SUR CETTE PAGE
Exemple : Configurer le trafic HTTPS pour déclencher l’authentification directe
Exemple : Configurer le trafic HTTPS pour déclencher l’authentification du portail captif
Configurer le portail captif pour les navigateurs non authentifiés
Exemple : Configurer des serveurs d’authentification externes
Configurer un logo et des bannières de messages personnalisés
Configurer les méthodes d’authentification pour les utilisateurs du pare-feu SRX
Découvrez comment configurer l’authentification directe et l’authentification sur le portail captif.
Exemple : Configurer l’authentification directe
Cet exemple montre comment configurer l’authentification directe pour authentifier les utilisateurs du pare-feu. Un utilisateur de pare-feu est un utilisateur du réseau qui doit fournir un nom d’utilisateur et un mot de passe lorsqu’il établit une connexion à travers le pare-feu.
L’authentification directe permet aux administrateurs SRX Series de restreindre l’accès des utilisateurs à une ressource située dans une autre zone à l’aide de FTP, Telnet, HTTP ou HTTPS. Si le trafic correspond à une stratégie de sécurité dont l’action est l’authentification directe, l’utilisateur est tenu de fournir des informations de connexion.
Pour HTTPS, pour garantir la sécurité, la taille de la clé de certificat HTTPS par défaut est de 2048 bits. Si vous ne spécifiez pas de taille de certificat, la taille par défaut est utilisée.
Exigences
Avant de commencer, définissez les utilisateurs du pare-feu. Reportez-vous à la section Présentation de l’authentification des utilisateurs du pare-feu.
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series
Système d’utilisateur du pare-feu
Système de destination des paquets
Aperçu
Le processus d’authentification directe est déclenché lorsqu’un client, appelé utilisateur de pare-feu, tente d’initier une session FTP, Telnet ou HTTP pour accéder à une ressource dans une autre zone. Le pare-feu SRX Series agit comme un proxy pour un serveur FTP, Telnet, HTTP ou HTTPS afin d’authentifier l’utilisateur du pare-feu avant de l’autoriser à accéder au serveur FTP, Telnet ou HTTP derrière le pare-feu.
Si le trafic généré à partir d’une demande de connexion envoyée par un utilisateur de pare-feu correspond à une règle de stratégie de sécurité de manière bidirectionnelle et que cette règle spécifie l’authentification par pare-feu pass-through comme action de sa then clause, le pare-feu SRX Series exige que l’utilisateur du pare-feu s’authentifie auprès d’un serveur proxy Junos OS.
Si l’authentification réussit, le trafic ultérieur provenant de la même adresse IP source est automatiquement autorisé à passer à travers le pare-feu SRX Series s’il correspond aux tuples de la stratégie de sécurité.
La figure 1 illustre la topologie utilisée dans cet exemple.
par pare-feu pass-through
Bien que la topologie indique l’utilisation d’un serveur externe, elle n’est pas couverte par la configuration. Elle sort du cadre de cet exemple.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24 set access profile FWAUTH client FWClient1 firewall-user password password set access firewall-authentication pass-through default-profile FWAUTH set access firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION" set security zones security-zone UT-ZONE host-inbound-traffic system-services all set security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone T-ZONE host-inbound-traffic system-services all set security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’authentification directe :
Configurez deux interfaces et attribuez-leur des adresses IP.
Note:Dans cet exemple, il est facultatif d’attribuer deux adresses aux interfaces.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 user@host# set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24
Créez le profil d’accès FWAUTH pour l’utilisateur FWClient1, spécifiez le mot de passe de l’utilisateur et définissez une bannière de réussite pour les sessions Telnet.
[edit access] user@host# set access profile FWAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication pass-through default-profile FWAUTH user@host# set firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION"
Configurez les zones de sécurité.
Note:Dans cet exemple, il est facultatif de configurer une deuxième interface pour une zone de sécurité.
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
Affectez la politique de sécurité P1 aux zones de sécurité.
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
Utilisez Telnet pour authentifier l’utilisateur du pare-feu FWClient1 auprès de l’hôte2.
user@FWClient1# run telnet 192.0.2.1/24 Trying 192.0.2.1/24... Connected to 192.0.2.1/24 Escape character is '^]'. Firewall User Authentication Username: FWClient1 Password:$ABC123 WELCOME TO JUNIPER TELNET SESSION Host1 (ttyp0) login: user Password: $ABC123 --- JUNOS 10.1R1.1 built 2009-10-12 13:30:18 UTC %
Résultats
À partir du mode configuration, confirmez votre configuration en entrant ces commandes.
show interfacesshow accessshow security zonesshow security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.35;
}
}
}
ge-5/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
...
user@host# show access
profile FWAUTH {
authentication-order password;
client FWClient1 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
}
firewall-authentication {
pass-through {
default-profile FWAUTH;
telnet {
banner {
success "WELCOME TO JUNIPER TELNET SESSION";
}
}
}
}
user@host# show security zones
security-zone UT-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
security-zone T-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-5/0/0.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
}
user@host# show security policies
...
from-zone UT-ZONE to-zone T-ZONE {
policy P1 {
match {
source-address any;
destination-address any;
application junos-telnet;
}
then {
permit {
firewall-authentication {
pass-through {
client-match FWClient1;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de l’authentification des utilisateurs du pare-feu et surveillance des utilisateurs et des adresses IP dans le tableau d’authentification
But
Affichez l’historique des utilisateurs d’authentification de pare-feu et vérifiez le nombre d’utilisateurs de pare-feu qui se sont authentifiés avec succès et le nombre d’utilisateurs de pare-feu qui n’ont pas réussi à se connecter.
Action
À partir du mode opérationnel, entrez les commandes suivantes show :
user@host> show security firewall-authentication history History of firewall authentication data: Authentications: 2 Id Source Ip Date Time Duration Status User 1 203.0.113.12 2010-10-12 21:24:02 0:00:24 Failed FWClient1 2 203.0.113.12 2010-10-12 21:24:48 0:00:22 Success FWClient1
user@host> show security firewall-authentication history identifier 1 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Access start date: 2010-10-12 Access start time: 21:24:02 Duration of user access: 0:00:24 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Bytes sent by this user: 0 Bytes received by this user: 2660
user@host> show security firewall-authentication users Firewall authentication data: Total users in table: 1 Id Source Ip Src zone Dst zone Profile Age Status User 4 203.0.113.12 UT-ZONE T-ZONE FWAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Age: 3 Access time remaining: 9 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Interface Name: ge-0/0/1.0 Bytes sent by this user: 0 Bytes received by this user: 1521
Exemple : Configurer le trafic HTTPS pour déclencher l’authentification directe
Cet exemple montre comment configurer le trafic HTTPS pour déclencher l’authentification pass-through. HTTPS est plus sécurisé que HTTP, il est donc devenu plus populaire et est plus largement utilisé.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series
Deux PC sous Linux et Open SSL. Un PC joue le rôle de client et l’autre de serveur HTTPS. Les deux PC sont utilisés pour créer des fichiers de clés et pour envoyer du trafic.
Junos OS version 12.1X44-D10 ou ultérieure pour les périphériques SRX5400, SRX5600 et SRX5800 et Junos OS version 15.1X49-D40 ou ultérieure pour les passerelles de services Pare-feu virtuel vSRX, SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550M et SRX1500.
À partir de Junos OS version 12.1X44-D10 et de Junos OS version 17.3R1, l’authentification basée sur HTTPS est introduite sur les appareils SRX5400, SRX5600 et SRX5800.
À partir de Junos OS version 15.1X49-D40 et Junos OS version 17.3R1, l’authentification basée sur HTTPS est introduite sur les passerelles de services Pare-feu virtuel vSRX, SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550M SRX1500.
Avant de commencer :
Un pare-feu SRX Series doit décoder le trafic HTTPS pour déclencher l’authentification pass-through. Ensuite, le proxy de terminaison SSL crée et installe un fichier de clé privée et un fichier de certification. La liste suivante décrit les étapes de création et d’installation d’un fichier de clé privée et d’un fichier de clé de certification.
Si vous disposez d’un fichier .crt officiel et d’un fichier .key , vous pouvez directement télécharger et installer les fichiers sur le pare-feu SRX Series. Si vous ne disposez pas d’un fichier .crt et d’un fichier .key , suivez la procédure pour créer et installer les fichiers. Les instructions spécifiées à l’étape 1 et à l’étape 2 doivent être exécutées sur un PC sur lequel Linux et OpenSSL sont installés. Les instructions spécifiées aux étapes 3 et 4 doivent être exécutées en mode opérationnel.
Pour créer et installer un fichier de clé privée et un fichier de certification :
Sur un PC, créez le fichier .key .
openssl genrsa -out /tmp/server.key 1024
Sur un PC, créez le fichier .crt .
openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.11/emailAddress=device@mycompany.com"
-
Chargez les fichiers .key et .crt sur un pare-feu SRX Series et installez les fichiers sur l’appareil à l’aide de la commande suivante à partir du mode opérationnel :
user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
Aperçu
L’authentification par pare-feu permet d’établir une connexion sécurisée entre deux appareils. Un utilisateur du réseau doit fournir un nom d’utilisateur et un mot de passe pour s’authentifier lorsqu’il établit une connexion à travers le pare-feu. L’authentification par pare-feu prend en charge le trafic HTTPS pour l’authentification directe. Le protocole HTTPS peut sécuriser le trafic d’authentification du pare-feu HTTP entre les utilisateurs et le pare-feu SRX Series.
HTTPS est la version sécurisée de HTTP, le protocole par lequel les données sont envoyées entre l’utilisateur et l’appareil auquel l’utilisateur est connecté. Toutes les communications entre l’utilisateur et les appareils connectés sont cryptées. Le protocole HTTPS est souvent utilisé pour protéger les transactions en ligne hautement confidentielles, comme les services bancaires en ligne et les bons de commande d’achat en ligne.
Dans cet exemple, le trafic HTTPS est utilisé pour déclencher l’authentification directe, car HTTPS est plus sécurisé que HTTP. Pour que le trafic HTTPS déclenche l’authentification pass-through, vous devez d’abord configurer le profil de terminaison SSL.
La figure 2 montre un exemple d’authentification directe à l’aide du trafic HTTPS. Dans cet exemple, un hôte ou un utilisateur d’une zone non approuvée tente d’accéder aux ressources de la zone de confiance. Le pare-feu SRX Series utilise le protocole HTTPS pour collecter le nom d’utilisateur et le mot de passe. Le trafic ultérieur provenant de l’hôte ou de l’utilisateur est autorisé ou refusé en fonction du résultat de cette authentification.
