AUF DIESER SEITE
Beispiel: Konfigurieren von Active Directory als Identitätsquelle auf der Firewall der SRX-Serie
Beispiel: Konfigurieren der Funktion zur Authentifizierung von Geräteidentitäten
Konfigurieren von Active Directory als Identitätsquelle auf der Firewall
Konfigurieren von Active Directory als Identitätsquelle auf NFX-Geräten
Konfigurieren von Active Directory als Identitätsquelle
Erfahren Sie, wie Sie Active Directory als Identitätsquelle in Ihrer Firewall konfigurieren.
Beispiel: Konfigurieren von Active Directory als Identitätsquelle auf der Firewall der SRX-Serie
In diesem Beispiel wird gezeigt, wie Sie die integrierte Benutzerfirewallfunktion implementieren, indem Sie eine Windows Active Directory-Domäne, eine LDAP-Basis, nicht authentifizierte Benutzer, die zum Captive Portal weitergeleitet werden sollen, und eine Sicherheitsrichtlinie basierend auf einer Quellidentität konfigurieren. Alle Konfigurationen in diesem Beispiel für die Captive Portal erfolgen über die Transportschicht Sicherheit (TLS).
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Eine Firewall der SRX-Serie
-
Junos OS Version 12.1X47-D10 oder höher für Firewalls der SRX-Serie
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Informationen zum Registrieren eines Zertifikats finden Sie unter Registrieren eines Zertifikats.
Überblick
In einem typischen Szenario für die integrierte Benutzer-Firewall möchten Domänen- und Nicht-Domänenbenutzer über eine Firewall der SRX-Serie auf das Internet zugreifen. Die Firewall der SRX-Serie liest und analysiert das Ereignisprotokoll der in der Domäne konfigurierten Domänencontroller. So erkennt die Firewall der SRX-Serie Domänenbenutzer auf einem Active Directory-Domänencontroller. Die Active Directory-Domäne generiert eine Authentifizierungstabelle als Active Directory-Authentifizierungsquelle für die integrierte Benutzerfirewall. Die Firewall der SRX-Serie verwendet diese Informationen, um die Richtlinie durchzusetzen und eine benutzer- oder gruppenbasierte Zugriffskontrolle zu erreichen.
Für jeden Nicht-Domänenbenutzer oder Domänenbenutzer auf einem Nicht-Domänengerät kann der Netzwerkadministrator ein Captive Portal angeben, um den Benutzer zu zwingen, sich der Firewall-Authentifizierung zu unterziehen (wenn die Firewall der SRX-Serie das Captive Portal für den Datenverkehrstyp unterstützt). Zum Beispiel HTTP). Nachdem der Benutzer einen Namen und ein Kennwort eingegeben und die Firewall-Authentifizierung bestanden hat, erhält die Firewall der SRX-Serie vom LDAP-Server Informationen zur Firewall-Authentifizierung und kann die Benutzer-Firewall-Richtlinienkontrolle über den Benutzer entsprechend durchsetzen.
Ab Junos OS Version 17.4R1 können Sie zusätzlich zu IPv4-Adressen IPv6-Adressen für Active Directory-Domänencontroller verwenden. Um diese Unterstützung zu veranschaulichen, wird in diesem Beispiel 2001:db8:0:1:2a0:a502:0:1da als Adresse für den Domänencontroller verwendet.
Sie können die primäre Gruppe nicht in integrierten Benutzer-Firewallkonfigurationen verwenden, unabhängig davon, ob es sich um den Standardnamen Domänenbenutzer oder einen anderen Namen handelt, falls Sie ihn geändert haben.
Wenn ein neuer Benutzer in Active Directory (AD) erstellt wird, wird der Benutzer der globalen Sicherheitsgruppe Primäre Gruppe hinzugefügt, die standardmäßig Domänenbenutzer ist. Die primäre Gruppe ist weniger spezifisch als andere Gruppen, die in AD erstellt wurden, da alle Benutzer zu ihr gehören. Außerdem kann es sehr groß werden.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .
set services user-identification active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123 set services user-identification active-directory-access domain example.net user administrator password $ABC123 set services user-identification active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da set access profile profile1 authentication-order ldap set access profile profile1 authentication-order password set access profile profile1 ldap-options base-distinguished-name CN=Users,DC=example,DC=net set access profile profile1 ldap-options search search-filter sAMAccountName= set access profile profile1 ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net set access profile profile1 ldap-options search admin-search password $ABC123 set access profile profile1 ldap-server 192.0.2.3 set access profile profile1 ldap-server 192.0.2.3 tls-type start-tls set access profile profile1 ldap-server 192.0.2.3 tls-peer-name peername set access profile profile1 ldap-server 192.0.2.3 tls-timeout 3 set access profile profile1 ldap-server 192.0.2.3 tls-min-version v1.2 set access profile profile1 ldap-server 192.0.2.3 no-tls-certificate-check set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain example.net set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application any set security policies from-zone trust to-zone untrust policy p2 match source-identity “example.net\user1” set security policies from-zone trust to-zone untrust policy p2 then permit set security user-identification authentication-source active-directory-authentication-table priority 125
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Führen Sie die Schritte in diesem Abschnitt aus, um eine Windows Active Directory-Domäne einzurichten, das Captive Portal zu konfigurieren und eine andere Sicherheitsrichtlinie zu konfigurieren.
Nach der Konfiguration konsultiert die Firewall der SRX-Serie beim Eintreffen des Datenverkehrs den Benutzer-Firewall-Prozess, der wiederum die Active Directory-Authentifizierungsquelle konsultiert, um festzustellen, ob die Quelle in ihrer Authentifizierungstabelle enthalten ist. Wenn die Benutzerfirewall auf einen Authentifizierungseintrag trifft, überprüft die Firewall der SRX-Serie die in Schritt 4 konfigurierte Richtlinie auf weitere Maßnahmen. Wenn die Benutzerfirewall keinen Authentifizierung erreicht, überprüft die SRX-Serie Firewall die in Schritt 3 konfigurierte Richtlinie, um den Benutzer zu zwingen, Captive Portal auszuführen.
Konfigurieren Sie den LDAP-Basis-Distinguished Name.
[edit services user-identification] user@host# set active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123
Konfigurieren Sie einen Domänennamen, den Benutzernamen und das Kennwort der Domäne sowie den Namen und die IP-Adresse des Domänencontrollers in der Domäne.
[edit services user-identification] user@host# set active-directory-access domain example.net user administrator password $ABC123 user@host# set active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da
-
Konfigurieren Sie ein Zugriffsprofil und legen Sie die Reihenfolge der Authentifizierung und die LDAP-Optionen fest.
[edit access profile profile1] user@host# set authentication-order ldap user@host# set authentication-order password user@host# set ldap-options base-distinguished-name CN=Users,DC=example,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net user@host# set ldap-options search admin-search password $ABC123 user@host# set ldap-server 192.0.2.3 user@host# set ldap-server 192.0.2.3 tls-type start-tls user@host# set ldap-server 192.0.2.3 tls-peer-name peername user@host# set ldap-server 192.0.2.3 tls-timeout 3 user@host# set ldap-server 192.0.2.3 tls-min-version v1.2 user@host# set ldap-server 192.0.2.3 no-tls-certificate-check
Wenn die
no-tls-certificate-checkOption konfiguriert ist, ignoriert die Firewall der SRX-Serie die Validierung des Serverzertifikats und akzeptiert das Zertifikat ohne Prüfung. Konfigurieren Sie eine Richtlinie für die Quellidentität "unauthenticated-user" und "unknown-user" und aktivieren Sie das Captive Portal für die Firewall-Authentifizierung. Die Konfiguration der Quellidentität ist erforderlich, falls keine Authentifizierungsquellen konfiguriert sind, wird die Verbindung getrennt.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall access-profile profile1 user@host#set then permit firewall-authentication user-firewall domain example.net
Konfigurieren Sie eine zweite Richtlinie, um einen bestimmten Benutzer zu aktivieren.
