Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Sicherheitsrichtlinien mit ClearPass durchsetzen

Durch Konfigurieren der Sicherheitsrichtlinien können Sie den Zugriff auf das Internet für Benutzer basierend auf ihrem Benutzernamen und Gruppennamen steuern.

Grundlegendes zur Durchsetzung der ClearPass-Benutzer- und Gruppenauthentifizierung

In diesem Thema wird beschrieben, wie die Firewall der SRX-Serie oder das Gerät der NFX-Serie die Benutzer- und Gruppenauthentifizierung erzwingt, wenn ein Benutzer versucht, auf eine Ressource zuzugreifen. Außerdem wird erläutert, wie das Gerät mit Informationen in den Benutzereinträgen der ClearPass-Authentifizierungstabelle umgeht, wenn eine Sicherheitsrichtlinie entfernt wird, die auf eine Gruppe in einem Benutzereintrag verweist. Wenn Sie diesen Prozess verstehen, können Sie Probleme im Zusammenhang mit der Gruppenidentität beheben und erhalten Einblicke in Änderungen in den Benutzereinträgen der ClearPass-Authentifizierungstabelle.

Verstehen, wie das Gerät die ClearPass-Authentifizierungstabelle verwaltet

Die integrierte ClearPass-Authentifizierungs- und Durchsetzungsfunktion ermöglicht es dem Gerät der SRX- oder NFX-Serie und dem Aruba ClearPass Policy Manager (CPPM), beim Schutz der Ressourcen Ihres Unternehmens zusammenzuarbeiten. Es ermöglicht dem Gerät, Firewall-Sicherheitsrichtlinien auf den Benutzerdatenverkehr anzuwenden und den Benutzerzugriff auf geschützte Ressourcen basierend auf Benutzer- oder Gruppenidentitäten zu steuern. Um die Identität des Benutzers sicherzustellen, ist das Gerät auf authentifizierte Benutzerinformationen angewiesen, die es vom CPPM erhält.

Es ist hilfreich zu verstehen, wie das Gerät authentifizierte Benutzeridentitätsinformationen vom CPPM erhält, Einträge in seiner ClearPass-Authentifizierungstabelle generiert und diese Einträge in Bezug auf Sicherheitsrichtlinien und Benutzerereignisse verwaltet. Wenn Sie diese Prozesse verstehen, können Sie die damit verbundenen Probleme schnell erkennen und lösen.

Dieses Thema konzentriert sich auf:

  • Wie das Gerät Benutzeridentitätsinformationen vom CPPM abruft und verwaltet und wie Sie diese Informationen in Sicherheitsrichtlinien verwenden können.

  • Wie sich Sicherheitsrichtlinien, die auf eine Gruppe als Quelle (source-identity) verweisen, auf die Gruppen auswirken, die in Benutzereinträgen in der ClearPass-Authentifizierungstabelle aufgeführt sind. Gruppen, auf die von Sicherheitsrichtlinien verwiesen wird, werden als interessierte Gruppen bezeichnet.

Einträge zur Benutzerauthentifizierung in der ClearPass-Authentifizierungstabelle

Bei ihrer Zusammenarbeit fungiert ClearPass als Authentifizierungsquelle für das Gerät der SRX- oder NFX-Serie. Das CPPM sendet Identitätsinformationen über Benutzer, die es authentifiziert hat, an das Gerät. Der UserID-Daemon-Prozess im Gerät empfängt diese Informationen, verarbeitet sie und synchronisiert sie mit der Packet Forwarding Engine in der unabhängigen ClearPass-Authentifizierungstabelle, die zu diesem Zweck generiert wird.

Als Administrator des Geräts können Sie die authentifizierten Benutzeridentitätsinformationen in Sicherheitsrichtlinien verwenden, um den Zugriff auf Ihre geschützten Ressourcen und das Internet zu steuern.

Die Erfassung von Benutzeridentitätsinformationen, die das Gerät vom CPPM erhält und zum Erstellen von Einträgen in seiner globalen Routing-Engine-Authentifizierungstabelle verwendet, die mit seiner individuellen ClearPass-Authentifizierungstabelle synchronisiert ist, wird als Zuordnung oder, was häufiger vorkommt, als IP-Benutzerzuordnung bezeichnet, da der Benutzername und die zugehörige Gruppenliste der IP-Adresse des Geräts des Benutzers zugeordnet sind.

Für jeden Benutzerauthentifizierungseintrag in der ClearPass-Authentifizierungstabelle identifiziert eine Gruppenliste die Gruppen, zu denen ein Benutzer gehört, zusätzlich zu anderen Informationen wie dem Statustoken, das den Status des Geräts angibt, z. B. ob es fehlerfrei ist.

Die integrierte Benutzer-Firewall-Funktion sowohl für die ClearPass- als auch für die Active Directory-Authentifizierung verwaltet bis zu 2048 Sitzungen für jeden Benutzer, für den eine Benutzeridentität und ein Authentifizierungseintrag in der Authentifizierungstabelle vorhanden sind. Möglicherweise sind einem Benutzer über die 2048 unterstützten Sitzungen hinaus zusätzliche Sitzungen zugeordnet, die jedoch nicht von der integrierten Benutzerfirewall verwaltet werden. Wenn ein Authentifizierungseintrag in einer Authentifizierungstabelle gelöscht wird, schließt die integrierte Benutzerfirewall nur Sitzungen, die diesem Eintrag zugeordnet sind. Sitzungen, die nicht verwaltet werden, werden nicht geschlossen. Das bedeutet, dass Sitzungen, die nicht dem Authentifizierungseintrag zugeordnet sind, nicht geschlossen werden.

Sie können einen Benutzernamen oder einen Gruppennamen in Sicherheitsrichtlinien verwenden, um einen Benutzer zu identifizieren, und sich nicht direkt auf die IP-Adresse des verwendeten Geräts verlassen, da die IP-Adresse des Geräts an den Benutzernamen und seine Gruppen im Eintrag in der ClearPass-Authentifizierungstabelle gebunden ist.

Für jeden Benutzereintrag darf die Anzahl der Gruppen oder Rollen im Eintrag 200 nicht überschreiten. Nachdem die Kapazität erreicht ist, werden zusätzliche Rollen verworfen und die folgende Syslog-Meldung gesendet:

In den Junos OS-Versionen 18.4R3, 19.4R2, 19.1R3, 19.2R2, 19.3R3 versucht das Benutzer-Firewall-Modul (UserFW) der SRX-Serie für SRX300-Geräte mit eUSB (SRX300, SRX320, SRX340 und SRX345), Benutzereinträge vom Domänencontroller oder Juniper Identity Management Service (JIMS) nach dem Hochfahren zu synchronisieren. Wenn die bisherigen Anmeldeereignisse auf dem Domänencontroller abgelaufen sind, kann das UserFW-Modul der SRX-Serie diese Benutzereinträge nach dem Hochfahren des UserFW-Moduls nicht abrufen.

