Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクセスプロファイルの追加

現在地: セキュリティ サービス > ファイアウォール認証 > アクセス プロファイル

アクセスプロファイルを追加するには:

  1. [アクセス プロファイル] ページの右上隅にある [+] をクリックします。

    [アクセス プロファイルの作成] ページが表示されます。

  2. 表 1 に示すガイドラインに従って構成を完了します。
  3. [ OK ] をクリックして変更を保存します。変更を破棄する場合は、[ キャンセル] をクリックします。
表 1: [アクセス プロファイル] ページのフィールド

形容

名前

アクセスプロファイルの名前を入力します。名前は、英数字、コロン、ピリオド、ダッシュ、およびアンダースコアの一意の文字列である必要があります。最大長は 64 文字です。

アドレス割り当て

さまざまなクライアントアプリケーションで使用できるアドレスプールをリストから選択します。

[ アドレス プールの作成 ] をクリックして、新しいアドレス プールを追加します。新しいアドレス プールの作成の詳細については、次を参照してください: アドレス プールを追加する

手記:

アドレス割り当てでアドレスプールを選択した場合、許可グループの作成時にLDAPのアドレスプールを割り当てる必要はありません。
手記:

junos-ikeパッケージがインストールされたプラットフォームでは、アドレス割り当ては、 Juniper Secure Connect > ローカルゲートウェイ でIPv6アドレスをサポートし、 ユーザー認証 >> アクセスプロファイルの作成 > アドレスプールの作成ローカルゲートウェイでサポートします。
認証

地元の

ローカル 」を選択して、ローカル認証サービスを構成します。

新しいローカル認証ユーザーを作成するには:

  1. [+] をクリックします。

    [ローカル認証ユーザーの作成] ページが表示されます。

  2. 次の詳細を入力します。

    • ユーザー名 - アクセスをリクエストしているユーザーのユーザー名を入力します。

    • パスワード:ユーザ パスワードを入力します。

    • XAUTH IP アドレス:クライアントの IPv4 アドレスを入力します。

    • [グループ(Group)]:複数のユーザ アカウントをまとめて保存するためのグループ名を入力します。

  3. [ OK ] をクリックして変更を保存します。

編集するには、ローカル認証ユーザー構成を選択し、鉛筆アイコンをクリックします。

削除するには、ローカル認証ユーザー構成を選択し、削除アイコンをクリックします。

半径

RADIUS 認証サービスを構成するには、[ RADIUS ] を選択します。

新しいRADIUSサーバーを作成するには、次の手順に従います。

  1. [+] をクリックします。

    RADIUS サーバーの作成 ページが表示されます。

  2. 次の詳細を入力します。

    • アドレス—RADIUS サーバーの IPv4 または IPv6 アドレスを入力します。

    • シークレット:RADIUS サーバーにアクセスするためのシークレット パスワードを入力します。

    • ポート:RADIUS サーバーに接続するポート番号を入力します。

      範囲は 1 から 65535 です。デフォルトは 1812 です。

    • ソース仮想ルーター:リストからソース仮想ルーターを選択します。

    • 送信元インターフェイス:リストから(IP が設定されている)送信元インターフェイスを選択します。インターフェイスの IP アドレスは送信元アドレスとして設定されます。

    • タイムアウト—ローカルデバイスがRADIUS認証サーバーから応答を受信するまで待機する時間を入力します。

      範囲は 1 から 1000 秒です。デフォルトは 3 です。

    • 再試行—デバイスがRADIUSサーバーへの接続を試行できる再試行回数を入力します。

      範囲は 1 から 100 秒です。デフォルトは 3 です。

  3. [ OK ] をクリックして変更を保存します。

編集するには、RADIUS サーバー設定を選択し、鉛筆アイコンをクリックします。

削除するには、RADIUS サーバー設定を選択し、削除アイコンをクリックします。

ティッカー

LDAP 認証サービスを構成するには、[ LDAP ] を選択します。

新しい LDAP サーバーを作成するには、次の手順に従います。

  1. [+] をクリックします。

    [LDAP サーバーの作成] ページが表示されます。

  2. 次の詳細を入力します。

    • アドレス - LDAP サーバの IPv4 または IPv6 アドレスを入力します。

    • [ポート(Port)]:LDAP サーバーに接続するポート番号を入力します。

      範囲は 1 から 65535 です。デフォルトは 389 です。

    • ソース仮想ルーター:リストからソース仮想ルーターを選択します。

    • 送信元インターフェイス:リストから(IP が設定されている)送信元インターフェイスを選択します。インターフェイスの IP アドレスは送信元アドレスとして設定されます。

