Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurer le pare-feu utilisateur intégré

Comme son nom l’indique, le pare-feu utilisateur intégré simplifie les fonctionnalités de pare-feu utilisateur sans nécessiter d’intégration du contrôle d’accès unifié (UAC) avec le contrôle d’accès réseau (NAC). Le pare-feu utilisateur intégré collecte les informations utilisateur via le protocole LDAP (Lightweight Directory Access Protocol) et, en appliquant des stratégies, l’accès est autorisé ou refusé.

Exemple : configuration d’un pare-feu utilisateur intégré sur SRX Series

Cet exemple montre comment implémenter la fonctionnalité de pare-feu utilisateur intégré en configurant un domaine Windows Active Directory, une base LDAP, des utilisateurs non authentifiés à diriger vers le portail captif et une stratégie de sécurité basée sur une identité source. Dans cet exemple, toutes les configurations du portail captif passent par le protocole TLS (Transport Layer Security).

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un pare-feu SRX Series

  • Junos OS version 12.1X47-D10 ou ultérieure pour pare-feu SRX Series

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans un scénario typique pour la fonctionnalité de pare-feu utilisateur intégré, les utilisateurs du domaine et les autres utilisateurs souhaitent accéder à Internet via un pare-feu SRX Series. Le pare-feu SRX Series lit et analyse le journal des événements des contrôleurs de domaine configurés dans le domaine. Ainsi, le pare-feu SRX Series détecte les utilisateurs de domaine sur un contrôleur de domaine Active Directory. Le domaine Active Directory génère une table d’authentification en tant que source d’authentification Active Directory pour le pare-feu utilisateur intégré. Le pare-feu SRX Series utilise ces informations pour appliquer la stratégie afin d’obtenir un contrôle d’accès basé sur l’utilisateur ou le groupe.

Pour tout utilisateur n’appartenant pas au domaine ou utilisateur du domaine sur un périphérique n’appartenant pas au domaine, l’administrateur réseau peut spécifier un portail captif pour forcer l’utilisateur à se soumettre à l’authentification par pare-feu (si le pare-feu SRX Series prend en charge le portail captif pour le type de trafic). Par exemple, HTTP). Une fois que l’utilisateur a entré un nom et un mot de passe et réussi l’authentification par pare-feu, le pare-feu SRX Series obtient du serveur LDAP les informations de mappage utilisateur à groupe d’authentification de pare-feu du pare-feu et peut appliquer le contrôle de la stratégie de pare-feu utilisateur sur l’utilisateur en conséquence.

À partir de Junos OS version 17.4R1, vous pouvez utiliser des adresses IPv6 pour les contrôleurs de domaine Active Directory en plus des adresses IPv4. Pour illustrer cette prise en charge, cet exemple utilise 2001 :db8 :0 :1 :2a0 :a502 :0 :1da comme adresse du contrôleur de domaine.

Vous ne pouvez pas utiliser le groupe principal, que ce soit par son nom par défaut Utilisateurs du domaine ou tout autre nom, si vous l’avez modifié, dans les configurations de pare-feu utilisateur intégrées.

Lorsqu’un nouvel utilisateur est créé dans Active Directory (AD), l’utilisateur est ajouté au groupe de sécurité global Groupe principal qui est par défaut Utilisateurs du domaine. Le groupe principal est moins spécifique que les autres groupes créés dans AD car tous les utilisateurs lui appartiennent. En outre, il peut devenir très grand.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier], puis passez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande.

Pour établir un domaine Windows Active Directory, configurer un portail captif et configurer une autre stratégie de sécurité, suivez les étapes décrites dans cette section.

Une fois configuré, lorsque le trafic arrive, le pare-feu SRX Series consulte le processus de pare-feu utilisateur, qui à son tour consulte la source d’authentification Active Directory pour déterminer si la source se trouve dans sa table d’authentification. Si le pare-feu utilisateur atteint une entrée d’authentification, le pare-feu SRX Series vérifie la stratégie configurée à l’étape 4 pour d’autres actions. Si le pare-feu utilisateur n’atteint aucune entrée d’authentification, il vérifie la stratégie configurée à l’étape 3 pour forcer l’utilisateur à utiliser le portail captif.

