Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

外部ユーザー認証(CLI手順)

概要

この設定の安全性は高く、ドメインログインと同じユーザー名とパスワードを使用できるほか、ファイアウォール管理者とやり取りすることなく認証情報の変更や復旧も可能です。また、パスワードを頻繁に変更する必要があるため、管理者のワークロードも少なくなります。この設定を使用してユーザーを認証することをお勧めします。

図 1 に示すように、インターフェイス、ゾーン、セキュリティ ポリシーなど、SRX シリーズ ファイアウォールの基本的な設定が完了していることを想定しています。

図 1:トポロジー Topology

前提条件については、 システム要件を参照してください。

SRXシリーズファイアウォールは、デフォルトのシステム生成証明書の代わりに、署名された証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、以下のコマンドを実行して証明書をSRXシリーズファイアウォールにバインドする必要があります。

例えば:

SRX_Certificateが CA または自己署名証明書から取得した証明書です。

CLI クイックコンフィギュレーション

SRX シリーズ ファイアウォールでこの例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、[edit] 階層レベルの CLI にコマンドをコピー アンド ペーストします。

ステップバイステップの手順

コマンド ライン インターフェイスを使用して VPN 設定を構成するには、次の手順に従います。

  1. CLI(コマンドライン インターフェイス)を使用して SRX シリーズ ファイアウォールにログインします。
  2. 設定モードに入ります。
  3. リモートアクセスVPNを設定します。

    Juniper Secure Connectを導入するには、自己署名証明書を作成し、その証明書をSRXシリーズファイアウォールにバインドする必要があります。詳細については、 Juniper Secure Connect設定の準備を参照してください

    IKE構成:

    1. IKEプロポーザルを設定します。
      • IKEプロポーザルの認証方法、Diffie-Hellmanグループ、および認証アルゴリズムを定義します。
      • 認証方法として 事前共有キー を設定します。事前共有鍵を ASCII 形式で入力します。リモートアクセスVPNの16進形式には対応していません。
      プロポーザル(セキュリティ IKE)を参照してください。
    2. IKEポリシーを設定します。

      IKEフェーズ1ポリシーモード、IKEプロポーザルへの参照、IKEフェーズ1ポリシー認証方法を設定します。

      ポリシー(セキュリティ IKE)を参照してください。
    3. IKEゲートウェイオプションを設定します。ダイナミックを参照してください。

      DPD値とバージョン情報を設定しない場合、Junos OSはこれらのオプションにデフォルト値を割り当てます。 デッドピア検出を参照してください。

      クライアントが接続するための外部インターフェイスIPアドレスを設定します。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに、この同じIPアドレス(この例:https://192.0.2.0/)を入力する必要があります。 ゲートウェイを参照してください。

    IPsec設定:

    1. IPsecプロポーザルを設定します。
      プロポーザル(セキュリティ IPsec)を参照してください。
    2. IPsecポリシーを設定します。
      • Diffie-Hellman グループ 19 を使用する IPsec フェーズ 2 PFS を指定します。
      • IPsecフェーズ2のプロポーザルリファレンスを指定します。
      ポリシー(セキュリティ IPsec)を参照してください。

    IPsec VPN 設定:

    1. IPsec VPNパラメーターを設定します。vpn(セキュリティ)を参照してください。
    2. VPNトラフィックセレクターを設定します。トラフィックセレクターを参照してください
  4. リモートユーザークライアントオプションを設定します。
    1. リモートアクセスプロファイルを設定します。リモートアクセスを参照してください。
    2. リモートアクセスのマルチデバイスユーザーアクセスを設定します。

      マルチデバイス ユーザー アクセスを設定するには、以下の前提条件を満たしていることを確認します。

      • Secure Connectクライアントバージョンがサポートされています。

      • 各リモート デバイス(コンピューターまたはスマート デバイス)には、一意のホスト名があります。

      • ライセンス消費量を削減するには、コマンドを使用して set security ipsec vpn vpn-nameike idle-time 非アクティブな接続を切断するアイドルタイムアウトオプションを設定できます。

      • のみを group-ike-idサポートしています。

      コマンド clear security ike active-peer aaa-username user-nameを使用して、ユーザーのすべてのIKE関連付けをクリアできます。

      マルチデバイス ユーザー アクセス機能は、radius 属性 Framed-IP-Address を使用した静的アドレス割り当てでは機能しません。ユーザーの最初の接続が正常に確立され、残りが失敗する可能性があります。

      認証プロセスを使用した静的アドレスの割り当ては、ユーザーの最初の接続に構成されたIPアドレスを与え、それ以降の接続では、 コマンドを使用してプールから無料IPを set access address-assignment pool family [inet|inet6] host ip-address user-name 提供します。

