「AAA Servers」->「Administrators」をクリック ->「Users」タブをクリック ->「Admin」をクリック
「Administrators」 ->「Admin Realms」 -> 「1. Admin Users」
->「Authentication Policy」タブ ->「Source IP」タブ
「Users」->「User Roles」->「1. Users」->「General」タブをクリック ->「Session Options」をクリック
Session Lifetime のところで 「Max. Session Length:」の値を変更すればいい.
「Users」->「Resource Policies」->「Network Connect」-> 「Split Tunneling Networks」タブをクリック ->「XXX-SA-Split」をクリック ->「General」タブ
Resources のところで,ルーティングの情報を追加する.
「Users」->「Resource Policies」->「Network Connect」-> 「Split Tunneling Networks」タブをクリック ->「XXX-SA-Split」をクリック -> 「Proxy」タブ
Network Connect proxy server configuration のところで,適宜設定する.
「Users」->「Resource Policies」->「Network Connect」->「Network Connect Connection Profiles」
profile 選択
「DNS」->「DNS search order」
「AAA Servers」 ->「FreeRadius-XXX」をクリック
「Users」->「User Roles」->「1. Users」(適用する Role を選択)-> 「Network Connect」
Split Tunneling Options で
を選択する.
クライアントからのネットワークトラフィックは すべてNetwork Connect トンネル経由で送信される.
1. 設定バックアップ Maintenance -> Import/Export -> Import/Export Configuration
2. ログバックアップ削除 System -> Log/Monitoring
->Save Log As ->Clear Log
3. ファームアップデート Maintenance -> System -> Upgrade/Downgrade
SA の管理画面から Network Connect を単体でダウンロードできる.
「Maintenance」->「System」->「Installers」
クライアント証明書を発行した認証局のroot証明書をJuniper SA にインストール
1.[System] -> [Configration] -> [Certificates] -> [Trusted Client CAs]
2.[Import CA Certificate]をクリック
3.[参照]をクリックしroot証明書を選択し[Import Certificate]をクリック
4.CRLチェックを行う場合には,[Client certificate status checking]を認証局に合わせて設定
Realmでクライアント証明書を必須に設定
1.当該Realmの[Authentication Policy] -> [Certificate]
2.[Only allow users with a client-side certificate signed by Trusted Client CAs to sign in.]を 選択し[Save Changes]をクリック
認証サーバを新たに設定
1.[Authentication] -> [AAA Servers]
2.プルダウンメニューで[Certificate Server]を選択し[New Server]をクリック
3.[Name]に任意の名前を入力し[Save Changes]をクリックします。
[User Name Template]は,使用する証明書でユーザ名が CNでない場合には その証明書に合わせて設定を変更すること
Realmの認証サーバを変更
1.当該Realmの[Authentication Policy] -> [General]
2.[Authentication]を先に作成した[Certificate Server]に変更し[Save changes]をクリック
Role Mappingについては,ユーザ名で条件付けするかクライアント証明書 のパラメータを元に条件付けするかのどちらか.
ユーザ名については,クライアント証明書より自動的に取得される.
[Users]-> Authentication]->[Users]->[General]で 「Additional authenticaion server」の項目を
Authentication #2: RADIUS サーバ Username is : predefined as: <USER> Password is : specified by user on sign in page [v] End session if authentication against this server fails
としておけば, クライアント証明書での認証後,CN 属性に設定されているユーザ名の パスワードを聞かれるようになる.