EN ESTA PÁGINA
Ejemplo: configurar perfiles de acceso (solo administradores principales)
Ejemplo: configuración de características de seguridad para los sistemas lógicos primarios
Descripción de la autenticación de firewall del sistema lógico
Ejemplo: configuración de la autenticación de firewall para un sistema lógico de usuario
Descripción de la compatibilidad con un firewall de usuario integrado en un sistema lógico
Autenticación de usuario para sistemas lógicos
La autenticación de usuario para sistemas lógicos permite definir usuarios de firewall y crear directivas que requieren que los usuarios se autentiquen a través de uno de dos esquemas de autenticación: autenticación PassThrough o autenticación web. Para obtener más información, consulte los temas siguientes:
Ejemplo: configurar perfiles de acceso (solo administradores principales)
El administrador principal es responsable de configurar los perfiles de acceso en el sistema lógico principal. En este ejemplo, se muestra cómo configurar perfiles de acceso.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Descripción de los sistemas lógicos principales y la función de administrador principal.
Lea Descripción general de la autenticación de usuario del firewall.
Visión general
En este ejemplo se configura un perfil de acceso para la autenticación LDAP para los usuarios del sistema lógico. En este ejemplo se crea el perfil de acceso descrito en la tabla 1.
El administrador principal crea el perfil de acceso.
Nombre |
Parámetros de configuración |
|---|---|
LDAP1 |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
Debe haber iniciado sesión como administrador principal.
set access profile ldap1 authentication-order ldap set access profile ldap1 ldap-options base-distinguished-name ou=people,dc=example,dc=com set access profile ldap1 ldap-options assemble common-name uid set access profile ldap1 ldap-server 10.155.26.104 port 389
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar un perfil de acceso en el sistema lógico principal:
Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.
admin@host> configure admin@host#
Configure un perfil de acceso y establezca el orden de autenticación.
[edit access profile ldap1] admin@host# set authentication-order ldap
Configure las opciones de LDAP.
[edit access profile ldap1] admin@host# set ldap-options base-distinguished-name ou=people,dc=example,dc=com admin@host# set ldap-options assemble common-name uid
Configure el servidor LDAP.
[edit access profile ldap1] admin@host# set ldap-server 10.155.26.104 port 389
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show access profile profile-name comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
admin@host# show access profile ldap1
authentication-order ldap;
ldap-options {
base-distinguished-name ou=people,dc=example,dc=com;
assemble {
common-name uid;
}
}
ldap-server {
10.155.26.104 port 389;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: configuración de características de seguridad para los sistemas lógicos primarios
En este ejemplo se muestra cómo configurar características de seguridad, como zonas, directivas y autenticación de firewall, para el sistema lógico principal.
Requisitos
Antes de empezar:
-
Inicie sesión en el sistema lógico principal como administrador principal. Consulte Ejemplo: Configuración de contraseña raíz para sistemas lógicos.
-
Utilice el
show system security-profilecomando para ver los recursos asignados al sistema lógico principal. -
Configure interfaces lógicas para el sistema lógico principal. Consulte Ejemplo: Configuración de interfaces, instancias de enrutamiento y rutas estáticas para los sistemas lógicos primarios e interconectados e interfaces de túnel lógico para los sistemas lógicos de usuario (solo administradores principales).
-
Configure el perfil de acceso ldap1 en el sistema lógico principal. El perfil de acceso ldap1 se utiliza para la autenticación web de usuarios de firewall.
Visión general
En este ejemplo, se configuran características de seguridad para el sistema lógico principal, denominado root-logical-system, que se muestra en Ejemplo: creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión. En este ejemplo se configuran las características de seguridad descritas en la tabla 2.
