Access Point 設定の導入および - VMware...Access Point のデプロイの準備 1Access...

Access Point の導入および設定

Unified Access Gateway 2.8


VMware, Inc. 2

最新の技術ドキュメントは VMware の Web サイト（https://docs.vmware.com/jp/）にあります

このドキュメントに関するご意見およびご感想がある場合は、[email protected]までお送りください。

Copyright © 2016 年 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Access Point のデプロイと構成 5

1 Access Point のデプロイの準備 6

セキュアゲートウェイとしての Access Point 6

仮想プライベートネットワークの代替としての Access Point の使用 7

Access Point システムとネットワークの要件 7

DMZ ベースの Access Point アプライアンスのファイアウォールルール 9

Access Point のロードバランスのトポロジ 11

複数のネットワークインターフェイスカードがある Access Point の場合の DMZ の設計 13

2 Access Point アプライアンスのデプロイ 17

OVF テンプレートウィザードを使用した Access Point のデプロイ 17

Access Point のデプロイのプロパティ 18

OVF テンプレートウィザードによる Access Point のデプロイ 19

管理機能の構成ページからの Access Point の構成 22

Access Point システム設定の構成 23

SSL サーバの署名入り証明書の更新 24

3 PowerShell を使用した Access Point のデプロイ 26

PowerShell を使用して Access Point をデプロイするためのシステム要件 26

PowerShell を使用した Access Point アプライアンスのデプロイ 27

4 デプロイ環境の使用事例 29

Horizon View と Horizon Air Hybrid-Mode 環境への Access Point のデプロイ 29

Horizon 設定の構成 33

リバースプロキシとしての Access Point のデプロイ 35

VMware Identity Manager のリバースプロキシの構成 37

AirWatch Tunnel による Access Point のデプロイ 38

AirWatch のためのトンネルプロキシのデプロイ 39

AirWatch による Per-App トンネルのデプロイ 39

AirWatch 向けの Per-App トンネルとプロキシ設定の構成 40

5 TLS/SSL 証明書を使用した Access Point の構成 42

Access Point アプライアンスの TLS/SSL 証明書の構成 42

正しい証明書タイプの選択 42

証明書ファイルの 1 行 PEM 形式への変換 43

Access Point のデフォルト TLS/SSL サーバ証明書の置換 45

TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更 46

VMware, Inc. 3

6 DMZ での認証の設定 48

Access Point アプライアンスでの証明書またはスマートカード認証の構成 48

Access Point での証明書認証の構成 49

証明機関の証明書の取得 50

Access Point での RSA SecurID Authentication の構成 52

Access Point での RADIUS の構成 52

RADIUS 認証の構成 53

Access Point での RSA Adaptive Authentication の構成 54

Access Point での RSA Adaptive Authentication の構成 55

Access Point SAML メタデータの生成 57

その他のサービスプロバイダで使用される SAML 認証子の作成 58

Access Point へのサービスプロバイダ SAML メタデータのコピー 58

7 Access Point のデプロイ環境のトラブルシューティング 59

デプロイに関する問題のトラブルシューティング 59

Access Point アプライアンスからのログの収集 61

デバッグモードを有効にする 62


VMware, Inc. 4

VMware Access Point のデプロイと構成

Access Point をデプロイして構成するは、VMware Horizon®、VMware Identity Manager™、および組織のアプ

リケーションへの外部アクセスの安全性を確保するために VMware Access Point™ を使用する VMware AirWatch®

の環境の設計について説明します。これらのアプリケーションは、Windows アプリケーション、サービスとしてのソフトウェア (SaaS) のアプリケーション、およびデスクトップである場合があります。このガイドでは、Access Point仮想アプライアンスをデプロイして、デプロイ後に構成設定を変更する手順も説明します。

対象読者

本書に記載されている情報は、Access Point アプライアンスをデプロイおよび使用するすべての方を対象としています。これらの情報は、仮想マシンテクノロジーおよびデータセンターの運用に精通している経験豊富な Linux およびWindows システム管理者向けに記述されています。

VMware, Inc. 5

Access Point のデプロイの準備 1Access Point は、企業のファイアウォールの外部からリモートデスクトップおよびアプリケーションにアクセスするユーザーのセキュアゲートウェイとして機能します。

この章では次のトピックについて説明します。

n セキュアゲートウェイとしての Access Point

n 仮想プライベートネットワークの代替としての Access Point の使用

n Access Pointシステムとネットワークの要件

n DMZ ベースの Access Point アプライアンスのファイアウォールルール

n Access Point のロードバランスのトポロジ

n 複数のネットワークインターフェイスカードがある Access Point の場合の DMZ の設計

セキュアゲートウェイとしての Access PointAccess Point は、非武装地帯 (DMZ) に通常インストールされるレイヤー 7 のセキュリティアプライアンスです。確実な方法で認証されたリモートユーザーのトラフィックだけを確実に社内のデータセンターに送信するために、Access Point は使用されます。

Access Point は、認証要求を該当するサーバに送信し、本物であると証明されない要求はすべて破棄します。ユーザーはアクセスが許可されているリソースにのみアクセスできます。

また、Access Point 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が実際に付与されたデスクトップやアプリケーションリソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

通常、Access Point アプライアンスは、ネットワークの非武装地帯 (DMZ) 内に配置され、企業の信頼できるネットワーク内から接続を行うためのプロキシホストとして機能します。この設計では、仮想デスクトップ、アプリケーションホスト、およびサーバを外部からアクセス可能なインターネットから保護することで、セキュリティレイヤーがさらに追加されます。

Access Point は、DMZ 向けに特別に設計されたセキュリティ強化型のアプライアンスです。セキュリティを強化するため、次の設定が実装されています。

n 最新の Linux カーネルとソフトウェアパッチ

n インターネットとイントラネットトラフィックのために複数の NIC をサポート

VMware, Inc. 6

n SSH を無効に設定

n FTP、Telnet、Rlogin、または Rsh サービスを無効に設定

n 不要なサービスを無効に設定

仮想プライベートネットワークの代替としての Access Point の使用Access Point と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。

一般的な VPN よりも Access Point は、次の点で優れています。

n アクセスコントロールマネージャ。Access Point は、アクセスルールを自動的に適用します。Access Pointは、内部接続に必要なユーザーの資格とアドレス指定を認識します。これらは、すぐに変更される場合がありま

す。大半の VPN では管理者が各ユーザーまたは各ユーザーグループにネットワーク接続ルールを設定できるので、VPN でも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。

n ユーザーインターフェイス。Access Point では、簡単な Horizon Client ユーザーインターフェイスをそのまま使用できます。Access Point では、Horizon Client が起動されると、認証されたユーザーは View 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPN ソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。

n パフォーマンス。Access Point は、セキュリティとパフォーマンスを最大化できるように設計されています。Access Point を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTML Access、および WebSocketプロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLSにおけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオリモート操作プロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsec を使用して、ネットワークを運用できる場合、View デスクトッププロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。

Access Point システムとネットワークの要件Access Point アプライアンスをデプロイするには、システムがハードウェアおよびソフトウェアの要件を満たしている必要があります。

サポートされる VMware 製品のバージョン

Access Point のバージョンごとに、特定のバージョンの VMware 製品を使用する必要があります。互換性の最新情報については、製品のリリースノートおよび http://www.vmware.com/resources/compatibility/sim/interop_matrix.php の VMware 製品の相互運用性マトリックスを参照してください。リリースノートおよび相互運用性マトリックスの情報は、本ガイドの情報より優先されます。

Access Point 2.8 は、次の VMware 製品でセキュアゲートウェイとして使用できます。

n VMware AirWatch 8.4 以降


VMware, Inc. 7

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

n VMware Identity Manager 2.7 以降

n VMware Horizon 6.2 以降

n VMware Horizon Air Hybrid Mode 1.0 以降

n VMware Horizon Air 15.3 以降

ESXi サーバのハードウェア要件

Access Point アプライアンスは、Horizon 製品でサポートされているバージョンおよび使用しているバージョンと同じバージョンの vSphere にデプロイする必要があります。

vSphere Web Client を使用する予定の場合、クライアント統合プラグインがインストールされていることを確認します。詳細については、vSphere ドキュメントを参照してください。デプロイウィザードを開始する前にこのプラグインをインストールしていないと、プラグインをインストールするように求められます。インストールするには、

ブラウザを閉じてウィザードを終了する必要があります。

注意アプライアンスの時刻が正確になるように、Access Point アプライアンスの時計 (UTC) を構成します。たとえば、Access Point 仮想マシンでコンソールウィンドウを開き、矢印ボタンを使用して正しいタイムゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

仮想アプライアンス要件

Access Point アプライアンス用の OVF パッケージは、Access Point に必要な仮想マシン構成を自動的に選択します。これらの設定は変更できますが、CPU、メモリ、ディスク領域をデフォルトの OVF 設定より小さい値に変更しないことを推奨します。

アプライアンスに使用するデータストアに十分な空きディスク容量があり、他のシステム要件を満たしていることを

確認します。

n 仮想アプライアンスのダウンロードサイズは 2.5 GB です。

n シンプロビジョニングされるディスクの最小要件は 2.5 GB です。

n シックプロビジョニングされるディスクの最小要件は 20 GB です。

仮想アプライアンスをデプロイするには、次の情報が必要です。

n 固定 IP アドレス

n DNS サーバの IP アドレス

n root ユーザーのパスワード

n Access Point アプライアンスが指定するロードバランサのサーバインスタンスの URL


VMware, Inc. 8

ネットワーク構成の要件

1 つ、2 つ、または 3 つのネットワークインターフェイスを使用でき、Access Point ではそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Access Point を構成してください。

n POC（事前検証）またはテストには、1 つのネットワークインターフェイスが適しています。NIC が 1 つの場合、外部、内部、および管理トラフィックがすべて同じサブネットを持ちます。

n ネットワークインターフェイスが 2 つの場合、外部トラフィックが 1 つのサブネットを、内部と管理トラフィックがもう 1 つのサブネットを持ちます。

n ネットワークインターフェイスを 3 つ使用するのが最も安全なオプションです。NIC が 3 つの場合、外部、内部、および管理トラフィックがすべて独自のサブネットを持ちます。

重要 IP プールを各ネットワークに割り当てたことを確認します。これにより、Access Point アプライアンスは、デプロイ時にサブネットマスクとゲートウェイの設定を選択できるようになります。ネイティブ vSphere Client を使用している場合、vCenter Server で IP プールを追加するには、データセンターの [IP プール] タブに移動します。vSphere Web Client を使用している場合は、ネットワークプロトコルプロファイルを作成できます。データセンターの [管理] タブに移動し、[ネットワークプロトコルプロファイル] タブを選択します。詳細については、仮想マシンネットワークのプロトコルプロファイルの構成を参照してください。

ログの保持要件

ログファイルは、集約した合計ディスクサイズを下回る一定容量の領域を使用するように、デフォルトで構成されています。Access Point のログは、デフォルトでローテーションされます。これらのログエントリを保持するには、syslog を使用する必要があります。「Access Point アプライアンスからのログの収集」を参照してください。

DMZ ベースの Access Point アプライアンスのファイアウォールルール

DMZ ベースの Access Point アプライアンスには、フロントエンドファイアウォールとバックエンドファイアウォールに関する特定のファイアウォールルールが必要です。インストール中、Access Point サービスは、デフォルトで特定のネットワークポートをリッスンするように設定されます。

通常、DMZ ベースの Access Point アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

n DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロントエンドファイアウォールが必要です。外部からのネットワークトラフィックが DMZ に到達できるように、このファイアウォールを構成します。

n 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバックエンドファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォールポリシーによって DMZ サービスからの受信通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。


VMware, Inc. 9

https://pubs.vmware.com/vsphere-55/topic/com.vmware.vsphere.networking.doc/GUID-4BEEFDA9-E6FF-4D28-B0F3-B02864D8795B.html

https://pubs.vmware.com/vsphere-55/topic/com.vmware.vsphere.networking.doc/GUID-4BEEFDA9-E6FF-4D28-B0F3-B02864D8795B.html

外部クライアントデバイスが DMZ 内の Access Point アプライアンスに接続できるようにするには、フロントエンドファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアントデバイスと外部の Web クライアント (HTML Access) は、DMZ にある Access Point アプライアンスに TCPポート 443 で接続します。Blast プロトコルを使用する場合は、ファイアウォールでポート 443 を開く必要があります。PCOIP プロトコルを使用する場合は、ファイアウォールでポート 4172 を開く必要があります。

次の図は、フロントエンドファイアウォールとバックエンドファイアウォールを含む構成の例を示しています。

図 1‑1. デュアルファイアウォールトポロジ

DMZ

内部ネットワーク

HTTPSトラフィック

HTTPSトラフィック

フォルトトレラントな負荷分散

メカニズム

クライアントデバイス

AccessPoint

アプライアンス

AccessPointアプライアンス

HorizonServer

HorizonServer

VMwarevCenter

ActiveDirectory

VMwareESXi サーバ

バックエンドファイアウォール

フロントエンドファイアウォール



VMware, Inc. 10

Access Point のロードバランスのトポロジ複数の異なるトポロジをいくつでも実装できます。

DMZ の Access Point アプライアンスは、サーバまたはサーバグループの前にあるロードバランサを参照するように構成できます。Access Point アプライアンスは、HTTPS 向けに構成された標準的なサードパーティ製ロードバランシングソリューションと連携します。

