Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

テナントシステムのファイアウォール認証

ファイアウォール認証機能は、Juniper SRXシリーズファイアウォールのJunos OSリリース18.3R1のテナントシステムに導入され、ユーザーを個別またはグループで制限または許可できます。認証要求は、ポリシーで定義された宛先アドレスに基づいて開始されます。

テナントシステムファイアウォール認証について

ファイアウォールユーザーとは、ファイアウォールを介して接続を開始する際に、認証用のユーザー名とパスワードを指定する必要があるネットワークユーザーです。

ファイアウォール認証はポリシーベースの認証方法で、ユーザーはHTTP、FTP、またはTelnetトラフィックを介して認証要求を開始する必要があります。

Junos OSを使用すると、管理者は、送信元IPアドレスやその他の認証情報に基づいて、ファイアウォールユーザーがファイアウォールの背後にある保護リソースにアクセスすることを制限し、許可できます。

プライマリ管理者は、以下を設定します。

  • テナントシステム内のファイアウォール認証セッションの最大数と予約数。

  • 階層にあるプロファイル設定コマンドを [edit access] 使用してプロファイルにアクセスします。これは、すべてのテナントシステムで使用できます。

アクセス プロファイルでは、次の機能を使用できます。

  • ユーザーのユーザー名とパスワードを保存するか、そのような情報が保存されている外部認証サーバーをポイントします。

  • 認証方法、LDAPまたはRADIUSサーバーオプション、セッションオプションの順序を含みます。

  • テナントシステム内のセキュリティポリシーとの関連付け。

ファイアウォール ユーザーを定義した後、 表 1 で定義された認証モードの 1 つによる認証をユーザーに要求するポリシーを作成します。

表 1:ファイアウォール認証オプション

認証オプション

説明

サポートされているプロトコル

サポートされているバックエンド

Web 認証

ユーザーは HTTP を使用して、Web 認証が有効になっているデバイス上の IP アドレスに接続し、ユーザー名とパスワードを入力するよう求められます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

HTTP

HTTPS

地元の

Ldap

半径

Securid

パススルー

あるゾーンのホストまたはユーザーによるインライン認証は、別のゾーンのリソースにアクセスしようとします。デバイスは、サポートされているプロトコルを使用してユーザー名とパスワード情報を収集し、ユーザーまたはホストからの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

HTTP

HTTPS

Telnet

Ftp

地元の

Ldap

半径

Securid

Webリダイレクト

認証のためにクライアントをWebAuthページに自動的にリダイレクトする(httpまたはhttps)

HTTP

HTTPS

地元の

Ldap

半径

Securid

統合型ユーザー ファイアウォール

SRX シリーズ デバイスは、WMI クライアント (WMIC) 要求を AD に対して使用して、セキュリティ イベント ログで IP アドレスからユーザーへのマッピング情報を取得します。

なし

アクティブディレクトリ

ユーザーファイアウォール

パススルーと同じですが、ユーザー情報は USERID プロセスに渡され、認証テーブルに移動します。

HTTP

HTTPS

地元の

Ldap

半径

Securid

テナント システム管理者は、テナント システムのファイアウォール認証に対して以下のプロパティを構成します。

  • 一致するトラフィックのファイアウォール認証を指定するセキュリティ ポリシー。ファイアウォール認証は、 階層レベルのファイアウォール認証設定ステートメントで [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit] 指定されます。アクセスプロファイルでは、ポリシーによってユーザーまたはユーザーグループにアクセスを許可できます。オプションで、client-match設定ステートメントを使用して指定できます。ユーザーまたはユーザーグループが指定されていない場合、正常に認証されたユーザーにはアクセスが許可されます。

  • 認証のタイプ(パススルーまたは Web 認証)、デフォルト のアクセス プロファイル、FTP、Telnet、または HTTP セッションの成功バナー。これらのプロパティは、 階層で ファイアウォール認証設定ステートメントで設定されます [edit access]

    ホストインバウンドトラフィック。プロトコル、サービス、またはその両方がテナント システムへのアクセスを許可されます。トラフィックのタイプは、 または [edit security zones security-zone zone-name interfaces interface-name] 階層で 設定ステートメントで[edit security zones security-zone zone-name]設定host-inbound-trafficされます。

テナントシステムのファイアウォール認証の設定

この例では、3つの認証モードのパススルー、Webリダイレクトによるパススルー、Web認証を使用して、クライアントからサーバーに異なるファイアウォール認証トラフィックを1つのテナントシステム間で送信する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX4100 デバイス

