Comments
Transcript
Juniper Networks NetScreen Remote Access Series
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. has sales offices worldwide. For contact information, refer to www.juniper.net. 530-010089-01, Revision 1 A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Printed on recycled paper Juniper Networks, Inc. A 1.25" spine would fold here. A 2.5" spine would fold here. NetScreen Remote Access 500 はじめに NetScreen Instant Virtual Extranet Platform Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Phone 408 745 2000 or 888 JUNIPER Fax 408 745 2100 ™ CORPORATE HEADQUARTERS M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net Juniper Networks NetScreen-RA 500 はじめに リリース 4.x Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net 文書番号: 093-1398-000 Juniper Networks、Juniper Networks ロゴ、NetScreen、NetScreen Technologies、NetScreen ロゴ、NetScreen-Global Pro、ScreenOS、および GigaScreen は、 米国および各国において、Juniper Networks, Inc. の登録商標です。 Juniper Networks、Juniper Networks ロゴ、NetScreen、NetScreen Technologies、Neoteris、Neoteris-Secure Access、Neoteris-Secure Meeting、NetScreen-SA 1000、NetScreen-SA 3000、NetScreen-SA 5000、IVE、GigaScreen、および NetScreen ロゴは、Juniper Networks, Inc. の登録商標です。NetScreen-5GT、 NetScreen-5XP、NetScreen-5XT、NetScreen-25、NetScreen-50、NetScreen-100、NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5200、 NetScreen-5400、NetScreen-Global PRO、NetScreen-Global PRO Express、NetScreen-Remote Security Client、NetScreen-Remote VPN Client、NetScreen-IDP 10、NetScreen-IDP 100、NetScreen-IDP 500、GigaScreen ASIC、GigaScreen-II ASIC、および NetScreen ScreenOS は、Juniper Networks, Inc. の商標です。 その他のすべての商標と登録商標は、関係各社の所有物です。 Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 by the Massachusetts Institute of Technology. All rights reserved. Copyright © 2000 by Zero-Knowledge Systems, Inc. Copyright © 2001, Dr. Brian Gladman <[email protected]>, Worcester, UK. All rights reserved. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1989, 1991, 1992 by Carnegie Mellon University. Derivative Work - 1996, 1998-2000. Copyright © 1996, 1998-2000 The Regents of the University of California. All Rights Reserved. Copyright © 1999-2001 The OpenLDAP Foundation, Redwood City, California, USA. All Rights Reserved. Permission to copy and distribute verbatim copies of this document is granted. Copyright © 1995 Tatu Ylonen <[email protected]>, Espoo, Finland. All rights reserved. Copyright © 1986 Gary S. Brown. Copyright © 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright © 1995, 1996 by David Mazieres <[email protected]>. Copyright © 1998-2002. The OpenSSL Project. All rights reserved. Copyright © 1989-2001, Larry Wall. All rights reserved. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1996-2002 Andy Wardley. All Rights Reserved. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998. Jean-loup Gailly and Mark Adler. Juniper Networks NetScreen-RA 500 はじめに、リリース 4.x Copyright © 2004, Juniper Networks, Inc. All rights reserved. Printed in USA. 作成者:Carolyn A. Harding 編集者:Dana Marcell 改訂履歴 2004 年 7 月 10 日 ― ベータ稿 2004 年 7 月 26 日 ― 最終稿 Juniper Networks は、本書の誤記に対していかなる責任も負いません。Juniper Networks は、通知なく本書の内容を変更、修正、変形、あるいは改訂す る権利を有します。 目次 第1部 インストールと設定 1 ステップ 1: ハードウェアの設置 ................................................................................... 3 ステップ 2: 基本セットアップの実行 ...........................................................................4 ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録........................ 7 ステップ 4: ネットワーク コネクトのための IP アドレス情報の特定 ..................... 9 ステップ 5: ユーザのアクセシビリティの確認 ......................................................... 11 第2部 アクセス管理ベーシック 13 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 .............................................................................................................. 