Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティデバイス向けのAruba ClearPassの設定

Aruba ClearPassページを使用して、Aruba ClearPassを統合ClearPass認証および適用機能の認証ソースとして設定します。SRXシリーズデバイスとAruba ClearPassは、ユーザー識別レベルでセキュリティを適用し、インターネットへのユーザーアクセスを制御することで、ネットワークリソースを保護するために協力しています。

ClearPass Policy Manager(CPPM)は、有線、無線、VPNの各インフラストラクチャでユーザーを認証できます。統合されたClearPass機能により、CPPMとSRXシリーズデバイスは、一緒に導入されている複数の環境で共同作業を行うことができます。

Aruba ClearPassを設定するには:

  1. [デバイス] > [セキュリティ デバイス] を選択します。

    [セキュリティ デバイス(Security Devices)] ページが表示されます。

  2. 設定を変更するデバイスを選択します。
  3. 「詳細」または右クリック・メニューから、「 構成 」>「 構成の変更」を選択します。

    [Modify Configuration] ページが表示されます。

  4. 左側のナビゲーション・メニューで [ ArubaClearPass ] をクリックします。

    [Modify Configuration] ページの [Aruba Clear Pass] セクションが表示されます。

  5. 表1に示すガイドラインに従って、Aruba ClearPassを設定するためのパラメーターを指定します。
  6. 設定を変更した後、変更をキャンセルするか、変更を保存するか、変更をプレビューするか、変更を保存してデバイスに設定を展開することができます。 セキュリティデバイスの設定の変更を参照してください。
表1:Aruba Clear Passページのフィールド

形容

名前

リストから Aruba ClearPass の名前を選択します。

認証エントリータイムアウト

ClearPass認証テーブルのアイドルエントリの有効期限が切れるまでのタイムアウト間隔を設定します。

タイムアウト間隔は、ユーザー認証エントリがClearPass認証テーブルに追加された時点から開始されます。値 0 を指定すると、エントリの有効期限は切れません。範囲は 10 分から 1440 分です。

無効な認証エントリのタイムアウト

Windows Active DirectoryまたはAruba ClearPass認証ソースのSRXシリーズ認証テーブル内の無効な認証エントリーに適用する有効期限を分単位で入力します。範囲は 0 から 1440 分です。

無効な認証エントリのタイムアウト設定は、一般的な認証エントリのタイムアウト設定とは異なります。これにより、認証テーブル内の無効なユーザー認証エントリーが、ユーザーを検証する前に期限切れになるのを防ぐことができます。

ユーザークエリなし

このオプションを有効にすると、ユーザークエリ設定を削除せずにユーザークエリ機能をオフにできます。

ユーザークエリ

このオプションを有効にすると、SRXシリーズデバイスは、ClearPassによって情報がSRXシリーズデバイスに投稿されていない個々のユーザーの認証およびID情報をClearPass Webサーバーに照会できます。

クライアント ID

統合型ClearPass認証および適用ユーザークエリー機能用の入力しをSRXシリーズデバイスが取得するのに必要なクライアントIDを入力します。範囲は 1 から 64 です。

設定されている場合、ユーザークエリ機能により、SRXシリーズデバイスは、SRXシリーズWeb APIデーモン(webapi)を介してCPPMからこの情報を受け取らなかった場合に、個々のユーザーに関する認証および識別情報をCPPMにクエリーできます。

CA 証明書

ユーザークエリ機能に使用されるSSL 接続のClearpassサーバーの証明書を検証するためにSRXシリーズデバイスが使用する証明書ファイルを指定します。ClearPass管理者は、CPPMからサーバーの証明書をエクスポートし、SRXシリーズデバイスにインポートする必要があります。その後、SRXシリーズデバイス上でca証明書パスと証明書ファイル名を設定する必要があります。たとえば、 /var/tmp/RADIUSServerCertificate.crt

クライアントシークレット

SRXシリーズデバイスがIntegrated ClearPass認証および適用ユーザークエリー機能用の入力しを取得するために必要なクライアントIDで使用するクライアントシークレットを指定します。クライアントシークレットは、CPPMで構成されたクライアントシークレットと一致している必要があります。範囲は 1 から 128 です。

クエリ時間の遅延

SRXシリーズデバイスが、個々のユーザーの認証およびID情報についてAruba ClearPass Policy Manager(CPPM)にクエリーを送信するまでに遅延させる時間を入力します。範囲: 0 から 60 秒。

遅延タイムアウトの期限が切れた後、SRXシリーズデバイスはクエリーをCPPMに送信し、ルーティングエンジン認証テーブルにユーザーの保留中のエントリーを作成します。この期間中、着信するすべてのトラフィックは、トラフィックに対するアクションを設定できるデフォルトポリシーと一致します。

クエリAPI

query-apiを入力して、SRXシリーズデバイスが個々のユーザーの認証およびID情報をClearPass Policy Manager(CPPM)Webサーバーに照会するために使用するURLのパスを指定します。

次の例 query-api 考えてみます。 api/v1/insight/endpoint/ip/$IP$

SRXシリーズデバイス は、query-api 文字列を接続方法(HTTPS)および CPPM ウェブサーバーの IP アドレス({$server})と組み合わせることで、ユーザー クエリ要求の完全な URL を生成します。

https://{$server}/api/v1/insight/endpoint/ip/$IP$

この例では、SRXシリーズデバイス が変数を次の値に置き換えて、個々のユーザーに対して特定の URL 要求を生成します。 https://203.0.113.76/api/v1/insight/endpoint/ip/192.0.2.98

トークンAPI

トークンAPIを取得するためのURLを生成する際に使用するトークンAPIを入力します。トークンAPIは、接続方法およびClearPass WebサーバーのIPアドレスと組み合わされて、入力しトークンの取得に使用される完全なURLを生成します。

たとえば、トークンAPIがOAuth、接続方法がHTTPS、ClearPass WebサーバーのIPアドレスが192.0.2.199の場合、入力しを取得するための完全なURLが https://192.0.2.199/api/oauth されます。これは必須パラメーターです。デフォルト値はありません。

Web Server

住所

SRXシリーズデバイスと通信するためのClearPass WebサーバーのIPv4アドレスを入力します。

SRXシリーズデバイスは、アドレスが構成されているClearPass Webサーバーから個々のユーザーのユーザー認証とID情報を要求します。ユーザー クエリー機能を設定すると、SRXシリーズデバイスは、Web API POSTリクエストを通じてClearPass Policy Managerから情報を受信しなかった場合に、特定のユーザーに関するこの情報を取得できます。

サーバー名

SRXシリーズデバイスと通信するためのClearPass Webサーバーのサーバー名を入力します。

ClearPass Policy Manager(CPPM)によって開始される受信HTTPまたはHTTPS接続要求に使用する、SRXシリーズデバイスのTCPポートを選択します。

Connect メソッド

ユーザークエリー要求に対して、SRXシリーズデバイスからClearPass Policy Manager(CPPM)への接続に使用するアプリケーションプロトコルを選択します。デフォルトはHTTPSです。

接続プロトコルは、CPPM サーバーを識別する構成の一部として指定します。ユーザークエリ機能を使うと、SRXシリーズデバイスはCPPMから個々のユーザーのユーザー認証とID情報を要求できます。

  • HTTP—CPPMがSRXシリーズデバイスに接続するために使用するプロトコル。

  • HTTPS—CPPMがSRXシリーズデバイスへの接続に使用するプロトコルのセキュアバージョン。

関連資料