AnyConnectのプロファイルについてです。 このファイルの内容はASAの show run だけでは表示されないので、 注意する必要があります。
プロファイルとは?
ASAにAnyConnectで接続した際、クライアントにダウンロードされるXMLファイルです。 このファイルにはAnyConnectの設定が記述されています。
管理者がAnyConnectの設定を決定するためのものです。 もっとも一般的な設定は、下記のように接続先を記憶させることだと思います。
スリープであれば最後に接続した宛先が表示されたままですが、
PCを再起動すると、AnyConnectの接続先が消えてしまいますので、
この設定はしておいた方が良いと思います。
※iOS版などのモバイル版AnyConnectは、プロファイル作成しなくてもアプリ側で接続先を記憶可能です。
他には、AnyConnect設定項目表示/非表示や有効/無効を設定することができます。
プロファイルの設定
ASDMから設定します。 ※ASDMとはASAをGUIで設定するためのツールです。 ASDMに関してはこちらの記事が参考になります。
設定箇所は下記です。
Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile
先ほどの「Start VPN when AnyConnect is started」のチェックボックスを表示させたのは下記の設定です。
設定したら、「Change Group Policy」で該当のグループに割り当てます。
設定は次回のVPN接続時に反映されます。
接続先を設定する
Server Listを設定することで接続先を記憶させることができます。
[Display Name]に設定したFQDNや宛先に直接接続させることも可能ですし、
[Display Name]とは別に接続先を設定することもできます。
複数設定してリスト形式で選択する
下記のように設定すれば複数選択も可能です。
接続先をユーザが変更不可にする
[Allow Manual Host Input]のチェックを外せば、Server Listで設定された接続先を AnyConnectで編集することができなくなるため、 既定の接続先以外を禁止したい場合に便利です。
リファレンス
その他設定可能な項目は下記を参照してください。
ASAのCLIからプロファイルを表示する
ASDMで設定表示や変更をすることが一般的ですが、 一応、下記のコマンドで表示することができます。
ciscoasa# more disk0:/profile1.xml
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="false">true</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="false">true</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreMac>All</CertificateStoreMac>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="false">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="false">false</MinimizeOnConnect>
<LocalLanAccess UserControllable="false">false</LocalLanAccess>
<DisableCaptivePortalDetection UserControllable="true">false</DisableCaptivePortalDetection>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
<SuspendOnConnectedStandby>false</SuspendOnConnectedStandby>
<AutoUpdate UserControllable="false">false</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<LinuxLogonEnforcement>SingleLocalLogon</LinuxLogonEnforcement>
<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
<LinuxVPNEstablishment>LocalUsersOnly</LinuxVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
<CaptivePortalRemediationBrowserFailover>false</CaptivePortalRemediationBrowserFailover>
<AllowManualHostInput>true</AllowManualHostInput>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>hogehoge.co.jp</HostName>
</HostEntry>
</ServerList>
</AnyConnectProfile>
プロファイルの格納場所
下記の場所に格納されます。 管理者権限が必要ですが、誤った設定をクリアしたい場合等は XMLファイルを削除してAnyConnectを再起動させればOKです。
| OS | 格納場所 |
|---|---|
| Windows | C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile |
| Mac / Linux | /opt/cisco/anyconnect/profile/ |
iPhoneなどの場合は?
接続先等の設定はダウンロードされるようですが、PC版のみで有効な設定も多々あるため、 MDMソフトウェアで一括設定するのが一般的だと思います。