15 ユーザ ロールを定義する...................................................................................... 15 リソース ポリシーを定義する.............................................................................. 17 認証サーバを定義する........................................................................................... 19 認証領域を定義する............................................................................................... 21 サインイン ポリシーを定義する.......................................................................... 24 テスト シナリオを使用する.................................................................................. 26 管理者のデフォルト設定 .............................................................................................. 29 iii NetScreen Remote Access はじめに iv 第1部 インストールと設定 1 NetScreen Remote Access はじめに 2 Juniper Networks NetScreen-RA 500 SSL VPN アプライアンスをお選びいただき、あり がとうございます! 次の 5 つの簡単な手順で、NetScreen-RA 500 をインストールし、 システムの設定を開始することができます。 ステップ 1: ハードウェアの設置 ......................................................................... 3 ステップ 2: 基本セットアップの実行 .................................................................. 4 ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録 ................. 7 ステップ 4: ネットワーク コネクトのための IP アドレス情報の特定 ................. 9 ステップ 5: ユーザのアクセシビリティの確認 ...................................................11 Neoteris NetScreen-RA 500 アプライアンス を LAN にインストールして、以下のよう な適切なリソースと通信できるようにすることをお勧めします。 認証サーバ DNS サーバ HTTP/HTTPS 経由による内部 Web サーバ HTTP/HTTPS 経由による外部 Web サイト ( オプション ) 内部/外部のゲータウェイ/ルータ(オプション) Windows ファイル サーバ ( オプション ) NFS ファイル サーバ ( オプション ) クライアント/サーバ アプリケーション ( オプション ) アプライアンスを DMZ にインストールすることを決定した場合は、NetScreen-RA 500 がこれらのリソースに接続できることを確認してください。 このガイドのフランス語版、ドイツ語版、および日本語版は、サポート サイトから入手 可能です。 ステップ 1: ハードウェアの設置 NetScreen-RA 500 は、取っ手とゴム足が装着されて出荷されています。取っ手を使用 してアプライアンスをラックに取り付けるか、ゴム足を取り付けてアプライアンスを 平らな面に設置します。次に、電源を入れ、付属のケーブルをマシンに接続します。 以下にその手順を示します。 1. 背面パネルで、電源コードを AC 電源コンセントに差し込みます。 ステップ 1: ハードウェアの設置 3 NetScreen Remote Access はじめに 2. 前面パネルで以下を実行します。 1. イーサネット ケーブルを右側のポート (「INTERNAL」と表示 ) に差し込み ます。このポートは、2 つの LED を使用して 接続ステータスを表します。詳 細は、表 1 を参照してください。 2. 右隅にあるトグル スイッチを 1 度押します。電源スイッチの隣にあるグリー ンの LED が点灯します。 3. シリアル ケーブルをシリアル ポートに差し込みます。 ハードウェアの設置は、電源ケーブル、ネットワーク ケーブル、およびシリアル ケー ブルをアプライアンスに接続し、マシンに電源を入れれば完了です。次のステップは、 アプライアンスのシリアル コンソールに接続して、マシンおよびネットワークの基本 設定情報を入力することです。 表 1: NetScreen-RA 500 - 右側のポートの LED LAN のステータス LED 1 LED 2 10 Mbps 接続 オフ N/A 100 Mbps 接続 オン N/A データの転送中 オレンジ、またはオフ 点滅 接続していない オフ オフ ステップ 2: 基本セットアップの実行 未設定の NetScreen-RA 500 を起動するときには、シリアル コンソールでネットワー クおよびマシンの基本情報を入力し、ネットワークからアプライアンスにアクセスで きるようにする必要があります。これらの設定を入力した後に、管理者の Web コン ソールで NetScreen-RA 500 の設定を続行することができます。ここでは、シリアル コ ンソールに必要なセットアップと、NetScreen-RA 500 に初めて接続するときに実行す る必要のあるタスクについて説明します。 基本セットアップを実行するには、次の操作を実行します。 1. 2. 4 ステップ 2: 基本セットアップの実行 コンソール ターミナル、または HyperTerminal などコンピュータで稼動するター ミナル エミュレーション ユーティリティを、以下のシリアル接続パラメータを 使用するように設定します。 9600 ビット/秒 1 ストップ ビット 8 ビット、パリティなし(8N1) フロー制御なし ターミナルまたはコンピュータを、アプライアンスのシリアル ポートに差し込ん だシリアル ケーブルに接続し、初期化スクリプトによってプロンプトが出される まで Enter を押します。 NetScreen Remote Access はじめに 図 1: NetScreen-RA 500 シリアル コンソールの初期画面 3. y を入力して処理を続行し、 さらに y を入力してライセンス規約に同意します ( 初 めにライセンス規約を読む場合は r を入力します )。 4. 要求されたイーサネット設定情報を入力します。以下の情報が要求されます。 5. 内部ポートの IP アドレス ( 外部ポートは、初期設定後、管理者の Web コン ソールを通じてオプションで設定します ) ネットワーク マスク デフォルト ゲートウェイ アドレス 要求された DNS 情報を入力します。以下の情報が要求されます。 プライマリ DNS サーバ アドレス セカンダリ DNS サーバ アドレス ( オプション ) デフォルト DNS ドメイン名 ( 例 :yourcompany.com) 6. 要求された WINS サーバ情報を入力します ( オプション )。 7. ユーザ名とパスワードを指定して、管理者アカウントを作成します。 8. 自己署名 Web サーバ証明書を作成するために、connect.acmegizmo.com のような 共有のマシン名、組織名、ランダム文字列などの情報を入力します。 共有のマシン名は、製品評価時および最初のセットアップ時に使用する自 己署名電子証明書の作成に使用されます。NetScreen-RA 500 を本番用に展 開する前に、信頼できる認証局 (CA) から署名付き電子証明書をイン ポートすることを強くお勧めします。 こ の 情 報 を 入 力 し た ら、シ リ ア ル コ ン ソ ー ル の セ ッ ト ア ッ プ は 完 了 で す。 