Cisco dCloud dCloud:シスコ デモ クラウド
Cisco ASA クライアントレス VPN v1
最終更新日:2016 年 3 月 1 日このシスコ ソリューションについて
Cisco ASA クライアントレス VPN ソリューションを利用すれば、インターネットにアクセスできるあらゆる場所から社内ネットワークへのアク セスを限定し便利なセキュアアクセスが可能になります。ユーザは、インターネットが接続できる環境および互換性のあるブラウザを使用で きれば、内部ネットワークリソースにどこからでもアクセスできます。Cisco ASA クライアントレス VPN 機能は、契約社員と社員の両方に限 定したネットワーク アクセスを提供する簡単で安全かつスケーラブルな方法です。このデモンストレーションについて
この事前設定済みデモンストレーションは、以下のシナリオで構成されます。 シナリオ 1:クライアントレス VPNデモンストレーションの要件
次の表に、この事前設定済みデモンストレーションの要件の概要を示します。 表 1. デモンストレーションの要件 必須 オプション モニタリング ワークステーション ラップトップ Cisco AnyConnectCisco dCloud dCloud:シスコ デモ クラウド
デモンストレーションの設定
このデモンストレーションでは、シナリオを再現するために、あらかじめユーザとコンポーネントが設定されています。デモンストレーションを 実行するうえで必要なアクセス情報はすべて、以降のデモンストレーション ガイドの中で示されています。 表 2. 利用可能なポータル シナリオ/業種 一般リソース(すべて) 内部リソース 内部レコード 医療 患者およびその家族向け 医療関係者向け 医療記録/保険用サーバ 教育 [英語] 学生およびゲスト向け 教職員/指導者向け 学生の記録/連絡先 連邦政府 訪問者向け 連邦政府機関向け 経歴記録/人事用サーバ 企業 顧客およびゲスト向け 従業員向け 企業財務レコード/人事レコード 表 3. 認証情報とアクセス レベル シナリオ/業種 ユーザ名 パスワード 医療 [英語] doctor C1sco12345 教育 [英語] dean C1sco12345 連邦政府 captain C1sco12345 企業 manager C1sco12345デモンストレーションのトポロジ
このデモンストレーションには、すべての仮想コンポーネントが含まれています。コンポーネントはすべて、管理レベル アカウントを使用して 任意の設定が可能です。管理アカウントの詳細は、該当のガイド手順に含まれています。 図 1. デモンストレーション トポロジCisco dCloud dCloud:シスコ デモ クラウド
デモンストレーションの準備
デモンストレーションの前に 実際の対象者の前でプレゼンテーションを行う前に、このプロセスを少なくとも 1 回は実施しておくことを強く推奨します。そうすることで、ド キュメントとデモンストレーションの構成に慣れることができます。 お客様向けプレゼンテーションを成功させるためには、入念な準備が不可欠です。 次の手順に従ってデモンストレーションをスケジュールし、デモンストレーション環境を設定します。 デモのスケジュール 1. dcloud.cisco.com [英語] を参照し、最も近い場所を選択してから Cisco.com への認証情報を使用してログインします。 2. デモンストレーションをスケジュールします [手順を見る]。 3. デモンストレーションのシナリオを実行する前に、デモンストレーションを行う場所で帯域幅が足りていることを確認します。[手順を見る]。 4. dCloud UI の [My Dashboard] ページの [My Demonstrations] で、デモンストレーションのステータスが [Active] になっていることを確認します。 デモンストレーションがアクティブになるまでに、最長で 15 分かかります。 ワークステーションへの接続 5. 次のオプションを使用して WKST1 に接続します。 Cisco AnyConnect [手順を見る] とローカル RDP クライアントを使用する[手順を見る] o 次のユーザ認証情報でログインします。IP アドレス:198.18.133.36、ユーザ名:wkst1\administrator、パスワード: C1sco12345
Cisco dCloud dCloud:シスコ デモ クラウド
シナリオ 1. クライアントレス VPN
このシナリオでは、Cisco ASA クライアントレス VPN ソリューションでよく使われる次のような機能について説明します。 Web ブックマークを使用して社内の Web サイトにアクセスする方法。 シングル サインオン(SSO)を使用して社内のファイル共有にアクセスする方法。 スマート トンネルで RDP と SSH を使用して社内のリソースにアクセスする方法。 社内の Citrix XenDesktop および XenApp 環境に、シングル サインオン(SSO)を使用してクライアントレス VPN 経由でアクセス
