EN ESTA PÁGINA
Ejemplo: Configuración de perfiles de acceso (solo administradores principales)
Ejemplo: Configuración de características de seguridad para los sistemas lógicos primarios
Descripción de la autenticación de firewall del sistema lógico
Ejemplo: Configuración de la autenticación de firewall para un sistema lógico de usuario
Descripción de la compatibilidad con el firewall de usuario integrado en un sistema lógico
Autenticación de usuario para sistemas lógicos
La autenticación de usuario para sistemas lógicos permite definir usuarios de firewall y crear políticas que requieren que los usuarios se autentiquen a través de uno de estos dos esquemas de autenticación: autenticación de paso a través o autenticación web. Para obtener más información, consulte los temas siguientes:
Ejemplo: Configuración de perfiles de acceso (solo administradores principales)
El administrador principal es responsable de configurar los perfiles de acceso en el sistema lógico principal. En este ejemplo, se muestra cómo configurar los perfiles de acceso.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Descripción de los sistemas lógicos primarios y el rol de administrador principal.
Lea la descripción general de la autenticación de usuario del firewall.
Descripción general
En este ejemplo, se configura un perfil de acceso para la autenticación LDAP para usuarios del sistema lógico. En este ejemplo, se crea el perfil de acceso descrito en la tabla 1.
El administrador principal crea el perfil de acceso.
Nombre |
Parámetros de configuración |
|---|---|
LDAP1 |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
Debe iniciar sesión como administrador principal.
set access profile ldap1 authentication-order ldap set access profile ldap1 ldap-options base-distinguished-name ou=people,dc=example,dc=com set access profile ldap1 ldap-options assemble common-name uid set access profile ldap1 ldap-server 10.155.26.104 port 389
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar un perfil de acceso en el sistema lógico principal:
Inicie sesión en el sistema lógico principal como administrador principal y especifique el modo de configuración.
admin@host> configure admin@host#
Configure un perfil de acceso y establezca el orden de autenticación.
[edit access profile ldap1] admin@host# set authentication-order ldap
Configure las opciones de LDAP.
[edit access profile ldap1] admin@host# set ldap-options base-distinguished-name ou=people,dc=example,dc=com admin@host# set ldap-options assemble common-name uid
Configure el servidor LDAP.
[edit access profile ldap1] admin@host# set ldap-server 10.155.26.104 port 389
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show access profile profile-name configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
admin@host# show access profile ldap1
authentication-order ldap;
ldap-options {
base-distinguished-name ou=people,dc=example,dc=com;
assemble {
common-name uid;
}
}
ldap-server {
10.155.26.104 port 389;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: Configuración de características de seguridad para los sistemas lógicos primarios
En este ejemplo, se muestra cómo configurar las características de seguridad, como zonas, políticas y autenticación de firewall, para el sistema lógico principal.
Requisitos
Antes de empezar:
-
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Ejemplo: Configuración de contraseña raíz para sistemas lógicos.
-
Utilice el
show system security-profilecomando para ver los recursos asignados al sistema lógico principal. -
Configure interfaces lógicas para el sistema lógico principal. Consulte Ejemplo: Configuración de interfaces, instancias de enrutamiento y rutas estáticas para los sistemas lógicos principal y de interconexión, y las interfaces de túnel lógico para los sistemas lógicos de usuario (solo administradores principales).
-
Configure el perfil de acceso ldap1 en el sistema lógico principal. El perfil de acceso ldap1 se utiliza para la autenticación web de usuarios de firewall.
