論理システムのユーザー認証
論理システムのユーザー認証を使用すると、ファイアウォールユーザーを定義し、パススルー認証またはWeb認証の2つの認証スキームのいずれかを使用して自分の認証をユーザーに要求するポリシーを作成できます。詳細については、以下のトピックを参照してください。
例:アクセス プロファイルの設定(プライマリ管理者のみ)
1 次管理者は、1 次論理システムでアクセス・プロファイルを構成する責任があります。この例では、アクセスプロファイルを設定する方法を示しています。
要件
開始する前に、以下を行います。
プライマリー管理者としてプライマリ論理システムにログインします。 「プライマリ論理システムとプライマリ管理者ロールについて」を参照してください。
ファイアウォール ユーザー認証の概要を参照してください。
概要
この例では、論理システムユーザーのLDAP認証のアクセスプロファイルを設定します。この例では、 表 1 で説明するアクセス プロファイルを作成します。
プライマリ管理者がアクセス プロファイルを作成します。
名前 |
設定パラメータ |
---|---|
ldap1 |
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
プライマリ管理者としてログインする必要があります。
set access profile ldap1 authentication-order ldap set access profile ldap1 ldap-options base-distinguished-name ou=people,dc=example,dc=com set access profile ldap1 ldap-options assemble common-name uid set access profile ldap1 ldap-server 10.155.26.104 port 389
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
プライマリ論理システムでアクセスプロファイルを設定するには:
プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。
admin@host> configure admin@host#
アクセスプロファイルを設定し、認証順序を設定します。
[edit access profile ldap1] admin@host# set authentication-order ldap
LDAPオプションを設定します。
[edit access profile ldap1] admin@host# set ldap-options base-distinguished-name ou=people,dc=example,dc=com admin@host# set ldap-options assemble common-name uid
LDAPサーバーを設定します。
[edit access profile ldap1] admin@host# set ldap-server 10.155.26.104 port 389
結果
設定モードから、 コマンドを入力して設定を show access profile profile-name
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
admin@host# show access profile ldap1 authentication-order ldap; ldap-options { base-distinguished-name ou=people,dc=example,dc=com; assemble { common-name uid; } } ldap-server { 10.155.26.104 port 389; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
例:プライマリ論理システムのセキュリティ機能の設定
この例では、プライマリ論理システムに対してゾーン、ポリシー、ファイアウォール認証などのセキュリティ機能を設定する方法を示します。
要件
開始する前に、以下を行います。
-
プライマリー管理者としてプライマリ論理システムにログインします。 例: 論理システムの root パスワードの設定を参照してください。
-
コマンドを
show system security-profile
使用して、1 次論理システムに割り振られているリソースを確認します。 -
プライマリ論理システムの論理インターフェイスを設定します。 例:ユーザー論理システムのプライマリおよび相互接続論理システムのインターフェイス、ルーティングインスタンス、スタティックルートの設定(プライマリ管理者のみ)を参照してください。
-
1次論理システムでアクセス・プロファイルldap1を設定します。ldap1アクセスプロファイルは、ファイアウォールユーザーのWeb認証に使用されます。
概要
この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」で、root-logical-systemと呼ばれるプライマリ論理システムのセキュリティ機能を設定します。この例では、 表 2 で説明されているセキュリティ機能を設定します。
機能 |
名前 |
設定パラメータ |
---|---|---|
ゾーン |
ls-root-trust |
インターフェイスge-0/0/4.0にバインドします。 |
|
ls-root-untrust |
インターフェイス lt-0/0/0.1 へのバインド |
アドレス帳 |
root-internal |
|
|
root-external |
|
セキュリティ ポリシー |
permit-to-userlsys |
以下のトラフィックを許可します。
|
|
permit-authorized-users |
以下のトラフィックを許可します。
|
ファイアウォール認証 |
|
|
HTTPデーモン |
|
インターフェイス ge-0/0/4.0 でアクティブ化 |
