Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

論理システムのユーザー認証

論理システムのユーザー認証では、ファイアウォールユーザーを定義し、パススルー認証またはWeb認証の2つの認証スキームのいずれかによる認証をユーザーに要求するポリシーを作成できます。詳細については、次のトピックを参照してください。

例:アクセスプロファイルの設定(プライマリ管理者のみ)

プライマリ管理者は、プライマリ論理システムでアクセスプロファイルを設定します。この例では、アクセスプロファイルを設定する方法を示しています。

要件

始める前に:

概要

この例では、論理システムユーザーのLDAP認証用のアクセスプロファイルを設定します。この例では、 表 1 に示すアクセスプロファイルを作成します。

注:

プライマリ管理者がアクセスプロファイルを作成します。
表1:アクセスプロファイルの設定

名前

設定パラメータ

LDAP1

  • LDAPは、最初で唯一の認証方法として使用されます。

  • ベース識別名:

    • 組織ユニット名(OU):人

    • ドメインコンポーネント(DC):例、com

  • ユーザーのLDAP識別名は、共通名識別子、ユーザー名、ベース識別名を使用して組み立てられます。共通名識別子はユーザーID(UID)です。

  • LDAPサーバーアドレスは10.155.26.104で、ポート389を介してアクセスします。

設定

手順

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

注:

プライマリ管理者としてログインする必要があります。
ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

プライマリ論理システムでアクセスプロファイルを設定するには:

  1. プライマリ論理システムにプライマリ管理者としてログインし、設定モードに入ります。

  2. アクセスプロファイルを設定し、認証順序を設定します。

  3. LDAPオプションを設定します。

  4. LDAPサーバーを設定します。

結果

設定モードから、 show access profile profile-name コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

関連項目

例:プライマリ論理システムのセキュリティ機能の設定

この例では、プライマリ論理システムに対してゾーン、ポリシー、ファイアウォール認証などのセキュリティ機能を設定する方法を示します。

要件

始める前に:

概要

この例では、例: ユーザー論理システム、その管理者、そのユーザー、相互接続論理システムの作成に示すように、root-logical-systemと呼ばれるプライマリ論理システムのセキュリティ機能を設定します。この例では、 表 2 に示すセキュリティ機能を設定します。

表2:ルート論理システムセキュリティ機能の構成

機能

名前

設定パラメータ

ゾーン

LSルートトラスト

インターフェイスge-0/0/4.0にバインドします。

ls-root-untrust

インターフェイスlt-0/0/0.1にバインドします。

アドレス帳

root内部

  • アドレスプライマリ:10.12.12.0/24

  • ゾーンls-root-trustにアタッチ

root-external

  • アドレスデザイン:10.12.1.0/24

  • アドレスアカウンティング:10.14.1.0/24

  • アドレスマーケティング:10.13.1.0/24

  • アドレスセットユーザー:設計、会計、マーケティング

  • ゾーンls-root-untrustにアタッチ

セキュリティポリシー

ユーザーへの許可lsys

以下のトラフィックを許可します。

  • ゾーンから:ls-root-trust

  • ゾーンへ:ls-root-untrust

  • 送信元アドレス:プライマリ

  • 宛先アドレス:userlsys

  • アプリケーション:任意

許可権限ユーザー

以下のトラフィックを許可します。

  • 送信元ゾーン:ls-root-untrust

  • ゾーンへ:ls-root-trust

  • 送信元アドレス:userlsys

  • 宛先アドレス:プライマリ

  • アプリケーション:junos-http、junos-https

ファイアウォール認証

  • ウェブ認証

  • 認証成功バナー「WEB AUTH LOGIN SUCCESS」

  • デフォルトのアクセスプロファイルldap1

HTTPデーモン

インターフェイスge-0/0/4.0でアクティブにします。

設定

手順

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

プライマリ論理システムのゾーンとポリシーを設定するには:

