Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

예: Juniper Secure Connect(CLI 절차)를 위한 LDAP 인증 구성

개요

LDAP는 사용자 인증에 도움이 됩니다. LDAP를 인증 옵션으로 사용할 때 하나 이상의 LDAP 그룹을 정의하고 그룹 구성원 자격에 따라 주소 할당을 위해 특정 로컬 IP 풀을 사용할 수 있습니다. 그룹당 로컬 IP 풀을 지정하지 않으면 Junos OS는 액세스 프로필에 구성된 로컬 IP 풀의 IP 주소를 할당합니다.

사용자 그룹을 구성하려면 [edit access ldap-options] 계층 수준에서 명령문을 포함allowed-groups 하십시오. 이러한 그룹 이름은 LDAP 디렉토리의 이름과 일치합니다.

group1, group2 및 group3과 같은 LDAP 그룹을 고려하십시오. group1을 주소 풀 Juniper_Secure_Connect_Addr-Pool에 할당할 수 있습니다. 그룹 2를 주소 풀 풀B에 할당할 수 있습니다. 그룹 3을 주소 풀 풀C에 할당할 수 있습니다.

  1. User1은 group1에 속합니다. User1의 그룹이 구성된 그룹 중 하나와 일치하면 User1이 인증됩니다. 그룹 멤버십에 따라 시스템은 다음 주소 풀 Juniper_Secure_Connect_Addr-Pool에서 User1에 IP 주소를 할당합니다.

  2. User2는 group2에 속합니다. User2의 그룹이 구성된 그룹 중 하나와 일치하면 User2가 인증됩니다. 그룹 멤버십에 따라 시스템은 다음 주소 풀 poolB에서 User2에 IP 주소를 할당합니다.

  3. User3은 group3에 속합니다. User3의 그룹이 구성된 그룹 중 하나와 일치하면 User3이 인증됩니다. 그룹 멤버십에 따라 시스템은 다음 주소 풀 C에서 User3에 IP 주소를 할당합니다.

  4. User4의 그룹이 구성된 그룹 중 하나와 일치하지 않습니다.

표-1에서는 이(가) ldap-options 글로벌 액세스 수준 및 액세스 프로필 내에서 구성된 경우의 LDAP 서버 응답에 대해 설명합니다. 프로필 구성의 우선 순위가 전역 구성보다 높습니다.

표 1: 전역 수준 및 액세스 프로필 내의 LDAP 액세스 그룹
구성된 사용자 이름 일치 그룹 LDAP 서버에서 반환한 그룹 주소 풀 작업
사용자1 그룹1 그룹 1, 그룹 2, 그룹 3 Juniper_Secure_Connect_Addr 풀 수락(구성된 그룹과 일치)
사용자2 그룹2 그룹 1, 그룹 2, 그룹 3 풀비 수락(구성된 그룹과 일치)
사용자3 그룹3 그룹 1, 그룹 2, 그룹 3 풀씨 수락(구성된 그룹과 일치)
사용자4 그룹4 groupX, groupY, groupZ 풀디(poolD) 거부(구성된 일치 그룹과 일치하지 않음)
메모:

이 예에서는 사용자가 단일 그룹에 속하는 인증 옵션으로 LDAP를 사용합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 모든 SRX 시리즈 방화벽

  • Junos OS 릴리스 23.1R1

시작하기 전에:

사전 요구 사항에 대한 자세한 내용은 Juniper Secure Connect 시스템 요구 사항을 참조하십시오.

SRX 시리즈 방화벽이 기본 시스템 생성 인증서 대신 서명된 인증서 또는 자체 서명 인증서를 사용하는지 확인해야 합니다. Juniper Secure Connect 구성을 시작하기 전에 다음 명령을 실행하여 인증서를 SRX 시리즈 방화벽에 바인딩해야 합니다.

예를 들어:

여기서 SRX_Certificate는 CA에서 가져온 인증서 또는 자체 서명된 인증서입니다.

위상수학

아래 그림은 이 예의 토폴로지를 보여줍니다.

그림 1: Juniper Secure Connect를 위한 LDAP 인증 구성

구성

이 예에서는 사용자가 단일 그룹에 속하는 인증 옵션으로 LDAP를 사용합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣고 줄 바꿈을 제거한 다음 네트워크 구성에 맞게 필요한 세부 정보를 변경한 다음 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여 넣습니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다.

  1. 하나 이상의 IKE(Internet Key Exchange) 제안을 구성합니다. 그런 다음 이러한 제안을 IKE 정책과 연결합니다. IKE(Internet Key Exchange) 게이트웨이 옵션을 구성합니다.
  2. 하나 이상의 IPsec 제안을 구성합니다. 그런 다음 이러한 제안을 IPsec 정책과 연결합니다. IPSec VPN 매개 변수 및 트래픽 선택기를 구성합니다.
  3. 원격 액세스 프로필 및 클라이언트 구성을 구성합니다.
  4. 외부 인증 순서를 위한 LDAP 서버를 지정합니다.

  5. SSL 종료 프로파일을 생성합니다. SSL 종료는 SRX 시리즈 방화벽이 SSL 프록시 서버 역할을 하고 클라이언트에서 SSL 세션을 종료하는 프로세스입니다. SSL 종료 프로파일의 이름을 입력하고 SRX 시리즈 방화벽에서 SSL 종료에 사용할 서버 인증서를 선택합니다. 서버 인증서는 로컬 인증서 식별자입니다. 서버 인증서는 서버의 ID를 인증하는 데 사용됩니다.

    SSL VPN 프로필을 생성합니다. tcp-encap을 참조하십시오.

  6. 방화벽 정책을 생성합니다.

    트러스트 영역에서 VPN 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

    VPN 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

  7. 이더넷 인터페이스 정보를 구성합니다.

    inet으로 패밀리 세트를 사용하여 st0 인터페이스를 구성합니다.

  8. 보안 영역을 구성합니다.

결과

구성 결과를 확인합니다:

SSL 종료 프로파일에 연결할 서버 인증서가 이미 있는지 확인합니다.

확인

구성이 제대로 작동하는지 확인하려면 다음 표시 명령을 입력합니다.

IPsec, IKE 및 그룹 정보 확인

목적

JUNIPER_SECURE_CONNECT 액세스 프로필을 사용하고 프로필 내에서 구성할 ldap-options 때 LDAP 서버 응답을 기반으로 가능한 결과 목록을 표시합니다.

행동

운영 모드에서 다음 명령을 입력합니다.

의미

명령 출력은 일치하는 그룹의 세부 정보를 제공합니다.