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security address-book root-internal address masters 10.12.12.0/24 set security address-book root-internal attach zone ls-root-trust set security address-book root-external address design 10.12.1.0/24 set security address-book root-external address accounting 10.14.1.0/24 set security address-book root-external address marketing 10.13.1.0/24 set security address-book root-external address-set userlsys address design set security address-book root-external address-set userlsys address accounting set security address-book root-external address-set userlsys address marketing set security address-book root-external attach zone ls-root-untrust set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match source-address masters set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match destination-address userlsys set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match application any set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys then permit set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match source-address userlsys set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match destination-address masters set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-http set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-https set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users then permit firewall-authentication web-authentication set security zones security-zone ls-root-trust interfaces ge-0/0/4.0 set security zones security-zone ls-root-untrust interfaces lt-0/0/0.1 set system services web-management http interface ge-0/0/4.0 set access firewall-authentication web-authentication default-profile ldap1 set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
プライマリ論理システムのゾーンとポリシーを設定するには、次の手順にしたがっています。
-
プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。
admin@host> configure admin@host#
-
セキュリティ ゾーンを作成し、各ゾーンにインターフェイスを割り当てます。
[edit security zones] admin@host# set security-zone ls-root-trust interfaces ge-0/0/4.0 admin@host# set security-zone ls-root-untrust interfaces lt-0/0/0.1
-
アドレス帳エントリを作成します。
[edit security] admin@host# set address-book root-internal address masters 10.12.12.0/24 admin@host# set address-book root-external address design 10.12.1.0/24 admin@host# set address-book root-external address accounting 10.14.1.0/24 admin@host# set address-book root-external address marketing 10.13.1.0/24 admin@host# set address-book root-external address-set userlsys address design admin@host# set address-book root-external address-set userlsys address accounting admin@host# set address-book root-external address-set userlsys address marketing
-
アドレス帳をゾーンに添付します。
[edit security] admin@host# set address-book root-internal attach zone ls-root-trust admin@host# set address-book root-external attach zone ls-root-untrust
-
ls-root-trustゾーンからls-root-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone ls-root-trust to-zone ls-root-untrust] admin@host# set policy permit-to-userlsys match source-address masters admin@host# set policy permit-to-userlsys match destination-address userlsys admin@host# set policy permit-to-userlsys match application any admin@host# set policy permit-to-userlsys then permit
-
ls-root-untrustゾーンからls-root-trustゾーンへのトラフィックを認証するセキュリティポリシーを設定します。
[edit security policies from-zone ls-root-untrust to-zone ls-root-trust] admin@host# set policy permit-authorized-users match source-address userlsys admin@host# set policy permit-authorized-users match destination-address masters admin@host# set policy permit-authorized-users match application junos-http admin@host# set policy permit-authorized-users match application junos-https admin@host# set policy permit-authorized-users then permit firewall-authentication web-authentication