[edit security policies from-zone trust to-zone untrust policy p2] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity “example.net\user1” user@host# set then permit
Wenn Sie eine Quellidentität in einer Richtlinienanweisung angeben, stellen Sie dem Gruppennamen oder Benutzernamen den Domänennamen und einen umgekehrten Schrägstrich voran. Schließen Sie die Kombination in Anführungszeichen ein.
Legen Sie die Active Directory-Authentifizierungstabelle als Authentifizierungsquelle für den Informationsabruf der integrierten Benutzer-Firewall fest, und geben Sie die Reihenfolge an, in der Benutzerinformationstabellen überprüft werden.
[edit security] user@host#
set user-identification authentication-source active-directory-authentication-table priority 125Sie müssen die Tabelle Active Directory Authentifizierung als Authentifizierung Quelle für den Informationsabruf der integrierten Benutzer-Firewall festlegen und die Reihenfolge angeben, in der Benutzerinformationstabellen mit dem Befehl
set security user-identification authentication-source active-directory-authentication-table priority valuegeprüft werden.Der Standardwert dieser Option ist 125. Die Standardpriorität für alle Authentifizierungsquellen lautet wie folgt:
Lokale Authentifizierung: 100
Integrierte Benutzer-Firewall: 125
Benutzerrolle Firewall: 150
UAC (Unified Access Control): 200
Das Feld
prioritygibt die Quellen für die Active Directory-Authentifizierungstabelle an. Der Wertesatz bestimmt die Reihenfolge für die Suche in verschiedenen unterstützten Authentifizierungstabellen zum Abrufen einer Benutzerrolle. Beachten Sie, dass dies die einzigen derzeit unterstützten Werte sind. Sie können einen beliebigen Wert zwischen 0 und 65.535 eingeben. Die Standardpriorität der Active Directory-Authentifizierungstabelle ist 125. Das bedeutet, dass auch wenn Sie keinen Prioritätswert angeben, die Active Directory-Authentifizierungstabelle ab der Sequenz des Wertes 125 (integrierte Benutzer-Firewall) durchsucht wird.Jeder Authentifizierungstabelle wird ein eindeutiger Prioritätswert zugewiesen. Je niedriger der Wert, desto höher ist die Priorität. Beispielsweise wird eine Tabelle mit der Priorität 120 vor einer Tabelle mit der Priorität 200 durchsucht. Wenn Sie den Prioritätswert einer Tabelle auf 0 setzen, wird die Tabelle deaktiviert und der Prioritätswert aus der Suchsequenz entfernt.
Weitere Informationen finden Sie unter Grundlegendes zu Active Directory-Authentifizierungstabellen .
Ergebnisse
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show services user-identification active-directory-access Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services user-identification active-directory-access
domain example.net {
user {
administrator;
password "$ABC123"; ## SECRET-DATA
}
domain-controller ad1 {
address 2001:db8:0:1:2a0:a502:0:1da;
}
user-group-mapping {
ldap {
base DC=example,DC=net;
user {
administrator;
password "$ABC123"; ## SECRET-DATA
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Richtlinienkonfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity [ unauthenticated-user unknown-user ];
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
domain example.net;
}
}
}
}
}
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity “example.net\user1”;
}
then {
permit;
}
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihres Zugriffsprofils, indem Sie den show access profile profile1 Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show access profile profile1
authentication-order [ ldap password ];
ldap-options {
base-distinguished-name CN=Users,DC=example,DC=net;
search {
search-filter sAMAccountName=;
admin-search {
distinguished-name CN=Administrator,CN=Users,DC=example,DC=net;
password "$ABC123"; ## SECRET-DATA
}
}
}
ldap-server {
192.0.2.3 {
tls-type start-tls;
tls-timeout 3;
tls-min-version v1.2;
no-tls-certificate-check;
tls-peer-name peername;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Konnektivität mit einem Domänencontroller
- LDAP-Server verifizieren
- Überprüfen von Einträgen in der Authentifizierungstabelle
- Überprüfen der IP-zu-Benutzer-Zuordnung
- Überprüfen der Anzahl von IP-Sonden
- Überprüfen von Abfragen für die Benutzer-zu-Gruppen-Zuordnung
Überprüfen der Konnektivität mit einem Domänencontroller
Zweck
Stellen Sie sicher, dass mindestens ein Domänencontroller konfiguriert und verbunden ist.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access domain-controller status Befehl ein.
Bedeutung
Es wird angezeigt, dass der Domänencontroller verbunden oder getrennt ist.
LDAP-Server verifizieren
Zweck
Stellen Sie sicher, dass der LDAP-Server Informationen zur Zuordnung von Benutzern zu Gruppen bereitstellt.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access user-group-mapping status Befehl ein.
Bedeutung
Die LDAP-Serveradresse, die Portnummer und der Status werden angezeigt.
Überprüfen von Einträgen in der Authentifizierungstabelle
Zweck
Sehen Sie, zu welchen Gruppen Benutzer gehören und welche Benutzer, Gruppen und IP-Adressen in einer Domain vorhanden sind.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access active-directory-authentication-table all Befehl ein.
Bedeutung
Die IP-Adressen, Benutzernamen und Gruppen werden für jede Domain angezeigt.
Überprüfen der IP-zu-Benutzer-Zuordnung
Zweck
Stellen Sie sicher, dass das Ereignisprotokoll gescannt wird.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access statistics ip-user-mapping Befehl ein.
Bedeutung
Die Anzahl der Abfragen und fehlgeschlagenen Abfragen wird angezeigt.
Überprüfen der Anzahl von IP-Sonden
Zweck
Stellen Sie sicher, dass IP-Tests durchgeführt werden.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access statistics ip-user-probe Befehl ein.
Bedeutung
Die Anzahl der IP-Tests und fehlgeschlagenen IP-Tests wird angezeigt.
Überprüfen von Abfragen für die Benutzer-zu-Gruppen-Zuordnung
Zweck
Stellen Sie sicher, dass Benutzer-zu-Gruppen-Zuordnungen abgefragt werden.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access statistics user-group-mapping Befehl ein.
Bedeutung
Die Anzahl der Abfragen und fehlgeschlagenen Abfragen wird angezeigt.
Beispiel: Konfigurieren von Active Directory als Identitätsquelle auf Firewalls der SRX-Serie, um Web-Umleitung für nicht authentifizierte und unbekannte Benutzer zu verwenden
In diesem Beispiel wird gezeigt, wie die Webumleitung für nicht authentifizierte Benutzer und unbekannte Benutzer verwendet wird, um über http auf die Authentifizierungsseite umzuleiten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 15.1X49-D70 oder höher für Firewalls der SRX-Serie
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Das fwauth-Zugriffsprofil leitet Anforderungen von Pass-Through-Datenverkehr an HTTP Webauth (im JWEB httpd-Server) um web-redirect . Sobald die Authentifizierung erfolgreich war, erstellt fwauth eine Firewall-Authentifizierung für die Benutzer-Firewall.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und rufen Sie dann den Konfigurationsmodus auf commit .
set system services web-management http set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain ad03.net
Vorgehensweise
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die integrierte Benutzerfirewall für die Verwendung der Webumleitung für nicht authentifizierte Benutzer, die Zugriff auf HTTP-basierte Ressourcen anfordern:
Aktivieren Sie die Webverwaltungsunterstützung für HTTP-Datenverkehr.