Descripción general
En este ejemplo, se configuran características de seguridad para el sistema lógico principal, denominado root-logical-system, que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión. En este ejemplo se configuran las características de seguridad descritas en la tabla 2.
| Reportaje |
Nombre |
Parámetro de configuración |
|---|---|---|
| Zonas |
ls-root-trust |
Enlazar a la interfaz ge-0/0/4.0. |
| ls-root-untrust |
Enlazar a la interfaz lt-0/0/0.1 |
|
| Libreta de direcciones |
raíz interna |
|
| raíz-externa |
|
|
| Políticas de seguridad |
permit-to-userlsys |
Permita el siguiente tráfico:
|
| usuarios autorizados por permisos |
Permita el siguiente tráfico:
|
|
| Autenticación de firewall |
|
|
| Demonio HTTP |
Activar en la interfaz ge-0/0/4.0 |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book root-internal address masters 10.12.12.0/24 set security address-book root-internal attach zone ls-root-trust set security address-book root-external address design 10.12.1.0/24 set security address-book root-external address accounting 10.14.1.0/24 set security address-book root-external address marketing 10.13.1.0/24 set security address-book root-external address-set userlsys address design set security address-book root-external address-set userlsys address accounting set security address-book root-external address-set userlsys address marketing set security address-book root-external attach zone ls-root-untrust set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match source-address masters set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match destination-address userlsys set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match application any set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys then permit set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match source-address userlsys set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match destination-address masters set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-http set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-https set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users then permit firewall-authentication web-authentication set security zones security-zone ls-root-trust interfaces ge-0/0/4.0 set security zones security-zone ls-root-untrust interfaces lt-0/0/0.1 set system services web-management http interface ge-0/0/4.0 set access firewall-authentication web-authentication default-profile ldap1 set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar zonas y políticas para el sistema lógico principal:
-
Inicie sesión en el sistema lógico principal como administrador principal y especifique el modo de configuración.
admin@host> configure admin@host#
-
Cree zonas de seguridad y asigne interfaces a cada zona.
[edit security zones] admin@host# set security-zone ls-root-trust interfaces ge-0/0/4.0 admin@host# set security-zone ls-root-untrust interfaces lt-0/0/0.1
-
Crear entradas de libreta de direcciones.
[edit security] admin@host# set address-book root-internal address masters 10.12.12.0/24 admin@host# set address-book root-external address design 10.12.1.0/24 admin@host# set address-book root-external address accounting 10.14.1.0/24 admin@host# set address-book root-external address marketing 10.13.1.0/24 admin@host# set address-book root-external address-set userlsys address design admin@host# set address-book root-external address-set userlsys address accounting admin@host# set address-book root-external address-set userlsys address marketing
-
Adjunte libretas de direcciones a zonas.
[edit security] admin@host# set address-book root-internal attach zone ls-root-trust admin@host# set address-book root-external attach zone ls-root-untrust
-
Configure una política de seguridad que permita el tráfico desde la zona ls-root-trust a la zona ls-root-untrust.
[edit security policies from-zone ls-root-trust to-zone ls-root-untrust] admin@host# set policy permit-to-userlsys match source-address masters admin@host# set policy permit-to-userlsys match destination-address userlsys admin@host# set policy permit-to-userlsys match application any admin@host# set policy permit-to-userlsys then permit
-
Configure una política de seguridad que autentique el tráfico desde la zona ls-root-untrust a la zona ls-root-trust.
[edit security policies from-zone ls-root-untrust to-zone ls-root-trust] admin@host# set policy permit-authorized-users match source-address userlsys admin@host# set policy permit-authorized-users match destination-address masters admin@host# set policy permit-authorized-users match application junos-http admin@host# set policy permit-authorized-users match application junos-https admin@host# set policy permit-authorized-users then permit firewall-authentication web-authentication
-
Configure el perfil de acceso de autenticación Web y defina un banner de éxito.
[edit access] admin@host# set firewall-authentication web-authentication default-profile ldap1 admin@host# set firewall-authentication web-authentication banner success “WEB AUTH LOGIN SUCCESS”
-
Active el daemon HTTP en el dispositivo.
[edit system] admin@host# set services web-management http interface ge-0/0/4.0
Resultados
Desde el modo de configuración, ingrese los comandos , y show system services para confirmar la show securityshow accessconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
Para fines de brevedad, este show resultado de comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema se reemplazó por puntos suspensivos (...).
