Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

アイデンティティ ソースとしての Active Directory

アイデンティティ ソースとしての Active Directory、その利点、および Active Directory がアイデンティティ ソースとしてどのように機能するかについて学習します。

アイデンティティ・ソースは、ユーザー情報をデータベースに格納します。この情報は、ユーザー認証に使用できます。アイデンティティ・ソースとしてのActive Directoryは、 ファイアウォール とMicrosoft Windows Active Directoryとの統合を定義します。

先端:

アイデンティティ・ソースとしてのActive Directoryは、以前は統合型ユーザーファイアウォールと呼ばれていました。

アイデンティティ ソースとしての Active Directory の概要

図 1 は、アイデンティティ ソースとしての Active Directory が展開される一般的なシナリオを示しています。Active Directory ドメインの内外のユーザーは、デバイスを介してインターネットにアクセスする必要があります。

利点

  • 設定手順を簡略化し、デバイスにアクセスするためのベストエフォート型セキュリティを提供します。

  • 中規模ビジネスから中規模までの展開に最適です。

  • 高可用性(HA)をサポートします。

  • 認証しないユーザーの場合、キャプティブポータルの設定は任意です。

アイデンティティ ソースとしての Active Directory の仕組み

図 1:Active Directory as Identity Source Deployment Active Directory as Identity Source Deployment
表 1:アイデンティティ ソースとしての Active Directory のコンポーネント

コンポーネント

形容

ドメイン コントローラー

ドメイン コントローラーは、ユーザー認証リソースへのアクセスを要求するためのセキュリティ ポリシーを適用するのに役立ちます。ドメイン コントローラーは、LDAP サーバーとしても機能します。

ドメインPC

ユーザー アカウント情報とセキュリティ ポリシーを共有する接続された Windows コンピューター グループ。

非ドメイン PC

ユーザーは、インターネットに接続されたデバイスを使用して、どこからでも Windows デスクトップ環境にアクセスできます。

非ドメインユーザー用のLDAP認証サーバー

LDAPプロトコルは、ユーザーが属するグループを識別するのに役立ちます。ユーザ名とグループ情報は、Active Directory コントローラの LDAP サービスから照会されます。

  1. デバイスは、Active Directory コントローラの Windows イベント ログを読み取って分析し、認証テーブルを生成します。

  2. アイデンティティ・ソースとしてのActive Directoryは、認証テーブルを介して任意のドメイン・ユーザーを認識します。

  3. デバイスは、必要なユーザーベースまたはグループベースのアクセス制御を適用するポリシーを設定します。

  4. 非ドメインユーザーまたは非ドメインマシン上のドメインユーザーの場合、管理者はキャプティブポータルを指定してユーザーに認証を強制します(デバイスがトラフィックタイプに対してキャプティブポータルをサポートしている場合)。

  5. ユーザーが名前とパスワードを入力して認証すると、デバイスはユーザー/グループ情報を取得してポリシーを適用します。

  6. キャプティブポータルに加えて、IPアドレスまたはユーザー情報がイベントログから利用できない場合、ユーザーはWindows PCに再度ログインしてイベントログエントリを生成できます。次に、システムによってユーザー認証エントリが生成されます。

Windows Management Instrumentation Client (WMIC)

Windows Management Instrumentation Client (WMIC) とは何ですか?

Active Directory をアイデンティティ ソースとして構成すると、デバイスはドメイン コントローラとの Windows Management Instrumentation(WMI)/Distributed Component Object Module(DCOM)接続を確立します。デバイスは WMI クライアント (WMIC) として機能します。デバイスは、ドメイン コントローラー上のセキュリティ イベント ログを読み取って監視します。デバイスはイベントメッセージを解析し、IPアドレスからユーザーへのマッピング情報を生成します。

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 プラットフォーム固有の WMIC の動作 」セクションを参照してください。

WMIC はドメイン コントローラーのイベント ログをどのように読み取りますか?

WMIC は、次の方法でドメイン コントローラーのイベント ログを読み取ります。

  1. デバイスは、設定可能な間隔(デフォルトは 10 秒)でイベントログを監視します。

  2. デバイスは、設定可能な一定期間、イベントログを読み取ります。デフォルトの期間は 1 時間です。

  3. WMIC が起動するたびに、デバイスは最後のタイムスタンプと現在のタイムスパンを確認します。最後のタイムスタンプが現在のタイムスパンよりも古い場合は、現在のタイムスパンが有効になります。

  4. デバイスはイベントログを読み取って、IPv4 と IPv6 の両方のアドレスを取得できます。

  5. WMIC の起動時に、ファイアウォールにはイベント ログから読み取ることができるイベントの最大数があります。イベントの最大数を設定することはできません。

    WMIC が起動すると、WMIC は timespan 設定で最大数を使用します。制限に達すると、WMIC はイベント ログの読み取りを停止します。

  6. フェイルオーバー後、デバイスは最新のイベントログのタイムスタンプからイベントログを読み取ります。

IP フィルターを指定して、IP からユーザー へのマッピングを制限します

IP フィルターを指定して、デバイスがイベント ログから生成する IP アドレスからユーザーへのマッピング情報を制限できます。

このようなマッピングにフィルターが役立つ場合を理解するには、次のシナリオについて考えてみます。ある顧客が1つのドメインに10台のデバイスを導入し、各デバイスが支社/拠点を制御しているとします。10 台のデバイスすべてが、ドメイン コントローラー内の 10 個のブランチ ユーザー ログイン イベント ログをすべて読み取ります。ただし、デバイスは、ユーザーが制御するブランチで認証されているかどうかのみを検出するように設定されています。デバイスに IP フィルターを設定すると、デバイスは制御下にある IP イベント ログのみを読み取ります。

IPアドレスまたはプレフィックスを含めたり除外したりするようにフィルターを設定できます。各フィルターに最大 20 個のアドレスを指定できます。

Windowsイベントログの検証と統計

show services user-identification active-directory-access active-directory-authentication-table all コマンドを発行することで、認証テーブルが IP アドレスとユーザー情報を取得していることを確認できます。各ドメインのIPアドレスからユーザーへのマッピングのリストが表示されます。LDAP が実行されるまで、テーブルにはグループ情報が含まれません。

イベント ログの読み取りに関する統計情報を表示するには、 show services user-identification active-directory-access ip-user-mapping statistics domain コマンドを発行します。

WMICへのバックアップとしてのファイアウォール認証

アイデンティティ ソースとしての Active Directory が IP アドレスからユーザー へのマッピング情報を取得する主な方法は、デバイスを WMI クライアント(WMIC)として動作させることです。ただし、イベント ログ読み取り関数と PC プローブ関数はどちらも WMI を使用し、グローバル ポリシーを使用して WMI-to-PC プローブを無効にすると、イベント ログの読み取りに影響します。これらは PC プローブの障害を引き起こす可能性があり、IP アドレスからユーザへのマッピングを取得するためのバックアップ方法が必要になります。その方法は、ファイアウォール認証を使用してユーザーを識別することです。

ドメイン PC プローブ」を参照してください。

このステートメントでドメインが設定されている場合、 fwauth はそのドメインがドメイン認証エントリー用であることを認識し、認証要求とともにドメイン名を fwauth プロセスに送信します。認証応答を受信すると、 fwauth はそのドメイン認証エントリを削除します。 fwauth プロセスは、送信元 IP アドレス、ユーザー名、ドメイン、およびその他の情報を UserID プロセスに送信し、有効なドメイン ユーザー エントリであることを確認します。後続のトラフィックは、このユーザー ファイアウォール エントリにヒットします。

ドメインPCプロービング

ドメインPCプロービングとは?

