- 導入
- マシン トンネルと他のアクセス ポリシーの比較
- マシントンネル認証
- アクセス制御は重要です
- 構成例
- ステップ 1 デバイスウィザードを開始します
- ステップ 2 新しいポリシーに名前を付けます
- ステップ 3 認証を設定する
- ステップ 4 クライアント アドレス プール
- ステップ 5 ネットワークアクセス
- ステップ 6 DNS
- ステップ 7 仮想サーバーのアドレス
- ステップ8のまとめ
- オンデマンド証明書認証をポリシーに追加する
- ステップ 1 クライアント タイプをポリシーに追加する
- ステップ 2 クライアントのタイプを選択します。
- ステップ 3 オンデマンド証明書認証を追加する
- ステップ 4 ポリシーの変更を完了する
- 大規模な展開では圧縮を無効にする
- 証明書
- 証明する機関
- VPN サービス VIP の証明書
- クライアントSSLプロファイルの作成
- クライアント証明書
- 仮想サービス構成
- クライアントのセットアップと構成
- Windows クライアント パッケージのカスタマイズとダウンロード
- クライアントの Machine Tunnels サービスの構成
- F5MachineTunnelInfo.exe
- レジストリ構成
- マシン トンネルの準備が完了しました
- オプションですが推奨されるアイテム
- トラブルシューティング
導入
F5 BIG-IP アクセス ポリシー マネージャー (APM) 機能のマシン トンネルは、Microsoft Windows プラットフォーム上でユーザーの介入なしでアクセスのニーズに対処する強力なツールです。多くのユースケースでは、このようなアクセスが必要です。たとえば、最近の顧客とのやりとりの中で、新入社員の場合、または既存のユーザーのワイプと再プロビジョニング後に、エンド ユーザーが認証と初期パスワード変更のために Active Directory にアクセスできる必要があることが明らかになりました。他の人も望むかもしれないリモート システム (リモート サイネージ、ATM、自動販売システム、監視システムなどのデバイス) を起動し、コマンド アンド コントロールのために信頼できないネットワーク経由で接続します。
BIG-IP APM マシン トンネルは、エンド ユーザーが使用する従来の BIG-IP エッジ クライアントまたはアプリ アクセス ポリシーとは別のものですが、提携されています。ただし、この記事ではマシン トンネル コンポーネントのみに焦点を当てます。それでも、マシン トンネル ポリシーを他のタイプと一緒に展開することは可能で、BIG-IP APM はセッションの必要に応じてマシン トンネルを自動的に一時停止および再起動します。
マシン トンネルと他のアクセス ポリシーの比較
マシン トンネルの動作、構成、管理は、一般的なアクセス ポリシーとは異なります。エッジ クライアントとアクセス ポリシーの構成、トラブルシューティング、および管理を行ったことがある場合は、それらの目的のためのツールとデータとログの場所についてよく知っています。マシン トンネルの性質上、同じ情報を同じ場所に保存することはできません。ログとバイナリは別の場所にあります。たとえば、マシン トンネルのログは次の場所にあります。C:\Windows\一時または定義されたシステム一時フォルダー。
対照的に、Edge クライアントはログを%アプリデータ%サービスにログインしているユーザーの下の構造。 2 つのクライアントの実行可能部分も異なる場所にあります。マシン トンネルのバイナリが存在するC:\Windows\sysWOW64、Edge VPN クライアントはC:\Program Files (x86)\F5 VPN。
マシントンネル認証
マシン トンネルの認証は、オンデマンド証明書認証 (ODCA) を介した証明書のみで実行できます。他のアクセス ポリシーでは使用が許可されているため、混乱が生じる可能性があります。マシン証明書認証 (MCA)。 MCAそうではありませんマシン トンネルと互換性があります。マシン トンネル認証は次の手順で構成されます。
- Machine Tunnel エージェントは、VPN サービスのホスト名への接続を試行します。次に、Machine Tunnels エージェントは VPN サービスのサーバー証明書を検証します。
- Machine Tunnel エージェントはクライアント証明書をアサートし、BIG-IP APM は構成された CA を使用してそのクライアント証明書を検証します。
- Machine Tunnel エージェントはユーザー ID とパスワードを提供し、APM は構成されたアイデンティティ ストアに対してこれらの資格情報を検証します。
異なる認証資格情報のユーザーはオプションです。証明書とユーザー ID/パスワードの両方を使用するのが最も安全な方法です。この記事内の例では、証明書の認証方法のみを説明します。マシン トンネル証明書は、Windows システムのデフォルトの場所またはマシン トンネル固有の場所に保存できます。ユーザーIDとパスワードは暗号化されたハッシュに保存されます。
アクセス制御は重要です
マシン トンネルは自動です。信頼できない環境では、クライアントが無人になることがよくあります。これを念頭に置いて、マシン トンネル プロファイルに対するアクセス制御と利用可能なサービスについて熟慮することが優先される必要があります。要件を満たす非常に制限されたネットワーク アクセスを割り当てることをお勧めします。
構成例