[edit system services] user@host# set system services web-management http
Konfigurieren Sie Schnittstellen und weisen Sie IP-Adressen zu. Aktivieren Sie die Web-Authentifizierung auf der ge-0/0/1-Schnittstelle.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http
Konfigurieren Sie Sicherheitsrichtlinien, die einen nicht authentifizierten Benutzer oder unbekannten Benutzer als Quellidentität angeben.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
Ab Junos OS 17.4R1 können Sie beim Konfigurieren von Quelladressen zusätzlich zu IPv4-Adressen IPv6-Adressen zuweisen. So konfigurieren Sie die IPv6-Quelladresse, das Problem
anyoder denany-IPv6Befehl auf der Hierarchieebene [Sicherheitsrichtlinien von Zone vertrauenswürdig zu Zone nicht vertrauenswürdig Richtlinienname mit Quelladresse abgleichen].Konfigurieren Sie eine Sicherheitsrichtlinie, die die Firewall-Authentifizierung einer Benutzerfirewall mit
web-redirectals Aktion zulässt und ein vorkonfiguriertes Zugriffsprofil für den Benutzer angibt.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect
Konfigurieren Sie eine Sicherheitsrichtlinie, die den Domänennamen angibt.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain ad03.net
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show system services Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show system services
web-management {
http {
port 123;
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show interfaces Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24 {
web-authentication http;
}
}
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity unauthenticated-user;
source-identity unknown-user;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
web-redirect;
domain ad03.net;
}
}
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Richtlinienkonfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen Sie die Konfiguration.
Zweck
Überprüfen Sie, ob die Konfiguration korrekt ist.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein.
Beispielausgabe
user@host> show security policies
Default policy: permit-all
From zone: PCzone, To zone: Tunnelzone
Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ftp, junos-tftp, junos-dns-tcp, junos-dns-udp
Action: permit
Bedeutung
Zeigen Sie die Sicherheitsrichtlinie an, die die Firewall-Authentifizierung einer Benutzer-Firewall mit Web-Umleitung als Aktion zulässt.
Beispiel: Konfigurieren von Active Directory als Identitätsquelle auf Firewalls der SRX-Serie, um Web-Redirect-to-HTTPS zur Authentifizierung nicht authentifizierter und unbekannter Benutzer zu verwenden
Dieses Beispiel zeigt, wie web-redirect-to-https für nicht authentifizierte und unbekannte Benutzer verwendet wird, die versuchen, auf eine HTTPS-Site zuzugreifen, um ihnen die Authentifizierung über den internen Webauth-Server der Firewall der SRX-Serie zu ermöglichen.
Sie können auch web-redirect-https verwenden, um Benutzer zu authentifizieren, die versuchen, auf eine HTTP-Site zuzugreifen, obwohl dies in diesem Beispiel nicht gezeigt wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 15.1X49-D70 oder höher für Firewalls der SRX-Serie
Überblick
Mit der Funktion web-redirect-https können Sie unbekannte und nicht authentifizierte Benutzer, die versuchen, auf HTTP- oder HTTPS-Ressourcen zuzugreifen, sicher authentifizieren, indem Sie den Browser des Benutzers zur Authentifizierung an den internen HTTPS-Webauth-Server des Services Gateways der SRX-Serie umleiten. Das heißt, der Webauth-Server sendet eine HTTPS-Antwort an das Clientsystem, die seinen Browser umleitet, um eine Verbindung mit dem Webauth-Server für Benutzer-Authentifizierung herzustellen. Die Schnittstelle, an der die Anforderung des Clients eintrifft, ist die Schnittstelle, an die die Umleitungsantwort gesendet wird. HTTPS sichert in diesem Fall den Authentifizierungsprozess, nicht den Datenverkehr des Benutzers.
Nachdem der Benutzer authentifiziert wurde, wird eine Meldung angezeigt, die den Benutzer über die erfolgreiche Authentifizierung informiert. Der Browser wird umgeleitet, um die ursprüngliche Ziel-URL des Benutzers zu starten, unabhängig davon, ob es sich um eine HTTP- oder HTTPS-Website handelt, ohne dass der Benutzer diese URL erneut eingeben muss. Die folgende Meldung wird angezeigt:
Redirecting to the original url, please wait.
Wenn die Zielressource des Benutzers eine HTTPS-URL ist, muss die Konfiguration ein SSL-Beendigungsprofil enthalten, auf das in der entsprechenden Sicherheitsrichtlinie verwiesen wird, damit dieser Prozess erfolgreich ist. Ein SSL-Beendigungsprofil ist nicht erforderlich, wenn das Ziel eine HTTP-URL ist.
Die Verwendung dieser Funktion ermöglicht eine umfassendere Benutzeranmeldeerfahrung. Anstelle einer Popup-Eingabeaufforderung, in der der Benutzer aufgefordert wird, seinen Benutzernamen und sein Kennwort einzugeben, wird dem Benutzer beispielsweise die Anmeldeseite in einem Browser angezeigt. Die Verwendung von web-redirect-https hat den gleichen Effekt, als ob der Benutzer die IP-Adresse für die Web-Authentifizierung in einem Client-Browser eingeben würde. In diesem Sinne bietet web-redirect-https eine nahtlose Authentifizierung. Der Benutzer muss nicht die IP-Adresse der Web-Authentifizierungsquelle kennen, sondern nur die IP-Adresse der Ressource, auf die er zugreifen möchte.
Bei der integrierten Benutzerfirewall enthält die Konfigurationsanweisung für Sicherheitsrichtlinien das Tupel source-identity, mit dem Sie eine Kategorie von Benutzern angeben können, für die die Sicherheitsrichtlinie gilt, in diesem Fall nicht authentifizierte und unbekannte Benutzer. Wenn Sie "any" als Wert des Quelladresstupels angeben, kann der Tupelwert der Quellidentität die Übereinstimmung steuern.
Aus Sicherheitsgründen wird empfohlen, web-redirect-https für die Authentifizierung anstelle von web-redirect zu verwenden, das ebenfalls unterstützt wird. Die Web-Redirect-Authentifizierung verwendet HTTP für den Authentifizierungsprozess. In diesem Fall werden die Authentifizierungsinformationen unverschlüsselt gesendet und sind daher lesbar.
In diesem Beispiel wird davon ausgegangen, dass der Benutzer versucht, auf eine HTTPS-Ressource wie https://mymailsite.com zuzugreifen.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und rufen Sie dann den Konfigurationsmodus auf commit .
set system services web-management https pki-local-certificate my-test-cert set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain mydomain.net set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile set services ssl termination profile my-ssl-profile server-certificate my-test-cert set access profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1 set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3 set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Geben Sie die folgende Anweisung ein, um web-redirect-to-https für nicht authentifizierte Benutzer oder unbekannte Benutzer zu konfigurieren, die Zugriff auf HTTPS-basierte Ressourcen anfordern.
Aktivieren Sie die Webverwaltungsunterstützung für HTTPS-Datenverkehr.
[edit system services] user@host# set system services web-management https pki-local-certificate my-test-cert
Beachten Sie, dass dieses Beispiel für HTTPS-Benutzerdatenverkehr gilt, aber die Web-Redirect-to-HTTPS-Authentifizierung wird auch für authentifizierte Benutzer unterstützt, deren Datenverkehr an eine HTTP-URL-Site erfolgt, obwohl dieses spezielle Szenario hier nicht gezeigt wird. In diesem Fall ist kein SSL-Terminierungsprofil erforderlich.
Konfigurieren Sie Schnittstellen und weisen Sie IP-Adressen zu. Aktivieren Sie die Web-Authentifizierung auf der ge-0/0/1-Schnittstelle.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https
Konfigurieren Sie eine Sicherheitsrichtlinie, die unauthenticated-user und unknown-user als Tupelwerte für die Quellidentität angibt.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
Ab Junos OS 17.4R1 können Sie beim Konfigurieren von Quelladressen zusätzlich zu IPv4-Adressen IPv6-Adressen zuweisen. So konfigurieren Sie die IPv6-Quelladresse, das Problem
anyoderany-IPv6den Befehl auf der Hierarchieebene [Sicherheitsrichtlinien von Zone vertrauenswürdig zu Zone nicht vertrauenswürdig Richtlinienname mit Quelladresse abgleichen].Konfigurieren Sie die Sicherheitsrichtlinie so, dass die Firewall-Authentifizierung einer Benutzerfirewall
web-redirect-to-httpsmit als Aktion zugelassen wird und die ein vorkonfiguriertes Zugriffsprofil für den Benutzer angibt.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https
Konfigurieren Sie den Domänennamen für die Sicherheitsrichtlinie.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain mydomain.net
Konfigurieren Sie die Sicherheitsrichtlinie so, dass sie auf das zu verwendende SSL-Beendigungsprofil verweist.
