Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EAP-MSCHAPv2認証を使用した証明書ベースの検証

概要 この設定では、外部ユーザー認証にユーザー名とパスワードを使用し(RADIUSサーバーによる)、EAP-MSCHAPv2認証方法を使用してユーザー証明書を検証します。

Juniper Secure Connectの導入シナリオに示すように、インターフェイス、ゾーン、セキュリティポリシーなど、SRXシリーズファイアウォールの基本的な設定が完了していることを想定しています。

前提条件については、 システム要件を参照してください。

公開鍵基盤(PKI)がバックエンド認証として設定されていることを確認します。この場合、各クライアントに CA のルート証明書のみをインストールする必要があります。このシナリオでは、ローカル認証はサポートされていません。

メモ:

SRXシリーズファイアウォールは、デフォルトのシステム生成証明書の代わりに、署名された証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、「 Juniper Secure Connectを導入するための前提条件」の手順を参照してください。

Juniper Secure Connect VPN 設定を構成する

J-Web インターフェイスを使用して VPN 設定を構成するには、次の手順に従います。

  1. J-Web インターフェイスを使用して SRX シリーズ ファイアウォールにログインします。図 1 は、J-Web ログイン ページを示しています。
    図 1:J-Web アクセスとログイン J-Web Access and Login

    正常にログインした後、基本設定ページに移動します。 図 2 は、ランディング ページの例を示しています。

    図 2:J-Web ランディング ページ J-Web Landing Page
  2. J-Web サイド ウィンドウで、ネットワーク > VPN > IPsec VPN に移動します。
    1. [IPsec VPN] をクリックすると、[IPsec VPN] ページが表示されます。図 3 は、IPsec VPN ページの例を示しています。

      図 3:IPsec VPN ページ IPsec VPN Page
    2. ページの右側にある [ VPN >リモート アクセスの作成] > [Juniper Secure Connect ] を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。

      次の警告メッセージが表示されます。

      図 4: 自己署名証明書 Warning Message To Generate And Bind Self-signed Certificateを生成およびバインドするための警告メッセージ

      警告メッセージに記載されているように、自己署名証明書を作成し、証明書をSRXシリーズファイアウォールにバインドします。詳細については、 Juniper Secure Connect設定の準備を参照してください

      リモートアクセスVPNの作成の詳細については、「 リモートアクセスVPN-Juniper Secure Connectの作成」を参照してください。

    3. [Network > VPN > IPsec VPN] に再度移動し、ページの右側隅にある [VPN >リモート アクセスの作成> Juniper Secure Connect を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。「リモートアクセスの作成(Juniper Secure Connect)」ページが表示されます。図 5 は、リモート アクセス VPN を作成する例を示しています。

      図 5:VPN の作成 - リモート アクセス Create VPN - Remote Access

      図 6 は、 証明書ベース の認証方法を使用してリモート アクセス ページを作成する例を示しています。

      図 6: 証明書ベースの認証方法 Create Remote Access Page For Certificate-Based Authentication Methodのリモート アクセス ページの作成
  3. 「リモート アクセスの作成(Juniper Secure Connect)」ページ( 図 7 を参照)。
    1. リモートアクセス接続の名前(Juniper Secure Connectアプリケーションのエンドユーザーレルム名に表示される名前)と説明を入力します。

    2. ルーティングモードは、デフォルトで トラフィックセレクター(自動ルート挿入) に設定されています。

    3. 認証方法を選択します。この例では、ドロップダウン リストから [証明書ベース ]を選択します。

    4. [ はい ] を選択すると、ファイアウォール ポリシーの自動作成オプションを使用してファイアウォール ポリシーが自動的に 作成されます

    図 7:証明書ベースの認証方法 Certificate-Based Authentication Method
  4. [ リモートユーザー ]アイコンをクリックして、Juniper Secure Connectアプリケーション設定を構成します。
    図 8:リモート ユーザー ページ Remote User Page

