SUR CETTE PAGE
Exemple : Configuration des profils d’accès (administrateurs principaux uniquement)
Exemple : Configuration des fonctionnalités de sécurité pour les systèmes logiques principaux
Présentation de l’authentification par pare-feu du système logique
Exemple : configuration de l’authentification par pare-feu pour un système logique utilisateur
Comprendre la prise en charge intégrée des pare-feu utilisateur dans un système logique
Authentification utilisateur pour les systèmes logiques
L’authentification utilisateur pour les systèmes logiques vous permet de définir des utilisateurs de pare-feu et de créer des stratégies qui exigent que les utilisateurs s’authentifient eux-mêmes via l’un des deux schémas d’authentification suivants : authentification directe ou authentification Web. Pour plus d’informations, consultez les rubriques suivantes :
Exemple : Configuration des profils d’accès (administrateurs principaux uniquement)
L’administrateur principal est responsable de la configuration des profils d’accès dans le système logique principal. Cet exemple montre comment configurer des profils d’accès.
Exigences
Avant de commencer :
Connectez-vous au système logique principal en tant qu’administrateur principal. Voir Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Lisez Présentation de l’authentification utilisateur du pare-feu.
Vue d’ensemble
Cet exemple configure un profil d’accès pour l’authentification LDAP pour les utilisateurs du système logique. Cet exemple crée le profil d’accès décrit dans le Tableau 1.
L’administrateur principal crée le profil d’accès.
Nom |
Paramètres de configuration |
|---|---|
LDAP1 |
|
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
Vous devez être connecté en tant qu’administrateur principal.
set access profile ldap1 authentication-order ldap set access profile ldap1 ldap-options base-distinguished-name ou=people,dc=example,dc=com set access profile ldap1 ldap-options assemble common-name uid set access profile ldap1 ldap-server 10.155.26.104 port 389
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer un profil d’accès dans le système logique principal :
Connectez-vous au système logique principal en tant qu’administrateur principal et entrez en mode configuration.
admin@host> configure admin@host#
Configurez un profil d’accès et définissez l’ordre d’authentification.
[edit access profile ldap1] admin@host# set authentication-order ldap
Configurez les options LDAP.
[edit access profile ldap1] admin@host# set ldap-options base-distinguished-name ou=people,dc=example,dc=com admin@host# set ldap-options assemble common-name uid
Configurez le serveur LDAP.
[edit access profile ldap1] admin@host# set ldap-server 10.155.26.104 port 389
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show access profile profile-name commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
admin@host# show access profile ldap1
authentication-order ldap;
ldap-options {
base-distinguished-name ou=people,dc=example,dc=com;
assemble {
common-name uid;
}
}
ldap-server {
10.155.26.104 port 389;
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Exemple : Configuration des fonctionnalités de sécurité pour les systèmes logiques principaux
Cet exemple montre comment configurer les fonctionnalités de sécurité, telles que les zones, les stratégies et l’authentification du pare-feu, pour le système logique principal.
Exigences
Avant de commencer :
-
Connectez-vous au système logique principal en tant qu’administrateur principal. Voir Exemple : configuration du mot de passe root pour les systèmes logiques.
-
Utilisez la
show system security-profilecommande pour voir les ressources allouées au système logique principal. -
Configurez les interfaces logiques du système logique principal. Voir Exemple : Configuration d’interfaces, d’instances de routage et de routes statiques pour les systèmes logiques principal et d’interconnexion et d’interfaces de tunnel logique pour les systèmes logiques utilisateur (administrateurs principaux uniquement).
-
Configurez le profil d’accès ldap1 dans le système logique principal. Le profil d’accès ldap1 est utilisé pour l’authentification Web des utilisateurs du pare-feu.
