SUR CETTE PAGE
Exemple : configuration des profils d’accès (administrateurs principaux uniquement)
Exemple : configuration des fonctionnalités de sécurité pour les systèmes logiques principaux
Comprendre l’authentification du pare-feu du système logique
Exemple : configuration de l’authentification de pare-feu pour un système logique utilisateur
Comprendre la prise en charge intégrée du pare-feu utilisateur dans un système logique
Authentification des utilisateurs pour les systèmes logiques
L’authentification des utilisateurs pour les systèmes logiques vous permet de définir des utilisateurs de pare-feu et de créer des stratégies qui exigent des utilisateurs qu’ils s’authentifient via l’un des deux schémas d’authentification suivants : l’authentification pass-through ou l’authentification Web. Pour plus d’informations, consultez les sujets suivants :
Exemple : configuration des profils d’accès (administrateurs principaux uniquement)
L’administrateur principal est responsable de la configuration des profils d’accès dans le système logique principal. Cet exemple montre comment configurer des profils d’accès.
Exigences
Avant de commencer :
Connectez-vous au système logique principal en tant qu’administrateur principal. Voir Comprendre les systèmes logiques primaires et le rôle d’administrateur principal.
Lisez la présentation de l’authentification des utilisateurs du pare-feu.
Aperçu
Cet exemple configure un profil d’accès pour l’authentification LDAP pour les utilisateurs du système logique. Cet exemple crée le profil d’accès décrit dans le tableau 1.
L’administrateur principal crée le profil d’accès.
Nom |
Paramètres de configuration |
|---|---|
ldap1 |
|
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
Vous devez être connecté en tant qu’administrateur principal.
set access profile ldap1 authentication-order ldap set access profile ldap1 ldap-options base-distinguished-name ou=people,dc=example,dc=com set access profile ldap1 ldap-options assemble common-name uid set access profile ldap1 ldap-server 10.155.26.104 port 389
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer un profil d’accès dans le système logique principal :
Connectez-vous au système logique principal en tant qu’administrateur principal et accédez au mode de configuration.
admin@host> configure admin@host#
Configurez un profil d’accès et définissez l’ordre d’authentification.
[edit access profile ldap1] admin@host# set authentication-order ldap
Configurez les options LDAP.
[edit access profile ldap1] admin@host# set ldap-options base-distinguished-name ou=people,dc=example,dc=com admin@host# set ldap-options assemble common-name uid
Configurez le serveur LDAP.
[edit access profile ldap1] admin@host# set ldap-server 10.155.26.104 port 389
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show access profile profile-name commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
admin@host# show access profile ldap1
authentication-order ldap;
ldap-options {
base-distinguished-name ou=people,dc=example,dc=com;
assemble {
common-name uid;
}
}
ldap-server {
10.155.26.104 port 389;
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Exemple : configuration des fonctionnalités de sécurité pour les systèmes logiques principaux
Cet exemple montre comment configurer les fonctionnalités de sécurité, telles que les zones, les stratégies et l’authentification du pare-feu, pour le système logique principal.
Exigences
Avant de commencer :
-
Connectez-vous au système logique principal en tant qu’administrateur principal. Voir l’exemple : Configuration du mot de passe racine pour les systèmes logiques.
-
Utilisez la
show system security-profilecommande pour voir les ressources allouées au système logique principal. -
Configurez des interfaces logiques pour le système logique principal. Voir l’exemple : Configuration d’interfaces, d’instances de routage et de routes statiques pour les systèmes logiques primaires et d’interconnexion, ainsi que pour les interfaces de tunnel logique pour les systèmes logiques utilisateur (administrateurs principaux uniquement).
-
Configurez le profil d’accès ldap1 dans le système logique principal. Le profil d’accès ldap1 est utilisé pour l’authentification Web des utilisateurs de pare-feu.