    図 8 は、リモート ユーザー ページの例を示しています。

    [リモート ユーザー] ページでオプションを選択し、[OK] をクリックして 、リモート ユーザー クライアントを構成 します

    表 1 は 、リモート ユーザー設定オプションをまとめたものです。

    表 1:リモート ユーザー クライアント設定オプション

    リモートユーザークライアント設定

    説明

    デフォルト プロファイル

    デフォルトプロファイルは、デフォルトで有効になっています。このプロファイルをデフォルト プロファイルにしない場合は、切り替えボタンをクリックします。

    VPN 接続 プロファイルのデフォルト プロファイル を有効にした場合、Juniper Secure Connect はデフォルト プロファイルをレルム名として自動的に選択します(この例では 、https://12.12.12.12/)。この場合、Juniper Secure Connect にレルム名を入力するのはオプションです。

    VPN接続 プロファイルのデフォルトプロファイル を無効にする場合、Juniper Secure Connectにゲートウェイアドレス(この例では https://12.12.12.12/JUNIPER_SECURE_CONNECT)と一緒にレルム名を入力する必要があります。

    メモ:

    Junos OS 23.1R1 リリース以降、J-Web ではデフォルト プロファイルは非推奨となりました。ただし、CLIでは、すぐに削除するのではなく、後方互換性を確保し、既存の設定を変更された設定に適合させる機会を提供します。構成で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、CLIを使用して現在の設定を変更した場合、既存の導入には影響しません。default-profile(Juniper Secure)を見る

    接続モード

    クライアント接続を手動または自動で確立するには、適切なオプションを選択します。

    • [ 手動] を選択し、Juniper Secure Connect アプリケーションで接続を確立するには、切り替えボタンをクリックするか、メニューから [ 接続>接続 ] を選択する必要があります。

    • [常時]を選択すると、Juniper Secure Connectが自動的に接続を確立します。

    既知の制限:

    Android デバイス: [ 常時] を選択した場合は、最初に使用した SRX デバイスから構成がダウンロードされます。最初のSRXシリーズファイアウォールの設定が変更された場合、または新しいSRXデバイスに接続した場合、設定はJuniper Secure Connectアプリケーションにダウンロードされません。

    つまり、Android デバイスを使用して常時モードで接続すると、SRX シリーズ ファイアウォールの設定変更は Juniper Secure Connect には反映されません。

    SSL VPN

    Juniper Secure ConnectアプリケーションからSRXシリーズファイアウォールへのSSL VPN接続のサポートを有効にするには、切り替えボタンをクリックします。 SSL VPN を有効にすることで、クライアントは SRX シリーズ ファイアウォールを柔軟に接続できます。デフォルトでは、 SSL VPN は有効になっています。

    バイオメトリクス認証

    このオプションは、デフォルトでは無効になっています。このオプションを有効にすると、Juniper Secure Connectで[接続]をクリックすると、Juniper Secure Connectに認証プロンプトが表示されます。

    このオプションにより、オペレーティングシステムに組み込まれたバイオメトリクス認証サポートを使用して、認証情報を保護できます。

    デッドピア検出

    デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達できないかどうかをクライアントが検出し、到達可能性が回復するまで接続を無効にします。

    証明 書

    このオプションは、証明書オプションを設定するためにデフォルトで有効になっています。

    • 期限切れ警告— このオプションはデフォルトで有効になっています。有効にすると、証明書が期限切れになると、Secure Connectクライアントに証明書の有効期限に関する警告が表示されます。

    • 警告間隔 — 警告が日で表示される間隔を入力します。

    • 接続ごとのピン Req —このオプションはデフォルトで有効になっています。有効になっている場合は、すべての接続の証明書ピンを入力する必要があります。

    EAP-TLS

    EAP-TLS はデフォルトで有効になっています。この例ではEAP-MSCHAPv2を使用しており、EAP-TLSスイッチを無効な状態に切り替えます。

    Windowsログオン

    このオプションにより、ユーザーは(Windowsプレログオンを使用して)既に確立されたVPNトンネルを介してローカルWindowsシステムにログオンし、セントラルWindowsドメインまたはActive Directoryに認証できます。

  5. [ ローカル ゲートウェイ ] をクリックしてローカル ゲートウェイ設定を構成します。

    図 9 は、ローカル ゲートウェイの構成設定の例を示しています。

    図 9:ローカル ゲートウェイの設定 Local Gateway Configuration
    1. [ゲートウェイが NAT の背後にある] を有効にすると、テキスト ボックスが表示されます。テキスト ボックスに NAT IP アドレスを入力します。IPv4アドレスのみをサポートしています。NAT アドレスは外部アドレスです。