する方法。 プレログイン ポリシーを設定した ASA ホストスキャンを使用して、会社資産のデバイスと個人所有のデバイスを識別する方法。 ダイナミック アクセス ポリシー(DAP)を使用して、ユーザ ID とホスト スキャン ポスチャに基づきネットワーク アクセスを制限する方法。 このシナリオでは、はじめに、クライアントレス VPN で契約社員に限定したネットワーク アクセスを実現する方法を示します。契約社員には 必要な特定のネットワーク リソースへのアクセスだけが許可されますが、マシンに追加のソフトウェアをインストールする必要はありません。 ASA ホスト スキャンとダイナミック アクセス ポリシー(DAP)を併せて設定すると、契約社員がクライアントレス VPN 機能のみを使用するよ うに制限できます。 次に、このシナリオでは、個人のデバイスから ASA にアクセスしている社員に ASA がクライアントレス アクセスを提供する方法について詳 しく説明します。ダイナミック アクセス ポリシー(DAP)を設定して ASA ホスト スキャンを実行することにより、社員の個人デバイスからのア クセスは制限され、フル トンネル アクセスではなくクライアントレス アクセスを使用する VPN にのみアクセスできるようになります。社員の 場合は、より広い範囲のさまざまなリソース リストにアクセスできます。
デモンストレーションの手順
注:Advanced Malware Protection(AMP)v1 を搭載した Cisco AnyConnect 4.1 のデモガイドにあるいずれかのシナリオを実行済みの場 合は、次の操作を完了してから先に進んでください。他のシナリオを完了していない場合は、手順 1 に進みます。 c:\dCloud_watermark.txt を削除します。 デスクトップで certificates.msc を開きます。[証明書 – 現在のユーザ] > [個人] > [証明書] に移動して、現在のユーザ証明書をすべ て削除します。 個人所有のデバイスを使用する契約社員と社員は、クライアントレス VPN にのみアクセスできます。契約社員または社員が個人のマシン から Cisco AnyConnect を使用してネットワークにフル アクセスしようとした場合には、アクセスを拒否します。ホスト スキャンのプレログイ ン ポリシーと ASA のダイナミック アクセス ポリシー(DAP)機能を組み合わせることにより、このような制限を実現できます。
1. Wkst1 から、タスクバーの [Cisco AnyConnect セキュア モビリティ クライアント(Cisco AnyConnect Secure Mobility Client)] アイコ ンをクリックします。ドロップダウン メニューから [asav.dcloud.cisco.com] を選択します。
Cisco dCloud dCloud:シスコ デモ クラウド 2. 次のユーザ認証情報でログインします。ユーザ名:contractor、パスワード:C1sco12345。DAP ポリシーでは契約社員にクライアント レス VPN アクセスのみを許可しているため、接続が失敗することを確認できます。 図 3. アクセス拒否 3. [キャンセル(Cancel)] をクリックします。
4. Wkst1 から Firefox を開きます。AMP を備えた Cisco AnyConnect 4.1 のデスクトップが表示されます。
Cisco dCloud
dCloud:シスコ デモ クラウド 5. ブックマークから [ASAv] を選択します。Cisco Secure Desktop が実行され、ログイン ページが開きます。次のユーザ認証情報でログ
インします。ユーザ名:contractor、パスワード:C1sco12345。
注:Cisco Secure Desktop (CSD)のホスト スキャン プロセスは、Firefox からクライアントレス VPN 経由で ASAv にアクセスすると実行さ れます。これはマシンをスキャンしてポスチャ関連の情報を検索する Java ベースのプロセスで、ASA は後でこの情報を使用して適用の決 定を行います。たとえば、マシンに正しいデジタル証明書がインストールされているか、特定のプロセスが実行されているか、特定のファイ ルがあるか、などを検出します。ホスト スキャン プロセスは、ログイン画面が表示されるまでに最大 60 秒かかることがあります。
6. ウェルカム バナーの [続行(Continue)] をクリックします。[dCloud 契約社員向け VPN ポータル(dCloud Contractor VPN Portal)] が 表示されます。
図 5. [dCloud 契約社員向け VPN ポータル(dCloud Contractor VPN Portal)]
7. 黄色の感嘆符アイコンをクリックします。ユーザには契約社員限定のアクセス権があるというメッセージが表示されます。[閉じる (Close)] をクリックします。
