invalid-authentication-entry-timeout (Services User Identification Active Directory and ClearPass)

構文

階層レベル

説明

Windows アクティブディレクトリまたは Aruba ClearPass の SRX シリーズ認証テーブル内の無効なユーザー認証エントリーに割り当てられる独立したタイムアウト値を設定します。無効な認証エントリのタイムアウト設定は、一般的な認証エントリのタイムアウト設定とは異なります。これにより、認証テーブル内の無効なユーザー認証エントリが、ユーザーが検証される前に期限切れにならないように保護できます。

認証テーブル内のユーザー認証エントリには、エントリの有効期限が切れるか、無効になるタイムアウト値が含まれています。ユーザーの IP アドレスに対して NULL および INVALID 状態で無効な認証エントリーが作成され、そのユーザーの ID 情報がない場合、そのアクセス・ディレクトリー認証テーブルに保管されます。この機能を実装する前は、すべてのユーザー エントリに適用される現在のタイムアウト値が無効なエントリにも適用されていました。

2 つの認証ソースには個別の認証テーブルが存在し、次の例に示すように、それぞれに個別の設定を構成します。

次のコマンドを使用して、Windows アクティブディレクトリ認証テーブル内のエントリの無効な認証エントリのタイムアウトを設定します。この例では、Active Directory 認証テーブル内の無効な認証エントリは、作成されてから 40 分後に期限切れになります。

次のコマンドを使用して、SRXシリーズのClearPass認証テーブル内のエントリーの無効な認証エントリのタイムアウトを設定します。この例では、SRXシリーズのClearPass認証テーブル内の無効な認証エントリーは、作成されてから22分後に期限切れになります。

次のルールは、無効な認証エントリのタイムアウト設定の使用方法を制御します。

• 無効な認証エントリのタイムアウト値を最初に設定すると、設定 後に 作成された無効な認証エントリに適用されます。

  ただし、既存の無効な認証エントリはすべて、既定のタイムアウトである 30 分を保持します。

• 無効な認証エントリのタイムアウト機能を設定しない場合、デフォルトのタイムアウトである 30 分がすべての無効な認証エントリに適用されます。

• 無効な認証エントリのタイムアウト値を設定したが、後で削除した場合、削除 後に 作成された無効な認証エントリには、デフォルトのタイムアウトである 30 分が適用されます。

  ただし、削除 前に 無効なエントリのタイムアウト値が適用された無効な認証エントリは、その設定を保持します。

• 無効な認証エントリのタイムアウト値の設定を変更すると、値の変更 後に 作成されたすべての無効な認証エントリに新しい値が適用されます。ただし、既存の無効な認証エントリはすべて、以前の無効な認証エントリのタイムアウト設定が適用されている場合は保持されます。既定値の 30 分が適用されるものは、その設定を保持します。

• 無効な認証エントリの状態が [保留中] または [有効] に変わると、無効な認証エントリのタイムアウト設定は適用されなくなります。したがって、その項目に割り当てられたタイムアウト値は、一般認証項目のタイムアウトに設定されている値に変更されます。

オプション

timeout-value-in-minutes

WindowsアクティブディレクトリまたはAruba ClearPass認証ソースのSRXシリーズ認証テーブル内の無効な認証エントリーに適用される有効期限(分)。 範囲: 0 から 1440 分。 デフォルト: 30 分

必要な権限レベル

1. services—設定でこのステートメントを表示します。

2. services-controlー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース15.1X49-D100で導入されたステートメント。