Access Point アプライアンスでサーバの前にあるロードバランサを参照する場合、サーバインスタンスは動的に選択されます。たとえば、ロードバランサは可用性、およびロードバランサが把握した各サーバインスタンスの現在のセッション数についての情報に基づいて選択を行う場合があります。企業のファイアウォール内のサーバインスタンスには、通常、内部アクセスをサポートするためのロードバランサがあります。Access Point を使用して、Access Point アプライアンスがすでに頻繁に使用されているのと同じロードバランサを参照するようにできます。

または、1 つ以上の Access Point アプライアンスで個々のサーバインスタンスを参照することもできます。どちらの方法でも、DMZ 内の 2 つ以上の Access Point アプライアンスに接続されたロードバランサを使用します。


VMware, Inc. 11

図 1‑2. ロードバランサの背後にある複数の Access Point アプライアンス

Horizon Client

Access Point

DMZ

ロードバランサ

VMware vSphere

インターネット

Horizon デスクトップおよび RDS ホスト

Access Point

Access Point

Horizon 接続サーバ接続サーバ

接続サーバ

Horizon のプロトコル

Horizon Client ユーザーが Horizon 環境に接続するときには、いくつかの異なるプロトコルが使用されます。最初の接続は、HTTPS を介したプライマリ XML-API プロトコルになります。認証が成功すると、1 つまたは複数のセカンダリプロトコルも作成されます。

n プライマリ Horizon プロトコル

ユーザーが Horizon Client でホスト名を入力すると、プライマリ Horizon プロトコルが開始されます。これは、認証、承認、およびセッション管理のための制御プロトコルです。HTTPS (HTTP over SSL) を介して XML 構造のメッセージを使用します。このプロトコルは、Horizon XML-API 制御プロトコルと呼ばれることもあります。ロードバランサの背後に複数の Access Point アプライアンスがある上図のようなロードバランス環境では、


VMware, Inc. 12

ロードバランサはこの接続を Access Point アプライアンスの 1 つにルーティングします。ロードバランサは通常、最初に可用性に基づいてアプライアンスを選択し、現在のセッションの最小数に基づいてトラフィックを使

用可能なアプライアンスにルーティングします。この構成では、使用可能な Access Point アプライアンス全体で、さまざまなクライアントからのトラフィックが均等に分散されます。

n セカンダリ Horizon プロトコル

Horizon Client がいずれかの Access Point アプライアンスとの安全な通信を確立したら、ユーザーが認証されます。この認証に成功すると、Horizon Client から 1 つ以上のセカンダリ接続が作成されます。これらのセカンダリ接続には、次のものが含まれます。

n n RDP、MMR/CDR、クライアントフレームワークチャネルなどの TCP プロトコルをカプセル化するために使用される HTTPS トンネル。(TCP 443)。

n Blast Extreme 表示プロトコル（TCP 443 および UDP 443）。

n PCoIP 表示プロトコル（TCP 4172 および UDP 4172）。

これらのセカンダリ Horizon プロトコルは、プライマリ Horizon プロトコルがルーティングされた同じ Access Pointアプライアンスにルーティングする必要があります。Access Point は、認証されたユーザーセッションに基づいてセカンダリプロトコルを認証できます。Access Point の重要なセキュリティ機能は、認証されたユーザーのトラフィックのみを、Access Point が企業のデータセンターにトラフィックを転送することです。セカンダリプロトコルがプライマリプロトコルアプライアンスとは異なる Access Point アプライアンスに不正にルーティングされる場合、それらは承認されず、DMZ にドロップされます。その結果、接続が失敗します。ロードバランサが正しく構成されていない場合、セカンダリプロトコルを不正にルーティングしてしまう問題が多く発生します。

複数のネットワークインターフェイスカードがある Access Point の場合の DMZ の設計Access Point は、非武装地帯 (DMZ) に通常インストールされるレイヤー 7 のセキュリティアプライアンスです。確実な方法で認証されたリモートユーザーのトラフィックだけを確実に社内のデータセンターに送信するために AccessPoint は使用されます。

Access Point を構成するときには、使用する仮想ネットワークインターフェイスカード (NIC) の数を設定します。Access Point をデプロイするときは、ネットワークのデプロイ環境の構成を選択します。1、2、または 3 つの NIC設定を指定する場合、それぞれ onenic、twonic、または threenic として指定できます。

各仮想 LAN で開いているポート数を減らし、タイプ別にネットワークトラフィックを分離することで、セキュリティを大幅に向上できます。この利点は、主に多層防御としての DMZ セキュリティ設計戦略の一環として、さまざまな種類のネットワークトラフィックを分離し隔離することです。DMZ 内に別々の物理スイッチを実装するか、DMZ内で複数の仮想 LAN を使用するか、VMware NSX で完全に管理される DMZ の一部として、この環境を実現できます。


VMware, Inc. 13

NIC が 1 つの一般的な DMZ のデプロイ環境

Access Point の最もシンプルなデプロイ環境では、1 つの NIC が使用され、すべてのネットワークトラフィックが1 つのネットワークに結合されます。インターネットに接続するファイアウォールからのトラフィックは、利用可能な Access Point アプライアンスのいずれかに転送されます。Access Point は、次に、承認されたトラフィックを内部ファイアウォールを介して内部ネットワーク上のリソースに転送します。Access Point は、承認されていないトラフィックを廃棄します。

図 1‑3. Access Point で 1 つの NIC を使用するオプション

Access Point アプライアンスに1 つの NIC を設定してフロントエンド、バックエンド、および管理トラフィックを結合 1 つの

結合ネットワーク

DMZ


内部ファイアウォール

インターネットに接続する

ファイアウォール



Access Point

Access Point

バックエンドトラフィックと管理トラフィックからの承認されていないユーザートラフィックの分離

1 つの NIC のデプロイ環境を強化するには、2 つの NIC を指定します。最初の NIC は引き続きインターネットに接続し、承認されていないアクセスを処理しますが、バックエンドの承認されているトラフィックと管理トラフィック

は別のネットワークに分けられます。


VMware, Inc. 14


Access Point アプライアンスに2 つの NIC を設定して承認されていないフロントエンドトラフィックを管理トラフィックおよび承認されたバックエンドトラフィックから分離

フロントエンドネットワーク

バックエンドおよび管理の結合ネットワーク

DMZ







Access Point

Access Point

2 つの NIC があるデプロイ環境では、内部ファイアウォールから内部ネットワークに送信されるトラフィックは、Access Point によって承認される必要があります。承認されていないトラフィックは、このバックエンドネットワーク上には存在しません。Access Point の REST API などの管理トラフィックは、この第 2 ネットワークにのみ存在します

承認されていないフロントエンドネットワーク上のデバイス（ロードバランサなど）のセキュリティが侵害された場合、2 つの NIC のデプロイ環境では Access Point を迂回するようにデバイスを再構成することはできません。レイヤー 4 のファイアウォールルールとレイヤー 7 の Access Point のセキュリティが統合されます。同様に、インターネットに接続するファイアウォールが誤って構成され、トラフィックが TCP ポート 9443 を通過するようになった場合でも、Access Point の管理 REST API はインターネットユーザーに公開されることはありません。多層防御の基本は、複数レベルの保護を利用し、単一の構成ミスやシステムへの攻撃によって、システム全体が脆弱にならな

いようにすることです。

2 つの NIC のデプロイ環境の場合、DNS サーバ、RSA SecurID Authentication Manager サーバなどのインフラストラクチャシステムを DMZ 内のバックエンドネットワークに追加して、通常、これらのサーバがインターネットに接続するネットワークから見えないようにします。インフラストラクチャシステムを DMZ 内に配置することで、セキュリティが侵害されたフロントエンドシステムのインターネットに接続する LAN からのレイヤー 2 攻撃が防止され、攻撃を受ける可能性がある領域を効果的に削減できます。


VMware, Inc. 15

ほとんどの Access Point のネットワークトラフィックは、Blast および PCoIP 表示プロトコルです。1 つの NIC 環境では、インターネットとの間で通信される表示プロトコルのトラフィックは、バックエンドシステムとの間のトラフィックと結合されます。2 つ以上の NIC を使用する場合、トラフィックはフロントエンドおよびバックエンドのNIC とネットワーク間で分散されます。これにより、1 つの NIC がボトルネックになる潜在的な問題が軽減され、パフォーマンスが向上します。

Access Point ではさらにトラフィックを分離することでき、管理トラフィックを特定の管理 LAN に分離できます。その場合、ポート 9443 へ HTTPS 管理トラフィックを送信できるのは管理 LAN のみになります。


Access Point アプライアンスに3 つの NIC を設定して承認されていないフロントエンドトラフィック、承認されたバックエンドトラフィック、および管理トラフィックを完全に分離

フロントエンドネットワーク

バックエンドネットワーク

DMZ







Access Point

Access Point

管理ネットワーク


VMware, Inc. 16

Access Point アプライアンスのデプロイ 2Access Point は OVF としてパッケージ化され、vSphere ESX または ESXi ホストに構成済みの仮想アプライアンスとしてデプロイされます。

2 つの主な方法で、Access Point アプライアンスをインストールできます。

n vSphere Client または vSphere Web Client を使用して、Access Point OVF テンプレートをデプロイできます。NIC のデプロイ構成、IP アドレス、管理インターフェイスのパスワードなど、基本的な設定を指定するように求められます。OVF をデプロイしたら、Access Point の管理ユーザーインターフェイスにログインしてAccess Point システム設定を構成し、さまざまなケースで安全な Edge サービスをセットアップし、DMZ で認証を構成します。「OVF テンプレートウィザードによる Access Point のデプロイ」を参照してください。

n さまざまなケースで、PowerShell スクリプトを使用して、Access Point をデプロイし、安全な Edge サービスをセットアップできます。zip ファイルをダウンロードし、お使いの環境に合った PowerShell スクリプトを構成し、スクリプトを実行して Access Point をデプロイします。「PowerShell を使用した Access Point アプライアンスのデプロイ」を参照してください。


n OVF テンプレートウィザードを使用した Access Point のデプロイ

n 管理機能の構成ページからの Access Point の構成

n SSL サーバの署名入り証明書の更新

OVF テンプレートウィザードを使用した Access Point のデプロイAccess Point をデプロイするには、vSphere Client または vSphere Web Client を使用して OVF テンプレートをデプロイし、アプライアンスをパワーオンして設定を行います。

Access Point がデプロイされたら、管理ユーザーインターフェイス (UI) を使用して Access Point 環境をセットアップし、DMZ で使用するデスクトップとアプリケーションのリソースと認証方法を構成します。

VMware, Inc. 17

Access Point のデプロイのプロパティOVF をデプロイするときは、必要なネットワークインターフェイス (NIC) の数、IP アドレス、および管理者パスワードを設定します。デプロイに関するその他のプロパティは、Access Point の管理ページから設定できます。

表 2‑1. Access Point の導入オプション

導入プロパティ説明

導入の構成 Access Point 仮想マシンで使用できるネットワークインターフェイスの数を指定します。

デフォルトでは、このプロパティは設定されず、1 つのネットワークインターフェイスコントローラ (NIC)が使用されます。

外部（インターネット接続）IP アドレス（必須）インターネット上でこの仮想マシンにアクセスするために使用されるパブリック IPv4 または IPv6アドレスを指定します。

注意コンピュータ名は、このインターネット IPv4 または IPv6 アドレスの DNS クエリを使用して設定されます。

デフォルト：なし。

管理ネットワーク IP アドレス管理ネットワークに接続されたインターフェイスの IP アドレスを指定します。

構成しない場合、管理サーバはインターネット接続インターフェイスで待機します。


バックエンドネットワーク IP アドレスバックエンドネットワークに接続されたインターフェイスの IP アドレスを指定します。

構成しない場合、バックエンドシステムに送信されるネットワークトラフィックは、他のネットワークインターフェイスを使用してルーティングされます。


DNS サーバアドレス（必須）この仮想マシンのドメイン名サーバの 1 つ以上のスペース区切り IPv4 アドレスを指定します（例：192.0.2.1 192.0.2.2）。サーバは 3 台まで指定できます。

デフォルトでは、このプロパティは設定されず、システムはインターネット接続 NIC に関連付けられた DNSサーバを使用します。

注意このオプションを空白のままにしていて、インターネット接続 NIC に関連付けられた DNS サーバが存在しない場合、アプライアンスは正しくデプロイされません。

root ユーザーのパスワード（必須）この仮想マシンの root ユーザーのパスワードを指定します。パスワードは有効な Linux パスワードである必要があります。


管理者ユーザーのパスワード（必須）このパスワードを設定しない場合、Access Point アプライアンスの管理コンソールおよび REST APIにアクセスできなくなります。

パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1 文字以上、特殊文字（!、@、#、$、%、*、(、) ）が 1 文字以上含まれる必要があります。



