Mac OS X Server - VPNサービスを管理する

background image

サービスを管理する

VPN

」パネルを使用して、

VPN

リモート・アクセス・サービスを有効または無効にしたり、

VPN

シー

クレットを検査または変更したり、

VPN

ユーザ用の

IP

アドレスの範囲を設定したり、

Mac OS X

ユー

ザ用の

VPN

構成ファイルを保存したりします。

VPN

サービスについて

VPN

Virtual Private Network

)サービスを使用すると、ユーザは、自宅またはほかのリモートの

場所からインターネット経由でネットワークに接続できます。ユーザはセキュリティ保護された

VPN

続を確立して、ファイル共有、アドレスブック、メール、

iChat

iCal

Web

などのサービスにアクセ

スします。

機密性、認証、通信の整合性を保証するために、

VPN

サービスは共有シークレットを含む

L2TP

プロ

トコルを使用します。

background image

145

9

サービスをカスタマイズする

セキュリティ保護された共有シークレットは、サーバの設定時に自動的に生成されます。共有シークレッ

トは、

VPN

接続のためのクライアント・コンピュータ・ユーザの認証には使用されません。その代わり

に、サーバは共有シークレットを持つクライアントコンピュータを信頼でき、クライアントコンピュータは

シークレットを持つサーバを信頼できます。

サーバとクライアントコンピュータの両方が共有シークレットを持っている必要があります。

Mac OS X

v10.6 Snow Leopard

を搭載したコンピュータでは、自動的に共有シークレットが取得されてサーバ

VPN

サービスに接続するように設定できます。

103

ページの「ユーザの

Mac

を自動的に設定する」

を参照してください。

ほかの

Mac

および

Windows

コンピュータを異なる方法で構成して、

VPN

サービスに接続させるこ

とができます。

113

ページの「

Mac

ユーザの

VPN

接続を設定する」および

115

ページの「ユーザの

VPN

接続を手動で設定する」を参照してください。

VPN

サービスとサーバのファイアウォールのどちらを使用しても、ローカルネットワーク外部からサービ

スにアクセスできます。両者の違いは、

VPN

サービスではアクセスのために認証が必要なのに対して、

ファイアウォール経由で許可されるアクセスには認証の必要がないという点です。

VPN

サービスが有効

になっている場合は、一部のサービスをファイアウォール経由でインターネットに公開する必要がない場
合があります。たとえば、自分の

Wiki

やカスタム

Web

サイトを一般の人が表示できるように、

Web

サービスのみをインターネットに公開するようにファイアウォールを設定する場合です(認証および設定

したアクセス制限で管理)。サーバのユーザは、

VPN

接続経由でファイル共有、アドレスブック、

iCal

iChat

、メールなどのサービスにアクセスできます。

インターネット上の

VPN

サービスへのアクセスを許可するときに、ケーブル・ルーター、

DSL

ルーターなど

のネットワークルーターがある場合:

ルーターに

VPN

サービス用のポート転送(ポートマッピング)が構成されている必要があります。

Â

詳しくは、

34

ページの「小規模なネットワークを保護する」を参照してください。

background image

146

9

サービスをカスタマイズする

ルーターおよび

VPN

ユーザのルーターを構成するときは、競合する

IP

アドレスが割り当てられない

Â

ようにする必要があります。詳しくは、

149

ページの「インターネットルーター経由で

VPN

サービス

を提供する」を参照してください。

ローカルネットワーク外部にある

VPN

サービスにアクセスできるようにする場合で、ローカルネットワー

クに独立したファイアウォールがある場合は、ファイアウォールで

VPN

サービスが使用するポートを

開放するようにファイアウォール管理者に依頼してください。ポートのリストについては、

175

ページの

「サービスとポート」を参照してください。

VPN

共有シークレットを変更する

「サーバ環境設定」を使用して、サーバとクライアントコンピュータが

VPN

接続を行うときの認証に使

用する共有シークレットを変更できます。共有シークレットを定期的に変更すると、

VPN

のセキュリティ

が強化されますが、ユーザが

VPN

接続に使用するコンピュータの共有シークレットも変更する必要があ

るため、不便です。

VPN

共有シークレットを変更するには:

1

「サーバ環境設定」の「

VPN

」パネルで「編集」をクリックします。

2

シークレットを参照できるように「共有シークレットを表示」を選択してから、新しいシークレットを入力し、

OK

」をクリックします。

共有シークレットは、英字、数字、記号を含み、空白を含まない

8

文字以上(

12

文字以上を推奨)で

ある必要があります。初期状態の共有シークレットは

32

文字のランダムの文字です。

「パスワードアシスタント」を使用すると、新しい共有シークレットを作成しやすくなります。一時的に「ユー

ザ」パネルに切り替えて、

「アカウント」>「パスワードをリセット」とクリックします。「新しいパスワード」

フィールドの右の「キー」ボタンをクリックして、

「キャンセル」をクリックし、

VPN

」パネルに戻ります。「パ

スワードアシスタント」は開いたまま残るため、それを使用して、新しい共有シークレットを生成できます。
このシークレットは「候補」フィールドからコピーして、

「共有シークレット」フィールドにペーストできます。

background image

147

9

サービスをカスタマイズする

ここでシークレットを変更した後は、すべての

VPN

ユーザが自分の

VPN

構成を同様に変更する必要

があります。この変更については、

115

ページの「ユーザの

VPN

接続を手動で設定する」を参照して

ください。

VPN

構成ファイルを作成する

「サーバ環境設定」を使用して、

Mac

ユーザが開くと

VPN

構成ファイルが自動的に作成されるファイ

ルを作成できます。

VPN

構成を作成した後は、ユーザが、サーバとそのネットワークへのインターネッ

ト経由の

VPN

接続を行うことができます。この構成ファイルは

Mac OS X v10.3

以降で機能します。

VPN

構成ファイルを作成するには:

1

「サーバ環境設定」の「

VPN

」パネルで「別名で保存」をクリックし、

VPN

構成ファイルの場所を選

択して「保存」をクリックします。

2

保存した構成ファイルを、

Mac

上での

VPN

構成の設定が必要なユーザに配布します。

ユーザは、管理者が生成した

VPN

構成ファイルを開くだけで、

Mac

を設定できます。このファイルを

開くと、「システム環境設定」の「ネットワーク」パネルまたは「インターネット接続」が(

Mac OS X

のバージョンに応じて)開かれ、

VPN

接続に必要なすべての情報と共に

VPN

構成が読み込まれます。

ただし、サーバのユーザアカウントの名前とパスワードは読み込まれません。「インターネット接続」から、
読み込んだ構成の置き場所を尋ねるメッセージが表示された場合は、「

VPN

L2TP

)」を選択する必

要があります。「

VPN

PPTP

)」またはほかのオプションを選択しないでください。

「ネットワーク」環境設定または「インターネット接続」による

VPN

構成の読み込みが終了したら、ユー

ザがアカウント名を入力する必要があります。また、パスワードも入力できます。その後、アプリケーショ

ンの終了時にそれらを

VPN

構成の一部として保存する必要があります。ユーザがアカウントの名前と

パスワードの両方を

VPN

構成の一部として保存した場合は、だれでもそのコンピュータを使用して自

動的にログインし、サーバへの

VPN

接続を行うことができます。

background image

148

9

サービスをカスタマイズする

セキュリティのため、ユーザには、アカウント名を入力し、パスワードは空白のままでアプリケーション(「シ

ステム環境設定」または「インターネット接続」)を終了するよう指示してください。ユーザがコンピュー
タ上に、

VPN

構成の一部としてパスワードを保存していない場合は、サーバへの

VPN

接続を行うた

びに、ログインを要求する画面が表示されます。

ユーザに伝える

VPN

構成ファイルの使用方法については、

113

ページの「

Mac

ユーザの

VPN

接続

を設定する」を参照してください。

VPN

IP

アドレス範囲を変更する

「サーバ環境設定」を使用して、リモートコンピュータに割り当てるためにサーバで予約するアドレスの

範囲を変更できます。このアドレスは、リモートコンピュータがサーバに

VPN

接続を行うときに割り当

てられます。たとえば、より大きな範囲を指定すると、より多くの

IP

アドレスを

VPN

接続に使用できます。

重要:

サーバのネットワーク上にはアドレスがあり、それらは、ネットワーク上のほかのコンピュータや

装置が使用することはできません。このアドレス範囲には、ネットワーク上で使用中の静的な

IP

アドレ

スは含まれず、

DHCP

サーバが割り当てるアドレスの範囲とも重複しません。

VPN

サービスの

IP

アドレス範囲を変更するには:

1

「サーバ環境設定」の「

VPN

」パネルで、範囲内の最初または最後の

IP

アドレス、またはその両方

を変更します。

アドレスの範囲は、同時に

VPN

接続を行うリモートコンピュータの最大数に十分対応できる大きさであ

る必要があります。

VPN

サービスでは、

VPN

接続が行われている間だけリモートコンピュータに

IP

ドレスが割り当てられ、リモートコンピュータの接続が切断されたときにそのアドレスが解放されます。

2

AirMac

ベースステーション、または

DHCP

サービスを提供するほかのインターネットルーター(ゲー

トウェイ)がある場合は、

DHCP

VPN

のアドレス範囲が重複しないよう、その

IP

アドレス範囲の調

整が必要となる場合があります。

background image

149

9

サービスをカスタマイズする

AirMac

ベースステーションを構成するときは、

AirMac

ユーティリティ」

(「

/

アプリケーション

/

ユーティ

リティ

/

」にあります)を使用します。インターネットルーターの設定変更については、インターネットルー

ターのマニュアルを参照してください。

すでにインターネット接続用にリモートコンピュータで使用されている

IP

アドレスが、

VPN

サービスに

よって

VPN

接続用にリモートコンピュータに割り当てられた

IP

アドレスに置き換わるわけではありませ

ん。リモートコンピュータは、この

IP

アドレスと使用中のほかの

IP

アドレスを保持し、

VPN

用に割り

当てられた

IP

アドレスを追加します。

インターネットルーター経由で

VPN

サービスを提供する

インターネット接続を共有するように構成された

AirMac

ベースステーション、

Time Capsule

、また

はネットワークルーター経由でサーバが

VPN

サービスを提供しており、ユーザのコンピュータが自分の

ベースステーションまたはホームルーター経由で

VPN

接続を行う必要がある場合は、サーバが

VPN

ユーザのホームコンピュータとは別の

IP

サブネット上にある必要があります。このような問題を回避す

るには、サーバの

IP

アドレスの先頭の

3

組の数字(

10.0.1

192.168.1

など)が

VPN

ユーザのホームネッ

トワーク上の

IP

アドレスのものとは異なっていることを確認してください。

ネットワークアドレスを変更するようにユーザに依頼する:
ホームネットワークまたはほかのローカルネットワーク上の

IP

アドレスを、先頭の

3

組の数字がローカ

m

ルネットワーク上の

IP

アドレスのものとは異なるものに変更するよう

VPN

ユーザに依頼できます。

たとえば、ローカル

IP

アドレスが

192.168.1

で始まる場合は、ホームネットワークでは

192.168.2

で始まる

IP

アドレスを使用するように

VPN

ユーザに依頼します。プライベートネットワークでは、

192.168.0

192.168.254

10.0.0

10.254.254

172.16.0

172.31.254

で始まる

IP

アドレスを

使用できます。これらのすべての場合に、

255.255.255.0

というサブネットマスクを使用します。

background image

150

9

サービスをカスタマイズする

ローカルネットワークのアドレスを変更する:
ホームネットワークのアドレスを変更するように

VPN

ユーザに依頼するのではなく、サーバのローカ

ルネットワーク上にあるすべてのデバイスの

IP

アドレスを変更することもできます。この変更には、

AirMac

ベースステーションなどのルーター、サーバ、およびその他のコンピュータが含まれます。

IP

サブネットがベースステーションなどのルーターで最も一般的なデフォルト値(

10.0.1

192.168.0

m

192.168.1

)とは異なるものになるように、ローカル

IP

アドレスを変更します。

単に、ローカル

IP

アドレスの

3

組目の数字に

2

254

の数字を選択するだけです。たとえば、ロー

カルネットワークの

IP

アドレスが

192.168.1

で始まる場合は、

192.168.58

192.168.177

で始まる

IP

アドレスに変更します。ローカル

IP

アドレスが

10.0.1

で始まる場合は、

10.0.29

10.0.103

で始まる

IP

アドレスに変更します。また、

172.16.0

172.31.255

の数字も使用できます。これらのすべての場

合に、

255.255.255.0

というサブネットマスクを使用します。

AirMac

ベースステーション、ほかのインターネットルーター、または

DHCP

サーバによってネットワー

ク上のコンピュータに割り当てられる

IP

アドレスは、必ず変更してください。この変更は、

AirMac

ベー

スステーションで「

AirMac

ユーティリティ」(「

/

アプリケーション

/

ユーティリティ

/

」にあります)を

使用して行います。操作方法については、「

AirMac

ユーティリティ」を開いて「ヘルプ」メニューを

参照してください。ほかの種類のインターネットルーターまたはゲートウェイの構成については、それぞ
れのマニュアルを参照してください。

サーバの

IP

アドレスの変更については、

157

ページの「サーバの

IP

アドレスを変更する」を参照して

ください。

background image

151

9

サービスをカスタマイズする