[edit]
admin@host# show security
...
address-book {
root-internal {
address masters 10.12.12.0/24;
attach {
zone ls-root-trust;
}
}
root-external {
address design 10.12.1.0/24;
address accounting 10.14.1.0/24;
address marketing 10.13.1.0/24;
address-set userlsys {
address design;
address accounting;
address marketing;
}
attach {
zone ls-root-untrust;
}
}
}
policies {
from-zone ls-root-trust to-zone ls-root-untrust {
policy permit-to-userlsys {
match {
source-address masters;
destination-address userlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-root-untrust to-zone ls-root-trust {
policy permit-authorized-users {
match {
source-address userlsys;
destination-address masters;
application [ junos-http junos-https ];
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
}
zones {
security-zone ls-root-trust {
interfaces {
ge-0/0/4.0;
}
}
security-zone ls-root-untrust {
interfaces {
lt-0/0/0.1;
}
}
}
[edit]
admin@host# show access
...
firewall-authentication {
web-authentication {
default-profile ldap1;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
[edit]
admin@host# show system services
web-management {
http {
interface ge-0/0/4.0;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Descripción de la autenticación de firewall del sistema lógico
Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. Junos OS permite a los administradores restringir y permitir que los usuarios de firewall accedan a recursos protegidos (diferentes zonas) detrás de un firewall en función de su dirección IP de origen y otras credenciales.
El administrador principal es responsable de configurar los perfiles de acceso en el sistema lógico principal. Los perfiles de acceso almacenan nombres de usuario y contraseñas de usuarios o apuntan a servidores de autenticación externos donde se almacena dicha información. Los perfiles de acceso configurados en el sistema lógico principal están disponibles para todos los sistemas lógicos de usuario.
El administrador principal configura los números máximos y reservados de autenticaciones de firewall para cada sistema lógico de usuario. A continuación, el administrador del sistema lógico de usuario puede crear autenticaciones de firewall en el sistema lógico de usuario. Desde un sistema lógico de usuario, el administrador del sistema lógico de usuario puede utilizar el show system security-profile auth-entry comando para ver el número de recursos de autenticación asignados al sistema lógico de usuario.
Para configurar el perfil de acceso, el administrador principal utiliza la profile instrucción de configuración en el nivel de jerarquía [edit access] del sistema lógico principal. El perfil de acceso también puede incluir el orden de los métodos de autenticación, las opciones de servidor LDAP o RADIUS y las opciones de sesión.
A continuación, el administrador del sistema lógico de usuario puede asociar el perfil de acceso con una política de seguridad en el sistema lógico de usuario. El administrador del sistema lógico del usuario también especifica el tipo de autenticación:
Con la autenticación de paso a través, un host o un usuario de una zona intenta acceder a los recursos de otra zona mediante un FTP, un telnet o un cliente HTTP. El dispositivo utiliza FTP, Telnet o HTTP para recopilar información de nombre de usuario y contraseña, y el tráfico posterior desde el usuario o host se permite o deniega según el resultado de esta autenticación.
Con la autenticación Web, los usuarios usan HTTP para conectarse a una dirección IP en el dispositivo que está habilitado para la autenticación Web y se les solicita el nombre de usuario y la contraseña. El tráfico posterior desde el usuario o host al recurso protegido se permite o deniega en función del resultado de esta autenticación.
El administrador del sistema lógico de usuario configura las siguientes propiedades para la autenticación de firewall en el sistema lógico de usuario:
Política de seguridad que especifica la autenticación del firewall para hacer coincidir el tráfico. La autenticación de firewall se especifica con la instrucción de
firewall-authenticationconfiguración en el nivel de jerarquía [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit].Los usuarios o grupos de usuarios de un perfil de acceso a los que la política permite el acceso se pueden especificar opcionalmente con la instrucción de configuración client-match. (Si no se especifica ningún usuario o grupo de usuarios, se permitirá el acceso a cualquier usuario que se haya autenticado correctamente).
