Configurer le portail captif pour l’authentification Web et l’authentification des utilisateurs du pare-feu
RÉSUMÉ Découvrez comment configurer le portail captif pour l’authentification Web et l’authentification des utilisateurs de pare-feu à l’aide de J-Web.
Aperçu
What Is Captive Portal?
Le portail captif est une méthode d’authentification des appareils qui doivent se connecter à un réseau. Sur les appareils SRX Series, vous pouvez activer le portail captif pour rediriger les demandes du navigateur Web vers une page de connexion qui vous invite à entrer votre nom d’utilisateur et votre mot de passe. Une fois l’authentification réussie, vous pouvez procéder à la demande de page d’origine et à l’accès réseau ultérieur.
What Is Web Authentication?
Avec une méthode d’authentification Web, vous pointez un navigateur vers une adresse IP sur un périphérique qui est activé pour l’authentification Web. Cette action lance une session HTTPS sur l’adresse IP qui héberge la fonctionnalité d’authentification Web sur l’appareil. L’appareil vous invite ensuite à entrer votre nom d’utilisateur et votre mot de passe, et le résultat est mis en cache sur l’appareil. Lorsque le trafic rencontre ultérieurement une stratégie d’authentification Web, votre accès est autorisé ou refusé en fonction des résultats d’authentification Web précédents.
Vous pouvez également utiliser d’autres méthodes d’authentification, mais nous ne les aborderons pas dans ce document. Cependant, nous décrivons brièvement chacune de ces méthodes :
Authentification pass-through : l’authentification utilisateur pass-through est une forme d’authentification active. Dans cette méthode, l’appareil vous invite à entrer un nom d’utilisateur et un mot de passe. Si l’authentification valide votre identité, vous êtes autorisé à passer le pare-feu et à accéder aux ressources demandées.
Transmission avec redirection Web : lorsque vous utilisez cette méthode d’authentification pour les demandes des clients HTTPS, vous pouvez utiliser la fonction de redirection Web pour diriger vos demandes vers le serveur Web interne de l’appareil. Le serveur Web envoie une réponse HTTPS de redirection au système client, lui demandant de se reconnecter au serveur Web pour l’authentification de l’utilisateur. L’interface à laquelle la demande du client arrive est l’interface sur laquelle la réponse de redirection est envoyée.
What Is Firewall User Authentication?
Un utilisateur de pare-feu est un utilisateur du réseau qui doit fournir un nom d’utilisateur et un mot de passe pour l’authentification lors de l’initiation d’une connexion à travers le pare-feu. Junos OS permet aux administrateurs de restreindre ou d’autoriser l’accès des utilisateurs de pare-feu aux ressources protégées (dans différentes zones) derrière un pare-feu en fonction de leur adresse IP source et d’autres informations d’identification. Après avoir défini les utilisateurs du pare-feu, vous pouvez créer une stratégie qui exige que les utilisateurs s’authentifient à l’aide de l’une des trois méthodes d’authentification (Web, pass-through ou pass-through avec web-redirect).
Workflow
Portée
Voici un exemple de topologie (voir Figure 1), qui comprend :
Appareil d’un utilisateur de pare-feu agissant en tant que client.
Un équipement SRX Series ayant accès à Internet.
Périphérique réseau faisant office de serveur HTTPS.
Dans cet exemple de topologie, vous allez utiliser J-Web sur le périphérique SRX Series pour effectuer les tâches suivantes :
Les valeurs utilisées pour configurer l’exemple de topologie ne sont que des exemples.
Étape |
Action |
|---|---|
1 |
Créez une interface logique sur ge-0/0/3, attribuez-lui l’adresse IP 203.0.113.35 et activez l’authentification Web.
Note:
Dans cet exemple, l’adresse IP du système utilisateur du pare-feu est 203.0.113.12, qui se trouve dans le même sous-réseau que 203.0.113.0/24. Créez une interface logique sur ge-0/0/2 et attribuez-lui l’adresse IP 192.0.2.1.