Aperçu
Dans cet exemple, vous configurez des fonctionnalités de sécurité pour le système logique principal, appelé système logique racine, illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion. Cet exemple configure les fonctionnalités de sécurité décrites dans le tableau 2.
| Fonction |
Nom |
Paramètre de configuration |
|---|---|---|
| Zones |
ls-root-trust |
Liaison à l’interface ge-0/0/4.0. |
|
|
ls-root-un trust |
Liaison à l’interface lt-0/0/0.1 |
| Carnets d’adresses |
interne racine |
|
|
|
root-externe |
|
| Stratégies de sécurité |
permis à l’utilisateur |
Autorisez le trafic suivant :
|
|
|
utilisateurs autorisés |
Autorisez le trafic suivant :
|
| Authentification du pare-feu |
|
|
| Démon HTTP |
|
Activation sur l’interface ge-0/0/4.0 |
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security address-book root-internal address masters 10.12.12.0/24 set security address-book root-internal attach zone ls-root-trust set security address-book root-external address design 10.12.1.0/24 set security address-book root-external address accounting 10.14.1.0/24 set security address-book root-external address marketing 10.13.1.0/24 set security address-book root-external address-set userlsys address design set security address-book root-external address-set userlsys address accounting set security address-book root-external address-set userlsys address marketing set security address-book root-external attach zone ls-root-untrust set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match source-address masters set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match destination-address userlsys set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match application any set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys then permit set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match source-address userlsys set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match destination-address masters set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-http set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-https set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users then permit firewall-authentication web-authentication set security zones security-zone ls-root-trust interfaces ge-0/0/4.0 set security zones security-zone ls-root-untrust interfaces lt-0/0/0.1 set system services web-management http interface ge-0/0/4.0 set access firewall-authentication web-authentication default-profile ldap1 set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer des zones et des stratégies pour le système logique principal :
-
Connectez-vous au système logique principal en tant qu’administrateur principal et accédez au mode de configuration.
admin@host> configure admin@host#
-
Créez des zones de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] admin@host# set security-zone ls-root-trust interfaces ge-0/0/4.0 admin@host# set security-zone ls-root-untrust interfaces lt-0/0/0.1
-
Créez des entrées de carnet d’adresses.
[edit security] admin@host# set address-book root-internal address masters 10.12.12.0/24 admin@host# set address-book root-external address design 10.12.1.0/24 admin@host# set address-book root-external address accounting 10.14.1.0/24 admin@host# set address-book root-external address marketing 10.13.1.0/24 admin@host# set address-book root-external address-set userlsys address design admin@host# set address-book root-external address-set userlsys address accounting admin@host# set address-book root-external address-set userlsys address marketing
-
Attachez des carnets d’adresses à des zones.
[edit security] admin@host# set address-book root-internal attach zone ls-root-trust admin@host# set address-book root-external attach zone ls-root-untrust
-
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-root-trust à la zone ls-root-untrust.
[edit security policies from-zone ls-root-trust to-zone ls-root-untrust] admin@host# set policy permit-to-userlsys match source-address masters admin@host# set policy permit-to-userlsys match destination-address userlsys admin@host# set policy permit-to-userlsys match application any admin@host# set policy permit-to-userlsys then permit
-
Configurez une stratégie de sécurité qui authentifie le trafic de la zone ls-root-untrust à la zone de confiance ls-root.
[edit security policies from-zone ls-root-untrust to-zone ls-root-trust] admin@host# set policy permit-authorized-users match source-address userlsys admin@host# set policy permit-authorized-users match destination-address masters admin@host# set policy permit-authorized-users match application junos-http admin@host# set policy permit-authorized-users match application junos-https admin@host# set policy permit-authorized-users then permit firewall-authentication web-authentication
-
Configurez le profil d’accès d’authentification Web et définissez une bannière de réussite.
[edit access] admin@host# set firewall-authentication web-authentication default-profile ldap1 admin@host# set firewall-authentication web-authentication banner success “WEB AUTH LOGIN SUCCESS”
-
Activez le démon HTTP sur l’équipement.
