Juniper Networks NetScreen Remote Access Series

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download Juniper Networks NetScreen Remote Access Series

Transcript

Juniper Networks NetScreen Remote Access Series

Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
530-010089-01, Revision 1
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
A 1.25" spine would fold here.
A 2.5" spine would fold here.
NetScreen Remote Access 500
はじめに
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net
Juniper Networks NetScreen-RA 500
はじめに
リリース 4.x
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
文書番号： 093-1398-000
Juniper Networks、Juniper Networks ロゴ、NetScreen、NetScreen Technologies、NetScreen ロゴ、NetScreen-Global Pro、ScreenOS、および GigaScreen は、
米国および各国において、Juniper Networks, Inc. の登録商標です。
Juniper Networks、Juniper Networks ロゴ、NetScreen、NetScreen Technologies、Neoteris、Neoteris-Secure Access、Neoteris-Secure Meeting、NetScreen-SA
1000、NetScreen-SA 3000、NetScreen-SA 5000、IVE、GigaScreen、および NetScreen ロゴは、Juniper Networks, Inc. の登録商標です。NetScreen-5GT、
NetScreen-5XP、NetScreen-5XT、NetScreen-25、NetScreen-50、NetScreen-100、NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5200、
NetScreen-5400、NetScreen-Global PRO、NetScreen-Global PRO Express、NetScreen-Remote Security Client、NetScreen-Remote VPN Client、NetScreen-IDP
10、NetScreen-IDP 100、NetScreen-IDP 500、GigaScreen ASIC、GigaScreen-II ASIC、および NetScreen ScreenOS は、Juniper Networks, Inc. の商標です。
その他のすべての商標と登録商標は、関係各社の所有物です。
Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 by the Massachusetts Institute of Technology. All rights reserved. Copyright © 2000 by Zero-Knowledge
Systems, Inc. Copyright © 2001, Dr. Brian Gladman <[email protected]>, Worcester, UK. All rights reserved. Copyright © 1989, 1991 Free Software Foundation,
Inc. Copyright © 1989, 1991, 1992 by Carnegie Mellon University. Derivative Work - 1996, 1998-2000. Copyright © 1996, 1998-2000 The Regents of the University
of California. All Rights Reserved. Copyright © 1999-2001 The OpenLDAP Foundation, Redwood City, California, USA. All Rights Reserved. Permission to copy
and distribute verbatim copies of this document is granted. Copyright © 1995 Tatu Ylonen <[email protected]>, Espoo, Finland. All rights reserved. Copyright © 1986
Gary S. Brown. Copyright © 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright © 1995, 1996 by David Mazieres <[email protected]>. Copyright ©
1998-2002. The OpenSSL Project. All rights reserved. Copyright © 1989-2001, Larry Wall. All rights reserved. Copyright © 1989, 1991 Free Software Foundation,
Inc. Copyright © 1996-2002 Andy Wardley. All Rights Reserved. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998. Jean-loup
Gailly and Mark Adler.
Juniper Networks NetScreen-RA 500 はじめに、リリース 4.x
Copyright © 2004, Juniper Networks, Inc.
All rights reserved. Printed in USA.
作成者：Carolyn A. Harding
編集者：Dana Marcell
改訂履歴
2004 年 7 月 10 日 ― ベータ稿
2004 年 7 月 26 日 ― 最終稿
Juniper Networks は、本書の誤記に対していかなる責任も負いません。Juniper Networks は、通知なく本書の内容を変更、修正、変形、あるいは改訂す
る権利を有します。
目次
第1部
インストールと設定
1
ステップ 1: ハードウェアの設置 ................................................................................... 3
ステップ 2: 基本セットアップの実行 ...........................................................................4
ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録........................ 7
ステップ 4: ネットワークコネクトのための IP アドレス情報の特定 ..................... 9
ステップ 5: ユーザのアクセシビリティの確認 ......................................................... 11
第2部
アクセス管理ベーシック
13
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテスト
シナリオの作成 .............................................................................................................. 15
ユーザロールを定義する...................................................................................... 15
リソースポリシーを定義する.............................................................................. 17
認証サーバを定義する........................................................................................... 19
認証領域を定義する............................................................................................... 21
サインインポリシーを定義する.......................................................................... 24
テストシナリオを使用する.................................................................................. 26
管理者のデフォルト設定 .............................................................................................. 29

iii
NetScreen Remote Access はじめに
iv

第1部
インストールと設定

1
NetScreen Remote Access はじめに
2

Juniper Networks NetScreen-RA 500 SSL VPN アプライアンスをお選びいただき、あり
がとうございます！次の 5 つの簡単な手順で、NetScreen-RA 500 をインストールし、
システムの設定を開始することができます。
ステップ 1: ハードウェアの設置 ......................................................................... 3
ステップ 2: 基本セットアップの実行 .................................................................. 4
ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録 ................. 7
ステップ 4: ネットワークコネクトのための IP アドレス情報の特定 ................. 9
ステップ 5: ユーザのアクセシビリティの確認 ...................................................11
Neoteris NetScreen-RA 500 アプライアンスを LAN にインストールして、以下のよう
な適切なリソースと通信できるようにすることをお勧めします。

認証サーバ

DNS サーバ

HTTP/HTTPS 経由による内部 Web サーバ

HTTP/HTTPS 経由による外部 Web サイト ( オプション )

内部／外部のゲータウェイ／ルータ（オプション）

Windows ファイルサーバ ( オプション )

NFS ファイルサーバ ( オプション )

