Configurar servidores de autenticación externos
Un servidor de autenticación externo se utiliza para recopilar las credenciales del usuario de los servidores externos para la autenticación.
Descripción de los servidores de autenticación externos
Los servidores de autenticación, autorización y contabilidad (AAA) proporcionan un nivel adicional de protección y control para el acceso de los usuarios de las siguientes maneras:
La autenticación determina el usuario del firewall.
La autorización determina lo que puede hacer el usuario del firewall.
La contabilidad determina lo que hizo el usuario del firewall en la red.
Puede utilizar la autenticación sola o con autorización y contabilidad. La autorización siempre requiere que primero se autentique al usuario. Puede usar la contabilidad sola o con autenticación y autorización.
Una vez recopiladas las credenciales del usuario, se procesan mediante la autenticación de usuario de firewall, que admite los siguientes tipos de servidores:
Autenticación y autorización locales
Autenticación y autorización de RADIUS (compatible con el servidor Juniper Steel-Belted Radius)
Solo autenticación LDAP (compatible con LDAP versión 3 y compatible con Windows AD)
Solo autenticación SecurID (mediante un servidor de autenticación externo RSA SecurID)
Junos OS también admite la autenticación administrativa mediante servidores locales, RADIUS y TACACS+.
En este tema se incluyen las siguientes secciones:
Descripción de la autenticación de usuario de SecurID
SecurID es un método de autenticación que permite a los usuarios introducir contraseñas estáticas o dinámicas como sus credenciales. Una contraseña dinámica es una combinación del PIN de un usuario y un token generado aleatoriamente que es válido por un corto período de tiempo, aproximadamente un minuto. Se establece una contraseña estática para el usuario en el servidor SecurID. Por ejemplo, el administrador del servidor SecurID puede establecer una contraseña estática temporal para un usuario que perdió su token SecurID.
Cuando un usuario intenta acceder a un recurso protegido por una política y SecurID se configura en el parámetro profile authentication-order
como el único modo de autenticación o el primero que se utilizará, el dispositivo reenvía las credenciales del usuario al servidor SecurID para su autenticación. Si el usuario introduce valores válidos, se le permite el acceso al recurso solicitado.
El servidor SecurID incluye una característica que presenta al usuario un desafío si el usuario proporciona credenciales incorrectas repetidamente. Sin embargo, Junos OS no admite la función de desafío. En su lugar, el administrador del servidor SecurID debe volver a sincronizar el token RSA para el usuario.
Para SecurID, configure la información sobre el dispositivo Juniper Networks en el servidor SecurID, y esta información se exporta a un archivo llamado sdconf.rec.
Para instalar el archivo sdconf.rec en el dispositivo, debe utilizar un método fuera de banda, como FTP. Instale el archivo en un directorio cuyos archivos no se eliminen regularmente. No lo coloque en un directorio temporal. Por ejemplo, puede instalarlo en /var/db/secureid/server1/sdconf.rec.
El archivo sdconf.rec contiene información que proporciona al dispositivo de Juniper Networks la dirección del servidor SecurID. No es necesario configurar esta información explícitamente al configurar el servidor SecurID para utilizarlo como servidor de autenticación externo.
Ejemplo: configuración de la autenticación de usuarios RADIUS y LDAP
En este ejemplo se muestra cómo configurar un dispositivo para la autenticación externa.
Requisitos
Antes de comenzar, cree un grupo de usuarios de autenticación.
Visión general
Puede juntar varias cuentas de usuario para formar un grupo de usuarios, que puede almacenar en la base de datos local o en un servidor RADIUS, LDAP o SecurID. Cuando se hace referencia a un grupo de usuarios de autenticación y a un servidor de autenticación externo en una directiva, el tráfico que coincide con la directiva provoca una comprobación de autenticación.
En este ejemplo se muestra cómo está configurado el perfil de acceso 1 para la autenticación externa. Dos servidores RADIUS y un servidor LDAP están configurados en el perfil de acceso. Sin embargo, el orden de autenticación especifica sólo el servidor RADIUS, por lo que si se produce un error en la autenticación del servidor RADIUS, el usuario del firewall no podrá autenticarse. No se tiene acceso a la base de datos local.