Das CPPM stellt Benutzerinformationen im folgenden Format auf dem Gerät bereit. Das Gerät verwendet nicht alle diese Informationen.

Hier ist das Format für einen Eintrag in der ClearPass-Authentifizierungstabelle für einen Benutzer, gefolgt von einem Beispieleintrag und einer Beschreibung seiner Komponenten.

Im folgenden Beispiel gehört der Benutzer zwei Gruppen an: der Gruppe human-resources-grp und der Gruppe posture-healthy. Die Firewall der SRX-Serie wandelt die Statusinformationen aus dem CPPM in einen Gruppennamen um. Sie können eine Sicherheitsrichtlinie konfigurieren, die allen Benutzern Zugriff auf den Marketing-Server gewährt, wenn ihre Geräte zur Gruppe "posture-healthy" (Rolle) gehören.

  • IP-Adresse

    Dies ist die IP-Adresse des verwendeten Geräts.

  • Der Name der Domäne, zu der der Benutzer gehört.

    In diesem Beispiel lautet der Domänenname "my-company-domain". Der Standard-Domänenname GLOBAL wird verwendet, wenn kein Domänenname angegeben wird.

  • Der Benutzername

    Der Benutzername ist der Anmeldename des Benutzers, der zum Herstellen einer Verbindung mit dem Netzwerk verwendet wird, in diesem Beispiel lin.

    Dieser Name ist unabhängig vom verwendeten Gerät konstant.

    Wenn Sie eine Sicherheitsrichtlinie konfigurieren, deren Quellidentitätstupel die Quelle des Datenverkehrs anhand des Benutzernamens oder Gruppennamens und nicht anhand der IP-Adresse des verwendeten Geräts identifiziert, ist dies so, als ob die Sicherheitsrichtlinie geräteunabhängig wäre. Sie gilt für die Aktivität des Benutzers unabhängig vom verwendeten Gerät.

  • Eine oder mehrere Gruppen, denen ein Benutzer angehört

    Hier kommt das Konzept der Interessengruppen und ihr Verhältnis zur Sicherheitspolitik ins Spiel. Eine interessierte Gruppe ist eine Gruppe, auf die in einer Sicherheitsrichtlinie verwiesen wird. Das Konzept der interessierten Gruppen wird weiter unten in diesem Thema behandelt.

Beachten Sie, dass, wenn ein Benutzer über mehrere Geräte mit dem Netzwerk verbunden ist, möglicherweise mehr als eine IP-Benutzerzuordnung für diesen Benutzer vorhanden ist. Jede Zuordnung verfügt über einen eigenen Satz von Werten, d. h. Domänenname und Gruppenliste, in Verbindung mit dem Benutzernamen und der IP-Adresse.

Beispielsweise können die folgenden drei Zuordnungen von IP-Adressen zu Benutzernamen für den Benutzer abe vorhanden sein, der über drei separate Geräte mit dem Netzwerk verbunden ist:

Angenommen, die Firewall der SRX-Serie erhält eine Logout-Meldung für 110.208.132.23, abe. Der folgende Eintrag zur partiellen Benutzerauthentifizierung zeigt, dass der Benutzer abe nun mit nur zwei Geräten am Netzwerk angemeldet ist:

Warnung:

Wenn mehr als 2048 Sitzungen mit einem einzigen Authentifizierungseintrag in der ClearPass-Authentifizierungstabelle verknüpft sind, verwaltet die integrierte Benutzerfirewall für ClearPass die Sitzungen, die den Überlauf verursacht haben, nicht. Folglich gibt es keine Benutzeridentifikationsinformationen für die Sitzungen, die im Protokoll zum Schließen der Sitzung für diese Sitzungen gemeldet werden.

Kommunikation zwischen ClearPass und der Firewall der SRX-Serie oder dem Gerät der NFX-Serie

Im Folgenden finden Sie eine Zusammenfassung der Kommunikation zwischen der Firewall der SRX-Serie oder dem Gerät der NFX-Serie und ClearPass:

  • Ein Benutzer tritt dem Unternehmensnetzwerk über ein kabelgebundenes oder drahtloses LAN bei.

  • Das CPPM authentifiziert den Benutzer.

  • Das CPPM initiiert über die integrierte Web-API eine sichere Verbindung mit dem Gerät.

  • Der UserID-Daemon erhält die vollständige IP-Benutzerzuordnung vom CPPM. Für jeden authentifizierten Benutzer generiert der UserID-Daemon einen Eintrag in der Routing-Engine-Authentifizierungstabelle.

    Die Routing-Engine-Authentifizierungstabelle ist insofern üblich, als sie Authentifizierungseinträge enthält, die auf Informationen aus anderen Authentifizierungsquellen zusätzlich zu ClearPass basieren. Es kann z. B. auch Einträge für Benutzer enthalten, die von Microsoft Active Directory authentifiziert wurden.

  • Der UserID-Daemon synchronisiert die Benutzerauthentifizierungsinformationen aus der Routing-Engine-Authentifizierungstabelle mit der ClearPass-Authentifizierungstabelle in der Paketweiterleitungs-Engine. In der ClearPass-Authentifizierungstabelle werden nur ClearPass-Authentifizierungsinformationen gespeichert. Siehe Abbildung 1.

    Abbildung 1: Benutzerinformationen vom CPPM zur Firewall-Routing-Engine der SRX-Serie, synchronisiert mit der ClearPass-Authentifizierungstabelle User Information from the CPPM to the SRX Series Firewall Routing Engine Synchronized to the ClearPass Authentication Table

Das Gerät verwendet die authentifizierten Benutzeridentitätsinformationen im folgenden Prozess. Wenn ein Benutzer versucht, auf eine interne, geschützte Ressource oder das Internet zuzugreifen, geschieht Folgendes:

  • Überprüft den vom Benutzer generierten Datenverkehr auf eine übereinstimmende Sicherheitsrichtlinie. Der Quelldatenverkehr muss mit allen Tupeln übereinstimmen, die in der Sicherheitsrichtlinie angegeben sind. Die Übereinstimmung enthält das Feld source-identity, das einen Benutzernamen oder einen Gruppennamen angibt.

