Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Web 認証とファイアウォール ユーザ認証のためのキャプティブ ポータルの設定

概要 J-Webを使用して、Web認証とファイアウォールユーザー認証用のキャプティブポータルを設定する方法について説明します。

概要

What Is Captive Portal?

キャプティブポータルは、ネットワークに接続する必要があるデバイスを認証する方法です。SRXシリーズ デバイスでは、キャプティブ ポータルを有効にして、ユーザ名とパスワードの入力を求めるログイン ページに Web ブラウザ要求をリダイレクトできます。認証が成功したら、元のページ要求とその後のネットワーク アクセスを続行できます。

What Is Web Authentication?

Web 認証方法では、Web 認証が有効になっているデバイス上の IP アドレスをブラウザーにポイントします。このアクションにより、デバイス上の Web 認証機能をホストする IP アドレスで HTTPS セッションが開始されます。その後、デバイスはユーザー名とパスワードの入力を求められ、結果はデバイスにキャッシュされます。その後、トラフィックで Web 認証ポリシーが検出されると、前回の Web 認証結果に基づいてアクセスが許可または拒否されます。

他の認証方法も使用できますが、このドキュメントではこれらの方法については説明しません。ただし、これらの各方法について簡単に説明します。

  • パススルー認証 - パススルー ユーザー認証は、アクティブ認証の一形態です。この方法では、デバイスはユーザー名とパスワードの入力を求めます。認証によって ID が検証されると、ファイアウォールを通過して、要求されたリソースにアクセスできます。

  • ウェブリダイレクトによるパススルー - HTTPS クライアントリクエストにこの認証方法を使用する場合、ウェブリダイレクト機能を使用して、リクエストをデバイスの内部ウェブサーバーに送信できます。WebサーバーはリダイレクトHTTPS応答をクライアントシステムに送信し、ユーザー認証のためにWebサーバーに再接続するように指示します。クライアントの要求が到着するインターフェイスは、リダイレクト応答が送信されるインターフェイスです。

What Is Firewall User Authentication?

ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。Junos OSを使用すると、管理者は、送信元IPアドレスやその他の資格情報に基づいて、ファイアウォールの背後にある(異なるゾーンにある)保護されたリソースへのファイアウォールユーザーのアクセスを制限または許可できます。ファイアウォール ユーザーを定義した後、3 つの認証方法 (Web、パススルー、または Web リダイレクトを使用したパススルー) のいずれかを使用してユーザーを認証することを要求するポリシーを作成できます。

ワークフロー

スコープ

トポロジの例を次に示します ( 図 1 参照)。

  • クライアントとして機能するファイアウォールユーザーのデバイス。

  • インターネットにアクセスできるSRXシリーズのデバイス。

  • HTTPS サーバーとして機能するネットワーク デバイス。

図 1: サンプル トポロジ Sample Topology

このサンプルトポロジーでは、SRXシリーズデバイスでJ-Webを使用して、以下のタスクを実行します。

メモ:

サンプル トポロジーの構成に使用される値は、単なる例です。

ステップ

アクション

1

ge-0/0/3で論理インターフェイスを作成し、IPアドレス203.0.113.35を割り当てて、Web認証を有効にします。

メモ:

この例では、ファイアウォールのユーザーシステムのIPアドレスは203.0.113.12で、203.0.113.0/24と同じサブネット内にあります。

ge-0/0/2 で論理インターフェイスを作成し、IP アドレス 192.0.2.1 を割り当てます。

メモ:

この例では、HTTPS サーバーの IP アドレスは 192.0.2.1 です。

2

アクセスプロファイル(FWAUTH)を作成し、ローカル認証サービスを定義します。

3

成功したログイン メッセージを表示するための Web 認証設定を構成します。

4

untrust(UT_ZONE)ゾーンとtrust(T_ZONE)ゾーンを作成し、ge-0/0/3インターフェイスとge-0/0/2インターフェイスをそれぞれ割り当てます。

5

セキュリティポリシールール(FWAUTH-RULE)で、Web認証とファイアウォールユーザー認証用のキャプティブポータルを設定します。

6

設定した値がファイアウォール ユーザーに対して機能することを確認します。

  • Web 認証の場合は、https://203.0.113.35 を使用して正常に認証されます。

  • ファイアウォールユーザー認証の場合、https://203.0.113.35 を使用して正常に認証され、HTTPSサーバーにアクセスするための https://192.0.2.1 にリダイレクトされます。

