Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

例:Juniper Secure ConnectのLDAP認証の設定(CLI手順)

概要

LDAPは、ユーザーの認証に役立ちます。LDAPを認証オプションとして使用する場合は、1つ以上のLDAPグループを定義し、グループメンバーシップに基づくアドレス割り当てに特定のローカルIPプールを使用できます。グループごとのローカルIPプールを指定しない場合、Junos OSはアクセスプロファイルで設定されたローカルIPプールからIPアドレスを割り当てます。

ユーザーグループを設定するには、[edit access ldap-options]階層レベルでallowed-groups ステートメントを含めます。これらのグループ名は、LDAP ディレクトリ内の名前と一致します。

group1、group2、group3 などの LDAP グループについて考えてみます。group1 をアドレス プール Juniper_Secure_Connect_Addr-Pool に割り当てることができます。group2 をアドレス プール poolB に割り当てることができます。group3 をアドレス プール poolC に割り当てることができます。

  1. User1 は group1 に属しています。ユーザー1のグループが構成済みグループの1つと一致すると、ユーザー1が認証されます。グループはメンバーシップに基づいて、次のアドレス プール Juniper_Secure_Connect_Addr-Pool から User1 に IP アドレスを割り当てます。

  2. User2 は group2 に属しています。ユーザー2のグループが設定されたグループの1つと一致すると、ユーザー2が認証されます。グループは、そのグループ メンバーシップに基づいて、以下のアドレス プール poolB から User2 に IP アドレスを割り当てます。

  3. User3 は group3 に属しています。ユーザー3のグループが設定されたグループの1つと一致すると、ユーザー3が認証されます。グループはメンバーシップに基づいて、次のアドレス プール poolC から User3 に IP アドレスを割り当てます。

  4. ユーザー4のグループは、設定されたグループのいずれとも一致しません。

表-1にLDAP サーバー ldap-options がグローバルアクセスレベルおよびアクセスプロファイル内で設定されている場合の応答を示します。プロファイル設定の優先度は、グローバル設定よりも高くなります。

表 1:グローバル レベルおよびアクセス プロファイル内の LDAP アクセス グループ
ユーザー名 構成 一致したグループ LDAP サーバーが返したグループ アドレス プール アクション
ユーザー1 グループ1 グループ1、グループ2、グループ3 Juniper_Secure_Connect_Addrプール 受け入れ(設定済みグループと照合)
ユーザー2 グループ2 グループ1、グループ2、グループ3 プールB 受け入れ(設定済みグループと照合)
ユーザー3 グループ3 グループ1、グループ2、グループ3 プールC 受け入れ(設定済みグループと照合)
ユーザー4 グループ4 groupX、groupY、groupZ プールD 拒否(設定された一致したグループに一致しません)
手記:

この例では、ユーザーが 1 つのグループに所属する認証オプションとして LDAP を使用しています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 任意のSRXシリーズファイアウォール

  • Junos OS リリース 23.1R1

開始する前に、以下を実行します。

前提条件については、「 Juniper Secure Connect のシステム要件」を参照してください。

SRXシリーズファイアウォールは、デフォルトのシステム生成証明書ではなく、署名付き証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、次のコマンドを実行して、証明書をSRXシリーズファイアウォールにバインドする必要があります。

例えば:

ここで、SRX_Certificate は CA から取得した証明書または自己署名証明書です。

位相幾何学

以下の図は、この例のトポロジーを示しています。

図1:Juniper Secure ConnectのLDAP認証の設定

構成

この例では、ユーザーが単一のグループに属する認証オプションとしてLDAPを使用します。

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。

  1. 1 つ以上のインターネット鍵交換(IKE)プロポーザルを設定します。次に、これらのプロポーザルを IKE ポリシーに関連付けます。IKEゲートウェイオプションを設定します。
  2. 1つ以上のIPsecプロポーザルを設定します。次に、これらのプロポーザルを IPsec ポリシーに関連付けます。IPSec VPNパラメータとトラフィックセレクターを設定します。
  3. リモート アクセス プロファイルとクライアント構成を構成します。
  4. 外部認証順序の LDAP サーバーを指定します。

  5. SSL 終端プロファイルを作成します。SSL終端は、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了するプロセスです。SSL終端プロファイルの名前を入力し、SRXシリーズファイアウォールでSSL終端に使用するサーバー証明書を選択します。サーバー証明書は、ローカル証明書識別子です。サーバー証明書は、サーバーの ID を認証するために使用されます。

    SSL VPN プロファイルを作成します。 tcp-encapを参照してください。

  6. ファイアウォールポリシーを作成します。

    trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

    vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  7. イーサネット インターフェイス情報を設定します。

    ファミリーをinetに設定してst0インターフェイスを設定します。

  8. セキュリティ ゾーンを設定します。

業績

構成の結果を確認します。

SSL 終端プロファイルに添付するサーバー証明書が既にあることを確認します。

検証

設定が正常に機能していることを確認するには、以下の表示コマンドを入力します。

IPsec、IKE、グループ情報の確認

目的

アクセス プロファイルを使用し、プロファイル内で ldap-options を設定する場合JUNIPER_SECURE_CONNECT LDAP サーバー応答に基づいて起こりうる結果のリストを表示します。

アクション

動作モードから、以下のコマンドを入力します。

意味

コマンド出力には、一致したグループの詳細が表示されます。