ドメイン PC のプローブは、イベント ログの読み取りを補完する役割を果たします。ユーザーがドメインにログインすると、イベント ログにその情報が記録されます。PC プローブは、イベント ログに IP-to-address マッピングがない場合にのみトリガーされます。

ドメイン情報は、ユーザーがドメイン PC にログインまたはログアウトすると、常に変化します。アイデンティティ ソース プローブとしての Active Directory は、IP アドレスからユーザへのマッピング情報についてドメイン PC を直接プローブすることで、認証テーブル内の情報を追跡および検証するメカニズムを提供します。プローブによって識別された新しい情報と変更された情報は、ファイアウォールの整合性を維持するために重要な Active Directory 認証テーブル エントリを更新する役割を果たします。

IP アドレス フィルタは PC プローブにも影響を与えます。IP アドレス フィルターを構成すると、フィルターで指定された IP アドレスのみがプローブされます。

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 プラットフォーム固有のプローブレート動作 」セクションを確認してください。

ドメインPCプローブユーザー情報

アイデンティティ ソースとしての Active Directory は、ドメイン PC を調査することによって、ユーザーのオンライン ステータスを追跡します。ユーザーがオンラインでない場合、または予期されるユーザーでない場合は、必要に応じて Active Directory 認証テーブルが更新されます。以下のプローブ動作が適用されます。

On-demand probing

オンデマンド プローブは、Active Directory 認証テーブルのエントリが欠落しているためにパケットが破棄された場合に発生します。この場合、エントリは認証テーブルに保留状態で追加され、ドロップされたパケットの送信元IPフィールドで識別されるドメインPCでIPアドレスとユーザー情報がプローブされます。エントリーは、プローブから応答を受信するまで保留状態のままです。
Manual probing

手動プローブは、ユーザーまたはユーザー範囲のオンライン状態の確認とトラブルシューティングに使用され、システム管理者の裁量に委ねられます。

手記:

手動でプローブすると、エントリが Active Directory 認証テーブルから削除される可能性があります。たとえば、PCがビジー状態の場合など、ネットワークの問題でPCから応答がない場合、PCのIPアドレスエントリは invalid としてマークされ、アクセスがブロックされます。

ドメイン PC プローブの応答に基づいて、Active Directory 認証テーブルが更新され、関連するファイアウォールポリシーが有効になります。90 秒経過してもプローブから応答がない場合、認証エントリはタイムアウトします。タイムアウト認証エントリは、PC プローブを開始するときに生成される保留状態の認証エントリです。

プローブが成功すると、認証エントリーの状態が「保留中」から「有効」に更新されます。プローブが失敗した場合、認証エントリーの状態は無効とマークされます。無効なエントリの有効期間は有効なエントリと同じで、今後の fwauth (ファイアウォール認証プロセス) 認証結果またはイベント ログによって上書きされます。

ネットワーク構成や Windows ファイアウォールの問題など、なんらかの理由でデバイスがドメイン PC にアクセスできない場合、プローブは失敗します。

その他のプローブ応答および対応する認証テーブルアクションについては、 表 2 を参照してください。

表 2:プローブ応答と関連する Active Directory 認証テーブル アクション

ドメイン PC からのプローブ応答

Active Directory認証テーブルのアクション

有効な IP アドレスとユーザー名

IP関連のエントリを追加します。

ログオンしたユーザーが変更されました

IP関連のエントリを更新します。

接続タイムアウト

IP 関連のエントリを無効として更新します。

アクセス拒否

IP 関連のエントリを無効として更新します。

接続が拒否されました

IP 関連のエントリを無効として更新します。

認証に失敗しました

(設定されたユーザ名とパスワードには、ドメイン PC をプローブする権限がありません。

IP 関連のエントリを無効として更新します。

プローブの設定方法

オンデマンドプローブはデフォルトで有効になっています。オンデマンドプローブを無効にするには、 set services user-identification active-directory-access no-on-demand-probe ステートメントを使用します。このステートメントを削除すると、プローブが再び有効になります。オンデマンド・プローブが無効になっている場合、手動プローブを使用できます。

手動プローブを開始するには、 request services user-identification active-directory-access ip-user-probe address ip-address address domain domain-name コマンドを使用できます。ドメイン名が指定されていない場合、プローブは IP アドレス用に設定された最初のドメインを参照します。範囲を指定するには、適切なネットワーク アドレスを使用します。

プローブのタイムアウト値は設定可能です。 wmi-timeout 間隔内にドメイン PC から応答が受信されない場合、プローブは失敗し、システムは無効な認証エントリを作成するか、既存の認証エントリを無効として更新します。プローブされた IP アドレスの認証テーブル エントリがすでに存在し、 wmi-timeout 間隔内にドメイン PC から応答を受信しない場合、プローブは失敗し、そのエントリはテーブルから削除されます。

SRXシリーズファイアウォールでActive Directoryをアイデンティティソースとして設定するを参照してください。

プローブレートと統計

アイデンティティ ソースとしての Active Directory の最大プローブ レートはデフォルトで設定されており、変更できません。プローブ機能は、5,000 人のユーザー、またはサポートされる全認証エントリーの最大 10% のいずれか小さい方をサポートします。10% をサポートするということは、プローブを待機する IP アドレスの数が常に 10% を超えることができないことを意味します。

アイデンティティ ソースとしての Active Directory の LDAP

アイデンティティ ソースとしての Active Directory の LDAP の用途は何ですか。

この項でのLDAPの使用は、アイデンティティ・ソースとしてのActive Directory内のLDAP機能に特に適用されます。

Active Directory をアイデンティティ ソースとして実装するために必要なユーザおよびグループの情報を取得するために、デバイスは Lightweight Directory Access Protocol(LDAP)を使用します。デバイスは、LDAP サーバーと通信する LDAPクライアントとして機能します。アイデンティティ ソースとしての Active Directory の一般的な実装シナリオでは、ドメイン コントローラは LDAP サーバーとして機能します。デバイスの LDAP モジュールは、既定では、ドメイン コントローラー内の Active Directory にクエリを実行します。

