Firewall-Authentifizierung für Mandantensysteme
Die Firewall-Authentifizierung-Funktion wurde für Mandantensysteme in Junos OS Version 18.3R1 auf den Firewalls der Juniper SRX-Serie eingeführt, damit Sie Benutzer einzeln oder in Gruppen einschränken oder zulassen können. Die Authentifizierungsanforderungen werden basierend auf den in den Richtlinien definierten Zieladressen initiiert.
Grundlegendes zur Authentifizierung der Mandantensystem-Firewall
Ein Firewallbenutzer ist ein Netzwerkbenutzer, der einen Benutzernamen und ein Kennwort für die Authentifizierung angeben muss, wenn er eine Verbindung über die Firewall hinweg initiiert.
Die Firewall-Authentifizierung ist eine richtlinienbasierte Authentifizierungsmethode, bei der der Benutzer eine Authentifizierungsanfrage über HTTP-, FTP- oder Telnet-Datenverkehr initiieren muss.
Mit Junos OS können Administratoren den Zugriff von Firewall-Benutzern auf geschützte Ressourcen hinter einer Firewall basierend auf ihrer Quell-IP-Adresse und anderen Anmeldeinformationen einschränken und zulassen.
Der primäre Administrator konfiguriert Folgendes:
Maximale und reservierte Anzahl von Firewall-Authentifizierungssitzungen im Mandantensystem.
Greifen Sie mit dem Befehl Profilkonfiguration in der Hierarchie auf das Profil zu, die
[edit access]für alle Mandantensysteme verfügbar ist.
Zugriffsprofile ermöglichen Folgendes:
Speichern von Benutzernamen und Kennwörtern von Benutzern oder Verweisen auf externe Authentifizierungsserver, auf denen solche Informationen gespeichert sind.
Dazu gehören die Reihenfolge der Authentifizierungsmethoden, LDAP- oder RADIUS-Serveroptionen und Sitzungsoptionen.
Zuordnen zu einer Sicherheitsrichtlinie im Mandantensystem.
Nachdem Sie die Firewallbenutzer definiert haben, erstellen Sie eine Richtlinie, die erfordert, dass sich die Benutzer über einen der in Tabelle 1 definierten Authentifizierungsmodi authentifizieren.
Authentifizierungsoptionen |
Beschreibung |
Unterstützte Protokolle |
Unterstütztes Backend |
|---|---|---|---|
Web-Authentifizierung |
Benutzer verwenden HTTP, um eine Verbindung mit einer IP-Adresse auf dem Gerät herzustellen, die für Web Authentifizierung aktiviert ist, und werden zur Eingabe des Benutzernamens und des Kennworts aufgefordert. Nachfolgender Datenverkehr vom Benutzer oder Host zur geschützten Ressource wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder verweigert. |
HTTP (Englisch) HTTPS |
Lokal LDAP RADIUS SecurId |
Durchleitung |
Bei der Inline-Authentifizierung mit einem Host oder einem Benutzer aus einer Zone wird versucht, auf Ressourcen in einer anderen Zone zuzugreifen. Das Gerät verwendet die unterstützten Protokolle, um Benutzernamen- und Kennwortinformationen zu sammeln, und der nachfolgende Datenverkehr vom Benutzer oder Host wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder verweigert. |
HTTP (Englisch) HTTPS TELNET (Englisch) FTP |
Lokal LDAP RADIUS SecurId |
Web-Umleitung |
Client zur Authentifizierung automatisch auf die WebAuth-Seite umleiten (http oder https) |
HTTP (Englisch) HTTPS |
Lokal LDAP RADIUS SecurId |
Integrierte Benutzer-Firewall |
Geräte der SRX-Serie verwenden WMI-Clientanforderungen (WMIC) an das AD, um Informationen zur Zuordnung von IP-Adressen zu Benutzern in Sicherheits-Ereignisprotokollen zu erhalten. |
nichts |
Active Directory |
Benutzer-Firewall |
Identisch mit Pass-Through, aber Benutzerinformationen werden an den USERID-Prozess übergeben, um in die Authentifizierungstabelle aufgenommen zu werden |
HTTP (Englisch) HTTPS |
Lokal LDAP RADIUS SecurId |
Der Mandantensystemadministrator konfiguriert die folgenden Eigenschaften für die Firewall-Authentifizierung im Mandantensystem:
Sicherheitsrichtlinie, die die Firewall-Authentifizierung für übereinstimmenden Datenverkehr festlegt. Die Firewall-Authentifizierung wird mit der Konfigurationsanweisung firewall-Authentifizierung auf Hierarchieebene
[edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit]angegeben. In einem Zugriffsprofil kann Benutzern oder Benutzergruppen der Zugriff über die Richtlinie gewährt werden, die optional mit der Konfigurationsanweisung client-match angegeben werden kann. Wenn keine Benutzer oder Benutzergruppen angegeben sind, erhält jeder Benutzer, der erfolgreich authentifiziert wurde, Zugriff.Der Typ der Authentifizierung (Pass-Through- oder Web-Authentifizierung), das Standardzugriffsprofil und das Erfolgsbanner für die FTP-, Telnet- oder HTTP-Sitzung. Diese Eigenschaften werden mit der Konfigurationsanweisung firewall-Authentifizierung in der
[edit access]Hierarchie konfiguriert.Hosten Sie eingehenden Datenverkehr. Protokolle, Dienste oder beides dürfen auf das Mandantensystem zugreifen. Die Datenverkehrstypen werden mit der
host-inbound-trafficKonfigurationsanweisung in der[edit security zones security-zone zone-name]ODER-Hierarchie[edit security zones security-zone zone-name interfaces interface-name]konfiguriert.