  1. プライマリ論理システムにプライマリ管理者としてログインし、設定モードに入ります。

  2. セキュリティゾーンを作成し、各ゾーンにインターフェイスを割り当てます。

  3. アドレス帳エントリを作成します。

  4. アドレス帳をゾーンに添付します。

  5. ls-root-trustゾーンからls-root-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

  6. ls-root-untrustゾーンからls-root-trustゾーンへのトラフィックを認証するセキュリティポリシーを設定します。

  7. Web認証アクセスプロファイルを設定し、成功バナーを定義します。

  8. デバイス上のHTTPデーモンをアクティブにします。

結果

設定モードから、 show securityshow accessshow system services コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

ポリシー設定の検証

目的

ポリシーとルールに関する情報を検証します。

アクション

動作モードから、 show security policies detail コマンドを入力して、論理システム上で設定されたすべてのポリシーの概要を表示します。

関連項目

論理システムファイアウォール認証について

ファイアウォールユーザーは、ファイアウォールを越えた接続を開始する際に認証用のユーザー名とパスワードを提供する必要があるネットワークユーザーのことです。Junos OSでは、管理者が送信元IPアドレスやその他の認証情報に基づいて、ファイアウォールユーザーのファイアウォールの背後にある保護リソース(異なるゾーン)へのアクセスを制限および許可できます。

プライマリ管理者は、プライマリ論理システムでアクセスプロファイルを設定します。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存するか、そのような情報が保存されている外部の認証サーバーを指します。プライマリ論理システムで設定されたアクセスプロファイルは、すべてのユーザー論理システムで使用できます。

プライマリ管理者は、各ユーザーの論理システムに対してファイアウォール認証の最大数と予約済み数を設定します。その後、ユーザー論理システム管理者は、ユーザー論理システムでファイアウォール認証を作成できます。ユーザー論理システム管理者は、ユーザー論理システムから、 show system security-profile auth-entry コマンドを使用して、ユーザー論理システムに割り当てられた認証リソースの数を表示することができます。

アクセスプロファイルを設定するために、プライマリ管理者はプライマリ論理システムの[edit access]階層レベルでprofile設定ステートメントを使用します。アクセスプロファイルには、認証方法の順序、LDAPまたはRADIUSサーバーオプション、セッションオプションを含めることもできます。

その後、ユーザー論理システム管理者は、アクセスプロファイルをユーザー論理システム内のセキュリティポリシーに関連付けることができます。ユーザー論理システム管理者は、認証のタイプも指定します。

  • パススルー認証では、あるゾーンのホストまたはユーザーが、FTP、Telnet、またはHTTPクライアントを使用して、別のゾーンのリソースにアクセスしようとします。デバイスは、FTP、Telnet、またはHTTPを使用してユーザー名とパスワードの情報を収集し、この認証の結果に基づいてユーザーまたはホストからの後続のトラフィックを許可または拒否します。

  • Web認証では、ユーザーはHTTPを使用してWeb認証が有効になっているデバイス上のIPアドレスに接続し、ユーザー名とパスワードの入力を求められます。この認証の結果に基づいて、ユーザーまたはホストから保護されたリソースへの後続のトラフィックが許可または拒否されます。

ユーザー論理システム管理者は、ユーザー論理システムでファイアウォール認証に以下のプロパティを設定します。

  • 一致するトラフィックに対するファイアウォール認証を指定するセキュリティポリシー。ファイアウォール認証は、[edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit]階層レベルのfirewall-authentication設定ステートメントで指定されます。

    ポリシーによってアクセスを許可されているアクセスプロファイル内のユーザーまたはユーザーグループは、オプションでclient-match設定ステートメントで指定できます。(ユーザーまたはユーザーグループが指定されていない場合、認証に成功したユーザーであればアクセスが許可されます)。

    パススルー認証では、オプションでアクセスプロファイルを指定し、Webリダイレクト(認証のためにクライアントシステムをWebページにリダイレクトする)を有効にすることができます。

