Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ユーザー認証方法を構成する

パススルー認証と Web 認証は、ユーザーを認証するための 2 つの認証方法です。

パススルー認証について

パススルー ユーザー認証は、アクティブ認証の形式です。ユーザーは、パススルー認証が呼び出されたときに、ユーザー名とパスワードの入力を求められます。ユーザーの ID が検証されると、ユーザーはファイアウォールを通過して、要求されたリソースにアクセスできます。

ユーザーが認証を必要とするポリシーを持つ HTTP、HTTPS、FTP、または Telnet 接続要求を開始しようとすると、デバイスは要求を代行受信し、ユーザーにユーザー名とパスワードの入力を求めます。設定に応じて、デバイスはユーザ名とパスワードをローカルデータベースまたは外部認証サーバに保存されているものと照合して検証します。

外部認証サーバーを使用する場合、ユーザーの資格情報が収集された後、ファイアウォールユーザー認証によって処理されます。以下の外部認証サーバーがサポートされています。

  • RADIUS認証と許可(ジュニパーのSteel-Belted Radiusサーバーと互換性あり)

    認証に加えて、ユーザーのアクセス権 (ユーザーがネットワーク上で実行できる操作) に関する承認情報を取得する場合は、外部 RADIUS サーバーを使用できます。

  • LDAP認証のみ(LDAPバージョン3をサポート、Windows ADと互換性あり)

  • SecurID認証のみ(RSA SecurID外部認証サーバーを使用)

ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。複数のユーザー・アカウントをまとめてユーザー・グループを形成し、ローカル・データベース、RADIUS、LDAP、またはSecurIDサーバーに保存できます。ポリシーで認証ユーザーグループと外部認証サーバーを参照すると、ポリシーに一致するトラフィックが認証チェックをトリガーします。

メモ:

ファミリー inet を使用して、IPv4 アドレスを割り当てます。ファミリーinet6を使用してIPv6アドレスを割り当てます。インターフェイスは、IPv4 アドレスと IPv6 アドレスの両方で設定できます。簡潔にするために、これらの例では IPv4 アドレスのみを使用しています。

図 1: ユーザーの Policy Lookup for a Userポリシー検索

図 1 の手順は次のとおりです。

  1. クライアント ユーザーは、FTP、HTTP、HTTPS、または Telnet パケットを 198.51.100.9 に送信します。

  2. デバイスはパケットを傍受し、そのポリシーがローカルデータベースまたは外部認証サーバーからの認証を必要とすることを認識し、パケットをバッファリングします。

  3. デバイスは、FTP、HTTP、HTTPS、または Telnet を介してログイン情報を入力するようユーザーに求めます。

  4. ユーザーはユーザー名とパスワードで返信します。

  5. デバイスは、ローカルデータベースで認証ユーザーアカウントを確認するか、ポリシーで指定された外部認証サーバーにログイン情報を送信します。

  6. 有効な一致が見つかると(または外部認証サーバーからそのような一致の通知を受け取ると)、デバイスはログインが成功したことをユーザーに通知します。

  7. HTTP、HTTPS、または Telnet トラフィックの場合、デバイスはパケットをバッファーから宛先 IP アドレス 198.51.100.9/24 に転送します。ただし、FTP トラフィックの場合、認証が成功するとデバイスはセッションを閉じ、ユーザーは IP アドレス 198.51.100.9/24 の FTP サーバーに再接続する必要があります。

メモ:

セキュリティ上の理由から、HTTP パススルー認証用に構成するセキュリティ ポリシーでは、直接パススルー認証ではなく Web リダイレクトを使用することをお勧めします。Web ブラウザーは、ターゲット Web サーバーへの後続の要求の資格情報を自動的に含めることによってセキュリティを提供できます。

デバイスは、特定の送信元 IP アドレスでユーザーを認証した後、パススルーによる認証を要求するポリシーで指定されているように、同じアドレスにいる他のユーザーからのトラフィックを許可します。これは、ユーザーがNATデバイスの背後からトラフィック発信し、元の送信元アドレスをすべて単一の変換済みアドレスに変更する場合に発生することがあります。