VMware, Inc. 18

表 2‑1. Access Point の導入オプション (続き)

導入プロパティ説明

ローカライズされたメッセージに使用

するロケール

（必須）エラーメッセージを生成する場合に使用するロケールを指定します。

n 英語は en_US

n 日本語は ja_JP

n フランス語は fr_FR

n ドイツ語は de_DE

n 簡体字中国語は zh_CN

n 繁体字中国語は zh_TW

n 韓国語は ko_KR

デフォルト：en_US。

Syslog サーバ URL Access Point イベントのログ記録に使用する Syslog サーバを指定します。

この値には、URL またはホスト名または IP アドレスを使用できます。スキームとポート番号はオプションです（例：syslog://server.example.com:514）。

デフォルトでは、このプロパティは設定されず、イベントが Syslog サーバにログ記録されません。

OVF テンプレートウィザードによる Access Point のデプロイvCenter Server にログインして OVF テンプレートのデプロイウィザードを使用することで、Access Point アプライアンスをデプロイできます。

注意 vSphere Web Client を使用して OVF をデプロイする場合、各ネットワークの DNS サーバ、ゲートウェイ、およびネットマスクアドレスも指定できます。ネイティブ vSphere Client を使用する場合、IP プールを各ネットワークに割り当てたことを確認します。ネイティブ vSphere Client を使用して vCenter Server で IP プールを追加するには、データセンターの [IP プール] タブに移動します。vSphere Web Client を使用している場合は、ネットワークプロトコルプロファイルを作成できます。データセンターの [管理] タブに移動し、[ネットワークプロトコルプロファイル] タブを選択します。

開始する前に

n ウィザードで使用できるデプロイのオプションについて理解しておきます。「Access Pointシステムとネットワークの要件」を参照してください。

n Access Point アプライアンスを構成するためのネットワークインターフェイスと静的 IP アドレスの数を決定します。「ネットワーク構成の要件」を参照してください。

n Access Point アプライアンスの .ova インストーラファイルを

https://my.vmware.com/web/vmware/downloads にある VMware Web サイトからダウンロードするか、使用する http://example.com/vapps/euc-access-point-<Y.Y>.0.0-

<xxxxxxx>_OVF10.ova などの URL（<Y.Y> はバージョン番号、<xxxxxxx> はビルド番号）を判断します。


VMware, Inc. 19

https://my.vmware.com/web/vmware/downloads

手順

1 ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。

IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6ネットワークの場合、vSphere Web Client を使用してください。

2 OVF テンプレートのデプロイウィザードを開始するためのメニューコマンドを選択します。

オプションメニューコマンド

vSphere Client [ファイル] - [OVF テンプレートのデプロイ] を選択します。

vSphere Web Client データセンター、フォルダ、クラスタ、リソースプール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリオブジェクトを選択し、[アクション] メニューから [OVFテンプレートのデプロイ] を選択します。

3 ウィザードのソースの選択ページで、ダウンロードした .ova ファイルの場所を参照するか、URL を入力して

[次へ] をクリックします。

詳細情報のページが表示されます。製品の詳細、バージョン、およびサイズ要件を確認します。

4 ウィザードの要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。

オプション説明

デプロイ構成の選択 IPv4 ネットワークの場合、1 つ、2 つ、または 3 つのネットワークインターフェイス (NIC)を使用できます。IPv6 ネットワークの場合、3 つの NIC を使用します。Access Point では、NIC のそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Access Point を構成してください。

ディスクフォーマット評価およびテスト環境では、シンプロビジョニングフォーマットを選択します。本番環境では、シックプロビジョニングフォーマットを選択します。シックプロビジョニングの EagerZeroed は、フォールトトレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスクフォーマットのタイプです。

仮想マシンストレージポリシー（vSphere Web Client のみ）このオプションは、ストレージポリシーが宛先リソースで有効になっている場合に使用できます。


VMware, Inc. 20


ネットワークのセットアップ/ネットワークマッピング

vSphere Web Client を使用している場合は、[ネットワークのセットアップ] ページで、各NIC をネットワークにマッピングしてプロトコル設定を指定できます。

a [IP プロトコル] ドロップダウンリストから IPv4 または IPv6 を選択します。

b 表の最初の行 [インターネット] を選択してから、下向き矢印をクリックして宛先ネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。

行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。

c 複数の NIC を使用している場合は、次の行 [管理ネットワーク] を選択して宛先ネットワークを選択すると、そのネットワークの DNS サーバとゲートウェイの IP アドレスと、ネットマスクを入力できます。

NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。

d NIC が 3 つある場合は、3 番目の行も選択して設定を完成させます。

NIC を 2 つのみ使用している場合は、この 3 番目の行 [バックエンドネットワーク] には、[管理ネットワーク] に使用したものと同じネットワークを選択します。

vSphere Web Client では、ウィザードの完了後にネットワークプロトコルプロファイルが存在しない場合、自動的に作成されます。

Web Client ではなく、ネイティブ vSphere Client を使用する場合は、[ネットワークのマッピング] ページで各 NIC をネットワークにマッピングできます。ただし、DNS サーバ、ゲートウェイ、ネットマスクのアドレスを指定するフィールドはありません。前提条件で説明し

たように、IP プールを各ネットワークにすでに割り当てたか、ネットワークプロトコルプロファイルをすでに作成している必要があります。

プロパティテンプレートのカスタマイズプロパティページのテキストボックスは Access Point に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザードページのテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨てられている場合、右下からドラッ

グしてウィンドウのサイズを変更します。次のテキストボックスに値を入力する必要があります。

n [IP モード：「STATICV4」または「STATICV6」]。STATICV4 と入力した場合、その NICについては IPv4 アドレスを入力する必要があります。STATICV6 と入力した場合、そのNIC については IPv6 アドレスを入力する必要があります。

n [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]

n [NIC 1 (ETH0) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC のIPv4 アドレスを入力します。

n [「ipv4-network-address/bits.ipv4-gateway-address」形式で記載された、NIC 1(eth0) 用の IPv4 カスタムルートのカンマ区切りリスト]

n [IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。

n [DNS サーバアドレス]：仮想マシンのドメイン名サーバのスペース区切り IPv4 またはIPv6 アドレスを入力します。

n NIC を 2 つ指定した場合は、[管理ネットワーク IP アドレス]、NIC を 3 つ指定した場合は、[バックエンドネットワーク IP アドレス]

n [パスワードオプション]：仮想マシンの root ユーザーのパスワードと、管理コンソールにアクセスし、REST API アクセスを有効にする管理者ユーザーのパスワードを入力します。

その他のすべての設定は任意指定であるか、デフォルト設定がすでに入力されています。ウィ

ザードページに表示されるパスワード要件に注意してください。すべてのデプロイのプロパティについては、「Access Point のデプロイのプロパティ」を参照してください。


VMware, Inc. 21

5 完了の準備完了ページで [デプロイ後にパワーオン] を選択し、[完了] をクリックします。

OVF テンプレートのデプロイタスクが vCenter Server のステータスエリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソールメッセージを確認することもできます。これらのメッセージのログは、/var/log/boot.msg ファイルにも記録されます。

6 デプロイが完了したら、エンドユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。

https://<FQDN-of-AP-appliance>

この URL で、<FQDN-of-AP-appliance> は Access Point アプライアンスの DNS 解決可能な完全修飾ドメイン名です。

デプロイが成功した場合、Access Point が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデプロイでき

ます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

Access Point アプライアンスがデプロイされ、自動的に起動されます。

次に進む前に

Access Point の管理ユーザーインターフェイス (UI) にログインし、デスクトップとアプリケーションリソースを構成し、Access Point を介したインターネットからのリモートアクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、https://<mycoAccessPointappliance.com:

9443/admin/index.html となります。

管理機能の構成ページからの Access Point の構成OVF をデプロイし、Access Point アプライアンスをパワーオンしたら、Access Point の管理ユーザーインターフェイスにログインして、次の設定を構成します。

n Access Point のシステム構成と SSL サーバ証明書。

n Horizon 用の Edge サービス設定、リバースプロキシ、AirWatch 用の Per App トンネルとプロキシ設定。

n RSA SecurID、RADIUS、X.509 証明書、および RSA Adaptive Authentication の認証設定。

n SAML ID プロバイダとサービスプロバイダの設定。

次のオプションは、構成ページからアクセスできます。

n Access Point ログの zip ファイルをダウンロードします。

n Access Point 設定をエクスポートして、構成設定を取得します。

n Access Point 設定をインポートして、全体的な Access Point 構成を作成および更新します。


VMware, Inc. 22

Access Point システム設定の構成クライアントと Access Point アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。

Access Point の管理ユーザーインターフェイスの URL は、https://<mycoAccessPointappliance.com>:9443/admin/index.html の形式です。管理ユー

ザー名と、OVF をデプロイした際に設定したパスワードを入力してログインします。

開始する前に

n Access Point デプロイのプロパティを確認します。次の設定情報は必須です

n Access Point アプライアンスの固定 IP アドレス

n DNS サーバの IP アドレス

n 管理コンソールのパスワード

n Access Point アプライアンスが指定するサーバインスタンスまたはロードバランサの URL

n イベントログファイルを保存する Syslog サーバの URL

手順

1 管理ユーザーインターフェイスの [手動構成] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[システム構成] ギアアイコンをクリックします。

3 次の Access Point アプライアンスの構成値を編集します。

オプションデフォルト値と説明

ロケールエラーメッセージを生成する場合に使用するロケールを指定します。

n 英語は en_US

n 日本語は ja_JP

n フランス語は fr_FR

n ドイツ語は de_DE

n 簡体字中国語は zh_CN

n 繁体字中国語は zh_TW

n 韓国語は ko_KR

管理者パスワードこのパスワードは、アプライアンスをデプロイしたときに設定されています。パスワードは

リセットできます。

パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1 文字以上、特殊文字（!、@、#、$、%、*、(、) ）が 1 文字以上含まれる必要があります。

暗号スイートほとんどの場合、デフォルトの設定は変更する必要はありません。これは、クライアントと

Access Point アプライアンス間の通信を暗号化するために使用される暗号化アルゴリズムです。暗号設定は、さまざまなセキュリティプロトコルを有効にするために使用されます。

暗号化の優先順位デフォルトは [いいえ] です。TLS 暗号リストの順位の制御を有効にするには、[はい] を選択します。

SSL 3.0 が有効デフォルトは [いいえ] です。SSL 3.0 セキュリティプロトコルを有効にするには、[はい] を選択します。


VMware, Inc. 23

オプションデフォルト値と説明

TLS 1.0 が有効デフォルトは [いいえ] です。TLS 1.0 セキュリティプロトコルを有効にするには、[はい] を選択します。

TLS 1.1 が有効デフォルトは [はい] です。TLS 1.1 セキュリティプロトコルは有効です。

TLS 1.2 が有効デフォルトは [はい] です。TLS 1.2 セキュリティプロトコルは有効です。

Syslog URL Access Point イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、イベントは記録されません。「syslog://server.example.com:

514」のように入力します。

健全性チェック URL ロードバランサが接続して Access Point の健全性をチェックする URL を入力します。

キャッシュされる Cookie Access Point がキャッシュする Cookie のセット。デフォルトは [なし] です。

IP モード STATICV4 または STATICV6 のいずれかの固定 IP モードを選択します。

セッションタイムアウトデフォルト値は [36000000] ミリ秒です。

静止モード [はい] にして有効にすると、Access Point アプライアンスを一時停止にして、一環した状態で、メンテナンスタスクを実行できます

監視間隔デフォルト値は [60] です。

4 [保存] をクリックします。

次に進む前に

Access Point をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。

SSL サーバの署名入り証明書の更新有効期限が切れた署名入り証明書は置き換えることができます。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。Access Point アプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。

開始する前に

n アクセスできるコンピュータに保存された新しい署名入り証明書とプライベートキー

n 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。「証明書ファイルの 1 行PEM 形式への変換」を参照してください。

手順

1 管理コンソールで、[選択] をクリックします。

2 [詳細設定] セクションで、[SSL サーバ証明書設定] ギアアイコンをクリックします。

3 [プライベートキー] の行で、[選択] をクリックして、プライベートキーファイルを見つけます。

4 [開く] をクリックして、ファイルをアップロードします。

5 [証明書チェーン] の行で、[選択] をクリックして、証明書チェーンファイルを見つけます。

6 [開く] をクリックして、ファイルをアップロードします。


VMware, Inc. 24


次に進む前に

証明書を署名した CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。


VMware, Inc. 25

PowerShell を使用した Access Pointのデプロイ 3PowerShell スクリプトを使用して、Access Point をデプロイできます。PowerShell スクリプトは、サンプルスクリプトとして提供され、お使いの環境のニーズに合わせて調整できます。