Para la autenticación de paso a través, se puede especificar opcionalmente el perfil de acceso y se puede habilitar el redireccionamiento web (redirigir el sistema cliente a una página web para la autenticación).
Tipo de autenticación (de paso a través o autenticación Web), perfil de acceso predeterminado y banner de éxito para la sesión FTP, Telnet o HTTP. Estas propiedades se configuran con la
firewall-authenticationinstrucción de configuración en el nivel de jerarquía [edit access].Tráfico entrante del host. Los protocolos, servicios o ambos pueden acceder al sistema lógico. Los tipos de tráfico se configuran con la
host-inbound-trafficinstrucción de configuración en los niveles de jerarquía [edit security zones security-zone zone-name] o [edit security zones security-zone zone-name interfaces interface-name].
Desde un sistema lógico de usuario, el administrador del sistema lógico de usuario puede utilizar los show security firewall-authentication users comandos o show security firewall-authentication history para ver la información sobre los usuarios de firewall y el historial del sistema lógico de usuario. Desde el sistema lógico principal, el administrador principal puede utilizar los mismos comandos para ver información del sistema lógico principal, de un sistema lógico de usuario específico o de todos los sistemas lógicos.
Ver también
Ejemplo: Configuración de la autenticación de firewall para un sistema lógico de usuario
En este ejemplo, se muestra cómo configurar la autenticación de firewall para un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Utilice el
show system security-profiles auth-entrycomando para ver las entradas de autenticación de firewall asignadas al sistema lógico.El administrador principal debe configurar los perfiles de acceso en el sistema lógico principal.
Descripción general
En este ejemplo, se configura el sistema lógico de usuario ls-product-design que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, los usuarios de los sistemas lógicos ls-marketing-dept y ls-accounting-dept deben autenticarse al iniciar determinadas conexiones a la subred de diseñadores de productos. En este ejemplo, se configura la autenticación de firewall descrita en la tabla 3.
En este ejemplo se utiliza el perfil de acceso configurado y las entradas de libreta de direcciones configuradas en Ejemplo: Configuración de zonas de seguridad para sistemas lógicos de usuario.
Reportaje |
Nombre |
Parámetros de configuración |
|---|---|---|
Política de seguridad |
usuarios autorizados por permisos
Nota:
La búsqueda de políticas se realiza en el orden en que se configuran. Se utiliza la primera política que coincida con el tráfico. Si previamente configuró una política que permite el tráfico para la misma zona de origen, zona, dirección de origen y dirección de destino, pero con la aplicación |
Permita la autenticación de firewall para el siguiente tráfico:
El perfil de acceso LDAP1 se utiliza para la autenticación de paso a través. |
Autenticación de firewall |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match application junos-h323 set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1 set access firewall-authentication pass-through default-profile ldap1 set access firewall-authentication pass-through http banner login “welcome”
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar la autenticación de firewall en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y especifique el modo de configuración.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure una política de seguridad que permita la autenticación del firewall.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match destination -address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match application junos-h323 lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1
Reordene las políticas de seguridad.
[edit] lsdesignadmin1@host:ls-product-design# insert security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users before policy permit-all-from-otherlsys
Configure la autenticación del firewall.
[edit access firewall-authentication] lsdesignadmin1@host:ls-product-design# set pass-through http banner login "welcome" lsdesignadmin1@host:ls-product-design# set pass-through default-profile ldap1
Resultados
Desde el modo de configuración, ingrese los comandos y show access firewall-authentication para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-authorized-users {
match {
source-address otherlsys;
destination-address product-designers;
application junos-h323;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile ldap1;
}
}
}
}
}
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
lsdesignadmin1@host:ls-product-design# show access firewall-authentication
pass-through {
default-profile ldap1;
http {
banner {
login welcome;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificar autenticación de usuario de firewall y monitorear usuarios y direcciones IP
Propósito
Muestra el historial de usuarios de autenticación de firewall y verifica la cantidad de usuarios de firewall que se autenticaron correctamente y los usuarios de firewall que no pudieron iniciar sesión.
