8.6. Network¶
NetworkではGlobalProtectポータル/ゲートウェイ機能を提供します。FRAサービスを利用する際のVPN接続の設定をGlobalProtectポータル/ゲートウェイで行います。GlobalProtectポータル/ゲートウェイのクライアント認証の変更と認証プロファイルの変更、エージェントコンフィグの追加、変更、削除の手順を以下に記載します。
8.6.1. 注意事項、前提条件¶
- 各変更手順にて注意事項・前提条件をご確認ください。
- 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
- 設定変更後、0系/1系で必ずコミットを実施してください。
- 設定変更後、FRAクライアントソフトを再接続すると設定が反映されます。
8.6.2. 事前に準備いただくもの¶
8.6.3. お申し込みの流れ、全体説明¶
図8.6.3.1. 設定変更の流れ
8.6.4. GlobalProtectポータル 認証の変更をする¶
8.6.4.1. 注意事項、前提条件¶
なし
8.6.4.2. 事前に準備いただくもの¶
なし
8.6.4.3. GlobalProtectポータル 認証の変更手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ポータル]をクリックします。③[GP-Portal]をクリックします。
図8.6.4.3.1 ポータル画面
- ①[認証]をクリックします。②変更対象のクライアント認証をクリックします。
図8.6.4.3.2 GlobalProtectポータルの設定(認証)
- クライアント認証の設定が表示されます。変更内容を入力し[OK]ボタンを押下します。
注釈
- 認証シーケンスを使用する場合は認証プロファイルの一覧に作成した認証シーケンスが表示されます。認証プロファイルの一覧から作成した認証シーケンスを指定します。
図8.6.4.3.3 クライアント認証
| 項番 | 項目 | 設定値 |
| 1 | 認証プロファイル | 認証プロファイルの一覧から変更対象の認証プロファイルをドロップダウンリストから選択します。 |
| 2 | ユーザー資格情報またはクライアント証明書を使用した認証を許可 | クライアント証明書認証を使用する場合は[No]を選択してください。それ以外の場合は[Yes]を選択してください。 |
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.5. GlobalProtectポータル エージェントコンフィグの追加をする¶
8.6.5.1. 注意事項、前提条件¶
- エージェントコンフィグの変更をしたい場合は 8.6.6. GlobalProtectポータル エージェントコンフィグの変更をする を参照してください。
- エージェントコンフィグは上から順に評価されます。
8.6.5.2. 事前に準備いただくもの¶
なし
8.6.5.3. GlobalProtectポータル エージェントコンフィグの追加手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ポータル]をクリックします。③[GP-Portal]をクリックします。
図8.6.5.3.1 ポータル画面
- ①[エージェント]をクリックします。②[GP-client-config]を選択します。③[コピー]をクリックします。
図8.6.5.3.2 GlobalProtectポータルの設定(エージェント)
- ①名前を入力します。②[OK]ボタンを押下します。
図8.6.5.3.3 エージェントの設定
- ①エージェントコンフィグが追加されたことを確認します。②[OK]ボタンを押下します。
図8.6.5.3.4 GlobalProtectポータルの設定(エージェント)追加後
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.6. GlobalProtectポータル エージェントコンフィグの変更をする¶
8.6.6.1. 注意事項、前提条件¶
- GP-client-configの名前は変更しないでください。
- エージェントコンフィグを複数作成されている場合、手順9-1、9-2の設定はすべてのエージェントコンフィグに行ってください。
8.6.6.2. 事前に準備いただくもの¶
なし
8.6.6.3. GlobalProtectポータル エージェントコンフィグの変更手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ポータル]をクリックします。③[GP-Portal]をクリックします。
図8.6.6.3.1 ポータル画面
- ①[エージェント]をクリックします。②変更対象のエージェントをクリックします。
図8.6.6.3.2 エージェント選択
- ①[認証]をクリックします。②以下の項目を設定します。
注釈
- 新しく追加したエージェントコンフィグの名前は変更可能です。
図8.6.6.3.3 エージェント設定(認証)
| 項番 | 項目 | 設定値 |
| 1 | 名前 | 任意の名前を入力します。名前は必須項目です。 |
| 2 | ユーザー認証情報の保存 | ユーザ認証情報を保存するかどうかを設定します。 |
- ①[設定の選択条件]をクリックします。②[ユーザー/ユーザーグループ]をクリックします。③以下の項目を設定します。
注釈
- 認証連携時においてユーザーIDに@を利用している場合、FRAポータルのGlobalProtectのポータル設定において、ユーザーIDを指定した振り分け設定をすることはできません。