Cisco dCloud dCloud:シスコ デモ クラウド 8. ポータル ブックマーク([医療(Healthcare)]、[教育(Education)]、[連邦政府(Federal)]、[企業(Corporate)])のいずれかをクリックします。 図 7. ポータル ブックマーク 9. ポータル ページで、[一般リソース(General Resources)] をクリックします。ユーザは、契約社員としてこのリソースにアクセスできます。 図 8. [一般リソース(General Resources)]
Cisco dCloud
dCloud:シスコ デモ クラウド 10. ブラウザの[戻る(Back)] ボタンをクリックして、[内部リソース(Internal Resources)] を選択します。内部リソース ページでは、契約社員
のアクセスはブロックされます。
図 9. [内部リソース(Internal Resources)]
図 10. アクセス拒否
11. [戻る(Back)] をクリックします。dCloud 契約社員向け VPN ポータルに戻るには、右上隅にある Cisco クライアントレス VPN の [ホー ム(Home)] アイコンをクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド 12. [AD 契約社員のファイル共有(AD Contractor Fileshare)] をクリックすると、契約社員が AD1 上のファイル共有にアクセスできること
を確認できます。
注:ファイル共有リソースではシングル サインオンが使用されているため、[AD1 契約社員のファイル共有(AD1 Contractor Fileshare)] の ブックマークをクリックした後にユーザ認証情報を入力する必要はありません。
図 12. AD 契約社員のファイル共有
Cisco dCloud
dCloud:シスコ デモ クラウド 13. 左側のカラムで、[アプリケーション アクセス(Application Access)] をクリックします。
図 14. [アプリケーション アクセス(Application Access)]
14. 「スマート トンネルが開始されました(Smart Tunnel has been started)」というメッセージが表示されます。Firefox を最小化します(閉 じないでください)。
注:スマート トンネルが機能するためには、クライアントレス VPN セッションを開いておく必要があります。Firefox を閉じると、クライアントレ ス VPN セッションが終了するため、スマート トンネルは遮断されます。
Cisco dCloud dCloud:シスコ デモ クラウド 注:[アプリケーション アクセス(Application Access)] エリアには、クライアントレス VPN を有効にしたスマート トンネルに関する情報が表 示されます。スマート トンネルは、特定のアプリケーションのトラフィックに対してクライアントレス SSL VPN 接続を経由したセキュアなトンネ リングを可能にして、そのアプリケーションが内部リソースに直接アクセスできるようにするしくみです。ASA を使えば、クライアントレス VPN ユーザと内部ネットワーク リソース間に安全なプロキシ接続を構築することができます。
このデモンストレーションでは、Microsoft Windows RDP クライアントと PuTTY アプリケーション用にスマート トンネルを設定します。ユー ザがクライアントレス VPN にログインして Windows RDP クライアントまたは PuTTY を起動した場合、これらのアプリケーションからのネッ トワーク トラフィックは、SSL VPN 接続を経由して ASA に安全に送信されます。これにより ASA は、クライアントとアクセスされた内部リ ソース間にプロキシ接続を確立します。
スマート トンネル テクノロジーに対してよく言われる懸念は、ユーザが内部ネットワークの制限されたリソースへのアクセスを制約できるかと いうことです。Web ACL を使えば、スマート トンネルを介してアクセスできるリソースを特定の範囲に制限することが可能です。このデモン ストレーションの実施中、契約社員には RDP クライアントと PuTTY の両方に対するスマート トンネルが設定されていて、Web ACL は ASA ダイナミック アクセス ポリシー(DAP)で適用されリソースへのアクセス制限を行います。
たとえば、契約社員は RDP クライアントのみを使用して AD1 サーバにアクセスすることも、PuTTY のみを使用して SSH 経由で Linux Web サーバにアクセスすることもできます。これらのアプリケーションを他の目的に使用しようとしても、正常に使用できません。スマート ト ンネルには、内部リソースへのアクセスにクライアントレス ポータルとは別の独立したアプリケーションを使用できるという柔軟性があります が、同時に、そのアプリケーションが特定のリソースにのみアクセスするように制限する機能もあります。