デバイス ウィザードの方法の 1 つを使用して、Maching Tunnels プロファイルを構成するために必要な多くの項目をブートストラップし、その後、構成する必要がある追加事項について話し合うことができます。
ステップ 1 デバイスウィザードを開始します
BIG-IP APM コンポーネントをセットアップして準備を整える最も簡単な方法は、この例で使用するウィザードを使用することです。
ステップ 2 新しいポリシーに名前を付けます
ここからポリシーに名前を付け、シンプルにするために「アクセス ポリシーでウイルス対策チェックを有効にする」のチェックを外します。複雑なポリシーを構築する場合は、最も単純な構成から始めて、重要な作業を確立することをお勧めします。次に、それらの成功を基礎にしていきます。
ステップ 3 認証を設定する
認証については「認証なし」を選択します。良くないと思われますが、すぐに修正します。
ステップ 4 クライアント アドレス プール
次に、クライアント アドレス プールを構成します。 BIG-IP APM 経由で接続されているクライアントの他のシステムでソース IP を利用できるようにしたい場合は、ネットワーク上で適切にルーティングできる範囲を使用してください。
ステップ 5 ネットワークアクセス
ネットワーク アクセスの定義は、必ず考慮すべき領域です。接続のマシン トンネル段階でクライアントと通信させたいネットワークを分離することをお勧めします。また、クライアントがパブリック ネットワーク上にネットワーク データを漏洩しないように、すべてのトラフィックを強制的にトンネル経由にすることもできます。あるいは、システムに過剰なトラフィックを与えたくない場合もあります。
ステップ 6 DNS
DNS サーバーの定義は、さまざまな理由から不可欠です。まず、クライアントは名前で Active Directory などのサービスにアクセスしようとするため、解決が必要です。
ステップ 7 仮想サーバーのアドレス
受信セッション要求を受け入れるために仮想サーバーを定義する必要があります。リダイレクトサーバーは必要ないので、設定が煩雑になるのを避けるためにそのオプションのチェックを外してください。
ステップ8のまとめ
「次へ」を 2 回クリックして進むと、作成されたオブジェクトの概要が表示されます。
オンデマンド証明書認証をポリシーに追加する
ビジュアル ポリシー エディターを開き、マシン トンネル クライアント タイプを追加して、ODCA 構成をセットアップできます。次に、「アクセス」に進みます››プロファイル/ポリシー:プロファイル (セッションごとのポリシー) にアクセスし、作成した新しいプロファイルを開きます。
ステップ 1 クライアント タイプをポリシーに追加する
「ログインページ」の前にある最初の「+」記号をクリックします。次に、検索バーに「クライアント タイプ」と入力し、それを選択して、[項目の追加] をクリックします。
ここでは、「マシン トンネル」タイプと「エッジ クライアント」タイプを除くすべてのクライアント タイプを選択し、削除します。後者は、アクセス ポリシーの将来の拡張のためのプレースホルダーであり、この記事では取り上げません。 [保存] をクリックすると、次のようなポリシーが作成されます。
ステップ 2 クライアントのタイプを選択します。
「Machine Tunnel」ラベルのすぐ右側にある「+」記号をクリックします。次に、検索フィールドに「オンデマンド」と入力し、「オンデマンド証明書認証」を選択して、「項目の追加」をクリックします。
ステップ 3 オンデマンド証明書認証を追加する
ポリシーに追加されたオンデマンド証明書認証リンクをクリックし、設定を「リクエスト」から「必須」に変更し、「保存」をクリックします。
ポリシーは次のように表示されるはずです。
ステップ 4 ポリシーの変更を完了する
右側の「オンデマンド証明書認証」の「成功」ブランチで、「拒否」をクリックし、「許可」に変更して保存します。これでポリシーの変更が終了し、次のように表示されます。
大規模な展開では圧縮を無効にする
圧縮は、BIG-IP APM が多数のクライアントを処理する能力に影響を与える可能性があります。それでこの記事、圧縮を無効にすることをお勧めします。これはアクセス ポリシーで行います。
証明書
証明する機関
クライアント証明書を検証するために必要なルート証明書、中間証明書、および署名証明書連結して BIG-IP APM にインポートする必要があります。この CA バンドルは、VIP のクライアント SSL プロファイルを構成するために使用する必要があります。また、クライアントが検証できる有効な証明書を SSL プロファイルにインストールすることも必要です。ここで設定済みの CA を確認できますローカル トラフィック››プロファイル:SSL:認証局。
VPN サービス VIP の証明書
通常のプロセスに従って、このサービスの有効な証明書を要求して発行します。円錐形の名前が適切であること、およびサービスが複数の DNS 名によって呼び出される場合は SAN エントリが作成されていることを確認してください。
クライアントSSLプロファイルの作成
上記のリンクの手順に従って CA を作成し、サービス証明書を作成してインポートすると、クライアント SSL プロファイルを作成できます。ローカル トラフィック››プロファイル:SSL:クライアント
サービス証明書とキーを「証明書キー チェーン」内に追加する必要があります。 APM ポリシーがクライアント証明書を認証するため、「クライアント証明書」を「無視」に設定します。また、「信頼された認証局」と「アドバタイズされた認証局」を上記の手順で作成した CA に設定します。