-
Web 認証アクセス プロファイルを構成し、成功バナーを定義します。
[edit access] admin@host# set firewall-authentication web-authentication default-profile ldap1 admin@host# set firewall-authentication web-authentication banner success “WEB AUTH LOGIN SUCCESS”
-
デバイスでHTTPデーモンをアクティブにします。
[edit system] admin@host# set services web-management http interface ge-0/0/4.0
結果
設定モードから、 、 、 show access
コマンドを入力して設定をshow security
show system services
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
簡潔にするために、この show
コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。
[edit] admin@host# show security ... address-book { root-internal { address masters 10.12.12.0/24; attach { zone ls-root-trust; } } root-external { address design 10.12.1.0/24; address accounting 10.14.1.0/24; address marketing 10.13.1.0/24; address-set userlsys { address design; address accounting; address marketing; } attach { zone ls-root-untrust; } } } policies { from-zone ls-root-trust to-zone ls-root-untrust { policy permit-to-userlsys { match { source-address masters; destination-address userlsys; application any; } then { permit; } } } from-zone ls-root-untrust to-zone ls-root-trust { policy permit-authorized-users { match { source-address userlsys; destination-address masters; application [ junos-http junos-https ]; } then { permit { firewall-authentication { web-authentication; } } } } } } zones { security-zone ls-root-trust { interfaces { ge-0/0/4.0; } } security-zone ls-root-untrust { interfaces { lt-0/0/0.1; } } } [edit] admin@host# show access ... firewall-authentication { web-authentication { default-profile ldap1; banner { success "WEB AUTH LOGIN SUCCESS"; } } } [edit] admin@host# show system services web-management { http { interface ge-0/0/4.0; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
論理システム ファイアウォール認証について
ファイアウォールユーザーとは、ファイアウォールを介して接続を開始する際に、認証用のユーザー名とパスワードを指定する必要があるネットワークユーザーです。Junos OSを使用すると、管理者は、送信元IPアドレスやその他の認証情報に基づいて、ファイアウォールユーザーがファイアウォールの背後にある保護リソース(異なるゾーン)にアクセスすることを制限および許可できます。
1 次管理者は、1 次論理システムでアクセス・プロファイルを構成する責任があります。アクセスプロファイルには、ユーザーのユーザー名とパスワードが保存されるか、そのような情報が保存されている外部認証サーバーをポイントします。プライマリ論理システムで設定されたアクセスプロファイルは、すべてのユーザー論理システムで使用できます。
プライマリ管理者は、各ユーザー論理システムに対して、ファイアウォール認証の最大数と予約数を設定します。その後、ユーザー論理システム管理者は、ユーザー論理システムでファイアウォール認証を作成できます。ユーザー論理システムから、ユーザー論理システム管理者は、 コマンドを show system security-profile auth-entry
使用して、ユーザー論理システムに割り当てられた認証リソースの数を表示できます。
アクセスプロファイルを設定するために、プライマリ管理者は、プライマリ論理システムの [edit access
] 階層レベルで設定ステートメントを使用profile
します。アクセスプロファイルには、認証方法、LDAPまたはRADIUSサーバーオプション、セッションオプションの順序を含めることもできます。
その後、ユーザー論理システム管理者は、アクセス・プロファイルをユーザー論理システム内のセキュリティー・ポリシーに関連付けることができます。ユーザー論理システム管理者は、認証のタイプも指定します。
パススルー認証では、あるゾーンのホストまたはユーザーが、FTP、telnet、または HTTP クライアントを使用して別のゾーンのリソースにアクセスしようとします。デバイスは、FTP、Telnet、またはHTTPを使用してユーザー名とパスワード情報を収集し、この認証の結果に基づいて、ユーザーまたはホストからの後続のトラフィックが許可または拒否されます。
Web 認証では、ユーザーは HTTP を使用して、Web 認証が有効になっているデバイス上の IP アドレスに接続し、ユーザー名とパスワードを入力するよう求められます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。
ユーザー論理システム管理者は、ユーザー論理システムのファイアウォール認証に以下のプロパティを設定します。