NetScreen-RA 500 に、設定を変更するオプションがプロンプトとして表示された 場合は、該当するオプションを選択するか、続行します。 ステップ 2: 基本セットアップの実行 5 NetScreen Remote Access はじめに 9. Web ブラウザで、マシンの URL に続けて「/admin」と入力し、管理者のサインイ ン ページにアクセスします。URL の形式は次のとおりです。 https://a.b.c.d/admin。a.b.c.d は、ステップ 4 で入力したマシンの IP アドレス です。セキュリティの警告によって、署名された証明書なしで処理を続行するか どうかを尋ねられた場合は、[Yes] をクリックします。 管理者のサインイン ページが表示されたら、NetScreen-RA 500 アプライアンスは ネットワークに正常に接続しています。サインイン ページにアクセスできない時 は、シリアル コンソールに戻って、マシンとネットワークの設定を確認してくだ さい。 図 2: 管理者のサインイン ページ 10. サインイン ページに、手順 7 で作成した管理者のユーザ名とパスワードを入力し、 [Sign In] をクリックします。管理者の Web コンソールが、[System] → [Status] → [Overview] ページに開かれます。 図 3: [System] → [Status] → [Overview] ページ 11. [System Date and Time] の横にある [Edit] をクリックします。[Date and Time] ページで、マシンの時刻を指定して、[Save Changes] をクリックします。 6 ステップ 2: 基本セットアップの実行 NetScreen Remote Access はじめに 12. 任意に管理者セッションの時間を変更するには、[Administrators] → [Delegation] を選択し てください (10 分以上操 作がない場 合の強制終 了を避ける ため ) 。 [Delegated Admin Roles] ページで、[.Administrators] をクリックします。この項 目は、組み込みの .Administrators ロールの設定ページにリンクしています。この ロールに対して、次の操作を実行します。 1. [General] → [Session Options] を選択し、[Session Lifetime] で、アイドル タイ ムアウトと最大セッション長の値を変更します。 2. [Save Changes] をクリックします。 シリアル コンソールおよび Web コンソールでこの基本セットアップを実行した後は、最 新のサービス パッケージをインストールして、 ライセンス登録をする準備ができています。 ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録 ユーザのアクセス可能性をテストする前に、Juniper サポート サイト (http://www.juniper.net/support) からダウンロードできる最新の OS サービス パッケー ジで NetScreen-RA 500 をアップロードすることをお勧めします。サポート サイトに アクセスするには、サービス契約を行い、アクティブにしてください。 サービス契約が済んでいないと、新しいソフトウェアのリリースにアクセ スできません。サポート契約についての詳細は、再販業者に問い合わせて ください。サポート契約していない場合は、ステップ 3 のこの手順を開始 してください。 NetScreen-RA 500 をアップグレードしてライセンス登録するには、次の操 作を実行します。 1. 最新の OS サービスパッケージの入手* 1. Web ブラウザで、サポート サイトの URL、http://www.juniper.net/support を入 力します。 2. サポート サイト アカウント証明書でサポート サイトにサインインします。 [Customer Support Center] ページが開きます。 3. [Download Software] で、[IVE Software] リンクをクリックして [IVE OS Software] ページにアクセスします。 4. 希望するリリースのリンクを選択し、それに対応する Web ページでサービス パッケージ ダウンロードのリンクをクリックします。プロンプトが表示され たら、パッケージを NetScreen-RA 500 にアクセス可能なネットワーク ディレ クトリに保存します。 * サービス契約のない場合は、ステップ 3 に進んでください。 ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録 7 NetScreen Remote Access はじめに 2. NetScreen-RA 500 にインストールされたサービス パッケージのアップグレード * 1. Web ブラウザで、NetScreen-RA 500 の URL に続けて「/admin」と入力し、管 理者のサインイン ページにアクセスします。URL の形式は、 https://a.b.c.d/admin です。a.b.c.d は、ステップ 2-4 (5 ページ ) で入力した マシンの IP アドレスです。セキュリティの警告によって、署名された証明書 なしで処理を続行するかどうかを尋ねられた場合は、[Yes] をクリックします。 2. 管理者のサインイン ページに、ステップ 2-7 (5 ページ ) で作成した管理者の ユーザ名とパスワードを入力し、[Sign In] をクリックします。管理者の Web コンソールが、[System] → [Status] → [Overview] ページに開かれます。 3. [Maintenance] → [System] → [Upgrade/Downgrade] を選択します。 4. [Install Service Package] ページで、ネットワークにダウンロードしたサービ ス パッケージをクリックして参照します。パッケージを選択した後に、 ファイル名が [Service package to install] フィールドに表示されたら、[Install Now] をクリックします。 NetScreen-RA 500 は、ネットワーク ディレクトリからサービス パッケージを アップロードして、インストールを開始します。この処理には数分かかりま す。Web コンソールまたはシリアル コンソールで状態を監視することができ ます。NetScreen-RA 500 がサービス パッケージのインストールを完了する と、システムが再起動します。NetScreen-RA 500 の再起動後、管理者の Web コンソールに再びサインインして、システム ライセンスを入力します。 3. 8 NetScreen-RA 500 での製品ライセンスのインストール 1. Web コンソールにサインイン済みではない場合、Web ブラウザで、 NetScreen-RA 500 の URL に続けて「/admin」と入力し、管理者のサインイン ペ ー ジ に ア ク セ ス し ま す。URL の 形 式 は、https://a.b.c.d/admin で す。 a.b.c.d は、ステップ 2-4 (5 ページ ) で入力したマシンの IP アドレスです。セ キュリティの警告によって、署名された証明書なしで処理を続行するかどう かを尋ねられた場合は、[Yes] をクリックします。 2. [System] → [Configuration] → [Licensing] を選択します。[Licensing] ページ で、次の操作を実行します。 a. [Company Name or ID] フィールドに、製品パッケージに含まれるライ センス キー カードの「ライセンス ID」を入力します。 b. [License Key(s)] フィールドに、製品パッケージに含まれるライセンス キー カードの「ライセンス キー」を入力します。 c. [Save Changes] をクリックします。ライセンス コード情報が [Licensing] ページに表示され、ネットワーク コネクト IP アドレスの範囲を設定する ように要求されます。 ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録 NetScreen Remote Access はじめに 図 4: [System] → [Configuration] → [Licensing] ページ NetScreen-RA 500 のアップグレードとライセンス登録の後、ネットワーク コネクトの ための IP アドレス情報を指定できます。 