非認証ブラウザーにキャプティブ ポータルを設定
通常、認証SRX シリーズは、認証のために認証されていないユーザーをプロトコルにキャプティブ ポータルします。キャプティブ ポータル にリダイレクトすると、Microsoft アップデートなどのバックグラウンド プロセスでは、HTTP/HTTPS ブラウザーベースのユーザーのアクセスがトリガーされる前に キャプティブ ポータル がトリガーされます。これにより、認証ポータルを表示せずにブラウザーに「401 Unauthorized」ページが表示されます。認証専用ブラウザーおよび auth-user-agent パラメーターを使用すると、HTTP/HTTPS トラフィックを処理するように制御できます。
認証SRX シリーズユーザーに対する保証されたキャプティブ ポータルのサポートについて
認証されていないユーザーが HTTP/HTTPS ブラウザーを使用して SRX シリーズ 保護されたリソースへのアクセスを要求すると、SRX シリーズ デバイスから キャプティブ ポータル インターフェイスがユーザーに提示され、ユーザーが認証を許可されます。通常、このプロセスは干渉なしで行われます。しかし、この機能を導入する前に、Microsoft の更新や制御チェックなど、バックグラウンドで実行されている HTTP/HTTPS ベースのワークステーション サービスは、HTTP/HTTPS ブラウザーベースのユーザーのアクセス要求が行う前に、キャプティブ ポータル 認証をトリガーする可能性があります。状況は競争状態を生み出しました。最初にバックグラウンド プロセスがキャプティブ ポータルされた場合、SRX シリーズデバイスに「401 Unauthorized」ページが表示されました。このサービスはブラウザーに通知せずにページを破棄し、ブラウザー ユーザーに認証ポータルが表示されたくなくなっていたのです。このSRX シリーズデバイスは、異なるSSP上で同じ送信元(IPアドレス)からの同時認証をサポートしていけなかった。
Junos OS リリース 15.1X49-D90 および Junos OS リリース 17.3R1 から、SRX シリーズ デバイスは、Web リダイレクト認証のサポートを含め、複数の SPUS での同時 HTTP/HTTPS パススルー認証をサポートします。SPU が CP を照会している間に HTTP/HTTPS パケットが到着すると、パケットのキューにSRX シリーズ後で処理されます。
さらに、HTTP/HTTPS トラフィックの処理方法を制御するために、以下の 2 つのパラメーターを使用できます。
認証専用ブラウザー —ブラウザー トラフィックのみを認証します。このパラメータを指定した場合、デバイスSRX シリーズHTTP/HTTPSブラウザー トラフィックと他のHTTP/HTTPSトラフィックを区別します。このSRX シリーズデバイスは、ブラウザー以外のトラフィックに応答しません。この制御と一緒に auth-user-agent パラメーターを使用して、HTTP トラフィックがブラウザーからのトラフィックをさらに多く受信しているか確認できます。
auth-user-agent — HTTP/HTTPS ブラウザー ヘッダーの [ユーザー エージェント] フィールドに基づいて、HTTP/HTTPS トラフィックを認証します。設定ごとに1つのユーザーエージェント値を指定できます。SRX シリーズ デバイスは、HTTP/HTTPS ブラウザー ヘッダーの [ユーザー エージェント] フィールドに対して指定したユーザー エージェント値を確認し、トラフィックが HTTP/HTTPS ブラウザー ベースかどうかを判断します。
このパラメーターは、認証専用ブラウザー パラメーターで使用するか、パススルー ファイアウォール認証とユーザー ファイアウォール ファイアウォール認証の両方に単独で使用できます。
auth-user-agent には、1 つの文字列のみを値として指定できます。スペースを含めることはできません。文字列を引用符で囲む必要はありません。
メモ:ソース アドレスのJunos OS 17.4R1設定時に、IPv4 アドレスに加えて IPv6 アドレスを割り当てできます。[ゾーン信頼からゾーンへのセキュリティ ポリシーの編集] 階層レベルで IPv6
anyany-IPv6送信元アドレス、発行、またはコマンドを設定するには、policy-name match source-address 階層レベルを使用します。
次に、認証専用ブラウザーおよび auth-user-agent ファイアウォール認証機能を使用するためにセキュリティー ポリシーを設定する方法の例を示します。
For Pass-Through Authentication
認証専用ブラウザー パラメーターを使用するパススルー認証用にセキュリティー ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through auth-only-browser access-profile my-access-profile1t
認証専用ブラウザーを使用せずに auth-user-agent パラメーターを使用するパススルー認証用にセキュリティー ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p2 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p2 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p2 match application any user@host# set security policies from-zone trust to-zone untrust policy p2 then permit firewall-authentication pass-through auth-user-agent Opera1 access-profile my-access-profile2
auth-user-agent パラメーターと認証専用ブラウザーを使用するパススルー認証用のセキュリティー ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p3 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p3 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p3 match application any user@host# set security policies from-zone trust to-zone untrust policy p3 then permit firewall-authentication pass-through auth-only-browser auth-user-agent Opera1 my-access-profile3