Konfigurieren der Firewall-Authentifizierung für ein Mandantensystem
In diesem Beispiel wird gezeigt, wie Sie mithilfe der drei Authentifizierung-Modi Pass-Through, Pass-Through mit Web-Umleitung und Web-Authentifizierung unterschiedlichen Firewall-Authentifizierung Datenverkehr vom Client zum Server über ein Mandantensystem senden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
ein SRX4100-Gerät
-
Junos OS Version 18.3R1 und höher
-
Telnet oder HTTP
-
Externe Authentifizierungsserver sind RADIUS, LDAP und SecurID
Stellen Sie sicher, dass Folgendes konfiguriert ist, um Datenverkehr zur Firewall-Authentifizierung vom Client zum Server zu senden:
-
Konfigurieren von Sicherheitszonen für ein Mandantensystem
-
Konfigurieren von Schnittstellen, die vom primären Administrator erstellt wurden
Überblick
Wenn ein Firewall-Benutzer versucht, eine Telnet-, HTTP- oder HTTPS-Sitzung für den Zugriff auf eine Ressource in einer anderen Zone zu initiieren, fungiert die Firewall der SRX-Serie als Proxy, um die Firewall-Benutzer zu authentifizieren, bevor den Benutzern der Zugriff auf die Telnet-, HTTP- oder HTTPS-Server hinter der Firewall gestattet wird.
In diesem Beispiel können Sie ein Mandantensystem konfigurieren und die Sicherheitsrichtlinie daran binden. Wenn der Datenverkehr vom Client zum Server gesendet wird, wie in Abbildung 1 beschrieben, werden die Benutzer basierend auf dem in der Sicherheitsrichtlinie definierten Authentifizierungsprozess authentifiziert.
Der primäre Administrator ist für das Erstellen von Mandanten und das Zuweisen der Systemressourcen wie Routing-Instanzen, Schnittstellen in Routing-Instanzen und Sicherheitsprofile zum Mandantensystem verantwortlich.
| Funktion |
Bezeichnung |
Beschreibung |
|---|---|---|
| security-profile |
tn1_pf |
Name des Sicherheitsprofils. Dieses Profil gibt die Ressourcen an, die einem Mandantensystem zugewiesen werden sollen, an das das Sicherheitsprofil gebunden ist. |
| Schnittstellen |
xe-0/0/1 xe-0/0/2 |
Name der Schnittstellen. Die Schnittstellen sorgen für die Konnektivität des Datenverkehrs. |
| Profil "Zugriff" |
local_pf radius_pf securid_pf |
Name der Zugriffsprofile. Diese Profile werden verwendet, um die Benutzer und Passwörter zu definieren und Autorisierungsinformationen über das Zugriffsrecht des Benutzers zu erhalten. |
| SSL-Beendigungsprofil |
fwauthhttpspf |
Name des Profils. Dieses Profil wird für SSL-Terminierungsdienste verwendet. |
| routing-instanzen |
VR1 |
Instanztyp als virtuelle Routing-Instanz. |
| Sicherheitsrichtlinien |
Seite 7 |
Name der Richtlinie. Diese Richtlinie wird verwendet, um die Pass-Through-Firewall-Authentifizierung mithilfe des SSL-Terminierungsprofils fwauthhttpspf zu konfigurieren. |
| Seite 1 |
Name der Richtlinie. Diese Richtlinie wird verwendet, um Pass-Through-Firewall-Authentifizierung mithilfe local_pf Zugriffsprofils zu konfigurieren. |
|
| Seite 4 |
Name der Richtlinie. Diese Richtlinie wird verwendet, um Pass-Through-Webumleitungs-Firewall-Authentifizierung mithilfe von radius_pf zu konfigurieren. |
|
| Seite 3 |
Name der Richtlinie. Diese Richtlinie wird verwendet, um die Firewall-Authentifizierung für die Web-Authentifizierung zu konfigurieren. |
Topologie
Abbildung 1 zeigt die in diesem Konfigurationsbeispiel verwendete Topologie. Der in dieser Topologie gezeigte Mandant ist eine Firewall der SRX-Serie, die auf mehrere Mandanten partitioniert ist. Die unterstützten externen Server sind RADIUS, LDAP und SecurID. Die Kommunikation vom Client zum Mandanten erfolgt über die xe-0/0/1-Schnittstelle und vom Mandanten zum Server über die xe-0/0/2-Schnittstelle.