  • 認証のタイプ(パススルーまたはWeb認証)、デフォルトのアクセスプロファイル、およびFTP、Telnet、またはHTTPセッションの成功バナー。これらのプロパティは、[edit access]階層レベルでfirewall-authentication設定ステートメントで設定されます。

  • インバウンドトラフィックをホストします。プロトコル、サービス、またはその両方が論理システムへのアクセスを許可されます。トラフィックのタイプは、[edit security zones security-zone zone-name]または[edit security zones security-zone zone-name interfaces interface-name]階層レベルでhost-inbound-traffic設定ステートメントで設定されます。

ユーザー論理システム管理者は、ユーザー論理システムから、 show security firewall-authentication users または show security firewall-authentication history コマンドを使用して、ファイアウォールユーザーに関する情報とユーザー論理システムの履歴を表示できます。プライマリ管理者は、プライマリ論理システムから同じコマンドを使用して、プライマリ論理システム、特定のユーザー論理システム、またはすべての論理システムの情報を表示できます。

関連項目

例:ユーザー論理システムにファイアウォール認証を設定する

この例では、ユーザー論理システムに対してファイアウォール認証を設定する方法を示しています。

要件

始める前に:

  • 論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。

  • show system security-profiles auth-entryコマンドを使用して、論理システムに割り当てられているファイアウォール認証エントリーを表示します。

  • アクセスプロファイルは、プライマリ管理者がプライマリ論理システムで設定する必要があります。

概要

この例では、例: ユーザー論理システム、その管理者、そのユーザー、および相互接続論理システムの作成に示されている ls-product-design ユーザー論理システムを設定します。

この例では、ls-marketing-deptおよびls-accounting-dept論理システムのユーザーは、製品設計者のサブネットへの特定の接続を開始するときに認証する必要があります。この例では、 表 3 で説明するファイアウォール認証を設定します。

注:

この例では、 例:ユーザー論理システムのセキュリティゾーンの設定で設定されたアクセスプロファイルと設定されたアドレス帳エントリーを使用します。
表3:ユーザー論理システムファイアウォール認証設定

機能

名前

設定パラメータ

セキュリティポリシー

許可権限ユーザー

注:

ポリシールックアップは、ポリシーが設定された順序で実行されます。トラフィックに一致する最初のポリシーが使用されます。アプリケーション anyで同じfrom-zone、to-zone、送信元アドレス、宛先アドレスのトラフィックを許可するポリシーを以前に設定した場合、この例で設定したポリシーは一致しません。( 例:ユーザー論理システムでのセキュリティポリシーの設定を参照してください。)そのため、このポリシーが最初にチェックされるように並べ替える必要があります。

以下のトラフィックに対してファイアウォール認証を許可します。

  • ゾーンから:ls-product-design-untrust

  • ゾーンへ:ls-product-design-trust

  • 送信元アドレス: otherlsys

  • 宛先アドレス:product-engineers

  • アプリケーション:junos-h323

ldap1アクセスプロファイルは、パススルー認証に使用されます。

ファイアウォール認証

  • パススルー認証

  • HTTPログイン プロンプト「ようこそ」

  • デフォルトのアクセスプロファイルldap1

設定

手順

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

ユーザー論理システムでファイアウォール認証を設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ファイアウォール認証を許可するセキュリティポリシーを設定します。

  3. セキュリティポリシーの順序を変更します。

  4. ファイアウォール認証を設定します。

結果

設定モードから、 show security policies および show access firewall-authentication コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

ファイアウォールユーザー認証の検証とユーザーとIPアドレスの監視

目的

ファイアウォール認証ユーザーの履歴を表示し、認証に成功したファイアウォールユーザーとログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、以下の show コマンドを入力します。

