Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティデバイス向けのAruba ClearPassの設定

Aruba Clear Passページを使用して、統合されたClearPass認証および適用機能の認証ソースとしてAruba ClearPassを設定します。SRXシリーズデバイスとAruba ClearPassが連携して、ユーザーIDレベルでセキュリティを適用し、インターネットへのユーザーアクセスを制御することで、ネットワークリソースを保護します。

ClearPass Policy Manager(CPPM)は、有線、無線、VPNのインフラストラクチャ全体でユーザーを認証できます。統合されたClearPass機能により、CPPMとSRXシリーズデバイスは、一緒に導入されている複数の環境で連携することができます。

Aruba ClearPassを設定するには:

  1. デバイス>セキュリティデバイスを選択します。

    セキュリティデバイスページが表示されます。

  2. 設定を変更するデバイスを選択します。
  3. さらに表示または右クリックメニューから、 設定 > 設定の変更を選択します。

    設定の変更ページが表示されます。

  4. 左側のナビゲーションメニューで ArubaClearPass をクリックします。

    設定の変更ページのAruba Clear Passセクションが表示されます。

  5. 表1に示されているガイドラインに従って、Aruba ClearPassを設定するためのパラメーターを指定します。
  6. 設定を変更した後、変更をキャンセルするか、変更を保存するか、変更をプレビューするか、変更を保存してデバイスに設定を展開できます。 セキュリティデバイスの設定の変更を参照してください。
表1:Aruba Clear Passページのフィールド

フィールド

説明

名前

リストからAruba ClearPassの名前を選択します。

認証エントリータイムアウト

ClearPass認証テーブル内のアイドルエントリーが期限切れになるまでのタイムアウト間隔を設定します。

タイムアウト間隔は、ユーザー認証エントリーがClearPass認証テーブルに追加された時点から開始されます。値 0 を指定すると、エントリーが期限切れになることはありません。範囲は10分から1440分です。

無効な認証エントリタイムアウト

Windows Active DirectoryまたはAruba ClearPass 認証ソースのSRXシリーズ認証テーブル内の無効な認証エントリに適用する有効期限を分単位で入力します。範囲は 0 分から 1440 分です。

無効な認証エントリタイムアウト設定は、一般的な認証エントリタイムアウト設定とは異なります。これにより、認証テーブル内の無効なユーザー認証エントリーが、ユーザーを検証する前に期限切れになるのを防ぐことができます。

ユーザークエリなし

このオプションを有効にすると、ユーザークエリ設定を削除せずにユーザークエリ機能をオフにできます。

ユーザークエリ

このオプションを有効にすると、SRXシリーズデバイスがClearPass Webサーバーにクエリして、ClearPassによってSRXシリーズデバイスに情報が投稿されなかった個々のユーザーの認証およびID情報を照会できるようになります。

クライアントID

SRXシリーズデバイスが統合されたClearPass認証および適用ユーザークエリ機能用のアクセストークンを取得するために必要なクライアントIDを入力します。範囲は 1 から 64 です。

設定されている場合、ユーザークエリ機能を使用すると、SRXシリーズデバイスは、SRXシリーズ Web APIデーモン(webAPI)を介してCPPMからこの情報を受信できない場合に、個々のユーザーに関する認証情報やID情報をCPPMにクエリできます。

CA証明書

SRXシリーズデバイスが、ユーザーのクエリ機能に使用されるSSL接続用Clearpassサーバーの証明書を検証するために使用する証明書ファイルを指定します。ClearPass管理者は、CPPMからサーバーの証明書をエクスポートし、SRXシリーズデバイスにインポートする必要があります。後で、SRXシリーズデバイスでca-certificateパスと証明書ファイル名を設定する必要があります。例えば、 /var/tmp/RADIUSServerCertificate.crtです。

クライアントシークレット

SRXシリーズデバイスが統合されたClearPass認証および適用ユーザークエリ機能用のアクセストークンを取得するために必要なクライアントIDで使用するクライアントシークレットを指定します。クライアントシークレットは、CPPMで設定されたクライアントシークレットと一致する必要があります。範囲は1から128です。

クエリ時間の遅延

SRXシリーズデバイスが個々のユーザーの認証とID情報についてAruba ClearPass Policy Manager(CPPM)にクエリを送信するまでの遅延時間を入力します。範囲:0〜60秒。

遅延タイムアウトが終了すると、SRXシリーズデバイスはクエリーをCPPMに送信し、ルーティングエンジン認証テーブルにユーザー用保留中のエントリーを作成します。この期間中、到着するトラフィックはすべて、設定可能なトラフィックに対するアクションのデフォルトポリシーに一致します。

クエリAPI

query-apiを入力して、SRXシリーズデバイスが個々のユーザーの認証とID情報をClearPass Policy Manager(CPPM)Webサーバーにクエリするために使用するURLのパスを指定します。

次の query-api 例を考えてみましょう。 api/v1/insight/endpoint/ip/$IP$

SRXシリーズデバイスは、query-api文字列と接続方法(HTTPS)およびCPPM WebサーバーIPアドレス({$server})を組み合わせることで、ユーザーのクエリリクエストの完全なURLを生成します。

https://{$server}/api/v1/insight/endpoint/ip/$IP$

この例では、SRXシリーズデバイスが変数を次の値に置き換え、個々のユーザーに対して特定のURLリクエストを作成します。 https://203.0.113.76/api/v1/insight/endpoint/ip/192.0.2.98

トークンAPI

アクセストークンを取得するためのURLの生成に使用するトークンAPIを入力します。トークンAPIは、接続方法とClearPass WebサーバーのIPアドレスと組み合わせて、アクセストークンの取得に使用する完全なURLを生成します。

例えば、トークンAPIがoauthで、接続方法がHTTPSで、ClearPass WebサーバーのIPアドレスが192.0.2.199の場合、アクセストークンを取得するための完全なURLは https://192.0.2.199/api/oauth になります。これは必須パラメータです。デフォルト値はありません。

Web Server

住所

SRXシリーズデバイスと通信するためのClearPass WebサーバーのIPv4アドレスを入力します。

SRXシリーズデバイスは、アドレスが設定されているClearPass Webサーバーから、個々のユーザーのユーザー認証とID情報を要求します。ユーザークエリ機能を設定すると、SRXシリーズデバイスは、Web API POSTリクエストを介してClearPassポリシーマネージャーからこの情報を受信しなくても、特定のユーザーについてこの情報を取得できます。

サーバー名

SRXシリーズデバイスと通信するClearPass Webサーバーのサーバー名を入力します。

ポート

ClearPass Policy Manager(CPPM)によって開始された受信HTTPまたはHTTPS接続要求に使用するSRXシリーズデバイスのTCPポートを選択します。

接続方法

ユーザーのクエリリクエスト用に、SRXシリーズデバイスからClearPass Policy Manager(CPPM)への接続に使用するアプリケーションプロトコルを選択します。デフォルトはHTTPSです。

接続プロトコルは、CPPMサーバーを識別する設定の一部として識別します。ユーザークエリ機能により、SRXシリーズデバイスは、個々のユーザーのユーザー認証とID情報をCPPMに要求できます。

  • HTTP—CPPMがSRXシリーズデバイスに接続するために使用するプロトコル。

  • HTTPS—CPPMがSRXシリーズデバイスに接続するために使用するプロトコルのセキュアなバージョン。

関連ドキュメント