Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS を使用した外部ユーザー認証

概要 この構成は、ドメインログインと同じユーザー名とパスワードを使用したり、ファイアウォール管理者とやり取りすることなく資格情報を変更または回復したりできるため、より安全です。また、パスワードを頻繁に変更する必要があるため、管理者の作業負荷も軽減されます。ユーザーの認証には、この設定を使用することをお勧めします。

Juniper Secure Connectの導入シナリオに示されているように、インターフェイス、ゾーン、セキュリティポリシーなど、SRXシリーズファイアウォールの基本的なセットアップが完了していることを前提としています。

前提条件の詳細については、「 システム要件」を参照してください。

手記:

SRXシリーズのファイアウォールが、デフォルトのシステム生成証明書ではなく、署名付き証明書または自己署名証明書を使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、 Juniper Secure Connectを導入するための前提条件の手順を読むことが重要です。

Juniper Secure Connect VPNの設定を設定する

J-Web インターフェイスを使用して VPN を設定するには、次の手順に従います。

  1. J-Webインターフェイスを使用してSRXシリーズファイアウォールにログインします。図1にJ-Webのログインページを示します。
    図1: J-Webアクセスとログイン J-Web Access and Login

    正常にログインすると、[基本設定]ページが表示されます。 図 2 に、ランディング ページの例を示します。

    図2:J-Webランディングページ J-Web Landing Page
  2. J-Web サイド ペインで、[ネットワーク > VPN > IPsec VPN] に移動します。

    1. IPsec VPN をクリックすると、IPsec VPN ページが表示されます。図 3 に、IPsec VPN ページの例を示します。

      図 3: IPsec VPN ページ IPsec VPN Page

    2. ページの右隅で、[ Juniper Secure Connect>VPN>リモートアクセスを作成]を選択して、Juniper Secure ConnectのIPsec VPN設定を作成します。

      次の警告メッセージが表示されます。

      図4:自己署名証明書Warning Message To Generate And Bind Self-signed Certificateを生成してバインドするための警告メッセージ

      警告メッセージに記載されているように、自己署名証明書を作成し、その証明書をSRXシリーズファイアウォールにバインドします。詳細については、次を参照してください: Juniper Secure Connectの導入準備をする

      リモートアクセスVPN作成の詳細については、次を参照してください: リモートアクセスVPNを作成する - Juniper Secure Connect

    3. もう一度 [ ネットワーク > VPN > IPsec VPN ] に移動し、ページの右隅にある [ VPN > リモート アクセスを作成] > Juniper Secure Connect を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。[リモート アクセスの作成(Juniper Secure Connect)] ページが表示されます。 図 5 に、リモート アクセス VPN を作成する例を示します。

      図 5: VPN の作成 - リモート アクセス Create VPN - Remote Access

      図 6 に、事前共有キー認証方法を使用したリモート アクセス ページの作成例を示します。

      図 6: 事前共有キー認証方法 Create Remote Access Page For Pre-shared Key Authentication Method のリモート アクセス ページの作成
  3. [Create Remote Access (Juniper Secure Connect)] ページ( 図 7 を参照)。

    1. リモートアクセス接続の名前(Juniper Secure Connectアプリケーションのエンドユーザーレルム名に表示される名前)と説明を入力します。

    2. ルーティング モードは、デフォルトで トラフィック セレクター(自動ルート挿入) に設定されています。

    3. 認証方法を選択します。この例では、ドロップダウン メニューから [ 事前共有キー ] を選択しましょう。

    4. [はい] を選択すると、[ファイアウォール ポリシーの自動作成] オプションを使用してファイアウォール ポリシーが自動的に作成されます。

    図 7: [リモート アクセス ページの作成] Create Remote Access Page
  4. [リモートユーザー]アイコンをクリックして、Juniper Secure Connectアプリケーション設定を行います。
    図 8: リモート ユーザー ページの Remote User Page

