえばネットワークケーブルを外した場合やノート

型 PC をスリープにした場合、極端なケースではレイテンシやパケットドロップ率が高い、過剰にビ

ジーのネットワークリンクの場合 ) と、トンネルセッションが終了します。

この節では、 Connect トンネルクライアントや OnDemand トンネルエージェントの接続失敗の原因

になる一般的な障害について説明します。

• アプライアンスに到達できない : Aventail Connect のログインダイアログボックスで、

[Properties] をクリックします。 [Properties] ダイアログボックスで、 [Login group] の下

にある [Change] をクリックします。アプライアンスがネットワーク経由で到達できる場合、使用

可能なレルムのリストとともに [Select or enter your login] ボックスが使用可能になっていま

す。アプライアンスが到達できない状態の場合、数秒経過してから、「The remote network connection has timed out ( リモートネットワーク接続がタイムアウトしました )」というエラーメッセージが表示されます。


• 不正なアプライアンスアドレスが指定されている : Aventail Connect のログインダイアログボッ

クスで、 [Properties] をクリックします。 [Properties] ダイアログボックスで、 [Host name or IP address of your VPN] の設定が正しいことを確認します。 IP アドレスの代わりにホスト

名を入力している場合、クライアントがそのホスト名を解決でき、そのホスト名が、アプライアンス

の外部インタフェースの IP アドレスに対応していることを確認します。

• アプライアンスが動作していない : アプライアンスが動作していることを確認します。

• ユーザー名に対するレルムが不正 : ユーザーに対して、有効なレルムが構成されていることを確認し

ます。

• 認証の障害 : ユーザーが正しい認証クレデンシャルを指定していることを確認します。

• クライアントサービスの障害 : クライアントログを探し出して、状況の説明とあわせてそのログファイルを Aventail に送信し、分析を依頼します。

• パーソナルファイアウォールのためにトンネルトラフィックが動作しない : ユーザーのファイア

ウォールが、アプライアンスの FQDN または IP アドレスに接続できるよう構成されていることを

確認します。

• クライアントは接続するがリソースにアクセスできない場合 : トンネルが確立されると、そのトンネルを

示すアイコンがタスクバー通知エリアに表示されます。この時点でクライアントコンピュータは、アプ

ライアンスが到達でき、そのユーザーが許可されている構成済みのあらゆるリソースにアクセスできるよ

うになります。この節では、クライアントがリソースに到達できない場合の問題とその解決策について説

明します。

• リソースが定義されていない : AMC で正しいリソースが定義されていることを確認します。

• ユーザーがリソースへのアクセスを許可されていない : AMC で、アクセス制御ルールの他、レルム

とコミュニティの割り当てを参照し、そのリソースに対するアクセスがユーザーに許可されているこ


• アプライアンスのルーティングがリソースに到達できない : アプライアンスとバックエンドリソー

スとの間に、一般的なネットワークの問題がないことを確認します。

• サーバーソフトウェアの障害 : 障害の際、ネットワークトンネルサービスが正常に機能しているか

どうか確認し、必要であれば詳細なトラブルシューティング情報を収集します。

• クライアントは接続するが突然切断する場合 : Connect トンネルや OnDemand トンネルの接続は、何

時間もの間アクティブな状態を維持できます。ただし、いくつかの理由で、トンネルが早く終了する可能

性もあります。この節では、トンネル接続が突然切断する場合の問題とその解決策について説明します。

• トンネルがアイドルだったためタイムアウトした : アプライアンスのリソースを保護するため、ト

ンネルが一定時間アイドル状態になっていると切断されるようになっています。

• 管理者がネットワークトンネルサービスを停止し再始動した : AMC を使用した一般的な構成操作

の場合、確立されているトンネルには影響しません。確立時に有効だった構成のまま動作が継続しま

す。ただし、アプライアンスの基本的なネットワーキングに影響する構成変更の場合、既存のトンネ

ルが落ちたりハングしたりするため、クライアント側で切断し復旧させる必要があります。

ネットワークトンネルサービスログを Info 以上のレベルに設定している場合、ネットワークトン

ネルサービスが停止するたびに「Reset Internal Interface and Addressing Information ( 内部

インタフェースとアドレッシング情報のリセット )」というメッセージがログに記述されます。ま

た、サービスが、停止した状態から始動すると、そのたびに「Internal Interface eth0 Address N.N.N.N Netmask N.N.N.N BCastAddr N.N.N.N Subnet N.N.N.N ( 内部インタフェース eth0、アドレス N.N.N.N、ネットマスク N.N.N.N、 BCastAddr N.N.N.N、サブネット N.N.N.N)」 ( 適切な IP アドレス値が入る ) というメッセージがログに記述されます。 ngutil ログの場合は、同様の

状況で「The server is shutting down ( サーバーが停止しています )」というテキストが記述され

ます。

• ネットワーク間トンネルが応答しないまたは信頼性がない : トラフィックが、クライアントとアプラ

イアンス間のホップで、使用可能な帯域幅を占有した場合、パケットは、エンドポイントの TCP スタックまたは中間ルータで待ち行列に入ります。待ち行列が一杯のとき、パケットは破棄されます。

Aventail ネットワークトンネルサービスでは、 TCP SSL 接続を介してトラフィックを伝送します。

TCP では、使用可能であることを検証できる状況に限りトラフィックを送信することで、信頼性の

ないネットワークに対応しています。 TCP 実装では、 ACK 応答がすぐに返されない場合、接続を破

棄できるようになっており、 Windows の TCP スタックでもこれが当てはまります。接続が破棄さ

れると、通常、トンネルクライアントは、接続を 20 秒間透過的に再開しようとします。輻輳のた

めに接続が破棄された場合は、一般的に再開も成功しないため、トンネルが終了することになりま

す。


• クラスタのフェイルオーバーが発生したため、クライアントの再開が失敗した : クラスタの構成で

は、アクティブなノードがフェイルオーバーしてスタンバイになると、クライアントトンネル再開

メカニズムにより、クライアント接続が維持されます。クライアントは 20 秒間だけトンネルを再開

しようとしますが、それが過ぎると試行をやめます。この時間内にフェイルオーバーが完了しない場

合、トンネル接続が破棄されます。正常に終了した場合は、クライアントは再開を試みないため、す

べてのトンネル接続が破棄されます。

また、フェイルオーバーの後、トンネルクライアントが再開を試みている間に、新しいクライアン

ト接続が開始されると、その接続には、既存のクライアントが再開しようとするアドレスが割り当て

られます。アドレス割り当てのさまざまな特性により状況が異なってきますが、このような場合は、

そのクライアントのトンネルの再開が破棄されます。

• クライアントサービスの障害 : クライアントサービスソフトウェアに障害が発生すると、トンネル

が破棄され、エラーダイアログボックスが表示されます。クライアントログを探し出して、状況の

説明とあわせてそのログファイルを Aventail に送信し、分析を依頼して、サービスを再始動しま

す。

• サーバーソフトウェアの障害 : アプライアンストンネルソフトウェアに障害が発生すると、アプラ

イアンスは自動的にリブートするか、無限にハングします。リブートの場合、 /var/log/dump に、

番号付きのクラッシュダンプが記録されます。この情報を探し出して分析します。

リブートせずにアプライアンスがハングした場合、トンネルサービスコードが無限ループまたは

デッドロックに陥っているか、エラーを記録するクラッシュダンプメカニズムに障害が発生してい

ます。後者の場合、ハングの前にクラッシュダンプが成功している可能性もあります。アプライア

ンスをリブートして、 /var/log/dump に新しいクラッシュダンプがないか調べ、この情報を探し出

して分析します。

前者の場合またはクラッシュダンプが生成されていない場合は、クラッシュ情報を探し出します。

このとき、アプライアンスがダウンした後予備手順を実行できていないため、クラッシュを発生させ

た環境も再現する必要があります。

• 一般的なサーバーの問題 : トンネルの問題は通常、初にクライアント側で現象が現れます。多くの問題

は、 AMC の管理者のみが識別できます。場合によっては SSH コンソールやシステムのシリアルコン

ソールで識別できることもあります。一般的なネットワーキングの問題については、 273 ページの「一般

的なネットワーキングの問題」を参照してください。

• ネットワークトンネルサービスが動作していない場合 : シリアルコンソールまたは SSH セッションで

次のように入力します。

uscat /var/avt/vpn/status

ネットワークトンネルサービスが構成され動作している場合、クライアントの仮想アドレス範囲情報が

表示されます。それ以外の場合、シェルプロンプトを除いて何も表示されません。ネットワークトンネ

ルサービスが動作していない理由を調べるとき、次の事項についてチェックします。

• ライセンスの不正または期限切れ : この場合、 AMC にログインすると、すべての AMC ページの上

部にライセンス警告が表示されます。ライセンスの問題を解決する場合、 Aventail に詳細を問い合

わせる必要があります。

• AMC またはコンソールプロンプトからの停止 : AMC の [Services] ページの [Network Tunnel Service] セクションで、 Aventail ネットワークトンネルサービスを無期限に停止でき

るようになっています。また、サービスが停止されているかどうかを示す情報を参照することもでき

ます。

• サービスが構成されていない、または不正、不完全に構成されている : ネットワークトンネルサー

ビスが動作するには、仮想アドレス、およびクライアントへの割り当てに関連する情報を構成しなけ

ればなりません。トンネルサービスの構成が不完全の場合、そのサービスは動作しません。

• サーバーソフトウェアの障害 : ユーザースペースのネットワークトンネルサービスコンポーネン

トに障害が起きると、一般的に、障害の発生したコンポーネントが再始動します。ログまたは /var/log/core のコアファイルに重要な情報が記述されています。カーネルコンポーネントに重大

な障害が起こった場合は、通常、クラッシュダンプに記録されます。

• クラスタの問題 : クラスタ化したアプライアンスが正常に動作するには、クラスタインタフェース

を介して互いに通信できなければなりません。高い信頼性で通信できない場合、その双方のノードで

サービスの提供を選択しており、それが障害の原因になっている可能性があります。また、双方の

ノードが自身をスタンバイ状態にあると見なしているため、双方がサービスを提供していない可能性

もあります。


Aventail OnDemand プロキシの問題

この節では、 OnDemand プロキシの一般的な問題と個別の問題に対処する方法について説明します。

一般的な OnDemand プロキシの問題

OnDemand が正常に動作しない場合、次の診断を行います。

OnDemand のテスト

適切な URL に接続しアプレットを起動して、サポートされているアプリケーションを実行することで、

OnDemand をテストします。

テストのときは、次の点を確認します。

• OnDemand が、必要な Aventail ネットワークアクセスサービスと通信できるか。

• Aventail ネットワークプロキシサービスの認証とアクセス制御が動作しているか。

• OnDemand が、自動的に接続を正しくリダイレクトするか。

• OnDemand が、構成されているそれぞれのアプリケーションごとに接続を作成するか。

• OnDemand が、自動的に始動する構成になっているシンクライアントアプリケーションを起動

させるか。

OnDemand ログファイルの表示

Windows を使用しているユーザーの場合、 OnDemand が起動するときログファイルが作成されます。この

ファイルには、トラブルシューティングで活用できるメッセージが記述されます。このログファイル (od.log および odapp.log) のロケーションは、ユーザーが実行しているオペレーティングシステムによって異なりま

す。

• Windows 2000 および Windows XP :

%SystemRoot%|Documents and Settings|<username>|Application Data|Logfiles|

• Windows 98 SE および Windows Me :

%SystemRoot%|Windows|Application data|Aventail|Logfiles|

JVM のバージョンの検出

OnDemand が正常に動作しない場合、 OnDemand でサポートされている JVM が動作しているか確認しま

す。サポートされている JVM のリストについては、 238 ページの「OnDemand クライアント要件」を参照

してください。また、ユーザーがブラウザで Java を有効にしていることも確認します。 280 ページの「ブラ

ウザでの Java の有効化」を参照してください。

クライアントコンピュータで動作している JVM のバージョンを判定するには、次の手順を実行します。

JVM のバージョンを検出するには

• Internet Explorer for Windows : ブラウザの Java コンソールを開いて、JVM の情報を参照することが

できます。 280 ページの「Java コンソールの表示」を参照してください。

• Browsers for Macintosh OS X: 「Applications」フォルダの「Utilities」フォルダを開き、「Java」フォルダを開きます。 Java Plugin Settings プログラムを実行し、 [About] タブを開いて、 JVM バー

ジョンに関する情報を参照します。

メモ

• 一部のバージョンの Windows には、 JVM が含まれていないこともあります。その場合、「jview.exe must exist in |path or you need to set JAVA_HOME」 (jview.exe が \path に存在するか JAVA_HOME を設定する必要があります ) というエラーメッセージが表示されます。このメッセージが

表示されたにもかかわらず Windows コンピュータに JVM があることがわかっている場合は、

[Environment Variables] ダイアログボックスで「JAVA_HOME」に JVM ディレクトリのパスを設

定します。詳細については、 Windows ヘルプを参照してください。また、 JVM を Windows コンピュー

タにインストールしたり、異なるコンピュータを使用したりすることもできます。


ブラウザでの Java の有効化

OnDemand アプレットが動作するためには、ユーザーのブラウザで Java を有効にしなければなりません。

Internet Explorer の場合、 Java はデフォルトで有効になっています。 OnDemand が動作しない状況でデ

フォルト設定を変えている可能性がある場合は、ブラウザのマニュアルに記載されている方法で設定を変更し

てください。

Java コンソールの表示

OnDemand アプレットが起動しない場合、ユーザー側で、 Java コンソールを開き、 OnDemand に関する技

術メッセージを表示する必要があります。

Java コンソールを開くには

• Internet Explorer for Windows: [Tools] メニューから [Internet Options] を選択して、

[Advanced] タブをクリックします。 [Microsoft VM] の下にある [Java Console enabled] チェックボックスと [Java logging enabled] チェックボックスを選択して、 [OK] をクリックしま

す。ブラウザをいったん閉じて再び開き、 [View] メニューの [Java Console] をクリックします。

• Internet Explorer for Macintosh OS X : 「Applications」フォルダの「Utilities」フォルダを開き、

「Console」プログラムを実行します。

• Internet Explorer for Macintosh OS 9.2: [View] メニューの [Java Messages] をクリックします。

この機能が動作しない場合、 Java ロギングがオンになっていることを確認するため、 [Edit] メニューの [Preferences] をクリックします。 [Web Browser] の下にある [Java] をクリックして、 Java メッ

セージロギングに対するチェックボックスを選択します。

• Netscape Navigator 7.x : ブラウザの [Tools] メニューから [Web Development] を選択して、

[Java Console] をクリックします。

• Windows で Sun Java プラグインを使用する場合、ユーザーはタスクバー通知エリアの「Sun Java」ア

イコンをダブルクリックすることで、 Java コンソールにアクセスすることができます。

個別の OnDemand の問題

次に、 OnDemand を使用するときの個別の状況に応じたトラブルシューティングのヒントを示します。

OnDemand が始動しない

初に、 OnDemand を実行しようとしているコンピュータ上の Web ブラウザで Java または JavaScript が有効になっているか確認します。 Java を有効にする方法については、 280 ページの「ブラウザでの Java の有

効化」を参照してください。

ブラウザで Java が有効になっている場合、ブラウザが、 OnDemand でサポートされているバージョンの Java Virtual Machine (JVM) を使用しているか確認します。サポートされている JVM のリストについては、

238 ページの「OnDemand クライアント要件」を参照してください。

この両方のオプションが有効であるにもかかわらず OnDemand が始動しない場合、ユーザーのコンピュータ

上で Java コンソールを開いて、 Java メッセージを参照してみます。このメッセージは、テクニカルサポート

を受ける上で役に立ちます。 280 ページの「Java コンソールの表示」を参照してください。

OnDemand でアプリケーションが正常に動作しない

ユーザー側で、 [OnDemand Details] ページをチェックし、アプリケーション名がアクティブになっている

か非アクティブになっているか確認します。問題の原因として考えられるのは、同じローカル IP アドレスお

よびポートを複数のアプリケーションが使用する構成になっていることです。問題の詳細について知りたい場

合は、ユーザーに、 [OnDemand Details] ページのログメッセージをコピーした上でメールするよう頼んで

ください。

サーバー証明書の [Accept] ボタンが使用できない

一部の環境では、 OnDemand がユーザーに提示したサーバー証明書を、ユーザーが受け入れられないという

こともあります。証明書ページの [Accept] ボタンが使用できない場合、 OnDemand はサーバー証明書の問

題を検出します。このような問題の一般的な原因として次のようなものが考えられます。

• コンピュータとサーバー間の日付 / 時刻の不適合。クライアントコンピュータと Aventail ネットワークプロキシサービスの日付 / 時刻の設定が正しいか確認します。

• 証明書の有効期限が切れているか、まだ有効になっていない場合。

• 証明書情報がサーバー情報と一致しない場合。

• 証明書チェーンが不正の場合。


AMC のトラブルシューティングツール

AMC には、基本的なネットワークトラブルシューティングツールが付属しています。たとえば、 ping、traceroute、 DNS ルックアップなどの他、現在のルーティングテーブルを表示する機能も搭載されています。