HTTPS
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.12/24 set interfaces ge-1/0/0 unit 0 family inet address 203.0.113.1/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf set security policies from-zone trust to-zone untrust policy p1 then log session-init set security policies from-zone trust to-zone untrust policy p1 then log session-close set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic protocols all set access profile local_pf client user1 firewall-user password <password> set access firewall-authentication pass-through default-profile local_pf set services ssl termination profile ssl_pf server-certificate device
Procédure
Procédure étape par étape
Pour configurer le trafic HTTPS afin de déclencher l’authentification directe :
Configurez les interfaces et attribuez des adresses IP.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.12/24 user@host# set ge-1/0/0 unit 0 family inet address 203.0.113.1/24
Configurez les stratégies de sécurité pour autoriser le trafic authentifié par le pare-feu de la confiance de zone vers la zone non fiable.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf
Spécifiez une action de stratégie à effectuer lorsqu’un paquet correspond aux critères.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone untrust policy p1 match destination-address any user@host# set from-zone trust to-zone untrust policy p1 match application any user@host# set from-zone trust to-zone untrust policy p1 then log session-init user@host# set from-zone trust to-zone untrust policy p1 then log session-close
Configurez les zones de sécurité et attribuez des interfaces.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
Configurez les services applicatifs pour les zones.
[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all protocols all user@host# set security-zone untrust host-inbound-traffic system-services all protocols all
Créez un profil d’accès, configurez le client en tant qu’utilisateur de pare-feu et définissez le mot de passe.
[edit access] user@host# set profile local_pf client user1 firewall-user password <password>
Configurez le type de pare-feu et le nom du profil par défaut dans lequel les paramètres d’authentification sont définis.
[edit access] user@host# set firewall-authentication pass-through default-profile local_pf
Configurez le profil de terminaison SSL et entrez un nom d’identificateur de certificat local.
[edit services] user@host# set ssl termination profile ssl_pf server-certificate device
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show security policies, show security zones, show accesset show services ssl termination . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show interfaces
...
interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.12;
}
}
}
ge-1/0/0 {
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
user@host# show security policies
...
policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile local_pf;
ssl-termination-profile ssl_pf;
}
}
}
log {
session-init;
session-close;
}
}
}
}
}
user@host# show security zones
...
zones {
security-zone trust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-1/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
user@host# show access
...
access {
profile local_pf {
client user1 {
firewall-user {
password password;
}
}
}
firewall-authentication {
pass-through {
default-profile local_pf;
}
}
user@host# show services ssl termination
...
services {
ssl {
termination {
profile ssl_pf {
server-certificate device;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration
But
Vérifiez que la configuration est correcte.
Action
À partir du mode opérationnel, entrez la show security firewall-authentication users commande pour l’identificateur 1.
user@host> show security firewall-authentication users identifier 1
Username: user1
Source IP: 203.0.113.1/24
Authentication state: Success
Authentication method: Pass-through using HTTPS
Age: 0
Access time remaining: 10
Lsys: root-logical-system
Source zone: trust
Destination zone: untrust
Access profile: local_pf
Interface Name: ge-0/0/0.0
Bytes sent by this user: 946
Bytes received by this user: 0
Signification
La show security firewall-authentication users commande affiche les informations de l’utilisateur d’authentification du pare-feu pour l’identificateur spécifié. Si la sortie affiche Pass-through à l’aide de HTTPS dans le champ Méthode d’authentification et Réussite dans le champ État d’authentification, votre configuration est correcte.
Exemple : Configurer l’authentification du portail captif
Cet exemple montre comment activer l’authentification du portail captif et configurer une stratégie qui autorise l’accès à un utilisateur lorsque le trafic rencontre une stratégie pour laquelle l’authentification du portail captif est activée.
Exigences
Avant de commencer :
Définissez les utilisateurs du pare-feu. Reportez-vous à la section Présentation de l’authentification des utilisateurs du pare-feu.
Ajoutez l’indicateur HTTP d’authentification Web sous la hiérarchie d’adresses de l’interface pour activer l’authentification Web.
Aperçu
Pour activer l’authentification Web, vous devez spécifier l’adresse IP de l’appareil hébergeant la session HTTP. Ces paramètres sont utilisés si l’utilisateur du pare-feu accédant à une ressource protégée souhaite être authentifié en accédant directement au serveur Web ou par authentification Web. Les instructions suivantes montrent comment configurer une stratégie qui autorise l’accès à l’utilisateur FWClient1 lorsque le trafic rencontre une stratégie pour laquelle l’authentification Web est activée (Policy-W). ( Reportez-vous à la Figure 3.) Dans cet exemple, FWClient1 s’est déjà authentifié via la page de connexion à l’authentification Web.
Pour s’authentifier, l’utilisateur du pare-feu FWClient1 effectue les opérations suivantes :
Dirige le navigateur vers l’adresse IP d’authentification Web (198.51.100.63/24) pour s’authentifier en premier
Démarre le trafic pour accéder aux ressources spécifiées par la stratégie policy-W
d’authentification Web
Lorsque vous configurez l’appareil comme décrit dans ces instructions et que l’utilisateur s’authentifie avec succès, l’écran illustré à la Figure 4 s’affiche.
de réussite de l’authentification Web)
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication httpset interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24set access profile WEBAUTH client FWClient1 firewall-user password pwdset access firewall-authentication web-authentication default-profile WEBAUTHset access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"set security zones security-zone UT-ZONE host-inbound-traffic system-services allset security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols allset security zones security-zone T-ZONE host-inbound-traffic system-services allset security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols allset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address anyset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address anyset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application anyset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1set system services web-management http interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’authentification Web :
Configurez deux interfaces et attribuez-leur des adresses IP.
Note:Dans cet exemple, il est facultatif d’attribuer deux adresses aux interfaces.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication http user@host# set interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24
Créez le profil d’accès WEBAUTH pour l’utilisateur FWClient1, spécifiez le mot de passe de l’utilisateur et définissez un bandeau de réussite.
[edit access] user@host# set profile WEBAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication web-authentication default-profile WEBAUTH user@host# set firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
Configurez les zones de sécurité.
Note:Dans cet exemple, il est facultatif de configurer une deuxième interface pour une zone de sécurité.
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
Affectez la politique de sécurité P1 aux zones de sécurité.
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1
Activez le processus HTTP (démon) sur votre appareil.
[edit] user@host# set system services web-management http interface ge-0/0/1.0
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les commandes suivantes :
show interfacesshow accessshow security zonesshow security policiesshow system services
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show sortie inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
user@host# show interfaces
...
}
ge-0/0/1{
unit 0 {
family inet {
address 198.51.100.23/24 {
address 198.51.100.63/24 {
web-authentication http;
}
}
}
}
fe-5/0/0 {
unit 0 {
family inet {
address 198.51.100.14/24;
}
}
}
...
user@host# show access
profile WEBAUTH {
client FWClient1 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
}
firewall-authentication {
web-authentication {
default-profile WEBAUTH;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
user@host# show security zones
...
}
security-zone UT-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
}
security-zone T-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-5/0/0.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
}
user@host# show security policies
...
from-zone UT-ZONE to-zone T-ZONE {
policy P1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
web-authentication {
client-match FWClient1;
}
}
}
}
}
}
user@host# show system services
...
ftp;
ssh;
telnet;
web-management {
http {
interface g-0/0/1.0;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de l’authentification des utilisateurs du pare-feu et surveillance des utilisateurs et des adresses IP dans le tableau d’authentification
But
Affichez l’historique des utilisateurs d’authentification de pare-feu et vérifiez le nombre d’utilisateurs de pare-feu qui se sont authentifiés avec succès et d’utilisateurs de pare-feu qui n’ont pas réussi à se connecter.
Action
À partir du mode opérationnel, entrez les commandes suivantes show :
user@host> show security firewall-authentication history user@host> show security firewall-authentication history identifier 1 user@host> show security firewall-authentication users user@host> show security firewall-authentication users identifier 3
user@host> show security firewall-authentication history
History of firewall authentication data:
Authentications: 1
Id Source Ip Date Time Duration Status User
5 198.51.100.75 2010-04-24 01:08:57 0:10:30 Success FWClient1
user@host> show security firewall-authentication history identifier 1
Username: FWClient1
Source IP: 198.51.100.752
Authentication state: Success
Authentication method: Web-authentication
Access start date: 2010-10-12
Access start time: 21:24:02
Duration of user access: 0:00:24
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Bytes sent by this user: 0
Bytes received by this user: 2660
user@host> show security firewall-authentication users
Firewall authentication data:
Total users in table: 1
Id Source Ip Src zone Dst zone Profile Age Status User
4 198.51.100.75 N/A N/A WEBAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3
Username: FWClient1
Source IP: 198.51.100.75
Authentication state: Success
Authentication method: Web-authentication
Age: 3
Access time remaining: 9
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Interface Name: ge-0/0/1.0
Bytes sent by this user: 0
Bytes received by this user: 1521
Exemple : Configurer le trafic HTTPS pour déclencher l’authentification du portail captif
Cet exemple montre comment configurer le trafic HTTPS pour déclencher l’authentification du portail captif. Le protocole HTTPS est largement utilisé pour l’authentification sur le portail captif, car il est plus sécurisé que le protocole HTTP.
Exigences
Avant de commencer :
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series
Deux PC avec Linux et Open SSL installés. Un PC joue le rôle de client et l’autre de serveur HTTPS. Les deux PC sont utilisés pour créer des fichiers de clés et pour envoyer du trafic.
Junos OS version 12.1X44-D10 ou ultérieure pour les périphériques SRX5400, SRX5600 et SRX5800 et Junos OS version 15.1X49-D40 ou ultérieure pour les passerelles de services Pare-feu virtuel vSRX, SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550M et SRX1500.
Un pare-feu SRX Series doit décoder le trafic HTTPS pour déclencher l’authentification Web. La liste suivante décrit les étapes de création et d’installation d’un fichier de clé privée et d’un fichier de clé de certification.
Si vous disposez d’un fichier et .key d’un fichier officiels.crt, vous pouvez directement télécharger et installer les fichiers sur le pare-feu SRX Series. Si vous n’avez pas de .crt fichier et .key de fichier, suivez la procédure pour créer et installer les fichiers. Les instructions spécifiées à l’étape 1 et à l’étape 2 doivent être exécutées sur un PC sur lequel Linux et OpenSSL sont installés. Les instructions spécifiées aux étapes 3 et 4 doivent être exécutées en mode opérationnel.