[edit system] admin@host# set services web-management http interface ge-0/0/4.0
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show security, show accesset show system services les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de brièveté, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
admin@host# show security
...
address-book {
root-internal {
address masters 10.12.12.0/24;
attach {
zone ls-root-trust;
}
}
root-external {
address design 10.12.1.0/24;
address accounting 10.14.1.0/24;
address marketing 10.13.1.0/24;
address-set userlsys {
address design;
address accounting;
address marketing;
}
attach {
zone ls-root-untrust;
}
}
}
policies {
from-zone ls-root-trust to-zone ls-root-untrust {
policy permit-to-userlsys {
match {
source-address masters;
destination-address userlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-root-untrust to-zone ls-root-trust {
policy permit-authorized-users {
match {
source-address userlsys;
destination-address masters;
application [ junos-http junos-https ];
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
}
zones {
security-zone ls-root-trust {
interfaces {
ge-0/0/4.0;
}
}
security-zone ls-root-untrust {
interfaces {
lt-0/0/0.1;
}
}
}
[edit]
admin@host# show access
...
firewall-authentication {
web-authentication {
default-profile ldap1;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
[edit]
admin@host# show system services
web-management {
http {
interface ge-0/0/4.0;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des stratégies
But
Vérifiez les informations sur les stratégies et les règles.
Action
Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un récapitulatif de toutes les stratégies configurées sur le système logique.
Comprendre l’authentification du pare-feu du système logique
Un utilisateur de pare-feu est un utilisateur du réseau qui doit fournir un nom d’utilisateur et un mot de passe pour l’authentification lors de l’ouverture d’une connexion sur le pare-feu. Junos OS permet aux administrateurs de restreindre et d’autoriser les utilisateurs de pare-feu à accéder aux ressources protégées (différentes zones) derrière un pare-feu en fonction de leur adresse IP source et d’autres informations d’identification.
L’administrateur principal est responsable de la configuration des profils d’accès dans le système logique principal. Les profils d’accès stockent les noms d’utilisateur et les mots de passe des utilisateurs ou pointent vers des serveurs d’authentification externes sur lesquels ces informations sont stockées. Tous les systèmes logiques utilisateur disposent de profils d’accès configurés au niveau du système logique principal.
L’administrateur principal configure le nombre maximal et réservé d’authentifications de pare-feu pour chaque système logique utilisateur. L’administrateur système logique de l’utilisateur peut alors créer des authentifications de pare-feu dans le système logique de l’utilisateur. À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la show system security-profile auth-entry commande pour afficher le nombre de ressources d’authentification allouées au système logique utilisateur.
Pour configurer le profil d’accès, l’administrateur principal utilise l’instruction profile de configuration au niveau de la hiérarchie [edit access] du système logique principal. Le profil d’accès peut également inclure l’ordre des méthodes d’authentification, des options de serveur LDAP ou RADIUS et des options de session.
L’administrateur système logique de l’utilisateur peut alors associer le profil d’accès à une stratégie de sécurité dans le système logique de l’utilisateur. L’administrateur système logique utilisateur spécifie également le type d’authentification :
Grâce à l’authentification de transmission, un hôte ou un utilisateur d’une zone tente d’accéder aux ressources d’une autre zone à l’aide d’un FTP, d’un telnet ou d’un client HTTP. L’équipement utilise FTP, Telnet ou HTTP pour collecter les informations de nom d’utilisateur et de mot de passe, et le trafic ultérieur de l’utilisateur ou de l’hôte est autorisé ou refusé en fonction du résultat de cette authentification.
Avec l’authentification Web, les utilisateurs utilisent HTTP pour se connecter à une adresse IP sur l’équipement qui est activé pour l’authentification Web et sont invités à saisir le nom d’utilisateur et le mot de passe. Le trafic ultérieur de l’utilisateur ou de l’hôte vers la ressource protégée est autorisé ou refusé en fonction du résultat de cette authentification.
L’administrateur système logique utilisateur configure les propriétés suivantes pour l’authentification du pare-feu dans le système logique de l’utilisateur :
Stratégie de sécurité qui spécifie l’authentification du pare-feu pour le trafic correspondant. L’authentification du pare-feu est spécifiée avec l’énoncé
firewall-authenticationde configuration au niveau de la hiérarchie [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit].Les utilisateurs ou groupes d’utilisateurs d’un profil d’accès autorisés par la stratégie peuvent éventuellement être spécifiés avec l’instruction de configuration de correspondance du client. (Si aucun utilisateur ou groupe d’utilisateurs n’est spécifié, tout utilisateur authentifié est autorisé à y accéder.)