Konfiguration
- CLI-Schnellkonfiguration
- Konfiguration von Zugriffsprofilen und Firewall-Authentifizierung
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und rufen Sie dann den Commit aus dem Konfigurationsmodus auf.
set system security-profile tn1_pf policy maximum 500 set system security-profile tn1_pf policy reserved 100 set system security-profile tn1_pf zone maximum 50 set system security-profile tn1_pf zone reserved 10 set tenants tn1 security-profile tn1_pf set services ssl termination profile fwauthhttpspf server-certificate device set interfaces xe-0/0/1 unit 0 family inet address 192.0.2.0/24 set interfaces xe-0/0/1 unit 0 family inet address 192.0.2.254/16 web-authentication http set interfaces xe-0/0/2 unit 0 family inet address 198.51.100.0/24 web-authentication http set access profile local_pf client test firewall-user password "$ABC123" set access profile local_pf client test1 client-group local-group1 set access profile local_pf client test1 client-group local-group2 set access profile local_pf client test1 firewall-user password "$BCD678" set access profile local_pf client test2 client-group local-group2 set access profile local_pf client test2 firewall-user password "$DEF234" set access profile local_pf client test3 client-group local-group3 set access profile local_pf client test3 firewall-user password "$DBC123" set access profile local_pf client test4 client-group local-group4 set access profile local_pf client test4 firewall-user password "$FAB123" set access profile radius_pf authentication-order radius set access profile radius_pf radius-server 203.0.113.1 secret "$AFD123" set access profile securid_pf authentication-order securid set tenants tn1 routing-instances vr1 instance-type virtual-router set tenants tn1 routing-instances vr1 interface xe-0/0/1.0 set tenants tn1 routing-instances vr1 interface xe-0/0/2.0 set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p1 match source-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p1 match destination-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p1 match application junos-telnet set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p7 match source-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p7 match destination-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p7 match application any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p7 then permit firewall-authentication pass-through access-profile local_pf set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p7 then permit firewall-authentication pass-through ssl-termination-profile fwauthhttpspf set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p4 match source-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p4 match destination-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p4 match application junos-http set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p4 then permit firewall-authentication pass-through access-profile radius_pf set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p4 then permit firewall-authentication pass-through web-redirect set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p3 match source-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p3 match destination-address any set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p3 match application junos-http set tenants tn1 security policies from-zone tn1_trust to-zone tn1_untrust policy p3 then permit firewall-authentication web-authentication set tenants tn1 security policies policy-rematch set tenants tn1 security zones security-zone tn1_trust interfaces xe-0/0/1.0 host-inbound-traffic system-services all set tenants tn1 security zones security-zone tn1_trust interfaces xe-0/0/1.0 host-inbound-traffic protocols all set tenants tn1 security zones security-zone tn1_untrust interfaces xe-0/0/2.0 host-inbound-traffic system-services all set tenants tn1 security zones security-zone tn1_untrust interfaces xe-0/0/2.0 host-inbound-traffic protocols all set tenants tn1 access firewall-authentication pass-through default-profile local_pf set tenants tn1 access firewall-authentication pass-through telnet banner login ****tenant1_telnet_login_banner set tenants tn1 access firewall-authentication pass-through telnet banner success ****tenant1_telnet_success_banner set tenants tn1 access firewall-authentication pass-through telnet banner fail ****tenant1_telnet_fail_banner set tenants tn1 access firewall-authentication web-authentication default-profile securid_pf set tenants tn1 access firewall-authentication web-authentication banner success ****tenant1_webauth_success_banner
Konfiguration von Zugriffsprofilen und Firewall-Authentifizierung
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
-
Konfigurieren Sie ein Sicherheitsprofil tn1_pf und binden Sie es an das Mandantensystem.
[edit system security-profile] user@host# set tn1_pf policy maximum 500 user@host# set tn1_pf policy reserved 100 user@host# set tn1_pf zone maximum 50 user@host# set tn1_pf zone reserved 10
-
Erstellen Sie ein Mandantensystem tn1, und binden Sie das Sicherheitsprofil tn1_pf an das Mandantensystem.
[edit tenants] user@host# set tn1 security-profile tn1_pf
-
Definieren Sie das Zugriffsprofil, das für SSL-Terminierungsdienste für HTTPS-Datenverkehr verwendet wird, um die Pass-Through-Authentifizierung auszulösen.
[edit services] user@host# set ssl termination profile fwauthhttpspf server-certificate device
-
Konfigurieren Sie Schnittstellen und weisen Sie IP-Adressen zu. Aktivieren Sie die Web-Authentifizierung an der Schnittstelle xe-0/0/1.
[edit interfaces] user@host# set interfaces xe-0/0/1 unit 0 family inet address 192.0.2.0/24 user@host# set interfaces xe-0/0/1 unit 0 family inet address 192.0.2.254/24 web-authentication http user@host# set interfaces xe-0/0/2 unit 0 family inet address 198.51.100.0/24 web-authentication http
-
Konfigurieren Sie Routing-Instanzen und fügen Sie Schnittstellen hinzu.
[edit tenants tn1 routing-instances] user@host# set vr1 instance-type virtual-router user@host# set vr1 interface xe-0/0/1.0 user@host# set vr1 interface xe-0/0/2.0
Schritt-für-Schritt-Anleitung
Der primäre Administrator ist für die Konfiguration von Zugriffsprofilen im Mandantensystem verantwortlich. So konfigurieren Sie Zugriffsprofile:
-
Erstellen Sie die Zugriffsprofile, die für die Firewall-Authentifizierung verwendet werden sollen. Zugriffsprofile definieren Clients als Firewallbenutzer und die Kennwörter, die ihnen Zugriff für die Firewall-Authentifizierung gewähren. Wenn nicht authentifizierter Datenverkehr für die Firewall-Authentifizierung zugelassen wird, wird der Benutzer auf der Grundlage des in diesem Befehl konfigurierten Zugriffsprofils authentifiziert.
