Aruba ClearPassの構成
Aruba ClearPassでセキュリティポリシーを組み込むようにSRXシリーズファイアウォールを構成する方法をご覧ください。
例:Aruba ClearPassによるセキュリティポリシーの適用
この例では、Aruba ClearPass Policy Managerを認証ソースとするSRXシリーズファイアウォール統合ClearPass認証および適用機能を使用して、リソースを保護し、インターネットへのアクセスを制御するためのセキュリティを設定する方法について説明します。SRXシリーズ統合ClearPass機能では、ユーザー名、グループ名、またはユーザーのグループとデバイスタイプを結び付けるロールの名前でユーザーを識別し、会社のリソースやインターネットへのアクセスを制御するセキュリティポリシーを設定できます。
今日のネットワーク環境は、多かれ少なかれ 、いつでも、あらゆるデバイス へのアクセスをサポートし、ユーザーが複数のネットワークに接続されたデバイスを同時に使用できるため、さまざまな種類の攻撃にさらされています。ユーザー名でユーザーを識別できるため、統合されたClearPass認証および適用機能は、これらの機能がもたらすセキュリティギャップを狭めます。
ユーザー認証とID情報がCPPMからSRXシリーズファイアウォールにどのように伝達されるかについては、以下のトピックを参照してください。
この例では、次のプロセスについて説明します。
デバイスのIPアドレスではなく、ユーザー名またはグループ名に基づいて、ユーザーレベルでアクセスを制御する方法。
セキュリティポリシーでsource-identityパラメータを使用して、CPPMによって認証が提供されるユーザーの名前またはユーザーグループの名前を指定できます。このポリシーは、使用されているデバイスに関係なく、ユーザーが保護されたリソースまたはインターネットにアクセスしようとしたときに生成されるトラフィックに適用されます。アクセス制御は、ユーザーのデバイスのIPアドレスに直接ではなく、ユーザーの名前に関連付けられています。
1人のユーザーに対して、指定されたゾーンや宛先アドレス、またはユーザーが属するグループによって区別される異なるアクションを指定する異なるセキュリティポリシーを設定できます。
ClearPass認証テーブルの内容を表示および解釈する方法。
SRXシリーズファイアウォールは、CPPMから受信したユーザー認証とID情報を含むClearPass認証テーブルを作成します。デバイスはテーブルを参照して、リソースへのアクセスを要求するユーザーを認証します。
ClearPass認証テーブルの内容は動的です。これらは、さまざまなイベントに応答して、またグループを参照するセキュリティ ポリシーに関して、ユーザー アクティビティを反映するように変更されます。
たとえば、ユーザーがネットワークからログアウトしたり、ネットワークにログインしたりすると、ユーザーがグループから削除されたり、ユーザーが属するグループを指定する参照セキュリティポリシーが削除されたりする場合と同様に、ClearPass認証テーブルが変更されます。後者の場合、ユーザー・エントリーには、そのグループに属するユーザーが表示されなくなります。
この例では、2 つのイベントによって行われた変更を示すために、ClearPass 認証テーブルの内容が表示されています。ユーザー向けのコンテンツが表示されます。
特定のユーザーがネットワークからログアウトする前と後
参照されているセキュリティポリシーの削除前と削除後
セキュリティポリシーが参照するグループに属していたユーザーのエントリは、ポリシーの削除前と削除後に表示されます。
必要条件
このセクションでは、この例のトポロジーのソフトウェア要件とハードウェア要件を定義します。トポロジー設計については 、図 1 を参照してください。
ハードウェアとソフトウェアのコンポーネントは次のとおりです。
Aruba ClearPass。ClearPass Policy Manager(CPPM)は、ローカル認証ソースを使用してユーザーを認証するように構成されています。
CPPMは、ユーザー名、ユーザーが属するグループの名前のリスト、使用されるデバイスのIPアドレス、デバイスポスチャトークンなどのユーザー認証とID情報をSRXシリーズファイアウォールに提供するように設定されていることを前提としています。
統合されたClearPass機能を含むJunos OSを実行するSRXシリーズファイアウォール。
6 台のサーバーで構成されるサーバー ファームで、すべてサーバー ゾーン内にあります。
marketing-server-protected(203.0.113.23 )
ヒューマンリソースサーバー(203.0.113.25 )
アカウンティングサーバー(203.0.113.72)
public-server(203.0.113.62)
corporate-server(203.0.113.71)
sales-server(203.0.113.81)
AC 7010 Aruba Cloud Services Controller running ArubaOS (AC 7010 Aruba Cloud Services Controller)
ArubaOSを実行するAruba AP無線アクセス・コントローラー。
Aruba APはAC7010に接続されています。
ワイヤレス・ユーザーは、Aruba APを介してCPPMに接続します。
有線802.1アクセスデバイスとして使用されるジュニパーネットワークスEX4300スイッチ。
有線ユーザーは、EX4300スイッチを使用してCPPMに接続します。
6つのエンドユーザーシステム:
有線ネットワークに接続された PC 3 台(Microsoft OS が動作)
Aruba APアクセスデバイスを介してネットワークにアクセスする2台のBYODデバイス
Microsoft OSが稼働するワイヤレスノートパソコン1台
概要
CPPMは、統合されたClearPass機能の認証ソースとして、SRXシリーズファイアウォールにユーザー認証とID情報を投稿します。この情報を受信すると、SRXシリーズUserIDデーモンがそれを処理し、認証済みユーザーのエントリーをルーティングエンジン認証テーブルに生成してから、その情報をパケット転送エンジン側のClearPass認証テーブルに同期させます。
SRXシリーズファイアウォールでは、ユーザーがアクセスを要求し、ユーザーのデバイスから生成されたトラフィックがSRXシリーズファイアウォールに到着したときに、ユーザーが認証されていることを確認するためにユーザー認証とID情報を必要とします。source-identityパラメーターにユーザー名またはユーザーが属するグループの名前を指定するセキュリティ ポリシーが存在する場合、SRXシリーズファイアウォールは、そのユーザーのエントリーをClearPass認証テーブルの中身を検索します。
ClearPass認証テーブルでユーザーのエントリーが見つからない場合、SRXシリーズファイアウォールは、他の認証テーブルを含む検索順序を構成していれば、他の認証テーブルを検索できます。認証テーブルの検索順序については、表 1 を参照してください。
統合されたClearPass機能により、アイデンティティを認識したセキュリティポリシーを作成し、ユーザー名または所属するグループの名前に基づいてユーザーが発行したトラフィックを照合することができます。
ロールマッピングは、SRXシリーズファイアウォールではなく、CPPMで設定します。
たとえば、デバイスの種類の役割のマッピングでは、ユーザー ID を会社所有のコンピューターに関連付けることができます。このロールは、ルールにマッピングされているすべてのユーザーに適用するように構成されたセキュリティ ポリシーのグループとして指定できます。この場合、CPPM がルールに設定した条件 (会社所有のコンピューターの使用) は、ルールにマッピングされているすべてのユーザーに適用されます。SRXシリーズファイアウォールは条件を考慮せず、CPPMからのルールを受け入れます。
この例に含まれる以下の設定は、ルールマッピングを通じてCPPMによって定義された、使用されるデバイスの種類に基づいて適用可能なセキュリティポリシーをカバーしています。CPPMは、セキュリティポリシーでグループとして使用される以下のマッピングされたルールをSRXシリーズファイアウォールに投稿したものを想定しています。
marketing-access-for-pcs-limited-group
jxchan をデバイス・タイプ PC にマップします。
source-identity フィールドに marketing-access-for-pcs-limited-group を指定するポリシーでは、jxchan とそれにマップされている他のユーザーは、会社所有のかどうかに関係なく、PC を使用して marketing-server で保護されたサーバーにアクセスできます。
accounting-grp-and-company-device
会社のデバイスを使用して、会計グループに属するユーザーをマッピングします。CPPMは、roleaccounting-grp-and-company-deviceをSRXシリーズファイアウォールに送信します。マッピングは、ロールマッピングルールによってCPPMで行われます。
ソース ID フィールドに accounting-grp-and-company-device を指定するポリシーでは、ルールにマッピングされているユーザーが accounting-server 上の保護リソースにアクセスできます。グループ accounting-grp が ルールにマッピングされます。したがって、マッピングされたルールは、accounting-grp のメンバーに適用されます。
ユーザ viki2 は accounting-grp に属しています。すべての条件に当てはまる場合、つまり、viki2 が会社所有のデバイスを使用していて、ポリシーでアクセスが許可されている場合、accounting-server 上のリソースへのアクセスが許可されます。ただし、SRXシリーズファイアウォールはルールを分析しないことを思い出してください。むしろ、CPPMによってマップされているすべてのユーザーに適用されます。
ゲストデバイスBYOD
ゲスト グループをデバイスの種類 BYOD (つまり、ネットワークに持ち込まれたユーザー所有のデバイス) にマップします。
送信元 ID フィールドに guest-device-byod を指定するポリシーは、ルールにマッピングされているユーザが Smartphone やその他のユーザ所有のデバイスを使用している場合、サーバ ゾーン内のすべてのサーバへのアクセスを拒否します。ユーザー名 guest2 は、CPPM によってこのルールにマッピングされます。
いずれの場合も、セキュリティ ポリシーの条件に従ってユーザーがアクセスを許可または拒否される場合、次の条件が存在すると見なすことができます。
CPPMは、ユーザーとグループの正しい認証情報をSRXシリーズファイアウォールに投稿しました。
SRXシリーズファイアウォールは、認証されたユーザー情報を正しく処理し、ClearPass認証テーブルにユーザーとグループのエントリーを生成しました。
Junos OS リリース 15.1X49-D130 以降、SRXシリーズファイアウォールは、セキュリティ ポリシーのソース ID に関連付けられた IPv6 アドレスの使用をサポートしています。IPv4またはIPv6のエントリーが存在する場合、そのエントリーに一致するポリシーがトラフィックに適用され、アクセスが許可または拒否されます。
表 1 は、ユーザー、ユーザー・グループ、およびユーザーが属するゾーンをまとめたものです。すべてのユーザーは、デフォルトのGLOBALドメインに属します。
利用者 |
群 |
ゾーン |
|---|---|---|
阿部 (abew1) |
|
マーケティングゾーン |
ジョン(jxchan) |
|
マーケティングゾーン |
リン (lchen1) |
|
人事ゾーン |
ヴィキ (viki2) |
|
アカウンティングゾーン |
ゲスト1 |
|
パブリックゾーン |
ゲスト2 |
|
パブリックゾーン |
構成
このセクションでは、SRXシリーズファイアウォールを設定して、CPPMによって認証されたユーザーが発行したトラフィックに一致するセキュリティポリシーを含める方法について説明します。
CLIクイック構成
