Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: configurar a autenticação LDAP para o Juniper Secure Connect (procedimento de CLI)

Visão geral

O LDAP ajuda na autenticação dos usuários. Você pode definir um ou mais grupos LDAP e usar um pool de IP local específico para atribuição de endereços com base na associação de grupos quando você usa o LDAP como uma opção de autenticação. Se você não especificar o pool ip local por grupo, o Junos OS atribui um endereço IP do pool IP local configurado no perfil de acesso.

Para configurar grupos de usuários, inclua a allowed-groups declaração no nível [edit access ldap-options] de hierarquia. Esses nomes de grupo combinam com os nomes do seu diretório LDAP.

Considere os seguintes grupos LDAP, como grupo1, group2 e group3. Você pode designar o grupo1 para abordar o pool Juniper_Secure_Connect_Addr-Pool. Você pode atribuir o grupo2 ao pool de endereços poolB. Você pode atribuir o grupo3 ao pool de endereços PoolC.

  1. O User1 pertence ao grupo1. O grupo do User1 combina com um dos grupos configurados, o User1 é autenticado. Com base na associação do grupo, o sistema atribui o endereço IP ao User1 a partir do pool de endereços seguinte Juniper_Secure_Connect_Addr Pool.

  2. O user2 pertence ao grupo2. O grupo do User2 combina com um dos grupos configurados, o User2 é autenticado. Com base na associação do grupo, o sistema atribui o endereço IP ao Usuário2 a partir do pool de endereços seguinte.

  3. O User3 pertence ao grupo3. O grupo do User3 combina com um dos grupos configurados, o User3 é autenticado. Com base na associação do grupo, o sistema atribui o endereço IP ao User3 a partir do pool de endereços seguinte.

  4. O grupo do User4 não combina com nenhum dos grupos configurados.

A Tabela 1 descreve a resposta do servidor LDAP quando ela ldap-options está configurada no nível de acesso global e dentro do perfil de acesso. A prioridade da configuração de perfil é maior do que a configuração global.

LDAP
Tabela 1: grupos de acesso LDAP em nível global e dentro do perfil de acesso
Servidorde grupo configurado configurado em grupo devolvido grupos Ação do pool de endereços
Usuário1 group1 grupo1, grupo2, grupo3 pool de Juniper_Secure_Connect_Addr Aceitar (Combinar grupos configurados)
Usuário2 group2 grupo1, grupo2, grupo3 poolB Aceitar (Combinar grupos configurados)
Usuário3 grupo3 grupo1, grupo2, grupo3 poolC Aceitar (Combinar grupos configurados)
Usuário4 group4 groupX, groupY, groupZ poolD Rejeitar (sem combinar grupos configurados combinados)
Nota:

Este exemplo usa o LDAP como a opção de autenticação na qual o usuário pertence a um único grupo.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Qualquer firewall da Série SRX

  • Versão do Junos OS 23.1R1

Antes de começar:

Para obter informações sobre pré-requisitos, consulte os requisitos do sistema.

Você deve garantir que o firewall da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado padrão gerado pelo sistema. Antes de começar a configurar o Juniper Secure Connect, você deve vincular o certificado ao firewall da Série SRX executando o seguinte comando:

Por exemplo:

Quando SRX_Certificate é o certificado obtido da CA ou certificado autografado.

Topologia

A figura abaixo mostra a topologia neste exemplo.

Figura 1: Configuração da autenticação LDAP para Juniper Secure Connect

Configuração

Neste exemplo, usamos o LDAP como a opção de autenticação onde o usuário pertence a um único grupo.

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia [edit].

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.

  1. Configure uma ou mais propostas de Troca de Chaves da Internet (IKE) ; e você associa essas propostas a uma política de IKE. Configure opções de gateway IKE.
  2. Configure uma ou mais propostas IPsec; e você associa essas propostas a uma política IPsec. Configure parâmetros de VPN IPsec e seletores de tráfego.
  3. Configure um perfil de acesso remoto e a configuração do cliente.
  4. Especifique o servidor LDAP para pedido de autenticação externa.
  5. Crie um perfil de encerramento de SSL. O encerramento de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL e encerra a sessão SSL do cliente. Digite o nome do perfil de encerramento de SSL e selecione o certificado de servidor que você usa para o encerramento de SSL nos firewalls da Série SRX. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.

    Crie um perfil de VPN SSL. Veja tcp-encap.

  6. Crie políticas de firewall.

    Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.

    Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.

  7. Configure as informações da interface Ethernet.

    Configure a interface st0 com o conjunto familiar como inet.

  8. Configure zonas de segurança.

Resultados

Confira os resultados da configuração:

Certifique-se de que você já tem um certificado de servidor para anexar ao perfil de encerramento do SSL.

Verificação

Para confirmar se a configuração está funcionando corretamente, insira os seguintes comandos de show.

Verifique as informações do IPsec, IKE e grupo

Propósito

Exibir a lista de resultados possíveis com base na resposta do servidor LDAP quando você usar JUNIPER_SECURE_CONNECT perfil de acesso e configurar ldap-options dentro do perfil.

Ação

A partir do modo operacional, insira esses comandos:

Significado

A saída de comando fornece detalhes do grupo combinado.