Wenn Sie über ein geeignetes SSL-Beendigungsprofil verfügen, das die für Ihre Implementierung erforderlichen Services bereitstellt, können Sie es verwenden. Andernfalls führen Sie Schritt 7 aus, um eine zu erstellen.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile
Geben Sie das Profil an, das für SSL-Terminierungsdienste verwendet werden soll.
[edit services] user@host# set ssl termination profile my-ssl-profile server-certificate my-cert-type
Definieren Sie den TLS-Typ, um das LDAP über StartTLS zu konfigurieren.
[edit access] user@host# set profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls
Konfigurieren Sie den zu authentifizierenden Peer-Hostnamen.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1
Geben Sie den Timeoutwert für den TLS-Handshake an. Sie können 3 bis 90 Sekunden eingeben.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3
Geben Sie die TLS-Version (v1.1 und v1.2 werden unterstützt) als minimale Protokollversion an, die in Verbindungen aktiviert ist.
[edit ] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show system services Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show system services
web-management {
https {
pki-local-certificate my-test-cert;
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show services ssl Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services ssl
termination {
profile my-ssl-profile {
server-certificate my-cert-type;
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show interfaces Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24 {
web-authentication {
https;
}
}
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity unauthenticated-user;
source-identity unknown-user;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
web-redirect-to-https;
domain mydomain.net;
ssl-termination-profile my-ssl-profile;
}
}
}
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihres Zugriffsprofils, indem Sie den show access profile profile1 Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show access profile profile1
ldap-server {
198.51.100.0/24 {
tls-type start-tls;
tls-timeout 3;
tls-min-version v1.1;
tls-peer-name peer1;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Beispiel: Konfigurieren der Funktion zur Authentifizierung von Geräteidentitäten
In diesem Beispiel wird gezeigt, wie die Funktion zur Authentifizierung der Geräteidentität konfiguriert wird, um den Zugriff auf Netzwerkressourcen basierend auf der Identität eines authentifizierten Geräts und nicht seines Benutzers zu steuern. In diesem Beispiel wird Microsoft Active Directory als Authentifizierungsquelle verwendet. Es wird beschrieben, wie Sie ein Geräteidentitätsprofil konfigurieren, das ein Gerät oder eine Gruppe von Geräten charakterisiert, und wie Sie in einer Sicherheitsrichtlinie auf dieses Profil verweisen. Wenn ein Gerät mit der Geräteidentität und den Sicherheitsrichtlinienparametern übereinstimmt, wird die Aktion der Sicherheitsrichtlinie auf den Datenverkehr angewendet, der von diesem Gerät ausgeht.
Aus verschiedenen Gründen möchten Sie möglicherweise die Identität eines Geräts für die Ressourcenzugriffssteuerung verwenden. Beispielsweise kennen Sie möglicherweise die Identität des Benutzers nicht. Außerdem verfügen einige Unternehmen möglicherweise über ältere Switches, die 802.1 nicht unterstützen, oder sie verfügen möglicherweise nicht über ein Netzwerk-Zugriffssteuerungssystem (NAC). Die Funktion zur Authentifizierung der Geräteidentität wurde entwickelt, um eine Lösung für diese und andere ähnliche Situationen zu bieten, indem sie es Ihnen ermöglicht, den Netzwerkzugriff basierend auf der Geräteidentität zu steuern. Sie können den Zugriff für eine Gruppe von Geräten steuern, die der Geräteidentitätsspezifikation entsprechen, oder für ein einzelnes Gerät.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Services Gateway-Gerät der SRX-Serie mit Junos OS Version 15.1X49-D70 oder höher.
Microsoft Active Directory mit einem Domänencontroller und dem LDAP-Server (Lightweight Directory Access Protocol)
Der Active Directory-Domänencontroller verfügt über eine Hochleistungskonfiguration mit 4 Kernen und 8 Gigabyte Arbeitsspeicher.
Hinweis:Die SRX-Serie erhält die IP-Adresse eines Geräts, indem sie das Ereignisprotokoll des Domänencontrollers liest. Der Prozess, der das Ereignisprotokoll liest, verbraucht CPU-Ressourcen des Domänencontrollers, was zu einer hohen CPU-Auslastung führen kann. Aus diesem Grund sollte der Active Directory-Domänencontroller über eine leistungsstarke Konfiguration von mindestens 4 Kernen und 8 Gigabyte Arbeitsspeicher verfügen.
Ein Server im internen Unternehmensnetzwerk.
Überblick
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 bietet die SRX-Serie Unterstützung für die Steuerung des Zugriffs auf Netzwerkressourcen basierend auf der Identität eines Geräts, das von Active Directory oder einem Netzwerk-Zugriffssteuerungssystem (NAC) eines Drittanbieters authentifiziert wurde. In diesem Beispiel wird Active Directory als Authentifizierungsquelle verwendet.
Sie müssen die Authentifizierungsquelle konfigurieren, damit dieses Feature funktioniert.
In diesem Beispiel werden die folgenden Konfigurationsteile behandelt:
Zonen und ihre Schnittstellen
Sie müssen die Zonen konfigurieren, zu denen die in der Sicherheitsrichtlinie angegebenen Quell- und Zielentitäten gehören. Wenn Sie sie nicht konfigurieren, ist die Sicherheitsrichtlinie, die auf das Geräteidentitätsprofil verweist, ungültig.
Ein Geräteidentitätsprofil
Sie konfigurieren das Geräteidentitätsprofil unabhängig von der Sicherheitsrichtlinie. Sie verweisen in einer Sicherheitsrichtlinie darauf. Ein Geräteidentitätsprofil gibt eine Geräteidentität an, die von einem oder mehreren Geräten abgeglichen werden kann. Für Active Directory können Sie nur das Attribut "device-identity" im Profil angeben.
In diesem Beispiel lautet die Attributspezifikation device-identity company-computers.
Hinweis:Das Geräteidentitätsprofil wird wie
end-user-profilein der CLI bezeichnet.Eine Sicherheitsrichtlinie
Sie konfigurieren eine Sicherheitsrichtlinie, deren Aktion auf Datenverkehr angewendet wird, der von einem beliebigen Gerät ausgeht, das den Attributen des Geräteidentitätsprofils und den übrigen Parametern der Sicherheitsrichtlinie entspricht.
Hinweis:Sie geben den Namen des Geräteidentitätsprofils
source-end-user-profileim Feld der Sicherheitsrichtlinie an.Authentifizierungsquelle
Sie konfigurieren die Authentifizierungsquelle, die zur Authentifizierung des Geräts verwendet werden soll. In diesem Beispiel wird Active Directory als Quelle für die Authentifizierung der Geräteidentität verwendet.
Wenn Active Directory die Quelle für die Authentifizierung ist, ruft die SRX-Serie Identitätsinformationen für ein authentifiziertes Gerät ab, indem sie das Ereignisprotokoll der Active Directory-Domäne liest. Das Gerät fragt dann die LDAP-Schnittstelle von Active Directory ab, um die Gruppen zu identifizieren, zu denen das Gerät gehört, wobei die IP-Adresse des Geräts für die Abfrage verwendet wird.
Zu diesem Zweck implementiert das Gerät einen WMI-Client (Windows Management Instrumentation) mit verteilten Microsoft COM/Microsoft RPC-Stapeln und einem Authentifizierungsmechanismus für die Kommunikation mit dem Windows Active Directory-Controller in der Active Directory-Domäne. Es ist der wmic-Daemon des Geräts, der Geräteinformationen aus dem Ereignisprotokoll der Active Directory-Domäne extrahiert.
Der WMIC-Daemon überwacht auch das Active Directory-Ereignisprotokoll auf Änderungen, indem er dieselbe WMI DCOM-Schnittstelle verwendet. Wenn Änderungen auftreten, passt das Gerät seine lokale Tabelle zur Authentifizierung der Geräteidentität an, um diese Änderungen widerzuspiegeln.