トラブルシューティングツールを実行するとき、コマンドを実行するのに数分かかることがあります。そのま

ましばらく待ち、コマンドが終了するまで、 AMC の他のページをブラウズしたりすることのないよう注意して

ください。

ping コマンド

ネットワーク接続を確認するときは、 ping コマンドを使用します。 ping コマンドは、 ICMP ECHO_REQUEST パケットをターゲットホストに送信し、ホストの返信があるまで待機して確認します。

ping コマンドを発行するには

1. メインナビゲーションメニューから [Troubleshooting] をクリックします。

2. [Ping] タブをクリックします。

3. [Address] ボックスに、 ping したいマシンの IP アドレスまたはホスト名を入力します。

4. [Go] をクリックします。 AMC が ping コマンドを発行します。 5 秒ほど経ったら、結果がページ下部の

大きなボックスに表示されます。接続が成功した場合は、次のような結果が返されます。

ping コマンドがホストに到達できなかった場合は、次のような結果が返されます。


traceroute コマンド

IP パケットが接続先に到達するまでに通過する一連のゲートウェイを確認するときは、 traceroute コマンド

を使用します。これは、ネットワーク障害がどこにあるか探す場合に使用すると便利です。

traceroute を発行するには


2. [Ping] タブをクリックします。

3. [Address] ボックスに、 traceroute コマンドを発行するマシンの IP アドレスまたはホスト名を入力し

ます。

4. [Use traceroute] チェックボックスを選択します。

5. [Go] をクリックします。 AMC が traceroute コマンドを発行します。 5 秒ほど経ったら、結果がページ

下部の大きなボックスに表示されます。 traceroute は、ホストのリストを返します。このリストでは、

初のゲートウェイが初に来て、接続先が後にリストされます。

DNS ルックアップ

AMC のルックアップツールを使用して、 DNS が IP アドレスやホスト名を解決する方法を調べることができ

ます。このツールは、さまざまな DNS の問題に対処するときに使用すると便利で、 DNS サーバーが動作して

いるか判定する場合にも使用することができます。

ルックアップツールでは、正規のドメイン名または IP アドレスを使用することが前提になっています。ただ

し、 ([Network Settings] の ) [Name Resolution] タブでデフォルト検索ドメインを 1 つまたは複数定

義していれば、正規でないホスト名を入力することもできます。名前解決の設定については、 51 ページの

「名前解決の設定」を参照してください。

DNS が IP アドレスやホスト名を解決する方法を調べるには


2. [Lookup] タブをクリックします。

3. [Address] ボックスに、このコマンドを発行するマシンの IP アドレスまたはホスト名を入力します。


4. [Go] をクリックします。結果はページ下部の大きなボックスに表示されます。

現在のルーティングテーブルの表示

AMC から、動的ルートと静的ルートの両方について、現在のルーティングテーブルを表示することができま

す。

現在のルーティングテーブルを表示するには


2. [Routes] タブをクリックします。

3. [Go] をクリックします。動的ルートと静的ルートの両方を含む結果が、次の図のようにページ下部の大

きなボックスに表示されます。

ネットワークトンネルクライアントのロギングツール

ngutil ツールを使用すると、いずれかのネットワークトンネルクライアントが動作するユーザーセッショ

ンについてログをとることができます。

クライアントコンピュータで ngutil を実行するには

1. ユーザー側で、 [ スタート ] > [ ファイル名を指定して実行 ] を選択し「command」と入力して、コマン


2. ユーザーが DOS コマンドプロンプトから「ngutil -reset」と入力します。この操作により、イベン

トログが消去されます。

3. ユーザーが、ネットワークトンネルクライアントを起動し、ログに取り込みたいアクションを実行しま

す。

4. ユーザーがコマンドプロンプトから「ngutil > log.txt」と入力します。この操作により、バッファ

されたログメッセージが、カレントディレクトリ上の log.txt ファイルにパイプされます。

5. ユーザーに log.txt ファイルを送信してもらいます。

また、ユーザーが「ngutil -poll」を実行しても、クライアントコンピュータ上のリアルタイムなロ

ギングを参照することができます。


メモ

• ユーザーは「ngutil -tail=1000>client-log.txt」コマンドを実行することもできます。このコマ

ンドを実行すると、クライアントログの新の 1000 行が client-log.txt に送られます。「1000」を別の

数字で置き換えると、その行数分がログから取得されるようになります。

• ngutil コマンドの構文について知りたい場合は、コマンドプロンプトで「ngutil -help」と入力しま

す。


付録 Bアプライアンス保護のためのベストプラクティス

この節では、 Aventail アプライアンスのセキュリティを向上させるためのヒントを紹介します。

ネットワーク構成

• アプライアンスで、デュアルインタフェースを使用する構成にします。

Aventail アプライアンスでは、外部インタフェースと内部インタフェースの両方がある場合、適な

ファイアウォール設定が可能になります。それぞれのサービスは、両方のインタフェースに分割されるた

め、 Aventail ASAP Management Console (AMC) などの管理サービスはサービスを内部でのみリッス

ンし、 Aventail アクセスサービスなどのパブリックサービスは、外部でのみリッスンします。

• 両方のアプライアンスインタフェースをファイアウォールで保護します。

インターネットからのトラフィックは、ポート 80 とポート 443 でのみ許可します。アプライアンスは、

顧客ネットワーク上の必要なリソースにのみアクセスできるようにします。顧客ネットワークからは、信

頼できる IP アドレスのみが AMC にアクセスできるようにします。

• SSH サービスでは、厳格な IP アドレス制約を実施します。

両方のネットワークインタフェースが有効な場合、 Secure Shell (SSH) は両方のインタフェースでリッ

スンします。 SSH サービスのアクセスは、信頼できる管理ワークステーションの IP アドレスに制限する

か、少なくとも内部ネットワークのアドレス範囲に制限します。

• SNMP サービスでは、厳格な IP アドレス制約を実施します。

両方のネットワークインタフェースが有効な場合、 Simple Network Management Protocol (SNMP) は両方のインタフェースでリッスンします。 SNMP サービスのアクセスは、信頼できる管理ワークステー

ションの IP アドレスに制限するか、少なくとも内部ネットワークのアドレス範囲に制限します。

• SNMP コミュニティ文字列には、安全なパスフレーズを使用します。

AMC の SNMP 構成では、ネットワーク管理ツールが Aventail アプライアンスに照会するために使用す

る文字列を、 [Community string] ボックスで設定します。この値は、デフォルトで「public」に設

定されています。このコミュニティ文字列は、必ず安全なパスフレーズに変更するようにしてください。

• ICMP トラフィックは無効にするか禁止します。

両方のネットワークインタフェースが有効な場合、 Internet Control Message Protocol (ICMP) を有

効にすると、インターネットからアプライアンスを検出できるようになります。も安全なアプローチ

は、 ICMP を無効にすることです。 ICMP をあえて有効にする場合は、ファイアウォールやその他のネッ

トワークデバイスを使用して ICMP Echo Request トラフィックを禁止する必要があります。

• NTP サーバーを使用します。

クロックを外部 Network Time Protocol (NTP) サーバーに合わせ、システムログに正確なタイムスタ

ンプが記録されるようにします。

• アプライアンスが使用することになっているサーバー証明書を保護します。

アプライアンスのサーバー証明書を、他のユーザーがアクセスできる場所に残さないようにし、必ず強力

なパスワードを使用して鍵が暗号化されるようにします。攻撃者がこの証明書を入手した場合、どのホス

トに侵入できるか知るところとなり、プライベートなデータも解読できるようになります。

286 | 付録 B - アプライアンス保護のためのベストプラクティス

アプライアンスの構成

• アプライアンスのソフトウェアイメージを新の状態にしておきます。

パッチやアップグレードファイルには、セキュリティ関連のバグフィックスが含まれていることが多い

ため、 [Update] ページを使用して速やかに適用するようにします。

• 定期的に構成をバックアップします。

[Import/Export] ページの [Export] オプション、またはコマンドラインユーティリティを使用し

て、現在の構成を定期的にバックアップします。

管理者アカウント

• 強力なパスワードを使用します。

パスワードは、 8 文字以上にし、句読文字、大文字と小文字、数字などを組み合わせるようにします。

• AMC 管理者パスワードを変更します。

AMC 管理者パスワードは、初期インストールの際、 root のパスワードと同じ値に設定されます。 AMC 管理者パスワードは、 Web ブラウザと AMC サーバーとの間の SSL トンネルで送信されるため、変更す

るようにします。

• 管理者パスワードを頻繁に変更します。

• 管理者パスワードを他人と共有しないようにします。

特に必要でない限り、管理者パスワードを他人と共有しないようにします。他の管理者にアクセスを許可

する必要がある場合は、個別の管理アカウントを作成します。 1 人のユーザーが管理者アカウントを持つ

べきで、パスワードはエスクローとして預けるか、安全な場所に保管しておきます。

• 作成する管理アカウントの数を制限し、管理権限は、信頼できる個人にのみ割り当てるようにします。

• セカンダリ管理者のアクセスを制限します。

AMC の役割ベースの管理により、プライマリ管理者は、セカンダリ AMC 管理者に対して、一定の制約

付きで管理制御権限を与えることができます。 39 ページの「管理者の役割の定義」を参照してください。

アクセスポリシー

• 「小限の権限」の原則を守ります。

ポリシー設計におけるも安全なアプローチは、アクセスを許可したいリソースを個別にリストするとい

うものです。このアプライアンスでは、「許可」ルールで指定されていないものはすべて拒否されます。

このアプローチは、「アクセス権は、ユーザーにデフォルトで与えるのではなく、明示的に与えなければ

ならない」という、コンピュータセキュリティの基本設計原理に基づくものです。

もう 1 つのアプローチは、制限されているリソースに対して、「拒否ルール」を作成し、他の全員にデ

フォルトでアクセスを許可するというものです。この場合、終的に「拒否」ルールが処理されるまで、

「拒否」ルールで指定されていないものはすべてアクセス可能になります。この方法の場合セットアップ

は簡単ですが、間違いが生じやすいためあまり安全とは言えません。

もちろん、許可ルールと拒否ルールを組み合わせて使用することもできます。その場合、ユーザーに対し

て、一部のリソースに対するアクセス許可を与えますが、他のリソースについてはアクセスを拒否しま

す。

• ルールの順序には特に注意を払います。

アプライアンスは、アクセス制御ルールを順番に処理するため、アクセスを許可するか拒否するかという

点でルールの順序が非常に重要になります。アプライアンスは、一致するものが見つかればその時点で

ルールの読み込みをやめます。セキュリティポリシーの設定を慎重に検討し、ルールを誤った順序で指

定しないよう気を付けてください。

• も範囲が狭いルールをリストの初に配置します。

も範囲が狭いルールをリストの初に配置すると、アプライアンスは、範囲の広いルールを処理する前

に一致を見つけます。そのため、も範囲が狭いルールをリストの初に配置するのがベストです。

• 「Any」を含むルールは慎重に監査します。

アクセスを特定のユーザーや特定のリソースに制限しないルールを作成する場合、「Any」という言葉が

アクセス制御リストに登場します。

「Any」がポリシールールで持つ意味について慎重に検討します。「許可」ルールの場合、「Any」基準が

多すぎると、セキュリティホールをさらすことにもなりかねません。一方、「拒否」ルールで「Any」基

準が多すぎる場合は、ネットワークアクセスを不必要に制限してしまう可能性があります。


SSL サイファ

• 低強度の共通鍵暗号は無効にします。

• AMC のメインナビゲーションメニューから [SSL Settings] をクリックして、 [SSL Encryption] タブをクリックします。

• 40 ビットおよび 56 ビットサイファの横にあるチェックボックスのチェックをすべて外します。

クライアントアクセス

• タイムアウト設定を変更します。

[Configure General Appliance Settings] ページで [Maximum session length] を設定し、

ユーザーに定期的に再認証を求めるような設定にします。この設定は、ネットワークプロキシサービス

と Web プロキシサービスの両方に適用されますが、ネットワークトンネルサービスによって無視され

ます。

[Configure Network Access Service] > [Networky Proxy Options] ページで、 [SSL timeout]、 [Default connection timeout]、 [Authentication timeout] に対する [Timeout value] の設定を構成し、ユーザーに定期的に再認証を求めるような設定にします。

• End Point Control コンポーネントをインストールします。

Aventail の End Point Control コンポーネントをインストールすると重要なデータが保護されるため、

ネットワークが、信頼されていない環境の PC からアクセスを受けても危険にさらされることがなくなり

ます。また、 Aventail Cache Control と Aventail Secure Desktop の両方に非アクティブタイマーが

搭載されており、一定時間非アクティブな状態が続くと、そのユーザー接続を停止できるようになってい

ます。

• SecurID のような、強力な二因子認証メカニズムを使用します。

• Aventail Connect プロキシクライアントを、次の SSL 設定で構成します。

• 証明書チェーンの大長を「2」に設定します。

• 信頼できるルートファイルを使用します。アプライアンスの SSL 証明書の署名証明書は、ルートファイルにのみ入れます。

• Aventail Connect の [SSL Options] ダイアログボックスで、 [If a Server Certificate is Suspect] の下にある、 [Show me the certificate, but reject the connection] をクリッ

クします。

288 | 付録 B - アプライアンス保護のためのベストプラクティス


付録 C国際化サポート

この節では、このアプライアンスでサポートされている国際化機能について説明します。

ネイティブ文字セットのサポート

このアプライアンスでは、拡張文字セット、つまり 2 バイト文字セットをサポートしています。そのため、

ユーザー名、パスワード、リソース名、 WorkPlace ショートカット、アクセス制御ルールについては、 AMC で、拡張文字または 2 バイト文字を含むネイティブ文字セットで入力、表示することができます。また、この

アプライアンスでは、ユーザー名フィールドやパスワードフィールドなどのユーザー認証プロンプトについて

も、拡張文字または 2 バイト文字をサポートしています。

RADIUS ポリシーサーバーの文字セット

このアプライアンスでは、非英語文字セットを使用する RADIUS ポリシーサーバーによる文字エンコーディ

ングをサポートしています。RADIUS 仕様の新バージョン (RFC2865) では、すべてのテキストフィールド

で UTF-8 エンコード文字に対応することが求められています。ただし古いバージョンの RADIUS プロトコル

では、テキストフィールドを 7 ビット US-ASCII で定義しています。 AMC では、古いバージョンのプロトコ

ルを使用する RADIUS サーバーもサポートするため、も一般的に使用する文字セットのリストを選択でき

るようになっています。また、他の文字セットで入力することも可能です。

RADIUS サーバーの言語設定を変更するには

1. メインナビゲーションメニューから [Authentication Realms] をクリックします。この操作によ

り、 [Authentication] ページが表示されます。

2. 構成済みの [Authentication servers] のリストから RADIUS サーバーを選択します。( 初めて AMC で RADIUS サーバーを構成する場合は、 80 ページの「RADIUS 認証の構成」を参照 )

3. [Configure Authentication Server] ページで、 [Advanced] ボタンをクリックします。

4. [Locale encoding] エリアで次のように設定します。

• [Selected] リストボックスから文字セットを選択します。選択可能な文字セットのリストについ

ては、 290 ページの「選択可能な RADIUS 文字セット」を参照してください。

• [Other] をクリックし、テキストボックスに文字セットの名前を入力します。入力できる文字セッ

トのリストについては、 291 ページの「サポートされているその他の RADIUS 文字セット」を参照



290 | 付録 C - 国際化サポート

選択可能な RADIUS 文字セット

[Configure Authentication Server] ページの [Selected] リストでは、次の文字セットを選択すること

ができます。

文字セットコードページ

Japanese (Shift-JIS) ( 日本語 ) 932

Chinese Simplified (GBK) ( 簡体中国語 ) 936

Korean (EUC-KR) ( 韓国語 ) 949

Chinese Traditional (Big5) ( 繁体中国語 ) 950

Central European ( 中央ヨーロッパ語 ) 1250

Cyrillic ( キリル文字 ) 1251

Western ( 西欧語 ) 1252

Greek ( ギリシャ語 ) 1253

Turkish ( トルコ語 ) 1254

Hebrew ( ヘブライ語 ) 1255

Arabic ( アラビア語 ) 1256

Baltic ( バルト語 ) 1257

Vietnamese ( ベトナム語 ) 1258

Unicode (UTF-8) (Unicode) 65001


サポートされているその他の RADIUS 文字セット

[Configure Authentication Server] ページの [Other] テキストボックスでは、次の文字セットを入力


言語タイプサポートされている文字セット

ヨーロッパ語 ASCII

ISO-8859-1

ISO-8859-2

ISO-8859-3

ISO-8859-4

ISO-8859-5

ISO-8859-7

ISO-8859-9

ISO-8859-10

ISO-8859-13

ISO-8859-14

ISO-8859-15

ISO-8859-16

KOI8-R

KOI8-U

KOI8-RU

CP1250

CP1251

CP1252

CP1253

CP1254

CP1257

CP850

CP866

MacRoman

MacCentralEurope

MacIceland

MacCroatian

MacRomania

MacCyrillic

MacUkraine

MacGreek

MacTurkish

Macintosh

セム語 ISO-8859-6

ISO-8859-8

CP1255

CP1256

CP862

MacHebrew

MacArabic

292 | 付録 C - 国際化サポート

日本語 EUC-JP

SHIFT_JIS

CP932

ISO-2022-JP

ISO-2022-JP-2

ISO-2022-JP-1

中国語 EUC-CN

HZ

GBK

GB18030

EUC-TW

BIG5

CP950

BIG5-HKSCS

ISO-2022-CN

ISO-2022-CN-EXT

韓国語 EUC-KR

CP949

ISO-2022-KR

JOHAB

アルメニア語 ARMSCII-8

グルジア語 Georgian-Academy

Georgian-PS

タジク語 KOI8-T

タイ語 TIS-620

CP874

MacThai

ラオ語 MuleLao-1

CP1133

ヴェトナム語 VISCII

TCVN

CP1258

Unicode UTF-8

UCS-2

UCS-2BE

UCS-2LE

UCS-4

UCS-4BE

UCS-4LE

UTF-16

UTF-16BE

UTF-16LE

UTF-32

UTF-32BE

UTF-32LE

UTF-7

言語タイプサポートされている文字セット


付録 DFIPS ハードウェアセキュリティモジュール

この付録では、Aventail EX-2500 SSL VPN にインストールされている nCipher ハードウェアセキュリティモジュール (HSM) を使用して、アプライアンスで使用されるプライベート暗号鍵を保護する方法、 HSM にア