15. Wkst1 デスクトップから、[PuTTY] アイコンをダブルクリックします。[ポータル Linux マシン(Portals Linux Machine)] 保存済みセッ ションをダブルクリックして、ポータル サーバへの SSH セッションを開きます。
図 16. [ポータル Linux マシン(Portals Linux Machine)]
Cisco dCloud dCloud:シスコ デモ クラウド 17. プロンプトで who と入力し、Enter キーを押します。表示された IP アドレスは 198.19.10.100 となっていることにご注意ください。 図 17. who コマンドと IP アドレス 18. プロンプトで exit と入力して PuTTY を閉じます。 注:Linux の who コマンドを実行すると、ログインしているユーザの IP アドレスなど、現在のシステム ログイン情報が表示されます。スマー ト トンネルを介してこのマシンに接続している場合、表示される IP アドレスは 198.19.10.100 になります。これは ASA の内部インターフェ イスです。ASA はユーザと Linux マシン間で SSH 接続する際のプロキシとして機能するため、Linux マシンは、ユーザが 198.19.10.100 から接続していると認識します。
この時点で、ユーザが PuTTY を使用して他のリソース(ISE など)にアクセスしようとすると失敗します。契約社員向けクライアントレス VPN セッションに関連付けられている WebACL の規定では、PuTTY スマート トンネルは、SSH を使用する Linux Web サーバにアクセスする 場合にのみ使用できます。
Cisco dCloud
dCloud:シスコ デモ クラウド 19. Wkst1 デスクトップから、[契約社員向け AD1.rdp(Contractor AD1.rdp)] アイコンをダブルクリックして、AD1 への RDP セッションを
開き、RDP アクセスを確認します。キャッシュされたユーザ認証情報でウィンドウが開きます。 図 18. [契約社員向け AD1(Contractor AD1)] ウィンドウ 20. RDP セッションを閉じるには、ウィンドウ内をスクロール ダウンし、[開始(Start)] メニューから [ログオフ(Logoff)] を選択します。 注:ユーザが RDP を使用して他のリソース(VDI デスクトップなど)にアクセスしようとすると失敗します。契約社員向けクライアントレス VPN セッションに関連付けられている WebACL の規定では、RDP スマート トンネルは、AD1 サーバにアクセスする場合にのみ使用でき ます。
Cisco dCloud
dCloud:シスコ デモ クラウド 21. Firefox のウィンドウに戻り、[ログアウト(Logout)] をクリックして VPN ポータル セッションを閉じます。[X] をクリックして、Firefox の
ウィンドウを閉じます。 図 19. VPN ポータルからログアウト 注:契約社員向けクライアントレス アクセスのデモンストレーションが正常に終了したので、社員向けのシナリオに進みます。社員がネット ワークにアクセスできる方法は、ASA のダイナミック アクセス ポリシー(DAP)で規定されます。社有ではない個人資産からログインしてい る社員には、社員向けのクライアントレス VPN アクセスのみが許可されます。この場合、社員は AnyConnect を使用してログインすること はできません。これに対して社有の資産を使用している社員は、クライアントレス VPN を介しても、AnyConnect クライアントを使用しても、 ログインできます。社員に付与されるアクセス レベルは、ホスト スキャン プロセスで収集されるポスチャ情報に基づいています。 社有の資産か個人のデバイスかを定義するために、ASA ホスト スキャンのプレスキャン ポリシーでは 2 つの特性を探します。まず、マシン をスキャンしてデジタル証明書を検索します。デジタル証明書が有効で、dCloud を組織ユニットと識別する社内の認証局(CA)によって署 名されている場合、そのマシンは社有の資産に分類されます。マシンの特定の場所に特別なウォーターマーク ファイルが含まれている場合 も、社有の資産に分類されます。 デモンストレーションのこの時点では、WKST1 にウォーターマーク ファイルもデジタル証明書もないため、WKST1 は個人保有のデバイス として分類されます。したがって、契約社員の場合と同様に、社員アカウントで AnyConnect を使用してネットワークにログインしようとしても 失敗します。
22. Cisco AnyConnect セキュリティ モビリティ クライアントを開き、asav.dcloud.cisco.com に再接続します。次の特定業種向けクレデン シャルでログインします。ユーザ名:doctor、dean、captain、manager のいずれか、パスワード:C1sco12345。