Ab Junos OS Version 17.4R1 können Sie Active Directory-Domänencontrollern und dem LDAP-Server IPv6-Adressen zuweisen. Vor Junos OS Version 17.4R1 konnten Sie nur IPv4-Adressen zuweisen.
Topologie
In diesem Beispiel möchten Benutzer, die zur Marketingzonenzone gehören, auf Ressourcen auf den internen Unternehmensservern zugreifen. Die Zugriffskontrolle basiert auf der Identität des Geräts. In diesem Beispiel wird company-computers als Geräteidentität angegeben. Daher wird die Sicherheitsrichtlinienaktion nur auf Geräte angewendet, die dieser Spezifikation und den Sicherheitsrichtlinienkriterien entsprechen. Es ist das Gerät, dem der Zugriff auf die Serverressourcen gewährt oder verweigert wird. Der Zugriff wird nicht auf der Grundlage der Benutzeridentifikation gesteuert.
Es werden zwei Zonen der SRX-Serie eingerichtet: eine, die die Netzwerkgeräte umfasst (Marketing-Zone) und eine, die die internen Server (Server-Zone) umfasst. Die Firewall-Schnittstelle der SRX-Serie ge-0/0/3.1 mit der IP-Adresse 192.0.2.18/24 wird der Zone Marketingzone zugewiesen. Die Firewall-Schnittstelle der SRX-Serie ge-0/0/3.2 mit der IP-Adresse 192.0.2.14/24 wird der Serverzonenzone zugewiesen.
In diesem Beispiel wird die folgende Aktivität behandelt:
-
Die Firewall der SRX-Serie stellt über die WMI DCOM-Schnittstelle eine Verbindung zum Active Directory-Domänencontroller her, um Informationen über Geräte zu erhalten, die von Active Directory authentifiziert wurden.
Wenn sich ein Benutzer beim Netzwerk anmeldet und authentifiziert wird, werden Informationen über das Gerät des Benutzers in das Ereignisprotokoll geschrieben.
Die SRX-Serie extrahiert die Geräteinformationen aus dem Ereignisprotokoll des Active Directory-Domänencontrollers.
Die SRX-Serie verwendet die extrahierten Informationen, um eine Liste der Gruppen, zu denen das Gerät gehört, vom Active Directory-LDAP-Server abzurufen.
Die SRX-Serie erstellt eine lokale Tabelle zur Authentifizierung der Geräteidentität und speichert die Geräteidentitätsinformationen, die sie vom Domänencontroller und LDAP-Server erhalten hat, in der Tabelle.
-
Wenn der Datenverkehr von einem Gerät bei der Firewall der SRX-Serie eintrifft, prüft die SRX-Serie die Tabelle zur Authentifizierung der Geräteidentität auf einen übereinstimmenden Eintrag für das Gerät, das den Datenverkehr ausgegeben hat.
Wenn die SRX-Serie einen übereinstimmenden Eintrag für das Gerät findet, das Zugriff anfordert, sucht sie in der Sicherheitsrichtlinientabelle nach einer Sicherheitsrichtlinie, deren
source-end-user-profileFeld ein Geräteidentitätsprofil mit einer Geräteidentitätsspezifikation angibt, die mit der des Geräts übereinstimmt, das den Zugriff anfordert.Die entsprechende Sicherheitsrichtlinie wird auf Datenverkehr angewendet, der vom Gerät ausgeht.
Abbildung 1 zeigt die Topologie für dieses Beispiel.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Geräteidentitätsfunktion in einer Active Directory-Umgebung zu konfigurieren:
- CLI-Schnellkonfiguration
- Konfigurieren der Funktion zur Authentifizierung der Geräteidentität der integrierten Benutzer-Firewall in einer Active Directory-Umgebung
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .
set interfaces ge-0/0/3.1 family inet address 192.0.2.18/24 set interfaces ge-0/0/3.2 family inet address 192.0.2.14/24 set security zones security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all set security zones security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all set security zones security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all set security zones security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all set services user-identification device-information authentication-source active-directory set services user-identification device-information end-user-profile profile-name marketing-west-coast domain-name example.net set services user-identification device-information end-user-profile profile-name marketing-west-coast attribute device-identity string company-computers set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-address any destination-address any set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match application any set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-end-user-profile marketing-west-coast set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access then permit set services user-identification active-directory-access domain example.net user user1 password pswd set services user-identification active-directory-access domain example.net domain-controller dc-example address 203.0.113.0 set services user-identification active-directory-access domain example.net ip-user-mapping discovery-method wmi event-log-scanning-interval 30 set services user-identification active-directory-access domain example.net ip-user-mapping discovery-method wmi initial-event-log-timespan 1 set services user-identification active-directory-access domain example.net user-group-mapping ldap authentication-algorithm simple set services user-identification active-directory-access domain example.net user-group-mapping ldap address 198.51.100.9 port 389 set services user-identification active-directory-access domain example.net user-group-mapping ldap base dc=example,dc=net set services user-identification active-directory-access authentication-entry-timeout 100 set services user-identification active-directory-access wmi-timeout 60
Konfigurieren der Funktion zur Authentifizierung der Geräteidentität der integrierten Benutzer-Firewall in einer Active Directory-Umgebung
Schritt-für-Schritt-Anleitung
Dieses Verfahren umfasst die Konfigurationsanweisungen, die erforderlich sind, um die Firewall der SRX-Serie so zu konfigurieren, dass sie die Funktion zur Authentifizierung der Geräteidentität in einer Active Directory-Umgebung unterstützt.
Konfigurieren Sie die Schnittstellen, die für die Marketing-Zone und die Server-Zone verwendet werden sollen.
[edit interfaces] user@host# set ge-0/0/3.1 family inet address 192.0.2.18/24 user@host# set ge-0/0/3.2 family inet address 192.0.2.14/24
Konfigurieren Sie die Marketing-Zone und die Server-Zone und ordnen Sie ihnen Schnittstellen zu.
[edit security zones] user@host# set security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host# set security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host# set security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host# set security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all
Konfigurieren Sie die Authentifizierungsquelle, um Microsoft Active Directory anzugeben. Sie müssen die Authentifizierungsquelle angeben, damit die Geräteidentitätsfunktion funktioniert. Dies ist ein erforderlicher Wert.
[edit services user-identification] user@host# set device-information authentication-source active-directory
Konfigurieren Sie die Geräteidentitätsspezifikation für das Geräteidentitätsprofil, das auch als
end-user-profilebezeichnet wird.[edit services user-identification] user@host# set device-information end-user-profile profile-name marketing-west-coast domain-name example.net user@host#set device-information end-user-profile profile-name marketing-west-coast attribute device-identity string company-computers
Konfigurieren Sie eine Sicherheitsrichtlinie mit dem Namen mark-server-access, die auf das Geräteidentitätsprofil mit dem Namen marketing-west-coast verweist. Die Sicherheitsrichtlinie erlaubt jedem Gerät, das zur Zone "Marketingzone" gehört (und der Spezifikation des Geräteidentitätsprofils entspricht), den Zugriff auf die Ressourcen des Zielservers.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-address any destination-address any user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-end-user-profile marketing-west-coast user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match application any user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access then permit
-
Konfigurieren Sie die Firewall der SRX-Serie für die Kommunikation mit Active Directory und die Verwendung des LDAP-Dienstes.
Um die Gruppeninformationen zu erhalten, die für die Implementierung der Funktion zur Authentifizierung der Geräteidentität erforderlich sind, verwendet die Firewall der SRX-Serie das Lightweight Directory Access Protocol (LDAP). Die SRX-Serie fungiert als LDAP-Client, der mit einem LDAP-Server kommuniziert. In der Regel fungiert der Active Directory-Domänencontroller als LDAP-Server. Das LDAP-Modul im Gerät fragt standardmäßig das Active Directory im Domänencontroller ab.