    図 8 に、[リモート ユーザー] ページの例を示します。

    リモート・ユーザー 」ページでオプションを選択し、「 OK 」をクリックして、リモート・ユーザー・クライアントを構成します。

    表 1 は、リモートユーザー設定オプションをまとめたものです。

    表1:リモートユーザークライアント設定オプション

    リモート ユーザー クライアントの設定

    形容

    デフォルトプロファイル

    デフォルトプロファイルはデフォルトで有効になっています。このプロファイルを既定のプロファイルにしない場合は、切り替えボタンをクリックします。

    VPN 接続プロファイルの デフォルトプロファイル を有効にすると、Juniper Secure Connect は自動的にデフォルトプロファイルをレルム名(この例では https://12.12.12.12/)として選択します。この場合、Juniper Secure Connectにレルム名を入力するのはオプションです。

    VPN 接続プロファイルの デフォルトプロファイル を無効にした場合、Juniper Secure Connect でゲートウェイアドレス(この例では https://12.12.12.12/JUNIPER_SECURE_CONNECT)とともにレルム名を入力する必要があります。

    手記:

    Junos OS 23.1R1リリース以降、J-Webではデフォルトプロファイルは非推奨になりました。ただし、CLI では、すぐに削除するのではなく、下位互換性と、既存の構成を変更した構成に適合させる機会を提供します。構成で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、CLI を使用して現在の構成を変更しても、既存のデプロイメントは影響を受けません。default-profile(Juniper Secure

    接続モード

    手動または自動でクライアント接続を確立するには、適切なオプションを選択します。

    • [ 手動]を選択した場合、Juniper Secure Connectアプリケーションで接続を確立するには、トグルボタンをクリックするか、メニューから[ 接続]>[接続 ]を選択する必要があります。

    • [常時]を選択すると、Juniper Secure Connectが自動的に接続を確立します。

    既知の制限:

    Android デバイス: [常時] を使用または選択すると、最初に使用した SRX デバイスから構成がダウンロードされます。最初のSRXシリーズファイアウォールの設定が変更された場合、または新しいSRXデバイスに接続した場合、その設定はJuniper Secure Connectアプリケーションにダウンロードされません。

    つまり、Androidデバイスを使用して常時モードで接続すると、SRXシリーズファイアウォールの設定変更はJuniper Secure Connectには反映されません。

    SSL VPN

    Juniper Secure ConnectアプリケーションからSRXシリーズファイアウォールへのSSL VPN接続のサポートを有効にするには、切り替えボタンをクリックします。このオプションは、IPsec ポートが許可されていない場合に使用します。 SSL VPNを有効にすると、クライアントはSRXシリーズファイアウォールを柔軟に接続できるようになります。デフォルトでは、 SSL VPN は有効になっています。

    バイオメトリクス認証

    このオプションはデフォルトで無効になっています。このオプションを有効にした場合、Juniper Secure Connectで[接続]をクリックすると、Juniper Secure Connectによって認証プロンプトが表示されます。

    このオプションを使用すると、ユーザーはオペレーティング システムに組み込まれている生体認証サポートを使用して資格情報を保護できます。

    デッドピア検出

    デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達できない場合にクライアントが検出できるようにし、到達可能性が回復するまで接続を無効にします。

    ウィンドウズログオン

    このオプションを使用すると、ユーザーは(Windowsプレログオンを使用して)すでに確立されているVPNトンネルを介してローカルWindowsシステムにログオンできるため、セントラルWindowsドメインまたはActive Directoryに認証されます。
  5. [ ローカル ゲートウェイ] をクリックして、ローカル ゲートウェイ設定を構成します。

    図 9 に、ローカル ゲートウェイの構成設定例を示します。

    図 9: ローカル ゲートウェイの構成 Local Gateway Configuration

    1. [ゲートウェイは NAT の背後にある] を有効にすると、テキスト ボックスが表示されます。テキスト ボックスに、NAT IP アドレスを入力します。IPv4アドレスのみがサポートされています。NAT アドレスは外部アドレスです。