Vue d’ensemble
Dans cet exemple, vous configurez des fonctionnalités de sécurité pour le système logique principal, appelé root-logical-system, illustré dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion. Cet exemple configure les fonctionnalités de sécurité décrites dans le Tableau 2.
| Fonctionnalité |
Nom |
Paramètre de configuration |
|---|---|---|
| Zones |
ls-root-trust |
Se lier à l’interface ge-0/0/4.0. |
| ls-root-untrust |
Liaison à l’interface lt-0/0/0.1 |
|
| Carnets d’adresses |
root-interne |
|
| root-externe |
|
|
| Politiques de sécurité |
autorisation d’utilisationsys |
Autorisez la circulation suivante :
|
| utilisateurs autorisés |
Autorisez la circulation suivante :
|
|
| Authentification par pare-feu |
|
|
| Démon HTTP |
Activer sur l’interface ge-0/0/4.0 |
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security address-book root-internal address masters 10.12.12.0/24 set security address-book root-internal attach zone ls-root-trust set security address-book root-external address design 10.12.1.0/24 set security address-book root-external address accounting 10.14.1.0/24 set security address-book root-external address marketing 10.13.1.0/24 set security address-book root-external address-set userlsys address design set security address-book root-external address-set userlsys address accounting set security address-book root-external address-set userlsys address marketing set security address-book root-external attach zone ls-root-untrust set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match source-address masters set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match destination-address userlsys set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match application any set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys then permit set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match source-address userlsys set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match destination-address masters set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-http set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-https set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users then permit firewall-authentication web-authentication set security zones security-zone ls-root-trust interfaces ge-0/0/4.0 set security zones security-zone ls-root-untrust interfaces lt-0/0/0.1 set system services web-management http interface ge-0/0/4.0 set access firewall-authentication web-authentication default-profile ldap1 set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer des zones et des stratégies pour le système logique principal :
-
Connectez-vous au système logique principal en tant qu’administrateur principal et entrez en mode configuration.
admin@host> configure admin@host#
-
Créez des zones de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] admin@host# set security-zone ls-root-trust interfaces ge-0/0/4.0 admin@host# set security-zone ls-root-untrust interfaces lt-0/0/0.1
-
Créez des entrées de carnet d’adresses.
[edit security] admin@host# set address-book root-internal address masters 10.12.12.0/24 admin@host# set address-book root-external address design 10.12.1.0/24 admin@host# set address-book root-external address accounting 10.14.1.0/24 admin@host# set address-book root-external address marketing 10.13.1.0/24 admin@host# set address-book root-external address-set userlsys address design admin@host# set address-book root-external address-set userlsys address accounting admin@host# set address-book root-external address-set userlsys address marketing
-
Joignez des carnets d’adresses aux zones.
[edit security] admin@host# set address-book root-internal attach zone ls-root-trust admin@host# set address-book root-external attach zone ls-root-untrust
-
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-root-trust vers la zone ls-root-untrust.
[edit security policies from-zone ls-root-trust to-zone ls-root-untrust] admin@host# set policy permit-to-userlsys match source-address masters admin@host# set policy permit-to-userlsys match destination-address userlsys admin@host# set policy permit-to-userlsys match application any admin@host# set policy permit-to-userlsys then permit
-
Configurez une stratégie de sécurité qui authentifie le trafic de la zone ls-root-untrust vers la zone ls-root-trust.
[edit security policies from-zone ls-root-untrust to-zone ls-root-trust] admin@host# set policy permit-authorized-users match source-address userlsys admin@host# set policy permit-authorized-users match destination-address masters admin@host# set policy permit-authorized-users match application junos-http admin@host# set policy permit-authorized-users match application junos-https admin@host# set policy permit-authorized-users then permit firewall-authentication web-authentication
-
Configurez le profil d’accès Authentification Web et définissez un bandeau de réussite.
[edit access] admin@host# set firewall-authentication web-authentication default-profile ldap1 admin@host# set firewall-authentication web-authentication banner success “WEB AUTH LOGIN SUCCESS”
-
Activez le démon HTTP sur l’appareil.