Note:
Dans cet exemple, l’adresse IP du serveur HTTPS est 192.0.2.1. |
2 |
Créez un profil d’accès (FWAUTH) et définissez les services d’authentification locale. |
3 |
Configurez les paramètres d’authentification Web pour afficher le message de connexion réussie. |
4 |
Créez des zones d’approbation (UT_ZONE) et d’approbation (T_ZONE) et affectez respectivement les interfaces ge-0/0/3 et ge-0/0/2. |
5 |
Configurez le portail captif pour l’authentification Web et l’authentification des utilisateurs du pare-feu dans les règles de stratégie de sécurité (FWAUTH-RULE). |
6 |
Vérifiez que les valeurs configurées fonctionnent pour un utilisateur de pare-feu :
|
Avant de commencer
Les valeurs utilisées pour configurer l’exemple de topologie ne sont que des exemples. Vous pouvez modifier tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau.
Assurez-vous que l’équipement SRX Series que vous utilisez dans cet exemple exécute Junos OS version 21.4R1 ou ultérieure.
Assurez-vous que les certificats requis sont installés sur votre appareil pour autoriser l’authentification. Dans cet exemple, nous utiliserons cert1, un certificat auto-signé.
Étape 1 : Créer une interface logique et activer l’authentification Web
Dans cette étape, vous allez effectuer les tâches suivantes :
Pour l’interface ge-0/0/3 de l’équipement SRX Series :
Créez une interface logique pour une zone de non-confiance.
Attribuez l’adresse IPv4 203.0.113.35 à l’interface.
Note:Vous utiliserez la même adresse IP pour activer le portail captif.
Activez HTTPS sur l’interface d’authentification Web.
Pour l’interface ge-0/0/2 sur l’équipement SRX Series :
Créez une interface logique pour une zone de confiance.
Attribuez l’adresse IPv4 192.0.2.1 à l’interface.
Vous êtes ici (dans l’interface utilisateur de J-Web) : Connectivité > interfaces réseau >
Pour créer une interface logique pour une zone de non-fiabilité et activer l’authentification Web :
- Spécifiez les détails suivants :
Champ
Action
Numéro d’unité logique
Tapez 0.
Description
Tapez UT_Zone Interface.
VLAN ID
Ce champ n’est pas modifiable.
Type de location multiple
Sélectionnez Aucun dans la liste.
Système logique
Ce champ n’est pas modifiable.
Zone géographique
Sélectionnez Aucun dans la liste.
Dans une étape ultérieure, nous créerons une zone de confiance (UT_ZONE) et lui attribuerons l’interface ge-0/0/3. Voir Étape 4 : Créer des zones de sécurité et leur attribuer des interfaces.
Protocole (famille) - Adresse IPv4
Adresse IPv4 / DHCP
Cochez la case pour activer la configuration Adresse IPv4/DHCP.
Adresse IPv4
Sélectionnez Adresse IPv4. Cliquez ensuite sur + et entrez les informations suivantes :
IPv4 Address (Adresse IPv4) : saisissez 203.0.113.35 pour l’authentification Web.
Note:La configuration du portail captif utilise la même adresse IPv4.
Sous-réseau : sélectionnez cette option 24 à l’aide de la flèche vers le haut ou vers le bas.
Authentification Web :
Cliquez sur Configurer.
La page Authentification Web s’affiche.
Sélectionnez Activer Https dédié au portail captif.
Cliquez sur OK pour enregistrer les modifications.
Pour créer une interface logique pour une zone de confiance :
Sélectionnez ge-0/0/2 , puis Créer > interface logique dans le coin supérieur droit de la page Interfaces.
La page Add Logical Interface for ge-0/0/2.0 (Ajouter une interface logique pour ge-0/0/2.0) s’affiche.
Spécifiez les détails suivants :
Champ
Action
Numéro d’unité logique
Tapez 0.
Description
Tapez T_Zone Interface.
VLAN ID
Ce champ n’est pas modifiable.
Type de location multiple
Sélectionnez Aucun dans la liste.
Système logique
Ce champ n’est pas modifiable.
Zone géographique
Sélectionnez Aucun dans la liste.
Dans une étape ultérieure, nous créerons une zone de confiance (T_ZONE) et lui attribuerons l’interface ge-0/0/2. Voir Étape 4 : Créer des zones de sécurité et leur attribuer des interfaces.
