Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート認証を有効にした Junos Space ログイン動作

このトピックでは、リモート認証のみまたはリモートローカル認証を有効にしたJunos Spaceネットワーク管理プラットフォームログインの動作について説明します。

警告:

BEAST TLS 1.0 攻撃を回避するには、ブラウザー タブまたはウィンドウで Junos Space ネットワーク管理プラットフォームにログインするたびに、以前はタブやウィンドウを使用して HTTPS 以外の Web サイトを表示していないことを確認してください。ベスト プラクティスは、Junos Space Platform にログインする前にブラウザーを閉じて再起動することです。

システム動作は、Junos Space プラットフォームの認証モードとしてリモート認証のみとリモートローカル認証のどちらを選択するかによって異なります。リモート認証サーバーがユーザーを認証しない場合、違いが発生します。また、リモート・サーバーが戻す応答によって許可ソースに違いもあります。

図 1 は、リモート認証のみまたはリモートローカル認証のいずれかが選択され、リモート認証サーバーがユーザーを受け入れた場合の、システムの動作の基礎となるディシジョン ツリーを示しています。

図 1:リモート認証サーバーがユーザー Remote Authentication Server Accepts Userを受け入れる

図 2 は、リモート認証サーバーがユーザーを拒否するか、まったく応答しない場合のディシジョン ツリーを示しています。

図 2:リモート認証サーバーに到達できないか、ユーザー Remote Authentication Server Not Reachable or Rejects Userを拒否する

以下のセクションでは、リモート認証のみまたはリモートローカル認証モードが有効になっている場合のログイン動作について説明します。

メモ:

リモート ユーザーが @ 記号またはバックスラッシュ(\)文字を含むユーザー名でログインすると、Junos Space Platform は@ 記号またはバックスラッシュ文字の前にある部分に続くユーザー名の部分を無視し、残りのユーザー名で認証します。たとえば、リモートユーザーが abc@domainabc@domain.com、ドメイン \abc をユーザー名として使用する場合、Junos Space Platformは abc のみを使用してユーザーを認証します。データベースに abc のエントリーがある場合は、対応するリモートプロファイルがユーザーに適用されます。データベースにユーザー名に対応するエントリーがない場合は、指定された例で abc 、Junos Space Platform は abc という名前の読み取り専用ユーザー アカウントを作成し、リモート プロファイルを割り当てます。

Login Behavior with Remote Authentication Only Enabled

表 1 は、リモート認証のみモードが有効になっている場合の各シナリオと、認証と許可の動作を示しています。

表 1: リモート認証のみを有効にしたログイン動作

シナリオ

ログイン動作

正しい認証情報を使用してユーザーがログイン

  • ユーザーのパスワードがリモートサーバー上に存在し、Junos Spaceプラットフォームに対応するリモートプロファイルがある場合、ユーザーはリモートプロファイルによって割り当てられたロールでログインします。

  • ユーザーのパスワードがリモートサーバー上にあり、Junos Spaceプラットフォームに同等のリモートプロファイルがない場合、対応するユーザーアカウントがJunos Spaceデータベースに存在する場合、ユーザーはJunos Spaceデータベースのユーザー情報から割り当てられたロールでログインします。Junos Spaceプラットフォームに同等のリモートプロファイルまたはユーザーアカウントがない場合、ユーザーはアクセスを拒否されます。

  • 最初のリモート認証サーバーが存在する場合、そのサーバーにのみ接続され、ログインの成功または失敗は、そこに格納されているパスワードにのみ依存します。最初の認証サーバーに到達できない場合、他のサーバーは指定された順序で接続されます。認証サーバーに到達できない場合は、Junos Spaceプラットフォームデータベース内のローカルパスワードを確認します。Junos Spaceで緊急パスワードが設定されており、認証情報が一致した場合、ユーザーはJunos Spaceデータベースのユーザー情報から割り当てられたロールで正常にログインします。それ以外の場合、ユーザーはアクセスを拒否されます。

    メモ:

    リモート認証と許可の場合、ほとんどのユーザーはローカルパスワードを必要としません。この場合のローカル パスワードは、リモート認証サーバーに到達できない場合に限り、緊急の目的で使用します。

不正な認証情報を使用してユーザー がログインするか、リモート認証サーバーにユーザーが存在しない

  • Junos Spaceプラットフォームへのアクセスは拒否されます。

    メモ:

