Juniper Identity Management Serviceを構成してユーザーID情報を取得する
Juniper Identity Management Service(JIMS)は、スタンドアロンのWindowsサービスアプリケーションで、Active Directoryドメインからユーザー、デバイス、グループ情報の包括的なデータベースを収集および管理するように設計されています。JIMS は特に、大規模で分散した企業で効率的なユーザー識別を促進するために開発されています。
JIMS からユーザー ID 情報を取得するための高度なクエリ機能について
概要
Juniper Identity Management Service(JIMS)は、さまざまなソースからユーザー名、デバイスID、グループ情報を収集するためのソフトウェアエージェントとリポジトリの両方として機能します。JIMS は、Microsoft Active Directory および Microsoft Exchange Server とシームレスに統合します。
SRXシリーズまたはNFXシリーズのデバイスでは、JIMSはLDAPなどのユーザーID情報を取得する上で重要な役割を果たします。高度なユーザー クエリ機能を構成することで、デバイスは次の機能を得られます。
高度なユーザークエリ機能を設定した場合、デバイスは以下を実行します。
-
JIMS に問い合わせしてアイデンティティ情報を確認します。
-
JIMS から取得した情報を ID 管理認証テーブルに入力します。
-
設定された ID 管理認証テーブルを使用して、保護されたリソースへのアクセスを求めるユーザーまたはデバイスを認証します。
JIMS に特定のユーザーの情報がない場合は、その情報をデバイスにプッシュできます。ただし、そのためには、ユーザーはまずデバイスのキャプティブ ポータルを介して認証する必要があります。
さらに、高度なクエリー機能により、JIMS に既存のエントリーがないがキャプティブ ポータルを介して正常に認証されたユーザーに対して、デバイスは JIMS サーバーに認証エントリをプッシュできます。
デバイスクエリーへの応答として JIMS が提供するユーザー ID 情報には、以下が含まれます。
-
ユーザーのデバイスのIPアドレス。
-
ユーザー名。
-
ユーザーのデバイスが属するドメイン。
-
mycompany-pc、CEO、ユーザー認証などのユーザーが属するロール。
-
デバイスのオンラインステータスと「正常な状態」などの状態です。
-
デバイスアイデンティティ、値(デバイス名)、デバイスが属するグループなどのエンドユーザー属性。
JIMSへの接続を確立してユーザーID情報を取得する
JIMS からユーザー ID 情報を取得するには、ユーザー グループのバッチ モードで、または特定のユーザーに対して個別に JIMS にクエリを実行できます。JIMS に問い合わせするには、デバイスと JIMS サーバー間で HTTPS 接続を確立する必要があります。HTTP 接続はデバッグの目的でのみ使用されることに注意してください。
接続を定義するには、以下の情報を設定します。
-
接続パラメータ。
-
JIMS で認証するためのデバイスの認証情報。
デバイスは、JIMS サーバーへの認証後にアクセス トークンを取得します。デバイスは、このトークンを使用して JIMS にユーザー情報を照会する必要があります。
JIMS サーバーによる認証に成功すると、デバイスはアクセス トークンを受け取ります。このトークンは JIMS にユーザー情報のクエリーを実行するために使用する必要があります。また、セカンダリ バックアップ サーバーに対してこの接続情報を設定することもできます。
Junos OSリリース18.3R1以降、JIMSプライマリおよびセカンダリサーバーは、既存のIPv4アドレスのサポートに加えて、IPv6アドレスをサポートしています。デバイスは、プライマリ サーバーへの接続を最初に試み、失敗した場合はセカンダリ サーバーに切り替えます。セカンダリ サーバーに接続されている場合でも、デバイスは障害が発生したプライマリ サーバーを定期的にプローブし、利用可能になると元に戻します。
Junos OS リリース 18.1R1 以降では、Web API 機能に IPv6 アドレスを設定し、JIMS がセキュアな接続を開始および確立できるようにします。Web API は、JIMS から取得した IPv6 ユーザーまたはデバイスのエントリーをサポートするようになりました。Junos OS リリース 18.1R1 以前は、IPv4 アドレスのみがサポートされていました。
JIMS によるユーザー ID 情報のクエリー
JIMS からユーザー ID 情報を取得するには、次の 3 つの方法があります。
-
起動時の最初のバッチ クエリ - デバイスが起動すると、JIMS にバッチ クエリ メッセージを送信し、構成済みのデバイス接続から JIMS サーバーへのアクティブ ディレクトリ ユーザーの使用可能なすべてのユーザー ID 情報を取得します。
-
後続のバッチ クエリ — 最初のユーザー ID 情報を受信した後、デバイスは JIMS に対して新しく生成されたユーザー ID 情報を定期的にクエリーします。これらのクエリの間隔を設定し、各バッチに含めるユーザー ID レコードの数を指定できます。Junos OS リリース 18.1R1 以降では、デバイスは JIMS に対して IPv6 ユーザーまたはデバイス情報のクエリーを実行することもできます。
-
個々のユーザー情報のクエリー - 最初のユーザー ID 情報を受信した後、デバイスは JIMS に対して新しく生成されたユーザー ID 情報を定期的にクエリーします。これらのクエリの間隔を設定し、各バッチに含めるユーザー ID レコードの数を指定できます。Junos OS リリース 18.1R1 以降では、デバイスは JIMS に対して IPv6 ユーザーまたはデバイス情報のクエリーを実行することもできます。
JIMS に指定された IP アドレスのエントリーが含まれていない場合、JIMS は HTTP 404「Not Found」メッセージで応答します。