デバイスは、LDAP サーバーからユーザーリストとグループリストをダウンロードします。また、デバイスは LDAP サーバーに対してユーザーおよびグループの更新を照会します。デバイスは、第 1 レベルのユーザーとグループのマッピング関係をダウンロードしてから、完全なユーザーとグループのマッピングを計算します。

アイデンティティ・ソースとしてのActive DirectoryのLDAPの仕組み

LDAP サーバーのユーザー名、パスワード、IP アドレス、およびポートはすべてオプションですが、構成できます。

  • ユーザ名とパスワードが設定されていない場合、システムは設定されたドメイン コントローラのユーザ名とパスワードを使用します。

  • LDAP サーバーの IP アドレスが構成されていない場合、システムは構成された Active Directory ドメイン・コントローラーの 1 つのアドレスを使用します。

  • ポートが設定されていない場合、システムはプレーンテキストにポート389を、暗号化されたテキストにポート636を使用します。

デフォルトでは、LDAP認証方式は簡易認証を使用します。クライアントのユーザー名とパスワードは、プレーンテキストで LDAP サーバーに送信されます。パスワードは明確で、ネットワークから読み取ることができることに注意してください。

パスワードの漏洩を回避するには、LDAP サーバーが LDAP over SSL (LDAPS) をサポートしている限り、暗号化されたチャネル (つまり Secure Sockets Layer (SSL)) 内で単純認証を使用できます。SSL を有効にすると、LDAP サーバーからデバイスに送信されるデータが暗号化されます。SSLを有効にするには、 user-group-mapping ステートメントを参照してください。

デバイス アイデンティティ

Active Directory を ID ソース デバイス ID 認証機能として使用すると、使用するデバイスの属性(特性)に基づいてネットワーク リソースへのアクセスを制御できます。デバイス アイデンティティ認証機能を設定した後、ポリシー アクションに基づいて識別されたデバイスからのトラフィックを許可または拒否するセキュリティ ポリシーを設定できます。

詳細については、 例:デバイス アイデンティティ認証機能の設定を参照してください。

デバイス インテリジェンスを使用してネットワークへのアクセスを制御する理由

さまざまな理由から、ユーザーの ID ではなく、ユーザーのデバイスの ID に基づいてネットワーク リソースへのアクセスを制御したい場合があります。アイデンティティ ソース デバイス ID 認証としての Active Directory は、ユーザのデバイスの属性に基づいてネットワーク アクセスを制御できるようにすることで、このような状況やその他の類似の状況に対するソリューションを提供するように設計されています。

デバイスは、認証ソースに応じて、ユーザー ID 情報を取得するのと同じ方法で、認証ソースからデバイス ID 情報を受信または取得します。デバイス アイデンティティ情報を取得し、デバイス アイデンティティ情報テーブルに格納するプロセスでは、デバイス側で次のアクションが実行されます。

  • デバイス識別情報の取得

    認証ソースに応じて、デバイスは次の 2 つの方法のいずれかを使用してデバイス ID 情報を取得します。

    • アイデンティティ ソースとしての Microsoft Active Directory—環境が Microsoft Active Directory を使用するように設定されている場合、ファイアウォールまたは NFXシリーズ デバイスは、Active Directory ドメイン コントローラーと LDAP サービスからデバイスの IP アドレスとグループを取得します。デバイスは、ドメイン コントローラーのイベント ログからデバイス情報を抽出し、Active Directory LDAP サーバーに接続して、デバイスが属するグループの名前を取得できます。デバイスは、イベント ログから取得した情報を使用して、LDAP ディレクトリ内のデバイスの情報を検索します。

    • サードパーティ製のNAC(ネットワークアクセスコントロール)システム:ネットワーク環境がNACソリューション用に設定されていて、このアプローチを採用することにした場合、NACシステムはデバイス識別情報をファイアウォールまたはNFXシリーズデバイスに送信します。これらの認証システムは、Web API と呼ばれる RESTful Web サービス API の POST サービスを使用します。デバイスは API を実装し、認証システムに公開して、デバイス ID 情報をファイアウォールに送信できるようにします。API には正式な XML 構造と、認証ソースがこの情報をデバイスに送信する際に従う必要がある制限があります。

      警告:

      この方法を採用する場合は、NAC ソリューションがデバイスで動作することを確認する必要があります。

  • デバイス アイデンティティ認証テーブルにデバイスのエントリを作成する。

    • ファイアウォールは、デバイス ID 情報を取得した後、デバイス ID 認証テーブルにそのエントリを作成します。デバイス識別認証テーブルは、Active Directory認証テーブルや、サードパーティ認証ソースに使用される他のローカル認証テーブルとは別のものです。

    • また、認証ソースまたは機能に固有のローカル ユーザー認証テーブルとは異なり、デバイス アイデンティティ認証テーブルには、すべての認証ソースのデバイス アイデンティティ情報が保持されます。ただし、Active Directory など、一度にアクティブにできる認証ソースは 1 つだけです。ファイアウォールでは、一度に使用できる認証ソースのみを使用して、情報を処理するシステムへの要求を制限します。

    • デバイス情報を取得してデバイス ID 認証テーブルに入力する目的は、デバイスの ID に基づいてネットワーク リソースへのユーザー アクセスを制御することです。そのためには、指定されたデバイス アイデンティティ プロファイルに基づいてデバイスを特定するセキュリティ ポリシーを設定し、そのデバイスから発行されるトラフィックに対して実行するアクションを指定する必要もあります。

    • デバイス アイデンティティ認証機能は、認証ソースに関係なく、デバイス アイデンティティ情報を同じテーブルに格納する汎用ソリューションを提供します。

デバイス アイデンティティの属性とプロファイル

CLI では end-user-profile と呼ばれるデバイス アイデンティティ プロファイルは、アイデンティティ ソース デバイス アイデンティティ認証機能としての Active Directory の主要コンポーネントです。デバイスを識別し、その属性を指定します。

デバイス アイデンティティ

デバイス ID は、基本的にデバイスの IP アドレス、名前、ドメイン、デバイスが属するグループで構成されます。

例えば、以下の出力は、デバイス アイデンティティ プロファイルから参照されるデバイスに関する情報を示しています。この例では、デバイス アイデンティティ認証テーブルに 2 つのデバイスのエントリーが含まれていることを示しています。エントリごとに、デバイスの IP アドレス、デバイスに割り当てられた名前、デバイスが属するグループが表示されます。どちらのデバイスもグループ grp4 に属していることに注意してください。

デバイス アイデンティティ プロファイル

デバイス アイデンティティ プロファイルは、デバイスの名前と、デバイスの IP アドレス、デバイスが属するグループ、およびホスト属性と総称されるデバイスの属性を含む情報を指定します。デバイスのパケット転送エンジンは、デバイスのIPアドレスをデバイス識別プロファイルにマッピングします。