クライアント／サーバアプリケーション ( オプション )
アプライアンスを DMZ にインストールすることを決定した場合は、NetScreen-RA 500
がこれらのリソースに接続できることを確認してください。
このガイドのフランス語版、ドイツ語版、および日本語版は、サポートサイトから入手
可能です。
ステップ 1: ハードウェアの設置
NetScreen-RA 500 は、取っ手とゴム足が装着されて出荷されています。取っ手を使用
してアプライアンスをラックに取り付けるか、ゴム足を取り付けてアプライアンスを
平らな面に設置します。次に、電源を入れ、付属のケーブルをマシンに接続します。
以下にその手順を示します。
1.
背面パネルで、電源コードを AC 電源コンセントに差し込みます。
ステップ 1: ハードウェアの設置

3
NetScreen Remote Access はじめに
2.
前面パネルで以下を実行します。
1.
イーサネットケーブルを右側のポート (「INTERNAL」と表示 ) に差し込み
ます。このポートは、2 つの LED を使用して接続ステータスを表します。詳
細は、表 1 を参照してください。
2.
右隅にあるトグルスイッチを 1 度押します。電源スイッチの隣にあるグリー
ンの LED が点灯します。
3.
シリアルケーブルをシリアルポートに差し込みます。
ハードウェアの設置は、電源ケーブル、ネットワークケーブル、およびシリアルケー
ブルをアプライアンスに接続し、マシンに電源を入れれば完了です。次のステップは、
アプライアンスのシリアルコンソールに接続して、マシンおよびネットワークの基本
設定情報を入力することです。
表 1: NetScreen-RA 500 －右側のポートの LED
LAN のステータス
LED 1
LED 2
10 Mbps 接続
オフ
N/A
100 Mbps 接続
オン
N/A
データの転送中
オレンジ、またはオフ
点滅
接続していない
オフ
オフ
ステップ 2: 基本セットアップの実行
未設定の NetScreen-RA 500 を起動するときには、シリアルコンソールでネットワー
クおよびマシンの基本情報を入力し、ネットワークからアプライアンスにアクセスで
きるようにする必要があります。これらの設定を入力した後に、管理者の Web コン
ソールで NetScreen-RA 500 の設定を続行することができます。ここでは、シリアルコ
ンソールに必要なセットアップと、NetScreen-RA 500 に初めて接続するときに実行す
る必要のあるタスクについて説明します。
基本セットアップを実行するには、次の操作を実行します。
1.
2.
4

ステップ 2: 基本セットアップの実行
コンソールターミナル、または HyperTerminal などコンピュータで稼動するター
ミナルエミュレーションユーティリティを、以下のシリアル接続パラメータを
使用するように設定します。

9600 ビット／秒

1 ストップビット

8 ビット、パリティなし（8N1）

フロー制御なし
ターミナルまたはコンピュータを、アプライアンスのシリアルポートに差し込ん
だシリアルケーブルに接続し、初期化スクリプトによってプロンプトが出される
まで Enter を押します。
NetScreen Remote Access はじめに
図 1: NetScreen-RA 500 シリアルコンソールの初期画面
3.
y を入力して処理を続行し、
さらに y を入力してライセンス規約に同意します ( 初
めにライセンス規約を読む場合は r を入力します )。
4.
要求されたイーサネット設定情報を入力します。以下の情報が要求されます。
5.

内部ポートの IP アドレス ( 外部ポートは、初期設定後、管理者の Web コン
ソールを通じてオプションで設定します )

ネットワークマスク

デフォルトゲートウェイアドレス
要求された DNS 情報を入力します。以下の情報が要求されます。

プライマリ DNS サーバアドレス

セカンダリ DNS サーバアドレス ( オプション )

デフォルト DNS ドメイン名 ( 例 :yourcompany.com)
6.
要求された WINS サーバ情報を入力します ( オプション )。
7.
ユーザ名とパスワードを指定して、管理者アカウントを作成します。
8.
自己署名 Web サーバ証明書を作成するために、connect.acmegizmo.com のような
共有のマシン名、組織名、ランダム文字列などの情報を入力します。
共有のマシン名は、製品評価時および最初のセットアップ時に使用する自
己署名電子証明書の作成に使用されます。NetScreen-RA 500 を本番用に展
開する前に、信頼できる認証局 (CA) から署名付き電子証明書をイン
ポートすることを強くお勧めします。
この情報を入力したら、シリアルコンソールのセットアップは完了です。
NetScreen-RA 500 に、設定を変更するオプションがプロンプトとして表示された
場合は、該当するオプションを選択するか、続行します。
ステップ 2: 基本セットアップの実行

5
NetScreen Remote Access はじめに
9.
Web ブラウザで、マシンの URL に続けて「/admin」と入力し、管理者のサインイ
ンページにアクセスします。URL の形式は次のとおりです。
https://a.b.c.d/admin。a.b.c.d は、ステップ 4 で入力したマシンの IP アドレス
です。セキュリティの警告によって、署名された証明書なしで処理を続行するか
どうかを尋ねられた場合は、[Yes] をクリックします。
管理者のサインインページが表示されたら、NetScreen-RA 500 アプライアンスは
ネットワークに正常に接続しています。サインインページにアクセスできない時
は、シリアルコンソールに戻って、マシンとネットワークの設定を確認してくだ
さい。
図 2: 管理者のサインインページ
10. サインインページに、手順 7 で作成した管理者のユーザ名とパスワードを入力し、
[Sign In] をクリックします。管理者の Web コンソールが、[System] → [Status] →
[Overview] ページに開かれます。
図 3: [System] → [Status] → [Overview] ページ
11. [System Date and Time] の横にある [Edit] をクリックします。[Date and Time]
ページで、マシンの時刻を指定して、[Save Changes] をクリックします。
6

