Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置统一访问控制 (UAC)

了解如何将 SRX 系列防火墙配置为在 UAC 部署中充当 Junos OS 实施器。

使用 IC 系列 UAC 设备配置 Junos OS Enforcer

开始之前:

  1. 通过相关的 Junos OS 安全策略启用 UAC。请参阅在 Junos OS 环境中启用 UAC(CLI 过程)。

  2. (选答)为对 IC 系列设备的服务器证书进行签名的证书颁发机构 (CA) 创建配置文件,并将 CA 证书导入防火墙。请参阅 示例:手动加载 CA 证书和本地证书

  3. 通过在 IC 系列设备上设置用户角色、身份验证和授权服务器以及身份验证领域来配置用户身份验证和授权。

  4. 在 IC 系列设备上配置资源访问策略,以指定允许或拒绝哪些端点访问受保护资源。

要将防火墙配置为在 UAC 部署中充当 Junos OS 实施器,从而实施 IC 系列 UAC 设备策略,必须指定防火墙应连接到的 IC 系列设备。

要将防火墙配置为 Junos OS 实施器,请执行以下作:

  1. 指定防火墙应连接的 IC 系列设备。

    • 要指定 IC 系列设备主机名,请执行以下作:

    • 要指定 IC 系列设备 IP 地址,请执行以下作:

    注意:

    配置对多个 IC 系列设备的访问时,必须单独定义每个设备。例如:

    请确保所有 IC 系列设备都是同一集群的成员。
    注意:

    默认情况下,IC 系列设备应选择端口 11123。

  2. 指定 IC 系列设备应连接的 Junos OS 接口:

  3. 指定防火墙在与 IC 系列设备启动安全通信时应使用的密码:

    注意:

    防火墙中统一访问控制 (UAC) 的接触间隔和超时值的任何更改仅在防火墙与 IC 系列设备下次重新连接后才会生效。

  4. (选答)指定有关 IC 系列设备的服务器证书的信息,防火墙需要验证该证书。

    • 要指定防火墙检查的服务器证书使用者:

    • 要指定与证书关联的 CA 配置文件,请执行以下作:

注意:

IC 系列设备服务器证书可由中间 CA 颁发。有两种类型的 CA:根 CA 和中间 CA。中间 CA 从属于根 CA,并向公钥基础架构 (PKI) 层次结构中的其他 CA 颁发证书。因此,如果证书由中间 CA 颁发,则需要指定证书链中 CA 配置文件的完整列表。

使用 IPsec 配置 Junos OS 实施器

要将 SRX 系列防火墙配置为使用 IPsec 充当 Junos OS 实施器:

  1. 使用以下配置语句设置系统和系统日志信息:

    注意:

    在 SRX 系列防火墙上,允许的最大备份配置数的出厂默认值为 5。因此,您可以有一个活动配置,最多五个回滚配置。增加此备份配置编号将导致磁盘上的内存使用量增加和提交时间增加。

    要修改出厂默认设置,请使用以下命令:

    其中, max-configurations-on-flash 表示要存储在配置分区中的备份配置, max-configuration-rollbacks 表示最大备份配置数。

  2. 使用以下配置语句配置接口:

  3. 使用以下配置语句配置路由选项:

  4. 使用以下配置语句配置安全选项:

  5. 使用以下配置语句配置 IPsec 参数:

  6. 使用以下配置语句配置屏幕选项:

  7. 使用以下配置语句配置区域:

  8. 使用以下配置语句为 UAC 配置策略:

  9. 使用以下配置语句配置 RADIUS 服务器身份验证访问:

  10. 使用以下配置语句为 UAC 配置服务:

配置 Junos OS 实施器故障切换选项

开始之前:

  1. 通过相关的 Junos OS 安全策略启用 UAC。

  2. 将 SRX 系列防火墙配置为 Junos OS 实施器。在配置过程中,定义 Junos OS 实施器应连接到的 IC 系列设备群集。请参阅在 Junos OS 环境中启用 UAC(CLI 过程)。

要配置 IC 系列 UAC 设备故障切换处理,必须将 Junos OS 实施器配置为连接到 IC 系列设备群集。Junos OS Enforcer 一次与其中一个 IC 系列设备通信,并使用其他设备进行故障切换处理。

要配置故障转移处理,请执行以下作:

  1. 指定 Junos OS 实施器期望从 IC 系列设备发出检测信号的频率(以秒为单位),指示连接处于活动状态:

  2. 指定 Junos OS 实施器应考虑当前连接超时的时间间隔(以秒为单位):

    注意:

    SRX 系列防火墙中统一访问控制 (UAC) 联系间隔和超时值的任何更改仅在 SRX 系列防火墙与 IC 系列设备下次重新连接后生效。

  3. 指定当 Junos OS 实施器与 IC 系列设备群集的连接超时时,应如何处理所有当前和后续的流量会话:

使用仅测试模式测试 Junos OS 实施器策略访问决策

开始之前:

  1. 通过相关的 Junos OS 安全策略启用 UAC。请参阅 在 Junos OS 环境中启用 UAC(CLI 过程)

  2. 将 SRX 系列防火墙配置为 Junos OS 实施器。请参阅配置 Junos OS 实施器与 IC 系列 UAC 设备之间的通信(CLI 过程)。

  3. 如果要连接到 IC 系列 UAC 设备群集,请启用故障转移选项。请参阅配置 Junos OS 实施器故障切换选项(CLI 过程)。

配置为仅测试模式时,SRX 系列防火墙支持所有 UAC 流量通过,而不考虑 UAC 策略设置。设备会记录 UAC 策略的访问决策,而不强制执行这些决策,以便您可以在不阻碍流量的情况下测试实施。

要激活或停用仅测试模式,请输入以下配置语句:

验证 Junos OS 实施器策略实施

显示 Junos OS 实施器中的 IC 系列 UAC 设备认证表条目

目的

显示从 IC 系列 UAC 设备配置的认证表条目的摘要。

行动

输入 show services unified-access-control authentication-table CLI 命令。

显示来自 Junos OS 实施器的 IC 系列 UAC 设备资源访问策略

目的

显示从 IC 系列 UAC 设备配置的 UAC 资源访问策略的摘要。

行动

输入 show services unified-access-control policies CLI 命令。

将 Infranet 代理与 Junos OS Enforcer 结合使用来配置端点安全性

要将 Infranet 代理集成到 Junos OS-UAC 部署中,无需在 Junos OS Enforcer 上进行特殊配置。您只需创建安全策略,启用对相应端点的访问,就像任何其他 Junos OS-UAC 部署一样。

示例:在 Junos OS Enforcer 上创建强制门户策略

此示例说明如何在 Junos OS 实施器上创建强制门户策略。在此示例中,您在要保护的数据中心资源前部署 Junos OS Enforcer,并在 Junos OS Enforcer 上配置强制门户功能。然后,Junos OS 实施器会自动将发往受保护资源的 HTTP 流量重定向到 IC 系列 UAC 设备进行身份验证。

要求

开始之前:

  • 在网络中部署 IC 系列设备,以便用户可以访问该设备。使用 IC 系列设备上的内部端口连接用户、Junos OS 实施器和身份验证服务器。请参阅配置 Junos OS 实施器与 IC 系列 UAC 设备之间的通信(CLI 过程)。

  • 在 Junos OS 实施器上设置安全区域和接口。请确保最终用户位于与受保护资源不同的安全区域中。例如,数据中心中的受保护资源配置在可信区域中,而用户配置在不受信任区域中。请参阅 示例:创建安全区域

  • 将单个用户添加到外部身份验证服务器或本地身份验证服务器。为单个用户设置角色和领域。您可以根据网络安全需求配置对受保护资源的访问权限。

概述

在此示例中,您希望通过确保仅向合规且经过身份验证的用户授予访问权限,以保护受信任区域免受 LAN 上用户的攻击。每个月都有新用户加入您的网络。您希望在系统上配置强制门户功能,以便将未经身份验证的用户自动重定向到 IC 系列设备,而无需新用户记住登录到 IC 系列设备。

本主题中的配置说明介绍如何创建名为 my-policy的安全策略,为此策略指定匹配条件,将强制门户策略指定为 UAC 策略的一部分,并设置将流量重定向到 IC 系列设备的标准。在此示例中,策略 my-policy

  • 指定匹配条件以包括从称为 trust 的先前配置的区域到另一个先前配置的区域(名为 untrust)的任何流量。

  • 指定作为 UAC 策略的一部分调用 my-captive-portal-policy 的强制门户策略。

  • 将重定向流量条件指定为 unauthenticated

拓扑学

配置

程序

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息,请参阅 在配置模式下使用 CLI 编辑器

要在 Junos OS Enforcer 上创建强制门户策略,请执行以下作:

  1. 指定策略的匹配条件。

  2. 将强制门户策略指定为 UAC 策略的一部分,以应用于与安全策略中指定的条件匹配的流量。

  3. 将所有未经身份验证的流量重定向到 IC 系列设备。

结果

通过在配置模式下输入 show servicesshow security policies 命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证强制门户策略

目的

验证是否已创建强制门户策略。

行动

在作模式下,输入 show security policies detail 命令。

根据来自 Active Directory 服务器的用户角色对流量进行分类

了解如何从 Active Directory 身份验证服务器获取用户名和角色信息。

网络已将 IP 地址用作识别用户和服务器的一种方式。该策略基于以下假设:用户或用户组从固定位置连接到网络,一次使用一台设备。

无线网络和移动设备需要不同的策略。个人可以使用多台设备同时连接到网络。设备连接到网络的方式瞬息万变。无法再使用一组静态分配的 IP 地址来识别用户。

在 Junos OS 12.1 版及更高版本中,用户角色防火墙安全策略允许您根据为用户分配到的角色对流量进行分类。根据匹配标准(包括用户的角色),您可以创建策略来应用允许或阻止访问资源的服务。用户角色防火墙类似于 SRX 系列防火墙上的 UAC 提供的基于身份的网络访问控制 (NAC) 解决方案。但是,用户角色防火墙不需要安装 Junos Pulse/Odyssey,并且支持无代理透明身份验证。

可以通过多种方式收集用户角色信息:在 SRX 系列防火墙上本地收集,从 Junos Pulse 接入控制服务设备收集,或者通过 Junos Pulse 接入控制服务设备将身份验证数据从第三方身份验证服务器中继到 SRX 系列防火墙。

将第三方身份验证服务器合并到用户角色防火墙配置中还可以提供单点登录 (SSO) 支持。这允许基于浏览器的用户进行一次身份验证,并根据需要将该身份验证传达给域中的其他受信任服务器。

要求

此解决方案使用以下硬件和软件组件:

  • 一台软件版本为 4.2 或更高版本的 MAG 系列 Junos Pulse 网关设备

  • MAG 系列设备上安装的 MAGx600-UAC-SRX 许可证

  • 一个运行 Junos OS 12.1 或更高版本的 SRX 系列防火墙

  • 一台使用版本 2008 的 Microsoft Active Directory 服务器

    注意:

    Microsoft Windows 2003 也与此功能兼容,但术语、路径和设置可能与本文档中介绍的内容不同。

开始之前:

  • 确保 MAG 系列设备已配置为接入控制服务,并且可以通过网络访问。有关配置详细信息,请参阅 MAG 系列 Junos Pulse 网关硬件指南

  • 确保 MAGx600-UAC-SRX 许可证已安装在 MAG 系列设备上。

  • 确保使用 Junos OS 12.1 或更高版本配置和初始化 SRX 系列防火墙。

  • 确保将 Active Directory 身份验证服务器配置为标准 Junos Pulse 接入控制服务身份验证。请参阅您的第三方文档。

  • 确保管理员具有配置角色、用户和设备交互的适当功能。

概述

在此解决方案中,SRX 系列防火墙从 Microsoft Active Directory 身份验证服务器动态获取用户角色信息。来自 Active Directory 服务器的身份验证验证和用户角色信息由 MAG 系列设备上的访问控制服务中继到 SRX 系列防火墙。

同一域中的用户连接到 LAN 分段。它们与用户角色组(如开发人员或经理)相关联,具体取决于他们在组织中的工作。当用户向 AD 身份验证服务器进行身份验证时,该用户应该能够访问受保护的资源,而无需再次进行身份验证。

SRX 系列防火墙配置为 MAG 系列设备的实施器。它从 MAG 系列设备接收用户角色信息,并相应地针对传入和传出流量应用用户角色防火墙策略。

当 SRX 系列防火墙没有某个用户的用户角色信息时,该用户的浏览器将重定向至 MAG 系列设备。MAG 系列设备向用户透明地请求浏览器进行验证。浏览器从确认身份验证的 Active Directory 服务器检索令牌,并将其传递给 MAG 系列设备。借助令牌提供的信息,MAG 系列设备从 Active Directory 服务器检索用户角色信息,并创建包含当前 IP 地址和用户角色数据的认证表条目。MAG 系列设备将更新的表推送到 SRX 系列防火墙,并将浏览器重定向回 SRX 以再次请求访问。这一次,该表包含用户角色信息,然后检索这些信息并将其用作应用用户角色防火墙服务的匹配标准的一部分。

