RIGHT:[[覚え書き]]
*-管理者パスワード変更 [#f83a536f]
「AAA Servers」->「Administrators」をクリック ->「Users」タブをクリック ->「Admin」をクリック
*管理アドレスの範囲変更 [#bc3bdbfa]
「Administrators」 ->「Admin Realms」 -> 「1. Admin Users」
~->「Authentication Policy」タブ ->「Source IP」タブ
*セッションの最大継続時間 [#td28419b]
「Users」->「User Roles」->「1. Users」->「General」タブをクリック ->「Session Options」をクリック
Session Lifetime のところで
「Max. Session Length:」の値を変更すればいい.
*接続先アドレスの変更(クライアント側のルーティング) [#n9a58eef]
「Users」->「Resource Policies」->「Network Connect」->
「Split Tunneling Networks」タブをクリック ->「XXX-SA-Split」をクリック ->「General」タブ
Resources のところで,ルーティングの情報を追加する.
*同じく Porxy 変更(あまり効き目はない?) [#p39125c2]
「Users」->「Resource Policies」->「Network Connect」->
「Split Tunneling Networks」タブをクリック ->「XXX-SA-Split」をクリック ->
「Proxy」タブ
Network Connect proxy server configuration
のところで,適宜設定する.
*クライアント側の DNS サーバ検索順変更 [#sad2a5f2]
「Users」->「Resource Policies」->「Network Connect」->「Network Connect Connection Profiles」
profile 選択
「DNS」->「DNS search order」
*Radius サーバの設定変更 [#q43fe922]
「AAA Servers」 ->「FreeRadius-XXX」をクリック
*クライアント側で Split Tunneling を使うか [#g9fd6f4f]
「Users」->「User Roles」->「1. Users」(適用する Role を選択)->
「Network Connect」
Split Tunneling Options で
-Disable Split Tunneling
を選択する.
クライアントからのネットワークトラフィックは
すべてNetwork Connect トンネル経由で送信される.
----
*バージョンアップ [#x1062f21]
1. 設定バックアップ
Maintenance -> Import/Export -> Import/Export Configuration
2. ログバックアップ削除
System -> Log/Monitoring
->Save Log As
->Clear Log
3. ファームアップデート
Maintenance -> System -> Upgrade/Downgrade
----
*Network Connect を単体でダウンロード [#z9db22d4]
SA の管理画面から Network Connect を単体でダウンロードできる.
「Maintenance」->「System」->「Installers」
----
*クライアント証明書を使って認証する [#g532ec06]
**共通の設定 [#veb6b891]
クライアント証明書を発行した認証局のroot証明書をJuniper SA にインストール
1.[System] -> [Configration] -> [Certificates] -> [Trusted Client CAs]
2.[Import CA Certificate]をクリック
3.[参照]をクリックしroot証明書を選択し[Import Certificate]をクリック
4.CRLチェックを行う場合には,[Client certificate status checking]を認証局に合わせて設定
**RADIUS+クライアント証明書で認証する場合 [#a190b0c2]
Realmでクライアント証明書を必須に設定
1.当該Realmの[Authentication Policy] -> [Certificate]
2.[Only allow users with a client-side certificate signed by Trusted Client CAs to sign in.]を
選択し[Save Changes]をクリック
**クライアント証明書のみで認証 [#m6a93c35]
認証サーバを新たに設定
1.[Authentication] -> [AAA Servers]
2.プルダウンメニューで[Certificate Server]を選択し[New Server]をクリック
3.[Name]に任意の名前を入力し[Save Changes]をクリックします。
[User Name Template]は,使用する証明書でユーザ名が CNでない場合には
その証明書に合わせて設定を変更すること
Realmの認証サーバを変更
1.当該Realmの[Authentication Policy] -> [General]
2.[Authentication]を先に作成した[Certificate Server]に変更し[Save changes]をクリック
Role Mappingについては,ユーザ名で条件付けするかクライアント証明書
のパラメータを元に条件付けするかのどちらか.
ユーザ名については,クライアント証明書より自動的に取得される.
**クライアント証明書で認証+RADIUS パスワード [#p5a0f847]
[Users]-> Authentication]->[Users]->[General]で
「Additional authenticaion server」の項目を
Authentication #2: RADIUS サーバ
Username is : predefined as: <USER>
Password is : specified by user on sign in page
[v] End session if authentication against this server fails
としておけば,
クライアント証明書での認証後,CN 属性に設定されているユーザ名の
パスワードを聞かれるようになる.
![[PukiWiki]](image/alfa.png "[PukiWiki]")