PowerShell スクリプトを使用して Access Point をデプロイする場合、このスクリプトは OVF Tool コマンドを呼び出し、正しいコマンドライン構文が自動的に構築されるように設定を検証します。また、この方法では、デプロイ時に適用される TLS/SSL サーバ証明書の設定などの詳細設定が可能です。


n PowerShell を使用して Access Point をデプロイするためのシステム要件

n PowerShell を使用した Access Point アプライアンスのデプロイ

PowerShell を使用して Access Point をデプロイするためのシステム要件

PowerShell スクリプトを使用して Access Point をデプロイするには、特定のバージョンの VMware 製品を使用する必要があります。

n vCenter Server がある vSphere ESX ホスト

n PowerShell スクリプトは、Windows 8.1 以降のマシンまたは Windows Server 2008 R2 以降で実行されます。

また、Windows 上で実行されている vCenter Server または別の Windows マシンを利用できます。

n スクリプトを実行する Windows マシンには、VMware OVF Tool のコマンドをインストールする必要があります。

https://www.vmware.com/support/developer/ovf/ から OVF Tool 4.0.1 以降を入手してインストールする必要があります。

使用する vSphere データストアとネットワークを選択する必要があります。

vSphere ネットワークプロトコルプロファイルを、参照されるすべてのネットワーク名に関連付ける必要があります。このネットワークプロトコルプロファイルは、IPv4 サブネットマスクやゲートウェイなどのネットワーク設定を指定します。Access Point のデプロイ環境では、これらの値を使用するので、値が正しいことを確認します。

VMware, Inc. 26

https://www.vmware.com/support/developer/ovf/

PowerShell を使用した Access Point アプライアンスのデプロイPowerShell スクリプトを使用すると、すべての構成を設定した環境を準備できます。PowerShell スクリプトを実行して Access Point をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

開始する前に

n システム要件を満たしており、利用可能であることを確認します。

これは、Access Point を自社環境にデプロイするためのサンプルスクリプトです。

図 3‑1. サンプルの PowerShell スクリプト

手順

1 My VMware から Windows マシンに Access Point OVA をダウンロードします。

2 ap-deploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。

この zip ファイルは、https://communities.vmware.com/docs/DOC-30835 から入手できます。

3 PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。

4 Access Point 仮想アプライアンスの .INI 構成ファイルを作成します。

例：新しい Access Point アプライアンス AP1 をデプロイします。構成ファイルの名前は、ap1.ini です。このファイルには、AP1 のすべての構成設定が含まれます。apdeploy .zip ファイルにある sample.INI ファイルを使用して、.INI ファイルを作成し、設定を適切に変更できます。

注意自社の複数の Access Point デプロイ環境には一意の .INI ファイルを関連付けることができます。複数のアプライアンスをデプロイするには、.INI ファイルで IP アドレスと名前のパラメータを適切に変更する必要があります。


VMware, Inc. 27

https://communities.vmware.com/docs/DOC-30835

変更する .INI ファイルの例。

name=AP1source=C:\APs\euc-access-point-2.8.0.0-000000000_OVF10.ovatarget=vi://[email protected]:[email protected]/Datacenter1/host/esx1.myco.intds=Local Disk 1netInternet=VM NetworknetManagementNetwork=VM NetworknetBackendNetwork=VM Network

[Horizon/WebReverseProxy/AirwatchTunnel]proxyDestinationUrl=https://192.168.0.209

# For IPv4, proxydestinationURL=https://192.168.0.209# For IPv6, proxyDEstinationUrl=[fc00:10:112:54::220]

5 スクリプトが正しく実行されたことを確認するには、PowerShell の set-executionpolicy コマンドを入力します。

set-executionpolicy -scope currentuser unrestricted

現在制限されている場合にのみ、このコマンドを一度だけ実行する必要があります。

スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します。

unblock-file -path .\apdeploy.ps1

6 このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトでap.ini を使用します。

.\apdeploy.ps1 -iniFile ap1.ini

7 確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。

注意ターゲットマシンのフィンガープリントを追加するように要求されたら、[yes] と入力します。

Access Point アプライアンスがデプロイされ、本番環境で利用できるようになります。

PowerShell スクリプトの詳細については、https://communities.vmware.com/docs/DOC-30835 を参照してください。


VMware, Inc. 28


デプロイ環境の使用事例 4この章で説明するデプロイのシナリオは、ユーザーのシステム環境にデプロイされた Access Point を特定して編成するのに役立ちます。

Horizon View、Horizon Air Hybrid-Mode、VMware Identity Manager、および VMware AirWatch の環境にAccess Point をデプロイできます。


n Horizon View と Horizon Air Hybrid-Mode 環境への Access Point のデプロイ

n リバースプロキシとしての Access Point のデプロイ

n AirWatch Tunnel による Access Point のデプロイ

Horizon View と Horizon Air Hybrid-Mode 環境への Access Point のデプロイ

Horizon View および Horizon Air Hybrid-Mode 環境に Access Point をデプロイできます。VMware Horizon のView コンポーネントでは、Access Point アプライアンスは View セキュリティサーバが以前に果たしていた役割と同じ役割を果たします。

導入シナリオ

Access Point によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、Horizon View や Horizon Air Hybrid-Mode のオンプレミスのデプロイ環境で動作し、統合管理されます。

Access Point を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

Access Point 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZ にデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよび

アプリケーションリソースに送信できます。また、Access Point 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーションリソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

VMware, Inc. 29

Horizon で Access Point をシームレスにデプロイするための要件を確認してください。

n Access Point アプライアンスが Horizon Server の前にあるロードバランサを参照する場合、Horizon Serverインスタンスは動的に選択されます。

n Access Point は、Horizon セキュリティサーバの代わりとなります。

n ポート 443 が Blast TCP/UDP で利用可能である必要があります。

n Horizon と一緒に Access Point がデプロイされている場合、Blast Secure Gateway と PCoIP Secure Gatewayが有効である必要があります。これにより、表示プロトコルが、Access Point を介して自動的にプロキシとして確実に動作させることができます。BlastExternalURL および pcoipExternalURL 設定は、Access Point にある適切なゲートウェイを介して、これらの表示プロトコルの接続をルーティングするために Horizon Client によって使用される接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユー

ザーの代理として確実に制御されるため、セキュリティが向上します。認証されていない表示プロトコルのトラ

フィックは、Access Point によって無視されます。

n View 接続サーバインスタンスのセキュアゲートウェイを無効にし、これらのゲートウェイを Access Point アプライアンスで有効にします。

View セキュリティサーバとの主な違いは、Access Point が次のようになることです。

n 安全なデプロイ環境。Access Point は、セキュリティが強化され、ロックダウンされた構成済みの Linux ベースの仮想マシンとして実装されます。

n 優れた拡張性。 Access Point を個別の View 接続サーバに接続したり、複数の View 接続サーバの前にあるロードバランサを介して View 接続サーバに接続したりして、高可用性を向上することもできます。Horizon Clientとバックエンドの View 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。


VMware, Inc. 30

図 4‑1. ロードバランサを参照する Access Point アプライアンス

負荷分散

負荷分散

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server

AccessPoint



DMZ

また、個別のサーバインスタンスを参照する 1 台以上の Access Point アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Access Point アプライアンスに接続されたロードバランサを使用します。


VMware, Inc. 31

図 4‑2. Horizon Server インスタンスを参照する Access Point アプライアンス

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server

負荷分散


DMZ

AccessPoint


認証

ユーザー認証は、View セキュリティサーバと非常に似ています。Access Point では次のユーザー認証方法がサポートされています。

n Active Directory のユーザー名とパスワード

n キオスクモード。キオスクモードの詳細については、Horizon のドキュメントを参照してください。

n SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証

n さまざまなサードパーティセキュリティベンダーの 2 要素認証ソリューションによる RADIUS

n スマートカード、CAC、または PIV X.509 ユーザー証明書

n SAML


VMware, Inc. 32

これらの認証方法は、View 接続サーバと組み合わせてサポートされます。Access Point は、Active Directory と直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる View 接続サーバを介するプロキシとして動作します。認証ポリシーに従ってユーザーセッションが認証されると、Access Point は資格情報に関する要求とデスクトップやアプリケーションの起動要求を View 接続サーバに転送できるようになります。また、Access Point は承認されているプロトコルトラフィックのみを転送できるようにデスクトップやアプリケーションプロトコルハンドラを管理します。

Access Point は、スマートカード認証に対応しています。無効になっている X.509 証明書を確認するためなど、Access Point が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。

Horizon 設定の構成Horizon View と Horizon Air Hybrid-Mode から Access Point をデプロイできます。VMware Horizon の Viewコンポーネントでは、Access Point アプライアンスは View セキュリティサーバが以前に果たしていた役割と同じ役割を果たします。

手順


2 [全般設定] > [Edge サービス設定] の行で、[表示] をクリックします。

3 [Horizon 設定] のギアアイコンをクリックします。

4 [Horizon 設定] ページで、[いいえ] を [はい] に変更して、Horizon を有効にします。

5 Horizon の次の Edge サービス設定リソースを構成します。


識別子デフォルトで View に設定されます。Access Point が View XML プロトコルを使用するサーバ（View 接続サーバ、Horizon Air、Horizon Air ハイブリッドモードなど）と通信できます。

接続サーバ URL Horizon Server またはロードバランサのアドレスを入力します。https://00.00.00.00 のように入力します。

プロキシ接続先の URL のサムプリント Horizon Server のサムプリントのリストを入力します。

サムプリントのリストを指定しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。16 進数のサムプリントを入力します。たとえば、sha=C3 89 A219 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。


VMware, Inc. 33

6 認証方法のルールや他の詳細設定を構成するには、[詳細表示] をクリックします。


認証方法使用する認証方法を選択します。

デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Access Pointで構成した認証方式は、ドロップダウンメニューに表示されます。

認証を構成するときには、最初の認証が失敗した場合に適用する 2 番目の認証方法を追加します。

a 最初のドロップダウンメニューから認証方法を 1 つ選択します。

b [+] をクリックして、[AND] または [OR] を選択します。

c 3 番目のドロップダウンメニューから 2 番目の認証方法を選択します。

2 つの認証方法を使用してユーザーを認証するように要求するには、ドロップダウンリストで [OR] を [AND] に変更します。

健全性チェック URL ロードバランサが構成されている場合、ロードバランサが接続して Access Point アプライアンスの健全性をチェックするために使用する URL を入力します。

SAML SP View XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、構成されているサービスプロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。

PCoIP 有効 [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。

プロキシ外部 URL Access Point アプライアンスの外部 URL を入力します。クライアントは、この URL を使用し、PCoIP Secure Gateway を介して安全に接続します。この接続は、PCoIP トラフィック用に使用されます。デフォルトは、Access Point の IP アドレスとポート 4172 です。

スマートカードヒントプロンプト [いいえ] を [はい] に変更して、スマートカードユーザー名のヒント機能を Access Point アプライアンスでサポートします。スマートカードのヒント機能を利用すると、1 人のユーザーのスマートカード証明書を複数の Active Directory ドメインユーザーアカウントにマッピングできます。

Blast 有効 Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。

Blast 外部 URL Blast Secure Gateway を介して Web ブラウザから安全に接続するためにエンドユーザーが使用する Access Point アプライアンスの FQDN URL を入力します。https://exampleappliance:443 のように入力します。

トンネル有効 View セキュアトンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、View Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディアリダイレクト (MMR) トラフィック用に使用されます。

トンネル外部 URL Access Point アプライアンスの外部 URL を入力します。設定されない場合には、AccessPoint のデフォルト値が使用されます。

Windows ユーザー名と一致 [いいえ] を [はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。

ゲートウェイの場所 [いいえ] を[はい] に変更すると、要求の送信元の場所が有効になります。セキュリティサーバと Access Point が、ゲートウェイの場所を設定します。場所は、外部または内部のいずれかです。

Windows SSO 有効 [いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。Windows ログインでは、初めての正常な RADIUS アクセス要求で使用された認証情報が使用されます。



VMware, Inc. 34

リバースプロキシとしての Access Point のデプロイAccess Point は、Web リバースプロキシとして使用でき、DMZ で簡易リバースプロキシまたは認証リバースプロキシとして動作させることができます。

導入シナリオ

Access Point は、VMware Identity Manager のオンプレミスデプロイのために安全なリモートアクセスを提供します。Access Point アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。VMware Identity Manager では、Access Point アプライアンスは、ユーザーのブラウザとデータセンター内のVMware Identity Manager サービスとの間の Web リバースプロキシとして動作します。Access Point は、VMware Identity Manager カタログへのリモートアクセスを有効にし、Horizon アプリケーションを起動します。

VMware Identity Manager を使用した Access Point のデプロイ要件

n スプリット DNS

n VMware Identity Manager アプライアンスには、ホスト名として完全修飾ドメイン名 (FQDN) が必要です。


VMware, Inc. 35

n Access Point は内部 DNS を使用する必要があります。つまり、proxyDestinationURL で FQDN を使用する必要があります。

図 4‑3. コネクタを参照する Access Point アプライアンス

内部ロードバランサmyconnector.mycompany.com

社内ゾーン

DMZ

HTTPS (443)

HTTPS (443)

HTTPS (443)

ラップトップ

ラップトップ

PC

PC

コネクタ-VAクラスタ

社内 LANユーザー

DNS/NTPサービス

RSASecurID

AD/ディレクトリサービス

Access Point アプライアンス

mycompany.vmwareidentity.com

HTTPS (443)