    Um eine Übereinstimmung zu identifizieren, vergleicht das Gerät den Benutzernamen oder den Gruppennamen mit der Quellidentitätsspezifikation, die in einer Sicherheitsrichtlinie konfiguriert ist, zusammen mit allen anderen Sicherheitsrichtlinienwerten.

  • Überprüft die ClearPass-Authentifizierungstabelle auf einen Authentifizierungseintrag für den Benutzer, wenn eine Übereinstimmung mit der Sicherheitsrichtlinie gefunden wurde.

    Wenn kein Eintrag in der ClearPass-Authentifizierungstabelle gefunden wird, überprüft das Gerät andere lokale Authentifizierungstabellen in der von Ihnen angegebenen Reihenfolge, bis eine Übereinstimmung gefunden wird. Andere lokale Authentifizierungstabellen werden jedoch nicht überprüft, wenn die Benutzerabfragefunktion konfiguriert ist. Weitere Informationen finden Sie unter Grundlegendes zur integrierten Benutzerabfragefunktion für die ClearPass-Authentifizierung und -Durchsetzung.

    Das Gerät kann unter bestimmten Umständen beim CPPM nach individuellen Benutzerinformationen fragen, wenn es diese Informationen noch nicht vom CPPM erhalten hat. Diese Funktion wird als Benutzerabfrage bezeichnet.

Abbildung 2 veranschaulicht die Verbindung und Kommunikation zwischen dem Gerät und dem CPPM. Außerdem werden die Pfade angezeigt, die für die Authentifizierung von Benutzern und den Zugriff auf das Internet und interne, geschützte Ressourcen erforderlich sind.

Abbildung 2: Kommunikations- und Benutzerauthentifizierungsprozess der Firewall von ClearPass und der SRX-Serie ClearPass and SRX Series Firewall Communication and User Authentication Process

Wie Abbildung 2 zeigt, findet die folgende Aktivität statt:

  1. Das CPPM initiiert über die Web-API eine sichere Verbindung mit der Firewall der SRX-Serie.

  2. Drei Benutzer treten dem Netzwerk bei und werden vom CPPM authentifiziert.

    • Ein Tablet-Benutzer tritt dem Netzwerk über das Unternehmens-WAN bei.

    • Ein Smartphone-Benutzer tritt dem Netzwerk über das Unternehmens-WAN bei.

    • Ein drahtloser Laptop-Benutzer tritt dem Netzwerk von einem kabelgebundenen Laptop bei, der mit einem Layer-2-Switch verbunden ist, der mit dem Unternehmens-LAN verbunden ist.

  3. Das CPPM sendet die Benutzerauthentifizierungs- und Identitätsinformationen für die Benutzer, die beim Netzwerk angemeldet sind, in POST-Anforderungsnachrichten über die Web-API an das Gerät.

    Wenn Datenverkehr von einem Benutzer auf dem Gerät eintrifft, führt das Gerät folgende Aktionen aus:

    • Gibt eine Sicherheitsrichtlinie an, mit der der Datenverkehr übereinstimmt.

    • Sucht einen Authentifizierungseintrag für den Benutzer in der ClearPass-Authentifizierungstabelle.

    • Wendet die Sicherheitsrichtlinie nach der Authentifizierung des Benutzers auf den Datenverkehr an.

  4. Der Datenverkehr des Smartphone-Benutzers, der Zugriff auf eine interne, geschützte Ressource anfordert, kommt auf dem Gerät an. Da alle in Schritt 3 identifizierten Bedingungen erfüllt sind und die Sicherheitsrichtlinie dies zulässt, lässt das Gerät dem Benutzer die Verbindung mit der geschützten Ressource zu.

  5. Der Datenverkehr des kabelgebundenen Laptopbenutzers, der Zugriff auf eine geschützte Ressource anfordert, kommt am Gerät an. Da alle in Schritt 3 identifizierten Bedingungen erfüllt sind und die Sicherheitsrichtlinie dies zulässt, lässt das Gerät den Benutzer zu, eine Verbindung mit der Ressource herzustellen.

  6. Der Datenverkehr des Tablet-Benutzers, der Zugriff auf das Internet anfordert, kommt auf dem Gerät an. Da alle in Schritt 3 identifizierten Bedingungen erfüllt sind und die Sicherheitsrichtlinie dies zulässt, lässt das Gerät die Verbindung des Benutzers mit dem Internet zu.

Domänen und Interessengruppen verstehen

Die Art und Weise, wie die Benutzeridentitätsgruppeninformationen auf dem Gerät verwaltet werden, wird von zwei Konzepten dominiert:

  • Domänengruppe

    Das Gerät folgt dem üblichen Kurs in Bezug auf den Umgang mit Benutzernamen in Domain-Namensräumen. Der Namespace wird verwendet, um Namen zu unterscheiden, die identisch sind, z. B admin. -, aber aus unterschiedlichen Quellen stammen und sich in unterschiedlichen Domänen befinden. Da sie zu unterschiedlichen Domänen gehören, stehen die Namen nicht in Konflikt.

    Jede Gruppe, die Teil einer IP-Benutzerzuordnung ist, gehört immer zu einer Domäne, unabhängig davon, ob es sich bei dieser Domäne um eine bestimmte Domäne oder die GLOBAL-Domäne handelt. Wenn in der IP-Benutzerzuordnung kein Domänenname angegeben ist, wird die Domäne GLOBAL angenommen.

    Tabelle 1 veranschaulicht, wie die Domäne für eine Gruppe auf der Grundlage der vom CPPM erhaltenen IP-Benutzerzuordnungsinformationen bestimmt wird.

    Tabelle 1: Zuweisen einer Domäne zu einer Gruppe

    Enthält das IP-Benutzer-Mapping einen Domainnamen?

    Welcher Bereich wird auf die Gruppe angewendet?

    Nein

    Zum Beispiel:

    IP, , user1, group-list
    

    Das zweite Komma dient als Platzhalter für den Domainnamen und die Domain GLOBAL wird angewendet.

    Gruppen, die in group-list enthalten sind, gehören zur Domäne GLOBAL.

    Ja

    Zum Beispiel:

    IP, domain1, user1, group-list
    
    Hinweis:

    In diesem Beispiel gibt die IP-Benutzerzuordnung den Domänennamen als domain1 an.

    Der Domänenname domain1 ist in der IP-Benutzerzuordnung aus dem CPPM enthalten und wird verwendet. Sie wird im Eintrag für den authentifizierten Benutzer in der ClearPass-Authentifizierungstabelle der Packet Forwarding Engine beibehalten.

