HELP_general

Connect Tunnel for Mac/Linux

Secure Mobile Access Connect Tunnel with Smart Tunneling は、Secure Mobile Access VPN (バーチャル プライベート ネットワーク) ソリューションのクライアント コンポーネントです。Web ベース アプリケーション、クライアント/サーバー アプリケーション、およびファイル共有への安全な認証付きアクセスを行うことができます。このヘルプ情報では、MacOS と Linux のオペレーション システムで使用する Connect Tunnel について説明します。

MacOS および Linux プラットフォームでは IPv6 がサポートされます。IPv4 と IPv6 の両方が利用可能な場合には、IPv6 を使用することが推奨されます。

はじめに

Connect Tunnel を使用すると、Secure Mobile Access VPN アプライアンスで保護されているネットワーク リソースへ接続することができ、次の種類のリソースにアクセスできます。

• クライアント/サーバー リソース:クライアント/サーバー アプリケーション、シン クライアント アプリケーション、ターミナル サービス。

• Web サイトとアプリケーション:ブラウザからアクセスできる Web のコンテンツと Web ベースのアプリケーション。

• ネットワーク共有:共有フォルダ、共有ファイル、マッピングされたドライブ。

システム要件

このクライアント アプリケーションを使用するには、Java 仮想マシン (JVM) が必要です。さらに、32 ビットおよび 64 ビットの Linux コンピュータと Apple Macintosh ベースの PPC/IA-32 および PPC/IA-64 コンピュータでの使用を目的としています。

Connect Tunnel の起動

Connect Tunnel からネットワーク リソースにアクセスするには、自分の ID が確認されなくてはなりません。これにより、認証済みのユーザーのみが、保護されているネットワーク リソースにアクセスできるようになります。自分の ID を確認するために使用されるクレデンシャルは、通常ユーザー名とパスワードまたはパスコードからなります。

Connect Tunnel (MacOs) を起動するには

1. ファインダで、[アプリケーション] をダブルクリックし、Connect Tunnel アイコンをダブルクリックします。Connect Tunnel のログイン ダイアログ ボックスが表示されます。

2. [設定] リストから、VPN 設定を選択して、［Connect] をクリックします。保存されている設定がない場合、設定を作成しなければなりません。詳しくは、新しい設定を作成するを参照してください。

3. 自己署名または無効なサーバー証明書を使用するネットワーク リソースにアクセスする場合、Connect Tunnel はその証明書を表示します。そのサーバー証明書を承認する前に、それが信頼済みソースから提供されていることを確認します。誰でも証明書を発行することができるので、信頼済みソースからの証明書だけを承認しなければなりません。それができない場合、受信する情報は有効にならない場合があります。証明書を承認すべきかどうかに不安がある場合は、担当の管理者に確認してください。

4. [ログイン グループ] の選択で、自分のログイン グループを選択して、[OK] をクリックします。

5. [ユーザー名] ボックスに、自分のユーザー名を入力します。

6. [パスワード] または [パスコード] ボックスで、自分のパスワードまたはパスコードを入力します。(パスワードは大文字と小文字の区別に注意してください。Caps Lock と Num Lock キーが有効になっていないことを確認します。)

7. [OK] をクリックします。ログイン ダイアログ ボックスに、VPN 接続のステータスを示すメッセージが表示されます。

ヒント Connect Tunnel ログイン ダイアログ ボックスで、リストから別の設定を選択すると、別の VPN やログイン グループに接続できます。

ヒント [アプリケーション] ディレクトリから Connect Tunnel アイコンをドックにドラッグすると、簡単にアクセスできます。

Connect Tunnel (Linux) を起動するには

1. Connect Tunnel をインストールすると、startctui を任意の場所から実行できるようになります。デスクトップの Connect Tunnel アイコンをダブルクリックして Connect Tunnel を起動することもできます。Connect Tunnel のログイン ダイアログ ボックスが表示されます。

2. [設定] リストから、VPN 設定を選択して、［Connect] をクリックします。保存されている設定がない場合、設定を作成しなければなりません。詳しくは、新しい設定を作成するを参照してください。

3. 自己署名または無効なサーバー証明書を使用するネットワーク リソースにアクセスする場合、Connect Tunnel はその証明書を表示します。そのサーバー証明書を承認する前に、それが信頼済みソースから提供されていることを確認します。誰でも証明書を発行することができるので、信頼済みソースからの証明書だけを承認しなければなりません。それができない場合、受信する情報は有効にならない場合があります。証明書を承認すべきかどうかに不安がある場合は、担当の管理者に確認してください。