パススルーユーザー認証方式は、利便性よりもセキュリティの優先度が高い場合に推奨されます。この認証方法は、それをトリガーしたポリシーに一致するセッションと子セッションにのみ適用されます。この方法は、注意して使用する場合、インターネットに接続するリンクに適用できます。

例:パススルー認証の設定

この例では、ファイアウォール ユーザーを認証するためのパススルー認証を構成する方法を示します。ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときにユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。

パススルー認証により、SRXシリーズの管理者は、FTP、Telnet、HTTP、またはHTTPSを使用して別のゾーンのリソースにアクセスしようとするユーザーを制限できます。アクションがパススルー認証であるセキュリティポリシーにトラフィックが一致する場合、ユーザーはログイン情報を提供する必要があります。

HTTPS の場合、セキュリティを確保するために、HTTPS の既定の証明書キー サイズは 2048 ビットです。証明書のサイズを指定しない場合は、既定のサイズが想定されます。

要件

開始する前に、ファイアウォールユーザーを定義します。ファイアウォールユーザー認証の概要をご覧ください。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ ファイアウォール

  • ファイアウォールユーザーのシステム

  • パケット宛先システム

概要

パススルー認証プロセスは、ファイアウォール ユーザーと呼ばれるクライアントが、FTP、Telnet、または HTTP セッションを開始して別のゾーンのリソースにアクセスしようとしたときにトリガーされます。SRXシリーズファイアウォールは、FTP、TELNET、HTTP、HTTPSサーバーのプロキシとして機能するため、ファイアウォールユーザーを認証してから、ファイアウォールの背後にある実際のFTP、Telnet、またはHTTPサーバーへのアクセスをユーザーに許可することができます。

ファイアウォールユーザーによって送信された接続要求から生成されたトラフィックが双方向でセキュリティポリシールールと一致し、そのルールがその条項の then アクションとしてパススルーファイアウォール認証を指定している場合、SRXシリーズファイアウォールはファイアウォールユーザーにJunos OSプロキシサーバーへの認証を要求します。

認証に成功した場合、同じ送信元IPアドレスからの後続のトラフィックは、トラフィックがセキュリティポリシータプルに一致する場合、SRXシリーズファイアウォールの通過が自動的に許可されます。

図 2 に、この例で使用するトポロジを示します。

図2:パススルーファイアウォール認証 Configuring Pass-Through Firewall Authenticationの設定
メモ:

トポロジーは外部サーバーの使用を示していますが、構成ではカバーされていません。この例の範囲外です。

構成

手順

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

パススルー認証を構成するには:

  1. 2つのインターフェイスを設定し、IPアドレスを割り当てます。

    メモ:

    この例では、インターフェイスに 2 つのアドレスを割り当てるのはオプションです。

  2. FWClient1 ユーザーの FWAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、Telnet セッションの成功バナーを定義します。

  3. セキュリティ ゾーンを構成します。

    メモ:

    この例では、セキュリティゾーンに2つ目のインターフェイスを設定するのはオプションです。

  4. セキュリティ ポリシー P1 をセキュリティ ゾーンに割り当てます。

  5. Telnet を使用して、FWClient1 ファイアウォール ユーザーをホスト 2 に対して認証します。

結果

設定モードから、次のコマンドを入力して設定を確認します。

  • show interfaces

  • show access

  • show security zones

  • show security policies

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、出力にはこの例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードからコミットを入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ファイアウォールユーザー認証の検証と、認証テーブル内のユーザーとIPアドレスの監視

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーの数とログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、次のコマンド show を入力します。

例:パススルー認証をトリガーするための HTTPS トラフィックの設定

この例では、パススルー認証をトリガーするように HTTPS トラフィックを構成する方法を示します。HTTPSはHTTPよりも安全であるため、人気が高まり、広く使用されています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ ファイアウォール

  • Linux とオープン SSL を実行する 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。2台のPCは、キーファイルの作成とトラフィックの送信に使用されます。

  • SRX5400、SRX5600、および SRX5800 デバイス向けの Junos OS リリース 12.1X44-D10 以降、vSRX 仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、および SRX1500 サービス ゲートウェイ向けの Junos OS リリース 15.1X49-D40 以降。

メモ:

Junos OSリリース12.1X44-D10およびJunos OSリリース17.3R1以降、HTTPSベースの認証がSRX5400、SRX5600、およびSRX5800デバイスに導入されています。

Junos OSリリース15.1X49-D40およびJunos OSリリース17.3R1以降、HTTPSベースの認証がvSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、およびSRX1500サービスゲートウェイに導入されています。

始める前に:

SRXシリーズファイアウォールは、パススルー認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次に、SSL ターミネーション プロキシは、秘密キー ファイルと証明書ファイルを作成してインストールします。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。

メモ:

公式の .crt ファイルと .key ファイルがある場合は、SRXシリーズファイアウォールに直接ファイルをアップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 およびステップ 4 で指定した命令は、動作モードで実行する必要があります。

秘密キー ファイルと証明ファイルを作成してインストールするには:

  1. PC で .key ファイルを作成します。

  2. PC で、 .crt ファイルを作成します。

  3. .keyファイルと.crtファイルをSRXシリーズファイアウォールにアップロードし、動作モードから次のコマンドを使用してデバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間で確立された安全な接続が開始されます。ネットワーク ユーザーは、ファイアウォールを越えた接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証では、パススルー認証用の HTTPS トラフィックがサポートされています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続されているデバイス間でデータが送信されるプロトコルです。ユーザーと接続されたデバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなどの機密性の高いオンライントランザクションを保護するためによく使用されます。

この例では、HTTPS の方が HTTP よりも安全であるため、HTTPS トラフィックを使用してパススルー認証をトリガーします。HTTPS トラフィックでパススルー認証をトリガーするには、まず SSL 終端プロファイルを設定する必要があります。

図 3 に、HTTPS トラフィックを使用したパススルー認証の例を示します。この例では、untrust ゾーンのホストまたはユーザーが trust ゾーンのリソースにアクセスしようとします。SRXシリーズファイアウォールは、HTTPSを使用してユーザー名とパスワードの情報を収集します。ホストまたはユーザーからの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

図 3: HTTPS トラフィック Pass-Through Authentication Using HTTPS Trafficを使用したパススルー認証

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit

手順

手順

パススルー認証をトリガーするように HTTPS トラフィックを構成するには:

  1. インターフェイスを設定し、IPアドレスを割り当てます。

  2. セキュリティ ポリシーを構成して、ゾーンの信頼からゾーンの信頼へのファイアウォール認証トラフィックを許可します。

  3. パケットが基準に一致した場合に実行するポリシーアクションを指定します。

  4. セキュリティ ゾーンを設定し、インターフェイスを割り当てます。

  5. ゾーンのアプリケーションサービスを設定します。

  6. アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

  7. ファイアウォールの種類と、認証設定が定義されている既定のプロファイル名を構成します。

  8. SSL ターミネーションプロファイルを設定し、ローカル証明書識別子名を入力します。

結果

設定モードから、 、 、 show security zonesshow security policies、 、および show services ssl termination コマ ンドを入力してshow interfacesshow access設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定の確認

目的

構成が正しいことを確認します。

アクション

動作モードから、識別子1にコマンドを入力します show security firewall-authentication users

意味

コマンドは show security firewall-authentication users 、指定された識別子のファイアウォール認証ユーザー情報を表示します。出力の [認証方法] フィールドに [HTTPS を使用したパススルー] が表示され、[認証状態] フィールドに [成功] と表示される場合、構成は正しいです。

Web 認証について

Web 認証は、パススルー ユーザー認証に代わる方法です。クライアント ブラウザから接続するリソースを指すのではなく、Web 認証が有効になっているデバイス上の IP アドレスをブラウザでポイントします。これにより、デバイス上の Web 認証機能をホストしている IP アドレスへの HTTP セッションが開始されます。次に、デバイスはユーザー名とパスワードの入力を求め、結果をデバイスにキャッシュします。その後、トラフィックで Web 認証ポリシーが検出されると、 図 4 に示すように、以前の Web 認証結果に基づいてアクセスを許可または拒否されます。

メモ:

ファミリー inet を使用して、IPv4 アドレスを割り当てます。ファミリーinet6を使用してIPv6アドレスを割り当てます。インターフェイスは、IPv4 アドレスと IPv6 アドレスの両方で設定できます。簡潔にするために、これらの例では IPv4 アドレスのみを使用しています。

図 4: Web 認証の例 Web Authentication Example

以下の Web 認証ガイドラインに従います。

  • デフォルトの Web 認証サーバーをローカル データベースのままにするか、ロールの外部認証サーバーを選択できます。デフォルトの Web 認証プロファイルは、ユーザがローカルデータベースまたは外部認証サーバのどちらを使用して認証するかを決定します。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存したり、そのような情報が保存されている外部認証サーバーを指し示したりします。

  • Web 認証アドレスは、ホストに使用するインターフェイスと同じサブネット内にある必要があります。たとえば、IP アドレスが 203.0.113.1/24 の ethernet3 経由で認証ユーザーに Web 認証を使用して接続する場合、203.0.113.0/24 サブネット内の IP アドレスを Web 認証に割り当てることができます。

  • Web 認証アドレスは、任意の物理インターフェイスまたは仮想セキュリティ インターフェイス(VSI)の IP アドレスと同じサブネットに配置できます。(さまざまなタイプのインターフェイスについては、 セキュリティゾーンの概要を参照してください)。

  • Web 認証アドレスは、複数のインターフェイスに設定できます。

  • デバイスは、特定の送信元 IP アドレスでユーザーを認証した後、その後、ウェブ認証による認証を要求するポリシーで指定されているように、同じアドレスにいる他のユーザーからのトラフィックを許可します。これは、ユーザーがNATデバイスの背後からトラフィック発信し、元の送信元アドレスをすべて単一の変換済みアドレスに変更する場合に発生することがあります。

  • Web 認証を有効にすると、IP アドレスへのすべての HTTP トラフィックに、管理者ログイン ページではなく Web 認証ログイン ページが表示されます。このオプションを無効にすると、管理者ログインページが表示されます(有効 [system services web-management HTTP] になっていると仮定します。

  • Web 認証にアドレスを使用する場合は、プライマリ IP アドレスまたは優先 IP アドレスを別に設定することをお勧めします。

メモ:

Web 認証方式は、クライアントデバイスがセキュリティゲートウェイのすぐ隣接しており、クライアントデバイスがマルチユーザーホストではないことが保証されている状況で推奨されます。この認証方法は、ワイヤレス リンクと DMZ、または会議室のリンクに最適です。

例:Web 認証の設定

この例では、Web 認証を有効にし、トラフィックが Web 認証が有効になっているポリシーに遭遇したときにユーザーにアクセスを許可するポリシーを設定する方法を示します。

要件

始める前に:

  • ファイアウォールユーザーを定義します。 ファイアウォールユーザー認証の概要をご覧ください。

  • インターフェイスのアドレス階層の下にWeb認証HTTPフラグを追加して、Web認証を有効にします。

概要

Web 認証を有効にするには、HTTP セッションをホストするデバイスの IP アドレスを指定する必要があります。これらの設定は、保護されたリソースにアクセスするファイアウォールユーザーが、Webサーバーへの直接アクセスまたはWeb認証による認証を希望する場合に使用されます。次の手順は、トラフィックが Web 認証が有効になっているポリシー(Policy-W)に遭遇したときに FWClient1 ユーザへのアクセスを許可するポリシーを設定する方法を示しています。( 図 5 を参照)。この例では、FWClient1 は Web 認証ログイン ページですでに認証されています。

FWClient1ファイアウォールユーザーは、認証を受けるために次のことを行います。

  1. ブラウザーを Web 認証 IP(198.51.100.63/24)にポイントして、最初に認証を取得します

  2. policy-W ポリシーで指定されたリソースにアクセスするためのトラフィックを開始します

図 5: Web 認証の例 Web Authentication Example

これらの手順の説明に従ってデバイスを設定し、ユーザーが正常に認証されると、 図 6 に示す画面が表示されます。

図 6: Web 認証成功バナー Web Authentication Success Banner

構成

手順

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

Web 認証を構成するには:

  1. 2つのインターフェイスを設定し、IPアドレスを割り当てます。

    メモ:

    この例では、インターフェイスに 2 つのアドレスを割り当てるのはオプションです。

  2. FWClient1 ユーザーの WEBAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、成功バナーを定義します。

  3. セキュリティ ゾーンを構成します。

    メモ:

    この例では、セキュリティゾーンに2つ目のインターフェイスを設定するのはオプションです。

  4. セキュリティ ポリシー P1 をセキュリティ ゾーンに割り当てます。

  5. デバイスでHTTPプロセス(デーモン)をアクティブにします。

結果

設定モードから、次のコマンドを入力して設定を確認します。

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show 出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ファイアウォールユーザー認証の検証と、認証テーブル内のユーザーとIPアドレスの監視

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーとログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、次のコマンド show を入力します。

例:Web 認証をトリガーするための HTTPS トラフィックの設定

この例では、Web 認証をトリガーするように HTTPS トラフィックを設定する方法を示しています。HTTPSはHTTPよりも安全であるため、Web認証に広く使用されています。

要件

始める前に:

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ ファイアウォール

  • Linux と Open SSL がインストールされている 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。2台のPCは、キーファイルの作成とトラフィックの送信に使用されます。

  • SRX5400、SRX5600、および SRX5800 デバイス向けの Junos OS リリース 12.1X44-D10 以降、vSRX 仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、および SRX1500 サービス ゲートウェイ向けの Junos OS リリース 15.1X49-D40 以降。

SRXシリーズファイアウォールは、Web認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。

メモ:

公式.crtのファイルと.keyファイルがある場合は、SRXシリーズファイアウォールにファイルを直接アップロードしてインストールできます。ファイルと.keyファイルがない場合は.crt、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 およびステップ 4 で指定した命令は、動作モードで実行する必要があります。

  1. PC からファイルを作成します .key

  2. PC からファイルを作成します .crt

  3. SRXシリーズファイアウォールから、 および.crtファイルをアップロードし、.key次のコマンドを使用してデバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間で確立された安全な接続が開始されます。ネットワーク ユーザーは、ファイアウォールを越えた接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証では、パススルー認証用の HTTPS トラフィックがサポートされています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続されているデバイス間でデータが送信されるプロトコルです。ユーザーと接続されたデバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなどの機密性の高いオンライントランザクションを保護するためによく使用されます。

この例では、HTTPSの方がHTTPよりも安全であるため、HTTPSトラフィックを使用してWeb認証をトリガーしています。

ユーザーは、HTTPS を使用して、Web 認証が有効になっているデバイス上の IP アドレスにアクセスします。このシナリオでは、ユーザーは保護されたリソースの IP アドレスにアクセスするのに HTTPS を使用しません。ユーザーはユーザー名とパスワードの入力を求められますが、これはデバイスによって検証されます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この Web 認証の結果に基づいて許可または拒否されます。

図 7 に、HTTPS トラフィックを使用した Web 認証の例を示します。

図 7: HTTPS トラフィック Web Authentication Using HTTPS Trafficを使用した Web 認証

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit

手順

手順

ウェブ認証をトリガーするようHTTPSトラフィックを設定するには、次の手順に従います。

  1. HTTPS トラフィックに対する Web 管理サポートを有効にします。

  2. インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/0インターフェイスでWeb認証を有効にします。

  3. セキュリティ ポリシーを構成して、ゾーンの信頼からゾーンの信頼へのファイアウォール認証トラフィックを許可します。

  4. アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

  5. ファイアウォール認証設定の種類を構成します。

  6. パケットが基準に一致した場合に実行するポリシーアクションを指定します。

結果

設定モードから、 、 、 show interfacesshow security policies、および show access のコマンドを入力してshow system services設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定の確認

目的

構成が正しいことを確認します。

アクション

動作モードから コマンド show security firewall-authentication users identifier identifier を入力します。

サンプル出力
意味

コマンドは show security firewall-authentication users identifier identifier 、ユーザーの識別子 ID を使用して、ファイアウォール認証ユーザー情報を表示します。出力で authentication method パラメーターに Web 認証が表示され、認証状態パラメーターに [成功] と表示されている場合、構成は正しいです。