ステップ 4: ネットワーク コネクトのための IP アドレス情報の特定 ネットワーク コネクトがユーザのマシンで実行されるときには、クライアント端末間 の全ての送受信は、安全なネットワーク コネクト トンネル上で行われます。このトン ネルは、両方とも IP アドレスを要求する、サーバサイドのプロセスとクライアント サイドのエージェント間に存在します。ネットワーク コネクトのサーバサイドのプ ロセス用に IP アドレスを特定し、全てのネットワーク コネクトのユーザのセッショ ンに使用することができます。NetScreen-RA 500 が、ネットワーク コネクトのセッ ションの開始を求めるクライアント要求を受信すると、ネットワーク コネクト IP ア ドレス範囲のリソース ポリシーから、クライアントサイドのネットワーク コネクト エージェントに IP アドレスを割り当てます。NetScreen-RA 500 は、ユーザのロールに 適用する IP Address Pool ポリシーに基づいてこれらの IP アドレスを割り当てます。 「ユーザ ロール」は、ユーザのセッション パラメータ、個人設定、およびネットワー ク コネクトのアクセス機能を定義するエンティティです。NetScreen-RA 500 は、認証 されたユーザに 1 つまたは複数のロールを割り当てます。ロールに対して特定された セッションのオプションとネットワーク コネクトのリソース ポリシーにより、アク セス可能なリソースと IP アドレス範囲が定義されます。ロールの詳細については、 15 ページの「ユーザ ロールを定義する」を参照してください。 ネットワーク コネクトのための IP アドレス情報の特定には、次の操作を実 行します。 1. Web コンソールで、[Resource Policies] → [Network Connect] → [IP Address Pools] を選択します。 2. [Network Connect IP Address Policies] ページで、[New Policy] をクリックします。 ステップ 4: ネットワーク コネクトのための IP アドレス情報の特定 9 NetScreen Remote Access はじめに 3. 4. [New Policy] ページで、以下を入力します。 このポリシーに付ける名前 ポリシーの説明(オプション) [Resources] で、ネットワーク コネクト サービスを実行するクライアントにアド レスを割り当てられるように、NetScreen-RA 500 のための IP アドレスまたは IP ア ドレスの範囲を指定します。IP アドレス範囲は「a.b.c.d-e」のように指定すること ができます。ここで、IP アドレスの最後のコンポーネントはハイフン(-)で区切 られた範囲を意味します。特殊文字は使用できません。 例:10.10.10.1-100 5. [Roles] セクションで、以下を指定します。 [Policy applies to ALL roles] - このポリシーをすべてのユーザに適用します。 [Policy applies to SELECTED roles] - このポリシーを [Selected] ロール リス トでロールにマッピングされたユーザのみに適用します。[Available] ロール リストからこのリストにロールを追加してください。 [Policy applies to all roles OTHER THAN those selected below] - このポリ シーを [Selected] ロール リストでロールにマッピングされたユーザを除くす べてのユーザに適用します。[Available] ロール リストからこのリストにロー ルを追加してください。 ユーザのロールに詳細については、15 ページの「ユーザ ロールを定義 する」を参照してください。 6. [Save Changes] をクリックします。 7. [System] → [Network] → [Network Connect] を選択します。 8. [Network Connect Server IP Address] では、全てのネットワーク コネクトのユー ザのセッションに使用される、ネットワーク コネクトのサーバサイドのプロセス のための IP アドレスを入力します。この IP アドレスが、同じサブネットワーク内 の IP アドレス範囲のリソース ポリシーであることを確認してください。 例:10.10.10.200 9. [Save] をクリックします。 クライアントサイドのプロセスのためのネットワーク コネクト IP アドレス範囲のリ ソース ポリシーを作成し、サーバサイドのプロセスのための IP アドレスを特定した 後、ユーザのアクセス可能性を検証できます。 10 ステップ 4: ネットワーク コネクトのための IP アドレス情報の特定 NetScreen Remote Access はじめに ステップ 5: ユーザのアクセシビリティの確認 ユーザが NetScreen-RA 500 にアクセス可能かどうかを検証するために使用するユー ザ アカウントを、システム認証サーバに簡単に作成することができます。「認証サー バ」は、ユーザの証明書、つまりユーザ名とパスワードを保存し、さらにグループお よび属性情報などを保存するデータベースです。NetScreen-RA 500 は、ユーザの証明 書をこの認証サーバに転送して、ユーザの身元を検証します。 NetScreen-RA 500 には、 「System Local」というユーザ用のローカル認証サーバがあら かじめ設定されています。事前定義されたこのローカル認証サーバは、ユーザ認証用 のユーザ アカウントを素早く作成するための NetScreen-RA 500 データベースです。 管理者の Web コンソールでアカウントを作成した後は、NetScreen-RA 500 ユーザのサ インイン ページでそのユーザとしてサインインします。認証サーバの詳細について は、19 ページの「認証サーバを定義する」を参照してください。 ユーザのアクセス可能性を検証するには、次の操作を実行します。 1. 管理者の Web コンソールで、[Users] → [New User] を選択します。 2. [New Local User] ページで、ユーザ名「testuser1」とパスワードを入力し、[Save Changes] をクリックします。NetScreen-RA 500 は testuser1 のアカウントを作成 します。 3. 別のブラウザ ウィンドウにマシンの URL を入力して、ユーザのサインイン ペー ジにアクセスします。URL の形式は、https://a.b.c.d です。a.b.c.d は、ステッ プ 2-7 で入力したマシンの IP アドレスです。セキュリティの警告によって、署 名された証明書なしで処理を続行するかどうかを尋ねられた場合は、[Yes] をク リックします。ユーザのサインイン ページが表示されたら、NetScreen-RA 500 に 正常に接続しています。 図 5: ユーザ用サインイン ページ 4. サインイン ページで、ユーザ アカウントに対して作成したユーザ名とパスワー ドを入力し、[Sign In] をクリックして、ネットワーク コネクトのセッションを開 始し、NetScreen-RA 500 ユーザ ホーム ページにアクセスします。ネットワーク コ ネクトのセッションが開始されると、ステータス ウィンドウが表示されます (12 ページの図 6)。 ステップ 5: ユーザのアクセシビリティの確認 11 NetScreen Remote Access はじめに 5. Microsoft Outlook などの、クライアント/サーバ アプリケーションを開いて、 [Network Connect Status] ウィンドウ上の [Sent] と [Received] フィールドで、 ネットワーク コネクトがアプリケーション データの転送を実行しているか確認 します。 図 6: [Network Connect Status] ウィンドウ 図 7: NetScreen-RA 500 ユーザ ホーム ページ ユーザのアクセス可能性を検証した後は、管理者の Web コンソールに戻って第 2 部を 実行します。第 2 部では、NetScreen-RA 500 アクセス管理システムを使用します。 