| Característica |
Nombre |
Parámetro de configuración |
|---|---|---|
| Zonas |
ls-root-trust |
Enlazar a la interfaz ge-0/0/4.0. |
|
|
ls-root-untrust |
Enlazar a la interfaz lt-0/0/0.1 |
| Libretas de direcciones |
raíz interna |
|
|
|
raíz externa |
|
| Políticas de seguridad |
permiso-a-userlsys |
Permita el siguiente tráfico:
|
|
|
usuarios autorizados por permisos |
Permita el siguiente tráfico:
|
| Autenticación de firewall |
|
|
| Demonio HTTP |
|
Activar en la interfaz ge-0/0/4.0 |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security address-book root-internal address masters 10.12.12.0/24 set security address-book root-internal attach zone ls-root-trust set security address-book root-external address design 10.12.1.0/24 set security address-book root-external address accounting 10.14.1.0/24 set security address-book root-external address marketing 10.13.1.0/24 set security address-book root-external address-set userlsys address design set security address-book root-external address-set userlsys address accounting set security address-book root-external address-set userlsys address marketing set security address-book root-external attach zone ls-root-untrust set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match source-address masters set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match destination-address userlsys set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys match application any set security policies from-zone ls-root-trust to-zone ls-root-untrust policy permit-to-userlsys then permit set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match source-address userlsys set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match destination-address masters set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-http set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users match application junos-https set security policies from-zone ls-root-untrust to-zone ls-root-trust policy permit-authorized-users then permit firewall-authentication web-authentication set security zones security-zone ls-root-trust interfaces ge-0/0/4.0 set security zones security-zone ls-root-untrust interfaces lt-0/0/0.1 set system services web-management http interface ge-0/0/4.0 set access firewall-authentication web-authentication default-profile ldap1 set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar zonas y políticas para el sistema lógico principal:
-
Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.
admin@host> configure admin@host#
-
Cree zonas de seguridad y asigne interfaces a cada zona.
[edit security zones] admin@host# set security-zone ls-root-trust interfaces ge-0/0/4.0 admin@host# set security-zone ls-root-untrust interfaces lt-0/0/0.1
-
Crear entradas de libreta de direcciones.
[edit security] admin@host# set address-book root-internal address masters 10.12.12.0/24 admin@host# set address-book root-external address design 10.12.1.0/24 admin@host# set address-book root-external address accounting 10.14.1.0/24 admin@host# set address-book root-external address marketing 10.13.1.0/24 admin@host# set address-book root-external address-set userlsys address design admin@host# set address-book root-external address-set userlsys address accounting admin@host# set address-book root-external address-set userlsys address marketing
-
Adjunte libretas de direcciones a zonas.
[edit security] admin@host# set address-book root-internal attach zone ls-root-trust admin@host# set address-book root-external attach zone ls-root-untrust
-
Configure una política de seguridad que permita el tráfico desde la zona ls-root-trust a la zona ls-root-untrust.
[edit security policies from-zone ls-root-trust to-zone ls-root-untrust] admin@host# set policy permit-to-userlsys match source-address masters admin@host# set policy permit-to-userlsys match destination-address userlsys admin@host# set policy permit-to-userlsys match application any admin@host# set policy permit-to-userlsys then permit
-
Configure una política de seguridad que autentique el tráfico desde la zona ls-root-untrust a la zona ls-root-trust.
[edit security policies from-zone ls-root-untrust to-zone ls-root-trust] admin@host# set policy permit-authorized-users match source-address userlsys admin@host# set policy permit-authorized-users match destination-address masters admin@host# set policy permit-authorized-users match application junos-http admin@host# set policy permit-authorized-users match application junos-https admin@host# set policy permit-authorized-users then permit firewall-authentication web-authentication
-
Configure el perfil de acceso de autenticación web y defina una bandera de éxito.
[edit access] admin@host# set firewall-authentication web-authentication default-profile ldap1 admin@host# set firewall-authentication web-authentication banner success “WEB AUTH LOGIN SUCCESS”
-
Active el demonio HTTP en el dispositivo.
[edit system] admin@host# set services web-management http interface ge-0/0/4.0
Resultados
Desde el modo de configuración, escriba los comandos , y show system services para confirmar la show securityconfiguración. show access Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, este resultado del comando solo incluye la configuración relevante para este show ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
[edit]
admin@host# show security
...
address-book {
root-internal {
address masters 10.12.12.0/24;
attach {
zone ls-root-trust;
}
}
root-external {
address design 10.12.1.0/24;
address accounting 10.14.1.0/24;
address marketing 10.13.1.0/24;
address-set userlsys {
address design;
address accounting;
address marketing;
}
attach {
zone ls-root-untrust;
}
}
}
policies {
from-zone ls-root-trust to-zone ls-root-untrust {
policy permit-to-userlsys {
match {
source-address masters;
destination-address userlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-root-untrust to-zone ls-root-trust {
policy permit-authorized-users {
match {
source-address userlsys;
destination-address masters;
application [ junos-http junos-https ];
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
}
zones {
security-zone ls-root-trust {
interfaces {
ge-0/0/4.0;
}
}
security-zone ls-root-untrust {
interfaces {
lt-0/0/0.1;
}
}
}
[edit]
admin@host# show access
...
firewall-authentication {
web-authentication {
default-profile ldap1;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
[edit]
admin@host# show system services
web-management {
http {
interface ge-0/0/4.0;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Descripción de la autenticación de firewall del sistema lógico
Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. Junos OS permite a los administradores restringir y permitir que los usuarios del firewall accedan a recursos protegidos (diferentes zonas) detrás de un firewall en función de su dirección IP de origen y otras credenciales.