Pour l’authentification de transmission, le profil d’accès peut éventuellement être spécifié et la redirection Web (redirigeant le système client vers une page Web pour l’authentification) peut être activée.
Type d’authentification (transmission ou authentification Web), profil d’accès par défaut et bannière de réussite pour la session FTP, Telnet ou HTTP. Ces propriétés sont configurées avec l’instruction
firewall-authenticationde configuration au niveau de la hiérarchie [edit access].Héberger le trafic entrant. Les protocoles, services ou les deux sont autorisés à accéder au système logique. Les types de trafic sont configurés avec l’instruction
host-inbound-trafficde configuration au niveau de la hiérarchie [edit security zones security-zone zone-name] ou [edit security zones security-zone zone-name interfaces interface-name].
À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser les show security firewall-authentication users commandes ou show security firewall-authentication history pour afficher les informations sur les utilisateurs du pare-feu et l’historique du système logique utilisateur. À partir du système logique principal, l’administrateur principal peut utiliser les mêmes commandes pour afficher les informations relatives au système logique principal, à un système logique utilisateur spécifique ou à tous les systèmes logiques.
Voir aussi
Exemple : configuration de l’authentification de pare-feu pour un système logique utilisateur
Cet exemple montre comment configurer l’authentification de pare-feu pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Utilisez la
show system security-profiles auth-entrycommande pour voir les entrées d’authentification de pare-feu allouées au système logique.Les profils d’accès doivent être configurés dans le système logique principal par l’administrateur principal.
Aperçu
Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Dans cet exemple, les utilisateurs des systèmes logiques ls-marketing-dept et ls-accounting-dept doivent s’authentifier lorsqu’ils initient certaines connexions au sous-réseau des concepteurs de produits. Cet exemple configure l’authentification du pare-feu décrite dans le tableau 3.
Cet exemple utilise le profil d’accès configuré et les entrées du carnet d’adresses configurées dans Exemple : Configuration de zones de sécurité pour un système logique utilisateur.
Fonction |
Nom |
Paramètres de configuration |
|---|---|---|
Stratégie de sécurité |
utilisateurs autorisés
Note:
La recherche de stratégies est effectuée dans l’ordre de configuration des stratégies. La première stratégie correspondant au trafic est utilisée. Si vous avez précédemment configuré une stratégie qui autorise le trafic pour la même adresse de zone à zone, d’adresse source et d’adresse de destination, mais qu’avec l’application |
Autorisez l’authentification du pare-feu pour le trafic suivant :
Le profil d’accès ldap1 est utilisé pour l’authentification pass-through. |
Authentification du pare-feu |
|
|
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match application junos-h323 set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1 set access firewall-authentication pass-through default-profile ldap1 set access firewall-authentication pass-through http banner login “welcome”
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer l’authentification pare-feu dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez une stratégie de sécurité qui permet l’authentification du pare-feu.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match destination -address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match application junos-h323 lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1
Réorganisez les stratégies de sécurité.
[edit] lsdesignadmin1@host:ls-product-design# insert security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users before policy permit-all-from-otherlsys
Configurez l’authentification du pare-feu.
[edit access firewall-authentication] lsdesignadmin1@host:ls-product-design# set pass-through http banner login "welcome" lsdesignadmin1@host:ls-product-design# set pass-through default-profile ldap1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show access firewall-authentication . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-authorized-users {
match {
source-address otherlsys;
destination-address product-designers;
application junos-h323;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile ldap1;
}
}
}
}
}
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
lsdesignadmin1@host:ls-product-design# show access firewall-authentication
pass-through {
default-profile ldap1;
http {
banner {
login welcome;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de l’authentification des utilisateurs du pare-feu et surveillance des utilisateurs et des adresses IP
But
Affichez l’historique de l’authentification du pare-feu et vérifiez le nombre d’utilisateurs de pare-feu qui ont réussi à s’authentifier et d’utilisateurs de pare-feu qui n’ont pas pu se connecter.