12 ステップ 5: ユーザのアクセシビリティの確認 第2部 アクセス管理ベーシック 13 NetScreen Remote Access はじめに 14 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの 作成 NetScreen-RA 500 は柔軟なアクセス管理システムを提供しており、ロール、リソース ポリシー、認証サーバ、認証領域、およびサインイン ポリシーを使用して、ユーザの リモート アクセスを容易にカスタマイズすることができます。これらのエンティ ティの使用を直ちに開始できるようにするため、NetScreen-RA 500 は、それぞれのシ ステム デフォルトが設定されて出荷されています。ここでは、これらのシステム デ フォルトについて説明するとともに、以下のタスクを実行して、各アクセス管理エン ティティを作成する方法を示します。 ユーザ ロールを定義する .................................................................................. 15 リソース ポリシーを定義する ........................................................................... 17 認証サーバを定義する....................................................................................... 19 認証領域を定義する .......................................................................................... 21 サインイン ポリシーを定義する ....................................................................... 24 ホスト チェッカとキャッシュ クリーナを含む、エンドポイントのセキュリティ機能 の設定の詳細については、管理者の Web コンソールのヘルプ リンクからアクセス可 能なオンライン ヘルプを参照してください。 NetScreen-RA 500 は、次の 2 種類のユーザをサポートしています。 管理者 - 「管理者」は、NetScreen-RA 500 の構成設定の表示や修正を行う個人 です。最初の管理者アカウントは、シリアル コンソールで作成します。 ユーザ - 「ユーザ」は、管理者の設定どおりに、NetScreen-RA 500 を使用して 企業リソースにアクセスする個人です。11 ページの「ステップ 5: ユーザのアク セシビリティの確認」で、最初のユーザ アカウント (testuser1) を作成しました。 以下のテスト シナリオでは、NetScreen-RA 500 アクセス管理要素を使用して、ユー ザのアクセス パラメータを設定することに的を絞っています。管理者のシステム デ フォルト設定の詳細については、29 ページの「管理者のデフォルト設定」を参照し てください。 ユーザ ロールを定義する 「ユーザ ロール」は、ユーザのセッション パラメータ、個人設定、およびネットワー ク コネクトのアクセス機能を定義するエンティティです。NetScreen-RA 500 は、認証 されたユーザに 1 つまたは複数のロールを割り当てます。そのロールに指定された セッション オプションによって、NetScreen-RA 500 セッション中にユーザがアクセス できるリソースのタイプが定義されます。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 15 NetScreen Remote Access はじめに NetScreen-RA 500 には、 「Users」というユーザ ロールがあらかじめ設定されています。 事前定義されたこのロールは、ネットワーク コネクト機能を有効にして、Users ロー ルを割り当てられているすべてのユーザが企業 Web サーバにアクセスできるように します。このロールは、[Users] → [Roles] ページに表示することができます。 ユーザ ロールを定義するには、次の操作を実行します。 1. 管理者の Web コンソールで、[Users] → [Roles] を選択します。 2. [Roles] ページで、[New Role] をクリックします。 3. [New Role] ページで、[Name] フィールドに「Test Role」と入力し、[Access Features] で [Network Connect] が有効であるかを確認してから、[Save Changes] をクリッ クします。NetScreen-RA 500 でロールが作成され、このロールの設定タブをが表 示されます。タブを設定する方法については、オンライン ヘルプを参照してくだ さい。 上記のステップを完了すると、ユーザ ロールが定義されます。このロールは、リソー ス ポリシーの作成時に適用することができます。また、認証領域に定義したロール マッピング規則によって、ユーザにこのロールを割り当てることもできます。 図 8: [Users] → [Roles] → [New Role] ページ 16 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに リソース ポリシーを定義する 「リソース ポリシー」は、次のことを指定するシステム規則です。 ポリシー が適用されるリソース (IP アドレス範囲やアプリケーション、Web、ファ イルのサーバ ) ポリシーを適用するユーザ ( ロールおよびその他のセッション変数によって指定 される ) NetScreen-RA 500 がリソースへのアクセスを許可するか、またはオプション設定 が可能か NetScreen-RA 500 には、ネットワーク コネクトのアクセス コントロール ポリシーが あらかじめ設定され、すべてのユーザが企業ネットワークにアクセスできます。ネッ ト ワ ー ク コ ネ ク ト の ア ク セ ス コ ン ト ロ ー ル ポ リ シ ー は、[Resource Policies] → [Network Connect] → [Network Connect Access Control] ページに表示することができ ます。 リソース ポリシーを定義するには、次の操作を実行します。 1. 管理者の Web コンソールで、[Resource Policies] → [Network Connect] → [Network Connect Access Control] を選択します。 2. [Network Connect Access Policies] ページで、[New Policy] をクリックします。 3. [New Policy] ページで、次の操作を実行します。 1. [Name] フィールドに、 「Test NC Access」と入力します。 2. [Resources] フィールドに、 「プロトコル ://IP: ポート」の形式で、企業 Web サー バを入力します。 例:tcp://10.10.10.220:80 4. 3. [Roles] で [Policy applies to SELECTED roles] を選択し、[Available Roles] フィールドで「Test Role」を選択してから、[Add] をクリックします。する と、「Test Role」が [Selected Roles] フィールドに移動します。 4. [Action] で、[Deny access] を選択します。 5. [Save Changes] をクリックします。NetScreen-RA 500 は、 「Test NC Access」を [Network Connect Access Policies] ページに追加します。 [Network Connect Access Policies] ページの [Policies] リストで、「Test NC Access」 の横にあるチェックボックスをオンにします。NetScreen-RA 500 は、表のその行 を黄色で強調表示します。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 17 NetScreen Remote Access はじめに 5. ページ最上部の上向き矢印 をクリックして、 「Test NC Access」行を、組み込 みの「Initial Network Connect Policy」行の上に移動し、[Save Changes] をクリッ クします。 