    • タイムアウト—ローカルデバイスがLDAP認証サーバーから応答を受信するまで待機する時間を入力します。

      範囲は 3 から 90 です。デフォルトは 5 です。

    • 再試行:デバイスが LDAP サーバへの接続を試行できる再試行回数を入力します。

      範囲は 1 から 10 秒です。

      デフォルトは 5 です。

  3. TLS/SSL を介して LDAP を構成するには、次のように入力します。

    1. 開始 TLS — 開始 TLS を介して LDAP を設定できるようにします。

    2. ピア名:ピアホスト名をFQDN形式で入力します。

    3. [タイムアウト(Timeout)]:セキュア ハンドシェイクが開始されて完了するまで待機する秒数を入力します。

      範囲は 3 から 90 秒です。デフォルトは 5 です。

    4. 最小バージョン — 接続で有効になっている TLS プロトコルの最小バージョンを選択して、LDAP サーバーとの TLS 接続をネゴシエートします。デフォルトは v1.2 です。

    5. 証明書チェック — 証明書チェックを有効にして、LDAP サーバーの証明書を検証します。

  4. [ OK ] をクリックして変更を保存します。

編集するには、LDAP サーバー構成を選択し、鉛筆アイコンをクリックします。

削除するには、LDAP サーバー構成を選択し、削除アイコンをクリックします。
LDAPオプション

基本識別名

ユーザーの基本プロパティを定義する基本識別名を入力します。

たとえば、基本識別名o=juniper、c=us、ここでcは国、oは組織を表します。

復帰間隔

バックアップ・サーバーが使用されている場合に、1 次サーバーに接続するまでの経過時間を指定します。

上/下の矢印を使用して、復帰間隔を指定します。

範囲は 60 から 4294967295 です。

LDAPオプションタイプ

リストから LDAP オプションを選択します。

  • なし - ユーザー LDAP 識別名(DN)なし。

  • アセンブル—ユーザーのLDAP DNが、共通名識別子、ユーザー名、およびベース識別名を使用してアセンブルされることを示します。

  • 検索 - ユーザーの LDAP DN を取得するために検索が使用されることを示します。検索は、検索フィルターと、認証中にユーザーが入力した検索テキストに基づいて実行されます。

俗称

ユーザー識別名の組み立て時にユーザー名のプレフィックスとして使用する共通名識別子を入力します。

このオプションは、「LDAP の アセンブル 」オプション・タイプを選択した場合に使用できます。

検索フィルター

ユーザーの LDAP 識別名を検索するフィルターの名前を入力します。

このオプションは、[LDAP を検索 ] オプションの種類を選択した場合に使用できます。

管理者検索

LDAP 管理者検索を実行するには、このオプションを有効にします。既定では、検索は匿名検索です。

このオプションは、[LDAP を検索 ] オプションの種類を選択した場合に使用できます。

識別名

管理ユーザーの識別名を入力します。識別名は、LDAP 検索を実行するためのバインドで使用されます。

このオプションは、[ 管理検索 を有効にする] を選択した場合に使用できます。

秘密

管理ユーザーのプレーンテキスト パスワードを入力します。

このオプションは、[ 管理検索 を有効にする] を選択した場合に使用できます。

許可されたグループ
手記:

Junos OSリリース23.2R1以降、J-Webはアクセスプロファイルページの[許可されたグループ]オプションをサポートします。このオプションは、SRX300シリーズのファイアウォールおよびSRX550HMファイアウォールではサポートされていません。

サインインを許可するグループを構成します。ユーザーは最大 32 個のグループを設定でき、グループ リストは 255 バイトに制限されています。

LDAP サーバーからメンバーシップ属性を受け取る順序によって、構成済み(許可)グループとユーザーを関連付ける方法が決まります。ユーザーを照合するには、LDAP サーバーから受信したリスト内の最初のグループのうち、構成されたグループのいずれかに一致するものが使用されます。

複数のグループのメンバーであるユーザーは、LDAP サーバーの応答の順序に応じて、いずれかのグループからリソースを取得できます。ユーザーに目的のリソースを確実に割り当てるために、ユーザーは 1 つのグループにのみ属することをお勧めします。

許可グループを設定するには:

  1. [許可されたグループ] グリッドの上にある [+ 使用可能] をクリックします。

  2. グループ名を入力します。

  3. リストからアドレスプールを選択します。新しいアドレスプールを作成する場合は、[ アドレスプールの作成] をクリックします。 アドレスプールの追加を参照してください。

    手記:

    [アドレスの割り当て] オプションでアドレス プールをすでに選択している場合、この手順は省略可能です。

  4. チェックマークアイコンをクリックして変更を保存します。変更を破棄する場合は、代わりに [X ] をクリックします。

許可されたグループは、それぞれ編集アイコンと削除アイコンを使用して編集および削除することもできます。
認証順序

注文 1

次の認証方法から 1 つ以上を選択します。

  • NONE - 指定されたユーザーの認証はありません。

  • ローカル - ローカル認証サービスを使用します。

  • LDAP - LDAP を使用します。SRXシリーズファイアウォールは、このプロトコルを使用して、統合ユーザーファイアウォール機能を実装するために必要なユーザーおよびグループ情報を取得します。

  • RADIUS:RADIUS認証サービスを使用します。

    RADIUS サーバーが応答に失敗するか、拒否応答を返す場合は、認証順序で明示的に構成されているローカル認証を試してください。

注文 2

リストから認証方法を選択します。

関連ドキュメント