こんにちは
ハードウェア:ASA5540, ASA5515X、OS:9.1(6)上で、AnyConnect 3.1を使ったSSL-VPNサービスをエンドユーザに提供している者です。
既に使用しているGroup Policyに対応したClient Profileの設定を一部変更したいと思います。
設定個所はUser Preferenceで設定できる項目(チェックを入れたり外したりできる項目)以外のものです。
ASDMからASA内部のClient Profileを変更することは容易です。
しかし、変更後にクライアントPCから接続してきた際に、ASA→クライアントPCへのClient Profile上書きの際に問題が発生します。
上書きが問題なくできる場合もありますが、File Move Errorが出る場合の方が多いようです。
Client Profileの安全な上書き方法はありますでしょうか?
---------------------------------------------------------------------
現時点で私が思いつく方法
以下の2つがあるのですが、いずれも、使用できない/使用は可能だが難ありというところです。
1.PCからClient Profileを1回手動で削除する方法
PCからClient Profileを削除(C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile配下のxmlファイル)
→アプリケーション/サービス/PCを再起動
→AnyConnectで接続
→更新されたClient ProfileがPCにダウンロードされる
→次回からは、そのClient Profileで接続できる。
問題点
ユーザ数が少ない/ユーザが近くにいてサポートしやすいのであれば、この方法でいいのですが、
私がサービスを提供しているエンドユーザには実施できない方法です。
2.新しいClient Profileを作成する方法
新しいClient Profileを別名で作成して、Group Policyに紐づける。
元のClient ProfileはASAから削除しないにしろ、Group Policyとの紐づけは解除する。
問題点
ASAでの変更作業後の接続時に、ASA→PCに新しいClient Profileがダウンロードされます。
Client Profileの名前を変えているためFile Move Errorは出なくなります。
その代わり、同じ接続先([ASAのホスト名]+[Group URL])に対する、異なる2つのClient Profileが存在することになります。
新旧のClient ProfileでHost Name(AnyConnectのアプリケーションで表示される接続先の名称)を同じにすると
新旧のClient Profileのいずれが使用されるかが保証されなくなります。
(試してみるとClient Profileのファイル名の若い方が選択されるようですが、それに頼るのも危ない気がします。
また、ファイル名を変えるために末尾に_01とかつけるとファイル名が老番となり、結果的に選択されなくなります。)
新旧のClient ProfileでHost Nameを別にすると、ユーザには接続先が1つ増えたように見えます。
ユーザには混乱の元となるので、これは避けたいです。
安全なClient Profileの上書き方法、またはユーザの手を煩わせずに古いClient Profileを削除する方法はありますでしょうか?
(古いClient Profileを削除するときファイル名の指定をする必要はなく、「そのPCのClient Profileをすべて削除」という指定ができればOKです)
よろしくお願いします。