LAN アクセス ゾーンを追加するには:
1.[Access Zones (アクセス ゾーン)] ページで、[New Location (新しい場所)] をクリックし ます。
2.以下の表に従って、フィールドに記入します。
3. [Save (保存)] をクリックします。
プログラム規則の追加
VPN クライアントが Cisco コンセントレータと通信できるように、プログラムのアクセス規 則を設定します。
プログラムのアクセス規則を追加するには:
1.Integrity 管理ページで、[Policies (ポリシー)] に移動します。
2.ポリシーをリストから選択して、[Edit (編集)] をクリックします。
3. [Program Rules (プログラム規則)] タブをクリックします。
4. [Add (追加)] をクリックします。
5. [All Programs (すべてのプログラム)] をクリックします。
6.リストから以下のプログラムを選択して、[Add (追加)] をクリックします。
CVPND.EXE
IPSECDIALER.EXE フィール
ド 値
種類 IP アドレス
名前 localhost
ホスト 127.0.0/1
フィール
ド 値
種類 サブネット 名前 LAN
ホスト <ネットワーク アドレスとサブネット マスク>
IPSXAUTH.EXE
VPNGUI.EXE
PPPTOOL.EXE
7.クライアントとサーバの両方の設定において、[Allow Internet (インターネットを許可)]
および [Allow Trusted (トラストを許可)] のチェックボックスをオンにします。
ポリシー調停のオフ切り替え
パーソナル ポリシーが VPN 通信をブロックしないようにするために、ポリシー調停をオフ にします。
ポリシー調停をオフにするには:
1. [Policies (ポリシー)]を選択します。
2.ポリシーを選択して、[Edit (編集)] をクリックします。
3.[Client Settings (クライアント設定)] タブをクリックします。
4. [Enforce enterprise policies only (エンタープライズ ポリシーのみを施行)] チェックボッ クスをオンにします。
Integrity Flex ま た は Agent の ポ リ シ ー フ ァ イ ル の パッケージ化
ポリシーの設定が完了したら、Integrity Flex または Integrity Agent インストール パッケージ にこのポリシーを追加することができます。ユーザが Integrity Flex をインストールすると きには、ポリシーは自動的にエンドポイントが VPN 接続できるようにします。
Integrity Flex または Integrity Agent に設定ファイルをパッケージするには:
1.ポリシーをバンドルするインストーラ パッケージのディレクトリに、extras という名前 のディレクトリを作成します。例:
c:\Program Files\Zone
Labs\Integrity\jakarta-tomcat-4.0.1\webapps\integrity\package\Integrity_Flex_US_5_0_556_026\extras
2.Integrity サーバから、作成したエンタープライズ ポリシーを extras ディレクトリにエク
スポートして、CCpolicy.xml という名前を付けて保存します。
a [Policies (ポリシー)]を選択します。
b 作成したポリシーを選択します。
ここに示した実行可能ファイルは、使用しているバージョンによって異なります。
c [Export (エクスポート)] をクリックします。
d 作成した追加ディレクトリに移動して、ファイルを CCpolicy.xml という名前を付けて 保存します。
3.Integrity サーバで、[Configuration (設定)] - [Client Deployment (クライアントの配備)]
を選択します。
4.使用するインストール パッケージを選択して、[Edit (編集)] をクリックします。
5. [Additional Parameters (追加パラメータ)] ボックスの [Install Parameters (インストール パラメータ)] で、以下を追加します。
バージョン 5.0 以前の Integrity の場合:
/policy “$temp$\extras\CCPolicy.xml”
バージョン 5.0 以降の Integrity の場合:
POLICYFILE= “$temp$\extras\CCPolicy.xml”
6.必要に応じて、[Edit Package (パッケージの編集)] 画面の残りの部分を入力します。
7. [Save (保存)] をクリックしてインストールパッケージを保存します。
これで、新しいインストール パッケージを正常に配布できるようになりました。
インストール パッケージの使用に関するその他の情報について は、『Integrity のインストールおよび設定ガイド』を参照してく ださい。
トラブルシューティング
インストールで問題が発生した場合は、以下をチェックします。
サーバとの接続に関するトラブルシューティング:
1.Integrity サーバとの接続をチェックします。
50ページの「Integrity サーバとの接続チェック」を参照してください。
2.ログをチェックします。
50ページの「ログ ファイルのチェック」を参照してください。
3.SSL 証明書の交換をチェックします。
51ページの「SSL 証明書の交換のチェック」を参照してください。
4.SSL 証明書の有効性をチェックします。
51ページの「SSL 証明書の有効性のチェック」を参照してください。
5.暗号タイプをチェックします。
51ページの「新しい Secure Socket Layer 証明書の作成」を参照してください。
6.Cisco コンセントレータのポート設定をチェックします。
52ページの「ポート設定のチェック」を参照してください。
Integrity サーバとの接続チェック
Cisco コンセントレータが Integrity サーバに接続できるか確認します。
Integrity サーバとの接続をチェックするには:
1.Cisco VPN 3000 コンセントレータ シリーズ管理コンソールを開き、[Administration (管 理)] - [Ping] を選択します。
2. [Address/Hostname to Ping (Ping 先のアドレス/ホスト名)] フィールドに、Integrity サー バの IP アドレスを入力します。
Ping に成功すると、Integrity サーバの IP アドレスが「alive」であると表示されます。これ は、Cisco コンセントレータが Integrity サーバに接続できており、作業を進められることを 意味しています。
ping が成功しなかった場合には、2 台のサーバ間でトラフィックが渡されているか、Cisco
コンセントレータと Integrity サーバを構成するときに使用した設定が正しいかをチェック します。設定がすべて正しい場合には、このセクションの他のトラブルシューティング手順 を試してみます。
ログ ファイルのチェック
Integrity サーバのログまたは Cisco コンセントレータのログのいずれかを使用して、2 つの デバイスが通信していることを確認することができます。
Integrity サーバのログ
Integrity サー バの ログ は次 の場 所に あり ます。C:\Program Files\Zone
Labs\Integrity\jakarta-tomcat-4.0.1\webapps\integrity\logs
ファイル名は integrity.log で、テキスト エディタで開くことができます。ログ記録レベルを
「高」に設定します。サーバおよびコンセントレータが通信できない場合には、コンセント レータを追加した直後にエラー メッセージが表示されます。このログは、接続が成功した 場合についても記録します。
コンセントレータのログ
コンセントレータのライブ イベント ログは、通信が失敗した場合に表示されます。 ライブ イベント ログを表示するには、[Monitoring (モニタリング)] - [Filterable Event Log (フィル タ可能イベント ログ)] - [Live Event Log (ライブ イベント ログ)] を選択します。以下のよう なエントリがある場合には、新しい Secure Socket Layer 証明書を作成する必要がありま す。
02/08/02 11:53:13.140 SEV=4 IKE/159 RPT=1
TCP Connection to Firewall Server has been lost, restricted tunnels are now allowed full network access 詳細は、51ページの「新しい Secure Socket Layer 証明書の作成」を参照してください。
SSL 証明書の交換のチェック
SSL 証明書は、Cisco コンセントレータと Integrity サーバの間で HTTP を経由して交換され ます。HTTP が Cisco コンセントレータ上で有効になっているかどうかチェックします。