Action
À partir du mode opérationnel, saisissez ces show commandes.
lsdesignadmin1@host:ls-product-design> show security firewall-authentication history lsdesignadmin1@host:ls-product-design> show security firewall-authentication history identifier id lsdesignadmin1@host:ls-product-design> show security firewall-authentication users lsdesignadmin1@host:ls-product-design> show security firewall-authentication users identifier id
Comprendre la prise en charge intégrée du pare-feu utilisateur dans un système logique
À partir de la version 18.3R1 de Junos OS, la prise en charge des sources d’authentification est étendue pour inclure l’authentification locale, l’authentification Active Directory (AD) et l’authentification pare-feu, en plus de la prise en charge existante des sources d’authentification Juniper Identity Management Service (JIMS) et de l’authentification ClearPass.
À partir de la version 18.2R1 de Junos OS, la prise en charge de l’authentification du pare-feu utilisateur est améliorée à l’aide d’un modèle partagé. Dans ce modèle, les systèmes logiques utilisateur partagent les entrées de configuration et d’authentification du pare-feu utilisateur avec le système logique principal et l’authentification intégrée du pare-feu utilisateur est prise en charge dans un système logique utilisateur.
Dans le modèle partagé, la configuration liée au pare-feu utilisateur est configurée sous le système logique principal, par exemple la source d’authentification, la priorité de la source d’authentification, le délai d’expiration des entrées d’authentification, la requête IP ou la requête individuelle, etc. Le pare-feu utilisateur fournit un service d’informations utilisateur pour une application du pare-feu SRX Series, comme la stratégie et la journalisation. Le trafic d’un système logique utilisateur interroge les tables d’authentification du système logique principal.
Les tables d’authentification sont gérées par un système logique principal. Les systèmes logiques utilisateur partagent les tables d’authentification. Le trafic du système logique principal et des systèmes logiques utilisateur interroge la même table d’authentification. Les systèmes logiques utilisateur permettent d’utiliser l’identité source dans la stratégie de sécurité.
Par exemple, si le système logique principal est configuré avec l’employé et que le système logique de l’utilisateur est configuré avec le gestionnaire d’identités source, alors le groupe de référence de cette entrée d’authentification comprend l’employé et le gestionnaire. Ce groupe de référence contient les mêmes entrées d’authentification provenant du système logique principal et du système logique utilisateur.
À partir de la version 19.3R1 de Junos OS, la prise en charge de l’authentification du pare-feu utilisateur est améliorée à l’aide d’un modèle personnalisé grâce à JIMS intégré en mode actif. Dans ce modèle, le système logique extrait les entrées d’authentification du niveau racine. Le système logique principal est configuré sur le serveur JIMS en fonction du système logique et du nom du système du locataire. En mode actif, le pare-feu SRX Series interroge activement les entrées d’authenticité reçues du serveur JIMS via le protocole HTTPs. Pour réduire l’échange de données, des filtres de pare-feu sont appliqués.
Le pare-feu utilisateur utilise le nom du système logique comme facteur de différenciation et est cohérent entre le serveur JIMS et le pare-feu SRX Series. Le serveur JIMS envoie le différenciateur inclus dans l’entrée d’authentification. Les entrées d’authentification sont distribuées dans le système logique racine, lorsque l’différenciateur est défini comme par défaut pour le système logique principal.
Le pare-feu utilisateur prend en charge la mise à niveau logicielle en cours d’utilisation (ISSU) pour les systèmes logiques, car le pare-feu utilisateur modifie le format de la table de base de données interne à partir de la version 19.2R1 de Junos OS. Avant junos OS version 19.2R1, ISSU n’est pas pris en charge pour les systèmes logiques.