[edit services user-identification] user@host# set active-directory-access domain example.net user user1 password pswd user@host# set active-directory-access domain example.net domain-controller dc-example address 203.0.113.0 user@host# set active-directory-access domain example.net ip-user-mapping discovery-method wmi event-log-scanning-interval 30 user@host# set active-directory-access domain example.net ip-user-mapping discovery-method wmi initial-event-log-timespan 1 user@host set active-directory-access domain example.net user-group-mapping ldap address 198.51.100.9 port 389 user@host# set active-directory-access domain example.net user-group-mapping ldap base dc=example,dc=net user@host# set active-directory-access domain example.net user-group-mapping ldap authentication-algorithm simple user@host# set active-directory-access authentication-entry-timeout 100 user@host# set active-directory-access wmi-timeout 60
Ergebnisse
Geben Sie in den Konfigurationsmodus ein show interfaces .
user@host#show interfaces
ge-0/0/3 {
unit 1 {
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
family inet {
address 192.0.2.14/24;
}
}
}
Geben Sie in den Konfigurationsmodus ein show security zones .
user@host#show security zones
security-zone marketing-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
Geben Sie in den Konfigurationsmodus ein show services user-identification device-information end-user-profile .
user@host#show services user-identification device-information end-user-profile
domain-name example.net
attribute device-identity {
string company-computers;
}
Geben Sie in den Konfigurationsmodus ein show services user-identification device-information authentication-source .
user@host#show services user-identification device-information authentication-source active-directory;
Geben Sie in den Konfigurationsmodus ein show security policies .
user@host#show security policies
from-zone marketing-zone to-zone servers-zone {
policy mark-server-access {
match {
source-address any;
destination-address any;
application any;
source-end-user-profile {
marketing-west-coast;
}
}
then {
permit;
}
}
}
Geben Sie in den Konfigurationsmodus ein show services user-identification active-directory-access .
user@host#show services user-identification active-directory-access
domain example-net {
user {
user1;
password $ABC123; ## SECRET-DATA
}
ip-user-mapping {
discovery-method {
wmi {
event-log-scanning-interval 30;
initial-event-log-timespan 1;
}
}
}
user-group-mapping {
ldap {
base dc=example,DC=net;
address 198.51.100.9 {
port 389;
}
}
}
}
Geben Sie in den Konfigurationsmodus ein show services user-identification active-directory-access domain example-net .
user@host#show services user-identification active-directory-access domain example-net
user {
user1;
password $ABC123 ## SECRET-DATA
}
domain-controller dc-example {
address 203.0.113.0;
}
Verifizierung
Überprüfen Sie den Inhalt der Tabelle zur Authentifizierung der Geräteidentität.
Zweck
Stellen Sie sicher, dass die Tabelle zur Authentifizierung der Geräteidentität die erwarteten Einträge und deren Gruppen enthält.
Aktion
In diesem Fall enthält die Tabelle zur Authentifizierung der Geräteidentität drei Einträge. Der folgende Befehl zeigt umfangreiche Informationen für alle drei Einträge an.
Geben Sie den Befehl im Betriebsmodus ein show services user-identification device-information table all extensive , um den Inhalt der Tabelle anzuzeigen.
Beispielausgabe
Befehlsname
Domain: example.net
Total entries: 3
Source IP: 192.0.2.19
Device ID: example-dev1
Device-Groups: device_group1,
device_group2,device_group3,
device_group4, device_group5
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Source IP: 192.0.2.22
Device ID: example-dev2
Device-Groups: device_group06,
device_group7, device_group8,
device_group9, device_group10
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Source IP: 192.0.2.19
Device ID: example-dev3
Device-Groups: device_group1, device_group2,
device_group3, device_group4, device_group5
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Bedeutung
Die Tabelle sollte Einträge mit Informationen für alle authentifizierten Geräte und die Gruppen, zu denen sie gehören, enthalten.
Beispiel: Konfigurieren von Benutzeridentitätsinformationen im Sitzungsprotokoll basierend auf der Quellzone
In diesem Beispiel wird gezeigt, wie die zonenbasierte Benutzeridentitätsfunktion der integrierten Benutzer-Firewall konfiguriert wird, die das System anweist, Benutzeridentitätsinformationen basierend auf der in der Sicherheitsrichtlinie konfigurierten Quellzone (Von-Zone) zu protokollieren. Das zonenbasierte Benutzeridentitätsfeature erweitert den Bereich der Benutzer, deren Identitätsinformationen in das Protokoll geschrieben werden, auf alle Benutzer, die zu der Zone gehören, deren Datenverkehr mit der Sicherheitsrichtlinie übereinstimmt.
Anforderungen
Diese Funktion wird ab Junos OS 15.1X49-D60 und Junos OS Version 17.3R1 unterstützt. Sie können diese Funktion auf jeder der derzeit unterstützten Firewalls der SRX-Serie ab Junos OS 15.1X49-D60 konfigurieren und ausführen.
Überblick
In diesem Beispiel wird gezeigt, wie die integrierte Benutzerfirewall so konfiguriert wird, dass Benutzeridentitätsinformationen basierend auf der Quellzone in der Sicherheitsrichtlinie im Sitzungsprotokoll protokolliert werden. Dazu muss die als Quellzone angegebene Zone für die Protokollierung der Quellidentität konfiguriert werden. Für die zonenbasierte Benutzeridentitätsprotokollierung müssen die Aktionen der Sicherheitsrichtlinie Sitzungserstellungsereignisse (session-init) und sitzungsschließende Ereignisse (session-close) umfassen.
Wenn alle Bedingungen erfüllt sind, wird der Name des Benutzers zu Beginn der Sitzung (oder Sitzungsinitialisierung) und zu Beginn des Schließens der Sitzung (oder des Beendens der Sitzung) in das Protokoll geschrieben. Beachten Sie, dass, wenn eine Sicherheitsrichtlinie dem Benutzer den Zugriff auf die Ressource verweigert, ein Eintrag zur Identifizierung des Benutzers anhand seines Namens in das Protokoll geschrieben wird, d. h., wenn das Schließen der Sitzung konfiguriert ist.
Wenn Sie die zonenbasierte Benutzeridentitätsfunktion verwenden, ist es die Quellzone (Von-Zone) in der Sicherheitsrichtlinie, die das Protokollierungsereignis für die Benutzeridentität initiiert.
Vor der Einführung dieses Features war es notwendig, das Quellidentitätstuipel (Quellidentität) in eine Sicherheitsrichtlinie aufzunehmen, um das System anzuweisen, Benutzeridentitätsinformationen in das Protokoll zu schreiben, d. h. den Benutzernamen oder den Gruppennamen. Die Benutzeridentität wurde in das Protokoll geschrieben, wenn das Quellidentitätstuipel in einer der Richtlinien in einem Zonenpaar konfiguriert war, das mit dem Datenverkehr des Benutzers übereinstimmte, und das Sitzungsabschlussprotokoll konfiguriert war.
Das Quellidentitätsfeature ist jedoch spezifisch für einen einzelnen Benutzer oder eine Gruppe von Benutzern und schränkt die Anwendung der Sicherheitsrichtlinie in dieser Hinsicht ein.
Es ist der Benutzername, der in der lokalen Active Directory-Tabelle gespeichert ist, die das System in das Protokoll schreibt, wenn die Quellzone der Richtlinie für die Protokollierung der Benutzeridentität konfiguriert ist. Die Firewall der SRX-Serie hat zuvor die Benutzeridentitätsinformationen durch Lesen des Ereignisprotokolls des Domänencontrollers abgerufen. Die Firewall der SRX-Serie hat diese Informationen in ihrer Active Directory-Tabelle gespeichert.
Sie können das Quellidentitätstuipel in einer Sicherheitsrichtlinie verwenden, die auch eine Zone als Quellzone angibt, die für die Protokollierung der Benutzeridentität konfiguriert wurde. Da die integrierte Benutzerfirewall die Namen der Gruppen, denen ein Benutzer angehört, nur dann von Microsoft-Domänencontrollern sammelt, wenn die integrierte Benutzerfirewall auf dem Quellidentitätstupel basiert, enthält das Protokoll nur den Namen des Benutzers, der Zugriff anfordert, und nicht die Gruppen, denen der Benutzer angehört.
