24-3. リモ−トアクセス環境の再構築 `2e/10〜`2f/01 (1) SSL-VPN 装置 Aventail の設定 * Camail 設置の状況 Windows XP にクライアント用のソフトを入れた際、装置に HTTPS アクセスして設定画面 からソフトをダウンロ−ドした様な気がする。どの画面からダウンロ−ドしたのか。SI 業者のエンジニアさんがちゃちゃっとやっていて、細かいところまでメモを取ることがで きなかった。Windows 7 にもソフトをインスト−ルして設定してみようか。先ずはライセ ンスの確認からしないといけないか。装置の設定の吐き出しもやっておいた方がいい。ち ょっと気合い入れて設定を一つ一つ確認していってみるか、急がば回れだ。理解を阻んで いる要因の一つは SSL-VPN のトンネルの扱いが他社製とは異なること、どうも Camailで はトンネルの扱いが明示的な感じなのかも知れない。 他社の SSL-VPN 装置では設定に際 して、特にトンネルというのは意識しなくてもよかった。もう一つがレルムなるものだ。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\…△PC2 \________________________/ : OTP( One Time Password ) : 仮想IPアドレス Router□ ◇ ◇ ◆ | .3| .7| .8| ---------------------------------------------------- 202.241.128.x SSL-VPN1は | 他社メ−カ | □Mail- □SSL- ■Camail 製の装置。 .2| .1|Relay .7|VPN1 .8|.9 UTM□---------------------------------- 192.168.2.0 Proxy .2|.2 PC△ □ | □Mail- □Intra □File- □AD( Active Directory ) |.20 |.5 | .1|Store .8|-Web .9|Share |.x ------------------------------------------------------------ 192.168.1.0 192.168.2.8 は Camail の管理画面へのアクセスに使用する。 Camail から社内リソ−ス にアクセスは 192.168.2.9 からになる。 社内のメ−ルストア、イントラ、ファイル共有 などへのアクセスである。DMZ->LAN にそれぞれサ−バ用にパケットを許可すること。 認証に社内の Active Directory(AD) を使う場合、 Camail から AD に問い合わせするの に、DMZ->LAN に 192.168.2.8 から "サ−ビス" の "LDAP TCP/389" を通すこと。ユ−ザ 認証で OTP を使う場合のメ−ルの発信も 192.168.2.8 である。これら注意したい。 FireWall のル−ル設定はこんな感じ FortiGate で "Any Any ICMP_ANY"を各ル−ル ----------------------------------------------- の最初に入れてある。 |WAN->DMZ (NAT) |Any Any ICMP-ANY 無効 Camail-VIRは202.241.128.8(仮 |Any Camail-VIR HTTPS 無効 想IP)と192.168.2.8(装置実IP) | ICMP-ANY のIPマッピングで静的NAT。 |DMZ->WAN |Any Any HTTPS 有効 DMZ->WAN で Camailから外への | パケットは 192.168.2.9からと |DMZ->LAN 思う。NATで 202.241.128.2 |192.168.2.9 Intra-Web HTTP 無効 からの発信になっていると思う。 |192.168.2.9 Mail-Store POP3,SMTP 無効 |192.168.2.8 Mail-Store SMTP 無効 Camail が認証にOTPを使う場合。 |192.168.2.8 AD LDAP 無効 社内の AD に認証を問い合わせ。 | |LAN->DMZ 社内にパソコンがあってCamail |Any 192.168.2.8 HTTPS, 無効 の設定ができるようにしている。 | HTTPS8443 |LAN->WAN これも社内から Camail にアク |Any 202.241.128.8 HTTPS 有効 セスして確認できるようにした。 ----------------------------------------------- LAN->DMZ へパソコンのIEなどで https://192.168.2.8/ は、Camail WorkPlace へのア クセス。https://192.168.2.8:8443/ は Camail Management Console へのアクセス。 WAN->DMZ はインタ−ネットからパソコンでは Camail VPN Connection ソフトでアクセス、 HTTPS でアクセスする。このソフトの "プロパティ" の "ホスト名:[202.241.128.8 ]"。 WAN->DMZ のル−ルに ICMP-ANY がないと社内の PC から >ping 202.241.128.8 が効かな い。ここのル−ルは 202.241.128.8 宛は 192.168.2.8 にNAT変換するということ。 * アクセス用IPアドレスについて Camail から社内リソ−スにアクセスは 192.168.2.9 からと書いた。これは Camail 内部 でNAT変換を使うことにしたからである。 社内へは 192.168.2.9 という代表IPアド レスで通信する。しかし WAN->DMZ へは Camail-VIR へのアクセスで、202.241.128.8 で ある。IPアドレスを一時割り当てして通信させる設定もある、これは FirePass でもそ うだった。範囲のIPアドレスで個別のアクセスにIPアドレスを割り当てる、でもその IPアドレスが表面に現われることはなかった。あくまでも仮想的なIPアドレスだった。 しかし Camail では、その一時的なIPアドレスも実の物として扱わないといけないみた いなのである。非常に分かりにくい話になっている。まだ1本足でDMZに設置するのは 良くて、HA構成にするため2本足で設置する場合、実際の通信するIPアドレスを考え て静的経路などもファイアウォ−ル周りで設定しないといけないらしい。 1) NAT変換で代表IPアドレスで通信 [System Configuration]->[Services] の "Network tunnel service" の{Configure} 画面で"IP Address pools" で{+New} "◎ Translated address pool (Source ANT)" のところ "IP Address:[192.168.2.9 ]" とする。 2) IPアドレスを一時割り当てして通信 "○ Routed assigned pool - static" 下の画面で指定する ---------------------------------------------------------- | +New ×Delete ↑Move Up ↓Move Down | |--------------------------------------------------------| | □ IP address IP range end Subnet mask | |--------------------------------------------------------| | □ | 192.168.3.1 | 192.168.3.254 | 255.255.255.0 | * SSL-VPN 装置のメニュ− 肝心なメニュ−はそんなにある訳でない。触って行けばだいたい分かる!。そんなに難し いものではないはず。そう思って設定にチャレンジしてみる。レルムは聞き慣れない言葉 なので、単純に "種類" と思うことにしよう。皆さん、レルムって知ってました?。 Security Administration Access Control ここはどうやって使うのか、今ひとつ不明。 Resources アクセスできる社内のサ−バを列挙する。 Users & Group Local Accounts に装置登録ユ−ザのアカウントを。 User Access Realms ここの記述がこの SSL-VPN 装置のもっとも要。 Camail WorkPlace これも1つの SSL-VPN のアクセス方法ということ。 Agent Configuration ここからクライアントソフトをダウンロ−ドできる。 End Point Control Configure Zones and Devices、ここの記述も要。 System Configuration General Settings 時刻設定、ライセンスのインポ−ト、管理者のこと。 Network Settings DNSサ−バ指定、静的経路指定。NAT用アドレス。 SSL Settings 装置のCAデジタルID(CA証明書)を作成する。 Authentication Servers 認証の定義。Active Directory、LDAP サ−バの。 Services Network tunnel service と Camail WorkPace あり。 Virtual Assist これは一体何ができるのかよく分からない。 Maintenance ファ−ムウェアのアップとロ−ルバック。 Monitoring User Sessions クライアントがアクセスしているとここに出てくる。 System Status たまには装置の負荷の状態などをここで見ること。 Logging パソコンのハ−ドディスク番号はここに出てくる。 Troubleshooting [Lookup] で装置のDNS参照の様子が見られる。 * WorkPlace へアクセスしてソフトのインスト−ル Windows 7 パソコンにて。 Camail 装置本体は 10.7 にバ−ジョンアップしてからの作業。 https://192.168.2.8/ にアクセスすると、"Camail WorkPlace" にアクセスすることにな る。ログインしてくださいとあり、例えば Camail に登録したユ−ザのアカウントを入れ ると "Camail Access Manager" という画面になり、[ インスト−ル ] をクリックすると Camailcomponent.exe(620KB) を実行または保存しますか? と聞いてくる。 実行を選択し てソフトをインスト−ルしていく。 うまく行くと "Camail VPN Connection" というアイ コンがデスクトップにできる。このソフトのデフォルト設定次第ではすぐに使うことがで きる。ブラウザのプロキシ設定は関係ない気がするが、プロキシは無しにしておくこと。 ------------------------------------- --------------------------------------- | https://192.168.2.8 | https://192.168.2.8 |------------------------------------ |-------------------------------------- | SONICWALL | Camail WorkPlace | SONICWALL | Camail WorkPlace |------------------------------------ |-------------------------------------- | ログインしてください | Home | | リソ−スにアクセスするには、下のリス | ログイン先: [SSL-VPNdesu ▽] | トからリソ−スの名前をクリックします。 | [ 次へ > ] | ↑ | □[Network Explorer ] ------------------------------------- | ●[Install Connect Tunnel ] << 押した。 | https://192.168.2.8 | |------------------------------------ | イントラネットアドレス [ ][移動] | SONICWALL | Camail WorkPlace --------------------------------------- |------------------------------------ | ログインしてください ↓ | | ログイン先: SSL-VPNdesu --------------------------------------- | ユ−ザ−名: [ ] |ソフトウェアのインスト−ル | パスワ−ド: [ ] |-------------------------------------- | □パスワ−ドの変更 | Camail Connect | [ ログイン ] | ↑ | Smart Tunneling 技術うんぬん ------------------------------------- | [インスト−ル] | https://192.168.2.8 | バ−ジョン 10.7.1.237 |------------------------------------ | SONICWALL | Camail WorkPlace |------------------------------------ Camail Connect 他にも Access Managerと | Camail Access Manager Web Proxy Agent も入った。