    3. リモートアクセスクライアント設定を設定します。「client-config」を参照してください。

    表 1 は 、リモート ユーザー設定オプションをまとめたものです。

    表 1:リモート ユーザー設定オプション

    リモートユーザー設定

    説明

    接続モード

    クライアント接続を手動または自動で確立するには、適切なオプションを設定します。

    • 手動オプションを設定した場合、Juniper Secure Connectアプリケーションで接続を確立するには、切り替えボタンをクリックするか、メニューから[接続>接続]を選択する必要があります。

    • [Always]オプションを設定すると、Juniper Secure Connectが自動的に接続を確立します。

    既知の制限:

    Android デバイス: [ 常時] を選択した場合は、最初に使用した SRX デバイスから構成がダウンロードされます。最初のSRXシリーズファイアウォールの設定が変更された場合、または新しいSRXデバイスに接続した場合、設定はJuniper Secure Connectアプリケーションにダウンロードされません。

    つまり、Android デバイスを使用して 常時 モードで接続すると、SRX シリーズ ファイアウォールの設定変更は Juniper Secure Connect には反映されません。

    デッドピア検出

    デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達可能で、デバイスに到達できない場合は、到達可能性が回復するまで接続を無効にします。

    デフォルト -profile

    VPN接続プロファイルをデフォルトプロファイルとして設定する場合、Juniper Secure Connectアプリケーションにゲートウェイアドレスのみを入力する必要があります。アプリケーションがレルム名としてデフォルト・プロファイルを自動的に選択するため、Juniper Secure Connectアプリケーションにレルム名を入力する場合はオプションです。この例では、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに ra.example.com を入力します。

    メモ:

    Junos OS リリース 23.1R1 以降、[] 階層レベルで オプションをedit security remote-access非表示default-profileにしました。Junos OSリリース23.1R1以前のリリースでは、このオプションを使用して、Juniper Secure Connectのデフォルトプロファイルとしてリモートアクセスプロファイルの1つを指定します。しかし、リモートアクセスプロファイル名の形式の変更に伴い、 オプションはdefault-profile不要になりました。

    後方互換性を確保し、既存の設定を変更された default-profile 設定に適合させる機会を提供するため、すぐに削除するのではなく、オプションが非推奨になりました。設定で オプションを引き続き使用すると、警告メッセージが default-profile表示されます。ただし、現在の設定を変更した場合、既存の導入は影響を受けません。 デフォルトプロファイル(Juniper Secure Connect)を参照してください。
  5. ローカルゲートウェイを設定します。
    1. クライアントの動的 IP 割り当て用のアドレス プールを作成します。アドレス割り当て(アクセス)を参照してください。

      • アドレス割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。アドレス範囲を作成して、クライアントに IP アドレスを割り当てます。

      • 名前と、下限と上限を入力します。

    2. アクセス プロファイルを作成します。

      外部ユーザー認証の場合、送信元となる radius 通信に Radius サーバー IP アドレス、Radius シークレット、送信元アドレスを指定します。認証順序に radius を設定します。

    3. SSL 終端プロファイルを作成します。SSL 終端は、SRX シリーズ ファイアウォールが SSL プロキシー サーバーとして機能し、クライアントからの SSL セッションを終了するプロセスです。SSL 終端プロファイルの名前を入力し、SRX シリーズ ファイアウォールの SSL 終端に使用するサーバー証明書を選択します。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID の認証に使用されます。
    4. SSL VPN プロファイルを作成します。tcp-encap を参照してください。
    5. ファイアウォール ポリシーを作成します。
      trustゾーンからVPNゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
      VPNゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
  6. イーサネット インターフェイス情報を設定します。

    ファミリーをinetに設定してst0インターフェイスを設定します。

  7. セキュリティ ゾーンを設定します。
  8. リモートユーザーおよびローカルゲートウェイを使用したリモートアクセス設定が正常に設定されました。
  9. Juniper Secure Connectアプリケーションを起動し、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドの外部IPアドレスに設定したのと同じIPアドレスを指定します。

    この例では、クライアントが接続するための外部インターフェイスIPアドレスとして192.0.2.0を設定しました。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに、この同じIPアドレス(192.0.2.0)を入力する必要があります。

結果

動作モードから、 、 show access、 コマンドを入力して設定をshow securityshow services確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

SSL 終端プロファイルに添付するサーバー証明書が既に存在することを確認します。

デバイスで機能の設定が完了したら、設定モードからコミットを入力します。

関連ドキュメント