Web 認証とファイアウォール ユーザ認証のためのキャプティブ ポータルの設定
概要 J-Webを使用して、Web認証とファイアウォールユーザー認証用のキャプティブポータルを設定する方法について説明します。
概要
What Is Captive Portal?
キャプティブポータルは、ネットワークに接続する必要があるデバイスを認証する方法です。SRXシリーズ デバイスでは、キャプティブ ポータルを有効にして、ユーザ名とパスワードの入力を求めるログイン ページに Web ブラウザ要求をリダイレクトできます。認証が成功したら、元のページ要求とその後のネットワーク アクセスを続行できます。
What Is Web Authentication?
Web 認証方法では、Web 認証が有効になっているデバイス上の IP アドレスをブラウザーにポイントします。このアクションにより、デバイス上の Web 認証機能をホストする IP アドレスで HTTPS セッションが開始されます。その後、デバイスはユーザー名とパスワードの入力を求められ、結果はデバイスにキャッシュされます。その後、トラフィックで Web 認証ポリシーが検出されると、前回の Web 認証結果に基づいてアクセスが許可または拒否されます。
他の認証方法も使用できますが、このドキュメントではこれらの方法については説明しません。ただし、これらの各方法について簡単に説明します。
パススルー認証 - パススルー ユーザー認証は、アクティブ認証の一形態です。この方法では、デバイスはユーザー名とパスワードの入力を求めます。認証によって ID が検証されると、ファイアウォールを通過して、要求されたリソースにアクセスできます。
ウェブリダイレクトによるパススルー - HTTPS クライアントリクエストにこの認証方法を使用する場合、ウェブリダイレクト機能を使用して、リクエストをデバイスの内部ウェブサーバーに送信できます。WebサーバーはリダイレクトHTTPS応答をクライアントシステムに送信し、ユーザー認証のためにWebサーバーに再接続するように指示します。クライアントの要求が到着するインターフェイスは、リダイレクト応答が送信されるインターフェイスです。
What Is Firewall User Authentication?
ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。Junos OSを使用すると、管理者は、送信元IPアドレスやその他の資格情報に基づいて、ファイアウォールの背後にある(異なるゾーンにある)保護されたリソースへのファイアウォールユーザーのアクセスを制限または許可できます。ファイアウォール ユーザーを定義した後、3 つの認証方法 (Web、パススルー、または Web リダイレクトを使用したパススルー) のいずれかを使用してユーザーを認証することを要求するポリシーを作成できます。
ワークフロー
スコープ
トポロジの例を次に示します ( 図 1 参照)。
クライアントとして機能するファイアウォールユーザーのデバイス。
インターネットにアクセスできるSRXシリーズのデバイス。
HTTPS サーバーとして機能するネットワーク デバイス。
このサンプルトポロジーでは、SRXシリーズデバイスでJ-Webを使用して、以下のタスクを実行します。
サンプル トポロジーの構成に使用される値は、単なる例です。
ステップ |
アクション |
---|---|
1 |
ge-0/0/3で論理インターフェイスを作成し、IPアドレス203.0.113.35を割り当てて、Web認証を有効にします。
メモ:
この例では、ファイアウォールのユーザーシステムのIPアドレスは203.0.113.12で、203.0.113.0/24と同じサブネット内にあります。 ge-0/0/2 で論理インターフェイスを作成し、IP アドレス 192.0.2.1 を割り当てます。
メモ:
この例では、HTTPS サーバーの IP アドレスは 192.0.2.1 です。 |
2 |
アクセスプロファイル(FWAUTH)を作成し、ローカル認証サービスを定義します。 |
3 |
成功したログイン メッセージを表示するための Web 認証設定を構成します。 |
4 |
untrust(UT_ZONE)ゾーンとtrust(T_ZONE)ゾーンを作成し、ge-0/0/3インターフェイスとge-0/0/2インターフェイスをそれぞれ割り当てます。 |
5 |
セキュリティポリシールール(FWAUTH-RULE)で、Web認証とファイアウォールユーザー認証用のキャプティブポータルを設定します。 |
6 |
設定した値がファイアウォール ユーザーに対して機能することを確認します。
|
始める前に
サンプル トポロジーの構成に使用される値は、単なる例です。ネットワーク構成に合わせて必要な詳細を変更できます。
この例で使用するSRXシリーズ デバイスが、Junos OSリリース21.4R1以降を実行していることを確認します。
認証を許可するために必要な証明書がデバイスにインストールされていることを確認します。この例では、自己署名証明書である cert1 を使用します。
ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする
このステップでは、次のタスクを実行します。
SRXシリーズ デバイス上のge-0/0/3インターフェイスの場合:
untrust ゾーンの論理インターフェイスを作成します。
IPv4 アドレス 203.0.113.35 をインターフェイスに割り当てます。
メモ:キャプティブ ポータルを有効にするために同じ IP アドレスを使用します。
Web 認証用のインターフェイスで HTTPS を有効にします。
SRX シリーズ デバイス上の ge-0/0/2 インターフェイスの場合:
trustゾーンの論理インターフェイスを作成します。
インターフェイスにIPv4アドレス192.0.2.1を割り当てます。
現在地(J-Web UI): ネットワーク > 接続 性> インターフェイス
untrust ゾーンの論理インターフェイスを作成し、Web 認証を有効にするには:
trustゾーンの論理インターフェイスを作成するには:
ge-0/0/2 を選択し>インターフェイス ページの右上隅にある 論理インターフェイスの作成 を選択します。
