常時オン
NetScaler Gateway の常時接続機能により、ユーザーは常にエンタープライズネットワークに接続できます。この永続的な VPN 接続は、VPN トンネルの自動確立によって実現されます。
注
常時オン機能は、NetScaler ADC 12.0ビルド51.24以降のキャプティブポータルをサポートします。
Always On をいつ使用するのか
ユーザーの位置情報に基づいてシームレスな VPN 接続を提供し、VPN に接続していないユーザーによるネットワークアクセスを防止する必要がある場合は、Always On を使用します。
次のシナリオは、Always On の使用方法を示しています。
- 従業員がエンタープライズネットワークの外部でノートパソコンを起動し、VPN 接続を確立するための支援を必要としています。 解決方法: ラップトップが企業ネットワークの外部で起動されると、Always On はシームレスにトンネルを確立し、VPN 接続を提供します。
- VPN 接続を使用している従業員は、エンタープライズネットワークに移動します。従業員は企業ネットワークに切り替えられますが、VPN トンネルへの接続は維持されますが、これは望ましい状態ではありません。 解決方法: 従業員が企業ネットワークに移動すると、Always On は VPN トンネルを切断し、従業員をエンタープライズネットワークにシームレスに切り替えます。
- 従業員が企業ネットワークの外に移動して、ラップトップを閉じる(シャットダウンしない)。従業員は、ノートパソコンでの作業を再開する際に VPN 接続を確立するための支援を必要としています。 解決策:従業員が企業ネットワークの外に移動しても、Always Onはシームレスにトンネルを確立し、VPN接続を提供します。
- 企業は、VPN トンネルに接続していないときにユーザに提供されるネットワークアクセスを規制したいと考えています。 解決方法: 構成に応じて、Always On はアクセスを制限し、ユーザーはゲートウェイネットワークにのみアクセスできるようにします。
Always On フレームワークを理解する
Always On は、クライアントが以前に確立した VPN トンネルにユーザを自動的に接続します。ユーザーがVPNトンネルを初めて必要とするときは、ユーザーはNetScaler Gateway URLに接続してトンネルを確立する必要があります。Always On 設定がクライアントにダウンロードされた後、この設定によって後続のトンネルの確立が推進されます。
NetScaler Gateway クライアント実行可能ファイルは、常にクライアントマシン上で実行されています。ユーザーがログオンするかネットワークが変更されると、NetScaler Gateway クライアントは、ユーザーのラップトップがエンタープライズネットワーク上にあるかどうかを判断します。場所と構成に応じて、NetScaler Gateway クライアントはトンネルを確立するか、既存のトンネルを切断します。
トンネルの確立は、ユーザーがコンピュータにログオンした後にのみ開始されます。NetScaler Gateway クライアントは、クライアントマシンの資格情報を使用してGatewayサーバーとの認証を行い、トンネルの確立を試みます。
トンネルの自動再確立
トンネルの自動再確立は、NetScaler Gateway によってVPNトンネルが切断されたときにトリガーされます。
注
エンドポイント分析の失敗では、NetScaler Gateway クライアントはトンネルの確立を再試行しませんが、エラーメッセージを表示します。認証に失敗した場合、NetScaler Gateway クライアントはユーザーに資格情報の入力を求めます。
シームレストンネル確立でサポートされるユーザ認証方式
サポートされているユーザー認証方法は次のとおりです。
- ユーザー名+ ADパスワード:Windowsユーザー名とパスワードが認証に使用される場合、NetScaler Gateway クライアントはこれらの資格情報を使用してトンネルをシームレスに確立します。
- ユーザー証明書:ユーザー証明書が認証に使用され、マシン上に証明書が1つしかない場合、NetScaler Gateway クライアントはこの証明書を使用してトンネルをシームレスに確立します。複数のクライアント証明書がインストールされている場合は、ユーザが優先証明書を選択した後にトンネルが確立されます。NetScaler Gateway クライアントは、次に確立されたトンネルにこの設定を使用します。
- ユーザー証明書とユーザー名 + AD パスワード:この認証方法は、前述の認証方法を組み合わせたものです。
注
他のすべての認証メカニズムはサポートされますが、トンネルの確立は他の認証方式に対してシームレスではありません。その他すべての認証方法では、ユーザーの介入が必要です。
Always On の設定要件
エンタープライズ管理者は、管理対象デバイスに対して次のことを強制する必要があります。
- ユーザーは、特定の構成のプロセス/サービスを終了できないようにする必要があります。
- 特定の構成では、ユーザーがパッケージをアンインストールできないようにする必要があります。
- ユーザーは特定のレジストリエントリを変更できないようにする
注
管理対象外のデバイスの場合のように、ユーザに管理特権がある場合、この機能が期待どおりに動作しない可能性があります。
常時オン機能を有効にする際の考慮事項
Always On 機能を有効にする前に、次のセクションを確認してください。
プライマリネットワークアクセス:トンネルが確立されると、企業ネットワークへのトラフィックは分割トンネル設定に基づいて決定されます。この動作をオーバーライドするための追加設定は提供されていません。
クライアントマシンのプロキシ設定:クライアントマシンのプロキシ設定は、ゲートウェイサーバーへの接続時に無視されます。
注