For User Firewall Authentication
認証専用ブラウザー パラメーターを使用するユーザー ファイアウォール認証用にセキュリティー ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p4 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p4 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p4 match application any user@host# set security policies from-zone trust to-zone untrust policy p4 then permit firewall-authentication user-firewall auth-only-browser access-profile my-access-profile4t
認証専用ブラウザーを使用せずに auth-user-agent パラメーターを使用するユーザー ファイアウォール認証用のセキュリティー ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p5 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p5 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p5 match application any user@host# set security policies from-zone trust to-zone untrust policy p5 then permit firewall-authentication user-firewall auth-user-agent Opera1 access-profile my-access-profile5
認証専用ブラウザーと auth-user-agent パラメーターを使用するユーザー ファイアウォール認証用のセキュリティー ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p6 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p6 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p6 match application any user@host# set security policies from-zone trust to-zone untrust policy p6 then permit firewall-authentication user-firewall auth-only-browser auth-user-agent Opera1 access-profile my-access-profile6
詳細については、
キャプティブ ポータルで認証されたユーザーに対して、Active Directory 認証エントリーに割り当てられた強制タイムアウト設定について
このトピックでは、ファイアウォール認証を介して認証したユーザーのアクティブ ディレクトリ認証エントリーに適用されるファイアウォール認証強制タイムアウト設定の影響についてキャプティブ ポータル。
ユーザーが認証を キャプティブ ポータルすると、ファイアウォール認証モジュールから SRX シリーズ デバイスが取得した情報に基づいて、そのユーザーに対して認証テーブル エントリーが生成されます。この時点では、デフォルトのトラフィックベースの認証タイムアウト ロジックがエントリーに適用されます。
管理者は、認証を受け入れ、ドメイン以外のユーザーが認証を受けキャプティブ ポータルを制御することが重要です。ファイアウォール認証の強制タイムアウト機能により、その制御が可能になります。このポリシーを使用することで、ドメイン以外のユーザーが無期限に認証を受け続けずにいます。たとえば、ユーザーが認証した非ドメイン ユーザーのデバイスとの間でトラフィックのフローが継続キャプティブ ポータル。デフォルトのトラフィックベース認証タイムアウトの動作を考えると、非ドメイン ユーザーは無期限に認証されたままです。
ファイアウォール認証の強制タイムアウト値が設定されている場合、トラフィックベースのタイムアウト ロジックと組み合わせて使用されます。
ファイアウォール認証の強制タイムアウトを含むタイムアウト設定が、ファイアウォール認証を介して認証されたユーザーのアクティブ ディレクトリ認証エントリーに与えるキャプティブ ポータル。以下のすべてのインスタンスでは、ファイアウォールの認証情報に基づいて、ユーザーに対してユーザーが認証エントリを生成しました。このエントリーは、ユーザーが認証を通過キャプティブ ポータル。
ファイアウォール認証強制タイムアウトは、3 時間に設定されます。
ユーザーの認証エントリーに関連付けられたデバイスによって、トラフィックの受信と生成が継続されます。3 時間後、認証エントリは期限切れになりますが、その時には認証エントリのセッションがパケット転送エンジンに固定されます。
設定されている場合、ファイアウォールの認証強制タイムアウトは効果がありません。
認証エントリーに固定されたセッションはない。これは、認証入力タイムアウトに設定された時間(たとえば、30分)を過ぎると期限切れになります。
ファイアウォール認証強制タイムアウト設定が削除されます。
ファイアウォール認証強制タイムアウトは、新しい認証エントリーには影響を与えるしません。ファイアウォール認証の強制タイムアウトは、削除される前に適用された既存の認証エントリーに対して適用されます。つまり、これらの認証エントリーに対して、元の強制タイムアウト設定は引き続き有効です。
ファイアウォール認証強制タイムアウト設定が変更されます。
新しい tine-out 設定が、新しい受信認証エントリーに適用されます。既存のエントリーは、以前の設定を保持します。
ファイアウォールの認証強制タイムアウトは 0 に設定設定されています。この設定は無効にします。
ファイアウォール認証強制タイムアウトが新しい値に設定されている場合、その値は受信した認証エントリーすべてに割り当てられます。ファイアウォール認証強制タイムアウト設定が、既存の認証エントリーに対して行う必要はありません。
ファイアウォール認証強制タイムアウト値は設定されていません。
このSRX シリーズは、ユーザーの認証エントリーを生成します。デフォルトのトラフィックベース のタイムアウト ロジックが、認証エントリーに適用されます。
アクティブ ディレクトリ タイムアウト値は、50 分間設定されています。トラフィックベースのタイムアウトが 50 分に設定されると、認証エントリが適用されます。
アクティブ ディレクトリ タイムアウトは設定されていません。デフォルトのトラフィックベース のタイムアウト(30 分)は、認証エントリに適用されます。