VLAN ID
Ce champ n’est pas modifiable.
Protocole (famille) - Adresse IPv4
Adresse IPv4 / DHCP
Cochez la case pour activer la configuration Adresse IPv4/DHCP.
Adresse IPv4
Sélectionnez Adresse IPv4.
Cliquez sur +.
IPv4 Address (Adresse IPv4) : tapez 192.0.2.1 (serveur HTTPS).
Sous-réseau : sélectionnez cette option 24 à l’aide de la flèche vers le haut ou vers le bas.
Web Auth : laisser tel quel.
ARP : laisser tel quel.
Cliquez sur OK pour enregistrer les modifications.
Bien fait! Vous avez créé une interface logique sur ge-0/0/2 avec l’adresse IP 192.0.2.1 pour le serveur HTTPS.
Cliquez sur Valider (à droite de la bannière supérieure) et sélectionnez Valider la configuration pour valider les modifications maintenant.
Le message de validation réussie s’affiche.
Vous pouvez également choisir de valider toutes les modifications de configuration en même temps, à la fin de Étape 5 : Activer l’authentification utilisateur Web ou pare-feu pour le portail captif dans la stratégie de sécurité.
Étape 2 : Créer un profil d’accès
Créons un profil d’accès pour définir les services d’authentification locaux. Vous utiliserez ce profil d’accès dans les paramètres d’authentification Web et les stratégies de sécurité.
Vous êtes ici (dans l’interface utilisateur de J-Web) : Services de sécurité > Profil d’accès > d’authentification de pare-feu
Pour créer un profil d’accès :
- Spécifiez les détails suivants :
Champ
Action
Nom
Tapez FWAUTH.
Attribution des adresses
(Facultatif) Sélectionnez Aucun dans la liste.
Vous pouvez sélectionner un pool d’adresses dans la liste. Vous pouvez également ajouter un nouveau pool d’adresses en cliquant sur Créer un pool d’adresses et en fournissant les valeurs requises.
Authentification
Local
Sélectionnez Local pour configurer les services d’authentification locale.
Cliquez sur + et entrez les détails suivants sur la page Créer un utilisateur d’authentification locale :
Nom d’utilisateur : saisissez FWClient1. Il s’agit du nom d’utilisateur de l’utilisateur demandant l’accès.
Mot de passe : saisissez $ABC123.
XAUTH IP Address (Adresse IP XAUTH) : laisser tel quel.
Groupe : laisser tel quel.
Cliquez sur OK pour enregistrer les modifications.
Ordre d’authentification
Ordre 1
Sélectionnez Local dans la liste.
Ordre 2
Par défaut, l’option Aucun est sélectionnée. Laisser tel quel.
Étape 3 : Configurer les paramètres d’authentification Web
Nous allons maintenant attribuer le profil d’accès créé, définir un message de connexion réussie et télécharger l’image du logo. Cette image est utilisée à la fois pour l’authentification Web et le portail captif.
Vous êtes ici (dans l’interface utilisateur de J-Web) : Services de sécurité > paramètres d’authentification > d’authentification du pare-feu
Pour configurer les paramètres d’authentification Web :
- (Facultatif) Pour télécharger un logo personnalisé :
Cliquez sur Téléchargement de l’image du logo.
Cliquez sur Parcourir pour télécharger un fichier de logo.
Sélectionnez une image de logo, puis cliquez sur OK.
Note:Pour un bon logo, l’image doit être au format . gif et la résolution doit être de 172x65.
Cliquez sur Synchroniser pour appliquer le logo.
L’image téléchargée apparaîtra désormais sur la page de connexion du portail captif ou sur la page de connexion de l’authentification Web.
Étape 4 : Créer des zones de sécurité et leur attribuer des interfaces
Vous créez une zone de sécurité pour définir un ou plusieurs segments de réseau qui régulent le trafic entrant et sortant via des stratégies.
Nous allons maintenant créer séparément :
Une zone de non-confiance (UT_ZONE) et assignez-lui l’interface ge-0/0/3.
Une zone de confiance (T_ZONE) et lui attribuer l’interface ge-0/0/2.