[edit access profile] user@host# set local_pf client test firewall-user password "$ABC123" user@host# set local_pf client test1 client-group local-group1 user@host# set local_pf client test1 client-group local-group2 user@host# set local_pf client test1 firewall-user password "$BCD678" user@host# set local_pf client test2 client-group local-group2 user@host# set local_pf client test2 firewall-user password "$DEF234" user@host# set local_pf client test3 client-group local-group3 user@host# set local_pf client test3 firewall-user password "$DBC123" user@host# set local_pf client test4 client-group local-group4 user@host# set local_pf client test4 firewall-user password "$FAB123"
-
Erstellen Sie ein Zugriffsprofil, um den RADIUS-Server zu konfigurieren.
[edit access profile] user@host# set radius_pf authentication-order radius user@host# set radius_pf radius-server 203.0.113.1 secret "$AFD123"
-
Erstellen Sie ein Zugriffsprofil, um SecurID als Server für die externe Authentifizierung zu konfigurieren.
[edit access profile] user@host# set securid_pf authentication-order securid
Schritt-für-Schritt-Anleitung
Konfigurieren Sie verschiedene Sicherheitsrichtlinien, die HTTP-, HTTPS- und Telnet-Datenverkehr zwischen Zonen zulassen, indem Sie Pass-Through- (direkt und Web-Umleitung) und Web-Authentifizierung-Modi in einem Mandantensystem verwenden.
-
Konfigurieren Sie Richtlinie p1 für die Passthrough-Authentifizierung für Telnet-Datenverkehr.
[edit tenants tn1 security policies] user@host# set from-zone tn1_trust to-zone tn1_untrust policy p1 match source-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p1 match destination-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p1 match application junos-telnet user@host# set from-zone tn1_trust to-zone tn1_untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf
-
Konfigurieren Sie die Richtlinie p7 für die Passthrough-Authentifizierung für HTTPS-Datenverkehr.
[edit tenants tn1 security policies] user@host# set from-zone tn1_trust to-zone tn1_untrust policy p7 match source-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p7 match destination-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p7 match application junos-https user@host# set from-zone tn1_trust to-zone tn1_untrust policy p7 then permit firewall-authentication pass-through access-profile local_pf user@host# set from-zone tn1_trust to-zone tn1_untrust policy p7 then permit firewall-authentication pass-through ssl-termination-profile fwauthhttpspf
-
Konfigurieren Sie die Richtlinie p4 für die Passthrough-Authentifizierung mithilfe der Webumleitung für HTTP-Datenverkehr.
[edit tenants tn1 security policies] user@host# set from-zone tn1_trust to-zone tn1_untrust policy p4 match source-address ipv6_addr1 user@host# set from-zone tn1_trust to-zone tn1_untrust policy p4 match destination-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p4 match application junos-http user@host# set from-zone tn1_trust to-zone tn1_untrust policy p4 then permit firewall-authentication pass-through access-profile radius_pf user@host# set from-zone tn1_trust to-zone tn1_untrust policy p4 then permit firewall-authentication pass-through web-redirect
-
Konfigurieren Sie die Richtlinie p3 für die Web-Authentifizierung für HTTP-Datenverkehr.
[edit tenants tn1 security policies] user@host# set from-zone tn1_trust to-zone tn1_untrust policy p3 match source-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p3 match destination-address any user@host# set from-zone tn1_trust to-zone tn1_untrust policy p3 match application junos-http user@host# set from-zone tn1_trust to-zone tn1_untrust policy p3 then permit firewall-authentication web-authentication user@host# set policy-rematch
-
Konfigurieren Sie Zonen und weisen Sie jeder Zone in einem Mandantensystem Schnittstellen zu.
[edit tenants tn1 security zones] user@host# set security-zone tn1_trust interfaces xe-0/0/1.0 host-inbound-traffic system-services all user@host# set security-zone tn1_trust interfaces xe-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone tn1_untrust interfaces xe-0/0/2.0 host-inbound-traffic system-services all user@host# set security-zone tn1_untrust interfaces xe-0/0/2.0 host-inbound-traffic protocols all
-
Definieren eines Erfolgsbanners für Telnet-Sitzungen. Konfigurieren Sie das Pass-Through-Banner für die Firewall-Authentifizierung und die Web-Authentifizierung für Anwendungen in einem Mandantensystem.
[edit tenants tn1 access firewall-authentication] user@host# set pass-through default-profile local_pf user@host# set pass-through telnet banner login ****tenant1_telnet_login_banner user@host# set pass-through telnet banner success ****tenant1_telnet_success_banner user@host# set pass-through telnet banner fail ****tenant1_telnet_fail_banner user@host# set web-authentication default-profile securid_pf user@host# set web-authentication banner success ****tenant1_webauth_success_banner
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show system security-profileBefehle , show interfaces, show access, show tenantsund show services ssl termination . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24;
address 192.0.2.254/24 {
web-authentication {
http;
https;
}
}
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
user@host#show services ssl termination
profile fwauthhttpspf {
server-certificate device;
}
user@host#show access
profile local_pf {
client test {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client test1 {
client-group [ local-group1 local-group2 ];
firewall-user {
password "$BCD678"; ## SECRET-DATA
}
}
client test2 {
client-group local-group2;
firewall-user {
password "$DEF234"; ## SECRET-DATA
}
}
client test3 {
client-group local-group3;
firewall-user {
password "$DBC123"; ## SECRET-DATA
}
}
client test4 {
client-group local-group4;
firewall-user {
password "$FAB123"; ## SECRET-DATA
}
}
session-options {
client-session-timeout 3;
}
}
profile radius_pf {
authentication-order radius;
session-options {
client-session-timeout 3;
}
radius-server {
203.0.113.1 secret "$AFD123"; ## SECRET-DATA
}
}
user@host# show system security-profile
tn1_pf {
policy {
maximum 500;
reserved 100;
}
zone {
maximum 50;
reserved 10;
}
}
user@host# show tenants
tn1 {
routing-instances {
vr1 {
instance-type virtual-router;
interface xe-0/0/1.0;
interface xe-0/0/2.0;
}
}
security-profile {
tn1_pf;
}
security {
policies {
from-zone tn1_trust to-zone tn1_untrust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile ldap_pf;
}
}
}
}
}
}
}
zones {
security-zone tn1_trust {
interfaces {
xe-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone tn1_untrust {
interfaces {
xe-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
}
}
access {
firewall-authentication {
pass-through {
default-profile local_pf;
telnet {
banner {
login ****tenant1_telnet_login_banner;
success ****tenant1_telnet_success_banner;
fail ****tenant1_telnet_fail_banner;
}
}
}
web-authentication {
default-profile radius_pf;
banner {
success ****tenant1_webauth_success_banner;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit.
