Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

認証ポリシーラベルの設定

ラベルを追加して、認証ポリシーで参照するユーザーおよびリソースを識別し、ネットワークへのアクセスを制御します。

ネットワーク アクセス コントロール ポリシーとは、ネットワークへの接続を試みるデバイスに安全なアクセスを提供するための一連のルールとガイドラインです。ポリシーは、デバイスとユーザーがネットワークにアクセスし、ネットワークリソースを使用するために満たす必要のある特定の基準で構成されています。

Juniper Mist Access Assuranceを認証ポリシーとともに構成することで、Juniper Mist管理対象デバイスがクライアントをネットワークまたはアプリケーションに接続できるようにすることができます。

Juniper Mistは「ラベル」をポリシーポリシーの一致基準を定義として活用し、ラベルはパーミッションを指定する関連ポリシーアクションを適用します。つまり、認証ポリシーを作成するときに、ラベルを次のように使用できます。

  • 一致条件: ポリシー・ルールを適用するために満たす必要がある一致条件のセット。
  • ポリシー許可アクション:追加属性(VLAN、ロール、グループベースのポリシータグ)の適用など、一致した場合に適用する一連のアクション。

ラベルの作成

ラベルは、次のページで作成できます。

  • 認証ポリシー
  • 認証ポリシーラベル

「認証ポリシー・ラベル」ページでラベルを作成するには、次のようにします。

  1. Juniper Mist ポータルで、左側のメニューから [Organization > Access > Auth Policy Labels](認証ポリシー ラベル) を選択します。

    既存のラベルがある場合は、そのリストが表示されます。

  2. [Auth Policy Labels] で [Add Labels ] をクリックし、次の詳細を入力します。
    • [ラベル名(Label Name)]:ラベルの一意の名前を入力します。英数字と 1 つ以上の特殊文字を含む最大 32 文字を使用できます。
    • [ラベル タイプ(Label Type)]:ラベル タイプを指定します。 表 1 の情報を参照して、ラベル・タイプを選択してください。
    表1:新しいラベルのパラメータ

    ラベル タイプ

    細部

    認証ポリシー・ルールのロール

    AAA 属性

    一致条件として機能し、アクセス許可を指定するポリシーアクションの決定に役立つユーザー属性のグループ。

    オプション:

    • ロール: 割り当てられたユーザーロール。これは、ロールベースのポリシーを適用する際に使用できます。
    • VLAN: VLAN ID または名前付き VLAN。これは、VLANをクライアントに割り当てるために使用できます。
    • レルム: 認証で使用されるドメインで、多くの場合、ユーザーの資格情報が有効な場所を指定します。
    • ユーザー名: 個人またはデバイスに割り当てられた意の識別子。これは、認証デバイスのユーザー名RADIUS属性と一致させるために使用できます。
    • GBPタグ:グループポリシータグ)を使用して、ユーザーまたはデバイスの特定のグループをさまざまな種類のネットワークトラフィック管理に割り当てるために使用されます。
    • セッションタイムアウト: ユーザーセッションがリセットされるまでの最大時間を3600秒から604800秒で設定します。
    • Custom Vendor Specific Attribute: Access-Acceptメッセージで返されるように設定できるカスタム属性。これらの属性は特定のベンダーに合わせて調整されており、役割や権限を含めることができます。例:
      • Cisco:Cisco-AVPair、Cisco-NAS-Port、Cisco-Fax-Account-ID-Origin。
      • ジュニパー: Juniper-local-user-name。
      • Palo Alto Networks: paloAlto-admin-role、paloAlto-admin-access-domain。

      • さまざまなベンダーのベンダー固有属性(VSA)は、それぞれのドキュメントまたは設定ガイドで確認できます。

    • カスタム標準RADIUS属性( Idle-Timeout=600Termination-Action=RADIUS-Requestなどの標準IETF RADIUS属性であり、追加の属性で変更できます。
    • 動的な有線ポート構成(Access AssuranceがAccess-AcceptメッセージのRADIUS属性 Egress-VLAN-Name に対して返すVLAN名で、AP接続にトランクポートを自動的に使用したり、タグ付きVLANとタグなしVLANを区別するなど、動的なポート構成で特に役立ちます)。
    • 返されるユーザー名: ユーザー名、ユーザーが正常に認証されるとシステムに送信される電子メールなどのユーザーの識別子。

      オプション:

      • 自動
      • 証明書CN
      • 証明書 SAN:UPN
      • 証明書 SAN:メール
      • 証明書 SAN:DNS[しょめいしょう SAN
    • [Configured Port VLAN ID]:認証が成功した後に特定のポートでデバイスが割り当てられる VLAN ID。
    • NAS IP アドレス: 認証要求が行われているネットワーク アクセス サーバー (ゲートウェイ デバイス) の IP アドレス。

    一致条件とポリシー許可アクション
    証明書属性 認証中に使用されるユーザーまたはデバイス証明書フィールドのグループ。

    オプション:

    • コモンネーム(CN)
    • 件名
    • シリアル番号
    • 発行者
    • サブジェクトの別名(SAN)

    一致条件

    クライアントリスト

    ワイルドカード値で識別されるMACアドレスまたはMAC組織固有識別子(OUI)のリスト。例:1122AA33BB44または11-22-AA-33-BB-44または11-22-AA*

    802.1X をサポートしていないデバイスの場合は、 クライアント リスト を使用して、承認されたデバイスにネットワークへのアクセスを許可できます。

    一致条件
    SSID

    着信局識別子属性に基づく、ユーザーまたはデバイスの認証時に使用される SSID 名。カンマ区切り値を使用して、複数の SSID を 1 つのラベルに結合できます。

    一致条件
    ディレクトリ属性 ユーザーグループメンバーシップ。アイデンティティプロバイダーの(IdP)は、ユーザーまたはデバイスの認証時にユーザーグループ情報を提供します。

    一致条件
    MDMコンプライアンス 認可時にモバイルデバイス管理プロバイダから受信したクライアントポスチャコンプライアンスを評価することによって、ポリシールールの「一致」セクションで使用されます。
    • 準拠
    • 非準拠
    • 不明

    一致条件
    クライアントラベル NAC エンドポイント データベース内の MAC アドレスに割り当てられたラベルまたはラベルのリストと照合するために使用します。テキストを入力します。例:building3、floor2、printer。

    一致条件
  3. [作成] をクリックして、新しいラベルの設定を保存します。
    このタスクで作成したラベルは、認証ポリシーの作成時に、一致条件またはポリシー許可アクションとして選択できるようになります。

参照