関連項目

論理システムにおける統合ユーザーファイアウォールサポートについて

Junos OSリリース18.3R1以降、認証ソースのサポートが拡張され、Identity Management Service(JIMS)やClearPass 認証ジュニパー認証ソースに対する既存のサポートに加えて、ローカル認証、Active Directory(AD)認証、ファイアウォール認証も含まれるようになりました。

Junos OSリリース18.2R1以降、ユーザーファイアウォール認証のサポートは、共有モデルを使用して強化されています。このモデルでは、ユーザー論理システムはユーザーファイアウォールの設定と認証エントリをプライマリ論理システムと共有し、統合されたユーザーファイアウォール認証はユーザー論理システムでサポートされます。

共有モデルでは、認証ソース、認証ソースの優先順位、認証エントリのタイムアウト、IPクエリまたは個々のクエリなど、認証認証関連の設定がプライマリ論理システムの下で設定されます。ユーザーファイアウォールは、ポリシーやログなどの、SRXシリーズファイアウォール内のアプリケーションに対するユーザー情報サービスを提供します。ユーザー論理システムからのトラフィックは、プライマリ論理システムから認証テーブルをクエリーします。

認証テーブルは、プライマリ論理システムによって管理されます。ユーザー論理システムは、認証テーブルを共有します。プライマリ論理システムとユーザー論理システムからのトラフィックは、同じ認証テーブルにクエリーを実行します。ユーザー論理システムにより、セキュリティポリシーでソースIDを使用できます。

例えば、プライマリ論理システムが employee で設定され、ユーザー論理システムがsource-identity managerで設定されている場合、この認証エントリーの参照グループには employeemanagerが含まれます。この参照グループには、プライマリ論理システムとユーザー論理システムからの同じ認証エントリーが含まれています。

Junos OSリリース19.3R1以降、アクティブモードの統合JIMSを通じてカスタマイズされたモデルを使用することで、ユーザーファイアウォール認証のサポートが強化されています。このモデルでは、論理システムがルートレベルから認証エントリを抽出します。プライマリ論理システムは、論理システムとテナントシステム名に基づいてJIMSサーバーに設定されます。アクティブモードでは、SRXシリーズファイアウォールは、HTTPsプロトコルを介してJIMSサーバーから受信した認証エントリーをアクティブにクエリします。データ交換を減らすために、ファイアウォールフィルターが適用されます。

ユーザーファイアウォールは、論理システム名を差別化要因として使用し、JIMSサーバーとSRXシリーズファイアウォールの間で一貫性があります。JIMSサーバーは、認証エントリに含まれる差別化要因を送信します。認証エントリーは、差別化子がプライマリ論理システムのデフォルトとして設定されている場合、ルート論理システムに配信されます。

ユーザーファイアウォールがJunos OSリリース19.2R1以降の内部データベーステーブル形式を変更するため、ユーザーファイアウォールは論理システムのISSU(インサービスソフトウェアアップグレード)をサポートします。Junos OSリリース19.2R1以前では、ISSUは論理システムでサポートされていません。

ユーザーファイアウォール認証の使用制限

テナントシステムでユーザーファイアウォール認証を使用すると、以下の制限があります。

  • 認証エントリーは、お客様のネットワークからのIPアドレスに基づいてJIMSサーバーによって収集されます。IPアドレスが重複する場合、ユーザーが異なるユーザー論理システムでログインすると、認証エントリーが変更されます。

論理システム上のカスタマイズされたモデルでのユーザーファイアウォール認証の使用の制限

論理システム上のカスタマイズされたモデルでユーザーファイアウォール認証を使用する場合には、以下の制限があります。

  • ルート論理システムの下で設定する JIMS サーバー設定。

  • 論理システム名は、JIMSサーバーとSRXシリーズファイアウォールの間で一貫性があり、一意である必要があります。

関連項目

例:ユーザー論理システム向けの統合ユーザーファイアウォール識別管理の設定

この例では、ジュニパー Identity Management Service(JIMS)からユーザーID情報を取得するためのSRXシリーズファイアウォールの高度なクエリ機能と、ユーザー論理システムのソースIDと一致するセキュリティポリシーを設定する方法を示します。ルート論理システムでは、ユーザーファイアウォールがJIMSで設定され、ルート論理システムがJIMSからのすべての認証エントリーを管理します。この例では、すべてのユーザー論理システムが、ルート論理システムと認証エントリを共有しています。