Verifizierung
Überprüfen der Firewall-Benutzerauthentifizierung und Überwachung von Benutzern und IP-Adressen in der Authentifizierungstabelle
Zweck
Der Administrator für das Mandantensystem kann das show security firewall-authentication users OR show security firewall-authentication history commands verwenden, um die Informationen zu Firewallbenutzern und den Verlauf für das Mandantensystem anzuzeigen. Der Administrator für das Mandantensystem kann die gleichen Befehle verwenden, um Informationen für alle Mandantensysteme anzuzeigen.
Aktion
Geben Sie im Betriebsmodus die folgenden show-Befehle ein:
user@host> show security firewall-authentication history tenant tn1 identifier 10
Username: test
Source IP: 10.12.12.10Authentication state: Success
Authentication method: Pass-through using HTTP
Access start date: 2018-05-31
Access start time: 17:07:38
Duration of user access: 0:10:01
Lsys: root-logical-system
Tenant: tn1
Source zone: trust-tn1
Destination zone: untrust-tn1
Access profile: test
Bytes sent by this user: 380
Bytes received by this user: 0
user@host> show security firewall-authentication history tenant tn1
History of firewall authentication data:
Authentications: 2
Id Source Ip Date Time Duration Status User
1 203.0.113.10 2018-05-27 09:33:05 0:01:44 Success test
2 203.0.113.10 2018-05-27 10:01:09 0:10:02 Success test
user@host> show security firewall-authentication users tenant tn1
Firewall authentication data:
Total users in table: 1
Id Source Ip Src zone Dst zone Profile Age Status User
2 203.0.113.10 N/A N/A test 1 Success test
Bedeutung
Die Ausgabe zeigt die authentifizierten Firewallbenutzer und den Firewall-Authentifizierungsverlauf der Benutzer für das Mandantensystem an
Verständnis der Unterstützung für integrierte Benutzer-Firewalls in einem Mandantensystem
Das Mandantensystem unterstützt die Benutzer-Firewall-Authentifizierung im freigegebenen und aktiven Modus.
Ab Junos OS Version 19.1R1 wird die Benutzer-Firewall-Authentifizierung auf Mandantensystemen mit einem gemeinsam genutzten Modell unterstützt. In diesem Modell teilt das primäre logische System die Benutzer-Firewall-Konfiguration und die Authentifizierungseinträge mit dem Mandantensystem. Das primäre logische System teilt die Authentifizierungsdaten mit dem Mandantensystem, die von der lokalen Authentifizierung, der Active Directory (AD)-Authentifizierung, der Firewall-Authentifizierung, dem Juniper Identity Management Service (JIMS) und der ClearPass-Authentifizierung gesammelt werden.
Im gemeinsam genutzten Modell wird die Konfiguration der Benutzer-Firewall unter dem primären logischen System konfiguriert, z. B. Authentifizierungsquelle, Priorität der Authentifizierungsquelle, Zeitüberschreitung bei Authentifizierungseinträgen und IP-Abfrage oder einzelne Abfrage usw. Die Benutzer-Firewall stellt Benutzerinformationsdienste für eine Anwendung auf der Firewall der SRX-Serie bereit, z. B. Richtlinien und Protokollierung. Der Datenverkehr von einem Mandantensystem fragt die Authentifizierungstabellen vom primären logischen System ab.
Die Authentifizierungstabellen werden von einem primären logischen System verwaltet. Die Mandantensysteme teilen sich die Authentifizierungstabellen. Der Datenverkehr vom primären logischen System und den Mandantensystemen fragt dieselbe Authentifizierungstabelle ab. Mandantensysteme ermöglichen die Verwendung der Quellidentität in Sicherheitsrichtlinien.
Wenn z. B. das primäre logische System mit employee und das Mandantensystem mit dem Quellidentitäts-Manager konfiguriert ist, umfasst die Referenzgruppe dieses Authentifizierungseintrags employee und manager. Diese Referenzgruppe enthält die gleichen Authentifizierungseinträge aus dem primären logischen System und dem Mandantensystem.