デバイスからのトラフィックがファイアウォールまたは NFXシリーズ デバイスに到着すると、デバイスはトラフィックの最初のパケットからデバイスの IP アドレスを取得し、それを使用してデバイス アイデンティティ認証テーブルで一致するデバイス アイデンティティ エントリーを検索します。次に、そのデバイス アイデンティティ プロファイルを、 source-end-user-profile フィールドにデバイス アイデンティティ プロファイル名を指定するセキュリティ ポリシーと照合します。一致が見つかった場合、デバイスから発行されるトラフィックにセキュリティポリシーが適用されます。

同じデバイス アイデンティティ プロファイルを、同じ属性を共有する他のデバイスに適用できます。ただし、同じセキュリティ ポリシーを適用するには、デバイスとそのトラフィックがセキュリティ ポリシーの他のすべてのフィールドと一致する必要があります。

デバイス アイデンティティ プロファイルには、ドメイン名が含まれている必要があります。複数の属性セットを含むことができますが、少なくとも 1 つの属性セットを含める必要があります。marketing-main-alice というプロファイルに属する次の 2 つの属性セットについて考えてみます。プロファイルには、次の属性セットが含まれています。

  • alice-T430 をデバイスの名前として使用します。

  • デバイスが属するグループとして、MARKETINGおよびWEST-COAST。

  • example.net が属するドメインの名前です。

プロファイルには、デバイスを特徴付ける次の属性もあります。

  • デバイスのカテゴリとしてのラップトップ (device-category)

  • デバイスベンダーとしてのLenovo(device-vendor)

  • ThinkPadのT430、デバイスの種類(デバイスタイプ)

デバイスに指定された名前を含む marketing-main-alice プロファイルなどの場合、プロファイルはそのデバイスにのみ適用されます。

ただし、marketing-west-coast-T430 という別のプロファイルが設定されていて、marketing-main-alice プロファイルと同じ属性が含まれているとします。ただし、marketing-main-alice プロファイルでデバイスに指定された名前が marketing-west-coast-T430 プロファイルの属性として含まれていないことが 1 つあります。この場合、プロファイルに含まれる属性がグループ・プロファイルを構成します。プロファイルの適用範囲が広げられ、プロファイルで定義されている残りの特性または属性に適合するすべての Lenovo ThinkPad T430 デバイス (ラップトップ) が含まれます。

他のすべての属性が一致する場合、デバイスはプロファイルの対象となります:marketing-west-coast-T430プロファイルがグループとして指定するMARKETINGまたはWEST-COASTグループのいずれかに属するデバイス、または両方のグループに属するデバイスはプロファイルと一致します。

前述したように、デバイス アイデンティティ プロファイルには複数のグループを含めることができます。また、デバイスは複数のグループに属することもできます。

さらに説明するために、marketing-west-coast-T430 というグループ デバイス アイデンティティ プロファイルは、MARKETING グループと WEST-COAST グループの両方に属し、プロファイルで定義されている他のすべての属性と一致するため、alice-T430 というデバイスにも適用されることに注意してください。もちろん、marketing-main-alice デバイス識別プロファイルは、alice-T430 というデバイスにも適用されます。したがって、alice-T430と呼ばれるデバイスは少なくとも2つのグループに属し、少なくとも2つのデバイス識別プロファイルによってカバーされます。

marketing-human-resources という別のプロファイルが、marketing-west-coast-T430 デバイス アイデンティティ プロファイルのすべての属性で定義されているが、新しいデバイス アイデンティティ プロファイルには HUMAN-RESOURCES というグループが含まれており、WEST-COAST というグループは含まれていないとします。ただし、MARKETING グループは含まれます。

alice-T430 というデバイスは、marketing-human-resources プロファイルにグループとして残る MARKETING グループに属しているため、alice-T430 デバイスは marketing-human-resources デバイス ID プロファイルとも一致します。これで、alice-T430 デバイスは 3 つのプロファイルと一致します。これらのプロファイルのいずれかの名前がセキュリティポリシーのsource-end-user-profileで指定されており、alice-T430デバイスがセキュリティプロファイルの他のすべてのフィールドと一致する場合、そのプロファイルのアクションはそのデバイスからのトラフィックに適用されます。

デバイス アイデンティティ プロファイルの前の例は、次の点を示しています。

  • プロファイルは、1 つのデバイスのみを識別するように定義することも、多くのデバイスに適用するように定義することもできます。

  • デバイス アイデンティティ プロファイルには、特定のデバイスが属する複数のグループを含めることができます。

  • デバイスは、プロファイルに設定された特性または属性(少なくとも 1 つのグループを含む)を照合することで、複数のデバイス アイデンティティ プロファイルを照合できます。

デバイス アイデンティティ プロファイルを柔軟に使用できることは、source-end-user-profile フィールドを含むように設計されたセキュリティ ポリシーを設定する場合、特にポリシーのアクションを多数のデバイスに適用する場合に明らかになります。

セキュリティポリシーの照合とデバイス識別プロファイル

デバイスは、トラフィックをセキュリティポリシーと照合するための標準ルールに従います。以下の動作は、一致を判断するためのセキュリティ ポリシーでのデバイス アイデンティティ プロファイルの使用に関連します。

  • セキュリティ ポリシーでのデバイス アイデンティティ プロファイルの使用は任意です。

    • source-end-user-profile フィールドにデバイス アイデンティティ プロファイルが指定されていない場合は、 any プロファイルが想定されます。

    • セキュリティ ポリシーの source-end-user-profile フィールドでキーワード any を使用することはできません。

      セキュリティ ポリシーで source-end-user-profile フィールドを使用する場合は、特定のプロファイルを参照する必要があります。アクセス試行が発行されたデバイスは、プロファイルの属性と一致する必要があります。

  • 1 つのセキュリティ ポリシーで指定できるデバイス アイデンティティ プロファイルは 1 つだけです。

  • セキュリティ ポリシーの再一致は、セキュリティ ポリシーの source-end-user-profile フィールド値が変更されたときにトリガーされます。プロファイルの属性値が変更されても、再照合はトリガーされません。

事前定義されたデバイス アイデンティティ属性

ファイアウォールは、NAC システムまたは Active Directory LDAP で使用されるサードパーティの RESTful Web サービス API を使用して設定された、事前定義されたデバイス アイデンティティ ポリシー属性を提供します。

  • デバイスアイデンティティ

  • デバイスカテゴリー

  • デバイスベンダー

  • デバイスタイプ

  • デバイスOS

  • device-os-version

これらの属性の値は、デバイス識別プロファイルで指定します。

デバイスアイデンティティプロファイルの特性、属性、ターゲットスケーリング

このセクションでは、ファイアウォールとNFXシリーズデバイスがデバイス アイデンティティの属性とプロファイルをどのように扱うかについて説明します。また、これらのエンティティのデバイスに依存しないスケーリング数とデバイスに依存するスケーリング数も提供します。