NetScaler ADCアプライアンスのプロキシ構成は無視されません。クライアントマシンのプロキシ設定のみが無視されます。システムでプロキシが設定されているユーザには、VPN プラグインがプロキシ設定を無視したことが通知されます。
設定値が「Deny」に設定されている場合、次の変更が適用されます。
- クライアント UI-プラグインのコンテキストメニューおよびプラグイン UI の [ログオフ] および [終了] オプションが無効になります。ユーザはゲートウェイ URL を変更できません。
- ブラウザログオン-別のゲートウェイへのブラウザのログオンは許可されていません。クライアントコントロールは無効です。
常時オンの設定
常時接続を構成するには、NetScaler Gateway アプライアンスで常時接続プロファイルを作成し、プロファイルを適用します。
Always On プロファイルを作成するには:
- NetScaler ADC GUIで、[ 構成]>[NetScaler Gateway >[ポリシー]>[AlwaysOn]に移動します
- 「AlwaysOn プロファイル」ページで、「追加」をクリックします。
- [AlwaysOn プロファイルの作成 ] ページで、次の詳細を入力します:
- 名前 — プロフィールの名前。
-
ロケーションベースVPN— 次の設定のいずれかを選択します:
- リモートを選択すると 、クライアントは企業ネットワーク内にあるかどうかを検出し、企業ネットワーク内にない場合はトンネルを確立できます。これがデフォルトの設定です。
- クライアントの位置に関係なく、位置検出をスキップしてトンネルを確立できる場所はどこにでもあります
- 「クライアント制御 」— 次の設定のいずれかを選択します:
- [拒否] は、ユーザーがログオフして別のゲートウェイに接続できないようにします。これがデフォルトの設定です。
- ユーザーがログオフして別のゲートウェイに接続できるようにします 。
-
VPN 障害時のネットワークアクセス — 次の設定のいずれかを選択します:
- [Full Access ] は、トンネルが確立されていないときに、クライアントとの間でネットワークトラフィックが流れるようにします。これがデフォルトの設定です。
- [ゲートウェイのみ(Only Tto Gateway )] は、トンネルが確立されていないときにネットワークトラフィックがクライアントとの間で流れるのを防ぎます。ただし、ゲートウェイ IP アドレスとの間のトラフィックは許可されます。
- [ 作成 ] をクリックして、プロファイルの作成を終了します。
Always On プロファイルを適用するには:
- NetScaler ADCインターフェイスで、[ 構成]>[NetScaler Gateway]>[グローバル設定]を選択します。
- [グローバル設定] ページで、[ グローバル設定の変更 ] リンクをクリックし、[ クライアントエクスペリエンス ] タブを選択します。
- AlwaysOn プロファイル名ドロップダウンメニューから 、新しく作成したプロファイルを選択し、 OKをクリックします。
注
セッションプロファイルでも同様の設定を行い、グループレベル、サーバレバー、またはユーザレベルでポリシーを適用できます。
IIP に関する注意事項
マシンレベルのトンネルは証明書ベースの認証を使用し、作成されるセッションは証明書の共通名をユーザー名として使用します。そのため、デバイス証明書に一意の共通名がある場合、マシンのセッションごとにユーザー名が異なり、IIPも異なります。一意の名前を持つデバイス証明書を生成するようにしてください。理想的には、デバイス証明書の共通名としてマシン名を使用する必要があります。
管理者ユーザーと管理者以外のユーザーの異なる設定の動作の概要
次の表は、さまざまな設定の動作をまとめたものです。また、Always On 機能に影響する可能性のある特定のユーザーアクションの可能性についても詳しく説明します。
| VPN でのネットワークアクセスの失敗 | クライアントコントロール | 管理者以外のユーザー | 管理者ユーザー |
|---|---|---|---|
fullaccess |
許可 | トンネルは自動的に確立されます。ユーザーはログオフし、ネットワークからオフにできます。ユーザーは別のNetScaler Gateway をポイントすることもできます。 | トンネルは自動的に確立されます。ユーザはログオフし、エンタープライズネットワークから離れることができます。ユーザーは別のNetScaler Gateway をポイントすることもできます。 |
fullaccess |
拒否 | トンネルは自動的に確立されます。ユーザーがログオフしたり、別のNetScaler Gateway をポイントしたりすることはできません。 | トンネルは自動的に確立されます。ユーザーは、NetScaler Gateway クライアントをアンインストールしたり、別のNetScaler Gateway に移動したりできます。 |
| onlyToGateway | 許可 | トンネルは自動的に確立されます。ユーザーはログオフできます (ネットワークアクセスなし)。ユーザーは別のNetScaler Gateway をポイントすることもできます。この場合、アクセスは新しくポイントされたNetScaler Gateway にのみ与えられます。 | トンネルは自動的に確立されます。ユーザーは、NetScaler Gateway クライアントをアンインストールしたり、別のNetScaler Gateway に移動したりできます。 |
| onlyToGateway | 拒否 | トンネルは自動的に確立されます。ユーザーがログオフしたり、別のNetScaler Gateway をポイントしたりすることはできません。 | トンネルは自動的に確立されます。ユーザーは、NetScaler Gateway クライアントをアンインストールしたり、別のNetScaler Gateway に移動したりできます。 |