BIG-IP APMセットアップガイド PassLogicクラウド版 編

最終更新日: 2021年3月15日

はじめに

このページでは、これらのオフィシャルなドキュメントの補足となる資料や、複数の機能を組合せてソリューションを実現する方法をご紹介いたします。 F5のオフィシャルなドキュメントはこちらにございます。

• AskF5: https://support.f5.com/csp/home
• F5 Cloud Docs: https://clouddocs.f5.com/
• F5 DevCentral（コミュニティ）: https://devcentral.f5.com/

コンテンツ

本セットアップガイドでは、BIG-IP Access Policy Manager (APM)とLassLogicクラウド版との連携方法についてご紹介します。 各製品／サービスについては、以下のページをご参照ください。

• APMについて
• BIG-IP APM v15.1 マニュアル一覧
• PassLogic（トークンレス・ワンタイムパスワード）について
• PassLogicクラウド版　オンラインマニュアル

APMとPassLogicクラウドの基本連携設定

本章では、APMとPassLogicクラウドの基本連携設定についてご紹介致します。

APMとPassLogicクラウド基本連携設定イメージ

APMとPassLogicクラウド版の連携の流れは以下の通りです。

1. APMにブラウザまたはEdge Clientから接続
2. PassLogicクラウド版のトークンレス認証画面にリダイレクトされる
3. ユーザIDを入力し、マス目パターンのワンタイムパスワードを入力する
4. ワンタイムパスワードを送る
5. APMに再度リダイレクトされる（ID＆ワンタイムパスワードを送る）
6. APMからPassLogicクラウド版にRADIUS認証接続する
7. 認証が確認できたら、SSL-VPN接続を許可する

本ガイドでの利用製品バージョン

本ガイドは、以下の製品バージョンを利用して、作成しております。

1. 利用バージョン

   製品名	バージョン
   BIG-IP APM	v15.1.0.4
   PassLogicクラウド版	（検証時期：2020年8-9月頃）

   Note

   • TMOS v15.1.2.1以上 のバージョンをご利用下さい。(2021年3月追記)
   • （各F5代理店でサポート可能な範囲において、）極力最新のバージョンを適用頂くことをおすすめ致します。最新のバージョンはAskF5でご確認下さい。

PassLogicクラウド版の設定

1. パスロジ社に申請した自社のテナントの管理画面にログインします。

   
   
   

2. 事前に設定したマス目パターンのワンタイムパスワードを入力します。

   
   
   

3. RADIUS - SSO の設定をします。RADIUS の No. に 1 と入力し、アプリケーション名称 に任意の名前を入力し、認証の送信先URL において、https://<APMのFQDNまたはIPアドレス>/my.policy と入力し、ログインIDのValue属性 において Passlogic Domain を選択し、テナント追加 にチェックを入れ、次へ ボタンを押します。（ここで設定する アプリケーション名称 はAPM側の設定で利用します。）

   
   
   

4. 入力内容を確認し、決定 ボタンを押します。

   
   
   

5. ドメイン名を以下のように任意の名称で作成します。（ドメイン名を作成せず、localでも接続可）

   
   
   

6. ポリシーを以下のように任意の名称で作成します。 （ポリシーの設定内容はここでは省略します。Passlogicクラウド版のマニュアルをご確認下さい。）

   
   
   

7. グループ名を以下のように任意の名称で作成します。（設定しなくても接続可）

   
   
   

8. 認証対象ユーザを作成します。uid を入力し、ドメイン名 、ポリシー 、グループ１ は前項までに作成したものを選択します。その他必要事項を入力し、ワンタイムパスワード用のマス目パターンを入力し、次へボタンを押します。

   
   
   

9. attribute1 にADのグループ名を入力します。（こちらの値は、２章のAD認証との組合せによる設定例において利用します。本設定は必須ではございません。）注意：attributeを利用したい場合は、事前にパスロジ社に申請し、attribute名を登録して頂く必要がございます。

   
   
   

10. ここではテストのため、別のポリシー、グループを持つ他のユーザを登録しておきます。

    
    
    

11. 属性も異なる値を登録しておきます。

    
    
    

APMの設定

1. APMをプロビジョニングします。

   
   
   

2. VLANの設定をします。（以下はシングル構成の場合のイメージ）

   
   
   

3. SelfIPの設定を行います。（以下はシングル構成の場合のイメージ）

   
   
   

4. デフォルトゲートウェイを設定します。

   
   
   

5. DNSの設定をします。

   
   
   

6. NTPの設定をします。

   
   
   

7. Access Profileを作成します。Access >> Profiles/Policies >> Access Profiles(Per-Session Policies) にて Create ボタンを押し、Access Profileを作成します。Name にて任意の名称を入力し、Profile Type にて、SSL-VPN を選択し、Customization Type にて Standard を選択し、Language にて Japanese を選択し、Finished ボタンを押します。

   
   
   

8. Network Access listを作成します。Access >> Connectivity/VPN >> Network Access(VPN) >> Network Access Lists にて、Create ボタンを押し、Name に任意の名称を入力し、Finished ボタンを押します。

   
   
   

9. 作成したNetwork Access Listを選択します。

   
   
   

10. SSL-VPN接続後にクライアントに割り振りたいIPアドレス（Lease Pool）を設定します。Network Settings タブを選択し、IPV4 Lease Pool の右隣の + ボタンを押します。

    
    
    

11. Name に任意の名称、Member List にSSL-VPN接続後にクライアントに割り振りたいIPアドレスの範囲を指定し、Finished ボタンを押します。

    
    
    

12. クライアントからSSL-VPN接続させたい接続先IPアドレスの範囲（Split tunneling）を設定します。（全てSSL-VPN経由で接続させたい場合は、本設定は不要です。） Traffic Options にて、Use split tunneling for traffic を選択し、IPV4 LAN Address Space にて、IPアドレス範囲を指定し、Update ボタンを押します。

    
    
    

13. Connectivityプロファイルを作成します。Access >> Connectivity/VPN >> Connectivity >> Profiles にて、Add ボタンを押します。Profile Name にて、任意の名称を入力し、Parent Profile にて、/Common/connectivity を選択し、OK ボタンを押します。

    
    
    

14. Webtop listを作成します。Access >> Webtops >> Webtop Lists にて、Name にて任意の名称を入力し、Type にて、Network Access を選択し、Customization Type にて Standard を選択し、Finished ボタンを押します。

    
    
    

15. RADIUSプロファイルを作成します。 Access >> Authentication >> RADIUS にて、Create ボタンを押します。Name に任意の名称を入力し、Server Connection にて、User Pool を選択肢し、Server Pool Name に任意の名称を入力し、Server Addresses にて、パスロジ社から割り当てられたRadiusサーバのアドレス、Server Pool Monitor にて udp を選択、Secret にて、PassLogicクラウド申込み時に申請したRadiusシークレットを設定し、Finished ボタンを押します。

    
    
    

16. 7項で作成した Access Profile の Editリンク を押します。

    
    
    

17. Visual Policy Editorが表示されます。Start と Deny の間の + ボタンを押します。

    
    
    

18. External Logon Page を選択し、Add Item ボタンを押します。

    
    
    

19. https://<テナント名>.passlogiccloud.com/<テナント名>/ui/?sso-vpn=<アプリ名称> と入力します。アプリ名称には、PassLogicクラウド版のRADIUSで設定したものを利用します。（例：https://bef5japan.passlogiccloud.com/bef5japan/ui/?sso-vpn=APM）また、Split domain from full Username にて、No を選択し、Save ボタンを押します。

    
    
    

20. 次に、前項で追加した External Logon Page の右側の + ボタンを押します。

    
    
    

21. RADIUS Auth を選択し、Add Item ボタンを押します。

    
    
    

22. AAA Server に前項までに設定したRadiusサーバの設定を選択し、Save ボタンを押します。

    
    
    

23. 前項で設定した RADIUS AUTH の右側の + ボタンを押し、Advanced Resource Assign を選択し、Add Item ボタンを押します。

    
    
    

24. Add new entry を押します。

    
    
    

25. Add/Delete を押します。

    
    
    

26. Network Access タブにて、前項までに作成した Network Access List を選択します。

    
    
    

27. Webtop タブにて、前項までに作成したWebtopを選択し、Update ボタンを押します。

    
    
    

28. Save ボタンを押します。

    
    
    

29. Advanced Resource Assign の先のEnding Boxを Deny から Allow に変更します。

    
    
    

30. Apply Access Policy を押します。

    
    
    

31. クライアントからアクセスするVirtual Serverを作成します。Local Traffic >> Virtual Servers >> Virtual Server List にて、Create ボタンを押します。Name にて任意の名称を入力し、Destination Address/Mask にてVirtual ServerのIPアドレスを入力し、Server Port にて 443 を入力し、HTTP Profilce(Client) にて http を選択し、SSL Profile(Client) にて、clientssl を選択し、Access Profile にて作成済みのプロファイル、Connectivitiy Profile にて作成済みのプロファイルを選択し、Finished ボタンを押します。

    
    
    

クライアントからの接続テスト

Windows上でEdge Clientを利用してSSL-VPN接続した場合

Edge Clientは、APM管理画面のHomeアイコン（左上の赤いF5アイコン）を押し、Downloadsメニューからダウンロードし、クライアントにインストールしておきます。

1. Edge Clientを起動し、APMのVirtual ServerのFQDN/IPアドレスを登録し、接続します。

   

   
   

2. すぐにPassLogicのユーザID入力画面にリダイレクトされますので、PassLogicの設定の項で登録しておいたユーザIDを入力、ドメイン名を選択し、次へ ボタンを押します。

   

   
   

3. PassLogicの設定の項で設定したマス目パターンに該当するワンタイムパスワードを入力し、ログイン ボタンを押します。（初回は確認のため、３回入力する必要があります。）

   

   
   

4. ワンタイムパスワードの認証に成功すると、SSL-VPN接続しにいきます。

   

   
   

5. 無事接続成功すると、画面右下にF５アイコンが現れ、クリックするとこのように表示されます。

   

   
   

Chromeブラウザから接続した場合

1. Chromeブラウザを起動し、APMのVirtual ServerのFQDN/IPアドレスに接続します。

   

   
   

2. すぐにPassLogicのユーザID入力画面にリダイレクトされますので、PassLogicの設定の項で登録しておいたユーザIDを入力、ドメイン名を選択し、次へ ボタンを押します。

   

   
   

3. PassLogicの設定の項で設定したマス目パターンに該当するワンタイムパスワードを入力し、ログイン ボタンを押します。（初回は確認のため、３回入力する必要があります。）

   

   
   

4. 初回接続時は、クライアントコンポーネントをダウンロードして、インストールする必要があります。

   

   
   

5. コンポーネントをインストールして、該当のクリック箇所を押して、F5 Networks VPNを開きます。

   

   
   

6. Windowsの設定によっては、以下のようなセキュリティ傾向がでますので、常に許可する を選択します。

   

   
   

7. 接続中は以下のように表示されます。

   

   
   

8. 接続すると、以下のようにブラウザに表示され、画面右下に赤いアイコンが表示されます。

   

   
   

MAC上でEdge Clientを利用してSSL-VPN接続した場合

Edge Clientは、APM管理画面のHomeアイコン（左上の赤いF5アイコン）を押し、Downloadsメニューからダウンロードし、クライアントにインストールしておきます。

1. Edge Clientを起動し、APMのVirtual ServerのFQDN/IPアドレスを登録し、接続します。

   

   
   

2. SSL-VPN接続をしています。

   

   
   

3. すぐにPassLogicのユーザID入力画面にリダイレクトされますので、PassLogicの設定の項で登録しておいたユーザIDを入力、ドメイン名を選択し、次へ ボタンを押します。

   

   
   

4. PassLogicの設定の項で設定したマス目パターンに該当するワンタイムパスワードを入力し、ログイン ボタンを押します。（初回は確認のため、３回入力する必要があります。）

   

   
   

5. SSL-VPN接続しています。

   

   
   

6. 接続完了すると、MACのメニューバーに赤いF5アイコンが表示され、クリックすると以下のように表示されます。

   

   
   

APMとPassLogicクラウド版の連携＋AD認証を実施した場合の設定

本章では、APMとPassLogicクラウド版の連携＋AD認証を実施した場合の設定について、ご紹介致します。

基本連携＋AD認証イメージ

APMとPassLogicクラウド版、ADサーバの連携の流れは以下の通りです。

1. APMにブラウザまたはEdge Clientから接続
2. PassLogicクラウド版のトークンレス認証画面にリダイレクトされる
3. ユーザIDを入力し、マス目パターンのワンタイムパスワードを入力する
4. ワンタイムパスワードを送る
5. APMに再度リダイレクトされる（ID＆ワンタイムパスワードを送る）
6. APMからPassLogicクラウド版にRADIUS認証接続し、該当ユーザの認証状況とAttributeからAD Group情報を取得する
7. AD認証を実施する
8. AD Queryを実施し、⑥で取得したAttributeの情報がADユーザのグループ情報と同じか確認する
9. 7まで確認できたら、ADグループ毎のACLを適用したSSL-VPN接続を許可する

APMの追加設定

1. 1章のAPM設定に更に追加していきます。RADIUS Auth と Advanced Resource Assign の間の + ボタンをクリックします。

   
   
   

2. Variable Assign を選択し、Add Item を押します。

   
   
   

3. Add new entry を押します。

   
   
   

4. change を押します。

   
   
   

5. 左右それぞれに以下のように入力し、Finished ボタンを押します。

   • 左： session.logon.last.department
   • 右： mcget -decode {session.radius.last.attr.<Attribute名>}
   
   
   

6. Save ボタンを押します。

   
   
   

7. 次に、前項で作成した Variable Assign の右隣の + マークをクリックします。

   
   
   

8. Logon Page を選択し、Add Item を押します。

   
   
   

9. ここではデフォルト設定のまま、Save ボタンを押します。

   
   
   

10. 次にADサーバの情報を追加します。Access >> Authentication >> Active Directory にて、Create ボタンを押します。 Name に任意の名称を追加し、Server Connection で Direct を選択し、Domain Controller にADサーバのIPアドレスを追加し、Finished ボタンを押します。

    
    
    

11. Visual Policy Editorの設定に戻り、Login Page の右隣の + マークをクリックします。

    
    
    

12. AD Auth を選択し、Add Item を押します。

    
    
    

13. Type にて設定済みのAD Serverの設定を選択し、Save ボタンを押します。

    
    
    

14. AD Auth の右隣の + マークを押します。

    
    
    

15. AD Query を選択し、Add Item を押します。

    
    
    

16. Type にて設定済みのAD Serverの設定を選択します。

    
    
    

17. Branch Rules タブを選択し、デフォルト設定を削除します。

    
    
    

18. Add Branch Rule をクリックします。

    
    
    

19. 任意の名称を入力し、change をクリックします。

    
    
    

20. Advanced タブを選択し、以下のように入力し、Finished ボタンを押します。

    • expr { [mcget {session.ad.last.attr.memberOf}] contains [mcget {session.logon.last.department}] }
    
    
    

21. Save ボタンを押します。

    
    
    

22. Group毎のACLを作成します。Access >> Access Control Lists > User-defained ACLs にて、Create ボタンを押し、Name に任意の名称を入力し、Create ボタンを押します。

    
    
    

23. 作成したUser-defined ACLを選択し、適用したいAccess Control Entryを追加し、Update ボタンを押します。

    
    
    

24. ここではテストのため、内容の異なる2種類のUser-defined ACLを追加しておきます。

    
    
    

25. Visual Policy Editorの設定に戻り、AD Query のquery成功先の + をクリックします。（前項にて AD Query を追加したことで、Advanced Resource Assign がなくなり、Endingが Deny に変わっています。）

    
    
    

26. AD Group Resource Assign を選択し、Add Item を押します。

    
    
    

27. Server にて、設定済みのADサーバの設定を選択します。

    
    
    

28. Add new entry を押し、Groups枠をもう一つ作成します。

    
    
    

29. New Group に任意のAD Group名を入力し、Add group manually を押します。

    
    
    

30. Static ACLs タブにて、設定済みの一つのACLを選択します。

    
    
    

31. Netwrok Access タブを選択し、設定済みのNetwork Access listを選択します。

    
    
    

32. Webtop タブを選択し、設定済みのWebtop listを選択し、Update ボタンを押します。

    
    
    

33. 以下のようになります。

    
    
    

34. 同様にもう一つのAD group resource assignを作成し、Save ボタンを押します。

    
    
    

35. Endingを Allow に変更します。

    
    

36. 最終的に以下のようになります。

    
    
    

37. 最後に、Apply Access Policyを押して、ルールを反映させます。

    
    

クライアントからの接続テスト

1. ブラウザからAPMのVirtulal ServerのFQDN/IPアドレスに接続します。

   
   
   

2. PassLogicに登録したユーザIDを入力し、対応するドメインを選択し、次へ ボタンを押します。

   
   
   

3. マス目に沿ったワンタイムパスワードを入力し、ログイン ボタンを押します。

   
   
   

4. ADのユーザ名とパスワードを入力し、ログオン ボタンを押します。

   
   
   

5. F5 Networks VPNを開く を選択します。

   
   
   

6. 接続中です。

   
   
   

7. SSL-VPN接続されます。

   
   
   

8. Group毎のACLが反映されているか、確認をします。

   
   

9. Access >> Overview >> Active Sessions にて、SSL-VPN接続中のユーザ一覧が確認できます。

   
   
   

10. Session ID を選択すると、以下のようにセッションログが表示されます。

    
    
    

11. Variables のViewを押すと、以下のように各セッション変数の内容が表示されます。

    
    
    

12. その他、テストの際には、以下の ログを参照して下さい。

    • 全般的なログ： /var/log/ltm
    • APM(認証関連)のログ： /var/log/apm
    • PassLogicクラウド版のログ閲覧