À partir du PC, créez le
.keyfichier.openssl genrsa -out /tmp/server.key 1024
À partir du PC, créez le
.crtfichier.openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.22/emailAddress=device@mycomany.com"
-
À partir du pare-feu SRX Series, chargez les
.keyfichiers et.crtet installez les fichiers sur l’équipement à l’aide de la commande suivante :user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
Aperçu
L’authentification par pare-feu permet d’établir une connexion sécurisée entre deux appareils. Un utilisateur du réseau doit fournir un nom d’utilisateur et un mot de passe pour s’authentifier lorsqu’il établit une connexion à travers le pare-feu. L’authentification par pare-feu prend en charge le trafic HTTPS pour l’authentification directe. Le protocole HTTPS peut sécuriser le trafic d’authentification du pare-feu HTTP entre les utilisateurs et le pare-feu SRX Series.
HTTPS est la version sécurisée de HTTP, le protocole par lequel les données sont envoyées entre l’utilisateur et l’appareil auquel l’utilisateur est connecté. Toutes les communications entre l’utilisateur et les appareils connectés sont cryptées. Le protocole HTTPS est souvent utilisé pour protéger les transactions en ligne hautement confidentielles, comme les services bancaires en ligne et les bons de commande d’achat en ligne.
Dans cet exemple, le trafic HTTPS est utilisé pour déclencher l’authentification Web, car HTTPS est plus sécurisé que HTTP.
L’utilisateur utilise HTTPS pour accéder à une adresse IP sur l’appareil qui est activée pour l’authentification Web. Dans ce scénario, l’utilisateur n’utilise pas HTTPS pour accéder à l’adresse IP de la ressource protégée. L’utilisateur est invité à saisir un nom d’utilisateur et un mot de passe, qui sont vérifiés par l’appareil. Le trafic ultérieur de l’utilisateur ou de l’hôte vers la ressource protégée est autorisé ou refusé en fonction des résultats de cette authentification Web.
La figure 5 montre un exemple d’authentification Web à l’aide du trafic HTTPS.
HTTPS
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set system services web-management https pki-local-certificate device set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.5/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set access profile local_pf client user1 firewall-user password user1 set access firewall-authentication web-authentication default-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
Procédure
Procédure étape par étape
Pour configurer le trafic HTTPS afin de déclencher l’authentification Web :
Activez la prise en charge de la gestion Web pour le trafic HTTPS.
[edit system services] user@host# set web-management https pki-local-certificate device
Configurez les interfaces et attribuez des adresses IP. Activez l’authentification Web à l’interface ge-0/0/0.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https user@host# set ge-0/0/1 unit 0 family inet address 192.0.2.5/24
Configurez les stratégies de sécurité pour autoriser le trafic authentifié par le pare-feu de la confiance de zone vers la zone non fiable.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any destination-address any application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit
Créez un profil d’accès, configurez le client en tant qu’utilisateur de pare-feu et définissez le mot de passe.
[edit access] user@host# set profile local_pf client user1 firewall-user password user1
Configurez le type de paramètres d’authentification du pare-feu.
[edit access] user@host# set firewall-authentication web-authentication default-profile local_pf
Spécifiez une action de stratégie à effectuer lorsqu’un paquet correspond aux critères.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show system servicescommandes , show interfaces, show security policieset show access . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show system services
web-management {
https {
pki-local-certificate device;
}
}
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 203.0.113.115/24 {
web-authentication https;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.5/24;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
user@host# show access
profile local_pf {
client user1 {
firewall-user {
password "user1";
}
}
}
firewall-authentication {
web-authentication {
default-profile local_pf;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration
But
Vérifiez que la configuration est correcte.
Action
À partir du mode opérationnel, entrez la show security firewall-authentication users identifier identifier commande.
Sortie de l’échantillon
user@host> show security firewall-authentication users identifier 1
Username: user1
Source IP: 203.1.113.102
Authentication state: Success
Authentication method: Web-authentication
Age: 0
Access time remaining: 10
Lsys: root-logical-system
Source zone: N/A
Destination zone: N/A
Access profile: local_pf
Bytes sent by this user: 0
Bytes received by this user: 0
Signification
La show security firewall-authentication users identifier identifier commande affiche les informations de l’utilisateur d’authentification du pare-feu à l’aide de l’ID d’identification de l’utilisateur. Si le paramètre de méthode d’authentification affiche l’authentification Web et que le paramètre d’état d’authentification affiche la réussite de votre sortie, votre configuration est correcte.
Configurer le portail captif pour les navigateurs non authentifiés
Découvrez comment configurer un portail captif pour les navigateurs non authentifiés.
Voici quelques exemples de la façon dont vous pouvez configurer des stratégies de sécurité pour utiliser les fonctionnalités d’authentification du pare-feu auth-only-browser et auth-user-agent.
For Pass-Through Authentication
Configure une stratégie de sécurité pour l’authentification directe qui utilise le paramètre auth-only-browser.
user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through auth-only-browser access-profile my-access-profile1t
Configure une stratégie de sécurité pour l’authentification directe qui utilise le paramètre auth-user-agent sans auth-only-browser.
user@host# set security policies from-zone trust to-zone untrust policy p2 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p2 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p2 match application any user@host# set security policies from-zone trust to-zone untrust policy p2 then permit firewall-authentication pass-through auth-user-agent Opera1 access-profile my-access-profile2
Configure une stratégie de sécurité pour l’authentification directe qui utilise le navigateur d’authentification uniquement avec le paramètre auth-user-agent.
user@host# set security policies from-zone trust to-zone untrust policy p3 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p3 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p3 match application any user@host# set security policies from-zone trust to-zone untrust policy p3 then permit firewall-authentication pass-through auth-only-browser auth-user-agent Opera1 my-access-profile3
For User Firewall Authentication
Configure une stratégie de sécurité pour l’authentification du pare-feu utilisateur qui utilise le paramètre auth-only-browser.
user@host# set security policies from-zone trust to-zone untrust policy p4 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p4 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p4 match application any user@host# set security policies from-zone trust to-zone untrust policy p4 then permit firewall-authentication user-firewall auth-only-browser access-profile my-access-profile4t
Configure une stratégie de sécurité pour l’authentification du pare-feu utilisateur qui utilise le paramètre auth-user-agent sans auth-only-browser.
user@host# set security policies from-zone trust to-zone untrust policy p5 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p5 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p5 match application any user@host# set security policies from-zone trust to-zone untrust policy p5 then permit firewall-authentication user-firewall auth-user-agent Opera1 access-profile my-access-profile5
Configure une stratégie de sécurité pour l’authentification du pare-feu utilisateur qui utilise le navigateur auth-only avec le paramètre auth-user-agent.
user@host# set security policies from-zone trust to-zone untrust policy p6 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p6 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p6 match application any user@host# set security policies from-zone trust to-zone untrust policy p6 then permit firewall-authentication user-firewall auth-only-browser auth-user-agent Opera1 access-profile my-access-profile6
Voir aussi
Exemple : Configurer une stratégie unifiée
Lisez cet exemple pour comprendre comment configurer l’authentification directe et l’authentification du portail captif dans une stratégie unifiée afin de restreindre ou d’autoriser les utilisateurs à accéder aux ressources réseau.
- Aperçu
- Configuration des utilisateurs du pare-feu SRX avec une politique traditionnelle et une politique unifiée
- Configuration de l’authentification directe avec politique unifiée
- Configuration de l’authentification sur le portail captif avec stratégie unifiée
- Vérification
Aperçu
L’authentification des utilisateurs de pare-feu vous permet d’authentifier les utilisateurs avant qu’ils ne puissent accéder aux ressources réseau derrière un pare-feu. Lorsque vous avez activé l'authentification des utilisateurs par pare-feu, un utilisateur doit fournir un nom d'utilisateur et un mot de passe pour l'authentification lorsqu'il établit une connexion via le pare-feu.
À partir de la version 21.2R1 de Junos OS, nous prenons en charge l’authentification des utilisateurs par pare-feu avec des stratégies unifiées. L’authentification pass-through et l’authentification sur portail captif sont également compatibles.
Topologie
La figure 6 illustre la topologie utilisée dans cet exemple.
unifiée
Comme le montre la topologie, les utilisateurs du pare-feu dans la zone non approuvée doivent accéder à un serveur externe (adresse IP 10.1.2.1) dans la zone de confiance. L’utilisateur s’authentifie auprès du dispositif de sécurité avant d’accéder au serveur. L’appareil interroge une base de données locale pour déterminer le résultat de l’authentification. Une fois l'authentification réussie, le dispositif de sécurité autorise le trafic ultérieur à partir de la même adresse IP source jusqu'à ce que la session de l'utilisateur expire et se ferme.
Dans cet exemple, vous allez configurer les fonctionnalités suivantes sur le pare-feu SRX Series :
-
Configurez une base de données utilisateur locale à l’équipement de sécurité dans un profil d’accès. Ajoutez un ou plusieurs clients dans le profil, représentant les utilisateurs finaux. Le nom du client représente le nom d’utilisateur. Saisissez le mot de passe de chaque utilisateur au format texte brut.
- Associez le profil d’accès aux méthodes d’authentification pass-through ou de pare-feu Web. Définissez une bannière personnalisée pour l’affichage à l’utilisateur final.
- Configurez la stratégie de sécurité pour autoriser ou restreindre le trafic et appliquez l’authentification des utilisateurs de pare-feu pour le trafic autorisé.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
- Un pare-feu SRX Series ou un pare-feu virtuel vSRX
- Junos OS version 21.2R1
Avant de commencer :
- Installez une licence valide pour la fonction d’identification des applications sur votre pare-feu SRX Series. Reportez-vous à la section Installation et vérification des licences d’un package de signatures d’application.
- Installez la base de données de signatures d’application sur le pare-feu SRX Series. Reportez-vous à la section Téléchargement et installation du package de signatures d’application Junos OS.
Configuration des utilisateurs du pare-feu SRX avec une politique traditionnelle et une politique unifiée
| Workflow de scénarios | et de stratégies | lorsque l’utilisateur initie un | résultat | de session
|---|---|---|---|
| Authentification à l’aide d’une stratégie de sécurité traditionnelle et d’un utilisateur inconnu | Politique P1
|
|
Permet à un utilisateur non authentifié après une authentification réussie de l’utilisateur du pare-feu. |
| Authentification à l’aide d’une politique unifiée et d’un utilisateur authentifié | Politique P2
|
|
Permet à un utilisateur authentifié sans authentification d’utilisateur de pare-feu. |
| Authentification à l’aide d’une politique unifiée | Politique P3
|
|
Autorise le trafic avec authentification des utilisateurs par pare-feu. |
Pour rediriger le trafic d’un utilisateur non authentifié vers un portail captif UAC à des fins d’authentification, reportez-vous à la section Exemple : configuration d’un pare-feu de rôle d’utilisateur sur un équipement SRX Series.
