セキュアクライアント(AnyConnect)スクリプトの設定

Updated: 2024 年 3 月 19 日
Document ID:220648

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、セキュアファイアウォールASAおよびFTDを使用してCisco Secure Clientスクリプトを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Secure Firewall Management Center(FMC)によって管理されるSecure Firewall ASAおよびSecure Firewall Threat Defenseを介したSSL Cisco Secure Clientの設定
    • ASDMアクセス
    • FTD SSHアクセス
    • OnConnectおよびOnDisconnectスクリプト

    使用するコンポーネント

    • セキュアなファイアウォールASA
    • セキュアなファイアウォール脅威防御
    • Cisco Secureファイアウォール管理センター
    • Cisco Secureクライアント5.0.03072

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    ここでは、2つの異なる設定例について説明します。

    • ASDMで管理されるセキュアファイアウォールASAを使用したセキュアクライアントスクリプティングの設定
    • Cisco Secure Firewall Management Centerで管理されるSecure Firewall Threat Defenseを使用したセキュアクライアントスクリプティングの設定。

    FMCによって管理されるFTDでは、これはまだFMCによって正式にサポートされていないため、拡張要求Cisco Bug ID CSCvt58044 に回避策を実装します。

    設定

    コンフィギュレーション

    ASDMによって管理されるセキュアファイアウォールASAを使用したセキュアクライアントスクリプティングの設定例:

    ステップ 1:セキュアクライアントプロファイルを作成し、環境設定でスクリプトを有効にします(パート2)。

    AnyConnect XMLプロファイルエディタAnyConnect XMLプロファイルエディタ

    xmlプロファイルの追加オプション:

    • 別のスクリプト可能なイベントへの移行が発生した場合に、クライアントが実行中のスクリプトプロセスを終了できるようにするには、Terminate Script On Next Eventにチェックマークを付けます。たとえば、VPNセッションが終了した場合、クライアントは実行中のOn Connectスクリプトを終了し、Cisco Secure Clientが新しいVPNセッションを開始した場合、実行中のOnDisconnectスクリプトを終了します。Microsoft Windowsでは、クライアントはOn ConnectまたはOnDisconnectスクリプトが起動したスクリプトと、そのすべてのスクリプトの子孫も終了します。macOSおよびLinuxでは、クライアントはOn ConnectまたはOnDisconnectスクリプトのみを終了し、子スクリプトは終了しません。
    • SBLがVPNセッションを確立する場合、クライアントがOn Connectスクリプト(存在する場合)を起動できるようにするには、Enable Post SBL On Connect Script(デフォルトで有効)にチェックマークを付けます。

    AnyConnectプロファイルが適切なグループポリシーに割り当てられていることを確認します。

    XMLグループポリシーの割り当てXMLグループポリシーの割り当て

    ステップ 2:スクリプトを設定します。 

    シスコはサンプルスクリプトまたはお客様が作成したスクリプトをサポートしていないため、お客様のニーズに応じてテストできる例がいくつかあります。

    Windowsスクリプト

    caution-icon

    注意: 32ビットのcmd.exeでサポートされているコマンドを使用してください。

    1. ドライブをマップするスクリプト:

    OnConnect.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample AnyConnect OnConnect script."

    Dim strDriveLetter, strRemotePath
    strDriveLetter = "REPLACE_WITH_DRIVE_LETTER:"
    strRemotePath = "\\REPLACE_WITH_SERVER_NAME\REPLACE_WITH_SHARE"

    Set objNetwork = CreateObject("WScript.Network")

    ' remove old mapping (if any)
    objNetwork.RemoveNetworkDrive strDriveLetter

    ' add new mapping
    objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

    If Err.Number <> 0 Then
    objShell.LogEvent 0, "Failed to map network drive." & vbCrLf & Err.Number & ": " & Err.Description
    End If

    WScript.Quit

    接続解除.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample AnyConnect OnDisconnect script."

    Dim strDriveLetter
    strDriveLetter = "REPLACE_WITH_DRIVE_LETTER:"

    Set objNetwork = CreateObject("WScript.Network")

    ' remove old mapping (if any)
    objNetwork.RemoveNetworkDrive strDriveLetter

    WScript.Quit

    2. Windowsグループポリシーを更新するスクリプト:

    OnConnect.vbsまたはOnDisconnect.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample AnyConnect OnConnect script."

    ' refreshes local and Active Directory-based Group Policy settings, including security settings
    returnCode = objShell.Run("gpupdate.exe /force", 0, True)

    If returnCode <> 0 Then
    objShell.LogEvent 0, "Failed to update Group Policy settings." & vbCrLf & Err.Number & ": " & Err.Description
    End If

    objShell.LogEvent 0, "User's Group Policy settings have been updated."

    WScript.Quit

    3. 複数のスクリプトの起動:

    スクリプト1.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample script 1."

    WScript.Quit

    スクリプト2.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample script 2."

    WScript.Quit 5

    スクリプト3.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample script 3."

    WScript.Quit

    OnConnect.vbsまたはOnDisconnect.vbs

    ON ERROR RESUME NEXT
    Err.Clear

    Set objShell = CreateObject("WScript.Shell")
    objShell.LogEvent 0, "Sample AnyConnect OnConnect script."