Ab Junos OS Version 19.3R1 wird die Unterstützung für die Benutzer-Firewall-Authentifizierung durch die Verwendung eines benutzerdefinierten Modells durch integriertes JIMS mit aktivem Modus erweitert. In diesem Modell extrahiert das Mandantensystem die Authentifizierungseinträge aus der Stammebene. Das primäre logische System wird basierend auf dem logischen System und dem Namen des Mandantensystems für den JIMS-Server konfiguriert. Im aktiven Modus fragt die Firewall der SRX-Serie aktiv die Authentifizierungseinträge ab, die vom JIMS-Server über das HTTPS-Protokoll empfangen wurden. Um den Datenaustausch zu reduzieren, werden Firewall-Filter angewendet.
Die Benutzerfirewall verwendet den Namen des Mandantensystems als Unterscheidungsmerkmal und ist zwischen dem JIMS-Server und der Firewall der SRX-Serie konsistent. Der JIMS-Server sendet den Differenzierungsbescheid, der im Eintrag zur Authentifizierung enthalten ist. Die Authentifizierungseinträge werden in das logische Root-System verteilt, wenn der Differenzierungsbescheid als Standard für das primäre logische System festgelegt ist.
Die Benutzer-Firewall unterstützt In-Service Software Upgrade (ISSU) für Mandantensysteme, da die Benutzer-Firewall das interne Datenbanktabellenformat ab Junos OS Version 19.2R1 ändert. Vor Junos OS Version 19.2R1 wird ISSU für Mandantensysteme nicht unterstützt.
Ab Junos OS Version 20.2R1 unterstützen logische Systeme und Mandantensysteme die Benutzer-Firewall-Authentifizierung mit Unified Access Control (UAC).
- Einschränkung bei der Verwendung der Benutzer-Firewall-Authentifizierung in Mandantensystemen
- Einschränkung bei der Verwendung der Benutzer-Firewall-Authentifizierung im benutzerdefinierten Modell auf Mandantensystemen
Einschränkung bei der Verwendung der Benutzer-Firewall-Authentifizierung in Mandantensystemen
Die Verwendung der Benutzer-Firewall-Authentifizierung auf Mandantensystemen hat die folgende Einschränkung:
Die IP-Adressen unter verschiedenen Mandantensystemen dürfen sich nicht überschneiden. Wenn sich die Adressen überschneiden, wird der Authentifizierungseintrag geändert, wenn sich verschiedene Benutzer unter verschiedenen Mandantensystemen anmelden.
Einschränkung bei der Verwendung der Benutzer-Firewall-Authentifizierung im benutzerdefinierten Modell auf Mandantensystemen
Die Verwendung der Benutzer-Firewall-Authentifizierung in einem benutzerdefinierten Modell auf Mandantensystemen hat die folgende Einschränkung:
Die JIMS-Serverkonfigurationen, die unter den logischen Root-Systemen konfiguriert werden sollen.
Der Name des Mandantensystems sollte zwischen dem JIMS-Server und der Firewall der SRX-Serie konsistent und eindeutig sein.
Siehe auch
Beispiel: Konfiguration der Verwaltung der integrierten Benutzer-Firewall-Identifizierung für ein Mandantensystem
Dieses Beispiel zeigt, wie die erweiterte Abfragefunktion der Firewall der SRX-Serie zum Abrufen von Benutzeridentitätsinformationen aus dem Juniper Identity Management Service (JIMS) und die Sicherheitsrichtlinie so konfiguriert wird, dass sie mit der Quellidentität für ein Mandantensystem übereinstimmt. Im primären logischen System ist die Benutzerfirewall mit JIMS konfiguriert, und dann verwaltet das primäre logische System alle Authentifizierungseinträge, die von JIMS stammen. In diesem Beispiel teilen sich die primären logischen Systeme die Authentifizierungseinträge mit den Mandantensystemen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX1500-Geräte, die im Chassis-Clustering betrieben werden
JIMS-Server
Junos OS Version 19.1 R1
Überblick
In diesem Beispiel können Sie JIMS mit einer HTTPS-Verbindung auf Port 443 und einem primären Server mit IPv4-Adresse auf dem primären logischen System, Richtlinie P1 mit der Quellidentität "Gruppe1" der DC0-Domäne auf dem Mandantensystem TN1, Richtlinie P1 mit der Quellidentität "Gruppe1" der DC0-Domäne auf dem Mandantensystem TN2 konfigurieren und Datenverkehr vom und über das Mandantensystem TN1 an das Mandantensystem TN2 senden. Sie können die Authentifizierungseinträge auf primären logischen Systemen und Mandantensystemen (TN1 und TN2) auch nach dem Neustart des primären Knotens anzeigen.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set tenants TN1 security policies from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match source-address any set tenants TN1 security policies from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match destination-address any set tenants TN1 security policies from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match application any set tenants TN1 security policies from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match source-identity "example.com\group1" set tenants TN1 security policies from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 then permit set tenants TN1 security policies from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 match source-address any set tenants TN1 security policies from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 match destination-address any set tenants TN1 security policies from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 match application any set tenants TN1 security policies from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 then permit set tenants TN1 security policies from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 match source-address any set tenants TN1 security policies from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 match destination-address any set tenants TN1 security policies from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 match application any set tenants TN1 security policies from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 then permit set tenants TN1 security policies policy-rematch set tenants TN2 security policies from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match source-address any set tenants TN2 security policies from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match destination-address any set tenants TN2 security policies from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match application any set tenants TN2 security policies from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match source-identity "example.com\group2" set tenants TN2 security policies from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 then permit set tenants TN2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
Konfiguration der Benutzer-Firewall-Identifikationsverwaltung
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Benutzer-Firewall-Identifikationsverwaltung:
Melden Sie sich beim primären logischen System als primärer Administrator an und wechseln Sie in den Konfigurationsmodus.
user@host> configure user@host#
Erstellen von Mandantensystemen.