この例を迅速に設定するには、以下のステートメントをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、ステートメントを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/3 vlan-tagging set interfaces ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set interfaces ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set interfaces ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set interfaces ge-0/0/4 vlan-tagging set interfaces ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set interfaces ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24 set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all set security address-book servers-zone-addresses address marketing-server-protected 203.0.113.23 set security address-book servers-zone-addresses address human-resources-server 203.0.113.25 set security address-book servers-zone-addresses address accounting-server 203.0.113.72 set security address-book servers-zone-addresses address corporate-server 203.0.113.71 set security address-book servers-zone-addresses address public-server 203.0.113.91 set security address-book servers-zone-addresses attach zone servers-zone set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” set security policies from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match application any set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access then permit set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match application any set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
インターフェイス、ゾーン、アドレス帳の設定
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
次のインターフェイスを設定し、ゾーンに割り当てます。
ge-0/0/3.0 > marketing-zone
ge-0/0/3.1 > 人事ゾーン
ge-0/0/3.2> accounting-zone
ge-0/0/4.0 > public-zone
ge-0/0/4.1 >サーバーゾーン
この例では論理インターフェイスを使用しているため、VLANタギングを設定する必要があります。
-
SRXシリーズファイアウォールのインターフェイスを設定します。
[edit interfaces] set ge-0/0/3 vlan-tagging set ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set ge-0/0/4 vlan-tagging set ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24
ゾーンを設定します。
[edit security zones] user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all
セキュリティポリシーの宛先アドレスとして使用するサーバーのIPアドレスを含むアドレス帳を設定します。
[edit security address-book servers-zone-addresses] user@host# set address marketing-server-protected 203.0.113.23 user@host# set address human-resources-server 203.0.113.25 user@host# set address accounting-server 203.0.113.72 user@host# set address corporate-server 203.0.113.71 user@host# set address public-server 203.0.113.91
servers-zone-addresses アドレス帳を servers-zone にアタッチします。
[edit security address-book] user@host# set servers-zone-addresses attach zone servers-zone
業績
設定モードから、 show interfaces コマンドを入力してインターフェイスの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
ge-0/0/3 {
unit 0 {
vlan-id 300;
family inet {
address 203.0.113.45/24;
}
}
unit 1 {
vlan-id 310;
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
vlan-id 320;
family inet {
address 192.0.2.14/24;
}
}
}
ge-0/0/4 {
vlan-tagging;
unit 0 {
vlan-id 400;
family inet {
address 192.0.2.16/24;
}
}
unit 1 {
vlan-id 410;
family inet {
address 192.0.2.19/24;
}
}
}
設定モードから、 show security zones コマンドを入力してゾーンの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
security-zone human-resources-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone accounting-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone marketing-zone {
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/4.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone public-zone {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
設定モードから、 show security address-book コマンドを入力してアドレス帳の設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
servers-zone-addresses {
address marketing-zone-protected 203.0.113.23 /32;
address human-resources-server 203.0.113.25 /32;
address accounting-server 203.0.113.72/32;
address corporate-server 203.0.113.71/32;
address public-server 203.0.113.91/32;
attach {
zone servers-zone;
}
}
アイデンティティ認識型セキュリティポリシーを構成して、企業リソースへのユーザーアクセスを制御
手順
このタスクでは、使用するデバイスのIPアドレスではなく、ユーザー名またはグループ名に基づいて、リソースへのユーザーのアクセスに適用されるセキュリティポリシーを構成する必要があります。
すべてのユーザーはデフォルトのGLOBALドメインに属していることに注意してください。
source-identity として marketing-access-for-pcs-limited-group を指定するセキュリティ ポリシーを構成します。これにより、このグループに属するユーザー jxchan は、PC を使用しているときに、個人用デバイスであろうと会社所有デバイスであろうと、サーバー ゾーン内の任意のサーバーにアクセスできます。ユーザー名jxchanは、CPPMによってルールmarketing-access-for-pcs-limited-groupにマッピングされます。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” user@hoset from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit
使用するデバイスに関係なく、ユーザー abew1 がサーバーゾーン内の marketing-zone-protected サーバー(IP アドレス 203.0.113.23 )にアクセスできるようにするセキュリティポリシーを設定します。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit
viki2 が会社所有のデバイスを使用しているときに、サーバーゾーンの accounting-server (IP アドレス 203.0.113.72) にアクセスできるようにするセキュリティ ポリシーを設定します。ユーザviki2は、CPPMによって会社所有デバイスルール(accounting-grp-and-company-device)にマッピングされるaccounting-grpに属しています。
[edit security policies] user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit
企業限定グループに属するユーザーが、人事ゾーンからの要求を開始するときに、サーバー ゾーン内の企業サーバー サーバー (IP アドレス 203.0.113.71) への制限付きアクセスを許可するセキュリティ ポリシーを構成します。
送信元アドレスが「any」と指定されている場合、ポリシーは企業限定グループに属する他のユーザーにも適用されます。
[edit security policies] user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” user@host# set from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit
ユーザー abew1 が servers-zone の corporate-server (IP アドレス 203.0.113.71) サーバーにアクセスできるようにするセキュリティーポリシーを設定します。ユーザー abew1 は、セキュリティ ポリシーが適用される marketing-access-limited-grp に属しています。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit
sales-limited-group に属するユーザーが marketing-zone から要求を開始するときに、human-resources-server (IP アドレス 203.0.113.81) サーバーへのアクセスを許可するセキュリティ ポリシーを構成します。ユーザー jxchan は sales-limited-group に属しています。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit
ゲストグループに属するユーザーに、サーバーゾーンのpublic-server(IPアドレス203.0.113.91)へのアクセスを許可するセキュリティポリシーを設定します。
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match application any user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access then permit
guest-device-byod グループに属するユーザーが自分のデバイスを使用するときに、サーバーゾーン内のサーバーへのアクセスを拒否するセキュリティポリシーを設定します。
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match application any user@host# user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
業績