ステップ 2: 基本セットアップの実行
NetScreen Remote Access はじめに
12. 任意に管理者セッションの時間を変更するには、[Administrators] → [Delegation]
を選択してください (10 分以上操作がない場合の強制終了を避けるため ) 。
[Delegated Admin Roles] ページで、[.Administrators] をクリックします。この項
目は、組み込みの .Administrators ロールの設定ページにリンクしています。この
ロールに対して、次の操作を実行します。
1.
[General] → [Session Options] を選択し、[Session Lifetime] で、アイドルタイ
ムアウトと最大セッション長の値を変更します。
2.
[Save Changes] をクリックします。
シリアルコンソールおよび Web コンソールでこの基本セットアップを実行した後は、最
新のサービスパッケージをインストールして、
ライセンス登録をする準備ができています。
ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録
ユーザのアクセス可能性をテストする前に、Juniper サポートサイト
(http://www.juniper.net/support) からダウンロードできる最新の OS サービスパッケー
ジで NetScreen-RA 500 をアップロードすることをお勧めします。サポートサイトに
アクセスするには、サービス契約を行い、アクティブにしてください。
サービス契約が済んでいないと、新しいソフトウェアのリリースにアクセ
スできません。サポート契約についての詳細は、再販業者に問い合わせて
ください。サポート契約していない場合は、ステップ 3 のこの手順を開始
してください。
NetScreen-RA 500 をアップグレードしてライセンス登録するには、次の操
作を実行します。
1.
最新の OS サービスパッケージの入手*
1.
Web ブラウザで、サポートサイトの URL、http://www.juniper.net/support を入
力します。
2.
サポートサイトアカウント証明書でサポートサイトにサインインします。
[Customer Support Center] ページが開きます。
3.
[Download Software] で、[IVE Software] リンクをクリックして [IVE OS
Software] ページにアクセスします。
4.
希望するリリースのリンクを選択し、それに対応する Web ページでサービス
パッケージダウンロードのリンクをクリックします。プロンプトが表示され
たら、パッケージを NetScreen-RA 500 にアクセス可能なネットワークディレ
クトリに保存します。
* サービス契約のない場合は、ステップ 3 に進んでください。
ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録

7
NetScreen Remote Access はじめに
2.
NetScreen-RA 500 にインストールされたサービスパッケージのアップグレード *
1.
Web ブラウザで、NetScreen-RA 500 の URL に続けて「/admin」と入力し、管
理者のサインインページにアクセスします。URL の形式は、
https://a.b.c.d/admin です。a.b.c.d は、ステップ 2-4 (5 ページ ) で入力した
マシンの IP アドレスです。セキュリティの警告によって、署名された証明書
なしで処理を続行するかどうかを尋ねられた場合は、[Yes] をクリックします。
2.
管理者のサインインページに、ステップ 2-7 (5 ページ ) で作成した管理者の
ユーザ名とパスワードを入力し、[Sign In] をクリックします。管理者の Web
コンソールが、[System] → [Status] → [Overview] ページに開かれます。
3.
[Maintenance] → [System] → [Upgrade/Downgrade] を選択します。
4.
[Install Service Package] ページで、ネットワークにダウンロードしたサービ
スパッケージをクリックして参照します。パッケージを選択した後に、
ファイル名が [Service package to install] フィールドに表示されたら、[Install
Now] をクリックします。
NetScreen-RA 500 は、ネットワークディレクトリからサービスパッケージを
アップロードして、インストールを開始します。この処理には数分かかりま
す。Web コンソールまたはシリアルコンソールで状態を監視することができ
ます。NetScreen-RA 500 がサービスパッケージのインストールを完了する
と、システムが再起動します。NetScreen-RA 500 の再起動後、管理者の Web
コンソールに再びサインインして、システムライセンスを入力します。
3.
8

NetScreen-RA 500 での製品ライセンスのインストール
1.
Web コンソールにサインイン済みではない場合、Web ブラウザで、
NetScreen-RA 500 の URL に続けて「/admin」と入力し、管理者のサインイン
ページにアクセスします。URL の形式は、https://a.b.c.d/admin です。
a.b.c.d は、ステップ 2-4 (5 ページ ) で入力したマシンの IP アドレスです。セ
キュリティの警告によって、署名された証明書なしで処理を続行するかどう
かを尋ねられた場合は、[Yes] をクリックします。
2.
[System] → [Configuration] → [Licensing] を選択します。[Licensing] ページ
で、次の操作を実行します。
a.
[Company Name or ID] フィールドに、製品パッケージに含まれるライ
センスキーカードの「ライセンス ID」を入力します。
b.
[License Key(s)] フィールドに、製品パッケージに含まれるライセンス
キーカードの「ライセンスキー」を入力します。
c.
[Save Changes] をクリックします。ライセンスコード情報が [Licensing]
ページに表示され、ネットワークコネクト IP アドレスの範囲を設定する
ように要求されます。
ステップ 3: NetScreen-RA 500 のアップグレードとライセンス登録
NetScreen Remote Access はじめに
図 4: [System] → [Configuration] → [Licensing] ページ
NetScreen-RA 500 のアップグレードとライセンス登録の後、ネットワークコネクトの
ための IP アドレス情報を指定できます。
ステップ 4: ネットワークコネクトのための IP アドレス情報の特定
ネットワークコネクトがユーザのマシンで実行されるときには、クライアント端末間
の全ての送受信は、安全なネットワークコネクトトンネル上で行われます。このトン
ネルは、両方とも IP アドレスを要求する、サーバサイドのプロセスとクライアント
サイドのエージェント間に存在します。ネットワークコネクトのサーバサイドのプ
ロセス用に IP アドレスを特定し、全てのネットワークコネクトのユーザのセッショ
ンに使用することができます。NetScreen-RA 500 が、ネットワークコネクトのセッ
ションの開始を求めるクライアント要求を受信すると、ネットワークコネクト IP ア
ドレス範囲のリソースポリシーから、クライアントサイドのネットワークコネクト
エージェントに IP アドレスを割り当てます。NetScreen-RA 500 は、ユーザのロールに
適用する IP Address Pool ポリシーに基づいてこれらの IP アドレスを割り当てます。
「ユーザロール」は、ユーザのセッションパラメータ、個人設定、およびネットワー
クコネクトのアクセス機能を定義するエンティティです。NetScreen-RA 500 は、認証
されたユーザに 1 つまたは複数のロールを割り当てます。ロールに対して特定された
セッションのオプションとネットワークコネクトのリソースポリシーにより、アク
セス可能なリソースと IP アドレス範囲が定義されます。ロールの詳細については、
15 ページの「ユーザロールを定義する」を参照してください。
ネットワークコネクトのための IP アドレス情報の特定には、次の操作を実
行します。
1.
Web コンソールで、[Resource Policies] → [Network Connect] → [IP Address
Pools] を選択します。
2.
[Network Connect IP Address Policies] ページで、[New Policy] をクリックします。
ステップ 4: ネットワークコネクトのための IP アドレス情報の特定

