• [AAA server groups]：[AAA Server Groups] パネル（[Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups]）に移動する場合にクリックします。ここでは、AAA サーバー グループを追加または編集できます。

• [group policies]：[Group Policy] パネル（[Configuration] > [Features] > [VPN] > [General] > [Group Policy]）に移動する場合にクリックします。ここでは、グループ ポリシーを追加または編集できます。

• [Authentication Server Group]：ユーザー認証用の認証サーバー グループを選択します。デフォルトでは、認証サーバーが設定されていません。AAA を認証方式として設定した場合には（[Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル）、AAA サーバーを設定してここで選択しないと、常に認証に失敗します。

• [Authorization Server Group]：ユーザー認可用の認可サーバー グループを選択します。デフォルトでは、認可サーバーが設定されていません。

• [Accounting Server Group]：ユーザー アカウンティング用のアカウンティング サーバー グループを選択します。デフォルトでは、アカウンティング サーバーが設定されていません。

• [Default Group Policy]：AAA が CLASSID 属性を返さない場合にユーザーに適用するグループ ポリシーを選択します。長さは、4 ～ 15 文字の英数字です。デフォルトのグループ ポリシーが指定されていない場合や、CLASSID が存在しない場合、ASA はセッションを確立できません。

• [Authorization Settings]：ASA が認可のために識別するユーザー名の値を設定します。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 認可を必要とするユーザーに適用されます。

  • [Use the entire DN as the username]：認可用の認定者名を使用する場合に選択します。

  • [Specify individual DN fields as the username]：ユーザー認可用に特定の DN フィールドを指定する場合に選択します。

    [DN] フィールドは、プライマリとセカンダリの 2 つを選択できます。たとえば、EA を選択した場合には、ユーザーは電子メール アドレスによって認証されます。John Doe という一般名（CN）と johndoe@cisco.com という電子メール アドレスを持つユーザーは、John Doe または johndoe として認証されません。彼は johndoe@cisco.com として認証される必要があります。EA および O を選択した場合、John Doe は johndoe@cisco.com および Cisco Systems, Inc. として認証される必要があります。

  • [Primary DN Field]：認可用に設定するプライマリ DN フィールドを選択します。デフォルトは [CN] です。オプションには、次のものが含まれます。

    DN フィールド	定義
    Country（C）	2 文字の国名略語。国名コードは、ISO 3166 国名略語に準拠しています。
    Common Name（CN）	ユーザー、システム、その他のエンティティの名前。これは、ID 階層の最下位（最も固有性の高い）レベルです。
    DN Qualifier（DNQ）	特定の DN 属性。
    E-mail Address（EA）	証明書を所有するユーザー、システム、またはエンティティの電子メール アドレス。
    Generational Qualifier（GENQ）	Jr.、Sr.、または III などの世代修飾子。
    Given Name（GN）	証明書所有者の名前（名）。
    Initials（I）	証明書所有者の姓と名の最初の文字。
    Locality（L）	組織が所在する市町村。
    Name（N）	証明書所有者の名前。
    Organization（O）	会社、団体、機関、協会、その他のエンティティの名前。
    Organizational Unit（OU）	組織内のサブグループ。
    Serial Number（SER）	証明書のシリアル番号。
    Surname（SN）	証明書所有者の姓。
    State/Province（S/P）	組織が所在する州や県。
    Title（T）	証明書所有者の役職（Dr. など）。
    User ID（UID）	証明書所有者の ID 番号。

  • [Secondary DN Field]：（オプション）認可用に設定するセカンダリ DN フィールドを選択します。デフォルトは [OU] です。オプションには、上記の表に記載されているものすべてに加えて、[None] があります。これは、セカンダリ フィールドを指定しない場合に選択します。

• [Interface]：設定されているすべてのインターフェイスの名前を表示します。

• [POP3S Enabled]：そのインターフェイスで POP3S がイネーブルかどうかを示します。

• [IMAP4s Enabled]：そのインターフェイスで IMAP4S がイネーブルかどうかを示します。

• [SMTPS Enabled]：そのインターフェイスで SMTPS がイネーブルかどうかを示します。

• [AAA]：AAA 認証を必須にする場合に選択します。このオプションを使用するには、AAA サーバーを設定する必要があります。ユーザーは、ユーザー名、サーバー、およびパスワードを入力します。ユーザーは、VPN ユーザー名と電子メール ユーザー名の両方を入力する必要があります。そのとき、互いのユーザー名が異なる場合にだけ、VPN 名デリミタによって区切ります。

• [Certificate]：証明書認証を必須にする場合に選択します。

  （注）	現在の ASA ソフトウェア リリースでは、証明書認証は電子メール プロキシに対して機能しません。

  証明書認証を使用する場合、ユーザーは、ASA が SSL ネゴシエーション時に検証できる証明書を持っている必要があります。SMTPS プロキシでは、証明書認証を唯一の認証方式として使用できます。その他の電子メール プロキシでは 2 種類の認証方式が必要です。