除非 Active Directory (AD) 服务器没有对用户进行当前身份验证,否则用户不知道该过程。在这种情况下,服务器会提示用户输入名称和密码。身份验证发生后,服务器会向浏览器返回一个令牌。

此处记录的过程最初将 MAG 系列设备配置为验证器。稍后修改配置以从 AD 服务器检索身份验证信息。此解决方案使用 SPNEGO 协商和 Kerberos 认证来保护 SRX 系列防火墙、MAG 系列设备、浏览器和认证服务器之间的通信。

拓扑学

图 1 显示了此部署的拓扑,其中 MAG 系列设备最初用作验证源。稍后,AD服务器将透明地使用,除非用户未经过身份验证,在这种情况下,系统会提示他输入用户名和密码。

图 1:单点登录支持拓扑 Single Sign-On Support Topology

用户访问其他资源的请求由与该用户关联的角色和组控制。例如,属于名为 Dev 的开发人员组的用户可能有权访问特定的测试服务器。同一用户也可能是经理,并且属于可以访问某些 HR 资源的经理组。为此经理工作的承包商可能还需要访问测试服务器,但不需要访问 HR 资源。在这种情况下,用户将被添加到 Dev 组,也可能是 Contractor 组,但不会添加到 Mgr 组。

在 SRX 系列防火墙上定义的用户角色防火墙策略控制可以访问各种资源的组和用户角色。在此配置中,如果请求访问的用户不存在用户角色数据,则策略会将用户的浏览器重定向到 MAG 系列设备,以对用户进行身份验证并检索任何关联的用户角色数据。

访问控制服务、浏览器和 Active Directory 服务器之间的令牌交换在验证用户的身份验证时对用户保持透明。交换使用 SPNEGO 协商和 Kerberos 认证对设备之间的消息进行加密和解密。

利用从响应令牌获取的信息,MAG 系列设备直接从 Active Directory 服务器检索用户的角色和组。然后,它会创建一个认证表条目,并将其传递给 SRX 系列防火墙。

配置

通过执行以下任务来配置此解决方案的设备。

  • 在实施器配置中连接 SRX 系列防火墙和 MAG 系列设备。

  • 在 MAG 系列设备上配置访问控制服务以进行本地用户身份验证,并验证身份验证信息是否在设备之间传输。

  • 在 SRX 系列防火墙上配置强制门户策略,以将任何未经身份验证的用户重定向到访问控制服务,并验证重定向是否正常工作。

  • 配置 Microsoft Active Directory 身份验证服务器以与访问控制服务和终结点进行交互。

  • 重新配置访问控制服务,以便通过 Active Directory 服务器进行远程身份验证,并为 SRX 系列防火墙重新定义 Active Directory 组。

  • 为 SPNEGO 协议配置端点浏览器

注意:

此解决方案不需要使用本地身份验证配置访问控制服务。但是,通过先配置本地身份验证,可以验证 MAG 系列设备与 SRX 系列防火墙之间的强制门户交互。

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器

将 SRX 系列防火墙连接到访问控制服务

分步过程

在实施器配置中,MAG 系列设备上的访问控制服务和 SRX 系列防火墙通过安全通道进行通信。当 SRX 系列防火墙首次与访问控制服务连接时,设备会交换信息,以确保安全通信。或者,您可以使用数字安全证书作为建立信任的增强机制。

有关在 SRX 系列防火墙与访问控制服务之间配置证书信任的详细信息,请参阅 《统一访问控制管理指南 》。

要连接 SRX 系列防火墙和 MAG 系列设备上的访问控制服务,请执行以下作:

  1. 配置 SRX 系列防火墙。

    分步过程

    1. 配置设备的区域和接口。

    2. 配置接口的 IP 地址。

    3. 将接入控制服务标识为新的 Infranet 控制器,并配置与其连接的接口。

    4. 指定用于保护访问控制服务与 SRX 系列防火墙之间交互的密码。

      注意:

      必须在两台设备上配置相同的密码。

    5. (选答)指定 SRX 系列防火墙在连接过程中必须匹配的访问控制服务证书的全名。

    6. 如果完成 SRX 系列防火墙的配置,请从配置模式进入提交。

  2. 从 MAG 系列设备上的管理员控制台配置访问控制服务。

    分步过程

    1. 导航到 Infranet Enforcer 页面,然后单击 New Enforcer

    2. 选择“Junos”,输入之前在 SRX 系列防火墙 (InSub321) 上设置的密码,然后输入 SRX 系列防火墙的序列号。

    3. 单击 保存更改

结果

配置两台设备后,SRX 系列防火墙会自动连接到访问控制服务。

  • 从访问控制服务中,选择 “系统>状态>概述 ”以查看与SRX 系列防火墙的连接状态。如果连接正常,显示屏中的二极管为绿色。要显示其他信息,请单击设备名称。

  • 在 SRX 系列防火墙的作模式下,输入 show services unified-access-control status 命令以确认您的连接。如果输出未显示预期的配置,请重复本节中的说明以更正配置。

配置访问控制服务以进行本地用户身份验证

分步过程

对用户进行身份验证后,MAG 系列设备上的访问控制服务会使用该用户的 IP 地址和关联角色更新其身份验证表,并将更新后的表推送到 SRX 系列防火墙。如果删除或修改此用户数据,则访问控制服务将使用新信息更新认证表,并再次将其推送到 SRX 系列防火墙。

为了测试认证表的成功传输和内容,此任务将在 MAG 系列设备上配置访问控制服务以进行本地认证。在此配置中,您可以通过 SRX 系列防火墙测试用户角色防火墙,而不会影响其他网络作。稍后的任务将修改此配置,以便从远程 Active Directory 服务器提供用户角色检索。

注意:

不需要为本地用户身份验证配置访问控制服务。提供它是为了测试配置中的每个任务。

要配置访问控制服务以进行本地身份验证,请执行以下作:

  1. 在访问控制服务上定义角色。

    分步过程

    1. 从访问控制服务的管理员控制台中,选择 用户>用户角色>新用户角色

    2. 输入 dev 作为角色名称。

      在此解决方案中,对其他角色设置使用默认值。

    3. 单击 保存更改

    注意:

    此解决方案假定访问控制服务上安装了 MAGx600-UAC-SRX 许可证。如果安装了全功能许可证,则需要禁用 OAC 安装并启用无代理访问。

  2. 配置默认认证服务器。

    分步过程

    1. 选择“ Authentication>Auth. Servers”。

    2. 选择 “系统本地”。这会将 MAG 系列设备建立为默认认证服务器。

  3. 创建用户。

    分步过程

    1. 选择“ 用户 ”选项卡,然后单击 “新建”。

    2. 通过输入以下详细信息创建 用户 a

      • 用户名

      • 用户的全名

      • 密码

      • 密码确认

    3. 重复上一步以创建 用户 b

    4. 单击 保存更改

  4. 创建一个领域。

    分步过程

    1. 选择 Users>User Realms>New User Realm

    2. 输入 REALM6 作为领域名称。

    3. 在“身份验证”框中选择 “系统本地 ”。

    4. 单击 保存更改

  5. 在同一页面中,创建角色映射规则。

    分步过程

    1. 选择 “角色映射 ”选项卡,然后单击 “新建规则”

    2. 使用以下详细信息定义两个规则。

      • 输入用户名 user-a,并将其分配给 role dev。

      • 输入用户名 user-b,并将其分配给角色 dev。

    3. 单击 保存更改

  6. 设置默认登录页。

    分步过程

    1. 选择“ 身份验证>登录>登录策略”。

    2. 单击默认登录策略 (*/)。

    3. “登录 URL ”框中,输入此设备的 IP 地址。

    4. 认证领域,可用领域中,选择 REALM6。

    5. 单击 保存更改

结果

验证配置结果。如果输出未显示预期的配置,请重复本节中的说明以更正配置。

分步过程

  1. 验证访问控制服务上的本地身份验证是否正常工作。

    • 从网络中的端点打开浏览器窗口。

    • 输入访问控制服务的完全限定域名。

      应显示默认登录页面。

    • 以用户 a 的身份登录,并提供定义的密码。

  2. 在 SRX 系列防火墙的作模式下:

    分步过程

    1. 确认 SRX 系列防火墙上的身份验证表已随 用户 a 一起更新。

    2. 确认正确的角色已与角色标识符相关联。

    3. 列出与用户 a 关联的所有角色。

配置从 SRX 系列防火墙到接入控制服务的重定向

分步过程

在上一个任务中配置的本地身份验证要求用户直接登录访问控制服务才能访问网络资源。SRX 系列防火墙可以配置为,如果用户直接请求访问受保护资源,则自动将未经过身份验证的用户的浏览器重定向到访问控制服务。您可以定义用户角色防火墙策略,以将未经身份验证的用户重定向到访问控制服务上的强制门户以进行登录。

注意:

可以配置其他服务,例如 IDP、内容安全、AppFW 和 AppQoS,以及 UAC 强制门户实施。该解决方案侧重于仅用于用户角色实施的身份验证的强制门户。

要配置从 SRX 系列防火墙到访问控制服务的重定向:

  1. 在 SRX 系列防火墙的配置模式下,配置强制门户 acs-device 的配置文件。

  2. 添加访问控制服务的重定向 URL 或默认 URL。

    此命令指定默认目标和实施器变量,以便在身份验证后将浏览器返回到 SRX 系列防火墙。

  3. 允许将流量发送到 Acitve Directory (AD) 服务器、访问控制服务和其他基础架构服务器。

  4. 配置一个安全策略,如果 source-identity 为 unauthenticated-user,则将 HTTP 流量从区域用户重定向到不信任区域。

  5. 配置当流量与 user-role-fw1 的条件匹配时要执行的作。

    在这种情况下,满足指定条件的流量将被允许访问由 acs-device 配置文件定义的 UAC 强制门户。

  6. 配置安全策略,允许访问从不信任区域用户到不信任区域的任何 HTTP 流量。

    [edit]
user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match source-address any
user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match destination-address any
user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match application http
user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match source-identity any
user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 then permit
    注意:

    请务必将未经过身份验证的用户的重定向策略定位在“任何”用户的策略之前,以便 UAC 身份验证不会被面向经过身份验证的用户的策略所掩盖。

  7. 如果完成策略配置,请提交更改。

结果
分步过程

通过以下过程确认您的配置。如果输出未显示预期的配置,请重复本节中的说明以更正配置。

  1. 在配置模式下,输入 show services 命令以确认您的强制门户配置文件配置。

  2. 在配置模式下,输入 show security policies 命令以确认您的策略配置。

  3. 验证重定向策略是否正常运行。

    分步过程

    1. 从网络中的第二个端点打开浏览器窗口。

    2. 输入第三方 URL,例如 www.google.com。

      访问控制服务中的默认登录页会提示输入用户和密码。

    3. 输入用户名 user-b 及其密码。

      浏览器应显示请求的 URL。

      注意:

      如果在终结点上设置了弹出窗口阻止程序,则可能会干扰此功能。

    4. 在 SRX 系列防火墙的作模式下,验证访问控制服务中的身份验证数据和角色是否已成功推送到 SRX 系列防火墙。

配置 Active Directory 设置

分步过程

SPNEGO 协商和 Kerberos 认证对用户和网络管理员是透明的,但某些配置选项允许使用这些协议。本部分介绍使用 Active Directory 作为身份验证服务器时的配置要求。要在 SPNEGO 协商中进行交互,访问控制服务需要 Active Directory 创建的密钥表文件。有关启用 SPNEGO 和 Kerberos 用法的更多信息,请参阅您的第三方文档。

本部分不打算作为 Active Directory 的教程。但是,此解决方案需要特定的配置详细信息。请参阅第三方文档,了解如何将 Active Directory 设置为域控制器。

要配置 Active Directory 身份验证服务器,请执行以下作:

  1. 正向查找区域中添加 DNS 条目作为 UAC 服务帐户。这样,客户端就可以按名称或 IP 地址引用 MAG 系列设备。

    在 MAG 系列设备上重新配置 UAC 服务时,下一节将使用此 UAC 服务帐户名称。

  2. 单一登录身份验证要求 UAC 服务帐户密码永不过期。要修改用户设置:

    分步过程

    1. 从 DNS 中的“Active Directory 用户和计算机”应用程序中,选择 “用户>新建>用户 ”,然后选择在步骤 1 中创建的 UAC 服务帐户。