9
NetScreen Remote Access はじめに
3.
4.
[New Policy] ページで、以下を入力します。

このポリシーに付ける名前

ポリシーの説明（オプション）
[Resources] で、ネットワークコネクトサービスを実行するクライアントにアド
レスを割り当てられるように、NetScreen-RA 500 のための IP アドレスまたは IP ア
ドレスの範囲を指定します。IP アドレス範囲は「a.b.c.d-e」のように指定すること
ができます。ここで、IP アドレスの最後のコンポーネントはハイフン（-）で区切
られた範囲を意味します。特殊文字は使用できません。
例：10.10.10.1-100
5.
[Roles] セクションで、以下を指定します。

[Policy applies to ALL roles] －このポリシーをすべてのユーザに適用します。

[Policy applies to SELECTED roles] －このポリシーを [Selected] ロールリス
トでロールにマッピングされたユーザのみに適用します。[Available] ロール
リストからこのリストにロールを追加してください。

[Policy applies to all roles OTHER THAN those selected below] －このポリ
シーを [Selected] ロールリストでロールにマッピングされたユーザを除くす
べてのユーザに適用します。[Available] ロールリストからこのリストにロー
ルを追加してください。
ユーザのロールに詳細については、15 ページの「ユーザロールを定義
する」を参照してください。
6.
[Save Changes] をクリックします。
7.
[System] → [Network] → [Network Connect] を選択します。
8.
[Network Connect Server IP Address] では、全てのネットワークコネクトのユー
ザのセッションに使用される、ネットワークコネクトのサーバサイドのプロセス
のための IP アドレスを入力します。この IP アドレスが、同じサブネットワーク内
の IP アドレス範囲のリソースポリシーであることを確認してください。
例：10.10.10.200
9.
[Save] をクリックします。
クライアントサイドのプロセスのためのネットワークコネクト IP アドレス範囲のリ
ソースポリシーを作成し、サーバサイドのプロセスのための IP アドレスを特定した
後、ユーザのアクセス可能性を検証できます。
10

ステップ 4: ネットワークコネクトのための IP アドレス情報の特定
NetScreen Remote Access はじめに
ステップ 5: ユーザのアクセシビリティの確認
ユーザが NetScreen-RA 500 にアクセス可能かどうかを検証するために使用するユー
ザアカウントを、システム認証サーバに簡単に作成することができます。「認証サー
バ」は、ユーザの証明書、つまりユーザ名とパスワードを保存し、さらにグループお
よび属性情報などを保存するデータベースです。NetScreen-RA 500 は、ユーザの証明
書をこの認証サーバに転送して、ユーザの身元を検証します。
NetScreen-RA 500 には、
「System Local」というユーザ用のローカル認証サーバがあら
かじめ設定されています。事前定義されたこのローカル認証サーバは、ユーザ認証用
のユーザアカウントを素早く作成するための NetScreen-RA 500 データベースです。
管理者の Web コンソールでアカウントを作成した後は、NetScreen-RA 500 ユーザのサ
インインページでそのユーザとしてサインインします。認証サーバの詳細について
は、19 ページの「認証サーバを定義する」を参照してください。
ユーザのアクセス可能性を検証するには、次の操作を実行します。
1.
管理者の Web コンソールで、[Users] → [New User] を選択します。
2.
[New Local User] ページで、ユーザ名「testuser1」とパスワードを入力し、[Save
Changes] をクリックします。NetScreen-RA 500 は testuser1 のアカウントを作成
します。
3.
別のブラウザウィンドウにマシンの URL を入力して、ユーザのサインインペー
ジにアクセスします。URL の形式は、https://a.b.c.d です。a.b.c.d は、ステッ
プ 2-7 で入力したマシンの IP アドレスです。セキュリティの警告によって、署
名された証明書なしで処理を続行するかどうかを尋ねられた場合は、[Yes] をク
リックします。ユーザのサインインページが表示されたら、NetScreen-RA 500 に
正常に接続しています。
図 5: ユーザ用サインインページ
4.
サインインページで、ユーザアカウントに対して作成したユーザ名とパスワー
ドを入力し、[Sign In] をクリックして、ネットワークコネクトのセッションを開
始し、NetScreen-RA 500 ユーザホームページにアクセスします。ネットワークコ
ネクトのセッションが開始されると、ステータスウィンドウが表示されます
(12 ページの図 6)。
ステップ 5: ユーザのアクセシビリティの確認

11
NetScreen Remote Access はじめに
5.
Microsoft Outlook などの、クライアント／サーバアプリケーションを開いて、
[Network Connect Status] ウィンドウ上の [Sent] と [Received] フィールドで、
ネットワークコネクトがアプリケーションデータの転送を実行しているか確認
します。
図 6: [Network Connect Status] ウィンドウ
図 7: NetScreen-RA 500 ユーザホームページ
ユーザのアクセス可能性を検証した後は、管理者の Web コンソールに戻って第 2 部を
実行します。第 2 部では、NetScreen-RA 500 アクセス管理システムを使用します。
12

