Cisco VPN 3000 シ リ ー ズ コ ン セ ン ト レ ー タ の Integrity との統合
以下の手順に従って、Cisco コンセントレータを Integrity サーバに統合します。
3. [Failure Policy (障害ポリシー)] オプションをインストール構成に合わせて適切に設定し ます。
4. [Server Port (サーバ ポート)] フィールドに、Integrity サーバのポートを入力します。デ
フォルト設定は 5054 です。
5.Integrity サーバの承認に SSL 認証を使用するかどうかを選択します。
クライアント施行の設定
接続するエンドポイント コンピュータに Integrity クライアントがインストールされている ことを要求するように、Cisco コンセントレータを設定します。以下の手順でクライアント 施行を設定します。
1.Cisco コンセントレータ上にグループを作成します。
43ページの「グループの作成」を参照してください。
2.ファイアウォール ポリシーを設定します。
44ページの「ファイアウォール ポリシーの設定」を参照してください。
グループの作成
まだグループを作成していない場合は、この時点で作成します。すでにグループを作成して いる場合は、そのグループを適宜編集します。
グループを作成するには:
1.Cisco VPN 3000 コンセントレータ シリーズ管理コンソールを開き、[Configuration (設定
)] - [User Management (ユーザ管理)] - [Groups (グループ)] を選択します。
2. [Add Group (グループの追加)] をクリックします。
3. [Identity (ID)] タブをクリックします。
この IP を後で変更する場合、Cisco ゲートウェイを Integrity Advanced Server から削除す るまで、通信は引き続き Integrity Advanced Server にルーティングされます。
この値は 5054 には設定できません。また 52ページの「ポート設定のチェック」での ポート値に一致させる必要があります。
[SSL Client Authentication (SSL クライアント承認)] チェック ボックスをオンにする場合、
協調施行の前に Cisco コンセントレータから SSL 認証を Integrity サーバにインポートする 必要があります。コンセントレータ インターフェイスへの適切なキーを使用してくださ い。Integrity サーバの証明書マネージャを使用して、証明書をインポートします。
4. [Group Name (グループ名)] フィールドに、グループの名前を入力します。Integrity サー バ上のゲートウェイ グループに使用しているのと同じ名前を使用する必要があります。
5.その他のフィールドにも入力して、[Add (追加)] をクリックします。
ファイアウォール ポリシーの設定
ファイアウォール ポリシーを設定するには:
1. [Client FW (クライアント FW)] タブをクリックします。
[VPN クライアント ファイアウォール ポリシー] ページが開きます。
2. [Firewall Setting (ファイアウォール設定)] フィールドで [Firewall Required (ファイア ウォールが必要)] ラジオ ボタンを選択します。
3. [Firewall (ファイアウォール)] ドロップダウン リストで、[Zone Labs Integrity (Zone Labs Integrity)] を選択します。
4.その他のフィールドにも入力して、[Add (追加)] をクリックします。
Integrity クライアントの設定
Integrity クライアントを、Cisco VPN クライアントが Cisco コンセントレータと通信できる ように設定します。
エンドポイント コンピュータが Integrity Agent を使用している場合は、Integrity サーバを使 用して Integrity Agent をエンタープライズ ポリシー経由で設定することができます。エン ドポイント コンピュータが Integrity Flex を使用している場合には、Integrity サーバを使用 して、エンタープライズ ポリシーとパーソナル ポリシーの両方を設定します。エンドポイ ント コンピュータが Integrity Agent を使用していてパーソナル ポリシーをカスタマイズし ている場合には、パーソナル ポリシーを設定する必要もあります。
クライアント通信の概要
エンドポイント コンピュータ上の Cisco VPN は、Integrity サーバと以下の方法で通信しま す。
1.Cisco VPN クライアントは Cisco コンセントレータに問い合わせます。
2.Cisco コンセントレータは、ユーザの最初の認証を行ないます。
3.認証が成功した場合、トンネルは Intgrity Server とのネットワーク接続のみを許可され る、制限された状態にされます。
4.Integrity クライアントは、Integrity サーバへ Cisco ゲートウェイ グループ名およびユーザ
名を送ります。
5.Integrity Server が到達不可能な場合、Cisco VPN は AYT (Are You There) 機能に戻ります。
その後、コンセントレータは Cisco VPN クライアントと連絡をとり、Integrity クライアン ト サービスが実行されているかどうかを確認します。Integrity クライアント サービスが
6.Integrity クライアントは、サーバに同期リクエストを送信します。Integrity サーバは、
VPN グループにマッチするゲートウェイ グループを検索します。その後、この情報に基 づいて適切なポリシーを選択します。ダウンロードするポリシーの場所およびその他の 情報が、Integrity クライアントに返されます。
7.Integrity クライアントがポリシーを持っていない場合には、ダウンロードします。次にも
う 1 つの同期呼び出しをサーバに送信して、規則への準拠について報告します。 制限付き モードでは、接続は削除されます。2 番目の同期呼び出しが 6 ハートビートの間に到達 しなかった場合には、Integrity Advanced Server が VPN ゲートウェイに接続を終了するよ うに指示します。
8.一旦接続されれば、Integrity クライアントは VPN 接続を終了しない限り閉じることはで きません。VPN クライアントは、Integrity ファイアウォール サービスへ直接フックし、
終了することを許可しません。サービスが異常終了した場合、VPN 接続は直ちに閉じら れます。
9.デフォルトでは、Integrity が 4 ハートビートを連続してミスした場合には、接続は制限 されます。Integrity クライアントが 6 ハートビートを連続してミスした場合には、VPN トンネルは遮断され接続は終了します。 ハートビートの周期と、終了または制限までの ハートビート数は、ポリシーのクライアント設定で設定することができます。
以下の手順に従って、Cisco VPN クライアントが VPN ゲートウェイに接続できるように Integrity クライアントを設定します。
Integrity クライアントを設定するには:
1.エンタープライズ ポリシーを設定します。
45ページの「エンタープライズ ポリシーの設定」を参照してください。
2.Integrity Flex または Agent のポリシー ファイルをパッケージ化します。
48ページの「Integrity Flex または Agent のポリシー ファイルのパッケージ化」を参照し てください。
エンタープライズ ポリシーの設定
Cisco VPN クライアントが VPN 接続を確立できるようにエンタープライズ ポリシーを設定 します。エンドポイント コンピュータが Integrity Agent を使用している場合は、Integrity サーバを使用して Integrity クライアントをエンタープライズ ポリシー経由で設定すること ができます。エンドポイント コンピュータが Integrity Flex を使用している場合には、パー ソナル ポリシーも設定する必要があります。エンドポイント コンピュータが Integrity Agent を使用していてパーソナル ポリシーを設定している場合には、ポリシー ファイルも Integrity Flex または Integrity Agent のインストール パッケージに含める必要があります。
エンタープライズ ポリシーを設定するには:
1.Cisco コンセントレータ アクセス ゾーンを追加します。
46ページの「Cisco コンセントレータ アクセス ゾーンの追加」を参照してください。
2.ローカルホスト アクセス ゾーンを追加します。
46ページの「ローカルホスト アクセス ゾーンの追加」を参照してください。
3.LAN アクセス ゾーンを追加します。
47ページの「LAN アクセス ゾーンの追加」を参照してください。
4.プログラム規則を追加します。
47ページの「プログラム規則の追加」を参照してください。
5.ポリシー調停をオフにします。
48ページの「ポリシー調停のオフ切り替え」を参照してください。