NetScreen-RA 500 は、リストの先頭にあるリソース ポリシーから、順 番に処理を行います。NetScreen-RA 500 でユーザに適切なリソース制 限を適用するためには、リソース ポリシー リストを、最も制限の厳し いポリシーから最も制限の緩いポリシーの順序に並べ替えます。その 際、最も制限の厳しいポリシーをリストの先頭にします。 上記のステップを完了すると、ネットワーク コネクトのアクセス コントロール リソース ポリシーが設定されます。[Network Connect Access Policies] リストの次のポリシーで、 すべてのユーザがすべての Web リソースにアクセスすることを許可していても、Test Role を割り当てられたユーザは特定のサーバにアクセスすることができません。それ は、Test Role を割り当てられたユーザが、最初のポリシーである Test NC Access の条 件を満たしており、次のポリシーよりも最初のポリシーを優先するからです。 図 9: [Resource Policies] → [Network Connect] → [Network Connect Access Control] → [New Policy] 18 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに 図 10: [Resource Policies] → [Network Connect] → [Network Connect Access Policies] - ポリシーの順序の変更 認証サーバを定義する 「認証サーバ」は、ユーザの証明書、つまりユーザ名とパスワードを保存し、さらに グループおよび属性情報などを保存するデータベースです。ユーザは、NetScreen-RA 500 にサインインする場合、認証サーバに関連付けられている認証領域を指定します。 NetScreen-RA 500 は、ユーザの証明書をこの認証サーバに転送して、ユーザの身元を 検証します。 NetScreen-RA 500 では、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、 RSA ACE/Server、および Netegrity SiteMinder などの最も標準的な認証サーバをサポー トしており、NetScreen-RA 500 で認証するユーザのローカル データベースを 1 つまた は複数作成できます。NetScreen-RA 500 には、 「System Local」というユーザ用のロー カル認証サーバがあらかじめ設定されています。事前定義されたこのローカル認証 サーバは、ユーザ認証用のユーザ アカウントを素早く作成するための NetScreen-RA 500 データベースです。これにより、外部認証サーバにユーザ アカウントを作成する 必要がなくなるため、テスト時およびサードパーティにアクセスを提供する際の柔軟 性が増します。 デフォルトのローカル認証サーバは、[System] → [Signing In] → [Authentication/Authorization Servers] ページに表示することができます。 NetScreen-RA 500 は、承認サーバもサポートしています。 「承認サーバ」( またはディ レクトリ サーバ ) は、ユーザの属性およびグループ情報を保存するデータベースで す。認証領域の設定では、ディレクトリ サーバを使用して、ロール マッピング規則 およびリソース ポリシーに必要なユーザの属性情報やグループ情報を取得するよう に指定できます。 認証サーバを定義するには、次の操作を実行します。 1. 管理者の Web コンソールで、[System] → [Signing In] → [Servers] を選択します。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 19 NetScreen Remote Access はじめに 2. [Servers] ページで、[New] リストから [IVE Authentication] を選択し、[New Server] をクリックします。 3. [New IVE Authentication] ページで、[Name] フィールドに「Test Server」と入力 し、[Save Changes] をクリックします。NetScreen-RA 500 から変更が保存された ことが通知されるまで待ちます。その後、追加の [Configuration] タブが表示され ます。 4. [Users] タブをクリックしてから、[New] をクリックします。 5. [New Local User] ページで、[Username] フィールドに「testuser2」と入力し、パ スワードを入力して [Save Changes] をクリックします。Test Server 認証サーバに ユーザのアカウントが作成されます。 上記のステップを完了すると、ユーザ アカウントを 1 つ含む認証サーバが作成されま す。このユーザは、Test Server 認証サーバを使用する認証領域にサインインすること ができます。 図 11: [System] → [Signing In] → [Servers] → [New Server] 図 12: [System] → [Signing In] → [Servers] → [Test Server] → [New User] 20 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに 図 13: [System] → [Signing In] → [Servers] 認証領域を定義する 「認証領域」は、以下のリソースを含む認証リソースのグループです。 認証サーバ。ユーザの身元を確認します。NetScreen-RA 500 は、サインイン ペー ジで送信された証明書を、認証サーバに転送します。 認証ポリシー。NetScreen-RA 500 が検証のために証明書を認証サーバに送る前に、 満たす必要がある領域セキュリティ要件を指定します。 ディレクトリ サーバ。ロール マッピング規則およびリソース ポリシーで必要な ユーザおよびグループ属性情報を、NetScreen-RA 500 に提供する LDAP サーバで す ( オプション )。 ロール マッピング規則。NetScreen-RA 500 がユーザに 1 つまたは複数のロールを 割り当てるために、ユーザが満たす必要のある条件です。この条件は、領域のディ レクトリ サーバ、個人のユーザ名、または証明書属性によって返された情報に基 づいています。 NetScreen-RA 500 には、「Users」というユーザ領域があらかじめ設定されています。 事前定義されたこの領域は、System Local 認証サーバと、パスワード最低文字数 4 文 字を要求する認証ポリシーを使用し、ディレクトリ サーバを使用しません。また、 Users 領域にサインインしたすべてのユーザに Users ロールを割り当てるというロー ル マッピング規則が含まれています。11 ページの「ステップ 5: ユーザのアクセシビ リティの確認」で作成した「testuser1」アカウントは、Users 領域に含まれます。それ は、このアカウントが System Local 認証サーバに作成されているからです。19 ページ の「認証サーバを定義する」で作成した「testuser2」アカウントは、Users 領域に含ま れません。このアカウントは新しい「Test Server」認証サーバに作成しましたが、Users 領域はこの認証サーバを使用していないからです。 デフォルトのユーザ認証領域は、[Users] → [Authentication] ページに表示することが できます。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 21 NetScreen Remote Access はじめに 認証領域を定義するには、次の操作を実行します。 1. 管理者の Web コンソールで、[Users] → [Authentication] を選択します。 2. [User Authentication Realms] ページで、[New] をクリックします。 3. [New Authentication Realm] ページで、次の操作を実行します。 1. [Name] フィールドに、 「Test Realm」と入力します。 