次の属性とプロファイルの特性は、サポートされているすべてのファイアウォールとNFXシリーズデバイスの使用に適用されます。

  • 次のエンティティの最大長は 64 バイトです。 デバイスアイデンティティプロファイル名(CLIでは end-user-profileと呼ぶ)、属性名、属性値。

  • 同じ属性に複数のデジタル値範囲を設定した場合、範囲内の値を重複させることはできません。

  • デバイスがデバイス アイデンティティ プロファイルをセキュリティ ポリシーと一致させると、プロファイル内のすべての属性が考慮されます。それらがどのように扱われるかは次のとおりです。

    • デバイス アイデンティティ プロファイルに 1 つの属性に複数の値が含まれている場合、その属性の値は個別に扱われます。OR化されているといわれています。

      セキュリティポリシーがデバイスに適用されるには、以下の条件を満たす必要があります。デバイスは以下と一致している必要があります。

      • 複数の値を持つ各属性の値の 1 つ。

      • デバイス識別プロファイルで指定された残りの属性値。

      • セキュリティ ポリシー フィールド値。

    • 単一の値を持つ個々の属性はすべて個別に扱われ、値のコレクションとしてまとめて見なされます (つまり、AND 演算が適用されます)。デバイスは、これらの属性の処理に標準のポリシーポリシーの一致基準を定義を使用します。

表 3 は、デバイス アイデンティティ認証機能で使用されるプラットフォームに依存しないスケーリング値を示しています。

表3:プラットフォームに依存しないスケーリング

アイテム

最大

属性あたりの値

20

プロファイルごとの属性

100

セキュリティポリシーごとのデバイスアイデンティティプロファイル仕様(source-end-user-profile)

1

表 4 は、デバイス アイデンティティ認証機能で使用されるプラットフォーム依存のスケーリング値を示しています。

表4:プラットフォームに依存するスケーリング

プラットホーム

最大プロファイル数

属性値の最大総数

SRX5000シリーズ

4000

32000

SRX1500

1000

8000

SRX300、SRX320

100

1000

SRX340、SRX345

100

1000

vSRX仮想ファイアウォール

500

4000

NFX150

100

1000

デバイス アイデンティティ プロファイルに対する以下の変更およびセキュリティ ポリシーでの使用では、デバイスはセッション スキャンを実行しません。

  • セキュリティ ポリシーで参照されているプロファイルを更新します。

  • プロファイル構成の更新。

  • NAC システムまたは Active Directory LDAP で使用される RESTful Web サービス API を介して行われる属性の更新。

デバイス アイデンティティ認証テーブル

デバイス ID とその属性に基づく認証にデバイス アイデンティティ認証機能を使用するようにデバイスを設定すると、デバイスはデバイス アイデンティティ認証テーブルと呼ばれる新しいテーブルを作成します。他のローカル認証テーブルとは異なり、デバイス アイデンティティ認証テーブルには、ユーザーに関する情報は含まれず、ユーザーのデバイスに関する情報が含まれます。デバイスアイデンティティ認証テーブルは、認証ソースに関係なく、すべてのデバイスのデバイスアイデンティティ情報のリポジトリとして機能します。たとえば、Active Directory またはサードパーティの NAC 認証ソースによって認証されたデバイスのエントリが含まれている場合があります。

デバイス アイデンティティ認証テーブル エントリには、次の部分が含まれています。

  • デバイスの IP アドレス。

  • デバイスが属するドメインの名前。

  • デバイスが関連付けられているグループ。

  • デバイス ID。

    デバイス ID は、実際にはデバイス アイデンティティ プロファイル(CLI では end-user-profile と呼ばれる)のデバイス ID です。このタイプのプロファイルには、特定のタイプのラップトップなど、特定の個々のデバイスまたは特定のデバイスグループを特徴付ける属性のグループが含まれています。

ユーザー ファイアウォール モジュール(UserFW)認証用の IPv6 アドレスを使用すると、IPv6 トラフィックは送信元 ID に設定された任意のセキュリティ ポリシーに一致できます。IPv6アドレスは、以下の認証ソースでサポートされています。

  • Active Directory 認証テーブル

  • Active Directory 認証によるデバイス ID

  • ローカル認証テーブル

  • ファイアウォール認証テーブル

デバイス アイデンティティ認証テーブルの内容が変更される理由

デバイスアイデンティティ認証テーブル内のデバイスアイデンティティエントリは、特定のイベントが発生したときに変更されます:デバイスアイデンティティエントリが関連付けられているユーザ認証エントリが期限切れになったとき、デバイスが属するグループの参照に関してセキュリティポリシーの変更が発生したとき、デバイスがグループに追加されたとき、またはグループから削除されたとき、 または、所属するグループが削除され、その変更が Windows Active Directory LDAP サーバーに加えられた場合。

  • デバイス アイデンティティ エントリが関連付けられているユーザ アイデンティティ エントリの有効期限が切れたとき

    デバイスは、デバイス アイデンティティ認証テーブルにデバイスのエントリを生成すると、そのエントリを、Active Directory などのデバイスのユーザを認証した特定の認証ソースのローカル認証テーブル内のユーザ アイデンティティ エントリに関連付けます。つまり、デバイス アイデンティティ認証テーブル内のデバイス アイデンティティ エントリーを、ユーザー認証テーブル内のデバイスのユーザーのエントリーに結び付けます。

    デバイス アイデンティティ エントリーが関連付けられているユーザー認証エントリーが期限切れになり、ユーザー認証テーブルから削除されると、デバイス アイデンティティ エントリーはデバイス アイデンティティ認証テーブルからサイレントに削除されます。つまり、このイベントを通知するメッセージは発行されません。

  • デバイスが属するグループの参照に関してセキュリティポリシーの変更が発生した場合

    デバイス ID に基づいてネットワーク リソースへのアクセスを制御するには、セキュリティ ポリシーで参照できるデバイス アイデンティティ プロファイルを作成します。デバイス アイデンティティ プロファイルには、他の属性に加えて、グループの名前が含まれています。デバイス アイデンティティ プロファイルがセキュリティ ポリシーによって参照される場合、そこに含まれるグループは「 対象グループ」と呼ばれます。

    グループは、セキュリティ ポリシーによって参照されている場合(つまり、セキュリティ ポリシーの source-end-user-device フィールドで指定されたデバイス アイデンティティ プロファイルに含まれている場合)に、対象グループとして認定されます。セキュリティポリシーで現在使用されていないデバイスアイデンティティプロファイルにグループが含まれている場合、そのグループは関係グループのリストに含まれません。グループは、セキュリティ ポリシーによって参照されるグループの一覧に出入りできます。