始める前に

  • サンプル トポロジーの構成に使用される値は、単なる例です。ネットワーク構成に合わせて必要な詳細を変更できます。

  • この例で使用するSRXシリーズ デバイスが、Junos OSリリース21.4R1以降を実行していることを確認します。

  • 認証を許可するために必要な証明書がデバイスにインストールされていることを確認します。この例では、自己署名証明書である cert1 を使用します。

ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする

このステップでは、次のタスクを実行します。

  • SRXシリーズ デバイス上のge-0/0/3インターフェイスの場合:

    1. untrust ゾーンの論理インターフェイスを作成します。

    2. IPv4 アドレス 203.0.113.35 をインターフェイスに割り当てます。

      メモ:

      キャプティブ ポータルを有効にするために同じ IP アドレスを使用します。

    3. Web 認証用のインターフェイスで HTTPS を有効にします。

  • SRX シリーズ デバイス上の ge-0/0/2 インターフェイスの場合:

    1. trustゾーンの論理インターフェイスを作成します。

    2. インターフェイスにIPv4アドレス192.0.2.1を割り当てます。

現在地(J-Web UI): ネットワーク > 接続 性> インターフェイス

untrust ゾーンの論理インターフェイスを作成し、Web 認証を有効にするには:

  1. ge-0/0/3 を選択し>インターフェイス ページの右上隅にある 論理インターフェイスの作成 を選択します。

    ge-0/0/3.0 の論理インターフェイスの追加 ページが表示されます。

    メモ:

    fxp0 インターフェイスでキャプティブ ポータルを設定することはできません。

  2. 次の詳細を指定します。

    フィールド

    アクション

    論理ユニット番号

    タイプ 0

    説明

    タイプ UT_Zone Interface

    VLAN ID

    このフィールドは編集できません。

    マルチテナントタイプ

    リストから [なし] を選択します。

    論理システム

    このフィールドは編集できません。

    ゾーン

    リストから [なし] を選択します。

    後のステップで、untrust ゾーン(UT_ZONE)を作成し、ge-0/0/3 インターフェイスを割り当てます。 「ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる」を参照してください。

    プロトコル(ファミリー) - IPv4アドレス

    IPv4アドレス/DHCP

    チェックボックスをオンにして、IPv4アドレス/DHCP設定を有効にします。

    IPv4アドレス

    IPv4 アドレス を選択します。次に、[+] をクリックし、次の詳細を入力します。

    • IPv4 アドレス—ウェブ認証のタイプ 203.0.113.35

      メモ:

      キャプティブ ポータル設定では、同じ IPv4 アドレスを使用します。

    • サブネット - 上矢印または下矢印を使用して選択します 24

    • ウェブ認証:

      1. [ 構成] をクリックします。

        Web 認証 ページが表示されます。

      2. [キャプティブ ポータル専用の HTTPS を有効にする] を選択します。

      3. [ OK ] をクリックして変更を保存します。

  3. [ OK ] をクリックして変更を保存します。

    よく出来ました!システムの ge-0/0/3 に IP アドレス 203.0.113.35 (Web 認証が有効) の論理インターフェイスを作成しました。

trustゾーンの論理インターフェイスを作成するには:

  1. ge-0/0/2 を選択し>インターフェイス ページの右上隅にある 論理インターフェイスの作成 を選択します。

    ge-0/0/2.0 の論理インターフェイスの追加 ページが表示されます。

  2. 次の詳細を指定します。

    フィールド

    アクション

    論理ユニット番号

    タイプ 0

    説明

    タイプ T_Zone Interface

    VLAN ID

    このフィールドは編集できません。

    マルチテナントタイプ

    リストから [なし] を選択します。

    論理システム

    このフィールドは編集できません。

    ゾーン

    リストから [なし] を選択します。

    後のステップで、トラストゾーン(T_ZONE)を作成し、それにge-0/0/2インターフェイスを割り当てます。 「ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる」を参照してください。

    VLAN ID

    このフィールドは編集できません。

    プロトコル(ファミリー) - IPv4アドレス

    IPv4アドレス/DHCP

    チェックボックスをオンにして、IPv4アドレス/DHCP設定を有効にします。

    IPv4アドレス

    1. IPv4 アドレス を選択します。

    2. [+] をクリックします。

    3. IPv4 アドレス:タイプ 192.0.2.1 (HTTPS サーバ)。

    4. サブネット - 上矢印または下矢印を使用して選択します 24

    5. Web認証:そのままにします。

    6. ARP - そのままにします。

  3. [ OK ] をクリックして変更を保存します。

    よく出来ました!HTTPSサーバー用に、ge-0/0/2にIPアドレス192.0.2.1の論理インターフェイスを作成しました。

  4. 上部のバナーの右側にある [コミット ] をクリックし、[ 構成の コミット] を選択して変更を今すぐコミットします。

    コミット成功のメッセージが表示されます。

    また、 セキュリティ ポリシーの「ステップ 5:キャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする」の最後に、すべての設定変更を一度にコミットすることもできます。

