Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

論理システムのユーザー認証

論理システムのユーザー認証を使用すると、ファイアウォールユーザーを定義し、パススルー認証またはWeb認証の2つの認証スキームのいずれかを使用して自分の認証をユーザーに要求するポリシーを作成できます。詳細については、以下のトピックを参照してください。

例:アクセス プロファイルの設定(プライマリ管理者のみ)

1 次管理者は、1 次論理システムでアクセス・プロファイルを構成する責任があります。この例では、アクセスプロファイルを設定する方法を示しています。

要件

開始する前に、以下を行います。

概要

この例では、論理システムユーザーのLDAP認証のアクセスプロファイルを設定します。この例では、 表 1 で説明するアクセス プロファイルを作成します。

メモ:

プライマリ管理者がアクセス プロファイルを作成します。
表 1:アクセス プロファイルの設定

名前

設定パラメータ

ldap1

  • LDAPは、最初の(そして唯一の)認証方法として使用されます。

  • 基本識別名:

    • 組織部門名(OU): 人

    • ドメインコンポーネント(DC):例:com

  • ユーザーの LDAP 識別名は、共通名 ID、ユーザー名、および基本識別名を使用して組み立てられます。共通名識別子はユーザー ID(UID)です。

  • LDAPサーバーアドレスは10.155.26.104で、ポート389を介して到達します。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

メモ:

プライマリ管理者としてログインする必要があります。
手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

プライマリ論理システムでアクセスプロファイルを設定するには:

  1. プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。

  2. アクセスプロファイルを設定し、認証順序を設定します。

  3. LDAPオプションを設定します。

  4. LDAPサーバーを設定します。

結果

設定モードから、 コマンドを入力して設定を show access profile profile-name 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

「」も参照

例:プライマリ論理システムのセキュリティ機能の設定

この例では、プライマリ論理システムに対してゾーン、ポリシー、ファイアウォール認証などのセキュリティ機能を設定する方法を示します。

要件

開始する前に、以下を行います。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」で、root-logical-systemと呼ばれるプライマリ論理システムのセキュリティ機能を設定します。この例では、 表 2 で説明されているセキュリティ機能を設定します。

表 2:root-logical-system セキュリティ機能の設定

機能

名前

設定パラメータ

ゾーン

ls-root-trust

インターフェイスge-0/0/4.0にバインドします。

ls-root-untrust

インターフェイス lt-0/0/0.1 へのバインド

アドレス帳

root-internal

  • 住所の主な住所:10.12.12.0/24

  • ゾーン ls-root-trust にアタッチ

root-external

  • アドレス設計:10.12.1.0/24

  • アドレス アカウンティング:10.14.1.0/24

  • 住所マーケティング:10.13.1.0/24

  • アドレスセット userlsys:設計、アカウンティング、マーケティング

  • ゾーン ls-root-untrust にアタッチ

セキュリティ ポリシー

permit-to-userlsys

以下のトラフィックを許可します。

  • ゾーンから: ls-root-trust

  • ゾーンへ: ls-root-untrust

  • 送信元アドレス:主

  • 宛先アドレス:userlsys

  • アプリケーション:任意

permit-authorized-users

以下のトラフィックを許可します。

  • ゾーンから: ls-root-untrust

  • ゾーン: ls-root-trust

  • 送信元アドレス:userlsys

  • 宛先アドレス:主

  • アプリケーション:junos-http、junos-https

ファイアウォール認証

  • Web 認証

  • 認証成功バナー「WEB 認証ログインの成功」

  • デフォルトアクセスプロファイルldap1

HTTPデーモン

インターフェイス ge-0/0/4.0 でアクティブ化

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

プライマリ論理システムのゾーンとポリシーを設定するには、次の手順にしたがっています。

  1. プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。

  2. セキュリティ ゾーンを作成し、各ゾーンにインターフェイスを割り当てます。

  3. アドレス帳エントリを作成します。

  4. アドレス帳をゾーンに添付します。

  5. ls-root-trustゾーンからls-root-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

  6. ls-root-untrustゾーンからls-root-trustゾーンへのトラフィックを認証するセキュリティポリシーを設定します。

  7. Web 認証アクセス プロファイルを構成し、成功バナーを定義します。

  8. デバイスでHTTPデーモンをアクティブにします。

結果

設定モードから、 、 、 show accessコマンドを入力して設定をshow securityshow system services確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ポリシー設定の検証

