Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置统一访问控制 (UAC)

了解如何将防火墙配置为在统一访问控制 (UAC) 部署中充当 Junos OS 实施器。

使用 IC 系列 UAC 设备配置 Junos OS 实施器

开始之前:

  1. 通过相关的 Junos OS 安全策略启用 UAC。请参阅 UAC 如何在 Junos OS 环境中工作?

  2. (选答)为对 IC 系列设备的服务器证书签名的证书颁发机构 (证书颁发机构) 创建配置文件,并将证书颁发机构证书导入防火墙。请参阅 示例:手动加载证书颁发机构和本地证书

  3. 通过在 IC 系列设备上设置用户角色、身份验证和授权服务器以及身份验证域来配置用户身份验证和授权。

  4. 在 IC 系列设备上配置资源访问策略,以指定允许或拒绝哪些端点访问受保护的资源。

要将防火墙配置为在 UAC 部署中充当 Junos OS 实施器,从而实施 IC 系列 UAC 设备策略,必须指定防火墙应连接到的 IC 系列设备。

要将防火墙配置为 Junos OS 实施器,请执行以下作:

  1. 指定防火墙应连接的 IC 系列设备。

    • 要指定 IC 系列设备主机名:

    • 要指定 IC 系列设备 IP 地址:

    注意:

    配置对多个 IC 系列设备的访问时,必须单独定义每个设备。例如:

    确保所有 IC 系列设备都是同一群集的成员。
    注意:

    默认情况下,IC 系列设备应选择端口 11123。

  2. 指定 IC 系列设备应连接到的 Junos OS 接口:

  3. 指定防火墙用于启动与 IC 系列设备的安全通信的密码:

    注意:

    防火墙中统一访问控制 (UAC) 的接触间隔和超时值的任何更改只有在防火墙与 IC 系列设备下次重新连接后才会生效。

  4. (选答)指定防火墙验证证书所需的有关 IC 系列设备的服务器证书的信息。

    • 要指定防火墙检查的服务器证书主体:

    • 要指定与证书关联的证书颁发机构配置文件:

注意:

IC 系列设备服务器证书可由中间证书颁发机构颁发。CA 有两种类型:根 CA 和中间 CA。中间证书颁发机构是根证书颁发机构的辅助机构,并向公钥基础架构 (PKI) 层次结构中的其他 CA 颁发证书。因此,如果证书是由中间证书颁发机构颁发的,则需要指定认证链中证书颁发机构配置文件的完整列表。

使用 IPsec 配置 Junos OS 实施器

要将防火墙配置为使用 IPsec 充当 Junos OS 实施器:

  1. 使用以下配置语句设置系统和系统日志信息:

    注意:

    在防火墙上,允许的最大备份配置数的出厂默认值为 5。因此,您可以有一个活动配置和最多五个回滚配置。增加此备份配置数将导致磁盘上的内存使用量增加和提交时间增加。

    要修改出厂默认设置,请使用以下命令:

    其中 max-configurations-on-flash 表示要存储在配置分区中的备份配置, max-configuration-rollbacks 表示备份配置的最大数量。

  2. 使用以下配置语句配置接口:

  3. 使用以下配置语句配置路由选项:

  4. 使用以下配置语句配置安全选项:

  5. 使用以下配置语句配置 IPsec 参数:

  6. 使用以下配置语句配置屏幕选项:

  7. 使用以下配置语句配置区域:

  8. 使用以下配置语句配置 UAC 策略:

  9. 使用以下配置语句配置 RADIUS 服务器身份验证访问:

  10. 使用以下配置语句为 UAC 配置服务:

配置 Junos OS 实施器故障切换选项

开始之前:

  1. 通过相关的 Junos OS 安全策略启用 UAC。

  2. 将防火墙配置为 Junos OS 实施器。在配置过程中,定义 Junos OS 实施器应连接到的 IC 系列设备群集。请参阅在 Junos OS 环境中启用 UAC(CLI 过程)。

要配置 IC 系列 UAC 设备故障切换处理,必须将 Junos OS 实施器配置为连接到 IC 系列设备群集。Junos OS 实施器一次与其中一台 IC 系列设备通信,并使用其他设备进行故障切换处理。

要配置故障切换处理:

  1. 指定 Junos OS 实施器应期望来自 IC 系列设备的心跳信号,指示活动连接的频率(以秒为单位):

  2. 指定 Junos OS 实施器应将当前连接视为超时的时间间隔(以秒为单位):

    注意:

    防火墙中统一访问控制 (UAC) 的接触间隔和超时值的任何更改只有在防火墙与 IC 系列设备下次重新连接后才会生效。

  3. 指定当 Junos OS 实施器与 IC 系列设备群集的连接超时时,应如何处理所有当前和后续流量会话:

使用仅测试模式测试 Junos OS 实施器策略访问决策

开始之前:

  1. 通过相关的 Junos OS 安全策略启用 UAC。请参阅 在 Junos OS 环境中启用 UAC(CLI 过程)

  2. 将防火墙配置为 Junos OS 实施器。请参阅配置 Junos OS 实施器与 IC 系列 UAC 设备之间的通信(CLI 过程)。

  3. 如果要连接到 IC 系列 UAC 设备群集,请启用故障切换选项。请参阅配置 Junos OS 实施器故障切换选项(CLI 过程)。

在仅测试模式下配置时,无论 UAC 策略设置如何,防火墙都允许所有 UAC 流量通过。设备会记录 UAC 策略的访问决策而不强制执行,这样您就可以在不阻碍流量的情况下测试实施。

要激活或停用仅测试模式,请输入以下配置语句:

验证 Junos OS 实施器策略实施

显示来自 Junos OS 实施器的 IC 系列 UAC 设备身份验证表条目

目的

显示从 IC 系列 UAC 设备配置的身份验证表条目的摘要。

行动

输入 show services unified-access-control authentication-table CLI 命令。

显示 Junos OS 实施器的 IC 系列 UAC 设备资源访问策略

目的

显示从 IC 系列 UAC 设备配置的 UAC 资源访问策略的摘要。

行动

输入 show services unified-access-control policies CLI 命令。

使用 Infranet 代理和 Junos OS 实施器配置端点安全性

要将 Infranet 代理集成到 Junos OS-UAC 部署中,无需对 Junos OS 实施器进行特殊配置。您只需创建安全策略,以便像任何其他 Junos OS-UAC 部署一样访问适当的端点。

示例:在 Junos OS 实施器上创建强制门户策略

此示例说明如何在 Junos OS 实施器上创建强制门户策略。在此示例中,您将在要保护的数据中心资源前面部署一个 Junos OS Enforcer,并在 Junos OS Enforcer 上配置强制门户功能。然后,Junos OS 实施器会自动将发往受保护资源的 HTTP 流量重定向到 IC 系列 UAC 设备进行身份验证。

要求

开始之前:

  • 在网络中部署 IC 系列设备,以便用户可以访问该设备。使用 IC 系列设备上的内部端口连接用户、Junos OS 实施器和身份验证服务器。请参阅配置 Junos OS 实施器与 IC 系列 UAC 设备之间的通信(CLI 过程)。

  • 在 Junos OS 实施器上设置安全区域和接口。确保最终用户位于与受保护资源不同的安全区域中。例如,数据中心中的受保护资源配置在可信区域中,用户配置在不可信区域中。请参阅 示例:创建安全性区域

  • 将单个用户添加到外部身份验证服务器或本地身份验证服务器。为单个用户设置角色和领域。您可以根据网络安全需求配置对受保护资源的访问权限。

概述

在此示例中,您希望通过确保仅向合规且经过身份验证的用户授予访问权限,从而保护可信区域免受 LAN 上用户的伤害。每个月都有新用户加入您的网络。您希望在系统上配置强制门户功能,以便自动将未经身份验证的用户重定向到 IC 系列设备,而无需新用户记住登录 IC 系列设备。

本主题中的配置说明介绍如何创建名为 my-policy的安全策略,指定此策略的匹配条件,将强制门户策略指定为 UAC 策略的一部分,以及设置将流量重定向到 IC 系列设备的标准。在此示例中,策略 my-policy

  • 指定匹配条件,以包括从先前配置的区域到 trust 先前配置的另一个区域(称为 untrust)的任何流量。

  • 指定作为 UAC 策略一部分调用的强制门户策略 my-captive-portal-policy

  • 将重定向流量标准指定为 unauthenticated

拓扑结构

配置

过程

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅在 配置模式下使用 CLI 编辑器

要在 Junos OS 实施器上创建强制门户策略:

  1. 指定策略的匹配条件。

  2. 将强制门户策略指定为 UAC 策略的一部分,以应用于与安全策略中指定的条件匹配的流量。

  3. 将所有未经身份验证的流量重定向到 IC 系列设备。

结果

从配置模式输入 show services and show security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式进入。commit

验证

要确认配置工作正常,请执行以下任务:

验证强制门户策略

目的

验证是否已创建强制门户策略。

行动

在作模式下,输入命令 show security policies detail

根据用户角色对来自 Active Directory 服务器的流量进行分类

了解如何从 Active Directory 身份验证服务器获取用户名和角色信息。

网络已将 IP 地址用作识别用户和服务器的一种方式。该策略基于以下假设:用户或用户组从固定位置连接到网络并一次使用一台设备。

无线网络和移动设备需要不同的策略。个人可以同时使用多个设备连接到网络。设备连接到网络的方式瞬息万变。无法再使用一组静态分配的 IP 地址来识别用户。

在 Junos OS 12.1 及更高版本中,用户角色防火墙安全策略允许您根据用户被分配到的角色对流量进行分类。根据匹配条件(包括用户的角色),您可以创建策略来应用允许或阻止访问资源的服务。用户角色防火墙类似于 SRX 系列防火墙上的 UAC 提供的基于身份的网络访问控制 (NAC) 解决方案。但是,用户角色防火墙不需要安装 Junos Pulse/Odyssey,并且支持无代理透明身份验证。

用户角色信息可以通过多种方式收集:在 SRX 系列 防火墙本地收集,从 Junos Pulse 接入控制 服务设备收集,或者通过Junos Pulse 接入控制服务设备将身份验证数据从第三方身份验证服务器中继到SRX 系列防火墙。

将第三方身份验证服务器合并到用户角色防火墙配置中还可以提供单点登录 (SSO) 支持。这允许基于浏览器的用户进行一次身份验证,并根据需要将该身份验证传达给域中的其他受信任服务器。

要求

此解决方案使用以下硬件和软件组件:

  • 一台软件版本为 4.2 或更高版本的 MAG 系列 Junos Pulse 网关设备

  • MAG 系列设备上安装的 MAGx600-UAC-SRX 许可证

  • 一个装有 Junos OS 12.1 或更高版本的 SRX 系列防火墙

  • 一台使用版本 2008 的 Microsoft Active Directory 服务器

    注意:

    Microsoft Windows 2003 也与此功能兼容,但术语、路径和设置可能与本文档中介绍的内容不同。

开始之前:

  • 确保将 MAG 系列设备配置为访问控制服务并且可访问网络。有关配置详细信息,请参阅 MAG 系列 Junos Pulse 网关硬件指南

  • 确保 MAG 系列设备上安装了 MAGx600-UAC-SRX 许可证。

  • 确保已使用 Junos OS 12.1 或更高版本配置和初始化 SRX 系列防火墙。

  • 确保已将 Active Directory 身份验证服务器配置为标准 Junos Pulse 接入控制服务身份验证。请参阅您的第三方文档。

  • 确保管理员具有配置角色、用户和设备交互的适当功能。

概述

在此解决方案中,SRX 系列防火墙从 Microsoft Active Directory 身份验证服务器动态获取用户角色信息。来自 Active Directory 服务器的身份验证、验证和用户角色信息由 MAG 系列设备上的访问控制服务中继到 SRX 系列防火墙。

同一域中的用户连接到 LAN 分段。它们与用户角色组(例如开发人员或经理)相关联,具体取决于他们在组织中的工作。当用户向 AD 身份验证服务器进行身份验证时,用户应该能够访问受保护的资源,而无需再次进行身份验证。

SRX 系列防火墙配置为 MAG 系列设备的实施器。它从 MAG 系列设备接收用户角色信息,并相应地将用户角色防火墙策略应用于传入和传出流量。

当 SRX 系列防火墙没有用户的用户角色信息时,用户的浏览器将重定向到 MAG 系列设备。MAG 系列设备对用户透明地请求浏览器进行验证。浏览器从 Active Directory 服务器检索确认身份验证的令牌,并将其传递给 MAG 系列设备。MAG 系列设备使用令牌提供的信息从 Active Directory 服务器检索用户的用户角色信息,并创建包含当前 IP 地址和用户角色数据的身份验证表条目。MAG 系列设备会将更新的表推送到 SRX 系列防火墙,并将浏览器重定向回 SRX,以便再次请求访问。这一次,该表包含用户角色信息,然后检索这些信息并将其用作应用用户角色防火墙服务的匹配标准的一部分。