- Limitation de l’utilisation de l’authentification du pare-feu utilisateur
- Limitation de l’utilisation de l’authentification du pare-feu utilisateur dans un modèle personnalisé sur les systèmes logiques
Limitation de l’utilisation de l’authentification du pare-feu utilisateur
L’authentification du pare-feu utilisateur sur les systèmes locataires présente les limites suivantes :
Les entrées d’authentification sont collectées par le serveur JIMS en fonction de l’adresse IP du réseau client. Si les adresses IP se chevauchent, l’entrée d’authentification change lorsque les utilisateurs se connectent sous différents systèmes logiques utilisateur.
Limitation de l’utilisation de l’authentification du pare-feu utilisateur dans un modèle personnalisé sur les systèmes logiques
L’utilisation de l’authentification du pare-feu utilisateur dans un modèle personnalisé sur des systèmes logiques présente les limites suivantes :
Les configurations de serveur JIMS à configurer sous les systèmes logiques racines.
Le nom du système logique doit être cohérent et unique entre le serveur JIMS et le pare-feu SRX Series.
Voir aussi
Exemple : configuration de la gestion intégrée de l’identification du pare-feu utilisateur pour un système logique utilisateur
Cet exemple montre comment configurer la fonctionnalité de requête avancée du pare-feu SRX Series pour obtenir des informations sur l'identité des utilisateurs à partir du service de gestion des identités de Juniper (JIMS) et la stratégie de sécurité pour qu'elle corresponde à l'identité source d'un système logique utilisateur. Dans le système logique racine, le pare-feu utilisateur est configuré avec JIMS, puis le système logique racine gère toutes les entrées d’authentification provenant de JIMS. Dans cet exemple, tous les systèmes logiques des utilisateurs partagent leurs entrées d’authentification avec le système logique racine.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
SRX1500 équipements fonctionnant dans le clustering de châssis
Serveur JIMS
Junos OS Version 18.2 R1
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique. Voir la présentation des systèmes logiques utilisateur
Configurez les systèmes logiques utilisateur lsys1 et lsys2. Voir l’exemple : configuration de systèmes logiques utilisateur
Configurez le profil de sécurité sur le système logique principal et attribuez-le aux systèmes logiques utilisateur lsys1 et lsys2. Voir l’exemple : configuration des profils de sécurité des systèmes logiques (administrateurs principaux uniquement)
Configurez les interfaces et les options de routage sur le système logique racine des systèmes logiques, les systèmes logiques utilisateur lsys1 et lsys2. Voir l’exemple : Configuration des interfaces, des instances de routage et des routes statiques pour les systèmes logiques primaires et d’interconnexion et les interfaces de tunnel logique pour les systèmes logiques utilisateur (administrateurs principaux uniquement) et Exemple : configuration des interfaces et des instances de routage pour un système logique utilisateur
Configurez des stratégies de sécurité pour un système logique utilisateur. Voir l’exemple : configuration des stratégies de sécurité dans un système logique utilisateur
Configurez des zones pour un système logique utilisateur. Voir l’exemple : configuration de zones de sécurité pour un système logique utilisateur
Configurez des systèmes logiques dans un cluster de châssis actif/passif de base. Voir l’exemple : Configuration de systèmes logiques dans un cluster de châssis actif/passif (administrateurs principaux uniquement)
Aperçu
Dans cet exemple, vous pouvez configurer JIMS avec connexion HTTP sur le port 443 et le serveur principal avec l’adresse IPv4 sur le système logique principal, la stratégie p1 avec l’identité source « group1 » du domaine dc0 sur le système logique lsys1, la stratégie p1 avec l’identité source « group1 » du domaine dc0 sur le système logique lsys2, et envoyer du trafic depuis et via le système logique lsys1 vers le système logique lsys2. Vous pouvez consulter les entrées d’authentification sur les systèmes logiques primaires et les systèmes logiques utilisateurs (lsys1 et lsys2), même après avoir redémarré le nœud principal.
Configuration
- Configuration rapide cli
- Configuration de la gestion de l’identification du pare-feu utilisateur
- Résultats
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit set logical-systems lsys1 security policies policy-rematch set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit set logical-systems lsys2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
Configuration de la gestion de l’identification du pare-feu utilisateur
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer la gestion de l’identification du pare-feu utilisateur :
Connectez-vous au système logique principal en tant qu’administrateur principal et accédez au mode de configuration.
user@host> configure user@host#
Créez des systèmes logiques.