Configuration rapide de la CLI
Pour configurer rapidement cet exemple sur votre pare-feu SRX Series, copiez les commandes suivantes et collez-les dans un fichier texte. Supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
set services ssl termination profile ssl-a server-certificate SERVER-CERTIFICATE-1 set security policies from-zone untrust to-zone trust policy p1 match source-address any set security policies from-zone untrust to-zone trust policy p1 match destination-address any set security policies from-zone untrust to-zone trust policy p1 match application junos-http set security policies from-zone untrust to-zone trust policy p1 match application junos-https set security policies from-zone untrust to-zone trust policy p1 match source-identity unauthenticated-user set security policies from-zone untrust to-zone trust policy p1 match source-identity unknown-user set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall access-profile PROFILE-1 set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile ssl-a set security policies from-zone untrust to-zone trust policy p1 then log session-init set security policies from-zone untrust to-zone trust policy p1 then log session-close set security policies from-zone untrust to-zone trust policy p2 match source-address any set security policies from-zone untrust to-zone trust policy p2 match destination-address any set security policies from-zone untrust to-zone trust policy p2 match application any set security policies from-zone untrust to-zone trust policy p2 match source-identity authenticated-user set security policies from-zone untrust to-zone trust policy p2 match dynamic-application junos:GOOGLE set security policies from-zone untrust to-zone trust policy p2 then permit set security policies from-zone untrust to-zone trust policy p3 match source-address any set security policies from-zone untrust to-zone trust policy p3 match destination-address any set security policies from-zone untrust to-zone trust policy p3 match application any set security policies from-zone untrust to-zone trust policy p3 match dynamic-application junos:YAHOO set security policies from-zone untrust to-zone trust policy p3 then permit firewall-authentication user-firewall access-profile PROFILE-1 set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.254/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.254/24 set access profile PROFILE-1 client CLIENT-1 client-group GROUP-1 set access profile PROFILE-1 client CLIENT-1 firewall-user password "$ABC123" set access profile PROFILE-1 client CLIENT-2 client-group GROUP-1 set access profile PROFILE-1 client CLIENT-2 firewall-user password "$ABC123" set access profile PROFILE-1 session-options client-idle-timeout 10 set access firewall-authentication pass-through default-profile PROFILE-1 set access firewall-authentication web-authentication default-profile PROFILE-1
Procédure étape par étape
-
Configurez les interfaces.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.254/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.254/24
-
Créez des zones de sécurité et attribuez les interfaces.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all
-
Configurez le profil d’accès et ajoutez des détails sur l’utilisateur.
[edit] user@host# set access profile PROFILE-1 client CLIENT-1 client-group GROUP-1 user@host# set access profile PROFILE-1 client CLIENT-1 firewall-user password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6" user@host# set access profile PROFILE-1 client CLIENT-2 client-group GROUP-1 user@host# set access profile PROFILE-1 client CLIENT-2 firewall-user password "$9$/Bv59pBIRSleWB17-ws4o" user@host# set access profile PROFILE-1 session-options client-idle-timeout 10
Nous avons ajouté deux utilisateurs CLIENT-1 et CLIENT-2 avec des mots de passe et assigné ces utilisateurs au groupe client GROUP-1.
-
Configurez les méthodes d’authentification et attribuez le profil d’accès.
[edit] user@host# set access firewall-authentication pass-through default-profile PROFILE-1 user@host# set access firewall-authentication web-authentication default-profile PROFILE-1
-
Configurez un profil de terminaison SSL.
[edit] user@host# set services ssl termination profile ssl-a server-certificate SERVER-CERTIFICATE-1
-
Configurez une stratégie de sécurité pour autoriser les utilisateurs non authentifiés à utiliser l’authentification des utilisateurs de pare-feu.
[edit] user@host# set security policies from-zone untrust to-zone trust policy p1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy p1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy p1 match application junos-http user@host# set security policies from-zone untrust to-zone trust policy p1 match application junos-https user@host# set security policies from-zone untrust to-zone trust policy p1 match source-identity unauthenticated-user user@host# set security policies from-zone untrust to-zone trust policy p1 match source-identity unknown-user user@host# set security policies from-zone untrust to-zone trust policy p1 match source-identity unknown-user user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall access-profile PROFILE-1 user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile ssl-a user@host# set security policies from-zone untrust to-zone trust policy p1 then log session-init user@host# set security policies from-zone untrust to-zone trust policy p1 then log session-close
-
Configurez une stratégie de sécurité pour autoriser les utilisateurs authentifiés sans authentification des utilisateurs de pare-feu.
[edit] user@host# set security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy p2 match application any user@host# set security policies from-zone untrust to-zone trust policy p2 match source-identity authenticated-user user@host# set security policies from-zone untrust to-zone trust policy p2 match dynamic-application junos:GOOGLE user@host# set security policies from-zone untrust to-zone trust policy p2 then permit
-
Configurez une stratégie de sécurité pour autoriser le trafic avec l’authentification des utilisateurs de pare-feu.
[edit] user@host# set security policies from-zone untrust to-zone trust policy p3 match source-address any user@host# set security policies from-zone untrust to-zone trust policy p3 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy p3 match application any user@host# set security policies from-zone untrust to-zone trust policy p3 match dynamic-application junos:YAHOO user@host# set security policies from-zone untrust to-zone trust policy p3 then permit firewall-authentication user-firewall access-profile PROFILE-1 user@host#
- Ajoutez une entrée à une table d’authentification locale. Notez que chaque entrée doit inclure une adresse IP.
user@host> request security user-identification local-authentication-table add user-name CLIENT-1 ip-address 10.1.1.1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la commande show security. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit ]user@host# show security policies
from-zone untrust to-zone trust {
policy p1 {
match {
source-address any;
destination-address any;
application [ junos-http junos-https ];
source-identity [ unauthenticated-user unknown-userset unknown-user ];
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile PROFILE-1;
ssl-termination-profile ssl-a;
}
}
}
log {
session-init;
session-close;
}
}
}
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity authenticated-user;
dynamic-application junos:GOOGLE;
}
then {
permit;
}
}
policy p3 {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:YAHOO;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile PROFILE-1;
}
}
}
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
user@host# show interfaces
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.2.254/24;
}
}
}
[edit]
user@host# show access
profile PROFILE-1 {
client CLIENT-1 {
client-group GROUP-1;
firewall-user {
password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6"; ## SECRET-DATA
}
}
client CLIENT-2 {
client-group GROUP-1;
firewall-user {
password "$9$/Bv59pBIRSleWB17-ws4o"; ## SECRET-DATA
}
}
session-options {
client-idle-timeout 10;
}
}
firewall-authentication {
pass-through {
default-profile PROFILE-1;
web-authentication {
default-profile PROFILE-1;
}
}
Si vous avez terminé de configurer la fonctionnalité sur votre appareil, passez commit en mode de configuration.
Vérification du fonctionnement de l’authentification des utilisateurs du pare-feu
Pour vérifier que l’authentification des utilisateurs du pare-feu fonctionne, ouvrez un navigateur Web sur l’ordinateur client. Accédez au serveur en entrant l’adresse IP du serveur 10.1.2.1. Le système vous invite à entrer les détails de connexion et de mot de passe, comme illustré à la Figure 7.
d’authentification directe
Après avoir entré avec succès les informations d’identification, vous pouvez accéder au serveur.
Configuration de l’authentification directe avec politique unifiée
any.
Configuration rapide de la CLI
Pour configurer rapidement cet exemple sur votre pare-feu SRX Series, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
set services ssl termination profile ssl-a server-certificate SERVER-CERTIFICATE-1 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.254/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.254/24 set security policies from-zone untrust to-zone trust policy p1 match source-address any set security policies from-zone untrust to-zone trust policy p1 match destination-address any set security policies from-zone untrust to-zone trust policy p1 match application any set security policies from-zone untrust to-zone trust policy p1 match dynamic-application any set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication pass-through access-profile PROFILE-1 set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl-a set security policies from-zone untrust to-zone trust policy p1 then log session-init set security policies from-zone untrust to-zone trust policy p1 then log session-close set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set access profile PROFILE-1 client CLIENT-1 client-group GROUP-1 set access profile PROFILE-1 client CLIENT-1 firewall-user password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6" set access profile PROFILE-1 client CLIENT-2 client-group GROUP-1 set access profile PROFILE-1 client CLIENT-2 firewall-user password "$9$/Bv59pBIRSleWB17-ws4o" set access profile PROFILE-1 session-options client-idle-timeout 10 set access firewall-authentication pass-through default-profile PROFILE-1 set access firewall-authentication web-authentication default-profile PROFILE-1
Procédure étape par étape
-
Configurez les interfaces.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.254/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.254/24
-
Définissez des zones de sécurité et attribuez des interfaces.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all
-
Configurez le profil d’accès et ajoutez des détails sur l’utilisateur.
[edit] user@host# set access profile PROFILE-1 client CLIENT-1 client-group GROUP-1 user@host# set access profile PROFILE-1 client CLIENT-1 firewall-user password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6" user@host# set access profile PROFILE-1 client CLIENT-2 client-group GROUP-1 user@host# set access profile PROFILE-1 client CLIENT-2 firewall-user password "$9$/Bv59pBIRSleWB17-ws4o" user@host# set access profile PROFILE-1 session-options client-idle-timeout 10
Nous avons ajouté deux utilisateurs CLIENT-1 et CLIENT-2 avec des mots de passe et assigné les utilisateurs au groupe client GROUP-1.
-
Configurez les méthodes d’authentification et attribuez le profil d’accès.
[edit] user@host# set access firewall-authentication pass-through default-profile PROFILE-1 user@host# set access firewall-authentication web-authentication default-profile PROFILE-1
-
Configurez un profil de terminaison SSL.
[edit] user@host# set services ssl termination profile ssl-a server-certificate SERVER-CERTIFICATE-1
-
Configurez une stratégie de sécurité avec une application dynamique en tant que
any.[edit] user@host# set security policies from-zone untrust to-zone trust policy p1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy p1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy p1 match application any user@host# set security policies from-zone untrust to-zone trust policy p1 match dynamic-application any user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication pass-through access-profile PROFILE-1 user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl-a user@host# set security policies from-zone untrust to-zone trust policy p1 then log session-init user@host# set security policies from-zone untrust to-zone trust policy p1 then log session-close
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la commande show security. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]user@host# show security policies]
from-zone untrust to-zone trust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application any;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile PROFILE-1;
ssl-termination-profile ssl-a;
}
}
}
log {
session-init;
session-close;
}
}
}
}
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.2.254/24;
}
}
}
[edit]
user@host# show access
profile PROFILE-1 {
client CLIENT-1 {
client-group GROUP-1;
firewall-user {
password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6"; ## SECRET-DATA
}
}
client CLIENT-2 {
client-group GROUP-1;
firewall-user {
password "$9$/Bv59pBIRSleWB17-ws4o"; ## SECRET-DATA
}
}
session-options {
client-idle-timeout 10;
}
}
firewall-authentication {
pass-through {
default-profile PROFILE-1;
}
web-authentication {
default-profile PROFILE-1;
}
}
Si vous avez terminé de configurer la fonctionnalité sur votre appareil, passez commit en mode de configuration.