2. [Servers] で、[Authentication server] リストから「Test Server」を選択します。 3. [Save Changes] をクリックします。NetScreen-RA 500 から変更が保存された ことが通知されるまで待ちます。その後、領域の [Configuration] タブが表示 されます。 4. [Role Mapping] タブで、[New Rule] をクリックします。 5. [Role Mapping Rule] ページで、次の操作を実行します。 1. [Name] フィールドに、 「Test Rule」と入力します。 2. [Rule: If username...] で、値のフィールドに「testuser2」と入力します。 3. [...then assign these roles] の [Available Roles] フィールドで「Test Role」を選 択し、[Add] をクリックします。すると、 「Test Role」が [Selected Roles] フィー ルドに移動します。 4. [Save Changes] をクリックします。 上記のステップを完了すると、認証領域の作成が終了します。この領域は、Test Server を使用してユーザを認証し、ロール マッピング規則を使用して「testuser2」に Test Role を割り当てます。Test Role には Test NC Access リソース ポリシーが適用されるため、 このロールを割り当てられているユーザは、ポリシーの [Resources] フィールドで指 定された企業 Web サーバにアクセスできません。 22 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに 図 14: [Users] → [Authentication] → [New Realm] 図 15: [Users] → [Authentication] → [Test Server] → [New Rule] NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 23 NetScreen Remote Access はじめに サインイン ポリシーを定義する 「サインイン ポリシー」は、次のことを指定するシステム規則です。 ユーザが NetScreen-RA 500 へのサインインに使用する URL ユーザに表示するサインイン ページ NetScreen-RA 500 が証明書を送信する認証領域を、ユーザが入力または選択する 必要があるかどうか サインイン ポリシーを適用する認証領域 NetScreen-RA 500 には、ユーザに適用するサインイン ポリシーがあらかじめ設定され ています。このデフォルトのユーザ サインイン ポリシー (*/) は、ユーザが NetScreen-RA 500 の URL を入力すると、NetScreen-RA 500 がデフォルトのサインイ ン ページを表示して、認証領域を選択するようユーザに要求することを指定します ( 複数の領域が存在する場合 )。*/ サインイン ポリシーは、Users 認証領域に適用され るように設定されているため、21 ページの「認証領域を定義する」で作成した認証領 域には適用されません。 デ フォ ル トの ユ ーザ サ イ ンイ ン ポリ シ ーは、[System] → [Signing In] → [Sign-in Policies] ページに表示することができます。 デフォルトのサインイン ポリシーは、すべてのユーザに適用されます。「*/employees」 のようなパスを追加することで、NetScreen-RA 500 ユーザ サインイン ページの URL を 変更できます。 サインイン ポリシーを定義するには、次の操作を実行します。 1. 管理者の Web コンソールで、[System] → [Signing In] → [Sign-in Policies] を選択 します。 2. [Sign-in Policies] ページで、[*/] をクリックします。 3. [*/] ページで、次の操作を実行します。 1. [Sign-in URL] フィールドで、 「*/」の後に「test」を入力します。 2. [Authentication realm] で、[User picks from a list of authentication realms] を 選択し、[Available Roles] フィールドで「Test Realm」を選択してから、[Add] をクリックします。すると、 「Test Realm」が [Selected Roles] フィールドに移 動 し ま す (Users ロ ー ル が ま だ [Selected Roles] フ ィ ー ル ド に な い 場 合 は、 Users ロールに対してこの処理を繰り返します )。 3. [Save Changes] をクリックします。 上記のステップを完了すると、デフォルトのユーザ サインイン ポリシーの修正が終 了します。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに オプション 1. [System] → [Signing In] → [Sign-in Pages] を選択し、[New Page] をクリックします。 2. [New Sign-In Page] ページで、[Name] フィールドに「Test Sign-in Page」と入力し、 [Background color] フィールドに「#FF0000」( 赤 ) と入力して [Save Changes] を クリックします。 3. [System] → [Signing In] → [Sign-in Policies] を選択し、[User URLs] で [*/test/] を クリックします。 4. [*/test/] ページで、[Sign-in page] リストから「Test Sign-in Page」を選択し、[Save Changes] をクリックします。 このオプションのステップを完了すると、 「*/test/」サインイン ポリシーに関連付けら れた新しいサインイン ページの定義が終了します。 図 16: [System] → [Signing In] → [Sign-in Policies] → [*/] NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 25 NetScreen Remote Access はじめに 図 17: [System] → [Signing In] → [Sign-in Pages] → [New Page] - オプションの新しいサ インイン ページ 図 18: [System] → [Signing In] → [Sign-in Policies] → [*/test/] - 新しいサインイン ページ の使用 テスト シナリオを使用する テスト シナリオでは、次の操作を実行できます。 修正したデフォルトのサインイン ポリシーを使用して、ユーザの Web コンソー ルにアクセスする。 Test Server に作成されたユーザとして、Test Realm にサインインする。 Web サーバ アクセス機能をテストする。これは、Test Role および Test NC Access が正しく設定されていることに依存します。 テスト シナリオを使用するには、次の操作を実行します。 1. 26 ブラウザで、マシンの URL に続けて「/test」と入力し、ユーザのサインイン ペー ジにアクセスします。URL の形式は、https://a.b.c.d/test です。a.b.c.d は、ス テップ 2-4 で入力したマシンの IP アドレスです。セキュリティの警告によって、 署名された証明書なしで処理を続行するかどうかを尋ねられた場合は、[Yes] をク リックします。ユーザのサインイン ページが表示されたら、NetScreen-RA 500 ア プライアンスに正常に接続しています。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに 図 19: ユーザ用サインイン ページ 24 ページの「サインイン ポリシーを定義する」でオプションの設定手順を 実行した場合、ヘッダの色は赤です。 2. サインイン ページで、Test Server に作成したユーザ アカウントの「testuser2」と パスワードを入力し、[Realm] リストから「Test Realm」を選択します。