図8.6.6.3.4 エージェント設定(設定の選択条件)
| 項番 | 項目 | 設定値 |
| 1 | OS | エージェント設定の適用範囲を設定します。
すべてのOSを対象にする場合は[いずれか]にチェックを入れます。
特定のOSを指定したい場合は[追加]をクリックし対象のOSを選択します。
|
| 2 | ユーザー/ユーザーグループ | エージェント設定の適用範囲を設定します。
すべてのユーザー/ユーザーグループを対象にする場合は[any]を選択します。
特定のユーザー/ユーザーグループを指定したい場合は、[select]を選択後、[追加]をクリックし適用対象にするユーザーまたはユーザーグループを設定します。
|
- 内外判定をしたい場合は以下設定を行います。①[内部]をクリックします。②以下の項目を設定します。
注釈
- 内外判定機能を使用する場合はアプリケーションタブの接続手段でUser-logon(Always on)を指定する必要があります。
図8.6.6.3.5 エージェント設定(内部)
| 項番 | 項目 | 設定値 |
| 1 | 内部ホスト検出 IPv4 | チェックを入れます。 |
| 2 | IPアドレス | 任意のIPアドレスを入力します。逆引きが可能な値を設定する必要があります。 |
| 3 | ホスト名 | 任意のホスト名を入力します。逆引きが可能な値を設定する必要があります。 |
- ①[App]をクリックします。②アプリケーション設定で変更したい項目をクリックします。
図8.6.6.3.6 エージェント設定(アプリケーション)
アプリケーションで設定可能な項目は こちら を参照してください。
注釈
- FRAクライアントソフトの無効化およびアンインストールに関する設定項目において 既知の問題 があります。
- ①[アプリケーション]をクリックします。②以下の項目を設定します。
図8.6.6.3.7 GlobalProtectアプリの無効化/アンインストール
| 項番 | 項目 | 設定値 |
| 1 | パスコード/再入力パスコード | FRAクライアントソフトの無効化を行う際のパスコードを入力します。 |
| 2 | アンインストール用パスワード/再入力アンインストール用パスワード | FRAクライアントソフトのアンインストール時のパスワードを入力します。 |
9-1. Windows端末の場合
①[HIPデータ収集]をクリックします。
②[Windows]をクリックします。
③以下の項目を設定します。
図8.6.6.3.8 エージェント設定(HIPデータ収集/Windows)
| 項番 | 項目 | 設定値 |
| 1 | レジストリキー | 管理対象のレジストリキーを追加します。 |
| 2 | レジストリ値 | 管理対象のレジストリ値を追加します。 |
| 3 | プロセスリスト | エンドポイントで実行中か否かをチェックしたいプロセスを追加します。 |
9-2. Mac端末の場合
①[MAC]をクリックします。
②以下の項目を設定します。
③[OK]ボタンを押下します。
図8.6.6.3.9 エージェント設定(HIPデータ収集/Mac)
| 項番 | 項目 | 設定値 |
| 1 | PLIST | 管理対象のPLISTを追加します。 |
| 2 | キー | 管理対象のキー値を追加します。 |
| 3 | プロセスリスト | エンドポイントで実行中か否かをチェックしたいプロセスを追加します。 |
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.7. GlobalProtectポータル エージェントコンフィグの順序変更をする¶
8.6.7.1. 注意事項、前提条件¶
- エージェントコンフィグは上から順に評価されます。
8.6.7.2. 事前に準備いただくもの¶
なし
8.6.7.3. GlobalProtectポータル エージェントコンフィグの順序変更手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ポータル]をクリックします。③[GP-Portal]をクリックします。
図8.6.7.3.1 ポータル画面
- ①[エージェント]をクリックします。②対象のエージェントコンフィグを選択します。③[上へ]をクリックします。
図8.6.7.3.2 GlobalProtectポータルの設定(エージェント)
- ①対象のエージェントコンフィグが上位に配置されたことを確認します。②[OK]ボタンを押下します。
図8.6.7.3.3 GlobalProtectポータルの設定(エージェント)順序変更後
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.8. GlobalProtectポータル エージェントコンフィグの削除をする¶
8.6.8.1. 注意事項、前提条件¶
- GP-client-configは削除しないでください。
8.6.8.2. 事前に準備いただくもの¶
なし
8.6.8.3. GlobalProtectポータル エージェントコンフィグの削除手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ポータル]をクリックします。③[GP-Portal]をクリックします。
図8.6.8.3.1 ポータル画面
- ①[エージェント]をクリックします。②削除対象のエージェントにチェックを入れます。③[削除]をクリックします。
図8.6.8.3.2 エージェント削除
- 削除が完了すると削除対象のエージェントがエージェントの一覧から消えます。
図8.6.8.3.3 エージェント削除確認