  • Interessengruppe

    Eine Gruppe qualifiziert sich als interessierte Gruppe , wenn von einer Sicherheitsrichtlinie auf sie verwiesen wird, d. h., wenn sie im Quellidentitätsfeld einer Richtlinie angegeben ist. In der Routing-Engine-Authentifizierungstabelle enthält jeder Benutzereintrag eine Gruppe, auf die durch eine Richtlinienliste verwiesen wird, die die Namen der Gruppen identifiziert, für die eine Sicherheitsrichtlinie vorhanden ist. Wenn eine Gruppe, die in einem Benutzereintrag enthalten ist, derzeit nicht in einer Sicherheitsrichtlinie verwendet wird, ist sie nicht in dieser Liste enthalten. Eine Gruppe kann in die Gruppen, auf die in einer Richtlinienliste verwiesen wird, ein- und ausgehen.

    • Interessengruppenlisten

      Eine Liste interessierter Gruppen oder eine Liste von Gruppen, auf die von Richtlinien verwiesen wird, ist eine Teilmenge der Gesamtgruppen. Sie ist die Schnittmenge zwischen der Gruppenliste in einem Benutzerauthentifizierungseintrag und der Quellidentitätsliste für Sicherheitsrichtlinien. Das heißt, jede Gruppe, die in einem Benutzereintrag in der ClearPass-Authentifizierungstabelle enthalten ist, qualifiziert sich als interessierte Gruppe. Die Routing-Engine synchronisiert nur die Gruppen, auf die von Sicherheitsrichtlinien verwiesen wird, mit dem Benutzereintrag in der ClearPass-Authentifizierungstabelle auf der Paketweiterleitungs-Engine.

      Und so funktioniert's:

      • Der UserID-Daemon erhält die vollständige Zuordnung der IP-Benutzerrolle (Gruppe) vom CPPM.

      • Für jede Gruppe identifiziert der UserID-Daemon, ob es sich um eine interessierte Gruppe handelt, indem er bestimmt, ob es eine Sicherheitsrichtlinie gibt, die auf sie verweist. Alle qualifizierenden Gruppen sind in den Gruppen enthalten, auf die in einer Richtlinienliste auf der Routing-Engine verwiesen wird. Der UserID-Daemon synchronisiert sich mit dem Benutzereintrag in der ClearPass-Authentifizierungstabelle der Packet Forwarding Engine, den interessierten Gruppen, zusammen mit den übrigen Benutzerauthentifizierungs- und Identitätsinformationen.

      Die Interessengruppenliste für einen Benutzereintrag auf der Routing-Engine kann sich basierend auf den folgenden Ereignissen ändern:

      • Es wird eine neue Sicherheitsrichtlinie konfiguriert, die auf eine Gruppe verweist, die im Benutzereintrag in der Routing-Engine enthalten ist, sich aber noch nicht in der Liste der referenzierten Gruppen des Eintrags befindet.

      • Eine aktuell konfigurierte Sicherheitsrichtlinie, die in ihrer Quellidentität auf eine Gruppe verweist, wird gelöscht.

      Betrachten Sie das folgende Beispiel:

      • Angenommen, das CPPM hat die folgenden Informationen für zwei Benutzer an die Firewall der SRX-Serie gesendet:

      • Nachdem das Gerät den Status zugeordnet und als Gruppe definiert hat, werden die beiden Benutzereinträge in der Authentifizierungstabelle des Routingmoduls des Geräts wie folgt angezeigt:

      • Es wird davon ausgegangen, dass mehrere Sicherheitsrichtlinien Quellidentitätsfelder enthalten, die auf eines der folgenden Felder verweisen: group1, group3, posture-healthy.

        Die Überschneidung der vorhergehenden Gruppen – der ursprünglichen Gruppenliste und der Liste der Sicherheitsrichtlinien, die sich auf die Gruppen beziehen – führt zu der folgenden Liste interessierter Gruppen:

        • Für den Benutzer john umfassen die Gruppen, auf die in der Richtlinienliste verwiesen wird, group1 und posture-healthy.

        • Für den Benutzer abe umfassen die Gruppen, auf die in der Richtlinienliste verwiesen wird, group1, group3 und posture-healthy.

      Nehmen wir nun an, dass die Sicherheitsrichtlinie, deren Quellidentitätsfeld group1 angegeben hat, gelöscht wurde. Die Gruppen, auf die in den Richtlinienlisten für die Benutzerauthentifizierungseinträge für die beiden Benutzer – john und abe – verwiesen wird, werden geändert, was zu den folgenden Ergebnissen führt:

      • Für den Benutzer john würde die Liste nur haltungsgesunde enthalten.

      • Für den Benutzer abe würde die Liste group3 und posture-healthy enthalten.

    Tabelle 2 zeigt, wie sich eine Sicherheitsrichtlinie, die auf eine Gruppe verweist, auf die ClearPass-Authentifizierungstabelle auswirkt. Außerdem werden die Auswirkungen auf die ClearPass-Authentifizierungstabelle angezeigt, wenn auf eine Gruppe nicht von einer Sicherheitsrichtlinie verwiesen wird und sie daher keine interessierte Gruppe ist.

    Tabelle 2: Interessierte Gruppen: Auswirkung auf die ClearPass-Authentifizierungstabelle

    Konfiguration und Änderung von Sicherheitsrichtlinien

    Daraus resultierende Auswirkung auf die Einträge der ClearPass-Authentifizierungstabelle in der Paketweiterleitungs-Engine

    Case 1:

    Die Firewall der SRX-Serie ruft die IP-Benutzerzuordnung für einen Benutzer vom CPPM ab.

    Auf keine der Gruppen in der Benutzerzuordnung wird von Sicherheitsrichtlinien verwiesen.

    IP-Benutzer-Mapping aus dem CPPM:

    203.0.113.9, ,user1, g1, g2, g3, g4
    

    Der Benutzerauthentifizierungseintrag, der in die ClearPass-Authentifizierungstabelle in der Packet Forwarding Engine für diesen Benutzer geschrieben wurde, enthält keine Gruppen.

    203.0.113.9 , ,user1 
    

    Case 2:

    Die Firewall der SRX-Serie ruft die IP-Benutzerzuordnung für einen Benutzer vom CPPM ab. Er vergleicht die Gruppenliste mit der Liste der Sicherheitsrichtlinien und stellt fest, dass auf zwei der Gruppen von Sicherheitsrichtlinien verwiesen wird.