Cisco dCloud dCloud:シスコ デモ クラウド 23. 個人のマシンからアクセスする社員の場合は、クライアントレス VPN アクセスのみを適用する DAP ポリシーにより、この方法もやはり 失敗します。 図 20. 医療クレデンシャルのアクセス拒否 24. [キャンセル(Cancel)] をクリックします。
25. Firefox を開き、ブックマークから [ASAv] を選択します。Cisco Secure Desktop が実行され、ログイン ページが開きます。次の特定業 種向けユーザ認証情報でログインします。ユーザ名:doctor、dean、captain、manager のいずれか、パスワード:C1sco12345。 26. ウェルカム バナーの [続行(Continue)] をクリックします。[dCloud 社員向け VPN ポータル(dCloud employee VPN Portal)] が表示
されます。 注:ポータルのバナーには契約社員ではなく社員と表示され、フォントは赤ではなく青色です。社員のポータルは、契約社員と比較してはっ きりと区別されるようカスタマイズされています。社員は、さまざまなリソース(Citrix、別のマシンとの CIFS 共有など)にアクセスできるほか、 スマート トンネルを使用する SSH アクセスも利用できます。 デモンストレーションのこの時点では、社員はまだ、社有ではない個人資産から VPN にアクセスしています。クライアントレス VPN ポータ ルでは、社員がポータル内から AnyConnect を起動する方法は用意されていません。社員は、社有でない資産からでは AnyConnect にア クセスできません。
Cisco dCloud dCloud:シスコ デモ クラウド 27. 黄色の感嘆符アイコンをクリックすると、個人のマシンからアクセスしている社員であることを示すメッセージが表示されます。[閉じる (Close)] をクリックします。 図 21. 個人のマシンであることを示すメッセージ 注:社員は、契約社員よりも多くのリソースにアクセスできます。 28. 業種固有ポータルのブックマークをクリックします。次の図では、doctor クレデンシャルでログインしたために [医療ポータル (Healthcare Portal)] が表示されています。 図 22. [医療ポータル(Healthcare Portal)]
Cisco dCloud
dCloud:シスコ デモ クラウド 29. ポータル ページで、[一般リソース(General Resources)] をクリックします。ユーザは、個人のマシンを使用する社員としてこのリソー
スにアクセスできます。
図 23. [一般リソース(General Resources)]
30. ブラウザの [戻る] ボタンをクリックして、[内部リソース(Internal Resources)] を選択します。[内部リソース(Internal Resources)] ペー ジでは、個人マシンを使う社員のアクセスが許可されます。
Cisco dCloud
dCloud:シスコ デモ クラウド 31. [医療記録(Medical Records)] のリンクをクリックします。社員は、個人マシンを使用しているため記録へのアクセスをブロックされます。
注:スクリーン ショットは医療ポータルを示しています。[内部リソース(Internal Resources)] と [内部レコード(Internal Records)] のリンク は、他の 3 つの特定業種でそれぞれ異なりますが、一般的なパターンはすべて同じです。必ず [一般リソース(General Resources)] セク ションと [内部リソース(Internal Resources)] セクションがあり、内部リソース内には [内部レコード(Internal Records)] タイプのリンクが少 なくとも 1 つはあります。代替ログインのクレデンシャルについては、表 2 - 利用可能なポータルを参照してください。
図 25. アクセス拒否
32. [戻る(Back)] をクリックします。dCloud 社員向け VPN ポータルに戻るには、右上隅にあるブラウザの [ホーム(Home)] アイコンをク リックします。
33. [Citrix StoreFront] ブックマークをクリックすると、Citrix StoreFront に自動的にログインします。
注:このリンクは SSO(シングル サインオン)を使用しているため、ユーザはクライアントレス VPN に使用したのと同じクレデンシャル (doctor、dean、captain、manager)で自動的に Citrix にログインします。
Cisco dCloud
dCloud:シスコ デモ クラウド 図 27. [Citrix Receiver] ページ