El administrador principal es responsable de configurar los perfiles de acceso en el sistema lógico principal. Los perfiles de acceso almacenan nombres de usuario y contraseñas de usuarios o apuntan a servidores de autenticación externos donde se almacena dicha información. Los perfiles de acceso configurados en el sistema lógico primario están disponibles para todos los sistemas lógicos de usuario.
El administrador principal configura el número máximo y reservado de autenticaciones de firewall para cada sistema lógico de usuario. A continuación, el administrador del sistema lógico del usuario puede crear autenticaciones de firewall en el sistema lógico del usuario. Desde un sistema lógico de usuario, el administrador del sistema lógico de usuario puede utilizar el comando para ver el show system security-profile auth-entry número de recursos de autenticación asignados al sistema lógico de usuario.
Para configurar el perfil de acceso, el administrador principal utiliza la instrucción configuration profile en el nivel de jerarquía [edit access] del sistema lógico principal. El perfil de acceso también puede incluir el orden de los métodos de autenticación, las opciones de servidor LDAP o RADIUS y las opciones de sesión.
A continuación, el administrador del sistema lógico de usuario puede asociar el perfil de acceso a una política de seguridad en el sistema lógico de usuario. El administrador del sistema lógico de usuario también especifica el tipo de autenticación:
Con la autenticación PassThrough , un host o un usuario de una zona intenta tener acceso a los recursos de otra zona mediante un cliente FTP, telnet o HTTP. El dispositivo utiliza FTP, Telnet o HTTP para recopilar información de nombre de usuario y contraseña, y el tráfico posterior del usuario o host se permite o se deniega en función del resultado de esta autenticación.
Con la autenticación Web, los usuarios usan HTTP para conectarse a una dirección IP en el dispositivo que está habilitada para la autenticación Web y se les pide el nombre de usuario y la contraseña. El tráfico posterior del usuario o host al recurso protegido se permite o deniega en función del resultado de esta autenticación.
El administrador del sistema lógico de usuario configura las siguientes propiedades para la autenticación de firewall en el sistema lógico de usuario:
Política de seguridad que especifica la autenticación de firewall para el tráfico coincidente. La autenticación de firewall se especifica con la instrucción configuration
firewall-authenticationen el nivel de jerarquía [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit].Los usuarios o grupos de usuarios de un perfil de acceso a los que la directiva permite el acceso pueden especificarse opcionalmente con la instrucción de configuración client-match. (Si no se especifica ningún usuario o grupo de usuarios, se permite el acceso a cualquier usuario que se haya autenticado correctamente).
Para la autenticación PassThrough se puede especificar opcionalmente el perfil de acceso y se puede habilitar la redirección web (redirigir el sistema cliente a una página web para autenticación).
Tipo de autenticación (autenticación PassThrough o Web), perfil de acceso predeterminado y banner de éxito para la sesión FTP, Telnet o HTTP. Estas propiedades se configuran con la instrucción configuration
firewall-authenticationen el nivel de jerarquía [edit access].Tráfico entrante del host. Los protocolos, servicios o ambos pueden acceder al sistema lógico. Los tipos de tráfico se configuran con la
host-inbound-trafficinstrucción configuration en los niveles de jerarquía [] o [edit security zones security-zone zone-nameedit security zones security-zone zone-name interfaces interface-name].
Desde un sistema lógico de usuario, el administrador del sistema lógico de usuario puede utilizar los comandos o show security firewall-authentication history para ver la información sobre los show security firewall-authentication users usuarios del firewall y el historial del sistema lógico de usuario. Desde el sistema lógico primario, el administrador principal puede utilizar los mismos comandos para ver información del sistema lógico principal, de un sistema lógico de usuario específico o de todos los sistemas lógicos.