Acción
Desde el modo operativo, ingrese estos show comandos.
lsdesignadmin1@host:ls-product-design> show security firewall-authentication history lsdesignadmin1@host:ls-product-design> show security firewall-authentication history identifier id lsdesignadmin1@host:ls-product-design> show security firewall-authentication users lsdesignadmin1@host:ls-product-design> show security firewall-authentication users identifier id
Descripción de la compatibilidad con el firewall de usuario integrado en un sistema lógico
A partir de Junos OS versión 18.3R1, el soporte para fuentes de autenticación se extiende para incluir autenticación local, autenticación de Active Directory (AD) y autenticación de firewall, además del soporte existente para fuentes de autenticación, Servicio de administración de identidad de Juniper (JIMS) y autenticación ClearPass.
A partir de Junos OS versión 18.2R1, la compatibilidad con la autenticación de firewall de usuario se mejora mediante un modelo compartido. En este modelo, los sistemas lógicos de usuario comparten la configuración del firewall de usuario y las entradas de autenticación con el sistema lógico primario, y la autenticación de firewall de usuario integrada se admite en un sistema lógico de usuario.
En el modelo compartido, la configuración relacionada con el firewall del usuario se configura en el sistema lógico principal, como el origen de autenticación, la prioridad del origen de autenticación, el tiempo de espera de las entradas de autenticación, la consulta IP o la consulta individual, etc. El firewall de usuario proporciona servicio de información de usuario para una aplicación del firewall de la serie SRX, como políticas e registro. El tráfico de un sistema lógico de usuario consulta las tablas de autenticación del sistema lógico principal.
Las tablas de autenticación se administran mediante un sistema lógico primario. Los sistemas lógicos de usuario comparten las tablas de autenticación. El tráfico del sistema lógico principal y los sistemas lógicos del usuario consultan la misma tabla de autenticación. Los sistemas lógicos de usuario permiten el uso de la identidad de origen en la política de seguridad.
Por ejemplo, si el sistema lógico principal está configurado con employee y el sistema lógico de usuario está configurado con source-identity manager, el grupo de referencia de esta entrada de autenticación incluye employee y manager. Este grupo de referencia contiene las mismas entradas de autenticación del sistema lógico principal y del sistema lógico del usuario.
A partir de Junos OS versión 19.3R1, la compatibilidad con la autenticación de firewall de usuario se mejora mediante el uso de un modelo personalizado a través de JIMS integrado con modo activo. En este modelo, el sistema lógico extrae las entradas de autenticación del nivel raíz. El sistema lógico principal se configura en el servidor JIMS según el sistema lógico y el nombre del sistema de inquilinos. En modo activo, el firewall de la serie SRX consulta activamente las entradas de autenticación recibidas del servidor JIMS a través del protocolo HTTP. Para reducir el intercambio de datos, se aplican filtros de firewall.
El firewall de usuario utiliza el nombre lógico del sistema como diferenciador y es coherente entre el servidor JIMS y el firewall de la serie SRX. El servidor JIMS envía el diferenciador que se incluye en la entrada de autenticación. Las entradas de autenticación se distribuyen en el sistema lógico raíz cuando el diferenciador se establece como predeterminado para el sistema lógico principal.
El firewall de usuario admite la actualización de software en servicio (ISSU) para sistemas lógicos, ya que el firewall de usuario cambia el formato de tabla de base de datos interna a partir de Junos OS versión 19.2R1. Antes de Junos OS versión 19.2R1, ISSU no es compatible con sistemas lógicos.