クセスするためのスマートカードを管理する方法、その他の運用機能とトラブルシューティング機能を実行す

る方法などについて説明します。

この付録では、 nCipher HSM の概要について、アプライアンスとの関連で説明します。 HSM の詳細について

は、 294 ページの「FIPS 対応アプライアンスに対するその他のマニュアル」にある nCipher の記述を参照し

てください。

はじめに

FIPS は、暗号化ソフトウェアを実装するための基準を設定した米国の規格です。 FIPS では、暗号アルゴリズ

ムの実装、鍵素材とデータバッファの処理、オペレーティングシステムとの協調などに関するベストプラク

ティスを指定しています。

FIPS に対応した Aventail アプライアンスは、 nCipher ハードウェアを追加インストールしたものです。

nCipher ハードウェアセキュリティモジュールは、 FIPS 140-2 レベル 2 に準拠しています。

FIPS 対応アプライアンスでは、 Aventail ネットワークトンネルサービス、 Aventail Web プロキシサービ

ス、 Aventail OnDemand プロキシエージェントを介して VPN にアクセスできるようになっています。ただ

し、 FIPS 対応アプライアンスでは、 Connect ネットワークプロキシサービスはサポートしていません。

ハードウェアセキュリティモジュールおよびセキュリティワールドの概要

nCipher ハードウェアセキュリティモジュールでは、「セキュリティワールド」パラダイムを使用して、鍵管

理操作のためのセキュアな環境を提供します。セキュリティワールドは、次の要素で構成されています。

• nCipher nForce ハードウェアセキュリティモジュール

• ハードウェアセキュリティモジュールへのアクセスを管理するための管理者スマートカード

• 暗号鍵、およびセキュリティワールド鍵を使用して暗号化されアプライアンスに保管されている証明書

データ

294 | 付録 D - FIPS ハードウェアセキュリティモジュール

ベストプラクティス

次に、 FIPS 対応アプライアンスのセキュリティを維持するためのベストプラクティスを示します。

• 管理者スマートカードは、安全な場所に保管しておきます。

• スマートカードは、ハードウェアセキュリティモジュールごとに異なる形式になっているため、必ず nCipher に対応するものを取得します。

• nCipher 鍵管理で使用するスマートカードは、信頼できないスマートカードリーダーには挿入しないで

ください。

• 信頼できないスマートカードは、モジュールに挿入しないでください。

• スマートカードのパスフレーズは誰にも教えないでください。また、何かに書きとめたりもしないでく

ださい。

• 簡単に想像がつくようなパスフレーズは使用しないでください。

• HSM のセキュリティワールドデータはバックアップして、スマートカードと離した状態で安全な場所

に保管してください。災害復旧の際に必要になります。 303 ページの「セキュリティワールドのバック

アップと復旧」を参照してください。

詳細については、『nCipher nForce Administrator Guide』にあるリスクの軽減に関する節を参照してくださ

い。

FIPS 対応アプライアンスに対するその他のマニュアル

FIPS 対応 Aventail アプライアンスには Aventail マニュアルが付属していますが、それ以外にも、「Aventail Assurance」サポートサイトで、次の nCipher マニュアルが PDF 形式で提供されています。これらの nCipher のマニュアルは「Assurance」サイト (http://aventailassurance.aventail.com) の [Documentation] エリアで提供されています。

• 『nCipher nForce Administrator Guide v5.0.8』 (nforce-admin-guide-v5.0.8.pdf).

• 『nCipher nForce Operator Guide v5.0.8』 (nforce-op-guide-v5.0.8.pdf).

• 『nCipher Hardware Installation Guide v4.6.0』 (hware-install-guide-v4.6.0.pdf).

このマニュアルに記述されているすべての nCipher コマンドについては、コマンドラインからオンラインヘルプを参照することができます。コマンドの目的や構文について参照する場合は、コマンドラインからそのコ

マンドを入力し、その後に「--help」と続けて ( 間にスペースを入れる )、 ENTER を押します。たとえば、

セキュリティワールドを作成するために使用する new-world コマンドのヘルプを参照するときは、コマンドラインで次のように入力します。

new-world --help

環境仕様

FIPS 対応アプライアンスの動作温度範囲は、 10 ゜ C - 35 ゜ C (50 ゜ F - 95 ゜ F) です。

セットアップと構成

アプライアンスに付属する FIPS コンポーネントには、次のようなものがあります。

• ハードウェアセキュリティモジュールを含む nCipher nForce カード。アプライアンスにインストール

されています。このカードは、動作モードに設定されています。

• アプライアンスの背面にある nCipher nForce カードに接続するスマートカードリーダー。

• 管理者カードセット。アプライアンスにインストールされている nCipher ハードウェアセキュリティモジュールにアクセスするための 3 枚の構成済みスマートカードで構成されます。ハードウェアセキュリ

ティモジュールにアクセスするには、このカードセットの 3 枚のカードのうち 2 枚 ( 「定足数」と呼ぶ )を使用しなければなりません。スマートカードは、デフォルトではパスフレーズで保護されていません。

FIPS コンポーネントの詳細については、 294 ページの「FIPS 対応アプライアンスに対するその他のマニュア

ル」にある nCipher の記述を参照してください。


FIPS アプライアンスを初めて起動する場合

アプライアンスを初めて起動するとき、 Setup Tool というコマンドラインセットアップユーティリティが自

動的に動作を始めます。このとき、 Aventail End User License Agreement (EULA) を承認するよう求めら

れます。またその他に、 root パスワードを作成し、 IP アドレス、サブネットマスク、デフォルトゲートウェ

イを指定するよう求められます。

Setup Tool を実行するには

1. アプライアンスとの間でシリアル接続を確立し、フロントパネルの電源ボタンを押してアプライアンス

をオンにします。

2. Setup Tool が自動的に動作を始めます ( 「setup_tool」と入力しても実行可能 )。

3. ログインするよう求められたら、ユーザー名に「root」と入力します。 ENTER を押して次の画面に移り

ます。

4. Aventail EULA が表示されます。画面をスクロールして内容を確認し、 ENTER を押して次の画面に移り

ます。



5. システムの新しい root パスワードを作成するよう求められます。このパスワードは、 AMC にアクセスす

るときも必要になります。

Password:

• パスワードは、 8 文字から 20 文字で指定し、大文字と小文字を区別します。大文字と小文字、数字

などを組み合わせて「強力な」パスワードを作成することが推奨されます。その際、辞書に載ってい

るような単語は避けるようにします。パスワードはなんらかの形で記録し、安全な場所に保管してお

きます。 ENTER を押して次に進みます。

Confirm password:





IP address:



Subnet mask:


Gateway:





ます。






この時点で、 Setup Tool が変更を保存し、必要なサービスを再起動します。また、これまで指定した情報を基

に (SSH アクセスに対する ) SSL 鍵を生成します。

この間、フィードバックはほとんどありません。 Setup Tool が反応しなくなったなどと早合点せずに、そのま

ましばらくお待ちください。

Setup Tool が終了したら、初期セットアップが完了したことを示すメッセージが表示されます。このメッセー

ジには、 AMC にアクセスするための URL も示されます。


ライセンス要件

FIPS 対応アプライアンスには、評価版として、 1,000 人のユーザーの同時使用を 3 日間サポートするデフォ

ルトライセンスが付属しています。この 3 日間を過ぎてもアプライアンスを使い続ける場合は、有効なライセ

ンスファイルをアップロードしなければなりません。

ライセンスファイルのアップロードの詳細については、 177 ページの「ソフトウェアライセンス」を参照し

てください。

スマートカードリーダーの接続

スマートカードリーダーは、nCipher PCI モジュールの背面パネルにあるスマートカードコネクタに差し込

みます。スマートカードリーダーを接続するときは、このアプライアンスの電源をオフにする必要はありま

せん。詳細については、『nCipher Hardware Installation Guide』を参照してください。

クライアント構成の要件

ユーザーが使用するオペレーティングシステムとブラウザによっては、 FIPS 対応アプライアンスにアクセス

できるよう、暗号設定を一部変更する必要があります。

Internet Explorer を使用するユーザーの場合、 ASAP WorkPlace にアクセスするには、ブラウザの暗号設定

を変更しなければなりません。また、ユーザーが Windows XP または Windows 2000 を使用しており、ネッ

トワークトンネルクライアントを介してアプライアンスに接続する場合は、コンピュータで FIPS セキュリ

ティを有効にする必要があります。

WorkPlace にアクセスするための Internet Explorer の暗号の構成

Microsoft Internet Explorer を使用しているユーザーは、ブラウザの構成を変更し TLS 暗号を有効にするこ

とで、FIPS 対応アプライアンスから Aventail ASAP WorkPlace ポータルへアクセスできるようにしなければ

なりません。

Internet Explorer を FIPS 互換として構成するには

1. Internet Explorer の [Tools] メニューから [Internet Options] をクリックします。

2. [Internet Options] ダイアログボックスで、 [Advanced] タブをクリックします。

3. [Settings] リストの [Security] セクションの下にある [Use TLS 1.0] チェックボックスを選択し

て、 [OK] をクリックします。


メモ

• Mozilla Firefox ブラウザは、 TLS 暗号をデフォルトでサポートしているため、構成を変更する必要はあ

りません。

クライアントコンピュータでの Windows セキュリティポリシーの構成

Windows XP または Windows 2000 を使用するユーザーは、 FIPS 暗号を有効にする場合、ローカルセキュ

リティポリシーを変更する必要があります。こうすることで、アプライアンスへの接続が FIPS レベルの暗号

で保護されるようになります。

このような構成変更は、非 FIPS アプライアンスへのアクセスが阻害されるため、ユーザーが常に FIPS 対応

アプライアンスに接続している場合に限って行うようにします。これは、アプライアンス固有の設定を上書き

する、システムレベルのセキュリティ設定です。

ローカルセキュリティポリシーを構成するには

1. Windows の [ スタート ] メニューから [Administrative Tools] を選択して、 [Local Security Policy] をクリックします。

2. [Local Security Settings] ダイアログボックスで、左側のペインにある [Local Policies] フォル

ダを拡大し、 [Security Options] フォルダをクリックします。


3. 右側のペインにある [System Cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing] をダブルクリックします。

4. [System Cryptography] ダイアログボックスで、 [Enabled] を選択して [OK] をクリックします。

5. [Local Security Settings] ダイアログボックスを閉じます。

操作手順

FIPS 対応の Aventail の操作手順は、この『インストールおよび管理ガイド』で説明している、非 FIPS アプ

ライアンスの場合とほとんど同じです。唯一異なるのは SSL 暗号の構成で、 FIPS 対応アプライアンスの場合

は、異なるプロトコルが必要になります。

AMC での FIPS 暗号の構成

デフォルトの場合、アプライアンスでは、 FIPS レベルの暗号が構成されています。 FIPS 暗号設定を確認する

ときは、次の手順を使用します。

アプライアンスで FIPS レベルの暗号を構成するには

1. AMC のメインナビゲーションメニューから [SSL Settings] をクリックします。この操作により、

[SSL Settings] ページが表示されます。


2. [SSL Encryption] セクションの [Edit] リンクをクリックします。この操作により、 [Configure SSL Encryption] ページが表示されます。

3. [SSL Encryption] ページで、 [Use only government-recommended encryption] チェックボックスが選択されていることを確認します ( デフォルト設定 )。この構成の場合、アプライアンスが TLS v1 プロトコルを使用します。このプロトコルは、 FIPS 140-2 暗号の標準で、これより弱い暗号サ

イファを無効にします。

FIPS 暗号オプションを選択すると、この設定により SSL v3 暗号プロトコルが無効になることを示す警

告が表示されます。結果的に、 Aventail Connect プロキシクライアントのユーザーがアプライアンスに

アクセスできなくなります。

4. FIPS レベル暗号設定を使用する場合は [Save] をクリックします。

5. これらの FIPS 設定を有効にするには、ページ右上のステータスエリアにある [Pending changes] リンクをクリックして、 [Apply Changes] ボタンをクリックしなければなりません。

セキュリティワールドの置換

Aventail には、 nCipher のハードウェアセキュリティモジュールがあらかじめインストールされており、セ

キュリティワールドが構成されています。ただし、セキュリティが侵害された場合やセキュリティポリシー

で必要になった場合は、デフォルトのセキュリティワールドを置換することができます。

セキュリティワールドを作成し直すには

1. 端末エミュレーションプログラムを使用して、アプライアンスとの間でシリアル接続を確立します。

2. nForce カードのモードスイッチを事前初期化状態にセットします。『nCipher nForce Administrator Guide』の「Entering the pre-initialization state」を参照してください。

3. [Clear] ボタンを押して、モジュールをリセットします。 Status LED がオンになり、モジュールがセル

フテストを実施します。セルフテストが完了したら、モジュールは事前初期化状態に入ります。

アプライアンスの背面にある [Clear] ボタンに手が届かない場合、「nopclearfail --ca」コマンドを

使用することもできます。このコマンドの詳細については、『nCipher nForce Operator Guide』の 199 ページを参照してください。

Status LED が点灯を繰り返さない場合、『nCipher nForce Administrator Guide』にある LED 信号の

解釈に関する表を参照してください。

4. 次のコマンドを入力して、モジュールの root アカウントにアクセスします。

# su - nfast


5. 次のコマンドを入力して、セキュリティワールドを作成し直します。

# new-world --initialize --module=1 --slot=0 --acs-quorum=2/3

6. スマートカードをスマートカードリーダーに挿入するよう指示が出たら、その指示に従います。

7. nForce カードのモードスイッチを動作状態にセットします。

8. [Clear] ボタンを押して、モジュールをリセットします。 Status LED がオンになり、モジュールがセル

フテストを実施します。セルフテストが完了したら、モジュールは動作状態に入ります。

この状態になると、 Status LED はほとんどの時間点灯していますが、定期的に点滅します。ユニットの

負荷が上がると、 Status LED が消えている時間も長くなります。モジュールの負荷が大レベルになる

と、 Status LED のオフの時間がオンの時間と同じ長さになります。 Status LED が点灯している時間が

短くなり、ほとんどの時間点滅するような場合は、『nCipher nForce Administrator Guide』にある LED 信号の解釈に関する表を参照してください。

セキュリティワールドを作成し終わったら、セキュリティワールドが正常に構成されているか確認するため、

次のコマンドライン診断ユーティリティを実行します。

セキュリティワールドの構成を確認するには

1. コマンドラインから次の診断コマンドを入力します。

# nfkmcheck

2. セキュリティワールドが正常に作成されていれば、次のようなメッセージが表示されます。

nfkmcheck: information: Module #1 Slot #0 Emptynfkmcheck: everything seems to be in order

次のようなメッセージが表示された場合、セキュリティワールドは正常に作成されていません。

Aventail テクニカルサポートにお問い合わせください。

nfkmcheck: fatal error: World not presentnfkmcheck: fatal error occurred - not all checks carried out !


