논리적 시스템에 대한 사용자 인증
논리적 시스템에 대한 사용자 인증를 사용하면 방화벽 사용자를 정의하고 사용자가 패스스루 인증 또는 웹 인증의 두 가지 인증 체계 중 하나를 통해 자신을 인증하도록 요구하는 정책을 생성할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.
예: 액세스 프로필 구성(기본 관리자만 해당)
기본 관리자는 기본 논리적 시스템에서 액세스 프로필을 구성할 책임이 있습니다. 이 예는 액세스 프로필을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
기본 논리적 시스템에 기본 관리자로 로그인합니다. 기본 논리적 시스템 및 기본 관리자 역할 이해를 참조하십시오.
방화벽 사용자 인증 개요를 읽어보십시오.
개요
이 예에서는 논리적 시스템 사용자에 대한 LDAP 인증에 대한 액세스 프로필을 구성합니다. 이 예는 표 1에 설명된 액세스 프로필을 생성합니다.
주 관리자가 액세스 프로필을 만듭니다.
이름 |
구성 매개 변수 |
|---|---|
LDAP1 |
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
주 관리자로 로그인해야 합니다.
set access profile ldap1 authentication-order ldap set access profile ldap1 ldap-options base-distinguished-name ou=people,dc=example,dc=com set access profile ldap1 ldap-options assemble common-name uid set access profile ldap1 ldap-server 10.155.26.104 port 389
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
기본 논리적 시스템에서 액세스 프로필을 구성하려면 다음을 수행합니다.
기본 논리적 시스템에 기본 관리자로 로그인하고 구성 모드로 들어갑니다.
admin@host> configure admin@host#
액세스 프로필을 구성하고 인증 순서를 설정합니다.
[edit access profile ldap1] admin@host# set authentication-order ldap
LDAP 옵션을 구성합니다.
[edit access profile ldap1] admin@host# set ldap-options base-distinguished-name ou=people,dc=example,dc=com admin@host# set ldap-options assemble common-name uid
LDAP 서버를 구성합니다.
[edit access profile ldap1] admin@host# set ldap-server 10.155.26.104 port 389
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show access profile profile-name 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
admin@host# show access profile ldap1
authentication-order ldap;
ldap-options {
base-distinguished-name ou=people,dc=example,dc=com;
assemble {
common-name uid;
}
}
ldap-server {
10.155.26.104 port 389;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
예: 기본 논리적 시스템에 대한 보안 기능 구성
이 예에서는 기본 논리적 시스템에 대한 영역, 정책 및 방화벽 인증과 같은 보안 기능을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
-
기본 논리적 시스템에 기본 관리자로 로그인합니다. 예: 논리적 시스템에 대한 루트 암호 구성을 참조하십시오.
-
이 명령을 사용하여
show system security-profile기본 논리적 시스템에 할당된 리소스를 확인합니다. -
기본 논리적 시스템에 대한 논리적 인터페이스를 구성합니다. 예: 기본 및 상호 연결 논리 시스템에 대한 인터페이스, 라우팅 인스턴스 및 정적 경로 구성 및 사용자 논리 시스템(기본 관리자만 해당)에 대한 논리 터널 인터페이스 구성을 참조하십시오.
-
기본 논리적 시스템에서 액세스 프로필 ldap1을 구성합니다. ldap1 액세스 프로필은 방화벽 사용자의 웹 인증에 사용됩니다.
개요
이 예에서는 예: 사용자 논리적 시스템, 해당 관리자, 해당 사용자 및 상호 연결 논리적 시스템 생성에 표시된 root-logical-system이라는 기본 논리적 시스템에 대한 보안 기능을 구성합니다. 이 예는 표 2에 설명된 보안 기능을 구성합니다.
| 특징 |
이름 |
구성 매개 변수 |
|---|---|---|
| 존 |
ls-루트 트러스트 |
인터페이스 ge-0/0/4.0에 바인딩합니다. |
| ls-root-untrust |
인터페이스 lt-0/0/0.1에 바인딩 |
|
| 주소록 |
루트 내부 |
|
| 루트 외부 |
|
|
| 보안 정책 |
사용자에게 허용 |
다음 트래픽을 허용합니다.
|
| 권한 부여된 사용자 |
다음 트래픽을 허용합니다.
|
|
| 방화벽 인증 |
|
|
| HTTP 데몬 |
인터페이스 ge-0/0/4.0에서 활성화 |
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security address-book root-internal address masters 10.12.12.0/24 set security address-book root-internal attach zone ls-root-trust set security address-book root-external address design 10.12.1.0/24 set security address-book root-external address accounting 10.14.1.0/24 set security address-book root-external address marketing 10.13.1.0/24 set security address-book root-external address-set userlsys address design set security address-book root-external address-set userlsys address accounting set security address-book root-external address-set userlsys address marketing set security address-book root-external attach zone ls-root-untrust set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match source-address masters set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match destination-address userlsys set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match application any set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys then permit set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match source-address userlsys set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match destination-address masters set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-http set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-https set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users then permit firewall-authentication web-authentication set security zones security-zone ls-root-trust interfaces ge-0/0/4.0 set security zones security-zone ls-root-untrust interfaces lt-0/0/0.1 set system services web-management http interface ge-0/0/4.0 set access firewall-authentication web-authentication default-profile ldap1 set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
기본 논리적 시스템에 대한 영역 및 정책 구성:
-
기본 논리적 시스템에 기본 관리자로 로그인하고 구성 모드로 들어갑니다.
admin@host> configure admin@host#
-
보안 영역을 생성하고 각 영역에 인터페이스를 할당합니다.
[edit security zones] admin@host# set security-zone ls-root-trust interfaces ge-0/0/4.0 admin@host# set security-zone ls-root-untrust interfaces lt-0/0/0.1
-
주소록 항목을 만듭니다.
[edit security] admin@host# set address-book root-internal address masters 10.12.12.0/24 admin@host# set address-book root-external address design 10.12.1.0/24 admin@host# set address-book root-external address accounting 10.14.1.0/24 admin@host# set address-book root-external address marketing 10.13.1.0/24 admin@host# set address-book root-external address-set userlsys address design admin@host# set address-book root-external address-set userlsys address accounting admin@host# set address-book root-external address-set userlsys address marketing
-
영역에 주소록을 연결합니다.
[edit security] admin@host# set address-book root-internal attach zone ls-root-trust admin@host# set address-book root-external attach zone ls-root-untrust
-
ls-root-trust 영역에서 ls-root-untrust 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-root-trust to-zone ls-root-untrust] admin@host# set policy permit-to-userlsys match source-address masters admin@host# set policy permit-to-userlsys match destination-address userlsys admin@host# set policy permit-to-userlsys match application any admin@host# set policy permit-to-userlsys then permit
-
ls-root-untrust 영역에서 ls-root-trust 영역으로의 트래픽을 인증하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-root-untrust to-zone ls-root-trust] admin@host# set policy permit-authorized-users match source-address userlsys admin@host# set policy permit-authorized-users match destination-address masters admin@host# set policy permit-authorized-users match application junos-http admin@host# set policy permit-authorized-users match application junos-https admin@host# set policy permit-authorized-users then permit firewall-authentication web-authentication
-
웹 인증 액세스 프로필을 구성하고 성공 배너를 정의합니다.
[edit access] admin@host# set firewall-authentication web-authentication default-profile ldap1 admin@host# set firewall-authentication web-authentication banner success “WEB AUTH LOGIN SUCCESS”
-
디바이스에서 HTTP 데몬을 활성화합니다.
[edit system] admin@host# set services web-management http interface ge-0/0/4.0
결과
구성 모드에서 , show access및 show system services 명령을 show security입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
간결성을 위해 이 show 명령 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.
[edit]
admin@host# show security
...
address-book {
root-internal {
address masters 10.12.12.0/24;
attach {
zone ls-root-trust;
}
}
root-external {
address design 10.12.1.0/24;
address accounting 10.14.1.0/24;
address marketing 10.13.1.0/24;
address-set userlsys {
address design;
address accounting;
address marketing;
}
attach {
zone ls-root-untrust;
}
}
}
policies {
from-zone ls-root-trust to-zone ls-root-untrust {
policy permit-to-userlsys {
match {
source-address masters;
destination-address userlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-root-untrust to-zone ls-root-trust {
policy permit-authorized-users {
match {
source-address userlsys;
destination-address masters;
application [ junos-http junos-https ];
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
}
zones {
security-zone ls-root-trust {
interfaces {
ge-0/0/4.0;
}
}
security-zone ls-root-untrust {
interfaces {
lt-0/0/0.1;
}
}
}
[edit]
admin@host# show access
...
firewall-authentication {
web-authentication {
default-profile ldap1;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
[edit]
admin@host# show system services
web-management {
http {
interface ge-0/0/4.0;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
논리적 시스템 방화벽 인증 이해
방화벽 사용자는 방화벽을 통해 연결을 시작할 때 인증을 위한 사용자 이름과 암호를 제공해야 하는 네트워크 사용자입니다. Junos OS를 통해 관리자는 방화벽 사용자가 소스 IP 주소 및 기타 자격 증명을 기반으로 방화벽 뒤에 있는 보호된 리소스(다른 영역)에 액세스하도록 제한하거나 허용할 수 있습니다.
기본 관리자는 기본 논리적 시스템에서 액세스 프로필을 구성할 책임이 있습니다. 액세스 프로필은 사용자의 사용자 이름과 비밀번호를 저장하거나 이러한 정보가 저장되는 외부 인증 서버를 가리킵니다. 기본 논리적 시스템에서 구성된 액세스 프로필은 모든 사용자 논리적 시스템에서 사용할 수 있습니다.
주 관리자는 각 사용자 논리적 시스템에 대한 방화벽 인증의 최대 및 예약된 수를 구성합니다. 그런 다음 사용자 논리적 시스템 관리자는 사용자 논리적 시스템에서 방화벽 인증을 생성할 수 있습니다. 사용자 논리적 시스템에서 사용자 논리적 시스템 관리자는 명령을 사용하여 show system security-profile auth-entry 사용자 논리적 시스템에 할당된 인증 리소스 수를 볼 수 있습니다.
액세스 프로필을 구성하기 위해 주 관리자는 기본 논리적 시스템의 [edit access] 계층 수준에서 구성 문을 사용합니다profile. 액세스 프로필에는 인증 방법의 순서, LDAP 또는 RADIUS 서버 옵션, 세션 옵션도 포함될 수 있습니다.
그러면 사용자 논리적 시스템 관리자는 액세스 프로필을 사용자 논리적 시스템의 보안 정책과 연결할 수 있습니다. 또한 사용자 논리적 시스템 관리자는 인증 유형을 지정합니다.
패스스루 인증에서는 한 영역의 호스트 또는 사용자가 FTP, 텔넷 또는 HTTP 클라이언트를 사용하여 다른 영역의 리소스에 액세스하려고 시도합니다. 디바이스는 FTP, Telnet 또는 HTTP를 사용하여 사용자 이름과 비밀번호 정보를 수집하며, 이 인증 결과에 따라 사용자 또는 호스트의 후속 트래픽이 허용되거나 거부됩니다.
웹 인증에서 사용자는 HTTP를 사용하여 웹 인증이 활성화된 디바이스의 IP 주소에 연결하고 사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다. 사용자 또는 호스트에서 보호된 리소스로의 후속 트래픽은 이 인증의 결과에 따라 허용되거나 거부됩니다.
사용자 논리적 시스템 관리자는 사용자 논리적 시스템에서 방화벽 인증에 대해 다음 속성을 구성합니다.
일치하는 트래픽에 대한 방화벽 인증을 지정하는 보안 정책입니다. 방화벽 인증은 [
edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit] 계층 수준의 구성 문으로firewall-authentication지정됩니다.정책에 의해 액세스가 허용되는 액세스 프로필의 사용자 또는 사용자 그룹은 선택적으로 client-match 구성 문을 사용하여 지정할 수 있습니다. (사용자 또는 사용자 그룹이 지정되지 않은 경우 성공적으로 인증된 모든 사용자에게 액세스가 허용됩니다.)
패스스루 인증의 경우, 액세스 프로필을 선택적으로 지정할 수 있으며 웹 리디렉션(인증을 위해 클라이언트 시스템을 웹 페이지로 리디렉션)을 활성화할 수 있습니다.
FTP, Telnet 또는 HTTP 세션에 대한 인증 유형(패스스루 또는 웹 인증), 기본 액세스 프로필 및 성공 배너. 이러한 속성은 [
edit access] 계층 수준에서 구성 문을 사용하여firewall-authentication구성됩니다.호스트 인바운드 트래픽. 프로토콜, 서비스 또는 둘 다 논리적 시스템에 액세스할 수 있습니다. 트래픽 유형은 [
edit security zones security-zone zone-name] 또는 [edit security zones security-zone zone-name interfaces interface-name] 계층 수준에서 구성 문으로host-inbound-traffic구성됩니다.
사용자 논리적 시스템에서 사용자 논리적 시스템 관리자는 또는 show security firewall-authentication history 명령을 사용하여 show security firewall-authentication users 방화벽 사용자에 대한 정보와 사용자 논리적 시스템의 기록을 볼 수 있습니다. 기본 논리적 시스템에서 기본 관리자는 동일한 명령을 사용하여 기본 논리적 시스템, 특정 사용자 논리적 시스템 또는 모든 논리적 시스템에 대한 정보를 볼 수 있습니다.
또한보십시오
예: 사용자 논리적 시스템에 대한 방화벽 인증 구성
이 예는 사용자 논리적 시스템에 대한 방화벽 인증 구성 방법을 보여줍니다.
요구 사항
시작하기 전에:
사용자 논리적 시스템에 논리적 시스템 관리자로 로그인합니다. 사용자 논리적 시스템 구성 개요를 참조하십시오.
이 명령을 사용하여
show system security-profiles auth-entry논리적 시스템에 할당된 방화벽 인증 항목을 확인합니다.액세스 프로필은 기본 관리자가 기본 논리적 시스템에서 구성해야 합니다.
개요
이 예제는 예제 : 사용자 논리 시스템, 해당 관리자, 해당 사용자 및 상호 연결 논리 시스템 생성에 표시된 ls-product-design 사용자 논리 시스템을 구성합니다.
이 예에서 ls-marketing-dept 및 ls-accounting-dept 논리적 시스템의 사용자는 제품 디자이너 서브넷에 대한 특정 연결을 시작할 때 인증해야 합니다. 이 예는 표 3에 설명된 방화벽 인증을 구성합니다.
이 예는 예: 사용자 논리적 시스템에 대한 보안 영역 구성에 구성된 액세스 프로필 및 구성된 주소록 항목을 사용합니다.
특징 |
이름 |
구성 매개 변수 |
|---|---|---|
보안 정책 |
권한 부여된 사용자
참고:
정책 조회는 정책이 구성된 순서대로 수행됩니다. 트래픽과 일치하는 첫 번째 정책이 사용됩니다. 이전에 동일한 from-zone, to-zone, 소스 주소 및 대상 주소에 대한 트래픽을 허용하는 정책을 구성했지만 application |
다음 트래픽에 대해 방화벽 인증을 허용합니다.
ldap1 액세스 프로필은 패스스루 인증에 사용됩니다. |
방화벽 인증 |
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match application junos-h323 set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1 set access firewall-authentication pass-through default-profile ldap1 set access firewall-authentication pass-through http banner login “welcome”
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템에서 방화벽 인증 구성하기:
사용자 논리적 시스템에 논리적 시스템 관리자로 로그인하고 구성 모드로 들어갑니다.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
방화벽 인증을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match destination -address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match application junos-h323 lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1
보안 정책의 순서를 변경합니다.
[edit] lsdesignadmin1@host:ls-product-design# insert security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users before policy permit-all-from-otherlsys
방화벽 인증 구성.
[edit access firewall-authentication] lsdesignadmin1@host:ls-product-design# set pass-through http banner login "welcome" lsdesignadmin1@host:ls-product-design# set pass-through default-profile ldap1
결과
구성 모드에서 and show access firewall-authentication 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-authorized-users {
match {
source-address otherlsys;
destination-address product-designers;
application junos-h323;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile ldap1;
}
}
}
}
}
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
lsdesignadmin1@host:ls-product-design# show access firewall-authentication
pass-through {
default-profile ldap1;
http {
banner {
login welcome;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
방화벽 사용자 인증 확인 및 사용자 및 IP 주소 모니터링
목적
방화벽 인증 사용자 기록을 표시하고 성공적으로 인증한 방화벽 사용자와 로그인에 실패한 방화벽 사용자의 수를 확인합니다.