- Limitación del uso de autenticación de firewall de usuario
- Limitación del uso de la autenticación de firewall de usuario en un modelo personalizado en sistemas lógicos
Limitación del uso de autenticación de firewall de usuario
El uso de la autenticación de firewall de usuario en sistemas de inquilinos tiene la siguiente limitación:
El servidor de JIMS recopila las entradas de autenticación en función de la dirección IP de la red del cliente. Si las direcciones IP se superponen, la entrada de autenticación cambia cuando los usuarios inician sesión en diferentes sistemas lógicos de usuario.
Limitación del uso de la autenticación de firewall de usuario en un modelo personalizado en sistemas lógicos
El uso de la autenticación de firewall de usuario en un modelo personalizado en sistemas lógicos tiene la siguiente limitación:
Las configuraciones del servidor JIMS que se van a configurar en los sistemas lógicos raíz.
El nombre del sistema lógico debe ser coherente y único entre el servidor JIMS y el firewall de la serie SRX.
Ver también
Ejemplo: Configuración de la administración de identificación de firewall de usuario integrada para un sistema lógico de usuario
En este ejemplo, se muestra cómo configurar la función de consulta avanzada del firewall de la serie SRX para obtener información de identidad del usuario del Servicio de administración de identidad de Juniper (JIMS) y la política de seguridad para que coincida con la identidad de origen de un sistema lógico de usuario. En el sistema lógico raíz, el firewall de usuario se configura con JIMS y, luego, el sistema lógico raíz administra todas las entradas de autenticación procedentes de JIMS. En este ejemplo, todos los sistemas lógicos de usuario comparten sus entradas de autenticación con el sistema lógico raíz.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dispositivos SRX1500 que funcionan en clústeres de chasis
Servidor JIMS
Junos OS versión 18.2 R1
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico. Consulte Descripción general de los sistemas lógicos de usuario
Configure los sistemas lógicos de usuario lsys1 y lsys2. Consulte Ejemplo: Configuración de sistemas lógicos de usuario
Configure el perfil de seguridad en el sistema lógico principal y asígnelo a los sistemas lógicos de usuario lsys1 y lsys2. Consulte Ejemplo: Configuración de perfiles de seguridad de sistemas lógicos (solo administradores principales)
Configure las interfaces y las opciones de enrutamiento en sistemas lógicos, sistema lógico raíz, sistemas lógicos de usuario, lsys1 y lsys2. Consulte Ejemplo: Configuración de interfaces, instancias de enrutamiento y rutas estáticas para los sistemas lógicos principal y de interconexión e interfaces de túnel lógico para los sistemas lógicos de usuario (solo administradores principales) y Ejemplo: Configuración de interfaces e instancias de enrutamiento para sistemas lógicos de usuario
Configurar políticas de seguridad para un sistema lógico de usuario. Consulte Ejemplo: Configuración de políticas de seguridad en sistemas lógicos de usuario
Configure zonas para un sistema lógico de usuario. Consulte Ejemplo: Configuración de zonas de seguridad para sistemas lógicos de usuario
Configure sistemas lógicos en un clúster básico de chasis activo/pasivo. Consulte Ejemplo: Configuración de sistemas lógicos en un clúster de chasis activo/pasivo (solo administradores principales)
Descripción general
En este ejemplo, puede configurar JIMS con una conexión HTTP en el puerto 443 y un servidor principal con dirección IPv4 en un sistema lógico principal, la política p1 con la identidad de origen "group1" del dominio dc0 en el sistema lógico LSYS1, la política P1 con la identidad de origen "group1" del dominio dc0 en el sistema lógico LSYS2 y enviar tráfico desde y a través del sistema lógico LSYS1 al sistema lógico LSYS2. Puede ver las entradas de autenticación en el sistema lógico principal y en los sistemas lógicos de usuario (lsys1 y lsys2) incluso después de reiniciar el nodo principal.