目的

ポリシーとルールに関する情報を検証します。

アクション

運用モードから、 コマンドを show security policies detail 入力して、論理システムで設定されたすべてのポリシーの概要を表示します。

「」も参照

論理システム ファイアウォール認証について

ファイアウォールユーザーとは、ファイアウォールを介して接続を開始する際に、認証用のユーザー名とパスワードを指定する必要があるネットワークユーザーです。Junos OSを使用すると、管理者は、送信元IPアドレスやその他の認証情報に基づいて、ファイアウォールユーザーがファイアウォールの背後にある保護リソース(異なるゾーン)にアクセスすることを制限および許可できます。

1 次管理者は、1 次論理システムでアクセス・プロファイルを構成する責任があります。アクセスプロファイルには、ユーザーのユーザー名とパスワードが保存されるか、そのような情報が保存されている外部認証サーバーをポイントします。プライマリ論理システムで設定されたアクセスプロファイルは、すべてのユーザー論理システムで使用できます。

プライマリ管理者は、各ユーザー論理システムに対して、ファイアウォール認証の最大数と予約数を設定します。その後、ユーザー論理システム管理者は、ユーザー論理システムでファイアウォール認証を作成できます。ユーザー論理システムから、ユーザー論理システム管理者は、 コマンドを show system security-profile auth-entry 使用して、ユーザー論理システムに割り当てられた認証リソースの数を表示できます。

アクセスプロファイルを設定するために、プライマリ管理者は、プライマリ論理システムの [edit access] 階層レベルで設定ステートメントを使用profileします。アクセスプロファイルには、認証方法、LDAPまたはRADIUSサーバーオプション、セッションオプションの順序を含めることもできます。

その後、ユーザー論理システム管理者は、アクセス・プロファイルをユーザー論理システム内のセキュリティー・ポリシーに関連付けることができます。ユーザー論理システム管理者は、認証のタイプも指定します。

  • パススルー認証では、あるゾーンのホストまたはユーザーが、FTP、telnet、または HTTP クライアントを使用して別のゾーンのリソースにアクセスしようとします。デバイスは、FTP、Telnet、またはHTTPを使用してユーザー名とパスワード情報を収集し、この認証の結果に基づいて、ユーザーまたはホストからの後続のトラフィックが許可または拒否されます。

  • Web 認証では、ユーザーは HTTP を使用して、Web 認証が有効になっているデバイス上の IP アドレスに接続し、ユーザー名とパスワードを入力するよう求められます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

ユーザー論理システム管理者は、ユーザー論理システムのファイアウォール認証に以下のプロパティを設定します。

  • 一致するトラフィックのファイアウォール認証を指定するセキュリティ ポリシー。ファイアウォール認証は、構成ステートメントを firewall-authentication 使用して [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit] 階層レベルで指定されます。

    ポリシーによってアクセスが許可されているアクセスプロファイル内のユーザーまたはユーザーグループは、 client-match設定ステートメントでオプションで指定できます。(ユーザーまたはユーザー グループが指定されていない場合、正常に認証されたユーザーにはアクセスが許可されます)。

    パススルー認証の場合、アクセス プロファイルをオプションで指定し、Web リダイレクト(認証のためにクライアント システムを Web ページにリダイレクト)を有効にできます。

  • 認証のタイプ(パススルーまたは Web 認証)、デフォルト アクセス プロファイル、および FTP、Telnet、または HTTP セッションの成功バナー。これらのプロパティは、構成ステートメントで firewall-authentication [edit access] 階層レベルで構成されます。

  • ホストインバウンドトラフィック。プロトコル、サービス、またはその両方は、論理システムへのアクセスが許可されます。トラフィックのタイプは、[]または[edit security zones security-zone zone-nameedit security zones security-zone zone-name interfaces interface-name]階層レベルの設定ステートメントで設定host-inbound-trafficされます。

ユーザー論理システムから、ユーザー論理システム管理者は、 または show security firewall-authentication history コマンドをshow security firewall-authentication users 使用して、ファイアウォール ユーザーに関する情報とユーザー論理システムの履歴を表示できます。1 次論理システムから、1 次管理者は同じコマンドを使用して、1 次論理システム、特定のユーザー論理システム、またはすべての論理システムの情報を表示できます。

「」も参照

例:ユーザー論理システムのファイアウォール認証の設定

この例では、ユーザー論理システムにファイアウォール認証を設定する方法を示します。

要件

開始する前に、以下を行います。

  • 論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム構成の概要を参照してください。

  • コマンドを show system security-profiles auth-entry 使用して、論理システムに割り当てられたファイアウォール認証エントリーを表示します。

  • アクセスプロファイルは、プライマリ管理者がプライマリ論理システムで設定する必要があります。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示す ls-product-design ユーザー論理システムを設定します。

