SecureAccess 覚え書き

覚え書き

-管理者パスワード変更†

「AAA Servers」->「Administrators」をクリック ->「Users」タブをクリック ->「Admin」をクリック

↑

管理アドレスの範囲変更†

「Administrators」 ->「Admin Realms」 -> 「1. Admin Users」

->「Authentication Policy」タブ ->「Source IP」タブ

↑

セッションの最大継続時間†

「Users」->「User Roles」->「1. Users」->「General」タブをクリック ->「Session Options」をクリック

Session Lifetime のところで「Max. Session Length:」の値を変更すればいい．

↑

接続先アドレスの変更(クライアント側のルーティング)†

「Users」->「Resource Policies」->「Network Connect」-> 「Split Tunneling Networks」タブをクリック ->「XXX-SA-Split」をクリック ->「General」タブ

Resources のところで，ルーティングの情報を追加する．

↑

同じく Porxy 変更(あまり効き目はない?)†

「Users」->「Resource Policies」->「Network Connect」-> 「Split Tunneling Networks」タブをクリック ->「XXX-SA-Split」をクリック -> 「Proxy」タブ

Network Connect proxy server configuration のところで，適宜設定する．

↑

クライアント側の DNS サーバ検索順変更†

「Users」->「Resource Policies」->「Network Connect」->「Network Connect Connection Profiles」

profile 選択

「DNS」->「DNS search order」

↑

Radius サーバの設定変更†

「AAA Servers」 ->「FreeRadius-XXX」をクリック

↑

クライアント側で Split Tunneling を使うか†

「Users」->「User Roles」->「1. Users」(適用する Role を選択)-> 「Network Connect」

Split Tunneling Options で

Disable Split Tunneling

を選択する．

クライアントからのネットワークトラフィックはすべてNetwork Connect トンネル経由で送信される．

↑

バージョンアップ†

1. 設定バックアップ Maintenance -> Import/Export -> Import/Export Configuration

2. ログバックアップ削除 System -> Log/Monitoring

->Save Log As
->Clear Log

3. ファームアップデート Maintenance -> System -> Upgrade/Downgrade

↑

Network Connect を単体でダウンロード†

SA の管理画面から Network Connect を単体でダウンロードできる．

「Maintenance」->「System」->「Installers」

↑

クライアント証明書を使って認証する†

↑

共通の設定†

クライアント証明書を発行した認証局のroot証明書をJuniper SA にインストール

1.[System] -> [Configration] -> [Certificates] -> [Trusted Client CAs]

2.[Import CA Certificate]をクリック

3.[参照]をクリックしroot証明書を選択し[Import Certificate]をクリック

4.CRLチェックを行う場合には，[Client certificate status checking]を認証局に合わせて設定

↑

RADIUS+クライアント証明書で認証する場合†

Realmでクライアント証明書を必須に設定

1.当該Realmの[Authentication Policy] -> [Certificate]

2.[Only allow users with a client-side certificate signed by Trusted Client CAs to sign in.]を選択し[Save Changes]をクリック

↑

クライアント証明書のみで認証†

認証サーバを新たに設定

1.[Authentication] -> [AAA Servers]

2.プルダウンメニューで[Certificate Server]を選択し[New Server]をクリック

3.[Name]に任意の名前を入力し[Save Changes]をクリックします。

[User Name Template]は，使用する証明書でユーザ名が CNでない場合にはその証明書に合わせて設定を変更すること

Realmの認証サーバを変更

1.当該Realmの[Authentication Policy] -> [General]

2.[Authentication]を先に作成した[Certificate Server]に変更し[Save changes]をクリック

Role Mappingについては，ユーザ名で条件付けするかクライアント証明書のパラメータを元に条件付けするかのどちらか．

ユーザ名については，クライアント証明書より自動的に取得される．

↑

クライアント証明書で認証+RADIUS パスワード†

[Users]-> Authentication]->[Users]->[General]で「Additional authenticaion server」の項目を

 Authentication #2: RADIUS サーバ
 Username is : predefined as: <USER>
 Password is : specified by user on sign in page
 [v] End session if authentication against this server fails

としておけば，クライアント証明書での認証後，CN 属性に設定されているユーザ名のパスワードを聞かれるようになる．

検索

↑