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1 user@host#set LSYS2
Configurez une stratégie de sécurité lsys1_policy1 avec le groupe d’identité source1 sur le système logique lsys1 qui autorise le trafic de lsys1_trust à lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit
Configurez une lsys1_policy2 de stratégie de sécurité qui autorise le trafic de lsys1_trust à lsys1_untrust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit
Configurez une lsys1_policy3 de stratégie de sécurité qui autorise le trafic de lsys1_untrust à lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit user@host#set policy-rematch
Configurez la zone de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic protocols all
Configurez une stratégie de sécurité lsys2_policy1 avec le groupe d’identité source1 qui permet au trafic de lsys2_untrust à lsys2_untrust sur lsys2.
[edit security policies] user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit user@host#set policy-rematch
Configurez des zones de sécurité et attribuez des interfaces à chaque zone sur lsys2.
[edit security zones] user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
Configurez JIMS comme source d’authentification pour les requêtes avancées avec l’adresse principale. Le pare-feu SRX Series a besoin de ces informations pour contacter le serveur.
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
Configurez les stratégies de sécurité et les zones sur le système logique principal.
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
Configurez des zones de sécurité et attribuez des interfaces à chaque zone du système logique principal.
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show services user-identification identity-management show chassis cluster commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show services user-identification identity-management
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
user@host# show chassis cluster
reth-count 5;
control-ports {
fpc 3 port 0;
fpc 9 port 0;
}
redundancy-group 0 {
node 0 priority 200;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 2 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 3 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 4 {
node 0 priority 100;
node 1 priority 1;
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches ci-dessous :
- Vérification des entrées d’authentification et d’état du cluster du châssis
- Vérification de l’état du cluster de châssis
Vérification des entrées d’authentification et d’état du cluster du châssis
But
Pour vérifier les entrées d’authentification dans un système logique.
Action
Pour vérifier que la configuration fonctionne correctement, saisissez la show services user-identification authentication-table authentication-source identity-management logical-system all commande.
user@host> show services user-identification authentication-table authentication-source identity-management logical-system all
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
Sens
Le résultat affiche les entrées d’authentification partagées entre le système logique de l’utilisateur et le système logique racine.
Vérification de l’état du cluster de châssis
But
Vérifiez l’état du cluster du châssis après le redémarrage du nœud principal.
Action
Pour vérifier que la configuration fonctionne correctement, saisissez la show chassis cluster status commande.
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no NoneSens
Le résultat affiche la session de gestion de l’identification des utilisateurs existant sur lsys1 et lsys2 après le redémarrage du nœud principal.
Exemple : configurer un pare-feu utilisateur intégré dans un modèle personnalisé pour un système logique
Cet exemple montre comment configurer le pare-feu utilisateur intégré à l’aide d’un modèle personnalisé via le serveur Juniper Identity Management Service (JIMS) avec un mode actif pour un système logique. Les systèmes logiques primaires ne partagent pas les entrées d’authentification avec le système logique. Le pare-feu SRX Series interroge les entrées d’authentification reçues du serveur JIMS via le protocole HTTPs en mode actif.
Dans cet exemple, les configurations suivantes sont effectuées :
-
Configuration du serveur JIMS active
-
Configuration de requête IP du système logique
-
Configuration d’entrée d’authentification du système logique
-
Configuration des stratégies de sécurité du système logique
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Serveur JIMS version 2.0
-
Version Junos OS 19.3R1
Avant de commencer, assurez-vous de disposer des informations suivantes :
-
L’adresse IP du serveur JIMS.
-
Numéro de port sur le serveur JIMS pour recevoir les requêtes HTTP.
-
ID client du serveur JIMS pour serveur de requête actif.
-
Secret client du serveur JIMS pour le serveur de requête actif.
Aperçu
Dans cet exemple, vous pouvez configurer JIMS avec connexion HTTP sur le port 443 et le serveur principal avec l’adresse IPv4 sur le système logique principal, la stratégie p2 avec l’identité group1 source sur le système LSYS1logique .