  • Junos OS リリース 18.3R1 以降

  • Telnet または HTTP

  • 外部認証サーバーは、RADIUS、LDAP、SecurID です。

クライアントからサーバーにファイアウォール認証トラフィックを送信するために、以下の設定がされていることを確認します。

  • テナント システムのセキュリティ ゾーンの設定

  • プライマリ管理者が作成したインターフェイスを設定する

概要

ファイアウォールユーザーがTelnet、HTTP、またはHTTPSセッションを開始して別のゾーンのリソースにアクセスしようとすると、SRXシリーズファイアウォールは、ファイアウォールユーザーを認証するプロキシとして機能し、ユーザーがファイアウォールの背後にあるTelnet、HTTP、またはHTTPSサーバーにアクセスすることを許可します。

この例では、テナントシステムを設定し、セキュリティポリシーをそれにバインドすることができます。からのトラフィックが 、図1に示すようにクライアントからサーバーに送信されると、セキュリティポリシーで定義された認証プロセスに基づいてユーザーが認証されます。

メモ:

プライマリ管理者は、テナントを作成し、ルーティングインスタンス、ルーティングインスタンスのインターフェイス、テナントシステムへのセキュリティプロファイルなどのシステムリソースを割り当てます。
表 2:テナント システムのファイアウォール設定

機能

名前

説明

セキュリティプロファイル

tn1_pf

セキュリティ プロファイルの名前。このプロファイルは、セキュリティ プロファイルがバインドされているテナント システムに割り当てるリソースを指定します。

インターフェイス

xe-0/0/1

xe-0/0/2

インターフェイスの名前。インターフェイスは、トラフィック接続を提供します。

アクセスプロファイル

local_pf

radius_pf

securid_pf

アクセス プロファイルの名前。これらのプロファイルは、ユーザーとパスワードを定義し、ユーザーのアクセス権に関する認証情報を取得するために使用されます。

SSL 終端プロファイル

fwauthhttpspf

プロファイルの名前。このプロファイルは、SSL 終端サービスに使用されます。

ルーティングインスタンス

vr1

仮想ルーティング インスタンスとしてのインスタンス タイプ。

セキュリティ ポリシー

p7

ポリシーの名前。このポリシーは、fwauthhttpspf SSL終端プロファイルを使用してパススルーファイアウォール認証を設定するために使用されます。

p1

ポリシーの名前。このポリシーは、local_pfアクセス プロファイルを使用してパススルー ファイアウォール認証を構成するために使用されます。

p4

ポリシーの名前。このポリシーは、radius_pfを使用したパススルーWebリダイレクトファイアウォール認証を設定するために使用されます。

p3

ポリシーの名前。このポリシーは、Web認証ファイアウォール認証を設定するために使用されます。

トポロジ

図 1 は、この設定例で使用するトポロジーを示しています。このトポロジーに示すテナントは、複数のテナントにパーティション化されたSRXシリーズファイアウォールです。サポートされる外部サーバーは、RADIUS、LDAP、SecurID です。クライアントからテナントへの通信は、xe-0/0/1インターフェイスを介して行われます。テナントからサーバーへの通信はxe-0/0/2インターフェイスを介して行われます。

図 1:テナント システム Topology for Tenant Systemのトポロジー

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで [edit] CLI にコピー アンド ペーストして、設定モードからコミットを入力します。

アクセスプロファイルとファイアウォール認証の設定

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

  1. tn1_pfセキュリティプロファイルを設定し、テナントシステムにバインドします。

  2. テナントシステムtn1を作成し、セキュリティプロファイルtn1_pfをテナントシステムにバインドします。

  3. HTTPSトラフィックのSSL終端サービスに使用するアクセスプロファイルを定義して、パススルー認証をトリガーします。

  4. インターフェイスを設定し、IPアドレスを割り当てます。xe-0/0/1インターフェイスでWeb認証を有効にします。

  5. ルーティングインスタンスを設定し、インターフェイスを追加します。

手順

テナント システムのアクセス プロファイルの設定は、プライマリ管理者が行います。アクセスプロファイルを設定するには:

  1. ファイアウォール認証に使用するアクセス プロファイルを作成します。アクセス プロファイルでは、クライアントをファイアウォール ユーザーとして定義し、クライアントがファイアウォール認証用にアクセスできるようにするパスワードを定義します。ファイアウォール認証で認証されていないトラフィックが許可されている場合、このコマンドで設定されたアクセスプロファイルに基づいてユーザーが認証されます。