[edit tenants] user@host#set TN1 user@host#set TN2
Konfigurieren Sie eine Sicherheitsrichtlinie TN1_policy1 mit Quellidentitätsgruppe1 auf dem Mandantensystem TN1, die Datenverkehr von TN1_trust nach TN1_trust zulässt.
[edit security policies] user@host#set from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match source-address any user@host#set from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match destination-address any user@host#set from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match application any user@host#set from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 match source-identity "example.com\group1" user@host#set from-zone TN1_trust to-zone TN1_trust policy TN1_policy1 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie TN1_policy2, die Datenverkehr von TN1_trust zu TN1_untrust zulässt.
[edit security policies] user@host#set from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 match source-address any user@host#set from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 match destination-address any user@host#set from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 match application any user@host#set from-zone TN1_trust to-zone TN1_untrust policy TN1_policy2 then permit
Konfigurieren Sie eine Sicherheitsrichtlinie TN1_policy3, die Datenverkehr von TN1_untrust zu TN1_trust zulässt.
[edit security policies] user@host#set from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 match source-address any user@host#set from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 match destination-address any user@host#set from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 match application any user@host#set from-zone TN1_untrust to-zone TN1_trust policy TN1_policy3 then permit user@host#set policy-rematch
Konfigurieren Sie die Sicherheitszone und weisen Sie den einzelnen Zonen Schnittstellen zu.
[edit security zones] user@host#set security-zone TN1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone TN1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone TN1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone TN1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone TN1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone TN1_untrust interfaces reth3.0 host-inbound-traffic protocols all
Konfigurieren Sie eine Sicherheitsrichtlinie TN2_policy1 mit Quellidentitätsgruppe1, die Datenverkehr von TN2_untrust zu TN2_untrust auf TN2 zulässt.
[edit security policies] user@host#set from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match source-address any user@host#set from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match destination-address any user@host#set from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match application any user@host#set from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 match source-identity "example.com\group2" user@host#set from-zone TN2_untrust to-zone TN2_untrust policy TN2_policy1 then permit user@host#set policy-rematch
Konfigurieren Sie Sicherheitszonen und weisen Sie jeder Zone auf TN2 Schnittstellen zu.
[edit security zones] user@host#set security-zone TN2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone TN2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone TN2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone TN2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
Konfigurieren Sie JIMS als Authentifizierungsquelle für erweiterte Abfrageanforderungen mit der primären Adresse. Die Firewall der SRX-Serie benötigt diese Informationen, um den Server zu kontaktieren.
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
Konfigurieren Sie Sicherheitsrichtlinien und -zonen auf dem primären logischen System.
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
Konfigurieren Sie Sicherheitszonen und weisen Sie jeder Zone im primären logischen System Schnittstellen zu.
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show services user-identification identity-management show chassis cluster Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services user-identification identity-management
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
user@host# show chassis cluster
reth-count 5;
control-ports {
fpc 3 port 0;
fpc 9 port 0;
}
redundancy-group 0 {
node 0 priority 200;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 2 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 3 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 4 {
node 0 priority 100;
node 1 priority 1;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen des Chassis-Cluster-Status und der Authentifizierungseinträge
- Überprüfen des Chassis-Cluster-Status
Überprüfen des Chassis-Cluster-Status und der Authentifizierungseinträge
Zweck
So überprüfen Sie Authentifizierungseinträge in einem Mandantensystem.
Aktion
Geben Sie den show services user-identification authentication-table authentication-source identity-management tenant TN1 Befehl ein, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.
user@host> show services user-identification authentication-table authentication-source identity-management tenant TN1
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
Bedeutung
Die Ausgabe zeigt die Authentifizierungseinträge an, die vom primären logischen System für das Mandantensystem freigegeben werden.
Überprüfen des Chassis-Cluster-Status
Zweck
Überprüfen Sie den Status des Chassis-Clusters nach dem Neustart des primären Knotens.
Aktion
Geben Sie den show chassis cluster status Befehl ein, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no NoneBedeutung
Die Ausgabe zeigt die Benutzeridentifikationsverwaltungssitzung an, die nach dem Neustart des primären Knotens auf TN1 und TN2 vorhanden ist.
Beispiel: Konfigurieren der integrierten Benutzer-Firewall im benutzerdefinierten Modell für das Mandantensystem
In diesem Beispiel wird gezeigt, wie Sie die integrierte Benutzerfirewall mithilfe eines benutzerdefinierten Modells über den Juniper Identity Management Service-Server (JIMS) mit aktivem Modus für ein Mandantensystem konfigurieren. Das primäre logische System teilt die Authentifizierungseinträge nicht mit den Mandantensystemen. Die Firewall der SRX-Serie fragt die vom JIMS-Server empfangenen Authentifizierungseinträge über das HTTPS-Protokoll im aktiven Modus ab.
In diesem Beispiel werden folgende Konfigurationen durchgeführt:
-
Konfiguration des aktiven JIMS-Servers
-
Konfiguration der Mandantensystem-IP-Abfrage
-
Konfiguration des Mandantensystemauthentifizierungseintrags
-
Konfiguration der Mandantensystem-Sicherheit-Richtlinie
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
JIMS Server Version 2.0
-
Junos OS Version 19.3R1
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Informationen verfügen:
-
Die IP-Adresse des JIMS-Servers.