除非 Active Directory (AD) 服务器没有用户的当前身份验证,否则用户不知道该过程。在这种情况下,服务器会提示用户输入姓名和密码。身份验证发生后,服务器会向浏览器返回令牌。

此处记录的过程最初将 MAG 系列设备配置为验证方。稍后会修改配置,以便从 AD 服务器检索身份验证信息。此解决方案使用 SPNEGO 协商和 Kerberos 身份验证来保护 SRX 系列防火墙、MAG 系列设备、浏览器和身份验证服务器之间的通信。

拓扑结构

图 1 显示了此部署的拓扑,其中 MAG 系列设备最初用作身份验证源。稍后,除非用户未通过身份验证,否则将透明地使用 AD 服务器,在这种情况下,系统会提示他输入用户名和密码。

图 1:单点登录支持拓扑 Network architecture diagram illustrating interaction between Internet, User Zone with devices, Server Zone, and Infrastructure Zone components.

用户访问其他资源的请求由与该用户关联的角色和组控制。例如,属于名为 Dev 的一组开发人员的用户可能有权访问特定的测试服务器。同一用户也可能是经理,并且属于可以访问某些 HR 资源的经理组。为该经理工作的承包商可能也需要访问测试服务器,但不需要访问人力资源资源。在这种情况下,用户将被添加到 Dev 组,可能还会添加到 Contractor 组,但不会添加到 Mgr 组。

在SRX 系列防火墙上定义的用户角色防火墙策略控制可以访问各种资源的组和用户角色。在此配置中,如果请求访问的用户不存在用户角色数据,则策略会将用户的浏览器重定向到 MAG 系列设备,以对用户进行身份验证并检索任何关联的用户角色数据。

在验证用户的身份验证时,访问控制服务、浏览器和 Active Directory 服务器之间的令牌交换对用户保持透明。交换使用 SPNEGO 协商和 Kerberos 身份验证在设备之间对消息进行加密和解密。

使用从响应令牌获取的信息,MAG 系列设备直接从 Active Directory 服务器检索用户的角色和组。然后创建一个身份验证表条目并将其传递给 SRX 系列防火墙。

配置

通过执行以下任务来配置此解决方案的设备。

  • 在实施器配置中连接 SRX 系列防火墙和 MAG 系列设备。

  • 在 MAG 系列设备上配置本地用户身份验证的访问控制服务,并验证身份验证信息是否在设备之间传输。

  • 在 SRX 系列防火墙上配置强制门户策略,以将任何未经身份验证的用户重定向到访问控制服务,并验证重定向是否正常工作。

  • 配置 Microsoft Active Directory 身份验证服务器以与访问控制服务和终结点交互。

  • 重新配置 Active Directory 服务器进行远程身份验证的访问控制服务,并为 SRX 系列防火墙重新定义 Active Directory 组。

  • 为 SPNEGO 协议配置端点浏览器

注意:

对于此解决方案,不需要使用本地身份验证配置访问控制服务。但是,通过先配置本地身份验证,您可以验证 MAG 系列设备与 SRX 系列防火墙之间的强制门户交互。

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

将 SRX 系列防火墙连接到访问控制服务

分步程序

在实施器配置中,MAG 系列设备上的访问控制服务与 SRX 系列防火墙通过安全通道进行通信。SRX 系列防火墙首次与访问控制服务连接时,设备会交换信息以确保通信安全。或者,您可以使用数字安全证书作为建立信任的增强机制。

有关在 SRX 系列防火墙与访问控制服务之间配置证书信任的详细信息,请参阅 《统一访问控制管理指南 》。

要在 MAG 系列设备上连接 SRX 系列防火墙和访问控制服务,请执行以下作:

  1. 配置 SRX 系列防火墙。

    分步程序

    1. 配置设备的区域和接口。

    2. 配置接口的 IP 地址。

    3. 将访问控制服务识别为新的 Infranet 控制器,并配置与其连接的接口。

    4. 指定用于保护访问控制服务与 SRX 系列防火墙之间交互的密码。

      注意:

      必须在两台设备上配置相同的密码。

    5. (选答)指定 SRX 系列防火墙在连接过程中必须匹配的访问控制服务证书的全名。

    6. 如果完成 SRX 系列防火墙的配置,请从配置模式输入 commit。

  2. 从 MAG 系列设备上的管理员控制台配置访问控制服务。

    分步程序

    1. 导航到 Infranet 执行器页面,然后单击 新建执行器

    2. 选择 Junos,输入之前在 SRX 系列防火墙 (InSub321) 上设置的密码,然后输入 SRX 系列防火墙的序列号。

    3. 单击 “保存更改”。

结果

配置两台设备后,SRX 系列防火墙会自动连接到访问控制服务。

  • 从“访问控制服务”中,选择 “系统>状态>概述 ”以查看与SRX 系列防火墙的连接状态。如果连接正常,显示屏中的二极管为绿色。要显示其他信息,请单击设备名称。

  • 在 SRX 系列防火墙的作模式下,输入命令 show services unified-access-control status 以确认您的连接。如果输出未显示预期的配置,请重复本部分中的说明以更正配置。

为本地用户身份验证配置访问控制服务

分步程序

用户通过身份验证时,MAG 系列设备上的访问控制服务会使用用户的 IP 地址和关联角色更新其身份验证表,并将更新后的表推送到 SRX 系列防火墙。如果删除或修改了此用户数据,访问控制服务将使用新信息更新身份验证表,并再次将其推送到 SRX 系列防火墙。

为了测试身份验证表的成功传输和内容,此任务在 MAG 系列设备上配置访问控制服务以进行本地身份验证。在此配置中,您可以在不影响其他网络作的情况下测试 SRX 系列防火墙的用户角色防火墙。稍后的任务将修改此配置,以从远程 Active Directory 服务器提供用户角色检索。

注意:

不需要为本地用户身份验证配置访问控制服务。提供它是为了测试配置中的每个任务。

要为本地身份验证配置访问控制服务:

  1. 在访问控制服务上定义角色。

    分步程序

    1. 在访问控制服务的管理员控制台中,选择 用户>用户角色>新用户角色

    2. 输入 dev 作为角色名称。

      在此解决方案中,使用其他角色设置的默认值。

    3. 单击 “保存更改”。

    注意:

    此解决方案假定 MAGx600-UAC-SRX 许可证已安装在访问控制服务上。如果安装了全功能许可证,则需要禁用 OAC 安装并启用无代理访问。

  2. 配置默认身份验证服务器。

    分步程序

    1. 选择 Authentication>Auth. Servers。

    2. 选择 “本地系统”。这会将 MAG 系列设备建立为默认身份验证服务器。

  3. 创建用户。

    分步程序

    1. 选择 “用户 ”选项卡,然后单击 “新建”

    2. 通过输入以下详细信息创建 用户 a

      • 用户名

      • 用户全名

      • 密码

      • 密码确认

    3. 重复上一步以创建 用户 b

    4. 单击 “保存更改”。

  4. 创建领域。

    分步程序

    1. 选择 用户>用户领域>新用户领域

    2. 输入 REALM6 作为领域名称。

    3. 在“身份验证”框中选择 “本地系统 ”。

    4. 单击 “保存更改”。

  5. 在同一页面中,创建角色映射规则。

    分步程序

    1. 选择 “角色映射” 选项卡,然后单击 “新建规则”

    2. 使用以下详细信息定义两个规则。

      • 输入用户名 user-a,并将其分配给角色 dev。

      • 输入用户名 user-b,并将其分配给角色 dev。

    3. 单击 “保存更改”。

  6. 设置默认登录页。

    分步程序

    1. 选择 身份验证>登录>登录策略

    2. 单击默认的登录策略 (*/)。

    3. 在“ 登录 URL” 框中,输入此设备的 IP 地址。

    4. “身份验证领域”、“可用领域”中,选择“REALM6”。

    5. 单击 “保存更改”。

结果

验证配置结果。如果输出未显示预期的配置,请重复本部分中的说明以更正配置。

分步程序

  1. 验证访问控制服务上的本地身份验证是否正常工作。

    • 从网络中的端点打开浏览器窗口。

    • 输入访问控制服务的全限定域名。

      应显示默认登录页。

    • 以用户 a 的身份登录,并提供定义的密码。

  2. 在 SRX 系列防火墙的作模式下:

    分步程序

    1. 确认 SRX 系列防火墙上的身份验证表已使用 用户 a 更新。

    2. 确认正确的角色已与角色标识符关联。

    3. 列出与用户 a 关联的所有角色。

配置从 SRX 系列防火墙到访问控制服务的重定向

分步程序

如上一个任务中配置的本地身份验证要求用户直接登录到访问控制服务才能访问网络资源。可以将 SRX 系列防火墙配置为,如果用户直接请求访问受保护的资源,则会自动将未经身份验证的用户的浏览器重定向到访问控制服务。您可以定义用户角色防火墙策略,以将未经身份验证的用户重定向到访问控制服务上的强制门户以进行登录。

注意:

还可以配置其他服务,如 IDP、内容安全性、AppFW 和 AppQoS,以及 UAC 强制门户实施。该解决方案侧重于强制门户,仅用于实现用户角色的身份验证。

要配置从 SRX 系列防火墙到访问控制服务的重定向:

  1. 从 SRX 系列防火墙的配置模式,为强制门户 acs-device 配置配置文件。

  2. 添加访问控制服务的重定向 URL 或默认 URL。

    此命令指定默认目标变量和实施器变量,以便在身份验证后将浏览器返回到 SRX 系列防火墙。

  3. 允许流量流向 Acitve Directory (AD) 服务器、访问控制服务和其他基础架构服务器。

  4. 如果源身份为 unauthenticated-user,则配置一个安全策略,用于将 HTTP 流量从区域用户重定向到区域不信任。

  5. 配置当流量与 user-role-fw1 的条件匹配时要执行的作。

    在这种情况下,允许满足指定条件的流量访问由 acs 设备配置文件定义的 UAC 强制门户。

  6. 配置安全策略,允许访问从区域用户到不信任区域的任何 HTTP 流量。

    注意:

    请务必将未经身份验证的用户的重定向策略置于“任何”用户的策略之前,以便 UAC 身份验证不会受到针对经过身份验证用户的策略的阴影。

  7. 如果完成策略配置,请提交更改。

结果
分步程序

请按照以下步骤确认您的配置。如果输出未显示预期的配置,请重复本部分中的说明以更正配置。

  1. 在配置模式下,输入 show services 命令以确认您的强制门户配置文件配置。

  2. 在配置模式下,输入 show security policies 命令以确认您的策略配置。

  3. 验证重定向策略是否正常运行。

    分步程序

    1. 从网络中的第二个端点打开浏览器窗口。

    2. 输入第三方 URL,例如 www.google.com。

      访问控制服务的默认登录页面会提示输入用户和密码。

    3. 输入用户名 user-b 及其密码。

      浏览器应显示请求的 URL。

      注意:

      如果在端点上设置了弹出窗口阻止程序,则可能会干扰此功能。

    4. 在 SRX 系列防火墙的作模式下,验证访问控制服务中的身份验证数据和角色是否已成功推送到 SRX 系列防火墙。

配置 Active Directory 设置

分步程序

SPNEGO 协商和 Kerberos 身份验证对用户和网络管理员是透明的,但某些配置选项允许使用这些协议。本部分介绍使用 Active Directory 作为身份验证服务器时的配置要求。要在 SPNEGO 协商中进行交互,访问控制服务需要由 Active Directory 创建的键表文件。有关启用 SPNEGO 和 Kerberos 的更多信息,请参阅您的第三方文档。

本部分不打算作为 Active Directory 的教程。但是,此解决方案需要特定的配置详细信息。请参阅第三方文档,将 Active Directory 设置为域控制器。

要配置 Active Directory 身份验证服务器,请执行以下作:

  1. 将 DNS 条目添加为 正向查找区域中的 UAC 服务帐户。这样,客户端就可以按名称或 IP 地址引用 MAG 系列设备。

    在下一节中,当在 MAG 系列设备上重新配置 UAC 服务时,将使用此 UAC 服务帐户名称。

  2. 单一登录身份验证要求 UAC 服务帐户密码永远不会过期。要修改用户设置:

    分步程序

    1. 从 DNS 中的 Active Directory 用户和计算机应用程序中,选择 “用户>新建>用户” ,然后选择在步骤 1 中创建的 UAC 服务帐户。

    2. 选择 “帐户 ”选项卡。

    3. 在用户设置中,单击 密码永不过期

  3. 在域控制器上,打开命令行,然后输入创建 ktpass SPNEGO 键表文件的命令。

    在 Active Directory 服务器上创建的 keytab 文件包含完整的服务主体名称 (SPN) 和来自服务器的其他加密信息。然后,键表文件将上传到 MAG 系列设备上的访问控制服务。每当发送加密消息和响应时,此共享信息都会识别一台设备到另一台设备。