リバースプロキシについて

ソリューションとしての Access Point は、リモートユーザーがシングルサインオンでリソースにアクセスできるように、アプリケーションポータルへのアクセスを提供します。認証リバースプロキシは、Edge Service Managerで有効にします。現在、RSA SecurID と RADIUS の認証方法がサポートされています。

注意 Web リバースプロキシで認証を有効にする前に、ID プロバイダメタデータを生成する必要があります。


VMware, Inc. 36

Access Point によって、ブラウザベースのクライアント認証の有無に関わらず、VMware Identity Manager およびWeb アプリケーションにリモートからアクセスして、Horizon デスクトップを起動できるようになります。

n ブラウザベースのクライアントでは、認証方式として RADIUS と RSA SecurID の使用がサポートされます。

リバースプロキシは、VMware Identity Manager 向けの Access Point 2.8 リリースでのみサポートされ、Confluence や WIKI などの社内の Web リソースでの利用に制限されます。今後、リソースのリストは拡張される予定です。

注意 authCookie および unSecurePattern プロパティは、Authn リバースプロキシでは無効になります。

認証方法を定義するには authMethods プロパティを使用する必要があります。

VMware Identity Manager のリバースプロキシの構成VMware Identity Manager とともに Access Point を使用するように Web リバースプロキシサービスを構成できます。

開始する前に

VMware Identity Manager を使用して Access Point を導入するための要件

n スプリット DNS

n VMware Identity Manager サービスには、ホスト名として完全修飾ドメイン名 (FQDN) を関連付ける必要があります。

n Access Point は内部 DNS を使用する必要があります。つまり、proxyDestination URL で FQDN を使用する必要があります。

手順


2 [全般設定] > [Edge サービス設定] の行で、[表示] をクリックします。

3 [リバースプロキシの設定] のギアアイコンをクリックします。

4 [リバースプロキシの設定] ページで、[いいえ] を [はい] に変更して、リバースプロキシを有効にします。

5 Horizon の次の Edge サービス設定リソースを構成します。


識別子 Edge サービスの識別子は、WEB_REVERSE_PROXY に設定されます。

プロキシ接続先の URL VMware Identity Manager サーバのアドレスを入力します。たとえば、https://vmwareidentitymgr.example.com のように入力します。


VMware, Inc. 37


プロキシ接続先の URL サムプリント proxyDestination URL に使用できる SSL サーバ証明書のサムプリントのリストを入力します。ワイルドカード * を含めると、すべての証明書が許可されます。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A3C 33 F2 95 C3 のようになります。

サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシパターン宛先 URL に転送する一致する URI パスを入力します。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入

力します。

6 その他の詳細設定を構成するには、[詳細] をクリックします。


認証方法デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Access Pointで構成した認証方式は、ドロップダウンメニューに表示されます。Access Point で構成した認証方式は、ドロップダウンメニューに表示されます。

健全性チェック URL ロードバランサが構成されている場合、ロードバランサが接続して Access Point アプライアンスの健全性をチェックするために使用する URL を入力します。

SAML SP View XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、構成されているサービスプロバイダのメタデータの名前と一致するか、DEMO という特別な値

でなければなりません。

アクティベーションコード VMware Identity Manager サービスによって生成され、Access Point にインポートされ、VMware Identity Manager と Access Point 間の信頼を確立するコードを入力します。

外部 URL デフォルト値は、Access Point のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。


AirWatch Tunnel による Access Point のデプロイAccess Point アプライアンスは DMZ 上にデプロイされます。デプロイする場合には、エージェントやトンネルプロキシサービスなどの Access Point のコンポーネントと AirWatch のコンポーネントをインストールします。

AirWatch 環境に AirWatch Tunnel をデプロイするときには、初期ハードウェアのセットアップ、サーバ情報の構成、AirWatch 管理コンソールでのアプリケーションの設定、インストーラファイルのダウンロード、AirWatchTunnel サーバでのインストーラの実行を行います。

OVF のインストールが完了し、値を変更した後に、各 Edge サービスを手動で設定できます。

AirWatch を使用した Access Point の導入の詳細については、https://resources.air-watch.com/view/vb7zp7wwhpw756m2pfxy を参照してください。


VMware, Inc. 38

https://resources.air-watch.com/view/vb7zp7wwhpw756m2pfxy

https://resources.air-watch.com/view/vb7zp7wwhpw756m2pfxy

AirWatch のためのトンネルプロキシのデプロイトンネルプロキシのデプロイ環境では、エンドユーザーのデバイスと AirWatch から VMware Browser モバイルアプリケーションを介する Web サイト間のネットワークトラフィックのセキュリティが保護されます。

このモバイルアプリケーションは、トンネルプロキシサーバと安全な HTTPS 接続を確立して、機密データを保護します。AirWatch トンネルプロキシで自社アプリケーションを使用するには、AirWatch SDK がこの自社アプリケーションに組み込まれており、このコンポーネントによってトンネル機能が追加されていることを確認します。

図 4‑4. トンネルプロキシのデプロイ環境

SaaS 基本（エンドポイント専用）モデル

AW トンネルのある AP ゲートウェイ

エンドユーザーデバイス

内部リソース：- SharePoint- WIKI- イントラネット


VMwareAir Watch

443

80/443

2020,8443

DMZ

AirWatch による Per-App トンネルのデプロイPer-App トンネルをデプロイした環境では、自社およびパブリックアプリケーションの両方が、安全な社内ネットワークにある社内リソースに安全にアクセスできます。

この場合、iOS 7 以降や Android 5.0 以降などのオペレーティングシステムで提供される Per-App 機能が使用されます。これらのオペレーティングシステムは、モビリティ管理者に承認された特定のアプリケーションだけが社内のリソースにアクセスできるようにします。このソリューションを使用する利点は、モバイルアプリケーションでコードを変更する必要がないことです。オペレーティングシステムでサポートされているため、他の独自のソリューションと比べて、シームレスなユーザー環境と高度なセキュリティが提供されます。


VMware, Inc. 39

図 4‑5. Per-App トンネルのデプロイ環境

オンプレミス基本（エンドポイント専用）モデル

AW トンネルのある AP ゲートウェイデバイスサービス/

AWCM/API

内部リソース：- SharePoint- WIKI- イントラネット


DMZ

443

80/443

2020,8443

443, 2001

エンドユーザーデバイス

AirWatch 向けの Per-App トンネルとプロキシ設定の構成トンネルプロキシのデプロイ環境では、エンドユーザーのデバイスと VMware Browser モバイルアプリケーションを介する Web サイト間のネットワークトラフィックのセキュリティが保護されます。

手順


2 [全般設定] ＞[Edge サービス設定] の行で、[表示] をクリックします。

3 [Per App トンネルおよびプロキシ設定] ギアアイコンをクリックします。

4 [いいえ] を [はい] に変更すると、トンネルプロキシが有効になります。

5 次の Edge サービス設定を構成します。


識別子デフォルトで View に設定されます。Access Point が View XML プロトコルを使用するサーバ（View 接続サーバ、Horizon Air、Horizon Air ハイブリッドモードなど）と通信できます。

API サーバ URL AirWatch API サーバの URL を入力します。たとえば、https://example.com:<port> のように入力します。

API サーバのユーザー名 API サーバにログインするユーザー名を入力します。

API サーバのパスワード API サーバにログインするパスワードを入力します。

組織グループコードユーザーの組織を入力します。

AirWatch サーバのホスト名 AirWatch サーバのホスト名を入力します。


VMware, Inc. 40

6 その他の詳細設定を構成するには、[詳細] をクリックします。


AirWatch 送信プロキシ [いいえ] を [はい] に変更すると、トンネルプロキシサービスが開始されます。

送信プロキシのホスト送信プロキシがインストールされるホスト名を入力します。

注意これは、トンネルプロキシではありません。

送信プロキシのポート送信プロキシのポート番号を入力します。

送信プロキシのユーザー名送信プロキシにログインするユーザー名を入力します。

送信プロキシのパスワード送信プロキシにログインするパスワードを入力します。

NTLM 認証 [いいえ] を [はい] に変更して、送信プロキシで NTLM 認証を要求することを指定します。

AirWatch トンネルプロキシに使用 [いいえ] を [はい] に変更して、このプロキシを AirWatch トンネルの送信プロキシとして使用します。有効にしないと、Access Point はこのプロキシを最初の API コールに使用して、AirWatch 管理コンソールから構成情報を取得します。



VMware, Inc. 41

TLS/SSL 証明書を使用した AccessPoint の構成 5Access Point アプライアンスでは TLS/SSL 証明書を構成する必要があります。

注意 Access Point アプライアンスに構成する TLS/SSL 証明書は、Horizon View、Horizon Air Hybrid-Mode、Web リバースプロキシのみに適用されます。

Access Point アプライアンスの TLS/SSL 証明書の構成クライアントが Access Point アプライアンスに接続するには、TLS/SSL が必要です。クライアントに面したAccess Point アプライアンスと、TLS/SSL 接続を終了させる中間サーバには、TLS/SSL サーバ証明書が必要です。

TLS/SSL サーバ証明書は、認証局 (CA) によって署名されています。CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼された CA によって署名されている場合は、証明書の検証を求めるメッセージは表示されず、追加の構成をしなくてもシンクライアントデバイスから接続できます。

デフォルトの TLS/SSL サーバ証明書は、Access Point アプライアンスのデプロイ時に生成されます。本番環境では、デフォルト証明書をできるだけ早く置き換えることをお勧めします。デフォルト証明書は、信頼された CA によって署名されていません。デフォルト証明書は、本番環境以外でのみ使用してください。

正しい証明書タイプの選択

Access Point では、異なるタイプの TLS/SSL 証明書を使用できます。デプロイに適したタイプの証明書を選択することが重要です。各タイプの証明書は、証明書を使用できるサーバの数に応じてコストが異なります。

どのタイプの証明書を選択した場合でも、証明書の完全修飾ドメイン名 (FQDN) を使用し、VMware のセキュリティに関する推奨事項に従ってください。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

単一サーバ名証明書

特定のサーバのサブジェクト名を含む証明書を生成できます。たとえば、dept.example.com のような証明書で

す。

このタイプの証明書が役立つのは、たとえば、証明書を必要とする Access Point アプライアンスが 1 つのみの場合です。

証明書署名要求を CA に送信するときは、証明書に関連付けられたサーバ名を指定します。ユーザーが指定したサーバ名を Access Point アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

VMware, Inc. 42

サブジェクトの別名

サブジェクトの別名 (SAN) は、発行する証明書に追加できる属性です。この属性は、証明書にサブジェクト名 (URL)を追加して、複数のサーバを検証できるようにするために使用します。

たとえば、ロードバランサの背後にある Access Point アプライアンスに対して、ap1.example.com、

ap2.example.com、および ap3.example.com という 3 つの証明書が発行されるとします。ロードバランサ

のホスト名を表すサブジェクトの別名（この例では、horizon.example.com など）を追加することにより、証

明書は、クライアントが指定したホスト名に一致するため、有効になります。

ワイルドカード証明書

ワイルドカード証明書は、複数のサービスで使用できるようにするために生成されます。たとえば、*.example.com

のような証明書です。

ワイルドカードは、多数のサーバが証明書を必要とする場合に便利です。Access Point アプライアンスの他に、環境内の他のアプリケーションが TLS/SSL 証明書を必要とする場合は、それらのサーバに対してもワイルドカード証明書を使用できます。ただし、他のサービスと共有されるワイルドカード証明書を使用する場合、VMware Horizon 製品のセキュリティは、それらのサービスのセキュリティにも依存します。

注意ワイルドカード証明書は、単一レベルのドメインでのみ使用できます。たとえば、*.example.com という

サブジェクト名を含むワイルドカード証明書は、サブドメイン dept.example.com では使用できますが、

dept.it.example.com では使用できません。

Access Point アプライアンスにインポートする証明書は、クライアントマシンによって信頼される必要があります。また、ワイルドカードまたはサブジェクトの別名 (SAN) 証明書を使用して Access Point のすべてのインスタンスと任意のロードバランサに適用できる必要もあります。

証明書ファイルの 1 行 PEM 形式への変換Access Point REST API を使用して証明書設定を構成したり、 PowerShell スクリプトを使用したりするには、証明書を証明書チェーンおよびプライベートキーの PEM 形式のファイルに変換し、.pem ファイルを埋め込み改行文字

を含む 1 行形式に変換する必要があります。

Access Point を構成する場合、変換の必要が生じる可能性がある証明書のタイプは 3 つ考えられます。

n 必ず Access Point アプライアンス用に TLS/SSL サーバ証明書をインストールして構成する必要があります。

n スマートカード認証を使用する予定の場合、スマートカードに配置する証明書用に信頼された CA が発行する証明書をインストールして構成する必要があります。

n スマートカード認証を使用する予定の場合、Access Point アプライアンスにインストールされる SAML サーバ証明書用に CA が署名したルート証明書をインストールして構成することを推奨します。