Si el servidor RADIUS autentica los clientes de firewall, el VSA de pertenencia a grupos devuelto por el servidor RADIUS debe contener grupos de clientes alfa, beta o gamma en la configuración del servidor RADIUS o en el perfil de acceso, Perfil-1. Los perfiles de acceso almacenan nombres de usuario y contraseñas de usuarios o apuntan a servidores de autenticación externos donde se almacena dicha información.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set access profile Profile-1 authentication-order radius set access profile Profile-1 client Client-1 client-group alpha set access profile Profile-1 client Client-1 client-group beta set access profile Profile-1 client Client-1 client-group gamma set access profile Profile-1 client Client-1 firewall-user password pwd set access profile Profile-1 client Client-2 client-group alpha set access profile Profile-1 client Client-2 client-group beta set access profile Profile-1 client Client-2 firewall-user password pwd set access profile Profile-1 client Client-3 firewall-user password pwd set access profile Profile-1 client Client-4 firewall-user password pwd set access profile Profile-1 session-options client-group alpha set access profile Profile-1 session-options client-group beta set access profile Profile-1 session-options client-group gamma set access profile Profile-1 session-options client-idle-timeout 255 set access profile Profile-1 session-options client-session-timeout 4 set access profile Profile-1 ldap-options base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net set access profile Profile-1 ldap-options search search-filter sAMAccountName= set access profile Profile-1 ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=juniper,dc=net set access profile Profile-1 ldap-options search admin-search password pwd set access profile Profile-1 ldap-server 203.0.113.39/24 set access profile Profile-1 radius-server 203.0.113.62/24 secret example-secret set access profile Profile-1 radius-server 203.0.113.62/24 retry 10 set access profile Profile-1 radius-server 203.0.113.27/24 secret juniper
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar un dispositivo para la autenticación externa:
Especifique el servidor RADIUS para el orden de autenticación externo.
[edit] user@host# set access profile Profile-1 authentication-order radius
Configure los usuarios del firewall Client1-4 y asigne el usuario del firewall Client-1 y el usuario del firewall Client-2 a los grupos de clientes.
[edit access profile Profile-1] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
Configure grupos de clientes en las opciones de sesión.
[edit access profile Profile-1] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
Configure la dirección IP para el servidor LDAP y las opciones de servidor.
[edit access profile Profile-1] user@host# set ldap-options base-distinguished-name CN=users,DC=junos,DC=mycompany,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search password pwd user@host# set ldap-options search admin-search distinguished-name cn=administrator,cn=users,dc=junos,dc=mycompany,dc=net user@host# set ldap-server 203.0.113.39/24
Configure las direcciones IP para los dos servidores RADIUS.
[edit access profile Profile-1] user@host# set radius-server 203.0.113.62/24 secret pwd user@host# set radius-server 203.0.113.62/24 retry 10 user@host# set radius-server 203.0.113.27/24 secret pwd
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show access profile Profile-1
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show access profile Profile-1 authentication-order radius; client Client-1 { client-group [ alpha beta gamma ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-2 { client-group [ alpha beta ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-3 { firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-4 { firewall-user { password "$ABC123"; ## SECRET-DATA } } session-options { client-group [ alpha beta gamma ]; client-idle-timeout 255; client-session-timeout 4; } ldap-options { base-distinguished-name CN=users,DC=junos,DC=juniper,DC=net; search { search-filter sAMAccountName=; admin-search { distinguished-name cn=administrator,cn=users,dc=junos, dc=mycompany,dc=net; password "$ABC123"; ## SECRET-DATA } } } ldap-server { 203.0.113.39/24 ; } radius-server { 203.0.113.62/24 { secret "$ABC123"; ## SECRET-DATA retry 10; } 203.0.113.27/24 { secret "$ABC123"; ## SECRET-DATA } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Habilitación de la autenticación LDAP con TLS/SSL para conexiones seguras
A partir de Junos OS versión 15.1X49-D70, los firewalls serie SRX admiten la extensión StartTLS de Seguridad de la capa de transporte (TLS) para LDAP para la autenticación de usuarios del firewall y la autenticación de firewall de usuario integrada para obtener información de nombre de usuario y rol a través de la autenticación de firewall. StartTTLS permite transferencias de datos de protocolo entre el servidor LDAP y el cliente a través de la capa TLS después de una negociación exitosa entre los pares. StartTLS actualiza una conexión LDAP insegura existente a una conexión TLS/SSL segura.