    2. 选择 “帐户 ”选项卡。

    3. 在用户设置中,单击 “密码永不过期”。

  3. 在域控制器上,打开命令行,输入 ktpass 命令以创建 SPNEGO 密钥表文件。

    在 Active Directory 服务器上创建的密钥表文件包含服务器的完整服务主体名称 (SPN) 和其他加密信息。然后,密钥表文件将上载到 MAG 系列设备上的访问控制服务。每当发送加密消息和响应时,这种共享信息都会将一台设备标识到另一台设备。

    使用以下语法。

    ktpass

    将 SPN 映射到用户(在本例中为 UAC 服务帐户)的第三方 Kerberos 实用工具。可执行文件可供下载。有关此实用程序的来源,请参阅您的第三方文档。
    -out output-file-name

    正在创建的 SPNEGO 密钥表文件的名称。
    -mapuser uac-service-acccount-name

    在步骤 1 中创建的 UAC 服务帐户的名称。
    -prin service://fqdn@REALM

    服务主体名称。Kerberos 身份验证在其通信中使用 SPN。它不使用 IP 地址。

    service

    HTTP 服务。

    fqdn

    Junos Pulse 接入控制服务的主机名。 service向 Active Directory 服务器注册时,访问控制服务提供名称的 ://FQDN 部分。

    REALM

    Active Directory 身份验证服务器的领域。它与域名相同。按照 RFC 1510 中的建议,Kerberos 领域名称始终采用大写字母。这会影响与其他基于 Kerberos 的环境的互作性。

    以下命令创建一个名为 ic.ktpass 的 SPNEGO 密钥表文件。

    当 SPNEGO 配置为远程认证时,此文件将在下一节中复制到 MAG 系列设备上的访问控制服务。

在访问控制服务上重新配置远程身份验证

分步过程

本节将重新配置 MAG 系列设备上的访问控制服务,以便在对用户进行身份验证时查询远程 Active Directory 服务器而不是本地身份验证表。以下步骤将服务和身份验证选项添加到 MAG 系列设备上的访问控制服务。SRX 系列防火墙的配置保持不变。

重新配置领域的认证服务器时,访问控制服务将显示已配置域控制器及其受信任域中的所有角色或组。建立角色映射规则会将身份验证服务器的角色或组等同于访问控制服务上定义的角色或组。

要在访问控制服务上重新配置远程身份验证,请执行以下作:

  1. 从 MAG 系列设备上访问控制服务的管理员控制台中,选择 Authentication>Auth. Servers

  2. 选择“ Active Directory/Windows NT 服务器”类型,然后单击 “添加新服务器”

  3. 输入新身份验证服务器的配置文件。

    分步过程

    1. 将 Active Directory 服务器命名为 Active Directory 服务器。

    2. 在域框中输入其 NetBIOS 域名。

      注意:

      您可能会收到以下消息:“服务器不是域的域控制器,或者域的 NetBIOS 名称与 Active Directory (LDAP) 名称不同。此消息仅供参考,不会影响身份验证的处理。

    3. 输入 Kerberos 领域名称。

      Kerberos 领域名称是 Active Directory 域的 FQDN。例如,如果“mycompany”是域或 NetBIOS 名称,则 mycompany.com 是 Kerberos 领域名称。

    4. 在“域加入配置”部分,输入有权将计算机加入 Active Directory 域的 UAC 服务帐户的用户名和密码。

      选中“保存凭据”框。

    5. 输入容器名称。

      这是 Active Directory 中为访问控制服务创建 UAC 服务帐户的容器的名称。

    6. 输入计算机名称。

      指定访问控制服务用于将指定的 Active Directory 域加入为计算机的计算机 ID。此名称派生自访问控制服务的许可证硬件 ID,格式如下:0161MT2L00K2C0。

    7. 验证联接作是否成功。

      “加入状态”指示器为域加入作提供颜色编码状态,如下所示:

      • 灰色:未开始

      • 黄色:进行中

      • 红色:加入失败

      • 绿色:已加入域

    8. 选择“ KerberosNTLM v2 ”作为身份验证协议。

    9. 在“信任”部分,选中“允许受信任的域”框。

    10. 选择启用 SPNEGO。

    11. 使用“浏览”按钮上传您在上一节中创建的密钥表文件。

    12. 单击 保存更改测试配置

  4. 确保已启用 SSO。

    分步过程

    1. 选择 Users>User Realms 和领域名称。

    2. “身份验证服务器 ”列表中选择 Active Directory 服务器名称。

    3. 选择 “身份验证策略” 选项卡。

    4. 验证是否选择了 SSO 选项。

    5. 单击 保存更改

  5. 为从身份验证服务器获取的组创建角色映射策略。

    需要将 Active Directory 身份验证服务器中的组映射到访问控制服务上的角色。首先需要创建角色,然后将一个或多个组映射到相应的角色。

    分步过程

    1. 选择“角色映射”选项卡。

    2. 单击 “新建规则”,输入角色名称,然后单击 “保存更改”