Ver también
Ejemplo: configuración de la autenticación de firewall para un sistema lógico de usuario
En este ejemplo se muestra cómo configurar la autenticación de firewall para un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico de usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Utilice el
show system security-profiles auth-entrycomando para ver las entradas de autenticación del firewall asignadas al sistema lógico.El administrador principal debe configurar los perfiles de acceso en el sistema lógico principal.
Visión general
En este ejemplo se configura el sistema lógico de usuario ls-product-design que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, los usuarios de los sistemas lógicos ls-marketing-dept y ls-accounting-dept deben autenticarse al iniciar determinadas conexiones con la subred de diseñadores de productos. En este ejemplo se configura la autenticación de firewall descrita en la tabla 3.
En este ejemplo se utilizan el perfil de acceso configurado y las entradas de la libreta de direcciones configuradas en Ejemplo: Configuración de zonas de seguridad para un sistema lógico de usuario.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Política de seguridad |
usuarios autorizados por permisos
Nota:
La búsqueda de directivas se realiza en el orden en que se configuran las directivas. Se utiliza la primera directiva que coincida con el tráfico. Si ha configurado previamente una directiva que permite el tráfico para la misma dirección desde, a-zona, dirección de origen y destino, pero con aplicación |
Permitir la autenticación de firewall para el siguiente tráfico:
El perfil de acceso ldap1 se utiliza para la autenticación pass-through. |
Autenticación de firewall |
|
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users match application junos-h323 set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1 set access firewall-authentication pass-through default-profile ldap1 set access firewall-authentication pass-through http banner login “welcome”
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar la autenticación de firewall en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y entre en el modo de configuración.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure una política de seguridad que permita la autenticación de firewall.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match destination -address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users match application junos-h323 lsdesignadmin1@host:ls-product-design# set policy permit-authorized-users then permit firewall-authentication pass-through access-profile ldap1
Reordene las políticas de seguridad.
[edit] lsdesignadmin1@host:ls-product-design# insert security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-authorized-users before policy permit-all-from-otherlsys
Configure la autenticación de firewall.
[edit access firewall-authentication] lsdesignadmin1@host:ls-product-design# set pass-through http banner login "welcome" lsdesignadmin1@host:ls-product-design# set pass-through default-profile ldap1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show access firewall-authentication . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-authorized-users {
match {
source-address otherlsys;
destination-address product-designers;
application junos-h323;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile ldap1;
}
}
}
}
}
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
lsdesignadmin1@host:ls-product-design# show access firewall-authentication
pass-through {
default-profile ldap1;
http {
banner {
login welcome;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificación de la autenticación de usuarios del firewall y supervisión de usuarios y direcciones IP
Propósito
Muestre el historial de usuarios de autenticación de firewall y compruebe el número de usuarios de firewall que se autenticaron correctamente y de usuarios de firewall que no pudieron iniciar sesión.
Acción
Desde el modo operativo, ingrese estos show comandos.
lsdesignadmin1@host:ls-product-design> show security firewall-authentication history lsdesignadmin1@host:ls-product-design> show security firewall-authentication history identifier id lsdesignadmin1@host:ls-product-design> show security firewall-authentication users lsdesignadmin1@host:ls-product-design> show security firewall-authentication users identifier id
Descripción de la compatibilidad con un firewall de usuario integrado en un sistema lógico
A partir de Junos OS versión 18.3R1, la compatibilidad con orígenes de autenticación se amplía para incluir la autenticación local, la autenticación de Active Directory (AD) y la autenticación de firewall, además de la compatibilidad existente con orígenes de autenticación, Juniper Identity Management Service (JIMS) y autenticación ClearPass.
A partir de Junos OS versión 18.2R1, la compatibilidad con la autenticación de firewall de usuario se mejora mediante un modelo compartido. En este modelo, los sistemas lógicos de usuario comparten la configuración del firewall de usuario y las entradas de autenticación con el sistema lógico principal y la autenticación de firewall de usuario integrada se admite en un sistema lógico de usuario.
En el modelo compartido, la configuración relacionada con el firewall de usuario se configura en el sistema lógico principal, como el origen de autenticación, la prioridad del origen de autenticación, el tiempo de espera de las entradas de autenticación y la consulta IP o la consulta individual, etc. El firewall de usuario proporciona un servicio de información de usuario para una aplicación del firewall de la serie SRX, como políticas y registros. El tráfico de un sistema lógico de usuario consulta las tablas de autenticación del sistema lógico primario.