バ−ジョンは | 一緒だった。 Camail Connect は日本語の | なんたらかんたら メニュ−だった。 | | [ インスト−ル ][ ログ アウト ] << インスト−ルで Y を押して、右上に続く。 Camail Access Manager をアンインスト−ルしたら Camail Web Proxy Agent も消えてし まった。Camail Web Proxy Agent は一見してあるのだが、実はもうない。 コントロ−ル パネルをいったん閉じてまた出してみると、なくなっている。 Camail Connect を入れる か聞いてきて、ハイでやってみた。インスト−ルされたプログラムは 4.88MB, 10.71.237 だった。上書きされた。モニタ画面にも1つのアイコンがそのままあった。バ−ジョンの 異なる Camail Connect ソフトを1つのパソコンには入れられないということである。ア ンインスト−ルは Camail Access Manager を先ず消さないと他の2つが消えないみたい。 * パソコンにソフトを管理画面からインスト−ル Camail を購入して導入設定の当初、Windows XP にインスト−ルしたクライアント用ソフ トは "Camail VPN Connection" だった。 このソフトはどこから取って来て入れたのやら。 Windows 7 用のソフトはどこにあるのか。よう分からんけどおよそまくでやってみた。だ いたいこれまでの SSL-VPN 装置では装置にWebアクセスして、 クライアント用のソフ トをダウンロ−ドするようになっていた。それらしいメニュ−を Camail の管理画面で探 してやってみた。https://192.168.2.8:8443/ で admin でログインしてのことで。 [User Access]->[Agent Configuration] Camail のバ−ジョンは古い。10.7 に上げ ------------------------------------- てやってみたら、ここのメニュ−は変わっ |Client Installation Packages ていた。Windows x86 は日本語のも選択で | きるようになっていた。 | Connet Tuunel client | ●Windows x86 << これをクリックしてセ−ブしてみた。 | ●Windows x64 | ◎Linux x86 ※ x86 は32ビット版のソフトウェア、 | | x64 は64ビット版のソフトウェア。 D:\Users\tarouh\ダウンロ−ド\ に ngsetup_en.exe (1.71 MB) が入った。実行してみた ら "Camail VPN Connection" というアイコンができた。 アイコンをクリックして装置の IPアドレスを記入。Windows XP でアクセスを確認したアカウントをいれてみた。 一発 で接続できたぞ。 パソコンをログオンする毎に "Camail VPN Connection" のログイン画 面が出るようになった。どうなっているのだ。常駐したのか。聞くところによると画面を 出さないようにするのは結構厄介らしい。インスト−ルされたプログラムは1つでCamail Connect, 3.31 MB, 10.62.284 だった。因に WorkPlaceから入れたのはパソコンをログオ ンする毎には "Camail VPN Connection" 画面は出てこない。 [ Windows 7 パソコンでアイコンをクリック ] ------------------------------------------------- ダウンロ−ドしてきたソフトを | Camail VPN Connection x | Windows 7 にインスト−ルした。 |-----------------------------------------------| メニュ−は英語表記だった。 | (DELL) SonicWALL | Camail Connect | |-----------------------------------------------| その後インスト−ルし直したら | Username: [test1 ] | 日本語になっていた。ソフトの | Password: [ ] | バ−ジョンが違っているのでな | | いかと思い、見たら WorkPlace | [Connect] [Cancel] [Properties] [Help] | でダウンロ−ドしたバ−ジョン ------------------------------------------------- と同じだった。つまりソフトは ↑ 装置にあるのを取って来ている。 ------------------------------------------------- | Camail VPN Connection Properties x | |-----------------------------------------------| | Connections | Logging | About | | | ----------------------------------| | | | Host name:[202.241.128.8 ] | << 192.168.2.8 も指定できる。 | Login group(Realm):[SSL-VPNdesu ] [Change] | << [Change]をクリックすると | | "セキュリティの警告"画面 | Network conflict resolution | が出てくる。続行しますか | ◎Always use administrator's configuration | は[ はい ]をクリックする。 | ○Prefer local network resource access | ログイングル−プを選ぶ画 | ○Prefer remote network resource access | 面になる、▽マ−クを押す | | と使用できるグル−プがリ | | | ストされるので選択する。 | | | [OK] [Cancel] [Apply] [Help] | ------------------------------------------------- (2) SSL-VPN の Camail 設定その1 * 装置の基本設置 [System Configuration]->[General Settings] で装置の日付と時計の設定。 ライセンス の登録で [ Import License ] からもらったライセンス証書の番号を入れること。オンサ イト保守の証書はまた別で、これは毎年自分でファックスしないといけないみたい。他の ライセンスは https://www.mysonicwall.com/ で登録、業者がやってくれると思うが。 [System Configuration]->[SSL Settings] の {SSL certificates}の{Genral}で装置のサ −バ証明書(デジタルID)を定義する。デジタルIDは自己証明書で作成する。有効期間 は指定項目は無く5年間となる。 "Fully qualified domain name:" には FQDN を記入す るのが基本だろうが、IPアドレスでも記入できる。FQDN は例えば ssl.nix.co.jj とか。 [System Configuration]->[Network Settings]で装置のIPアドレス、デフォルトゲ−ト ウェイ、DNSサ−バのIPアドレス、トンネルサ−ビス利用の場合の一時IPアドレス をNATにするか割り当てにするか選択する。装置のIPアドレスはInternalに記入する。 External は装置でネットワ−クケ−ブルを2本足構成にする場合に記入する。 [System Configuration]->[Services] のNTP は利用することにして ntp.nict.jp を記載。 SSH は利用せず。SNMP は ◎Enable SNMPv2 で Community は public に。SMTP は社内の メ−ルストアのIPアドレスを SMTP server に記入、 他の項目はブランクのままでよし。 管理画面が15分位でログアウトする、長目にしたいがどうやってもできないらしい。 * 社内リソ−スの登録 [Resources]->[Resources] 表の {+New} でメニュ−を出し、 {Host name or IP...} で 作成すれるばいい。作成メニュ−にポ−ト番号を入れる所はない。アクセスさせたい社内 のサ−バを名前とIPアドレスを列挙して行くだけである。 ファイアウォ−ルで DMZ か ら LAN へのアクセスで、IPアドレスとポ−ト番号でもって制限をかける リソ−スのグル−プを作ることができる。グル−プAはこれこれのサ−バにアクセスでき るというように。先ずは "Default Resources" に属することになる。[Resources]->[Res ources Groups] を見ると "Default Resources" があって、 そこに "Network Explorer" を初めとして作成したエントリがある。 Add Resource - Host Name or IP Address --------------------------------------- | Create or modify a resource. | Name:* Description: | [メ−ルストア ] [ ] | | Host name or IP address:* | [192.168.1.1 ] ------------------------------------------------------------------- | +New ×Delete |------------------------------------------------------------------ | □ [+] Name Description Type Used |------------------------------------------------------------------ | |[+]| Camail WorkPlace Camail .....,built-in ● ○ この3つは初 | |[+]| Connect Tunnel Connect ... ,built-in ● ○ めからあった。 | |[+]| Network Explorer Network ... ,built-in ■ ○ | □|[-]| メ−ルストア ◇ ○ 以下に社内の | | | Type: Host or IP Used by: サ−バを記載。 | | | Value: 192.168.1.1 Resource group: Default Resources | □|[+]| ファイル共有 ◇ ○ {Matching URL...} はワイルドカ−ドがちょっと使える。URL*:[http://www.radware.* ] と書くと www.radware.com と言うのが合致する。www.radware.co.jp は合致しない。 こ のようにインタ−ネットのサイトを書くと、パソコンなどを外で使っていても、このサイ トへのアクセスは自社の SSL-VPN 経由になる。 そのためかやや応答が鈍くになるようで ある。先の例だと "radware.com からの応答待ちです" とブラウザの下に出て、10秒か ら20秒ぐらい表示されてくるのに待たされた。動作確認はクライアントソフトを接続し てたらいったん切断して改めて接続すること。ブラウザのキャッシュもクリアした方がい いかも知れない。サイトが出たり出なかったりなかなか挙動は微妙である。 Yahoo! JAPAN サイトを SSL-VPN 経由にしようと URL*:[http://*.yahoo.co.jp ] などと 記載してもうまく行かない。Yahoo サイトはその中で一杯他のサイトからデ−タを引っぱ ってくる。それらもあらかじめ全部調べて {Matching URL...} なり{URL...} に書かない といけない。それはできる話ではない。asahi.com でも中で一杯サイトを使っている。 * Camail の認証方法について Windows 7 と Windows 8.1 はハ−ドディスク番号で認証できる。iOS は UDID番号で認証 できる、通信方式は問わない、UDID( Unique Device IDentifier )。 Android は IMEA番 号で認証できる、通信方式は問わない、昨年は 3G のみ対応だったが Wi-Fiもできるよう になった、`2e/08/e 確認。MACアドレス認証は対応してない。 認証に AD を利用する場合、Windows でハ−ドディスク番号の認識は、 AD の各ユ−ザの 属性の mobile で行なう。どうも Windows 7 と 8.1 それに iOS と Android もそうみた い。AD の mobile と pager の項目にとりあえずハ−ドディスク番号を記入して、どちら を見ているか Windows 7 で動作検証をした。装置登録の場合は deviceID を見るらしい。 AD のユ−ザ情報のところにメ−ルアドレスを書き込むところがある。ユ−ザ認証に ADを 利用する場合、これを Camail は OTP 用のメ−ルアドレスとする。 OTP は装置登録なら メ−ルアドレスを携帯などのメ−ルアドレスにできる。しかし装置登録は1つしか利用名 を作れないので、OTP を使う使わないという設定は全員に適用ということになってしまう。 