これらすべての証明書のタイプで、証明書を証明書チェーンが含まれる PEM 形式に変換するために同じ手順を実行します。TLS/SSL サーバ証明書とルート証明書の場合、各ファイルをプライベートキーが含まれる PEM ファイルにも変換します。次に、各 .pem ファイルを JSON 文字列で Access Point REST API に渡すことのできる 1 行形式に

変換する必要があります。


VMware, Inc. 43

開始する前に

n 証明書ファイルがあることを確認します。このファイルは PKCS#12（.p12 または .pfx）形式、あるいは Java

JKS または JCEKS 形式にできます。

n 証明書を変換するために使用する openssl コマンドラインツールについて理解しておきます。

https://www.openssl.org/docs/apps/openssl.htmlを参照してください。

n 証明書が Java JKS または JCEKS 形式の場合、.pem ファイルに変換する前に、最初に証明書を .p12 また

は .pks 形式に変換するための Java keytool コマンドラインツールについて理解しておきます。

手順

1 証明書が Java JKS または JCEKS 形式の場合、keytool を使用して証明書を .p12 または .pks 形式に変換し

ます。

重要この変換中、変換元と変換先で同じパスワードを使用します。

2 証明書が PKCS#12（.p12 または .pfx）形式の場合、または証明書を PKCS#12 形式に変換した後には、

openssl を使用して証明書を .pem ファイルに変換します。

たとえば、証明書の名前が mycaservercert.pfx の場合、次のコマンドを使用して証明書を変換します。

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemopenssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercert.pemopenssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 mycaservercert.pem を編集し、不要な証明書エントリをすべて削除します。このファイルには、1 つの

SSL サーバ証明書の後に、必要なすべての中間 CA 証明書とルート CA 証明書を含めてください。

4 次の UNIX コマンドを使用して各 .pem ファイルを JSON 文字列で Access Point REST API に渡すことのでき

る値に変換します。

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' <cert-name>.pem

この例で、<cert-name>.pem は証明書ファイルの名前です。

この新しい形式では、埋め込み改行文字を含む 1 行に証明書のすべての情報が置かれます。中間証明書がある場合は、中間証明書も 1 行形式に変換し、最初の証明書に追加して両方の証明書が同じ行に存在するようにしてください。

これで、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to DeployVMware Access Point」に添付されている PowerShell スクリプトをこれらの .pem ファイルとともに使用して、

Access Point の証明書を構成できるようになりました。または、JSON 要求を作成し、これを使用して証明書を構成することもできます。


VMware, Inc. 44

https://www.openssl.org/docs/apps/openssl.html


次に進む前に

TLS/SSL サーバ証明書を変換した場合、「Access Point のデフォルト TLS/SSL サーバ証明書の置換」を参照してください。スマートカード認証については、「Access Point アプライアンスでの証明書またはスマートカード認証の構成」を参照してください。

Access Point のデフォルト TLS/SSL サーバ証明書の置換信頼された CA が署名した TLS/SSL サーバ証明書を Access Point アプライアンスに保存するには、証明書を適切な形式に変換し、PowerShell スクリプトまたは Access Point REST API を使用して証明書を構成する必要があります。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。Access Point アプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。

重要信頼された CA によって署名された証明書を、その有効期限が切れる前に定期的に（たとえば、2 年ごとに）置換する場合も、この手順を使用します。

この手順では、REST API を使用して証明書を置き換える方法について説明します。または、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to Deploy VMwareAccess Point」に添付されている PowerShell スクリプトを使用することで、より簡単に行える場合もあります。指定した Access Point アプライアンスがすでにデプロイされている場合、スクリプトを再度実行するとアプライアンスがパワーオフされ削除されて、指定した現在の設定で再デプロイされます。

開始する前に

n 有効な TLS/SSL サーバ証明書とその秘密鍵がまだない場合は、認証局から新しい署名証明書を取得します。証明書を取得するために証明書署名要求 (CSR) を生成するときは、秘密鍵も生成されることを確認します。サーバの証明書を生成するときは、1024 未満の KeyLength 値を使用しないでください。

CSR を生成するには、クライアントデバイスが Access Point アプライアンスに接続する際に使用する完全修飾ドメイン名 (FQDN) と、組織単位、組織、市区町村、都道府県、国を理解して、サブジェクト名を作成する必要があります。

n 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。「証明書ファイルの 1 行

PEM 形式への変換」を参照してください。

n Access Point REST API について理解しておきます。この API の仕様は、Access Point がインストールされている仮想マシンの次の URL で使用できます：https://<access-point-

appliance.example.com>:9443/rest/swagger.yaml。

手順

1 証明書を Access Point アプライアンスに送信するための JSON 要求を作成します。

{ "privateKeyPem": "<string>", "certChainPem": "<string>"}

この例で、<string> 値は前提条件で説明したように作成した JSON の 1 行 PEM 値です。


VMware, Inc. 45


2 JSON 要求を使用して Access Point REST API を起動し、証明書と鍵を Access Point アプライアンスに保存するには、curl や postman などの REST クライアントを使用します。

次の例では curl コマンドを使用します。この例では、<access-point-appliance.example.com> が

Access Point アプライアンスの完全修飾ドメイン名で、<cert>.json が、前の手順で作成した JSON 要求です。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://<access-point-appliance.example.com>:9443/rest/v1/config/certs/ssl < ~/<cert>.json

次に進む前に

証明書を署名した CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。

TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更ほとんどの場合、デフォルト設定を変更する必要はありませんが、クライアントと Access Point アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは構成できます。

デフォルト設定では、匿名 DH アルゴリズムを除く 128 ビットまたは 256 ビット AES 暗号化のいずれかを使用する暗号化スイートが含まれており、これらは強度によって並べ替えられます。デフォルトでは、TLS v1.1 と TLS v1.2が有効になっています TLS v1.0 と SSL v3.0 は無効になっています。

開始する前に

n Access Point REST API について理解しておきます。この API の仕様は、Access Point がインストールされている仮想マシンの次の URL で使用できます：https://<access-point-

appliance.example.com>:9443/rest/swagger.yaml。

n 暗号化スイートとプロトコルを構成するための次に示す特定のプロパティについて理解しておきます。

cipherSuites、ssl30Enabled、tls10Enabled、tls11Enabled、および tls12Enabled。

手順

1 使用するプロトコルと暗号化スイートを指定するための JSON 要求を作成します。

次の例ではデフォルト設定になっています。

{"cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA", "ssl30Enabled": "false", "tls10Enabled": "false", "tls11Enabled": "true", "tls12Enabled": "true"}


VMware, Inc. 46

2 curl や postman などの REST クライアントを使用し、JSON 要求を使用して Access Point REST API を呼び

出し、プロトコルと暗号化スイートを構成します。

この例で、<access-point-appliance.example.com> は Access Point アプライアンスの完全修飾ドメイン名です。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://<access-point-appliance.example.com>:9443/rest/v1/config/system < ~/<ciphers>.json

<ciphers>.json は前の手順で作成した JSON 要求です。

指定した暗号化スイートとプロトコルが使用されます。


VMware, Inc. 47

DMZ での認証の設定 6VMware Access Point を最初にデプロイするときに、Active Directory のパスワード認証がデフォルトとしてセットアップされます。ユーザーが Active Directory のユーザー名とパスワードを入力すると、これらの資格情報が認証のためにバックエンドシステムを介して送信されます。

証明書/スマートカード認証、RSA SecurID 認証、RADIUS 認証、および RSA Adaptive Authentication を実行するように Access Point サービスを設定できます。

注意 Active Directory によるパスワード認証は、AirWatch のデプロイ環境で使用できる唯一の認証方法です。


n Access Point アプライアンスでの証明書またはスマートカード認証の構成

n Access Point での RSA SecurID Authentication の構成

n Access Point での RADIUS の構成

n Access Point での RSA Adaptive Authentication の構成

n Access Point SAML メタデータの生成

Access Point アプライアンスでの証明書またはスマートカード認証の構成

Access Point で X.509 証明書認証を構成すると、クライアントがデスクトップやモバイルデバイス上の証明書や、スマートカードアダプタを使用して認証できます。

証明書による認証は、ユーザーに提供する物（プライベートキーまたはスマートカード）とユーザーに提供する情報（プライベートキーのパスワードまたはスマートカードの PIN）に基づいて行われます。スマートカード認証は、個人が持っているもの（スマートカード）と個人が知っていること (PIN) の両方を検証することによって、2 要素認証を提供します。エンドユーザーは、スマートカードを使用して、リモート側の View デスクトップオペレーティングシステムにログインしたり、スマートカード対応アプリケーションへのアクセス、たとえば、電子メール署名用の証明書を使用して送信者の ID を証明する電子メールアプリケーションに対して、スマートカードを使用することもできます。

この機能を使用すると、Access Point サービスに対してスマートカード証明書の認証が実行されます。Access Pointは、SAML アサーションを使用してエンドユーザーの X.509 証明書とスマートカードの PIN に関する情報を HorizonServer とやりとりします。

VMware, Inc. 48

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。証明書は、ユーザー

が組織を離れたとき、スマートカードを紛失したとき、別の部門に異動したときなどに失効します。証明書失効リスト (CRL) とオンライン証明書ステータスプロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA によって公開される、失効した証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

同じ証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、[OCSP の障害時に CRL を使用する] チェックボックスを有効にしている場合、OCSP が最初にチェックされ、OCSP で障害が発生した場合には、CRL に戻って失効チェックが実行されます。CRL で障害が発生した場合、OCSPに戻って失効チェックが実行されることはありません。

また、Access Point がスマートカード認証を要求するように認証を設定することもできますが、その場合、認証はサーバにもパススルーされるため、Active Directory 認証が必要になる場合があります。

注意 VMware Identity Manager の場合、認証は常に、Access Point を介して VMware Identity Manager サービスに渡されます。Access Point が Horizon 7 と併用されている場合のみ、Access Point アプライアンスでスマートカード認証が実行されるように構成できます。

Access Point での証明書認証の構成証明書による認証は、Access Point の管理コンソールから有効にして設定します。

開始する前に

n ユーザーから提示された証明書に署名した認証局 (CA) からルート証明書と中間証明書を入手します。「証明機関の証明書の取得」を参照してください。

n Access Point の SAML メタデータがサービスプロバイダに追加され、サービスプロバイダの SAML メタデータが Access Point アプライアンスにコピーされていることを確認します。

n （オプション）証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

n 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。

n （オプション）OCSP 応答署名証明書ファイルの場所。

n 認証の前に同意書が表示される場合には、同意書の内容。

手順


2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

3 X.509 証明書の行でギアアイコンをクリックします。

4 X.509 証明書のフォームを構成します。

アスタリスクは、必須のテキストボックスを示します。他のすべてのテキストボックスはオプションです。


X.509 証明書を有効にする [いいえ] を [はい] に変更すると、証明書認証が有効になります。

*名前この認証方法の名前を指定します。


VMware, Inc. 49


*ルートおよび中間 CA 証明書 [選択] をクリックして、アップロードする証明書ファイルを選択します。DER または PEMとしてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。

CRL キャッシュサイズ証明書失効リストのキャッシュサイズを入力します。デフォルトは 100 です。

証明書の失効を有効にする [いいえ] を [はい] に変更すると、証明書の失効チェックが有効になります。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。

証明書の CRL を使用証明書を発行した認証局 (CA) が公開する証明書失効リスト (CRL) を使用して証明書のステータス（失効しているかどうか）を確認するには、このチェックボックスをオンにします。

CRL の場所 CRL を取得するサーバのファイルパスまたはローカルファイルパスを入力します。

OCSP の失効を有効にする証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェックボックスをオンにします。

OCSP で障害が発生したときに CRL を使用 CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェックボックスをオンにします。

OCSP Nonce を送信する応答時に、OCSP 要求の一意の ID を送信する場合は、このチェックボックスをオンにします。

OCSP URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバアドレスを入力します。

OCSP レスポンダが署名した証明書レスポンダの OCSP 証明書のパスを入力します。たとえば、</path/to/file.cer> のようになります。

認証前に同意書を有効にするユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェックボックスをオンにします。

同意書の内容同意書に表示するテキストをここに入力します。


次に進む前に

X.509 証明書認証を構成し、ロードバランサの背後で Access Point アプライアンスがセットアップされている場合、ロードバランサで Access Point が SSL パススルーで構成されており、ロードバランサで SSL を終端させないように構成します。この構成では、Access Point とクライアント間で SSL ハンドシェークを確実に実行し、Access Pointに証明書を渡すことができます。

証明機関の証明書の取得

ユーザーまたは管理者が提示したスマートカード上のすべての信頼されたユーザー証明書について、該当するすべての CA（証明機関）の証明書を取得する必要があります。これらの証明書にはルート証明書が含まれ、ユーザーのスマートカード証明書が中間証明機関によって発行された場合には中間証明書が含まれる場合があります。

ユーザーおよび管理者によって提示されたスマートカード上の証明書に署名した CA のルート証明書または中間証明書を持っていない場合、CA が署名したユーザー証明書またはそれを含むスマートカードから証明書をエクスポートできます。「Windows からの CA 証明書の取得」を参照してください。


