Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

EAP-MSCHAPv2 認証を使用した証明書ベースの検証(CLI プロシージャ)

概要

この設定では、外部ユーザー認証にユーザー名とパスワードを使用し(RADIUS サーバー別)、EAP-MSCHAPv2 認証方法を使用してユーザー証明書を検証します。

図 1 に示すように、インターフェイス、ゾーン、セキュリティ ポリシーなど、SRX シリーズ デバイスの基本設定が完了していることを前提としています。

図 1:トポロジー Topology

前提条件の詳細については、「 システム要件」を参照してください。

バックエンド認証として PKI(公開鍵基盤)が設定されていることを確認します。この場合、CA のルート証明書を各クライアントにインストールするだけで済みます。このシナリオでは、ローカル認証はサポートされていないことに注意してください。

SRX シリーズ デバイスは、デフォルトのシステム生成証明書の代わりに、署名された証明書または自己署名証明書のいずれかを使用するようにする必要があります。Juniper Secure Connectの設定を開始する前に、次のコマンドを実行して証明書をSRXシリーズ デバイスにバインドする必要があります。

例えば:

ここでSRX_Certificateは自己署名証明書です。

CLI クイック設定

SRX シリーズ デバイスでこの例を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させるために必要な詳細情報を変更してから、コマンドを [edit] 階層レベルで CLI にコピーアンドペーストします。

順を追った手順

コマンドライン インターフェイスを使用して VPN 設定を構成するには、次の手順に沿います。

  1. CLI(コマンドライン インターフェイス)を使用して SRX シリーズ デバイスにログインします。
  2. 設定モードにします。
  3. リモート アクセス VPN を設定します。

    Juniper Secure Connect を導入するには、自己署名証明書を作成し、証明書を SRX シリーズ デバイスにバインドする必要があります。詳細については、「 Juniper Secure Connect 構成の準備」を参照してください。

    IKE設定:

    1. IKEプロポーザルを設定します。

      • 認証方法として設定 rsa-signatures し、証明書ベースの認証を設定します。

      • IKEプロポーザル認証方法、Diffie-Hellmanグループ、および認証アルゴリズムを定義します。
      プロポーザル(セキュリティ IKE)を参照してください。
    2. IKE ポリシーを設定します。IKE フェーズ 1 ポリシー モード、IKE プロポーザルへの参照、IKE フェーズ 1 ポリシー認証方法を設定します。ポリシー(セキュリティ IKE)を参照してください。
      ローカル証明書をロードするには、ローカル デバイスに複数の証明書がロードされている場合に、コマンドを set security ike policy policy-name certificate local-certificate certificate-id 使用して特定のローカル証明書を指定します。すでに外部署名されたローカル証明書のいずれかを選択できます。この例では、 SRX_Certificate はポリシー用にロード JUNIPER_SECURE_CONNECT された既存のローカル証明書です。
      既存のローカル証明書がない場合は、次の手順に従って証明書を作成できます。
      ローカル証明書を作成した後、コマンドを使用して証明書を IKE ポリシーに set security ike policy policy-name certificate local-certificate certificate-idアタッチできます。
    3. IKE ゲートウェイ オプションを設定します。ダイナミックをご覧ください。

      DPD 値とバージョン情報を設定しない場合、Junos OS はこれらのオプションのデフォルト値を割り当てます。 デッドピア検知をご覧ください

      接続するクライアントの外部インターフェイス IP アドレスを設定します。Juniper Secure Connectアプリケーションの ゲートウェイアドレス フィールドに、同じIPアドレス(この例では https://192.0.2.0)を入力する必要があります。 ゲートウェイを参照してください。

    IPsec 設定:

    1. IPsec プロポーザルを設定します。
      IPsec フェーズ 2 プロポーザル プロトコル、暗号化アルゴリズム、およびその他のフェーズ 2 オプションを指定します。
      プロポーザル(セキュリティ IPsec)を参照してください。
    2. IPsec ポリシーを設定します。
      • Diffie-Hellman グループ 19 を使用する IPsec フェーズ 2 PFS を指定します。
      • IPsec フェーズ 2 プロポーザル リファレンスを指定します。
      ポリシー(セキュリティ IPsec)を参照してください。

    IPsec VPN の設定:

    1. IPsec VPN パラメーターを設定します。vpn(セキュリティ)を参照してください。
    2. VPN トラフィック セレクターを設定します。トラフィック セレクターを参照してください
  4. リモート ユーザー クライアント オプションを構成します。
    1. リモート アクセス プロファイルを設定します。「リモートアクセス」を参照してください。
    2. リモート アクセス クライアントの構成を構成します。「クライアント構成デフォルト プロファイル」を参照してください。

      表 1 は 、リモート ユーザー設定オプションをまとめたものです。

      表 1:リモート ユーザー設定オプション

      リモート ユーザー設定

      説明

      接続モード

      クライアント接続を手動または自動で確立するには、適切なオプションを設定します。

      • 手動オプションを設定した場合、Juniper Secure Connectアプリケーションで接続を確立するには、切り替えボタンをクリックするか、メニューから接続>接続を選択する必要があります。

      • [常時] オプションを設定すると、Juniper Secure Connect が自動的に接続を確立します。

      既知の制限:

      Android デバイス: [ 常時] を使用または選択した場合、最初に使用した SRX デバイスから設定がダウンロードされます。最初の SRX デバイスの設定が変更された場合、または新しい SRX デバイスに接続した場合、設定は Juniper Secure Connect アプリケーションにダウンロードされません。

      つまり、Android デバイスを使用して 常時 モードで接続すると、SRX デバイスの設定変更は Juniper Secure Connect では有効にはなりません。

      dead-peer-detection

      デフォルトでは、DPD(Dead Peer Detection)が有効になっており、SRX シリーズ デバイスに到達可能で、デバイスに到達できない場合は、到達可能性が回復されるまで接続を無効にします。

      デフォルト -profile

      VPN 接続プロファイルをデフォルト プロファイルとして設定する場合は、Juniper Secure Connect アプリケーションにゲートウェイ アドレスのみを入力する必要があります。アプリケーションがデフォルト プロファイルをレルム名として自動的に選択するため、Juniper Secure Connect アプリケーションにレルム名を入力することはオプションです。この例では、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに ra.example.com を入力します。

      EAP-MSCHAPv2 認証方法を設定してユーザー証明書を検証するオプションを設定 no-eap-tls します。

  5. ローカル ゲートウェイを設定します。
    1. クライアントの動的 IP 割り当て用のアドレス プールを作成します。アドレスの割り当て(アクセス)を参照してください。

      • アドレスの割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。IP アドレスをクライアントに割り当てるアドレス範囲を作成します。

      • 名前と下限と上限を入力します。

    2. アクセス プロファイルを作成します。

      外部ユーザー認証の場合は、送信元の radius 通信に Radius サーバー IP アドレス、Radius シークレット、送信元アドレスを指定します。認証順序の radius を設定します。

    3. PKI(公開鍵基盤)属性を設定します。pki を参照してください。
    4. SSL 終端プロファイルを作成します。SSL終端は、SRXシリーズデバイスがSSLプロキシサーバーとして機能し、クライアントからSSLセッションを終了するプロセスです。SSL 終端プロファイルの名前を入力し、SRX シリーズ デバイスの SSL 終端に使用するサーバー証明書を選択します。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID の認証に使用されます。
    5. SSL VPN プロファイルを作成します。tcp-encap を参照してください。
    6. ファイアウォール ポリシーを作成します。
      trust ゾーンから VPN ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
      VPN ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
  6. イーサネット インターフェイス情報を設定します。

    ファミリー セットを inet として使用して st0 インターフェイスを設定します。

  7. セキュリティ ゾーンを設定します。
  8. リモート ユーザーとローカル ゲートウェイを使用したリモート アクセスの構成が正常に構成されています。
  9. Juniper Secure Connectアプリケーションを起動し、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドで、外部IPアドレスに対して設定したのと同じIPアドレスを指定します。

    この例では、クライアントが接続するための外部インターフェイス IP アドレスとして https://192.0.2.0/ を設定しました。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに同じIP アドレス (https://192.0.2.0/)を入力する必要があります。

結果

動作モードから、、および show security pki コマンドをshow securityshow access入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスで機能の設定が完了したら、設定モードから commit と入力します。

関連ドキュメント