[edit system] admin@host# set services web-management http interface ge-0/0/4.0
Résultats
En mode configuration, confirmez votre configuration en entrant les show securitycommandes , show accesset . show system services Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
admin@host# show security
...
address-book {
root-internal {
address masters 10.12.12.0/24;
attach {
zone ls-root-trust;
}
}
root-external {
address design 10.12.1.0/24;
address accounting 10.14.1.0/24;
address marketing 10.13.1.0/24;
address-set userlsys {
address design;
address accounting;
address marketing;
}
attach {
zone ls-root-untrust;
}
}
}
policies {
from-zone ls-root-trust to-zone ls-root-untrust {
policy permit-to-userlsys {
match {
source-address masters;
destination-address userlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-root-untrust to-zone ls-root-trust {
policy permit-authorized-users {
match {
source-address userlsys;
destination-address masters;
application [ junos-http junos-https ];
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
}
zones {
security-zone ls-root-trust {
interfaces {
ge-0/0/4.0;
}
}
security-zone ls-root-untrust {
interfaces {
lt-0/0/0.1;
}
}
}
[edit]
admin@host# show access
...
firewall-authentication {
web-authentication {
default-profile ldap1;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
[edit]
admin@host# show system services
web-management {
http {
interface ge-0/0/4.0;
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des stratégies
Objet
Vérifiez les informations sur les stratégies et les règles.
Mesures à prendre
En mode opérationnel, entrez la show security policies detail commande pour afficher un résumé de toutes les stratégies configurées sur le système logique.
Présentation de l’authentification par pare-feu du système logique
Un utilisateur de pare-feu est un utilisateur du réseau qui doit fournir un nom d’utilisateur et un mot de passe pour l’authentification lors de l’initiation d’une connexion à travers le pare-feu. Junos OS permet aux administrateurs de restreindre et d’autoriser les utilisateurs du pare-feu à accéder aux ressources protégées (différentes zones) derrière un pare-feu en fonction de leur adresse IP source et d’autres informations d’identification.
L’administrateur principal est responsable de la configuration des profils d’accès dans le système logique principal. Les profils d’accès stockent les noms d’utilisateur et les mots de passe des utilisateurs ou pointent vers des serveurs d’authentification externes où ces informations sont stockées. Les profils d’accès configurés au niveau du système logique principal sont disponibles pour tous les systèmes logiques utilisateur.
L’administrateur principal configure le nombre maximal et réservé d’authentifications de pare-feu pour chaque système logique utilisateur. L’administrateur du système logique utilisateur peut ensuite créer des authentifications de pare-feu dans le système logique utilisateur. À partir d’un système logique utilisateur, l’administrateur du système logique utilisateur peut utiliser la show system security-profile auth-entry commande pour afficher le nombre de ressources d’authentification allouées au système logique utilisateur.
Pour configurer le profil d’accès, l’administrateur principal utilise l’instruction de profile configuration au niveau de la hiérarchie [edit access] dans le système logique principal. Le profil d’accès peut également inclure l’ordre des méthodes d’authentification, les options de serveur LDAP ou RADIUS et les options de session.
L’administrateur du système logique utilisateur peut ensuite associer le profil d’accès à une stratégie de sécurité dans le système logique utilisateur. L’administrateur système logique de l’utilisateur spécifie également le type d’authentification :
Avec l’authentification directe, un hôte ou un utilisateur d’une zone tente d’accéder aux ressources d’une autre zone à l’aide d’un client FTP, Telnet ou HTTP. L’équipement utilise FTP, Telnet ou HTTP pour collecter les informations de nom d’utilisateur et de mot de passe, et le trafic ultérieur de l’utilisateur ou de l’hôte est autorisé ou refusé en fonction du résultat de cette authentification.
Avec l’authentification Web, les utilisateurs utilisent HTTP pour se connecter à une adresse IP sur l’appareil activé pour l’authentification Web et sont invités à saisir le nom d’utilisateur et le mot de passe. Le trafic ultérieur de l’utilisateur ou de l’hôte vers la ressource protégée est autorisé ou refusé en fonction du résultat de cette authentification.
L’administrateur du système logique utilisateur configure les propriétés suivantes pour l’authentification du pare-feu dans le système logique utilisateur :
Politique de sécurité spécifiant l’authentification par pare-feu pour le trafic correspondant. L’authentification du pare-feu est spécifiée avec l’instruction
firewall-authenticationde configuration au niveau de la hiérarchie [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit].Les utilisateurs ou groupes d’utilisateurs d’un profil d’accès auxquels la stratégie permet d’accéder peuvent éventuellement être spécifiés à l’aide de l’instruction de configuration client-match. (Si aucun utilisateur ou groupe d’utilisateurs n’est spécifié, tout utilisateur authentifié avec succès est autorisé à y accéder.)