    IP-Benutzerzuordnung auf der Routing-Engine:

    192.0.2.1, domain1, user2, g1, g2, g3, g4
    

    Der Benutzerauthentifizierungseintrag, der für diesen Benutzer in die ClearPass-Authentifizierungstabelle der Paketweiterleitungs-Engine geschrieben wird, enthält die folgenden Gruppen, die in den Gruppen enthalten sind, auf die von der Richtlinienliste auf der Routing-Engine verwiesen wird:

    192.0.2.1, domain1, user2, g2, g4
    

Wenn ein Benutzer bereits von einer anderen Quelle authentifiziert wurde

Es kann vorkommen, dass z.B. die Authentifizierungstabelle der Device Routing Engine und die individuelle Microsoft Active Directory Authentifizierungstabelle auf der Packet Forwarding Engine einen Eintrag für einen Benutzer enthalten, der von Active Directory authentifiziert wurde. Wie üblich sendet das CPPM die IP-Benutzerzuordnung für den Benutzer an das Gerät. Das Gerät muss das Problem beheben, da seine Routing-Engine-Authentifizierungstabelle sowohl für Active Directory als auch für ClearPass verwendet wird.

So geht das Gerät mit der Situation um:

  • Gehen Sie in der Routing-Engine-Authentifizierungstabelle wie folgt vor:

    • Das Gerät überschreibt den Active Directory-Authentifizierungseintrag für den Benutzer in seiner gemeinsamen Routing-Engine-Authentifizierungstabelle mit dem neu generierten Eintrag aus der IP-Benutzerzuordnung für den Benutzer aus dem CPPM.

      Es gibt jetzt keinen Konflikt mehr zwischen IP-Adressen oder Benutzernamen.

  • Auf der Paketweiterleitungs-Engine:

    • Das Gerät löscht den vorhandenen Active Directory-Authentifizierungseintrag für den Benutzer aus der Active Directory-Authentifizierungstabelle.

      Dadurch werden aktive Sitzungen gelöscht, die mit der IP-Adresse verknüpft sind.

    • Das Gerät generiert einen neuen Eintrag für den CPPM-authentifizierten Benutzer in der ClearPass-Authentifizierungstabelle der Packet Forwarding Engine.

      Der Datenverkehr, der mit dem Eintrag für die IP-Benutzerzuordnung verknüpft ist, initiiert neue Sitzungen basierend auf der Benutzerauthentifizierung in der ClearPass-Authentifizierungstabelle.

Beispiel: Durchsetzung von Sicherheitsrichtlinien der SRX-Serie mit Aruba ClearPass als Authentifizierungsquelle

In diesem Beispiel erfahren Sie, wie Sie die Sicherheit konfigurieren, um Ihre Ressourcen zu schützen und den Zugriff auf das Internet mithilfe der in der Firewall der SRX-Serie integrierten ClearPass-Authentifizierungs- und Durchsetzungsfunktion zu steuern, die auf dem Aruba ClearPass Policy Manager als Authentifizierungsquelle basiert. Mit der integrierten ClearPass-Funktion der SRX-Serie können Sie Sicherheitsrichtlinien konfigurieren, die den Zugriff auf Unternehmensressourcen und das Internet steuern, indem Benutzer anhand des Benutzernamens, des Gruppennamens oder des Namens einer Rolle identifiziert werden, die eine Gruppe von Benutzern und einen Gerätetyp miteinander verbindet.

Heutige Netzwerkumgebungen sind anfälliger für Angriffe verschiedener Art, da sie überall, jederzeit und auf jedem Gerät mehr oder weniger Zugriff unterstützen und es einem Benutzer ermöglichen, mehrere gleichzeitig mit dem Netzwerk verbundene Geräte zu verwenden. Da Sie den Benutzer anhand des Benutzernamens identifizieren können, verringert die integrierte ClearPass-Authentifizierungs- und Durchsetzungsfunktion die Sicherheitslücke, die diese Funktionen mit sich bringen.

Ausführliche Informationen dazu, wie Benutzerauthentifizierungs- und Identitätsinformationen vom CPPM an die Firewall der SRX-Serie übertragen werden, finden Sie in den folgenden Themen:

Das Beispiel umfasst die folgenden Prozesse:

  • So steuern Sie den Zugriff auf Benutzerebene basierend auf dem Benutzernamen oder Gruppennamen, nicht auf der IP-Adresse des Geräts.

    Sie können den Parameter source-identity in einer Sicherheitsrichtlinie verwenden, um den Namen eines Benutzers oder den Namen einer Gruppe von Benutzern anzugeben, deren Authentifizierung vom CPPM bereitgestellt wird. Die Richtlinie wird unabhängig vom verwendeten Gerät auf den Datenverkehr angewendet, der von den Benutzern generiert wird, wenn sie versuchen, auf eine geschützte Ressource oder das Internet zuzugreifen. Die Zugriffssteuerung ist an den Namen des Benutzers gebunden und nicht direkt an die IP-Adresse des Geräts des Benutzers.

    Sie können verschiedene Sicherheitsrichtlinien für einen einzelnen Benutzer konfigurieren, die unterschiedliche Aktionen angeben, die sich durch die angegebenen Zonen und Zieladressen oder eine Gruppe, der der Benutzer angehört, unterscheiden.

  • Anzeige und Interpretation des Inhalts der ClearPass-Authentifizierungstabelle.

    Die Firewall der SRX-Serie erstellt die ClearPass-Authentifizierungstabelle, die Benutzerauthentifizierungs- und Identitätsinformationen enthält, die sie vom CPPM erhält. Das Gerät verweist auf die Tabelle, um einen Benutzer zu authentifizieren, der Zugriff auf eine Ressource anfordert.

    Der Inhalt der ClearPass-Authentifizierungstabelle ist dynamisch. Sie werden geändert, um die Benutzeraktivität als Reaktion auf verschiedene Ereignisse und auch im Hinblick auf Sicherheitsrichtlinien, die auf Gruppen verweisen, widerzuspiegeln.

    Wenn sich z. B. ein Benutzer vom Netzwerk oder vom Netzwerk abmeldet, wird die ClearPass-Authentifizierungstabelle geändert, ebenso wie wenn ein Benutzer aus einer Gruppe entfernt wird oder eine referenzierte Sicherheitsrichtlinie, die eine Gruppe angibt, zu der der Benutzer gehört, gelöscht wird. Im letzteren Fall zeigt der Benutzereintrag den Benutzer nicht mehr als zu dieser Gruppe gehörend an.

    In diesem Beispiel wird der Inhalt der ClearPass-Authentifizierungstabelle angezeigt, um Änderungen darzustellen, die aufgrund von zwei Ereignissen vorgenommen wurden. Der Inhalt für die Benutzer wird angezeigt:

    • Vor und nach der Abmeldung eines bestimmten Benutzers vom Netzwerk

    • Vor und nach dem Löschen einer Sicherheitsrichtlinie, auf die verwiesen wird

      Der Eintrag für den Benutzer, der zu der Gruppe gehörte, auf die die Sicherheitsrichtlinie verweist, wird vor und nach dem Löschen der Richtlinie angezeigt.