コンフィギュレーション モードから、 show security policies コマンドを入力して、統合 ClearPass のセキュリティ ポリシーの設定を確認します。
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
from-zone marketing-zone to-zone servers-zone {
policy marketing-p1 {
match {
source-address any;
destination-address any;
application any;
source-identity "global\marketing-access-for-pcs-limited-group";
}
then {
permit;
}
}
policy marketing-p2 {
match {
source-address any;
destination-address marketing-zone-protected;
application any;
source-identity "global\abew1";
}
then {
permit;
}
}
policy marketing-p0 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\marketing-access-limited-grp";
}
then {
permit;
}
}
policy marketing-p3 {
match {
source-address any;
destination-address human-resources-server;
application any;
source-identity "global\sales-limited-group";
}
then {
permit;
}
}
}
from-zone accounting-zone to-zone servers-zone {
policy acct-cp-device {
match {
source-address any;
destination-address accounting-server;
application any;
source-identity "global\accounting-grp-and-company-device";
}
then {
permit;
}
}
}
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
from-zone public-zone to-zone servers-zone {
policy guest-allow-access {
match {
source-address any;
destination-address public-server;
application any;
source-identity “global\guest”;
}
then {
permit;
}
}
policy guest-deny-access {
match {
source-address any;
destination-address any;
application any;
source-identity “global\guest-device-byod”;
}
then {
deny;
}
}
}
検証
このセクションでは、ユーザー認証エントリの一部が変更される原因となる特定のイベントが発生した後に、ClearPass認証テーブルの内容を確認します。また、delete コマンドを発行した後に ClearPass 認証テーブルが正常に削除されたことを確認する方法も示します。これには、次の部分が含まれています。
認証済みユーザーがネットワークからログアウトする前と後のClearPass認証テーブルの内容の表示
目的
特定の認証済みユーザーがネットワークにログインしたとき、およびユーザーがログアウトした後に、ClearPass認証テーブルの内容を表示します。
アクション
aruba-clearpassと呼ばれるClearPass認証テーブルに対して show services user-identification authentication-table authentication-source authentication-source コマンドを入力します。ClearPass認証テーブルには、ユーザviki2のエントリが含まれていることに注目してください。
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
viki2 がネットワークからログアウトした後、同じコマンドを再度入力します。ClearPass認証テーブルにviki2のエントリが含まれなくなったことに注目してください。
Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
参照されるセキュリティポリシーの削除前と削除後の認証テーブルの内容の表示
目的
セキュリティポリシーによって参照されるグループに属する特定のユーザー(lchen1)のClearPass認証テーブルの内容を表示します。そのセキュリティ ポリシーを削除してから、そのユーザーのエントリを再度表示します。
アクション
show service user-identification authentication-table authentication-source user user-name コマンドを入力して、特定のユーザー lchen1 の ClearPass 認証テーブル エントリを表示します。これには、corporate-limited グループが含まれていることに注意してください。
show service user-identification authentication-table authentication-source user lchen1 Domain: GLOBAL Source IP Username groups(Ref by policy) state 203.0.113.53 lchen1 corporate-limited Valid
human-resources-p1 セキュリティ ポリシーの source-identity フィールドは、グループ corporate-limited を参照します。上記の ClearPassauthentication エントリに示されているように、ユーザー lchen1 はそのグループに属しています。以下は、human-resources-p1 で参照されるセキュリティ ポリシーの構成です。
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
source-identity パラメータが corporate-limited というグループを参照している human-resources-p1 セキュリティ ポリシーを削除した後、同じコマンドを再度入力します。lchen1 の認証エントリーには、corporate-limited グループが含まれていないことに注意してください。
show service user-identification authentication-table authentication-source aruba-clearpass user lchen1 Domain: GLOBAL Source IP Username groups(Ref by policy) state 203.0.113.53 lchen1 Valid
変更後のClearPass認証テーブルの状態を検証する際には、別のアプローチを採用します。テーブル全体を表示して、グループ(corporate-limited)がどのユーザーエントリにも含まれていないことを確認します。複数のユーザーが企業限定グループに属していた場合、影響を受けるすべてのユーザーの認証エントリにそのグループ名が表示されないことに注意してください。
動作モードから、 show services user-identification authentication-table authentication-source aruba-clearpass コマンドを入力します。
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
例: Web API 関数の構成
SRXシリーズファイアウォールとClearPass Policy Manager(CPPM)が連携して、保護されたリソースとインターネットへのアクセスを制御します。これを実行するには、SRXシリーズファイアウォールがユーザーを認証し、ユーザーの要求に合ったセキュリティポリシーを適用する必要があります。統合されたClearPass認証および適用機能の場合、SRXシリーズファイアウォールは認証ソースとしてClearPassに依存しています。
この例で取り上げるWeb API機能は、SRXシリーズファイアウォールとのセキュアな接続を開始できるようにするAPIをCPPMに公開します。CPPMは、この接続を使用して、ユーザー認証情報をSRXシリーズファイアウォールに投稿します。それらの関係では、SRXシリーズファイアウォールはCPPMクライアントのHTTPSサーバーとして機能します。
必要条件
このセクションでは、この例のトポロジーのソフトウェア要件とハードウェア要件を定義します。トポロジー設計については 、図 3 を参照してください。
ハードウェアとソフトウェアのコンポーネントは次のとおりです。
Aruba ClearPass Policy Manager(CPPM)。CPPMは、ローカル認証ソースを使用してユーザーを認証するように設定されています。
手記:CPPMは、ユーザー名、ユーザーが属するグループの名前のリスト、使用されるデバイスのIPアドレス、デバイスポスチャトークンなどのユーザー認証とID情報をSRXシリーズファイアウォールに提供するように設定されていることを前提としています。
統合されたClearPass機能を含むJunos OSを実行するSRXシリーズファイアウォール。
6 台のサーバーで構成されるサーバー ファームで、すべてサーバー ゾーン内にあります。
marketing-server-protected(203.0.113.23 )
ヒューマンリソースサーバー(203.0.113.25 )
アカウンティングサーバー(203.0.113.72)
パブリックサーバー(192.0.2.96)
corporate-server(203.0.113.71)
sales-server(203.0.113.81)
AC 7010 Aruba Cloud Services Controller running ArubaOS (AC 7010 Aruba Cloud Services Controller)
ArubaOSを実行するAruba AP無線アクセス・コントローラー。
Aruba APはAC7010に接続されています。
ワイヤレス・ユーザーは、Aruba APを介してCPPMに接続します。
有線802.1アクセスデバイスとして使用されるジュニパーネットワークスEX4300スイッチ。
有線ユーザーは、EX4300スイッチを使用してCPPMに接続します。
6つのエンドユーザーシステム:
有線ネットワークに接続された PC 3 台(Microsoft OS が動作)
Aruba APアクセスデバイスを介してネットワークにアクセスする2台のBYODデバイス
Microsoft OSが稼働するワイヤレスノートパソコン1台
概要
SRXシリーズファイアウォールでアイデンティティ認識型セキュリティポリシーを設定し、デバイスのIPアドレスではなく、ユーザー名またはグループ名に基づいてリソースへのユーザーのアクセスを制御できます。この機能のために、SRXシリーズファイアウォールはユーザー認証にCPPMに依存しています。SRXシリーズファイアウォールは、CPPMを統合できるように、ClearPassにWeb API(webapi)を公開します。CCPMは、ユーザー認証情報を、接続を介してSRXシリーズファイアウォールに効率的に投稿します。CPPM がセキュアな接続を開始および確立できるように、Web API 機能を構成する必要があります。SRXシリーズファイアウォールとCPPM間の接続を確立するために、SRXシリーズファイアウォールで個別のルーティングエンジンプロセスは必要ありません。
図2 は、ユーザー認証を含む、SRXシリーズファイアウォールとCPPM間の通信サイクルを示しています。
図に示すように、次のアクティビティが実行されます。
-
CPPMは、Web APIを使用して、SRXシリーズファイアウォールとのセキュアな接続を開始します。
3人のユーザーがネットワークに参加し、CPPMによって認証されます。
タブレット ユーザーが、企業 WAN を介してネットワークに参加します。
スマートフォンユーザーが、社内WANを介してネットワークに参加します。
ワイヤレス ラップトップ ユーザーは、企業 LAN に接続されたレイヤー 2 スイッチに接続された有線ラップトップからネットワークに参加します。
-
CPPMは、Web APIを使用して、POSTリクエストメッセージで、ネットワークにログインしているユーザーのユーザー認証とID情報をSRXシリーズファイアウォールに送信します。