Vérification de l’efficacité de l’authentification directe
Pour vérifier que l’authentification des utilisateurs par pare-feu fonctionne, ouvrez un navigateur Web sur l’ordinateur client. Accédez au serveur en entrant l’adresse IP du serveur 10.1.2.1. Le système vous invite à entrer votre nom d’utilisateur et votre mot de passe, comme illustré à la Figure 8.
d’authentification directe
Après avoir entré avec succès les informations d’identification, vous pouvez accéder au serveur.
Configuration de l’authentification sur le portail captif avec stratégie unifiée
Configuration rapide de la CLI
Pour configurer rapidement cet exemple sur votre pare-feu SRX Series, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
set system services web-management http interface ge-0/0/0.0 set system services web-management https system-generated-certificate set system services web-management https interface ge-0/0/0.0 set security policies from-zone untrust to-zone trust policy p1 match source-address any set security policies from-zone untrust to-zone trust policy p1 match destination-address any set security policies from-zone untrust to-zone trust policy p1 match application junos-http set security policies from-zone untrust to-zone trust policy p1 match application junos-https set security policies from-zone untrust to-zone trust policy p1 match dynamic-application junos:HTTP set security policies from-zone untrust to-zone trust policy p1 match dynamic-application junos:SSH set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication web-authentication set security policies from-zone untrust to-zone trust policy p1 then log session-init set security policies from-zone untrust to-zone trust policy p1 then log session-close set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.254/24 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.253/24 web-authentication http set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.253/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.254/24 set access profile PROFILE-1 client CLIENT-1 client-group GROUP-1 set access profile PROFILE-1 client CLIENT-1 firewall-user password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6" set access profile PROFILE-1 client CLIENT-2 client-group GROUP-1 set access profile PROFILE-1 client CLIENT-2 firewall-user password "$9$/Bv59pBIRSleWB17-ws4o" set access profile PROFILE-1 session-options client-idle-timeout 10 set access firewall-authentication pass-through default-profile PROFILE-1 set access firewall-authentication web-authentication default-profile PROFILE-1 set access firewall-authentication web-authentication banner success "WELCOME to JUNIPER HTTP SESSION"
Procédure étape par étape
-
Créez des interfaces.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.254/24 user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.253/24 web-authentication http user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.253/24 web-authentication https user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.254/24
Utilisez une adresse IP secondaire pour l’authentification Web. Dans cet exemple, nous utilisons 10.1.1.253/24 pour l'authentification Web. Notez que l’adresse IP secondaire doit utiliser le même sous-réseau que l’adresse IP principale.
-
Créez des zones de sécurité et attribuez des interfaces.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all
- Activez l’interface pour l’authentification Web.
[edit] user@host# set system services web-management http interface ge-0/0/0.0 user@host# set system services web-management https system-generated-certificate
-
Configurez le profil d’accès et ajoutez des détails sur l’utilisateur.
[edit] user@host# set access profile PROFILE-1 client CLIENT-1 client-group GROUP-1 user@host# set access profile PROFILE-1 client CLIENT-1 firewall-user password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6" user@host# set access profile PROFILE-1 client CLIENT-2 client-group GROUP-1 user@host# set access profile PROFILE-1 client CLIENT-2 firewall-user password "$9$/Bv59pBIRSleWB17-ws4o" user@host# set access profile PROFILE-1 session-options client-idle-timeout 10
Nous avons ajouté deux utilisateurs CLIENT-1 et CLIENT-2 avec des mots de passe et assigné les utilisateurs au groupe client GROUP-1.
-
Configurer les propriétés d’authentification Web
[edit] user@host# set access firewall-authentication web-authentication default-profile PROFILE-1 user@host# set access firewall-authentication web-authentication banner success "WELCOME to JUNIPER HTTP SESSION"
-
Créez une politique de sécurité avec l’application dynamique.
[edit] user@host# set security policies from-zone untrust to-zone trust policy p1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy p1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy p1 match application junos-http user@host# set security policies from-zone untrust to-zone trust policy p1 match application junos-https user@host# set security policies from-zone untrust to-zone trust policy p1 match dynamic-application junos:HTTP user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication web-authentication user@host# set security policies from-zone untrust to-zone trust policy p1 then log session-init user@host# set security policies from-zone untrust to-zone trust policy p1 then log session-close
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la commande show security. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]user@host# show security policies
from-zone untrust to-zone trust {
policy p1 {
match {
source-address any;
destination-address any;
application [ junos-http junos-https ];
dynamic-application [ junos:HTTP junos:SSH ];
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
log {
session-init;
session-close;
}
}
}
}
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.254/24;
address 10.1.1.253/24 {
web-authentication {
http;
https;
}
}
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.2.254/24;
}
}
}
[edit]
user@host# show access
profile PROFILE-1 {
client CLIENT-1 {
client-group GROUP-1;
firewall-user {
password "$9$2ngZjHkPQ39.PhrvLVb.P5Tz6"; ## SECRET-DATA
}
}
client CLIENT-2 {
client-group GROUP-1;
firewall-user {
password "$9$/Bv59pBIRSleWB17-ws4o"; ## SECRET-DATA
}
}
session-options {
client-idle-timeout 10;
}
}
firewall-authentication {
pass-through {
default-profile PROFILE-1;
}
}
web-authentication {
default-profile PROFILE-1;
banner {
success "WELCOME to JUNIPER HTTP SESSION";
}
}
}
[edit]
user@host# show system services
ssh {
root-login allow;
}
web-management {
http {
interface [ fxp0.0 ge-0/0/0.0 ];
}
https {
system-generated-certificate;
interface [ fxp0.0 ge-0/0/0.0 ];
}
}
Si vous avez terminé de configurer la fonctionnalité sur votre appareil, passez commit en mode de configuration.
Vérification du fonctionnement de l’authentification Web
Pour vérifier que l’authentification Web fonctionne, ouvrez un navigateur Web sur l’ordinateur client. Tout d’abord, accédez au dispositif de sécurité à l’aide d’un navigateur Web. Utilisez l'adresse IP 10.1.1.253 que nous avons configurée pour l'authentification Web. L’appareil vous invite à entrer un nom d’utilisateur et un mot de passe, comme illustré à la Figure 9.
d’authentification Web
Une fois l’authentification réussie, le système affiche la bannière configurée, comme illustré à la Figure 10, et vous pouvez accéder au serveur.
d’authentification Web
Vérification
- Surveillance des utilisateurs du pare-feu
- Vérification des détails d’utilisation de la politique de sécurité
Surveillance des utilisateurs du pare-feu
But
Affichez l’historique des utilisateurs d’authentification du pare-feu pour vérifier les détails des utilisateurs du pare-feu.
Action
À partir du mode opérationnel, entrez les commandes d’affichage suivantes :
user@host> show security firewall-authentication users
Firewall authentication data:
Total users in table: 1
Id Source Ip Src zone Dst zone Profile Age Status User
15 10.1.1.1 N/A N/A PROFILE- 1 Success CLIENT-2
user@host> show security firewall-authentication users identifier 16 Username: CLIENT-2 Source IP: 10.1.1.1 Authentication state: Success Authentication method: User-firewall using HTTP Age: 1 Access time remaining: 9 Lsys: root-logical-system Source zone: N/A Destination zone: N/A Access profile: PROFILE-1 Interface Name: ge-0/0/0.0 Bytes sent by this user: 56986 Bytes received by this user: 436401 Client-groups: GROUP-1
lab@vSRX-01> show security firewall-authentication users identifier 15 Username: CLIENT-2 Source IP: 10.1.1.1 Authentication state: Success Authentication method: Web-authentication using HTTP Age: 2 Access time remaining: 8 Lsys: root-logical-system Source zone: N/A Destination zone: N/A Access profile: PROFILE-1 Interface Name: ge-0/0/0.0 Bytes sent by this user: 0 Bytes received by this user: 0 Client-groups: GROUP-1
user@host> show security firewall-authentication history
History of firewall authentication data:
Authentications: 2
Id Source Ip Date Time Duration Status User
0 10.1.1.1 2021-05-12 06:44:26 0:00:59 Failed
14 10.1.1.1 2021-05-12 07:33:43 0:10:00 Success CLIENT-2
Signification
La sortie de la commande fournit des détails tels que les utilisateurs connectés, la méthode d’authentification utilisée, le profil appliqué, les tentatives de connexion, etc.
Vérification des détails d’utilisation de la politique de sécurité
But
Affichez le taux d’utilité des stratégies de sécurité en fonction du nombre d’accès reçus.
Action
À partir du mode opérationnel, entrez les commandes d’affichage suivantes :
user@host> show security policies hit-count Logical system: root-logical-system Index From zone To zone Name Policy count Action 1 untrust trust p2 2 Permit
Signification
La sortie de la commande fournit des détails sur les stratégies de sécurité appliquées au trafic.
Exemple : Configurer des serveurs d’authentification externes
Cet exemple montre comment configurer un appareil pour l’authentification externe.
Exigences
Avant de commencer, créez un groupe d’utilisateurs d’authentification.
Aperçu
Vous pouvez regrouper plusieurs comptes d’utilisateurs pour former un groupe d’utilisateurs, que vous pouvez stocker dans la base de données locale ou sur un serveur RADIUS, LDAP ou SecurID. Lorsque vous référencez un groupe d’utilisateurs d’authentification et un serveur d’authentification externe dans une stratégie, le trafic correspondant à la stratégie provoque une vérification d’authentification.
Cet exemple montre comment le profil d’accès Profile-1 est configuré pour l’authentification externe. Deux serveurs RADIUS et un serveur LDAP sont configurés dans le profil d’accès. Toutefois, l’ordre d’authentification spécifie uniquement le serveur RADIUS, donc si l’authentification du serveur RADIUS échoue, l’utilisateur du pare-feu ne parvient pas à s’authentifier. Il n’est pas possible d’accéder à la base de données locale.
