NetScaler Gateway を使用した高度なクライアントレス VPN アクセス
クライアントレスVPNは、クライアントマシンにVPNクライアントアプリケーションを使用せずに、NetScaler Gateway を介して企業のイントラネットリソースへのリモートアクセスを提供する方法を認識します。クライアントレス VPN は、クライアント側の Web ブラウザを使用して、エンタープライズ Web アプリケーション、ポータル、およびその他のリソースへのリモートアクセスを提供します。 高度なクライアントレス VPN ソリューションにより、クライアントレス VPN に関する次の制限が排除されます。
-
相対 URL は時々識別できません。
-
動的に生成された相対 URL は識別できません。
高度なクライアントレス VPN は、絶対 URL とホスト名を識別し、HTTP-Respones/Web ページに存在する相対 URL を書き換えるのではなく、新しいユニークな方法でそれらを書き換えます。SharePoint では、URL の書き換えに既定のフォルダーを使用する必要がなくなり、カスタム SharePoint アクセスがサポートされます。
前提条件
次に、高度なクライアントレス VPN を設定するための前提条件を示します。
-
ワイルドカードサーバー証明書 -高度なクライアントレス VPN は独自の方法で URL を書き換えます。この一意性は、ユーザーごとのすべての URL で維持されます。たとえば、Web アプリケーションが
https://webapp.customer.comでホストされ 、VPN 仮想サーバがhttps://vpn.customer.comでホストされている場合 、高度なクライアントレス VPN はそれをhttps://cvpneqwerty.vpn.customer.comとして書き換えます。つまり、すべての URL は VPN 仮想サーバーのサブドメインとして書き換えられます。この新しい URL では、cvpneqwertyをhttps://webapp.customer.comに復号化できます。文字列cvpneqwertyは動的であるため、SSL の場合は、ワイルドカード証明書を使用して VPN 仮想サーバをバインドする必要があります。サーバがでホストされている場合
https://vpn.customer.com、サーバ証明書には、証明書 CN または SAN(CN=共通名、SAN= サブジェクト代替名)の一部として(vpn.customer.com および.vpn.customer.com)のエントリが必要です。この証明書をバインドするプロセスは、NetScaler Gateway でも同じです。 注: ワイルドカード証明書は、1 レベル (つまり、 ..customer.com は許可されていません)。すでにワイルドカード証明書(*.customer.com 用)を使用してhttps://vpn.customer.comをホスティングしている場合、これは高度なクライアントレス VPN では機能しません。*.vpn.customer.comで新しい証明書を取得する必要があります。 -
ワイルドカード DNS エントリ -クライアント(Web ブラウザ)は、高度なクライアントレス VPN アプリケーションの FQDN を解決する必要があります。NetScaler Gateway サーバーをセットアップするときに、vpn.customer.comを解決するためにDNSエントリを構成しておく必要があります。これにより、ブラウザは vpn.customer.com を VPN 仮想サーバーの IP アドレスに解決できます。
https://cvpnqwerty.vpn.customer.comのようなURLを同じ IP (VPN) 仮想サーバーの IP アドレスに解決するには、vpn.customer.comのメインの新しいレコードを追加する必要があります。DNS サーバーでドメイン設定を見つけ、以前と同じ IP アドレスを持つ「*」の新しいホストレコードを追加します。ホストレコードを追加したら、https://cpvnanything.vpn.customer.comの正常な ping 応答を確認する必要があります。
高度なクライアントレス VPN アクセスの設定
コマンドラインインターフェイスを使用して高度なクライアントレス VPN アクセスを設定するには、コマンドプロンプトで次のように入力します。
set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->
セッションアクションが仮想サーバにバインドされている場合は、そのセッションアクションに対して高度なクライアントレス VPN モードオプションも有効にする必要があります。
例:
set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->
NetScaler GUIを使用して高度なクライアントレスVPNアクセスを構成するには:
-
NetScaler GUIで、[構成] > [NetScaler] > [グローバル設定] に移動します。
-
「 グローバル設定」ページで、「 グローバル設定の変更」をクリックし、「 クライアントエクスペリエンス 」タブを選択します。
-
[ クライアントエクスペリエンス ] タブの [ クライアントレスアクセス ] リストで、[ オン] をクリックします。
-
[ クライアントエクスペリエンス ] タブの [ 高度なクライアントレス VPN モード ] リストで、[ 有効] をクリックします。 [ 高度なクライアントレスVPNモード ]の一覧から[ STRICT ]を選択すると、NetScaler ADCアプライアンスは従来のクライアントレスVPN形式のStoreFront URLにのみ応答し、他のすべての従来のクライアントレスVPN要求をブロックします。このオプションは、内部 Web リソースを配信するための、アプライアンスのより安全な設定を提供します。
注:
- セッションアクションが仮想サーバーにバインドされている場合は、[ NetScaler Gateway セッションプロファイルの構成 ]ページの[ **クライアントエクスペリエンス]タブから、そのセッションアクションの[高度なクライアントレスVPNモード** ]オプションを有効にする必要があります。
- [ グローバルをオーバーライド ] オプションを選択すると、グローバル設定をオーバーライドできます。
- 高度なクライアントレス VPN 機能は、セッションレベルでも設定できます。
注意事項
高度なクライアントレス VPN は、エンタープライズ Web アプリケーションへのアクセスを提供することを目的としています。このようなアプリには、必要なすべての種類のリソース(JavaScript、CSS、画像など)に対して FQDN が 1 つしかありません。内部アプリケーションの完全な FQDN をシングルオクテット(クライアントレス VPN)にエンコードするため、サブドメインの関係が失われます。その結果、エンタープライズ WebApp を CORS で設定すると、高度なクライアントレス VPN 経由でアクセスする際に問題が発生することがあります。