    2. IKE ID を user@hostname.com 形式で入力します。たとえば、 abc@xyz.com です。

    3. [外部インターフェイス] フィールドで、接続するクライアントの IP アドレスを選択します。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドにも同じIPアドレス(この例では https://12.12.12.12/)を入力する必要があります。

      [ゲートウェイは NAT の背後にある] を有効にすると、NAT IP アドレスがゲートウェイ アドレスになります。

    4. トンネル インターフェイス ドロップダウン リストから、ルートベース VPN にバインドするインターフェイスを選択します。または、[追加] をクリックします。追加 をクリックすると、トンネル インターフェイスの作成 ページが表示されます。

      図 10 に、[トンネル インターフェイスの作成] ページの例を示します。

      図 10: トンネル インターフェイスの作成 ページ Create Tunnel Interface Page

      次に使用可能な ST0 論理インターフェイス番号が [Interface Unit] フィールドに表示され、このインターフェイスの説明を入力できます。このトンネル インターフェイスを追加するゾーンを選択します。[ ファイアウォール ポリシーの自動作成 ] ([リモート アクセスの作成] ページ) が [ はい] に設定されている場合、ファイアウォール ポリシーはこのゾーンを使用します。 OK をクリックします。

    5. 事前共有キーを ASCII 形式で入力します。リモートアクセスVPNの16進形式はサポートされていません。

    6. ユーザー認証 ドロップダウン リストから、既存のアクセス プロファイルを選択するか、追加 をクリックして新しいアクセス プロファイルを作成します。[追加] をクリックすると、[アクセス プロファイルの作成] ページが表示されます。

      図 11 に、「アクセス・プロファイルの作成」ページの例を示します。

      図 11: [アクセス プロファイルの作成] ページ Create Access Profile Page

      アクセスプロファイル名を入力します。 アドレスの割り当て ドロップダウン リストから、アドレス プールを選択するか、 アドレス プールの作成 をクリックします。 「アドレスプールの作成」をクリックすると、「アドレスプールの作成」ページが表示されます。

      「アドレスプールの作成」ウィンドウが表示されます。

      図 12 に、[アドレス プールの作成] ページの例を示します。

      図 12: [アドレス プールの作成] ページ Create Address Pool Page

      • クライアントの VPN ポリシーに含まれるローカル IP プールの詳細を入力します。IP アドレス プールの名前を入力します。

      • アドレスの割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。次に、追加アイコン(+)をクリックして、クライアントにIPアドレスを割り当てるためのアドレス範囲を作成します。

      • 名前、および下限と上限を入力します。詳細を入力したら、[ OK] をクリックします。

      すべての認証の詳細が外部 RADIUS サーバーに保存されている RADIUS チェックボックスを選択します。

      • 追加アイコン(+)をクリックして、RADIUSサーバーの詳細を設定します。 図13を参照してください。

        図 13: [RADIUS サーバーの作成] ページ Create RADIUS Server Page

      • RADIUS通信の送信元となるRADIUSサーバーのIPアドレス、RADIUSシークレット、および送信元アドレスを入力します。 OK をクリックします。

        認証順序 で、順序 1 ドロップダウン リストから RADIUS を選択します。[OK] をクリックして、アクセス プロファイルの設定を完了します。

        図 14 に、[アクセス プロファイルの作成] ページ例を示します。

        図 14: [アクセス プロファイルの作成] ページ Create Access Profile Page

    7. SSL VPN プロファイル ドロップダウン リストから、既存のプロファイルを選択するか、追加 をクリックして新しい SSL VPN プロファイルを作成します。追加 をクリックすると、SSL VPN プロファイルの追加 ページが表示されます。

