Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação de usuário externo usando RADIUS

RESUMO Essa configuração é mais segura, pois permite que você use o mesmo nome de usuário e senha do login do domínio, além de alterar ou recuperar suas credenciais sem interagir com o administrador do firewall. Ele também adiciona menos carga de trabalho ao administrador, pois a senha deve ser mudada com frequência. Recomendamos que você use essa configuração para autenticar o usuário.

Acreditamos que você tenha completado a configuração básica de seus dispositivos da Série SRX, incluindo interfaces, zonas e políticas de segurança, conforme ilustrado no Cenário de Implantação para Juniper Secure Connect.

Para obter informações sobre pré-requisitos, consulte Requisitos do sistema.

Nota:

Você deve garantir que o dispositivo da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado gerado pelo sistema padrão. Antes de começar a Juniper Secure Connect, é importante ler as instruções nos pré-requisitos para a implantação de Juniper Secure Connect.

Configurar configurações Juniper Secure Connect VPN

Para configurar configurações de VPN usando a interface J-Web:

  1. Faça login em seu dispositivo da Série SRX usando a interface J-Web. A Figura 1 mostra a página de login J-Web.
    Figura 1: Acesso e login J-Web Access and Login J-Web

    Depois de fazer login com sucesso, você aterra na página Configurações básicas. A Figura 2 mostra um exemplo da página inicial.

    Figura 2: Página inicial da J-Web J-Web Landing Page
  2. No painel lateral J-Web, navegar até Network > VPN > IPsec VPN.
    1. Depois de clicar em IPsec VPN, aparece a página de VPN do IPsec. A Figura 3 mostra um exemplo da página de VPN do IPsec .

      Figura 3: Página de VPN IPsec VPN Page do IPsec
    2. No canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect criar a configuração IPsec VPN para Juniper Secure Connect.

      A mensagem de aviso a seguir aparece:

      Figura 4: mensagem de aviso para gerar e vincular um certificado auto-assinado Warning Message To Generate And Bind Self-signed Certificate

      Como mencionado na mensagem de aviso, crie um certificado auto-assinado e vincular o certificado ao dispositivo da Série SRX. Para obter mais informações, consulte Preparar a Juniper Secure Connect configuração.

      Para obter informações detalhadas sobre a criação de uma VPN de acesso remoto, consulte Crie uma VPN de acesso remoto — Juniper Secure Connect.

    3. Navegar novamente até a VPN > network > IPsec e , no canto direito da página, selecione Criar VPN > Remote Access > Juniper Secure Connect para criar a configuração IPsec VPN para Juniper Secure Connect. A página Criar acesso remoto (Juniper Secure Connect) aparece. A Figura 5 mostra um exemplo para criar VPN de acesso remoto.

      Figura 5: crie VPN - Acesso remoto Create VPN - Remote Access

      A Figura 6 mostra um exemplo da página de acesso remoto criar com o método de autenticação de chaves pré-compartilhado.

      Figura 6: crie uma página de acesso remoto para o método de autenticação de chaves pré-compartilhado Create Remote Access Page For Pre-shared Key Authentication Method
  3. Na página Criar acesso remoto (Juniper Secure Connect) (consulte a Figura 7):
    1. Insira o nome da conexão de acesso remoto (ou seja, o nome que será exibido no nome do reino dos usuários finais no Juniper Secure Connect aplicativo) e uma descrição.

    2. O modo de roteamento é definido como Seletor de tráfego (Inserção automática da rota) por padrão.

    3. Selecione o método de autenticação. Neste exemplo, selecione a chave pré-compartilhada no menu drop-down.

    4. Selecione Sim para criar a política de firewall automaticamente usando a opção Auto-Create Firewall Policy .

    Figura 7: crie uma página de acesso remoto Create Remote Access Page
  4. Clique no ícone do usuário remoto para configurar as Juniper Secure Connect de aplicativos.
    Figura 8: Página do usuário remota Remote User Page

    A Figura 8 mostra um exemplo da página do usuário remoto.

    Configure o cliente do usuário remoto selecionando as opções na página do usuário remoto e clicando em OK :

    A Tabela 1 sintetiza as opções de configuração do usuário remoto.

    Tabela 1: Opções de configurações remotas do cliente do usuário

    Configurações do cliente do usuário remoto

    Descrição

    Perfil padrão

    O perfil padrão é ativado por padrão. Caso não queira que esse perfil seja o perfil padrão, clique no botão toggle.

    Se você habilitar o perfil padrão do perfil de conexão VPN, Juniper Secure Connect selecionar automaticamente o perfil padrão como nome do reino (neste exemplo: https://12.12.12.12/). Nesse caso, é opcional inserir o nome do reino em Juniper Secure Connect.

    Se você desativar o perfil padrão do perfil de conexão VPN, você deve inserir o nome do reino junto com o endereço de gateway (neste exemplo: https://12.12.12.12/JUNIPER_SECURE_CONNECT) no Juniper Secure Connect.