Pour l’authentification directe, le profil d’accès peut éventuellement être spécifié et la redirection Web (redirection du système client vers une page Web pour l’authentification) peut être activée.
Type d’authentification (authentification pass-through ou authentification Web), profil d’accès par défaut et bannière de réussite pour la session FTP, Telnet ou HTTP. Ces propriétés sont configurées avec l’instruction
firewall-authenticationde configuration au niveau de la hiérarchie [edit access].Hébergez le trafic entrant. Les protocoles, les services ou les deux sont autorisés à accéder au système logique. Les types de trafic sont configurés avec l’instruction
host-inbound-trafficde configuration au niveau de la hiérarchie [edit security zones security-zone zone-name] ou [edit security zones security-zone zone-name interfaces interface-name].
À partir d’un système logique utilisateur, l’administrateur du système logique utilisateur peut utiliser les show security firewall-authentication users commandes ou show security firewall-authentication history pour afficher les informations sur les utilisateurs du pare-feu et l’historique du système logique utilisateur. À partir du système logique principal, l’administrateur principal peut utiliser les mêmes commandes pour afficher les informations du système logique principal, d’un système logique utilisateur spécifique ou de tous les systèmes logiques.
Voir aussi
Exemple : configuration de l’authentification par pare-feu pour un système logique utilisateur
Cet exemple montre comment configurer l’authentification par pare-feu pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Voir Vue d’ensemble de la configuration des systèmes logiques utilisateur.
Utilisez la
show system security-profiles auth-entrycommande pour voir les entrées d’authentification de pare-feu allouées au système logique.Les profils d’accès doivent être configurés dans le système logique principal par l’administrateur principal.
Vue d’ensemble
Cet exemple configure le système logique utilisateur ls-product-design illustré dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Dans cet exemple, les utilisateurs des systèmes logiques ls-marketing-dept et ls-accounting-dept doivent s’authentifier lors de l’initiation de certaines connexions au sous-réseau des concepteurs de produits. Cet exemple configure l’authentification par pare-feu décrite dans le tableau 3.
Cet exemple utilise le profil d’accès configuré et les entrées de carnet d’adresses configurées dans Exemple : Configuration des zones de sécurité pour un système logique utilisateur.
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
Politique de sécurité |
utilisateurs autorisés
Remarque :
La recherche de stratégies est effectuée dans l’ordre dans lequel les stratégies sont configurées. La première stratégie correspondant au trafic est utilisée. Si vous avez déjà configuré une stratégie qui autorise le trafic pour la même zone de départ, la même zone de destination, la même adresse source et la même adresse de destination, mais avec l’application |
Autorisez l’authentification par pare-feu pour le trafic suivant :
Le profil d’accès ldap1 est utilisé pour l’authentification pass-through. |
Authentification par pare-feu |
|
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match application junos-h323 set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1 set access firewall-authentication pass-through default-profile ldap1 set access firewall-authentication pass-through http banner login “welcome”
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer l’authentification par pare-feu dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez une stratégie de sécurité qui autorise l’authentification par pare-feu.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match destination -address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match application junos-h323 lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1
Réorganiser les politiques de sécurité.
[edit] lsdesignadmin1@host:ls-product-design# insert security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users before policy permit-all-from-otherlsys
Configurez l’authentification par pare-feu.
[edit access firewall-authentication] lsdesignadmin1@host:ls-product-design# set pass-through http banner login "welcome" lsdesignadmin1@host:ls-product-design# set pass-through default-profile ldap1
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show access firewall-authentication . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-authorized-users {
match {
source-address otherlsys;
destination-address product-designers;
application junos-h323;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile ldap1;
}
}
}
}
}
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
lsdesignadmin1@host:ls-product-design# show access firewall-authentication
pass-through {
default-profile ldap1;
http {
banner {
login welcome;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de l’authentification des utilisateurs du pare-feu et surveillance des utilisateurs et des adresses IP
Objet
Affichez l’historique des utilisateurs d’authentification du pare-feu et vérifiez le nombre d’utilisateurs du pare-feu qui se sont authentifiés avec succès et ceux qui n’ont pas réussi à se connecter.
