外部認証サーバーの設定
外部認証サーバーは、認証のために外部サーバーからユーザーの資格情報を収集するために使用されます。
外部認証サーバーについて
認証、許可、およびアカウンティング(AAA)サーバーは、次の方法でユーザー アクセスの保護と制御のレベルを高めます。
認証によってファイアウォール ユーザーが決まります。
承認によって、ファイアウォール ユーザーが実行できる操作が決まります。
アカウンティングは、ファイアウォールユーザーがネットワーク上で何をしたかを判断します。
認証は、単独で使用することも、許可とアカウンティングと共に使用することもできます。承認では、常に最初にユーザーを認証する必要があります。アカウンティングは、単独で使用することも、認証と許可とともに使用することもできます。
ユーザーの資格情報が収集されると、次の種類のサーバーをサポートするファイアウォール ユーザー認証を使用して処理されます。
ローカル認証と許可
RADIUS認証と許可(Juniper Steel-Belted Radiusサーバーと互換性あり)
LDAP 認証のみ (LDAP バージョン 3 をサポートし、Windows AD と互換性があります)
SecurID認証のみ(RSA SecurID外部認証サーバーを使用)
Junos OSは、ローカル、RADIUS、TACACS+サーバーを使用した管理認証もサポートしています。
このトピックは、以下のセクションで構成されています。
SecurIDユーザー認証について
SecurIDは、ユーザーが静的パスワードまたは動的パスワードを資格情報として入力できるようにする認証方法です。動的パスワードは、ユーザーの PIN とランダムに生成されたトークンの組み合わせで、短時間 (約 1 分) 有効です。静的パスワードは、SecurIDサーバー上のユーザーに対して設定されます。たとえば、SecurIDサーバー管理者は、SecurIDトークンを紛失したユーザーに対して一時的な静的パスワードを設定する場合があります。
ユーザーがポリシーで保護されているリソースにアクセスしようとしたときに、SecurIDがプロファイル authentication-order ・パラメータで唯一の認証モードまたは最初に使用される認証モードとして構成されている場合、デバイスは認証のためにユーザーの資格情報をSecurIDサーバーに転送します。ユーザーが有効な値を入力すると、要求されたリソースへのアクセスが許可されます。
SecurIDサーバーには、ユーザーが間違った資格情報を繰り返し指定した場合にユーザーにチャレンジを提示する機能が含まれています。ただし、Junos OSはチャレンジ機能をサポートしていません。代わりに、SecurIDサーバー管理者はユーザーのRSAトークンを再同期する必要があります。
SecurIDでは、SecurIDサーバー上でジュニパーネットワークスのデバイスに関する情報を設定すると、この情報はsdconf.recというファイルにエクスポートされます。
デバイスに sdconf.rec ファイルをインストールするには、FTP などの帯域外方式を使用する必要があります。ファイルが定期的に削除されないディレクトリにファイルをインストールします。一時ディレクトリには置かないでください。たとえば、/var/db/secureid/server1/sdconf.rec にインストールできます。
sdconf.recファイルには、ジュニパーネットワークスデバイスにSecurIDサーバーのアドレスを提供する情報が含まれています。外部認証サーバーとして使用する SecurID サーバーを構成する場合、この情報を明示的に構成する必要はありません。
例:RADIUS および LDAP ユーザ認証の設定
次に、デバイスを外部認証用に設定する例を示します。
要件
開始する前に、認証ユーザーグループを作成します。
概要
複数のユーザー・アカウントをまとめてユーザー・グループを形成し、ローカル・データベース、RADIUS、LDAP、またはSecurIDサーバーに保存できます。ポリシーで認証ユーザーグループと外部認証サーバーを参照すると、ポリシーに一致するトラフィックによって認証チェックがトリガーされます。
この例では、アクセス プロファイル Profile-1 が外部認証用にどのように設定されているかを示しています。2 つの RADIUS サーバーと 1 つの LDAP サーバーがアクセス プロファイルに設定されます。ただし、認証の順序ではRADIUSサーバーのみが指定されているため、RADIUSサーバー認証が失敗した場合、ファイアウォールユーザーは認証に失敗します。ローカル データベースはアクセスされません。
ファイアウォールクライアントがRADIUSサーバーによって認証される場合、RADIUSサーバーから返されるグループメンバーシップVSAには、RADIUSサーバー設定またはアクセスプロファイルProfile-1にアルファ、ベータ、またはガンマクライアントグループが含まれている必要があります。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存するか、そのような情報が保存されている外部認証サーバーを指します。
構成
手順
CLIクイック構成
この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。
set access profile Profile-1 authentication-order radius set access profile Profile-1 client Client-1 client-group alpha set access profile Profile-1 client Client-1 client-group beta set access profile Profile-1 client Client-1 client-group gamma set access profile Profile-1 client Client-1 firewall-user password pwd set access profile Profile-1 client Client-2 client-group alpha set access profile Profile-1 client Client-2 client-group beta set access profile Profile-1 client Client-2 firewall-user password pwd set access profile Profile-1 client Client-3 firewall-user password pwd set access profile Profile-1 client Client-4 firewall-user password pwd set access profile Profile-1 session-options client-group alpha set access profile Profile-1 session-options client-group beta set access profile Profile-1 session-options client-group gamma set access profile Profile-1 session-options client-idle-timeout 255 set access profile Profile-1 session-options client-session-timeout 4 set access profile Profile-1 ldap-options base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net set access profile Profile-1 ldap-options search search-filter sAMAccountName= set access profile Profile-1 ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=juniper,dc=net set access profile Profile-1 ldap-options search admin-search password pwd set access profile Profile-1 ldap-server 203.0.113.39/24 set access profile Profile-1 radius-server 203.0.113.62/24 secret example-secret set access profile Profile-1 radius-server 203.0.113.62/24 retry 10 set access profile Profile-1 radius-server 203.0.113.27/24 secret juniper
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
デバイスを外部認証用に構成するには:
外部認証順序のRADIUSサーバーを指定します。
[edit] user@host# set access profile Profile-1 authentication-order radius
Client1-4 ファイアウォール ユーザーを設定し、Client-1 ファイアウォール ユーザーとクライアント 2 ファイアウォール ユーザーをクライアント グループに割り当てます。
[edit access profile Profile-1] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
セッションオプションでクライアントグループを設定します。
[edit access profile Profile-1] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
LDAP サーバーとサーバー オプションの IP アドレスを構成します。
[edit access profile Profile-1] user@host# set ldap-options base-distinguished-name CN=users,DC=junos,DC=mycompany,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search password pwd user@host# set ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=mycompany,dc=net user@host# set ldap-server 203.0.113.39/24
2台のRADIUSサーバーのIPアドレスを設定します。
[edit access profile Profile-1] user@host# set radius-server 203.0.113.62/24 secret pwd user@host# set radius-server 203.0.113.62/24 retry 10 user@host# set radius-server 203.0.113.27/24 secret pwd
結果
設定モードから、 コマンドを入力して show access profile Profile-1 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show access profile Profile-1
authentication-order radius;
client Client-1 {
client-group [ alpha beta gamma ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-2 {
client-group [ alpha beta ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-3 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-4 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
session-options {
client-group [ alpha beta gamma ];
client-idle-timeout 255;
client-session-timeout 4;
}
ldap-options {
base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net;
search {
search-filter sAMAccountName=;
admin-search {
distinguished-name cn=administrator,cn=users,dc=junos,
dc=mycompany,dc=net; password "$ABC123"; ## SECRET-DATA
}
}
}
ldap-server {
203.0.113.39/24 ;
}
radius-server {
203.0.113.62/24 {
secret "$ABC123"; ## SECRET-DATA
retry 10;
}
203.0.113.27/24 {
secret "$ABC123"; ## SECRET-DATA
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
セキュアな接続のためのTLS/SSLによるLDAP認証の有効化
Junos OSリリース15.1X49-D70以降、SRXシリーズファイアウォールは、ファイアウォールユーザー認証用のLDAP用のトランスポート層セキュリティ(TLS)StartTLS拡張と、ファイアウォール認証を通じてユーザー名とロール情報を取得するための統合ユーザーファイアウォール認証をサポートしています。StartTTLS を使用すると、ピア間のネゴシエーションが成功した後、TLS レイヤーを介した LDAP サーバーとクライアント間のプロトコル データ転送が可能になります。StartTLS は、既存の安全でない LDAP 接続をセキュアな TLS/SSL 接続にアップグレードします。
SRXシリーズファイアウォールはTLSv1.1およびTLS v1.2をサポートしており、TLS/SSLによるLDAP認証を使用します。
LDAP 用の StartTLS を使用すると、セキュリティが強化される次の暗号のセットを使用して、セキュリティで保護された通信を提供できます。
高暗号化暗号:AES256-SHA、DES-CBC3-SHA
中暗号化暗号: 高暗号化暗号 + RC4-SHA:RC4-MD5:AES128-SHA
中程度の暗号化暗号: 中程度の暗号化暗号 + DES-CBC-SHA:EXP1024-DES-CBC-SHA:EXP1024-RC4-SHA:EXP1024-RC4-MD5:EXP-DES-CBC-SHA:EXP-RC4-MD5
LDAP での StartTLS の実装は、次の標準 LDAP サーバーと相互運用できます。
ウィンドウズアクティブディレクトリ
ノベル電子ディレクトリ
Sun LDAP
Openldap
デフォルトでは、LDAP トラフィックは安全に送信されません。セキュア・ソケット・レイヤー/トランスポート層セキュリティー (SSL/TLS) テクノロジーを使用して、LDAP トラフィックを機密かつセキュアに設定できます。
LDAP サーバー構成の一部として TLS パラメーターを構成するには、次のようにします。
SRXシリーズファイアウォールは、デフォルトでLDAP認証のTLSハンドシェイク中にLDAPサーバーの証明書に対する追加チェックをサポートしています。サーバー証明書の検証が必要ない場合は、次の構成を使用して、サーバーの証明書の検証を無視し、チェックせずに証明書を受け入れることができます。
[edit] user@host# set access profile profile-name ldap-server ip-address no-tls-certificate-check
デフォルトでは、 no-tls-certificate-check は無効のままです。
例:SecurIDユーザー認証の構成
この例では、SecurID を外部認証サーバーとして構成する方法を示します。
要件
開始する前に、認証ユーザーグループを作成します。
概要
SecurIDは、ユーザーが静的パスワードまたは動的パスワードを資格情報として入力できるようにする認証方法です。動的パスワードは、ユーザーの PIN とランダムに生成されたトークンの組み合わせで、短時間 (約 1 分) 有効です。静的パスワードは、SecurIDサーバー上のユーザーに対して設定されます。たとえば、SecurIDサーバー管理者は、SecurIDトークンを紛失したユーザーに対して一時的な静的パスワードを設定する場合があります。
ユーザーがポリシーで保護されているリソースにアクセスしようとしたときに、SecurIDがプロファイル authentication-order ・パラメータで唯一の認証モードまたは最初に使用される認証モードとして構成されている場合、デバイスは認証のためにユーザーの資格情報をSecurIDサーバーに転送します。ユーザーが有効な値を入力すると、要求されたリソースへのアクセスが許可されます。
Server-1をSecurIDサーバとして使用すること、およびその構成ファイルがファイル内の /var/db/securid/Server-1/sdconf.rec デバイス上にあることを指定します。設定モードから、次のコマンドを入力します。
user@host# set access securid-server Server-1 configuration-file “/var/db/securid/Server-1/sdconf.rec”
構成
手順
CLIクイック構成
この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。
set access profile Profile-2 authentication-order securidset access profile Profile-2 client Client-1 client-group alphaset access profile Profile-2 client Client-1 client-group betaset access profile Profile-2 client Client-1 client-group gammaset access profile Profile-2 client Client-1 firewall-user password pwdset access profile Profile-2 client Client-2 client-group alphaset access profile Profile-2 client Client-2 client-group betaset access profile Profile-2 client Client-2 firewall-user password pwdset access profile Profile-2 client Client-3 firewall-user password pwdset access profile Profile-2 client Client-4 firewall-user password pwdset access profile Profile-2 session-options client-group alphaset access profile Profile-2 session-options client-group betaset access profile Profile-2 session-options client-group gammaset access profile Profile-2 session-options client-idle-timeout 255set access profile Profile-2 session-options client-session-timeout 4
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
SecurIDを外部認証サーバーとして構成するには、以下を行います。
Profile-2プロファイルでは、外部認証に使用するサーバーとしてSecurIDを設定します。
[edit] user@host# set access profile Profile-2 authentication-order securid
単一のSecurIDサーバーを複数のプロファイルで共有するには、プロファイルごとに、認証モードとして含め
securidるパラメータを設定しますauthentication-order。クライアント 1 〜 4 をファイアウォール ユーザーとして設定し、クライアント 1 とクライアント 2 をクライアント グループに割り当てます。
[edit access profile Profile-2] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
セッションオプションでクライアントグループを設定します。
[edit access profile Profile-2] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
結果
設定モードから、 コマンドを入力して show access profile Profile-2 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show access profile Profile-2
authentication-order securid;
client Client-1 {
client-group [ alpha beta gamma ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-2 {
client-group [ alpha beta ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-3 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-4 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
session-options {
client-group [alpha beta gamma];
client-idle-timeout 255;
client-session-timeout 4;
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
トラブルシューティング
ダイナミックVPN構成で認証に失敗した場合のトラブルシューティング
問題
デバイスがダイナミック VPN 構成でクライアント アドレスを見つけることができません。
ソリューション
デバイス・ホスト名、ドメイン検索、およびネーム・サーバーが正しく構成されていることを確認します。
[edit system] user@host# set host-name srxhost.example.net user@host# set domain-search domain.example.net user@host# set name-server 203.0.113.11
デバイスのホスト名が RSA サーバーで解決されていることを確認します。
例:SecurIDノード・シークレット・ファイルの削除
この例では、ノード シークレット ファイルを削除する方法を示します。
要件
開始する前に、SecurID ノード シークレット ファイルを削除する必要があることを確認します。
概要
ジュニパー・ネットワークス・デバイスが最初にSecurIDサーバーと正常に通信すると、そのデバイス用のノード・シークレット・ファイルが自動的に作成されます。このファイルは、ソフトウェアが最初のユーザーを正常に認証した後、ジュニパーネットワークスデバイスとSecurIDサーバー間のハンドシェイクの結果として作成されます。ジュニパー・ネットワークス・デバイスとSecurIDサーバー間の後続のすべての通信は、認証要求ごとにハンドシェイクを繰り返すのではなく、2つのノード間の信頼の表現としてこのシークレットに依存します。
通常の状況では、ノード・シークレット・ファイルは削除しないでください。まれに、たとえば重大な問題をデバッグするためにこれを行う必要がある場合は、 clear コマンドを使用してファイルを削除できます。
ファイルを削除する場合は、SecurIDサーバーのボックスを選択解除して、ジュニパー・ネットワーク・デバイスとSecurIDサーバーのノード・シークレット・ファイルが存在しないことを示す必要があります。それ以外の場合、認証の試行は失敗します。
構成
手順
手順
ノード・シークレット・ファイルを削除するには:
clearコマンドを使用して、ノード・シークレット・ファイルを削除します。その後のユーザー認証時に、デバイスはSecurIDサーバーとの共有シークレットを再確立し、ノード・シークレット・ファイルを再作成します。動作モードから、コマンドを入力してclear network-accesssecurid-node-secret-file、ジュニパーネットワークスデバイスの をクリアします。user@host> clear network-access securid-node-secret-file
動作モードから、 コマンドを入力して
show network-access securid-node-secret-file削除を確認します。出力が表示されない場合は、この例の手順を繰り返して修正します。user@host> show network-access securid-node-secret-file
検証
コマンドを入力して show network-access securid-node-secret-file 、削除を確認します。