    Modo de conexão

    Para estabelecer a conexão do cliente manualmente ou automaticamente, selecione a opção adequada.

    • Se você selecionar Manual e, em seguida, na aplicação Juniper Secure Connect, para estabelecer uma conexão, você deve clicar no botão de alternar ou selecionar Conexão > conectar no menu.

    • Se você selecionar Sempre, Juniper Secure Connect estabelecer automaticamente a conexão.

    Limitação conhecida:

    Dispositivo Android: se você usar ou selecionar Sempre, a configuração será baixada do primeiro dispositivo SRX usado. Se a primeira configuração do SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada no Juniper Secure Connect aplicativo.

    Isso significa que, uma vez que você se conecta no modo Sempre usando o dispositivo Android, quaisquer alterações de configuração no dispositivo SRX não surtim efeito sobre Juniper Secure Connect.

    SSL VPN

    Para habilitar o suporte para a conexão de VPN SSL desde a aplicação Juniper Secure Connect até os dispositivos da Série SRX, clique no botão toggle. Use essa opção quando as portas IPsec não são permitidas. Ao ativar a VPN SSL, o cliente tem a flexibilidade de conectar os dispositivos da Série SRX. Por padrão, a VPN de SSL está habilitada.

    Autenticação biométrica

    Essa opção é desabilitada por padrão. Se você habilitar essa opção, ao clicar em conectar na Juniper Secure Connect, Juniper Secure Connect exibirá uma solicitação de autenticação.

    Essa opção permite ao usuário proteger suas credenciais usando o suporte de autenticação biométrica integrado do sistema operacional.

    Detecção de peers mortos

    O DPD (Dead Peer Detection, Detecção de colegas mortos) é habilitado por padrão para permitir que o cliente detecte se o dispositivo da Série SRX não é alcançável, desative a conexão até que a capacidade de alcance seja restabelecida.

    Windows Logon

    Essa opção permite aos usuários fazer logon no sistema Windows local por meio de um túnel VPN já estabelecido (usando a pré-logon do Windows), para que ele seja autenticado no domínio central do Windows ou no Active Directory.

  5. Clique em Gateway Local para configurar as configurações do Gateway Local.

    A Figura 9 mostra um exemplo das configurações de gateway locais.

    Figura 9: Configuração de gateway local Local Gateway Configuration
    1. Se você habilitar o Gateway NAT, uma caixa de texto será exibida. Na caixa de texto, insira o endereço NAT IP. Temos suporte apenas para endereços IPv4. NAT endereço é o endereço externo.

    2. Insira uma IKE ID em user@hostname.com formato. Por exemplo, abc@xyz.com.

    3. No campo Interface Externa , selecione o endereço IP para os clientes se conectarem. Você deve inserir este mesmo endereço IP (neste exemplo: https://12.12.12.12/) para o campo Gateway Address no Juniper Secure Connect aplicativo.

      Se você habilitar o Gateway está NAT, o endereço IP NAT torna-se o endereço de gateway.

    4. Na lista drop-down da Interface do Túnel, selecione uma interface para a vincular à VPN baseada em roteamento. Como alternativa, clique em Adicionar. Se você clicar em Adicionar, a página Criar interface do túnel será exibida.

      A Figura 10 mostra um exemplo da página Criar interface de túnel.

      Figura 10: crie a página da interface do túnel Create Tunnel Interface Page

      O próximo número de interface lógica ST0 disponível é exibido no campo Da Unidade de Interface e você pode inserir uma descrição desta interface. Selecione a zona para adicionar essa interface de túnel. Se a política de criação automática de firewall (na página Criar acesso remoto) for definida como Sim, a política de firewall usa essa zona. Clique em OK.

    5. Insira a chave pré-compartilhada em formato ASCII ou hexadecimal.

    6. Na lista drop-down da Autenticação de usuário, selecione um perfil de acesso existente ou clique em Adicionar para criar um novo perfil de acesso. Se você clicar em Adicionar, a página Criar perfil de acesso será exibida.

      A Figura 11 mostra um exemplo da página Criar perfil de acesso.

      Figura 11: crie uma página de perfil de acesso Create Access Profile Page

      Insira o nome do perfil de acesso. Na lista de cessão de endereços, selecione um pool de endereços ou clique em Criar pool de endereços. Se você clicar em Criar pool de endereços, a página Criar pool de endereços será exibida.

      A janela Criar pool de endereços aparece.

      A Figura 12 mostra um exemplo da página Criar pool de endereços.

      Figura 12: crie a página do pool de endereços Create Address Pool Page
      • Insira os detalhes do pool de IP local que está na política de VPN para os clientes. Insira um nome para o pool de endereços IP.

      • Insira o endereço de rede que você usa para a atribuição de endereços.

      • Insira o endereço do servidor de DNS. Insira detalhes do servidor WINS, se necessário. Clique no ícone adicionar (+) para criar o intervalo de endereços para designar endereços IP aos clientes.

