Web 認証とファイアウォール ユーザ認証のためのキャプティブ ポータルの設定
概要 J-Webを使用して、Web認証とファイアウォールユーザー認証用のキャプティブポータルを設定する方法について説明します。
概要
What Is Captive Portal?
キャプティブポータルは、ネットワークに接続する必要があるデバイスを認証する方法です。SRXシリーズファイアウォールでは、キャプティブポータルを有効にして、Webブラウザの要求を、ユーザ名とパスワードの入力を求めるログインページにリダイレクトすることができます。認証が成功したら、元のページ要求とその後のネットワーク アクセスを続行できます。
What Is Web Authentication?
Web 認証方法では、Web 認証が有効になっているデバイス上の IP アドレスをブラウザーにポイントします。このアクションにより、デバイス上の Web 認証機能をホストする IP アドレスで HTTPS セッションが開始されます。その後、デバイスはユーザー名とパスワードの入力を求められ、結果はデバイスにキャッシュされます。その後、トラフィックで Web 認証ポリシーが検出されると、前回の Web 認証結果に基づいてアクセスが許可または拒否されます。
他の認証方法も使用できますが、このドキュメントではこれらの方法については説明しません。ただし、これらの各方法について簡単に説明します。
パススルー認証 - パススルー ユーザー認証は、アクティブ認証の一形態です。この方法では、デバイスはユーザー名とパスワードの入力を求めます。認証によって ID が検証されると、ファイアウォールを通過して、要求されたリソースにアクセスできます。
ウェブリダイレクトによるパススルー - HTTPS クライアントリクエストにこの認証方法を使用する場合、ウェブリダイレクト機能を使用して、リクエストをデバイスの内部ウェブサーバーに送信できます。WebサーバーはリダイレクトHTTPS応答をクライアントシステムに送信し、ユーザー認証のためにWebサーバーに再接続するように指示します。クライアントの要求が到着するインターフェイスは、リダイレクト応答が送信されるインターフェイスです。
What Is Firewall User Authentication?
ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。Junos OSを使用すると、管理者は、送信元IPアドレスやその他の資格情報に基づいて、ファイアウォールの背後にある(異なるゾーンにある)保護されたリソースへのファイアウォールユーザーのアクセスを制限または許可できます。ファイアウォール ユーザーを定義した後、3 つの認証方法 (Web、パススルー、または Web リダイレクトを使用したパススルー) のいずれかを使用してユーザーを認証することを要求するポリシーを作成できます。
ワークフロー
スコープ
トポロジの例を次に示します ( 図 1 参照)。
クライアントとして機能するファイアウォールユーザーのデバイス。
インターネットにアクセスできるSRXシリーズファイアウォール。
HTTPS サーバーとして機能するネットワーク デバイス。
このサンプルトポロジーでは、SRXシリーズファイアウォールでJ-Webを使用して、以下のタスクを実行します。
サンプル トポロジーの構成に使用される値は、単なる例です。
ステップ |
アクション |
|---|---|
1 |
ge-0/0/3で論理インターフェイスを作成し、IPアドレス203.0.113.35を割り当てて、Web認証を有効にします。
メモ:
この例では、ファイアウォールのユーザーシステムのIPアドレスは203.0.113.12で、203.0.113.0/24と同じサブネット内にあります。 ge-0/0/2 で論理インターフェイスを作成し、IP アドレス 192.0.2.1 を割り当てます。
メモ:
この例では、HTTPS サーバーの IP アドレスは 192.0.2.1 です。 |
2 |
アクセスプロファイル(FWAUTH)を作成し、ローカル認証サービスを定義します。 |
3 |
成功したログイン メッセージを表示するための Web 認証設定を構成します。 |
4 |
untrust(UT_ZONE)ゾーンとtrust(T_ZONE)ゾーンを作成し、ge-0/0/3インターフェイスとge-0/0/2インターフェイスをそれぞれ割り当てます。 |
5 |
セキュリティポリシールール(FWAUTH-RULE)で、Web認証とファイアウォールユーザー認証用のキャプティブポータルを設定します。 |
6 |
設定した値がファイアウォール ユーザーに対して機能することを確認します。
|
始める前に
サンプル トポロジーの構成に使用される値は、単なる例です。ネットワーク構成に合わせて必要な詳細を変更できます。
この例で使用するSRXシリーズファイアウォールが、Junos OSリリース21.4R1以降を実行していることを確認してください。
認証を許可するために必要な証明書がデバイスにインストールされていることを確認します。この例では、自己署名証明書である cert1 を使用します。
ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする
このステップでは、次のタスクを実行します。
SRXシリーズファイアウォールのge-0/0/3インターフェイスの場合:
untrust ゾーンの論理インターフェイスを作成します。
IPv4 アドレス 203.0.113.35 をインターフェイスに割り当てます。
メモ:キャプティブ ポータルを有効にするために同じ IP アドレスを使用します。
Web 認証用のインターフェイスで HTTPS を有効にします。
SRXシリーズファイアウォールのge-0/0/2インターフェイスの場合:
trustゾーンの論理インターフェイスを作成します。
インターフェイスにIPv4アドレス192.0.2.1を割り当てます。
現在地(J-Web UI): ネットワーク > 接続 性> インターフェイス
untrust ゾーンの論理インターフェイスを作成し、Web 認証を有効にするには:
- 次の詳細を指定します。
フィールド
アクション
論理ユニット番号
タイプ 0。
説明
タイプ UT_Zone Interface。
VLAN ID
このフィールドは編集できません。
マルチテナントタイプ
リストから [なし] を選択します。
論理システム
このフィールドは編集できません。
ゾーン
リストから [なし] を選択します。
後のステップで、untrust ゾーン(UT_ZONE)を作成し、ge-0/0/3 インターフェイスを割り当てます。 「ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる」を参照してください。
プロトコル(ファミリー) - IPv4アドレス
IPv4アドレス/DHCP
チェックボックスをオンにして、IPv4アドレス/DHCP設定を有効にします。
IPv4アドレス
IPv4 アドレス を選択します。次に、[+] をクリックし、次の詳細を入力します。
IPv4 アドレス—ウェブ認証のタイプ 203.0.113.35 。
メモ:キャプティブ ポータル設定では、同じ IPv4 アドレスを使用します。
サブネット - 上矢印または下矢印を使用して選択します 24 。
ウェブ認証:
[ 構成] をクリックします。
Web 認証 ページが表示されます。
[キャプティブ ポータル専用の HTTPS を有効にする] を選択します。
[ OK ] をクリックして変更を保存します。
trustゾーンの論理インターフェイスを作成するには:
ge-0/0/2 を選択し>インターフェイス ページの右上隅にある 論理インターフェイスの作成 を選択します。
ge-0/0/2.0 の論理インターフェイスの追加 ページが表示されます。
次の詳細を指定します。
フィールド
アクション
論理ユニット番号
タイプ 0。
説明
タイプ T_Zone Interface。
VLAN ID
このフィールドは編集できません。
マルチテナントタイプ
リストから [なし] を選択します。
論理システム
このフィールドは編集できません。
ゾーン
リストから [なし] を選択します。
後のステップで、トラストゾーン(T_ZONE)を作成し、それにge-0/0/2インターフェイスを割り当てます。 「ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる」を参照してください。
VLAN ID
このフィールドは編集できません。
プロトコル(ファミリー) - IPv4アドレス
IPv4アドレス/DHCP
チェックボックスをオンにして、IPv4アドレス/DHCP設定を有効にします。
IPv4アドレス
IPv4 アドレス を選択します。
[+] をクリックします。
IPv4 アドレス:タイプ 192.0.2.1 (HTTPS サーバ)。
サブネット - 上矢印または下矢印を使用して選択します 24 。
Web認証:そのままにします。
ARP - そのままにします。
[ OK ] をクリックして変更を保存します。
よく出来ました!HTTPSサーバー用に、ge-0/0/2にIPアドレス192.0.2.1の論理インターフェイスを作成しました。
上部のバナーの右側にある [コミット ] をクリックし、[ 構成の コミット] を選択して変更を今すぐコミットします。
コミット成功のメッセージが表示されます。
また、 セキュリティ ポリシーの「ステップ 5:キャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする」の最後に、すべての設定変更を一度にコミットすることもできます。
ステップ 2: アクセスプロファイルを作成する
ローカル認証サービスを定義するためのアクセスプロファイルを作成しましょう。このアクセスプロファイルは、Web認証設定とセキュリティポリシーで使用します。
現在地(J-Web UI): セキュリティサービス > ファイアウォール 認証 > アクセスプロファイル
アクセスプロファイルを作成するには:
- 次の詳細を指定します。
フィールド
アクション
名前
タイプ FWAUTH。
アドレス割り当て
(オプション)リストから [なし] を選択します。
リストからアドレスプールを選択できます。[ アドレス プールの作成 ] をクリックして必要な値を指定することで、新しいアドレス プールを追加することもできます。
認証
地元の
「ローカル」を選択して、 ローカル 認証サービスを構成します。
[+] をクリックし、[ローカル認証ユーザーの作成] ページで次の詳細を入力します。
ユーザー名—入力します FWClient1。これは、アクセスを要求しているユーザーのユーザー名です。
パスワード:を入力します $ABC123。