Los firewalls de la serie SRX admiten TLSv1.1 y TLS v1.2 para utilizar la autenticación LDAP con TLS/SSL.
Con StartTLS para LDAP, se puede proporcionar una comunicación segura con los siguientes conjuntos de cifrados que proporcionan una seguridad cada vez más sólida:
Cifrado de alto cifrado: AES256-SHA,DES-CBC3-SHA
Cifrados de cifrado medio: cifrado de alto cifrado + RC4-SHA: RC4-MD5: AES128-SHA
Cifrados de cifrado medio: cifrados de cifrado medio + DES-CBC-SHA:EXP1024-DES-CBC-SHA:EXP1024-RC4-SHA:EXP1024-RC4-MD5:EXP-DES-CBC-SHA:EXP-RC4-MD5
La implementación de StartTLS en LDAP es interoperable con los siguientes servidores LDAP estándar:
Windows Active Directory
Directorio electrónico de Novell
Sun LDAP
Openldap
De forma predeterminada, el tráfico LDAP no se transmite de forma segura. Puede configurar el tráfico LDAP para que sea confidencial y seguro mediante la tecnología de Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS).
Para configurar parámetros TLS como parte de la configuración del servidor LDAP:
Los firewalls de la serie SRX admiten una comprobación adicional del certificado del servidor LDAP durante el protocolo de enlace TLS para la autenticación LDAP de forma predeterminada. Si no se requiere la validación del certificado de servidor, puede utilizar la siguiente configuración para omitir la validación del certificado del servidor y aceptar el certificado sin comprobarlo:
[edit] user@host# set access profile profile-name ldap-server ip-address no-tls-certificate-check
De forma predeterminada, el no-tls-certificate-check
permanece deshabilitado.
Ejemplo: configuración de la autenticación de usuario de SecurID
En este ejemplo se muestra cómo configurar SecurID como servidor de autenticación externo.
Requisitos
Antes de comenzar, cree un grupo de usuarios de autenticación.
Visión general
SecurID es un método de autenticación que permite a los usuarios introducir contraseñas estáticas o dinámicas como sus credenciales. Una contraseña dinámica es una combinación del PIN de un usuario y un token generado aleatoriamente que es válido por un corto período de tiempo, aproximadamente un minuto. Se establece una contraseña estática para el usuario en el servidor SecurID. Por ejemplo, el administrador del servidor SecurID puede establecer una contraseña estática temporal para un usuario que perdió su token SecurID.
Cuando un usuario intenta acceder a un recurso protegido por una política y SecurID se configura en el parámetro profile authentication-order
como el único modo de autenticación o el primero que se utilizará, el dispositivo reenvía las credenciales del usuario al servidor SecurID para su autenticación. Si el usuario introduce valores válidos, se le permite el acceso al recurso solicitado.
Especifique que el Servidor-1 se utilizará como servidor SecurID y que su archivo de configuración resida en el dispositivo del /var/db/securid/Server-1/sdconf.rec
archivo. En el modo de configuración, escriba este comando:
user@host# set access securid-server Server-1 configuration-file “/var/db/securid/Server-1/sdconf.rec”
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set access profile Profile-2 authentication-order securid
set access profile Profile-2 client Client-1 client-group alpha
set access profile Profile-2 client Client-1 client-group beta
set access profile Profile-2 client Client-1 client-group gamma
set access profile Profile-2 client Client-1 firewall-user password pwd
set access profile Profile-2 client Client-2 client-group alpha
set access profile Profile-2 client Client-2 client-group beta
set access profile Profile-2 client Client-2 firewall-user password pwd
set access profile Profile-2 client Client-3 firewall-user password pwd
set access profile Profile-2 client Client-4 firewall-user password pwd
set access profile Profile-2 session-options client-group alpha
set access profile Profile-2 session-options client-group beta
set access profile Profile-2 session-options client-group gamma
set access profile Profile-2 session-options client-idle-timeout 255
set access profile Profile-2 session-options client-session-timeout 4
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar SecurID como servidor de autenticación externo:
Para el perfil de perfil 2, configure SecurID como el servidor que se utilizará para la autenticación externa.