Mesures à prendre
À partir du mode opérationnel, entrez ces show commandes.
lsdesignadmin1@host:ls-product-design> show security firewall-authentication history lsdesignadmin1@host:ls-product-design> show security firewall-authentication history identifier id lsdesignadmin1@host:ls-product-design> show security firewall-authentication users lsdesignadmin1@host:ls-product-design> show security firewall-authentication users identifier id
Comprendre la prise en charge intégrée des pare-feu utilisateur dans un système logique
À partir de la version 18.3R1 de Junos OS, la prise en charge des sources d’authentification est étendue pour inclure l’authentification locale, l’authentification Active Directory (AD) et l’authentification par pare-feu, en plus de la prise en charge existante des sources d’authentification Juniper Identity Management Service (JIMS) et de l’authentification ClearPass.
À partir de la version 18.2R1 de Junos OS, la prise en charge de l’authentification par pare-feu utilisateur est améliorée à l’aide d’un modèle partagé. Dans ce modèle, les systèmes logiques utilisateur partagent les entrées de configuration et d’authentification du pare-feu utilisateur avec le système logique principal, et l’authentification intégrée du pare-feu utilisateur est prise en charge dans un système logique utilisateur.
Dans le modèle partagé, la configuration liée au pare-feu utilisateur est configurée sous le système logique principal, tel que la source d’authentification, la priorité de la source d’authentification, le délai d’expiration des entrées d’authentification, et la requête IP ou la requête individuelle, etc. Le pare-feu utilisateur fournit un service d’informations utilisateur pour une application du pare-feu SRX Series, tel que la stratégie et la journalisation. Le trafic provenant du système logique d’un utilisateur interroge les tables d’authentification du système logique principal.
Les tables d’authentification sont gérées par un système logique principal. Les systèmes logiques des utilisateurs partagent les tables d’authentification. Le trafic provenant du système logique principal et des systèmes logiques utilisateur interroge la même table d’authentification. Les systèmes logiques utilisateur permettent d’utiliser l’identité source dans la stratégie de sécurité.
Par exemple, si le système logique principal est configuré avec employee et que le système logique user est configuré avec le gestionnaire d’identité source, le groupe de référence de cette entrée d’authentification inclut employee et manager. Ce groupe de référence contient les mêmes entrées d’authentification du système logique principal et du système logique utilisateur.
À partir de la version 19.3R1 de Junos OS, la prise en charge de l’authentification par pare-feu utilisateur est améliorée à l’aide d’un modèle personnalisé via JIMS intégré en mode actif. Dans ce modèle, le système logique extrait les entrées d’authentification à partir du niveau racine. Le système logique principal est configuré sur le serveur JIMS en fonction du système logique et du nom du système de location. En mode actif, le pare-feu SRX Series interroge activement les entrées d’authentification reçues du serveur JIMS via le protocole HTTPs. Pour réduire l’échange de données, des filtres de pare-feu sont appliqués.
Le pare-feu utilisateur utilise le nom du système logique comme facteur de différenciation et est cohérent entre le serveur JIMS et le pare-feu SRX Series. Le serveur JIMS envoie le différenciateur qui est inclus dans l’entrée d’authentification. Les entrées d’authentification sont distribuées dans le système logique racine, lorsque le facteur de différenciation est défini par défaut pour le système logique principal.
Le pare-feu utilisateur prend en charge la mise à niveau logicielle en service (ISSU) pour les systèmes logiques, car le pare-feu utilisateur modifie le format de table de base de données interne à partir de Junos OS version 19.2R1. Avant la version 19.2R1 de Junos OS, ISSU n’était pas pris en charge pour les systèmes logiques.