Vous êtes ici (dans l’interface utilisateur J-Web) : Stratégies de sécurité & Objets > Zones/Écrans
Pour créer UT_ZONE (zone de non-confiance) et T_ZONE (zone de confiance) et affecter les interfaces définies aux zones :
- Spécifiez les détails suivants :
Champ
Action
Principal
Nom de la zone
Tapez UT_ZONE pour une zone de confiance.
Tapez T_ZONE pour une zone de confiance.
Description de la zone
Tapez untrust zone pour UT_ZONE.
Tapez trust zone pour T_ZONE.
Type de zone
Sélectionnez Sécurité.
Suivi des applications
Laisser tel quel.
Journal d’identité source
Laisser tel quel.
Options de contrôle du trafic
Laisser tel quel.
Interfaces
Pour UT_ZONE, sélectionnez ge-0/0/3.0 dans la colonne Disponible et cliquez sur la flèche droite pour le déplacer vers la colonne Sélectionné.
Pour T_ZONE, sélectionnez ge-0/0/2.0 dans la colonne Disponible et cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.
Champ
Action (valeur de l’échantillon)
Trafic entrant de l’hôte - Zone
Laisser tel quel.
Trafic entrant de l’hôte - Interface
Interfaces sélectionnées
Pour UT_ZONE, sélectionnez ge-0/0/3.0.
Pour T_ZONE, sélectionnez ge-0/0/2.0.
Services disponibles
Sélectionnez tout dans la colonne Services disponibles et cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.
Protocoles disponibles
Sélectionnez tout dans la colonne Protocoles disponibles et cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.
Étape 5 : Activer l’authentification utilisateur Web ou pare-feu pour le portail captif dans la stratégie de sécurité
Nous allons maintenant activer le portail captif dans les règles de stratégie de sécurité pour rediriger une requête HTTPS client vers le serveur HTTPS interne de l’appareil.
Vous êtes ici (dans l’interface utilisateur de J-Web) : Stratégies et objets de sécurité > Politiques de sécurité
Pour configurer la règle de stratégie de sécurité pour le portail captif :
- Spécifiez les détails suivants :
Champ
Action
Nom de la règle
Nom
Tapez FWAUTH-RULE.
Description
Tapez Test rule.
Source Zone
+
Cliquez sur + pour ajouter une zone source.
La page Sélectionner les sources s’affiche.
Sélectionner les sources
Spécifiez les détails suivants :
Zone : sélectionnez UT_ZONE dans la liste à laquelle vous souhaitez associer la règle.
Adresses : par défaut, Tout est sélectionné. Laisser tel quel.
Identité de la source :
Pour Authentification Web, sélectionnez Aucune.
Pour l’authentification des utilisateurs du pare-feu, sélectionnez Spécifique. Sélectionnez ensuite Non authentifié et inconnu dans la colonne Disponible et cliquez sur la flèche droite pour déplacer ces valeurs vers la colonne Sélectionné.
Flux d’identité source : sélectionnez None.
Cliquez sur OK pour enregistrer les modifications.
Destination Zone
+
Cliquez sur + pour ajouter une zone de destination.
La page Sélectionner la destination s’affiche.
Sélectionnez la destination
Spécifiez les détails suivants :
Zone : sélectionnez T_ZONE dans la liste à laquelle vous souhaitez associer la règle.
Adresses : par défaut, Tout est sélectionné. Laisser tel quel.
Applications dynamiques : sélectionnez Aucune.
Note:Vous ne pouvez pas configurer d’applications dynamiques avec l’authentification Web.
Services : sélectionnez Aucun.
Catégorie d’URL : sélectionnez Aucune.
Flux d’identité de destination : sélectionnez None.
Cliquez sur OK pour enregistrer les modifications.
Action
Sélectionnez Autoriser.
Services avancés
Laisser tel quel.
Options de règle
+
Cliquez sur + pour sélectionner les options de règle.
La page Sélectionner les options de règle s’affiche.
Enregistrement
Laisser tel quel.
Authentification
Note:Utilisez cette configuration pour l’authentification Web uniquement.
Spécifiez les détails suivants :
Push auth entry to JIMS : cette option est désactivée par défaut. Laisser tel quel.
