非認証ブラウザ用のキャプティブポータルの設定
通常、SRXシリーズのファイアウォールは、認証されていないユーザーをキャプティブポータルにリダイレクトして認証します。キャプティブ ポータルにリダイレクトしている間、Microsoft の更新などのバックグラウンド プロセスにより、HTTP / HTTPS ブラウザベースのユーザーのアクセスがトリガーされる前にキャプティブ ポータルがトリガーされ、認証ポータルを表示せずにブラウザーに「401 Unauthorized」ページが表示されます。auth-only-browserとauth-user-agentパラメーターは、HTTP/HTTPSトラフィックを処理するための制御を提供します。
認証されていないブラウザユーザーに対するSRXシリーズアシュアランスキャプティブポータルサポートについて
認証されていないユーザーがHTTP/HTTPSブラウザーを使用してSRXシリーズで保護されたリソースへのアクセスを要求すると、SRXシリーズのファイアウォールはユーザーにキャプティブポータルインターフェイスを提示し、ユーザーの認証を可能にします。通常、このプロセスは干渉なしで発生します。ただし、この機能が導入される前は、Microsoft の更新やコントロール チェックなど、バックグラウンドで実行されている HTTP/HTTPS ベースのワークステーション サービスは、HTTP/HTTPS ブラウザベースのユーザのアクセス要求が行われる前にキャプティブ ポータル認証をトリガーすることができました。状況は競合状態をもたらしました。バックグラウンドプロセスが最初にキャプティブポータルをトリガーした場合、SRXシリーズファイアウォールは「401 Unauthorized」ページを表示しました。サービスはブラウザーに通知せずにページを破棄し、ブラウザー ユーザーに認証ポータルは表示されませんでした。SRXシリーズファイアウォールは、異なるSPU上の同じ送信元(IPアドレス)からの同時認証をサポートしていませんでした。
Junos OSリリース15.1X49-D90およびJunos OSリリース17.3R1以降、SRXシリーズファイアウォールは、Webリダイレクト認証のサポートを含め、複数のSPUにまたがる同時HTTP/HTTPSパススルー認証をサポートしています。SPUがCPに問い合わせている間にHTTP/HTTPSパケットが到着した場合、SRXシリーズファイアウォールはパケットを後から処理できるようにキューに入れます。
さらに、HTTP/HTTPS トラフィックの処理方法をより細かく制御できるように、次の 2 つのパラメーターを使用できます。
auth-only-browser:ブラウザのトラフィックのみを認証します。このパラメータを指定すると、SRXシリーズファイアウォールはHTTP/HTTPSブラウザトラフィックを他のHTTP/HTTPSトラフィックと区別します。SRXシリーズファイアウォールは、ブラウザ以外のトラフィックには応答しません。auth-user-agent パラメーターをこのコントロールと組み合わせて使用すると、HTTP トラフィックがブラウザーからのものであることをさらに確認できます。
auth-user-agent:HTTP/HTTPSブラウザヘッダーのUser-Agentフィールドに基づいてHTTP/HTTPSトラフィックを認証します。構成ごとに 1 つのユーザー エージェント値を指定できます。SRXシリーズファイアウォールは、HTTP/HTTPSブラウザヘッダーの[ユーザーエージェント]フィールドと指定したユーザーエージェント値が一致しているかどうかをチェックし、トラフィックがHTTP/HTTPSブラウザベースかどうかを判断します。
このパラメーターは、auth-only-browser パラメーターと一緒に使用することも、パススルーとユーザー ファイアウォール ファイアウォール認証の両方に単独で使用することもできます。
auth-user-agentの値として指定できる文字列は1つだけです。スペースを含めることはできず、文字列を引用符で囲む必要はありません。
メモ:Junos OS 17.4R1以降では、送信元アドレスを設定する際に、IPv4アドレスに加えてIPv6アドレスを割り当てることができます。IPv6送信元アドレスを設定するには、[セキュリティポリシーの編集元ゾーンの信頼からゾーンの信頼解除ポリシーポリシー名一致ソースアドレス]階層レベルで を発行
any
またはany-IPv6
コマンドします。
ここでは、認証専用ブラウザとauth-user-agentのファイアウォール認証機能を使用するようにセキュリティポリシーを設定する方法の例をいくつか示します。
For Pass-Through Authentication
auth-only-browser パラメータを使用するパススルー認証のセキュリティ ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through auth-only-browser access-profile my-access-profile1t
認証専用ブラウザなしでauth-user-agentパラメータを使用するパススルー認証のセキュリティポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p2 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p2 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p2 match application any user@host# set security policies from-zone trust to-zone untrust policy p2 then permit firewall-authentication pass-through auth-user-agent Opera1 access-profile my-access-profile2
auth-user-agent パラメータとともに auth-only-browser を使用するパススルー認証のセキュリティポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p3 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p3 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p3 match application any user@host# set security policies from-zone trust to-zone untrust policy p3 then permit firewall-authentication pass-through auth-only-browser auth-user-agent Opera1 my-access-profile3
For User Firewall Authentication
auth-only-browser パラメータを使用するユーザ ファイアウォール認証のセキュリティ ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p4 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p4 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p4 match application any user@host# set security policies from-zone trust to-zone untrust policy p4 then permit firewall-authentication user-firewall auth-only-browser access-profile my-access-profile4t
認証専用ブラウザなしでauth-user-agentパラメータを使用するユーザファイアウォール認証のセキュリティポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p5 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p5 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p5 match application any user@host# set security policies from-zone trust to-zone untrust policy p5 then permit firewall-authentication user-firewall auth-user-agent Opera1 access-profile my-access-profile5
auth-user-agent パラメータとともに auth-only-browser を使用するユーザ ファイアウォール認証のセキュリティ ポリシーを設定します。
user@host# set security policies from-zone trust to-zone untrust policy p6 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p6 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p6 match application any user@host# set security policies from-zone trust to-zone untrust policy p6 then permit firewall-authentication user-firewall auth-only-browser auth-user-agent Opera1 access-profile my-access-profile6
関連項目
キャプティブポータルを介して認証されたユーザのActive Directory認証エントリに割り当てられた強制タイムアウト設定の理解
このトピックでは、キャプティブ ポータルを介して認証するユーザの Active Directory 認証エントリに適用されるファイアウォール認証強制タイムアウト設定の影響について説明します。
キャプティブポータルを介してユーザーを認証すると、SRXシリーズファイアウォールがファイアウォール認証モジュールから取得した情報に基づいて、そのユーザーの認証テーブルエントリーが生成されます。その時点で、デフォルトのトラフィックベース認証タイムアウトロジックがエントリに適用されます。
管理者は、キャプティブ ポータルを介して認証する非ドメイン ユーザが認証されたままになる期間を制御することが重要です。ファイアウォール認証の強制タイムアウト機能により、その制御が可能になります。これを使用すると、ドメイン以外のユーザーが無期限に認証されたままにならないようになります。たとえば、トラフィックのフローが、キャプティブ ポータルを通じて認証された非ドメイン ユーザーのデバイスとの間で連続しているとします。デフォルトのトラフィックベース認証タイムアウトの動作を考えると、非ドメインユーザーは無期限に認証されたままになります。
ファイアウォール認証の強制タイムアウト値が設定されている場合、トラフィックベースのタイムアウトロジックと組み合わせて使用されます。
ファイアウォール認証の強制タイムアウトなどのタイムアウト設定が、キャプティブ ポータルで認証されたユーザの Active Directory 認証エントリにどのように影響するかを次に示します。以下のすべてのインスタンスで、キャプティブポータルを介してユーザーが認証された後、ファイアウォール認証情報に基づいてユーザーの認証エントリが生成されました。
ファイアウォール認証の強制タイムアウトは 3 時間に設定されています。
トラフィックは、ユーザーの認証エントリーに関連付けられたデバイスによって引き続き受信および生成されます。3時間後に認証エントリの有効期限が切れますが、その時点では、認証エントリ用にパケット転送エンジンに固定されたセッションがあります。
設定されている場合、ファイアウォール認証の強制タイムアウトは効果がありません。
認証エントリには、固定されたセッションがありません。認証エントリのタイムアウトに設定された時間 (30 分など) が経過すると、有効期限が切れます。
ファイアウォール認証の強制タイムアウト設定が削除されます。
ファイアウォール認証の強制タイムアウトは、新しい認証エントリには影響しません。ファイアウォール認証の強制タイムアウトは、削除される前に適用されていた既存の認証エントリに対して引き続き適用されます。つまり、これらの認証エントリでは、元の強制タイムアウト設定が有効なままになります。
ファイアウォール認証の強制タイムアウトの構成設定が変更されました。
新しいタイトアウト設定は、新しい着信認証エントリに適用されます。既存のエントリは、元の以前の設定を保持します。
ファイアウォール認証の強制タイムアウトは 0 に設定され、無効になります。
ファイアウォール認証の強制タイムアウトが新しい値に設定されている場合、その値はすべての着信認証エントリに割り当てられます。既存の認証エントリに対するファイアウォール認証の強制タイムアウト設定はありません。
ファイアウォール認証の強制タイムアウト値は構成されていません。
SRXシリーズファイアウォールは、ユーザーの認証エントリを生成します。デフォルトのトラフィックベースのタイムアウトロジックが認証エントリに適用されます。
アクティブ ディレクトリのタイムアウト値は 50 分に設定されています。50分のトラフィックベースのタイムアウトが認証エントリに適用されます。
アクティブディレクトリのタイムアウトは構成されていません。デフォルトのトラフィックベースのタイムアウトである 30 分が認証エントリに適用されます。