      无需将用户添加到角色。根据需要创建任意数量的角色,以从 Active Directory 身份验证服务器映射组。

    3. 单击 “组”,然后选择 “搜索 ”以列出域控制器中定义的组。

    4. 选择要映射到新角色的组名称。

    5. 重复步骤 b 到 d 以创建和映射其他组。

    6. 单击 保存更改

为 SPNEGO 配置端点浏览器

分步过程

确保端点浏览器已启用 SPNEGO。有关详细信息,请参阅您的第三方文档。

  1. Internet Explorer

    Security>Local Intranet>Sites>Advanced 添加受信任的 URL。

    IE 无需任何进一步的端点配置即可执行 SPNEGO,但会提示用户输入用户名和密码。可以缓存用户名和密码。

    若要提供单一登录支持,可以通过在 Active Directory 服务器上配置组策略来推送 Internet Explorer 配置。有关详细信息,请参阅您的第三方文档。

    必须启用集成 Windows 身份验证。使用 Tools>Internet 选项>Advanced>Security>Enable 集成 Windows 身份验证 路径验证是否已启用 IWA。

  2. Firefox(Windows 和 MacOS)

    配置位于隐藏位置。对于 URL,键入 about:config 并搜索单词 trusted。所需的键是名为 network.negotiate-auth.trusted-uris 的逗号分隔参数。

    注意:

    需要指定资源的 URL(在此解决方案中,FQDN 或域控制器值 UCDC.com)。

  3. 使用 Internet Explorer 设置。从 Security>Local Intranet>Sites>Advanced 添加受信任的 URL。

    也可以通过在 Active Directory 服务器上配置组策略来推送 Internet Explorer 配置。Chrome 支持此配置。

另见

通过 SRX 防火墙用户,按用户角色对流量进行分类

了解如何通过 SRX 防火墙用户获取用户名和角色信息。

用户角色防火墙策略可以与防火墙身份验证集成,以对用户进行身份验证以及检索用户名和角色信息。这些信息将映射到流量的 IP 地址,存储在防火墙身份验证表中,用于用户角色防火墙策略实施。

以下 CLI 语句为用户角色防火墙实施配置防火墙身份验证。

  1. 如果尚未建立,请定义要用于防火墙身份验证的访问配置文件。如果现有访问配置文件提供了实施所需的客户端数据,则可以跳过此步骤。

    访问配置文件与其他防火墙身份验证类型一样, [edit access profile] 在层次结构中配置。它将客户端定义为防火墙用户以及为其提供访问权限的密码。使用以下命令定义配置文件并添加用于防火墙身份验证的客户端名称和密码。

  2. 如果需要 HTTPS 流量,请定义要用于 SSL 终止服务的访问配置文件。如果现有 SSL 终止配置文件提供了实施所需的服务,则可以跳过此步骤。

    SSL 终止配置文件在层次结构中 [edit services ssl] 配置。

  3. 启用防火墙认证表作为认证源。

    优先级值确定检查身份验证源的顺序。防火墙身份验证表的默认值为 150。(本地身份验证表为 100,统一访问控制 (UAC) 身份验证表为 200。默认情况下,首先检查本地认证表,其次是防火墙认证表,如果启用了 UAC 认证表,则排名第三。您可以通过更改一个或多个表的优先级值来更改此顺序。

  4. 配置允许流量进行用户防火墙身份验证的策略。

    当防火墙身份验证允许未经身份验证的流量时,将根据此语句中配置的访问配置文件对用户进行身份验证。仅对 HTTPS 流量需要该 ssl-termination-profile 选项。

    通过指定认证类型 user-firewall,防火墙认证表将与 IP 地址、用户名以及与经过认证的用户关联的任何组名进行传播。(用户角色防火墙将防火墙身份验证中的组名解释为角色。来自此 IP 地址的任何其他流量都将与防火墙身份验证表中的 IP 地址匹配,并且不需要身份验证。从表中检索关联的用户名和角色,以便在后续安全策略中用作潜在匹配标准。