ユーザーからのトラフィックがSRXシリーズファイアウォールに到着すると、SRXシリーズファイアウォールは以下を実行します。
-
トラフィックが一致するセキュリティ ポリシーを識別します。
-
ClearPass認証テーブルでユーザーの認証エントリーを見つけます。
-
ユーザーを認証した後、トラフィックにセキュリティポリシーを適用します。
-
-
内部の保護されたリソースへのアクセスを要求しているスマートフォンユーザーからのトラフィックは、SRXシリーズファイアウォールに到着します。ステップ3で特定した条件がすべて満たされており、セキュリティポリシーで許可されているため、SRXシリーズファイアウォールは、保護されたリソースへのユーザーの接続を許可します。
-
保護されたリソースへのアクセスを要求している有線ラップトップユーザーからのトラフィックは、SRXシリーズファイアウォールに到着します。ステップ3で特定した条件がすべて満たされており、セキュリティポリシーで許可されているため、SRXシリーズファイアウォールはユーザーがリソースに接続できるようにします。
-
インターネットへのアクセスを要求しているタブレットユーザーからのトラフィックは、SRXシリーズファイアウォールに到着します。ステップ3で特定した条件がすべて満たされており、セキュリティポリシーで許可されているため、SRXシリーズファイアウォールはユーザーがインターネットに接続できるようにします。
Web API デーモンは、セキュリティ上の理由から、デフォルトでは有効になっていません。Web API デーモンを起動すると、既定では HTTP (8080) または HTTPS (8443) サービス ポートが開きます。使用する HTTP プロトコルのバージョンに応じて、これらのポートの 1 つが設定されていることを確認する必要があります。セキュリティ上の理由から、HTTPS を使用することをお勧めします。これらのポートを開くと、システムはサービス攻撃に対してより脆弱になります。これらのポートを使用する可能性のあるサービス攻撃から保護するために、Web API デーモンは有効にした後にのみ起動します。
Web API は、RESTful な Web サービス実装です。ただし、RESTful Web サービスを完全にはサポートしていません。むしろ、ClearPassクライアントからの要求に応答するHTTPまたはHTTPSサーバーとして機能します。
Web API 接続は、HTTP サービス ポート (8080) または HTTPS サービス ポート (8443) を使用して CPPM によって初期化されます。ClearPass がメッセージを投稿できるようにするには、Web API デーモンを有効にして構成する必要があります。
不正使用を軽減し、データの改ざんから保護するために、Web API デーモンは以下を実行します。
HTTPまたはHTTPSによるClearPassクライアント認証が必要です。
クライアント送信元として設定されたIPアドレスからのみデータをポストできます。つまり、ClearPassクライアントIPアドレス(この例では192.0.2.199)からのHTTPまたはHTTPS POSTリクエストのみが許可されます。
投稿されたコンテンツが、確立された XML データ形式に準拠している必要があります。Web API デーモンは、データを処理するときに、正しいデータ形式が使用されたことを確認します。
Web管理とSRXシリーズファイアウォールを一緒に導入する場合は、異なるHTTPまたはHTTPSサービスポートで実行する必要があります。
この機能がデータの改ざんから保護する方法の詳細については、「 Web API 関数 」を参照してください。
SRXシリーズUserIDデーモンは、ユーザー認証とID情報を処理し、パケット転送エンジン上のClearPass認証テーブルに同期させます。SRXシリーズファイアウォールは、CPPMからのみ受信した情報に使用するClearPass認証テーブルを作成します。ClearPass認証テーブルには、他の認証ソースからのユーザー認証情報は含まれていません。SRXシリーズファイアウォールは、ClearPass認証テーブルをチェックし、有線または無線デバイスとローカルネットワークリソースを使用して、インターネット上の保護されたネットワークリソースにアクセスしようとするユーザーを認証します。
CPPMがSRXシリーズファイアウォールに接続し、認証情報を投稿するには、HTTPS認証を使用して認証される必要があります。Web API デーモンは、HTTPS 証明書の参照に使用できる 3 つの方法(デフォルト証明書、PKI ローカル証明書、および証明書および証明書キー構成ステートメントを介して実装されるカスタマイズされた証明書)をサポートしています。これらの証明書方式は、相互に排他的です。
この例では、CPPMとSRXシリーズファイアウォール間の接続にHTTPSを使用しています。セキュリティを確保するため、統合されたClearPass機能のデフォルトの証明書キーサイズは2084ビットです。
セキュリティ上の理由から、既定の証明書、PKI によって生成された証明書、またはカスタム証明書のいずれの方法を使用する場合でも、証明書のサイズが 2084 ビット以上であることを確認する必要があります。
次の例は、PKI を使用して証明書とキーを生成する方法を示しています。
user@host>request security pki generate-key-pair certificate-id aruba size 2048 user@host>request security pki local-certificate generate-self-signed certificate-id aruba domain-name mycompany.net email jxchan@mycompany.net ip-address 192.51.100.21 subject “CN=John Doe,OU=Sales ,O=mycompany.net ,L=MyCity ,ST=CA,C=US"
構成
このセクションでは、SRXシリーズWeb APIを有効にして設定する方法について説明します。
Web API を有効にする必要があります。デフォルトでは有効になっていません。
CLIクイック構成
この例を迅速に設定するには、以下のステートメントをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、ステートメントを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set system services webapi user sunny password i4%rgd set system services webapi client 192.0.2.199 set system services webapi https port 8443 set system services webapi https pki-local-certificate aruba set system services webapi debug-level alert set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21 set security zones security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl set security user-identification authentication-source aruba-clearpass priority 110 set security user-identification authentication-source local-authentication-table priority 120 set security user-identification authentication-source active-directory-authentication-table priority 125 set security user-identification authentication-source firewall-authentication priority 150 set security user-identification authentication-source unified-access-control priority 200
SRXシリーズWeb APIデーモンの設定
手順
Web APIを設定することで、CPPMはSRXシリーズファイアウォールへの接続を初期化できます。個別の接続設定は必要ありません。
CPPMは、ユーザー名、ユーザーが属するグループの名前、使用されるデバイスのIPアドレス、ポスチャトークンなどの認証済みユーザーID情報をSRXシリーズファイアウォールに提供するように設定されていることを前提としています。
CPPMには、ユーザーまたはユーザーグループをデバイスタイプにマッピングするロールマッピングが設定されている可能性があることに注意してください。CPPMがロールマッピング情報をSRXシリーズファイアウォールに転送する場合、SRXシリーズファイアウォールはロールマッピングをグループとして扱います。SRXシリーズファイアウォールは、これらのグループを他のグループと区別しません。
Web API デーモンを構成するには、次のようにします。
アカウントの Web API デーモン (webapi) のユーザー名とパスワードを構成します。
この情報は、HTTPS 証明要求に使用されます。
[edit system services] user@host# set webapi user sunny password i4%rgd
-
Web API クライアント アドレス、つまり、ClearPass Web サーバーのデータ ポートの IP アドレスを構成します。
SRXシリーズファイアウォールは、このアドレスからの情報のみを受け入れます。
手記:ここでアドレスが設定されている ClearPass Web サーバー データ ポートは、ユーザー クエリ機能を構成する場合、その機能に使用されるものと同じです。
[edit system services] user@host# set webapi client 192.0.2.199
手記:Junos OS リリース 15.1X49-D130 以降、SRXシリーズファイアウォールは、Web API クライアント アドレスを設定するための IPv6 アドレスをサポートしています。Junos OS リリース 15.1X49-D130 より前のバージョンでは、IPv4 アドレスのみがサポートされていました。
Web API デーモンの HTTPS サービス ポートを構成します。
既定の TCPポート 8080 または 8443 で Web API サービスを有効にする場合は、そのポートでホスト インバウンド トラフィックを有効にする必要があります。
この例では、Web API サービスのセキュア バージョン (webapi-ssl) が使用されるため、HTTPS サービス ポート 8443 を構成する必要があります。
[edit system services] user@host# set webapi https port 8443
HTTPS の既定の証明書を使用するように Web API デーモンを構成します。
[edit system services] user@host# set webapi https pki-local-certificate aruba
Web API デーモンのトレース レベルを構成します。
サポートされるトレース・レベルは、notice、warn、error、crit、alert、および emerg です。デフォルト値は error です。
[edit system services] user@host# webapi debug-level alert
CPPMからのホストインバウンドトラフィックに使用するインターフェイスを設定します。
user@host# set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21
TCPポート 8443 で HTTPS ホスト受信トラフィック経由の Web API サービスを有効にします。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl
業績
構成モードから、 show system services webapi コマンドを入力して Web API の構成を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user {
sunny;
password "$ABC123"; ## SECRET-DATA
}
client {
192.0.2.199;
}
https {
port 8443;
pki-local-certificate aruba;
}
debug-level {
alert;
}