# nfkminfo

4. これにより、次のような情報が表示されます。


Worldgeneration 2state 0x17270000 Initialised Usable Recovery !PINRecovery !ExistingClient RTC NVRAM FTO SEEDebugn_modules 1hknso 99793faf0c898564ae31204d8cfe69541db8c9afhkm 0047bc78c895810eae835b5c7ca8bde8889308achkmwk 1d572201be533ebc89f30fdd8f3fac6ca3395bf0hkre a08f78257ce715bf7c6f81c2365b71ef04c29c08hkra 5ce413071f196960a4fe3c27970ac03226e52ba1ex.client nonek-out-of-n 2/3other quora m=2 r=2 nv=2 rtc=2 dsee=2 fto=2Module #1generation 2state 0x2 Usableflags 0x10000 ShareTargetn_slots 2esn 8950-33E0-D6E3hkml 64dcc06b76c86a648f107bc648d90cbf61c15ea2

Module #1 Slot #0 IC 0generation 1phystype SmartCardslotlistflags 0x2 SupportsAuthenticationstate 0x2 Emptyflags 0x0shareno 0shareserror OKNo Cardset

Module #1 Slot #1 IC 0generation 1phystype SoftTokenslotlistflags 0x0state 0x2 Emptyflags 0x0shareno 0shareserror OKNo CardsetNo Pre-Loaded Objects


# ckcheckinst


6. これにより、次のような情報が表示されます。

PKCS#11 library interface version 2.01flags 0

manufacturerID "nCipher Corp. LtdlibraryDescription "nCipher PKCS#11 1.44.28

implementation version 1.44

Slot Status Label==== ====== ===== 0 Fixed token "accelerator" 1 No token present

No removable tokens present.Please insert an operator card into at least one available slot and enter 'R' retry.If you have not created an operator card,enter a fixed token slot number,or 'E' to exit this program and create a card set before continuing.

Enter 'R'etry or 'E'xit: 0Using slot number 0.

Test Pass/Failed---- -----------1 Generate RSA key pair Pass2 Generate DSA key pair Pass3 Encryption/Decryption Pass4 Signing/Verification Pass

Deleting test keys ok

PKCS#11 library test successful.

セキュリティワールドの作成の詳細については、『nCipher nForce Administrator Guide』の次の節を参照


• 概要については、 143 ページの「Creating a security world」を参照してください。

• コマンドラインでの手順については、 65 ページの「Creating a security world with new-world」を参


• new-world ユーティリティの構文とオプションの詳細については、 244 ページを参照してください。

スマートカードの構成

それぞれの管理者カードセットは、 N 枚のスマートカードで構成されており、アクションの許可には、その

うちの K (N よりも小さい数 ) 枚が必要になります。アプライアンスのハードウェアセキュリティモジュール

にアクセスするために必要なスマートカードの数 ( 「定足数」と呼ぶ ) は、デフォルトの場合、 3 枚のうちの 2 枚です。

K の値は、 N より小さくなります。 K を N と同じにすることもできますが、このような構成にすると、 1 枚の

カードにエラーが発生した場合カードセット全体が使用できなくなるため、お勧めできません。管理者カードセットでこのような状態が発生した場合は、セキュリティワールドを置換して新しい鍵を生成しなければなり

ません。

管理者カードセットに対するパスフレーズ保護の追加または変更

FIPS 対応アプライアンスにデフォルトで付属するスマートカードは、パスフレーズで保護されています。管

理者カードセットにパスフレーズ保護を追加したい場合、 cardpp コマンドラインユーティリティを使用し

ます。『nCipher nForce Administrator Guide』の「Changing pass phrases with cardpp」を参照してく

ださい。


管理者カードセットの置換

管理者カードセットのスマートカードを 1 枚紛失または損傷した場合、 racs ユーティリティを使用して、代

替セットをすぐに作成しなければなりません。モジュールには、管理者カードセットの復旧データが保管され

ていません。ただし、 K が N より少ないという事実があるため、カードの一部の情報が紛失しても、モジュー

ルですべての鍵を作成し直すことができます。

現在のカードが必要な定足数だけあり、パスフレーズにアクセスできなければ、管理者カードセットを置換

することはできません。そのため、 1 枚のカードを紛失または損傷した場合はすぐに、セットを置換する必要

があります。

管理者カードセットを置換する前に、新しい管理者カードセットを作成する上で十分な数のブランクカード

があることを確認しなければなりません。十分なカードがないときにこの手順を開始すると、手順を途中で放

棄しなければならなくなります。

! 注意必要なカード数がカードの総数と同じになるような管理者カードセットは作成しないでください。

このような構成にすると、 1 枚のカードを紛失または損傷した場合に、管理者カードセットを置換でき

なくなります。

! 注意管理者カードセットを置換するとき、現在のカードセットを再利用することもできます。ただし、

カード交換プロセスが完了する前に中断してしまうと、定足数を確保できなくなって、ハードウェアセキュリティモジュールにアクセスできなくなる可能性があります。 nCipher では、管理者カードセット

を置換するときは、新しいスマートカードを使用することをお勧めしています。

管理者カードの置換の詳細については、『nCipher nForce Administrator Guide』の次の節を参照してくださ

い。

• 概要については、 188 ページの「Administration tasks with cards」を参照してください。

• 手順については、 209 ページの「Replacing the Administrator Card Set」を参照してください。

• racs ユーティリティの構文とオプションの詳細については、 212 ページの「Replacing an Administrator Card Set with racs」を参照してください。

古い管理者カードセットの消去

nCipher では、新しい管理者カードセットを作成したら、古い管理者カードセットを速やかに消去すること

をお勧めしています。管理者カードセットを置換すると、ホスト上の復旧データのコピーも削除されますが、

古い管理者カードセットは、古いホストデータ ( バックアップテープや他のホストに残っている可能性があ

る ) で依然として使用することができます。そのため攻撃者が、古い管理者カードセットと古いホストデータ

のコピーを入手すると、すべての鍵を作成し直すことも可能です。

このような危険に対処するため、新しい管理者カードセットを作成したら、 bulkerase コマンドラインユー

ティリティを使用して、古い管理者カードを速やかに消去しなければなりません。

bulkerase ユーティリティの構文とオプションの詳細については、『nForce Operator Guide』を参照してく

ださい。

管理者カードセットの定足数の変更

デフォルトの場合、アプライアンスで必要な管理者カードセットの定足数は、 3 枚のカードのうちの 2 枚で、

この 2 枚をカードリーダーに挿入することで、ハードウェアセキュリティモジュールにアクセスできるよう

になります。定足数を変更するには、 new-world コマンドを使用してセキュリティワールドを作成し直さな

ければなりません。このマニュアルの 299 ページの「セキュリティワールドの置換」を参照してください。

セキュリティワールドのバックアップと復旧

定期バックアップ手順の一環として、安全のため /opt/nfast/kmdata ディレクトリに保管されているデータ

を定期的にバックアップする必要があります。データは、管理者カードセットと離した状態で安全な場所に保

管してください。

詳細については、『nCipher nForce Administrator Guide』の「Backup and recovery」を参照してくださ

い。


ファームウェアアップデート

nCipher Corporation が、ハードウェアセキュリティモジュールで使用されているファームウェアのアップ

デート版をリリースした場合は、『nCipher nForce Administrator Guide』の付録 B 「Upgrading Module Firmware」を参照しアップデートしてください。

トラブルシューティング

FIPS モジュールの問題を診断して解決する方法については、『nCipher Hardware Installation Guide』の第 3 章「Troubleshooting」を参照してください。

FIPS ログの表示

AMC の [View Logs] ページでは、 FIPS の活動に関するログファイルを参照することができます。 FIPS ハードウェアログ (hardserver.log) は、 /var/log/aventail ディレクトリにあります。

FIPS ログを表示するには

1. AMC (Aventail ASAP Management Console) のメインナビゲーションメニューから [Logging] をクリックします。この操作により、 [View Logs] ページが表示されます。

2. [Log File] リストから [FIPS hardware log] を選択します。この操作により、 FIPS ログメッセー


3. [Show last] ボックスを使用して、表示するログメッセージの数を選択します。 [50]、 [100]、[250]、 [500]、 [1000] のいずれかを選択することができます。

4. 新のログメッセージが含まれるようページを更新するときや、実行したばかりのフィルタリングの結

果を表示するときは、 [Refresh] ボタンをクリックします。デフォルトの場合、ログビューアの [Auto-refresh] オプションは [1 minute] に設定されています。リフレッシュ時間は、オプションで [30 seconds]、 [5 minutes]、 [10 minutes]、 [15 minutes] のいずれかを選択することができます。

また、 [Off] を選択して、リフレッシュをオフにすることもできます。

[Auto-refresh] が [Off] 以外に設定されている場合、更新動作が持続的に行われるため、デフォルト


[View Logs] ページが表示された状態になります。これは実際問題として、コンピュータで AMC を実

行し、オートリフレッシュモードを有効にした状態で [View Logs] ページを表示したまま席を外すと、

AMC がタイムアウトしなくなるということを表しています。セキュリティを向上させるための習慣とし

て、ログメッセージを表示し終わったら、 AMC の他のページに必ず移るようにしておきます。

メモ

• FIPS ログは、デフォルトで、も詳細なログレベルである [Info] に設定されており、 AMC ではこれを

構成することができません。

• FIPS ログを syslog サーバーに送信するよう AMC を構成する方法や、 FIPS ログメッセージをカンマ区

切り形式 (.csv) のファイルにエクスポートする方法など、ロギングの詳細については、 144 ページの

「システムロギングおよびモニタリング」を参照してください。

• nCipher ハードウェアセキュリティモジュールのロギングの詳細については、『nCipher nForce Administrator Guide』の「Log Files」を参照してください。


異常終了後の hardserver の再起動

hardserver は、 nCipher HSM と、 HSM で鍵を使用または保管するその他のすべてのプロセスを仲介する

デーモンプロセスです。めったにあることではありませんが、 hardserver が起動に失敗することもあります。

これは、 setup_tool を実行した後や再起動後などに発生することがあります。どのような場合でも、アプラ

イアンスを再起動することがその対処法になります。

setup_tool を使用してアプライアンスを構成しているときにハードウェアが停止した場合、「Configuration aborted with error 256」というエラーメッセージが表示されます。この場合は初に、コマンドラインで

「# ps auwwx | grep hardserver」と入力することによって、 hardserver が動作していないことをテス

トします。

hardserver が動作している場合は、他のイベントによって setup_tool エラーが発生しています。その場合

は、再起動後、 setup_tool を再実行する必要はありません。

アプライアンスの起動中に hardserver が停止した場合は、ハードウェアセキュリティモジュールの暗号機能

が使用できないために、 AMC にアクセスできなくなっています。この場合も、アプライアンスを再起動して AMC にログインし直すというのが、その対処法です。

SNMP を使用した FIPS データの取得

Simple Network Management Protocol (SNMP) ツールがある場合、これらのツールを使用することによ

り、 FIPS 機能を含め、アプライアンスを SNMP エージェントとして監視することができます。

AMC の [Configure SNMP] ページからダウンロード可能な、 Aventail Management Information Base (MIB) ファイルには、オブジェクト識別子 (OID) が含まれており、次の情報を提供します。

メモ

• アプライアンスを SNMP 対応として構成する方法については、 159 ページの「SNMP を使用した管理

データの取得」を参照してください。

名前 OID 説明

FIPS カードステート

1.3.6.1.4.1.4331.6.1.0 この OID は、 nCipher FIPS のステートを表すテキスト文字列を示します。

• FIPS-SERVER-UP: LEVEL 2。nCipher hardserver が動作していることを示します。

• FIPS-SERVER-NOT-RUNNING。 hardserver が動作していないことを示します。

• NO-FIPS-HWACCEL-SUPPORT。ハードウェアサポートがないことを示します。

• NOT-APPLICABLE。ライセンスの問題を示します。

Smart カードステート

.1.3.6.1.4.1.4331.6.2.0 この OID は、カードリーダーに入っている nCipher スマートカードのステートを表すテキスト文字列を示します。

• ADMIN-CARD-IN-SLOT。カードリーダーにスマートカードが入っていることを示します。

• FAULTY-CARD-IN-SLOT。カードリーダーに入っているスマートカードに障害があることを示します。

• UNFORMATTED-CARD-IN-SLOT。カードリーダーに入っているスマートカードが初期化されていないことを示します。

• NO-CARD-IN-SLOT。カードリーダーにスマートカードが入っていないことを示します。

アップタイム 1.3.6.1.4.1.4331.6.3.0 この OID は、 nCipher FIPS のアップタイムを秒単位で表すテキスト文字列を示します。


コマンドラインユーティリティ

nCipher nForce セキュリティモジュールには、コマンドライン診断ユーティリティが搭載されています。こ

れらのユーティリティは、 /opt/nfast/bin ディレクトリに置かれており、トラブルシューティングの際に使用


• enquiry ユーティリティは、 nCipher hardserver および接続しているモジュールのステータスに関す

る情報を返します。このユーティリティについては、『nCipher nForce Administrator Guide』の 218 ページで解説しています。

• nfkminfo ユーティリティは、アプライアンスのセキュリティワールドのステータス、セキュリティワールドの視点で接続しているモジュール、コマンドの動作時にモジュールに挿入されているスマートカードなどに関する診断情報を表示します。『nCipher nForce Administrator Guide』の「Displaying information about your security world」を参照してください。

• stattree ユーティリティは、 nCipher サーバーが収集した統計情報を返します。このユーティリティに

ついては、『nCipher nForce Administrator Guide』の 267 ページで解説しています。

• floodtest ユーティリティは、ハードウェア速度テストを実行します。このユーティリティについては、

『nCipher nForce Administrator Guide』の 227 ページで解説しています。

• sigtest ユーティリティは、 RSA または DSA 署名または署名確認を使用して、モジュールの速度を計

測します。このユーティリティについては、『nCipher nForce Operator Guide』の 211 ページで解説

しています。

• nfkmcheck ユーティリティは、セキュリティワールドデータの整合性をチェックします。カードリー

ダーにスマートカードが挿入されている場合は、管理者カードの数も表示します。このユーティリティ

の詳細については、 nCipher コマンドラインオンラインヘルプを参照してください。

• nfkmverify ユーティリティは、管理者カードセットとハードウェアセキュリティモジュールの構成に

関する情報を表示します。『nCipher nForce Operator Guide』の 193 ページを参照してください。

メモ

• オンラインヘルプは、それぞれの nCipher コマンドラインユーティリティで、コマンドの後に「--help」と続けて入力し、 ENTER を押すことで参照することができます。

• これらの nCipher コマンドラインユーティリティの概要については、『nCipher nForce Administrator Guide』の第 13 章「Utilities」と付録 C 「Utilities」、『nCipher nForce Operator Guide』の第 7 章「Utilities」を参照してください。


付録 Eマルチノード EX-2500 クラスタの構成

この付録では、 Aventail EX-2500 アプライアンスが、 Radware などの外部ロードバランサと相互運用でき

るよう構成するための手順について説明します。

EX-2500 アプライアンスのクラスタリングの概要

クラスタリングでは、 1 台の外部ロードバランサに大 8 つのノードをインストールすることで、 Aventail VPN ソリューションの能力を向上させることができます。ただしこの機能は、アベイラビリティを向上させる

ためのものではありません。

EX-2500 では、外部ロードバランサからのヘルスチェックもサポートされており、アプライアンス上でどの

サービスが動作しているかロードバランサから確認できるようになっています。そのため、保守や障害の際、

ロードバランサから他のシステムへトラフィックをフェイルオーバーすることもできます。

メモ

• クラスタリングの概要については、第 11 章「2 ノードクラスタのインストールと管理」 (259 ページ )を参照してください。

クラスタの管理

アプライアンスを外部ロードバランサと相互運用するよう構成するとき、クラスタ内のすべてのアプライアン

スノードがピアになるため、クラスタ間でノード構成を同期するための集中管理機能はありません。クラスタ

間で設定を同期するためには、 1 つのノードで構成変更を行い、その構成をエクスポートしてから、クラスタ

内の他のノードにそれをインポートしなければなりません。

アプライアンス初期設定の実行

アプライアンスの設定は、コマンドライン式の Setup Tool または Web ベースの Setup Wizard のいずれか

で行います。ノードをクラスタの一部にするか尋ねられたら [no] を選択します。すべての Aventail アプライ

アンスは、スタンドアロンデバイスとして構成する必要があります。

アプライアンスの構成

名前解決、日時、 SSL 証明書、ソフトウェアライセンシングなどを含む、システム設定を構成します。外部

ロードバランサと共同で動作させる場合、一部の設定で特別な注意が必要になります。

• Aventail アプライアンスは、シングルホームド構成とデュアルホームド構成のいずれかを使用するよう

構成することができます。

• ロードバランサの仮想 IP アドレスまたは仮想ホスト名 ( 個別のアプライアンスのホスト名やアドレスで

はない ) を含むよう、 SSL 証明書を構成します。

• アプライアンスのデフォルトゲートウェイを、ロードバランサスイッチの IP アドレスに設定します。

この時点で、基本セキュリティポリシーを構成することができます。ただしこの手順は、アプライアンスのク

ラスタ化が終わった後に行うこともできます。

Aventail では、クラスタ内のそれぞれのアプライアンスを同じ構成にすることを推奨しています。このような

構成であれば、単一のアプライアンスを構成して、 AMC でその構成をエクスポートしてから、クラスタ内の他

のアプライアンスにそれをインポートすれば良くなるため非常に便利です。

308 | 付録 E - マルチノード EX-2500 クラスタの構成

スイッチへのアプライアンスの接続

アプライアンスの外部インタフェースは、外部ロードバランサに接続しているスイッチに接続する (Radware スイッチを使用する場合に推奨される構成 ) か、直接ロードバランサに接続します。