一致するトラフィックのファイアウォール認証を指定するセキュリティ ポリシー。ファイアウォール認証は、構成ステートメントを
firewall-authentication
使用して [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit
] 階層レベルで指定されます。ポリシーによってアクセスが許可されているアクセスプロファイル内のユーザーまたはユーザーグループは、 client-match設定ステートメントでオプションで指定できます。(ユーザーまたはユーザー グループが指定されていない場合、正常に認証されたユーザーにはアクセスが許可されます)。
パススルー認証の場合、アクセス プロファイルをオプションで指定し、Web リダイレクト(認証のためにクライアント システムを Web ページにリダイレクト)を有効にできます。
認証のタイプ(パススルーまたは Web 認証)、デフォルト アクセス プロファイル、および FTP、Telnet、または HTTP セッションの成功バナー。これらのプロパティは、構成ステートメントで
firewall-authentication
[edit access
] 階層レベルで構成されます。ホストインバウンドトラフィック。プロトコル、サービス、またはその両方は、論理システムへのアクセスが許可されます。トラフィックのタイプは、[]または[
edit security zones security-zone zone-name
edit security zones security-zone zone-name interfaces interface-name
]階層レベルの設定ステートメントで設定host-inbound-traffic
されます。
ユーザー論理システムから、ユーザー論理システム管理者は、 または show security firewall-authentication history
コマンドをshow security firewall-authentication users
使用して、ファイアウォール ユーザーに関する情報とユーザー論理システムの履歴を表示できます。1 次論理システムから、1 次管理者は同じコマンドを使用して、1 次論理システム、特定のユーザー論理システム、またはすべての論理システムの情報を表示できます。
「」も参照
例:ユーザー論理システムのファイアウォール認証の設定
この例では、ユーザー論理システムにファイアウォール認証を設定する方法を示します。
要件
開始する前に、以下を行います。
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム構成の概要を参照してください。
コマンドを
show system security-profiles auth-entry
使用して、論理システムに割り当てられたファイアウォール認証エントリーを表示します。アクセスプロファイルは、プライマリ管理者がプライマリ論理システムで設定する必要があります。
概要
この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示す ls-product-design ユーザー論理システムを設定します。
この例では、製品設計者サブネットに特定の接続を開始する際に、ls-marketing-dept および ls-accounting-accounting-dept 論理システムのユーザーが認証を行う必要があります。この例では、 表 3 で説明されているファイアウォール認証を設定します。
この例では、「 例: ユーザー論理システムのセキュリティゾーンの設定」で設定されたアクセスプロファイルとアドレス帳エントリーを使用します。
機能 |
名前 |
設定パラメータ |
---|---|---|
セキュリティ ポリシー |
permit-authorized-users
メモ:
ポリシー ルックアップは、ポリシーが設定された順序で実行されます。トラフィックに一致する最初のポリシーが使用されます。アプリケーションで、同じ送信元ゾーン、宛先ゾーン、送信元アドレス、宛先アドレス |
以下のトラフィックに対してファイアウォール認証を許可します。
パススルー認証には ldap1 アクセス プロファイルが使用されます。 |
ファイアウォール認証 |
|
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match application junos-h323 set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1 set access firewall-authentication pass-through default-profile ldap1 set access firewall-authentication pass-through http banner login “welcome”
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムでファイアウォール認証を設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ファイアウォール認証を許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match destination -address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match application junos-h323 lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1
セキュリティ ポリシーを並べ替えます。
[edit] lsdesignadmin1@host:ls-product-design# insert security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users before policy permit-all-from-otherlsys
ファイアウォール認証を設定します。
[edit access firewall-authentication] lsdesignadmin1@host:ls-product-design# set pass-through http banner login "welcome" lsdesignadmin1@host:ls-product-design# set pass-through default-profile ldap1
結果
設定モードから、 および show access firewall-authentication
コマンドを入力して設定をshow security policies