Anforderungen

In diesem Abschnitt werden die Software- und Hardwareanforderungen für die Topologie für dieses Beispiel definiert. Abbildung 3 zeigt den Topologieentwurf.

Die Hard- und Softwarekomponenten sind:

  • Aruba ClearPass. Der ClearPass Policy Manager (CPPM) ist so konfiguriert, dass er seine lokale Authentifizierungsquelle zur Authentifizierung von Benutzern verwendet.

    Es wird davon ausgegangen, dass das CPPM so konfiguriert ist, dass es der Firewall der SRX-Serie Benutzerauthentifizierungs- und Identitätsinformationen zur Verfügung stellt, einschließlich des Benutzernamens, einer Liste der Namen aller Gruppen, denen der Benutzer angehört, der IP-Adressen der verwendeten Geräte und des Gerätestatus-Tokens.

  • Firewall der SRX-Serie mit Junos OS mit integrierter ClearPass-Funktion.

  • Eine Serverfarm bestehend aus sechs Servern, die sich alle in der Server-Zone befinden:

    • marketing-server-geschützt (203.0.113.23 )

    • personalserver (203.0.113.25 )

    • Buchhaltungsserver (203.0.113.72)

    • öffentlicher-server (203.0.113.62)

    • Unternehmensserver (203.0.113.71)

    • sales-server (203.0.113.81)

  • AC 7010 Aruba Cloud Services Controller mit ArubaOS.

  • Aruba AP Wireless Access Controller mit ArubaOS.

    Der Aruba AP ist mit dem AC7010 verbunden.

    Wireless-Benutzer stellen über den Aruba AP eine Verbindung zum CPPM her.

  • EX4300-Switch von Juniper Networks, der als kabelgebundenes 802.1-Zugriffsgerät verwendet wird.

    Kabelgebundene Benutzer verbinden sich über den Switch EX4300 mit dem CPPM.

  • Sechs Endbenutzersysteme:

    • Drei kabelgebundene, mit dem Netzwerk verbundene PCs mit Microsoft-Betriebssystem

    • Zwei BYOD-Geräte, die über das Aruba AP-Zugangsgerät auf das Netzwerk zugreifen

    • Ein kabelloser Laptop mit Microsoft-Betriebssystem

Übersicht

In seiner Eigenschaft als Authentifizierungsquelle für die integrierte ClearPass-Funktion sendet das CPPM Benutzerauthentifizierungs- und Identitätsinformationen an die Firewall der SRX-Serie. Wenn er diese Informationen empfängt, verarbeitet der UserID-Daemon der SRX-Serie sie und generiert Einträge für die authentifizierten Benutzer in der Routing-Engine-Authentifizierungstabelle und synchronisiert diese Informationen dann mit der ClearPass-Authentifizierungstabelle auf der Seite der Paketweiterleitungs-Engine.

Die Firewall der SRX-Serie benötigt die Benutzerauthentifizierungs- und Identitätsinformationen, um zu überprüfen, ob ein Benutzer authentifiziert ist, wenn der Benutzer eine Zugriffsanfrage stellt und der vom Gerät des Benutzers generierte Datenverkehr an der Firewall der SRX-Serie ankommt. Wenn eine Sicherheitsrichtlinie vorhanden ist, die im Parameter source-identity den Benutzernamen oder den Namen einer Gruppe angibt, der der Benutzer angehört, durchsucht die Firewall der SRX-Serie den Inhalt ihrer ClearPass-Authentifizierungstabelle nach einem Eintrag für diesen Benutzer.

Wenn in der ClearPass-Authentifizierungstabelle kein Eintrag für den Benutzer gefunden wird, kann die Firewall der SRX-Serie die anderen Authentifizierungstabellen durchsuchen, sofern Sie eine Suchreihenfolge konfiguriert haben, die diese enthält. Weitere Informationen zur Suchreihenfolge der Authentifizierungstabelle finden Sie unter Konfigurieren der integrierten ClearPass-Authentifizierung und -Erzwingung .

Mit der integrierten ClearPass-Funktion können Sie identitätsbewusste Sicherheitsrichtlinien erstellen, die so konfiguriert sind, dass sie dem Datenverkehr entsprechen, der von Benutzern auf der Grundlage ihres Benutzernamens oder des Namens einer Gruppe, der sie angehören, ausgegeben wird.

Sie konfigurieren Rollenzuordnungen auf dem CPPM, nicht auf der Firewall der SRX-Serie.

Beispielsweise kann eine Gerätetyprollenzuordnung Benutzeridentitäten an unternehmenseigene Computer binden. Sie können diese Rolle als Gruppe in einer Sicherheitsrichtlinie angeben, die so konfiguriert ist, dass sie für alle Benutzer gilt, die der Regel zugeordnet sind. In diesem Fall gelten die von CPPM für die Regel festgelegten Bedingungen – die Verwendung eines unternehmenseigenen Computers – für alle Benutzer, die der Regel zugeordnet sind. Die Firewall der SRX-Serie berücksichtigt nicht die Bedingungen, sondern akzeptiert die Regel des CPPM.

Die folgenden Konfigurationen in diesem Beispiel decken Sicherheitsrichtlinien ab, die basierend auf dem verwendeten Gerätetyp anwendbar sind, wie vom CPPM über Regelzuordnungen definiert. Es wird davon ausgegangen, dass das CPPM die folgenden zugeordneten Regeln an die Firewall der SRX-Serie gesendet hat, die als Gruppen in Sicherheitsrichtlinien verwendet werden:

  • marketing-zugang-für-pcs-limited-group

    Ordnet jxchan dem Gerätetyp PC zu.

    Die Richtlinie, die marketing-access-for-pcs-limited-group in ihrem Quellidentitätsfeld angibt, erlaubt jxchan und anderen Benutzern, die ihr zugeordnet sind, den Zugriff auf den durch den Marketing-Server geschützten Server über ihren PC, unabhängig davon, ob er sich im Besitz des Unternehmens befindet oder nicht.

  • buchhaltung-grp-und-firmen-gerät

    Ordnet Benutzer, die zu Buchhaltungsgruppen gehören, mithilfe von Unternehmensgeräten zu. Das CPPM sendet die Rolle accounting-grp-and-company-device an die Firewall der SRX-Serie. Die Zuordnung erfolgt auf dem CPPM durch Rollenzuordnungsregeln.