    使用以下语法。

    ktpass

    第三方 Kerberos 实用工具,用于将 SPN 映射到用户,在本例中映射到 UAC 服务帐户。可执行文件可供下载。有关此实用程序的源代码,请参阅您的第三方文档。
    -out output-file-name

    要创建的 SPNEGO 键表文件的名称。
    -mapuser uac-service-acccount-name

    在步骤 1 中创建的 UAC 服务帐户的名称。
    -prin service://fqdn@REALM

    服务主体名称。Kerberos 身份验证在其通信中使用 SPN。它不使用 IP 地址。

    service

    HTTP 服务。

    fqdn

    Junos Pulse 接入控制服务的主机名。 service在向 Active Directory 服务器注册时,访问控制服务提供名称的 ://FQDN 部分。

    REALM

    Active Directory 身份验证服务器的领域。它与域名相同。按照 RFC 1510 中的建议,Kerberos 领域名称始终采用大写字母。这会影响与其他基于 Kerberos 的环境的互作性。

    以下命令将创建一个名为 ic.ktpass 的 SPNEGO 键表文件。

    在下一节中,当 SPNEGO 配置为远程身份验证时,此文件将复制到 MAG 系列设备上的访问控制服务。

重新配置访问控制服务上的远程身份验证

分步程序

本节将重新配置 MAG 系列设备上的访问控制服务,以便在对用户进行身份验证时查询远程 Active Directory 服务器,而不是本地身份验证表。以下步骤将服务和身份验证选项添加到 MAG 系列设备上的访问控制服务。SRX 系列防火墙的配置保持不变。

重新配置领域的身份验证服务器时,访问控制服务将显示已配置域控制器及其受信任域中的所有角色或组。建立角色映射规则将身份验证服务器的角色或组等同于访问控制服务上定义的角色或组。

要在访问控制服务上重新配置远程身份验证:

  1. 从 MAG 系列设备上访问控制服务的管理员控制台中,选择 Authentication>Auth. Servers

  2. 选择 “Active Directory/Windows NT” 服务器类型,然后单击“ 添加新服务器”。

  3. 输入新身份验证服务器的配置文件。

    分步程序

    1. 为 Active Directory 服务器命名。

    2. 在域框中输入其 NetBIOS 域名。

      注意:

      您可能会收到以下消息:“服务器不是域的域控制器,或者域的 NetBIOS 名称与 Active Directory (LDAP) 名称不同。此消息仅供参考,不会影响身份验证的处理。

    3. 输入 Kerberos 领域名称。

      Kerberos 领域名称是 Active Directory 域的 FQDN。例如,如果“mycompany”是域或 NetBIOS 名称,则 mycompany.com 是 Kerberos 领域名称。

    4. 在“域加入配置”部分中,输入有权将计算机加入 Active Directory 域的 UAC 服务帐户的用户名和密码。

      选中“保存凭据”框。

    5. 输入容器名称。

      这是 Active Directory 中为访问控制服务创建 UAC 服务帐户的容器的名称。

    6. 输入计算机名称。

      指定访问控制服务用于将指定的 Active Directory 域加入为计算机的计算机 ID。此名称源自访问控制服务的许可证硬件 ID,格式如下:0161MT2L00K2C0。

    7. 验证联接作是否成功。

      加入状态指示器为域加入作提供颜色编码状态,如下所示:

      • 灰色:未开始

      • 黄色:正在进行中

      • 红色:未能加入

      • 绿色:已加入域

    8. 选择 KerberosNTLM v2 作为身份验证协议。

    9. 在“信任”部分中,选中“允许受信任的域”框。

    10. 选择 “启用 SPNEGO”