    ' launch each script after the previous has completed
    returnCode = objShell.Run("wscript.exe Script1.vbs", 0, True)
    objShell.LogEvent 0, "Script1.vbs returned = " & returnCode

    returnCode = objShell.Run("wscript.exe Script2.vbs", 0, True)
    objShell.LogEvent 0, "Script2.vbs returned = " & returnCode

    returnCode = objShell.Run("wscript.exe Script3.vbs", 0, True)
    objShell.LogEvent 0, "Script3.vbs returned = " & returnCode

    WScript.Quit
    note-icon

    :このサンプルは現状のまま提供され、暗黙の保証またはサポートは提供されていません。Cisco AnyConnectスクリプト機能の使用を支援するように設計されています。この例は、単に参考資料として言及していることを前提としています。

    Linuxスクリプト

    1. 複数のスクリプトの起動:

    スクリプト1.sh

    #!/bin/sh
    logger "Sample script 1."

    スクリプト2.sh

    #!/bin/sh
    logger "Sample script 2."

    スクリプト3.sh

    #!/bin/sh
    logger "Sample script 3."

    OnConnect.shまたはOnDisconnect.sh 

    #!/bin/sh

    logger "Sample AnyConnect OnConnect script."

    # launch each script after the previous has completed
    ./Script1.sh
    logger "Script1.sh returned = $?"

    ./Script2.sh
    logger "Script2.sh returned = $?"

    ./Script3.sh
    logger "Script3.sh returned = $?"
    note-icon

    :このサンプルは現状のまま提供され、暗黙の保証またはサポートは提供されていません。Cisco AnyConnectスクリプト機能の使用を支援するように設計されています。この例は、単に参考資料として言及していることを前提としています。

    MacOSスクリプト

    1. AppleScriptの起動:

    スクリプト1.scpt

    #!/bin/sh
    say "This is a Sample AppleScript"

    OnConnect.sh(接続時)

    #!/bin/sh
    logger "Sample AnyConnect OnConnect script."

    # launch the AppleScript script
    /usr/bin/osascript Script1.scpt

    2. 複数のスクリプトの起動

    スクリプト1.sh

    #!/bin/sh
    logger "Sample script 1."

    スクリプト2.sh

    #!/bin/sh
    logger "Sample script 2."

    スクリプト3.sh

    #!/bin/sh
    logger "Sample script 3."

    OnConnect.sh(接続時)

    #!/bin/sh
    logger "Sample AnyConnect OnConnect script."

    # launch each script after the previous has completed
    ./Script1.sh
    logger "Script1.sh returned = $?"

    ./Script2.sh
    logger "Script2.sh returned = $?"

    ./Script3.sh
    logger "Script3.sh returned = $?"
    note-icon

    :このサンプルは現状のまま提供され、暗黙の保証またはサポートは提供されていません。Cisco AnyConnectスクリプト機能の使用を支援するように設計されています。この例は、単に参考資料として言及していることを前提としています。

    ステップ 3ASDMを使用したスクリプトのインポート

    AnyConnectスクリプト設定ASDMAnyConnectスクリプト設定ASDM

    FMCによって管理されるFTDを使用したセキュアクライアントスクリプティングの設定

    現在、セキュアクライアントスクリプティングの設定はFMCではサポートされていません。これをサポートするための拡張要求Cisco Bug ID CSCvt58044あります。それに基づいて、スクリプトの設定と導入を可能にする回避策があります。

    ステップ 1:VPNプロファイルエディタを使用して、セキュアクライアントプロファイルを作成し、設定(パート2)でスクリプトを有効にします。

    VPNプロファイルエディタアイコンVPNプロファイルエディタアイコン

    note-icon

    :VPNプロファイルエディタは、Secure Client 5 Profile Editorにあります。

    セキュアクライアント5プロファイルエディタセキュアクライアント5プロファイルエディタ

    ステップ 2:スクリプトを作成します(上記と同じスクリプト例)。

    ステップ 3ファイルのサイズをバイト単位でメモします

    スクリプトプロパティを右クリックして開き、[一般]タブで[サイズ]を確認して書き留めます。

    スクリプトプロパティスクリプトプロパティ

    ステップ 4スクリプトをインポートします。

    オプション1:TFTP/FTP転送:

    SSHからFTDアプライアンスに接続し、system support diagnostic-cliを開始します。

    TFTP/FTPサーバからflash:

    TFTP:
    >system support diagnostic-cli
    FTD#copy tftp:/<serverip>/<filename> flash:/<filename>

    FTP:
    >system support diagnostic-cli
    FTD#copy ftp:<username>:<password>@<serverip>/<filename> flash:/<filename>

    webvpn AnyConnect-customizationをインポートします。

    ファイル名の先頭にはscripts_OnConnect_を付ける必要がある

    FTD#import webvpn AnyConnect-customization type binary platform win name scripts_OnConnect_login.vbs flash:/scripts_OnConnect_login.vbs