ユ−ザ認証のためメ−ルを OTP で飛ばすのは、AD 登録ではメ−ルアドレスが問題になる。 通常のメ−ルアドレスになって、これではメ−ルをとることができない。卵が先か鶏が先 かみたいなことになってしまう。そのため他所でも実質あまり利用されてないらしい。ま た外国に出た際に OTP のメ−ルがすぐに届くか、いろいろ懸念事項が出てくる。 Windows OSのパソコンはハ−ドディスク番号で認証できるが、たまにできないパソコン があるという。ファイルの存在チェックやディレクトリ値の存在で認証することもできる。 レジストリ値でも認証できるが、値の存在をチェックするのか、値のマッチングをするの かは要確認のこと。参考に他社製の SSL-VPN 装置の様子も調べてみること。 デバイス認証は AD と LDAP で利用できる。 AD ではユ−ザ情報のところにデバイス情報 を書き込むところがある。装置登録のユ−ザ認証はデバイス認証は利用できる。RADIUSサ −バの利用ではデバイス認証はできない。 デバイスID認証とは Windows XP や 7 では ハ−ドディスクの番号を使う。Windows 8.1 はハ−ドディスクは無く? SSD の番号である。 AD の項目は64文字とか128文字とかまでの長さ制限がある。そんなにたくさん、デバイス の番号を列挙はできない。Android や iOS の番号はへたら長いらしい。 でも番号をずら ずらっと書いておけば、あるユ−ザさんはそれらのデバイスをどれも認証できるというこ とになって便利である。ただしレルムは分けてそれ用のを使うことになるが。 * AD 登録情報を確認してみる SSL-VPN 装置と Active Directory 連携のテストのために、 AD のツリ−に Ntestという のを作り、アカウントを testn1 と testn2 というのを作ったとする。AD情報を検索する のに "dc=ad1,dc=nix,dc=local" とするので、それ以下の情報は全部見ることになる。ど こかに対象のエントリ、ユ−ザ名と言った方がいいか、あればいいということ。 AD --- ad1.nix.local --- Users --- tarouh jirouk 既存利用中のアカウント。 |- Ntest --- testn1 testn2 こっちは今回のテスト用。 AD でユ−ザ testn1 の {携帯電話} の項目に、 Windows 7 のデスクトップのハ−ドディ スク番号を、{ポケットベル} の項目に Windows 7 のノ−トパソコンのハ−ドディスク番 号を記入してみた。SI業者から AD のデバイス認証はともかく電話の項目辺りでやって ますよと聞いて、数打ちゃ当たると電話関係の適当なところに記入してみた。 [Users & Groups]->[Mapped Accounts] 表の {+New} クリック、{Browse directory...} で Active Directory のトリ−構造が表示されてくる。画面で Ntest のtestn1 をクリッ クすると AD の項目がリストされる。これは "Show attributes as:[Summary ▽]"という ことで概略リストである。ここには電話の項目は出てこない。 [Summary ▽] のとこ [All attributes ▽] にすると一杯リストされる。記載したmobile と pager という項目も出てきた。testn2 の方はアカウントを作っただけで、mobileにも pager にも記入してない、こちらはリストそのものにこれらの項目は出てこなかった。と もかく AD にどんな情報が登録されているか SSL-VPN 装置から見られるのは便利である。 * AD サ−バを指定する "24-1. ネットワ−クでネット又ネット,(3) Active Directory もやっぱり" で ADサ−バ にアクセスする様子がある。"* Outlook Express で Active Directory を利用してみる" で "検索ベ−ス[dc=ad1,dc=nix,dc=local]" という指定をしたりしている。残念 Outlook Express は Windows XP でのことで、パソコンを Windows 7 に変えたら無くなっていた。 [Authentication Servers] 画面の {New...} で、以下をLDAP を見るようにして作成した。 使うのは Active Directory なのだが、アクセスの仕方を LDAP ライクで行なうようにし たということである。 Active Directory はそもそも LDAP からの仕様になっている訳で。 "◎Microsoft Active Directory(Basic)" にすれば、DC=xxx という指定はしなくて済む。 Authentication directory ○Microsoft Active Directory (Basic) A single domain. ○Microsoft Active Directory (Advanced) Multiple domains in a tree or forest. ◎LDAP ○RADIUS 他 [Authentication Servers] LDAP-test {Edit}|{Delete} Type: LDAP Credentials: Usernamae/Password Uses SSL: No Used by realms: ldap-realm {Edit} をクリックして表示した中身。 Name:*[LDAP-test ] Primary LDAP server:*[192.168.1.x ] Login DN:[cn=administrator,cn=users,DC=ad1,DC=nix,DC=local ] Password:[xxxx ] Search base:[DC=ad1,DC=nix,DC=local ] Username attributes:*[sAMAccountName ] Advanced 設定に One-Time Passwords の設定がある、誰からのメ−ルかなど記述する。 Primary LDAP server:*[192.168.1.x ] の右の [ Test ] をクリックし、ちゃんと AD サ −バにアクセスすると、すぐ下に "Valid connection" と緑色で出てくる。 * AD でパソコンのハ−ドディスク番号を調べる [Resources]->[Variables] の画面の表の {+New} で調べることを作成する。 Add Variable ---------------------------------------------------------------------- | Name:* [AD-Mobile-checkdesu ] Description:[ ] | Type: [User attribute ▽] --------------------------- | Attribute:* [mobile ] | User:* [testn1 ] | | [User attributes: ▽] | Realm: [ldap-realm ▽] | | Output: [Multiple results ▽] ↑ | [ Test ] | | Delimiter: [, ] | ------------↑------------- | A クリック [ Test ] をクリックすると AD に登録されているユ−ザ、testn1 の {携帯電話} の項で (mobile) の値を探して表示してくれる。Aをクリックすると、 ユ−ザ testn1 に登録さ れている情報の項目が全部リストされる。(mobile) に何も記載してなければ、 リスト自 体にも含まれない。これで AD の中身の様子が分かる、有難い機能である。 "Output: [Multiple results], Delimiter:[,]" は AD の項目に複数記述したのを認識す る。つまり1人のユ−ザが複数のデバイスを有していることを表わすことができる。ここ のチェックする画面のことが理解できれば AD に登録する情報をいろいろ調べることがで きる。この SSL-VPN 装置のユ−ザの認証制御を理解するのに役立たせることができる。 * 装置でパソコンのハ−ドディスク番号 ユ−ザのアカウントを装置なり AD なりに登録してあるとする。 例えば Windows パソコ ンの "Camail VPN Connection" で SSL-VPN 装置に接続をしてみる。まだパソコンのハ− ドディスク番号は装置なり AD なりには登録してないとする。ユ−ザ名とパスワ−ドが合 っていれば [Logging]->[View Logs] にログとしてハ−ドディスク番号が出てくる。 [Logging]->[View Logs] の Log file:[Unregistered device log ▽] Username は test1、Platform:Windows、Device Identity:Q1YUAS6510K こんな感じ。 "Device Identity"がパソコンのハ−ドディスク番号である。3台の Windows パソコンで みたが全部、大文字の文字列だった。文字列の長さはこんなもので。試しに小文字で登録 したら認識しなかった。 あるノ−トパソコンで 0 が最初に7つも8つも続くようなのが あってログには出てきたが、実際クライアントソフトを使ってみたら認識しなかった。 * Active Directory の登録項目のこと ユ−ザ名を検索するには、だいたいこんな指定をする。FortiMail のユ−ザ名の検索では、 検索フィルタ− (&(objectClass=user)(sAMAccountName=%s)) と、そんな指定をした。 Login DN CN=xxx,DC=xxx,DC=xxx Search Base CN=xxx,DC=xxx Username attribute sAMAccountName Microsoft のサイトに説明があった。 SAM-Account-Name が sAMAccountName のフルネ− ムで Size は Less than 20 characters. とあるのでユ−ザ名は20文字以内ということ。 電話番号(勤務先) telephonenumber 電子メ−ル mail Fax/電話 facsimiletelephonenumber 電話番号(自宅) homephone 携帯電話 mobile 実際の Active Directory の画面で、ユ−ザ testn1 のプロパティを出してみた。その中 の [電話] をクリックしてみた。Windows Server のバ−ジョンは 2012 である。 --電話番号------------------ | |自宅 [ ] homePhone |ポケットベル [ ] pager |携帯電話 [ ] mobile |FAX [ ] facsimieTelephoneNumber |IP電話 [ ] ipPhone ---------------------------- (3) SSL-VPN の Camail 設定その3 * 設定のポイント SSL-VPN のクライアントから SSL-VPN装置に、どのように接続させるか手順を記述するこ とができる。それをレルムと言っている。単純には接続手順でいいだろう。 realm とは、レルムで幾つかの設定をつくることができる。領域、範囲、部門というよう な意味がある。設定して作成したアクセスの種類と単純に思っておけばいい。 認証DB(デ−タベ−ス)は装置内部のDBを使うのと外部のDBを利用するのがある。外 部のDBには Active Directory サ−バと LDAP サ−バと RADIUS サ−バがある。 ゾ−ンとデバイス・プロファイルとレルムと認証DB。それに認証方法がメ−ルによるワ ンタイムパスワ−ド認証とデバイス認証。これらの組み合わせである。 装置内部デ−タベ−ス、Local Accounts にはユ−ザのアカウント情報を作成する。 ユ− ザ名とパスワ−ド。それに電子メ−ルアドレス、装置番号を記入しておくことができる。 認証DBには Active Directory(Basic) というのもある、 これは使わずに LDAP を代わ りにした。LDAP は Active Directory 機能を包含しているので、こういうことができる。 [Authentication Servers] で "Local user storage" は1つしか作成できない。 適当な 名前で何か作る。この中で OTP を使うかどうか設定する。 NATモ−ドでの利用。[Services]->{Network tunnel service} の "IP address pools" の ◎Translated address pool (Source NAT) で、本設定では [192.168.2.9] と入れた。 外からクライアントソフトで SSL-VPN 装置にアクセス、 [Resources] で定義したサ−バ 以外は直接行く。定義したサ−バはインタ−ネット上のサ−バでも同じ動作をする。 * Zone と Device Profile [End Point Control]->{Zones and Device Profiles} の{Edit} で "Device Profiles"に Linux, Mac, Windows これら3つは最初からあった。 "Device Profile" は名前を付けて作成する際にコンピュ−タの種類を選ぶ、Windows/Mac /Linux/Android/ActiveSync/Windows Mobile 等がある。 Zone の作成は、どの "Device Profile" を使うか候補と選択。