Las tablas de autenticación son administradas por un sistema lógico primario. Los sistemas lógicos de usuario comparten las tablas de autenticación. El tráfico del sistema lógico principal y los sistemas lógicos de usuario consulta la misma tabla de autenticación. Los sistemas lógicos de usuario permiten el uso de la identidad de origen en la política de seguridad.
Por ejemplo, si el sistema lógico principal está configurado con empleado y el sistema lógico de usuario está configurado con el administrador de identidades de origen, el grupo de referencia de esta entrada de autenticación incluye empleado y gerente. Este grupo de referencia contiene las mismas entradas de autenticación del sistema lógico primario y del sistema lógico de usuario.
A partir de Junos OS versión 19.3R1, la compatibilidad con la autenticación de firewall de usuario se mejora mediante el uso de un modelo personalizado a través de JIMS integrado con modo activo. En este modelo, el sistema lógico extrae las entradas de autenticación del nivel raíz. El sistema lógico primario se configura en el servidor JIMS según el sistema lógico y el nombre del sistema inquilino. En el modo activo, el firewall de la serie SRX consulta activamente las entradas de autenticación recibidas del servidor JIMS a través del protocolo HTTP. Para reducir el intercambio de datos, se aplican filtros de firewall.
El firewall de usuario utiliza el nombre del sistema lógico como diferenciador y es coherente entre el servidor JIMS y el firewall de la serie SRX. El servidor JIMS envía el diferenciador que se incluye en la entrada de autenticación. Las entradas de autenticación se distribuyen en el sistema lógico raíz, cuando el diferenciador se establece como predeterminado para el sistema lógico primario.
El firewall de usuario admite la actualización de software en servicio (ISSU) para sistemas lógicos, ya que el firewall de usuario cambia el formato de la tabla de base de datos interna a partir de la versión 19.2R1 de Junos OS. Antes de Junos OS versión 19.2R1, ISSU no era compatible con sistemas lógicos.
- Limitación del uso de la autenticación de firewall de usuario
- Limitación del uso de la autenticación de firewall de usuario en un modelo personalizado en sistemas lógicos
Limitación del uso de la autenticación de firewall de usuario
El uso de la autenticación de firewall de usuario en sistemas inquilinos tiene la siguiente limitación:
El servidor JIMS recopila las entradas de autenticación en función de la dirección IP de la red del cliente. Si las direcciones IP se superponen, la entrada de autenticación cambia cuando los usuarios inician sesión en diferentes sistemas lógicos de usuario.
Limitación del uso de la autenticación de firewall de usuario en un modelo personalizado en sistemas lógicos
El uso de la autenticación de firewall de usuario en un modelo personalizado en sistemas lógicos tiene la siguiente limitación:
Las configuraciones del servidor JIMS que se van a configurar en los sistemas lógicos raíz.
El nombre lógico del sistema debe ser coherente y único entre el servidor JIMS y el firewall de la serie SRX.
Ver también
Ejemplo: configuración de la administración integrada de identificación de firewall de usuario para un sistema lógico de usuario
En este ejemplo se muestra cómo configurar la característica de consulta avanzada del firewall de la serie SRX para obtener información de identidad de usuario del Servicio de administración de identidades (JIMS) de Juniper y la política de seguridad para que coincida con la identidad de origen de un sistema lógico de usuario. En el sistema lógico raíz, el firewall de usuario se configura con JIMS y, a continuación, el sistema lógico raíz administra todas las entradas de autenticación procedentes de JIMS. En este ejemplo, todos los sistemas lógicos de usuario comparten sus entradas de autenticación con el sistema lógico raíz.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
SRX1500 dispositivos que funcionan en clústeres de chasis
Servidor JIMS
Junos OS versión 18.2 R1
Antes de empezar:
Inicie sesión en el sistema lógico de usuario como administrador del sistema lógico. Consulte Descripción general de los sistemas lógicos de usuario
Configure los sistemas lógicos de usuario lsys1 y lsys2. Consulte Ejemplo: Configuración de sistemas lógicos de usuario
Configure el perfil de seguridad en el sistema lógico principal y asígnelo a los sistemas lógicos de usuario lsys1 y lsys2. Consulte Ejemplo: Configuración de perfiles de seguridad de sistemas lógicos (solo administradores principales)
Configure interfaces y opciones de enrutamiento en sistemas lógicos, sistema lógico raíz, sistemas lógicos de usuario lsys1 y lsys2. Consulte Ejemplo: Configuración de interfaces, instancias de enrutamiento y rutas estáticas para los sistemas lógicos primarios e interconectados e interfaces de túnel lógico para los sistemas lógicos de usuario (solo administradores primarios) y ejemplo: Configuración de interfaces e instancias de enrutamiento para un usuario Sistemas lógicos
Configurar políticas de seguridad para un usuario de sistemas lógicos. Consulte Ejemplo: Configuración de directivas de seguridad en un sistema lógico de usuario