  • デバイスがグループに追加されたとき、グループから削除されたとき、またはグループが削除されたとき

    ローカルデバイスアイデンティティ認証テーブル内のデバイスアイデンティティエントリーを最新の状態に保つために、SRXシリーズまたはNFXシリーズは、Active Directoryイベントログの変更を監視します。デバイスがネットワークからログアウトしたか、ネットワークにログインしたかを判断するだけでなく、デバイスが属する可能性のあるグループに対する変更も判断できます。デバイスが属するグループに変更が発生した場合(つまり、デバイスがグループに追加されたり、グループから削除されたり、グループが削除されたりする場合)、デバイスは、Microsoft Windows Active Directory LDAP サーバーで行われた変更を反映するために、デバイス アイデンティティ認証テーブル内の影響を受けるデバイス エントリの内容を変更します。

デバイス アイデンティティ認証テーブルは、 表 5 に示すように、LDAP サーバーでデバイスが関連付けられているグループへの変更に応じて更新されます。

表 5:Active Directory LDAPおよびSRXシリーズファイアウォールまたはNFXシリーズレスポンス内のデバイスのグループ変更

LDAP に加えられた変更

SRXシリーズファイアウォールまたはNFXシリーズLDAPメッセージおよびユーザーIDデーモンのアクション

デバイスのグループ情報が変更されました。デバイスがグループに追加されたか、グループから削除されたか、デバイスが属するグループが削除されました。

Active Directory LDAPモジュールは、ファイアウォールまたはNFXシリーズUserIDデーモンに変更の通知を送信し、ローカルデバイスID認証テーブル内の情報を修正するように指示します。

デバイスは、これらのメッセージを 2 分ごとに処理します。

LDAPのデバイスエントリーが削除されます。

Active Directory LDAP モジュールは、変更の通知を UserID デーモンに送信し、ローカルデバイス ID 認証テーブル内の情報を変更するように指示します。

デバイスは、これらのメッセージを 2 分ごとに処理します。

ファイアウォールまたは NFXシリーズデバイスのユーザーIDデーモンに変更が通知されます。デバイスが属するグループがセキュリティ ポリシーで指定されているかどうかは、影響を受けるデバイスのデバイス アイデンティティ認証テーブル エントリに保存される情報に影響します。 表 6 は、グループが Active Directory LDAP に追加されたり削除されたりしたときに発生するアクティビティを示しています。

表 6:セキュリティポリシーの仕様に基づくデバイス アイデンティティ エントリーの変更

デバイス アイデンティティ プロファイルの変更

デバイスグループ マッピング動作

SRXシリーズまたはNFXシリーズユーザーIDデーモンの応答

Active Directory LDAPに追加された新しいグループが、SRXシリーズファイアウォールアイデンティティプロファイルに追加されます。

デバイスは、新しいグループとそのサブグループに属するデバイスのリストを Active Directory LDAP サーバーから取得します。これにより、ローカルの LDAP ディレクトリにリストが追加されます。

UserID デーモンは、デバイス識別認証テーブルに、影響を受けるデバイスのセットのエントリーが含まれているかどうかを判別します。その場合は、これらのエントリのグループ情報が更新されます。

たとえば、device1 が新しいグループを含むように更新される前と、グループが追加された後のエントリを次に示します。

  • デバイス1、G1

  • デバイス1、G1、G2

グループが Active Directory LDAP から削除されます。デバイスは、デバイス アイデンティティ プロファイルからグループを削除します。

デバイスは、削除されたグループに属するデバイスのリストをローカルLDAPデータベースから取得します。

これにより、ローカルLDAPディレクトリからデバイスグループマッピングが削除されます。

UserID デーモンは、デバイス ID 認証テーブルで、グループに属するエントリーを検査します。これにより、影響を受けるエントリからグループが削除されます。

たとえば、グループが削除される前と削除された後の device1 のエントリを次に示します。

  • デバイス1、G1、G2

  • デバイス1、G1

表 7 は、グループの削除の影響を受ける複数のデバイスのデバイス認証エントリーの内容について詳しく説明しています。

表 7: LDAP およびセキュリティポリシーの変更によるデバイス アイデンティティ認証テーブルの変更

IP アドレス

デバイス情報

オリジナルエントリー

192.0.2.10

デバイス1

グループ1、グループ2

192.0.2.11

デバイス2

グループ3、グループ4

192.0.2.12

デバイス3

グループ2

group2 を削除した後も同じエントリ

192.0.2.10

デバイス1

グループ1

192.0.2.11

デバイス2

グループ3、グループ4

192.0.2.12

デバイス3

このエントリにはグループが含まれなくなります。

ネットワーク アクセス コントロールのための Windows Active Directory からのデバイス ID 情報

デバイス ID 認証機能を使用すると、ユーザー ID ではなく、使用されているデバイスの ID と属性に基づいて、ネットワーク リソースへのアクセスを制御できます。デバイスに関する情報は、デバイス アイデンティティ認証テーブルに保存されます。セキュリティ ポリシーの source-end-user-profile フィールドにデバイス属性を含むデバイス アイデンティティ プロファイルの名前を指定できます。すべての条件が満たされた場合、セキュリティ ポリシーのアクションは、そのデバイスから発行されるトラフィックに適用されます。

セキュリティポリシーでデバイス識別プロファイルを使用できるようにするには、SRXシリーズファイアウォールまたはNFXシリーズデバイスが、認証されたデバイスのデバイス識別情報を取得する必要があります。デバイスは、デバイス アイデンティティ エントリーの保存に使用するデバイス アイデンティティ認証テーブルを作成します。デバイスからトラフィックが到着すると、テーブルで一致するデバイスを検索します。このトピックでは、Active Directory を認証ソースとして使用する場合のプロセスについて説明します。

Active Directory ドメイン コントローラーは、ユーザーがドメインにログインするときにユーザーを認証し、そのイベントのレコードを Windows イベント ログに書き込みます。また、ユーザーがドメインからログアウトすると、イベントログにレコードが書き込まれます。ドメイン コントローラー イベント ログは、ドメインで現在アクティブな認証済みデバイスに関する情報と、それらのデバイスがドメインからログアウトされたタイミングをデバイスに提供します。

ユーザー ID デーモンは、以下のアクションを実行します。

  1. Active Directory ドメイン コントローラーのイベント ログを読み取り、ドメインにログインし、Windows によって認証されたデバイスの IP アドレスを取得します。

    デバイス ルーティングエンジンの UserID デーモンは、Microsoft 分散 COM/Microsoft RPC スタックを備えた Windows Management Instrumentation (WMI) クライアントと、Active Directory ドメイン内の Windows Active Directory ドメイン コントローラーと通信するための認証メカニズムを実装します。Active Directory コントローラから取得したイベント ログ情報を使用して、アクティブな Active Directory デバイスの IP アドレスを取得します。このプロセスは、同じ WMI DCOM インターフェイスを使用して Active Directory イベント ログの変更を監視し、ローカル認証テーブル内のデバイス ID 情報を調整して、Active Directory サーバーに加えられた変更を反映します。

  2. イベント ログから取得したデバイスの IP アドレスを使用して、デバイスが属するグループに関する情報を取得します。このグループ情報を取得するために、デバイスは LDAP プロトコルを使用して Active Directory コントローラの LDAP サービスに接続します。