Nachdem Sie eine Zone für die Unterstützung der Quellidentitätsprotokollierung konfiguriert haben, kann die Zone als Von-Zonenspezifikation in jeder Sicherheitsrichtlinie wiederverwendet werden, für die Benutzeridentitätsinformationen protokolliert werden sollen.
Zusammenfassend lässt sich sagen, dass der Name des Benutzers in das Protokoll geschrieben wird, wenn:
Der Benutzer gehört zu der Zone, die für die Protokollierung der Quellidentität konfiguriert ist.
Der Benutzer gibt eine Ressourcenzugriffsanforderung aus, deren generierter Datenverkehr mit einer Sicherheitsrichtlinie übereinstimmt, deren Quellzonen-Tupel eine qualifizierende Zone angibt.
Die Sicherheitsrichtlinie umfasst als Teil ihrer Aktionen die Ereignisse "Sitzung initialisieren" (session-init) und "Sitzung beenden" (Sitzung schließen).
Zu den Vorteilen der Quellidentitätsprotokollfunktion gehören die folgenden Möglichkeiten:
Decken Sie ein breites Spektrum von Benutzern in einer einzigen Spezifikation ab, d. h. alle Benutzer, die zu einer Zone gehören, die für die Protokollierung der Quellidentität konfiguriert ist.
Verwenden Sie weiterhin einen Adressbereich für die Quelladresse in einer Sicherheitsrichtlinie, ohne die Protokollierung der Benutzeridentität zu verlieren.
Verwenden Sie eine Zone wieder, die für die Protokollierung der Quellidentität in mehr als einer Sicherheitsrichtlinie konfiguriert ist.
Da sie unabhängig von der Sicherheitsrichtlinie konfiguriert ist, können Sie die Zone in einer oder mehreren Richtlinien als Quellzone angeben.
Die Benutzeridentität wird nicht protokolliert, wenn Sie eine Zone angeben, die für die zonenbasierte Benutzeridentitätsprotokollierung als Zielzone und nicht als Quellzone konfiguriert ist.
Damit diese Funktion funktioniert, müssen Sie die folgenden Informationen konfigurieren:
Die Quellidentitätsprotokollanweisung, die für eine Zone konfiguriert ist, die in der beabsichtigten Sicherheitsrichtlinie als Quellzone (Von-Zone) verwendet wird.
Eine Sicherheitsrichtlinie, die Folgendes festlegt:
Eine qualifizierende Zone als Quellzone.
Die session-init- und die session-close-Ereignisse als Teil ihrer Aktionen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Protokollierungsfunktion für die Quellidentität zu konfigurieren:
- CLI-Schnellkonfiguration
- Konfigurieren einer Zone zur Unterstützung der Protokollierung von Quellidentitäten und deren Verwendung in einer Sicherheitsrichtlinie
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security zones security-zone trust source-identity-log set security policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp set security policies from-zone trust to-zone untrust policy appfw-policy1 then permit set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
Konfigurieren einer Zone zur Unterstützung der Protokollierung von Quellidentitäten und deren Verwendung in einer Sicherheitsrichtlinie
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Konfigurieren Sie die Protokollierung der Quellidentität für die Vertrauenszone. Wenn diese Zone als Quellzone in einer Sicherheitsrichtlinie verwendet wird, schreibt das System die Benutzeridentitätsinformationen in das Sitzungsprotokoll für alle Benutzer, für die die Sicherheitsrichtlinie gilt.
[edit security] user@host# set zones security-zone trust source-identity-log
Konfigurieren Sie eine Sicherheitsrichtlinie namens appfw-policy1, die die Zonenvertrauensstellung als Begriff für die Quellzone angibt. Die Protokollierung der Quellidentität wird auf jeden Benutzer angewendet, dessen Datenverkehr mit den Tupeln der Sicherheitsrichtlinie übereinstimmt.
Diese Sicherheitsrichtlinie ermöglicht dem Benutzer den Zugriff auf den Junos-FTP-Dienst. Wenn die Sitzung für den Benutzer eingerichtet wird, wird die Identität des Benutzers protokolliert. Sie wird auch am Ende der Sitzung protokolliert.
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then permit
Konfigurieren Sie die Aktionen der Sicherheitsrichtlinie appfw-policy1 so, dass sie die Protokollierung der Ereignisse für den Sitzungsbeginn und das Schließen von Sitzungen umfassen.
Hinweis:Sie müssen die Sicherheitsrichtlinie so konfigurieren, dass Sitzungsinitiierungs- und Sitzungsschließereignisse protokolliert werden, damit die Protokollfunktion der Quellidentität wirksam wird. Die Informationen zur Benutzeridentität werden in Verbindung mit diesen Ereignissen in das Protokoll geschrieben.
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security zones Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Verifizierung
In diesem Abschnitt wird das für die Benutzersitzung generierte Sitzungsprotokoll angezeigt. Die Protokollausgabe:
Zeigt den Benutzernamen user1 an, der zu Beginn der Sitzung und dann erneut zu Beginn des Sitzungsschlusses angezeigt wird.
Die Sicherheitsrichtlinienkonfiguration, die dazu geführt hat, dass der Benutzername in das Protokoll geschrieben wurde, gibt die Zonenvertrauensstellung als Quellzone an. Die Zonenvertrauensstellung wurde für die Protokollierung von Quellidentitäten konfiguriert.
Enthält Informationen, die aus dem Anforderungsdatenverkehr des Benutzers, den Richtlinienübereinstimmungskriterien und der NAT-Einrichtung gewonnen werden.
Enthält Identitätsinformationen über den Benutzer, die aus der Active Directory-Datenbank abgerufen werden. Zu diesen Informationen gehört der Rollenparameter für "MyCompany/Administrator", der die Gruppen anzeigt, denen der Benutzer angehört.
In diesem Szenario hat der Benutzer Zugriff auf den Junos-FTP-Dienst von Juniper Networks angefordert, den das Protokoll ebenfalls aufzeichnet. In Tabelle 1 werden die Teile des Protokolls aufgeführt, die für die Konfiguration der Quellidentitätsprotokollfunktion spezifisch sind:
Sitzung erstellen Dies ist die Sitzungsinitiierung, mit der der erste Abschnitt des Protokolls beginnt, in dem die Informationen zur Sitzungseinrichtung aufgezeichnet werden. Der Name des Benutzers, user1, wird zu Beginn der Aufzeichnung des Sitzungserstellungsprotokolls angezeigt. |
User1 RT_FLOW_SESSION_CREATE |
Auf die Sitzungserstellung folgen Standardinformationen, die die Sitzung basierend auf dem Datenverkehr des Benutzers definieren, der den Sicherheitsrichtlinien-Tupeln entspricht. |
|
Quelladresse, Quellport, Zieladresse, Zielport. |
source-address="198.51.100.13/24" source-port="635" destination-address="198.51.100.10/24" destination-port="51" |
Anwendungsservice Dies ist der Anwendungsdienst, auf den der Benutzer Zugriff angefordert hat und den die Sicherheitsrichtlinie zulässt. |
service-name="Junos-FTP" |
Quellzone, Zielzone Weiter unten im Protokoll finden Sie die Zonenspezifikationen, die "trust" als Quellzone und "untrust" als Zielzone angeben. |
source-zone-name="trust" destination-zone-name="nicht vertrauenswürdig" |
Sitzung schließen Dies ist die Initiierung des Schließens der Sitzung, mit der der zweite Teil des Protokolldatensatzes beginnt, der das Beenden und Schließen von Sitzungen abdeckt. Der Name des Benutzers, user1, wird am Anfang des Sitzungsabschlussdatensatzes angezeigt. |
User1 RT_FLOW – RT_FLOW_SESSION_CLOSE |
Überprüfen Sie, ob die Benutzeridentitätsinformationen protokolliert wurden.
