Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Active Directory ページについて

ごここにいる: セキュリティサービス > ファイアウォール認証 > Active Directory

Active Directory を設定できます。

表 1 では、Active Directory ページのフィールドについて説明します。

表 1: Active Directory ページのフィールド

フィールド

説明
一般的な情報
一般

オンデマンドプローブなし

SRX シリーズ デバイスがアドレスからユーザーへのマッピング情報を取得する代替方法として、ドメイン PC の手動オンデマンドProbingを有効にします。
タイムアウト

認証エントリーのタイムアウト

タイムアウト後にユーザーのエントリーが認証テーブルから削除されないようにするには、タイムアウトを0に設定します。

メモ:

ユーザーがアクティブでなくなった場合、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時刻が立ち上がると、ユーザーの項目が表から削除されます。テーブル内のエントリーは、エントリーに関連するセッションがある限り、アクティブなままになります。

デフォルトの認証エントリーのタイムアウトは30分です。Junos OS リリース 19.2R1 以降、デフォルト値は 60 分です。

タイムアウトを無効にするには、間隔をゼロに設定します。範囲は 10~1440 分です。

WMI タイムアウト

Windows 管理インスツルメンテーション (WMI) または分散コンポーネント オブジェクト モジュール (DCOM) を通じて、ドメイン PC が SRX シリーズ デバイスのクエリに応答する必要がある秒数を入力します。

wmi-timeoutinterval 内でドメイン PC から応答が受信されない場合、プローブは失敗し、システムが無効な認証エントリを作成するか、既存の認証エントリを無効として更新します。プローブされた IP アドレスに対して認証テーブル エントリーが既に存在し、wmi-timeout 間隔内でドメイン PC から応答を受信しなかった場合、プローブは失敗し、そのエントリーはテーブルから削除されます。

範囲は3~120秒です。

無効な認証エントリのタイムアウト

値を入力します。範囲は 10~1440 分です。ユーザーがアクティブでなくなった場合、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時刻が立ち上がると、ユーザーの項目が表から削除されます。

この値が構成されていない場合、Active Directory からのすべての無効な認証エントリでは、デフォルト値が 30 分として使用されます。

範囲は 10~1440 分です。

ファイアウォール認証強制タイムアウト

値を入力します。範囲は 10~1440 分です。これは、ファイアウォール認証のフォールバック時間です。タイムアウト後にユーザーのエントリーが認証テーブルから削除されないようにするには、タイムアウトを0に設定します。

フィルター

含める

[使用可能] 列に IP アドレスを含めるのを有効にします。

[追加] アイコン (+) をクリックして新しい IP アドレスを作成し、監視を含めるか除外するかを選択して追加します。

[削除] アイコンをクリックして新しい IP アドレスを削除し、監視を含めるか除外するかを選択して追加します。

除外

[使用可能] 列から IP アドレスを除外できるようにします。

[追加] アイコン (+) をクリックして新しい IP アドレスを作成し、監視を含めるか除外するかを選択して追加します。

[削除] アイコンをクリックして新しい IP アドレスを削除し、監視を含めるか除外するかを選択して追加します。
ドメイン設定

テスト

[ テスト ] をクリックしてドメイン接続ステータスを確認します。

test:ステータスページが表示され、ステータスが表示されます。

+

[ + ] をクリックしてドメインを追加します。

[ドメインの追加] ページが表示されます。

メモ:

  • Junos OSリリース19.2R1以降、SRX4200、SRX1500、SRX550M、vSRXデバイス、SRX5000およびSRX3000シリーズのデバイスでは、最大2つのドメインで統合ユーザーファイアウォールを設定できます。他の SRX シリーズ デバイスでは、ドメインを 1 つだけ作成できます。

    鉛筆のアイコンを選択してドメインを編集するか、削除アイコンを選択してドメインを削除できます。
一般

ドメイン名

ドメインの名前を入力します。

ドメイン名の範囲は1~64文字です。

Active Directory アカウントのパスワードを入力します。

ユーザー名の範囲は1~64文字です。例:admin

パスワード

Active Directory アカウント名のユーザー名を入力します。

パスワードの範囲は1~128文字です。例:A$BC123
ドメイン コントローラ

ドメイン コントローラ

[追加] アイコン (+) をクリックして、ドメイン コントローラ設定を追加します。

  • ドメイン コントローラ名 — ドメイン コントローラ名を入力します。名前の範囲は 1~64 文字です。

    ドメイン コントローラは最大 10 個まで設定できます。

  • IP アドレス —ドメイン コントローラの IP アドレスを入力します。
ユーザーグループマッピング(LDAP)

ユーザーグループマッピング(LDAP)

追加アイコン(+)をクリックします。

  • IPアドレス—LDAPサーバーのIPアドレスを入力します。アドレスが指定されていない場合、システムは構成済みの Active Directory ドメイン コントローラのいずれかを使用します。

  • ポート—LDAPサーバーのポート番号を入力します。ポート番号が指定されていない場合、プレーンテキストではポート389を使用し、暗号化されたテキストにはポート636を使用します。

    デフォルト値はポート443です。

基本識別名

LDAP 基本識別名(DN)を入力します。

例:DC=例、DC=net

LDAP アカウントのユーザー名を入力します。ユーザー名を指定しない場合、システムは構成済みのドメイン コントローラのユーザー名を使用します。

パスワード

アカウントのパスワードを入力します。パスワードが指定されていない場合、システムは設定されたドメインコントローラのパスワードを使用します。

SSL を使用する

SSL(セキュア ソケット レイヤー)を有効にして、LDAP サーバーとのセキュアな送信を保証します。デフォルトでは無効になっており、パスワードはプレーンテキストで送信されます。

認証アルゴリズム

SRXシリーズデバイスがLDAPサーバーと通信する際に使用するアルゴリズムを指定するには、このオプションを有効にします。デフォルトでは、シンプル(プレーンテキスト)認証モードを設定する場合、シンプルが選択されます。
IP ユーザー マッピング

検出方法(WMI)

IP アドレスとユーザー間マッピングの検出方法を有効にします。

WMI — Windows 管理インスツルメンテーション (WMI) は、ドメイン コント ローラーへのアクセスに使用される検出方法です。このオプションは、内部ホストまたは信頼できるホストに対してのみ有効にする必要があります。

イベント ログ スキャン間隔

SRX シリーズ デバイスがドメイン コントローラでイベント ログをスキャンするスキャン間隔を入力します。範囲は5~60秒です。

デフォルト値は60秒です。

初期イベントログの所要時間

SRX シリーズ デバイスが最初にスキャンするドメイン コントローラー上の最も早いイベント ログの時刻を入力します。このスキャンは、初期導入にのみ適用されます。WMIC とユーザー ID の動作が開始されると、SRX シリーズ デバイスは最新のイベント ログのみをスキャンします。

範囲は1から168時間である。デフォルト値は1時間です。

関連ドキュメント

リリース履歴テーブル
リリース
説明
19.2R1
Junos OS リリース 19.2R1 以降、デフォルト値は 60 分です。
19.2R1
Junos OSリリース19.2R1以降、SRX4200、SRX1500、SRX550M、vSRXデバイス、SRX5000およびSRX3000シリーズのデバイスでは、最大2つのドメインで統合ユーザーファイアウォールを設定できます。他の SRX シリーズ デバイスでは、ドメインを 1 つだけ作成できます。