- Limitation de l’utilisation de l’authentification par pare-feu utilisateur
- Limitation de l’utilisation de l’authentification par pare-feu utilisateur dans un modèle personnalisé sur des systèmes logiques
Limitation de l’utilisation de l’authentification par pare-feu utilisateur
L’utilisation de l’authentification par pare-feu utilisateur sur les systèmes de location présente les limitations suivantes :
Les entrées d’authentification sont collectées par le serveur JIMS en fonction de l’adresse IP du réseau client. Si les adresses IP se chevauchent, l’entrée d’authentification change lorsque les utilisateurs se connectent sous différents systèmes logiques utilisateur.
Limitation de l’utilisation de l’authentification par pare-feu utilisateur dans un modèle personnalisé sur des systèmes logiques
L’utilisation de l’authentification par pare-feu utilisateur dans un modèle personnalisé sur les systèmes logiques présente les limitations suivantes :
Les configurations du serveur JIMS doivent être configurées sous les systèmes logiques racines.
Le nom du système logique doit être cohérent et unique entre le serveur JIMS et le pare-feu SRX Series.
Voir aussi
Exemple : Configuration de la gestion intégrée de l’identification Pare-feu utilisateur pour un système logique utilisateur
Cet exemple montre comment configurer la fonctionnalité de requête avancée du pare-feu SRX Series pour obtenir des informations sur l'identité des utilisateurs à partir du Juniper Identity Management Service (JIMS) et de la stratégie de sécurité afin qu'elle corresponde à l'identité source d'un système logique utilisateur. Dans le système logique racine, le pare-feu utilisateur est configuré avec JIMS, puis le système logique racine gère toutes les entrées d’authentification provenant de JIMS. Dans cet exemple, tous les systèmes logiques utilisateur partagent leurs entrées d’authentification avec le système logique racine.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Équipements SRX1500 fonctionnant en cluster de châssis
Serveur JIMS
Junos OS version 18.2 R1
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Voir Présentation des systèmes logiques utilisateur
Configurez les systèmes logiques utilisateur lsys1 et lsys2. Voir Exemple : Configuration de systèmes logiques utilisateur
Configurez le profil de sécurité sur le système logique principal et attribuez-le aux systèmes logiques utilisateur lsys1 et lsys2. Voir Exemple : Configuration des profils de sécurité des systèmes logiques (administrateurs principaux uniquement)
Configurez les interfaces et les options de routage sur les systèmes logiques, le système logique racine, les systèmes logiques utilisateur, lsys1 et lsys2. Voir Exemple : Configuration d’interfaces, d’instances de routage et de routes statiques pour les systèmes logiques principal et d’interconnexion et interfaces de tunnel logique pour les systèmes logiques utilisateur (administrateurs principaux uniquement) et Exemple : Configuration d’interfaces et d’instances de routage pour des systèmes logiques utilisateur
Configurer les stratégies de sécurité pour les systèmes logiques d’un utilisateur. Voir Exemple : Configuration de stratégies de sécurité dans les systèmes logiques d’un utilisateur
Configurez des zones pour un système logique utilisateur. Voir Exemple : Configuration de zones de sécurité pour les systèmes logiques d’un utilisateur
Configurez les systèmes logiques dans un cluster de châssis actif/passif de base. Voir Exemple : Configuration de systèmes logiques dans un cluster de châssis actif/passif (administrateurs principaux uniquement)
Vue d’ensemble
Dans cet exemple, vous pouvez configurer JIMS avec une connexion HTTP sur le port 443 et le serveur principal avec une adresse IPv4 sur le système logique principal, la stratégie p1 avec l’identité source « group1 » du domaine dc0 sur le système logique lsys1, la stratégie p1 avec l’identité source « group1 » du domaine dc0 sur le système logique lsys2, et envoyer du trafic depuis et via le système logique lsys1 vers le système logique lsys2. Vous pouvez afficher les entrées d’authentification sur le système logique principal et les systèmes logiques utilisateur (lsys1 et lsys2) même après avoir redémarré le nœud principal.
La configuration
- Configuration rapide de la CLI
- Configuration de la gestion des identifications de pare-feu utilisateurs
- Résultats
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit set logical-systems lsys1 security policies policy-rematch set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit set logical-systems lsys2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
Configuration de la gestion des identifications de pare-feu utilisateurs
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer la gestion des identifications de pare-feu utilisateur :
Connectez-vous au système logique principal en tant qu’administrateur principal et entrez en mode configuration.
user@host> configure user@host#
Créez des systèmes logiques.