      • Insira o nome e os limites inferiores e superiores. Depois de inserir os detalhes, clique em OK.

      Selecione a RADIUS de seleção de dados, na qual todos os detalhes da autenticação são armazenados em um servidor de raio externo.

      • Clique no ícone de adicionar (+) para configurar os detalhes do servidor do raio. Veja a Figura 13.

        Figura 13: crie uma RADIUS servidor Create RADIUS Server Page
      • Insira o endereço IP do Radius Server, o segredo do raio e o endereço de origem para as comunicações de raio a serem fonte. Clique em OK.

        Na Ordem de autenticação, a partir da lista drop-down order 1 selecione RADIUS. Clique em OK para completar a configuração do perfil de acesso.

        A Figura 14 mostra um exemplo da página Criar perfil de acesso.

        Figura 14: crie uma página de perfil de acesso Create Access Profile Page
    7. Na lista de seleção do perfil de VPN SSL , selecione um perfil existente ou clique em Adicionar para criar um novo perfil de VPN SSL. Se você clicar em Adicionar, a página Adicionar perfil de VPN SSL será exibida.

      A Figura 15 mostra um exemplo da página Adicionar perfil de VPN SSL.

      Figura 15: adicionar página de perfil de VPN Add SSL VPN Profile Page SSL

      Na página Add SSL VPN Profile , você pode configurar o perfil de VPN SSL. Insira o nome do perfil de VPN SSL no campo Nome e ative o registro usando a alternância, se necessário. No campo Perfil de rescisão de SSL , selecione o perfil de rescisão de SSL na lista dropdown. O cancelamento de SSL é um processo em que os dispositivos da Série SRX agem como um servidor proxy SSL e terminam a sessão de SSL do cliente. Para criar um novo perfil de rescisão de SSL, clique em Adicionar. A página Criar perfil de rescisão de SSL é exibida.

      A Figura 16 mostra um exemplo da página Criar perfil de terminação de SSL.

      Figura 16: crie a página do perfil de rescisão da SSL Create SSL Termination Profile Page
      • Insira o nome do perfil de rescisão de SSL e selecione o certificado de servidor usado para a rescisão de SSL nos dispositivos da Série SRX. Clique em Adicionar para adicionar um novo certificado de servidor ou clicar em Importar para importar o certificado do servidor. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.

      • Clique em OK.

    8. A opção De NAT de tráfego de origem está ativada por padrão. Quando o tráfego NAT de origem está ativado, todo o tráfego da Juniper Secure Connect aplicativo é NATed até a interface selecionada por padrão. Clique no botão de alternar para desativar a opção De origem NAT tráfego . Caso a opção seja desabilitada, você deve garantir que você tenha uma rota da sua rede indicando os dispositivos da Série SRX para tratar o tráfego de devolução corretamente.

    9. Em Redes Protegidas, clique no ícone adicionar (+) para selecionar as redes às Juniper Secure Connect aplicativos que podem se conectar.

      A Figura 17 mostra um exemplo da página Criar redes protegidas .

      Figura 17: crie uma página de redes protegidas Create Protected Networks Page

      Por padrão, qualquer rede 0.0.0.0/0 é permitida. Se você configurar uma rede específica, o tunelamento dividido para Juniper Secure Connect aplicativo está ativado. Se você manter o valor padrão, você pode restringir o acesso às suas redes definidas ajustando a política de firewall da rede do cliente. Clique em OK, e as redes selecionadas agora estão na lista de redes protegidas. Clique em OK para completar a configuração do gateway local.

      A Figura 18 mostra um exemplo de conclusão bem-sucedida da configuração de acesso remoto com o usuário remoto e o gateway local.

      Figura 18: Configuração completa de acesso remoto Complete Remote Access Configuration

      IKE configurações e configurações IPsec são opções avançadas. J-Web já está configurado com valores padrão para os parâmetros IKE e IPsec. Não é obrigatório configurar essas configurações.

  6. Agora você pode encontrar a URL para que os usuários remotos se conectem. Copie e armazene essa URL para compartilhamento com seus usuários remotos. Você só precisa das informações /xxxx se essa configuração não for o seu perfil padrão.

    A Figura 19 destaca a URL que o usuário remoto deve inserir no campo de endereços gateway no Juniper Secure Connect aplicativo para estabelecer conexão de acesso remoto.

    Figura 19: compromete a configuração de acesso remoto Commit Remote Access Configuration
    1. Clique em Salvar para concluir a configuração Juniper Secure Connect VPN e a política associada se tiver selecionado a opção de criação de política automática.

    2. Clique no botão Commit realçamentado (na parte superior direita da página ao lado do botão de feedback) para comprometer a configuração.

Baixe e instale Juniper Secure Connect aplicativo na máquina do cliente. Lance Juniper Secure Connect e conecte-se ao endereço de gateway do dispositivo da Série SRX. Consulte Juniper Secure Connect Guia do usuário para obter mais detalhes.