要件

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • シャーシクラスタリングで動作するSRX1500デバイス

  • JIMSサーバー

  • Junos OSリリース18.2 R1

始める前に:

概要

この例では、ポート443でHTTPs接続を持つJIMSと、プライマリ論理システム上でIPv4アドレスを持つプライマリサーバー、論理システムlsys1上のdc0ドメインのソースID「group1」を持つポリシーp1、論理システムlsys2上のdc0ドメインのソースIDを持つポリシーp1を設定し、論理システムlsys1から論理システムlsys2にトラフィックを送信することができます。プライマリノードを再起動した後でも、プライマリ論理システムとユーザー論理システム(lsys1およびlsys2)で認証エントリを表示できます。

設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ユーザーファイアウォール識別管理の設定

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

ユーザーファイアウォール識別管理を設定するには:

  1. プライマリ論理システムにプライマリ管理者としてログインし、設定モードに入ります。

  2. 論理システムを作成します。

  3. lsys1_trustからlsys1_trustへのトラフィックを許可する、論理システム lsys1 上のソース ID グループ 1 でセキュリティ ポリシー lsys1_policy1を設定します。

  4. lsys1_trustからlsys1_untrustへのトラフィックを許可するセキュリティポリシー lsys1_policy2を設定します。

  5. lsys1_untrustからlsys1_trustへのトラフィックを許可するセキュリティポリシー lsys1_policy3を設定します。

  6. セキュリティゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  7. lsys2 上の lsys2_untrust から lsys2_untrust へのトラフィックを許可するセキュリティ ポリシー lsys2_policy1をソース ID グループ 1 で構成します。

  8. セキュリティゾーンを設定し、lsys2の各ゾーンにインターフェイスを割り当てます。

  9. プライマリアドレスを持つ高度なクエリリクエストの認証ソースとしてJIMSを設定します。SRXシリーズファイアウォールは、サーバーに接続するためにこの情報を必要とします。

  10. プライマリ論理システムでセキュリティポリシーとゾーンを設定します。

  11. プライマリ論理システム上でセキュリティゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

結果

設定モードから、 show services user-identification identity-management show chassis cluster コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

シャーシクラスターのステータスと認証エントリーの検証

目的

論理システム内の認証エントリーを検証するには。

アクション

設定が正常に機能していることを確認するには、 show services user-identification authentication-table authentication-source identity-management logical-system all コマンドを入力します。

意味

出力には、ユーザー論理システムからルート論理システムに共有される認証エントリが表示されます。

シャーシ クラスター ステータスの検証

目的

プライマリノードの再起動後に、シャーシクラスターのステータスを確認します。

アクション

設定が正常に機能していることを確認するには、 show chassis cluster status コマンドを入力します。

意味

出力には、プライマリ ノードの再起動後に lsys1 と lsys2 に存在するユーザー識別管理セッションが表示されます。

関連項目

例:論理システムのカスタマイズされたモデルで統合ユーザーファイアウォールを設定する

この例では、論理システムのアクティブモードを備えたジュニパー Identity Management Service(JIMS)サーバーを介してカスタマイズされたモデルを使用して、統合ユーザーファイアウォールを設定する方法を示しています。プライマリ論理システムは、論理システムと認証エントリを共有しません。SRXシリーズファイアウォールは、HTTPsプロトコルを介してJIMSサーバーから受信した認証エントリーをアクティブモードでクエリします。