    オプション2スクリプトをCLIに直接コピーします。

    SSHからFTDアプライアンスに接続し、system support diagnostic-cliを開始します。

    コマンド

    ファイル名の先頭にはscripts_OnConnect_を付ける必要がある

    FTD#import webvpn AnyConnect-customization type binary platform win name scripts_OnConnect_login.vbs stdin 943
    note-icon

    注:stdinは、ステップ2のスクリプトのバイト単位のサイズです。 

    importコマンドを入力した後、実際のスクリプトをCLIにペーストする必要があります。ペーストしたスクリプトが出力を表示しない場合でも、CLIに戻るまで、しばらく入力し直す必要があります。

    note-icon

    :スクリプトをCLIに貼り付けるには、スクリプトのサイズによっては時間がかかる場合があります。

    次のコマンドを実行すると、スクリプトが正しくインポートされたことを確認できます。

    FTD#export webvpn AnyConnect-customization type binary platform win name <scriptname>.vbs flash:/<scriptname>.vbs
    FTD#more flash:/<scriptname>.vbs

    スクリプトを削除する必要がある場合は、CLIから次のコマンドを実行できます。

    FTD#revert webvpn AnyConnect-customization type binary platform win name <scriptname>

    ステップ 5セキュアクライアントVPNプロファイルをFMCにアップロードし、グループポリシーに適用します。

    Devices > Remote Access > select the Connection Profile and Edit > Advanced > Group Policies > edit the Group Policy> Secure Client> Profile>の順に移動します。すでにFMCにアップロードされている場合はプロファイルを選択し、プラス記号のオプションをクリックしてそこからプロファイルをアップロードできます。

    FMCグループポリシーの設定FMCグループポリシーの設定

    確認

    VPNを介して接続した後、OSに応じて次のパスをチェックすることで、スクリプトが正常に展開されたことを確認できます。

    Microsoft Windows

    %ALLUSERSPROFILE%\Cisco\Cisco Secure Client\VPN\スクリプト

    Linux

    (Linuxでは、ユーザー、グループ、およびその他の実行権限をファイルに割り当てます)。

    /opt/cisco/secureclient/vpn/script

    MacOS

    /opt/cisco/secureclient/vpn/script

    トラブルシュート

    1. スクリプトにOnConnectまたはOnDisconnectプレフィックス名があることを確認します。ASDMバージョン6.3以降を使用している場合、セキュアファイアウォールASAはファイル名にプレフィックスscripts_とプレフィックスOnConnectまたはOnDisconnectを追加して、スクリプトとしてファイルを識別します。クライアントが接続すると、セキュリティアプライアンスはリモートコンピュータの適切なターゲットディレクトリにスクリプトをダウンロードし、scripts_プレフィックスを削除して、OnConnectまたはOnDisconnectプレフィックスを残します。たとえば、スクリプトmyscript.batをインポートすると、スクリプトはscripts_OnConnect_myscript.batとしてセキュリティアプライアンスに表示されます。リモートコンピュータでは、スクリプトはOnConnect_myscript.batとして表示されます。

    2. コマンドラインからスクリプトを実行してみてください。クライアントは、コマンドラインから実行できない場合、スクリプトを実行できません。スクリプトをコマンドラインで実行できない場合は、スクリプトを実行するアプリケーションがインストールされていることを確認し、そのオペレーティングシステムでスクリプトを書き換えてみてください。

    3. VPNエンドポイントのscriptsディレクトリにOnConnectスクリプトが1つとOnDisconnectスクリプトが1つだけあることを確認します。クライアントがセキュアファイアウォールASAからOnConnectスクリプトをダウンロードし、別のセキュアファイアウォールASA用の異なるファイル名サフィックスを持つ2番目のOnConnectスクリプトをダウンロードした場合、クライアントは実行する予定のスクリプトを実行できません。スクリプトパスに複数のOnConnectまたはOnDisconnectスクリプトが含まれており、スクリプトの展開にセキュアファイアウォールASAを使用している場合は、scriptsディレクトリの内容を削除し、VPNセッションを再確立します。スクリプトパスに複数のOnConnectまたはOnDisconnectスクリプトが含まれ、手動展開方法を使用している場合は、不要なスクリプトを削除して、VPNセッションを再確立します。

    4. オペレーティング・システムがLinuxまたはMacOSの場合、スクリプト・ファイルの権限が実行に設定されていることを確認します。権限が実行に設定されていない場合は、次のコマンドを実行して実行可能にできます。

    $ cd YourScriptDirectory

    $ sudo chmod +755 <スクリプト名>

    5. クライアントプロファイルでスクリプトが有効になっていることを確認します。

    6. スクリプトの記述方法に応じて、スクリプトの進行状況をログに記録するオプションが必要です。たとえば、.vbsを使用してobjShell.LogEventを使用し、Windowsのイベントビューアに移動して、これが成功したか失敗したかを確認できます。

    例として、スクリプト例Script to refresh a windows group policyを使用します。

    イベントビューアログイベントビューアログ

    更新履歴

    改定 発行日 コメント
    2.0
    19-Mar-2024
    初版リリース
    1.0
    27-Jul-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • JPミランダサモラ
      エスカレーションリーダーAAA FW VPN

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています