Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクセスプロファイルの作成

[アクセス プロファイル(Access Profile)] ページを使用して、ローカル、LDAP、または RADIUS 認証方式でアクセス プロファイルを作成します。

ローカル、LDAP、またはRADIUS認証方法でアクセスプロファイルを作成するには:

  1. [SRX > アイデンティティ>アクセス プロファイル] を選択します。
  2. [+] アイコンをクリックします。
  3. 表 1ガイドラインを使用して、設定を完了します。
  4. OK をクリックします。

    概要ページには、完全な構成のプレビューが表示されます。

表 1: アクセス プロファイル設定パラメータ

フィールド

説明

一般的な設定

アクセスプロファイル名

英数字、コロン、ピリオド、ダッシュ、アンダースコアからなる一意の文字列を入力します。最大長は 255 文字です。

説明

アクセスプロファイルの説明を入力します。最大長は 255 文字です。

デバイスの割り当て

デバイス

[使用可能] 列からこれらのデバイスを選択し、[選択済み] 列に移動します。

[使用可能(Available)] 列と [選択済み(Selected)] 列の両方の検索フィールドでデバイスを検索することもできます。これらのデバイスを検索するには、デバイス名、デバイスの IP アドレス、またはデバイス タグを入力します。

認証

デバイスがユーザーの認証に使用する認証方法を選択します。

  • ローカル
  • RADIUS
  • Ldap

ローカル

次の詳細を入力します。

  • アドレス割り当て - アドレス プールを選択するか、アドレス プールを作成します。

  • [ユーザー名] - ユーザー名を入力します。

  • シークレット - サーバーのパスワードを入力します。
  • XAUTH IP アドレス:外部認証サーバーの IPv4 アドレスを入力します。
  • [グループ(Groups)]:外部認証サーバに複数のユーザ アカウントをまとめて保存するためのグループ名を入力します。
RADIUS

切り替えボタンを選択して、RADIUS サーバーの詳細を指定します。

RADIUS サーバーを設定するには、次の手順に従います。

  1. [+] アイコンをクリックします。

  2. 次の詳細を入力します。

    • [IP アドレス(IP アドレス)]:サーバの 32 ビット IP アドレスを入力します。
    • シークレット - サーバーのパスワードを入力します。
    • ポート-RADIUSサーバーに接続するポート番号を入力します。範囲は 1 から 65,535 です。
    • 再試行-デバイスがRADIUSサーバーへの接続を試行できる再試行回数を入力します。範囲は 1 から 10 です。
    • ルーティングインスタンス-RADIUSパケットをRADIUSサーバーに送信するために使用するルーティングインスタンスを入力します。ルーティング インスタンスは、ルーティング テーブル、ルーティング テーブルに含まれるインターフェイス、およびルーティング テーブルの情報を制御するルーティング プロトコル パラメーターの集合です。
    • 送信元アドレス-デバイスインターフェイスの1つに設定されている送信元IPアドレスを入力します。
    • タイムアウト-ローカルデバイスがRADIUS認証サーバーから応答を受信するのを待つ時間を入力します。範囲は 3 から 90 秒です。

3. OKをクリックします。

Ldap

切り替えボタンを選択して、LDAP サーバーの詳細を指定します。

LDAP サーバーを設定するには、次の手順に従います。

  1. [+] アイコンをクリックします。

  2. 次の詳細を入力します。

    • IP アドレス - LDAP サーバの IPv4 アドレスを入力します。
    • ポート - LDAP サーバに接続するポート番号を入力します。範囲は 1 から 65,535 です。
    • 再試行 - デバイスがLDAPサーバへの接続を試行できる再試行回数を入力します。範囲は 1 から 10 です。
    • ルーティングインスタンス - LDAPパケットをLDAPサーバに送信するために使用するルーティングインスタンスを入力します。ルーティング インスタンスは、ルーティング テーブル、ルーティング テーブルに含まれるインターフェイス、およびルーティング テーブルの情報を制御するルーティング プロトコル パラメーターの集合です。
    • 送信元アドレス - 設定された各LDAPサーバの送信元アドレスを入力します。LDAP サーバーに送信される各 LDAP 要求は、指定された送信元アドレスを使用します。
    • タイムアウト - ローカルデバイスがLDAPサーバーから応答を受信するまでの待機時間を入力します。範囲は 3 から 90 秒です。

3. OKをクリックします。

LDAP オプション

復帰間隔

バックアップ・サーバーが使用されている場合に,1次サーバーに接続するまでの経過時間を指定してください。範囲は 60 から 4,294,967,295 秒です。

基本識別名

次のいずれかの方法で使用される基本識別名を指定します。

  • 「アセンブル」オプションを使用してユーザーの識別名をアセンブルし、基本識別名をユーザー名に追加してユーザーの識別名を生成する場合。結果の識別名が LDAP バインド呼び出しで使用されます。

  • 検索フィルターを使用してユーザーの識別名を検索する場合。検索は、基本識別名のサブツリーに制限されます。

基本識別名は、ユーザーを定義する一連の基本プロパティです。たとえば、基本識別名では、o= juniperc=us( o は組織)、 c は国を表します。

LDAP オプションの種類

組み立てる

ユーザーの LDAP 識別名が、共通名識別子、ユーザー名、および基本識別名を使用してアセンブルされることを指定します。

一般名

ユーザーの識別名の組み立て中にユーザー名のプレフィックスとして使用される共通名識別子を入力します。たとえば、 uid は " ユーザー ID" を指定し、 cn は "共通名" を指定します。

検索フィルター

ユーザーの LDAP 識別名を検索するフィルターの名前を入力します。たとえば、フィルター cn は、共通名がユーザー名であるユーザーを検索で一致させることを指定します。

管理者検索

LDAP 管理者検索を実行します。既定では、検索は匿名検索です。管理者検索を実行するには、検索の実行の一部としてバインドで使用される管理者資格情報を指定する必要があります。

識別名

管理ユーザーの識別名を入力します。識別名は、LDAP 検索を実行するためのバインドで使用されます。

たとえば、 cn=admin、 ou=eng、 o=juniper、 dc=net などです。

パスワード

管理ユーザーのプレーンテキスト パスワードを設定します。このパスワードは、LDAP 検索を実行するためのバインドで使用されます。

オーダー 1

ユーザーがログインを試みたときに、異なるユーザー認証方法が試行される順序を設定します。ログイン試行ごとに、パスワードが一致するまで、認証方法は最初の方法から始まります。

メソッドには、次の 1 つ以上を指定できます。

  • NONE:指定されたユーザの認証はありません。

  • LDAP—LDPを使用します。SRXシリーズファイアウォールは、このプロトコルを使用して、統合ユーザーファイアウォール機能を実装するために必要なユーザーおよびグループ情報を取得します。

  • [ローカル(Local)]:アクセス プロファイルでローカルに設定されたパスワードを使用します。

    パスワードを「なし」に設定するか、以下の認証順序に対して構成することができます。

    • Ldap

    • Radiusサーバー

    • ローカル

  • RADIUS:RADIUS認証サービスを使用します。

    RADIUS サーバーが応答に失敗した場合、または拒否応答を返した場合は、パスワード認証が認証順序で明示的に構成されているため、パスワード認証を試してください。

オーダー 2

認証順序オプションに含まれる認証方法が利用できない場合、または認証は使用可能であるが拒否応答を返す場合は、次の認証方法を設定します。