    Die Richtlinie, die accounting-grp-and-company-device in ihrem Quellidentitätsfeld angibt, ermöglicht Benutzern, die der Regel zugeordnet sind, den Zugriff auf geschützte Ressourcen auf dem Accounting-Server. Die Gruppe accounting-grp wird der Regel zugeordnet. Daher gilt die zugeordnete Regel für die Mitglieder von accounting-grp.

    Der Benutzer viki2 gehört zu accounting-grp. Wenn alle Bedingungen zutreffen – das heißt, wenn viki2 ein firmeneigenes Gerät verwendet und die Richtlinie den Zugriff zulässt – wird ihr der Zugriff auf die Ressourcen auf accounting-server gewährt. Beachten Sie jedoch, dass die Firewall der SRX-Serie die Regel nicht analysiert. Stattdessen wendet es auf alle Benutzer an, die ihm vom CPPM zugeordnet werden.

  • Gast-Gerät-BYOD

    Ordnet die Gastgruppe dem Gerätetyp byod zu, d. h. jedem benutzereigenen Gerät, das in das Netzwerk gebracht wird.

    Die Richtlinie, die guest-device-byod im Feld für die Quellidentität angibt, verweigert Benutzern, die der Regel zugeordnet sind, den Zugriff auf alle Server in der Serverzone, wenn sie Smartphones oder andere benutzereigene Geräte verwenden. Der Benutzername guest2 wird dieser Regel vom CPPM zugeordnet.

In allen Fällen, in denen den Benutzern der Zugriff gemäß den Bedingungen der Sicherheitsrichtlinie gewährt oder verweigert wird, können Sie davon ausgehen, dass die folgenden Bedingungen vorliegen:

  • Das CPPM hat die korrekten Authentifizierungsinformationen für die Benutzer und Gruppen an die Firewall der SRX-Serie gesendet.

  • Die Firewall der SRX-Serie verarbeitete die authentifizierten Benutzerinformationen korrekt und generierte Einträge für die Benutzer und Gruppen in ihrer ClearPass-Authentifizierungstabelle.

Ab Junos OS Version 15.1X49-D130 unterstützt die Firewall der SRX-Serie die Verwendung von IPv6-Adressen, die Quellidentitäten in Sicherheitsrichtlinien zugeordnet sind. Wenn ein IPv4- oder IPv6-Eintrag vorhanden ist, werden Richtlinien, die diesem Eintrag entsprechen, auf den Datenverkehr angewendet, und der Zugriff wird zugelassen oder verweigert.

Tabelle 3 fasst die Benutzer, ihre Gruppen und die Zonen, zu denen sie gehören, zusammen. Alle Benutzer gehören zur Standarddomäne GLOBAL.

Tabelle 3: Beispiel für authentifizierte Benutzerinformationen für Sicherheitsrichtlinien

Benutzer

Gruppe

Zone

Abe (abew1)

  • marketing-access-limited-grp

marketing-zone

Johannes (jxchan)

  • Gesunde Körperhaltung

  • marketing-zugang-für-pcs-limited-group

  • marketing-allgemein

  • Verkäufe begrenzt

  • Gesellschaft mit beschränkter Haftung

marketing-zone

Lin (lchen1)

  • Gesunde Körperhaltung

  • human-resources-grp

  • Buchhaltung begrenzt

  • Gesellschaft mit beschränkter Haftung

human-resources-zone

Viki (viki2)

  • Gesunde Körperhaltung

  • buchhaltung-grp

  • buchhaltung-grp-und-firmen-gerät

  • Gesellschaft mit beschränkter Haftung

Buchhaltungs-Zone

Gast1

  • Gesunde Körperhaltung

  • Gast

Öffentlicher Bereich

Gast2

  • Gesunde Körperhaltung

  • Gast-Gerät-BYOD

Öffentlicher Bereich

Topologie

Abbildung 3 zeigt die Topologie für dieses Beispiel.

Abbildung 3: Topologie für die integrierte Durchsetzung der ClearPass-Authentifizierung durch Sicherheitsrichtlinien – Beispiel Topology for the Integrated ClearPass Authentication Enforcement Through Security Policies Example

Konfiguration

In diesem Abschnitt wird beschrieben, wie Sie die Firewall der SRX-Serie so konfigurieren, dass sie Sicherheitsrichtlinien enthält, die dem Datenverkehr entsprechen, der von Benutzern ausgegeben wird, die vom CPPM authentifiziert wurden.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Anweisungen, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Anweisungen, und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Konfigurieren von Schnittstellen, Zonen und einem Adressbuch

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Konfigurieren Sie die folgenden Schnittstellen, und weisen Sie sie Zonen zu:

  • GE-0/0/3.0 > Marketing-Zone

  • GE-0/0/3.1 > Personal-Zone

  • GE-0/0/3.2> Abrechnungszone

  • GE-0/0/4.0 > öffentliche Zone

  • ge-0/0/4.1 > server-zone

Da in diesem Beispiel logische Schnittstellen verwendet werden, müssen Sie das VLAN-Tagging konfigurieren.

  1. Konfigurieren Sie Schnittstellen für die Firewall der SRX-Serie:

  2. Konfigurieren von Zonen.

  3. Konfigurieren Sie ein Adressbuch mit den IP-Adressen der Server, die als Zieladressen in Sicherheitsrichtlinien verwendet werden sollen.

  4. Hängen Sie das Adressbuch "servers-zone-addresses" an "servers-zone" an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für Schnittstellen, indem Sie den show interfaces Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für Zonen, indem Sie den show security zones Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration für das Adressbuch, indem Sie den show security address-book Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren identitätsbewusster Sicherheitsrichtlinien zur Steuerung des Benutzerzugriffs auf Unternehmensressourcen

Schritt-für-Schritt-Anleitung

Diese Aufgabe umfasst die Konfiguration von Sicherheitsrichtlinien, die für den Zugriff eines Benutzers auf Ressourcen basierend auf dem Benutzernamen oder Gruppennamen und nicht auf der IP-Adresse des verwendeten Geräts gelten.

Beachten Sie, dass alle Benutzer zur Standarddomäne GLOBAL gehören.

  1. Konfigurieren Sie eine Sicherheitsrichtlinie, die marketing-access-for-pcs-limited-group als Quellidentität angibt. Es erlaubt dem Benutzer jxchan, der zu dieser Gruppe gehört, auf jeden der Server in den Server-Zonen zuzugreifen, wenn er einen PC verwendet, unabhängig davon, ob es sich um ein persönliches Gerät oder ein firmeneigenes Gerät handelt. Der Benutzername jxchan wird vom CPPM der Regel marketing-access-for-pcs-limited-group zugeordnet.