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsdesignadmin1@host:ls-product-design# show security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust { policy permit-all-to-otherlsys { match { source-address product-designers; destination-address otherlsys; application any; } then { permit; } } } from-zone ls-product-design-untrust to-zone ls-product-design-trust { policy permit-authorized-users { match { source-address otherlsys; destination-address product-designers; application junos-h323; } then { permit { firewall-authentication { pass-through { access-profile ldap1; } } } } } policy permit-all-from-otherlsys { match { source-address otherlsys; destination-address product-designers; application any; } then { permit; } } } lsdesignadmin1@host:ls-product-design# show access firewall-authentication pass-through { default-profile ldap1; http { banner { login welcome; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ファイアウォール ユーザー認証の検証とユーザーと IP アドレスの監視
目的
ファイアウォール認証ユーザーの履歴を表示し、認証に成功したファイアウォール ユーザーとログインに失敗したファイアウォール ユーザーの数を確認します。
アクション
動作モードから、これらのコマンドを show
入力します。
lsdesignadmin1@host:ls-product-design> show security firewall-authentication history lsdesignadmin1@host:ls-product-design> show security firewall-authentication history identifier id lsdesignadmin1@host:ls-product-design> show security firewall-authentication users lsdesignadmin1@host:ls-product-design> show security firewall-authentication users identifier id
論理システムにおける統合型ユーザー ファイアウォールのサポートについて
Junos OS リリース 18.3R1 以降では、認証ソースのサポートが拡張され、認証ソースに対する既存のサポートに加えて、ローカル認証、Active Directory(AD)認証、ファイアウォール認証が含まれます。また、Juniper Identity Management Service(JIMS)および ClearPass 認証もサポートされています。
Junos OS リリース 18.2R1 以降、共有モデルを使用してユーザー ファイアウォール認証のサポートが強化されました。このモデルでは、ユーザー論理システムがユーザー ファイアウォールの構成と認証エントリをプライマリ論理システムと共有し、統合ユーザー ファイアウォール認証がユーザー論理システムでサポートされます。
共有モデルでは、認証ソース、認証ソースの優先度、認証エントリーのタイムアウト、IP クエリまたは個別クエリなど、プライマリ論理システムの下でユーザー ファイアウォール関連の構成が構成されます。ユーザー ファイアウォールは、ポリシーやログ記録など、SRX シリーズ ファイアウォール内のアプリケーションのユーザー情報サービスを提供します。ユーザー論理システムからのトラフィックは、プライマリ論理システムから認証テーブルをクエリーします。
認証テーブルは、1 次論理システムによって管理されます。ユーザー論理システムは、認証テーブルを共有します。プライマリ論理システムとユーザー論理システムからのトラフィックは、同じ認証テーブルをクエリーします。ユーザー論理システムは、セキュリティ ポリシーで送信元 ID の使用を可能にします。
例えば、一次論理システムが 従業員 で構成され、ユーザー論理システムに送信元 ID マネージャーが構成されている場合、この認証エントリーの参照グループには 従業員 と マネージャーが含まれます。このリファレンス グループには、プライマリ論理システムとユーザー論理システムからの同じ認証エントリが含まれています。
Junos OS リリース 19.3R1 以降、アクティブ モードの統合 JIMS を通じてカスタマイズされたモデルを使用することで、ユーザー ファイアウォール認証のサポートが強化されました。このモデルでは、論理システムが認証エントリをルート レベルから抽出します。プライマリ論理システムは、論理システムとテナント システム名に基づいて JIMS サーバーに設定されます。アクティブ モードでは、SRX シリーズ ファイアウォールは、HTTPs プロトコルを介して JIMS サーバーから受信した認証済みエントリーに積極的にクエリーを実行します。データ交換を減らすために、ファイアウォールフィルターが適用されます。
ユーザー ファイアウォールは、論理システム名を差別化要因として使用し、JIMS サーバーと SRX シリーズ ファイアウォールの間で一貫しています。JIMS サーバーは、認証エントリーに含まれる差別化要素を送信します。差別化要素がプライマリ論理システムのデフォルトとして設定されている場合、認証エントリーはルート論理システムに配布されます。
ユーザー ファイアウォールは、Junos OS リリース 19.2R1 以降から内部データベース テーブル形式を変更するため、論理システムの ISSU(インサービス ソフトウェア アップグレード)をサポートします。Junos OS リリース 19.2R1 以前は、ISSU は論理システムではサポートされていません。
ユーザー ファイアウォール認証の使用制限
テナントシステムでユーザーファイアウォール認証を使用する場合、以下の制限があります。
認証エントリーは、お客様のネットワークからのIPアドレスに基づいて JIMS サーバーによって収集されます。IP アドレスが重複する場合、ユーザーが異なるユーザー論理システムの下でログインすると、認証エントリが変更されます。
論理システム上のカスタマイズされたモデルでのユーザー ファイアウォール認証の使用制限
論理システムでカスタマイズされたモデルでユーザー ファイアウォール認証を使用する場合、以下の制限があります。
ルート論理システムの下で構成する JIMS サーバーの構成。