    11. 使用 Browse 按钮上传您在上一节中创建的 keytab 文件。

    12. 单击 保存更改测试配置

  4. 确保启用 SSO。

    分步程序

    1. 选择 用户>用户领域 和领域名称。

    2. “身份验证服务器” 列表中选择 Active Directory 服务器名称。

    3. 选择 “身份验证策略” 选项卡。

    4. 验证是否选择了 SSO 选项。

    5. 单击 “保存更改”。

  5. 为从身份验证服务器获取的组创建角色映射策略。

    需要将 Active Directory 身份验证服务器中的组映射到访问控制服务上的角色。首先需要创建角色,然后将一个或多个组映射到相应的角色。

    分步程序

    1. 选择“角色映射”选项卡。

    2. 单击 新建规则,输入角色名称,然后单击 保存更改

      无需将用户添加到角色。根据需要创建任意数量的角色,以从 Active Directory 身份验证服务器映射组。

    3. 单击 “组”,然后选择“ 搜索 ”以列出域控制器中定义的组。

    4. 选择要映射到新角色的组名称。

    5. 重复步骤 b 到 d 以创建和映射其他组。

    6. 单击 “保存更改”。

为 SPNEGO 配置端点浏览器

分步程序

确保端点浏览器已启用 SPNEGO。有关详细信息,请参阅您的第三方文档。

  1. Internet Explorer

    安全性>Local Intranet>Sites>Advanced 添加受信任的 URL。

    IE 执行 SPNEGO,无需任何进一步的端点配置,但系统会提示用户输入用户名和密码。可以缓存用户名和密码。

    若要提供单一登录支持,可以通过在 Active Directory 服务器上配置组策略来推送 Internet Explorer 配置。有关更多信息,请参阅您的第三方文档。

    必须启用集成 Windows 身份验证。使用 “工具>Internet 选项>高级>安全性>启用集成 Windows 身份验证 路径来验证是否启用了 IWA。

  2. Firefox(Windows 和 MacOS)

    配置位于隐藏位置。对于 URL,键入 about:config 并搜索单词 trusted。所需的键是名为 network.negotiate-auth.trusted-uris 的逗号分隔参数。

    注意:

    需要指定资源的 URL(在此解决方案中,FQDN 或域控制器值 UCDC.com)。

  3. 使用 Internet Explorer 设置。从 安全性>Local Intranet>Sites>Advanced 添加受信任的 URL。

    也可以通过在 Active Directory 服务器上配置组策略来推送 Internet Explorer 配置。Chrome 支持此配置。

也可以看看

通过 SRX 防火墙根据用户角色对流量进行分类 用户

了解如何通过 SRX 防火墙用户获取用户名和角色信息。

用户角色防火墙策略可以与防火墙身份验证集成,以便对用户进行身份验证并检索用户名和角色信息。这些信息将映射到流量的 IP 地址,存储在防火墙身份验证表中,并用于用户角色防火墙策略实施。

以下 CLI 语句为用户角色防火墙实施配置防火墙身份验证。

  1. 如果尚未建立,请定义要用于防火墙身份验证的访问配置文件。如果现有访问配置文件提供实施所需的客户端数据,则可以跳过此步骤。

    访问配置文件与其他防火墙身份验证类型一样,在层次结构中 [edit access profile] 进行配置。它将客户端定义为防火墙用户,并为其提供访问权限的密码。使用以下命令定义配置文件并添加客户端名称和密码以进行防火墙身份验证。

  2. 如果需要 HTTPS 流量,请定义要用于 SSL 终止服务的访问配置文件。如果现有 SSL 终止配置文件提供了实施所需的服务,则可以跳过此步骤。

    SSL 终止配置文件在层次结构中 [edit services ssl] 配置。

  3. 启用防火墙身份验证表作为身份验证源。

    优先级值确定检查身份验证源的顺序。防火墙身份验证表的默认值为 150。(本地身份验证表为 100,统一访问控制 (UAC) 身份验证表为 200。默认情况下,首先检查本地身份验证表,其次检查防火墙身份验证表,如果启用了 UAC 身份验证表,则检查第三个。您可以通过更改一个或多个表的优先级值来更改此顺序。

  4. 配置允许流量进行用户防火墙身份验证的策略。

    当防火墙身份验证允许未经过身份验证的流量时,将根据此语句中配置的访问配置文件对用户进行身份验证。仅 HTTPS 流量需要该 ssl-termination-profile 选项。

    通过指定 身份验证类型 user-firewall,防火墙身份验证表将使用 IP 地址、用户名以及与经过身份验证的用户关联的任何组名称一起传播。(防火墙身份验证中的组名被用户角色防火墙解释为角色。来自此 IP 地址的任何进一步流量都将与防火墙身份验证表中的 IP 地址匹配,并且不需要身份验证。从表中检索关联的用户名和角色,用作后续安全策略中的潜在匹配标准。