リモート認証を有効にした Junos Space ログイン動作
このトピックでは、リモート認証のみまたはリモートローカル認証を有効にしたJunos Spaceネットワーク管理プラットフォームログインの動作について説明します。
BEAST TLS 1.0 攻撃を回避するには、ブラウザー タブまたはウィンドウで Junos Space ネットワーク管理プラットフォームにログインするたびに、以前はタブやウィンドウを使用して HTTPS 以外の Web サイトを表示していないことを確認してください。ベスト プラクティスは、Junos Space Platform にログインする前にブラウザーを閉じて再起動することです。
システム動作は、Junos Space プラットフォームの認証モードとしてリモート認証のみとリモートローカル認証のどちらを選択するかによって異なります。リモート認証サーバーがユーザーを認証しない場合、違いが発生します。また、リモート・サーバーが戻す応答によって許可ソースに違いもあります。
図 1 は、リモート認証のみまたはリモートローカル認証のいずれかが選択され、リモート認証サーバーがユーザーを受け入れた場合の、システムの動作の基礎となるディシジョン ツリーを示しています。
図 2 は、リモート認証サーバーがユーザーを拒否するか、まったく応答しない場合のディシジョン ツリーを示しています。
以下のセクションでは、リモート認証のみまたはリモートローカル認証モードが有効になっている場合のログイン動作について説明します。
リモート ユーザーが @ 記号またはバックスラッシュ(\)文字を含むユーザー名でログインすると、Junos Space Platform は@ 記号またはバックスラッシュ文字の前にある部分に続くユーザー名の部分を無視し、残りのユーザー名で認証します。たとえば、リモートユーザーが abc@domain、 abc@domain.com、ドメイン \abc をユーザー名として使用する場合、Junos Space Platformは abc のみを使用してユーザーを認証します。データベースに abc のエントリーがある場合は、対応するリモートプロファイルがユーザーに適用されます。データベースにユーザー名に対応するエントリーがない場合は、指定された例で abc 、Junos Space Platform は abc という名前の読み取り専用ユーザー アカウントを作成し、リモート プロファイルを割り当てます。
Login Behavior with Remote Authentication Only Enabled
表 1 は、リモート認証のみモードが有効になっている場合の各シナリオと、認証と許可の動作を示しています。
シナリオ |
ログイン動作 |
---|---|
正しい認証情報を使用してユーザーがログイン |
|
不正な認証情報を使用してユーザー がログインするか、リモート認証サーバーにユーザーが存在しない |
|
リモート認証サーバーが Challenge/Response 用に構成されている場合にユーザーがログインを試みる |
|
Login Behavior with Remote-Local Authentication Enabled
表 2 は、リモートローカル認証モードが有効になっている場合の各シナリオのさまざまなシナリオと認証と認証の動作を示しています。
シナリオ |
ログイン動作 |
---|---|
正しい認証情報を使用してユーザーがログイン |
|
不正な認証情報を使用してユーザー がログインするか、リモート認証サーバーにユーザーが存在しない |
|
リモート認証サーバーが Challenge/Response 用に構成されている場合にユーザーがログインを試みる |
|