  1. Configurez le nom unique de base LDAP.

  2. Configurez un nom de domaine, le nom d’utilisateur et le mot de passe du domaine, ainsi que le nom et l’adresse IP du contrôleur de domaine dans le domaine.

  3. Configurez un profil d’accès et définissez l’ordre d’authentification et les options LDAP.

    Lorsque l’option no-tls-certificate-check est configurée, le pare-feu SRX Series ignore la validation du certificat du serveur et accepte le certificat sans vérification.

  4. Configurez une stratégie pour l’identité source « unauthenticated-user » et « unknown-user » et activez le portail captif d’authentification par pare-feu. La configuration de l’identité source est requise si aucune source d’authentification n’est configurée, elle est déconnectée.

  5. Configurez une deuxième stratégie pour activer un utilisateur spécifique.

    Lorsque vous spécifiez une identité source dans une instruction de stratégie, ajoutez le nom de domaine et une barre oblique inverse au nom de groupe ou au nom d’utilisateur. Placez la combinaison entre guillemets.

  6. Définissez la table d’authentification Active Directory comme source d’authentification pour la récupération des informations du pare-feu utilisateur intégré et spécifiez l’ordre dans lequel les tables d’informations utilisateur sont vérifiées.

    Vous devez définir la table d’authentification Active Directory comme source d’authentification pour la récupération des informations du pare-feu utilisateur intégré et spécifier l’ordre dans lequel les tables d’informations utilisateur sont vérifiées à l’aide de la commande set security user-identification authentication-source active-directory-authentication-table priority value.

    La valeur par défaut de cette option est 125. La priorité par défaut pour toutes les sources d’authentification est la suivante :

    • Authentification locale : 100

    • Pare-feu utilisateur intégré : 125

    • Rôle d’utilisateur pare-feu : 150

    • Contrôle d’accès unifié (UAC) : 200

    Le champ priority spécifie les sources de la table d’authentification Active Directory. Le jeu de valeurs détermine la séquence de recherche parmi les différentes tables d’authentification prises en charge pour récupérer un rôle d’utilisateur. Notez qu’il s’agit des seules valeurs actuellement prises en charge. Vous pouvez entrer n’importe quelle valeur comprise entre 0 et 65 535. La priorité par défaut de la table d’authentification Active Directory est 125. Cela signifie que même si vous ne spécifiez pas de valeur de priorité, la table d’authentification Active Directory sera recherchée à partir de la séquence de valeur 125 (pare-feu utilisateur intégré).

    Une valeur de priorité unique est affectée à chaque table d’authentification. Plus la valeur est faible, plus la priorité est élevée. Par exemple, une table de priorité 120 est recherchée avant une table de priorité 200. La définition de la valeur de priorité d’une table sur 0 désactive la table et élimine la valeur de priorité de la séquence de recherche.

    Pour plus d’informations, consultez Présentation des tables d’authentification Active Directory .

(Facultatif) Configuration du proxy de transfert PKI et SSL pour authentifier les utilisateurs

Procédure étape par étape

Si vous le souhaitez, pour les utilisateurs n’appartenant pas au domaine, vous pouvez configurer une infrastructure à clé publique (PKI) pour valider l’intégrité, la confidentialité et l’authenticité du trafic. L’infrastructure à clé publique comprend les certificats numériques émis par l’autorité de certification, les dates de validité et d’expiration des certificats, les détails sur le propriétaire et l’émetteur du certificat, ainsi que les stratégies de sécurité.

Pour tout utilisateur n’appartenant pas au domaine ou utilisateur de domaine sur une machine autre qu’un domaine, l’administrateur spécifie un portail captif pour forcer l’utilisateur à effectuer l’authentification par pare-feu (si le pare-feu SRX Series prend en charge le portail captif pour le type de trafic). Une fois que l’utilisateur a entré un nom et un mot de passe et réussi l’authentification par pare-feu, le pare-feu SRX Series obtient des informations sur l’authentification du pare-feu utilisateur/groupe et peut appliquer la stratégie de pare-feu utilisateur pour contrôler l’utilisateur en conséquence. Outre le portail captif, si l’adresse IP ou les informations utilisateur ne sont pas disponibles dans le journal des événements, l’utilisateur peut à nouveau se connecter au PC Windows pour générer une entrée du journal des événements. Ensuite, le système génère l’entrée d’authentification de l’utilisateur en conséquence.