4. [ログイン グループ] の選択で、自分のログイン グループを選択して、[OK] をクリックします。

5. [ユーザー名] ボックスに、自分のユーザー名を入力します。

6. [パスワード] または [パスコード] ボックスで、自分のパスワードまたはパスコードを入力します。(パスワードは大文字と小文字の区別に注意してください。Caps Lock と Num Lock キーが有効になっていないことを確認します。)

7. [OK] をクリックします。ログイン ダイアログ ボックスに、VPN 接続のステータスを示すメッセージが表示されます。

ヒント Connect Tunnel ログイン ダイアログ ボックスで、リストから別の設定を選択すると、別の VPN やログイン グループに接続できます。

ログイン グループを指定する

Connect Tunnel では、必要に応じて異なるログイン グループにログインできます。例えば、[営業] グループと [マーケティング] グループに代わる代わるログインできます。

ログイン グループごとに別の認証クレデンシャルが必要な場合もあります。VPN に接続するたびにログイン グループを指定する必要があります。このオプションは、Connect Tunnel がオフラインのとき (つまり、自分の VPN に接続していないとき) のみ有効です。

ログイン グループを指定するには

1. Connect Tunnel ログイン ダイアログ ボックスで、[設定] を選択して [編集] をクリックします。

2. [構成の編集] 画面で、[選択を忘れた場合] をクリックして、[保存] を選択します。

3. 保存した構成を選択して、[接続] をクリックします。

4. 新しいログイン グループを選択して、[OK] をクリックします。

別の VPN への接続

別の VPN への接続を指定するには、Connect Tunnel がオフラインである (VPN に接続されていない) 必要があります。

VPN のホスト名または IP アドレスを指定するには

1. Connect Tunnel ログイン ダイアログ ボックスで、[構成の追加] をクリックします。

2. [名前] ボックスに構成の名前を入力します。

3. [サーバー] ボックスで、接続する VPN のホスト名または IP アドレスを入力します。

4. [OK] をクリックします。ログイン ダイアログ ボックスが表示されます。

Connect Tunnel が実行中であるかどうかを確認するには

Connect Tunnel が実行中で VPN に接続されている場合は、接続ステータス ダイアログ ボックスが表示されます。このダイアログ ボックスには、現在使用中の設定の名前、接続する VPN のホスト名または IP アドレスなどの基本的な接続情報が表示されます。このダイアログ ボックスは最小化できます。ただし、Linux システムでは、このダイアログ ボックスを閉じると、ネットワーク接続が終了し、Connect Tunnel は閉じられます。

Connect Tunnel の終了

VPN セッションを終了し、リモート ネットワークから接続を解除するには、Connect Tunnel ログイン ダイアログ ボックスで [切断] をクリックします。

接続を管理する

接続を管理するログイン プロセスを簡単にするために、複数の VPN 設定をセットアップできます。たとえば、時々別のログイン グループまたは別の VPN に接続する場合、別の名前でこれらの設定を保存することができます。

Connect Tunnel 設定を表示する

設定を表示するには、Connect Tunnel がオフラインである (VPN に接続されていない) 必要があります。

1. Connect Tunnel ログイン ダイアログ ボックスで、[設定] リストから [設定] を選択します。

2. [編集] をクリックします。

Connect Tunnel 設定を編集する

設定を編集するには、Connect Tunnel がオフラインである (VPN に接続されていない) 必要があります。

1. Connect Tunnel ログイン ダイアログ ボックスで、[設定] リストから [設定] を選択します。

2. [編集] をクリックして、構成を編集します。

3. 必要に応じて [名前] または [サーバー] ボックスを編集します。

4. [保存] をクリックして、変更を保存します。

新しい設定を作成する

新しい設定を作成するには、Connect Tunnel がオフラインである (VPN に接続されていない) 必要があります。

1. Connect Tunnel ログイン ダイアログ ボックスで、[設定の追加] リストから [設定] を選択します。

2. この設定に名前をつけます (例:「自宅から接続」)。ログインすると、[設定] リスト内にこの名前が表示されます。

3. したがって、その役割を最もよく表す名前を付けます。[サーバー] ボックスに、VPN のホスト名または IP アドレスを入力します。

4. [保存] をクリックして、変更を保存します。

設定を削除する

設定を削除するには、Connect Tunnel がオフラインである (VPN に接続されていない) 必要があります。

1. Connect Tunnel ログイン ダイアログ ボックスで、[設定] リストから [設定] を選択して、[編集] をクリックします。

2. [削除] をクリックして、設定を削除します。

詳細オプション

この設定は、担当の管理者が AMC で選択します。トンネルの分割モードでは、AMC で指定されているリソース宛のトラフィックのみがアプライアンスにリダイレクトされ、他のトラフィックはすべて通常どおりにルーティングされます。

