技術を楽しもう!

IT(ネットワーク)業界を中心に、仕事や趣味等、色々な技術を記録します。

AnyConnectのプロファイル設定(接続先の編集等)

https://www.cisco.com/c/dam/assets/swa/img/600/anyconnect-600x400.jpg

AnyConnectのプロファイルについてです。 このファイルの内容はASAの show run だけでは表示されないので、 注意する必要があります。

プロファイルとは?

ASAにAnyConnectで接続した際、クライアントにダウンロードされるXMLファイルです。 このファイルにはAnyConnectの設定が記述されています。

管理者がAnyConnectの設定を決定するためのものです。 もっとも一般的な設定は、下記のように接続先を記憶させることだと思います。

f:id:takashi-tobey:20200216094339p:plain

スリープであれば最後に接続した宛先が表示されたままですが、 PCを再起動すると、AnyConnectの接続先が消えてしまいますので、 この設定はしておいた方が良いと思います。
iOS版などのモバイル版AnyConnectは、プロファイル作成しなくてもアプリ側で接続先を記憶可能です。

他には、AnyConnect設定項目表示/非表示や有効/無効を設定することができます。

f:id:takashi-tobey:20200216100432p:plain
表示前

f:id:takashi-tobey:20200216100515p:plain
表示後

プロファイルの設定

ASDMから設定します。 ※ASDMとはASAをGUIで設定するためのツールです。 ASDMに関してはこちらの記事が参考になります。

設定箇所は下記です。

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile

先ほどの「Start VPN when AnyConnect is started」のチェックボックスを表示させたのは下記の設定です。 f:id:takashi-tobey:20200216101015p:plain

設定したら、「Change Group Policy」で該当のグループに割り当てます。 設定は次回のVPN接続時に反映されます。 f:id:takashi-tobey:20200216101633p:plain

接続先を設定する

Server Listを設定することで接続先を記憶させることができます。

[Display Name]に設定したFQDNや宛先に直接接続させることも可能ですし、 [Display Name]とは別に接続先を設定することもできます。 f:id:takashi-tobey:20200216102312p:plain

複数設定してリスト形式で選択する

下記のように設定すれば複数選択も可能です。

f:id:takashi-tobey:20200216102713p:plain

接続先をユーザが変更不可にする

[Allow Manual Host Input]のチェックを外せば、Server Listで設定された接続先を AnyConnectで編集することができなくなるため、 既定の接続先以外を禁止したい場合に便利です。

f:id:takashi-tobey:20200216103003p:plain

リファレンス

その他設定可能な項目は下記を参照してください。

www.cisco.com

ASAのCLIからプロファイルを表示する

ASDMで設定表示や変更をすることが一般的ですが、 一応、下記のコマンドで表示することができます。

ciscoasa# more disk0:/profile1.xml
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
        <ClientInitialization>
                <UseStartBeforeLogon UserControllable="false">true</UseStartBeforeLogon>
                <AutomaticCertSelection UserControllable="false">true</AutomaticCertSelection>
                <ShowPreConnectMessage>false</ShowPreConnectMessage>
                <CertificateStore>All</CertificateStore>
                <CertificateStoreMac>All</CertificateStoreMac>
                <CertificateStoreOverride>false</CertificateStoreOverride>
                <ProxySettings>Native</ProxySettings>
                <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
                <AuthenticationTimeout>12</AuthenticationTimeout>
                <AutoConnectOnStart UserControllable="false">false</AutoConnectOnStart>
                <MinimizeOnConnect UserControllable="false">false</MinimizeOnConnect>
                <LocalLanAccess UserControllable="false">false</LocalLanAccess>
                <DisableCaptivePortalDetection UserControllable="true">false</DisableCaptivePortalDetection>
                <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
                <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
                <AutoReconnect UserControllable="false">true
                        <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
                </AutoReconnect>
                <SuspendOnConnectedStandby>false</SuspendOnConnectedStandby>
                <AutoUpdate UserControllable="false">false</AutoUpdate>
                <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
                <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
                <LinuxLogonEnforcement>SingleLocalLogon</LinuxLogonEnforcement>
                <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
                <LinuxVPNEstablishment>LocalUsersOnly</LinuxVPNEstablishment>
                <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
                <PPPExclusion UserControllable="false">Disable
                        <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
                </PPPExclusion>
                <EnableScripting UserControllable="false">false</EnableScripting>
                <EnableAutomaticServerSelection UserControllable="false">false
                        <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
                        <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
                </EnableAutomaticServerSelection>
                <RetainVpnOnLogoff>false
                </RetainVpnOnLogoff>
                <CaptivePortalRemediationBrowserFailover>false</CaptivePortalRemediationBrowserFailover>
                <AllowManualHostInput>true</AllowManualHostInput>
        </ClientInitialization>
        <ServerList>
                <HostEntry>
                        <HostName>hogehoge.co.jp</HostName>
                </HostEntry>
        </ServerList>
</AnyConnectProfile>

プロファイルの格納場所

下記の場所に格納されます。 管理者権限が必要ですが、誤った設定をクリアしたい場合等は XMLファイルを削除してAnyConnectを再起動させればOKです。

OS 格納場所
Windows C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile
Mac / Linux /opt/cisco/anyconnect/profile/

iPhoneなどの場合は?

接続先等の設定はダウンロードされるようですが、PC版のみで有効な設定も多々あるため、 MDMソフトウェアで一括設定するのが一般的だと思います。