瞻博网络安全连接中的身份验证

阅读本主题可详细了解瞻博网络安全连接中的不同用户身份验证方法。

用户可以通过本地或外部身份验证与瞻博网络安全连接建立安全连接。这两种方法都有以下一定的限制：

• 本地身份验证 — 在本地身份验证中，SRX 系列防火墙通过在本地数据库中检查用户凭据来验证用户凭据。在此方法中，管理员可以更改或重置密码。用户必须记住新密码。这不是首选身份验证方法，因为它不安全。

• 外部身份验证 — 在此方法中，用户可以使用用于访问网络上其他资源的相同凭据进行身份验证。在许多情况下，用户凭据与用于 Active Directory 或任何其他轻型目录访问协议 （LDAP） 身份验证系统的域登录凭据相同。此方法可简化用户体验并改善组织的安全状况，因为您可以使用组织使用的常规安全策略来维护授权系统。

  • 多重身份验证 - 要添加额外的保护层，您还可以启用多重身份验证 （MFA）。在此方法中，RADIUS 代理用于向用户的智能手机等设备发送通知消息。用户必须接受通知消息才能完成连接。请参阅 知识库文章 73468。

  • 使用瞻博网络安全连接的 LDAP 身份验证 — 从 Junos OS 23.1R1 版开始，我们引入了基于组的受控 LDAP 授权。您可以使用 LDAP 定义一个或多个 LDAP 组。在[edit access ldap-options]层次结构级别使用allowed-groups语句指定 LDAP 认证的组列表。一个用户可以属于多个 LDAP 组。您可以将组映射到地址池。根据 LDAP 组成员身份，系统将为用户分配 IP 地址。

  • 基于 SAML 的身份验证 — SAML 是基于 XML 的框架，身份提供商 （IdP） 和服务提供商两方可在其中交换有关远程用户的身份信息。SAML 支持单点登录 （SSO），用户只需登录一次，即可无缝访问多个应用，而无需每次都重新输入凭据。

表 1 对比了瞻博网络安全连接中的不同身份验证方法。

表 1：瞻博网络安全连接身份验证类型

身份验证方法	凭据（用户名和密码）	最终用户证书	本地身份验证	外部身份验证 Radius	外部身份验证 LDAP	外部身份验证 IdP
IKEv1 - 预共享密钥	是的	不	是的	是的	是的	不
IKEv2-EAP-MSCHAPv2	是的	不	不	是的	不	不
IKEv2-EAP-TLS	不	是的	不	是的	不	不
基于 SAML 的身份验证（专有 IKEv2-EAP 实施）	仅限用户名	不	不	不	不	是的

无论采用何种身份验证方法，即使实施了 EAP-TLS 身份验证，您也可以继续使用用户名和密码通过 RADIUS 服务器下载初始配置进行外部用户身份验证。

请参阅以下主题，了解如何为瞻博网络安全连接配置用户身份验证。

• CLI 过程

  • 使用预共享密钥的本地用户身份验证（CLI 过程）

  • 外部用户身份验证（CLI 过程）

  • 示例：为瞻博网络安全连接配置 LDAP 身份验证（CLI 过程）

  • 使用 EAP-MSCHAPv2 身份验证进行基于证书的验证（CLI 过程）

  • 使用 EAP-TLS 身份验证进行基于证书的验证（CLI 过程）

• J-Web 过程

  • 使用预共享密钥的本地用户身份验证

  • 使用 RADIUS 的外部用户身份验证

  • 使用 EAP-MSCHAPv2 身份验证进行基于证书的验证

  • 使用 EAP-TLS 身份验证进行基于证书的验证