この例では、製品設計者サブネットに特定の接続を開始する際に、ls-marketing-dept および ls-accounting-accounting-dept 論理システムのユーザーが認証を行う必要があります。この例では、 表 3 で説明されているファイアウォール認証を設定します。

メモ:

この例では、「 例: ユーザー論理システムのセキュリティゾーンの設定」で設定されたアクセスプロファイルとアドレス帳エントリーを使用します。
表 3:ユーザー論理システム ファイアウォール認証の構成

機能

名前

設定パラメータ

セキュリティ ポリシー

permit-authorized-users

メモ:

ポリシー ルックアップは、ポリシーが設定された順序で実行されます。トラフィックに一致する最初のポリシーが使用されます。アプリケーションで、同じ送信元ゾーン、宛先ゾーン、送信元アドレス、宛先アドレス anyのトラフィックを許可するポリシーを事前に設定した場合、この例で設定されたポリシーは一致しません。(「 例:ユーザー論理システムでのセキュリティポリシーの設定」を参照してください)。そのため、このポリシーは、最初にチェックされるように並べ替える必要があります。

以下のトラフィックに対してファイアウォール認証を許可します。

  • ゾーンから: ls-product-design-untrust

  • ゾーン:ls-product-design-trust

  • 送信元アドレス:otherlsys

  • 宛先アドレス:製品エンジニア

  • アプリケーション:junos-h323

パススルー認証には ldap1 アクセス プロファイルが使用されます。

ファイアウォール認証

  • パススルー認証

  • HTTPログインプロンプト「ようこそ」

  • デフォルトアクセスプロファイルldap1

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザー論理システムでファイアウォール認証を設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ファイアウォール認証を許可するセキュリティ ポリシーを設定します。

  3. セキュリティ ポリシーを並べ替えます。

  4. ファイアウォール認証を設定します。

結果

設定モードから、 および show access firewall-authentication コマンドを入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ファイアウォール ユーザー認証の検証とユーザーと IP アドレスの監視

目的

ファイアウォール認証ユーザーの履歴を表示し、認証に成功したファイアウォール ユーザーとログインに失敗したファイアウォール ユーザーの数を確認します。

アクション

動作モードから、これらのコマンドを show 入力します。

「」も参照

論理システムにおける統合型ユーザー ファイアウォールのサポートについて

Junos OS リリース 18.3R1 以降では、認証ソースのサポートが拡張され、認証ソースに対する既存のサポートに加えて、ローカル認証、Active Directory(AD)認証、ファイアウォール認証が含まれます。また、Juniper Identity Management Service(JIMS)および ClearPass 認証もサポートされています。

Junos OS リリース 18.2R1 以降、共有モデルを使用してユーザー ファイアウォール認証のサポートが強化されました。このモデルでは、ユーザー論理システムがユーザー ファイアウォールの構成と認証エントリをプライマリ論理システムと共有し、統合ユーザー ファイアウォール認証がユーザー論理システムでサポートされます。

共有モデルでは、認証ソース、認証ソースの優先度、認証エントリーのタイムアウト、IP クエリまたは個別クエリなど、プライマリ論理システムの下でユーザー ファイアウォール関連の構成が構成されます。ユーザー ファイアウォールは、ポリシーやログ記録など、SRX シリーズ ファイアウォール内のアプリケーションのユーザー情報サービスを提供します。ユーザー論理システムからのトラフィックは、プライマリ論理システムから認証テーブルをクエリーします。

認証テーブルは、1 次論理システムによって管理されます。ユーザー論理システムは、認証テーブルを共有します。プライマリ論理システムとユーザー論理システムからのトラフィックは、同じ認証テーブルをクエリーします。ユーザー論理システムは、セキュリティ ポリシーで送信元 ID の使用を可能にします。

例えば、一次論理システムが 従業員 で構成され、ユーザー論理システムに送信元 ID マネージャーが構成されている場合、この認証エントリーの参照グループには 従業員マネージャーが含まれます。このリファレンス グループには、プライマリ論理システムとユーザー論理システムからの同じ認証エントリが含まれています。

Junos OS リリース 19.3R1 以降、アクティブ モードの統合 JIMS を通じてカスタマイズされたモデルを使用することで、ユーザー ファイアウォール認証のサポートが強化されました。このモデルでは、論理システムが認証エントリをルート レベルから抽出します。プライマリ論理システムは、論理システムとテナント システム名に基づいて JIMS サーバーに設定されます。アクティブ モードでは、SRX シリーズ ファイアウォールは、HTTPs プロトコルを介して JIMS サーバーから受信した認証済みエントリーに積極的にクエリーを実行します。データ交換を減らすために、ファイアウォールフィルターが適用されます。