Si les clients du pare-feu sont authentifiés par le serveur RADIUS, le VSA d’appartenance au groupe renvoyé par le serveur RADIUS doit contenir des groupes de clients alpha, bêta ou gamma dans la configuration du serveur RADIUS ou dans le profil d’accès, Profile-1. Les profils d’accès stockent les noms d’utilisateur et les mots de passe des utilisateurs ou pointent vers des serveurs d’authentification externes où ces informations sont stockées.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set access profile Profile-1 authentication-order radius set access profile Profile-1 client Client-1 client-group alpha set access profile Profile-1 client Client-1 client-group beta set access profile Profile-1 client Client-1 client-group gamma set access profile Profile-1 client Client-1 firewall-user password pwd set access profile Profile-1 client Client-2 client-group alpha set access profile Profile-1 client Client-2 client-group beta set access profile Profile-1 client Client-2 firewall-user password pwd set access profile Profile-1 client Client-3 firewall-user password pwd set access profile Profile-1 client Client-4 firewall-user password pwd set access profile Profile-1 session-options client-group alpha set access profile Profile-1 session-options client-group beta set access profile Profile-1 session-options client-group gamma set access profile Profile-1 session-options client-idle-timeout 255 set access profile Profile-1 session-options client-session-timeout 4 set access profile Profile-1 ldap-options base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net set access profile Profile-1 ldap-options search search-filter sAMAccountName= set access profile Profile-1 ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=juniper,dc=net set access profile Profile-1 ldap-options search admin-search password pwd set access profile Profile-1 ldap-server 203.0.113.39/24 set access profile Profile-1 radius-server 203.0.113.62/24 secret example-secret set access profile Profile-1 radius-server 203.0.113.62/24 retry 10 set access profile Profile-1 radius-server 203.0.113.27/24 secret juniper
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer un appareil en vue de l’authentification externe :
Spécifiez le serveur RADIUS pour l’ordre d’authentification externe.
[edit] user@host# set access profile Profile-1 authentication-order radius
Configurez les utilisateurs du pare-feu Client1-4 et affectez l’utilisateur du pare-feu Client-1 et l’utilisateur du pare-feu Client-2 à des groupes de clients.
[edit access profile Profile-1] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
Configurez les groupes de clients dans les options de session.
[edit access profile Profile-1] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
Configurez l’adresse IP du serveur LDAP et les options du serveur.
[edit access profile Profile-1] user@host# set ldap-options base-distinguished-name CN=users,DC=junos,DC=mycompany,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search password pwd user@host# set ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=mycompany,dc=net user@host# set ldap-server 203.0.113.39/24
Configurez les adresses IP des deux serveurs RADIUS.
[edit access profile Profile-1] user@host# set radius-server 203.0.113.62/24 secret pwd user@host# set radius-server 203.0.113.62/24 retry 10 user@host# set radius-server 203.0.113.27/24 secret pwd
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show access profile Profile-1 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show access profile Profile-1
authentication-order radius;
client Client-1 {
client-group [ alpha beta gamma ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-2 {
client-group [ alpha beta ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-3 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client Client-4 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
session-options {
client-group [ alpha beta gamma ];
client-idle-timeout 255;
client-session-timeout 4;
}
ldap-options {
base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net;
search {
search-filter sAMAccountName=;
admin-search {
distinguished-name cn=administrator,cn=users,dc=junos,
dc=mycompany,dc=net; password "$ABC123"; ## SECRET-DATA
}
}
}
ldap-server {
203.0.113.39/24 ;
}
radius-server {
203.0.113.62/24 {
secret "$ABC123"; ## SECRET-DATA
retry 10;
}
203.0.113.27/24 {
secret "$ABC123"; ## SECRET-DATA
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Exemple : Configurer des groupes de clients
Cet exemple montre comment configurer un utilisateur local pour les groupes de clients d’un profil.
Exigences
Avant de commencer, créez un profil d’accès.
Aperçu
Un groupe de clients est une liste de groupes auxquels le client appartient. Comme pour le délai d’inactivité du client, un groupe de clients n’est utilisé que si le serveur d’authentification externe ne renvoie pas de valeur dans sa réponse (par exemple, les serveurs LDAP ne renvoient pas de telles informations).
Cet exemple montre comment configurer un utilisateur local appelé Client-1 pour les groupes de clients G1, G2 et G3 dans un profil appelé Gestionnaires. Dans cet exemple, les groupes de clients sont configurés pour un client. Si aucun groupe de clients n’est défini pour le client, c’est le groupe de clients de la access profile session-options hiérarchie qui est utilisé.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set access profile Managers client Client-1 client-group G1set access profile Managers client Client-1 client-group G2set access profile Managers client Client-1 client-group G3set access profile Managers client Client-1 firewall-user password pwdset access profile Managers session-options client-group G1set access profile Managers session-options client-group G2set access profile Managers session-options client-group G3
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer un utilisateur local pour les groupes de clients d’un profil :
Configurez les gestionnaires de profil utilisateur du pare-feu et affectez-y des groupes de clients.
user@host# edit access profile Managers [edit access profile Managers] user@host# set client Client-1 client-group G1 user@host# set client Client-1 client-group G2 user@host# set client Client-1 client-group G3 user@host# set client Client-1 firewall-user password pwd
Configurez les groupes de clients dans les options de session.
[edit access profile Managers] user@host# set session-options client-group G1 user@host# set session-options client-group G2 user@host# set session-options client-group G3
Résultats
Confirmez votre configuration en entrant la show access profile Managers commande à partir du mode de configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show access profile Managers
client Client-1 {
client-group [ G1 G2 G3 ];
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
session-options {
client-group [ G1 G2 G3 ];
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Exemple : Personnaliser une bannière
Cet exemple montre comment personnaliser le texte de la bannière qui s’affiche dans le navigateur.
Exigences
Avant de commencer, créez un profil d’accès.
Aperçu
Une bannière est un message qui apparaît sur un moniteur à différents endroits en fonction du type de connexion. Cet exemple montre comment modifier la bannière qui apparaît dans le navigateur pour indiquer qu’un utilisateur s’est authentifié avec succès après s’être connecté via l’authentification Web. Le nouveau message est « L’authentification Web a réussi ». Si l’authentification échoue, le nouveau message indique « Échec de l’authentification ».
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit en mode de configuration.
set access firewall-authentication pass-through default-profile Profile-1set access firewall-authentication pass-through ftp banner fail “ Authentication failed”set access firewall-authentication web-authentication default-profile Profile-1set access firewall-authentication web-authentication banner success “ Web authentication is successful”
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour personnaliser le texte de la bannière qui s’affiche dans le navigateur :
Spécifiez le texte de la bannière pour l’échec de l’authentification pass-through via FTP.
[edit] user@host# set access firewall-authentication pass-through default-profile Profile-1 user@host# set access firewall-authentication pass-through ftp banner fail “ Authentication failed”
Spécifiez le texte de la bannière pour une authentification Web réussie.
[edit] user@host# set access web-authentication default-profile Profile-1 user@host# set access web-authentication banner success “ Web authentication is successful”
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show access firewall-authentication commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show access firewall-authentication
pass-through {
default-profile Profile-1;
ftp {
banner {
fail "Authentication failed";
}
}
}
web-authentication {
default-profile Profile-1;
banner {
success "Web authentication is successful";
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Exemple : Configurer l’authentification Mutual-TLS (mTLS)
Découvrez comment configurer l’authentification TLS mutuelle (mTLS).
Utilisez cet exemple pour configurer et vérifier l’authentification mTLS (Mutual Couche Transport Security) sur votre pare-feu. Dans cet exemple, nous utilisons pare-feu pour désigner un pare-feu SRX Series Juniper Networks® ou un Pare-feu virtuel vSRX Juniper Networks® (vSRX3.0). Grâce à cette configuration, un utilisateur peut s’authentifier sans mot de passe. L’authentification des utilisateurs se fait par la validation des certificats client/serveur à l’aide d’une paire de clés publique-privée.
Pour configurer mTLS comme indiqué dans cet exemple, un administrateur doit générer les certificats suivants :
-
Certificat d’autorité de certification : exécutez le certificat d’autorité de certification sur votre pare-feu et votre navigateur client.
-
Certificat de serveur : générez un certificat de serveur sur votre pare-feu à l’aide du serveur domain1.com mTLS. Signez le certificat du serveur à l’aide d’un certificat d’autorité de certification configuré sur votre pare-feu.
-
Certificat client : générez un certificat client sur votre navigateur client et signez-le à l’aide d’un certificat d’autorité de certification configuré sur votre pare-feu.
| Temps de lecture |
Moins d’une heure. |
| Temps de configuration |
Moins d’une heure. |
- Exemples de conditions préalables
- Avant de commencer
- Présentation fonctionnelle
- Vue d’ensemble de la topologie
- Illustration topologique
- Configuration étape par étape sur l’appareil en cours de test (DUT)
- Annexe 1 : définir les commandes sur tous les équipements
- Générer des certificats de clé pour le client et le serveur
- Vérification
Exemples de conditions préalables
| Configuration matérielle requise |
® Pare-feu SRX Series de Juniper Networks ou pare-feu virtuel vSRX de Juniper Networks® (vSRX3.0) |
| Configuration logicielle requise |
Junos OS version 23.4R1 ou ultérieure |
Avant de commencer
| Avantages |
Avec l’authentification mTLS, vous pouvez :
|
| En savoir plus |
Pare-feu conscient des identités |
| Pour en savoir plus |
Authentification des utilisateurs de pare-feu |
Présentation fonctionnelle
Cette section fournit un résumé des composants de configuration de cet exemple.
| Technologies utilisées |
Pour établir l’authentification mTLS, vous devez configurer :
|
| Tâches de vérification primaires |
Vérifiez l’authentification mTLS. |
Vue d’ensemble de la topologie
Dans cet exemple, un client se connecte à un serveur par le biais d’un pare-feu. Dans l'authentification mTLS, le client et le serveur vérifient le certificat de l'autre en échangeant des informations via une connexion TLS chiffrée.
Le pare-feu redirige les clients non authentifiés vers domain1.com lors de la connexion au serveur. Ce processus évite les erreurs de certificat, car le certificat d’autorité de certification et le certificat de serveur de domain1.com sont préinstallés sur le pare-feu. Le certificat de l'autorité de certification est préinstallé sur le navigateur du client.