    2. IKE IDを user@hostname.com 形式で入力します。例えば、 abc@xyz.com

    3. [外部インターフェイス] フィールドで、接続するクライアントの IP アドレスを選択します。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに、この同じIPアドレス(この例では https://12.12.12.12/)を入力する必要があります。

      [ゲートウェイが NAT の背後にある] を有効にすると、NAT IP アドレスがゲートウェイ アドレスになります。

    4. トンネル インターフェイス ドロップダウン リストから、ルートベース VPN にバインドするインターフェイスを選択します。または、[追加] をクリックします。[追加] をクリックすると、[トンネル インターフェイスの作成] ページが表示されます。

      図 10 は 、トンネル インターフェイスの作成ページの例を示しています。

      図 10:トンネル インターフェイス ページ Create Tunnel Interface Pageの作成

      次に利用可能なST0論理インターフェイス番号が インターフェイスユニットフィールドに表示され、このインターフェイスの説明を入力できます。このトンネル インターフェイスを に追加するゾーンを選択します。[リモート アクセス の作成] ページで [ファイアウォール ポリシーの自動作成 ] が [はい] に設定されている場合、ファイアウォール ポリシーはこのゾーンを使用します。[ OK] をクリックします

    5. [ ローカル証明書 ] フィールドから、すでに外部署名されたローカル証明書のいずれかを選択します。[ 追加] をクリックして新しいローカル証明書を追加するか、[ インポート ] をクリックしてローカル証明書をインポートします。

      図11は 、構成例のみを示している。

      図 11: ローカル証明書 Generate Certificate Page For Local certificateの証明書ページの生成
    6. CA 証明書の場合、[Trusted CA/Group] フィールドから、一致する Trusted CA/Group を含む、すでに外部署名された CA 証明書のいずれかを選択します。これらのいずれもない場合は、 [ CA プロファイルの追加 ] をクリックし、環境に一致する値を入力します。 図 12 は 、CA PROFILE ページの追加の例を示しています。

      図 12:CA PROFILE の追加ページ ADD CA PROFILE page
    7. [ユーザー認証] ドロップダウン リストから、既存のアクセス プロファイルを選択するか、または [追加] をクリックして新しいアクセス プロファイルを作成します。[追加] をクリックすると、[アクセス プロファイルの作成] ページが表示されます。

      図 13 は 、[アクセス プロファイルの作成] ページの例を示しています。

      図 13:アクセス プロファイル ページ Create Access Profile Pageの作成

      アクセス プロファイル名を入力します。 [アドレス割り当て] ドロップダウン リストから、アドレス プールを選択するか、 [ アドレス プールの作成] をクリックします。[ アドレス プールの作成] をクリックすると、[アドレス プールの作成] ページが表示されます。

      図 14 は、アドレス プールの作成ページの例を示しています。

      図 14:アドレス プール ページ Create Address Pool Pageの作成
      • クライアントのVPNポリシーにあるローカルIPプールの詳細を入力します。IP アドレス プールの名前を入力します。

      • アドレス割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。次に[追加]アイコン(+)をクリックして、クライアントにIPアドレスを割り当てるアドレス範囲を作成します。

      • 名前と、下限と上限を入力します。詳細を入力した後、[OK] をクリック します

      すべての認証の詳細が外部 RADIUS サーバーに保存される RADIUS チェック ボックスをオンにします。

      • 追加アイコン(+)をクリックして、Radiusサーバーの詳細を構成します。 図 15 を参照してください。

        図 15:RADIUS サーバー ページ Create RADIUS Server Pageの作成
      • 送信元となる radius 通信の Radius サーバー IP アドレス、Radius シークレット、送信元アドレスを入力します。[ OK] をクリックします

        認証順序で、順序 1 ドロップダウン リストから RADIUS を選択して下さい[OK] をクリックしてアクセス プロファイルの設定を完了します。

        図 16 は、アクセス プロファイル ページの作成の例を示しています。

        図 16:アクセス プロファイル ページ Create Access Profile Pageの作成
    8. [SSL VPN Profile] ドロップダウン リストから、既存のプロファイルを選択するか、または [追加] をクリックして新しい SSL VPN プロファイルを作成します。[追加] をクリックすると、[SSL VPN プロファイルの追加] ページが表示されます。