次に [Sign In] をクリックし、 ユーザ用の NetScreen-RA 500 ホーム ページにアクセスします。 NetScreen-RA 500 は、Test Realm に証明書を転送します。Test Realm は、Test Server を使用するよう設定されています。この認証サーバによって正しく検証される と、NetScreen-RA 500 は、Test Realm に定義されたロール マッピング規則を処理 します。これにより、 「testuser2」に Test Role が割り当てられます。Test Role では、 17 ページの「リソース ポリシーを定義する」のネットワーク コネクトのアクセ ス コントロール リソース ポリシーで特定した企業 Web サーバにアクセスするこ とはできません。 図 20: ユーザ ホーム ページ 3. システム トレイのネットワーク コネクト アイコンをクリックして、[Network Connect Status] ウィンドウを開きます ( 表示されていない場合 ) 。 図 21: ネットワーク コネクト システム トレイ アイコンとステータス ウィンドウ NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 27 NetScreen Remote Access はじめに 4. 他のブラウザで、ネットワーク コネクトのアクセス コントロール リソース ポリ シーで特定した企業 Web サーバの URL を入力して、[Browse] をクリックします。 [Network Connect Status] ウィンドウの [Sent] のバイト数が変化し、ネットワーク コネクトが Web 要求に対応していることが表示されます。Test NC Access ポリ シーが要求されたサーバへのアクセスを拒否するため、ブラウザはやがて「The page cannot be displayed」エラーを表示します。 5. NetScreen-RA 500 ホームページに戻って、[Sign Out] をクリックします、 6. ブラウザで、NetScreen-RA 500 マシンの URL に続けて「/test」と入力し、ユーザ のサインイン ページに再度アクセスします。 7. サインイン ページで、「testuser1」と、このユーザ用に作成したパスワード (11 ページの「ステップ 5: ユーザのアクセシビリティの確認」) を入力し、 [Realm] リストから「Users」を選択します。次に [Sign In] をクリックし、ユー ザ用の NetScreen-RA 500 ホーム ページにアクセスします。 8. システム トレイのネットワーク コネクト アイコンをクリックして、[Network Connect Status] ウィンドウを開きます ( 表示されていない場合 ) 。 9. 他のブラウザで、ネットワーク コネクトのアクセス コントロール リソース ポリ シーで特定した企業 Web サーバの URL を入力して、[Browse] をクリックします。 [Network Connect Status] ウィンドウの [Sent] のバイト数が変化し、ネットワーク コネクトが Web 要求に対応していることが表示されます。Test NC Access ポリ シーが testuser1 に適用されないので、要求した Web ページがブラウザに表示され ます。 テスト シナリオでは、NetScreen-RA 500 の基本的なアクセス管理の特性を示していま す。アクセス管理の特性や、NetScreen-RA 500 のエンドポイントのセキュリティの詳 細については、オンライン ヘルプの参照をお勧めします。 28 NetScreen-RA 500 を自社用に設定するときには、ここで説明した順序でユーザ アクセス設定を行うことをお勧めします。 詳細な設定情報については、オンライン ヘルプまたは『管理ガイド』の PDF を 参照してください。 『管理ガイド』の PDF は、サポート サイトから入手できます。 外部から NetScreen-RA 500 にアクセス可能にする場合は、その前に、信頼でき る認証局 (CA) から署名付き電子証明書をインポートすることをお勧めします。 NetScreen-RA 500 の概念とベスト プラクティスを理解するためのテスト シナリオの作成 NetScreen Remote Access はじめに 管理者のデフォルト設定 NetScreen-RA 500 は、ユーザと同様に、管理者用のアカウントを素早く設定するため のデフォルト設定を提供しています。以下に、管理者のシステム デフォルト設定を要 約します。 管理者ロール .Administrators - この組み込みロールは、管理者が NetScreen-RA 500 のあら ゆる側面を管理することを許可します。シリアル コンソールで作成した管理 者ユーザには、このロールが割り当てられます。 .Read-Only Administrators - この組み込みロールは、ロールを割り当てられ ているユーザが、すべての NetScreen-RA 500 設定を参照することを許可しま す ( ただし、設定はできません )。管理者のアクセスを制限したい場合は、こ のロールを割り当てる必要があります。 Administrators ローカル認証サーバ - Administrators 認証サーバは、管理者アカ ウントを保存する NetScreen-RA 500 データベースです。最初の管理者アカウント は、シリアル コンソールを通じてこのサーバに作成します (NetScreen-RA 500 は、 シリアル コンソールを通じて作成した管理者アカウントをすべてこのサーバに 追加します )。このローカル サーバを削除することはできません。 Admin Users 認証領域 - Admin Users 認証領域は、デフォルトの Administrators 認 証サーバと、 パスワード最低文字数 4 文字を要求する認証ポリシーを使用し、ディ レクトリ サーバを使用しません。また、Admin Users 領域にサインインしたすべ てのユーザに .Administrators ロールを割り当てるというロール マッピング規則が 含まれています。シリアル コンソールで作成した管理者アカウントは、Admin Users 領域に含まれます。 */admin サインイン ポリシー - デフォルトの管理者サインイン ポリシー (*/admin) は、ユーザが NetScreen-RA 500 の URL に続けて「/admin」を入力した ときに、NetScreen-RA 500 が、管理者のデフォルトのサインイン ページを表示す るように指定します。また、このポリシーは、認証領域を選択するよう管理者に 要求します ( 複数の領域が存在する場合 )。*/admin サインイン ポリシーは、 Admin Users 認証領域に適用されるように設定されているため、このサインイン ポリ シーは、シリアル コンソールで作成した管理者アカウントに適用されます。 管理者のデフォルト設定 29 NetScreen Remote Access はじめに 30 管理者のデフォルト設定 Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. has sales offices worldwide. For contact information, refer to www.juniper.net. 093-1398-000 A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Printed on recycled paper Juniper Networks, Inc. A 1.25" spine would fold here. A 2.5" spine would fold here. NetScreen Secure Access NetScreen Secure Access FIPS Quick Start NetScreen Instant Virtual Extranet Platform Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Phone 408 745 2000 or 888 JUNIPER Fax 408 745 2100 ™ CORPORATE HEADQUARTERS M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net