Pour permettre au pare-feu SRX Series d’authentifier les utilisateurs via HTTP, le proxy de transfert SSL doit être configuré et activé. Vous devez générer un certificat local, ajouter un profil de terminaison SSL, ajouter un profil de proxy SSL et référencer le profil proxy SSL dans la stratégie de sécurité. Si le proxy de transfert SSL n’est pas activé, le pare-feu SRX Series ne peut pas authentifier les utilisateurs qui utilisent HTTPS, mais pour les utilisateurs qui utilisent HTTP, FPT et Telnet, l’authentification peut être effectuée comme prévu.

Pour générer une infrastructure à clé publique et activer le proxy de transfert SSL, effectuez les opérations suivantes :

  1. Générez une paire de clés publique/privée PKI pour un certificat numérique local.

  2. Générez manuellement un certificat auto-signé pour le nom unique donné.

  3. Définissez le profil d’accès à utiliser pour les services de terminaison SSL. Cette option est disponible uniquement sur les appareils SRX5400, SRX5600 et SRX5800.

  4. Configurez le certificat chargé en tant que root-ca dans le profil proxy SSL. Cette option est disponible uniquement sur les appareils SRX5400, SRX5600 et SRX5800.

  5. Spécifiez l’option ignore-server-auth-failure si vous ne souhaitez pas importer toute la liste des autorités de certification et que vous ne souhaitez pas supprimer de sessions. Cette option est disponible uniquement sur les appareils SRX5400, SRX5600 et SRX5800.

  6. Ajoutez un profil de terminaison SSL dans les stratégies de sécurité. Cette option est disponible uniquement sur les appareils SRX5400, SRX5600 et SRX5800.

Résultats

En mode configuration, confirmez la configuration de votre pare-feu utilisateur intégré en entrant la show services user-identification active-directory-access commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

En mode configuration, confirmez la configuration de votre stratégie en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

En mode configuration, confirmez la configuration de votre profil d’accès en entrant la show access profile profile1 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la connectivité à un contrôleur de domaine

But

Vérifiez qu’au moins un contrôleur de domaine est configuré et connecté.

Action

En mode opérationnel, saisissez la show services user-identification active-directory-access domain-controller status commande.

Sens

Le contrôleur de domaine est connecté ou déconnecté.

Vérification du serveur LDAP

But

Vérifiez que le serveur LDAP fournit des informations de mappage utilisateur-groupe.

Action

En mode opérationnel, saisissez la show services user-identification active-directory-access user-group-mapping status commande.

Sens

L’adresse du serveur LDAP, le numéro de port et l’état s’affichent.

Vérification des entrées de table d’authentification

But

Découvrez à quels groupes appartiennent les utilisateurs ainsi que les utilisateurs, les groupes et les adresses IP d’un domaine.

Action

En mode opérationnel, saisissez la show services user-identification active-directory-access active-directory-authentication-table all commande.

Sens

Les adresses IP, les noms d’utilisateur et les groupes sont affichés pour chaque domaine.

Vérification du mappage IP-utilisateur

But

Vérifiez que le journal des événements est en cours d’analyse.

Action

En mode opérationnel, saisissez la show services user-identification active-directory-access statistics ip-user-mapping commande.

Sens

Le nombre de requêtes et de requêtes ayant échoué s’affiche.

Vérification du nombre de sondes IP

But

Vérifiez que des sondes IP sont en cours.

Action

En mode opérationnel, saisissez la show services user-identification active-directory-access statistics ip-user-probe commande.

Sens

Le nombre de sondes IP et de sondes IP défaillantes s’affiche.

Vérification des requêtes de mappage utilisateur-groupe

But

Vérifiez que les mappages utilisateur-groupe sont interrogés.

Action

En mode opérationnel, saisissez la show services user-identification active-directory-access statistics user-group-mapping commande.