ただし、 Aventail アプライアンスのクラスタインタフェースは、シングルホームド構成でもデュアルホーム

ド構成でも使用されません。デュアルホームド構成の場合、内部インタフェースがプライベートネットワーク

に接続されます。

ロードバランサの構成

ロードバランサは、通常の方法で構成します。 Radware スイッチを構成している場合、次の構成事項につい

て検討します。

• VIP アドレスを使用して WSD ファームを作成する。

• アプライアンスに対して個別のサーバーを作成する ( つまり外部インタフェースを使用 )。

• WSD ファームにサーバーを追加する。

• アプライアンスに対する個別のヘルスモニタリングチェックを、次のように作成する。

Dest IP: Appliance External Interface IP address

Dest Port: 1888

引数 : PATH=/__health_check__/| C1=200| MTCH=Excellent| MEXIST=Y| PRX=N| NOCACHE=N|

• ヘルスモニタリングチェックを個別のサーバーにバインドする。

上記の手順の詳細については、外部ロードバランサの製品マニュアルを参照してください。


用語集

アクセス制御

ユーザーの身元情報やクレデンシャルに基づいて、アクセスを制限する手段。通常、ネットワークリソースへのユーザーアクセスを制御するために使用されます。 access policy は、システム上のユーザー

の権限を定義するルールのセットです。このようなルールでは、ユーザーまたはユーザーグループがア

クセスを許可されているアプリケーションやネットワークリソースを定義します。

エイリアス

ネットワーク、ホストコンピュータ、ネットワークリソースなどのオブジェクトを示す代替のラベルや

名前。 Web プロキシサービスの場合、エイリアスには特別な意味があり、内部ネットワークの URL を隠

す役割があります。すべての要求は、 Web プロキシサービスにダイレクトされるため、ユーザーが目に

するのは、入ってくる、エイリアスを含む URL のみです。 Web プロキシサービスは、このエイリアス

を、 AMC で定義されているリストと一致させて、 URL を変換します。エイリアスは、トランスレーテッ

ド Web アクセスに限って使用することができます。

認証

リソースへのアクセスを許可するために、ユーザーの身元情報やクレデンシャルを確認する方法。クレデ

ンシャルは通常、ある種のパーミッションリストと比較されます。認証の方法には、ユーザーが持つク

レデンシャルの種類を規定するものや、認証のタイミングを規定するものなど、さまざまな種類がありま

す。

認証サーバー

外部認証サーバーでは、ユーザーの身元情報やクレデンシャルを保管します。ユーザーがアプライアンス

にログインできるようセットアップしたレルムがこれを参照します。このアプライアンスは、 LDAP、Microsoft Active Directory、 RADIUS の各認証サーバーをサポートしています。

許可

ユーザーに対して、システムおよびそこに保管されているデータを使用できるよう認めるパーミッショ

ン。ユーザーが認証を受けた後、この許可によってアクセス権限が指定されます。

Aventail ASAP Management Console (AMC)アプライアンスを管理するための Web ベースの管理ツール。このツールを使用すると、セキュリティポリシーの管理、システムの構成 ( ネットワーキングおよび証明書の構成を含む )、モニタリングについて

集中的にアクセスできるようになります。 AMC は、任意の Web ブラウザからアクセスすることができま

す。

Aventail ASAP WorkPlace任意の Web ブラウザから、Web ベースのリソースや Windows ネットワーク共有リソースへアクセスで

きるようにする、動的なパーソナライズが可能なユーザーアクセスコンポーネント。

Aventail Connect Mobile クライアント

Pocket PC デバイスで動作する軽量のアプリケーションで、従来のクライアント / サーバーアプリケー

ション、シンクライアントアプリケーション、 Aventail Web プロキシサービスで保護された Web リソースなど、広範囲のリソースに対するアクセスを提供します。

Aventail Connect プロキシクライアント

Aventail ネットワークアクセスサービスに接続し、ネットワークリソースに対して、認証され暗号化さ

れたアクセスを可能にする、構成可能な 32 ビット Windows クライアント。 Aventail Connect は、

ユーザーのコンピュータにインストールされます。

Aventail Connect トンネルクライアント

Aventail ネットワークトンネルサービスで保護されたリソースに対して、フルアクセスできるようにす

る Windows アプリケーション。Connect トンネルクライアントを使用すると、TCP/IP を使用するアプ

リケーションや、 VoIP や ICMP といった非 TCP プロトコルを使用するアプリケーションなど、あらゆる

種類のアプリケーションにアクセスできるようになります。 Connect トンネルクライアントでは他にも、

スプリットトンネリング制御、細かいアクセス制御、プロキシ検出、認証などの機能も提供されます。

Aventail OnDemand プロキシエージェント

Aventail ネットワークアクセスサービスに接続し、ネットワークリソースに対して、認証され暗号化さ

れたアクセスを可能にする、安全かつ軽量の Java アプレット。ユーザーが ASAP WorkPlace にログイ

ンするときに OnDemand が自動的に起動するよう構成できる他、ユーザーが ASAP WorkPlace のリン

クをクリックして OnDemand を始動させることもできます。

310 | - 用語集

Aventail OnDemand トンネルエージェント

Connect トンネルクライアントと同様、広範なアプリケーションおよびプロトコルアクセスを提供する

軽量のエージェントですが、 ASAP WorkPlace ポータルに統合されており、ユーザーが WorkPlace にロ

グインするたびに自動的に起動します。 Aventail OnDemand トンネルエージェントを使用すると、

Web ブラウザを使用して、Aventail ネットワークトンネルサービスで保護されたリソースに対し、完全

なネットワークおよびアプリケーションアクセスが可能になります。

バックエンド

クライアント / サーバーアプリケーションまたはシステムの場合に、サーバー上で動作するプログラムの

一部 ( 注 : サーバーにはフロントエンドとバックエンドがある )。

双方向アクセス制御ルール

ユーザーとリソースの両方が、アプライアンスを通るトラフィックを開始できるようにするルール。これ

には、順方向接続、逆方向接続、相互接続が含まれます。

ブラウザプロファイル

ユーザーエージェント文字列を特定タイプの小型携帯端末と対応させるプロファイル。ブラウザプロ

ファイルでは、 WorkPlace のコンテンツが表示される方法や、クライアントデバイスで使用できる機能

を決定します。

CA ( 認証局 )証明書の発行、更新、廃止などを行う、信頼できる第三者機関。 CA は、独自の証明書が与えられた個人

が、実際にその当人であることを証明します (CA の個人ポリシーに従って )。ルート CA は通常、中間 CA に証明書を発行し、その中間 CA がユーザーに証明書を発行します。証明書は、ルートまで証明書

チェーンを遡ることで、この信頼の階層に従って確認されます。

証明書

サーバーまたはクライアントの身元を確認し、デジタル情報の暗号化と署名のための RSA 鍵ペアにバイ

ンドするためのデジタル証明書。証明書には、その個人の身元を保証する CA が署名します。

証明書チェーン

下層にユーザーの証明書 ( 「リーフ」 )、中間層に中間 CA ( ある場合 ) の証明書、上層にプライマリ CA の証明書を含む証明書の系列。

サイファ

鍵を使用してプレーンテキストをサイファテキスト ( またはその逆 ) に変換する暗号アルゴリズムの一

種。

クライアント

クライアント / サーバーアーキテクチャのクライアントコンポーネント。対応するサーバーコンポーネ

ントにコマンドを送信し、要求を実行したサーバーから情報を受信するときに使用します。

クラスタ

2 台の同じアプライアンスをまとめ、 1 つの仮想 IP アドレスに統合したもの。 Aventail クラスタでは、

統合された負荷分散、ステートフルユーザー認証フェイルオーバー、集中管理などの機能を搭載するこ

とで、シングルポイント障害を防止し、高可用性を実現しています。

コミュニティ

ユーザーの集まりに割り当てられたプロビジョニングプロファイルで、ユーザー集団のメンバーがレル

ムにログインするときに、どのアクセスクライアントと End Point Control エージェントがインストー

ルされるかがこれによって決まります。

クレデンシャル

認証のために使用される個別のパスワードや、証明書に含まれる実際の情報など、リソースに対するユー

ザーのアクセス許可を確認する情報。

相互接続

VPN ユーザーが他の VPN ユーザーとの間でデータを交換できるようにする Voice over Internet Protocol (VoIP) アプリケーションなどの双方向接続。相互接続では、順方向接続に使用するアクセス制

御ルールと逆方向接続に使用するアクセス制御ルールのペアが必要です。

CSR ( 証明書署名要求 )ユーザーの名前や暗号鍵が含まれる証明書の発行を CA に求める要求。 CSR には、 CA がユーザーを認証

できるようにする情報は含まれていません。 CA には慎重さが求められるため、そのポリシーに従って、

このような情報は個別に処理されるようになっています。この要求のファイル名の後には通常、 .req がつきます。


DES ( データ暗号化規格 )データの暗号化のための、一般的な標準化サイファ。データの暗号化と復号化に共通の 56 ビット鍵が使

用されます。 56 ビットは、現代のセキュリティ標準から考えると不足気味であるため、共通の方式を使

用して、異なる鍵で DES を三重にかけます ( トリプル DES)。

デバイスプロファイル

AMC で定義されている固有の属性をまとめたもので、アプライアンスがクライアントデバイスを識別

し、信頼性のレベルを評価して、 End Point Control ゾーンにそれを割り当てるために使用します。

DMZインターネットとネットワークのファイアウォールの間に設定される「非武装地帯」。通常、 DMZ は、プ

ライベートネットワークのセキュリティを維持しながら、インターネット経由でアクセス可能なリソー

スをホストするために使用されます。

DN ( 識別名 )属性およびそれに対応する値のリストによって構成される名前で、ユーザーまたはグループを識別しま

す。 DN は、証明書で名前を指定するときや、ディレクトリサーバーでエントリをルックアップするとき

などに使用されます。 Aventail では、 DN を表現するとき、一般的に RFC 2253 ガイドラインを使用し

ています。

DNS (domain name system)英字のドメイン名を数値の IP アドレスに変換するインターネットユーティリティ。ドメイン名が使用さ

れるたびに、 DNS サーバーがそれを変換しなければなりません。ある DNS サーバーが、特定のドメイン

名の変換方法を認識できない場合、ドメイン名が正しく変換されるまで、他のサーバーに順番に尋ねてい

きます。

DNS サーバー

Domain Name System (DNS) からの照会に回答するコンピュータ。 DNS サーバーは、ホストコン

ピュータとドメイン名、対応する IP アドレスのデータベースを保持します。ドメイン名が照会されたら、

それと一致する IP アドレスを返します。

ドメイン

1 つの単位として共通のルールと手順で管理される、ネットワーク上のコンピュータとデバイスのグルー

プ。インターネット内では、ドメインは IP アドレスで定義されます。 IP アドレスの共通部分を共有する

デバイスはすべて、同じドメインに入っていることになります。

ダウンストリーム Web サーバー

Aventail Web プロキシサービスで保護されている、内部ネットワーク上のプライベートサーバー。

Web プロキシサービスでは、エイリアスを使用して、ダウンストリームサーバー上の URL を隠します。

すべての要求は、 Web プロキシサービスにダイレクトされるため、ユーザーが目にするのは、入ってく

る、エイリアスを含む URL のみです。 Web プロキシサービスは、このエイリアスを、 AMC で定義され

ているリストと一致させて、 URL を変換します。

動的リダイレクション

Aventail OnDemand リダイレクションモードは、 Windows を使用するユーザー向けのもので、

OnDemand が、 AMC で定義されている任意のドメインまたは IP アドレスに接続を動的にリダイレクト

できるようにします。この動的リダイレクションは、 Windows ユーザーの場合、自動的に有効になりま

す。個別のアプリケーションごとに特定のポートやループバックアドレスを構成する必要はありません。

暗号化

サイファを使用して、プレーンテキストと鍵からサイファテキストを生成します。暗号化は、データの漏

洩を防止します。

End Point Control重要なデータを保護し、信頼されていない環境の PC からアクセスされた場合にネットワークが危険にさ

らされることのないようにするコンポーネント。

ファイルシステムリソース

Windows ネットワーク上のドメイン、サーバー、共有、フォルダ。 ASAP WorkPlace を使用すること

で、ユーザーがファイルシステムリソースにアクセスできるようにすることができます。 ASAP WorkPlace は、任意の標準 Web ブラウザから使用することができます。

Filter-IDユーザーが所属するグループを示す RADIUS 属性。この属性を使用することにより、許可ルールの設定

ポリシーで、ユーザー名の代わりにグループ名を指定することができます。

312 | - 用語集

FIPSFIPS は、暗号化ソフトウェアを実装するための基準を設定した米国の規格です。 FIPS (Federal Information Processing Standard) では、暗号アルゴリズムの実装、鍵素材とデータバッファの処理、

オペレーティングシステムとの協調などに関するベストプラクティスを指定しています。

ファイアウォール

ソフトウェアまたはハードウェアに実装し、ネットワークに対する無許可アクセスを防止することができ

るシステム。ファイアウォールでは、通過しようとするメッセージを検査し、指定されている基準と合致

しないものについては通行を妨げます。ファイアウォール技術にはいくつかの種類があり、 2 種類の技術

を組み合わせて使用するのが一般的です。ファイアウォールは、セキュリティに基づくアーキテクチャで

は、前線の防衛手段になると考えられています。

順方向接続

VPN ユーザーからネットワークリソースへの接続。

正規

「完全」や「FQDN」 ( 正規のドメイン名 ) などと呼ばれることもあります。コンピュータの名前、アドレ

ス、パスや、ホスト、ドメイン、ファイルなどを完全に記述するときに使用します。正規の名前は、個別

のファイル、 IP アドレス、ホスト、ドメインなどに誘導する、階層システムのすべてのコンポーネント

のリストを表します。正規でない名前、アドレス、パスの場合、エイリアスが含まれているか、短縮バー

ジョンになっています。

ゲートウェイ

ハードウェアとソフトウェアを組み合わせ、異なる通信プロトコルを使用して 2 つのネットワークを接続

します。ネットワーク間で交換されるデータを変換し、それぞれのネットワークがもう一方のネットワー

クから受け取ったデータを読み込めるようにします。

グラフィカルサーバーショートカット

Windows Terminal Services ホストまたは Citrix ホストを使用してターミナルサーバーにアクセスでき

るようにする、 ASAP WorkPlace 上のリンク。

グループアフィニティチェック

セカンダリ認証サーバーでグループメンバーシップをルックアップすることにより、権限を制御します。

この構成は通常、 RADIUS サーバーがトークンでユーザーを認証し、 Active Directory サーバーや LDAP サーバーにグループメンバーシップ情報が含まれている場合に使用されます。

ハッシュ

「ハッシュ値」とも呼ばれます。式をテキスト文字列に適用して生成される数値で、他の文字列から同じ

数が生成されることはほとんどありません。ハッシュは常に、テキスト自体よりはるかに小さくなりま

す。

ホスト

TCP/IP ネットワーク ( インターネットを含む ) に接続するコンピュータで、インターネットへリソース

とサービスを提供するサーバープログラムが動作するもの。それぞれのホストには、固有の IP アドレス

があります。

ホスト名

インターネット経由で探すことができる、個別のコンピュータに対する非数値の名前。ホスト名はたとえ

ば「private.aventail.com」のようになります。ホスト名という言葉は、名前のも左の部分 (private) と、名前全体 (private.aventail.com) の両方を指します。残りの 2 つの部分は、ドメイン名 (aventail) とトップレベルドメイン (com) になります。

HTTPSSSL 内で階層化することにより HTTP プロトコルを保護するための一般的な方法。

IP (Internet Protocol)インターネットで使用される基本データ転送プロトコル。送信者や受信者のアドレスなどの情報が、電子

的な「パケット」に挿入されて転送されます。詳細については、 RFC 791 を参照してください。

IP アドレス

インターネット上の個別のコンピュータを識別する固有の ID 番号。それぞれの 32 ビットアドレスは、

0 から 255 までの 8 ビットの 4 つの数値をピリオドで区切って集めたものです。左から右への階層は、

インターネット全体の大まかな編成を表現しています。そのため、他のネットワークを含むネットワーク

も存在します。右端の後の数値は、個別のホストコンピュータを識別します。


IP アドレスプール

Aventail トンネルクライアントを使用したリモートクライアント接続のために、ネットワークトンネルサービスによって割り当てられた IP アドレスのグループ。

鍵

特定の暗号操作を実行する上で必要な情報の集まり。鍵は、ランダムに生成できる他、ユーザーにとって

わかりやすい表現 ( パスワードなど ) から生成することもできます。

鍵の長さ

一般的にビット数で表される、鍵のサイズ。他のすべての条件が同じ場合、鍵の長さが長いほど安全性は

向上します。ただし、アルゴリズムの速度は遅くなりがちです。

鍵ペア

公開鍵暗号アルゴリズム ( たとえば RSA) で使用される、公開鍵と秘密鍵のペア。公開鍵と秘密鍵は、そ

れぞれ対応する操作 ( 公開鍵でメッセージを暗号化し、秘密鍵で復号化するなど ) で使用されます。

LAN ( ローカルエリアネットワーク )比較的小さい領域 ( 通常は単一のバインディング ) でワークステーション、コンピュータ、その他のデバ

イスを接続するネットワーク。 LAN を使用すると、ユーザーが他のコンピュータのデータにアクセスで

きるようになる他、プリンタなどのデバイスも共有できるようになります。複数の LAN をリンクして、

WAN を形成することもできます。

LDAP (Lightweight Directory Access Protocol)X.500 ディレクトリアクセスプロトコル (DAP) の簡易バージョン。詳細については、 RFC 2251 を参


