Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentification d’utilisateur externe à l’aide de RADIUS

RÉSUMÉ Cette configuration est plus sécurisée car elle vous permet d’utiliser le même nom d’utilisateur et le même mot de passe que votre identifiant de domaine, ainsi que de modifier ou de récupérer vos informations d’identification sans interagir avec l’administrateur du pare-feu. Cela allège également la charge de travail de l’administrateur, car le mot de passe doit être changé fréquemment. Nous vous recommandons d’utiliser cette configuration pour authentifier l’utilisateur.

Nous supposons que vous avez terminé la configuration de base de vos pare-feu SRX Series, y compris les interfaces, les zones et les stratégies de sécurité, comme illustré dans le scénario de déploiement de Juniper Secure Connect.

Pour plus d’informations sur les conditions requises, reportez-vous à la section Configuration requise.

Note:

Vous devez vous assurer que le pare-feu SRX Series utilise un certificat signé ou un certificat auto-signé au lieu du certificat généré par le système par défaut. Avant de commencer à configurer Juniper Secure Connect, il est important de lire les instructions de la section Conditions préalables au déploiement de Juniper Secure Connect.

Configurer les paramètres VPN de Juniper Secure Connect

Pour configurer les paramètres VPN à l’aide de l’interface J-Web :

  1. Connectez-vous à votre pare-feu SRX Series à l’aide de l’interface J-Web. La figure 1 montre la page de connexion J-Web.
    Figure 1 : Accès et connexion J-Web Access and Login J-Web

    Après vous être connecté avec succès, vous atterrissez sur la page Paramètres de base. La figure 2 montre un exemple de page de destination.

    Figure 2 : Page J-Web Landing Page d’accueil de J-Web
  2. Dans le volet latéral J-Web, accédez à VPN > réseau > VPN IPsec.

    1. Une fois que vous avez cliqué sur VPN IPsec, la page VPN IPsec s’affiche. La figure 3 montre un exemple de page VPN IPsec .

      Figure 3 : Page IPsec VPN Page VPN IPsec

    2. Dans le coin droit de la page, sélectionnez Créer un VPN > un > Juniper Secure Connect d’accès distant pour créer le paramètre VPN IPsec pour Juniper Secure Connect.

      Le message d’avertissement suivant s’affiche :

      Figure 4 : message d’avertissement pour générer et lier un certificat Warning Message To Generate And Bind Self-signed Certificate auto-signé

      Comme indiqué dans le message d’avertissement, créez un certificat auto-signé et liez-le au pare-feu SRX Series. Pour plus d’informations, reportez-vous à Préparer le déploiement de Juniper Secure Connect.

      Pour plus d’informations sur la création d’un VPN d’accès distant, voir Créer un VPN d’accès distant – Juniper Secure Connect.

    3. Accédez à nouveau à Network > VPN > VPN IPsec et, dans le coin droit de la page, sélectionnez Créer un VPN > un > Juniper Secure Connect d’accès distant pour créer le paramètre VPN IPsec pour Juniper Secure Connect. La page Créer un accès distant (Juniper Secure Connect) s’affiche. La figure 5 montre un exemple de création d’un VPN d’accès à distance.

      Figure 5 : Création d’un VPN - Accès Create VPN - Remote Access distant

      La figure 6 montre un exemple de création d’une page d’accès distant avec une méthode d’authentification par clé pré-partagée.

      Figure 6 : Création d’une page d’accès à distance pour la méthode Create Remote Access Page For Pre-shared Key Authentication Method d’authentification par clé pré-partagée
  3. Sur la page Créer un accès distant (Juniper Secure Connect) (voir Figure 7) :

    1. Entrez le nom de la connexion d’accès distant (c’est-à-dire le nom qui s’affichera sur le nom de domaine des utilisateurs finaux dans l’application Juniper Secure Connect) et une description.

    2. Le mode de routage est défini par défaut sur Sélecteur de trafic (insertion automatique d’itinéraire).

    3. Sélectionnez la méthode d’authentification. Pour cet exemple, sélectionnons Clé pré-partagée dans le menu déroulant.

    4. Sélectionnez Oui pour créer automatiquement la stratégie de pare-feu à l’aide de l’option Créer automatiquement une stratégie de pare-feu .

    Figure 7 : création d’une page Create Remote Access Page d’accès distant
  4. Cliquez sur l’icône Utilisateur distant pour configurer les paramètres de l’application Juniper Secure Connect.
    Figure 8 : Page Remote User Page de l’utilisateur distant

    La figure 8 montre un exemple de page Utilisateur distant.

    Configurez le client utilisateur distant en sélectionnant les options de la page Utilisateur distant , puis en cliquant sur OK :

    Le Tableau 1 récapitule les options de paramètres de l’utilisateur distant.

    Tableau 1 : Options des paramètres du client utilisateur distant

    Paramètres du client utilisateur distant

    Description

    Profil par défaut

    Le profil par défaut est activé par défaut. Si vous ne souhaitez pas que ce profil soit le profil par défaut, cliquez sur le bouton bascule.

    Si vous activez Profil par défaut pour le profil de connexion VPN, Juniper Secure Connect sélectionne automatiquement le profil par défaut comme nom de domaine (dans cet exemple : https://12.12.12.12/). Dans ce cas, vous pouvez saisir le nom du domaine dans Juniper Secure Connect.

    Si vous désactivez le profil par défaut pour le profil de connexion VPN, vous devez entrer le nom du domaine ainsi que l’adresse de la passerelle (dans cet exemple : https://12.12.12.12/JUNIPER_SECURE_CONNECT) dans Juniper Secure Connect.

    Note:

    À partir de la version 23.1R1 de Junos OS, le profil par défaut est obsolète dans J-Web. Cependant, dans CLI, plutôt que de la supprimer immédiatement, nous fournissons une rétrocompatibilité et une possibilité de rendre votre configuration existante conforme à la configuration modifiée. Vous recevrez un message d’avertissement si vous continuez à utiliser l’option de profil par défaut dans votre configuration. Toutefois, les déploiements existants ne sont pas affectés si vous modifiez la configuration actuelle à l’aide de l’interface de ligne de commande. Voir profil par défaut (Juniper Secure

    Mode de connexion

    Pour établir la connexion client manuellement ou automatiquement, sélectionnez l’option appropriée.

    • Si vous sélectionnez Manuel, dans l’application Juniper Secure Connect, pour établir une connexion, vous devez soit cliquer sur le bouton bascule, soit sélectionner Connexion > Connexion dans le menu.

    • Si vous sélectionnez Toujours, Juniper Secure Connect établit automatiquement la connexion.

    Limitation connue :

    Appareil Android : si vous utilisez ou sélectionnez Toujours, la configuration est téléchargée à partir du premier périphérique SRX utilisé. Si la première configuration du pare-feu SRX Series change ou si vous vous connectez à un nouvel équipement SRX, la configuration n’est pas téléchargée dans l’application Juniper Secure Connect.

    Cela signifie qu’une fois que vous vous connectez en mode Toujours à l’aide de l’appareil Android, toute modification de configuration du pare-feu SRX Series ne prend pas effet sur Juniper Secure Connect.

    SSL VPN

    Pour activer la prise en charge de la connexion VPN SSL de l’application Juniper Secure Connect aux pare-feu SRX Series, cliquez sur le bouton bascule. Utilisez cette option lorsque les ports IPsec ne sont pas autorisés. En activant le VPN SSL, le client peut se connecter aux pare-feu SRX Series. Par défaut, le VPN SSL est activé.

    Authentification biométrique

    Cette option est désactivée par défaut. Si vous activez cette option, lorsque vous cliquez sur Se connecter dans Juniper Secure Connect, Juniper Secure Connect affiche une invite d’authentification.

    Cette option permet à l’utilisateur de protéger ses informations d’identification à l’aide de la prise en charge intégrée de l’authentification biométrique du système d’exploitation.

    Détection des pairs morts

    La détection Dead Peer (DPD) est activée par défaut pour permettre au client de détecter si le pare-feu SRX Series n’est pas joignable, puis de désactiver la connexion jusqu’à ce que l’accessibilité soit rétablie.

    Ouverture de session Windows

    Cette option permet aux utilisateurs de se connecter au système Windows local via un tunnel VPN déjà établi (à l’aide de Windows Pre-Logon), afin qu’il soit authentifié auprès du domaine Windows central ou d’Active Directory.
  5. Cliquez sur Passerelle locale pour configurer les paramètres de la passerelle locale.

    La Figure 9 montre un exemple de paramètres de configuration de la passerelle locale.

