Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

[アクティブ ディレクトリ] ページについて

現在地: セキュリティ サービス > Active Directory >ファイアウォール認証

アクティブディレクトリを設定できます。

表 1 に、[アクティブ ディレクトリ] ページのフィールドを示します。

表 1: [アクティブ ディレクトリ] ページのフィールド

フィールド

説明
一般情報
一般

オンデマンドプローブなし

SRXシリーズ デバイスがアドレスからユーザーへのマッピング情報を取得するための代替方法として、ドメインPCの手動によるオンデマンド調査を有効にします。
タイムアウト

認証エントリのタイムアウト

タイムアウト後にユーザーのエントリが認証テーブルから削除されないように、タイムアウトを 0 に設定します。

メモ:

ユーザーがアクティブでなくなると、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時間切れになると、ユーザーのエントリがテーブルから削除されます。テーブル内のエントリは、エントリに関連付けられているセッションがある限り、アクティブなままになります。

デフォルトの認証エントリのタイムアウトは 30 分です。Junos OS Release 19.2R1以降、デフォルト値は60分です。

タイムアウトを無効にするには、間隔を 0 に設定します。範囲は 10 分から 1440 分です。

WMI タイムアウト

ドメイン PC が Windows 管理インストルメンテーション(WMI)または分散コンポーネント オブジェクト モジュール(DCOM)を介して SRX シリーズ デバイスのクエリに応答する必要がある秒数を入力します。

wmi-timeoutinterval 内にドメイン PC から応答を受信しない場合、プローブは失敗し、システムは無効な認証エントリを作成するか、既存の認証エントリを無効として更新します。プローブされた IP アドレスの認証テーブル エントリが既に存在し、wmi-timeout 間隔内にドメイン PC から応答を受信しない場合、プローブは失敗し、そのエントリはテーブルから削除されます。

範囲は 3 から 120 秒です。

無効な認証エントリのタイムアウト

値を入力します。範囲は 10 分から 1440 分です。ユーザーがアクティブでなくなると、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時間切れになると、ユーザーのエントリがテーブルから削除されます。

この値が構成されていない場合、Active Directory からの無効な認証エントリはすべて、既定値の 30 分を使用します。

範囲は 10 分から 1440 分です。

ファイアウォール認証強制タイムアウト

値を入力します。範囲は 10 分から 1440 分です。これは、ファイアウォール認証のフォールバック時間です。タイムアウト後にユーザーのエントリが認証テーブルから削除されないように、タイムアウトを 0 に設定します。

フィルター

含める

[使用可能] 列から IP アドレスを含めるを有効にします。

[追加] アイコン (+) をクリックして新しい IP アドレスを作成し、監視に含めるか、監視から除外するかとして追加します。

[削除(Delete)] アイコンをクリックして新しい IP アドレスを削除し、監視に含めるか、監視から除外するかとして追加します。

除外

[使用可能] 列から IP アドレスを除外できるようにします。

[追加] アイコン (+) をクリックして新しい IP アドレスを作成し、監視に含めるか、監視から除外するかとして追加します。

[削除(Delete)] アイコンをクリックして新しい IP アドレスを削除し、監視に含めるか、監視から除外するかとして追加します。
ドメイン設定

テスト

[ テスト ] をクリックして、ドメイン接続の状態を確認します。

テスト:ステータスページが表示され、ステータスが表示されます。

+

[+] をクリックしてドメインを追加します。

[ドメインの追加] ページが表示されます。

メモ:

  • Junos OSリリース19.2R1以降、SRX4200、SRX1500、SRX550M、vSRXデバイス、およびSRX5000およびSRX3000シリーズのデバイスでは、最大2つのドメインで統合ユーザーファイアウォールを設定できます。その他のSRXシリーズデバイスでは、作成できるドメインは1つだけです。

    鉛筆アイコンを選択してドメインを編集するか、削除アイコンを選択してドメインを削除できます。
一般

ドメイン名

ドメインの名前を入力します。

ドメイン名の範囲は 1 から 64 文字です。

アクティブディレクトリアカウントのパスワードのパスワードを入力します。

ユーザー名の範囲は 1 から 64 文字です。例: 管理者

パスワード

アクティブディレクトリアカウント名のユーザー名を入力します。

パスワードの範囲は 1 から 128 文字です。例: A$BC123
ドメイン コントローラ

ドメイン コントローラ

追加アイコン (+) をクリックして、ドメイン コントローラーの設定を追加します。

  • ドメイン コントローラー名:ドメイン コントローラー名を入力します。名前の範囲は 1 から 64 文字です。

    最大 10 個のドメイン コントローラーを構成できます。

  • [IP アドレス(IP アドレス)] - ドメイン コントローラの IP アドレスを入力します。
ユーザーグループマッピング(LDAP)

ユーザーグループマッピング(LDAP)

追加アイコン (+) をクリックします。

  • IP アドレス - LDAP サーバの IP アドレスを入力します。アドレスが指定されていない場合、システムは構成された Active Directory ドメイン コントローラーの 1 つを使用します。

  • [ポート(Port)]:LDAP サーバのポート番号を入力します。ポート番号が指定されていない場合、システムはプレーンテキスト用にポート 389 を、暗号化されたテキスト用にポート 636 を使用します。

    デフォルト値はポート 443 です。

基本識別名

LDAP ベース識別名 (DN) を入力します。

例: DC=example,DC=net

LDAP アカウントのユーザー名を入力します。ユーザー名が指定されていない場合、システムは構成されたドメイン コントローラーのユーザー名を使用します。

パスワード

アカウントのパスワードを入力します。パスワードが指定されていない場合、システムは構成されたドメイン コントローラーのパスワードを使用します。

SSL を使用する

セキュア・ソケット・レイヤー (SSL) を有効にして、LDAP サーバーとのセキュアな伝送を確保します。デフォルトで無効になっている場合、パスワードはプレーンテキストで送信されます。

認証アルゴリズム

SRXシリーズデバイスがLDAPサーバーと通信する際に使用するアルゴリズムを指定するには、このオプションを有効にします。デフォルトでは、単純(プレーンテキスト)認証モードを構成するために単純が選択されています。
IP ユーザー マッピング

検出方法 (WMI)

IP アドレスからユーザーへのマッピングを検出する方法を有効にします。

WMI - Windows 管理インストルメンテーション (WMI) は、ドメイン コントローラーへのアクセスに使用される検出方法です。このオプションは、内部ホストまたは信頼されたホストに対してのみ有効にする必要があります。

イベント ログのスキャン間隔

SRXシリーズデバイスがドメインコントローラ上のイベントログをスキャンするスキャン間隔を入力します。範囲は 5 から 60 秒です。

デフォルト値は 60 秒です。

初期イベント ログのタイムスパン

SRXシリーズ デバイスが最初にスキャンする、ドメイン コントローラ上の最も古いイベント ログの時刻を入力します。このスキャンは、初期展開にのみ適用されます。WMIC とユーザー識別が機能し始めると、SRX シリーズ デバイスは最新のイベント ログのみをスキャンします。

範囲は 1 から 168 時間です。既定値は 1 時間です。

関連ドキュメント

リリース履歴テーブル
リリース
説明
19.2R1
Junos OS Release 19.2R1以降、デフォルト値は60分です。
19.2R1
Junos OSリリース19.2R1以降、SRX4200、SRX1500、SRX550M、vSRXデバイス、およびSRX5000およびSRX3000シリーズのデバイスでは、最大2つのドメインで統合ユーザーファイアウォールを設定できます。その他のSRXシリーズデバイスでは、作成できるドメインは1つだけです。