34. dCloud の [デスクトップ(Desktop)] アイコンをクリックして、Citrix Receiver を起動します。接続エラーが表示されるので(これは既知 の不具合です。詳細は https://tools.cisco.com/bugsearch/bug/CSCuy51258/ [英語] を参照してください)、ポップアップ ウィンドウを 閉じて、dCloud の [デスクトップ(Desktop)] アイコンをもう一度クリックします。VDI デスクトップに自動的にログインします。
Cisco dCloud
dCloud:シスコ デモ クラウド 35. デスクトップが表示されたら、[開始(Start)] メニューから [ログオフ(Log off)] を選択して、VDI デスクトップからログオフします。[Citrix
Storefront] 画面に戻ります。 注:デフォルトは [シャットダウン(Shutdown)] ですが、選択しないでください。 36. 画面の下部にある [アプリケーション(Apps)] をクリックします。公開されたアプリケーション(電卓、メモ帳、ペイント)が表示されます。 図 29. アプリケーション 37. アプリケーションのいずれかをクリックします。Citrix Receiver が開き、場合によってはデスクトップにログインしているユーザを表すフ ラッシュが発生します。通常、このプロセスには約 10 秒かかります。 注:アプリケーションが開くまでに遅延が生じることがありますが、少々お待ちください。また、アプリケーションは、最初は WKST1 のタスク バーでのみ開く場合があります。これを表示させるにはタスクバーのアプリケーションをクリックする必要があります。 38. アプリケーションを閉じます。 注:アプリケーションを閉じてから、少なくとも 30 秒は待つようにしてください。これは、ユーザが VDI デスクトップから正常にログアウトする ために必要な手順です。
Cisco dCloud
dCloud:シスコ デモ クラウド 39. 画面右上で、ユーザ名の横にある矢印をクリックし、[ログオフ(Log Off)] をクリックします。
図 30. [ログオフ(Log Off)]
40. dCloud 社員向け VPN ポータルに戻るには、右上隅にある Cisco クライアントレス VPN の [ホーム(Home)] ボタンをクリックします。
41. [VDI デスクトップ C:共有(VDI Desktop C: Share)] をクリックすると、ユーザが VDI デスクトップ上の C: fileshare にアクセスできるこ とを確認できます。
注:ユーザはログイン クレデンシャルを要求されません。CIFS 共有ではシングル サインオンが使用されます。
Cisco dCloud
dCloud:シスコ デモ クラウド 図 32. VDI デスクトップ C:ドライブ共有
42. 左カラムの [アプリケーション アクセス(Application Access)] をクリックします。「スマート トンネルが開始されました(Smart Tunnel has been started)」というメッセージが表示されることを確認します。Firefox を最小化します(閉じないでください)。
注:スマート トンネルが機能するためには、クライアントレス VPN セッションを開いておく必要があります。Firefox を閉じると、クライアントレ ス VPN セッションが終了するため、スマート トンネルは遮断されます。
Cisco dCloud dCloud:シスコ デモ クラウド 注:[アプリケーション アクセス(Application Access)] エリアには、クライアントレス VPN を有効にしたスマート トンネルに関する情報が表 示されます。スマート トンネルは、特定のアプリケーションのトラフィックに対してクライアントレス SSL VPN 接続を経由したセキュアなトンネ リングを可能にして、そのアプリケーションが内部リソースに直接アクセスできるようにするしくみです。ASA を使えば、クライアントレス VPN ユーザと内部ネットワーク リソース間に安全なプロキシ接続を構築することができます。
このデモンストレーションでは、Microsoft Windows RDP クライアントと PuTTY アプリケーション用にスマート トンネルを設定します。ユー ザがクライアントレス VPN にログインして Windows RDP クライアントまたは PuTTY を起動した場合、これらのアプリケーションからのネッ トワーク トラフィックは、SSL VPN 接続により ASA に安全に送信されます。これにより ASA は、クライアントとアクセスされた内部リソース 間にプロキシ接続を確立します。 スマート トンネル テクノロジーに対してよく言われる懸念は、ユーザが内部ネットワークの制限されたリソースにアクセスするのを防ぐため に設けられた制約事項を検証できるかということです。Web ACL を使えば、スマート トンネルを介してアクセスできるリソースを特定の範囲 に制限することでこの問題を解決できます。このデモンストレーションの実施中、契約社員には RDP クライアントと PuTTY の両方に対する スマート トンネルが設定されていて、Web ACL は ASA ダイナミック アクセス ポリシー(DAP)で適用されリソースへのアクセス制限を行い ます。