Configurar zonas para un sistema lógico de usuario. Consulte Ejemplo: Configuración de zonas de seguridad para un sistema lógico de usuario
Configure sistemas lógicos en un clúster básico de chasis activo/pasivo. Consulte Ejemplo: Configuración de sistemas lógicos en un clúster de chasis activo/pasivo (solo administradores principales)
Visión general
En este ejemplo, puede configurar JIMS con conexión HTTP en el puerto 443 y servidor primario con dirección IPv4 en el sistema lógico principal, política p1 con identidad de origen "grupo1" del dominio dc0 en el sistema lógico lsys1, política p1 con identidad de origen "grupo1" del dominio dc0 en el sistema lógico lsys2, y enviar tráfico desde y a través del sistema lógico lsys1 al sistema lógico lsys2. Puede ver las entradas de autenticación en el sistema lógico primario y en los sistemas lógicos de usuario (lsys1 y lsys2) incluso después de reiniciar el nodo principal.
Configuración
- Configuración rápida de CLI
- Configuración de la administración de identificación de firewall de usuario
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any set logical-systems lsys1 security policies from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any set logical-systems lsys1 security policies from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit set logical-systems lsys1 security policies policy-rematch set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" set logical-systems lsys2 security policies from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit set logical-systems lsys2 security policies policy-rematch set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.5 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret "$ABC123" set security policies from-zone root_trust to-zone root_trust policy root_policy1 match source-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any set security policies from-zone root_trust to-zone root_trust policy root_policy1 match application any set security policies from-zone root_trust to-zone root_trust policy root_policy1 then permit set security policies policy-rematch set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all set security zones security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all set firewall family inet filter impair-ldap term allow_all then accept
Configuración de la administración de identificación de firewall de usuario
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar la administración de identificación de firewall de usuario:
Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.
user@host> configure user@host#
Crear sistemas lógicos.
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1 user@host#set LSYS2
Configure un lsys1_policy1 de políticas de seguridad con el grupo de identidad de origen1 en el sistema lógico lsys1 que permita el tráfico de lsys1_trust a lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match application any user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 match source-identity "example.com\group1" user@host#set from-zone lsys1_trust to-zone lsys1_trust policy lsys1_policy1 then permit
Configure una lsys1_policy2 de política de seguridad que permita el tráfico de lsys1_trust a lsys1_untrust.
[edit security policies] user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match source-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match destination-address any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 match application any user@host#set from-zone lsys1_trust to-zone lsys1_untrust policy lsys1_policy2 then permit
Configure una lsys1_policy3 de política de seguridad que permita el tráfico de lsys1_untrust a lsys1_trust.
[edit security policies] user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match source-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match destination-address any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 match application any user@host#set from-zone lsys1_untrust to-zone lsys1_trust policy lsys1_policy3 then permit user@host#set policy-rematch
Configure la zona de seguridad y asigne interfaces a cada zona.
[edit security zones] user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces reth2.0 host-inbound-traffic protocols all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic system-services all user@host#set security-zone lsys1_trust interfaces lt-0/0/0.11 host-inbound-traffic protocols all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic system-services all user@host#set security-zone lsys1_untrust interfaces reth3.0 host-inbound-traffic protocols all
Configure un lsys2_policy1 de políticas de seguridad con el grupo de identidad de origen1 que permita el tráfico de lsys2_untrust a lsys2_untrust en lsys2.
[edit security policies] user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match destination-address any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match application any user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 match source-identity "example.com\group2" user@host#set from-zone lsys2_untrust to-zone lsys2_untrust policy lsys2_policy1 then permit user@host#set policy-rematch
Configure zonas de seguridad y asigne interfaces a cada zona en lsys2.
[edit security zones] user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces reth4.0 host-inbound-traffic protocols all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic system-services all user@host#set security-zone lsys2_untrust interfaces lt-0/0/0.21 host-inbound-traffic protocols all
-
Configure JIMS como origen de autenticación para solicitudes de consulta avanzadas con la dirección principal. El firewall de la serie SRX requiere esta información para ponerse en contacto con el servidor.
[edit services user-identification identity-management] user@host#set connection port 443 user@host#set connection connect-method https user@host#set connection primary address 192.0.2.5 user@host#set connection primary client-id otest user@host#set connection primary client-secret test user@host#set authentication-entry-timeout 0
Configure las zonas y las políticas de seguridad en el sistema lógico principal.
[edit security policies] user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match source-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match destination-address any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 match application any user@host#set from-zone root_trust to-zone root_trust policy root_policy1 then permit user@host#set policy-rematch
Configure zonas de seguridad y asigne interfaces a cada zona del sistema lógico principal.
[edit security zones] user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces reth1.0 host-inbound-traffic protocols all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic system-services all user@host#set security-zone root_trust interfaces lt-0/0/0.1 host-inbound-traffic protocols all user@host#set firewall family inet filter impair-ldap term allow_all then accept
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show services user-identification identity-management show chassis cluster comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show services user-identification identity-management
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
user@host# show chassis cluster
reth-count 5;
control-ports {
fpc 3 port 0;
fpc 9 port 0;
}
redundancy-group 0 {
node 0 priority 200;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 2 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 3 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 4 {
node 0 priority 100;
node 1 priority 1;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice las siguientes tareas:
- Comprobación del estado del clúster de chasis y de las entradas de autenticación
- Comprobación del estado del clúster de chasis
Comprobación del estado del clúster de chasis y de las entradas de autenticación
Propósito
Para comprobar las entradas de autenticación en un sistema lógico.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show services user-identification authentication-table authentication-source identity-management logical-system all comando.
user@host> show services user-identification authentication-table authentication-source identity-management logical-system all
node0:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
node1:
--------------------------------------------------------------------------
Logical System: root-logical-system
Domain: ad2012.jims.com
Total entries: 3
Source IP Username groups(Ref by policy) state
2001:db8:aaaa: N/A Valid
2001:db8:aaaa: administrator Valid
203.0.113.50 administrator Valid
Significado
El resultado muestra las entradas de autenticación que se comparten desde el sistema lógico del usuario al sistema lógico raíz.
Comprobación del estado del clúster de chasis
Propósito
Compruebe el estado del clúster del chasis después de reiniciar el nodo principal.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show chassis cluster status comando.
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
Cluster ID: 6
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 0
node0 200 hold no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 2 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 3 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no None
Redundancy group: 4 , Failover count: 0
node0 0 hold no no CS
node1 1 secondary no no NoneSignificado
El resultado muestra la sesión de administración de identificación de usuario existente en lsys1 y lsys2 después de reiniciar el nodo principal.
Ejemplo: configurar un firewall de usuario integrado en un modelo personalizado para un sistema lógico
En este ejemplo se muestra cómo configurar el firewall de usuario integrado mediante un modelo personalizado a través del servidor de Juniper Identity Management Service (JIMS) con modo activo para un sistema lógico. Los sistemas lógicos primarios no comparten las entradas de autenticación con el sistema lógico. El firewall de la serie SRX consulta las entradas de autenticación recibidas del servidor JIMS a través del protocolo HTTP en modo activo.
En este ejemplo, se realizan las siguientes configuraciones:
-
Configuración activa del servidor JIMS
-
Configuración de consultas IP del sistema lógico
-
Configuración de entrada de autenticación de sistema lógico
-
Configuración de la directiva de seguridad del sistema lógico
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Servidor JIMS versión 2.0
-
Junos OS versión 19.3R1
Antes de comenzar, asegúrese de tener la siguiente información:
-
La dirección IP del servidor JIMS.
-
El número de puerto del servidor JIMS para recibir solicitudes HTTP.
-
El ID de cliente del servidor JIMS para el servidor de consultas activo.
-
El secreto de cliente del servidor JIMS para el servidor de consultas activo.
Visión general
En este ejemplo, puede configurar JIMS con conexión HTTP en el puerto 443 y servidor primario con dirección IPv4 en el sistema lógico primario, política p2 con identidad group1 de origen en el sistema LSYS1lógico.