ステップ 5: ユーザのアクセシビリティの確認
第2部
アクセス管理ベーシック

13
NetScreen Remote Access はじめに
14

NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの
作成
NetScreen-RA 500 は柔軟なアクセス管理システムを提供しており、ロール、リソース
ポリシー、認証サーバ、認証領域、およびサインインポリシーを使用して、ユーザの
リモートアクセスを容易にカスタマイズすることができます。これらのエンティ
ティの使用を直ちに開始できるようにするため、NetScreen-RA 500 は、それぞれのシ
ステムデフォルトが設定されて出荷されています。ここでは、これらのシステムデ
フォルトについて説明するとともに、以下のタスクを実行して、各アクセス管理エン
ティティを作成する方法を示します。
ユーザロールを定義する .................................................................................. 15
リソースポリシーを定義する ........................................................................... 17
認証サーバを定義する....................................................................................... 19
認証領域を定義する .......................................................................................... 21
サインインポリシーを定義する ....................................................................... 24
ホストチェッカとキャッシュクリーナを含む、エンドポイントのセキュリティ機能
の設定の詳細については、管理者の Web コンソールのヘルプリンクからアクセス可
能なオンラインヘルプを参照してください。
NetScreen-RA 500 は、次の 2 種類のユーザをサポートしています。

管理者－「管理者」は、NetScreen-RA 500 の構成設定の表示や修正を行う個人
です。最初の管理者アカウントは、シリアルコンソールで作成します。

ユーザ－「ユーザ」は、管理者の設定どおりに、NetScreen-RA 500 を使用して
企業リソースにアクセスする個人です。11 ページの「ステップ 5: ユーザのアク
セシビリティの確認」で、最初のユーザアカウント (testuser1) を作成しました。
以下のテストシナリオでは、NetScreen-RA 500 アクセス管理要素を使用して、ユー
ザのアクセスパラメータを設定することに的を絞っています。管理者のシステムデ
フォルト設定の詳細については、29 ページの「管理者のデフォルト設定」を参照し
てください。
ユーザロールを定義する
「ユーザロール」は、ユーザのセッションパラメータ、個人設定、およびネットワー
クコネクトのアクセス機能を定義するエンティティです。NetScreen-RA 500 は、認証
されたユーザに 1 つまたは複数のロールを割り当てます。そのロールに指定された
セッションオプションによって、NetScreen-RA 500 セッション中にユーザがアクセス
できるリソースのタイプが定義されます。
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 15
NetScreen Remote Access はじめに
NetScreen-RA 500 には、
「Users」というユーザロールがあらかじめ設定されています。
事前定義されたこのロールは、ネットワークコネクト機能を有効にして、Users ロー
ルを割り当てられているすべてのユーザが企業 Web サーバにアクセスできるように
します。このロールは、[Users] → [Roles] ページに表示することができます。
ユーザロールを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、[Users] → [Roles] を選択します。
2.
[Roles] ページで、[New Role] をクリックします。
3.
[New Role] ページで、[Name] フィールドに「Test Role」と入力し、[Access Features]
で [Network Connect] が有効であるかを確認してから、[Save Changes] をクリッ
クします。NetScreen-RA 500 でロールが作成され、このロールの設定タブをが表
示されます。タブを設定する方法については、オンラインヘルプを参照してくだ
さい。
上記のステップを完了すると、ユーザロールが定義されます。このロールは、リソー
スポリシーの作成時に適用することができます。また、認証領域に定義したロール
マッピング規則によって、ユーザにこのロールを割り当てることもできます。
図 8: [Users] → [Roles] → [New Role] ページ
16

NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
リソースポリシーを定義する
「リソースポリシー」は、次のことを指定するシステム規則です。

ポリシーが適用されるリソース (IP アドレス範囲やアプリケーション、Web、ファ
イルのサーバ )

ポリシーを適用するユーザ ( ロールおよびその他のセッション変数によって指定
される )

NetScreen-RA 500 がリソースへのアクセスを許可するか、またはオプション設定
が可能か
NetScreen-RA 500 には、ネットワークコネクトのアクセスコントロールポリシーが
あらかじめ設定され、すべてのユーザが企業ネットワークにアクセスできます。ネッ
トワークコネクトのアクセスコントロールポリシーは、[Resource Policies] →
[Network Connect] → [Network Connect Access Control] ページに表示することができ
ます。
リソースポリシーを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、[Resource Policies] → [Network Connect] →
[Network Connect Access Control] を選択します。
2.
[Network Connect Access Policies] ページで、[New Policy] をクリックします。
3.
[New Policy] ページで、次の操作を実行します。
1.
[Name] フィールドに、
「Test NC Access」と入力します。
2.
[Resources] フィールドに、
「プロトコル ://IP: ポート」の形式で、企業 Web サー
バを入力します。
例：tcp://10.10.10.220:80
4.
3.
[Roles] で [Policy applies to SELECTED roles] を選択し、[Available Roles]
フィールドで「Test Role」を選択してから、[Add] をクリックします。する
と、「Test Role」が [Selected Roles] フィールドに移動します。
4.
[Action] で、[Deny access] を選択します。
5.
[Save Changes] をクリックします。NetScreen-RA 500 は、
「Test NC Access」を
[Network Connect Access Policies] ページに追加します。
[Network Connect Access Policies] ページの [Policies] リストで、「Test NC Access」
の横にあるチェックボックスをオンにします。NetScreen-RA 500 は、表のその行
を黄色で強調表示します。
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 17
NetScreen Remote Access はじめに
5.
ページ最上部の上向き矢印
をクリックして、
「Test NC Access」行を、組み込
みの「Initial Network Connect Policy」行の上に移動し、[Save Changes] をクリッ
クします。
NetScreen-RA 500 は、リストの先頭にあるリソースポリシーから、順
番に処理を行います。NetScreen-RA 500 でユーザに適切なリソース制
限を適用するためには、リソースポリシーリストを、最も制限の厳し
いポリシーから最も制限の緩いポリシーの順序に並べ替えます。その
際、最も制限の厳しいポリシーをリストの先頭にします。
上記のステップを完了すると、ネットワークコネクトのアクセスコントロールリソース
ポリシーが設定されます。[Network Connect Access Policies] リストの次のポリシーで、
すべてのユーザがすべての Web リソースにアクセスすることを許可していても、Test
Role を割り当てられたユーザは特定のサーバにアクセスすることができません。それ
は、Test Role を割り当てられたユーザが、最初のポリシーである Test NC Access の条
件を満たしており、次のポリシーよりも最初のポリシーを優先するからです。
図 9: [Resource Policies] → [Network Connect] → [Network Connect Access Control] →
[New Policy]
18

NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
図 10: [Resource Policies] → [Network Connect] → [Network Connect Access Policies]
－ポリシーの順序の変更
認証サーバを定義する
「認証サーバ」は、ユーザの証明書、つまりユーザ名とパスワードを保存し、さらに
グループおよび属性情報などを保存するデータベースです。ユーザは、NetScreen-RA
500 にサインインする場合、認証サーバに関連付けられている認証領域を指定します。
NetScreen-RA 500 は、ユーザの証明書をこの認証サーバに転送して、ユーザの身元を
検証します。
NetScreen-RA 500 では、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、
RSA ACE/Server、および Netegrity SiteMinder などの最も標準的な認証サーバをサポー
トしており、NetScreen-RA 500 で認証するユーザのローカルデータベースを 1 つまた
は複数作成できます。NetScreen-RA 500 には、
「System Local」というユーザ用のロー
カル認証サーバがあらかじめ設定されています。事前定義されたこのローカル認証
サーバは、ユーザ認証用のユーザアカウントを素早く作成するための NetScreen-RA
500 データベースです。これにより、外部認証サーバにユーザアカウントを作成する
必要がなくなるため、テスト時およびサードパーティにアクセスを提供する際の柔軟
性が増します。
デフォルトのローカル認証サーバは、[System] → [Signing In] →
[Authentication/Authorization Servers] ページに表示することができます。
NetScreen-RA 500 は、承認サーバもサポートしています。
「承認サーバ」( またはディ
レクトリサーバ ) は、ユーザの属性およびグループ情報を保存するデータベースで
す。認証領域の設定では、ディレクトリサーバを使用して、ロールマッピング規則
およびリソースポリシーに必要なユーザの属性情報やグループ情報を取得するよう
に指定できます。
認証サーバを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、[System] → [Signing In] → [Servers] を選択します。
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 19
NetScreen Remote Access はじめに
2.
[Servers] ページで、[New] リストから [IVE Authentication] を選択し、[New
Server] をクリックします。
3.
[New IVE Authentication] ページで、[Name] フィールドに「Test Server」と入力
し、[Save Changes] をクリックします。NetScreen-RA 500 から変更が保存された
ことが通知されるまで待ちます。その後、追加の [Configuration] タブが表示され
ます。
4.
[Users] タブをクリックしてから、[New] をクリックします。
5.
[New Local User] ページで、[Username] フィールドに「testuser2」と入力し、パ
スワードを入力して [Save Changes] をクリックします。Test Server 認証サーバに
ユーザのアカウントが作成されます。
上記のステップを完了すると、ユーザアカウントを 1 つ含む認証サーバが作成されま
す。このユーザは、Test Server 認証サーバを使用する認証領域にサインインすること
ができます。
図 11: [System] → [Signing In] → [Servers] → [New Server]
図 12: [System] → [Signing In] → [Servers] → [Test Server] → [New User]
20

NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
図 13: [System] → [Signing In] → [Servers]
認証領域を定義する
「認証領域」は、以下のリソースを含む認証リソースのグループです。

認証サーバ。ユーザの身元を確認します。NetScreen-RA 500 は、サインインペー
ジで送信された証明書を、認証サーバに転送します。

認証ポリシー。NetScreen-RA 500 が検証のために証明書を認証サーバに送る前に、
満たす必要がある領域セキュリティ要件を指定します。

ディレクトリサーバ。ロールマッピング規則およびリソースポリシーで必要な
ユーザおよびグループ属性情報を、NetScreen-RA 500 に提供する LDAP サーバで
す ( オプション )。

ロールマッピング規則。NetScreen-RA 500 がユーザに 1 つまたは複数のロールを
割り当てるために、ユーザが満たす必要のある条件です。この条件は、領域のディ
レクトリサーバ、個人のユーザ名、または証明書属性によって返された情報に基
づいています。
NetScreen-RA 500 には、「Users」というユーザ領域があらかじめ設定されています。
事前定義されたこの領域は、System Local 認証サーバと、パスワード最低文字数 4 文
字を要求する認証ポリシーを使用し、ディレクトリサーバを使用しません。また、
Users 領域にサインインしたすべてのユーザに Users ロールを割り当てるというロー
ルマッピング規則が含まれています。11 ページの「ステップ 5: ユーザのアクセシビ
リティの確認」で作成した「testuser1」アカウントは、Users 領域に含まれます。それ
は、このアカウントが System Local 認証サーバに作成されているからです。19 ページ
の「認証サーバを定義する」で作成した「testuser2」アカウントは、Users 領域に含ま
れません。このアカウントは新しい「Test Server」認証サーバに作成しましたが、Users
領域はこの認証サーバを使用していないからです。
デフォルトのユーザ認証領域は、[Users] → [Authentication] ページに表示することが
できます。
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 21
NetScreen Remote Access はじめに
認証領域を定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、[Users] → [Authentication] を選択します。
2.
[User Authentication Realms] ページで、[New] をクリックします。
3.
[New Authentication Realm] ページで、次の操作を実行します。
1.
[Name] フィールドに、
「Test Realm」と入力します。
2.
[Servers] で、[Authentication server] リストから「Test Server」を選択します。
3.
[Save Changes] をクリックします。NetScreen-RA 500 から変更が保存された
ことが通知されるまで待ちます。その後、領域の [Configuration] タブが表示
されます。
4.
[Role Mapping] タブで、[New Rule] をクリックします。
5.
[Role Mapping Rule] ページで、次の操作を実行します。
1.
[Name] フィールドに、
「Test Rule」と入力します。
2.
[Rule: If username...] で、値のフィールドに「testuser2」と入力します。
3.
[...then assign these roles] の [Available Roles] フィールドで「Test Role」を選
択し、[Add] をクリックします。すると、
「Test Role」が [Selected Roles] フィー
ルドに移動します。
4.
[Save Changes] をクリックします。
上記のステップを完了すると、認証領域の作成が終了します。この領域は、Test Server
を使用してユーザを認証し、ロールマッピング規則を使用して「testuser2」に Test Role
を割り当てます。Test Role には Test NC Access リソースポリシーが適用されるため、
このロールを割り当てられているユーザは、ポリシーの [Resources] フィールドで指
定された企業 Web サーバにアクセスできません。
22

NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
図 14: [Users] → [Authentication] → [New Realm]
図 15: [Users] → [Authentication] → [Test Server] → [New Rule]
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 23
NetScreen Remote Access はじめに
サインインポリシーを定義する
「サインインポリシー」は、次のことを指定するシステム規則です。

ユーザが NetScreen-RA 500 へのサインインに使用する URL

ユーザに表示するサインインページ

NetScreen-RA 500 が証明書を送信する認証領域を、ユーザが入力または選択する
必要があるかどうか

サインインポリシーを適用する認証領域
NetScreen-RA 500 には、ユーザに適用するサインインポリシーがあらかじめ設定され
ています。このデフォルトのユーザサインインポリシー (*/) は、ユーザが
NetScreen-RA 500 の URL を入力すると、NetScreen-RA 500 がデフォルトのサインイ
ンページを表示して、認証領域を選択するようユーザに要求することを指定します
( 複数の領域が存在する場合 )。*/ サインインポリシーは、Users 認証領域に適用され
るように設定されているため、21 ページの「認証領域を定義する」で作成した認証領
域には適用されません。
デフォルトのユーザサインインポリシーは、[System] → [Signing In] → [Sign-in
Policies] ページに表示することができます。
デフォルトのサインインポリシーは、すべてのユーザに適用されます。「*/employees」
のようなパスを追加することで、NetScreen-RA 500 ユーザサインインページの URL を
変更できます。
サインインポリシーを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、[System] → [Signing In] → [Sign-in Policies] を選択
します。
2.
[Sign-in Policies] ページで、[*/] をクリックします。
3.
[*/] ページで、次の操作を実行します。
1.
[Sign-in URL] フィールドで、
「*/」の後に「test」を入力します。
2.
[Authentication realm] で、[User picks from a list of authentication realms] を
選択し、[Available Roles] フィールドで「Test Realm」を選択してから、[Add]
をクリックします。すると、
「Test Realm」が [Selected Roles] フィールドに移
動します (Users ロールがまだ [Selected Roles] フィールドにない場合は、
Users ロールに対してこの処理を繰り返します )。
3.
[Save Changes] をクリックします。
上記のステップを完了すると、デフォルトのユーザサインインポリシーの修正が終
了します。

NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
オプション
1. [System] → [Signing In] → [Sign-in Pages] を選択し、[New Page] をクリックします。
2.
[New Sign-In Page] ページで、[Name] フィールドに「Test Sign-in Page」と入力し、
[Background color] フィールドに「#FF0000」( 赤 ) と入力して [Save Changes] を
クリックします。
3.
[System] → [Signing In] → [Sign-in Policies] を選択し、[User URLs] で [*/test/] を
クリックします。
4.
[*/test/] ページで、[Sign-in page] リストから「Test Sign-in Page」を選択し、[Save
Changes] をクリックします。
このオプションのステップを完了すると、
「*/test/」サインインポリシーに関連付けら
れた新しいサインインページの定義が終了します。
図 16: [System] → [Signing In] → [Sign-in Policies] → [*/]
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 25
NetScreen Remote Access はじめに
図 17: [System] → [Signing In] → [Sign-in Pages] → [New Page] －オプションの新しいサ
インインページ
図 18: [System] → [Signing In] → [Sign-in Policies] → [*/test/] －新しいサインインページ
の使用
テストシナリオを使用する
テストシナリオでは、次の操作を実行できます。

修正したデフォルトのサインインポリシーを使用して、ユーザの Web コンソー
ルにアクセスする。

Test Server に作成されたユーザとして、Test Realm にサインインする。

Web サーバアクセス機能をテストする。これは、Test Role および Test NC Access
が正しく設定されていることに依存します。
テストシナリオを使用するには、次の操作を実行します。
1.
26