ステップ 2: アクセスプロファイルを作成する

ローカル認証サービスを定義するためのアクセスプロファイルを作成しましょう。このアクセスプロファイルは、Web認証設定とセキュリティポリシーで使用します。

現在地(J-Web UI): セキュリティサービス > ファイアウォール 認証 > アクセスプロファイル

アクセスプロファイルを作成するには:

  1. [アクセス プロファイル] ページの右上隅にある追加アイコン (+) をクリックします。

    [アクセス プロファイルの作成] ページが表示されます。

  2. 次の詳細を指定します。

    フィールド

    アクション

    名前

    タイプ FWAUTH

    アドレス割り当て

    (オプション)リストから [なし] を選択します。

    リストからアドレスプールを選択できます。[ アドレス プールの作成 ] をクリックして必要な値を指定することで、新しいアドレス プールを追加することもできます。

    認証

    地元の

    1. 「ローカル」を選択して、 ローカル 認証サービスを構成します。

    2. [+] をクリックし、[ローカル認証ユーザーの作成] ページで次の詳細を入力します。

      1. ユーザー名—入力します FWClient1。これは、アクセスを要求しているユーザーのユーザー名です。

      2. パスワード:を入力します $ABC123

      3. XAUTH IP アドレス - そのままにします。

      4. グループ - そのままにします。

      5. [ OK ] をクリックして変更を保存します。

    認証順序

    注文 1

    リストから [ ローカル ] を選択します。

    注文 2

    既定では、[ なし] が選択されています 。そのままにしておきます。

  3. [ OK ] をクリックして変更を保存します。

    よく出来ました! これで、FWAUTH アクセス プロファイルが作成されました。

  4. 上部のバナーの右側にある [コミット ] をクリックし、[ 構成の コミット] を選択して変更を今すぐコミットします。

    コミット成功のメッセージが表示されます。

    また、 セキュリティ ポリシーの「ステップ 5:キャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする」の最後に、すべての設定変更を一度にコミットすることもできます。

ステップ 3: Web 認証設定を構成する

次に、作成したアクセスプロファイルを割り当て、ログイン成功メッセージを定義し、ロゴ画像をアップロードします。このイメージは、Web 認証とキャプティブ ポータルの両方に使用されます。

現在地(J-Web UI): セキュリティサービス > ファイアウォール 認証 > 認証設定

Web 認証設定を構成するには:

  1. [ Web 認証の設定] をクリックします。
  2. 次の手順を実行します。
    • デフォルト プロファイル:リストから FWAUTH を選択します。セキュリティ ポリシーは、このプロファイルを使用してユーザーを認証します。

    • [成功(Success)]:正常にログインしたユーザーに表示されるメッセージとして入力します Authentication Success

  3. (オプション)カスタマイズしたロゴをアップロードするには:
    1. [ ロゴ画像のアップロード] をクリックします。

    2. [ 参照 ] をクリックして、ロゴ ファイルをアップロードします。

    3. ロゴ イメージを選択し、[ OK] をクリックします。

      メモ:

      適切なロゴを作成するには、画像が .gif 形式であり、解像度が172x65である必要があります。

    4. [ 同期 ] をクリックしてロゴを適用します。

      アップロードされたイメージは、キャプティブポータルログインページまたはWeb認証ログインページに表示されます。

  4. [認証設定] ページの右上隅にある [ 保存 ] をクリックして、変更を保存します。

    おめでとう!これで、Web 認証設定が正常に保存されました。

  5. 上部のバナーの右側にある [コミット ] をクリックし、[ 構成の コミット] を選択して変更を今すぐコミットします。

    コミット成功のメッセージが表示されます。

    また、 セキュリティ ポリシーの「ステップ 5:キャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする」の最後に、すべての設定変更を一度にコミットすることもできます。

ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる

セキュリティ・ゾーンを作成して、ポリシーによってインバウンドおよびアウトバウンド・トラフィックを規制する1つ以上のネットワーク・セグメントを定義します。

次に、個別に作成します。

  • untrust ゾーン(UT_ZONE)を使用し、ge-0/0/3 インターフェイスを割り当てます。

  • トラストゾーン(T_ZONE)を設定し、それにge-0/0/2インターフェイスを割り当てます。

現在地(J-Web UI): セキュリティポリシー&オブジェクト > ゾーン/スクリーン

UT_ZONE(untrust zone)と T_ZONE(trust zone)を作成し、定義されたインターフェイスをゾーンに割り当てるには、次の手順に従います。