タイプは iOS と Android を1つにして スマ−トデバイス としている。 "Device Profile" はデバイスのタイプとどういう認証をするか。タイプは Windows で装 置認証、iOS で装置認証、Android で装置認証。 デフォルトのレルムは指定できる。パソコンのクライアントソフトの初期設定に出てくる。 [User Access]->[Realms] 画面の一番下で *Default realm:[adp-win ▽] とするとか。 {New...} で Type: Active Directory(Basic) とかディレクトリサ−バを指定するのは複 数作成できる。OTP を使うのとか、使わないのとかを分けて作ることができる。 Zone | Device Profile | 属性 ----------|-----------------|----------------------- WinCaDev | Win-Ca-Device | EquipmentID (LocalID) 装置登録のデバイスID。 WinAdDev | Win-Ad-Device | EquipmentID (WinadID) AD登録のデバイスID。 WinAdPas | Win-Ad-Passwd | ※AD登録のパスワ−ドを見るだけ。 WinFileT | Win-File-Test | ※Windows でのファイルの存在チェック。 SmartDev | Android とiOS用 | EquipmentID (WinadID) スマ−トデバイス用。 Realm | Community | 利用Zone | 利用DB ----------|-------------------|------------------|------------ これら名称 dev-win | Windows CA Device | WinCaDev | Local-DATA は整合性を adp-win | Windows AD Device | WinAdDev | ActiveLDAP 考えて付け adp-smd | Smrtdev Ad Device | スマ−トデバイス | ActiveLDAP てみること。 * レルムの基本 "レルム" は "認証DB" と "Community" から構成される。認証は "認証DB" で OTPを 使うか使わないかの選択が先ず1つ。 その次に "Community" で認証にデバイスIDを使 うとか、ファイやディレクトリの存在チェックをするとかになる。 [レルム]----[認証DB] 認証DBは装置内部のロ−カル認証と外部のディレクトリ | サ−バを選ぶことができる。 外部のは Active Directory, | LDAP, RADIUSサ−バで内容を変えて複数利用できる。ロ− [Community] カル認証は1個のみ設定利用できる。 "Community" では誰に対して、どんなチェックをするか指定する。誰に対しては通常では 任意でいいだろう、メニュ−では "Members:Any" がデフォルトになっている。 どんなチェックをさせるか。これが一番肝心なことである。デバイスID、ファイルの存 在、ディレクトリの存在、レジストリの存在、ウィルスチェックソフトなどの存在など。 * レルムの動作1 [レルム1] レルムで複数に枝別れする場合。(a) を見て該当しなけれ | ば (b) を見るということではない。そのままだと (a) し |--------------- か有効にならない。 (a) を利用するユ−ザはtarouh、(b) (a) | | (b) を利用するユ−ザはjirouk と言うように、 利用メンバ− [ ] [ ] を分けるという使い方をする。ということなので、よっぽ | | どの理由がない限り枝別れは用いない方がいいと思う。で | | きれば有難いのが (a) は tarouhと jiroukのみ認証、(b) [ 拒否 ] [ 拒否 ] はその他の人の認証、どうもそういう区分けはできない。 * レルムの動作2 [User Access]->[End Point Control] 画面の "Zones and Device Profiles" の {Edit}。 Device Profile Definition --------------------------------------------------------------------- | Name:* Description: | [Win-File-Test ] [ ] ※Windows パソコンでファイル存在チェ | ックの動作確認をやってみた。実際ど | Device Profile type: 〇Microsoft Windows こにファイルを置くのかは要検討。 | | Add attributes ---- | -------------------------------------------------------------------- | | Type: [File name ▽] [ Add to Current Attributes ] | << ここで | 属性を | Current attributes ---- 選ぶと | -------------------------------------------------------------------- 下に反 | | × Delete | 映され | |------------------------------------------------------------------| る。こ | | □ Type Value | こで選 | |------------------------------------------------------------------| んだの | | □ | File name | D:\Users\tarouh\TestFile,=,,=,,,, | はFile | | □ | (and) Antivirus program | FortiClient,version = 4.x | name。 | | □ | (and) Personal firewall | Check Point,version = 8.x | | -------------------------------------------------------------------- これらは and 条件になる。ファイルのチェックをして許可、ダメならそれで終わり。 許 可なら次にアンチウィルスのチェックをして許可かダメかということになる。ただし End Point のチェックで Antivirus program、Personal firewall などはオプションである。 ファイルのチェックはサイズや日付も付加できる。サイズを試してみた。例えば 123Byte ちょうどとか、以下とか以上とかの指定で。ファイル内の文字までは見ることはできない。 先ずは "D:\Users\tarouh\TestFile,=,,=,,,," はただのファイル名があるかのチェック。 \TestFile,=,123,=,,,, は 123 Byte ちょうど。 \TestFile,<,123,=,,,, は 123 Byte より下。 \TestFile,<=,123,=,,,, は 123 Byte 以下、123 Byte も含むということ。 試しに Antivirus program をもう1つ追加したら、or が上の表に現われ、先のと今度の どちらか合致すればよしとなった。異なるチェックを選んだ場合は and ということ。 FortiClient,version = 4.x の "=" の所。以上とかより上とか指定できる。">= 4.x" と いうのは 4.x 以上ということ。実際のバ−ジョンが 4.1.23 とかならば "= 4.x" でいい。 Antivirus program チェックを指示したら、パソコンにプロラムをインスト−ルした、1 回だけ。"Camail OPSWAT End Point Control"。これは常に最新に更新されている。 ファイル存在チェックをやるようにしたら、IEにActiveX が入った。いろいろテストし ている間に入れるか許可せよとか表示があったかも知れないが、気付かなかった。アドオ ンの "Camail End Point Interrogator" と "Extraweb Proxy Client Agent" である。 * パソコン用プログラムのインスト−ルとアンインスト−ル https://192.168.2.8/ とやり Camail WorkPlace にアクセス。 ファイル存在チェックの レルムでログイン。Camail Access Manager 画面がでて [インスト−ル] をクリックして Camailcomponent.exe(620KB) を実行する。Camail Access Manager と Camail Web Proxy Agent プログラムとIE9のアドオンに2つの ActiveX が入った。 次のWebの画面で [Install Connect Tunnel] クリックすると Camail VPN Connection が入った。 Camail Access Manager を{プログラムのアンインスト−ル} で消すと Camail Web Proxy Agent も消えた。Proxy の方はフォルダにあるので一見消えてないように見えるが画面を リフレッシュすると無くなっている。この時点で2つの ActiveX も消えた。 プログラム の Camail Connect が Camail VPN Connection であり、 アイコンはまだパソコン画面に ある。Camail Connect も {プログラムのアンインスト−ル} で消すと完全に消える。 ソフトのインスト−ルは UAC(User Account Control) が関係する。[ユ−ザ−アカウント 制御設定の変更] 画面で設定は4段階あって一番下の "通知しない" にしてパソコンは再 起動する。Javaも入ってないといけない。インスト−ルの過程で警告画面が出てくるので 注意すること。Java の最新は Java 8 だが 7 をここから入れた、http://www.java.com/ ja/download/manual_java7.jsp。Java 7 Update55 とか入った、何でも構わないみたい。 ハ−ドディスク番号で認証する設定で。インスト−ルの過程でIEにActiveX が入り、こ れで、このパソコンのハ−ドディスク番号を取得し、装置に送られ、ログとして出てくる。 この ActiveX が入らないと先に進めない。ブラウザは Firefox も対応している、これな ら Java のプログラムだろうと思いやってみたら、IEの方にActiveX が入るようになっ ていた。こういう場合は現実的に諦めが肝心。ファイル存在チェックなら設定はできた。 (4) SSL-VPN の Camail 設定その4 * Camail VPN Connection で Windows の画面のアイコン "Camail VPN Connection" をクリックして、 出てきた画面の {プロパティ} をクリックして設定状態を見た。一番最初にアクセスした際 {プロパティ} で "ホスト名:[camail.nix.co.jj ]" というようになっていた。 このままで SSL-VPN 接 続は成功しなかった。Windows の hostsファイルに以下のように記述したらどうか、これ もダメだった。SI業者さんに問い合わせしたらDNSも見るし hostsファイルも見ます よとのこと。パソコンを再起動したりして、もう一度先の設定のままでやったらアクセス できた。ブラウザIEのプロキシ指定があるとだめはだめだった、Camail装置にアクセス できなくなった。WorkPlace とやらは関係してないと思う。以上はWindows 7 でのことだ が、Windows 8.1 ではIEのプロキシとOS内のプロキシがあってややこしくしている。 C:\Windows\system32\drivers\etc\hosts プロパティのホスト名はIPア ------------------------------------- ドレスでも構わないので、この |192.168.2.8 camail.nix.co.jj ように hostsファイルを書く意 味は薄い。これまでの SSL-VPN ----------------------------------------------- 装置では制限設定になっていた。 | §Camail VPN Connection のプロパティ |---------------------------------------------- 社外から利用では左のように記 | -------- 載しておく。管理者が設定のた | |接続数|_____________________________________ め社内からアクセスする場合は | | ホスト名: [camail.nix.co.jj ] ホスト名:[192.168.2.8 ] でも | | ログイン グル−プ: [adp-win ] [ 変更 ] いい。ただしファイアウォ−ル | | のル−ル設定に注意すること。 ※hostsファイルの変更は直ちに有効になった。Windows 7 でroot ログオンにて動作確認。 hosts にIPアドレスとFQDN を記入して Ctrl+s で保存。DOS窓で ping FQDN やった。 * ハ−ドディスクの番号を知るには Windows パソコンのハ−ドディスクのシリアル番号、どうやって知るのか。DOSコマン ドの >dir/p で出て来るのはどうか。"ドライブ C のボリュ−ム ラベルは Windows 7 で す、ボリュ−ム シリアル番号は AA80-BB67 です"。Camail が認識に使用しているのはこ れではなかった。認識設定する所に、この番号を入れてやってみたがだめだった。もう少 し長いIDだ、ハ−ドディスクそのものに貼ってあるラベルに書かれているのじゃないの か。取り組み始めて2日目のこと、 Windows XP パソコンでハ−ドディスク番号で認証で きた。やれやれ、これで1つブレ−クスル−ができた。Windows パソコンのハ−ドディス クの番号というのは、S.M.A.R.T. 情報とはどうも違うらしいというか、 はっきりしない。 でも、パソコンのハ−ドディスク情報を見るフリ−ソフトを試したら同じ番号が出てきた。 * トンネルモ−ドと WorkPlace について トンネルモ−ド利用は "Camail VPN Connection"ソフトを、WorkPlace 利用はブラウザを 利用する。WorkPlace でのファイル共有は Java を使っている。ブラウザの Java のイン スト−ル状態が問題になることがあり、あまり利用は推奨されない感じである。 WorkPlace から社内のサ−バへのアクセスは、Camail装置の管理用のIPアドレスからに なる。ファイアウォ−ルでそれ用のル−ルを設定すること。トンネルモ−ドではNATの 一時用のIPアドレスからになる。Camail を複数台設置する場合、一時IPは別にする。 トンネルモ−ドのインスト−ルは管理者権限がいる。WorkPlace は一般ユ−ザで構わない、 但し onDemand トンネルのところのインスト−ルは管理者権限がいる。onDemandトンネル は用途がよく分からない。とりあえず使わなくても問題なさそうである WorkPlace で RDP を定義するには [Camail WorkPlace]->[Shortcuts] 画面の {+New}で "Graphical terminal shortcut" を使う。 "Virtual desktop shortcut" は Citrix を使 う場合の指定。社内のポ−タルなんかはWebで Type は "Web shortcut" である。 * HA構成でない単純に2台設置の図 ◆ ◆ 仮想IPアドレス 1号機が故障した場合、2 .8| .9| 号機のIPアドレスを変え ---------------------------------------- 202.241.128.x る、192.168.2.10 を .8に | する。1号機はネットワ− | ■1号機 ■2号機 □仮設置用 クから切り離すかIPアド .2|.2 .8|.9 .10|.11 |.12 レス192.168.2.8 を .12に UTM □---------------------------------- 192.168.2.0 する。UTM で192.168.2.12 .2| □ □ □ 各種の □AD認証 へも社内パソコンから管理 | | | | サ−バ |サ−バ アクセスできるようにして ---------------------------------------- 192.168.1.0 おくこと。 -------------------------------------------------------------------------------- |メニュ−| Network Settings | Services | SSL Settings | |--------|--------------------------------------|-------------|----------------| | 項目 | Appliance | Default | Interface | Tuunel NAT | SSL | | | name | domain | Internal | IP Address | cetificate | |==============================================================================| | 1号機 | ssl | nix.co.jj | 192.168.2.8 | 192.168.2.9 | ssl.nix.co.jj | |--------|-----------|-----------|--------------|-------------|----------------| | 2号機 | ssl2 | nix.co.jj | 192.168.2.10 | 192.168.2.11| ssl.nix.co.jj | -------------------------------------------------------------------------------- iOS,Andorid には /etc/hosts ファイル相当のものはない。クライアントソフトのプロパ ティのホスト名で FQDN のだとインタ−ネット登録の自社DNSで解決するしかない。あ るいはホスト名を装置のIPアドレスを指定するかである。デフォルトではCA証明書を [SSL Settings]で作った名前がプロパティに出るが、装置のIPアドレスを書くのである。 "Camail VPN Connection" ソフトでプロパティのホスト名をIPアドレスを指定しても問 題ない。装置で作った証明書は例えば ssl.nix.co.jj という名前で。"この Webサイトの ID またはこの接続の完全性を確認できません"。と画面が出てくるが特に問題はい。CA 証明書をブラウザに入れずにクライアントソフトを使うなら、気にする必要はない。 CA証明書はひょっとすると1号機で作ったのをエクスポ−トして、2号機にインポ−ト することができそうな気はするが。設定全部をセ−ブ、他の装置でロ−ドする場合は、装 置のIPアドレスまでコピ−したら困る際、IPアドレスなどは除けてできる指定がある。 これでCA証明書がどうなるか確認できると思う。 1号機と2号機でCA証明書を同じ名前で作った ssl.nix.co.jj。1号機を本番機で2号 機は予備機とし、本番機が故障したら予備機のIPアドレスを変えることにする。そうな るとCA証明書がIPアドレスというのはどうも気持ちが悪い。同じ名前で作っても中身 は別物になる。[SSL Settings] の AMC で警告が赤が出ているが、気にしなくても良い。 1号機と2号機でCA証明書を同じ名前で作った続き。2号機のCA証明書をIEの {信 頼されたル−ト証明機関}に入れた。"Camail VPN Connection" は警告画面が出た。 同じ 名前でも違うことを認識したらしい。次に2号機のCA証明書も同じIEに入れたら入っ た。{信頼されたル−ト証明機関} に2つ同じ名前のがあった。警告画面は出なくなった。 (5) SSL-VPN の Camail 設定その5 * いろいろ覚書き1 トンネルモ−ド、リバ−スプロキシモ−ド、ポ−トフォワ−ディングモ−ド。リバ−スプ ロキシモ−ドは、ブラウザさえあれば特にクライアントのソフトを入れなくてもできると いう奴か。ActiveX Control や Java Applet なんか入れるかも知れないけど。 チェイン認証という機能がある。複数の認証を使ってのことらしい。装置認証ではグル− プはだめ?、AD でならグル−プはできるとか?。AD 認証した情報をファイル共有などの アカウントに引き継ぐことができるオプションがあるらしい?、いやがせねただった。 iOS には標準では SMB のアプリは入ってないので Windows ファイル共有はトンネルモ− ドではできない。別に SMB アプリはあるので、 それをインスト−ルすればトンネルモ− ドで利用できるかも知れない。やってみないと分からないが。 ファ−ムウェア。ユ−ザ登録や装置設定。ファ−ムウェアを戻せるかどうか。スマ−トデ バイスは日新月歩が早い。できればもう1台あって、それで最新デバイスや最新機能の動 作確認をしてから本番機に展開するのが望ましい。ファ−ムウェアは1つ前に戻せます。 セキュアデスクトップの機能は。メ−カによって名称が異なっているかも。Windows しか 対応してない。ブラウザのキャッシュのクリアはどうか。スマ−トデバイスでもできるか。 RDP で利用のとき Virtual Desktop、Cache クリ−ナが有効。 同時25ユ−ザライセンスが最低だったのが、2014年初め頃に料金が改訂されて同時 10ユ−ザが出て、さらに10月頃に同時5ユ−ザがでてきた。HA構成の場合の2台目 のライセンスは安くなるのは変わりない。オンサイトは365日24Hしかない。 サ−バ間でデ−タをやりとりするようなのは SSL-VPN装置ではうれしくない。あくまでも パソコンなどで SSL-VPN クライアントソフトを起動してトンネルを作るということ。 サ −バの一方にソフトを入れて、ずっと稼働させたままにすればやれないこともないが。 2012年末でもトンネル接続できるのは iOS(iPhoneとiPad)、Android 4.x。Windows 7 は問題なくできるとのこと。Windows 8 のIE10対応のファ−ムウェアはできたばかり。 2014年秋頃、装置のファ−ムウェアは Windows 8.1 でも十分対応になっていた。 SSL-VPN 装置の設置方法でデュアルインタ−フェ−ス、シングルインタ−フェ−スがある。 デュアルホ−ムド構成、シングルホ−ムド構成とも言う。シングルホ−ムド構成でもクラ スタにできるが、ネットワ−クトンネルサ−ビスはできない。SRA 10.7.1 にて。 Webで Camail にアクセスできない状況になった場合、RS-232C でパソコンから接続す る。115200 bps でパリティはノンで8ビットとかで。# ifconfig とたたけば装置の管理 IPアドレスが表示される。ここらのコマンドでとりあえずIPアドレスを変更などする。 * いろいろ覚書き2 Android は3GではデバイスID認証OK、WiFi はだめ。 Android 4.0 以降でないとだ め。iOS は3G と WiFi 両方でデバイスID認証が UDID でできる。Androidは3G対応 でないとデバイスID認証ができない、3G対応でないと電話番号をもってないかららし い。電話番号に関係したIDを見るということみたい、iOS はできる。 個体認証の強度について。ROUDでの個体認証のための認証要素は推奨は HDD+CPU+拡張HDD、 多くの導入企業などはMACアドレスは認証要素に含めないようにしているとのこと。登 録されたのは意味不明な文字列になっていた。Camailでは装置でも AD でもデバイス認証 の登録情報はハ−ドディスク番号そのもので、その点では安全とは言えない。 デバイスID、レジトリキ−、特定ファイルの存在、ディレクトリ名、クライアント証明 書、ウィルスチェックソフト、パ−ソナルファイアウォ−ルなどでも認証できる。これら はオプションの "Advanced End Point Control" ライセンス契約が必要である。とりあえ ずよい子ではデバイスIDを利用するだけなので、この機能のアップデ−トはいらない。 クライアントソフトでIE9に証明書を入れてみた。[ツ−ル]->[インタ−ネット オプシ ョン]->[コンテンツ]->{証明書} で {中間証明機関} に入った。これでは信頼されていな いと出てくる。インポ−トのウィザ−ドで {信頼されたル−ト証明機関} に入れ直してみ た、信頼されてないうんぬんの画面が出てこなくなった。 FirePass では導入設置でSI業者はクライアント用に、 一時的なIPアドレスを付ける ようにした。それしかできなかったのでないか。【ネットワ−クアクセス】の[リソ−ス] のリソ−スグル−プ: [admin_resouce] で [ クライアントの設定 ]の{IPアドレスプ− ルの選択}で [ Default: 192.168.99.0/255.255.255.0 ▽]。192.168.99.1〜254 が付く。 [Network Setting]->{Name resolution} でDNSのIPアドレスを変えたら装置は再起 動した。[Pending changes] をクリックして、"Waiting for restart..."と出たまま縞模 様がずっと動いていた。1分位してから"AMC is restarting. Please wait for a minute and then log in again." と出た。管理ログイン画面からアクセスすることになる。 パソコンには root でログイン。SSL-VPN は tarouh で。ユ−ザは装置または AD に登録。 これでファイル共有の tarouhにアクセスしたらどうなるか。パソコンに最初から tarouh でログインしたらどうなるか。 A-Gate ではユ−ザ認証の情報が引き継がれたような気が する。"24-6.Windows 7 と Windows Server, (2)Active Directory とユ−ザ認証"も参照。 * 装置利用のグル−プ分けは グル−プの作成は。ユ−ザとの関係は。複数グル−プに属すことができるかとか。通常用 BCP用、遠隔操作用、テスト用。通常用はソフトウェアを入れてトンネルモ−ド。デバ イスの何がしかのIDもチェック。遠隔操作用は通常用に加えて RDP ができるとか。 どうもそんなに簡単な話ではないようである。ある人、或いはその人が属するグル−プは 利用できるリソ−スはこれこれ。他のグル−プはこれこれとしたい訳である。 WorkPlace 画面で利用できるリソ−スを表示するというのもやれると利用者にとっては便利である。 1台の Camail を普段は予備機として置いておいて、全く別な用途の例えば関連会社との ネットワ−ク接続のテストで使ってみようとか。そんな場合レルムを分ける、 WorkPlace で分けるのはやらないでおこう。