Utilisez l’authentification mTLS pour contourner la saisie manuelle des informations d’identification de l’utilisateur pour l’authentification du portail captif. Assurez-vous qu’un utilisateur valide est configuré par rapport au profil LDAP (Lightweight Directory Access Protocol) pour récupérer les informations et l’autorisation de l’utilisateur à partir d’Active Directory. Lorsque l’authentification par pare-feu est appliquée dans la stratégie, la configuration JIMS est requise.
| Nom d’hôte |
Rôle |
Fonction |
|---|---|---|
| Client |
Demandeur/demandeuse de service |
Lance la session avec le serveur via le pare-feu SRX Series. |
| Pare-feu SRX Series |
Pare-feu |
Chiffre et déchiffre les paquets pour le client. |
| Serveur |
Serveur |
Répond à la demande d'un client. |
| Active Directory |
Source d’identité |
Active Directory en tant que source d’identité définit l’intégration d’SRX Series pare-feu, de Pare-feu virtuel vSRX Juniper Networks® Pare-feu de conteneur cSRX ou de Juniper Networks® NFX Series Plate-forme de services réseau à Microsoft Windows Active Directory. Pour plus d’informations, consultez Active Directory en tant que source d’identité. |
| JIMS (en anglais seulement) |
Application de service Windows |
Juniper® Identity Management Service (JIMS) est une application de service Windows conçue pour collecter et gérer des informations sur les utilisateurs, les appareils et les groupes à partir de domaines Active Directory. Pour plus d’informations, reportez-vous à la section JIMS avec pare-feu SRX Series. |
Illustration topologique
Configuration étape par étape sur l’appareil en cours de test (DUT)
Pour des exemples de configurations complets sur le DUT, voir :
Configurez les interfaces requises.
set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.1/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/24
Configurez les zones de sécurité et attribuez-leur des interfaces.
set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services https set security zones security-zone untrust host-inbound-traffic system-services tcp-encap set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone trust interfaces ge-0/0/1.0
Configurez un profil d’accès.
set access profile profile1 client user1 client-group group1 set access profile profile1 client user1 client-group group2 set access profile profile1 client user1 firewall-user password "$9$dPb4ZjHmzF/k.uO"
Configurez une stratégie de sécurité pour autoriser les utilisateurs non authentifiés à utiliser l’authentification des utilisateurs de pare-feu.
set security policies from-zone untrust to-zone trust policy p1 match source-address any set security policies from-zone untrust to-zone trust policy p1 match destination-address any set security policies from-zone untrust to-zone trust policy p1 match application any set security policies from-zone untrust to-zone trust policy p1 match source-identity unauthenticated-user set security policies from-zone untrust to-zone trust policy p1 match source-identity unknown-user set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall access-profile profile1 set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall web-redirect-to-https set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall web-authentication-server domain1.com:8443 set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication push-to-identity-management set security policies from-zone untrust to-zone trust policy p1 then log session-close
Configurez une stratégie de sécurité pour autoriser les utilisateurs authentifiés sans authentification des utilisateurs de pare-feu.
set security policies from-zone untrust to-zone trust policy p2 match source-address any set security policies from-zone untrust to-zone trust policy p2 match destination-address any set security policies from-zone untrust to-zone trust policy p2 match application any set security policies from-zone untrust to-zone trust policy p2 match source-identity authenticated-user set security policies from-zone untrust to-zone trust policy p2 then permit set security policies from-zone untrust to-zone trust policy p2 then log session-close
Configurez un profil ca.
set security pki ca-profile ca_domain1 set security pki ca-profile ca_domain1 ca-identity ca_domain1_id
Configurez un profil mTLS.
set security firewall-authentication mtls-profile ma2 subject CN=test1client.* set security firewall-authentication mtls-profile-fallback-password
Configurez
web-managementpour démarrer mTLS sur le pare-feu sur lequel vous exécutez le certificat du serveur domain1.com.set system services web-management https interface ge-0/0/2.0 set system services web-management https pki-local-certificate srx_domain1.com set system services web-management https virtual-domain domain1.com pki-local-certificate srx_domain1.com set system services web-management https virtual-domain domain1.com mtls port 8443 set system services web-management https virtual-domain domain1.com mtls ca-profile ca_domain1 set system services web-management https virtual-domain domain1.com mtls firewall-authentication-profile ma2
(Facultatif) Configurez une liste de révocation de certificats (CRL) pour la validation des certificats. mTLS prend en charge la validation CRL du certificat entrant. Reportez-vous à la section Révocation de certificat.
set security pki ca-profile ca_domain1 revocation-check use-crl set security pki ca-profile ca_domain1 revocation-check crl url http://<crl-server-ip>/ca_crl.crl
Annexe 1 : set Commandes sur tous les équipements
set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.1/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/24 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services https set security zones security-zone untrust host-inbound-traffic system-services tcp-encap set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone trust interfaces ge-0/0/1.0 set access profile profile1 client user1 client-group group1 set access profile profile1 client user1 client-group group2 set access profile profile1 client user1 firewall-user password "$9$dPb4ZjHmzF/k.uO" set security policies from-zone untrust to-zone trust policy p1 match source-address any set security policies from-zone untrust to-zone trust policy p1 match destination-address any set security policies from-zone untrust to-zone trust policy p1 match application any set security policies from-zone untrust to-zone trust policy p1 match source-identity unauthenticated-user set security policies from-zone untrust to-zone trust policy p1 match source-identity unknown-user set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall access-profile profile1 set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall web-redirect-to-https set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall web-authentication-server domain1.com:8443 set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication push-to-identity-management set security policies from-zone untrust to-zone trust policy p1 then log session-close set security policies from-zone untrust to-zone trust policy p2 match source-address any set security policies from-zone untrust to-zone trust policy p2 match destination-address any set security policies from-zone untrust to-zone trust policy p2 match application any set security policies from-zone untrust to-zone trust policy p2 match source-identity authenticated-user set security policies from-zone untrust to-zone trust policy p2 then permit set security policies from-zone untrust to-zone trust policy p2 then log session-close set security pki ca-profile ca_domain1 set security pki ca-profile ca_domain1 ca-identity ca_domain1_id set security firewall-authentication mtls-profile ma2 subject CN=test1client.* set security firewall-authentication mtls-profile-fallback-password set system services web-management https interface ge-0/0/2.0 set system services web-management https pki-local-certificate srx_domain1.com set system services web-management https virtual-domain domain1.com pki-local-certificate srx_domain1.com set system services web-management https virtual-domain domain1.com mtls port 8443 set system services web-management https virtual-domain domain1.com mtls ca-profile ca_domain1 set system services web-management https virtual-domain domain1.com mtls firewall-authentication-profile ma2 set security pki ca-profile ca_domain1 revocation-check use-crl set security pki ca-profile ca_domain1 revocation-check crl url http://<crl-server-ip>/ca_crl.crl
Générer des certificats de clé pour le client et le serveur
Goal :
1. Generate CA certificate.
2. Generate server cert for srx_domain1.com domain and sign it with CA cert and load it in SRX.
3. Generate client cert sign it with CA cert and load it in client browser.
----------------------------
1. Generate CA certificate :
----------------------------
First you need to set up CA, and then you sign server and client certificates.
Below steps will help creating the certificates in the Linux machine where openssl is installed.
To create CA certificate, create a basic configuration file:
$ touch openssl-ca.cnf, Then, add the following to it:
## Begining of file
HOME = .
RANDFILE = $ENV::HOME/.rnd
####################################################################
[ ca ]
default_ca = CA_default # The default ca section
[ CA_default ]
default_days = 365 # How long to certify for
default_crl_days = 30 # How long before next CRL
default_md = sha256 # Use public key default MD
preserve = no # Keep passed DN ordering
x509_extensions = ca_extensions # The extensions to add to the cert
email_in_dn = no # Don't concat the email in the DN
copy_extensions = copy # Required to copy SANs from CSR to cert
####################################################################
[ req ]
default_bits = 4096
default_keyfile = cakey.pem
distinguished_name = ca_distinguished_name
x509_extensions = ca_extensions
string_mask = utf8only
####################################################################
[ ca_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Maryland
localityName = Locality Name (eg, city)
localityName_default = MyLocality
organizationName = Organization Name (eg, company)
organizationName_default = Test CA, Limited
organizationalUnitName = Organizational Unit (eg, division)
organizationalUnitName_default = Server Research Department
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = MYCA
emailAddress = Email Address
emailAddress_default = test@example.com
####################################################################
[ ca_extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
basicConstraints = critical, CA:true
keyUsage = keyCertSign, cRLSign
## End of file.
Then, execute the following. The -nodes omits the password or passphrase so you can examine the certificate.
$ openssl req -x509 -config openssl-ca.cnf -days 365 -newkey rsa:4096 -sha256 -nodes -out cacert.pem -outform PEM
After the command executes, cacert.pem will be your certificate for CA operations, and cakey.pem will be the private key.
You can verify the certificate with the following command :
$ openssl x509 -in cacert.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 11485830970703032316 (0x9f65de69ceef2ffc)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=MD, L=MyLocality, CN=Test CA/emailAddress=test@example.com
Validity
Not Before: Jan 24 14:24:11 2014 GMT
Not After : Feb 23 14:24:11 2014 GMT
Subject: C=US, ST=MD, L=MyLocality, CN=Test CA/emailAddress=test@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
00:b1:7f:29:be:78:02:b8:56:54:2d:2c:ec:ff:6d:
...
39:f9:1e:52:cb:8e:bf:8b:9e:a6:93:e1:22:09:8b:
59:05:9f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
4A:9A:F3:10:9E:D7:CF:54:79:DE:46:75:7A:B0:D0:C1:0F:CF:C1:8A
X509v3 Authority Key Identifier:
keyid:4A:9A:F3:10:9E:D7:CF:54:79:DE:46:75:7A:B0:D0:C1:0F:CF:C1:8A
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage:
Certificate Sign, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
4a:6f:1f:ac:fd:fb:1e:a4:6d:08:eb:f5:af:f6:1e:48:a5:c7:
...
cd:c6:ac:30:f9:15:83:41:c1:d1:20:fa:85:e7:4f:35:8f:b5:
38:ff:fd:55:68:2c:3e:37
You can also test its purpose with following command :
$ openssl x509 -purpose -in cacert.pem -inform PEM
Certificate purposes:
SSL client : No
SSL client CA : Yes
SSL server : No
SSL server CA : Yes
Netscape SSL server : No
Netscape SSL server CA : Yes
S/MIME signing : No
S/MIME signing CA : Yes
S/MIME encryption : No
S/MIME encryption CA : Yes
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
Time Stamp signing : No
Time Stamp signing CA : Yes
-----BEGIN CERTIFICATE-----
MIIFpTCCA42gAwIBAgIJAJ9l3mnO7y/8MA0GCSqGSIb3DQEBCwUAMGExCzAJBgNV
...
aQUtFrV4hpmJUaQZ7ySr/RjCb4KYkQpTkOtKJOU1Ic3GrDD5FYNBwdEg+oXnTzWP
tTj//VVoLD43
-----END CERTIFICATE-----
Load CA cert on SRX :
router# set security pki ca-profile ca_domain1 ca-identity ca_domain1_id
router# run request security pki ca-certificate load ca-profile ca_domain1 filename /var/tmp/cacert.pem
Load CA cert on client browser : ca_cert.pem in 'authorities' section of client browser certificates [Can also be done after step3].