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1 user@host#set LSYS2
Configurez une stratégie de sécurité lsys1_policy1 avec l’identité source groupe1 sur le système logique lsys1 qui autorise le trafic de lsys1_trust vers lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit
Configurez un lsys1_policy2 de stratégie de sécurité qui autorise le trafic de lsys1_trust vers lsys1_untrust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit
Configurez un lsys1_policy3 de stratégie de sécurité qui autorise le trafic de lsys1_untrust vers lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit user@host#set policy-rematch
Configurez la zone de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic protocols all
Configurez une stratégie de sécurité lsys2_policy1 avec source-identity group1 qui autorise le trafic de lsys2_untrust vers lsys2_untrust sur lsys2.
[edit security policies] user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit user@host#set policy-rematch
Configurez les zones de sécurité et attribuez des interfaces à chaque zone sur lsys2.
[edit security zones] user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
Configurez JIMS comme source d’authentification pour les requêtes avancées avec l’adresse principale. Le pare-feu SRX Series a besoin de ces informations pour contacter le serveur.
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
Configurez les stratégies et les zones de sécurité sur le système logique principal.
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
Configurez les zones de sécurité et attribuez des interfaces à chaque zone du système logique principal.
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show services user-identification identity-management show chassis cluster commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show services user-identification identity-management
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
user@host# show chassis cluster
reth-count 5;
control-ports {
fpc 3 port 0;
fpc 9 port 0;
}
redundancy-group 0 {
node 0 priority 200;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 2 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 3 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 4 {
node 0 priority 100;
node 1 priority 1;
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches ci-dessous :
- Vérification de l’état du cluster de châssis et des entrées d’authentification
- Vérification de l’état du cluster de châssis
Vérification de l’état du cluster de châssis et des entrées d’authentification
Objet
Pour vérifier les entrées d’authentification dans un système logique.
Mesures à prendre
Pour vérifier que la configuration fonctionne correctement, entrez la show services user-identification authentication-table authentication-source identity-management logical-system all commande.
user@host> show services user-identification authentication-table authentication-source identity-management logical-system all
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
Signification
La sortie affiche les entrées d’authentification partagées du système logique utilisateur au système logique racine.
Vérification de l’état du cluster de châssis
Objet
Vérifiez l’état du cluster de châssis après avoir redémarré le nœud principal.
Mesures à prendre
Pour vérifier que la configuration fonctionne correctement, entrez la show chassis cluster status commande.
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no NoneSignification
La sortie affiche la session de gestion de l’identification des utilisateurs existant sur lsys1 et lsys2 après le redémarrage du nœud principal.
Exemple : Configuration d’un pare-feu utilisateur intégré dans un modèle personnalisé pour le système logique
Cet exemple montre comment configurer le pare-feu utilisateur intégré à l’aide d’un modèle personnalisé via le serveur Juniper Identity Management Service (JIMS) en mode actif pour un système logique. Le système logique principal ne partage pas les entrées d’authentification avec le système logique. Le pare-feu SRX Series interroge les entrées d’authentification reçues du serveur JIMS via le protocole HTTP en mode actif.
Dans cet exemple, les configurations suivantes sont effectuées :
-
Configuration active du serveur JIMS
-
Configuration des requêtes IP du système logique
-
Configuration de l’entrée d’authentification du système logique
-
Configuration des stratégies de sécurité du système logique
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Serveur JIMS version 2.0
-
Junos OS version 19.3R1
Avant de commencer, assurez-vous d’avoir les informations suivantes :
-
Adresse IP du serveur JIMS.
-
Numéro de port sur le serveur JIMS pour la réception des requêtes HTTP.
-
ID client du serveur JIMS pour le serveur de requêtes actif.
-
Clé secrète client du serveur JIMS pour le serveur de requête actif.
Vue d’ensemble
Dans cet exemple, vous pouvez configurer JIMS avec une connexion HTTP sur le port 443 et un serveur primaire avec une adresse IPv4 sur le système logique principal, la stratégie p2 avec une identité group1 source sur le système LSYS1logique.