このプロセスの結果として、デバイスはデバイス アイデンティティ認証テーブルにデバイスのエントリーを生成できます。デバイスは、デバイス アイデンティティ認証テーブルにデバイスのエントリを生成すると、そのエントリをローカルの Active Directory 認証テーブル内の適切なユーザー エントリに関連付けます。その後、セキュリティ ポリシーでデバイス アイデンティティ プロファイル エントリを参照し、リソースへのアクセスを制御できます。

動作と制約

  • イベント ログを読み取るプロセスでは、ドメイン コントローラーの CPU リソースが消費され、ドメイン コントローラーの CPU 使用率が高くなる可能性があります。このため、Active Directory ドメイン コントローラーには、少なくとも 4 つのコアと 8 ギガバイトのメモリの高パフォーマンス構成が必要です。

  • ドメイン コントローラー イベント ログには、null ターミネーターを含むデバイス ID の最大長が 16 バイト記録されます。したがって、デバイスがドメイン コントローラーから取得するデバイス ID の最大長は 15 バイトです。

  • ドメイン コントローラーがイベント ログをクリアする場合、またはイベント ログに書き込まれたデータが見つからないか遅延している場合は、デバイス ID マッピング情報が不正確である可能性があります。ファイアウォールまたは NFXシリーズ デバイスがイベント ログを読み取れない場合、または NULL データが含まれている場合、デバイスは自身のログにエラー状態を報告します。

  • デバイス アイデンティティ情報テーブルが容量に達すると、新しいデバイス アイデンティティ エントリを追加できなくなります。その場合、デバイスからのトラフィックは破棄されます。

サードパーティNAC認証システム向けのデバイスアイデンティティXMLソリューション

図 2 は、ファイアウォールと、デバイス アイデンティティ認証に使用されるサードパーティ製の NAC 認証ソースとの間の通信を示しています。ファイアウォールは、NACシステムからデバイスID情報を受信し、ローカルデバイスID認証テーブルに保存します。デバイス アイデンティティ プロファイルを指定するセキュリティ ポリシーは、1 つ以上のデバイスに適用できます。デバイスがデバイス アイデンティティ プロファイルおよびセキュリティ ポリシーの他の部分と一致する場合、セキュリティ ポリシーはそのデバイスから発行されるトラフィックに適用されます。

セキュリティ ポリシーでのデバイス アイデンティティ プロファイルの使用は任意です。セキュリティ ポリシーの source-end-user-profile フィールドにデバイス アイデンティティ プロファイルが指定されていない場合は、「any」プロファイルが 想定されます。ただし、セキュリティ ポリシーの source-end-user-profile フィールドでキーワード「any」を使用することはできません。これは予約語です。

図2:デバイスID認証Third-Party Network Access Control (NAC) System for Device Identity Authentication用のサードパーティ製ネットワークアクセスコントロール(NAC)システム

ファイアウォールおよび NFXシリーズ デバイスでの XML Web API の実装

RESTful WebサービスAPIを使用すると、デバイス識別情報を正式なXML構造でファイアウォールまたはNFXシリーズデバイスに送信できます。これにより、NACソリューションをデバイスと統合し、デバイス情報を効率的に送信できます。API を使用してデバイスに情報を送信する際には、正式な構造と制限を遵守する必要があります。

NACサービスからファイアウォールまたはNFXシリーズデバイスに送信されるデータの整合性を確保

次の要件により、NAC サービスから送信されるデータが危険にさらされることはありません。

  • API実装は、HTTP/HTTPS POSTリクエストのみの処理に制限されています。その他の種類の要求を受信すると、エラー メッセージが生成されます。

  • APIデーモンは、次の専用URLからのHTTP/HTTPSリクエストのみを分析および処理します。

  • NAC ソリューションがファイアウォールに送信する HTTP/HTTPS コンテンツは、一貫して正しい形式にする必要があります。正しい XML形式は、妥協がないことを示し、ユーザー ID 情報が失われないようにします。

データ サイズの制限とその他の制約

ファイアウォールまたはNFXシリーズデバイスに投稿されるデータには、以下のデータサイズの制限と制限が適用されます。

  • NAC 認証システムは、送信するデータのサイズを制御する必要があります。そうしないと、Web API デーモンはそれを処理できません。Web API デーモンは、最大 2 メガバイトのデータを処理できます。

  • ロールおよびデバイスポスチャ情報の XML データには、次の制限が適用されます。Web API デーモンは、これらの量を超える送信された XML データ (つまり、オーバーフロー データ) を破棄します。

    • デバイスは最大 209 のロールを処理できます。

    • デバイスは、6 つの可能なポスチャ トークンまたは値を持つ 1 種類のポスチャのみをサポートします。個々のユーザーの ID 情報には、ポスチャ トークンを 1 つだけ含めることができます。

セッション・ログ・ファイル内のユーザーID情報

アイデンティティ ソースとしての Active Directory を使用すると、セキュリティ ポリシーでソース ID(source-identity)タプルを使用しなくても、ユーザ名またはグループ名でユーザの ID をセッション ログに書き込むようにシステムを構成できます。ユーザーのデバイスのIPアドレスだけでなく、ログに書き込まれる名前でユーザーの身元を知ることで、ユーザーのアクティビティがより明確に可視化され、セキュリティの問題をより迅速かつ簡単に解決できるようになります。送信元 ID ではなく、送信元ゾーン(from-zone)に依存してユーザ ID のロギングをトリガーすると、送信元 ID がログに記録されるユーザの範囲が広がります。

詳細については、 例:送信元ゾーンに基づくセッションログへのユーザ アイデンティティ情報の設定を参照してください。

通常、セキュリティ ポリシーごとに、送信元と宛先の IP アドレス、およびトラフィックを照合するゾーンをポリシーで指定する必要があります。また、トラフィックが一致するアプリケーションも指定する必要があります。トラフィックがこれらの基準に一致する場合、セキュリティポリシーのアクションはユーザーのデバイスから発行されたトラフィックに適用されます。ただし、ユーザー ID 情報はセッション・ログに書き込まれません。

オプションとして、トラフィックの送信元を特定するためにユーザーのデバイスの IP アドレスのみに依存するのではなく、セキュリティ ポリシーの source-identity タプルでユーザー ID(つまり、ユーザー名またはグループ名)を指定できます。このアプローチでは、他のセキュリティ ポリシーの一致条件が満たされた場合に、セキュリティ ポリシーのアクションの適用を 1 人の識別されたユーザーまたはユーザーのグループに絞り込むことで、リソース アクセスをより詳細に制御できます。ただし、source-identity タプルを使用すると、単一ユーザーまたはユーザー グループからのトラフィックへのポリシーの適用が制限されます。