マスターノード

Aventail クラスタで、クラスタ内においてポリシーと構成の伝播、同期をコントロールするノード。す

べての構成は、マスターノードで行われ、その後マスターノードは、構成の変更をスレーブノードに伝

播します。

MD5固有のメッセージ要約アルゴリズム。 MD5 は、 SHA-1 ほど安全性は高くありませんが、はるかに高速

で、一般的に「十分な安全性を持つ」と考えられています。

マルチホームド

複数の NIC ( ネットワークインタフェースカード ) を搭載し、複数のネットワークに接続するマシン。

NAS ( ネットワークアクセスサーバー )ダイヤルインモデムを処理するターミナルサーバーなど、リソースのセットに、管理された接続性を提

供するサーバー。 RADIUS クライアントは、一般的に NAS と呼ばれます。

NAT ( ネットワークアドレス変換 )内部 IP アドレスを 1 つの外部 IP アドレスに変換するインターネット規格。これにより、組織は、 IP アドレスを 1 つだけインターネットに提示することができます。 NAT を使用すると、内部アドレスを隠せ

るだけでなく、組織が必要とするアドレスの数を減らすことで IP アドレスを一定に保つこともできます。

[Network Explorer] ページ

ASAP WorkPlace のページで、ユーザーがアクセス権限を持つ Windows ファイルシステムリソースが

表示されます。このリソースには、サーバー、コンピュータ、ワークグループ、フォルダ、ファイルなど

が含まれます。

ネットワークプロキシサービス

標準クライアント / サーバーアプリケーションにアクセスするための、セキュアなプロキシを提供するア

クセスサービス。Aventail Connect プロキシクライアントおよび Aventail OnDemand プロキシエー

ジェントと共同で動作して、インターネット経由で、認証され暗号化されたアクセスを可能にします。

ネットワークプロキシサービスは、 SOCKS v5 プロトコルをベースにしています。

ネットワークリソース

ネットワーク上のクライアント / サーバー (TCP/IP) リソース。このようなアプリケーションには、

Citrix のようなシンクライアントアプリケーション、 Microsoft Outlook のようなフルクライアント /サーバーアプリケーション、 Lotus Notes、 SAP、ターミナルサーバーなどがあります。ネットワークリソースは、ホスト名、 IP アドレス、 IP アドレス範囲、サブネット IP アドレス、 DNS ドメインなどで

定義することができます。

314 | - 用語集

ネットワーク共有

Windows ネットワーク上にあり、権限を持つユーザーがその内容にアクセスできるワークグループ、コ

ンピュータ、フォルダ。ネットワーク共有に対しては、ユーザーが、 ASAP WorkPlace を介して標準 Web ブラウザからアクセスすることができます。

ネットワークショートカット

ネットワーク上のファイルシステムリソースにアクセスするための ASAP WorkPlace のリンク。ネット

ワークショートカットは、 Windows サーバー、コンピュータ、ワークグループ、フォルダに対するもの

を定義することができます。

ネットワークトンネルサービス

広範囲のアプリケーションにセキュアなネットワークトンネルアクセスを提供するネットワークルー

ティングテクノロジー。対象となるアプリケーションには、 Voice Over IP (VoIP) や ICMP などの非 TCP プロトコル、逆方向接続プロトコル、 FTP などの双方向プロトコルを使用するものも含まれます。こ

のサービスは、 Aventail Connect トンネルクライアントや Aventail OnDemand トンネルエージェン

トと共同で動作して、認証され暗号化されたアクセスを可能にします。

NIC ( ネットワークインタフェースカード )コンピュータにデータ交換機能を提供するプリント基盤またはカードで、ネットワーク内のクライアント

やサーバーに取り付けます。ネットワークアダプタと呼ばれることもあります。

ping接続性を判定するための診断ツール。リモートホストを「ping」する場合、 ICMP ECHO_REQUEST パケットを送信し、ホストの応答があるまで待機して確認します。応答がない場合、リモートホストがダ

ウンしているか到達不能になっています。応答がある場合は、応答の遅延時間を使用して、そのホストと

データ交換するときに必要なラウンドトリップ時間 (RTT) を判定することができます。

プレーンテキスト

暗号化されていないため、そのまま読むことができるメッセージのテキスト。

ポートおよびポート番号

TCP/IP および UDP ネットワークを参照する場合の論理チャネルまたはチャネルエンドポイント。ポー

ト番号は、アプリケーションプログラムに割り当てられ、入ってくるデータを正しいサービスにリンク

するために使用されます。一般的なポートとは、特定タイプのトラフィックで一般的に使用される標準

ポート番号を示します。たとえば、ポート 80 は一般的に HTTP (Web) トラフィックで使用され、ポート 20 は一般的に FTP 転送に割り当てられます。

秘密鍵

公開鍵暗号アルゴリズムで使用される鍵ペアの半分で、所有者のみが知っており共有されることはありま

せん。公開鍵が、鍵ペアの残りの半分になります。

プロトコル

コンピュータシステムのネットワーク間の情報交換に使用されるルールと手順。

プロキシサーバー

LAN とのインターネットトラフィックを管理するファイアウォールコンポーネント。内部リソースとこ

れらのリソースの外部要求との間のプロキシまたは中間コンポーネントとして機能します。プロキシサーバーは、実際のネットワークアドレスを隠して (IP アドレスが盗まれたりマッピングされたりする

のを防止 )、すべてのアプリケーション通信を保護し管理します。プロキシサーバーを使用すると、外部

ユーザーと内部リソースとの間に直接接続がなくなります。内部リソースとの間のすべてのトラフィック

は、プロキシサーバーにプロキシされます。 Aventail ネットワークアクセスサービスは、 SOCKS v5 プロキシサーバーになります。

公開鍵

公開鍵暗号アルゴリズムで使用される鍵ペアの半分で、一般に公開されておりユーザーの証明書にも含ま

れます。秘密鍵が、鍵ペアの残りの半分になります。

公開鍵暗号

データの暗号化と復号化に 2 つの異なる鍵を使用する暗号アルゴリズム ( 両方で同じ鍵を使用する従来型

のサイファとは異なる )。このようなシステムでは、鍵ペア ( 半分が公開鍵、残りの半分が秘密鍵 ) を生

成し、デジタル署名と鍵交換に使用することができます。公開鍵システムは、非常に安全性が高く、あら

かじめ鍵を交換しなくても通信が可能になります。そのため、関連性のない多数の人々の間でも ( イン

ターネットを介して ) 通信を容易に行うことができます。このアイデアは、 Diffie と Hellman が開発し

たもので、もよく使用される公開鍵アルゴリズムは RSA です。


RADIUS (Remote Authentication Dial-In User Service)バックエンド認証データベースと通信するためのプロトコル。ユーザー名 / パスワード、 CHAP、 CRAM 認証メカニズムで使用すると便利です。ユーザーは、ネットワークアクセスサーバーつまり NAS ( たと

えば Aventail ネットワークアクセスサービス ) にクレデンシャルを送信し、今度は NAS が RADIUS サーバーにそれを送信します。 RADIUS サーバーは、パスワードをチェックし、認証が正しいかどうか NAS に通知します。詳細については、 RFC 2138 を参照してください。

レルム

外部認証サーバーにマッピングされたユーザーグループで、 AMC で定義します。

逆方向接続

ネットワークリソースから VPN ユーザーへの接続。逆方向接続の例には、ユーザーのマシンにソフト

ウェアアップデートを「プッシュ」する SMS サーバーがあります。

RIP ( ルーティング情報プロトコル )ルータ同士でルーティングテーブル情報を動的に共有できるようにするためのプロトコル。

RSA (Rivest-Shamir-Adelman) 暗号

今日、も広い範囲で使用されている公開鍵アルゴリズム。 RSA という名前は、 1978 年に MIT でこれ

を開発した Ron Rivest、 Adi Shamir、 Leonard Adelman からそれぞれとられています。 PGP、 SSL、S/MIME などが、 RSA と共同で鍵交換やデジタル署名を行うために広く使用されています。 RSA は米国

で特許を取っており、使用が制限されていましたが、この特許権は 2000 年の 9 月に期限が切れました。

SecurIDRSA Security が開発した二因子ユーザー認証システム。このシステムは、判明しているもの (PIN) と所

有するもの ( ハードウェアトークン ) に基づいて認証を行います。これらの因子の組み合わせによってダ

イナミックパスコードが生成され、ユーザーはこれを認証メカニズムで入力します。

サーバー

ネットワークに接続しているコンピュータのことで、他のコンピュータとリソースを共有します。サー

バーは、情報をクライアントに「提供」します。

シングルサインオン

ユーザーのログインクレデンシャルがダウンストリーム Web アプリケーションに転送されるかどうかコ

ントロールするオプション。ユーザーのクレデンシャルを転送すると、ユーザーが複数回ログインする手

間を省くことができます。

スレーブノード

Aventail クラスタで、マスターノードによってコントロールされるセカンダリノード。すべての構成

は、マスターノードで行われ、その後マスターノードは、構成の変更をスレーブノードに伝播します。

小型携帯端末

ASAP WorkPlace に接続して Web リソースにアクセスできる、スマートフォンや特定の携帯電話、

pocket PC、携帯情報端末などのデバイス。

SOCKS v5プロキシサーバーを通る TCP トラフィックを操作するためのセキュリティプロトコル。 SOCKS は、認

証済みのファイアウォールトラバースのための IETF 規格で、ほとんどすべての TCP アプリケーション

で使用することができます。 LAN、イントラネット、エクストラネットなどのデータトラフィックに対

するフローとセキュリティを管理するためのプロキシメカニズムとして動作します。 SOCKS では、ソ

ケットを使用して、個別の接続を表現し記録します。 SOCKS には大きく分けて、 SOCKS v4 と SOCKS v5 の 2 種類のバージョンがあります。 SOCKS v5 には認証メカニズムがありますが、 SOCKS v4 には

ありません。詳細については、 RFC 1928 を参照してください。

スプリットトンネリング

AMC で定義されているリソースにバインドされたトラフィックがトンネル経由でリダイレクトされ、そ

の他のすべてのトラフィックが普通の方法でルートされるリダイレクションモード。これが、デフォル

トのリダイレクションモードになります。 Aventail トンネルクライアントでは、スプリットトンネリン

グ制御が提供されます。

316 | - 用語集

SSL (Secure Sockets Layer)インターネットで使用する HTTP などのアプリケーションプロトコルを保護するために Netscape Communications が開発した認証および暗号化プロトコル。 SSL では、交換対象のすべてのデータを情

報漏洩や改変などから守るため、鍵交換方式 (RSA がも一般的 ) を使用して、サイファで暗号化しハッ

シュする環境を確立します。 IETF は、 SSL の後継プロトコルとして、 Transport Layer Security (TLS) というネットワーク規格を作成しています。 SSL は、今日のインターネットで、もっとも広くデプロイさ

れているセキュリティプロトコルです。詳細については、 RFC 2246 を参照してください。

サブネット

ネットワークのセグメント。ネットワークは、パフォーマンスおよびセキュリティ上の理由から、サブ

ネット ( またはサブネットワーク ) に分割されます。サブネットは、それぞれのネットワーク部分が物理

的に互いに独立している場合でも、共通のネットワークアドレスをネットワークの他の部分と共有しま

す。サブネットは、サブネット番号で区別され、ルータでブリッジされます。 IP ネットワークは、サブ

ネットマスクを使用して分割されます。

サブネットマスク

IP ネットワークを小さなセグメント、つまりサブネットに分割するための方法。サブネットマスクは、

IP アドレスが所属するサブネットを識別します。ネットワーク管理者は、 IP アドレスのホスト部分を 2 つ以上のサブネットに分割することができます。この状態で、ホストアドレスの一部が解決され、特定

のサブネットが識別されます。

syslogロギング情報が出力される UNIX システムログ。

TCP/IP (Transmission Control Protocol/Internet Protocol)TCP と IP に基づく、インターネットの基本プロトコルスイート。 TCP は、このスイートのトランスポー

ト層で、 OSI の第 4 層に相当し、トラフィックを制限します。 IP は、このスイートのネットワーク層で、

OSI の第 3 層に相当し、アドレッシングを処理します。 (TCP/IP では 4 層を使用するが、 OSI ネット

ワーキングモデルでは 7 層を使用する )TCP では、送信先に対して信頼性の高いパケット送信を行い、

IP では、パケットを正しくアドレッシングします。 TCP/IP スイートのその他のプロトコルには、 SNMP (Simple Network Management Protocol)、 PPP (Point-to-Point Protocol)、 SMTP (Simple Mail Transfer Protocol)、 UDP (User Datagram Protocol) などがあります。 TCP/IP プロトコルスイート

は、アメリカの国防総省が、コンピュータ間通信のために開発したものです。インターネットを含む、

ネットワーク経由のデータ転送におけるデファクトスタンダードになっています。詳細については、RFC 793 を参照してください。

ターミナルサーバー

ユーザー端末にアプリケーションのグラフィカルユーザーインタフェース (GUI) を提供するサーバープログラム。それ自体には機能がありません。ユーザー端末は、グラフィカルターミナルエージェントを

使用して、このインタフェースを解析します。 Aventail アプライアンスから、 Windows Terminal Services エージェントおよび Citrix エージェントを直接管理することができます。

TLSトラフィックを暗号化するための FIPS 140-2 暗号化プロトコル。 Aventail アプライアンスでは、 TLS v1 転送プロトコルをサポートしています。

トークン

ダイナミックパスワードを生成するための小さなセキュリティデバイス。一部のトークンは、頻繁に変

動する数値を表示します。この数値が、短期間だけ有効なパスワードになります。また別のトークンに

は、試し入力用のキーパッドがあり、入力値に基づいて、正しく認証される適切な応答が計算されます。

トークンは、「第一世代のスマートカード」と呼ばれることもあります。

信頼できるルートファイル

管理者が選択するルート証明書のリスト。すべての証明書チェーンの後には、ルート証明書が付いてい

ます。ルートを確認するための「これより上位」の CA はないため、ルートについては信頼するかどうか

はっきりしなければなりません ( 信頼できない場合は、すべてのチェーンが信頼されず、拒否される )。

UDP (User Datagram Protocol)配信を保証することなく、データをインターネット経由で送信する手段。コネクションレスプロトコル

とも呼ばれます。 UDP は、 TCP/IP プロトコルスイートの一部で、 OSI ネットワーキングモデルの第 4 層 ( トランスポート層 ) に相当します。 UDP では、アプリケーションで生成されたデータメッセージを

パケットに変換し、 IP ネットワーク経由で送信しますが、すべてのパケットが正しい順序で送信先に配

信されることを保証しません。 UDP では、 TCP と異なり、エラーリカバリサービスを提供しないため、

主として、メッセージの再構築があまり必要ない、非常に小さなデータユニット ( データグラム ) の交換

に使用されます。詳細については、 RFC 768 を参照してください。


URL リソース

HTTP または HTTPS を使用してアクセスされる Web ベースのアプリケーションまたはサービス。 URL リソースの例には、 Web ポータル、標準 Web サーバー、 Microsoft Outlook Web Access などの Web ベースの電子メールプログラムなどがあります。

ユーザーエージェント文字列

特定の小型携帯端末を識別するためのテキスト文字列。

virtual private network (VPN)( インターネットなどの ) パブリックネットワークを介してプライベートネットワークにアクセスするた

めのセキュアなチャネル。VPN には大きく分けて、リモートアクセス VPN とエクストラネット VPN の 2 種類があります。前者は、リモートの従業員が、電子メールやファイルサーバーなどのネットワークリソースに安全にアクセスできるようにするもので、後者は、ビジネスパートナー ( サプライヤーやベン