      図 17 は 、[SSL VPN プロファイルの追加] ページの例を示しています。

      図 17:SSL VPN プロファイル ページ Add SSL VPN Profile Pageの追加

      [ SSL VPN プロファイルの追加] ページで、SSL VPN プロファイルを構成できます。 [名前 ] フィールドに SSL VPN プロファイル名を入力し、必要に応じて[切り替え]を使用してログを有効にします。「 SSL 終端プロファイル」 フィールドで、ドロップダウンから SSL 終端プロファイルを選択します。SSL 終端は、SRX シリーズ ファイアウォールが SSL プロキシー サーバーとして機能し、クライアントからの SSL セッションを終了するプロセスです。新しい SSL 終端プロファイルを作成する場合は、[ 追加] をクリックします。 [SSL 終端プロファイルの作成] ページが表示されます。

      図 18 は 、[SSL 終端プロファイルの作成] ページの例を示しています。

      図 18: SSL 終端プロファイル ページ Create SSL Termination Profile Pageの作成
      • SSL 終端プロファイルの名前を入力し、SRX シリーズ ファイアウォールの SSL 終端に使用するサーバー証明書を選択します。[ 追加] をクリックして新しいサーバー証明書を追加するか、 [ インポート ] をクリックしてサーバー証明書をインポートします。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID の認証に使用されます。

      • [ OK] をクリックします

    9. ソースNATトラフィックオプションはデフォルトで有効になっています。ソースNATトラフィックが有効になっている場合、Juniper Secure Connectアプリケーションから選択したインターフェイスへのすべてのトラフィックがデフォルトでNATedされます。[ソース NAT トラフィック] オプションを無効にするには、切り替えボタンをクリックします。オプションが無効になっている場合、リターントラフィックを正しく処理するために、SRXシリーズファイアウォールを指し示すネットワークからのルートがあることを確認する必要があります。

    10. 保護 されたネットワークで、追加アイコン(+)をクリックして、Juniper Secure Connectアプリケーションが接続できるネットワークを選択します。

      図 19 は 、「保護されたネットワークの作成」ページの例を示しています。

      図 19:保護されたネットワーク ページ Create Protected Networks Pageの作成

      デフォルトでは、任意のネットワーク 0.0.0.0/0 が許可されています。特定のネットワークを設定した場合、Juniper Secure Connectアプリケーションの分割トンネリングが有効になります。デフォルト値を保持する場合、クライアントネットワークからファイアウォールポリシーを調整することで、定義されたネットワークへのアクセスを制限できます。 [OK] をクリックすると、選択したネットワークが保護されたネットワークのリストに表示されます。 [OK] を クリックして、ローカル ゲートウェイの構成を完了します。

      図 20 は 、リモート ユーザーおよびローカル ゲートウェイを使用したリモート アクセス設定の正常な完了例を示しています。

      図 20:完全なリモート アクセス設定 Complete Remote Access Configuration

      IKE設定IPsec設定 は高度なオプションです。J-Web は、IKE および IPsec パラメーターのデフォルト値ですでに構成されています。これらの設定は必須ではありません。

  6. これで、リモート ユーザーが接続先の URL を見つけることができます。リモートユーザーと共有するために、このURLをコピーして保存します。この設定がデフォルト プロファイルでない場合は、/xxxx 情報のみが必要です。

    図 21 は、リモート アクセス接続を確立するために、リモート ユーザーが Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス ] フィールドに入力する必要がある URL を示しています。

    図 21:コミット リモート アクセス設定 Commit Remote Access Configuration
    1. 自動ポリシー作成オプションを選択した場合は、[ 保存 ]をクリックしてJuniper Secure Connect VPNの設定と関連するポリシーを完了します。

    2. ハイライトされた [Commit](コミット )ボタン([Feedback Button](フィードバック ボタンの横のページの右上))をクリックして、設定をコミットします。

クライアントマシンにJuniper Secure Connectアプリケーションをダウンロードしてインストールします。Juniper Secure Connectを起動し、SRXシリーズファイアウォールのゲートウェイアドレスに接続します。また、Juniper Secure Connectアプリケーションをインストールしたそれぞれのプラットフォームの適切なディレクトリ場所にルートCA証明書を配置する必要があります。詳細については 、 Juniper Secure Connectユーザーガイド を参照してください。