たとえば、契約社員は RDP クライアントのみを使用して AD1 サーバにアクセスすることも、PuTTY のみを使用して SSH 経由で Linux Web サーバにアクセスすることもできます。これらのアプリケーションを他の目的に使用しようとしても、正常に使用できません。スマート ト ンネルには、内部リソースへのアクセスにクライアントレス ポータルとは別の独立したアプリケーションを使用できるという柔軟性があります が、同時に、そのアプリケーションが特定のリソースにのみアクセスするように制限する機能もあります。
43. Wkst1 デスクトップから、[PuTTY] アイコンをダブルクリックします。[ポータル Linux マシン(Portals Linux Machine)] 保存済みセッ ションをダブルクリックして、ポータル サーバへの SSH セッションを開きます。
Cisco dCloud dCloud:シスコ デモ クラウド 44. 次のユーザ認証情報を使用してログインします。ユーザ名:linuxuser、パスワード:C1sco12345。 45. プロンプトで who と入力し、IP アドレスが 198.19.10.100 と表示されていることを確認します。 図 35. who コマンドと IP アドレス 46. プロンプトで exit と入力して PuTTY を閉じます。
注:Linux の who コマンドを実行すると、IP アドレスを含む現在のシステム ログイン情報が表示されます。スマート トンネルを介してこのマ シンに接続すると、IP アドレス 198.19.10.100 が表示されます。これは ASA の内部インターフェイスです。ASA はユーザと Linux マシン間 で SSH 接続する際のプロキシとして機能するため、Linux マシンは、ユーザが 198.19.10.100 から接続していると認識します。
クライアントレス セッションに適用される WebACL セッションは、社員に、Linux Web サーバと ISE サーバ両方に対する PuTTY のスマー ト トンネル アクセスを許可します。
Cisco dCloud
dCloud:シスコ デモ クラウド 47. Wkst1 デスクトップから、[PuTTY] を再度ダブルクリックします。[ISE] 保存済みセッションをダブルクリックして、ISE に対する SSH
セッションを開きます。
図 36. ISE
48. 次のユーザ認証情報を使用してログインします。ユーザ名:admin、パスワード:C1sco12345。
49. プロンプトで show users コマンドを入力し、Enter をクリックします。表示された IP アドレスは 198.19.10.100 となっていることにご注 意ください。
注:show users コマンドを実行すると、ログインしているユーザの IP アドレスなど、現在のシステム ログイン情報が表示されます。スマー ト トンネルを介してこのマシンに接続している場合、表示される IP アドレスは 198.19.10.100 になります。これは ASA の内部インターフェ イスです。ASA がユーザと ISE 間で SSH 接続する際のプロキシとして機能するため、ISE マシンは、ユーザが 198.19.10.100 から接続し ていると認識します。
50. [Putty] ウィンドウを閉じます。
51. Wkst1 デスクトップから、ユーザの特定業種向け RDP ショートカット(Healthcare.rdp、Education.rdp、Federal.rdp、Corporate.rdp) をダブルクリックします。VDI デスクトップに RDP セッションが開き、スマート トンネルを介した RDP アクセスを確認できます。
Cisco dCloud
dCloud:シスコ デモ クラウド
© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 26/26 ページ 52. RDP セッションを閉じるには、ウィンドウ内をスクロール ダウンし、[開始(Start)] メニューから [ログオフ(Logoff)] を選択します。
53. Firefox のウィンドウに戻り、[ログアウト(Logout)] をクリックして VPN ポータル セッションを閉じます。[X] をクリックして、Firefox の ウィンドウを閉じます。
図 38. VPN ポータルからログアウト
©2016 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R) この資料の記載内容は2016年6月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 シスコシステムズ合同会社 〒107‐6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合せ先
