購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
14540
閲覧回数
10
いいね!
0
コメント

ASA: AnyConnect Start Before Logon(SBL)の設定

Masaki Yamauchi
Cisco Employee
Cisco Employee

‎2016-01-26 08:49 PM ‎2017-08-30 11:17 PM 更新

 

 

はじめに

Start Before Logon(SBL)を使うと、Windowsにログオンする前にAnyConnectによるVPN接続が可能です。ログオンに先立ち企業ネットワークにアクセスする必要がある場合に便利な機能です。サポートされている OS は Windows のみとなります。

 

 

前提条件

本記事では、既存のAnyConnectの設定にSBLの機能を追加する方法を説明しています。AnyConnectの基本的な設定方法につきましては、以下のページが参考になります。

https://supportforums.cisco.com/ja/document/11936906 

また、本記事の作成に際し、ASA 9.5(2)、およびAnyConnect 4.2(1035)にて動作の確認を行っております。 

 

 

設定方法

1. Client Profileの設定

ASDM > Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client ProfileにてClient Profileを開き、「Use Start Before Logon」にチェックを入れます。

sbl_client_profile.png

設定後、OK > Apply > Saveとクリックして保存します。

 

2. モジュールの設定

ASDM > Configuration > Remote Access VPN > Network (Client) Access > Group Policiesと進み、Group Policyの設定画面を開きます。Advanced > AnyConnect Client と設定画面を進み、「Optional Client Modules to Download」の Inherit からチェックを外して、プルダウンメニューから 「AnyConnect SBL」を選択します。OKをクリックすると、設定画面に「vpngina」と自動入力されます。

 

設定後、OK > Apply > Saveとクリックして保存します。

 

これらの設定を行った後にAnyConnect接続を行うと、更新されたClient ProfileとSBLのモジュールがWindowsにダウンロードされます。

 

3. CA証明書のインポート

SBLではWindowsにログオンする前にAnyConnectの接続を行うため、ユーザストアの証明書を利用することができません。ASAのサーバ証明書を信頼するために必要なCA証明書は、コンピュータストアにインポートしておく必要があります。

 

mmc > ファイル(F) > スナップインの追加と削除(A) > 証明書 にて「コンピュータアカウント(C)」を追加し、「信頼されたルート証明機関」にCA証明書をインポートします。

 

sbl_mmc.png

 

 

証明書認証を行っている場合は、Client証明書もコンピュータストアの「個人」にインポートします。

 

 

利用方法

Windows起動時に、画面右下の「ネットワーク サインイン」アイコンをクリックするとAnyConnectが起動しますので、Windowsログオン前にAnyConnectの接続が可能です。

sbl_windows_1.png

 
 

sbl_windows_2.png

 

 

注意事項

 

Windows 10では、AnyConnect 3.1(13015)以降、AnyConnect 4.2(1035)以降でSBLをご利用いただけます。

参考: CSCuv74296 VPN: SBL does not work on Windows 10
https://tools.cisco.com/bugsearch/bug/CSCuv74296/

 

ASAのサーバ証明書が信頼できないとSBLでの接続ができませんので、ASAに設定されている証明書に問題がないこと (サーバ証明書が信頼できない旨の警告メッセージが表示されずにAnyConnect接続ができること) を予めご確認ください。サーバ証明書の設定方法につきましては、以下のページが参考になります。

https://supportforums.cisco.com/ja/document/12019906

 

SBLの設定がある場合、Windowsログオン後は「コンピュータストア」の証明書をAnyConnectが参照できなくなります。Windowsログオン後にAnyConnect接続を行う必要がある場合は、「ユーザストア」にも必要な証明書をインストールしておくか、Client Profileで「certificate store override」を有効にしておく必要があります。

参考: CSCux42228 With SBL, AnyConnect cannot use a machine cert after Windows logon
https://tools.cisco.com/bugsearch/bug/CSCux42228/

 

 

参考資料

Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.2
http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect42/b_AnyConnect_Administrator_Guide_4-2/configure-vpn.html#topic_730AB339EAD0419CA6F0F398ACB77E9E

 

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents