Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Authentification des utilisateurs externes (procédure CLI)

Aperçu

Cette configuration est plus sécurisée car elle vous permet d’utiliser le même nom d’utilisateur et le même mot de passe que votre connexion de domaine, ainsi que de modifier ou de récupérer vos informations d’identification sans interagir avec l’administrateur du pare-feu. Elle réduit également la charge de travail de l’administrateur, car le mot de passe doit être changé fréquemment. Nous vous recommandons d’utiliser cette configuration pour l’authentification de l’utilisateur.

Nous partons du principe que vous avez terminé la configuration de base de vos pare-feu SRX Series, y compris les interfaces, les zones et les stratégies de sécurité, comme illustré dans la figure 1.

Figure 1 : Topologie Topology

Pour plus d’informations sur les pré-requis, consultez configuration système requise.

Vous devez vous assurer que le pare-feu SRX Series utilise un certificat signé ou un certificat auto-signé au lieu du certificat généré par le système par défaut. Avant de commencer à configurer Juniper Secure Connect, vous devez lier le certificat au pare-feu SRX Series en exécutant la commande suivante :

Par exemple :

SRX_Certificate est le certificat obtenu auprès de l’autorité de certification ou le certificat auto-signé.

Configuration rapide cli

Pour configurer rapidement cet exemple sur vos pare-feu SRX Series, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier].

Procédure étape par étape

Pour configurer les paramètres VPN à l’aide de l’interface de ligne de commande :

  1. Connectez-vous à votre pare-feu SRX Series à l’aide de l’interface de ligne de commande (CLI).
  2. Entrez dans le mode de configuration.
  3. Configurez un VPN d’accès distant.

    Pour déployer Juniper Secure Connect, vous devez créer un certificat auto-signé et le lier au pare-feu SRX Series. Pour plus d’informations, consultez Préparation de la configuration Juniper Secure Connect.

    Configuration IKE :

    1. Configurez la proposition IKE.
      • Définissez la méthode d’authentification des propositions IKE, le groupe Diffie-Hellman et l’algorithme d’authentification.
      • Configurez les clés pré-partagées comme méthode d’authentification. Saisissez la clé prépartage au format ASCII. Nous ne prenons pas en charge le format hexadécimal pour les VPN d’accès distant.
      Voir la proposition (Security IKE).
    2. Configurez la stratégie IKE.

      Définissez le mode de stratégie de phase 1 de l’IKE, la référence à la proposition IKE et la méthode d’authentification des stratégies de phase 1 de l’IKE.

      Voir la stratégie (Security IKE).
    3. Configurez les options de passerelle IKE. Voir dynamique.

      Si vous ne configurez pas les valeurs DPD et les informations de version, Junos OS attribue la valeur par défaut à ces options. Voir la détection des peer-morts.

      Configurez l’adresse IP d’interface externe pour que les clients se connectent. Vous devez saisir cette même adresse IP (dans cet exemple : https://192.0.2.0/) pour le champ Adresse de passerelle dans l’application Juniper Secure Connect. Voir la passerelle.

    Configuration IPsec :

    1. Configurez la proposition IPsec.
      Voir la proposition (Security IPsec).
    2. Configurez la stratégie IPsec.
      • Spécifiez iPsec phase 2 PFS pour utiliser le groupe Diffie-Hellman 19.
      • Spécifiez la référence de la proposition IPsec de phase 2.
      Voir la stratégie (Security IPsec).

    Configuration VPN IPsec :

    1. Configurez les paramètres VPN IPsec. Voir vpn (sécurité).
    2. Configurez les sélecteurs de trafic VPN. Voir le sélecteur de trafic.
  4. Configurez les options du client utilisateur distant.
    1. Configurez le profil d’accès distant. Voir l’accès à distance.
    2. Configurez l’accès utilisateur multi-équipements pour les accès distants.

      Pour configurer l’accès utilisateur multi-équipement, assurez-vous que les conditions préalables suivantes sont remplies :

      • La version du client Secure Connect est prise en charge.

      • Chacun des équipements distants (ordinateurs ou équipements intelligents) a un nom d’hôte unique.

      • Pour réduire la consommation de licences, vous pouvez configurer des options de délai d’expiration inactif à l’aide de set security ipsec vpn vpn-nameike idle-time la commande pour déconnecter les connexions inactives.

      • Prend uniquement group-ike-iden charge .

      Vous pouvez effacer toutes les associations IKE d’un utilisateur à l’aide de la commande clear security ike active-peer aaa-username user-name.

      La fonctionnalité d’accès utilisateur multi-équipement ne fonctionne pas avec l’attribution d’adresses statiques à l’aide de l’attribut radius Framed-IP-Address. La première connexion de l’utilisateur sera établie correctement, et le repos peut échouer.

      L’attribution statique d’adresses à l’aide du processus d’authd donnera l’adresse IP configurée pour la première connexion de l’utilisateur, et pour la connexion ultérieure, elle donne l’ip libre du pool à l’aide de la set access address-assignment pool family [inet|inet6] host ip-address user-name commande.

    3. Configurez la configuration du client d’accès distant. Voir la configuration du client.

    Le tableau 1 récapitule les options de paramètres utilisateur distants.

    Tableau 1 : Options de paramètres utilisateur distants

    Paramètres utilisateur distants

    Description

    mode de connexion

    Pour établir la connexion client manuellement ou automatiquement, configurez l’option appropriée.

    • Si vous configurez une option manuelle , puis dans l’application Juniper Secure Connect, pour établir une connexion, vous devez soit cliquer sur le bouton de basculement ou sélectionner Connexion > se connecter dans le menu.

    • Si vous configurez l’option Toujours , Juniper Secure Connect établit automatiquement la connexion.

    Limitation connue :

    Appareil Android : si vous utilisez ou sélectionnez Toujours, la configuration est téléchargée à partir du premier équipement SRX utilisé. Si la configuration du premier pare-feu SRX Series change ou si vous vous connectez à un nouvel équipement SRX, la configuration n’est pas téléchargée sur l’application Juniper Secure Connect.

    Cela signifie qu’une fois que vous vous connectez en mode Toujours à l’aide de l’équipement Android, les modifications de configuration apportées au pare-feu SRX Series ne prennent pas effet sur Juniper Secure Connect.

    détection des pairs morts

    La détection des pairs morts (DPD) est activée par défaut pour permettre au client de détecter si le pare-feu SRX Series est accessible et, si l’équipement n’est pas joignable, désactiver la connexion jusqu’à ce que l’accessibilité soit rétablie.

    profil par défaut

    Si vous configurez un profil de connexion VPN comme profil par défaut, vous devez saisir uniquement l’adresse de la passerelle dans l’application Juniper Secure Connect. Il est facultatif d’entrer le nom du domaine dans l’application Juniper Secure Connect, car l’application sélectionne automatiquement le profil par défaut comme nom de domaine. Dans cet exemple, saisissez ra.example.com dans le champ Adresse de passerelle de l’application Juniper Secure Connect.

    Note:

    À partir de la version 23.1R1 de Junos OS, nous avons masqué l’option default-profile au niveau de la hiérarchie [edit security remote-access] . Dans les versions antérieures à Junos OS version 23.1R1, vous utilisez cette option pour spécifier l’un des profils d’accès distant comme profil par défaut dans Juniper Secure Connect. Mais avec les modifications apportées au format des noms de profil d’accès à distance, nous n’avons plus besoin de l’option default-profile .

    Nous avons supprimé default-profile cette option, plutôt que de la supprimer immédiatement, pour offrir une rétrocompatibilité et une chance de mettre votre configuration existante en conformité avec la configuration modifiée. Vous recevrez un message d’avertissement si vous continuez à utiliser l’option default-profile dans votre configuration. Toutefois, les déploiements existants ne sont pas affectés si vous modifiez la configuration actuelle. Voir le profil par défaut (Juniper Secure Connect).
  5. Configurez la passerelle locale.
    1. Créez un pool d’adresses pour l’attribution ip dynamique du client. Voir l’attribution d’adresses (Accès).

      • Saisissez l’adresse réseau que vous utilisez pour l’attribution d’adresses.

      • Saisissez l’adresse de votre serveur DNS. Saisissez les détails du serveur WINS, si nécessaire. Créez la plage d’adresses pour attribuer des adresses IP aux clients.

      • Saisissez le nom et les limites inférieures et supérieures.

    2. Créez un profil d’accès.

      Pour l’authentification de l’utilisateur externe, fournissez l’adresse IP du serveur Radius, le secret Radius et l’adresse source pour les communications radius à partir de l’origine. Configurez radius pour l’ordre d’authentification.

    3. Créez un profil de terminaison SSL. La terminaison SSL est un processus par lequel les pare-feu SRX Series agissent comme un serveur proxy SSL et terminent la session SSL du client. Saisissez le nom du profil de terminaison SSL et sélectionnez le certificat de serveur que vous utilisez pour la terminaison SSL sur les pare-feu SRX Series. Le certificat du serveur est un identifiant de certificat local. Les certificats de serveur sont utilisés pour authentifier l’identité d’un serveur.
    4. Créez un profil VPN SSL. Voir tcp-encap.
    5. Créez des stratégies de pare-feu.
      Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance à la zone VPN.
      Créez la stratégie de sécurité pour autoriser le trafic de la zone VPN à la zone de confiance.
  6. Configurez les informations de l’interface Ethernet.

    Configurez l’interface st0 avec la famille définie comme inet.

  7. Configurez des zones de sécurité.
  8. La configuration d’accès à distance avec l’utilisateur distant et la passerelle locale est configurée correctement.
  9. Lancez l’application Juniper Secure Connect et fournissez la même adresse IP que vous avez configurée pour l’adresse IP externe dans le champ Adresse de la passerelle de l’application Juniper Secure Connect.

    Dans cet exemple, vous avez configuré 192.0.2.0 comme adresse IP d’interface externe pour les clients à connecter. Vous devez saisir cette même adresse IP (192.0.2.0) pour le champ Adresse de la passerelle dans l’application Juniper Secure Connect.

Résultat

À partir du mode opérationnel, confirmez votre configuration en entrant le show security, show accesset show services les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Assurez-vous d’avoir déjà un certificat de serveur à joindre au profil de terminaison SSL.

Lorsque vous avez fini de configurer la fonctionnalité sur votre équipement, saisissez commit à partir du mode de configuration.

Documentation connexe