VMware, Inc. 50

手順

u CA の証明書は次のいずれかの発行元から取得します。

n Microsoft Certificate Services を実行する Microsoft IIS サーバ。Microsoft IIS のインストール、証明書の発行、および組織内での証明書配布の詳細については、Microsoft TechNet の Web サイトを参照してください。

n 信頼された CA の公開ルート証明書。これは、スマートカードインフラストラクチャがすでに使用されていて、スマートカードの配布および認証方法が標準化されている環境で最もよく利用されるルート証明書の発行元です。

Windows からの CA 証明書の取得

CA が署名したユーザー証明書またはそれを含むスマートカードがあり、Windows でルート証明書が信頼される場合は、そのルート証明書を Windows からエクスポートできます。ユーザー証明書の発行元が中間証明機関である場合は、その証明書をエクスポートできます。

手順

1 ユーザー証明書がスマートカード上にある場合は、そのスマートカードをリーダに挿入して、ユーザー証明書を個人用ストアに追加します。

ユーザー証明書が個人用ストアに表示されない場合は、リーダソフトウェアを使用してユーザー証明書をファイルにエクスポートします。このファイルは、この操作の手順 4 で使用されます。

2 Internet Explorer で [ツール] - [インターネットオプション] を選択します。

3 [コンテンツ] タブで [証明書] をクリックします。

4 [個人] タブで、使用する証明書を選択し、[表示] をクリックします。

ユーザー証明書がリストに表示されない場合は、[インポート] をクリックして手動でファイルからインポートします。証明書がインポートされると、その証明書をリストから選択できます。

5 [証明のパス] タブで、ツリーの最上位にある証明書を選択して [証明書を表示] をクリックします。

ユーザー証明書が信頼階層の一部として署名されている場合は、署名する証明書が別の上位の証明書によって署

名されていることがあります。親証明書（ユーザー証明書に実際に署名した証明書）をルート証明書として選択

してください。場合によっては発行元が中間 CA となります。

6 [詳細] タブで [ファイルにコピー] をクリックします。

[証明書のエクスポートウィザード] が表示されます。

7 [次へ] - [次へ] をクリックし、エクスポートするファイルの名前と場所を入力します。

8 [次へ] をクリックして、指定した場所にファイルをルート証明書として保存します。


VMware, Inc. 51

Access Point での RSA SecurID Authentication の構成Access Point アプライアンスを RSA SecurID サーバの認証エージェントとして構成したら、Access Point アプライアンスに RSA SecurID の構成情報を追加する必要があります。

開始する前に

n RSA Authentication Manager（RSA SecurID サーバ）がインストールされ、正しく構成されていることを確認します。

n 圧縮ファイル sdconf.rec を RSA SecurID サーバからダウンロードし、サーバ構成ファイルを展開します。

手順



3 RSA SecurID の行でギアアイコンをクリックします。

4 [RSA SecurID] ページを構成します。

RSA SecurID サーバで使用される情報と生成されるファイルは、[SecurID] ページを構成する際に必要です。

オプションアクション

RSA SecurID を有効にする

[いいえ] を [はい] に変更すると、SecurID 認証が有効になります。

*名前名前は securid-auth です。

*反復回数許可される認証試行回数を入力します。これは、RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数です。デフォルトは、5 回です。

注意複数のディレクトリが構成されており、追加のディレクトリを使用して RSA SecurID 認証を実装するときは、各 RSASecurID と同じ値を [許可されている認証試行回数] に設定します。この値が同一でない場合、SecurID 認証は失敗します。

*外部ホスト名 Access Point インスタンスの IP アドレスを入力します。入力する値は、認証エージェントとして Access Point アプライアンスを RSA SecurID サーバに追加するときに使用した値と一致する必要があります。

*内部ホスト名 RSA SecurID サーバの [IP アドレス] プロンプトに割り当てられている値を入力します。

*サーバ構成 [変更] をクリックして、RSA SecurID サーバの構成ファイルをアップロードします。最初に、RSA SecurID サーバから圧縮ファイルをダウンロードしてサーバ構成ファイル（デフォルトの名前は sdconf.rec）を解凍する必要があります。

*名前 ID のサフィックス

View が TrueSSO 環境を提供できるようにする nameId を入力します。

Access Point での RADIUS の構成RADIUS 認証の使用をユーザーに要求するように Access Point を構成できます。Access Point アプライアンスでRADIUS サーバ情報を構成します。

RADIUS サポートは、さまざまな代替 2 要素トークンベースの認証オプションを提供します。RADIUS などの二要素認証ソリューションは、別のサーバでインストールされている認証マネージャと連携動作するため、Identity Managerサービスにアクセスできる構成済みの RADIUS サーバが必要となります。


VMware, Inc. 52

ユーザーがログインするときに RADIUS 認証が有効になっていると、特別なログインダイアログボックスがブラウザに表示されます。ユーザーは RADIUS 認証のユーザー名とパスコードをログインダイアログボックスに入力します。RADIUS サーバがアクセスチャレンジを発行する場合は、Access Point によって、2 つ目のパスコードの入力を求めるダイアログボックスが表示されます。RADIUS チャレンジの現在のサポートは、テキスト入力に対するプロンプトの表示に限られます。

ユーザーがダイアログボックスに認証情報を入力したら、ユーザーの携帯電話に対し、コードとともに、RADIUSサーバから SMS テキストメッセージやメールを送信したり、他の何らかのアウトオブバンドメカニズムを使用してテキストを送信したりできます。ユーザーはこのテキストとコードをログインダイアログボックスに入力して、認証を完了できます。

Active Directory からユーザーをインポートできる RADIUS サーバの場合、エンドユーザーは、RADIUS 認証のユーザー名とパスコードの入力を求められる前に、まず Active Directory 認証情報の入力を求められることがあります。

RADIUS 認証の構成

Access Point アプライアンスでは、RADIUS 認証を有効にして、RADIUS サーバの構成設定を入力し、認証タイプを RADIUS 認証に変更する必要があります。

開始する前に

n 認証マネージャのサーバとして使用するサーバに RADIUS ソフトウェアがインストールされ構成されていることを確認します。RADIUS サーバをセットアップし、Access Point の RADIUS 要求を構成します。RADIUS サーバの設定に関する詳細については、RADIUS ベンダーのセットアップガイドを参照してください。

次の RADIUS サーバ情報は必須です

n RADIUS サーバの IP アドレスまたは DNS 名。

n 認証ポート番号。認証ポートは、通常 1812 です。

n 認証タイプ。認証タイプには、PAP（パスワード認証プロトコル）、CHAP（チャレンジハンドシェイク認証プロトコル）、MSCHAP1 および MSCHAP2（Microsoft チャレンジハンドシェイク認証プロトコル、バージョン1 および 2）があります。

n RADIUS プロトコルメッセージで暗号化および復号化に使用される RADIUS 共有シークレット。

n RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順



3 RADIUS の行でギアアイコンをクリックします。


RADIUS を有効にする

[いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。

名前* 名前は radius-auth です


VMware, Inc. 53


認証タイプ* RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。

共有シークレット

*RADIUS 共有シークレットを入力します。

許可されている認

証試行回数*RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、3 回です。

RADIUS サーバへの試行回数*

再試行の合計回数を入力します。プライマリサーバが反応しない場合、サービスは決められた時間が経つまで待機してから再試行します。

秒単位のサーバタイムアウト*

RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

RADIUS サーバのホスト名*

RADIUS サーバのホスト名または IP アドレスを入力します。

認証ポート* Radius 認証のポート番号を入力します。ポートは、通常 1812 です。

レルムプリフィックス

（オプション）ユーザーアカウントの場所はレルムと呼ばれます。

レルムのプリフィックス文字列を指定すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に追加されます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとして DOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのフィールドを構成しない場合は、入力したユーザー名だけが送信されます。

レルムのサフィッ

クス

（オプション）レルムのサフィックスを構成すると、その文字列はユーザー名の末尾に追加されます。たとえば、サフィッ

クスが @myco.com の場合は、[email protected] というユーザー名が RADIUS サーバに送信されます。

名前 ID のサフィックス

View が True SSO 環境を提供できるようにする nameId を入力します。

ログインページのパスフレーズのヒ

ント

正しい RADIUS パスコードの入力をユーザーに促すために、ユーザーログインページに表示するテキスト文字列を入力します。たとえば、このフィールドに [Active Directory パスワード、それから SMS パスコード] と設定すると、ログインページのメッセージでは [Active Directory パスワード、それから SMS パスコードを入力してください] のように表示されます。デフォルトのテキスト文字列は、[RADIUS Passcode] です。

セカンダリサーバを有効にする

[いいえ] を [はい] に変更して、セカンダリ RADIUS サーバを構成し高可用性環境を構築します。セカンダリサーバの情報は、手順 3 の説明に従って構成します。


Access Point での RSA Adaptive Authentication の構成RSA Adaptive Authentication は、Active Directory に対するユーザー名とパスワードだけの認証よりも強固な複数要素の認証を実現するよう実装できます。Adaptive Authentication により、リスクレベルとポリシーに基づいて、ユーザーのログイン試行が監視され、認証されます。

Adaptive Authentication が有効になっている場合は、RSA Policy Management アプリケーションでセットアップされるリスクポリシーで指定されたリスク指標、およびアダプティブ認証の Access Point 構成を使用して、ユーザー名とパスワードでユーザー認証を行うかどうかや、ユーザー認証に追加情報が必要かどうかが決定されます。


VMware, Inc. 54

サポートされている RSA Adaptive Authentication 認証方法

Access Point でサポートされている RSA Adaptive Authentication による強固な認証方法は、電話、メール、または SMS テキストメッセージ経由のアウトオブバンド認証とチャレンジ質問です。サービス上で、提供できる RSAAdaptive Authentication 認証方法を有効にします。RSA Adaptive Authentication ポリシーにより、使用されるセカンダリ認証方法が決まります。

アウトオブバンド認証は、ユーザー名とパスワードに加えて、追加検証の送信を必要とするプロセスです。ユーザー

は RSA Adaptive Authentication サーバに登録する際に、サーバ構成に応じて、メールアドレス、電話番号、またはその両方を提供します。追加検証が必要な場合は、提供されたチャネルを使用して、RSA Adaptive Authenticationサーバからワンタイムパスコードが送信されます。ユーザーは、自身のユーザー名とパスワードに加えて、そのパスコードを入力します。

チャレンジ質問では、ユーザーに対し、RSA Adaptive Authentication サーバに登録する際に一連の質問に回答するよう求めます。登録のために尋ねる質問の数、およびログインページで表示するチャレンジ質問の数は設定可能です。

RSA Adaptive Authentication サーバによるユーザーの登録

アダプティブ認証を使用して認証を行うためには、RSA Adaptive Authentication データベースで、ユーザーのプロビジョニングを行う必要があります。ユーザーは、ユーザー名とパスワードで初めてログインしたときに、RSAAdaptive Authentication データベースに追加されます。RSA Adaptive Authentication のサービスでの構成内容に応じて、ユーザーはログインするときにメールアドレス、電話番号、テキストメッセージングサービス番号 (SMS)を提供するよう求められたり、チャレンジ質問に返答するよう求められたりします。

注意 RSA Adaptive Authentication では、ユーザー名での国際文字の使用は許可されていません。ユーザー名でのマルチバイト文字の使用を許可する場合は、RSA サポートに問い合わせて、RSA Adaptive Authentication と RSAAuthentication Manager を構成してください。

Access Point での RSA Adaptive Authentication の構成サービス上で RSA Adaptive Authentication を構成するには、RSA Adaptive Authentication を有効にします。有効にするには、適用するアダプティブ認証方法を選択し、Active Directory の接続情報と証明書を追加します。

開始する前に

n セカンダリ認証に使用する認証方法で正しく構成されている RSA Adaptive Authentication。

n SOAP エンドポイントアドレスおよび SOAP ユーザー名についての詳細。

n Active Directory 構成情報および有効な Active Directory SSL 証明書。

手順



3 RSA Adaptive Authentication の行でギアアイコンをクリックします。


VMware, Inc. 55

4 お使いの環境に適切な設定を選択します。

注意アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。


RSA AA アダプタを有効にする [いいえ] を [はい] に変更すると、RSA Adaptive Authentication が有効になります。

名前* 名前は rsaaa-auth です。

SOAP エンドポイント* RSA Adaptive Authentication アダプタとサービスを統合する SOAP エンドポイントアドレスを入力します。

SOAP ユーザー名* SOAP メッセージへの署名に使用されるユーザー名とパスワードを入力します。

SOAP パスワード* RSA Adaptive Authentication SOAP API のパスワードを入力します。

RSA ドメイン Adaptive Authentication サーバのドメインアドレスを入力します。

OOB メールを有効にする [はい] を選択すると、メールメッセージを使用してエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証が有効になります。

OOB SMS を有効にする [はい] を選択すると、SMS のテキストメッセージを使用してエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証が有効になります。