[edit] user@host# set access profile Profile-2 authentication-order securid
Para compartir un único servidor SecurID en varios perfiles, establezca para cada perfil el
authentication-order
parámetro que se incluirásecurid
como modo de autenticación.Configure los clientes del 1 al 4 como usuarios de firewall y asigne los clientes 1 y 2 a los grupos de clientes.
[edit access profile Profile-2] user@host# set client Client-1 client-group alpha user@host# set client Client-1 client-group beta user@host# set client Client-1 client-group gamma user@host# set client Client-1 firewall-user password pwd user@host# set client Client-2 client-group alpha user@host# set client Client-2 client-group beta user@host# set client Client-2 firewall-user password pwd user@host# set client Client-3 firewall-user password pwd user@host# set client Client-4 firewall-user password pwd
Configure grupos de clientes en las opciones de sesión.
[edit access profile Profile-2] user@host# set session-options client-group alpha user@host# set session-options client-group beta user@host# set session-options client-group gamma user@host# set session-options client-idle-timeout 255 user@host# set session-options client-session-timeout 4
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show access profile Profile-2
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show access profile Profile-2 authentication-order securid; client Client-1 { client-group [ alpha beta gamma ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-2 { client-group [ alpha beta ]; firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-3 { firewall-user { password "$ABC123"; ## SECRET-DATA } } client Client-4 { firewall-user { password "$ABC123"; ## SECRET-DATA } } session-options { client-group [alpha beta gamma]; client-idle-timeout 255; client-session-timeout 4; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Solución de problemas
Solución de problemas de autenticación incorrecta en una configuración VPN dinámica
Problema
El dispositivo no puede localizar la dirección del cliente en una configuración de VPN dinámica.
Solución
Compruebe que el nombre de host del dispositivo, la búsqueda de dominio y el servidor de nombres estén configurados correctamente.
[edit system] user@host# set host-name srxhost.example.net user@host# set domain-search domain.example.net user@host# set name-server 203.0.113.11
Compruebe que el nombre de host del dispositivo se está resolviendo en el servidor RSA.
Ejemplo: eliminar el archivo secreto del nodo SecurID
En este ejemplo se muestra cómo eliminar el archivo secreto del nodo.
Requisitos
Antes de comenzar, confirme que es necesario eliminar el archivo secreto del nodo SecurID.
Visión general
Cuando el dispositivo de Juniper Networks se comunica inicialmente de forma correcta con el servidor SecurID, se crea automáticamente un archivo secreto de nodo para él. El archivo se crea como resultado del protocolo de enlace entre el dispositivo de Juniper Networks y el servidor SecurID después de que el software autentica correctamente al primer usuario. Toda comunicación posterior entre el dispositivo de Juniper Networks y el servidor SecurID se basa en este secreto como una representación de confianza entre los dos nodos, en lugar de repetir el protocolo de enlace con cada solicitud de autenticación.
En circunstancias normales, no debería eliminar el archivo secreto del nodo. En el caso excepcional de que deba hacerlo, por ejemplo, para depurar un problema grave, puede usar el clear
comando para quitar el archivo.
Si elimina el archivo, debe anular la selección de una casilla en el servidor SecurID para indicar que el archivo secreto de nodo para el dispositivo de Juniper Networks y el servidor SecurID ya no existe. De lo contrario, se producirá un error en los intentos de autenticación.
Configuración
Procedimiento
Procedimiento paso a paso
Para eliminar el archivo secreto del nodo:
Utilice el
clear
comando para quitar el archivo secreto del nodo. Durante la autenticación de usuario posterior, el dispositivo restablece un secreto compartido con el servidor SecurID y vuelve a crear el archivo secreto del nodo. Desde el modo operativo, escriba elclear network-access
comando para desactivar elsecurid-node-secret-file
para el dispositivo de Juniper Networks.user@host> clear network-access securid-node-secret-file
Desde el modo operativo, ingrese el comando para confirmar la
show network-access securid-node-secret-file
eliminación. Si el resultado no aparece, repita las instrucciones de este ejemplo para corregirlo.user@host> show network-access securid-node-secret-file
Verificación
Compruebe la eliminación introduciendo el show network-access securid-node-secret-file
comando.