Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

invalid-authentication-entry-timeout (Services User Identification Active Directory and ClearPass)

構文

階層レベル

説明

Windowsアクティブ ディレクトリまたは Aruba ClearPass のいずれかの認証テーブル内の無効なユーザー認証エントリー SRX シリーズに割り当てる独立タイムアウト値を設定します。無効な認証エントリー タイムアウト設定は、一般的な認証エントリー タイムアウト設定とは異なります。これにより、ユーザーが検証される前に、認証テーブルの無効なユーザー認証エントリーが期限切れから保護できます。

認証テーブルのユーザー認証エントリーには、そのエントリーの有効期限が切れた後のタイムアウト値または無効な値が含されます。ユーザーの IP アドレスに NULL および無効な状態を持つ無効な認証エントリーが作成され、そのユーザーのアイデンティティ情報がない場合は、アクセス ディレクトリの認証テーブルに格納されます。この機能を実装する前に、すべてのユーザー エントリーに適用される現在のタイムアウト値も無効なエントリに適用しました。

次の例に示す通り、2 つの認証ソースには個別の認証テーブルが存在し、そのテーブルに対して個別の設定を設定します。

Windows アクティブ ディレクトリ認証テーブル内のエントリーに対して、無効な認証エントリー タイムアウトを設定するには、次のコマンドを使用します。この例では、アクティブ ディレクトリ認証テーブルの無効な認証エントリーは、作成後 40 分で期限切れとなります。

次のコマンドを使用して、指定された ClearPass認証テーブル内のエントリーに対して無効な認証SRX シリーズを設定します。この例では、ClearPass認証テーブルの認証テーブルの無効SRX シリーズは、作成された22分後に期限切れとなります。

次のルールは、無効な認証エントリ タイムアウト設定の使用方法に適用されます。

  • 無効な認証エントリー タイムアウト値を最初に設定すると、無効な認証エントリーが設定された後に作成された任意の無効 認証エントリーに適用されます。

    ただし、既存の無効な認証エントリーのすべてでは、デフォルトのタイムアウトは 30 分保持されます。

  • 無効な認証エントリー タイムアウト機能が設定されていない場合、デフォルトの 30 分のタイムアウトが、無効なすべての認証エントリーに適用されます。

  • 無効な認証エントリ タイムアウト値を設定した場合、後で削除すると、削除後に作成された無効な認証エントリーに、デフォルトで 30 分のタイムアウト が適用されます

    ただし、削除する前に無効なエントリー タイムアウト値が適用された無効な認証エントリーは、その設定を保持します。

  • 無効な認証エントリー タイムアウト値の設定を変更すると、値の変更後に作成された無効なすべての認証エントリーに新しい値が適用されます。ただし、既存の無効な認証エントリーはすべて、以前の無効な認証エントリー タイムアウト設定(それが適用された場合)を保持します。デフォルト値の 30 分が適用された場合、その設定は保持されます。

  • 無効な認証エントリの状態が [保留中] または [有効] に変わると、無効な認証エントリ タイムアウト設定は適用できません。そのため、そのエントリーに割り当てられたタイムアウト値は、一般的な認証エントリー タイムアウトに設定された値に変更されます。

オプション

timeout-value-in-minutes

Windows アクティブ ディレクトリまたは Aruba ClearPass 認証ソースの認証テーブルにある無効な認証SRX シリーズに適用される有効期限(分)。

  • 範囲: 0~1440分。

  • デフォルト: 30 分

必須の権限レベル

  1. services — このステートメントを設定で表示するには。

  2. services-control—このステートメントを設定に追加します。

リリース情報

リリースリリースで発表Junos OSステートメント15.1X49-D100。