デバイスが最初に JIMS にユーザー情報を要求すると、タイムスタンプが含まれます。JIMS は、応答として、ユーザー情報を指定されたタイムスタンプに戻し、コンテキストを示す Cookie を応答に含めます。デバイスには、タイムスタンプではなく、後続のクエリにこのCookieが含まれています。
JIMS から取得した ID 管理認証テーブル内のユーザー ID 情報を更新できます。これには、デバイスの起動時や以降のバッチクエリや個々のIPクエリーから現在まで自動的に受信されるすべてが含まれます。
これを実現するには、高度なクエリ機能の設定を無効にすることで、認証テーブルをクリアできます。その後、高度なクエリ機能を再設定して、使用可能なすべてのユーザー ID を取得できます。
Junos OSリリース18.1R1以降、デバイスは、IPv6アドレスに基づく情報のアイデンティティ管理認証テーブルを検索でき、以前のIPv4アドレスのサポートが拡張されました。また、デバイスは、セキュリティポリシーで送信元IDに関連付けられたIPv6アドレスの使用もサポートしています。テーブル内の IPv4 または IPv6 エントリーに一致するトラフィックは、それに応じてアクセスを許可または拒否するポリシーの対象となります。
Junos OS リリース 20.2R1 以降では、JUNiper Identity Management Service(JIMS)ドメインと Active Directory(AD)ドメインの両方から、ログインしているユーザー、接続されたデバイス、グループ リストなどのユーザー ID 情報を検索および表示できます。SRXシリーズファイアウォールは、JIMSに依存してユーザーID情報を取得します。ユーザー ID 情報を検索し、認証ソースを検証してデバイスへのアクセスを許可できます。さらに、JIMS に、Active Directory ドメインから個々のユーザーのグループ リストを取得するように要求できます。
フィルター
高度なクエリ機能は、クエリに応答して返されるユーザー情報レコードをきめ細かく制御できるオプションのフィルター機能を提供します。IP アドレスとドメインに基づいてフィルターを設定できます。フィルターを使用すると、JIMS がクエリ応答に含めるユーザー情報を明確に定義できます。
フィルターは、以下の条件で構成できます。
-
IP アドレスの範囲。以下の IP アドレスの範囲を指定できます。
-
受け取りたい情報を持つユーザー。
-
情報を必要としないユーザー。
Junos OSリリース18.3R1以降、SRXシリーズファイアウォールはIPv6アドレスをサポートし、既存のIPv4アドレスに加えて、IPアドレスに基づいてフィルターを設定します。
アドレス ブックを使用して IP アドレス フィルターを作成します。アドレス セットを設定しますが、それぞれがアドレス帳に含める IP アドレスを 20 以上含まないようにする必要があります。
-
-
ドメイン名。
最大25のアクティブディレクトリドメインの名前を指定できます。
含める IP アドレス範囲、除外する IP アドレス範囲、1 つ以上のドメイン名という 3 つの仕様すべてを含むフィルターを作成できます。
フィルターはコンテキスト固有で、さまざまなリクエストに対して異なるフィルター設定を可能にします。フィルター設定を変更した場合、新しいフィルターは後続のクエリにのみ適用され、以前のクエリ要求には影響しません。
注意事項と制限事項
次の警告、注意事項、および制限は、高度なクエリ機能に関連付けられています。
-
この機能を使用する前に、ユーザー識別階層のアクティブディレクトリアクセスおよび認証ソースオプションを無効にする必要があります。アクティブディレクトリ認証またはClearPassクエリーおよびWeb API機能が設定され、コミットされている場合、この設定は適用されません。
-
ユーザー ID レコードの読み取りと処理は、デバイスの CPU 使用率とリソース消費量に影響を与える可能性があります。この影響は、数分間持続する可能性があります。
-
ユーザー ID 情報が JIMS からクリアされた場合、または他の理由や遅延のために欠落している場合、デバイスは不正確な IP アドレスとユーザー マッピング情報を受け取る可能性があります。
-
キャプティブ ポータルを介して正常に認証されたユーザーの JIMS にデバイスのファイアウォール認証機能がエントリをプッシュしても、Juniper Identity Management Service サーバーの認証エントリーのタイムアウト状態は更新されません。
-
ID 管理認証テーブル内の認証エントリーの生成は、JIMS サーバーの応答時間または取得するユーザー ID レコードの数によって影響を受ける可能性があります。
-
フィルターの設定を変更すると、その後のユーザーIDの取得にのみ適用されます。以前に取得した ID には影響しません。
-
フィルター内のアドレス範囲は、IPv4 アドレスでのみ設定できます。Junos OSリリース18.3R1以降、SRXシリーズファイアウォールは、フィルター設定用にIPv6アドレスもサポートしています。
これらの詳細は、Juniper Identity Management Service(JIMS)の包括的な理解と、高度なクエリ機能の使用、接続確立、フィルターの適用など、ユーザーのアイデンティティ情報を取得する機能を提供します。
「」も参照
SRXシリーズファイアウォールのユーザーアイデンティティとしてのユーザープリンシパル名について
Junos OS リリース 20.1R1 以降、ファイアウォール認証のログオン名としてユーザー プリンシパル名(UPN)を使用した SRX シリーズ ファイアウォールのサポートは、Juniper Identity Management Service(JIMS)またはユーザー ファイアウォールのキャプティブ ポータルとして機能します。UPN は、can または sAMAccountName と組み合わせてログオン名として使用できます。UPN は、ユーザー認証に sAMAccountName の代わりに使用できます。