La configuration
- Configuration rapide de la CLI
- Configuration du pare-feu utilisateur intégré dans un modèle personnalisé :
- Résultats
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier], puis entrez Valider à partir du mode de configuration.
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Configuration du pare-feu utilisateur intégré dans un modèle personnalisé :
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer le pare-feu utilisateur intégré dans un modèle personnalisé :
-
Configurez JIMS comme source d’authentification pour les requêtes avancées avec l’adresse principale. Le pare-feu SRX Series a besoin de ces informations pour contacter le serveur.
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
Configurez le délai de requête IP pour LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
Configurez les attributs d’entrée d’authentification pour LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
Configurez la stratégie de sécurité p2 qui autorise le trafic de la zone non approuvée à la zone pour LSYS1.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show services user-identification logical-domain-identity-management commandes and show logical-systems LSYS1 . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show services user-identification logical-domain-identity-management
active {
query-server jims1 {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
}
}
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity "example.com\group1";
}
then {
permit;
}
}
}
}
}
services {
user-identification {
logical-domain-identity-management {
active {
invalid-authentication-entry-timeout 1;
ip-query {
query-delay-time 30;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
- Vérification de l’identité de l’utilisateur Statut de gestion des identités
- Vérification des compteurs d’état de la gestion des identités d’identification des utilisateurs
- Vérification de la table d’authentification de l’identification de l’utilisateur
Vérification de l’identité de l’utilisateur Statut de gestion des identités
Objet
Vérifiez l’état d’identification de l’utilisateur pour la gestion des identités en tant que source d’authentification.
Mesures à prendre
Pour vérifier que la configuration fonctionne correctement, entrez la show services user-identification logical-domain-identity-management status commande.
user@host> show services user-identification logical-domain-identity-management status
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL
Token expire time : 2017-11-27 23:45:22
Secondary server :
Address : Not configured
Signification
La sortie affiche les données statistiques sur la fonction de requête utilisateur avancée, les requêtes par lots et les requêtes IP, ou affiche l’état sur les serveurs de Juniper Identity Management Service.
Vérification des compteurs d’état de la gestion des identités d’identification des utilisateurs
Objet
Vérifiez les compteurs d’identification de l’utilisateur pour la gestion des identités comme source d’authentification.
Mesures à prendre
Pour vérifier que la configuration fonctionne correctement, entrez la show services user-identification logical-domain-identity-management counters commande.
user@host> show services user-identification logical-domain-identity-management counters
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Batch query sent number : 65381
Batch query total response number : 64930
Batch query error response number : 38
Batch query last response time : 2018-08-14 15:10:52
IP query sent number : 10
IP query total response number : 10
IP query error response number : 0
IP query last response time : 2018-08-13 12:41:56
Secondary server :
Address : Not configured
Signification
La sortie affiche les données statistiques sur la fonction de requête utilisateur avancée, les requêtes par lots et les requêtes IP, ou affiche les compteurs sur les serveurs de Juniper Identity Management Service.
Vérification de la table d’authentification de l’identification de l’utilisateur
Objet
Vérifiez les entrées de la table d’authentification des informations d’identité de l’utilisateur pour la source d’authentification spécifiée.
Mesures à prendre
Pour vérifier que la configuration fonctionne correctement, entrez la show services user-identification authentication-table authentication-source all logical-system LSYS1 commande.
user@host> show services user-identification authentication-table authentication-source all logical-system LSYS1
node0:
--------------------------------------------------------------------------
Logical System: LSYS1
Domain: example.com
Total entries: 4
Source IP Username groups(Ref by policy) state
10.12.0.2 administrator posture-healthy Valid
10.12.0.15 administrator posture-healthy Valid
2001:db8::5 N/A posture-healthy Valid
2001:db8::342c:302b N/A posture-healthy Valid
Signification
La sortie affiche l’intégralité du contenu de la table d’authentification de la source d’authentification spécifiée, ou d’un domaine, d’un groupe ou d’un utilisateur spécifique en fonction du nom d’utilisateur. Affichez les informations d’identité d’un utilisateur en fonction de l’adresse IP de l’appareil de l’utilisateur.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.