-
Die Portnummer auf dem JIMS-Server zum Empfangen von HTTPS-Anfragen.
-
Die Client-ID vom JIMS-Server für den aktiven Abfrageserver.
-
Der geheime Clientschlüssel des JIMS-Servers für den aktiven Abfrageserver.
Überblick
In diesem Beispiel können Sie JIMS mit HTTPS-Verbindung auf Port 443 und Primärserver mit IPv4-Adresse auf dem primären logischen System, Richtlinie P2 mit Quellidentität group1 auf Mandantensystem TSYS1konfigurieren.
Konfiguration
- CLI-Schnellkonfiguration
- Konfiguration der integrierten Benutzer-Firewall im benutzerdefinierten Modell:
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und rufen Sie dann den Commit aus dem Konfigurationsmodus auf.
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set tenants TSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set tenants TSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Konfiguration der integrierten Benutzer-Firewall im benutzerdefinierten Modell:
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die integrierte Benutzer-Firewall im benutzerdefinierten Modell:
-
Konfigurieren Sie JIMS als Authentifizierungsquelle für erweiterte Abfrageanforderungen mit der primären Adresse. Die Firewall der SRX-Serie benötigt diese Informationen, um den Server zu kontaktieren.
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
Konfigurieren Sie die Verzögerungszeit für IP-Abfragen für TSYS1.
user@host# set tenants TSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
Konfigurieren Sie die Attribute des Authentifizierungseintrags für TSYS1.
user@host# set tenants TSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
Konfigurieren Sie die Sicherheitsrichtlinie p2, die Datenverkehr aus Zone nicht vertrauenswürdig zu Zone Vertrauensstellung für TSYS1 zulässt.
user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show services user-identification logical-domain-identity-management show tenants TSYS1 und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services user-identification logical-domain-identity-management
active {
query-server jims1 {
connection {
connect-method https;
port 443;
primary {
address 10.1.1.1;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
}
}
user@host# show tenants TSYS1
security {
policies {
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity "example.com\group1";
}
then {
permit;
}
}
}
}
}
services {
user-identification {
logical-domain-identity-management {
active {
invalid-authentication-entry-timeout 1;
ip-query {
query-delay-time 30;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen des Identitätsmanagement-Status der Benutzeridentifikation
- Überprüfen der Statuszähler für die Benutzeridentifikation Identity Management
- Überprüfen der Authentifizierungstabelle zur Benutzeridentifikation
Überprüfen des Identitätsmanagement-Status der Benutzeridentifikation
Zweck
Überprüfen Sie den Benutzeridentifikationsstatus für die Identitätsverwaltung als Authentifizierungsquelle.
Aktion
Geben Sie den show services user-identification logical-domain-identity-management status Befehl ein, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.
user@host>show services user-identification logical-domain-identity-management status
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 10.1.1.1
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL
Token expire time : 2017-11-27 23:45:22
Secondary server :
Address : Not configured
Bedeutung
Die Ausgabe zeigt die statistischen Daten über die erweiterte Benutzerabfragefunktion, Batch-Abfragen und IP-Abfragen an oder zeigt den Status auf den Servern des Juniper Identity Management Service an.
Überprüfen der Statuszähler für die Benutzeridentifikation Identity Management
Zweck
Überprüfen Sie die Benutzeridentifikationsindikatoren für die Identitätsverwaltung als Authentifizierungsquelle.
Aktion
Geben Sie den show services user-identification logical-domain-identity-management counters Befehl ein, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.
user@host>show services user-identification logical-domain-identity-management counters
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 10.208.137.208
Batch query sent number : 65381
Batch query total response number : 64930
Batch query error response number : 38
Batch query last response time : 2018-08-14 15:10:52
IP query sent number : 10
IP query total response number : 10
IP query error response number : 0
IP query last response time : 2018-08-13 12:41:56
Secondary server :
Address : Not configured
Bedeutung
Die Ausgabe zeigt die statistischen Daten zu den erweiterten Benutzerabfragefunktionen, Batch-Abfragen und IP-Abfragen an oder zeigt Zähler auf den Servern des Juniper Identity Management Service an.
Überprüfen der Authentifizierungstabelle zur Benutzeridentifikation
Zweck
Überprüfen Sie die Einträge in der Tabelle zur Authentifizierung der Benutzeridentitätsinformationen für die angegebene Authentifizierungsquelle.
Aktion
Geben Sie den show services user-identification authentication-table authentication-source all tenant TSYS1 Befehl ein, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.
user@host>show services user-identification authentication-table authentication-source all tenant TSYS1
node0:
--------------------------------------------------------------------------
Tenant System: TSYS1
Domain: ad03.net
Total entries: 4
Source IP Username groups(Ref by policy) state
10.12.0.2 administrator posture-healthy Valid
10.12.0.15 administrator posture-healthy Valid
2001:db8:3000::5 N/A posture-healthy Valid
fe80::342c:302b N/A posture-healthy Valid
Bedeutung
Die Ausgabe zeigt den gesamten Inhalt der Authentifizierungstabelle der angegebenen Authentifizierungsquelle oder einer bestimmten Domäne, Gruppe oder eines bestimmten Benutzers basierend auf dem Benutzernamen an. Zeigen Sie die Identitätsinformationen für einen Benutzer basierend auf der IP-Adresse des Geräts des Benutzers an.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.