AnyConnectのプロファイルについてです。 このファイルの内容はASAの show run だけでは表示されないので、 注意する必要があります。
プロファイルとは?
ASAにAnyConnectで接続した際、クライアントにダウンロードされるXMLファイルです。 このファイルにはAnyConnectの設定が記述されています。
管理者がAnyConnectの設定を決定するためのものです。 もっとも一般的な設定は、下記のように接続先を記憶させることだと思います。
スリープであれば最後に接続した宛先が表示されたままですが、
PCを再起動すると、AnyConnectの接続先が消えてしまいますので、
この設定はしておいた方が良いと思います。
※iOS版などのモバイル版AnyConnectは、プロファイル作成しなくてもアプリ側で接続先を記憶可能です。
他には、AnyConnect設定項目表示/非表示や有効/無効を設定することができます。
プロファイルの設定
ASDMから設定します。 ※ASDMとはASAをGUIで設定するためのツールです。 ASDMに関してはこちらの記事が参考になります。
設定箇所は下記です。
Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile
先ほどの「Start VPN when AnyConnect is started」のチェックボックスを表示させたのは下記の設定です。
設定したら、「Change Group Policy」で該当のグループに割り当てます。 設定は次回のVPN接続時に反映されます。
接続先を設定する
Server Listを設定することで接続先を記憶させることができます。
[Display Name]に設定したFQDNや宛先に直接接続させることも可能ですし、 [Display Name]とは別に接続先を設定することもできます。
複数設定してリスト形式で選択する
下記のように設定すれば複数選択も可能です。
接続先をユーザが変更不可にする
[Allow Manual Host Input]のチェックを外せば、Server Listで設定された接続先を AnyConnectで編集することができなくなるため、 既定の接続先以外を禁止したい場合に便利です。
リファレンス
その他設定可能な項目は下記を参照してください。
ASAのCLIからプロファイルを表示する
ASDMで設定表示や変更をすることが一般的ですが、 一応、下記のコマンドで表示することができます。
ciscoasa# more disk0:/profile1.xml
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="false">true</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="false">true</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreMac>All</CertificateStoreMac> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="false">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="false">false</MinimizeOnConnect> <LocalLanAccess UserControllable="false">false</LocalLanAccess> <DisableCaptivePortalDetection UserControllable="true">false</DisableCaptivePortalDetection> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior> </AutoReconnect> <SuspendOnConnectedStandby>false</SuspendOnConnectedStandby> <AutoUpdate UserControllable="false">false</AutoUpdate> <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <LinuxLogonEnforcement>SingleLocalLogon</LinuxLogonEnforcement> <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment> <LinuxVPNEstablishment>LocalUsersOnly</LinuxVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> <CaptivePortalRemediationBrowserFailover>false</CaptivePortalRemediationBrowserFailover> <AllowManualHostInput>true</AllowManualHostInput> </ClientInitialization> <ServerList> <HostEntry> <HostName>hogehoge.co.jp</HostName> </HostEntry> </ServerList> </AnyConnectProfile>
プロファイルの格納場所
下記の場所に格納されます。 管理者権限が必要ですが、誤った設定をクリアしたい場合等は XMLファイルを削除してAnyConnectを再起動させればOKです。
OS | 格納場所 |
---|---|
Windows | C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile |
Mac / Linux | /opt/cisco/anyconnect/profile/ |
iPhoneなどの場合は?
接続先等の設定はダウンロードされるようですが、PC版のみで有効な設定も多々あるため、 MDMソフトウェアで一括設定するのが一般的だと思います。