  2. Konfigurieren Sie eine Sicherheitsrichtlinie, die dem Benutzer abew1 unabhängig vom verwendeten Gerät Zugriff auf den durch die Marketingzone geschützten Server (IP-Adresse 203.0.113.23 ) in der Serverzone gewährt.

  3. Konfigurieren Sie eine Sicherheitsrichtlinie, die dem Benutzer viki2 den Zugriff auf den Accounting-Server (IP-Adresse 203.0.113.72) in der Serverzone erlaubt, wenn er ein firmeneigenes Gerät verwendet. Der Benutzer viki2 gehört zu accounting-grp, das vom CPPM auf die company-owned-device-Regel (accounting-grp-and-company-device) gemappt wird.

  4. Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die der Gruppe mit eingeschränkten Unternehmensgrenzen angehören, eingeschränkten Zugriff auf den Unternehmensserverserver (IP-Adresse 203.0.113.71) in der Serverzone ermöglicht, wenn sie eine Anforderung aus der Personalzone initiieren.

    Wenn die Quelladresse als "any" angegeben würde, würde die Richtlinie für andere Benutzer gelten, die ebenfalls zur Gruppe mit beschränkter Unternehmenseinschränkung gehören.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, die dem Benutzer abew1 den Zugriff auf den Unternehmensserver (IP-Adresse 203.0.113.71) in der Serverzone ermöglicht. Der Benutzer abew1 gehört zu marketing-access-limited-grp, für das die Sicherheitsrichtlinie gilt.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die der Gruppe "sales-limited-group" angehören, Zugriff auf den Server "human resources-server" (IP-Adresse 203.0.113.81) gewährt, wenn sie eine Anfrage aus der Marketingzone initiieren. Der Benutzer jxchan gehört zur sales-limited-group.

  7. Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die zur Gastgruppe gehören, Zugriff auf den öffentlichen Server (IP-Adresse 203.0.113.91) in der Serverzone gewährt.

  8. Konfigurieren Sie eine Sicherheitsrichtlinie, die Benutzern, die der Gruppe guest-device-byod angehören, den Zugriff auf Server in der Serverzone verweigert, wenn sie ihre eigenen Geräte verwenden.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer Sicherheitsrichtlinien für das integrierte ClearPass, indem Sie den show security policies Befehl eingeben.

Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Überprüfung

In diesem Abschnitt wird der Inhalt der ClearPass-Authentifizierungstabelle überprüft, nachdem bestimmte Ereignisse aufgetreten sind, die dazu führen, dass einige der Benutzerauthentifizierungseinträge geändert werden. Außerdem wird gezeigt, wie Sie sicherstellen können, dass die ClearPass-Authentifizierungstabelle erfolgreich gelöscht wurde, nachdem Sie den Befehl delete ausgegeben haben. Es besteht aus den folgenden Teilen:

Anzeige des Inhalts der ClearPass-Authentifizierungstabelle vor und nach der Abmeldung eines authentifizierten Benutzers aus dem Netzwerk

Zweck

Zeigen Sie den Inhalt der ClearPass-Authentifizierungstabelle an, wenn ein bestimmter, authentifizierter Benutzer beim Netzwerk angemeldet ist und nachdem sich der Benutzer abgemeldet hat.

Aktion

Geben Sie den show services user-identification authentication-table authentication-source authentication-source Befehl für die ClearPass-Authentifizierungstabelle ein, der als aruba-clearpass bezeichnet wird. Beachten Sie, dass die ClearPass-Authentifizierungstabelle einen Eintrag für den Benutzer viki2 enthält.

Geben Sie denselben Befehl erneut ein, nachdem sich viki2 vom Netzwerk abgemeldet hat. Beachten Sie, dass die ClearPass-Authentifizierungstabelle keinen Eintrag mehr für viki2 enthält.

Anzeigen des Inhalts der Authentifizierungstabelle vor und nach dem Löschen einer Sicherheitsrichtlinie, auf die verwiesen wird

Zweck

Zeigen Sie den Inhalt der ClearPass-Authentifizierungstabelle für einen bestimmten Benutzer (lchen1) an, der zu einer Gruppe gehört, auf die von einer Sicherheitsrichtlinie verwiesen wird. Löschen Sie diese Sicherheitsrichtlinie, und zeigen Sie dann den Eintrag für diesen Benutzer erneut an.

Aktion

Geben Sie den Befehl ein, um den show service user-identification authentication-table authentication-source user user-name Eintrag in der ClearPass-Authentifizierungstabelle für einen bestimmten Benutzer, lchen1, anzuzeigen. Beachten Sie, dass sie die Gruppe corporate-limited enthält.

Das Feld "human-resources-p1 security policy source-identity" bezieht sich auf die Gruppe "corporate-limited". Wie oben im ClearPassauthentication-Eintrag für ihn gezeigt, gehört der Benutzer lchen1 zu dieser Gruppe. Hier ist die Konfiguration für die Sicherheitsrichtlinie, auf die verwiesen wird:

Nachdem Sie die Sicherheitsrichtlinie human-resources-p1 gelöscht haben, deren source-identity-Parameter sich auf die Gruppe mit dem Namen corporate-limited bezieht, geben Sie denselben Befehl erneut ein. Beachten Sie, dass der Authentifizierungseintrag für lchen1 nicht die Gruppe mit beschränkter Unternehmenseinschränkung enthält.

Verfolgen Sie einen anderen Ansatz, um den Status der ClearPass-Authentifizierungstabelle nach der Änderung zu überprüfen. Zeigen Sie die gesamte Tabelle an, um zu überprüfen, ob die Gruppe "corporate-limited" in keinem der Benutzereinträge enthalten ist. Beachten Sie, dass, wenn mehr als ein Benutzer der auf das Unternehmen beschränkten Gruppe angehört, Authentifizierungseinträge für alle betroffenen Benutzer diesen Gruppennamen nicht anzeigen.

Geben Sie im Betriebsmodus den show services user-identification authentication-table authentication-source aruba-clearpass Befehl ein.

Tabelle der Versionshistorie
Release
Beschreibung
15.1X49-D130
Ab Junos OS Version 15.1X49-D130 unterstützt die Firewall der SRX-Serie die Verwendung von IPv6-Adressen, die Quellidentitäten in Sicherheitsrichtlinien zugeordnet sind. Wenn ein IPv4- oder IPv6-Eintrag vorhanden ist, werden Richtlinien, die diesem Eintrag entsprechen, auf den Datenverkehr angewendet, und der Zugriff wird zugelassen oder verweigert.