設定モードから、 show interfaces ge-0/0/3.4 コマンドを入力して、CPPM からのホスト インバウンド トラフィックに使用されるインターフェイスの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の検証プロセスを繰り返して設定を修正します。
vlan-id 340;
family inet {
address 192.51.100.21/32;
}
設定モードから、 show security zones security-zone trust コマンドを入力して、セキュア Web API サービス(web-api-ssl)を使用して CPPM からのホストインバウンドトラフィックを許可するセキュリティゾーンの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の検証プロセスを繰り返して設定を修正します。
interfaces {
ge-0/0/3.4 {
host-inbound-traffic {
system-services {
webapi-ssl;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ClearPass認証テーブルのエントリータイムアウトと優先度の設定
手順
この手順では、次の情報を設定します。
ClearPass認証テーブル内のアイドル認証エントリをいつ期限切れにするかを決定するタイムアウトパラメータ。
SRXシリーズファイアウォールがユーザー認証エントリーを検索するための検索順序の最初の認証テーブルとしてのClearPass認証テーブル。ClearPass認証テーブルにエントリーが見つからず、他の認証テーブルが設定されている場合、SRXシリーズファイアウォールは設定した順序に基づいてそれらを検索します。
-
ClearPass認証テーブルのアイドル認証エントリを期限切れにするために使用されるタイムアウト値を20分に設定します。
[edit services user-identification] user@host# set authentication-source aruba-clearpass authentication-entry-timeout 20
認証ソースと統合するようにSRXシリーズファイアウォールを初めて設定するときは、タイムアウト値を指定して、ClearPass認証テーブル内のアイドルエントリーをいつ期限切れにするかを特定する必要があります。タイムアウト値を指定しない場合は、デフォルト値が想定されます。
-
デフォルト = 30分
-
range = 設定した場合、タイムアウト値は [10,1440 分] の範囲内である必要があります。値 0 は、エントリが期限切れにならないことを意味します。
-
-
認証テーブルの優先順位を設定して、SRXシリーズファイアウォールに、ClearPass認証テーブル内のユーザー認証エントリーを最初に検索するように指示します。ユーザーのエントリがClearPass認証テーブルで見つからない場合に、他の認証テーブルを検索する順序を指定します。
手記:ClearPass認証 テーブルがパケット 転送エンジン上の唯一の認証テーブルではない場合、この値を設定する必要があります。
[edit security user-identification] user@host# set authentication-source aruba-clearpass priority 110 user@host# set authentication-source local-authentication-table priority 120 user@host# set authentication-source active-directory-authentication-table priority 125 user@host# set authentication-source firewall-authentication priority 150 user@host# set authentication-source unified-access-control priority 200
ClearPass認証テーブルのデフォルトの優先度値は110です。パケット転送エンジン上に他の認証テーブルがある場合、SRXシリーズファイアウォールが最初にClearPass認証テーブルをチェックするように指示するには、ローカル認証テーブルエントリーを100から120に変更する必要があります。 表 2 に、新しい認証テーブルの検索優先度を示します。
表2:SRXシリーズファイアウォール認証テーブル 検索優先度の割り当て SRXシリーズ認証テーブル
値を設定
ClearPass認証テーブル
110
ローカル認証テーブル
120
Active Directory 認証テーブル
125
ファイアウォール認証テーブル
150
UAC 認証テーブル
200
業績
設定モードから、ClearPass認証テーブルのエージングアウトに設定されたタイムアウト値が正しいことを確認します。 show services user-identification コマンドを入力します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
authentication-source aruba-clearpass {
authentication-entry-timeout 20;
}
例:ユーザ クエリ関数の設定
この例では、SRXシリーズファイアウォールを設定して、個々のユーザーのユーザー認証とID情報が利用可能でない場合に、Aruba ClearPassに自動的にクエリーを実行できるようにする方法について説明します。
ユーザークエリ機能は、ユーザー認証とID情報を取得するWeb API方式を補完するものであり、オプションです。
必要条件
このセクションでは、ユーザー クエリ要件を含む、トポロジ全体のソフトウェア要件とハードウェア要件を定義します。トポロジーについては、 図 5 を参照してください。ユーザー クエリ プロセスの詳細については、 図 4 を参照してください。
ハードウェアとソフトウェアのコンポーネントは次のとおりです。
Aruba ClearPass(CPPM)。CPPMは、ローカル認証ソースを使用してユーザーを認証するように設定されています。
手記:CPPMは、ユーザー名、ユーザーが属するグループの名前のリスト、使用されるデバイスのIPアドレス、デバイスポスチャトークンなどのユーザー認証とID情報をSRXシリーズファイアウォールに提供するように設定されていることを前提としています。
統合されたClearPass機能を含むJunos OSを実行するSRXシリーズファイアウォール。
6 台のサーバーで構成されるサーバー ファームで、すべてサーバー ゾーン内にあります。
marketing-server-protected(203.0.113.23 )
ヒューマンリソースサーバー(203.0.113.25 )
アカウンティングサーバー(203.0.113.72)
public-server(203.0.113.91)
corporate-server(203.0.113.71)
sales-server(203.0.113.81)
AC 7010 Aruba Cloud Services Controller running ArubaOS (AC 7010 Aruba Cloud Services Controller)
ArubaOSを実行するAruba AP無線アクセス・コントローラー。
Aruba APはAC7010に接続されています。
ワイヤレス・ユーザーは、Aruba APを介してCPPMに接続します。
有線802.1アクセスデバイスとして使用されるジュニパーネットワークスEX4300スイッチ。
有線ユーザーは、EX4300スイッチを使用してCPPMに接続します。
6つのエンドユーザーシステム:
有線ネットワークに接続された PC 3 台(Microsoft OS が動作)
Aruba APアクセスデバイスを介してネットワークにアクセスする2台のBYODデバイス
Microsoft OSが稼働するワイヤレスノートパソコン1台
概要
デバイスのClearPass認証テーブルにそのユーザーのエントリーが含まれていない場合、SRXシリーズファイアウォールが個々のユーザーの認証済みユーザー識別情報をCPPMから取得できるように、ユーザークエリ機能を設定できます。SRXシリーズファイアウォールは、アクセスリクエストから発行されるトラフィックを生成したユーザーのデバイスのIPアドレスに基づいてクエリを実行します。
デバイスが特定のユーザーのCPPMからの認証情報をまだ持っていない場合、いくつかの理由があります。たとえば、ユーザーがCPPMによってまだ認証されていない可能性があります。この状態は、ユーザーがマネージド スイッチまたは WLAN 上にないアクセス レイヤーを介してネットワークに参加した場合に発生する可能性があります。
ユーザークエリ機能は、SRXシリーズファイアウォールが、CPPMがWeb APIを使用してSRXシリーズファイアウォールにその情報を投稿しなかったユーザーの認証とID情報をCPPMから取得する手段を提供します。この機能が構成されていれば、デバイスがClearPass認証テーブルにエントリがないユーザーからアクセス要求を受信すると、自動的にCPPMにクエリーを実行します。
図 4 は、次の手順を含むユーザー クエリ フロー プロセスを示しています。
-
ユーザーがリソースにアクセスしようとします。SRXシリーズファイアウォールが、アクセスを要求するトラフィックを受信します。デバイスは、ClearPass認証テーブルでユーザーのエントリーを検索しますが、見つかりません。
デバイスは、CPPMにユーザーの認証を要求します。
CPPMはユーザーを認証し、ユーザー認証とID情報をデバイスに返します。
デバイスは、ClearPass認証テーブルにユーザーのエントリーを作成し、ユーザーにインターネットへのアクセスを許可します。
デバイスがクエリーを発行するタイミングを制御するために使用できるパラメーターの詳細については、 統合 ClearPass 認証および適用ユーザー クエリー機能についてを参照してください。
この機能が設定されている場合、個々のユーザーの認証情報をCPPMに手動で照会することもできます。
ClearPassエンドポイントAPIでは、OAuth(RFC 6749)を使用してアクセスを認証および承認する必要があります。デバイスが個々のユーザー認証および承認情報をCPPMに照会できるようにするには、入力しを取得する必要があります。この目的のために、デバイスは、ClearPassがサポートする2つのタイプのうちの1つであるクライアント資格情報入力しトークン許可タイプを使用します。
ClearPass Policy Manager (CPPM) の管理者は、grant_typeを「client_credentials」に設定して CPPM に API クライアントを作成する必要があります。その後、その情報を使用して入力しを取得するようにデバイスを設定できます。これを行うためのメッセージ形式の例を次に示します。
curl https://{$Server}/api/oauth – – insecure – – data
“grant_type=client_credentials&client_id=Client2&client_secret= m2Tvcklsi9je0kH9UTwuXQwIutKLC2obaDL54/fC2DzC"
デバイスからの入力し要求が成功すると、次の例のような応答が返されます。
{
“access_token”:”ae79d980adf83ecb8e0eaca6516a50a784e81a4e”,
“expires_in”:2880,
“token_type”:”Bearer”,
“scope”=nu;
}
入力しトークンの有効期限が切れる前に、デバイスは同じメッセージを使用して新しいトークンを取得できます。
構成
ユーザー クエリ機能を有効にして設定するには、次のタスクを実行します。
CLIクイック構成
この例を迅速に設定するには、以下のステートメントをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、ステートメントを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199 set services user-identification authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt set services user-identification authentication-source aruba-clearpass user-query client-id client-1 set services user-identification authentication-source aruba-clearpass user-query client-secret 7cTr13# set services user-identification authentication-source aruba-clearpass user-query token-api “api/oauth” set services user-identification authentication-source aruba-clearpass user-query IP address “api/vi/insight/endpoint/ip/$IP$”
