一、背景
ASA にAnyConnect接続用のリモートアクセスVPNを設定し、PC から接続するとき通常ASA の IP アドレスもしくは FQDN よりASAの外部インタフェースに接続し、その後ユーザ名とパスワードを入力することとなります(図1)。
図1 初期接続
その後PCの再起動もしくは AnyConnect VPN の再接続の際 AnyConnect のキャッシュ機能によりユーザ名は保存され、パスワードのみの入力が求められます (図2)。
図2 ユーザ名が表示
二、ユーザ名の非表示
PCを複数ユーザが使用するようなユースケースでは、PCの再起動もしくはユーザの切り替えの際に AnyConnect の再接続が発生します。このときセキュリティー上の理由からAnyConnect のユーザ名を非表示(ブランク)にしたい要望ががあります(図3)。
図3 ユーザ名が非表示
この機能を実現したいときはPCの以下のファイルを編集し、
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\AnyConnectLocalPolicy.xml
デフォルトのRestrictPreferenceCaching>false</RestrictPreferenceCaching>を
RestrictPreferenceCaching>all</RestrictPreferenceCaching> 若しくは
RestrictPreferenceCaching>credential</RestrictPreferenceCaching> と変更します。(図4, 図5)
図4 デフォルトのAnyConnectLocalPolicy.xml
図5 RestrictPreferenceCachingを変更
設定変更後 PC を再起動すると AnyConnect を再接続する際にユーザ名が表示されなくなります(図3)。
三、ユーザ名非表示設定時の異常動作
図5のように設定変更をするとPCの再起動、もしくはAnyConnect再接続時に毎回ユーザ名が非表示なるのがAnyConnectの仕様となります。
一方ASAでは AnyConnectが Proxy の使用、接続先のSG(Secure Gateway)の選択などができるようにClient Profile を設定することが可能です。AnyConnectがASAに接続するとき、ASAから該当プロファイルをダウンロードし、ローカル保存すると、次からASAに接続する際にClient Profile を参照することになります(図6, 図7)。
図6 Client Profile の設定
図7 PCローカルのClient Profile
但し、何らかの原因によりASAで設定しているClient Profileと PC がローカルで保存している Client Profile に何らかのミスマッチ(例えばファイル名不一致、ローカル Client Profileの不使用など)がある場合、PC が再起動もしくは AnyConnect が再接続する際にユーザ名が表示されてしまう場合があります。これらは AnyConnect の不具合となりまして、以下の DDTS より修正、追跡できます。
CSCvz84164 RestrictPreferenceCaching Credentials still displays username when group-policy has no XMLprofile
三、参考文献
[1] Cisco AnyConnect Secure Mobility Client リリース4.8 管理者ガイド
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
