認証されていないブラウザユーザに対するキャプティブポータルサポートについて

認証されていないユーザーが、HTTPまたはHTTPSブラウザーを使用してSRXシリーズの保護されたリソースへのアクセスを要求すると、SRXシリーズのデバイスは、ユーザーの認証を可能にするキャプティブポータルインターフェイスをユーザーに提示します。通常、このプロセスは干渉なしで発生します。ただし、この機能が導入される前は、Microsoft の更新やコントロール チェックなど、バックグラウンドで実行されている HTTP または HTTPS ベースのワークステーション サービスは、HTTP または HTTPS ブラウザベースのユーザのアクセス要求の前にキャプティブ ポータル認証をトリガーすることができました。状況は競合状態をもたらしました。バックグラウンド プロセスが最初にキャプティブ ポータルをトリガーした場合、SRX シリーズ デバイスは「401 Unauthorized」ページを表示します。サービスはブラウザーに通知せずにページを破棄し、ブラウザー ユーザーに認証ポータルは表示されませんでした。SRXシリーズデバイスは、異なるSPU上の同じ送信元IPアドレスからの同時認証をサポートしていませんでした。

SRXシリーズ デバイスは、Webリダイレクト認証のサポートを含め、複数のSPUにまたがる同時HTTPまたはHTTPSパススルー認証をサポートするようになりました。SPUがキャプティブポータル(CP)にクエリーを実行している間にHTTPまたはHTTPSのパケットが到着した場合、SRXシリーズデバイスはパケットをキューに入れ、後で処理します。

Junos Space Security Directorリリース17.1以降、Security Directorは、認証のみのブラウザと認証ユーザーエージェントのパラメーターをサポートし、HTTPまたはHTTPSトラフィックの処理方法を高度に制御できます。

• 認証のみのブラウザ:ブラウザのトラフィックのみを認証します。このパラメーターを指定した場合、SRXシリーズ デバイスは、HTTPまたはHTTPSブラウザーのトラフィックを他のHTTPまたはHTTPSトラフィックと区別します。SRXシリーズ デバイスは、ブラウザー以外のトラフィックには応答しません。auth-user-agent パラメーターをこのコントロールと組み合わせて使用すると、HTTP トラフィックがブラウザーからのものであることをさらに確認できます。

• 認証ユーザ エージェント:HTTP または HTTPS ブラウザ ヘッダーの [ユーザ エージェント(User-Agent)] フィールドに基づいて HTTP または HTTPS トラフィックを認証します。構成ごとに 1 つのユーザー エージェント値を指定できます。SRXシリーズデバイスは、HTTPまたはHTTPSブラウザヘッダーのUser-Agentフィールドと指定したユーザーエージェント値が一致しているかどうかをチェックし、トラフィックがHTTPまたはHTTPSブラウザベースかどうかを判定します。このパラメーターは、[認証のみのブラウザー] パラメーターと共に使用することも、パススルー認証とユーザー ファイアウォール認証の種類の両方に個別に使用することもできます。