ユーザーがログオン名としてUPNを使用する場合、ファイアウォール認証機能は、UPN自体をプッシュするのではなく、対応するsAMAccountName(UPNにマッピングされている)をユーザーIDにプッシュします。UPN と sAMAccountName(UPN にマッピング)の両方が JIMS にプッシュされます。
ユーザープリンシパル名(UPN)属性は、ドメイン内のユーザーを認証するためにWindows Active Directoryで使用されるログオン名です。UPNは、プレフィックス(ユーザーアカウント名)とサフィックス(DNSドメイン名)で構成されています。これは、単一値のインデックス付き文字列です。LDAPタイプのアクセスプロファイルを使用する場合、ファイアウォール認証でUPNをログオン名として使用できます。
UPNは、インターネット標準に準拠したユーザー向けのインターネットスタイルのログイン名です。これは、mailto:username@domainname.com などの電子メール アドレスの形式を取ります。UPN は識別名よりも短く、覚えやすいものです。各 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクト間で一意です。
sAMAccountName 属性は、Windows NT 4.0、Windows 95、Windows 98、LAN マネージャーなど、以前のバージョンの Windows からのクライアントとサーバーをサポートするために使用されるログオン名です。ログオン名は 20 文字未満で、ドメイン内のすべてのセキュリティ プリンシパル オブジェクトで一意にする必要があります。ファイアウォール認証が Active Directory から sAMAccountName を取得すると、アクセスが付与されます。
組織では、ほとんどのユーザーは、ログオン名としてCNまたはsAMAccountName属性と同時にUPNを使用します。ただし、アクセス プロファイルの UPN 属性設定は、UPN および cn または sAMAccountName を同時に処理できません。詳細については、「統合型ユーザーファイアウォールの設定」ドキュメントを参照してください。
キャプティブ ポータルを使用するユーザー ファイアウォール認証には、Active Directory と JIMS の 2 つのソースがあります。
-
ソースが Active Directory の場合、ユーザーがログオン名として UPN を使用する場合、SRX シリーズ ファイアウォールで Active Directory を構成する必要があります。ファイアウォール認証機能は、sAMAccountNameをSRXシリーズファイアウォールにプッシュし、ユーザー認証エントリーはUPNではなくsAMAccountNameに基づきます。
-
ソースが JIMS の場合、ユーザーがログオン名として UPN を使用する場合、SRX シリーズ ファイアウォールで JIMS を構成する必要があります。ファイアウォール認証機能により、UPN と sAMAccountName の両方が JIMS にプッシュされます。SRX シリーズ ファイアウォールを JIMS サーバーで構成する場合、デバイスは JIMS にバッチ クエリを送信して、使用可能なユーザー情報を取得します。
注意事項と制限事項
UPN サポート機能には、以下の警告と注意事項が適用されます。
-
他のユーザーのcnとUPNの名前の競合を避けるために、アクセスプロファイルの検索フィルターオプションでsAMAccountNameを設定する必要があります。
-
UPNサフィックスは、ユーザーが属するドメイン名とは異なる場合があります。このような場合は、ドメイン名にセキュリティ ポリシーの送信元 ID を追加する必要があります。
-
UPN のサポートは、ファイアウォール認証用に LDAP アクセス プロファイルを構成する場合にのみ使用できます。
JIMSからユーザーID情報を取得するための高度なクエリー機能の設定
この構成では、Juniper Identity Management Service(JIMS)からユーザー ID 情報を取得するための高度なクエリ機能を構成し、送信元 ID と一致するようにセキュリティ ポリシーを構成する方法を示します。
このトピックでは、以下について説明します。
JIMSからユーザーID情報を取得するための高度なクエリー機能の設定
高度なユーザー クエリ機能を構成することで、デバイスは JIMS にクエリーを実行し、ローカル アクティブ ディレクトリ認証テーブルに ID 情報を追加できます。
次の手順を使用して、高度なクエリ機能を構成します。
JIMSから取得したユーザーID情報と一致するデバイスアイデンティティ認証ソースとセキュリティポリシーの設定
デバイスアイデンティティ認証ソースとセキュリティポリシーを指定します。デバイスは、認証されたデバイスのデバイスアイデンティティ情報を認証ソースから取得します。デバイスは、ユーザーのデバイスから発行されたトラフィックがデバイスに到着したときに、デバイスアイデンティティ認証テーブルを検索してデバイスと一致させます。一致するものが見つかると、デバイスは一致するセキュリティ ポリシーを検索します。一致するセキュリティポリシーが見つかると、セキュリティポリシーのアクションがトラフィックに適用されます。
以下の手順を使用して、デバイス アイデンティティ認証ソースを設定します。
セキュリティ ポリシーを設定するには、次の手順に従います。
-
セキュリティ ポリシーの送信元アドレスを作成します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-address any
-
セキュリティ ポリシーの宛先アドレスを作成します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match destination-address any
-
ポリシーに一致するようにポートベースアプリケーションを設定します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match application any
-