• つまり、アプライアンスを介してのみアクセスできるためセキュリティが確保されているリソースのリストを管理者が設定していますが、そのリソース リストに記述されていない任意のリソース (例えば他のインターネット サイト) へのオープン アクセスも提供されています。すべてリダイレクトモードはより安全な (しかし制約の多い) 方法ですが、このモードではすべてのトラフィックがアプライアンスを通じてリダイレクトされます。

• この場合、許可されたリソース リストにないリソースにアクセスすることはできません。

• 管理者は、トンネル モードかどうかに関係なく、ローカル プリンタやファイル共有へのアクセスをユーザーに許可することができます。

リソースにアクセスできない場合、担当のシステム管理者から [詳細] 設定を変更するように求められます。ネットワーク競合解決オプションは、管理者によってこの特定の VPN 設定に対してトンネルの分割モードに設定されている場合のみ、使用できます。設定の変更が必要な場合は、Connect Tunnel が切断されている状態で変更を行う必要があります。

例えば、アドレスが 192.168.230.1 のホスト リソース (Web サーバー) があるとします。出張先で、使いたいプリンタが会議場のローカル ネットワーク上にあり、プリンタも同じアドレスを使用しています。トンネルの分割モード用に設定されているレルムを使用しており、担当の管理者からは、ローカル プリンタとファイル共有へのアクセスが許可されています。このような場合、会議場で印刷を行えるようにするために、[詳細] 設定を開き、[ローカル ネットワーク リソース アクセスを優先] をクリックして、[更新] をクリックするように管理者から指示されることがあります。

クレデンシャルのキャッシュ/安全なネットワークの検出

クレデンシャルのキャッシュ ポリシーを管理者が許可している場合、Connect Tunnel の [オプション] ダイアログ ボックスの [クレデンシャルの保存] チェックボックスで有効または無効にできます。Linux で有効にすると (チェックすると)、Connect Tunnel の実行中はこのポリシーが適用されます。しかし、MacOS では、情報はキーチェーンに保存され、再起動後にも情報はそのまま残ります。

[安全なネットワークの検出] が有効な場合、アプライアンスを最初にネットワークに接続するときに、Connect Tunnel は次の 3 つのいずれかの状態になります。

• 接続済み:マシンは、安全な場所になく、リソースに接続するには VPN 接続が必要です。

• 待機:マシンは、安全なネットワークにあり、リソースにアクセスするために VPN 接続は必要ありません。

• 切断/エラー:外部のネットワーク イベントのため (たとえば、ネットワークの変更、WIFI シグナルの損失など) 接続が失われ切断されました。

サーバー証明書を処理する

VPN の設定によっては、保護されたネットワーク リソースへのアクセス権を取得する前に、サーバー証明書の承認が必要になります。サーバー証明書とは、基本的には、サーバーの ID を確認する電子署名のことです。

サーバー証明書を使用するネットワーク リソースにアクセスする場合、Connect Tunnel はその証明書を表示する場合があります。そのサーバー証明書を承認する前に、それが信頼済みソースから提供されていることを確認します。誰でも証明書を発行することができるので、信頼済みソースからの証明書だけを承認しなければなりません。それができない場合、受信する情報は有効にならない場合があります。証明書を承認すべきかどうかに不安がある場合は、担当の管理者に確認してください。

プロキシ サーバー設定を設定する (Linux のみ)

Linux ユーザーは、一部のネットワーク リソースのトラフィックにインターネット プロキシ サーバーを経由させなくてはならない場合があります。インターネット プロキシ サーバーは、ローカル ネットワークからインターネットへのアクセスを提供します。プロキシ サーバーが必要かどうかは管理者が決定しますが、ユーザーがプロキシ サーバーの設定を指定する必要がある場合もあります。

多くの場合、Connect Tunnel は自動的にインターネット プロキシ サーバー設定を検出できます。ただし、設定が自動的に検出されない場合は、手動で指定する必要があります。

このセクションでは、アウトバンド プロキシ サーバー設定を指定する方法について説明します。このオプションは、Connect Tunnel がオフライン (VPN に接続していない) で、Linux バージョンのプログラムの場合にのみ有効です。

アウトバンド プロキシ サーバー設定を設定するには (Linux)