ge-0/0/2.0 の論理インターフェイスの追加 ページが表示されます。
次の詳細を指定します。
フィールド
アクション
論理ユニット番号
タイプ 0。
説明
タイプ T_Zone Interface。
VLAN ID
このフィールドは編集できません。
マルチテナントタイプ
リストから [なし] を選択します。
論理システム
このフィールドは編集できません。
ゾーン
リストから [なし] を選択します。
後のステップで、トラストゾーン(T_ZONE)を作成し、それにge-0/0/2インターフェイスを割り当てます。 「ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる」を参照してください。
VLAN ID
このフィールドは編集できません。
プロトコル(ファミリー) - IPv4アドレス
IPv4アドレス/DHCP
チェックボックスをオンにして、IPv4アドレス/DHCP設定を有効にします。
IPv4アドレス
IPv4 アドレス を選択します。
[+] をクリックします。
IPv4 アドレス:タイプ 192.0.2.1 (HTTPS サーバ)。
サブネット - 上矢印または下矢印を使用して選択します 24 。
Web認証:そのままにします。
ARP - そのままにします。
[ OK ] をクリックして変更を保存します。
よく出来ました!HTTPSサーバー用に、ge-0/0/2にIPアドレス192.0.2.1の論理インターフェイスを作成しました。
上部のバナーの右側にある [コミット ] をクリックし、[ 構成の コミット] を選択して変更を今すぐコミットします。
コミット成功のメッセージが表示されます。
また、 セキュリティ ポリシーの「ステップ 5:キャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする」の最後に、すべての設定変更を一度にコミットすることもできます。
ステップ 2: アクセスプロファイルを作成する
ローカル認証サービスを定義するためのアクセスプロファイルを作成しましょう。このアクセスプロファイルは、Web認証設定とセキュリティポリシーで使用します。
現在地(J-Web UI): セキュリティサービス > ファイアウォール 認証 > アクセスプロファイル
アクセスプロファイルを作成するには:
ステップ 3: Web 認証設定を構成する
次に、作成したアクセスプロファイルを割り当て、ログイン成功メッセージを定義し、ロゴ画像をアップロードします。このイメージは、Web 認証とキャプティブ ポータルの両方に使用されます。
現在地(J-Web UI): セキュリティサービス > ファイアウォール 認証 > 認証設定
Web 認証設定を構成するには:
ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる
セキュリティ・ゾーンを作成して、ポリシーによってインバウンドおよびアウトバウンド・トラフィックを規制する1つ以上のネットワーク・セグメントを定義します。
次に、個別に作成します。
untrust ゾーン(UT_ZONE)を使用し、ge-0/0/3 インターフェイスを割り当てます。
トラストゾーン(T_ZONE)を設定し、それにge-0/0/2インターフェイスを割り当てます。
現在地(J-Web UI): セキュリティポリシー&オブジェクト > ゾーン/スクリーン
UT_ZONE(untrust zone)と T_ZONE(trust zone)を作成し、定義されたインターフェイスをゾーンに割り当てるには、次の手順に従います。
ステップ 5: セキュリティ ポリシーでキャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする
次に、セキュリティ ポリシー ルールでキャプティブ ポータルを有効にして、クライアント HTTPS 要求をデバイスの内部 HTTPS サーバにリダイレクトします。
現在地: (J-Web UI): Security Policies & Objects > Security Policies
キャプティブ ポータルのセキュリティ ポリシー ルールを設定するには、次の手順を実行します。
ステップ 6: Web 認証とユーザー認証の設定を確認する
目的
最後のステップ!ファイアウォールユーザーに対して設定が機能するかどうかを見てみましょう。
Web 認証の場合は、https://203.0.113.35 を使用して正常に認証されます。これは、「 ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする」で設定したのと同じ IPv4 アドレスです。
ファイアウォールユーザー認証の場合、https://203.0.113.35 を使用して正常に認証され、HTTPSサーバーにアクセスするための https://192.0.2.1 にリダイレクトされます。これらは、「 ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする」で構成したものと同じ IPv4 アドレスです。
アクション
Web 認証の設定を確認するには、次の手順に従います。
Web ブラウザーに入力します https://203.0.113.35 。
ファイアウォール認証ログイン ページが表示されます。
次の資格情報を入力し、[ ログイン] をクリックします。
ユーザー名 -FWClient1
パスワード -$ABC123
おめでとう!認証が完了しました。構成した成功メッセージ [ 認証成功 ] も表示されます。
[ 閉じる] をクリックします。
ファイアウォールユーザー認証を確認するには:
Web ブラウザーに入力します https://192.0.2.1 。
Web 認証用の https://203.0.113.35 にリダイレクトされます。
次の資格情報を入力し、[ ログイン] をクリックします。
ユーザー名 -FWClient1
パスワード -$ABC123
おめでとう!認証が完了しました。まもなく、https://192.0.2.1 にリダイレクトされ、HTTPSサーバーにアクセスできるようになります。
この後について
先に進むには、ジュニパーテクニカルライブラリの J-Web for SRXシリーズのドキュメント ページをご覧ください。