    Figure 9 : configuration de la Local Gateway Configuration passerelle locale

    1. Si vous activez l’option La passerelle est derrière NAT, une zone de texte s’affiche. Dans la zone de texte, entrez l’adresse IP NAT. Nous ne prenons en charge que les adresses IPv4. L’adresse NAT est l’adresse externe.

    2. Entrez un ID IKE au format user@hostname.com . Par exemple, abc@xyz.com.

    3. Dans le champ Interface externe , sélectionnez l’adresse IP à laquelle les clients doivent se connecter. Vous devez saisir cette même adresse IP (dans cet exemple : https://12.12.12.12/) pour le champ Adresse de la passerelle dans l’application Juniper Secure Connect.

      Si vous activez l’option La passerelle est derrière NAT, l’adresse IP NAT devient l’adresse de la passerelle.

    4. Dans la liste déroulante Interface de tunnel , sélectionnez une interface à lier au VPN basé sur le routage. Vous pouvez également cliquer sur Ajouter. Si vous cliquez sur Ajouter, la page Créer une interface de tunnel s’affiche.

      La figure 10 illustre la page Créer une interface de tunnel.

      Figure 10 : page Create Tunnel Interface Page Créer une interface de tunnel

      Le prochain numéro d’interface logique ST0 disponible s’affiche dans le champ Unité d’interface et vous pouvez entrer une description de cette interface. Sélectionnez la zone à laquelle vous souhaitez ajouter cette interface de tunnel. Si l’option Créer automatiquement une stratégie de pare-feu (dans la page Créer un accès distant) est définie sur Oui, la stratégie de pare-feu utilise cette zone. Cliquez sur OK.

    5. Entrez la clé pré-partagée au format ASCII. Nous ne prenons pas en charge le format hexadécimal pour les VPN d’accès à distance.

    6. Dans la liste déroulante Authentification de l’utilisateur , sélectionnez un profil d’accès existant ou cliquez sur Ajouter pour créer un nouveau profil d’accès. Si vous cliquez sur Ajouter, la page Créer un profil d’accès s’affiche.

      La figure 11 montre un exemple de la page Créer un profil d’accès.

      Figure 11 : Créer une page Create Access Profile Page de profil d’accès

      Entrez le nom du profil d’accès. Dans la liste déroulante Attribution d’adresses , sélectionnez un groupe d’adresses ou cliquez sur Créer un groupe d’adresses. Si vous cliquez sur Créer un pool d’adresses, la page Créer un pool d’adresses s’affiche.

      La fenêtre Créer un pool d’adresses s’affiche.

      La figure 12 montre un exemple de la page Créer un pool d’adresses.

      Figure 12 : page Create Address Pool Page Créer un pool d’adresses

      • Entrez les détails du pool d’adresses IP local qui se trouve dans la stratégie VPN des clients. Entrez un nom pour le pool d’adresses IP.

      • Entrez l’adresse réseau que vous utilisez pour l’attribution d’adresse.

      • Entrez l’adresse de votre serveur DNS. Entrez les détails du serveur WINS, si nécessaire. Cliquez maintenant sur l’icône d’ajout (+) pour créer la plage d’adresses afin d’attribuer des adresses IP aux clients.

      • Entrez le nom, ainsi que les limites inférieure et supérieure. Après avoir saisi les détails, cliquez sur OK.

      Cochez la case RADIUS , où tous les détails d’authentification sont stockés sur un serveur RADIUS externe.

      • Cliquez sur l’icône d’ajout (+) pour configurer les détails du serveur RADIUS. Reportez-vous à la figure 13.

        Figure 13 : page Create RADIUS Server Page Créer un serveur RADIUS

      • Entrez l’adresse IP du serveur Radius, le secret Radius et l’adresse source des communications Radius à sourcer. Cliquez sur OK.

        Dans la liste déroulante Ordre d’authentification, dans la liste déroulante Ordre 1 , sélectionnez RADIUS. Cliquez sur OK pour terminer la configuration du profil d’accès.

        La figure 14 montre un exemple de page Créer un profil d’accès.

        Figure 14 : Créer une page Create Access Profile Page de profil d’accès

    7. Dans la liste déroulante Profil VPN SSL , sélectionnez un profil existant ou cliquez sur Ajouter pour créer un profil VPN SSL. Si vous cliquez sur Ajouter, la page Ajouter un profil VPN SSL s’affiche.

      La figure 15 montre un exemple de la page Ajouter un profil VPN SSL.