      図 15 に、[SSL VPN プロファイルの追加] ページの例を示します。

      図 15: [SSL VPN プロファイルの追加] ページの Add SSL VPN Profile Page

      SSL VPN プロファイルの追加 ページで、SSL VPN プロファイルを構成できます。[名前(Name)] フィールドに SSL VPN プロファイル名を入力し、必要に応じてトグルを使用してログ記録を有効にします。[SSL 終端プロファイル] フィールドで、ドロップダウン リストから SSL 終端プロファイルを選択します。SSLターミネーションは、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了します。新しい SSL 終端プロファイルを作成する場合は、[追加(Add)] をクリックします。[SSL 終端プロファイルの作成] ページが表示されます。

      図 16 に、「SSL 終端プロファイルの作成」ページの例を示します。

      図 16: SSL ターミネーション プロファイル ページの作成 Create SSL Termination Profile Page

      • SSLターミネーションプロファイルの名前を入力し、SRXシリーズファイアウォールのSSLターミネーションに使用するサーバー証明書を選択します。[ 追加 ] をクリックして新しいサーバー証明書を追加するか、[ インポート ] をクリックしてサーバー証明書をインポートします。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID を認証するために使用されます。

      • OK をクリックします。

    8. [送信元NATトラフィック]オプションはデフォルトで有効になっています。送信元NATトラフィックが有効になっている場合、Juniper Secure Connectアプリケーションからのすべてのトラフィックは、デフォルトで選択されたインターフェイスにNATされます。切り替えボタンをクリックして、[送信元NATトラフィック]オプションを無効にします。このオプションが無効になっている場合、リターントラフィックを正しく処理するために、SRXシリーズファイアウォールを指すネットワークからのルートがあることを確認する必要があります。

    9. [ 保護されたネットワーク]で、追加アイコン(+)をクリックして、Juniper Secure Connectアプリケーションが接続できるネットワークを選択します。

      図 17 に、[ 保護されたネットワークの作成] ページの例を示します。

      図 17: [保護されたネットワークの作成] ページ Create Protected Networks Page

      デフォルトでは、任意のネットワーク 0.0.0.0/0 が許可されます。特定のネットワークを設定すると、Juniper Secure Connectアプリケーションのスプリットトンネリングが有効になります。デフォルト値を維持する場合は、クライアントネットワークからファイアウォールポリシーを調整することで、定義したネットワークへのアクセスを制限できます。[ OK] をクリックすると、選択したネットワークが保護されたネットワークの一覧に表示されます。[ OK ] をクリックして、ローカル ゲートウェイの構成を完了します。

      図 18 に、リモート ユーザーとローカル ゲートウェイを使用したリモート アクセス構成が正常に完了する例を示します。

      図 18: 完全なリモート アクセス構成 Complete Remote Access Configuration

      IKE 設定IPsec 設定は 詳細オプションです。J-Web には、IKE および IPsec パラメータのデフォルト値がすでに設定されています。これらの設定の構成は必須ではありません。

  6. これで、リモート ユーザーが接続する URL が見つかります。リモート ユーザーと共有するために、この URL をコピーして保存します。この構成が既定のプロファイルでない場合は、/xxxx 情報のみが必要です。

    図19 は、リモートユーザーがリモートアクセス接続を確立するためにJuniper Secure Connectアプリケーションの ゲートウェイアドレス フィールドに入力する必要があるURLを示しています。

    図 19: リモート アクセス設定のコミット Commit Remote Access Configuration

    1. 自動ポリシー作成オプションを選択した場合は、 保存 をクリックして、Juniper Secure Connect VPNの設定と関連ポリシーを完了します。

    2. 強調表示された [コミット ] ボタン (ページの右上の [フィードバック ボタン] の横) をクリックして、構成をコミットします。

Juniper Secure Connectアプリケーションをクライアントマシンにダウンロードしてインストールします。Juniper Secure Connectを起動し、SRXシリーズファイアウォールのゲートウェイアドレスに接続します。詳細については、 『Juniper Secure Connectユーザーガイド 』を参照してください。

関連ドキュメント