  2. RADIUS サーバーを構成するアクセス プロファイルを作成します。

  3. 外部認証に使用するサーバーとして SecurID を構成するアクセス プロファイルを作成します。

手順

テナントシステムでパススルー(ダイレクトおよびWebリダイレクト)およびWeb認証モードを使用して、ゾーン間のHTTP、HTTPS、およびTelnetトラフィックを許可するさまざまなセキュリティポリシーを設定します。

  1. Telnet トラフィックのパススルー認証にポリシー p1 を設定します。

  2. HTTPSトラフィックのパススルー認証にポリシーp7を設定します。

  3. HTTPトラフィックのWebリダイレクトを使用して、パススルー認証のポリシーp4を設定します。

  4. HTTP トラフィックの Web 認証にポリシー p3 を設定します。

  5. ゾーンを設定し、テナントシステムの各ゾーンにインターフェイスを割り当てます。

  6. Telnet セッションの成功バナーを定義します。テナント システム内のアプリケーションのファイアウォール認証パススルーおよび Web 認証バナーを設定します。

結果

設定モードから、 、show tenantsshow interfacesshow accessおよび のコマンドをshow system security-profile入力して、設定をshow services ssl termination確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

認証テーブルでのファイアウォール ユーザー認証および監視ユーザーと IP アドレスの検証

目的

テナント システムの管理者は、 または show security firewall-authentication history commandsshow security firewall-authentication users使用して、ファイアウォール ユーザーに関する情報とテナント システムの履歴を表示できます。テナント システムの管理者は、同じコマンドを使用して、すべてのテナント システムの情報を表示できます。

アクション

動作モードから、以下の show コマンドを入力します。

意味

出力には、認証されたファイアウォールユーザーと、テナントシステムのユーザーのファイアウォール認証履歴が表示されます。

「」も参照

テナント システムにおける統合型ユーザー ファイアウォールのサポートについて

テナントシステムは、共有およびアクティブモードでユーザーファイアウォール認証をサポートします。

Junos OSリリース19.1R1以降、ユーザーファイアウォール認証は、共有モデルを使用してテナントシステムでサポートされています。このモデルでは、プライマリ論理システムがユーザー ファイアウォールの設定と認証エントリをテナント システムと共有します。プライマリ論理システムは、ローカル認証、Active Directory(AD)認証、ファイアウォール認証ft、Juniper Identity Management Service(JIMS)、ClearPass 認証から収集された認証データをテナント システムと共有します。

共有モデルでは、認証ソース、認証ソースの優先度、認証エントリーのタイムアウト、IP クエリまたは個々のクエリーなど、プライマリ論理システムの下でユーザー ファイアウォール関連の設定が設定されます。ユーザーファイアウォールは、ポリシーやログ記録など、SRXシリーズファイアウォール上のアプリケーションのユーザー情報サービスを提供します。テナント システムからのトラフィックは、プライマリ論理システムから認証テーブルをクエリーします。

認証テーブルは、1 次論理システムによって管理されます。テナント システムは認証テーブルを共有します。プライマリ論理システムとテナント システムからのトラフィックは、同じ認証テーブルをクエリーします。テナント システムでは、セキュリティ ポリシーに送信元 ID を使用できます。

例えば、一次論理システムが 従業員 で構成され、テナント・システムに送信元 ID マネージャーが構成されている場合、この認証エントリーの参照グループには 従業員マネージャーが含まれます。このリファレンス グループには、プライマリ論理システムとテナント システムからの同じ認証エントリが含まれています。

Junos OS リリース 19.3R1 以降、アクティブ モードの統合 JIMS を通じてカスタマイズされたモデルを使用することで、ユーザー ファイアウォール認証のサポートが強化されました。このモデルでは、テナント システムが認証エントリをルート レベルから抽出します。プライマリ論理システムは、論理システムとテナント システム名に基づいて JIMS サーバーに設定されます。アクティブ モードでは、SRX シリーズ ファイアウォールは、HTTPs プロトコルを介して JIMS サーバーから受信した認証済みエントリーに積極的にクエリーを実行します。データ交換を減らすために、ファイアウォールフィルターが適用されます。

ユーザー ファイアウォールはテナント システム名を差分子として使用し、JIMS サーバーと SRX シリーズ ファイアウォールの間で一貫しています。JIMS サーバーは、認証エントリーに含まれる diffrentiator を送信します。diffrentiator が 1 次論理システムのデフォルトとして設定されている場合、認証エントリーはルート論理システムに配布されます。

ユーザー ファイアウォールは、Junos OS リリース 19.2R1 以降から内部データベース テーブル形式を変更するため、テナント システムの ISSU(インサービス ソフトウェア アップグレード)をサポートします。Junos OS リリース 19.2R1 以前は、ISSU はテナント システムではサポートされていません。

Junos OS リリース 20.2R1 以降、論理システムとテナント システムは、統合型アクセス コントロール(UAC)によるユーザー ファイアウォール認証をサポートしています。

テナントシステムでのユーザーファイアウォール認証の使用制限

テナントシステムでユーザーファイアウォール認証を使用する場合、以下の制限があります。

  • 異なるテナント システムの IP アドレスが重複してはなりません。アドレスが重複する場合、異なるユーザーが異なるテナント システムにログインしたときに認証エントリが変更されます。

テナントシステム上でカスタマイズされたモデルでユーザーファイアウォール認証を使用することの制限

テナントシステムでカスタマイズされたモデルでユーザーファイアウォール認証を使用する場合、以下の制限があります。

  • ルート論理システムの下で構成する JIMS サーバーの構成。

  • テナント システム名は、JIMS サーバーと SRX シリーズ ファイアウォール間で一貫性があり、一意である必要があります。

「」も参照

例:テナントシステムの統合ユーザーファイアウォール識別管理の設定

この例では、SRX シリーズ ファイアウォールの高度なクエリ機能を構成して、Juniper Identity Management Service(JIMS)とセキュリティ ポリシーからユーザー ID 情報を取得し、テナント システムの送信元 ID と一致させる方法を示します。プライマリ論理システムでは、ユーザーファイアウォールに JIMS が設定され、プライマリ論理システムが JIMS から取得したすべての認証エントリを管理します。この例では、プライマリ論理システムが認証エントリーをテナントシステムと共有しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシ クラスタリングで動作するSRX1500デバイス

  • JIMS サーバー

  • Junos OS リリース 19.1 R1

概要

この例では、JIMS を、ポート 443 の HTTPs 接続と、プライマリ論理システムの IPv4 アドレスを持つプライマリ サーバー、テナント システム TN1 上の dc0 ドメインのソースアイデンティティ「group1」を持つポリシー p1、テナント システム TN2 上の dc0 ドメインのソースアイデンティティ「group1」を持つポリシー p1 を設定し、テナント システム TN1 からテナント システム TN2 へのトラフィック送信を行うことができます。プライマリ ノードを再起動した後でも、プライマリ論理システムとテナント システム(TN1 および TN2)の認証エントリーを表示できます。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

ユーザー ファイアウォール識別管理の構成

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザーファイアウォール識別管理を設定するには:

  1. プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。

  2. テナント システムを作成します。

  3. TN1_trustからTN1_trustへのトラフィックを許可するテナントシステムTN1で、送信元アイデンティティグループ1を使用してセキュリティポリシー TN1_policy1を設定します。

  4. TN1_trustからTN1_untrustへのトラフィックを許可するセキュリティポリシー TN1_policy2を設定します。

  5. TN1_untrustからTN1_trustへのトラフィックを許可するセキュリティポリシー TN1_policy3を設定します。

  6. セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  7. TN2 でTN2_untrustからTN2_untrustへのトラフィックを許可する送信元アイデンティティ グループ 1 でセキュリティ ポリシー TN2_policy1を設定します。

  8. セキュリティ ゾーンを設定し、TN2 の各ゾーンにインターフェイスを割り当てます。

  9. JIMS を、プライマリ アドレスを持つ高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。

  10. 1 次論理システムでセキュリティー・ポリシーとゾーンを構成します。

  11. セキュリティ ゾーンを設定し、プライマリ論理システム上の各ゾーンにインターフェイスを割り当てます。

結果

設定モードから、 コマンドを入力して設定をshow services user-identification identity-managementshow chassis cluster確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

シャーシ クラスタのステータスと認証エントリの検証

目的

テナント システム内の認証エントリを検証します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification authentication-table authentication-source identity-management tenant TN1 入力します。

意味

出力には、プライマリ論理システムからテナント システムに共有される認証エントリーが表示されます。

シャーシ クラスタ ステータスの検証

目的

プライマリノードを再起動した後、シャーシクラスタのステータスを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show chassis cluster status 入力します。

意味

プライマリ ノードを再起動した後、TN1 および TN2 に存在するユーザー識別管理セッションが出力されます。

「」も参照

例:テナント システム向けにカスタマイズされたモデルでの統合型ユーザー ファイアウォールの設定

この例では、テナント システムのアクティブ モードで Juniper Identity Management Service(JIMS)サーバーを通じてカスタマイズされたモデルを使用して、統合ユーザー ファイアウォールを構成する方法を示します。プライマリ論理システムは、認証エントリーをテナントシステムと共有しません。SRX シリーズ ファイアウォールは、アクティブ モードで HTTPs プロトコルを介して JIMS サーバーから受信した認証エントリーをクエリーします。

この例では、以下の設定が実行されます。

  • JIMS サーバーのアクティブな構成

  • テナント システム IP クエリの構成

  • テナント システム認証エントリの構成

  • テナント システム セキュリティ ポリシーの設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • JIMS サーバー バージョン 2.0

  • Junos OS リリース 19.3R1

開始する前に、以下の情報を確認してください。

  • JIMS サーバーの IP アドレス。

  • HTTPs 要求を受信するための JIMS サーバーのポート番号。

  • アクティブなクエリ サーバーの JIMS サーバーからのクライアント ID。

  • アクティブなクエリ サーバーの JIMS サーバーからのクライアント シークレット。

概要

この例では、JIMS を、ポート 443 の HTTPs 接続と、プライマリ論理システム上の IPv4 アドレスを持つプライマリ サーバー、テナント システムTSYS1上の送信元 ID group1 を持つポリシー p2 を設定できます。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで [edit] CLI にコピー アンド ペーストして、設定モードからコミットを入力します。

カスタマイズされたモデルでの統合型ユーザー ファイアウォールの設定:

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

カスタマイズされたモデルで統合型ユーザー ファイアウォールを設定するには::

  1. JIMS を、プライマリ アドレスを持つ高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。

  2. TSYS1 の IP 照会遅延時間を設定します。

  3. TSYS1 の認証エントリー属性を設定します。

  4. TSYS1 のゾーン untrust からゾーンへの信頼へのトラフィックを許可するセキュリティ ポリシー p2 を設定します。

結果

設定モードから、 および show tenants TSYS1 コマンドを入力して設定をshow services user-identification logical-domain-identity-management確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

ユーザー識別 ID 管理ステータスの確認

目的

認証ソースとしての ID 管理のユーザー識別ステータスを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification logical-domain-identity-management status 入力します。

意味

出力には、高度なユーザー クエリ機能のバッチ クエリと IP クエリに関する統計データが表示されるか、Juniper Identity Management Service サーバーのステータスが表示されます。

ユーザー識別 ID 管理ステータス カウンターの検証

目的

認証ソースとしてのアイデンティティ管理用のユーザー識別カウンターを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification logical-domain-identity-management counters 入力します。

意味

出力には、高度なユーザー クエリ機能のバッチ クエリと IP クエリに関する統計データが表示されるか、Juniper Identity Management Service サーバー上のカウンターが表示されます。

ユーザー識別認証テーブルの検証

目的

指定された認証ソースのユーザー ID 情報認証テーブル エントリーを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification authentication-table authentication-source all tenant TSYS1 入力します。

意味

出力には、ユーザー名に基づいて、指定された認証ソースの認証テーブル、または特定のドメイン、グループ、またはユーザーのコンテンツ全体が表示されます。ユーザーのデバイスの IP アドレスに基づいて、ユーザーの ID 情報を表示します。

リリース履歴テーブル
リリース
説明
19.3R1
Junos OS リリース 19.3R1 以降、アクティブ モードの統合 JIMS を通じてカスタマイズされたモデルを使用することで、ユーザー ファイアウォール認証のサポートが強化されました。
19.1R1
Junos OSリリース19.1R1以降、ユーザーファイアウォール認証は、共有モデルを使用してテナントシステムでサポートされています。このモデルでは、プライマリ論理システムがユーザー ファイアウォールの設定と認証エントリをテナント システムと共有します。プライマリ論理システムは、ローカル認証、Active Directory(AD)認証、ファイアウォール認証ft、Juniper Identity Management Service(JIMS)、ClearPass 認証から収集された認証データをテナント システムと共有します。