ユーザークエリ機能を設定する(オプション)
手順
ユーザークエリ機能を設定して、SRXシリーズファイアウォールがClearPassクライアントに自動的に接続し、個々のユーザーの認証情報を要求できるようにします。
ユーザー クエリ機能は、Web API を使用して送信された CPPM からの入力を補完します。ユーザー クエリ機能が機能するために Web API デーモンを有効にする必要はありません。ユーザークエリー機能では、SRXシリーズファイアウォールがHTTPクライアントです。これにより、ポート443でCPPMにHTTPSリクエストを送信します。
SRXシリーズファイアウォールで個々のユーザークエリーを自動的に行うには:
ユーザー クエリ要求の認証ソースとして Aruba ClearPass を設定し、ClearPass Web サーバー名とその IP アドレスを構成します。デバイスは、ClearPass Webサーバーに接続するためにこの情報を必要とします。
Junos OS リリース 15.1X49-D130 以降では、IPv4 アドレスに加えて、IPv6 アドレスを使用して Aruba Clearpass サーバーの IP アドレスを設定できます。Junos OS リリース 15.1X49-D130 より前のバージョンでは、IPv4 アドレスのみがサポートされていました。
手記:認証ソースとして aruba-clearpass を指定する必要があります。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199
手記:構成できる ClearPass Web サーバーは 1 つだけです。
必要に応じて、ポート番号と接続方法を構成するか、これらのパラメーターに次の値を受け入れます。この例では、デフォルト値を前提としています。
connect-method(デフォルトはHTTPS)
ポート(デフォルトでは、デバイスはポート443でCPPMにHTTPSリクエストを送信します
ただし、接続方法とポートを明示的に設定する場合は、次のステートメントを使用します。
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver connect method <https/http> set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver port port-number
-
(オプション)デバイスが ClearPass Web サーバーの検証に使用する ClearPass CA 証明書ファイルを構成します。(何も設定されていない場合は、デフォルトの証明書が想定されます)。
[edit services user-identification] user@host# set authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt
ca証明書により、SRXシリーズファイアウォールは、ClearPass Webサーバーの信頼性と、それが信頼できるものであることを検証できます。
証明書を構成する前に、ClearPassデバイスの管理者として、次のアクションを実行する必要があります。
-
CPPMからClearPass Webサーバーの証明書をエクスポートし、証明書をデバイスにインポートします。
-
SRXシリーズファイアウォールにあるように、CAファイル名を含むca証明書をパスとして設定します。この例では、次のパスが使用されています。
/var/tmp/RADUISServerCertificate.crt
-
-
SRXシリーズファイアウォールがユーザーのクエリーに必要な入力しを取得するために必要なクライアントIDとシークレットを設定します。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query client-id client-1 user@host# set authentication-source aruba-clearpass user-query client-secret 7cTr13#
クライアントIDとクライアントシークレットは必須の値です。これらは、CPPMのクライアント構成と一致している必要があります。
先端:CPPMでクライアントを設定する場合、デバイス設定で使用するクライアントIDとシークレットをコピーします。
入力しを取得するためのURLの生成に使用するトークンAPIを設定します。
手記:トークンAPIを指定する必要があります。デフォルト値はありません。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query token-api “api/oauth”
この例では、トークンAPIは
api/oauthされています。これを以下の情報と組み合わせて、入力しトークンを取得するための完全なURLを生成しますhttps://192.0.2.199/api/oauth接続方法はHTTPSです。
この例では、ClearPass WebサーバーのIPアドレスは192.0.2.199です。
個々のユーザー認証と ID 情報のクエリに使用するクエリ API を構成します。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query query-api ’api/vi/insight/endpoint/ip/$IP$’
この例では、query-api は
api/vi/insight/endpoint/ip/$IP$です。これは URLhttps://192.0.2.199/api/oauthと組み合わされ、https://192.0.2.199/api/oauth/api/vi/insight/endpoint/ip/$IP$になります。$IP変数は、SRXシリーズが認証情報を要求しているユーザーのエンドユーザーのデバイスのIPアドレスに置き換えられます。
デバイスが個々のユーザー クエリを送信するまでの遅延時間を秒単位で構成します。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query delay-query-time 10
個々のユーザー認証情報についてCPPMにクエリを手動で発行する(オプション)
手順
デバイスのIPアドレスが203.0.113.46のユーザーの認証情報を手動で要求するには、以下のステートメントを設定します。
root@device>request service user-identification authentication-source aruba-clearpass user-query address 203.0.113.46
検証
次の手順を使用して、ユーザー クエリ関数が期待どおりに動作していることを確認します。
- ClearPass Webサーバーがオンラインであることを確認する
- トレースの有効化と出力の確認
- ユーザー クエリ関数が正常に実行されているかどうかの確認
- ユーザー クエリ カウンターに依存した問題が存在するかどうかの判断
ClearPass Webサーバーがオンラインであることを確認する
目的
ClearPass Webサーバーがオンラインであることを確認します。これは、ユーザークエリ要求が正常に完了できることを確認する最初の手段です。
アクション
show service user-identification authentication-source authentication-source user-query status コマンドを入力して、ClearPass がオンラインであることを確認します。
show service user-identification authentication-source aruba-clearpass user-query status Authentication source: aruba-clearpass Web server Address: 192.0.2.199 Status: Online Current connections: 0
トレースの有効化と出力の確認
目的
ユーザークエリ機能によって生成されたエラーメッセージをトレースログに表示します。
アクション
トレース ログ ファイル名を設定し、次のコマンドを使用してトレースを有効にします。
set system services webapi debug-log trace-log-1 set services user-identification authentication-source aruba-clearpass traceoptions flag user-query
ユーザー クエリ関数が正常に実行されているかどうかの確認
目的
ユーザー クエリ関数の動作に問題があるかどうかを判断します。
アクション
syslog メッセージを確認して、ユーザー クエリ要求が失敗したかどうかを判断します。
失敗した場合は、次のエラー メッセージが報告されます。
LOG1: sending user query for IP <ip-address> to ClearPass web server failed. :reason
その理由は、「サーバーが接続されていない」または「ソケットエラー」である可能性があります。
ユーザー クエリ カウンターに依存した問題が存在するかどうかの判断
目的
問題が存在する場合は、 show service user-identification authentication-source authentication-source user-query counters コマンドを入力して、その問題にホームインするユーザー照会カウンターを表示します。
ユーザー クエリ要求への応答として ClearPass によって返されるタイムスタンプは、タイム ゾーンを含む形式を含む任意の ISO 8601 形式で指定できます。
アクション
show service user-identification authentication-source aruba-clearpass user-query counters
Authentication source: aruba-clearpass
Web server Address: Address: ip-address
Access token: token-string
RE quest sent number: counter
Routing received number: counter
Time of last response: timestamp
例:脅威と攻撃のログをフィルタリングしてレート制限するための ClearPass の設定
SRXシリーズファイアウォールは、ネットワークリソースを保護するセキュリティモジュールによって特定された脅威と攻撃に関する情報を、ClearPass Policy Manager(CPPM)に動的に送信できます。特定のデバイスとそのユーザーのアクティビティに関連する攻撃と攻撃の脅威を検出し、対応するログを生成します。この送信を制御するには、送信するログのタイプと送信レートを設定する必要があります。その後、この情報を使用してCPPMにポリシールールを設定し、ネットワークセキュリティを強化できます。
この例では、SRXシリーズ統合ClearPass認証および適用機能を設定して、脅威ログと攻撃ログのみフィルタリングしてCPPMに送信し、SRXシリーズファイアウォールがログを送信する量と速度を制御する方法を示します。
必要条件
この例のトポロジーでは、以下のハードウェアおよびソフトウェア コンポーネントを使用しています。
サーバー上の仮想マシン (VM) に実装された Aruba CPPM。CPPMは、ローカル認証ソースを使用してユーザーを認証するように設定されています。
統合されたClearPass機能を含むJunos OSを実行するSRXシリーズファイアウォール。SRXシリーズファイアウォールは、ジュニパーネットワークスEX4300スイッチとインターネットに接続されています。SRXシリーズファイアウォールは、安全な接続を介してClearPassと通信します。
有線802.1アクセスデバイスとして使用されるジュニパーネットワークスEX4300スイッチ。EX4300 レイヤー 2 スイッチは、エンドポイント ユーザーをネットワークに接続します。SRXシリーズファイアウォールがスイッチに接続されています。
Microsoft OS を実行する有線、ネットワークに接続された PC。システムはEX4300スイッチに直接接続されています。
脅威ログと攻撃ログは、セキュリティ機能がキャッチして保護するイベントによってトリガーされたこれらのデバイスからのアクティビティに対して書き込まれます。
概要
SRXシリーズ統合ClearPass認証および適用機能は、Aruba ClearPassと連携して、実際の攻撃および潜在的な攻撃から企業のリソースを保護します。SRXシリーズファイアウォールは、送信するログを通じて、ネットワークリソースに対する脅威とそれらに対する攻撃についてCPPMに通知します。その後、この情報を使用して、CPPMのセキュリティポリシーの設定を評価できます。この情報に基づいて、個々のユーザーまたはデバイスに関してセキュリティを強化できます。
この機能の動作を制御するには、攻撃と脅威のログエントリーをフィルタリングし、レート制限条件を設定するようにSRXシリーズファイアウォールを設定する必要があります。
この関数の動作は、次の方法で調整できます。
SRXシリーズファイアウォールが脅威と攻撃のログのみをCPPMに送信するように指示するフィルターを設定します。このフィルターにより、SRXシリーズファイアウォールとログサーバーが無関係なログを処理する必要がないようにすることができます。
送信されるログの量を制御するためのレート制限条件を設定します。
rate-limit パラメーターを設定して、ログが送信される量とレートを制御します。たとえば、rate-limit パラメータを 1000 に設定して、1 秒間に最大 1000 個のログが ClearPass に送信されるように指定できます。この場合、1015 個のログを送信しようとすると、制限を超えたログの数(この場合は 15 ログ)がドロップされます。ログはキューに入れられず、バッファリングもされません。
最大 3 つのログストリームを設定し、個々のログは宛先、ログ形式、フィルター、およびレート制限によって定義されます。ログメッセージは、設定されたすべてのログストリームに送信されます。各ストリームは個別にレート制限されます。
レート制限をサポートするために、ログメッセージはデバイスのローカルSPUから分割されたレートで送信されます。設定プロセスでは、ルーティングエンジンは各SPUに分割レートを割り当てます。分割されたレートは、設定されたレートをデバイス上の SPU の数で割った値に等しくなります。
divided-rate = configured-rate/number-of-SPUs
構成
この例では、ClearPass に送信する脅威と攻撃のログを選択するためのフィルターを構成する方法について説明します。また、レートリミッターを設定して、特定の期間に送信されるログの量を制御する方法についても説明します。これには、次の部分が含まれます。
CLIクイック構成
この例を迅速に設定するには、以下のステートメントをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、ステートメントを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security log stream threat-attack-logs host 203.0.113.47 set security log mode stream set security log source-interface ge-0/0/1.0 set security log stream to_clearpass format sd-syslog set security log stream to_clearpass filter threat-attack set security log stream to_clearpass rate-limit 1000
統合ClearPass認証および適用を構成して、CPPMに送信される脅威および攻撃ログをフィルタリングする
手順
ログ ストリームの名前と宛先の IP アドレスを指定します。
[edit security] user@host# set security log stream threat-attack-logs host 203.0.113.47
ログモードをストリームに設定します。
[edit security] user@host# set log mode stream
ホスト送信元インターフェイス番号を設定します。
[edit security] user@host#set log source-interface ge-0/0/1.0
syslog を介して ClearPass にログを送信するために、構造化された syslog 形式を使用するようにログ ログ ストリームを設定します。
[ edit security] user@host# set log stream to_clearpass format sd-syslog
ログに記録するイベントの種類を指定します。
[edit security] user@host# set log stream to_clearpass filter threat-attack
手記:この構成は、フィルターに設定されている現在のカテゴリに関連して相互に排他的です。
このストリームのレート制限を設定します。範囲は 1 から 65,535 からです。
この例では、毎秒最大 1000 個のログを ClearPass に送信できることを指定します。最大数に達すると、それ以上のログは削除されます。
[ edit security] user@host# set log stream to_clearpass rate-limit 1000
業績
設定モードから、 show interfaces コマンドを入力してインターフェイスの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
mode stream;
source-interface ge-0/0/1.0;
stream threat-attack-logs {
host {
203.0.113.47;
}
}
stream to_clearpass {
format sd-syslog;
filter threat-attack;
rate-limit {
1000;
}
}
例:JIMSでClearPassを設定する
この例では、ユーザーID情報に対してJuniper Identity Management Service(JIMS)とClearPassを同時に有効にし、JIMSとClearPassが同時にどのように機能するかを検証する方法を示します。また、この例では、どの認証エントリーが最初に優先されるか、およびJIMSとClearPassのタイムアウトがどのように動作するかについても説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
JIMS サーバーの IP アドレス。
ClearPassクライアントのIPアドレス。
Aruba ClearPass Policy Manager(CPPM)。CPPMは、ローカル認証ソースを使用してユーザーを認証するように設定されています。
手記:CPPMは、ユーザー名、ユーザーが属するグループの名前のリスト、使用されるデバイスのIPアドレス、デバイスポスチャトークンなどのユーザー認証とID情報をSRXシリーズファイアウォールに提供するように設定されていることを前提としています。
概要
SRXシリーズファイアウォールは、さまざまな認証ソースからユーザーまたはデバイスの識別情報を取得します。SRXシリーズファイアウォールは、デバイスID情報を取得した後、デバイスID認証テーブルにエントリーを作成します。SRXシリーズファイアウォールは、ユーザー識別情報についてJIMSとClearPassに依存しています。JIMSとClearPassを同時に有効にすることで、SRXシリーズファイアウォールはJIMSにクエリーを実行してActive DirectoryとエクスチェンジサーバーからユーザーID情報を取得し、CPPMはWeb APIを介してユーザー認証とID情報をSRXシリーズファイアウォールにプッシュします。
JIMS IPクエリーとClearPassユーザークエリーの両方が有効になっている場合、SRXシリーズファイアウォールは常に最初にClearPassをクエリーします。JIMSとCPPMの両方からIPユーザーまたはグループマッピングを受信すると、SRXシリーズファイアウォールは最新の認証エントリーを考慮し、既存の認証エントリーを上書きします。秒単位で指定する delay-query-time パラメータを設定することで、SRXシリーズファイアウォールがクエリを送信する前に一定期間待機することができます。JIMS と ClearPass が有効な場合、遅延時間は互いに同じ値である必要があります。そうでない場合は、エラーメッセージが表示され、コミットチェックは失敗します。
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピー&ペーストしてください。
set services user-identification identity-management connection primary address 192.0.2.0 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret test set services user-identification authentication-source aruba-clearpass user-query web-server cp-server set services user-identification authentication-source aruba-clearpass user-query address 198.51.100.0 set services user-identification authentication-source aruba-clearpass user-query client-id otest set services user-identification authentication-source aruba-clearpass user-query client-secret test set services user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth set services user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$" set system services webapi user root set system services webapi user password “$ABC123" set system services webapi client 203.0.113.0 set system services webapi https port 8443 set system services webapi https default-certificate set services user-identification authentication-source aruba-clearpass authentication-entry-timeout 30 set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30 set services user-identification identity-management authentication-entry-timeout 30 set services user-identification identity-management invalid-authentication-entry-timeout 30 set services user-identification identity-management ip-query query-delay-time 15 set services user-identification authentication-source aruba-clearpass user-query delay-query-time 15
プロシージャ
手順
JIMSとClearPassを同時に構成するには、次の構成を使用します。
プライマリ JIMS サーバーの IP アドレスを構成します。
[edit services] user@host# set user-identification identity-management connection primary address 192.0.2.0
SRXシリーズが認証の一環としてJIMSプライマリサーバーに提供するクライアントIDを設定します。
[edit services] user@host# set user-identification identity-management connection primary client-id otest
SRXシリーズが認証の一環としてJIMSプライマリサーバーに提供するクライアントシークレットを設定します。
[edit services] user@host# set user-identification identity-management connection primary client-secret test
-
