• DesktopVPNとは?
  • ライセンス体系
  • サポート
  • よくあるご質問
  • ダウンロード
  • DesktopVPN Version2.0新機能
トップ > サポート > 各種機能・使用方法 > Desktop VPNサーバ

Desktop VPNサーバ

サーバ設定ツールのセキュリティ

Desktop VPNサーバは、「Desktop VPN サーバー設定ツール」を使用して設定を行います。サーバ設定ツールでは、Desktop VPNクライアントの接続制限やログの管理などが行えます。サーバ設定ツールのセキュリティを確保するために、起動パスワードの設定や 起動ユーザの制限を行うことが可能です。



起動パスワード

「Desktop VPN サーバー設定ツール」を起動するためのパスワードを設定することができます。これにより、第三者がサーバ設定ツールを起動し、コンピュータIDなどの設定情報を不正に変更できないようにすることが可能になります。

この機能を使用するには、「設定用パスワードの設定」ボタンをクリックして、「設定用パスワードの設定」ウィンドウの「パスワードを設定する」を有効にします。サーバ設定ツールを起動する際に入力させるパスワードを設定し、設定を保存します。

起動パスワード

次回よりサーバ設定ツールを起動する際に、パスワードの入力が必要になります。 設定したパスワードを入力すると、サーバ設定ツールが起動します。

起動パスワード

ページトップ

起動ユーザ制限

「Desktop VPN サーバー設定ツール」を起動するためのパスワードを設定するとともに、サーバ設定ツールを起動できるユーザを制限することが可能です。

接続先のPCに複数のユーザが存在する場合に、特定の管理ユーザのみが設定ツールを起動できるようにすることで、一般ユーザによって設定を変更されることを防ぐことができます。

サーバ設定ツール起動後、「設定用パスワードの設定」画面にて、サーバ設定ツールを起動できるユーザを制限することができます。チェックボックスを設定することにより、現在ログイン中のユーザのみがサーバ設定ツールを開くことができるようになります。

起動ユーザ制限

ページトップ

簡易ユーザ認証機能

Desktop VPNクライアントがDesktop VPNサーバへリモート接続する時にパスワードを要求させることができます。この機能により、リモート接続における第三者からの不正アクセスを防ぐことが可能になります。

簡易ユーザ認証機能は、Desktop VPNバージョン1.0で使用されていた認証方法で パスワードのみで認証を行います。より強固なクライアント認証を行うには、高度なユーザ認証機能を設定してください。

この機能を使用するには、「セキュリティ設定」ボタンをクリックして、「セキュリティ設定」ウィンドウの「パスワード認証を使用して、このコンピュータを安全にする」を有効にします。クライアント接続時に入力させるパスワードを設定し、設定を保存します。

簡易ユーザ認証機能

Desktop VPNクライアントから 簡易ユーザ認証を設定した Desktop VPNサーバに接続を試みると、ユーザ認証画面が表示されます。設定ツールで指定したパスワードを入力すると、Desktop VPN接続が行われます。

簡易ユーザ認証機能

※簡易ユーザ認証機能と高度なユーザ認証機能の両方を無効にしている場合、設定ツールを起動する際に「コンピュータへのリモートアクセス時パスワードの設定の推奨」が表示されます。パスワードが設定されていないDesktop VPNサーバには、コンピュータIDが分かってしまえば接続されてしまうという危険性がありますので、ユーザ認証設定を強くお勧めします。

簡易ユーザ認証機能

ページトップ

高度なユーザ認証機能

Desktop VPNサーバでは、さまざまな認証方式に対応した 高度なユーザ認証機能が追加されました。高度なユーザ認証機能では作成したユーザ毎に認証方式を設定することができます。

高度なユーザ認証機能を使用するには、「Desktop VPN サーバー設定ツール」の「セキュリティ設定」画面にて、「高度なユーザー機能の設定を使用する」を設定します。「ユーザーの管理」画面で、認証に使用するユーザとその認証方法を設定します。新しいユーザを追加するには「新規作成」をクリックします。

高度なユーザ認証機能

認証方式は以下の中から選択することができます。


※高度なユーザ認証機能を使用したDesktop VPNサーバにはバージョン2.0以降のDesktop VPNクライアントが必要となります。

※高度なユーザ認証機能を有効にすると、簡易ユーザ認証は無効となります。 高度なユーザ設定を行う際は「ユーザーの管理」画面にてユーザを追加して、適切な認証方法を設定してください。

ページトップ

匿名認証

匿名認証はもっとも簡単なユーザ認証の方法です。匿名認証に設定されたユーザはパスワードを必要とせずにユーザ名のみで Desktop VPNサーバへ接続することができます。

匿名認証での接続を許可するユーザを作成するには、ユーザの設定画面にて 認証方法を「匿名認証」に設定します。

「ユーザー名」は接続時にクライアントで指定するユーザ名となります。ユーザ管理上の付加情報として「本名」や「説明」を追加することもできます。

ユーザが接続できる期間を設定する場合は、「このアカウントの有効期限を設定する」にチェックを入れ、任意の日付を設定してください。

匿名認証

Desktop VPNクライアントから高度なユーザ認証機能を設定したサーバへ接続すると、「ユーザー認証」ウィンドウが開きます。

匿名認証を設定したユーザーで認証するためには、「認証方法」を「パスワード認証」に設定し、「ユーザー名」に設定したユーザ名を入力し「OK」をクリックします。

匿名認証

ページトップ

パスワード認証

パスワード認証は、ユーザ名に対して個別のパスワードを設定することができます。

匿名認証での接続を許可するユーザを作成するには、ユーザの設定画面にて 認証方法を「匿名認証」に設定します。

パスワード認証での接続を許可するユーザを作成するには、ユーザの設定画面にて 認証方法を「パスワード認証」に設定します。

「ユーザー名」は接続時にクライアントで指定するユーザ名となります。ユーザ管理上の付加情報として「本名」や「説明」を追加することもできます。「パスワード認証」の欄で入力したパスワードがクライアント接続時に入力するパスワードとなります。

ユーザが接続できる期間を設定する場合は、「このアカウントの有効期限を設定する」にチェックを入れ、任意の日付を設定してください。

パスワード認証

Desktop VPNクライアントから高度なユーザ認証機能を設定したサーバへ接続すると、「ユーザー認証」ウィンドウが開きます。

パスワード認証を設定したユーザーで認証するためには、「認証方法」を「パスワード認証」に設定し、「ユーザー名」に設定したユーザー名を、「パスワード」に設定したパスワードを入力し「OK」をクリックします。

パスワード認証

ページトップ

固有証明書認証

固有証明書認証はユーザ名とパスワードではなく証明書を使って認証する方法です。サーバ側で設定された特定の証明書と対応する秘密鍵のペアを持つクライアントのみが接続できます。

固有証明書認証での接続を許可するユーザを作成するには、ユーザの設定画面にて 認証方法を「固有証明書認証」に設定します。

「ユーザー名」は接続時にクライアントで指定するユーザ名となります。ユーザ管理上の付加情報として「本名」や「説明」を追加することもできます。

ユーザが接続できる期間を設定する場合は、「このアカウントの有効期限を設定する」にチェックを入れ、任意の日付を設定してください。

固有証明書認証

次に「固有証明書認証」の登録をおこないます。既に証明書と秘密鍵のペアを持っている場合、「証明書の指定」から証明書ファイルを選択し設定することで、認証に利用することができます。 新規に証明書と秘密鍵を作成するには、「固有証明書認証」の欄の「証明書作成ツール」をクリックします。

証明書作成ツールで新しい証明書を作成するには、「新しい証明書の作成」ウィンドウにて 証明書の種類を「ルート証明書」に設定し、下の欄の各項目を入力します。「OK」ボタンを押すとパスフレーズを入力する画面が表示されるので、適当なパスフレーズを入力し「OK」をクリックします。

※シリアル番号を指定する場合は、"00" 以外で始まる 4 桁以上の 16 進数で指定してください。空欄の場合は 0 が設定されます。固有証明書認証で使用する証明書では通常はシリアル番号は空欄でもかまいません。

固有証明書認証

「証明書と秘密鍵を保存するファイル名を指定してください」というウィンドウが開いたら、証明書と秘密鍵の含まれたファイル(PKCS#12ファイル)を適当な名前を付けて保存します。Desktop VPNクライアントは このファイルを使用して認証を行いますので、保存したファイルはDesktop VPNクライアントのPCにコピーします。

固有証明書認証

Desktop VPNクライアントから高度なユーザ認証機能を設定したサーバへ接続すると、「ユーザー認証」ウィンドウが開きます。

固有証明書認証を設定したユーザで認証するためには、認証方法を「証明書認証」に設定し、ユーザ名にDesktop VPNサーバで設定したユーザー名を入力します。「証明書ファイル」としてDesktop VPNサーバからコピーしたファイル(PKCS#12ファイル)を指定し「OK」ボタンを押します。

「秘密鍵のパスフレーズ」ウィンドウが表示されたら、Desktop VPNサーバで証明書を作成した際のパスフレーズを入力し、「OK」を押します。

固有証明書認証

※使用することができる証明書は、X.509 形式で PKI アルゴリズムに RSA が使用されており、公開鍵および秘密鍵のビット長が 1,024bit または 2,048bit のものです。

ページトップ

署名済み証明書認証

署名済み証明書認証では、外部の認証機関の証明書を登録することで、すでに発行されている証明書を使用してクライアントを認証することができます。別途すでに証明書認証方式のシステムを運用している場合にクライアントごとに証明書を再発行する手間を省くことができます。

Desktop VPNサーバで署名済み証明書認証を設定するには、まず外部の証明機関の証明書を設定する必要があります。「セキュリティ設定」ウィンドウから「信頼する証明機関の証明書」を選択します。

署名済み証明書認証

「信頼する証明書機関の証明書の管理」ウィンドウが開いたら「追加」をクリックし、登録する証明書機関の証明書を選択します。

署名済み証明書認証

次に署名済み証明書認証での接続を許可するユーザを作成します。

署名済み証明書認証での接続を許可するユーザを作成するには、ユーザの設定画面にて 認証方法を「署名済み証明書認証」に設定します。

「ユーザー名」は接続時にクライアントで指定するユーザ名となります。ユーザ管理上の付加情報として「本名」や「説明」を追加することもできます。

ユーザが接続できる期間を設定する場合は、「このアカウントの有効期限を設定する」にチェックを入れ、任意の日付を設定してください。

また、認証に使用できる証明書を特定の証明書に限定する場合は、「署名済み証明書認証」の「証明書のCommon Name(CN)の値を限定する」と「証明書のシリアル番号の値を限定する」の項目を必要に応じて設定してください。これにより特定の署名済み証明書を持ったユーザだけが接続できるようになります。

シリアル番号を指定する場合は、"00" 以外で始まる 4 桁以上の偶数桁の 16 進数を指定してください。

署名済み証明書認証

Desktop VPNクライアントから高度なユーザ認証機能を設定したサーバへ接続すると、「ユーザー認証」ウィンドウが開きます。

署名済み証明書認証を設定したユーザで認証するためには、認証方法を「証明書認証」に設定し、ユーザ名にDesktop VPNサーバで設定したユーザ名を入力します。「証明書ファイル」としてDesktop VPNサーバにて設定されている信頼された証明機関で署名された証明書ファイル(PKCS#12ファイル)を指定し「OK」ボタンを押します。

「秘密鍵のパスフレーズ」ウィンドウが表示されたら、証明書を作成した際のパスフレーズを入力し、「OK」を押します。

署名済み証明書認証

※使用することができる証明書は、X.509 形式で PKI アルゴリズムに RSA が使用されており、公開鍵および秘密鍵のビット長が 1,024bit または 2,048bit のものです。

ページトップ

Radius認証

Radius認証を使用すると、Desktop VPNサーバは 外部のRadiusサーバを使用してクライアントを認証することができます。

Radius認証を使用する場合、Radiusサーバを別途用意し、Radiusサーバにて Desktop VPNサーバからの認証を受け付ける設定をしておく必要があります。また、使用する Radius サーバは「Password Authentication Protocol (PAP)」を使用可能なように設定しておく必要があります。

Desktop VPNサーバでRadius認証を設定するには、まず「セキュリティ設定」の画面にて「外部認証サーバーの設定」を行います。

Radius認証

「Radiusサーバーの設定」で「Radius認証を使用する」にチェックを入れ、「Radiusサーバーのホスト名またはIPアドレス」と「ポート番号」「共有シークレット」をそれぞれ入力し「OK」を押します。

Radius認証

次にRadius認証での接続を許可するユーザを作成します。

Radius認証での接続を許可するユーザを作成するには、ユーザの設定画面にて 認証方法を「Radius認証」に設定します。

「ユーザー名」は接続時にクライアントで指定するユーザー名となります。Desktop VPNサーバは、Radiusサーバ上の同じユーザ名を認証情報として使用します。ユーザ管理上の付加情報として「本名」や「説明」を追加することもできます。

ユーザが接続できる期間を設定する場合は、「このアカウントの有効期限を設定する」にチェックを入れ、任意の日付を設定してください。

Radiusサーバ上の異なるユーザで認証を行うためには、「RadiusまたはNTドメイン認証」の「認証サーバー上のユーザー名を指定する」のチェックを入れ、Radiusサーバとの認証に使用するユーザー名を指定します。

Radius認証

Desktop VPNクライアント から高度なユーザ認証機能を設定したサーバへ接続すると、「ユーザー認証」ウィンドウが開きます。

Radius認証を設定したユーザで認証するためには、「認証方法」を「パスワード認証」に設定し、「ユーザー名」にDesktop VPNサーバで設定したユーザー名を、「パスワード」に該当するRadiusユーザのパスワードを入力し「OK」をクリックします。

Radius認証

ページトップ

Windowsドメイン認証

Windowsドメイン認証を使用すると、Desktop VPNサーバは 外部のWindowsドメイン(NTドメイン、ActiveDirectoryドメイン)を使用してクライアントを認証することができます。

Windowsドメイン認証を使用する場合は、予めDesktop VPNサーバのPCを認証に使用するドメインに参加させておく必要があります。

Windows認証での接続を許可するユーザを作成するには、ユーザの設定画面にて認証方法を「NTドメイン認証」に設定します。

「ユーザー名」は接続時にクライアントで指定するユーザ名となります。Desktop VPNサーバは、Windowsドメイン上の同じユーザ名を認証情報として使用します。ユーザ管理上の付加情報として「本名」や「説明」を追加することもできます。

ユーザが接続できる期間を設定する場合は、「このアカウントの有効期限を設定する」にチェックを入れ、任意の日付を設定してください。

Windowsドメイン上の異なるユーザで認証を行うためには、「RadiusまたはNTドメイン認証」の「認証サーバー上のユーザ名を指定する」のチェックを入れ、Windowsドメインとの認証に使用するユーザ名を指定します。

Windowsドメイン認証

Desktop VPNクライアントから高度なユーザー認証機能を設定したサーバへ接続すると、「ユーザー認証」ウィンドウが開きます。

Windowsドメイン認証を設定したユーザで認証するためには、「認証方法」を「パスワード認証」に設定し、「ユーザー名」にDesktop VPNサーバで設定したユーザー名を、「パスワード」に該当するWindowsドメインユーザのパスワードを入力し「OK」をクリックします。

Windowsドメイン認証

※Windowsドメイン認証はシングルサインオンには対応しておりません。システムモードでインストールされたサーバに接続する場合には、再度ユーザ名とパスワードによる認証が必要となります。

ページトップ

クライアントIPアドレスによるアクセス制御機能

Desktop VPNサーバ では、特定のクライアントIPアドレスからのDesktop VPN接続を制限したり、特定のクライアントIPアドレスのみからDesktop VPN接続を許可することができます。Desktop VPNサーバに接続できるクライアントを制限できますので、不正なアクセスをブロックできます。

クライアントIPアドレスによるアクセス制御を設定するには、「Desktop VPN サーバー設定ツール」から「セキュリティ設定」を選択し、「IPアクセス制御リスト」を選択します。 「IPアクセス制御リスト」ウィンドウには、現在のアクセス制御リストが表示されます。 IPアドレスによるフィルタリング設定を行うには、「ルールの追加」を選択します。 「IPアクセス制御リストのルール項目の編集」ウィンドウでアクセス制御をしたいIPアドレスと動作(許可/拒否)を設定します。 「IPアクセス制御リスト」を「保存」することで追加されたアクセス制御設定が有効になります。

クライアントIPアドレスによるアクセス制御機能

※デフォルトルールとして すべてのアクセスを拒否する設定を行う場合は、アドレス 0.0.0.0 ネットマスク 0.0.0.0 を指定します。

※インターネットへ接続する際にルータやプロキシサーバを経由する場合は、クライアント IP アドレスは インターネットへ接続する際に使用されている ルータやプロキシサーバのアドレスとなります。

ページトップ

共有機能の禁止

Desktop VPNクライアントで設定可能な共有機能のうち、ハードディスク、プリンタ及びシリアルポート共有機能の禁止・許可をDesktop VPNサーバ側で設定することができます。これにより、Desktop VPNクライアントの設定によらず、Desktop VPNサーバ側でリソース共有機能の管理が行えます。

Desktop VPNサーバは、利用用途に応じて使い分けていただくために、2つのタイプのリリースが存在します。

  • Desktop VPN共有機能有効版
    サーバ設定ツールにてハードディスク、プリンタ及びシリアルポート共有機能の有効・無効を設定できます。
  • Desktop VPN共有機能無効版
    全てのDesktop VPNクライアントに対して、ハードディスク、プリンタ及びシリアルポート共有機能を強制的にブロックいたします。 常に共有機能は禁止に設定されており、サーバ設定ツールでの設定変更は行えません。

共有機能有効版Desktop VPNサーバにて共有機能の禁止設定をおこなうには、サーバ設定ツールの「動作設定」をクリックし、「動作設定」画面の「共有機能を禁止する」にチェックを付けます。

共有機能の禁止

※接続先の Desktop VPN サーバ が共有機能の禁止を設定している場合、Desktop VPNクライアントはバージョン2.0 以降である必要があります。

※OSの制限により、Windows 2000 にインストールされた Desktop VPNクライアントから 、共有機能の禁止を設定したDesktop VPN サーバへは接続できません。

※Desktop VPNクライアントの実行環境にリモート デスクトップVersion6.0以降をご利用の場合、6.0以降より追加されている「サポートされたプラグアンドプレイデバイス」も共有設定対象項目となります。

ページトップ

Desktop VPNクライアントからの接続の「許可/禁止」選択機能

一時的にすべてのDesktop VPNクライアントからのリモート接続を拒否したい場合、サーバ設定ツールにてDesktop VPNクライアントからの接続を禁止させることができます。

この機能を使用するには、サーバ設定ツールの「接続を許可する」/「接続を禁止する」ボタンをクリックします。

スタンバイや休止状態にならないようにする機能

※同じ設定を 「動作設定」の「Desktop VPNクライアントからの接続を受け付ける」によっても行うことができます。

ページトップ

スタンバイや休止状態にならないようにする機能

コンピュータがスタンバイや休止状態になってしまうと、他のコンピュータからリモート接続を受け付けることができなくなります。Desktop VPNサーバでは、このスタンバイや休止状態に自動的にならないように設定できます。この機能により、リモート接続時において、サーバPCが自動的にスタンバイや休止状態になることによるリモート接続の切断を防ぐことができます。

この機能を使用するには、サーバ設定ツールの「動作設定」画面の「コンピュータが自動的にスタンバイや休止状態にならないようにする」を設定します。

Desktop VPNクライアントからの接続の「許可/禁止」選択機能

ページトップ

ログ出力先の変更

Desktop VPNサーバでは、ログの保存先として、ファイルへ出力、Windowsのイベントログへの出力と syslogサーバへの送信が設定できます。

ログの保存方法を設定するには、Desktop VPNサーバ設定ツールから「動作設定」を選択します。右上の「ログ保存」の欄で、有効にするログの出力方法にチェックを入れます。

ログ出力先の変更

※syslogプロトコルによるログの送信を行なうには、syslogサーバを別途用意する必要があります。

※syslogプロトコルによるログはUTF-8フォーマットで送信されます。

ページトップ