論理システム名は、JIMS サーバーと SRX シリーズ ファイアウォール間で一貫性があり、一意である必要があります。
「」も参照
例:ユーザー論理システムの統合ユーザーファイアウォール識別管理の設定
この例では、SRX シリーズ ファイアウォールの高度なクエリ機能を構成して、Juniper Identity Management Service(JIMS)とセキュリティ ポリシーからユーザー ID 情報を取得し、ユーザー論理システムの送信元 ID と一致させる方法を示します。ルート論理システムでは、ユーザー ファイアウォールに JIMS が設定され、ルート論理システムが JIMS から取得したすべての認証エントリを管理します。この例では、すべてのユーザー論理システムが認証エントリーをルート論理システムと共有しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
シャーシ クラスタリングで動作するSRX1500デバイス
JIMS サーバー
Junos OS リリース 18.2 R1
開始する前に、以下を行います。
論理システム管理者としてユーザー論理システムにログインします。ユーザー論理システムの概要を参照してください。
ユーザー論理システム lsys1 および lsys2 を設定します。例: ユーザー論理システムの設定を参照してください。
1 次論理システムでセキュリティー・プロファイルを構成し、ユーザー論理システム lsys1 および lsys2 に割り当てます。例: 論理システム セキュリティ プロファイルの設定(プライマリ管理者のみ)を参照してください。
論理システム root 論理システム、ユーザー論理システム lsys1、lsys2 のインターフェイスとルーティング オプションを設定します。例:ユーザー論理システムのプライマリおよび相互接続論理システムのインターフェイス、ルーティングインスタンス、スタティックルートの設定(プライマリ管理者のみ)および例:ユーザー論理システムのインターフェイスとルーティングインスタンスの設定を参照してください。
ユーザー論理システムのセキュリティ ポリシーを設定します。例: ユーザー論理システムでのセキュリティポリシーの設定を参照してください。
ユーザー論理システムのゾーンを設定します。例: ユーザー論理システムのセキュリティ ゾーンの設定を参照してください。
基本的なアクティブ/パッシブ シャーシ クラスタで論理システムを設定します。例: アクティブ/パッシブ シャーシ クラスタ内の論理システムの設定(プライマリ管理者のみ)を参照してください。
概要
この例では、JIMS を、ポート 443 の HTTPs 接続と、プライマリ論理システムの IPv4 アドレスを持つプライマリ サーバー、論理システム lsys1 上の dc0 ドメインの送信元アイデンティティ「group1」を持つポリシー p1、論理システム lsys2 上の dc0 ドメインのソースアイデンティティ「group1」を持つポリシー p1 を設定し、論理システム lsys1 から論理システム lsys2 へのトラフィック送信を行うことができます。プライマリノードを再起動した後でも、プライマリ論理システムとユーザー論理システム(lsys1およびlsys2)の認証エントリーを表示できます。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit set logical-systems lsys1 security policies policy-rematch set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit set logical-systems lsys2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
ユーザー ファイアウォール識別管理の構成
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザーファイアウォール識別管理を設定するには:
プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。
user@host> configure user@host#
論理システムを作成します。
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1 user@host#set LSYS2
lsys1_trustからlsys1_trustへのトラフィックを許可する論理システム lsys1 で、ソースアイデンティティ グループ 1 を使用してセキュリティ ポリシー lsys1_policy1を設定します。
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit
lsys1_trustからlsys1_untrustへのトラフィックを許可するセキュリティポリシー lsys1_policy2を設定します。
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit
lsys1_untrustからlsys1_trustへのトラフィックを許可するセキュリティポリシー lsys1_policy3を設定します。
[edit security policies] user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit user@host#set policy-rematch
セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。
[edit security zones] user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic protocols all
lsys2でlsys2_untrustからlsys2_untrustへのトラフィックを許可するソースアイデンティティグループ1でセキュリティポリシー lsys2_policy1を設定します。
[edit security policies] user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit user@host#set policy-rematch
セキュリティゾーンを設定し、lsys2の各ゾーンにインターフェイスを割り当てます。
[edit security zones] user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
JIMS を、プライマリ アドレスを持つ高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
プライマリ論理システムにセキュリティポリシーとゾーンを設定します。
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
セキュリティ ゾーンを設定し、プライマリ論理システム上の各ゾーンにインターフェイスを割り当てます。
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