XAUTH IP アドレス - そのままにします。
グループ - そのままにします。
[ OK ] をクリックして変更を保存します。
認証順序
注文 1
リストから [ ローカル ] を選択します。
注文 2
既定では、[ なし] が選択されています 。そのままにしておきます。
ステップ 3: Web 認証設定を構成する
次に、作成したアクセスプロファイルを割り当て、ログイン成功メッセージを定義し、ロゴ画像をアップロードします。このイメージは、Web 認証とキャプティブ ポータルの両方に使用します。
現在地(J-Web UI): セキュリティサービス > ファイアウォール 認証 > 認証設定
Web 認証設定を構成するには:
- (オプション)カスタマイズしたロゴをアップロードするには:
[ ロゴ画像のアップロード] をクリックします。
[ 参照 ] をクリックして、ロゴ ファイルをアップロードします。
ロゴ イメージを選択し、[ OK] をクリックします。
メモ:優れたロゴを作成するには、画像が .gif 形式であり、解像度が172x65である必要があります。
[ 同期 ] をクリックしてロゴを適用します。
アップロードされたイメージは、キャプティブポータルログインページまたはWeb認証ログインページに表示されます。
ステップ 4: セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当てる
セキュリティ・ゾーンを作成して、ポリシーによってインバウンドおよびアウトバウンド・トラフィックを規制する1つ以上のネットワーク・セグメントを定義します。
次に、個別に作成します。
untrust ゾーン(UT_ZONE)を使用し、ge-0/0/3 インターフェイスを割り当てます。
トラストゾーン(T_ZONE)を設定し、それにge-0/0/2インターフェイスを割り当てます。
現在地(J-Web UI): セキュリティポリシー&オブジェクト > ゾーン/スクリーン
UT_ZONE(untrust zone)と T_ZONE(trust zone)を作成し、定義されたインターフェイスをゾーンに割り当てるには、次の手順に従います。
- 次の詳細を指定します。
フィールド
アクション
メイン
ゾーン名
untrust ゾーンのタイプ UT_ZONE 。
T_ZONE trustゾーンのタイプ。
ゾーンの説明
UT_ZONEのタイプ untrust zone 。
T_ZONE に入力します trust zone 。
ゾーンの種類
[ セキュリティ] を選択します。
アプリケーション追跡
そのままにしておきます。
ソースアイデンティティログ
そのままにしておきます。
トラフィック制御オプション
そのままにしておきます。
インターフェイス
[UT_ZONE] で、[使用可能] 列から ge-0/0/3.0 を選択し、右矢印をクリックして [選択済み] 列に移動します。
[T_ZONE] で、[使用可能] 列から ge-0/0/2.0 を選択し、右矢印をクリックして [選択済み] 列に移動します。
フィールド
アクション(サンプル値)
ホスト インバウンド トラフィック - ゾーン
そのままにしておきます。
ホストインバウンドトラフィック - インターフェイス
選択されたインターフェイス
UT_ZONEには、 ge-0/0/3.0 を選択します。
[T_ZONE] で ge-0/0/2.0 を選択します。
利用可能なサービス
[使用可能なサービス] 列から すべて を選択し、右矢印をクリックして [選択済み] 列に移動します。
利用可能なプロトコル
[使用可能なプロトコル] 列から すべて を選択し、右矢印をクリックして [選択済み] 列に移動します。
ステップ 5: セキュリティ ポリシーでキャプティブ ポータルの Web またはファイアウォール ユーザ認証を有効にする
次に、セキュリティ ポリシー ルールでキャプティブ ポータルを有効にして、クライアント HTTPS 要求をデバイスの内部 HTTPS サーバにリダイレクトします。
現在地: (J-Web UI): Security Policies & Objects > Security Policies
キャプティブ ポータルのセキュリティ ポリシー ルールを設定するには、次の手順を実行します。
- 次の詳細を指定します。
フィールド
アクション
ルール名
名前
タイプ FWAUTH-RULE。
説明
タイプ Test rule。
ソースゾーン
+
[+] をクリックしてソース ゾーンを追加します。
[ソースの選択] ページが表示されます。
ソースの選択
次の詳細を指定します。
[ゾーン(Zone)]:ルールを関連付ける UT_ZONE をリストから選択します。
アドレス - デフォルトでは、[ 任意] が選択されています。そのままにしておきます。
ソースのアイデンティティ:
[Web 認証] で [ なし] を選択します。
ファイアウォール ユーザー認証の場合は、[ 特定] を選択します。次に、[使用可能] 列から [ 未認証 および 不明 ] を選択し、右矢印をクリックしてこれらの値を [選択済み] 列に移動します。
ソース ID フィード:を選択します None。
[ OK ] をクリックして変更を保存します。
宛先ゾーン
+
[+] をクリックして宛先ゾーンを追加します。
[宛先の選択] ページが表示されます。
目的地を選択
次の詳細を指定します。
[ゾーン(Zone)]:ルールを関連付ける T_ZONE をリストから選択します。