トラフィックが送信されたすべてのユーザーのユーザー ID を、そのユーザーが属するゾーン(from-zone)に基づいてセッション ログに書き込むようにしたい場合があります。この場合、トラフィックの一致とセキュリティ ポリシーの適用を 1 人のユーザーまたはユーザー グループに絞り込むことは望ましくありません(source-identity タプルを設定することで可能になります)。

ゾーンベースのユーザ アイデンティティ機能を使用すると、一致するセキュリティ ポリシーでゾーンが送信元ゾーンとして使用されている場合に、source-identity-log ステートメントで設定されたゾーンに属するユーザ アイデンティティ情報をログに書き込むようにシステムに指示できます。

source-identity-log 機能を有効にするには、セキュリティ ポリシーのアクションの一部として、セッション初期化(session-init)およびセッション終了(session-close)イベントのログ記録も設定する必要があります。

表 8 に、この機能をサポートするプラットフォームを示します。

表 8:サポートされるプラットフォーム

サポートされているSRXシリーズファイアウォールプラットフォーム

SRX320

SRX380

SRX1500シリーズ

アイデンティティ ソース認証テーブルとしての Active Directory

アイデンティティ ソースとしての Active Directory は、認証テーブルにユーザ ID と認証のエントリがあるユーザごとに最大 2048 のセッションを管理します。サポートされている 2048 セッションを超える追加のセッションがユーザーに関連付けられている可能性がありますが、それらは ID ソースとして Active Directory によって管理されません。認証テーブル内の認証エントリが削除されると、アイデンティティ ソースとしての Active Directory は、そのエントリに関連付けられているセッションのみを閉じます。管理していないセッションは閉じられません。

表 9 に、インストールされた Junos OS リリースに応じてサポートされる ID ソース認証テーブルとしての Active Directory を示します。

表 9:アイデンティティ ソース認証テーブルとしての Active Directory デバイスのサポート

デバイス

アイデンティティ ソース認証テーブルのエントリー

ドメイン

コント ローラー

SRX300、SRX320

500

1

5

SRX340、SRX345、SRX380

1000

1

5

SRX1500、SRX1600、SRX2300

20,000

2

10

SRX4000ライン

50,000

2

10

SRX5000シリーズ

ユーザー・エントリーは、以下のとおりです。

  • 100000 - JIMS を使用しないユーザー向け

  • 256000 - JIMS を使用しているユーザー向け

2

10

vSRX仮想ファイアウォール(2つのvCPUと4GBのvRAM、5つのvCPUと8GBのvRAM)

5000

2

10

vSRX仮想ファイアウォール(9個のvCPUと16GBのvRAM、17個のvCPUと32GBのvRAM)

10,000

2

10

NFX150

500

1

5

アイデンティティソースとしてのActive Directory のタイムアウト設定

ここでのタイムアウト設定は、キャプティブポータルを介して認証するユーザのActive Directory認証エントリに適用されるファイアウォール認証の強制タイムアウトを指します。

ユーザーがキャプティブポータルを介して認証されると、 ファイアウォール がファイアウォール認証モジュールから取得した情報に基づいて、そのユーザーの認証テーブルエントリーが生成されます。その時点で、デフォルトのトラフィックベース認証タイムアウトロジックがエントリーに適用されます。

管理者は、キャプティブポータルを介して認証する非ドメインユーザーが認証されたままになる期間を制御することが重要です。タイムアウト機能を使用すると、それを制御できます。これを使用すると、非ドメインユーザーが無期限に認証されたままになることはありません。例えば、トラフィックの流れが、キャプティブポータルを介して認証された非ドメインユーザーのデバイスとの間で連続的に行われていると仮定します。デフォルトのトラフィックベース認証タイムアウトの動作を考えると、非ドメインユーザーは無期限に認証されたままになります。

タイムアウト値が設定されると、トラフィックベースのタイムアウトロジックと組み合わせて使用されます。タイムアウト設定が、キャプティブポータルで認証されたユーザーの Active Directory 認証エントリにどのように影響するかを次に示します。以下のすべての例で、ユーザーがキャプティブポータルを介して認証された後、ファイアウォール認証情報に基づいてユーザーの認証エントリーが生成されました。

  • タイムアウトは 3 時間に設定されています。

    トラフィックは、ユーザーの認証エントリーに関連づけられたデバイスによって受信および生成され続けます。3 時間後、認証エントリーの有効期限が切れますが、その時点で、認証エントリーの パケット転送エンジン に固定されたセッションがあります。

  • 設定した場合、タイムアウトは無効です。

    認証エントリーには、固定されたセッションがありません。これは、認証エントリのタイムアウトに設定された時間(例えば、30分)後に期限切れになります。

  • タイムアウト構成が削除されます。

    タイムアウトは、新しい認証エントリには影響しません。タイムアウトは、削除される前に適用されていた既存の認証エントリーに適用されたままになります。つまり、これらの認証エントリーでは、元のタイムアウト設定が有効なままです。

  • タイムアウト構成設定が変更されます。

    新しいタイムアウト設定は、新しい受信認証エントリに適用されます。既存のエントリでは、元の以前の設定が保持されます。

  • タイムアウトは 0 に設定され、無効になります。

    タイムアウトが新しい値に設定されている場合、その値がすべての着信認証エントリに割り当てられます。既存の認証エントリーにタイムアウト設定はありません。

  • タイムアウト値は設定されていません。

    • ファイアウォールは、ユーザーの認証エントリーを生成します。デフォルトのトラフィックベースのタイムアウトロジックが認証エントリーに適用されます。

    • Active Directory のタイムアウト値は 50 分に構成されています。50 分のトラフィックベースのタイムアウトが認証エントリに適用されます。

    • Active Directory のタイムアウトは構成されていません。デフォルトのトラフィックベースのタイムアウトである 30 分が認証エントリに適用されます。

アイデンティティ ソースとしてのプラットフォーム固有のActive Directoryの動作

Feature Explorer を使用して、アイデンティティ ソースとしての Active Directory のプラットフォームとリリースのサポートを確認します。

次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。

プラットフォーム固有の WMIC の動作

プラットフォーム の違い
SRXシリーズファイアウォール

  • WMIC 機能をサポートする SRX300、SRX320、SRX340、SRX345、SRX380 ファイアウォールでは、イベント ログから読み取ることができるイベントの最大数は 100,000 です。

  • WMIC 機能をサポートする SRX5400、SRX5600、および SRX5800 ファイアウォールでは、イベント ログから読み取ることができるイベントの最大数は 200,000 です。

プラットフォーム固有のプローブレート動作

プラットフォーム の違い
SRXシリーズファイアウォール

  • プローブレート機能をサポートするSRX300、SRX320、SRX340、SRX345、SRX380ファイアウォールでは、最大プローブレートは1分あたり100プローブです。

  • プローブレート機能をサポートするSRX5400、SRX5600、およびSRX5800ファイアウォールでは、最大プローブレートは毎分600プローブです。