こんにちは、
AnyConnect 4.5系+ASA5545X(2台)でエンドユーザーにSSL-VPNサービスを提供しています。
2台の使い分けとして、ユーザーを2つのグループに分け、異なるClient Profileを配布しています。
・グループ1向けは、ASA5545Xの1号機を優先接続、障害時は2号機に接続を試行(リダイレクト)するよう、Client ProfileのServerList->Host Entryに設定しています。
・グループ2向けは、逆の設定をしています。
この様な運用のため、例えば、グループ1所属のPCがASA2号機にリダイレクトしてVPN接続しても、ASA2号機からのClientProfileのダウンロードは本来は避けたいところです。(なお、ダウンロードの機能自体は必要です。ClientProfileの更新が必要な時があるからです。)
対応方法として、Local Policy(C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\AnyConnectLocalPolicy.xml)で制御することを考えたのですがうまくいきません。
---Local Policyの設定---
・AllowVPNProfileUpdatesFromAnyServerはtrue->falseに変更
・Server NameにClientProfileのダウンロードを許可するASAのホスト名/IPアドレスを追加
------------------------
テストすると、Client ProfileのServerList->Host Entryの設定に従って、リダイレクト接続の試行は行うのですが、「Cannot update AnyConnect VPN profile because local policy is preventing a required profile deployment from an unauthorized gateway.(以下省略)」と表示して接続に失敗してしまいます。
どうも、私がAnyConnectの仕様を理解していないことが原因のようですが、私が考えていることを実現するためにはどうしたらよいでしょうか。
また、Client Profileのダウンロード元を制限する、Local Policyのこの機能は、本来どういう使い方を想定しているのでしょうか。
(「Allow Software update from Any Server」の機能は分かりやすく、Help画面の説明にも例としても挙がっているのですが。。)
よろしく、お願いします。
