クライアントグループの設定

複数のファイアウォールユーザーを管理するには、ユーザーまたはクライアントグループを作成し、情報を保存します。

ファイアウォール認証用のクライアントグループについて

多数のファイアウォールユーザーを管理するには、ユーザーグループまたはクライアントグループを作成し、その情報をローカルのジュニパーネットワークスデバイスまたは外部のRADIUSまたはLDAPサーバーに保存します。

クライアントグループは、クライアントが属するグループのリストです。クライアントアイドルタイムアウトと同様に、クライアントグループは、外部認証サーバーが応答で値を返さない場合にのみ使用されます。(たとえば、LDAP サーバーはそのような情報を返しません)。

RADIUS サーバーは、Juniper VSA (46) を使用して、クライアントのグループ情報をジュニパーネットワークスデバイスに送信します。ポリシーのクライアント一致部分は、クライアントが属するユーザー名またはグループ名のいずれかの文字列を受け入れます。

異なる種類のクライアント (管理者を除く) に対して 1 つのデータベースを使用する理由は、1 つのクライアントが複数の種類になる可能性があるという前提に基づいています。たとえば、ファイアウォールユーザークライアントは L2TP クライアントになることもできます。

例:クライアントグループのローカルユーザの設定

この例では、プロファイル内のクライアントグループのローカルユーザを設定する方法を示します。

要件
概要
構成
検証

要件

開始する前に、アクセスプロファイルを作成します。

概要

クライアントグループは、クライアントが属するグループのリストです。クライアントアイドルタイムアウトと同様に、クライアントグループは、外部認証サーバーが応答で値を返さない場合(たとえば、LDAPサーバーがそのような情報を返さない場合)にのみ使用されます。

この例では、ManagersというプロファイルでクライアントグループG1、G2、およびG3に対してClient-1と呼ばれるローカルユーザを設定する方法を示しています。この例では、クライアントに対してクライアントグループが設定されています。クライアントに対してクライアントグループが定義されていない場合は、階層の下 access profile session-options にあるクライアントグループが使用されます。

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードからを入力してください commit 。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

プロファイル内のクライアントグループのローカルユーザーを設定するには:

ファイアウォールユーザープロファイル Manager を設定し、クライアントグループを割り当てます。

セッションオプションでクライアントグループを設定します。

結果

設定モードからコマンドを入力し、 show access profile Managers 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードからを入力します commit 。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ログを使用したトラブルシューティング

目的
アクション

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

このページの目次