Configuración
- Configuración rápida de CLI
- Configuración de la administración de identificación de firewall de usuario
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit set logical-systems lsys1 security policies policy-rematch set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit set logical-systems lsys2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
Configuración de la administración de identificación de firewall de usuario
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar la administración de identificación de firewall de usuario:
Inicie sesión en el sistema lógico principal como administrador principal y especifique el modo de configuración.
user@host> configure user@host#
Cree sistemas lógicos.
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1 user@host#set LSYS2
Configure una lsys1_policy1 de políticas de seguridad con source-identity group1 en un sistema lógico lsys1 que permita el tráfico de lsys1_trust a lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit
Configure una política de seguridad lsys1_policy2 que permita el tráfico de lsys1_trust a lsys1_untrust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit
Configure una política de seguridad lsys1_policy3 que permita el tráfico de lsys1_untrust a lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit user@host#set policy-rematch
Configure la zona de seguridad y asigne interfaces a cada zona.
[edit security zones] user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic protocols all
Configure una lsys2_policy1 de políticas de seguridad con source-identity group1 que permita el tráfico de lsys2_untrust a lsys2_untrust en lsys2.
[edit security policies] user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit user@host#set policy-rematch
Configure zonas de seguridad y asigne interfaces a cada zona en lsys2.
[edit security zones] user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
Configure JIMS como el origen de autenticación para las solicitudes de consulta avanzadas con la dirección principal. El firewall de la serie SRX requiere esta información para ponerse en contacto con el servidor.
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
Configure las zonas y las políticas de seguridad en el sistema lógico principal.
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
Configure zonas de seguridad y asigne interfaces a cada zona en el sistema lógico principal.
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show services user-identification identity-management show chassis cluster configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
user@host# show services user-identification identity-management
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
user@host# show chassis cluster
reth-count 5;
control-ports {
fpc 3 port 0;
fpc 9 port 0;
}
redundancy-group 0 {
node 0 priority 200;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 2 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 3 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 4 {
node 0 priority 100;
node 1 priority 1;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar el estado del clúster de chasis y las entradas de autenticación
- Verificar el estado del clúster de chasis
Verificar el estado del clúster de chasis y las entradas de autenticación
Propósito
Para comprobar las entradas de autenticación en un sistema lógico.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show services user-identification authentication-table authentication-source identity-management logical-system all comando.
user@host> show services user-identification authentication-table authentication-source identity-management logical-system all
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
Significado
El resultado muestra las entradas de autenticación que se comparten desde el sistema lógico del usuario al sistema lógico raíz.
Verificar el estado del clúster de chasis
Propósito
Verifique el estado del clúster de chasis después de reiniciar el nodo principal.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show chassis cluster status comando.
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no NoneSignificado
El resultado muestra la sesión de administración de identificación de usuario existente en lsys1 y lsys2 después de reiniciar el nodo principal.
Ejemplo: configurar un firewall de usuario integrado en un modelo personalizado para un sistema lógico
En este ejemplo, se muestra cómo configurar el firewall de usuario integrado mediante un modelo personalizado a través del servidor del Servicio de administración de identidad de Juniper (JIMS) con modo activo para un sistema lógico. Los sistemas lógicos primarios no comparten las entradas de autenticación con el sistema lógico. El firewall de la serie SRX consulta las entradas de autenticación recibidas del servidor JIMS a través del protocolo HTTP en modo activo.
En este ejemplo, se realizan las siguientes configuraciones:
-
Configuración activa del servidor JIMS
-
Configuración de consulta IP del sistema lógico
-
Configuración de entrada de autenticación del sistema lógico
-
Configuración de política de seguridad del sistema lógico
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Servidor JIMS versión 2.0
-
Junos OS versión 19.3R1
Antes de comenzar, asegúrese de tener la siguiente información:
-
La dirección IP del servidor JIMS.
-
El número de puerto en el servidor JIMS para recibir solicitudes HTTP.
-
El ID de cliente del servidor JIMS para el servidor de consultas activo.