ユーザー ファイアウォールは、論理システム名を差別化要因として使用し、JIMS サーバーと SRX シリーズ ファイアウォールの間で一貫しています。JIMS サーバーは、認証エントリーに含まれる差別化要素を送信します。差別化要素がプライマリ論理システムのデフォルトとして設定されている場合、認証エントリーはルート論理システムに配布されます。

ユーザー ファイアウォールは、Junos OS リリース 19.2R1 以降から内部データベース テーブル形式を変更するため、論理システムの ISSU(インサービス ソフトウェア アップグレード)をサポートします。Junos OS リリース 19.2R1 以前は、ISSU は論理システムではサポートされていません。

ユーザー ファイアウォール認証の使用制限

テナントシステムでユーザーファイアウォール認証を使用する場合、以下の制限があります。

  • 認証エントリーは、お客様のネットワークからのIPアドレスに基づいて JIMS サーバーによって収集されます。IP アドレスが重複する場合、ユーザーが異なるユーザー論理システムの下でログインすると、認証エントリが変更されます。

論理システム上のカスタマイズされたモデルでのユーザー ファイアウォール認証の使用制限

論理システムでカスタマイズされたモデルでユーザー ファイアウォール認証を使用する場合、以下の制限があります。

  • ルート論理システムの下で構成する JIMS サーバーの構成。

  • 論理システム名は、JIMS サーバーと SRX シリーズ ファイアウォール間で一貫性があり、一意である必要があります。

「」も参照

例:ユーザー論理システムの統合ユーザーファイアウォール識別管理の設定

この例では、SRX シリーズ ファイアウォールの高度なクエリ機能を構成して、Juniper Identity Management Service(JIMS)とセキュリティ ポリシーからユーザー ID 情報を取得し、ユーザー論理システムの送信元 ID と一致させる方法を示します。ルート論理システムでは、ユーザー ファイアウォールに JIMS が設定され、ルート論理システムが JIMS から取得したすべての認証エントリを管理します。この例では、すべてのユーザー論理システムが認証エントリーをルート論理システムと共有しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシ クラスタリングで動作するSRX1500デバイス

  • JIMS サーバー

  • Junos OS リリース 18.2 R1

開始する前に、以下を行います。

概要

この例では、JIMS を、ポート 443 の HTTPs 接続と、プライマリ論理システムの IPv4 アドレスを持つプライマリ サーバー、論理システム lsys1 上の dc0 ドメインの送信元アイデンティティ「group1」を持つポリシー p1、論理システム lsys2 上の dc0 ドメインのソースアイデンティティ「group1」を持つポリシー p1 を設定し、論理システム lsys1 から論理システム lsys2 へのトラフィック送信を行うことができます。プライマリノードを再起動した後でも、プライマリ論理システムとユーザー論理システム(lsys1およびlsys2)の認証エントリーを表示できます。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

ユーザー ファイアウォール識別管理の構成

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザーファイアウォール識別管理を設定するには:

  1. プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。

  2. 論理システムを作成します。

  3. lsys1_trustからlsys1_trustへのトラフィックを許可する論理システム lsys1 で、ソースアイデンティティ グループ 1 を使用してセキュリティ ポリシー lsys1_policy1を設定します。

  4. lsys1_trustからlsys1_untrustへのトラフィックを許可するセキュリティポリシー lsys1_policy2を設定します。

  5. lsys1_untrustからlsys1_trustへのトラフィックを許可するセキュリティポリシー lsys1_policy3を設定します。

  6. セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  7. lsys2でlsys2_untrustからlsys2_untrustへのトラフィックを許可するソースアイデンティティグループ1でセキュリティポリシー lsys2_policy1を設定します。

  8. セキュリティゾーンを設定し、lsys2の各ゾーンにインターフェイスを割り当てます。

  9. JIMS を、プライマリ アドレスを持つ高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。

  10. プライマリ論理システムにセキュリティポリシーとゾーンを設定します。

  11. セキュリティ ゾーンを設定し、プライマリ論理システム上の各ゾーンにインターフェイスを割り当てます。

結果

設定モードから、 コマンドを入力して設定をshow services user-identification identity-managementshow chassis cluster確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

シャーシ クラスタのステータスと認証エントリの検証

目的

論理システム内の認証エントリを検証するには。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification authentication-table authentication-source identity-management logical-system all 入力します。

意味

出力には、ユーザー論理システムからルート論理システムに共有される認証エントリーが表示されます。

シャーシ クラスタ ステータスの検証

目的

プライマリノードを再起動した後、シャーシクラスタのステータスを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show chassis cluster status 入力します。

意味

プライマリノードを再起動した後、lsys1およびlsys2に存在するユーザー識別管理セッションが出力されます。

「」も参照

例:論理システム向けにカスタマイズされたモデルでの統合型ユーザー ファイアウォールの設定

この例では、論理システムのアクティブモードでJuniper Identity Management Service(JIMS)サーバーを通じてカスタマイズされたモデルを使用して、統合ユーザーファイアウォールを設定する方法を示します。プライマリ論理システムは、認証エントリーを論理システムと共有しません。SRX シリーズ ファイアウォールは、アクティブ モードで HTTPs プロトコルを介して JIMS サーバーから受信した認証エントリーをクエリーします。

この例では、以下の設定が実行されます。

  • JIMS サーバーのアクティブな構成

  • 論理システム IP クエリー設定

  • 論理システム認証エントリーの設定

  • 論理システム セキュリティ ポリシーの設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • JIMS サーバー バージョン 2.0

  • Junos OS リリース 19.3R1

開始する前に、以下の情報を確認してください。

  • JIMS サーバーの IP アドレス。

  • HTTPs 要求を受信するための JIMS サーバーのポート番号。

  • アクティブなクエリ サーバーの JIMS サーバーからのクライアント ID。

  • アクティブなクエリ サーバーの JIMS サーバーからのクライアント シークレット。

概要

この例では、JIMS を、ポート 443 の HTTPs 接続と、プライマリ論理システム上の IPv4 アドレスを持つプライマリ サーバー、論理システムLSYS1上の送信元 ID group1 を持つポリシー p2 を設定できます。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルでCLIにコマンドをコピーアンドペーストして、設定モードからコミットを入力します。

カスタマイズされたモデルでの統合型ユーザー ファイアウォールの設定:

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

カスタマイズされたモデルで統合ユーザー ファイアウォールを設定するには::

  1. JIMS を、プライマリ アドレスを持つ高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。

  2. LSYS1 の IP 照会遅延時間を設定します。

  3. LSYS1 の認証エントリー属性を設定します。

  4. LSYS1 のゾーン untrust からゾーンへの信頼へのトラフィックを許可するセキュリティ ポリシー p2 を設定します。

結果

設定モードから、 および show logical-systems LSYS1 コマンドを入力して設定をshow services user-identification logical-domain-identity-management確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

ユーザー識別 ID 管理ステータスの確認

目的

認証ソースとしての ID 管理のユーザー識別ステータスを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification logical-domain-identity-management status 入力します。

意味

出力には、高度なユーザー クエリ機能のバッチ クエリと IP クエリに関する統計データが表示されるか、Juniper Identity Management Service サーバーのステータスが表示されます。

ユーザー識別 ID 管理ステータス カウンターの検証

目的

認証ソースとしてのアイデンティティ管理用のユーザー識別カウンターを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification logical-domain-identity-management counters 入力します。

意味

出力には、高度なユーザー クエリ機能のバッチ クエリと IP クエリに関する統計データが表示されるか、Juniper Identity Management Service サーバー上のカウンターが表示されます。

ユーザー識別認証テーブルの検証

目的

指定された認証ソースのユーザー ID 情報認証テーブル エントリーを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show services user-identification authentication-table authentication-source all logical-system LSYS1 入力します。

意味

出力には、ユーザー名に基づいて、指定された認証ソースの認証テーブル、または特定のドメイン、グループ、またはユーザーのコンテンツ全体が表示されます。ユーザーのデバイスの IP アドレスに基づいて、ユーザーの ID 情報を表示します。

関連ドキュメント

リリース履歴テーブル
リリース
説明
19.3R1
Junos OS リリース 19.3R1 以降、アクティブ モードの統合 JIMS を通じてカスタマイズされたモデルを使用することで、ユーザー ファイアウォール認証のサポートが強化されました。
18.3R1
Junos OS リリース 18.3R1 以降では、認証ソースのサポートが拡張され、認証ソースに対する既存のサポートに加えて、ローカル認証、Active Directory(AD)認証、ファイアウォール認証が含まれます。また、Juniper Identity Management Service(JIMS)および ClearPass 認証もサポートされています。
18.2R1
Junos OS リリース 18.2R1 以降、共有モデルを使用してユーザー ファイアウォール認証のサポートが強化されました。このモデルでは、ユーザー論理システムがユーザー ファイアウォールの構成と認証エントリをプライマリ論理システムと共有し、統合ユーザー ファイアウォール認証がユーザー論理システムでサポートされます。