Sens

Le nombre de requêtes et de requêtes ayant échoué s’affiche.

Configuration du pare-feu utilisateur intégré sur les périphériques NFX

Dans un scénario typique pour la fonctionnalité de pare-feu utilisateur intégré, les utilisateurs du domaine veulent accéder à Internet via un périphérique NFX. L’appareil lit et analyse le journal des événements des contrôleurs de domaine configurés dans le domaine. Ainsi, l’appareil détecte les utilisateurs de domaine sur un contrôleur de domaine Active Directory. Le domaine Active Directory génère une table d’authentification en tant que source d’authentification Active Directory pour le pare-feu utilisateur intégré. L’appareil utilise ces informations pour appliquer la stratégie afin d’obtenir un contrôle d’accès basé sur l’utilisateur ou sur un groupe.

Lorsqu’un nouvel utilisateur est créé dans Active Directory (AD), l’utilisateur est ajouté au groupe de sécurité global Groupe principal qui est par défaut Utilisateurs du domaine. Le groupe principal est moins spécifique que les autres groupes créés dans AD car tous les utilisateurs lui appartiennent. En outre, il peut devenir très grand.

Vous ne pouvez pas utiliser le groupe principal, que ce soit par son nom par défaut Utilisateurs du domaine ou tout autre nom, si vous l’avez modifié, dans les configurations de pare-feu utilisateur intégrées.

Pour établir un domaine Windows Active Directory et configurer une autre stratégie de sécurité :

  1. Configurez le nom unique de base LDAP.
  2. Configurez un nom de domaine, le nom d’utilisateur et le mot de passe du domaine, ainsi que le nom et l’adresse IP du contrôleur de domaine dans le domaine.
  3. Configurez une deuxième stratégie pour activer un utilisateur spécifique.

    Lorsque vous spécifiez une identité source dans une instruction de stratégie, ajoutez le nom de domaine et une barre oblique inverse au nom de groupe ou au nom d’utilisateur. Placez la combinaison entre guillemets.

  4. Définissez la table d’authentification Active Directory comme source d’authentification pour la récupération des informations du pare-feu utilisateur intégré et spécifiez l’ordre dans lequel les tables d’informations utilisateur sont vérifiées.

Pour vérifier que la configuration fonctionne correctement :

  1. Vérifiez qu’au moins un contrôleur de domaine est configuré et connecté en entrant la show services user-identification active-directory-access domain-controller status commande.

  2. Vérifiez que le serveur LDAP fournit des informations de mappage utilisateur-groupe en entrant la show services user-identification active-directory-access user-group-mapping status commande..

  3. Vérifiez les entrées de la table d’authentification en entrant la show services user-identification active-directory-access active-directory-authentication-table all commande. Les adresses IP, les noms d’utilisateur et les groupes sont affichés pour chaque domaine.

  4. Vérification du mappage IP-utilisateur en entrant la show services user-identification active-directory-access statistics ip-user-mapping commande. Le nombre de requêtes et de requêtes ayant échoué s’affiche.

  5. Vérifiez que des sondes IP sont en cours en entrant la show services user-identification active-directory-access statistics ip-user-probe commande.

  6. Vérifiez que les mappages utilisateur-groupe sont interrogés en entrant la show services user-identification active-directory-access statistics user-group-mapping commande.

Exemple : configuration d’un pare-feu utilisateur intégré sur des pare-feu SRX Series pour utiliser la redirection Web pour les utilisateurs non authentifiés et inconnus

Cet exemple montre comment utiliser la redirection Web pour que les utilisateurs non authentifiés et les utilisateurs inconnus redirigent vers la page d’authentification via http.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un pare-feu SRX Series

  • Junos OS version 15.1X49-D70 ou ultérieure pour pare-feu SRX Series

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Aperçu

Le profil d’accès fwauth redirige web-redirect les demandes de trafic pass-through vers HTTP webauth (dans le serveur JWEB httpd). Une fois l’authentification réussie, fwauth crée une authentification de pare-feu pour le pare-feu utilisateur.