작업
운영 모드에서 다음 show 명령을 입력합니다.
lsdesignadmin1@host:ls-product-design> show security firewall-authentication history lsdesignadmin1@host:ls-product-design> show security firewall-authentication history identifier id lsdesignadmin1@host:ls-product-design> show security firewall-authentication users lsdesignadmin1@host:ls-product-design> show security firewall-authentication users identifier id
논리적 시스템에서 통합 사용자 방화벽 지원 이해하기
Junos OS 릴리스 18.3R1부터 인증 소스에 대한 지원이 확장되어 Identity Management Service(JIMS) 및 ClearPass 인증주니퍼 인증 소스에 대한 기존 지원 외에도 로컬 인증, AD(Active Directory) 인증 및 방화벽 인증를 포함합니다.
Junos OS 릴리스 18.2R1부터는 공유 모델을 사용하여 사용자 방화벽 인증에 대한 지원이 향상되었습니다. 이 모델에서 사용자 논리적 시스템은 사용자 방화벽 구성 및 인증 항목을 기본 논리적 시스템과 공유하며 통합 사용자 방화벽 인증은 사용자 논리적 시스템에서 지원됩니다.
공유 모델에서 사용자 방화벽 관련 구성은 인증 소스, 인증 소스 우선 순위, 인증 항목 시간 초과, IP 쿼리 또는 개별 쿼리 등과 같은 인증 논리적 시스템 아래에 구성됩니다. 사용자 방화벽은 정책 및 로깅과 같은 SRX 시리즈 방화벽의 애플리케이션에 대한 사용자 정보 서비스를 제공합니다. 사용자 논리적 시스템의 트래픽은 기본 논리적 시스템의 인증 테이블을 쿼리합니다.
인증 테이블은 기본 논리적 시스템에 의해 관리됩니다. 사용자 논리적 시스템은 인증 테이블을 공유합니다. 기본 논리적 시스템과 사용자 논리적 시스템의 트래픽이 동일한 인증 테이블을 쿼리합니다. 사용자 논리적 시스템은 보안 정책에서 소스 ID를 사용할 수 있도록 지원합니다.
예를 들어, 기본 논리적 시스템이 employee 로 구성되고 사용자 논리적 시스템이 source-identity manager로 구성된 경우, 이 인증 항목의 참조 그룹에는 employee 와 manager가 포함됩니다. 이 참조 그룹에는 기본 논리적 시스템 및 사용자 논리적 시스템의 동일한 인증 항목이 포함됩니다.
Junos OS 릴리스 19.3R1부터는 활성 모드의 통합 JIMS를 통해 사용자 지정 모델을 사용하여 사용자 방화벽 인증에 대한 지원이 향상되었습니다. 이 모델에서 논리적 시스템은 루트 수준에서 인증 항목을 추출합니다. 기본 논리적 시스템은 논리적 시스템 및 테넌트 시스템 이름을 기반으로 JIMS 서버에 구성됩니다. 활성 모드에서 SRX 시리즈 방화벽은 HTTPs 프로토콜을 통해 JIMS 서버에서 수신한 인증 항목을 능동적으로 쿼리합니다. 데이터 교환을 줄이기 위해 방화벽 필터가 적용됩니다.
사용자 방화벽은 논리적 시스템 이름을 구분 요소로 사용하며 JIMS 서버와 SRX 시리즈 방화벽 간에 일관성을 유지합니다. JIMS 서버는 인증 항목에 포함된 차별점을 보냅니다. 인증 항목은 차별기가 기본 논리적 시스템에 대한 기본값으로 설정된 경우 루트 논리적 시스템으로 배포됩니다.
사용자 방화벽이 Junos OS 릴리스 19.2R1부터 내부 데이터베이스 테이블 형식을 변경함에 따라 사용자 방화벽은 논리적 시스템에 대한 ISSU(In-service Software Upgrade)를 지원합니다. Junos OS 릴리스 19.2R1 이전에는 논리적 시스템에 대해 ISSU가 지원되지 않습니다.
사용자 방화벽 인증 사용 제한
테넌트 시스템에서 사용자 방화벽 인증을 사용하면 다음과 같은 제한이 있습니다.
인증 항목은 고객 네트워크의 IP 주소를 기반으로 JIMS 서버에 의해 수집됩니다. IP 주소가 겹치면 사용자가 다른 사용자 논리적 시스템에서 로그인할 때 인증 항목이 변경됩니다.
논리적 시스템의 사용자 지정 모델에서 사용자 방화벽 인증 사용 제한
논리적 시스템의 맞춤형 모델에서 사용자 방화벽 인증을 사용하면 다음과 같은 제한이 있습니다.
루트 논리적 시스템 아래에서 구성할 JIMS 서버 구성.
논리적 시스템 이름은 JIMS 서버와 SRX 시리즈 방화벽 간에 일관되고 고유해야 합니다.
또한보십시오
예: 사용자 논리적 시스템에 대한 통합 사용자 방화벽 식별 관리 구성
이 예에서는 주니퍼 Identity Management Service(JIMS) 및 보안 정책에서 사용자 ID 정보를 얻기 위한 SRX 시리즈 방화벽의 고급 쿼리 기능을 구성하여 사용자 논리적 시스템의 소스 ID와 일치시키는 방법을 보여줍니다. 루트 논리적 시스템에서 사용자 방화벽은 JIMS로 구성되며, 루트 논리적 시스템은 JIMS에서 들어오는 모든 인증 항목을 관리합니다. 이 예에서 모든 사용자 논리적 시스템은 루트 논리적 시스템과 인증 항목을 공유합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
섀시 클러스터링에서 작동하는 SRX1500 디바이스
JIMS 서버
Junos OS 릴리스 18.2 R1
시작하기 전에:
사용자 논리적 시스템에 논리적 시스템 관리자로 로그인합니다. 사용자 논리적 시스템 개요를 참조하십시오.
사용자 논리적 시스템 lsys1 및 lsys2를 구성합니다. 예: 사용자 논리적 시스템 구성을 참조하십시오
기본 논리적 시스템에 보안 프로필을 구성하고 이를 사용자 논리적 시스템 lsys1 및 lsys2에 할당합니다. 예: 논리적 시스템 보안 프로필 구성(기본 관리자만 해당)을 참조하십시오.
논리적 시스템, 루트 논리적 시스템, 사용자 논리적 시스템 lsys1 및 lsys2에서 인터페이스와 라우팅 옵션을 구성합니다. 예: 기본 및 상호 연결 논리적 시스템에 대한 인터페이스, 라우팅 인스턴스 및 정적 경로 구성 및 사용자 논리적 시스템(기본 관리자만 해당) 및 예: 사용자 논리적 시스템에 대한 인터페이스 및 라우팅 인스턴스 구성을 참조하십시오
사용자 논리적 시스템에 대한 보안 정책을 구성합니다. 예: 사용자 논리적 시스템에서 보안 정책 구성을 참조하십시오
사용자 논리적 시스템에 대한 영역을 구성합니다. 예: 사용자 논리적 시스템에 대한 보안 영역 구성을 참조하십시오
기본 액티브/패시브 섀시 클러스터에서 논리적 시스템을 구성합니다. 예: 액티브/패시브 섀시 클러스터에서 논리적 시스템 구성(기본 관리자만 해당)을 참조하십시오.
개요
이 예에서는 포트 443에서 HTTPs 연결로 JIMS를 구성하고 기본 논리 시스템에서 IPv4 주소를 가진 기본 서버, 논리적 시스템 lsys1에서 dc0 도메인의 소스 ID "group1"이 있는 정책 p1, 논리적 시스템 lsys2에서 dc0 도메인의 소스 ID가 있는 정책 p1, 논리적 시스템 lsys1에서 논리적 시스템 lsys2로 트래픽을 전송할 수 있습니다. 기본 노드를 재부팅한 후에도 기본 논리적 시스템 및 사용자 논리적 시스템(lsys1 및 lsys2)에서 인증 항목을 볼 수 있습니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit set logical-systems lsys1 security policies policy-rematch set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit set logical-systems lsys2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
사용자 방화벽 식별 관리 구성
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 방화벽 식별 관리를 구성하려면 다음을 수행합니다.
기본 논리적 시스템에 기본 관리자로 로그인하고 구성 모드로 들어갑니다.
user@host> configure user@host#
논리적 시스템을 생성합니다.
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1 user@host#set LSYS2
lsys1_trust에서 lsys1_trust로의 트래픽을 허용하는 논리적 시스템 lsys1에서 source-identity group1로 lsys1_policy1 보안 정책을 구성합니다.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit
lsys1_trust에서 lsys1_untrust로의 트래픽을 허용하는 보안 정책 lsys1_policy2 구성합니다.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit
lsys1_untrust에서 lsys1_trust으로 트래픽을 허용하는 보안 정책 lsys1_policy3 구성합니다.
[edit security policies] user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit user@host#set policy-rematch
보안 영역을 구성하고 각 영역에 인터페이스를 할당합니다.
[edit security zones] user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic protocols all
lsys2에서 lsys2_untrust에서 lsys2_untrust로의 트래픽을 허용하는 source-identity group1로 보안 정책 lsys2_policy1 구성합니다.
[edit security policies] user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit user@host#set policy-rematch
보안 영역을 구성하고 lsys2의 각 영역에 인터페이스를 할당합니다.
[edit security zones] user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
기본 주소를 사용하여 JIMS를 고급 쿼리 요청에 대한 인증 소스로 구성합니다. SRX 시리즈 방화벽은 서버에 연결하기 위해 이 정보가 필요합니다.
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
기본 논리적 시스템에서 보안 정책 및 영역을 구성합니다.
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
보안 영역을 구성하고 기본 논리적 시스템의 각 영역에 인터페이스를 할당합니다.
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show services user-identification identity-management show chassis cluster 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show services user-identification identity-management
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
user@host# show chassis cluster
reth-count 5;
control-ports {
fpc 3 port 0;
fpc 9 port 0;
}
redundancy-group 0 {
node 0 priority 200;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 2 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 3 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 4 {
node 0 priority 100;
node 1 priority 1;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
구성이 제대로 작동하는지 확인하려면 아래 작업을 수행하십시오.
섀시 클러스터 상태 및 인증 항목 확인
목적
논리적 시스템에서 인증 항목을 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show services user-identification authentication-table authentication-source identity-management logical-system all
user@host> show services user-identification authentication-table authentication-source identity-management logical-system all
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
의미
출력에는 사용자 논리적 시스템에서 루트 논리적 시스템으로 공유되는 인증 항목이 표시됩니다.
섀시 클러스터 상태 확인
목적
기본 노드를 재부팅한 후 섀시 클러스터 상태를 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show chassis cluster status
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None의미
기본 노드를 재부팅한 후 출력에 lsys1 및 lsys2에 존재하는 사용자 식별 관리 세션이 표시됩니다.
예: 논리적 시스템을 위한 맞춤형 모델에서 통합 사용자 방화벽 구성
이 예는 논리적 시스템에 대한 활성 모드의 주니퍼 Identity Management Service(JIMS) 서버를 통해 사용자 지정 모델을 사용하여 통합 사용자 방화벽을 구성하는 방법을 보여줍니다. 기본 논리적 시스템은 논리적 시스템과 인증 항목을 공유하지 않습니다. SRX 시리즈 방화벽은 활성 모드에서 HTTPs 프로토콜을 통해 JIMS 서버에서 수신한 인증 항목을 쿼리합니다.
이 예에서는 다음과 같은 구성이 수행됩니다.
-
활성 JIMS 서버 구성
-
논리적 시스템 IP 쿼리 구성
-
논리적 시스템 인증 항목 구성
-
논리적 시스템 보안 정책 구성
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
JIMS 서버 버전 2.0
-
Junos OS 릴리스 19.3R1
시작하기 전에 다음 정보가 있는지 확인하십시오.
-
JIMS 서버의 IP 주소입니다.
-
HTTP 요청을 수신하기 위한 JIMS 서버의 포트 번호입니다.
-
활성 쿼리 서버에 대한 JIMS 서버의 클라이언트 ID입니다.
-
활성 쿼리 서버에 대한 JIMS 서버의 클라이언트 암호입니다.
개요
이 예에서는 포트 443에서 HTTPs 연결로 JIMS를 구성하고 기본 논리 시스템에서 IPv4 주소를 가진 기본 서버, 논리적 시스템에서 LSYS1소스 ID group1 를 사용하여 정책 p2를 구성할 수 있습니다.
구성
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여넣은 다음, 구성 모드에서 commit을 입력합니다.
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
맞춤형 모델에서 통합 사용자 방화벽 구성:
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
맞춤형 모델에서 통합 사용자 방화벽을 구성하려면 다음을 수행합니다.
-
기본 주소를 사용하여 JIMS를 고급 쿼리 요청에 대한 인증 소스로 구성합니다. SRX 시리즈 방화벽은 서버에 연결하기 위해 이 정보가 필요합니다.
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
LSYS1에 대한 IP 쿼리 지연 시간을 구성합니다.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
LSYS1에 대한 인증 항목 속성을 구성합니다.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
LSYS1에 대한 신뢰할 수 없는 영역에서 존 트러스트로 트래픽을 허용하는 보안 정책 p2를 구성합니다.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
결과
구성 모드에서 and show logical-systems LSYS1 명령을 입력 show services user-identification logical-domain-identity-management 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show services user-identification logical-domain-identity-management
active {
query-server jims1 {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
}
}
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity "example.com\group1";
}
then {
permit;
}
}
}
}
}
services {
user-identification {
logical-domain-identity-management {
active {
invalid-authentication-entry-timeout 1;
ip-query {
query-delay-time 30;
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
사용자 식별 확인 ID 관리 상태
목적
인증 소스로 identity-management에 대한 사용자 식별 상태를 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show services user-identification logical-domain-identity-management status
user@host> show services user-identification logical-domain-identity-management status
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL
Token expire time : 2017-11-27 23:45:22
Secondary server :
Address : Not configured
의미
출력에는 고급 사용자 쿼리 기능, 일괄 쿼리 및 IP 쿼리에 대한 통계 데이터가 표시되거나 주니퍼 Identity Management Service 서버의 상태가 표시됩니다.
사용자 식별 확인 ID 관리 상태 카운터
목적
ID 관리를 위한 사용자 식별 카운터를 인증 소스로 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show services user-identification logical-domain-identity-management counters
user@host> show services user-identification logical-domain-identity-management counters
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Batch query sent number : 65381
Batch query total response number : 64930
Batch query error response number : 38
Batch query last response time : 2018-08-14 15:10:52
IP query sent number : 10
IP query total response number : 10
IP query error response number : 0
IP query last response time : 2018-08-13 12:41:56
Secondary server :
Address : Not configured
의미
출력에는 고급 사용자 쿼리 기능 일괄 쿼리 및 IP 쿼리에 대한 통계 데이터가 표시되거나 주니퍼 Identity Management Service 서버의 카운터가 표시됩니다.
사용자 식별 인증 테이블 확인
목적
지정된 인증 소스에 대한 사용자 ID 정보 인증 테이블 항목을 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show services user-identification authentication-table authentication-source all logical-system LSYS1
user@host> show services user-identification authentication-table authentication-source all logical-system LSYS1
node0:
--------------------------------------------------------------------------
Logical System: LSYS1
Domain: example.com
Total entries: 4
Source IP Username groups(Ref by policy) state
10.12.0.2 administrator posture-healthy Valid
10.12.0.15 administrator posture-healthy Valid
2001:db8::5 N/A posture-healthy Valid
2001:db8::342c:302b N/A posture-healthy Valid
의미
출력에는 지정된 인증 소스의 인증 테이블 또는 사용자 이름을 기반으로 하는 특정 도메인, 그룹 또는 사용자의 전체 콘텐츠가 표시됩니다. 사용자 디바이스의 IP 주소를 기반으로 사용자의 ID 정보를 표시합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.