クライアント証明書
クライアント証明書の配信とインストールをどのように行うかについては、この記事の範囲外です。証明書を保存できる場所は 2 つあり、マシン トンネル クライアントはいずれかの場所を使用するように設定できます。使用する場所の構成については、この記事で後ほど説明します。クライアント証明書が発行され、Windows クライアントのデフォルトの場所に保存されていることを前提としています。
仮想サービス構成
仮想サーバーは、上記のデバイス構成ウィザードの手順中に構築されている必要があります。その仮想サーバーを開き、作成したクライアント ssl プロファイルを使用して構成します。 APM のポリシーが適用されていることを確認し、それらの設定を保存します。これで、クライアント パッケージとそのパッケージ カバーのダウンロードを除いて、構成の APM 部分が完了します。
クライアントのセットアップと構成
Windows クライアント パッケージのカスタマイズとダウンロード
アクセスで››接続 / VPN:接続:プロファイル セクションでポリシー名を選択し、一番下でパッケージのカスタマイズを選択します。 Machine Tunnel Service をパッケージに追加し、インストール パッケージを取得してクライアントに展開します。
インストーラーを使用して、ユーザーのマシンにマシン トンネル サービスをインストールできます。インストーラーは、ユーザーのマシンの C:\Windows\SysWow64 ディレクトリに次のコンポーネントをインストールします。
- F5MachineTunnelService.exe (マシン トンネル サービス)
- F5MachineTunnelInfo.exe (マシン トンネルを構成するためのコマンド ライン ツール)
- F5MachineTunnelService.exe を Windows サービスとしてシステム アカウントに登録します。
クライアントの Machine Tunnels サービスの構成
クライアント側で Machine Tunnels サービスを構成するには、主に 2 つの方法があります。 F5MachineTunnelInfo.exe ツールを使用するか、レジストリを直接編集します。後者は、レジストリ設定を Active Directory ポリシーとともに配布できる展開を簡素化する可能性があります。
F5MachineTunnelInfo.exe
この記事の公開時点では、このツールのヘルプは次のとおりです。
マシン証明書に Windows のデフォルトの場所を使用するように証明書ストアを構成するには、コマンドは次のようになります。
管理者として実行されるコマンド プロンプトから。「cd C:\Windows\SysWow6」
タイプ "F5MachineTunnelInfo.exe --set_client_certstore システム私の」を使用して、使用するクライアント証明書ストアを設定します。
クライアントの現在の構成を印刷することもできます。
レジストリ構成
レジストリ キーを作成または設定し、上記のツールを使用してクライアント上で認証を構成するか、レジストリで直接認証を構成する必要があります。
- HKLM\SYSTEM\CurrentControlSet\services\F5MachineTunnelService の下に「Parameters」という名前の新しいキーを作成します。
- その下に「VPNServers」という名前のキーを作成します。
- 新規 > 「Server0」という文字列値https://
IP をテストするための値として使用することは問題ありませんが、証明書を検証できるように実稼働用の名前を使用することをお勧めします。 - HKLM\SYSTEM\CurrentControlSet\services\F5MachineTunnelService\Parameters\IgnoreSSLErrors REG_DWORD = 1
マシン トンネルの準備が完了しました
クライアント側の構成をすべて完了したら、クライアントを再起動できます。
すべての構成が完了したので、マシン トンネル構成を実行しているクライアントのセッションが表示されるはずです。
Webtop、クライアント、またはアプリケーションのアクセス プロファイルの追加など、より高度な構成に進むことができます。
オプションですが推奨されるアイテム
サポートされている暗号を、プラットフォーム用のハードウェア アクセラレータに設定します -https://my.f5.com/manage/s/article/K13213
クライアントインストーラーパッケージの更新 -https://my.f5.com/manage/s/article/K52547540
トラブルシューティング
マシン トンネル アクセスで問題が発生し、トンネルの確立が妨げられる可能性がいくつかあります。 SSL エラーが問題の主な原因であることがわかっています。レジストリで「IgnoreSSLErrors」を「1」に設定することは、SSL の問題が問題の原因であるかどうかを判断する 1 つの方法です。このオプションは運用環境では設定されていない場合、証明書の検証は無視されます。他のオプションは、F5 アプライアンスの BIG-IP APM ログとクライアント ログを確認することです。クライアント ログはシステムの一時フォルダーにある必要があります。この例の場合、ファイルは「C:\Windows\Temp\F5MachineTunnelService」にあります。