  1. [ゾーン リスト] ページの右上隅にある追加アイコン (+) をクリックします。

    [ゾーンの追加] ページが表示されます。

  2. 次の詳細を指定します。

    フィールド

    アクション

    メイン

    ゾーン名

    • untrust ゾーンのタイプ UT_ZONE

    • T_ZONE trustゾーンのタイプ。

    ゾーンの説明

    • UT_ZONEのタイプ untrust zone

    • T_ZONE に入力します trust zone

    ゾーンの種類

    [ セキュリティ] を選択します。

    アプリケーション追跡

    そのままにしておきます。

    ソースアイデンティティログ

    そのままにしておきます。

    トラフィック制御オプション

    そのままにしておきます。

    インターフェイス

    • [UT_ZONE] で、[使用可能] 列から ge-0/0/3.0 を選択し、右矢印をクリックして [選択済み] 列に移動します。

    • [T_ZONE] で、[使用可能] 列から ge-0/0/2.0 を選択し、右矢印をクリックして [選択済み] 列に移動します。

    フィールド

    アクション(サンプル値)

    ホスト インバウンド トラフィック - ゾーン

    そのままにしておきます。

    ホストインバウンドトラフィック - インターフェイス

    選択されたインターフェイス

    • UT_ZONEには、 ge-0/0/3.0 を選択します。

    • [T_ZONE] で ge-0/0/2.0 を選択します。

    利用可能なサービス

    [使用可能なサービス] 列から すべて を選択し、右矢印をクリックして [選択済み] 列に移動します。

    利用可能なプロトコル

    [使用可能なプロトコル] 列から すべて を選択し、右矢印をクリックして [選択済み] 列に移動します。

  3. [ OK ] をクリックして変更を保存します。

    よく出来ました!ge-0/0/3インターフェイスをUT_ZONEに、ge-0/0/2をT_ZONEに割り当てました。

  4. 上部のバナーの右側にある [コミット ] をクリックし、[ 構成の コミット] を選択して変更を今すぐコミットします。

    コミット成功のメッセージが表示されます。

    また、 セキュリティ ポリシーの「ステップ 5:キャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする」の最後に、すべての設定変更を一度にコミットすることもできます。

ステップ 5: セキュリティ ポリシーでキャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする

次に、セキュリティ ポリシー ルールでキャプティブ ポータルを有効にして、クライアント HTTPS 要求をデバイスの内部 HTTPS サーバにリダイレクトします。

現在地: (J-Web UI): Security Policies & Objects > Security Policies

キャプティブ ポータルのセキュリティ ポリシー ルールを設定するには、次の手順を実行します。

  1. [セキュリティ ポリシー] ページの右上隅にある追加アイコン (+) をクリックします。

    インライン編集可能なフィールドが表示されます。

  2. 次の詳細を指定します。

    フィールド

    アクション

    ルール名

    名前

    タイプ FWAUTH-RULE

    説明

    タイプ Test rule

    ソースゾーン

    +

    [+] をクリックしてソース ゾーンを追加します。

    [ソースの選択] ページが表示されます。

    ソースの選択

    次の詳細を指定します。

    1. [ゾーン(Zone)]:ルールを関連付ける UT_ZONE をリストから選択します。

    2. アドレス - デフォルトでは、[ 任意] が選択されています。そのままにしておきます。

    3. ソースのアイデンティティ:

      • [Web 認証] で [ なし] を選択します。

      • ファイアウォール ユーザー認証の場合は、[ 特定] を選択します。次に、[使用可能] 列から [ 未認証 および 不明 ] を選択し、右矢印をクリックしてこれらの値を [選択済み] 列に移動します。

    4. ソース ID フィード:を選択します None

    5. [ OK ] をクリックして変更を保存します。

    宛先ゾーン

    +

    [+] をクリックして宛先ゾーンを追加します。

    [宛先の選択] ページが表示されます。

    目的地を選択

    次の詳細を指定します。

    1. [ゾーン(Zone)]:ルールを関連付ける T_ZONE をリストから選択します。

    2. アドレス - デフォルトでは、[ 任意] が選択されています。そのままにしておきます。

    3. 動的アプリケーション - [なし] を選択します。

      メモ:

      動的アプリケーションを Web 認証で設定することはできません。

    4. サービス - [ 任意] を選択します。

    5. URL カテゴリ - [なし] を選択します。

    6. 宛先 ID フィード:を選択します None

    7. [ OK ] をクリックして変更を保存します。

    アクション

    [ 許可] を選択します。

    高度なサービス

    そのままにしておきます。

    ルールのオプション

    +

    [+] をクリックしてルール オプションを選択します。

    [ルール オプションの選択] ページが表示されます。

    ログ

    そのままにしておきます。

    認証

    メモ:

    この設定は 、Web 認証 にのみ使用します。

    次の詳細を指定します。

    • 認証エントリをJIMSにプッシュ - デフォルトでは、このオプションは無効になっています。そのままにしておきます。

    • タイプ:リストから [Web 認証 ] を選択します。

    • クライアント名 - 「FWClient1」と入力します。

    • [ OK ] をクリックして変更を保存します。

    認証

    メモ:

    この設定は 、ファイアウォールユーザー認証 にのみ使用します。

    次の詳細を指定します。

    • 認証エントリをJIMSにプッシュ - デフォルトでは、このオプションは無効になっています。そのままにしておきます。

    • タイプ:リストから [ ユーザ ファイアウォール ] を選択します。

    • アクセス プロファイル:リストから FWAUTH を選択します。

    • ドメイン - そのままにします。

    • ウェブリダイレクト(http):デフォルトでは、このオプションは無効になっています。そのままにしておきます。

    • キャプティブ ポータル:ユーザ認証のためにクライアントの HTTPS 要求を Web サーバにリダイレクトできるようにします。

      • インターフェイス:クライアントのHTTPSリクエストがリダイレクトされるWebサーバーのリストから ge-0/0/3.0(203.0.113.35/24) を選択します。これは、Web 認証を有効にしたときに設定したものと同じインターフェイスです。

      • IP アドレス - クライアントの HTTPS リクエストがリダイレクトされるウェブサーバー用に「 203.0.113.35 」と入力します。これは、ge-0/0/3インターフェイスでWeb認証を有効にしたときに設定したのと同じIPv4アドレスです。

    • SSL 終端プロファイル:SSL 終端サポート サービスのリストから SSL_termination(cert1) を選択します。SSLプロキシサーバーとして機能するSRXシリーズデバイスは、SSLターミネーションプロセスを使用してクライアントのSSLセッションを終了します。

    • 認証のみのブラウザ - デフォルトでは、このオプションは無効になっています。そのままにしておきます。

    • ユーザー エージェント - そのままにします。

    • [ OK ] をクリックして変更を保存します。

  3. 設定が完了したら、行の右側にあるチェックマークアイコン をクリックします。
    メモ:

    新しいルールの作成時にインラインチェックマークアイコンとキャンセルアイコンが使用できない場合は、水平バーを後方にスライドします。

  4. [セキュリティ ポリシー] ページの右上隅にある [ 保存 ] をクリックして、変更を保存します。
  5. 上部のバナーの右側にある [コミット ] をクリックし、[ 構成のコミット] を選択します。

    コミット成功のメッセージが表示されます。

    おめでとう!構成の変更が正常にコミットされました。これで、Webまたはファイアウォールのユーザー認証ポリシーがすべて設定されました。

ステップ 6: Web 認証とユーザー認証の設定を確認する

目的

最後のステップ!ファイアウォールユーザーに対して設定が機能するかどうかを見てみましょう。

アクション

Web 認証の設定を確認するには、次の手順に従います。

  1. Web ブラウザーに入力します https://203.0.113.35

    ファイアウォール認証ログイン ページが表示されます。

  2. 次の資格情報を入力し、[ ログイン] をクリックします。

    • ユーザー名 -FWClient1

    • パスワード -$ABC123

    おめでとう!認証が完了しました。構成した成功メッセージ [ 認証成功 ] も表示されます。

  3. [ 閉じる] をクリックします。

ファイアウォールユーザー認証を確認するには:

  1. Web ブラウザーに入力します https://192.0.2.1

    Web 認証用の https://203.0.113.35 にリダイレクトされます。

  2. 次の資格情報を入力し、[ ログイン] をクリックします。

    • ユーザー名 -FWClient1

    • パスワード -$ABC123

    おめでとう!認証が完了しました。まもなく、https://192.0.2.1 にリダイレクトされ、HTTPSサーバーにアクセスできるようになります。

この後について

先に進むには、ジュニパーテクニカルライブラリの J-Web for SRXシリーズのドキュメント ページをご覧ください。