      Figure 15 : Ajouter une page Add SSL VPN Profile Page de profil VPN SSL

      Sur la page Ajouter un profil VPN SSL , vous pouvez configurer le profil VPN SSL. Entrez le nom du profil VPN SSL dans le champ Nom et activez la journalisation à l’aide de la bascule, si nécessaire. Dans le champ Profil de terminaison SSL , sélectionnez le profil de terminaison SSL dans la liste déroulante. La terminaison SSL est un processus par lequel les pare-feu SRX Series agissent comme un serveur proxy SSL et mettent fin à la session SSL à partir du client. Si vous souhaitez créer un nouveau profil de terminaison SSL, cliquez sur Ajouter. La page Créer un profil de résiliation SSL s’affiche.

      La figure 16 montre un exemple de la page Créer un profil de terminaison SSL.

      Figure 16 : Créer une page Create SSL Termination Profile Page de profil de terminaison SSL

      • Entrez le nom du profil de terminaison SSL et sélectionnez le certificat de serveur que vous utilisez pour la terminaison SSL sur les pare-feu SRX Series. Cliquez sur Ajouter pour ajouter un nouveau certificat de serveur ou cliquez sur Importer pour importer le certificat de serveur. Le certificat de serveur est un identificateur de certificat local. Les certificats de serveur sont utilisés pour authentifier l’identité d’un serveur.

      • Cliquez sur OK.

    8. L’option Trafic NAT source est activée par défaut. Lorsque le trafic NAT source est activé, tout le trafic provenant de l’application Juniper Secure Connect est NATé par défaut vers l’interface sélectionnée. Cliquez sur le bouton bascule pour désactiver l’option Trafic NAT source . Si l’option est désactivée, vous devez vous assurer que votre réseau dispose d’un itinéraire pointant vers les pare-feu SRX Series pour gérer correctement le trafic de retour.

    9. Sous Réseaux protégés, cliquez sur l’icône d’ajout (+) pour sélectionner les réseaux auxquels l’application Juniper Secure Connect peut se connecter.

      La figure 17 montre un exemple de la page Créer des réseaux protégés .

      Figure 17 : page Create Protected Networks Page Créer un réseau protégé

      Par défaut, n’importe quel réseau 0.0.0.0/0 est autorisé. Si vous configurez un réseau spécifique, le split tunneling pour l’application Juniper Secure Connect est activé. Si vous conservez la valeur par défaut, vous pouvez restreindre l’accès aux réseaux que vous avez définis en ajustant la stratégie de pare-feu à partir du réseau client. Cliquez sur OK pour afficher les réseaux sélectionnés dans la liste des réseaux protégés. Cliquez sur OK pour terminer la configuration de la passerelle locale.

      La Figure 18 montre un exemple de configuration réussie de l’accès à distance avec un utilisateur distant et une passerelle locale.

      Figure 18 : configuration complète de l’accès Complete Remote Access Configuration à distance

      Les paramètres IKE et les paramètres IPsec sont des options avancées. J-Web est déjà configuré avec des valeurs par défaut pour les paramètres IKE et IPsec. Il n’est pas obligatoire de configurer ces paramètres.

  6. Vous pouvez maintenant trouver l’URL à laquelle les utilisateurs distants peuvent se connecter. Copiez et stockez cette URL pour la partager avec vos utilisateurs distants. Vous n’avez besoin que des informations /xxxx si cette configuration n’est pas votre profil par défaut.

    La Figure 19 met en évidence l’URL que l’utilisateur distant doit entrer dans le champ Adresse de la passerelle de l’application Juniper Secure Connect pour établir la connexion d’accès à distance.

    Figure 19 : valider la configuration Commit Remote Access Configuration de l’accès distant

    1. Cliquez sur Enregistrer pour terminer la configuration du VPN Juniper Secure Connect et la stratégie associée si vous avez sélectionné l’option de création automatique de stratégie.

    2. Cliquez sur le bouton Valider en surbrillance (en haut à droite de la page, à côté de Bouton de commentaires) pour valider la configuration.

Téléchargez et installez l’application Juniper Secure Connect sur l’ordinateur client. Lancez Juniper Secure Connect et connectez-vous à l’adresse de passerelle du pare-feu SRX Series. Consultez le Guide de l’utilisateur de Juniper Secure Connect pour plus de détails.

Documentation connexe