この例では、以下の設定が実行されます。

  • アクティブなJIMSサーバー設定

  • 論理システムIPクエリ設定

  • 論理システム認証エントリー設定

  • 論理システムセキュリティポリシー設定

要件

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • JIMSサーバーバージョン2.0

  • Junos OSリリース19.3R1

開始する前に、次の情報を確認してください。

  • JIMSサーバーのIPアドレス。

  • HTTPsリクエストを受信するためのJIMSサーバーのポート番号。

  • アクティブなクエリーサーバーのJIMSサーバーからのクライアントID。

  • アクティブなクエリーサーバー用のJIMSサーバーからのクライアントシークレット。

概要

この例では、ポート443でのHTTPs接続とプライマリ論理システム上のIPv4アドレスを持つプライマリサーバー、論理システムLSYS1でソースIDgroup1ポリシーp2を設定するJIMSことができます。

設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルでコマンドを CLI にコピー アンド ペーストして、設定モードからコミットを入力します。

カスタマイズされたモデルでの統合ユーザーファイアウォールの設定:

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

カスタマイズモデルで統合ユーザーファイアウォールを設定するには:

  1. プライマリアドレスを持つ高度なクエリリクエストの認証ソースとしてJIMSを設定します。SRXシリーズファイアウォールは、サーバーに接続するためにこの情報を必要とします。

  2. LSYS1のIPクエリ遅延時間を設定します。

  3. LSYS1の認証エントリー属性を設定します。

  4. LSYS1のゾーンuntrustからゾーンtrustへのトラフィックを許可するセキュリティポリシーp2を設定します。

結果

設定モードから、 show services user-identification logical-domain-identity-management および show logical-systems LSYS1 コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

ユーザーIDの確認 ID管理ステータス

目的

認証元としてのID管理のためのユーザー識別ステータスを確認します。

アクション

設定が正常に機能していることを確認するには、 show services user-identification logical-domain-identity-management status コマンドを入力します。

意味

出力には、高度なユーザークエリ機能のバッチクエリとIPクエリに関する統計データが表示されるか、ジュニパー Identity Management Serviceサーバーのステータスが表示されます。

ユーザー識別ID管理ステータスカウンターの検証

目的

認証元としてのID管理用のユーザー識別カウンターを確認します。

アクション

設定が正常に機能していることを確認するには、 show services user-identification logical-domain-identity-management counters コマンドを入力します。

意味

出力には、高度なユーザークエリ機能のバッチクエリとIPクエリに関する統計データが表示されるか、ジュニパー Identity Management Serviceサーバー上のカウンターが表示されます。

ユーザー識別認証テーブルの検証

目的

指定した認証ソースのテーブルエントリー認証ユーザーID情報を確認します。

アクション

設定が正常に機能していることを確認するには、 show services user-identification authentication-table authentication-source all logical-system LSYS1 コマンドを入力します。

意味

出力には、指定された認証ソースの認証テーブルのコンテンツ全体、またはユーザー名に基づいて特定のドメイン、グループ、またはユーザーが表示されます。ユーザーのデバイスのIPアドレスに基づいて、ユーザーのID情報を表示します。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
19.3R1
Junos OSリリース19.3R1以降、アクティブモードの統合JIMSを通じてカスタマイズされたモデルを使用することで、ユーザーファイアウォール認証のサポートが強化されています。
18.3R1
Junos OSリリース18.3R1以降、認証ソースのサポートが拡張され、Identity Management Service(JIMS)やClearPass 認証ジュニパー認証ソースに対する既存のサポートに加えて、ローカル認証、Active Directory(AD)認証、ファイアウォール認証も含まれるようになりました。
18.2R1
Junos OSリリース18.2R1以降、ユーザーファイアウォール認証のサポートは、共有モデルを使用して強化されています。このモデルでは、ユーザー論理システムはユーザーファイアウォールの設定と認証エントリをプライマリ論理システムと共有し、統合されたユーザーファイアウォール認証はユーザー論理システムでサポートされます。