Sun Ray クライアントは、リモートユーザーのための VPN ソリューションを提供できます。Sun Ray クライアントファームウェアの IPsec 機能によって、Sun Ray クライアントが VPN エンドポイントデバイスとして動作できます。Cisco EzVPN プロトコルをサポートする Cisco ゲートウェイと Sun Ray クライアントが相互運用できるようにする Cisco 拡張機能に加えて、もっとも一般的に使用されている暗号化、認証、および鍵交換のメカニズムがサポートされています。現在、Sun Ray クライアントは Cisco と Netscreen (Juniper) の IPsec VPN コンセントレータをサポートしています。
セキュリティーモデルは Cisco VPN クライアントのものと同じです。最初の (IKE フェーズ 1) 認証交換の共通グループ名および鍵を使用して、クライアントはフラッシュメモリーに格納されている固定のユーザー名およびパスワードを提示するか、またはユーザー名およびトークンカードによって生成される 1 回限りのパスワードのエントリを要求することによって、Cisco Xauth プロトコルでユーザーを個別に認証します。
VPN サポートは構成 GUI に依存し、次の実装がサポートされています。
Cisco ハイブリッド認証
OpenSSL を使用した証明書
ハイブリッド認証用の Cisco PSK ハッシュ
Cisco ゲートウェイの最初の接続からの負荷分散リダイレクション
パスワードの格納を許可または拒否するゲートウェイの設定
Cisco プロファイル構成ファイル (.pcf
ファイル)、暗号化されたグループパスワードの復号化を含む
ネットワークでの証明書および .pcf
ファイルを読み込む機能
Perfect Forward Secrecy (PFS) のゲートウェイ設定
認証モードの構成 (事前共有、ハイブリッド、または XAUTH)
大規模なネゴシエーションパケットの IKE 断片化
格納された認証情報の使用を保護するために、VPN 構成には PIN エントリが含まれています。この機能によって、Sun Ray at Home の VPN 配備に対して二要素認証が可能になります。
リモート構成ファイルのファイルコピーエントリを使用して、VPN 構成ファイルおよび証明書ファイルをファームウェアにコピーすることもできます。詳細については、表14.3「リモート構成ファイルのキー値」を参照してください。
次の手順では、Cisco ハイブリッド認証を使用するように構成 GUI を変更する手順について説明します。
この手順では、必要な構成ファイルを提供する適切なサーバーに対するアクセス権を Sun Ray クライアントが持っていることを前提としています。
構成 GUI を開くには、Stop-M または Ctrl-Pause-M を押します。
「証明書」>「証明書ファイルの読み込み」
を選択します。
PEM 形式のルート証明書を含むファイルの URL を入力します (ゲートウェイ証明書の署名に使用されます)。
メニューを終了します。
「VPN プロファイル」>「プロファイルファイルの読み込み」
を選択します。
適切な Cisco .pcf
ファイルを読み込みます。
メニューを終了します。
「VPN 設定」>「VPN プロファイルのインポート」
を選択します。
必要なプロファイルが選択されるまで Enter キーを押して、既存の .pcf
ファイルを繰り返し選択します。このファイルの値はサブメニューのエントリに入力されますが、値が保存されるまでそれらは保存されません。.pcf ファイルが選択されずに最初のエントリに戻ると、初期値が復元されます。
「VPN 設定」メニューにさらに値を設定します。
「有効」をオンに設定します。
「ユーザー名」など、必要なほかの VPN 値を設定します。
VPN 設定を保存します。
(オプション) 「詳細」>「構成のダウンロード」
を選択して、VPN 設定をダウンロードします
新しい認証方法が「vpn.authmethod」として構成ファイルに指定され、有効な値は「xauth」、「preshared」、および「hybrid」です (大文字小文字が区別されます)。
メインメニューから ESC を入力し、構成 GUI 設定を保存します。
Sun Ray クライアントがリブートし、VPN 接続を試行します。