Type : sélectionnez Authentification Web dans la liste.
Nom du client : saisissez FWClient1.
Cliquez sur OK pour enregistrer les modifications.
Authentification
Note:Utilisez cette configuration uniquement pour l’authentification des utilisateurs du pare-feu .
Spécifiez les détails suivants :
Push auth entry to JIMS : cette option est désactivée par défaut. Laisser tel quel.
Type : sélectionnez Pare-feu utilisateur dans la liste.
Profil d’accès : sélectionnez FWAUTH dans la liste.
Domaine : laisser tel quel.
Redirection Web (http) : par défaut, cette option est désactivée. Laisser tel quel.
Portail captif : permet de rediriger une requête HTTPS client vers le serveur Web pour l’authentification des utilisateurs.
Interface : sélectionnez ge-0/0/3.0 (203.0.113.35/24) dans la liste du serveur Web où la requête HTTPS du client est redirigée. Il s’agit de la même interface que celle que vous avez configurée lors de l’activation de l’authentification Web.
Adresse IP : tapez 203.0.113.35 pour le serveur Web sur lequel la requête HTTPS du client est redirigée. Il s’agit de la même adresse IPv4 que celle que vous avez configurée lors de l’activation de l’authentification Web sur l’interface ge-0/0/3.
SSL Termination Profile (Profil de terminaison SSL) : sélectionnez SSL_termination (cert1) dans la liste pour le service de prise en charge de la terminaison SSL. Agissant en tant que serveur proxy SSL, l’équipement SRX Series utilise le processus de terminaison SSL pour mettre fin à la session SSL du client.
Navigateur d’authentification uniquement : cette option est désactivée par défaut. Laisser tel quel.
Agents utilisateurs : laisser tel quel.
Cliquez sur OK pour enregistrer les modifications.
- Cliquez sur l’icône en forme
de coche sur le côté droit de la ligne une fois la configuration terminée.
Note:Faites glisser la barre horizontale vers l’arrière si les icônes d’inline tick et d’annulation ne sont pas disponibles lors de la création d’une règle.
- Cliquez sur Enregistrer dans le coin supérieur droit de la page Stratégies de sécurité pour enregistrer les modifications.
Étape 6 : Vérifier la configuration de l’authentification Web et de l’authentification utilisateur
But
La dernière étape ! Voyons si vos configurations fonctionnent pour un utilisateur de pare-feu :
Pour l’authentification Web, vous réussirez à vous authentifier à l’aide de https://203.0.113.35. Il s’agit de la même adresse IPv4 que celle que vous avez configurée à l’Étape 1 : Créer une interface logique et activer l’authentification Web.
Pour l’authentification des utilisateurs du pare-feu, vous réussirez à vous authentifier à l’aide de https://203.0.113.35, puis serez redirigé vers https://192.0.2.1 pour accéder au serveur HTTPS. Il s’agit des mêmes adresses IPv4 que celles que vous avez configurées à l’Étape 1 : Créer une interface logique et Activer l’authentification Web.
Action
Pour vérifier la configuration de l’authentification Web :
Tapez https://203.0.113.35 dans votre navigateur Web.
La page de connexion Authentification du pare-feu s’affiche.
Tapez les informations d’identification suivantes, puis cliquez sur Connexion.
Nom d’utilisateur—FWClient1
Mot de passe—$ABC123
Félicitations! Vous êtes authentifié avec succès. Vous pouvez également voir le message de réussite Réussite de l’authentification que vous avez configuré.
Cliquez sur Fermer.
Pour vérifier l’authentification des utilisateurs du pare-feu :
Tapez https://192.0.2.1 dans votre navigateur Web.
Vous êtes redirigé vers https://203.0.113.35 pour l’authentification Web.
Tapez les informations d’identification suivantes, puis cliquez sur Connexion.
Nom d’utilisateur—FWClient1
Mot de passe—$ABC123
Félicitations! Vous êtes authentifié avec succès. Bientôt, vous serez redirigé vers https://192.0.2.1 et vous pourrez accéder au serveur HTTPS.
Quelle est la prochaine étape ?
Pour continuer, consultez la page de documentation de J-Web for SRX Series dans la TechLibrary de Juniper.