JIMS がデバイスに送信するユーザー名またはロール(グループ)名を定義します。例:"jims-dom1.local\user1"。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
ポリシーが一致する場合、パケットを許可します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
セッション開始時間を設定します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-init
-
セッションの終了時間を設定します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-close
例:JIMS からユーザー ID 情報を取得するための高度なクエリー機能の設定
概要 この例では、SRXシリーズファイアウォールで高度なクエリー機能を設定し、Juniper Identity Management Service(JIMS)に自動的に接続する方法を示します。高度なクエリを使用してリクエストを作成し、バッチ クエリを使用して認証情報を取得できます。
JIMSは、エンドポイントコンテキストとマシンIDを含む堅牢で拡張性に優れたユーザー識別とIPアドレスマッピングの実装を提供します。JIMSは、SRXシリーズファイアウォールのさまざまな認証ソースからユーザーID情報を収集します。高度なクエリー機能により、SRXシリーズファイアウォールはHTTPSクライアントとして動作し、ポート591でHTTPSリクエストを JIMSに送信します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
Junos ソフトウェア リリース 15.1x49-D100 および JIMS ソフトウェア リリース v1.1 および v1.2。
開始する前に、以下の情報が必要です。
-
JIMS サーバーの IP アドレス。
-
HTTPS 要求を受信するための JIMS サーバー上のポート番号。
-
高度なクエリを実行するための JIMS サーバーからのクライアント ID。
-
高度なクエリを実行するための JIMS サーバーからのクライアント シークレット。
-
高度なクエリに対する JIMS サーバーからの traceoptions。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.15 set services user-identification identity-management connection primary client-id client1 set services user-identification identity-management connection primary client-secret "$ABC123" set services user-identification identity-management connection secondary address 192.0.2.2 set services user-identification identity-management connection secondary client-id client2 set services user-identification identity-management connection secondary client-secret "$ABC123" set services user-identification identity-management batch-query query-interval 60 set services user-identification identity-management ip-query query-delay-time 0 set services user-identification identity-management traceoptions file jimslog set services user-identification identity-management traceoptions file size 10m set services user-identification identity-management traceoptions level all set services user-identification identity-management traceoptions flag all set services user-identification identity-management traceoptions flag jims-validator-query
手順
手順
SRXシリーズファイアウォールで高度なクエリー機能を設定するには、次の手順に基づきます。
-
JIMS を高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。
[edit services user-identification] user@host# set identity-management connection connect-method https
-
SRX シリーズ ファイアウォールが HTTPS リクエストを送信する JIMS サーバーのポート番号を設定します。
[edit services user-identification] user@host# set identity-management connection port 443
-
JIMS サーバーのプライマリ アドレスを構成します。
[edit services user-identification] user@host# set identity-management connection primary address 192.0.2.15
-
クライアントIDとクライアントシークレットを設定して、アクセストークンを取得します。
[edit services user-identification] user@host# set identity-management connection primary client-id client1 user@host# set identity-management connection primary client-secret "$ABC123"
-
JIMS サーバーのセカンダリ アドレスを構成します。
[edit services user-identification] user@host# set identity-management connection secondary address 192.0.2.2
-
クライアントIDとクライアントシークレットを設定して、アクセストークンを取得します。
[edit services user-identification] user@host# set identity-management connection secondary client-id client2 user@host# set identity-management connection secondary client-secret "$ABC123"
-
ユーザー ID 情報について JIMS に定期的にクエリーを実行するように、バッチ クエリ間隔を設定します。
[edit services user-identification] user@host# set identity-management batch-query query-interval 60
-
SRXシリーズファイアウォールが個々のユーザークエリーを送信する前の遅延時間を秒単位で設定します。この例では、遅延はありません。
[edit services user-identification] user@host# set identity-management ip-query query-delay-time 0
-
デバッグおよびイントログ出力の traceoptions を設定します。
[edit services user-identification] user@host# set identity-management traceoptions file jimslog user@host# set identity-management traceoptions file size 10m user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all user@host# set services user-identification identity-management traceoptions flag jims-validator-query
-
JIMS サーバーに接続するようにデバイスを構成します。ポート番号を指定しない場合、JIMSにはデフォルトのポート591が使用されます。SRX シリーズ ファイアウォールは、JIMS ポート 443 と JIMS サーバー(バリデータ)ポート 591 の両方と接続するために、同じ JIMS 構成を使用します。
set services user-identification identity-management jims-validator port 591
結果
設定モードから、 コマンドを入力して設定を show services user-identification
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。ip クエリ使用設定 set services user-identification identity-management ip-query no-ip-query
を無効にするには。
[edit]
user@host# show services user-identification
identity-management {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.15;
client-id client1;
client-secret "$ABC123";
}
secondary {
address 192.0.2.2;
client-id client2;
client-secret "$ABC123";
}
}
jims-validator {
port 591;
}
batch-query {
query-interval 60;
}
ip-query {
query-delay-time 0;
}
traceoptions {
file jimslog size 10m;
level all;
flag all;
flag jims-validator-query;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
ユーザー識別 ID 管理ステータスの検証
目的
JIMS サーバーがオンラインであり、どのサーバーが SRX シリーズ ファイアウォールからのクエリーに応答するかを確認します。
アクション
動作モードから、 コマンドを show services user-identification identity-management status
入力します。
Primary server : Address : 192.0.2.15 Port : 443 Connection method : HTTPS Connection status : Online Last received status message : OK (200) Access token : jjrOS4unS5d6KOTAvN8VlTsflhZBQmOm9jVsrwS Token expire time : 2017-12-22 08:51:38 Secondary server : Address : 192.0.2.2 Port : 443 Connection method : HTTPS Connection status : Online Last received status message : OK (200) Access token : MLefNf00jG503D7H95neF1ip59JOC3jPgcl4oWQ Token expire time : 2017-12-22 08:51:28
意味
出力には、JIMS サーバーのステータスに関するデータが表示されます。
ユーザー識別 ID 管理カウンターの検証
目的
JIMS デバイスに送信されたバッチおよび IP クエリーと JIMS サーバーから受信した応答のカウンターを表示します。バッチ クエリは、複数が構成されている場合、プライマリ サーバーとセカンダリ サーバーに対して個別に表示されます。
アクション
動作モードから、 コマンドを show services user-identification identity-management counters
入力します。
動作モードから、 コマンドを clear services user-identification identity-management counters
入力してカウンターをクリアします。
Primary server : Address : 192.0.2.15 Batch query sent number : 8 Batch query total response number : 8 Batch query error response number : 0 Batch query last response time : 2017-12-22 01:04:34 IP query sent number : 4 IP query total response number : 4 IP query error response number : 0 IP query last response time : 2017-12-22 01:02:25 Secondary server : Address : 192.0.2.2 Batch query sent number : 0 Batch query total response number : 0 Batch query error response number : 0 Batch query last response time : 0 IP query sent number : 0 IP query total response number : 0 IP query error response number : 0 IP query last response time : 0
意味
出力では、JIMS サーバーからのバッチ および IP クエリー データが提供されます。
例:高度なクエリー機能のフィルターの設定
SRX シリーズ ファイアウォールは、JIMS(Juniper Identity Management Service)に問い合わせするときに IP フィルターとドメイン フィルターをサポートします。高度なクエリ機能は、クエリに応答してユーザー情報を受信するオプションのフィルター機能を提供します。
この例では、ユーザー情報を取得するためのフィルターを構成する方法を示します。
要件
開始する前に、以下を行います。
-
高度なクエリ機能を設定します。 JIMSからユーザーID情報を取得するための高度なクエリ機能の設定を参照してください。
概要
フィルターを構成して JIMS サーバーに対してより詳細なレベルでクエリーを実行し、IP アドレスに基づいてユーザー ID 情報を取得できます。フィルターを設定して、SRX シリーズ ファイアウォールがユーザー ID 情報を収集する際に必要としない IP アドレス範囲を必要とする、または除外する IP アドレス範囲を含めることができます。ドメインをフィルタリングすることもできます。
フィルターには、最大 20 個の IP アドレス範囲を含めたり除外したりできます。そのため、20 を超えるアドレス範囲を含むアドレス セットでは、フィルター構成が失敗します。範囲を指定するには、その範囲を含む定義済みアドレス セットの名前と、既存のアドレス帳に含まれるアドレス セットの名前を指定します。
1 つのドメインにフィルター用に最大 20 個のドメイン名を含めることができます。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
この例では、アドレス帳を定義し、アドレス帳のセキュリティ アドレスを指定します。プレフィックスを持つ IP アドレスを指定します。アドレス セット名を定義し、アドレスを指定します。アドレス帳に IP アドレスを含めたり除外したりします。IP アドレスを含めるアドレス セットを追加し、IP アドレスを除外します。ドメイン名を追加してドメインをフィルター処理します。
set security address-book mybook address addr1 192.0.2.0/24 set security address-book mybook address-set myset address addr1 set services user-identification identity-management filter include-ip address-book mybook set services user-identification identity-management filter include-ip address-set myset set security address-book mybook2 address addr2 198.51.100.0/24 set security address-book mybook2 address-set myset2 address addr2 set services user-identification identity-management filter exclude-ip address-book mybook2 set services user-identification identity-management filter exclude-ip address-set myset2 set services user-identification identity-management filter domain host.example.com
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
高度なクエリ機能のフィルターを設定するには::
-
アドレス帳名を定義し、アドレス帳のセキュリティアドレスを指定し、プレフィックスを持つIPv4アドレスを追加します。
[edit ] user@host# set security address-book mybook address addr1 192.0.2.0/24 user@host# set security address-book mybook2 address addr2 198.51.100.0/24
-
アドレス セット名を指定し、アドレスを指定します。
[edit ] user@host# set security address-book mybook address-set myset address addr1 user@host# set security address-book mybook2 address-set myset2 address addr2
-
IP アドレスを含めたり除外したりするようにアドレス帳を設定します。
[edit ] user@host# set services user-identification identity-management filter include-ip address-book mybook user@host# set services user-identification identity-management filter exclude-ip address-book mybook2
-
IP アドレスを含めるか除外するアドレス セットを定義します。
[edit ] user@host# set services user-identification identity-management filter include-ip address-set myset user@host# set services user-identification identity-management filter exclude-ip address-set myset2
-
ドメインをフィルタリングするドメイン名を指定します。
[edit ] user@host# set services user-identification identity-management filter domain host.example.com
結果
設定モードから、 および show security address-book
コマンドを入力して設定をshow services user-identification
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show services user-identification
identity-management {
filter {
domain {
host.example.com;
}
include-ip {
address-book mybook;
address-set myset;
}
exclude-ip {
address-book mybook2;
address-set myset2;
}
}
}
[edit]
user@host# show security address-book
mybook {
address addr1 192.0.2.0/24;
address-set myset {
address addr1;
}
}
mybook2 {
address addr2 198.51.100.0/24;
address-set myset2 {
address addr2;
}
}
検証
高度なクエリ機能のフィルターの検証
目的
認証テーブルに、クエリーに応じて受信するユーザー情報が表示されていることを確認します。
アクション
動作モードから、 コマンドを入力 show services user-identification authentication-table authentication-source all
します。
show services user-identification authentication-table authentication-source all node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: host.example.com Total entries: 10 Source IP Username groups(Ref by policy) state 192.0.2.10 jasonlee Valid 192.0.2.9 jasonlee Valid 192.0.2.8 jasonlee Valid 192.0.2.7 jasonlee Valid 192.0.2.6 jasonlee Valid 192.0.2.5 jasonlee Valid 192.0.2.4 jasonlee Valid 192.0.2.3 jasonlee Valid 192.0.2.2 jasonlee Valid 192.0.2.1 jasonlee Valid node1: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: host.example.com Total entries: 10 Source IP Username groups(Ref by policy) state 192.0.2.10 jasonlee Valid 192.0.2.9 jasonlee Valid 192.0.2.8 jasonlee Valid 192.0.2.7 jasonlee Valid 192.0.2.6 jasonlee Valid 192.0.2.5 jasonlee Valid 192.0.2.4 jasonlee Valid 192.0.2.3 jasonlee Valid 192.0.2.2 jasonlee Valid 192.0.2.1 jasonlee Valid
意味
この出力には、クエリーに応じてユーザー情報が表示されます。