SecurID を有効にする SecurID を有効にするには、[はい] を選択します。ユーザーは、RSA トークンとパスコードの入力を求められます。

秘密の質問を有効にする認証に登録とチャレンジ質問を使用する場合は、[はい] を選択します。

登録のための質問数* ユーザーが Authentication Adapter サーバに登録するときにセットアップする必要がある質問数を入力します。

チャレンジのための質問数* ユーザーがログインするために正しく回答する必要があるチャレンジ質問数を入力します。

許可されている認証試行回数* ログインしようとしているユーザーに対し、チャレンジ質問を表示する回数を入力します。

ユーザーの試行回数がこの回数を超えると、認証失敗になります。

ディレクトリのタイプ* サポートされているディレクトリは、Active Directory だけです。

SSL を使用ディレクトリ接続に SSL を使用する場合、[はい] を選択します。Active Directory SSL 証明書を [ディレクトリ証明書] フィールドに追加します。

サーバのホスト* Active Directory のホスト名を入力します。

サーバポート Active Directory のポート番号を入力します。

DNS サービスロケーションを使用ディレクトリ接続に DNS サービスロケーションを使用する場合は、[はい] を選択します。

ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

バインド DN* ユーザーを検索できるアカウントを入力します。たとえば、

CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

バインドパスワードバインド DN アカウントのパスワードを入力します。

検索属性ユーザー名を含むアカウント属性を入力します。

ディレクトリ証明書安全な SSL 接続を確立するには、ディレクトリサーバの証明書をテキストボックスに追加します。サーバが複数の場合は、証明機関のルート証明書を追加します。

STARTTLS を使用 STARTTLS を使用するには、[いいえ] を [はい] に変更します。



VMware, Inc. 56

Access Point SAML メタデータの生成SAML メタデータを Access Point アプライアンスで生成し、メタデータをサーバと交換して、スマートカード認証に必要な相互信頼を確立する必要があります。

Security Assertion Markup Language (SAML) は、さまざまなセキュリティドメイン間で認証情報および権限情報を記述および交換するための XML ベースの標準です。SAML は、ID プロバイダとサービスプロバイダ間において、SAML アサーションと呼ばれる XML ドキュメントでユーザーに関する情報の受け渡しを行います。このシナリオでは、Access Point が ID プロバイダでサーバがサービスプロバイダです。

開始する前に

n アプライアンスの時刻が正確になるように、Access Point アプライアンスの時計 (UTC) を構成します。たとえば、Access Point 仮想マシンでコンソールウィンドウを開き、矢印ボタンを使用して正しいタイムゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

重要 Access Point アプライアンスの時計がサーバホストの時計と一致していないと、スマートカード認証が機能しない可能性があります。

n Access Point のメタデータに署名するために使用できる SAML 署名証明書を取得します。

注意セットアップに複数の Access Point アプライアンスがある場合、特定の SAML 署名証明書を作成して使用することを推奨します。この場合、すべてのアプライアンスを同じ署名証明書で構成し、サーバが任意の

Access Point アプライアンスからアサーションを受け入れるようにする必要があります。1 つの SAML 署名証明書を使用する場合、すべてのアプライアンスからの SAML メタデータが同じになります。

n まだそのようにしていない場合、SAML 署名証明書を PEM 形式のファイルに変換し、.pem ファイルを 1 行形

式に変換します。「証明書ファイルの 1 行 PEM 形式への変換」を参照してください。

手順


2 [詳細設定] セクションで、[SAML ID プロバイダ設定] ギアアイコンをクリックします。

3 [証明書の提供] チェックボックスを選択します。

4 プライベートキーファイルを追加するには、[選択] をクリックして、証明書のプライベートキーファイルを見つけます。

5 証明書チェーンファイルを追加するには、[選択] をクリックして、証明書チェーンファイルを見つけます。


7 [ホスト名] テキストボックスにホスト名を入力し、ID プロバイダの設定をダウンロードします。


VMware, Inc. 57

その他のサービスプロバイダで使用される SAML 認証子の作成Access Point アプライアンスで SAML メタデータを生成したら、そのデータをバックエンドサービスプロバイダにコピーできます。このデータのサービスプロバイダへのコピーは、Access Point を ID プロバイダとして使用できるようにするための SAML 認証子の作成手順に含まれます。

Horizon Air Hybrid モードサーバの場合は、製品ドキュメントで固有の手順を確認してください。

Access Point へのサービスプロバイダ SAML メタデータのコピーAccess Point を ID プロバイダとして使用できるように SAML 認証子を作成して有効にすると、そのバックエンドシステムに SAML メタデータを生成し、メタデータを使用して Access Point アプライアンスにサービスプロバイダを作成できます。このデータ交換により、ID プロバイダ (Access Point) とバックエンドサービスプロバイダ（View接続サーバなど）の間で信頼が確立されます。

開始する前に

Access Point の SAML 認証子をバックエンドサービスプロバイダのサーバに作成済みであることを確認します。

手順

1 サービスプロバイダ SAML メタデータを取得します。このメタデータは一般に XML ファイル形式です。

手順については、サービスプロバイダのドキュメントを参照してください。

手順はサービスプロバイダごとに異なります。たとえば、ブラウザを開き、https://<connection-server.example.com>/SAML/metadata/sp.xml などの URL を入力する必要があります。

次に、[別名で保存] コマンドを使用して Web ページを XML ファイルに保存できます。このファイルの内容は次のテキストで始まります。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Access Point の管理ユーザーインターフェイスの [手動構成] セクションで、[選択] をクリックします。

3 [詳細設定] セクションで、[SAML サーバプロバイダ設定] ギアアイコンをクリックします。

4 [サービスプロバイダ名] テキストボックスに、サービスプロバイダ名を入力します。

5 [メタデータ XML] テキストボックスに、手順 1 で作成したメタデータファイルを貼り付けます。


これで、Access Point とサービスプロバイダが認証情報および権限情報を交換できるようになりました。


VMware, Inc. 58

Access Point のデプロイ環境のトラブルシューティング 7さまざまな手順で、自社環境に Access Point をデプロイするときに発生する問題を診断および修正できます。

トラブルシューティングの手順を使用して問題の原因を調べ、解決を試みることも、VMware のテクニカルサポートから支援を受けることもできます。


n デプロイに関する問題のトラブルシューティング

n Access Point アプライアンスからのログの収集

n デバッグモードを有効にする

デプロイに関する問題のトラブルシューティング

自社環境に Access Point をデプロイするときに、問題が発生する場合があります。デプロイに関する問題の診断および修正には、さまざまな手順を使用できます。

インターネットからダウンロードしたスクリプトを実行するときにセキュリティの警告が表示される

この PowerShell スクリプトが、実行しようとしているスクリプトであることを確認してから、PowerShell コンソールで次のコマンドを実行します。

unblock-file .\apdeploy.ps1

ovftool コマンドが見つからない

Windows マシンに OVF Tool ソフトウェアをインストールしていること、またスクリプトが使用する場所にインストールされていることを確認します。

プロパティ netmask1 における無効なネットワークn このメッセージは、netmask0、netmask1 または netmask2 を示す場合があります。netInternet、

netManagementNetwork、および netBackendNetwork など、3 つの各ネットワークの .INI ファイルで値が設定されていることを確認します。

VMware, Inc. 59

n vSphere ネットワークプロトコルプロファイルが参照されるすべてのネットワーク名に関連付けられていることを確認します。これは、IPv4 サブネットマスク、ゲートウェイなどのネットワーク設定を指定します。関連付けられているネットワークプロトコルプロファイルの各設定値が正しいことを確認します。

サポートされないオペレーティングシステムの識別子という警告メッセージ

SUSE Linux Enterprise Server 12.0 64 ビットの指定されたオペレーティングシステム識別子 (id:85) が、選択されたホストでサポートされないという警告メッセージが表示されます。これは、別の Linux（64 ビット）のオペレーティングシステム識別子にマッピングされます。

この警告メッセージは無視してください。サポートされるオペレーティングシステムに自動的にマッピングされます。

RSA SecurID 認証のための Access Point の構成

.INI ファイルの Horizon のセクションに次の行を追加します。

authMethods=securid-auth && sp-authmatchWindowsUserName=true

.INI ファイルの最後に新しいセクションを追加します。

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

両方の IP アドレスを、Access Point の IP アドレスに設定する必要があります。sdconf.rec ファイルは、RSAAuthentication Manager から入手します。RSA Authentication Manager はすべて構成する必要があります。Access Point 2.5 以降のバージョンを使用しており、Access Point からネットワーク上の RSA AuthenticationManager サーバにアクセスできることを確認します。Powershell コマンド apdeploy を再実行して、RSA SecurID向けに構成された Access Point を再度デプロイします。

ロケータがオブジェクトを参照していない

このエラーは、vSphere OVF Tool が使用する target= の値が vCenter Server 環境で正しくないことを通知しています。vCenter Server のホストやクラスタを参照するために使用される target の形式の例については、https://communities.vmware.com/docs/DOC-30835 にある表を参照してください。トップレベルオブジェクトは次のように指定されます。

target=vi://[email protected]:[email protected]/


VMware, Inc. 60


オブジェクトには、次のレベルで使用する可能性がある名前が表示されます。

target=vi://[email protected]:[email protected]/Datacenter1/target=vi://[email protected]:[email protected]/Datacenter1/hosttarget=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/ortarget=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

target で使用されるフォルダ名、ホスト名、クラスタ名では大文字小文字が区別されます。

Access Point アプライアンスからのログの収集ブラウザに URL を入力して、Access Point アプライアンスからログが含まれる ZIP ファイルを取得できます。

次の URL を使用して、Access Point アプライアンスからログを収集します。

https://<access-point-appliance.example.com>:9443/rest/v1/monitor/support-archive

この例で、<access-point-appliance.example.com> は Access Point アプライアンスの完全修飾ドメイン名です。

これらのログファイルはアプライアンスの /opt/vmware/gateway/logs ディレクトリから収集されます。

次の表で、ZIP ファイルに含まれるさまざまなファイルについて説明します。

表 7‑1. トラブルシューティングに役立つシステム情報が含まれるファイル

ファイル名説明

df.log ディスク領域の使用状況に関する情報が含まれます。

netstat.log ネットワーク接続に関する情報が含まれます。

ap_config.json Access Point アプライアンスの現在の構成設定が含まれます。

ps.log プロセスのリストが含まれます。

ifconfig.log ネットワークインターフェイスに関する情報が含まれます。

free.log メモリの使用状況に関する情報が含まれます。

表 7‑2. Access Point のログファイル

ファイル名説明

esmanager.log ポート 443 および 80 で待機する Edge Service Manager プロセスからのログメッセージが含まれます。

authbroker.log 認証アダプタを処理する AuthBroker プロセスからのログメッセージが含まれます。

admin.log ポート 9443 で Access Point REST API を提供するプロセスからのログメッセージが含まれます。

admin-zookeeper.log Access Point 構成情報を保存するために使用されるデータレイヤに関連したログメッセージが含まれます。

tunnel.log XML API 処理の一部として使用されるトンネルプロセスからのログメッセージが含まれます。

bsg.log Blast Secure Gateway からのログメッセージが含まれます。

SecurityGateway_*.log PCoIP Secure Gateway からのログメッセージが含まれます。


VMware, Inc. 61

末尾が「-std-out.log」のログファイルには、さまざまなプロセスの stdout に書き込まれる情報が含まれ、

通常は空のファイルです。

AirWatch に関する Access Point のログファイル

n /var/log/airwatch/tunnel/vpnd

tunnel-init.log および tunnel.log は、このディレクトリからキャプチャされます。

n /var/log.airwatch/proxy

proxy.log は、このディレクトリからキャプチャされます。

n /var/log/airwatch/appliance-agent

appliance-agent.log は、このディレクトリからキャプチャされます。

デバッグモードを有効にするAccess Point アプライアンスのデバッグモードを有効にして、アプライアンスの内部の状態を表示したり操作したりできます。デバッグモードでは、自社環境における導入シナリオをテストできます。

開始する前に

n Access Point アプライアンスが使用されていないことを確認します。

注意動作していない Access Point アプライアンスに関するログ情報を収集することで、有益な情報を得られます。通常の方法でログを取得できます。

手順

1 Access Point マシンにログインします。

2 コマンドラインインターフェイスで次のコマンドを入力します。

cd /opt/vmare/gateway/conf

3 ログプロパティファイルを表示します。

vi log4j-esmanager.properties

4 プロパティファイルで次の行を見つけて、編集します。info を debug に置換します。

log4j.logger.com.vmware=info,default

5 コマンドを入力して、すべてのパスからのログ取得の設定を変更します。

supervisorctl restart esmanager


VMware, Inc. 62

Access Point 設定の導入および - VMware...Access Point のデプロイの準備 1Access...

Documents

Transcript of Access Point 設定の導入および - VMware...Access Point のデプロイの準備 1Access...

Access Point 設定 の導入および - VMware...Access Point のデプロイの準備 1Access...

Documents

Transcript of Access Point 設定 の導入および - VMware...Access Point のデプロイの準備 1Access...

Access Point 設定の導入および - VMware...Access Point のデプロイの準備 1Access...

Transcript of Access Point 設定の導入および - VMware...Access Point のデプロイの準備 1Access...