結果
設定モードから、 コマンドを入力して設定をshow services user-identification identity-management
show chassis cluster
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show services user-identification identity-management connection { connect-method https; port 443; primary { address 192.0.2.5; client-id otest; client-secret "$ABC123"; ## SECRET-DATA } }
user@host# show chassis cluster reth-count 5; control-ports { fpc 3 port 0; fpc 9 port 0; } redundancy-group 0 { node 0 priority 200; node 1 priority 1; } redundancy-group 1 { node 0 priority 100; node 1 priority 1; } redundancy-group 2 { node 0 priority 100; node 1 priority 1; } redundancy-group 3 { node 0 priority 100; node 1 priority 1; } redundancy-group 4 { node 0 priority 100; node 1 priority 1; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
シャーシ クラスタのステータスと認証エントリの検証
目的
論理システム内の認証エントリを検証するには。
アクション
設定が正常に機能していることを確認するには、 コマンドを show services user-identification authentication-table authentication-source identity-management logical-system all
入力します。
user@host> show services user-identification authentication-table authentication-source identity-management logical-system all
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
意味
出力には、ユーザー論理システムからルート論理システムに共有される認証エントリーが表示されます。
シャーシ クラスタ ステータスの検証
目的
プライマリノードを再起動した後、シャーシクラスタのステータスを確認します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show chassis cluster status
入力します。
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
意味
プライマリノードを再起動した後、lsys1およびlsys2に存在するユーザー識別管理セッションが出力されます。
例:論理システム向けにカスタマイズされたモデルでの統合型ユーザー ファイアウォールの設定
この例では、論理システムのアクティブモードでJuniper Identity Management Service(JIMS)サーバーを通じてカスタマイズされたモデルを使用して、統合ユーザーファイアウォールを設定する方法を示します。プライマリ論理システムは、認証エントリーを論理システムと共有しません。SRX シリーズ ファイアウォールは、アクティブ モードで HTTPs プロトコルを介して JIMS サーバーから受信した認証エントリーをクエリーします。
この例では、以下の設定が実行されます。
-
JIMS サーバーのアクティブな構成
-
論理システム IP クエリー設定
-
論理システム認証エントリーの設定
-
論理システム セキュリティ ポリシーの設定
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
JIMS サーバー バージョン 2.0
-
Junos OS リリース 19.3R1
開始する前に、以下の情報を確認してください。
-
JIMS サーバーの IP アドレス。
-
HTTPs 要求を受信するための JIMS サーバーのポート番号。
-
アクティブなクエリ サーバーの JIMS サーバーからのクライアント ID。
-
アクティブなクエリ サーバーの JIMS サーバーからのクライアント シークレット。
概要
この例では、JIMS を、ポート 443 の HTTPs 接続と、プライマリ論理システム上の IPv4 アドレスを持つプライマリ サーバー、論理システムLSYS1
上の送信元 ID group1
を持つポリシー p2 を設定できます。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルでCLIにコマンドをコピーアンドペーストして、設定モードからコミットを入力します。
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
カスタマイズされたモデルでの統合型ユーザー ファイアウォールの設定:
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
カスタマイズされたモデルで統合ユーザー ファイアウォールを設定するには::
-
JIMS を、プライマリ アドレスを持つ高度なクエリ要求の認証ソースとして構成します。SRX シリーズ ファイアウォールでは、この情報をサーバーに接続する必要があります。
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
LSYS1 の IP 照会遅延時間を設定します。
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
LSYS1 の認証エントリー属性を設定します。
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
LSYS1 のゾーン untrust からゾーンへの信頼へのトラフィックを許可するセキュリティ ポリシー p2 を設定します。
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
結果
設定モードから、 および show logical-systems LSYS1
コマンドを入力して設定をshow services user-identification logical-domain-identity-management