Configuration
- Configuration rapide cli
- Configuration du pare-feu utilisateur intégré dans un modèle personnalisé :
- Résultats
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier], puis saisissez commit à partir du mode de configuration.
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Configuration du pare-feu utilisateur intégré dans un modèle personnalisé :
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer un pare-feu utilisateur intégré dans un modèle personnalisé :
-
Configurez JIMS comme source d’authentification pour les requêtes avancées avec l’adresse principale. Le pare-feu SRX Series a besoin de ces informations pour contacter le serveur.
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
Configurez le temps de retard des requêtes IP pour LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
Configurez les attributs d’entrée d’authentification pour LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
Configurez la stratégie de sécurité p2 qui autorise le trafic d’une confiance de zone à zone pour LSYS1.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show services user-identification logical-domain-identity-management commandes et show logical-systems LSYS1 . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show services user-identification logical-domain-identity-management
active {
query-server jims1 {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
}
}
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity "example.com\group1";
}
then {
permit;
}
}
}
}
}
services {
user-identification {
logical-domain-identity-management {
active {
invalid-authentication-entry-timeout 1;
ip-query {
query-delay-time 30;
}
}
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
- Vérification de l’état de la gestion de l’identité de l’identification des utilisateurs
- Vérification des compteurs d’état de gestion des identités d’identification des utilisateurs
- Vérification de la table d’identification de l’utilisateur
Vérification de l’état de la gestion de l’identité de l’identification des utilisateurs
But
Vérifiez l’état de l’identification de l’utilisateur pour la gestion des identités en tant que source d’authentification.
Action
Pour vérifier que la configuration fonctionne correctement, saisissez la show services user-identification logical-domain-identity-management status commande.
user@host> show services user-identification logical-domain-identity-management status
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL
Token expire time : 2017-11-27 23:45:22
Secondary server :
Address : Not configured
Sens
Le résultat affiche les données statistiques sur les requêtes par lots et les requêtes IP de la fonction d’interrogation des utilisateurs avancées, ou affiche l’état sur les serveurs du service Juniper Identity Management.
Vérification des compteurs d’état de gestion des identités d’identification des utilisateurs
But
Vérifiez les compteurs d’identification utilisateur pour la gestion des identités en tant que source d’authentification.
Action
Pour vérifier que la configuration fonctionne correctement, saisissez la show services user-identification logical-domain-identity-management counters commande.
user@host> show services user-identification logical-domain-identity-management counters
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Batch query sent number : 65381
Batch query total response number : 64930
Batch query error response number : 38
Batch query last response time : 2018-08-14 15:10:52
IP query sent number : 10
IP query total response number : 10
IP query error response number : 0
IP query last response time : 2018-08-13 12:41:56
Secondary server :
Address : Not configured
Sens
Le résultat affiche les données statistiques sur les requêtes par lots et les requêtes IP de la fonction d’interrogation utilisateur avancée, ou affiche les compteurs sur les serveurs du service juniper de gestion des identités.
Vérification de la table d’identification de l’utilisateur
But
Vérifiez les entrées de table d’authentification des informations d’identité utilisateur pour la source d’authentification spécifiée.
Action
Pour vérifier que la configuration fonctionne correctement, saisissez la show services user-identification authentication-table authentication-source all logical-system LSYS1 commande.
user@host> show services user-identification authentication-table authentication-source all logical-system LSYS1
node0:
--------------------------------------------------------------------------
Logical System: LSYS1
Domain: example.com
Total entries: 4
Source IP Username groups(Ref by policy) state
10.12.0.2 administrator posture-healthy Valid
10.12.0.15 administrator posture-healthy Valid
2001:db8::5 N/A posture-healthy Valid
2001:db8::342c:302b N/A posture-healthy Valid
Sens
Le résultat affiche l’intégralité du contenu de la table d’authentification de la source d’authentification spécifiée, ou d’un domaine, d’un groupe ou d’un utilisateur spécifique en fonction du nom d’utilisateur. Affichez les informations d’identité d’un utilisateur en fonction de l’adresse IP de l’équipement de l’utilisateur.