1. Connect Tunnel ログイン ダイアログ ボックスで、[詳細] をクリックします。

2. [プロキシ] タブをクリックします。

3. 次のオプションのいずれかをクリックします。

a. インターネットに直接接続:インターネットに直接接続します。アウトバンド プロキシ サーバーのリダイレクションを使用しません。

b. プロキシ設定を自動的に検出:リモート ネットワーク上の定義されたアウトバンド プロキシ サーバー設定を検出して使用するようにクライアントを設定します。

c. 手動のプロキシ設定:手動でプロキシ サーバー設定を指定します。[SSL] ボックスにインターネット プロキシ サーバーのホスト名または IP アドレスを入力します。[ポート] ボックスで、サーバーが監視するポートの番号を入力します。[SSL] で指定したサーバーをすべてのトラフィックに使用する場合は、[このプロキシをすべてのプロトコルに使用] を選択します。または、HTTP、FTP、または SOCKS トラフィックに対して、別のプロキシ サーバーとポート番号を指定します。オプションで、[プロキシなし] ボックスで、プロキシ サーバーからリダイレクトしないホスト名または IP アドレスを指定できます。

d. 自動プロキシ設定 URL:プロキシ サーバー設定を指定するプロキシ自動設定 (.pac) ファイルを取得するようにクライアントを設定します。テキスト ボックスに .pac ファイルをホストするサーバーの URL を入力します。

5. [OK] をクリックします。ログイン ダイアログ ボックスが表示されます。

トラブルシューティング

このセクションでは、Connect Tunnel クライアントに関する基本的な問題点を解決する方法について説明します。VPN への接続やローカルまたはリモート ネットワーク リソースへのアクセスに問題がある場合は、その問題が以下に掲載されているか確認してください。問題が解決しない場合は、担当のシステム管理者に連絡してください。

接続できない

VPN への接続に問題がある場合は、以下の項目を確認してください。

• Connect Tunnel が実行中であり、ネットワークにアクティブに接続していることを確認します。詳細については、Connect Tunnel が実行中であるかどうかを確認するにはを参照してください。

• Connect Tunnel の [プロパティ] ダイアログ ボックスで、正しいホスト名または IP アドレスへの接続を開始していることを確認します。詳細については、Connect Tunnel の起動を参照してください。

• Connect Tunnel の [プロパティ] ダイアログ ボックスで、正しいログイン グループへの接続を開始していることを確認します。詳細については、ログイン グループを指定するを参照してください。

• パーソナル ファイアウォールを使用する場合は、VPN にアクセスする前に、そのファイアウォールを設定する必要があります。それには、VPN のホスト名または IP アドレスへのトラフィックがポート 443 で有効になるようにファイアウォールを設定します。

リソースまたはインターネットにアクセスできない

デバイスが間違ったセキュリティ ゾーンに分類されている可能性があります。

• 分類したセキュリティ ゾーンを確認するように管理者から求められる場合があります。セキュリティ ゾーンが設定されている場合は、タスクバー通知エリアの Connect Tunnel アイコンにカーソルを置くと、現在のゾーンを表示できます。

• リソースまたはインターネット アクセスへの接続要求をアプライアンスがクライアントから受信した場合、要求を処理する方法には、以下に示すものがあります。この設定は、担当の管理者が AMC で選択します。

• トンネルの分割モードでは、AMC で指定されているリソース宛のトラフィックのみがアプライアンスにリダイレクトされ、他のトラフィックはすべて通常どおりにルーティングされます。つまり、アプライアンスを介してのみアクセスできるためセキュリティが確保されているリソースのリストを管理者が設定していますが、そのリソース リストに記述されていない任意のリソース (例えば他のインターネット サイト) へのオープン アクセスも提供されています。

• すべてリダイレクトモードはより安全な (しかし制約の多い) 方法ですが、このモードではすべてのトラフィックがアプライアンスを通じてリダイレクトされます。この場合、許可されたリソース リストにないリソースにアクセスすることはできません。

• 管理者は、トンネル モードかどうかに関係なく、ローカル プリンタやファイル共有へのアクセスをユーザーに許可することができます。

リソースへのアクセスに問題がある場合、Connect Tunnel の [プロパティ] ダイアログ ボックスの [詳細] タブで変更を行うように、管理者から指示される場合があります。ネットワーク競合解決オプションは、管理者によってトンネルの分割モードに設定されている場合のみ、使用できます。設定の変更が必要な場合は、Connect Tunnel が切断されている状態で変更を行う必要があります。

例えば、アドレスが 192.168.230.1 のホスト リソース (Web サーバー) があるとします。出張先で、使いたいプリンタが会議場のローカル ネットワーク上にあり、プリンタも同じアドレスを使用しています。トンネルの分割モード用に設定されているレルムを使用しており、担当の管理者からは、ローカル プリンタとファイル共有へのアクセスが許可されています。このような場合、会議場で印刷を行えるようにするために、Connect Tunnel の [プロパティ] ダイアログ ボックスを開き、[詳細] タブをクリックして、セッションに対して [ローカル ネットワーク リソース アクセスを優先] をクリックするように管理者から指示されることがあります。