シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: AnyConnect Start Before Logon(SBL)の設定

 

 

はじめに

Start Before Logon(SBL)を使うと、Windowsにログオンする前にAnyConnectによるVPN接続が可能です。ログオンに先立ち企業ネットワークにアクセスする必要がある場合に便利な機能です。サポートされている OS は Windows のみとなります。

 

 

前提条件

本記事では、既存のAnyConnectの設定にSBLの機能を追加する方法を説明しています。AnyConnectの基本的な設定方法につきましては、以下のページが参考になります。

https://supportforums.cisco.com/ja/document/11936906 

また、本記事の作成に際し、ASA 9.5(2)、およびAnyConnect 4.2(1035)にて動作の確認を行っております。 

 

 

設定方法

1. Client Profileの設定

ASDM > Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client ProfileにてClient Profileを開き、「Use Start Before Logon」にチェックを入れます。

sbl_client_profile.png

設定後、OK > Apply > Saveとクリックして保存します。

 

2. モジュールの設定

ASDM > Configuration > Remote Access VPN > Network (Client) Access > Group Policiesと進み、Group Policyの設定画面を開きます。Advanced > AnyConnect Client と設定画面を進み、「Optional Client Modules to Download」の Inherit からチェックを外して、プルダウンメニューから 「AnyConnect SBL」を選択します。OKをクリックすると、設定画面に「vpngina」と自動入力されます。

 

設定後、OK > Apply > Saveとクリックして保存します。

 

これらの設定を行った後にAnyConnect接続を行うと、更新されたClient ProfileとSBLのモジュールがWindowsにダウンロードされます。

 

3. CA証明書のインポート

SBLではWindowsにログオンする前にAnyConnectの接続を行うため、ユーザストアの証明書を利用することができません。ASAのサーバ証明書を信頼するために必要なCA証明書は、コンピュータストアにインポートしておく必要があります。

 

mmc > ファイル(F) > スナップインの追加と削除(A) > 証明書 にて「コンピュータアカウント(C)」を追加し、「信頼されたルート証明機関」にCA証明書をインポートします。

 

sbl_mmc.png

 

 

証明書認証を行っている場合は、Client証明書もコンピュータストアの「個人」にインポートします。

 

 

利用方法

Windows起動時に、画面右下の「ネットワーク サインイン」アイコンをクリックするとAnyConnectが起動しますので、Windowsログオン前にAnyConnectの接続が可能です。

sbl_windows_1.png

 
 

sbl_windows_2.png

 

 

注意事項

 

Windows 10では、AnyConnect 3.1(13015)以降、AnyConnect 4.2(1035)以降でSBLをご利用いただけます。

参考: CSCuv74296 VPN: SBL does not work on Windows 10
https://tools.cisco.com/bugsearch/bug/CSCuv74296/

 

ASAのサーバ証明書が信頼できないとSBLでの接続ができませんので、ASAに設定されている証明書に問題がないこと (サーバ証明書が信頼できない旨の警告メッセージが表示されずにAnyConnect接続ができること) を予めご確認ください。サーバ証明書の設定方法につきましては、以下のページが参考になります。

https://supportforums.cisco.com/ja/document/12019906

 

SBLの設定がある場合、Windowsログオン後は「コンピュータストア」の証明書をAnyConnectが参照できなくなります。Windowsログオン後にAnyConnect接続を行う必要がある場合は、「ユーザストア」にも必要な証明書をインストールしておくか、Client Profileで「certificate store override」を有効にしておく必要があります。

参考: CSCux42228 With SBL, AnyConnect cannot use a machine cert after Windows logon
https://tools.cisco.com/bugsearch/bug/CSCux42228/

 

 

参考資料

Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.2
http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect42/b_AnyConnect_Administrator_Guide_4-2/configure-vpn.html#topic_730AB339EAD0419CA6F0F398ACB77E9E

 

 

1874
閲覧回数
5
いいね!
0
コメント