Configuration

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [edit], puis passez commit du mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer le pare-feu utilisateur intégré afin qu’il utilise la redirection Web pour les utilisateurs non authentifiés qui demandent l’accès à des ressources HTTP :

  1. Activez la prise en charge de la gestion Web pour le trafic HTTP.

  2. Configurez les interfaces et attribuez des adresses IP. Activez l’authentification Web sur l’interface ge-0/0/1.

  3. Configurez des stratégies de sécurité qui spécifient un utilisateur non authentifié ou un utilisateur inconnu comme identité source.

    À partir de Junos OS 17.4R1, vous pouvez attribuer des adresses IPv6 en plus des adresses IPv4 lorsque vous configurez des adresses source. Pour configurer l’adresse source IPv6, problème any ou any-IPv6 commande au niveau de la hiérarchie [modifier les stratégies de sécurité de la confiance de la zone à la stratégie d’approbation de la zone le nom de la stratégie correspond à l’adresse source].

  4. Configurez une stratégie de sécurité qui autorise l’authentification par pare-feu d’un pare-feu utilisateur avec web-redirect comme action et spécifie un profil d’accès préconfiguré pour l’utilisateur.

  5. Configurez une stratégie de sécurité qui spécifie le nom de domaine.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show system services commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Depuis le mode de configuration, confirmez la configuration de votre pare-feu utilisateur intégré en entrant la show interfaces commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Depuis le mode de configuration, confirmez la configuration de votre pare-feu utilisateur intégré en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

En mode configuration, confirmez la configuration de votre stratégie en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.

Vérification

Vérifiez la configuration.

But

Vérifiez que la configuration est correcte.

Action

En mode opérationnel, saisissez la show security policies commande.

Exemple de sortie
Sens

Affichez la stratégie de sécurité qui autorise l’authentification par pare-feu d’un pare-feu utilisateur avec la redirection Web comme action.

Exemple : configuration du pare-feu utilisateur intégré sur les pare-feu SRX Series pour utiliser la redirection Web vers HTTPS pour authentifier les utilisateurs non authentifiés et inconnus

Cet exemple montre comment utiliser web-redirect-to-https pour les utilisateurs non authentifiés et inconnus qui tentent d’accéder à un site HTTPS afin de leur permettre de s’authentifier via le serveur webauth interne du pare-feu SRX Series.

Vous pouvez également utiliser web-redirect-https pour authentifier les utilisateurs qui tentent d’accéder à un site HTTP, bien que cela ne soit pas illustré dans cet exemple.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un pare-feu SRX Series

  • Junos OS version 15.1X49-D70 ou ultérieure pour pare-feu SRX Series

Aperçu

La fonctionnalité web-redirect-https vous permet d’authentifier en toute sécurité les utilisateurs inconnus et non authentifiés qui tentent d’accéder aux ressources HTTP ou HTTPS en redirigeant le navigateur de l’utilisateur vers le serveur d’authentification HTTPS interne de la passerelle de services SRX Series pour l’authentification. Autrement dit, le serveur webauth envoie une réponse HTTPS au système client redirigeant son navigateur pour se connecter au serveur webauth pour l’authentification de l’utilisateur. L’interface sur laquelle la demande du client arrive est l’interface à laquelle la réponse de redirection est envoyée. HTTPS, dans ce cas, sécurise le processus d’authentification, pas le trafic de l’utilisateur.

Une fois l’utilisateur authentifié, un message s’affiche pour l’informer de la réussite de l’authentification. Le navigateur est redirigé pour lancer l’URL de destination d’origine de l’utilisateur, que ce soit vers un site HTTP ou HTTPS, sans que l’utilisateur ait besoin de retaper cette URL. Le message suivant s’affiche :

Si la ressource cible de l’utilisateur est une URL HTTPS, pour que ce processus réussisse, la configuration doit inclure un profil de terminaison SSL référencé dans la stratégie de sécurité applicable. Un profil de terminaison SSL n’est pas requis si la cible est une URL HTTP.