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.9. GlobalProtectゲートウェイ 認証の変更をする¶
8.6.9.1. 注意事項、前提条件¶
なし
8.6.9.2. 事前に準備いただくもの¶
なし
8.6.9.3. GlobalProtectゲートウェイ 認証の変更手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図8.6.9.3.1 ゲートウェイ画面
- ①[認証]をクリックします。②変更対象のクライアント認証をクリックします。
図8.6.9.3.2 GlobalProtectゲートウェイの設定(認証)
- クライアント認証の設定が表示されます。変更内容を入力し[OK]ボタンを押下します。
注釈
- 認証シーケンスを使用する場合は認証プロファイルの一覧に作成した認証シーケンスが表示されます。認証プロファイルの一覧から作成した認証シーケンスを指定します。
図8.6.9.3.3 クライアント認証の設定
| 項番 | 項目 | 設定値 |
| 1 | 認証プロファイル | 認証プロファイルの一覧から変更対象の認証プロファイルをドロップダウンリストから選択します。 |
| 2 | ユーザー資格情報またはクライアント証明書を使用した認証を許可 | クライアント証明書認証を使用する場合は[No]を選択してください。それ以外の場合は[Yes]を選択してください。 |
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.10. GlobalProtectゲートウェイ エージェントコンフィグの追加をする¶
8.6.10.1. 注意事項、前提条件¶
- エージェントコンフィグは上から順に評価されます。
8.6.10.2. 事前に準備いただくもの¶
なし
8.6.10.3. GlobalProtectゲートウェイ エージェントコンフィグの追加手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図8.6.10.3.1 ゲートウェイ画面
- ①[エージェント]をクリックします。②[クライアントの設定]をクリックします。③[GP-GW-client-config]を選択します。④[コピー]をクリックします。
図8.6.10.3.2 GlobalProtectゲートウェイの設定(エージェント/クライアントの設定)
- ①名前を入力します。②[OK]ボタンを押下します。
図8.6.10.3.3 エージェントの設定(名前変更)
- ①エージェントコンフィグが追加されたことを確認します。②[OK]ボタンを押下します。
図8.6.10.3.4 GlobalProtectポータルの設定(エージェント)追加後
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.11. GlobalProtectゲートウェイ エージェントコンフィグの変更をする¶
8.6.11.1. 注意事項、前提条件¶
- GP-GW-client-configの名前は変更しないでください。
8.6.11.2. 事前に準備いただくもの¶
なし
8.6.11.3. GlobalProtectゲートウェイ エージェントコンフィグの変更手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図8.6.11.3.1 ゲートウェイ画面
- ①[エージェント]をクリックします。②[クライアントの設定]をクリックします。③変更対象のエージェントクリックします。
図8.6.11.3.2 エージェント選択
- ①[設定の選択条件]をクリックします。②以下の項目を設定します。名前を入力し設定を適用する範囲を選択します。
注釈
- 新しく追加したエージェントコンフィグの名前は変更可能です。
- 認証連携時においてユーザーIDに@を利用している場合、FRAポータルのGlobalProtectのゲートウェイ設定において、ユーザーIDを指定した振り分け設定をすることはできません。
図8.6.11.3.3 クライアントの設定(設定の選択条件)
| 項番 | 項目 | 設定値 |
| 1 | 名前 | 任意の名前を入力します。 |
| 2 | 送信元ユーザー | [追加]から設定を適用するユーザーを指定します。全てのユーザーを対象にする場合は[any]を選択します。 |
| 3 | OS | [追加]から設定を適用するOSを指定します。全てのOSを対象にする場合は[いずれか]にチェックをいれます。 |
トンネルの分割タブの設定を行う場合は 3.2. スプリットトンネルの設定をする を参照してください。
- FRA接続時の端末に払い出すIPを指定する場合は以下設定を行います。①[IPプール]をクリックします。②[追加]をクリックします。③払い出す対象のIPアドレスを設定します。
注釈
- 指定するIPアドレスは各VPN待ち受け用ゲートウェイの割り当てクライアントプールIPの範囲から指定してください。
- 指定するIPアドレスのサブネットマスクは/30ビットから指定が可能です。
- この設定でFRA接続時の端末に払い出すIPを指定する場合、以下のクライアントIPプールタブの設定を削除してから設定する必要があります。①設定されているIPプールを選択します。②[削除]をクリックします。
図8.6.11.3.4 クライアントIPプール設定
図8.6.11.3.5 クライアントの設定(IPプール)
- ①[ネットワークサービス]をクリックします。②以下の項目を設定します。(※)③[OK]ボタンを押下します。
注釈