-
El secreto de cliente del servidor JIMS para el servidor de consultas activo.
Descripción general
En este ejemplo, puede configurar JIMS con conexión HTTP en el puerto 443 y servidor primario con dirección IPv4 en el sistema lógico principal, política p2 con identidad group1 de origen en el sistema LSYS1lógico.
Configuración
- Configuración rápida de CLI
- Configuración del firewall de usuario integrado en un modelo personalizado:
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Configuración del firewall de usuario integrado en un modelo personalizado:
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar el firewall de usuario integrado en un modelo personalizado:
-
Configure JIMS como el origen de autenticación para las solicitudes de consulta avanzadas con la dirección principal. El firewall de la serie SRX requiere esta información para ponerse en contacto con el servidor.
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
Configure el tiempo de retraso de la consulta IP para LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
Configure los atributos de entrada de autenticación para LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
Configure la política de seguridad p2 que permita el tráfico de no confianza de zona a confianza de zona para LSYS1.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show logical-systems LSYS1 para confirmar la show services user-identification logical-domain-identity-management configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
user@host# show services user-identification logical-domain-identity-management
active {
query-server jims1 {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
}
}
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity "example.com\group1";
}
then {
permit;
}
}
}
}
}
services {
user-identification {
logical-domain-identity-management {
active {
invalid-authentication-entry-timeout 1;
ip-query {
query-delay-time 30;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
- Verificación del estado de administración de identidades de identificación de usuario
- Verificar los contadores de estado de administración de identidades de identificación de usuario
- Verificar la tabla de autenticación de identificación de usuario
Verificación del estado de administración de identidades de identificación de usuario
Propósito
Compruebe el estado de identificación del usuario para la administración de identidades como origen de autenticación.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show services user-identification logical-domain-identity-management status comando.
user@host> show services user-identification logical-domain-identity-management status
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL
Token expire time : 2017-11-27 23:45:22
Secondary server :
Address : Not configured
Significado
El resultado muestra los datos estadísticos sobre la función de consulta de usuario avanzada, las consultas por lotes y las consultas IP, o muestra el estado en los servidores del Servicio de administración de identidad de Juniper.
Verificar los contadores de estado de administración de identidades de identificación de usuario
Propósito
Compruebe los contadores de identificación de usuario para la administración de identidades como origen de autenticación.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show services user-identification logical-domain-identity-management counters comando.
user@host> show services user-identification logical-domain-identity-management counters
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Batch query sent number : 65381
Batch query total response number : 64930
Batch query error response number : 38
Batch query last response time : 2018-08-14 15:10:52
IP query sent number : 10
IP query total response number : 10
IP query error response number : 0
IP query last response time : 2018-08-13 12:41:56
Secondary server :
Address : Not configured
Significado
El resultado muestra los datos estadísticos sobre la función de consulta de usuario avanzada, las consultas por lotes y las consultas IP, o muestra los contadores en los servidores del Servicio de administración de identidad de Juniper.
Verificar la tabla de autenticación de identificación de usuario
Propósito
Compruebe las entradas de la tabla de autenticación de información de identidad del usuario para el origen de autenticación especificado.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show services user-identification authentication-table authentication-source all logical-system LSYS1 comando.
user@host> show services user-identification authentication-table authentication-source all logical-system LSYS1
node0:
--------------------------------------------------------------------------
Logical System: LSYS1
Domain: example.com
Total entries: 4
Source IP Username groups(Ref by policy) state
10.12.0.2 administrator posture-healthy Valid
10.12.0.15 administrator posture-healthy Valid
2001:db8::5 N/A posture-healthy Valid
2001:db8::342c:302b N/A posture-healthy Valid
Significado
El resultado muestra todo el contenido de la tabla de autenticación del origen de autenticación especificado o de un dominio, grupo o usuario específico según el nombre de usuario. Muestra la información de identidad de un usuario basada en la dirección IP del dispositivo del usuario.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.