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show services user-identification logical-domain-identity-management active { query-server jims1 { connection { connect-method https; port 443; primary { address 192.0.2.5; client-id otest; client-secret "$ABC123"; ## SECRET-DATA } } } }
user@host# show logical-systems LSYS1 security { policies { from-zone untrust to-zone trust { policy p2 { match { source-address any; destination-address any; application any; source-identity "example.com\group1"; } then { permit; } } } } } services { user-identification { logical-domain-identity-management { active { invalid-authentication-entry-timeout 1; ip-query { query-delay-time 30; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
ユーザー識別 ID 管理ステータスの確認
目的
認証ソースとしての ID 管理のユーザー識別ステータスを確認します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show services user-identification logical-domain-identity-management status
入力します。
user@host> show services user-identification logical-domain-identity-management status node0: -------------------------------------------------------------------------- Query server name :jims1 Primary server : Address : 192.0.2.5 Port : 443 Connection method : HTTPS Connection status : Online Last received status message : OK (200) Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL Token expire time : 2017-11-27 23:45:22 Secondary server : Address : Not configured
意味
出力には、高度なユーザー クエリ機能のバッチ クエリと IP クエリに関する統計データが表示されるか、Juniper Identity Management Service サーバーのステータスが表示されます。
ユーザー識別 ID 管理ステータス カウンターの検証
目的
認証ソースとしてのアイデンティティ管理用のユーザー識別カウンターを確認します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show services user-identification logical-domain-identity-management counters
入力します。
user@host> show services user-identification logical-domain-identity-management counters node0: -------------------------------------------------------------------------- Query server name :jims1 Primary server : Address : 192.0.2.5 Batch query sent number : 65381 Batch query total response number : 64930 Batch query error response number : 38 Batch query last response time : 2018-08-14 15:10:52 IP query sent number : 10 IP query total response number : 10 IP query error response number : 0 IP query last response time : 2018-08-13 12:41:56 Secondary server : Address : Not configured
意味
出力には、高度なユーザー クエリ機能のバッチ クエリと IP クエリに関する統計データが表示されるか、Juniper Identity Management Service サーバー上のカウンターが表示されます。
ユーザー識別認証テーブルの検証
目的
指定された認証ソースのユーザー ID 情報認証テーブル エントリーを確認します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show services user-identification authentication-table authentication-source all logical-system LSYS1
入力します。
user@host> show services user-identification authentication-table authentication-source all logical-system LSYS1 node0: -------------------------------------------------------------------------- Logical System: LSYS1 Domain: example.com Total entries: 4 Source IP Username groups(Ref by policy) state 10.12.0.2 administrator posture-healthy Valid 10.12.0.15 administrator posture-healthy Valid 2001:db8::5 N/A posture-healthy Valid 2001:db8::342c:302b N/A posture-healthy Valid
意味
出力には、ユーザー名に基づいて、指定された認証ソースの認証テーブル、または特定のドメイン、グループ、またはユーザーのコンテンツ全体が表示されます。ユーザーのデバイスの IP アドレスに基づいて、ユーザーの ID 情報を表示します。