- 特定の端末で利用するDNSサーバーを変更したい場合、このDNSサーバーを設定します。手順8で設定するDNSサーバーより優先されます。
- 全端末で共通のDNSサーバーを設定する場合は設定不要です。
図8.6.11.3.6 クライアントの設定(ネットワークサービス)
| 項番 | 項目 | 設定値 |
| 1 | DNSサーバー | クライアント用DNSサーバーをカンマ区切りで入力します。 |
| 2 | DNSサフィックス | クライアントのDNSサフィックスをカンマ区切りで入力します。 |
- ①[ネットワークサービス]をクリックします。②以下の項目を設定します。
図8.6.11.3.7 エージェント設定(ネットワークサービス)
| 項番 | 項目 | 設定値 |
| 1 | 継承ソース | FRAクライアントソフトへDNSサーバー設定やその他の設定を継承させる際のソースを選択します。 |
| 2 | プライマリDNS | クライアントにDNSを提供するプライマリサーバーのIPアドレスを入力します。 |
| 3 | セカンダリDNS | クライアントにDNSを提供するセカンダリサーバーのIPアドレスを入力します。 |
| 4 | プライマリWINS | クライアントにWindows Internet Naming Service(WINS)を提供するプライマリサーバーのIPアドレスを入力します。 |
| 5 | セカンダリWINS | クライアントにWindows Internet Naming Service(WINS)を提供するセカンダリサーバーのIPアドレスを入力します。 |
| 6 | DNSサフィックス | 解決できない非装飾ホスト名が入力されたときにクライアントがローカルで使用するサフィックスを追加します。複数のサフィックスをカンマで区切って入力できます。 |
- ①[Connection Settings]をクリックします。②以下の項目を設定します。③[OK]ボタンを押下します。
図8.6.11.3.8 エージェント設定(Connection Settings)
| 項番 | 項目 | 設定値 |
| 1 | ログインライフタイム | ログイン状態を保持する期間を設定します。1回のゲートウェイログインセッションに許可される日数、時間数、または分数を指定します。 |
| 2 | アイドルタイムアウト | 指定された時間(分)内に、FRAクライアントソフトによるVPNトンネルを介したトラフィック送信が無かった場合、ユーザーはFRAからログアウトされます。 |
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.12. GlobalProtectゲートウェイ エージェントコンフィグの順序変更をする¶
8.6.12.1. 注意事項、前提条件¶
- エージェントコンフィグは上から順に評価されます。
8.6.12.2. 事前に準備いただくもの¶
なし
8.6.12.3. GlobalProtectゲートウェイ エージェントコンフィグの順序変更手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図8.6.12.3.1 ゲートウェイ画面
- ①[エージェント]をクリックします。②[クライアントの設定]をクリックします。③対象のエージェントコンフィグを選択します。④[上へ]をクリックします。
図8.6.12.3.2 エージェント設定(クライアントの設定)
- ①対象のエージェントコンフィグが上位に配置されたことを確認します。②[OK]ボタンを押下します。
図8.6.12.3.3 エージェント設定(クライアントの設定)順序変更後
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.13. GlobalProtectゲートウェイ エージェントコンフィグの削除をする¶
8.6.13.1. 注意事項、前提条件¶
- GP-GW-client-configは削除しないでください。
8.6.13.2. 事前に準備いただくもの¶
なし
8.6.13.3. GlobalProtectゲートウェイ エージェントコンフィグの削除手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図8.6.13.3.1 ゲートウェイ画面
- ①[エージェント]をクリックします。②[クライアントの設定]をクリックします。③削除対象のエージェントにチェックを入れます。④[削除]をクリックします。
図8.6.13.3.2 エージェント削除
- 削除が完了すると削除対象のエージェントがエージェントの一覧から消えます。
図8.6.13.3.3 エージェント削除確認
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
8.6.14. FRAに接続しているリモートアクセスユーザーを切断する¶
8.6.14.1. 注意事項、前提条件¶
なし
8.6.14.2. 事前に準備いただくもの¶
なし
8.6.14.3. FRAに接続しているリモートアクセスユーザーの切断手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②[ゲートウェイ]をクリックします。③画面右端の[リモートユーザー]をクリックします。
図8.6.14.3.1 ゲートウェイ画面
- FRA接続中のリモートアクセスユーザーの一覧が表示されます。
図8.6.14.3.2 FRA接続中のリモートアクセスユーザーの一覧
- FRA接続を切断したいユーザーの[ログアウトのアイコン]をクリックします。コミットは不要でユーザーの接続が切断されます。
図8.6.14.3.3 FRA接続しているユーザーを切断