Zweck
Beachten Sie, dass die integrierte Benutzerfirewall Gruppen, die als Quellidentität konfiguriert sind, nur von Microsoft-Domänencontrollern sammelt. Wenn Sie die zonenbasierte Benutzeridentitätsfunktion verwenden, ohne die Quellidentität zu konfigurieren, enthält das Protokoll nur den Namen des Benutzers, d. h. es werden keine Gruppeninformationen aufgezeichnet. In diesem Fall zeigt der Abschnitt "roles=" des Protokolls "N/A" an. Im folgenden Beispiel wird davon ausgegangen, dass das Tupel source-identity verwendet wurde, und der Abschnitt "roles=" zeigt eine lange Liste der Gruppen, zu denen der Benutzer "Administrator" gehört.
Aktion
Zeigen Sie die Protokollinformationen an.
Beispielausgabe
Befehlsname
<14>1 2015-01-19T15:03:40.482+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CREATE [user@host2636 192.0.2.123 source-address=”198.51.100.13“ source-port=”635” destination-address=”198.51.100.10” destination-port=”51” service-name=”junos-ftp” nat-source-address=”203.0.113.10” nat-source-port=”12349” nat-destination-address ="198.51.100.13" nat-destination-port="3522" nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-22="12245" username="MyCompany/Administrator " roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" application="UNKNOWN" nested-application="UNKNOWN" encrypted="UNKNOWN"] session created 192.0.2.1/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 junos-ftp 10.1.1.1/547798->10.1.2.10/21 None None 6 appfw-policy1 trust untrust 20000025 MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Ownersexample-team, Domain Admins) ge-0/0/0.0 UNKNOWN UNKNOWN UNKNOWN <14>1 2015-01-19T15:03:59.427+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CLOSE [user@host2636 192.0.2.123 reason="idle Timeout” source-address=”198.51.100.13“ source-port=”635”" destination-address=”198.51.100.10” destination-port=”51" service-name="junos-ftp" nat-source-address="203.0.113.10" nat-source-port="12349" nat-destination-address ="198.51.100.13" "nat-destination-port="3522" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust"session-id-32="20000025" packets-from-client="3" bytes-from-client="180" packets-from-server="0" bytes-from-server="0" elapsed-time="19" application="INCONCLUSIVE" nested-application="INCONCLUSIVE" username=" J “MyCompany /Administrator” roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" encrypted="UNKNOWN"] session closed idle Timeout: 111.1.1.10/1234>10.1.1.11/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 1 None None 6 appfw-policy1 trust untrust 20000025 3(180) 0(0) 19 INCONCLUSIVE INCONCLUSIVE MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins) ge-0/0/0.1 UNKNOWN
Konfigurieren von Active Directory als Identitätsquelle auf der Firewall
In Tabelle 2 werden die Schritte zum Konfigurieren von Active Directory als Identitätsquelle in Ihrer Firewall beschrieben.
| Konfigurationsschritt |
Befehl |
|---|---|
| Schritt 1: Konfigurieren der Authentifizierungstabelle Sie können die Active Directory-Authentifizierungstabelle konfigurieren. Sie können die Prioritätsoption konfigurieren. |
Tabelle Authentifizierung
Priorität der Authentifizierungstabelle
|
| Schritt 2: Timeout konfigurieren Sie können einen gültigen Authentifizierungseintrag und ein Zeitlimit für einen ungültigen Authentifizierungseintrag für Einträge in der Tabelle "Authentifizierung" konfigurieren. Das Standardintervall Sie können Timeoutinformationen für Authentifizierungstabelleneinträge anzeigen. |
Gültige Einträge zur Authentifizierung
Ungültige Authentifizierungseinträge
Anzeigen von Timeoutinformationen
|
| Schritt 3: Konfigurieren der Überprüfung und Statistik des Windows-Ereignisprotokolls Sie können überprüfen, ob die Authentifizierungstabelle IP-Adresse und Benutzerinformationen abruft. Sie können Statistiken zum Lesen des Ereignisprotokolls anzeigen. Sie können die Firewall-Authentifizierung als Backup für WMIC konfigurieren |
Überprüfung des Windows-Ereignisprotokolls
Windows-Ereignisprotokollstatistiken
Firewall-Authentifizierung als Backup für WMIC
|
| Schritt 4: Konfigurieren der Domänen-PC-Sondierung Die bedarfsgesteuerte Sondierung ist standardmäßig aktiviert. Sie können die On-Demand-Sondierung deaktivieren. Wenn die On-Demand-Sondierung deaktiviert ist, steht eine manuelle Sondierung zur Verfügung. Sie können den Testtimeoutwert konfigurieren. Das Standard-Timeout beträgt 10 Sekunden. Sie können Teststatistiken anzeigen. |
On-Demand-Sondierung deaktivieren
Manuelles Sondieren ermöglichen
Test-Timeoutwert
Anzeige von Sondenstatistiken
|
| Schritt 5: Konfigurieren des LDAP-Serverstatus und der Statistiken Sie können den LDAP-Verbindungsstatus überprüfen. Sie können die Anzahl der Abfragen sehen, die an den LDAP-Server gesendet wurden. |
LDAP-Serverstatus
LDAP-Server-Statistiken
|
Konfigurieren von Active Directory als Identitätsquelle auf NFX-Geräten
In einem typischen Szenario für die integrierte Benutzer-Firewall-Funktion möchten Domänenbenutzer über ein NFX-Gerät auf das Internet zugreifen. Das Gerät liest und analysiert das Ereignisprotokoll der in der Domäne konfigurierten Domänencontroller. Somit erkennt das Gerät Domänenbenutzer auf einem Active Directory-Domänencontroller. Die Active Directory-Domäne generiert eine Authentifizierungstabelle als Active Directory-Authentifizierungsquelle für die integrierte Benutzerfirewall. Das Gerät verwendet diese Informationen, um die Richtlinie durchzusetzen und eine benutzer- oder gruppenbasierte Zugriffssteuerung zu erreichen.
Wenn ein neuer Benutzer in Active Directory (AD) erstellt wird, wird der Benutzer der globalen Sicherheitsgruppe Primäre Gruppe hinzugefügt, die standardmäßig Domänenbenutzer ist. Die primäre Gruppe ist weniger spezifisch als andere Gruppen, die in AD erstellt wurden, da alle Benutzer zu ihr gehören. Außerdem kann es sehr groß werden.
Sie können die primäre Gruppe nicht in integrierten Benutzer-Firewallkonfigurationen verwenden, unabhängig davon, ob es sich um den Standardnamen Domänenbenutzer oder einen anderen Namen handelt, falls Sie ihn geändert haben.
So richten Sie eine Windows Active Directory-Domäne ein und konfigurieren eine andere Sicherheitsrichtlinie:
So überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert:
Stellen Sie sicher, dass mindestens ein Domänencontroller konfiguriert und verbunden ist, indem Sie den show services user-identification active-directory-access domain-controller status Befehl eingeben.
Überprüfen Sie, ob der LDAP-Server Informationen zur Zuordnung von Benutzern zu Gruppen bereitstellt, indem Sie den show services user-identification active-directory-access user-group-mapping status Befehl eingeben.
Überprüfen Sie die Einträge in der Authentifizierungstabelle, indem Sie den show services user-identification active-directory-access active-directory-authentication-table all Befehl eingeben. Die IP-Adressen, Benutzernamen und Gruppen werden für jede Domain angezeigt.
Überprüfen der IP-zu-Benutzer-Zuordnung durch Eingabe des show services user-identification active-directory-access statistics ip-user-mapping Befehls. Die Anzahl der Abfragen und fehlgeschlagenen Abfragen wird angezeigt.
Überprüfen Sie, ob IP-Sondierungen stattfinden, indem Sie den show services user-identification active-directory-access statistics ip-user-probe Befehl eingeben.
Stellen Sie sicher, dass Benutzer-zu-Gruppen-Zuordnungen abgefragt werden, indem Sie den show services user-identification active-directory-access statistics user-group-mapping Befehl eingeben.