  証明書認証には、すべて同じ CA から発行された 3 種類の証明書が必要です。

  - ASA の CA 証明書。

  - クライアント PC の CA 証明書。

  - クライアント PC の Web ブラウザ証明書。個人証明書または Web ブラウザ証明書とも呼ばれます。

• [Piggyback HTTPS]：ピギーバック認証を必須にする場合に選択します。

  この認証スキームは、ユーザーがすでにクライアントレス SSL VPN セッションを確立していることを必須とします。ユーザーは電子メール ユーザー名だけを入力します。パスワードは不要です。ユーザーは、VPN ユーザー名と電子メール ユーザー名の両方を入力する必要があります。そのとき、互いのユーザー名が異なる場合にだけ、VPN 名デリミタによって区切ります。

  IMAP は、同時ユーザー数によって制限されない多数のセッションを生成しますが、ユーザー名に対して許可されている同時ログインの数を数えません。IMAP セッションの数がこの最大値を超え、クライアントレス SSL VPN 接続の有効期限が切れた場合には、その後ユーザーが新しい接続を確立できません。以下の解決策があります。

  SMTPS 電子メールは、最も頻繁にピギーバックを使用します。ほとんどの SMTP サーバーが、ユーザーがログインすることを許可していないためです。

  （注）

  IMAP は、同時ユーザー数によって制限されない多数のセッションを生成しますが、ユーザー名に対して許可されている同時ログインの数を数えません。IMAP セッションの数がこの最大値を超え、クライアントレス SSL VPN 接続の有効期限が切れた場合には、その後ユーザーが新しい接続を確立できません。以下の解決策があります。 - ユーザーは IMAP アプリケーションを終了して ASA とのセッションをクリアしてから、新しいクライアントレス SSL VPN 接続を確立できる。 - 管理者が IMAP ユーザーの同時ログイン数を増やす（[Configuration] > [Features] > [VPN] > [General] > [Group Policy] > [Edit Group Policy] > [General]）。 - 電子メール プロキシの HTTPS/ピギーバック認証をディセーブルにする。

• [Mailhost]：（SMTPS のみ）メールホスト認証を必須にする場合に選択します。POP3S と IMAP4S は必ずメールホスト認証を実行するため、このオプションは、SMTPS の場合にだけ表示されます。この認証方式では、ユーザーの電子メール ユーザー名、サーバー、およびパスワードが必要です。

• [Name or IP Address]：デフォルトの電子メール プロキシ サーバーの DNS 名または IP アドレスを入力します。

• [Port]：ASA が電子メール プロキシ トラフィックをリッスンするポート番号を入力します。設定されたポートに対する接続が自動的に許可されます。電子メール プロキシは、SSL 接続だけをこのポートで許可します。SSL トンネルが確立された後に電子メール プロキシが開始され、認証が行われます。

  デフォルトの設定は次のとおりです。

  • 995（POP3S の場合）

  • 993（IMAP4S の場合）

  • 988（SMTPS の場合）

• [Enable non-authenticated session limit]：非認証電子メール プロキシ セッションの数を制限する場合に選択します。認証プロセスでのセッションの制限を設定でき、それによって DOS 攻撃を防ぎます。新しいセッションが、設定された制限を超えると、ASA が最も古い非認証接続を終了します。非認証接続が存在しない場合には、最も古い認証接続が終了します。それによって認証済みのセッションが終了することはありません。

電子メール プロキシ接続には、3 つの状態があります。

• 新規に電子メール接続が確立されると、「認証されていない」状態になります。

• この接続でユーザー名が提示されると、「認証中」状態になります。

• ASA が接続を認証すると、「認証済み」状態になります。

• [Username/Password Delimiter]：VPN ユーザー名と電子メール ユーザー名を区切るためのデリミタを選択します。電子メール プロキシで AAA 認証を使用する場合、および VPN ユーザー名と電子メール ユーザー名が異なる場合に両方のユーザー名を使用します。電子メール プロキシ セッションにログインするときに、ユーザーは両方のユーザー名を入力し、ここで設定したデリミタで区切ります。また、電子メール サーバー名も入力します。

  （注）	クライアントレス SSL VPN 電子メール プロキシ ユーザーのパスワードに、デリミタとして使用されている文字を含めることはできません。

• [Server Delimiter]：ユーザー名と電子メール サーバー名を区切るためのデリミタを選択します。このデリミタは、VPN 名デリミタとは別にする必要があります。電子メール プロキシ セッションにログインする場合には、ユーザー名フィールドにユーザー名とサーバーの両方を入力します。

  たとえば、VPN 名デリミタとして : を使用し、サーバー デリミタとして @ を使用する場合には、電子メール プロキシ経由で電子メール プログラムにログインするときに、vpn_username:e-mail_username@server という形式でユーザー名を入力します。