装置全体で設定しコンフィグで切り替えるとしよう。 * 最後の最後まで機種を検討 BIG-IP 2000s Access Policy Manager、メモリ8 GB、25同時ユ−ザアクセス。約120 万円で2台でのHA構成にて。電源ユニットもいるのかな、約25万円で2個。保守費用 はSI業者が自前でやるということで2台分で約60万円、平日9時から17時オンサイ トで。作業費用は高いよ、お任せでやってもらうということで400万円まではいかない にしても四捨五入したら、そんなお値段を出してきた。 MAG2600 同時25ユ−ザモデル、1台約110万円。2台でのHA構成にして。ラックマ ウントキットが9万円?、えらく高い。初年度保守24時間365日オンサイトで1台8 万円弱で掛ける2。設置設定費用は約150万円。 ホストチェッカ−機能は Windows で のみ有効、MACアドレスと特定ファイルの有無で認証する。あるSI業者に見積りを取 ったところ、設定は東京からエンジニアが来ると言っていたが。 MAG は Juniper 社が手放すという、このことは書いてなかった。MAGは昨年あるSI業者 に打診した際に勧めてきたし、○○商会も扱うポピュラ−な製品である。ただし認証機能 はMACアドレス位しかなく、どうもデジタルIDを使うどケ−スが多いとか。9月位に Juniper 社は SSL-VPN 装置の扱いをやめると聞いた。 SSL-VPN だけでなくUTMの扱い も止めるらしい。Juniper 社の英文にはクラウド事業を主にやっていくという記事を見た。 * 巷でのユ−ザ認証の様相は あるSI業者が言うには SSL-VPN の認証で利用が多いのは、ト−クンのOTPマトリックス、 証明書、MACアドレス、個体認証の順だという。OTP にはメ−ルで送信するのもあるが、 実際の利用は現実的でないとのこと。メ−ルを利用するために SSL-VPN装置にアクセスし て OTP のメ−ルを出す。卵が先か鶏が先かみたいな話がある。 個体認証は一度はパソコ ンなどから SSL-VPN装置にアクセスしてもらって、パソコンなどの個体情報を調べないと いけない。ひと手間かかるのであんまり人気がないというのが実態のようである。 インタ−ネットバンキングの不正送金の事件で、2014/05 ぐらいから。銀行のインタ−ネ ット利用。どんどんセキュリティを強化している。だんだん利用するのが面倒になってき ている。生体認証を実施した銀行。メ−ルによるOTP にしたところとか。外出しようと思 っていたところ、OTP のメ−ルがかえってこないので無駄に時間を費やしてしまったとか。 OTP の有効時間が10分だそうだ、その銀行は。ト−クンを配る銀行もでてきた、無くし たら再発行に千円とかいるそうな。メ−ルの OTP でもいいんじゃないのという。 * ファ−ムウェアをアップするには https://www.mysonicwall.com/ ログイン画面がでてくる。 http://www.sonicwall.com/japan/support/ 誰でも見れるお知らせ等。 https://www.mysonicwall.com/ にユ−ザ登録するとファ−ムウェアやパッチがダウンロ −ドできる "Firmware [ SRA EX-6000/7000 ▽]" から upgrade-10.7.1-237.bin (315MB) Mar 10,2014 リリ−ス、とか。いったんパソコンに取り込んでから装置に入れる。ダウン ロ−ドするのはIEはどうも挙動がおかしいので、Firefox でやってみたらできた。 [Maintenance]->[Maintenance] の {System configuration} の [Import/Export]。 コン フィグのセ−ブ、セ−ブしたのをロ−ドする際。Import で "Partical Configure"にチェ ックすると、装置のIPアドレスなどは入らない。予備機の設定を本番機からとってきて 入れる場合、装置のIPアドレスも入ったら困るということ。 パッチのインスト−ル。入れたら再起動が自動でかかる。クライアント用と装置用のパッ チがある。パッチをインスト−ルした後の再起動は少し時間ががかる、4〜5分か。通常 は1〜2分か。パッチというにはサイズが結構でかい。 装置用は pform-hotfix-xxx.bin 25MB、クライアント用は clt-hotfix-xxx.bin 116MB といった具合。 パッチは予約では1個ずつしか当てることができない。GHOST 脆弱性対策に出たパッチは pformと clt 両方とも当ててくれとある。夜間に2つ一挙に当てることができればと思っ たのだが。予約は [Maintenance] の [ Update... ] の {Advanced} で時刻をセットする。 セットした後、インスト−ルを直ちにやる、キャンセルすることもできる。 それで Camail 2号機にパッチを当ててみた。パソコンの CVCソフトはこれまでのままで ある。CVCソフト起動しても特に変わったことはなかった。これまで通り使えた。 Camail WorkPlace へ https://192.168.2.10/ アクセスした。最初に CVC をパソコンに入れて設 定するように。そしたら新規のインスト−ルの手順となり、新しいソフトが入った。 * Windows 8.1 用のクライアントソフト Windows 8.x をタブレットというのは抵抗があるかも。Windows 8.x はOSで、タブレッ トみたいなのはサ−フェ−スというのだ。Windows 8.1 パソコンには最初から各種メ−カ の SSL-VPN クライアントのソフトが入っていた、 NECの物をちょっと借りて中を見た らあった。メニュ−の "VPN接続を追加する"、"VPNプロバイダ−" のあたりに対応 する SSL-VPN 装置のクライアントソフトがあった。主だったメ−カの SSL-VPN 装置のク ライアントソフトは皆入っていた。 Check Point VPN, F5 VPN, Juniper Networks Junos Puls, Microsoft, SonicWALL Mobile Connect。これは便利で有難い事だ。 * クライアントソフトの名称と入手 Windows XP/7/8.1 では Camail VPN Connectionという名称である。"Mobile Connect for Windows 8.1 User Guide" によれば、Windows 8.1 Product Support ということで以下を サポ−トしている。最初からインスト−ルされている、最新版は Windows Update で入る。 Windows 8.1 32-bit(win32/x86) Windows 8.1 64-bit(x64) Windows 8.1 RT(ARM) NECの Windows 8.1 タブレットを試した際、あらかじめ Camail VPN Connection が入 っていた。このようにあらかじめ入っているのはロ−カル認証しか対応してないらしい。 iOS と Android 用は Mobile Connect アプリという名前である。 フルトンネルが利用で きる。フルネ−ムは Dell SonicWALL Mobile Connect という。 Connect Mobile は Windows モバイル用のOS。 SRA EX6000 ではオプション扱いでだい ぶ前からある小型の Window パソコン。Windows 8 とは異なるものである。 Android の携帯端末でトンネルモ−ド接続してみた。業者さんのでやってもらい操作を見 せてもらった。画面が小さくて使いずらい。タブレットならそこそこ使えるのかも。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ * Camail にはいろんな名称のがあって混乱する Camail Connect ソフトの名前。Windows 用のクライアント。 Camail WorkPlace ソフトの名前かWeb画面の名前なのか。 Camail Connect Mobile ソフトの名前。Mobile Connect とは別物。 Camail Smart Tuuneling 機能の名前。これは特許出願中とのこと。 Camail Secure Desktop(ASD) 機能の名前。これはじきに無くなるとの話。 装置に http アクセスして WorkPlace 画面に入って、"Install Connect Tunnel" をクリ ックすると、こんな画面がでてくる。Smart Tuuneling は技術の名称だと分かる。 ------------------------------------------------------------------------------ |ソフトウェアのインスト−ル |----------------------------------------------------------------------------- | Camail Connect | | Smart Tunneling 技術を搭載した Camail Connect はネットワ−ク上のリソ−スに | シ−ムレスなアクセスを提供します。Camail Connect は Windows 8,7,Vista また | は XP,Mac OS X、および Linux の各システムで使用でき、インスト−ルするには | 管理者としてログインするか、管理者権限が必要です。 | | ファイルサイズ: 1756672 [インスト−ル] | バ−ジョン : 10.7.1.237 ------------------------------------------------------------------------------ デル社には似たような名称の製品があって非常に紛らわしい。 Aventail 社は SonicWALL 社に買収されて、さらに SonicWALL 社はデル社に買収されたというややこしい経緯あり。 ・FireWall/UTM 製品用で GVC - Global VPN Client ・SSLVPN 製品用で NetExtender, OnDemand, OnDemand Tuunel, Connect Tuunel * 管理画面からクライアントソフトのダウンロ−ド [User Access]->[Agent Configuration] 装置のバ−ジョン 10.7.1 ------------------------------------------------------------ |Client Installation Packages | | Connet Tuunel client | @Windows [x86 ▽] [Japanese ▽] Download << ダウンロ−ド。 | §Mac [10.6 and later ▽] Download | ☆Linux [x86 ▽] Download | | Connect Mobile client | Click the following link to download the Connect Mobile client. | ★Windows Mobile | | Connect Tuunel Service | Windows サ−バ間のアプリケ−ション同士のトンネルを張る、そんな説明あり。 | @Windows Server [x64 ▽] [English ▽] Download ------------------------------------------------------------ この時点で Windows 用のソフトをダウンロ−ドしたら ngsetup_ja.exe 1,785 KB だった。 Windows 7 にインスト−ルして実行したら 3.63MB、10.71.237 が入った。 "Connect Tuunel Service" はお互いの Windows サ−バにここでダウンロ−ドしたソフト を入れれば、手動でソフトを起動しなくても、トンネルを張って通信できるとか。 * シングルサインオンの検討みたいなことで見た [Resources]->{Resources} でアクセスできるサ−バを定義する。 ここではメ−ルストア が定義されているとする。Webメ−ルにアクセスする、その際のアカウントをシングル サインオンできないか。Webのアプリケ−ションに適用できるらしいから、多分できる。 実際どういう設定をしたらいいかまでは検討してない。ファイル共有には利用できない。 Edit Resource - Host Name or IP Address -------------------------------------------------------- | Create or modify a resource. | | | | Name:* Description: | | [メ−ルストア ] [ ] | | | | Host name or IP address:* | | [192.168.1.1 ] [ (-){variable} ] | | | | ---------------------------------------------------- | | |Advanced | | | | | | | | Web application profiles determin single sign-on | | | | capabilities and content translation options. | | | | | | | | Web application profile: | | | | [Default ▽] [ View selected profile ] | | << 選択する所で None, | ---------------------------------------------------- | WorkPlace, Domino, | | SharePoint 等あり。 | [ Save ][ Cancel ] | -------------------------------------------------------- View Web Application Profile ---------------------------------------------------------------------- | Profile Name: Default | | Decsription: Most sites without NTLM/Basic-Auth single sign-on | | | | Single sign-on ------------------------ | | Forward each user's individual username and password: false | | Forward static credentials: false | | Username: | | Password: | | | | Enable Kerberos single sign-on false | | Realm: | | | | Content Translation | | | | | [ Close ] | ---------------------------------------------------------------------- * Cobalt Qube3 にデバイスIDを調べるソフトを http://support.software.dell.com/ 内にあるソフト。存りかを業者さんに教えてもらっ てダウンロ−ドする。取ってきた deviceid.jar、deviceid.ver、test.html を Qube3 に ほうりこむ。Webサ−バのコンテンツとして入れるみたいである。パソコンで解凍した フォルダ内で test.html をクリックしてもだめじゃないのか。 結果的にどちらもブラウ ザでエラ−が出てちゃんと機能しなかった。Apache サ−バの状態は問題になるのか?。 http://192.168.1.99:444/ admin,admin << 管理画面へのアクセスは JavaScript と Cookie を受け付けるようにする。 $ telnet 192.168.1.99; $ su - # hostname # cat /etc/nsswitch.conf ns0.nix.co.jj hosts: files dns /etc/httpd/conf/httpd.conf /etc/httpd/conf/srm.conf -------------------------- ------------------------- |Port 80 |#DocumentRoot /home/groups/home/web |User httpd |DocumentRoot /home/temp << ここに中身を入れる。 |Group httpd |ServerRoot /etc/httpd # ps -ax | grep httpd ... /usr/sbin/ahttpd -f /etc/admserv/conf/httpd.conf ... /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf # ls /home/temp ftpコマンドでは admin,admin で "/home/users/admin" に入る。 111.txt 222.txt /home/temp/ 内に上のファイルを入れたとする。http://192.168.1.99 とアクセスすれば、 これらのファイル名が出てくる。deviceid.jar、deviceid.ver、test.html を入れてみる。 Windows 7 パソコンからアクセスしてみた。http://192.168.1.99 に、test.html をクリ ックして。Java の環境が最新でないとでてきた、インスト−ルしてみた、 ものの10秒 位で終わった。それでうまく行くのかと思いきや、アプリケ−ションがブロックされまし た、とちいさな画面がでた。セキュリティ設定により期限切れかまだ有効でない証明書う んぬんとも出てきた。ん−、どうすればいいか分からない。 * IEブラウザのプロキシ設定のこと << これはもう一度動作確認のこと >> Windows XP でのことで。 ブラウザの [ツ−ル]->[インタ−ネットオプション] のメニュ −の [接続]->[LANの設定] にて。ブラウザでプロキシの設定をしていても SSL-VPN 接続 では無視されるということが分かった。"次で始まるアドレスにはプロキシを使用しない" という例外も関係ない。IEブラウザには注意書きは出てはいるが、気に留めてなかった。 -- プロキシサ−バ− ------------------------------------- | 〆LANにプロキシサ−バ−を使用する(これらの設定は | | ダイアルアップまたはVPN接続には適用されません) | | | | アドレス:[192.168.1.5 ] ポ−ト:[80 ] [詳細設定] | | | | □ロ−カルアドレスにはプロキシ サ−バ−を使用しない | --------------------------------------------------------- [詳細設定] クリックして。 -- 例外 --------------------------------------- | | | 次で始まるアドレスにはプロキシを使用しない | | -------------------------------------- | | |192.168.*.*;1.1.1.* | | | -------------------------------------- | ----------------------------------------------- 画面の {マイ ネットワ−ク} アイコンをマウス右クリックで {プロパティ}。 ------------------------------------------------------ |ネットワ−ク接続 | |----------------------------------------------------| | LANまたは高速インタ−ネット | | ロ−カルエリア接続 ワイヤレス ネットワ−ク接続 | | 接続 無効 | | へのもへEther へのもへWireless | | | | ダイヤルアップ接続 | | Adapter VPN Connection | | 切断 | | Aventail VPN Adapter | ------------------------------------------------------ このパソコンのIEブラウザからは直接、インタ−ネットのホ−ムペ−ジにアクセスして いる。 このパソコンの DOS窓から windump コマンドを叩いてパケットの様子をみてみた。 SSL-VPN 接続は、実はダイヤルアップ接続であるということ。これまで FirePass でもこ のようにダイヤルアップ接続に名前がでていたことは気付いていたが、ふ−ん変なのとち ょっと思った程度であまり気に留めなかった。SSL-VPN 装置で登録した所だけに行けるの か、いやどこでも行ける。ここら辺りの挙動は初めて分かったといえるかも知れない。プ ロキシの扱いは奥が深い。SSL-VPN 装置の設定でプロキシ指定するのがある、ひょっとす ると改めてブラウザでプロキシ利用する設定なのではないか。 * IEのプロキシ有り無しの挙動をしつこく調べる `2f/02/m -------------------------------------------------------------------------------- パソコンは社内のネットワ−クにあって、ブラウザのIEではプロキシサ−バを指定して いるという状態でのこと。"Camail VPN Connection" で Camail に接続すると、IEのプ ロキシサ−バの設定が無くなり pac スクリプトができていたという話。 おかしな挙動を するものだと思っていた。数日して同じ操作をしたらIEのプロキシサ−バの設定は変わ らなかった。Camail装置は2台あるので、両者でも挙動を確認してのこと。ファ−ムウェ アは同じままだし、Camailの設定は少しいじったが関係するとは思えない。どういうこと。 -------------------------------------------------------------------------------- IEのプロキシ設定をやった。[ツ−ル]->[インタ−ネット オプション]->[接続] 画面の [LANの設定] にて。自動構成は2つともチェックなし。{プロキシ サ−バ−} の設定のと ころでIPアドレス記載、"□ロ−カルアドレスにはプロキシサ−バ−を使用しない"。 ↓ "Camail VPN Connection" を接続した。IEのプロキシ設定を見たら、プロキシは無しの 設定になり、"〆自動構成スクリプトを使用する、アドレス:file///xxx/ユ−ザ名/Camail VPN Connection.pac pac" となっていた。pac スクリプトが使用されることになっていた。 ↓ "Camail VPN Connection(CVC)"を切断した。IEのプロキシ設定を見たら初めのプロキシ 有り自動構成チェック無しの状態に戻っていた。結局 CVPC の [接続] にはIEのプロキ シ設定は関係しない、[プロパティを変更する] はIEのプロキシ設定は見るということ。 [ pac スクリプトの挙動その1 ] "Camail VPN Connection" の [プロパティ] はプロキシサ−バとどう関係するか。pac ス クリプトいつのものか、以下単に pac と呼ぶ。Camail 装置でプロキシサ−バの指定はし たか。pac のファイルの中身を見た。最初のところにどうもIEのプロキシ設定と同じ内 容のがあった。最後のところには Camail 装置で定義した社内のサ−バなんかが列挙され ていた。IEのプロキシ設定の値を変えてみたり空白にしてみたりして、pac スクリプト の内容が変わるか見たが、どうも連動しているようには見えない。pac の更新日時は昨日 のままで変わらなかった。Camail 装置の設定を変えたら連動するのか。Camail 装置にプ ロキシサ−バを指定するところはないし。どうも挙動が掴み切れない。検討は明日に続く。 [ pac スクリプトの挙動その2 ] CVC の [プロパティ] でログイングル−プを変更する際、Camail装置にはIEのプロキシ 設定をみている。CVC のログイン画面でアカウント入れて Camail 装置にアクセスする際 もIEのプロキシ設定をみている。CVC が Camail 装置につながると、IEにプロキシ設 定がされていると pacスクリプトに、今のIEのプロキシ設定の状態を記載する。そして IEのプロキシ設定を無しにする。CVC を切断すると記録しておいたプロキシ設定を元に 戻すという動作をするようである。IEにプロキシ設定がないと pacスクリプトはできな い。プロキシ設定がある場合、[詳細設定] では "Secure" をみる、"HTTP" ではない。試 しに HTTP のIPアドレスを適当なのに変えたら pac スクリプトにも反映されていた。 * リモ−トアクセスの独自認証 `2f/04/s たいがいのメ−カの SSL-VPN装置には認証機能にプロセスチェックというのがある。これ を利用して独自の認証をやってみるのはどうか。 Visual Basic でプログラムを作り、そ れを該当パソコンにインスト−ルして稼働させるというのが基本である。そのプロセスが 動いているかを SSL-VPN 装置のプロセスチェックで確認する。 これだとそのプログラム さえあれば、どのパソコンでも良しとなる。これは特定ファイルの存在チェックでも同じ で、利用パソコンの固定はできない。自前でプログラムを記述するなら、何とでもやれる。 プログラムを起動する際にパスワ−ドを入れる、このパスワ−ドは日付と関連して変わる ものにするとか。パソコンのMACアドレスもチェックするとか。プログラムを起動する ことにより特定ファイルを生成するとか。いかようにも複雑にできる。 注.似たようなことを2007年10月に考えていた。"19-1. 改めてユ−ザ認証のいろい ろ" の付録で。その時は SSL-VPN装置のプロセスのチェック機能についてはさらっと流し ただけだった。今回の提案方法ではプロセスチェックを利用するのがアイデアの元になっ ている。以上のことを考える前に Camail のユ−ザ認証に Gmail を OTP に利用するアイ デアを思いついたが、グロ−バルで利用できないのが難点だなと思った。 Gmail は 中国 では Google 共に規制されている。 Gmail なら SSL-VPN 接続しながらでも通常のインタ −ネット接続の方でWebメ−ルでメ−ルを取得できる。中国でも有償のVPNサ−ビス なるものを利用し、トンネル経由で Gmail を使えばOKとか。Camail でユ−ザのアカウ ントは装置登録を全員利用して、Gmail のメ−ルアドレスを OTP にする必要がある。 * Camail の利用者の状況を知りたい `2g/01/s [Monitoring]->[User Sessions]->{User Sessions} に誰が利用している最中か出てくる がすぐに消えてしまう。いつ誰が Active Directory で認証されたのか、あるいは装置内 の登録情報で認証されたのか等を知りたい。