-------------------------------------------------------------------------
2. Generate server cert for srx_domain1.com domain and sign it with CA cert :
-------------------------------------------------------------------------
First, touch the openssl-server.cnf (you can make one of these for user certificates also) :
$ touch openssl-server.cnf
Then open it, and add the following.
## Begining of file.
HOME = .
RANDFILE = $ENV::HOME/.rnd
####################################################################
[ req ]
default_bits = 2048
default_keyfile = serverkey.pem
distinguished_name = server_distinguished_name
req_extensions = server_req_extensions
string_mask = utf8only
####################################################################
[ server_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = MD
localityName = Locality Name (eg, city)
localityName_default = MyLocality
organizationName = Organization Name (eg, company)
organizationName_default = Test Server, Limited
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = srx_domain1
emailAddress = Email Address
emailAddress_default = srx_domain1@srx_domain1.com
####################################################################
[ server_req_extensions ]
subjectKeyIdentifier = hash
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
nsComment = "OpenSSL Generated Certificate"
####################################################################
[ alternate_names ]
DNS.1 = srx_domain1.com
DNS.2 = www.srx_domain1.com
DNS.3 = mail.srx_domain1.com
DNS.4 = ftp.srx_domain1.com
# IPv4 localhost
IP.1 = 127.0.0.1
# IPv6 localhost
IP.2 = ::1
## End of file.
Now, create the server certificate request using below command.
$ openssl req -config openssl-server.cnf -newkey rsa:2048 -sha256 -nodes -out servercert.csr -outform PEM
After this command executes, you will have a request in servercert.csr and a private key in serverkey.pem.
Verify the created certificate with below command :
$ openssl req -text -noout -verify -in servercert.csr
Certificate:
verify OK
Certificate Request:
Version: 0 (0x0)
Subject: C=US, ST=MD, L=MyLocality, CN=srx_domain1/emailAddress=srx_domain1@srx_domain1.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ce:3d:58:7f:a0:59:92:aa:7c:a0:82:dc:c9:6d:
...
f9:5e:0c:ba:84:eb:27:0d:d9:e7:22:5d:fe:e5:51:
86:e1
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Subject Key Identifier:
1F:09:EF:79:9A:73:36:C1:80:52:60:2D:03:53:C7:B6:BD:63:3B:61
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Subject Alternative Name:
DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
Netscape Comment:
OpenSSL Generated Certificate
Signature Algorithm: sha256WithRSAEncryption
6d:e8:d3:85:b3:88:d4:1a:80:9e:67:0d:37:46:db:4d:9a:81:
...
76:6a:22:0a:41:45:1f:e2:d6:e4:8f:a1:ca:de:e5:69:98:88:
a9:63:d0:a7
Next, you have to sign it with your CA.
First, open openssl-ca.cnf and add the following two sections.
####################################################################
[ signing_policy ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
####################################################################
[ signing_req ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
Second, add the following to the [ CA_default ] section of openssl-ca.cnf. I left them out earlier, because they can complicate things (they were unused at the time). Now you'll see how they are used, so hopefully they will make sense.
base_dir = .
certificate = $base_dir/cacert.pem # The CA certificate
private_key = $base_dir/cakey.pem # The CA private key
new_certs_dir = $base_dir # Location for new certs after signing
database = $base_dir/index.txt # Database index file
serial = $base_dir/serial.txt # The current serial number
unique_subject = no # Set to 'no' to allow creation of
# several certificates with same subject.
Third, touch index.txt and serial.txt:
$ touch index.txt
$ echo '01' > serial.txt
Then, perform the following:
$ openssl ca -config openssl-ca.cnf -policy signing_policy -extensions signing_req -out servercert.pem -infiles servercert.csr
You should see similar to the following:
Using configuration from openssl-ca.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'US'
stateOrProvinceName :ASN.1 12:'MD'
localityName :ASN.1 12:'MyLocality'
commonName :ASN.1 12:'Test CA'
emailAddress :IA5STRING:'test@example.com'
Certificate is to be certified until Oct 20 16:12:39 2016 GMT (1000 days)
Sign the certificate? [y/n]:Y
1 out of 1 certificate requests certified, commit? [y/n]Y
Write out database with 1 new entries
Data Base Updated
After the command executes, you will have a freshly minted server certificate in servercert.pem. The private key was created earlier and is available in serverkey.pem.
Finally, you can inspect your freshly minted certificate with the following:
$ openssl x509 -in servercert.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9 (0x9)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=MD, L=MyLocality, CN=Test CA/emailAddress=test@srx_domain1.com
Validity
Not Before: Jan 24 19:07:36 2014 GMT
Not After : Oct 20 19:07:36 2016 GMT
Subject: C=US, ST=MD, L=MyLocality, CN=Test Server
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ce:3d:58:7f:a0:59:92:aa:7c:a0:82:dc:c9:6d:
...
f9:5e:0c:ba:84:eb:27:0d:d9:e7:22:5d:fe:e5:51:
86:e1
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
1F:09:EF:79:9A:73:36:C1:80:52:60:2D:03:53:C7:B6:BD:63:3B:61
X509v3 Authority Key Identifier:
keyid:42:15:F2:CA:9C:B1:BB:F5:4C:2C:66:27:DA:6D:2E:5F:BA:0F:C5:9E
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Subject Alternative Name:
DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
Netscape Comment:
OpenSSL Generated Certificate
Signature Algorithm: sha256WithRSAEncryption
b1:40:f6:34:f4:38:c8:57:d4:b6:08:f7:e2:71:12:6b:0e:4a:
...
45:71:06:a9:86:b6:0f:6d:8d:e1:c5:97:8d:fd:59:43:e9:3c:
56:a5:eb:c8:7e:9f:6b:7a
Please refer to openssl documentation for copy_extension, unique_subject, policy_match etc and add those the file if needed.
This document describes only the basic key generation steps.
Load sever certificate on SRX :
router# run request security pki local-certificate load filename server_CASignedcert.pem key server_key.pem certificate-id srx_domain1
-------------------------------------------------------
3. Generate client cert and load it in client browser :
--------------------------------------------------------
Follow the steps in step-2 and generate client certificate.
In case you need to connect CN of the certificate to the username from Active-directory - where user's role can be fetched, ensure that client CN is test1client@srx_domain1.com,
where, Active-directory already has a user with name test1client in domain srx_domain1.com.
Active-directory entry :
PS C:\Users\Administrator> Get-ADUser -Filter {SamAccountName -like "*test*"}
DistinguishedName : CN=test1client N,DC=srx_domain1,DC=com
Enabled : True
GivenName : test1Client
Name : test1client N
ObjectClass : user
ObjectGUID : a28777ef-0023-45f1-a192-147eff664cbd
SamAccountName : test1client
UserPrincipalName : test1client@srx_domain1.com
After the client certificate is generated in pem format, convert it in pkcs format :
openssl pkcs12 -export -out client_cert.p12 -in clientcert.pem -inkey clientkey.pem -passin pass:root -passout pass:root
Now, on client machine, on web browser, load client_cert.p12 in 'your certificates' section.
Also, load ca_cert.pem in 'authorities' section of browser certificates.
Vérification
Cette section fournit une liste de show commandes que vous pouvez utiliser pour vérifier la fonctionnalité dans cet exemple.
Vérifier l’authentification mTLS
But
Vérifiez l’authentification mTLS.
Action
À partir du mode opérationnel, entrez la show services user-identification debug-counters | match MTLS commande pour afficher l’état de l’authentification mTLS.
user@host> show services user-identification debug-counters | match MTLS MTLS Authentication Successful : 2 MTLS Authentication failed : 0 MTLS profile match failed, fallback password : 0 MTLS auth processed by userfw : 1 MTLS auth processed by fwauthd : 0 MTLS auth processed by none : 0 MTLS failure due to NULL domain : 0 MTLS PTIM failed : 0
Signification
La sortie de l’échantillon confirme :
-
Vous avez correctement configuré l’authentification mTLS.
-
Le pare-feu utilisateur a traité avec succès l’authentification mTLS.
Configurer un logo et des bannières de messages personnalisés
Découvrez comment les administrateurs de pare-feu peuvent définir un logo personnalisé et configurer les bannières de connexion et de déconnexion qui s’affichent lors de l’authentification via le portail captif et du relais
Procédez comme suit pour définir un logo personnalisé et configurer les messages de bannière de réussite de connexion, d’échec de connexion et de déconnexion qui s’affichent lors de l’authentification du portail captif et de la transmission.
Le portail captif affiche le bouton de déconnexion par défaut sans aucune configuration supplémentaire par les administrateurs du pare-feu. Après s’être connectés, les utilisateurs du pare-feu peuvent se déconnecter à l’aide du bouton de déconnexion affiché dans le portail captif.
Définissez un logo personnalisé qui s’affiche pendant :
Authentification directe.
[edit] user@host# set access firewall-authentication pass-through http logo <file path>
Exemple:
[edit] user@host# set access firewall-authentication pass-through http logo path/var/tmp/mylogo.png
Authentification par portail captif.
[edit] user@host# set access firewall-authentication web-authentication logo <file path>
Configurez les messages personnalisés de bannière de réussite de connexion et d’échec de connexion qui s’affichent pendant
Authentification directe.
[edit] user@host# set access firewall-authentication pass-through http banner success <string> user@host# set access firewall-authentication pass-through http banner fail <string>
Authentification par portail captif.
[edit] user@host# set access firewall-authentication web-authentication banner success <string> user@host# set access firewall-authentication web-authentication banner fail <string>
Exemple:
[edit] user@host# set access firewall-authentication web-authentication banner success Login Success user@host# set access firewall-authentication web-authentication banner fail Login Failed
Configurez les messages de bannière de connexion et de déconnexion qui s’affichent lors de l’authentification directe.
[edit] user@host# set access firewall-authentication pass-through http banner login <string> user@host# set access firewall-authentication pass-through http banner logout <string>
Exemple:
[edit] user@host# set access firewall-authentication pass-through http banner login Successful Login user@host# set access firewall-authentication pass-through http banner logout Successful Logout
Configurez les messages de bannière de déconnexion qui s’affichent lors de l’authentification du portail captif.
[edit] user@host# set access firewall-authentication web-authentication banner logout <string>
Validez la configuration.
[edit] user@host# commit