ダー) がさまざまなアプリケーション ( サプライチェーンマネジメント (scm) プログラムなど ) に安全

にアクセスできるようにするものです。

[Web application profile]個別の Web アプリケーションが、アプライアンスによって処理される方法を定義するプロファイル。認

証転送や変換などもこれに含まれます。

Web プロキシアクセス

ユーザーが WorkPlace から URL にアクセスするときに使用されるデフォルトアクセス方式。Web プロ

キシアクセスを使用すると、 Web コンテンツの変換が不要になり、企業の Web アプリケーションに広

範にアクセスできるようになります。 Web プロキシアクセスは自動的にユーザーに提供されるため、特

別な構成は必要ありません。

Web プロキシサービス

ユーザーが、 Web ベースのアプリケーション、 Web サーバー、ネットワークファイルサーバーなどに、

Web ブラウザから安全にアクセスできるようにするアクセスサービス。 Web プロキシサービスは、

Web ベースのリソースに対するアクセスを中継し暗号化するセキュアな HTTP リバースプロキシです。

このサービスは、 OnDemand プロキシエージェントからの TCP/IP 接続の管理も行います。

Web ショートカット

Web ベースのアプリケーションまたはネットワーク上のサービスにアクセスするための ASAP WorkPlace のリンク。

ワイルドカード

1 つまたは複数の文字を表す特殊な記号。ワイルドカードは、ユーザーが 1 回の指定で多くのファイルを

選択できるようにするためのもので、複数のファイルやディレクトリを識別するために使用することがで

きます。たとえば Windows オペレーティングシステムの場合、アスタリスクは、任意の文字の組み合

わせを表すワイルドカードになります。そのため、「n*」は「n」が初に付くすべてのファイルを表し、

「n*.doc」は「n」が初に付き「.doc」が後に付くすべてのファイルを表します。

X.500ITU ( 国際電気通信連合 ) および ISO ( 国際標準化機構 ) が 1980 年代中頃に制定した、グローバルディ

レクトリの構造を定義する規格セット。認証 ( 公開鍵と秘密鍵のペアに基づくもの ) に関する X.509 系および LDAP は、 X.500 を発展させたものです。

X.509デジタル署名の定義に使用される ITU 勧告。この規格は正式に承認されていないため、企業ごとに異な

る方法で実装されています。今日使用されているほとんどすべての証明書 (SSL、 S/MIME) は X.509 証明書です。

ゾーン

ユーザーのエンドポイントで信頼のレベルに応じて異なるアクセスレベルを割り当てる「信頼ゾーン」

を定義する End Point Control 機能。接続要求が、 AMC で設定された「デバイスプロファイル」と比較

され、適切なゾーンに割り当てられます。

318 | - 用語集

Aventail SSL VPN インストールおよび管理ガイド |319

索引

AACC、 Aventail Cache Control を参照Active Directory ............................................69、 70、 73AMC

アカウント .......................................................... 37アクセス ............................................................. 31インタフェース ..................................................... 32概要 ..............................................................3、 31構成データ .......................................................... 41タイムアウト ....................................... 40、 145、 153ヘルプの利用 ....................................................... 36変更の適用 .......................................................... 41変更の保存 ....................................................34、 41ログアウト .......................................................... 32ログイン ............................................................. 40～へのログイン ..................................................... 31

AMC からのログアウト ................................................. 32AMC での構成データ .................................................... 41AMC へのログイン ...................................................... 31ASAP Management Console、 AMC を参照ASAP WorkPlace

End Point Control .............................................. 225Network Explorer .............................................. 229アクセス ........................................................... 224概要 ....................................................3、 201、 229カスタマイズ ..................... 206、 214、 215、 219、 221クライアントの要件 .........................................8、 205構成 ........................................................ 207、 214小型携帯端末 ..................................................... 217サービスの開始 ................................................... 251サービスの停止 ................................................... 251サポートされているプラットフォーム ...................8、 205スタートページ .................................................. 208設定 .......................................................... 19、 224テンプレート ..................................................... 221レルム .............................................................. 118ログイン ........................................................... 201

ASAP WorkPlace の外観 ............................................ 214ASAP WorkPlace のカスタマイズ . 206、 214、 215、 219、 221ASAP WorkPlace のロゴ ............................ 214、 215、 219ASAP WorkPlace へのログイン .................................... 201ASD、 Aventail Secure Desktop を参照Aventail ASAP WorkPlace、 ASAP WorkPlace を参照Aventail Cache Control ..................................... 194、 226Aventail Connect Mobile クライアント ......................... 232Aventail Connect トンネルクライアント ...4、 190、 230、 232Aventail Connect プロキシクライアント 4、19、190、231、246Aventail EX-1500

インジケータ ....................................................... 23クラスタ ................................................... 259、 307

Aventail EX-2500FIPS 対応 ......................................................... 293インジケータ ....................................................... 21

クラスタ ........................................................... 259接続 ...................................................................24

Aventail EX-750インジケータ ........................................................24接続 ...................................................................25

Aventail Management Console、 AMC を参照Aventail OnDemand、 OnDemand を参照Aventail Secure Desktop

概要 ................................................................. 196構成 ................................................................. 196有効化 .............................................................. 196

Aventail アプライアンスを参照Aventail アプライアンス

アーキテクチャ .....................................................13インストール ................................................. 17、 20概要 .................................................................... 1監視動作 ........................................................... 268管理 ...................................................................17クラスタ ........................................................... 259構成 ...................................................................17再起動 ................................................................26実稼動環境への移行 ...............................................19シャットダウン .....................................................26接続 ...................................................................24操作 ...................................................................21電源停止 .............................................................26電源投入 .............................................................26トラブルシューティング ........................................ 273保護のためのベストプラクティス ............................ 285モデル ................................................................. 2モニタリング ...................................................... 144

CCache Control、 Aventail Cache Control を参照CA 証明書 .................................................................63Citrix エージェント ............................................ 210、 249ClearTrust、 RSA ........................................................85Config Backup Tool .................................................. 167Config Compare Tool ............................................... 170Config Reset Tool .................................................... 169Config Restore Tool ................................................. 168Connect トンネルクライアント、

Aventail Connect トンネルクライアントを参照Connect プロキシクライアント、

Aventail Connect プロキシクライアントを参照Console、 AMC を参照cookies、変換 ............................................................98

320| 索引

DDHCP サーバー ........................................................ 253DNS キャッシュ ............................................... 256、 257DNS 設定のキャッシュ ....................................... 256、 257DNS の構成 ............................................................... 51

EEnd Point Control

ASAP WorkPlace ............................................... 225Aventail Cache Control .............................. 194、 226Aventail Secure Desktop .................................... 196Sygate On-Demand ........................................... 197WholeSecurity .................................................. 198Zone Labs Integrity ........................................... 198概要 ................................................................ 179クライアントの整合性 .......................................... 198シナリオ ........................................................... 181制限 ................................................................ 127ゾーン ...................................................... 180、 184デバイスプロファイル ................................. 180、 184無効化 .............................................................. 184有効化 .............................................................. 184

FFactory Reset tool ................................................... 174FIPS

SNMP の監視 ..................................................... 305概要 ................................................................ 293クライアントの要件 ............................................. 296構成 ................................................................ 294コマンドラインユーティリティ ............................. 306スマートカードの構成 ......................................... 302セキュリティワールドの置換 ................................. 299操作 ................................................................ 298その他のマニュアル ............................................. 294トラブルシューティング ........................................ 304ハードウェアセキュリティモジュール ..................... 293ベストプラクティス ............................................ 294ライセンス ........................................................ 296

Hhosts ファイルのリダイレクション ........................ 239、 240

IICMP の有効化 ......................................................... 142iMode .................................................................... 217IP アドレスの構成 ....................................................... 46IP アドレスプール

概要 ................................................................ 253スタティック ..................................................... 255ダイナミック ..................................................... 253追加 ........................................................ 253、 255

JJava コンソール、表示 ............................................... 280Java セキュリティ警告、抑止 ...................................... 244Java、ブラウザでの有効化 .......................................... 280

JVM, バージョンの検出 ............................................... 279

LLDAP 認証

Active Directory ..................................................73サーバー .............................................................74デジタル証明書 .....................................................77ユーザー名 / パスワード .........................................75

limbo life、 maximum ............................................... 257

MManagement Console 監査ログ ................................... 153Management Console、 AMC を参照maximum limbo life ................................................. 257

NNetegrity SiteMinder ..................................................83Network Explorer ............................................ 204、 229ngutil ツール ........................................................... 283NTLM 認証転送 ...........................................................87NTP ....................................................................... 143

OOnDemand

hosts ファイルのリダイレクション .................. 239、 240概要 .................................................... 4、 231、 236起動 ................................................................. 237クライアントの要件 ........................................ 8、 238クロスプラットフォームサポート ................... 240、 241検出プロキシ ...................................................... 245互換プラットフォームサポート .................................. 8サポートされているアプリケーション ....................... 237サポートされているプラットフォーム .................. 8、 238ステータスウィンドウ .......................................... 237ダイナミックモード ............................................ 237テスト .............................................................. 279デバッグメッセージ ............................................ 243マップドモード .................................................. 237リダイレクション ................................................ 239ループバックアドレス .......................................... 240ログイン ........................................................... 243

OnDemand での Linux のサポート .......................... 8、 240OnDemand での Macintosh のサポート .................... 8、 240OnDemand トンネルエージェント .......................... 4、 230OnDemand の起動 .................................................... 237OnDemand のテスト ................................................. 279OnDemand へのデバッグメッセージ ............................. 243

PPDA ....................................................................... 217ping コマンド .......................................................... 142


RRADIUS アカウンティング .......................................... 129RADIUS 認証

概要 .................................................................. 80スマートカード .................................................... 82トークン ............................................................. 82ユーザー名 / パスワード ......................................... 80

Rollback Tool .......................................................... 174RSA ClearTrust ......................................................... 85

Sscp ......................................................................... 17Secure Desktop、 Aventail Secure Desktop を参照Setup Tool ............................................... 27、 263、 295Setup Wizard ............................................................ 27SiteMinder、 Netegrity ................................................ 83SNMP

Aventail MIB のダウンロード ................................ 158Aventail MIB データ ........................................... 160FIPS ハードウェアセキュリティモジュール .............. 305概要 ................................................................ 157構成 ................................................................ 157使用したデータの取得 .......................................... 159

SSH アクセス .................................................... 17、 141SSL 暗号化

Web プロキシサービス ........................................ 175概要 ................................................................ 175構成 ................................................................ 175ネットワークアクセスサービス ............................. 175ベストプラクティス ............................................ 287

Sygate On-Demand ................................................. 197syslog サーバー ....................................................... 148

VVPN の概要 .................................................................1

WWAP 互換電話 .......................................................... 217Web アプリケーションプロファイル

表示 .................................................................. 97概要 .................................................................. 87追加 .................................................................. 97編集 .................................................................. 99削除 .................................................................. 99

Web サーバー、ダウンストリーム ................................. 258Web ショートカット .................................................. 208Web ブラウザプロファイル ................................ 219、 220Web プロキシエージェント ........................................ 231Web プロキシサービス

SSL 暗号化 ....................................................... 175アクセスログ .................................................... 145開始 ................................................................ 251概要 ................................................................ 250構成 ................................................................ 258停止 ................................................................ 251概要 ....................................................................2

Web リソース ............................................................ 89WholeSecurity Confidence Online .............................. 198Windows Terminal Services エージェント ............. 210、 248

Windows 名前解決の構成 ..............................................52WorkPlace サイト

概要 ................................................................. 214コピー .............................................................. 214追加 ................................................................. 215編集 ................................................................. 214

ZZone Labs Integrity ................................................. 198

あアウトバウンドプロキシサーバーサポート ..................... 245アカウント、管理者 .................................................... 286アクセス

AMC ..................................................................31ASAP WorkPlace ................................................ 224OnDemand ....................................................... 237

アクセスエージェント

Connect トンネルクライアント ............................. 230Connect プロキシクライアント ............................. 231Network Explorer .............................................. 229OnDemand トンネルクライアント ......................... 230OnDemand プロキシエージェント ......................... 231Web プロキシエージェント ................................... 231概要 ................................................................. 227トランスレーテッド Web エージェント ..................... 232トンネルクライアント .......................................... 230Connect プロキシクライアント ............................. 246

アクセス管理のルール

ベストプラクティス ............................................ 286アクセスサービス

Web プロキシサービス ........................................ 258概要 ................................................................. 250ネットワークトンネルサービス .............................. 252ネットワークプロキシサービス .............................. 256

アクセス制御ルール

移動 ................................................................. 111概要 ................................................................. 100管理 ................................................................. 100構成 ................................................................. 100コピー .............................................................. 111削除 ................................................................. 111追加 ................................................................. 103表示 ................................................................. 100編集 ................................................................. 111無効 ................................................................. 101有効 ................................................................. 101要求 ................................................................. 111

アクセス方式

概要 ................................................................. 227構成 ................................................................. 124

アクセスログ ........................................................... 145アクティブなノード .................................................... 260アップデートファイル ................................................ 171アップデート、システム .............................................. 170アドレスプール ................................................ 253、 255アプライアンスの再起動 ................................................26アプライアンスの接続 ...................................................24アプライアンスの保護 ................................................. 285

322| 索引

暗号化

Web プロキシサービス ........................................ 175ネットワークアクセスサービス ............................. 175

い移動

アクセス制御ルール ............................................. 111コミュニティ ..................................................... 129ショートカット ................................................... 213ブラウザプロファイル ......................................... 221

インストール

Aventail Connect Mobile クライアント ................... 232Aventail Connect トンネルクライアント ................. 232Aventail Connect プロキシクライアント ................. 231Aventail アプライアンス ........................................ 20概要 .................................................................. 17クラスタ ........................................................... 261ハードウェア ....................................................... 20

インタフェース

構成速度 ............................................................. 47ネットワーク .................................................13、 46

インポート

構成ファイル ..................................................... 164証明書 ..........................................................61、 63

えエイリアス ..........................................................73、 93エージェント

アクセス ........................................................... 227グラフィカルターミナル ....................................... 247データ保護 ........................................................ 194

エクスポート

構成ファイル ..................................................... 164証明書 ................................................................ 63ログファイル .................................................... 147

おオンラインヘルプ ....................................................... 36

か監査ログ、 Management Console ................................. 153監視

アクティブユーザーセッション ............................. 156アクティブユーザーセッションの停止 ..................... 157アプライアンス ........................................... 153、 154ユーザーの検索 ................................................... 156

管理

Aventail アプライアンス ........................................ 17End Point Control .............................................. 184アクセス制御ルール ............................................. 100管理者アカウント .................................................. 37クラスタ ........................................................... 267証明書 ................................................................ 61ユーザーグループ ............................................... 131リソース ............................................................. 89リソースグループ ................................................. 96

管理者アカウント ........................................................ 37概要 .................................................................. 37管理 .................................................................. 37

追加 ...................................................................37ベストプラクティス ............................................ 286編集 ...................................................................38

管理者の衝突 ..............................................................40管理者の役割 ....................................................... 39、 40

概要 ...................................................................37追加 ...................................................................39定義 ...................................................................39プライマリ対セカンダリ ..........................................39編集 ...................................................................40

管理スイッチ接続 ...................................................... 266

き逆方向接続 ....................................... 102、 105、 230、 250

くクライアントアクセス、のためのベストプラクティス ........ 287クライアント証明書 ............................................... 61、 65クライアントのインストールパッケージ

概要 ................................................................. 232構成 ......................................................... 233、 234設定 ................................................................. 235

クライアントの整合性の検証 ......................................... 198クライアントの整合性、検証 ......................................... 198クライアントの要件 ............................................... 8、 238クラスタ

EX-1500 .......................................................... 259EX-2500 .................................................. 259、 307アーキテクチャ ................................................... 259アップグレード ................................................... 269インストール ...................................................... 261概要 ................................................................. 259仮想 IP アドレス ................................................. 265監視 ................................................................. 268管理 ................................................................. 267管理スイッチ接続 ................................................ 266構成 ......................................................... 261、 267ステートフルフェイルオーバー ............................... 261トラブルシューティング ........................................ 270ネットワーク情報の表示 ........................................ 267ネットワーク接続 ................................................ 262バックアップ ...................................................... 269フェイルオーバー ................................................ 261マスターノードの割り当て .................................... 264マルチノード ..................................................... 307

クラスタネットワークの接続 ......................................... 262クラスタのアップグレード ........................................... 269クラスタの仮想 IP アドレス ......................................... 265グラフィカルターミナルエージェント

Citrix ............................................................... 249Windows Terminal Services ................................ 248概要 ................................................................. 247

グラフィカルターミナルショートカット ......................... 210グループ

管理 ...................................................................96マッピング名 ...................................................... 115ユーザー ........................................................... 115リソース .............................................................96

グループアフィニティチェック ......................................69クレデンシャル転送 ............................................... 97、 98


け携帯電話 ................................................................. 217

こ工場出荷時デフォルト構成 ........................................... 169更新

構成 ................................................................ 163構成

ASAP WorkPlace ....................................... 207、 214Aventail Cache Control ...................................... 194Aventail Connect プロキシクライアント ................. 231Aventail Secure Desktop .................................... 196DNS .................................................................. 51IP アドレス ......................................................... 46IP アドレスプール ...................................... 253、 255Netegrity SiteMinder ........................................... 84RADIUS アカウンティング .................................... 129RADIUS 認証 ...................................................... 80SNMP .............................................................. 157SSH ................................................................ 141SSL 暗号化 ....................................................... 175SSL 暗号化の設定 ............................................... 175Web プロキシサービスの設定 ................................ 258アクセス制御ルール ............................................. 100アクセス方式 ..................................................... 124インポートおよびエクスポート ............................... 164概要 .................................................................. 17クラスタ ........................................................... 261クラスタのネットワーク情報 .................................. 267更新 ................................................................ 163コミュニティ ..................................................... 122時刻設定 ........................................................... 143証明書 ....................................................53、 61、 65ショートカット ................................................... 207シングルサインオン .............................................. 86認証 .................................................................. 66ネットワーク設定 .................................................. 45ネットワークトンネルサービスの設定 ..................... 252ネットワークプロキシサービスの設定 ..................... 256バックアップ ............................................. 163、 167比較 ................................................................ 170ファイルの衝突と回避 ............................................ 40ブラウザプロファイル ......................................... 220保存 .................................................................. 34ユーザーアクセスコンポーネント ........................... 227ユーザー名 / パスワード認証 ..............................75、 80リストア ................................................... 163、 168リセット ........................................................... 169レルム .............................................................. 119ローカルユーザー認証 ........................................... 86ログ設定 ........................................................... 148