アドレス - デフォルトでは、[ 任意] が選択されています。そのままにしておきます。
動的アプリケーション - [なし] を選択します。
メモ:動的アプリケーションを Web 認証で設定することはできません。
サービス - [ 任意] を選択します。
URL カテゴリ - [なし] を選択します。
宛先 ID フィード:を選択します None。
[ OK ] をクリックして変更を保存します。
アクション
[ 許可] を選択します。
高度なサービス
そのままにしておきます。
ルールのオプション
+
[+] をクリックしてルール オプションを選択します。
[ルール オプションの選択] ページが表示されます。
ログ
そのままにしておきます。
認証
メモ:この設定は 、Web 認証 にのみ使用します。
次の詳細を指定します。
認証エントリをJIMSにプッシュ - デフォルトでは、このオプションは無効になっています。そのままにしておきます。
タイプ:リストから [Web 認証 ] を選択します。
クライアント名 - 「FWClient1」と入力します。
[ OK ] をクリックして変更を保存します。
認証
メモ:この設定は 、ファイアウォールユーザー認証 にのみ使用します。
次の詳細を指定します。
認証エントリをJIMSにプッシュ - デフォルトでは、このオプションは無効になっています。そのままにしておきます。
タイプ:リストから [ ユーザ ファイアウォール ] を選択します。
アクセス プロファイル:リストから FWAUTH を選択します。
ドメイン - そのままにします。
ウェブリダイレクト(http):デフォルトでは、このオプションは無効になっています。そのままにしておきます。
キャプティブ ポータル:ユーザ認証のためにクライアントの HTTPS 要求を Web サーバにリダイレクトできるようにします。
インターフェイス:クライアントのHTTPSリクエストがリダイレクトされるWebサーバーのリストから ge-0/0/3.0(203.0.113.35/24) を選択します。これは、Web 認証を有効にしたときに設定したものと同じインターフェイスです。
IP アドレス - クライアントの HTTPS リクエストがリダイレクトされるウェブサーバー用に「 203.0.113.35 」と入力します。これは、ge-0/0/3インターフェイスでWeb認証を有効にしたときに設定したのと同じIPv4アドレスです。
SSL 終端プロファイル:SSL 終端サポート サービスのリストから SSL_termination(cert1) を選択します。SSLプロキシサーバーとして機能するSRXシリーズファイアウォールは、SSLターミネーションプロセスを使用してクライアントのSSLセッションを終了します。
認証のみのブラウザ - デフォルトでは、このオプションは無効になっています。そのままにしておきます。
ユーザー エージェント - そのままにします。
[ OK ] をクリックして変更を保存します。
- 設定が完了したら、行の右側にあるチェックマークアイコン
をクリックします。
メモ:新しいルールの作成時にインラインチェックマークアイコンとキャンセルアイコンが使用できない場合は、水平バーを後方にスライドします。
- [セキュリティ ポリシー] ページの右上隅にある [ 保存 ] をクリックして、変更を保存します。
ステップ 6: Web 認証とユーザー認証の設定を確認する
目的
最後のステップ!設定がファイアウォールユーザーに対して機能するかどうかを見てみましょう。
Web 認証の場合は、https://203.0.113.35 を使用して正常に認証されます。これは、「 ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする」で設定したのと同じ IPv4 アドレスです。
ファイアウォールユーザー認証の場合、https://203.0.113.35 を使用して正常に認証され、HTTPSサーバーにアクセスするための https://192.0.2.1 にリダイレクトされます。これらは、「 ステップ 1: 論理インターフェイスを作成して Web 認証を有効にする」で構成したものと同じ IPv4 アドレスです。
アクション
Web 認証の設定を確認するには、次の手順に従います。
Web ブラウザーに入力します https://203.0.113.35 。
ファイアウォール認証ログイン ページが表示されます。
次の資格情報を入力し、[ ログイン] をクリックします。
ユーザー名 -FWClient1
パスワード -$ABC123
おめでとう!認証が完了しました。構成した成功メッセージ [ 認証成功 ] も表示されます。
[ 閉じる] をクリックします。
ファイアウォールユーザー認証を確認するには:
Web ブラウザーに入力します https://192.0.2.1 。
Web 認証用の https://203.0.113.35 にリダイレクトされます。
次の資格情報を入力し、[ ログイン] をクリックします。
ユーザー名 -FWClient1
パスワード -$ABC123
おめでとう!認証が完了しました。まもなく、https://192.0.2.1 にリダイレクトされ、HTTPSサーバーにアクセスできるようになります。
この後について
先に進むには、ジュニパーテクニカルライブラリの J-Web for SRXシリーズのドキュメント ページをご覧ください。