    認証サーバーは、セキュリティ上の目的で、これらの 2 つのケースを区別しません(つまり、ユーザーが不正な認証情報でログインしているか、リモート認証サーバーにユーザーが存在しない場合)。そのため、Junos Space プラットフォームでは、このようなログインは常に認証エラーとして扱う必要があります。

  • 認証サーバーに到達できない場合、Junos Space Platformはローカルパスワードを試みます。Junos Spaceで緊急パスワードが設定されており、認証情報が一致した場合、ユーザーはJunos Spaceデータベースのユーザー情報から割り当てられたロールで正常にログインします。それ以外の場合、ユーザーはアクセスを拒否されます。

リモート認証サーバーが Challenge/Response 用に構成されている場合にユーザーがログインを試みる

  • リモート認証サーバーが、課題が必要であることを示している場合は、課題の問題となります。Junos Spaceプラットフォームは、Junos Spaceログインページにユーザーに課題の質問を表示し、ユーザーの回答を待ちます。

  • 課題の質問に正しく回答すると、認証サーバーが新たな課題の問題を引き起こす可能性があります。

  • 課題の質問に間違って回答した場合、認証サーバーが同じ課題の質問でユーザーを再挑戦したり、別の課題の質問を使用したり、ログイン試行を完全に失敗させたりする可能性があります。リモート認証サーバーの構成によって動作が決定されます。

  • 最後の課題の質問に正しく回答すると、ユーザーは正常にログインします。

Login Behavior with Remote-Local Authentication Enabled

表 2 は、リモートローカル認証モードが有効になっている場合の各シナリオのさまざまなシナリオと認証と認証の動作を示しています。

表 2: リモートローカル認証を有効にしたログイン動作

シナリオ

ログイン動作

正しい認証情報を使用してユーザーがログイン

  • ユーザーのパスワードがリモートサーバー上に存在し、Junos Spaceプラットフォームに対応するリモートプロファイルがある場合、ユーザーはリモートプロファイルによって割り当てられたロールでログインします。

  • ユーザーのパスワードがリモート サーバー上にあり、Junos Space データベースに同等のリモート プロファイルがない場合、Junos Space プラットフォームはユーザー アカウントが Junos Space データベースに存在するかどうかをチェックします。ユーザーアカウントが存在する場合、ユーザーはJunos Spaceデータベースのユーザー情報から割り当てられたロールで正常にログインします。それ以外の場合、ユーザーはアクセスを拒否されます。

  • リモートサーバーに到達できない場合、Junos Space Platformはローカルでユーザーの認証を試みます。Junos Spaceプラットフォームのユーザーアカウントとローカルパスワードが存在し、認証情報が一致する場合、ユーザーはJunos Spaceデータベースのユーザー情報から割り当てられたロールを使用して正常にログインします。それ以外の場合、ユーザーはアクセスを拒否されます。

不正な認証情報を使用してユーザー がログインするか、リモート認証サーバーにユーザーが存在しない

  • Junos Spaceプラットフォームは、まずリモート認証サーバーをチェックします。認証に失敗した場合、またはサーバーに到達できない場合、Junos Space Platformはローカルでユーザーの認証を試みます。Junos Spaceプラットフォームのユーザーアカウントとローカルパスワードが存在し、認証情報が一致する場合、ユーザーはJunos Spaceデータベースのユーザー情報から割り当てられたロールを使用して正常にログインします。それ以外の場合、ユーザーはアクセスを拒否されます。

リモート認証サーバーが Challenge/Response 用に構成されている場合にユーザーがログインを試みる

  • リモート認証サーバーが、課題が必要であることを示している場合は、課題の問題となります。Junos Spaceプラットフォームは、Junos Spaceログインページにユーザーに課題の質問を表示し、ユーザーの回答を待ちます。

  • 課題の質問に正しく回答すると、認証サーバーが新たな課題の問題を引き起こす可能性があります。

  • 課題の質問に間違って回答した場合、認証サーバーが同じ課題の質問でユーザーを再挑戦したり、別の課題の質問を使用したり、ログイン試行を完全に失敗させたりする可能性があります。リモート認証サーバーの構成によって動作が決定されます。

  • 最後の課題の質問に正しく回答すると、ユーザーは正常にログインします。