ユーザー クエリ要求の認証ソースとして Aruba ClearPass を設定し、ClearPass Web サーバー名とその IP アドレスを構成します。SRXシリーズファイアウォールは、ClearPass Webサーバーに接続するためにこの情報を必要とします。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query web-server cp-server address 198.51.100.0
-
SRXシリーズファイアウォールがユーザーのクエリに必要な入力しを取得する際に必要とするクライアントIDとクライアントシークレットを設定します。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query client-id otest user@host# set user-identification authentication-source aruba-clearpass user-query client-secret test
入力しを取得するためのURLの生成に使用するトークンAPIを設定します。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth
個々のユーザー認証と ID 情報のクエリに使用するクエリ API を構成します。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$"
アカウントの Web API デーモンのユーザー名とパスワードを構成します。
[edit system services] user@host# set webapi user user password “$ABC123"
Web API クライアント アドレス、つまり、ClearPass Web サーバーのデータ ポートの IP アドレスを構成します。
[edit system services] user@host# set webapi client 203.0.113.0
Web API プロセスの HTTPS サービス ポートを構成します。
[edit system services] user@host# set webapi https port 8443 user@host# set webapi https default-certificate
Aruba ClearPass の認証エントリーのタイムアウト値を設定します。
[edit services] user@host# set user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30
Aruba ClearPassのSRXシリーズ認証テーブル内の無効なユーザー認証エントリーに割り当てられる独立したタイムアウト値を設定します。
[edit services] user@host# set user-identification identity-management authentication-entry-timeout 30
JIMS用SRXシリーズ認証テーブル内の無効なユーザー認証エントリーに割り当てられる独立したタイムアウト値を設定します。
[edit services] user@host# set user-identification identity-management invalid-authentication-entry-timeout 30
-
SRXシリーズファイアウォールがクエリを送信する前に一定期間待機できるようにする
query-delay-timeパラメーターを秒単位で設定します。[edit services] user@host# set user-identification identity-management ip-query query-delay-time 15
-
SRXシリーズファイアウォールがクエリを送信する前に一定時間待機できるようにする
query-delay-timeパラメーターを秒単位で設定します。[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query delay-query-time 15
業績
設定モードから、 show system services webapi, コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit ]
user@host# show system services webapi
user {
device;
password "$ABC123"; ## SECRET-DATA
}
client {
203.0.113.0;
}
https {
port 8443;
default-certificate;
}
設定モードから、 show services user-identification authentication-source aruba-clearpass コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit ]
user@host# show services user-identification authentication-source aruba-clearpass
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
user-query {
web-server {
cp-server;
address 10.208.164.31;
}
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
token-api oauth_token/oauth;
query-api "user_query/v1/ip/$IP$";
delay-query-time 15;
}
設定モードから、 show services user-identification identity-management コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit ]
user@host# show services user-identification identity-management
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
connection {
primary {
address 10.208.164.137;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
ip-query {
query-delay-time 15;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
- JIMS 認証エントリの検証
- ClearPass認証エントリーの検証
- ドメイン別のデバイスエントリーの確認
- ClearPass Webサーバーがオンラインであることを確認する
- JIMS サーバーがオンラインであることを確認する
JIMS 認証エントリの検証
目的
JIMS のデバイス ID 認証テーブルが更新されていることを確認します。
アクション
show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 コマンドを入力します。
show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: ad-jims-2008.com Total entries: 5 Source IP Username groups(Ref by policy) state 192.0.2.2 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.4 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.5 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.7 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.11 administrator dow_group_00001,dow_group_0000 Valid
意味
出力には、認証エントリーが更新されていることが表示されます。
ClearPass認証エントリーの検証
目的
ClearPassのデバイスID認証テーブルが更新されていることを確認します。
アクション
show services user-identification authentication-table authentication-source aruba-clearpass node 0 コマンドを入力して、エントリーが更新されていることを確認します。
show services user-identification authentication-table authentication-source aruba-clearpass node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: juniper.net Total entries: 1 Source IP Username groups(Ref by policy) state 2001:db8::::63bf:3fff:fdd2 ipv6_user01 ipv6_group1 Valid
意味
出力には、ClearPass の認証エントリが更新されていることが表示されます。
ドメイン別のデバイスエントリーの確認
目的
認証されたすべてのデバイスがドメインに属していることを確認します。
アクション
show services user-identification device-information table all domain juniper.net node 0 コマンドを入力します。
show services user-identification device-information table all domain juniper.net node 0 node0: -------------------------------------------------------------------------- Domain: juniper.net Total entries: 1 Source IP Device ID Device-Groups 2001:db8:4136:e378:8000:63bf:3fff:fdd2 dev01 device_group1
意味
出力には、ドメインに属するすべての認証済みデバイスが表示されます。
ClearPass Webサーバーがオンラインであることを確認する
目的
ClearPass Webサーバーがオンラインであることを確認します。
アクション
show services user-identification authentication-source aruba-clearpass user-query status コマンドを入力します。
show services user-identification authentication-source aruba-clearpass user-query status
node1:
--------------------------------------------------------------------------
Authentication source: aruba-clearpass
Web server Address: 198.51.100.0
Status: Online
Current connections: 0
意味
出力には、ClearPass Webサーバーがオンラインであることが表示されます。
JIMS サーバーがオンラインであることを確認する
目的
JIMS サーバーがオンラインであることを確認します。
アクション
show services user-identification identity-management status コマンドを入力します。
show services user-identification identity-management status
node1:
--------------------------------------------------------------------------
Primary server :
Address : 192.0.2.0
Port : 443
Connection method : HTTPS
Connection status : Online
Secondary server :
Address : 192.0.2.1
Port : 443
Connection method : HTTPS
Connection status : Offline
Last received status message : OK (200)
Access token : P1kAlMiG2Kb7FzP5tM1QBI6DSS92c31Apgjk9lV
Token expire time : 2018-04-12 06:57:37
意味
出力には、JIMS サーバーがオンラインであることが表示されます。