L’utilisation de cette fonctionnalité permet une expérience de connexion utilisateur plus riche. Par exemple, au lieu d’une invite contextuelle demandant à l’utilisateur d’entrer son nom d’utilisateur et son mot de passe, la page de connexion s’affiche dans un navigateur. L’utilisation de web-redirect-https a le même effet que si l’utilisateur tapait l’adresse IP d’authentification Web dans un navigateur client. En ce sens, web-redirect-https offre une expérience d’authentification transparente ; l’utilisateur n’a pas besoin de connaître l’adresse IP de la source d’authentification Web, mais uniquement l’adresse IP de la ressource à laquelle il tente d’accéder.

Pour le pare-feu utilisateur intégré, l’instruction de configuration de la stratégie de sécurité inclut le tuple source-identité, qui vous permet de spécifier une catégorie d’utilisateurs auxquels la stratégie de sécurité s’applique, en l’occurrence les utilisateurs non authentifiés et inconnus. La spécification de « any » comme valeur du tuple d’adresse source permet à la valeur du tuple source-identity de contrôler la correspondance.

Pour des raisons de sécurité, il est recommandé d’utiliser web-redirect-https pour l’authentification au lieu de web-redirect, qui est également pris en charge. La fonction d’authentification de redirection Web utilise HTTP pour le processus d’authentification, auquel cas les informations d’authentification sont envoyées en clair et sont donc lisibles.

Cet exemple suppose que l’utilisateur tente d’accéder à une ressource HTTPS telle que https://mymailsite.com.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [edit], puis passez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer web-redirect-to-https pour les utilisateurs non authentifiés ou les utilisateurs inconnus demandant l’accès à des ressources HTTPS, entrez l’instruction suivante.

  1. Activez la prise en charge de la gestion Web pour le trafic HTTPS.

    Notez que cet exemple s’applique au trafic utilisateur HTTPS, mais que l’authentification web-redirect-to-https est également prise en charge pour les utilisateurs authentifiés dont le trafic est vers un site URL HTTP, bien que ce scénario spécifique ne soit pas illustré ici. Dans ce cas, un profil de terminaison SSL n’est pas requis.

  2. Configurez les interfaces et attribuez des adresses IP. Activez l’authentification Web sur l’interface ge-0/0/1.

  3. Configurez une stratégie de sécurité qui spécifie utilisateur non authentifié et utilisateur inconnu comme valeurs de tuple source-identity.

    À partir de Junos OS 17.4R1, vous pouvez attribuer des adresses IPv6 en plus des adresses IPv4 lorsque vous configurez des adresses source. Pour configurer l’adresse source, le problème any ou any-IPv6 la commande IPv6 au niveau de la hiérarchie [modifier les stratégies de sécurité de la confiance de la zone à la stratégie d’untrust de la zone correspondant au nom de la stratégie, à l’adresse source].

  4. Configurez la stratégie de sécurité pour autoriser l’authentification par pare-feu d’un pare-feu utilisateur avec web-redirect-to-https comme action et spécifiant un profil d’accès préconfiguré pour l’utilisateur.

  5. Configurez le nom de domaine pour la stratégie de sécurité.

  6. Configurez la stratégie de sécurité pour référencer le profil de terminaison SSL à utiliser.

    Si vous disposez déjà d’un profil de terminaison SSL approprié qui fournit les services nécessaires à votre implémentation, vous pouvez l’utiliser. Sinon, suivez l’étape 7 pour en créer un.

  7. Spécifiez le profil à utiliser pour les services de terminaison SSL.

  8. Définissez le type TLS pour configurer LDAP sur StartTLS.

  9. Configurez le nom d’hôte homologue à authentifier.

  10. Spécifiez la valeur du délai d’expiration sur l’établissement de liaison TLS. Vous pouvez entrer 3 à 90 secondes.

  11. Spécifiez la version TLS (v1.1 et v1.2 sont prises en charge) comme version minimale du protocole activée dans les connexions.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show system services commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Depuis le mode de configuration, confirmez la configuration de votre pare-feu utilisateur intégré en entrant la show services ssl commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Depuis le mode de configuration, confirmez la configuration de votre pare-feu utilisateur intégré en entrant la show interfaces commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Depuis le mode de configuration, confirmez la configuration de votre pare-feu utilisateur intégré en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

En mode configuration, confirmez la configuration de votre profil d’accès en entrant la show access profile profile1 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.