構成の比較 .............................................................. 170構成変更の適用 ................................................... 41、 251小型携帯端末

ASAP WorkPlace ............................................... 217概要 ................................................................ 217証明書 ................................................................ 54表示の適化 ..................................................... 219

個人フォルダ、ショートカットへ ................................... 212コピー

AMC でのオブジェクト ........................................... 35

WorkPlace サイト ............................................... 214アクセス制御ルール ............................................. 111

コミュニティ

EPC 制限 .......................................................... 127アクセス方式 ...................................................... 124移動 ................................................................. 129構成 ................................................................. 122デフォルト ........................................................ 128レルムに追加 ...................................................... 121

さサーバー

syslog ............................................................. 148Web ダウンストリーム ......................................... 258ターミナル ................................................ 210、 247認証 ...................................................................66

サーバー証明書 .............................................. 53、 74、 77サービス

開始 ................................................................. 251概要 ................................................................. 250停止 ................................................................. 251

サービスの開始 ......................................................... 251サービスの停止 ......................................................... 251サイト、 WorkPlace ........................................... 214、 215サイファ、許可 ......................................................... 175再要求

ショートカット ................................................... 213削除

AMC でのオブジェクト ...........................................35Web アプリケーションプロファイル ..........................99アクセス制御ルール ..................................... 101、 111参照されているオブジェクト ....................................43ショートカット ................................................... 213ユーザー ........................................................... 138ユーザーグループ ............................................... 138リソース .............................................................94リソースグループ .................................................96

参照されているオブジェクトの削除 ..................................43

し時刻設定 ................................................................. 143自己署名証明書 ...........................................................54システム

アップデート ...................................................... 170更新 ................................................................. 163ステータス表示 ........................................... 153、 154バックアップ ...................................................... 163バックアップファイル .......................................... 170リストア ........................................................... 163ロギング ........................................................... 144

システムアップデートの取り消し .................................. 174システム更新 ............................................................ 163システム要件 ............................................................... 7実稼動、アプライアンスへの移行 .....................................19シャットダウン ...........................................................26順方向接続 ............................................... 102、 230、 250冗長ノード ............................................................... 260静的ルート .................................................................50衝突

管理者 ................................................................40

324| 索引

証明書

CSR 応答のインポート ........................................... 60CSR の送信 ......................................................... 59CSR の生成 ......................................................... 56FAQ .................................................................. 65インポート ....................................................61、 63エクスポート ....................................................... 63概要 .................................................................. 53管理 .................................................................. 61クライアント .................................................61、 65検証を使用する ..................................................... 77構成 ......................................................53、 61、 65小型携帯端末 ....................................................... 54サーバー .......................................................53、 74自己署名 ............................................................. 54取得 .................................................................. 56詳細表示 ............................................................. 62信頼できるルートファイル ................................55、 60追加 ............................................... 61、 62、 63、 64

証明書署名要求

応答のインポート .................................................. 60概要 .................................................................. 56生成 .................................................................. 56送信 .................................................................. 59

商用 CA からの証明書の取得 .......................................... 56ショートカット

Web ................................................................ 208移動 ................................................................ 213概要 ................................................................ 201グラフィカルターミナル ....................................... 210構成 ................................................................ 207個人フォルダ ..................................................... 212再要求 .............................................................. 213削除 ................................................................ 213追加 ........................................ 208、 209、 210、 212ネットワーク ..................................................... 209表示 ................................................................ 207ファイルシステムリソース ................................... 209編集 ................................................................ 213

シリアル接続 ............................................................. 26シングルインタフェース ............................................. 259シングルサインオン ................................. 86、 87、 97、 98信頼できるルートファイル ................... 55、 60、 74、 75、 79

すスタートページ ........................................................ 208スタティック IP アドレスプール ................................... 255ステータスウィンドウ、 OnDemand ............................. 237ステートフルフェイルオーバー ..................................... 261スプリットトンネリング .........................................3、 125スマートカード認証 .................................................... 82スマートフォン ......................................................... 217

せセッション

アクティブユーザー ............................................ 156停止 ................................................................ 157

接続

逆方向 ...................................... 102、 105、 230、 250順方向 .............................................. 102、 230、 250

シリアル .............................................................26相互接続 ........................................................... 102双方向 .............................................. 102、 230、 250

設定

ASAP WorkPlace ..........................................19、 224Aventail Connect Mobile クライアント .................... 232Aventail Connect プロキシクライアント ...........19、 231クライアントのインストールパッケージ .................... 235ユーザーアクセスコンポーネント .............................. 3～用アプライアンスチェックリスト ...........................15

前面パネルインジケータ

EX-1500 アプライアンス ........................................23EX-2500 アプライアンス ........................................21EX-750 アプライアンス ..........................................24

そ相互接続 ................................................................. 102双方向接続 ............................................... 102、 230、 250ゾーン

Aventail Connect ............................................... 190概要 ................................................................. 180定義 ......................................................... 186、 192デバイスプロファイル .................................. 180、 184デフォルトゾーン ............................................... 191特定の状況 ........................................................ 191表示 ................................................................. 185

たターミナルサーバー ........................................... 210、 247ダイナミック hosts ファイルのリダイレクション ............... 240ダイナミック IP アドレスプール ................................... 253ダイナミックモード ................................................... 237ダウンストリーム Web サーバー ................................... 258ダウンロード

Aventail MIB ..................................................... 158クライアントのインストールパッケージ .................... 232システムアップデート .......................................... 171

端末、小型携帯 ......................................................... 217

ちチェックリスト

実稼動環境への移行 ...............................................19初期設定 .............................................................15

つ追加

AMC でのオブジェクト ...........................................35CA 証明書 ...........................................................63IP アドレスプール ...................................... 253、 255Web アプリケーションプロファイル ..........................97WorkPlace サイト ............................................... 215アクセス制御ルール ............................................. 103管理者アカウント ..................................................37管理者の役割 ........................................................39ショートカット ........................... 208、 209、 210、 212ゾーン .............................................. 186、 191、 192デバイスプロファイル .......................................... 187認証サーバー ........................................................68認証レルム ........................................................ 119


ブラウザプロファイル ......................................... 220ユーザー ........................................... 110、 133、 136ユーザーグループ ............................... 110、 133、 136リソース ..................................................... 92、 110リソースグループ ................................................. 96ルート証明書 ...........................................61、 62、 64レルム .............................................................. 119

ツールConfig Backup Tool ........................................... 167Config Compare Tool ......................................... 170Config Reset Tool .............................................. 169Config Restore Tool ........................................... 168ngutil .............................................................. 283Rollback Tool .................................................... 174Setup Tool ................................................. 27、 263

てデータ保護エージェント .............................................. 194デバイスプロファイル

概要 ................................................................ 180定義 ................................................................ 187表示 ................................................................ 185

デフォルトゲートウェイ ............................................... 48デフォルトコミュニティ ............................................. 128デフォルトゾーン ..................................................... 191デフォルトレルム ............................................. 117、 118デュアルインタフェース ............................................. 259電源停止 ................................................................... 26電源投入 ................................................................... 26転送、認証 ..........................................................97、 98テンプレート、 ASAP WorkPlace .................................. 221

と動的ルーティング ........................................................ 49トークン認証 ............................................................. 82ドメイン名の指定 ........................................................ 46トラブルシューティング

概要 ................................................................ 273クラスタ ........................................................... 270ツール .............................................................. 281

トランスレーテッド Web エージェント ........................... 232トンネリング、スプリット .......................................3、 125トンネルクライアント ................................................ 230

な名前解決の構成 .....................................................51、 52

に認証

Active Directory .................................................. 69NTLM ................................................................ 87RADIUS ............................................................. 80概要 .................................................................. 66グループアフィニティチェック ............................... 69構成 .................................................................. 66シングルサインオン .............................................. 87スマートカード .................................................... 82デジタル証明書 ..................................................... 77トークン ............................................................. 82

ユーザー名 / パスワード ............................ 70、 75、 80レルム ........................................................66、 115レルムの追加 ...................................................... 119ローカルユーザー .................................................86

認証サーバー

Active Directory 認証 ............................................69Netegrity SiteMinder ............................................83LDAP 認証 ..........................................................74RADIUS 認証 .......................................................80RSA ClearTrust ...................................................85概要 ...................................................................66定義 ...................................................................68複数 ...................................................................68方式 ...................................................................66レルムでの参照 .....................................................68

ねネットワークトンネルクライアント

トラブルシューティングツール ............................... 283ネットワークアーキテクチャ ..........................................13ネットワークアクセスサービス

アクセスログ ..................................................... 145ネットワークインタフェース ................................... 13、 46ネットワーク構成 ...................................................... 285ネットワークショートカット ........................................ 209ネットワーク設定

DNS ..................................................................51ICMP ............................................................... 142NTP ................................................................. 143SSH ................................................................ 141Windows 名前解決 ................................................52概要 ...................................................................45サーバー証明書 .....................................................53システム ID .........................................................46デフォルトゲートウェイ .........................................48ネットワークインタフェース ...................................46

ネットワークトンネルクライアント

概要 ................................................................. 230ネットワークトンネルサービス

開始 ................................................................. 251概要 ............................................................ 2、 250構成 ................................................................. 252停止 ................................................................. 251トラブルシューティング ........................................ 276

ネットワークプロキシサービス

Aventail Connect プロキシクライアント ................. 231OnDemand ....................................................... 236開始 ................................................................. 251概要 ............................................................ 2、 250構成 ................................................................. 256停止 ................................................................. 251

ネットワークリソース ..................................................90

のノード

アクティブ ........................................................ 260冗長 ................................................................. 260デュアル ........................................................... 259マスター ........................................................... 261

326| 索引

はハードウェアのインストール .......................................... 20パスワード

ベストプラクティス ............................................ 286変更 .................................................................. 38

パスワードの変更 ........................................................ 38バックアップ

クラスタ ........................................................... 269構成 ................................................................ 167

バックアップファイル ................................ 167、 168、 170バックエンドサーバー、ルートファイル証明 ...............62、 64

ひ非表示レルム ................................................... 117、 118表示

アクセス制御ルール ............................................. 100クラスタのネットワーク情報 .................................. 267システムステータス .................................... 153、 154証明書の詳細 ....................................................... 62ショートカット ................................................... 207ゾーン .............................................................. 185デバイスプロファイル ......................................... 185メッセージログ .................................................. 145リソース ............................................................. 91リソースグループ ................................................. 91レルム .............................................................. 116

表示レルム ...................................................... 117、 118

ふファイアウォールポリシー ............................................ 16ファイル

アップデート ..................................................... 171クライアントのインストール .................................. 232構成 .......................................................... 40、 163信頼できるルート ......................... 55、 60、 74、 75、 79バックアップ ..................................... 167、 168、 170比較 ................................................................ 170ログ ........................................................ 144、 149

ファイルシステムリソース ................... 91、 203、 204、 209プール、 IP アドレス .......................................... 253、 255フェイルオーバー、ステートフル ................................... 261負荷分散

高可用性 ........................................................... 259ブラウザ

WorkPlace での要件 ................................................8Java コンソールの表示 ......................................... 280JVM のバージョンの検出 ....................................... 279OnDemand クライアント要件 ............................... 238OnDemand での要件 ..............................................8WorkPlace の要件 .............................................. 205ブラウザでの Java の有効化 .................................. 280

ブラウザプロファイル

移動 ................................................................ 221概要 ................................................................ 219追加 ................................................................ 220

プロキシサーバーの識別 ............................................. 245プロファイル

Web アプリケーション ........................................... 97ブラウザ ................................................... 219、 220

へ変換

cookie ...............................................................98項目 ...................................................................98

変換項目 ...................................................................98変更の保存 .......................................................... 34、 41編集

AMC でのオブジェクト .................................... 33、 35Web アプリケーションプロファイル ..........................99WorkPlace サイト ............................................... 214アクセス制御ルール ............................................. 111管理者アカウント ..................................................38管理者の役割 ........................................................40ショートカット ................................................... 213ユーザー ........................................................... 137ユーザーグループ ............................................... 137リソース .............................................................94リソースグループ .................................................96

ほポートマッピング ..................................................... 240

まマスターノード ................................................ 264、 261マッピング

OnDemand でのポート ........................................ 240グループ名 ........................................................ 115ユーザー名 ........................................................ 115

む無効

アクティブユーザーセッション .............................. 157無効化

End Point Control .............................................. 184レルム .............................................................. 119

もモニタリング

アプライアンス ................................................... 144

ゆ有効

アクセス制御ルール ............................................. 101有効化

Aventail Cache Control ....................................... 194Aventail Secure Desktop .................................... 196End Point Control .............................................. 184Sygate On-Demand ........................................... 197WholeSecurity .................................................. 198Zone Labs Integrity ........................................... 198レルム .............................................................. 119

ユーザー

アクティブセッションの停止 ................................. 157概要 ................................................................. 115監視 ................................................................. 156検索 ................................................................. 156削除 ................................................................. 138


追加 ................................................ 110、 133、 136編集 ................................................................ 137マッピング ........................................................ 115ローカル ........................................................... 138

ユーザーアクセスコンポーネント .............................3、 227ユーザーアクセス、のためのベストプラクティス .............. 287ユーザーグループ

概要 ................................................................ 115管理 ................................................................ 131削除 ................................................................ 138追加 ................................................ 110、 133、 136編集 ................................................................ 137マッピング名 ..................................................... 115

ユーザーセッションの停止 .......................................... 157ユーザーセッション、停止 .......................................... 157ユーザーの検索 ......................................................... 156ユーザー名 / パスワード認証 ..............................70、 75、 80

よ要求

アクセス制御ルール ............................................. 111コミュニティ ..................................................... 129

らライセンス

FIPS ................................................................ 296概要 ................................................................ 177管理 ................................................................ 178コンポーネント ................................................... 177詳細表示 ........................................................... 177ベース .............................................................. 177

ラックのインストール .................................................. 20

りリストア

工場出荷時 ........................................................ 169構成 ................................................................ 168

リセットFactory Reset Tool ............................................ 174構成 ................................................................ 169

リソースWeb .................................................................. 89Web アプリケーションプロファイル ......................... 97管理 .................................................................. 89高度なオプション .................................................. 93削除 .................................................................. 94追加 .......................................................... 92、 110ネットワーク ....................................................... 90排除リスト .......................................................... 95表示 .................................................................. 91ファイルシステム ......................... 91、 203、 204、 209編集 .................................................................. 94

リソースグループ

管理 .................................................................. 96削除 .................................................................. 96追加 .................................................................. 96表示 .................................................................. 91編集 .................................................................. 96

リソース排除 ............................................................. 95

るルート ......................................................................48ルートファイル証明 .............................................. 62、 64ループバックアドレス ................................................ 240

れレルム

Active Directory ..................................................69ASAP WorkPlace ................................................ 118RADIUS アカウンティング .................................... 129概要 ................................................................. 115グループアフィニティチェック ................................69検索 ................................................................. 133コミュニティの追加 ............................................. 121追加 ................................................................. 119デフォルト ................................................ 117、 118認証サーバーでの参照 .............................................68非表示 ...................................................... 117、 118表示 ................................................. 116、 117、 118ベストプラクティス ............................................ 119無効化 .............................................................. 119有効化 .............................................................. 119

レルムの検索 ............................................................ 133

ろローカルユーザー認証 ..........................................86、 138ロギング

Management Console 監査ログ ............................. 153syslog サーバー .................................................. 148概要 ................................................................. 144設定の構成 ........................................................ 148ファイル形式 ...................................................... 145ファイルのエクスポート ........................................ 147ファイルのロケーション ........................................ 149メッセージの表示 ................................................ 145レベル .............................................................. 148

ログインOnDemand ....................................................... 243

わワイルドカード

EPC デバイスプロファイルでの .............................. 188ブラウザプロファイルでの .................................... 220メッセージの検索 ................................................ 146リソース排除リストでの ..........................................95

328| 索引

Documents

Aventail SSL VPNsoftware.sonicwall.com/Aventail/Documentation/860/ST_v8...Aventail® SSL VPN インストールおよび管理ガイド バージョン 8.6 ©1996-2005 Aventail Corporation。すべての権利は保有されています。Aventail、Aventail

Aventail SSL VPNsoftware.sonicwall.com/Aventail/Documentation/860/ST_v8...Aventail® SSL VPN インストールおよび管理ガイドバージョン 8.6 ©1996-2005 Aventail Corporation。すべての権利は保有されています。Aventail、Aventail