Camailではログを syslog の仕組みで他のマ シンに送ることができる。このことは以前から知っていた。他にログを残すやり方がない か、例えばコマンドでログを残す期間なりサイズなりを変えることができないか。Camail のデルのサポ−トに聞いてみたがそのような方法はなかった。仕方ないので syslog の設 定をやってみることにした。ずっと前に Windows 用のフリ−ソフト Kiwi Syslog Daemon を試したことがある。まだこのソフトはあったが何や登録が必要とかで、とりあえず手元 の Apollo の syslogd デ−モンでやってみることにした。 Camail 2号機はDMZに設置、管理用IPアドレスは 192.168.2.10。システムログを送 る相手マシンは社内LANにある Apollo コンピュ−タ、ホスト名 node_1234、ディスク レス機、IPアドレスは 192.168.1.99 としようか。FireWall の設定、ポリシ−のDMZ-> LAN で "192.168.2.10 node_1234 SYSLOG"。DMZの Camail から syslog のパケット が社内LANの Apollo に行くようにする。Camail の設定、[Monitoring]->[Logging]-> {Configure Logging} 画面の "Syslog configuration" にて Server #1:[192.168.1.99 ]、 Port:[514 ]、protocol:[UDP ▽]。 [Save] して [Pending changes] やって装置に設定 を反映させた。これで以下の操作で Camail から Apollo にログがやってきた。ログが一 杯出てきた。必要なログだけにできないか Camail の設定をいじってみないといけない。 Camail のクライアントのパソコンは社内LANにあって 192.168.1.20 とする。 一回だ け adp-win でユ−ザ名 tarouh で Camail にログインしてログ吐き出しの様子をみた。 $ wd /usr/adm << この時 tarouh でログイン中。マシンはディスクレス機。 $ ld Directory "/sys/node_data.1234/system_logs": X0msgs dm_error_log nfs_error_log proc_dump sys_error_log $ crf syslog << ファイル名は /etc/syslog.conf の中で指定するのを。 $ /etc/syslogd & << pst で見てもできてなかった。一般ユ−ザではだめか。 $ login << root でログインした。 $ /usr/ucb/vi /etc/syslog.conf /etc/syslog.conf $ /etc/syslogd & --------------------------- |*.debug /usr/adm/syslog $ pst ------------------------------------------------------------ Node: 1234 Time: Saturday, December 11, 1999 6:07:17 am (JST) ------------------------------------------------------------ Processor | PRIORITY | Program | State | Process Name Time (sec)| mn/cu/mx | Counter | | ------------------------------------------------------------ 936005.346 -- -- -- -------- ----- 1264.954 -- -- -- -------- ----- Apolloのディスクレス 14.834 16/16/16 7608A494 Wait init 機では、こんなような 165.032 16/16/16 7608A36E Wait display_manager プロセスが走っている。 2041.009 3/14/14 7608A36E Wait tcpd 0.089 3/14/14 Ready uid = 8F17A9AA.B001234 (pst) 0.211 3/14/14 7608A36E Wait uid = 8F17A980.9001234 (syslogd) $ /usr/ucb/tail /usr/adm/syslog Dec 11 06:20:23 syslogd: restart Jan 5 11:46:14 192.168.2.10 ssl2 servicemgr: Stopping service: id = helpdesk Jan 5 11:46:14 192.168.2.10 ssl2 servicemgr: libacp:pid=3984:atfork:renicing Jan 5 11:46:14 192.168.2.10 ssl2 servicemgr: libacp:pid=3985:atfork:renicing Jan 5 11:46:14 192.168.2.10 ssl2 syslog-ng[3982]: Syslog connection accepted; Jan 5 11:46:14 192.168.2.10 127.0.0.1 AMC: 2016-01-05 11:46:14 +0900 INFO ... $ sigp -uid 8F17A980.9001234 -s $ wd /usr/adm $ catf /usr/adm/syslog << これらやろうとしても "object is in use" と出てで $ cpf syslog temp1 きない。tail コマンドで見るしかないか。 $ /bin/csh これが一人のログイン、ログアウトのログ Ctrl+q で抜ける # /usr/ucb/tail -f /usr/adm/syslog | grep adp-win Jan 5 12:15:21 192.168.2.10 ssl2 logserver: [05/Jan/2016:12:15:21.188272 +0900] ssl2 002079 ps 40000105 Info Session Session Start: '(tarouh)@(adp-win ) (CN=tarouh,OU=Users,DC=ad1,DC=nix,DC=local)', authenticated. Jan 5 12:15:21 192.168.2.10 ssl2 logserver: [05/Jan/2016:12:15:21.376630 +0900] ssl2 002079 ps 40000105 Info Policy EPC Zone 'WinAdDev' matches Client Profile 'Win-Ad-Device' for user '(tarouh)@(adp-win ) (CN=tarouh,OU=Users, DC=ad1,DC=nix,DC=local)'. | この間、似たようなのが41個あった。 Jan 5 12:15:56 192.168.2.10 ssl2 logserver: [05/Jan/2016:12:15:56.168610 +0900] ssl2 000000 kt 00000000 Info Audit Src='[::ffff:192.168.1.20]:49906' Auth='-' User='(tarouh)@(adp-win ) (CN=tarouh,OU=Users,DC=ad1,DC=nix, DC=local)' SocksVersion='0x101' Command='Tunnel' ... スマ−トデバイスからアクセスしてきたログだけを見てみたいとすると、上の tail コマ ンドで grep adp-smd とやれば出てくる。しかし一人分だけのログでも40個以上でてき てしまう。もっとフィルタリングを掛けて少なく見やすくしないといけない。 [Monitoring]->[Logging]->{Configure Logging} でログの吐き出しレベルを変更できる。 Web proxy, Network tunnel, Management は Info に皆なっている。Web proxy, Network tunnel は Fatal, Error, Warning があるのでこれらにすれば、ログは少なくなるでない か。試してみないと分からない。しかし syslog でのログの取得は面倒だし、なかなか所 望のデ−タを抜き出すのはこれもまた面倒であることには違いない。 Camail装置内には幾つかのログのファイルが溜められている。ユ−ザのアクセスの状況は 3つのログに残るようである。[Monitoring]->[Logging]->{View Logs} の画面でログの 内容を見ることができる。 System message log, Network tunnel audit log, Web proxy audit log。"Log file:[Web proxy audit log ▽] Show last:[100 ▽] messages" にて "Search for:[adp-smd ]" とキ−ワ−ドを入れて [ Export ] をクリックした。 D:\Users\tarouh\Downloads\webaudit(2).csv と言うファイルが吐き出された。 adp-smd 文字列に合致したログ部分が100列出てきた。"Show last:[1000 ] messages"にしたら 1000列出た。ファイル名は webaudit(3).csv。最初に Camail の設定を開始してから のがずっと残っていた。これでいい。syslog を使わなくてもこれで十分である。 * Windows 10 用の SSL-VPN クライアントソフト `2g/04 Windows 10 では Microsoftストアから SonicWALL Mobile Connect(SMC) をインスト−ル して Aventail(Camail) にトンネル接続ができる。SMC が Windows 10 に対応したという アナウンスが 2016/03/23。Dell SonicWALL の検証で 10.7.2,11.2.0 ベ−スの Ondemand Tunnel、Connect Tunnel、Mobile Connect エ−ジェントの正常動作を確認したアナウン スもあり。Windows 10 の Surface に Camail装置から Aventail VPN Connection をダウ ンロ−ドして、ウィザ−ドでログイングル−プのリストを取って来なくて設定を諦めた。 やっこらせ Microsoftストアからアプリをダウンロ−ドしてインスト−ルした。アイコン は画面に出ていないし。左下のところから見ていくと確かに "最近追加されたもの" には 有るが、クリックしても説明画面が出るのみ。SMC SecureMobile Access Client Version :10.7.0、SonicWALL Aventail E-Class Secure Remote Access(SRA) appliances running 10.5.4 or higher.。[設定]->[ネットワ−クとインタ−ネット]->[VPN] 画面で {VPN接続 を追加する} で Camail の SMC 利用のVPNサ−ビスを自分で作らなければならない。 {VPN接続を追加する} の下に {Camail SSLvpn} と例えば、ここの [接続]をクリックする。 "ネットワ−ク サインイン情報" という画面が出た、英文で確認できないという警告が書 かれていたが、この画面で [次へ] をクリック。前に作ったテスト用のアカウントを入れ た test1。ロ−カルのデ−タ−ス利用、OTP のメ−ルでの認証になっていて、すんなりで きた。ロ−カルDBを OTPを使わないようにしてもできた。 英文の警告は The identity of The VPN server could not be verified due to the follwing certificate issues。 今度は Surface をデバイス認証するようにしてみる。Windowsパソコン用でデバイスID を装置登録の "Device Profile Definition" で Current attributes で Type Equipment ID、Value SOUTI。SOUTI は前に定義したもの中身は Type:LDAP Attribute:mobile。これ で Surface から接続しようとするとログにIDが出た、それを"Local Accounts"のtest1 に記載した。先の英文の警告の画面が出て、次に EndPointControlエラ−という画面も出 た。無視して [次へ]で接続済みになった。Microsoftアカウントなる物が関係している?。 Windows 10 Surface の使い方をちょっと。 アイコンのプロパティを開く [Alt]+[Enter]。 [Alt]+[Space] で小さな画面がでて 移動(M)、矢印で動く。スクリ−ンショットを撮るの は本体左横の音量下のボタンを押しながら画面右横の田を押す、エクスプロ−ラ−を開い て PC のピクチャ内スクリ−ンショット内にできている。VPN接続の {Camail SSLvpn} をアイコンで出したいのだけど、できそうにない。その後、普通の Windows 10 でCamail を入れるのがあった。これはできるというSI業者の弁だったが、できんかった。