Configuración
- Configuración rápida de CLI
- Configuración del firewall de usuario integrado en un modelo personalizado:
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, escriba commit desde el modo de configuración.
set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123" set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30 set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1 set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Configuración del firewall de usuario integrado en un modelo personalizado:
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar el firewall de usuario integrado en un modelo personalizado:
-
Configure JIMS como origen de autenticación para solicitudes de consulta avanzadas con la dirección principal. El firewall de la serie SRX requiere esta información para ponerse en contacto con el servidor.
user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection connect-method https user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection port 443 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary address 192.0.2.5 user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-id otest user@host# set services user-identification logical-domain-identity-management active query-server jims1 connection primary client-secret "$ABC123"
-
Configure el tiempo de retraso de consulta IP para LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active ip-query query-delay-time 30
-
Configure los atributos de entrada de autenticación para LSYS1.
user@host# set logical-systems LSYS1 services user-identification logical-domain-identity-management active invalid-authentication-entry-timeout 1
-
Configure la política de seguridad p2 que permite el tráfico de la zona que no confía a la zona para LSYS1.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 match source-identity "example.com\group1" user@host#set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show services user-identification logical-domain-identity-management comandos y show logical-systems LSYS1 . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show services user-identification logical-domain-identity-management
active {
query-server jims1 {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.5;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
}
}
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity "example.com\group1";
}
then {
permit;
}
}
}
}
}
services {
user-identification {
logical-domain-identity-management {
active {
invalid-authentication-entry-timeout 1;
ip-query {
query-delay-time 30;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
- Verificación del estado de administración de identidad de identificación de usuario
- Comprobación de los contadores de estado de Identity Management de identificación de usuario
- Comprobación de la tabla de autenticación de identificación de usuario
Verificación del estado de administración de identidad de identificación de usuario
Propósito
Compruebe el estado de identificación del usuario para la administración de identidades como origen de autenticación.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show services user-identification logical-domain-identity-management status comando.
user@host> show services user-identification logical-domain-identity-management status
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : isdHIbl8BXwxFftMRubGVsELRukYXtW3rtKmHiL
Token expire time : 2017-11-27 23:45:22
Secondary server :
Address : Not configured
Significado
El resultado muestra los datos estadísticos sobre las consultas por lotes y las consultas IP de la función de consulta avanzada de usuarios, o muestra el estado en los servidores del Servicio de administración de identidades de Juniper.
Comprobación de los contadores de estado de Identity Management de identificación de usuario
Propósito
Compruebe los contadores de identificación de usuario para la administración de identidades como origen de autenticación.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show services user-identification logical-domain-identity-management counters comando.
user@host> show services user-identification logical-domain-identity-management counters
node0:
--------------------------------------------------------------------------
Query server name :jims1
Primary server :
Address : 192.0.2.5
Batch query sent number : 65381
Batch query total response number : 64930
Batch query error response number : 38
Batch query last response time : 2018-08-14 15:10:52
IP query sent number : 10
IP query total response number : 10
IP query error response number : 0
IP query last response time : 2018-08-13 12:41:56
Secondary server :
Address : Not configured
Significado
El resultado muestra los datos estadísticos sobre la función de consulta avanzada de usuarios, consultas por lotes y consultas IP, o muestra contadores en los servidores del Servicio de administración de identidades de Juniper.
Comprobación de la tabla de autenticación de identificación de usuario
Propósito
Compruebe las entradas de la tabla de autenticación de información de identidad de usuario para el origen de autenticación especificado.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show services user-identification authentication-table authentication-source all logical-system LSYS1 comando.
user@host> show services user-identification authentication-table authentication-source all logical-system LSYS1
node0:
--------------------------------------------------------------------------
Logical System: LSYS1
Domain: example.com
Total entries: 4
Source IP Username groups(Ref by policy) state
10.12.0.2 administrator posture-healthy Valid
10.12.0.15 administrator posture-healthy Valid
2001:db8::5 N/A posture-healthy Valid
2001:db8::342c:302b N/A posture-healthy Valid
Significado
El resultado muestra todo el contenido de la tabla de autenticación del origen de autenticación especificado o de un dominio, grupo o usuario específico según el nombre de usuario. Mostrar la información de identidad de un usuario en función de la dirección IP del dispositivo del usuario.