ブラウザで、マシンの URL に続けて「/test」と入力し、ユーザのサインインペー
ジにアクセスします。URL の形式は、https://a.b.c.d/test です。a.b.c.d は、ス
テップ 2-4 で入力したマシンの IP アドレスです。セキュリティの警告によって、
署名された証明書なしで処理を続行するかどうかを尋ねられた場合は、[Yes] をク
リックします。ユーザのサインインページが表示されたら、NetScreen-RA 500 ア
プライアンスに正常に接続しています。
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
図 19: ユーザ用サインインページ
24 ページの「サインインポリシーを定義する」でオプションの設定手順を
実行した場合、ヘッダの色は赤です。
2.
サインインページで、Test Server に作成したユーザアカウントの「testuser2」と
パスワードを入力し、[Realm] リストから「Test Realm」を選択します。次に [Sign
In] をクリックし、
ユーザ用の NetScreen-RA 500 ホームページにアクセスします。
NetScreen-RA 500 は、Test Realm に証明書を転送します。Test Realm は、Test Server
を使用するよう設定されています。この認証サーバによって正しく検証される
と、NetScreen-RA 500 は、Test Realm に定義されたロールマッピング規則を処理
します。これにより、
「testuser2」に Test Role が割り当てられます。Test Role では、
17 ページの「リソースポリシーを定義する」のネットワークコネクトのアクセ
スコントロールリソースポリシーで特定した企業 Web サーバにアクセスするこ
とはできません。
図 20: ユーザホームページ
3.
システムトレイのネットワークコネクトアイコンをクリックして、[Network
Connect Status] ウィンドウを開きます ( 表示されていない場合 ) 。
図 21: ネットワークコネクトシステムトレイアイコンとステータスウィンドウ
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成 27
NetScreen Remote Access はじめに
4.
他のブラウザで、ネットワークコネクトのアクセスコントロールリソースポリ
シーで特定した企業 Web サーバの URL を入力して、[Browse] をクリックします。
[Network Connect Status] ウィンドウの [Sent] のバイト数が変化し、ネットワーク
コネクトが Web 要求に対応していることが表示されます。Test NC Access ポリ
シーが要求されたサーバへのアクセスを拒否するため、ブラウザはやがて「The
page cannot be displayed」エラーを表示します。
5.
NetScreen-RA 500 ホームページに戻って、[Sign Out] をクリックします、
6.
ブラウザで、NetScreen-RA 500 マシンの URL に続けて「/test」と入力し、ユーザ
のサインインページに再度アクセスします。
7.
サインインページで、「testuser1」と、このユーザ用に作成したパスワード
(11 ページの「ステップ 5: ユーザのアクセシビリティの確認」) を入力し、
[Realm] リストから「Users」を選択します。次に [Sign In] をクリックし、ユー
ザ用の NetScreen-RA 500 ホームページにアクセスします。
8.
システムトレイのネットワークコネクトアイコンをクリックして、[Network
Connect Status] ウィンドウを開きます ( 表示されていない場合 ) 。
9.
他のブラウザで、ネットワークコネクトのアクセスコントロールリソースポリ
シーで特定した企業 Web サーバの URL を入力して、[Browse] をクリックします。
[Network Connect Status] ウィンドウの [Sent] のバイト数が変化し、ネットワーク
コネクトが Web 要求に対応していることが表示されます。Test NC Access ポリ
シーが testuser1 に適用されないので、要求した Web ページがブラウザに表示され
ます。
テストシナリオでは、NetScreen-RA 500 の基本的なアクセス管理の特性を示していま
す。アクセス管理の特性や、NetScreen-RA 500 のエンドポイントのセキュリティの詳
細については、オンラインヘルプの参照をお勧めします。
28

NetScreen-RA 500 を自社用に設定するときには、ここで説明した順序でユーザ
アクセス設定を行うことをお勧めします。

詳細な設定情報については、オンラインヘルプまたは『管理ガイド』の PDF を
参照してください。
『管理ガイド』の PDF は、サポートサイトから入手できます。

外部から NetScreen-RA 500 にアクセス可能にする場合は、その前に、信頼でき
る認証局 (CA) から署名付き電子証明書をインポートすることをお勧めします。
NetScreen-RA 500 の概念とベストプラクティスを理解するためのテストシナリオの作成
NetScreen Remote Access はじめに
管理者のデフォルト設定
NetScreen-RA 500 は、ユーザと同様に、管理者用のアカウントを素早く設定するため
のデフォルト設定を提供しています。以下に、管理者のシステムデフォルト設定を要
約します。

管理者ロール

.Administrators －この組み込みロールは、管理者が NetScreen-RA 500 のあら
ゆる側面を管理することを許可します。シリアルコンソールで作成した管理
者ユーザには、このロールが割り当てられます。

.Read-Only Administrators －この組み込みロールは、ロールを割り当てられ
ているユーザが、すべての NetScreen-RA 500 設定を参照することを許可しま
す ( ただし、設定はできません )。管理者のアクセスを制限したい場合は、こ
のロールを割り当てる必要があります。

Administrators ローカル認証サーバ－ Administrators 認証サーバは、管理者アカ
ウントを保存する NetScreen-RA 500 データベースです。最初の管理者アカウント
は、シリアルコンソールを通じてこのサーバに作成します (NetScreen-RA 500 は、
シリアルコンソールを通じて作成した管理者アカウントをすべてこのサーバに
追加します )。このローカルサーバを削除することはできません。

Admin Users 認証領域－ Admin Users 認証領域は、デフォルトの Administrators 認
証サーバと、
パスワード最低文字数 4 文字を要求する認証ポリシーを使用し、ディ
レクトリサーバを使用しません。また、Admin Users 領域にサインインしたすべ
てのユーザに .Administrators ロールを割り当てるというロールマッピング規則が
含まれています。シリアルコンソールで作成した管理者アカウントは、Admin
Users 領域に含まれます。

*/admin サインインポリシー－デフォルトの管理者サインインポリシー
(*/admin) は、ユーザが NetScreen-RA 500 の URL に続けて「/admin」を入力した
ときに、NetScreen-RA 500 が、管理者のデフォルトのサインインページを表示す
るように指定します。また、このポリシーは、認証領域を選択するよう管理者に
要求します ( 複数の領域が存在する場合 )。*/admin サインインポリシーは、
Admin
Users 認証領域に適用されるように設定されているため、このサインインポリ
シーは、シリアルコンソールで作成した管理者アカウントに適用されます。
管理者のデフォルト設定

29
NetScreen Remote Access はじめに
30

管理者のデフォルト設定
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
093-1398-000
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
A 1.25" spine would fold here.
A 2.5" spine would fold here.
NetScreen Secure Access
NetScreen Secure Access FIPS
Quick Start
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net