讲义卷用户认证

Copyright©2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenTechnologies,GigaScreen,andtheNetScreenlogoareregisteredtrademarksofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.Sunnyvale,CA94089-FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 CLI约 WebUI约 插图约 JuniperNetworksNetScreen文 第1章认 Admin用户 范例:组表达式 范例:组表达式 范例:自定义WebAuth标题 第2章认证服务 Auth服务器对象属

支持的用户类型和功 NetScreen词典文 质 SecurIDAuth服务器对象属 支持的用户类型和功 支持的用户类型和功 第3章认证用 Auth用户 范例:运行时认证(外部用户 范例:多个组中的本地Auth用户 JuniperNetworksNetScreen概念与范例–第8卷:用户认 范例:WebAuth(外部用户组 范例:仅WebAuth+SSL(外部用户组 在网关 IKE协商中的XAuth用 范例:XAuth认证(本地用户

XAuth客户 范例:NetScreen设备作为XAuth客户 索 JuniperNetworksNetScreen概念与范例–第8卷:用户认 8ScreenOS中认证不同类型用户的方法。本卷介绍了用户认证、可用户配置文件的两)，然后提供了配置认证、IKE、XauthL2TP用户和用户组的诸多示例。其IKE/XAuth用户)及在应用认证的策略JuniperNetworksNetScreen概念与范例–第8卷:用户认 前 约约vii|setinterface{ethernet1|ethernet2|ethernet3}变量以方式出现。例如setadminusername当键入关键字时，只需键入足够的字母就可以唯一地标识单词。例如，要输入命setadminuserjoej12fmt54setadmujoej12fmt54就足够了。尽管输入命令时可以使用此捷径，但本文所述的所有命令都JuniperNetworksNetScreen概念与范例–第8卷:用户认 前 约 框的路径显示为Objects>Addresses>List>New。此导航序列如下所示4123ObjectsObjectsDHTML菜单Addresses

JuniperNetworksNetScreen概念与范例–第8卷:用户认 前 约如要用WebUI执行任务，必须首先导航到相应的 令集划分为两部分:导航路径和配置详细信息。例如，下列指令集包含指向地址配置 ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于没由于没CommentIPAddressName/ Zone:OKJuniperNetworksNetScreen概念与范例–第8卷:用户认 前 约通用NetScreen

/24安全区 白色受保护区段接口例如Trust区段黑色例如Untrust

动态IPDIP)

例如:NAT服务器，接入集中器)

JuniperNetworksNetScreen概念与范例–第8卷:用户认 前 约 trust“localLAN”/24。NetScreen为双字节字符集，DBCS)的例子是中文、韩文和日文。JuniperNetworksNetScreen概念与范例–第8卷:用户认 前 JuniperNetworksNetScreen文档要获取任何JuniperNetworksNetScreen产品的技术文档， 打开支持个例，还可拨 国内)或 以外的地区) JuniperNetworksNetScreen概念与范例–第8卷:用户认 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念与范例–第8卷:用户认 HTTPFTPL2TP、netXAuth登录提示时出现的标题的信息。本章包括以下部分:JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 用户 IKEXAuthL2TPAuthIPSec上的L2TP通道设置和使用期间IKE、XAuth、L2TP和IKE1主模式5主动模式12

12

1

IPSec

2 信息流 注意:因为XAuth和L2TP都提供用户认证和地址分配，故通常它们不同时使用。此处将两者同时显示，只为说明 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 Admin用Admin户AdminNetScreenadminVsys 在本地数据库中，但可将具有读/写和只读权限的vsys用户和根 如果将admin用户帐户 在外部RADIUSauth服务器上，并在auth服务器上加载NetScreen词典文件(请参阅第25页上的“NetScreen词典文件”)，则可 查询服务器上定义的admin权限。此外，您也可以指定某权限级别，以全局方式应用于该auth服务器上 的所有admin用户。可指定读/写或只读权限。如果将admin用户SecurID、LDAPRADIUS服务器未NetScreen:JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 Admin用Admin

Admin用户发1

4,5.NetScreen设备首先在本地数据库上检查admin

本地数据 2,3.NetScreen通过HTTP

authWebUI6NetScreen设备成功认证admin用户后，打开WebUICLI会话。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 多类 在本地数据库上Auth/L2TP

L2TP/XAuth尽管在本地数据库上定义多类型用户帐户时，可以创建上述所有组合，但在创建之前仍须考虑以下事项将IKE用户类型与其它任何用户类型组合后，会限制其扩展潜能。必须将IKE用户帐户 这些帐户重新置于外部auth服务器中。如果将IKE用户帐户与其它类型帐户分离，必要时可以灵活地将非IKE用户帐户移动到外部auth服务器中。L2TPXAuth:IP、DNSWINS服务器地址分配。建议不要对L2TPL2TPXAuth地址分配。auth/L2TPauth/uth更高的安全性。例如，可将auth用户帐户 在外部auth服务器上，将XAuth用户帐户 ，并在IKE网关配置中 XAuth用户，而在策略 auth用户。拨号 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达组表(“a”ORb”(“aANDb组合起来，也可以将某个用户、用户组或另一组表达式排除在外(NOT“c”)。虽然您NetScreen设备上定义组表达并在本地数据库)，但组表达式中的用户和用户组须在外RADIUS服务器RADIUS服务器允许一个用户属于多个用户组。但本地数据库不允许这户、auth用户组或先前定义的组表达式。用ANDAND运算符时，要求两个表达式对象中至少有一个是用户组或组表达式。要求某个“aAND“b”是不符合逻辑的。“aAND组“b中的成员，则只有当满足这两个条件时，NetScreen设备才会认证该用户。NOT“c”NOTc”)“c”，NetScreen设备就会认证他/她。用户JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达组表达NetScreen设备才会认证他/她。NetScreen设备才会认证他/她。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达范例组表达式 名为“project1”的服务器(0)上的 ObjectsAddressesListNewAddressName:project1IPAddress/ IP/Netmask:0/32Zone:Trust组表达ObjectsGroupExpressionsNewGroupExpression:ANDsalesAND信息流NetScreen设备外，不能有任何其它路由设备。有关区段内部策略的详细信息，请参阅2-293页上策略”。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达PoliciesFromTrust,ToTrust)NewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置页:

AuthServerUse:GroupExpressionExternalGroupExpressionsetaddresstrustproject1组表达setgroup-expressions+msalesand策setpolicytopfromtrusttotrustanyproject1anypermitauthserverradius1group-expressions+mJuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达范例组表达式 页上的“范例:RADIUSAuth服务器”。)然后在从Trust区段到DMZ的策略中使用该组表达式。策略的认证部分要求用户必须为amy或basil，才能 0处名为“web1”的Web服务器。ObjectsAddressesListNewAddressName:IP Zone:DMZ组表达ObjectsGroupExpressionsNewGroupExpression:a/bOR:amyORbasilJuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达PoliciesFromTrust,ToDMZNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置页:

AuthServerUse:GroupExpressionExternalGroupExpressionsetaddresstrustproject1组表达setgroup-expressiona/bamyor策setpolicytopfromtrusttodmzanyweb1anypermitauthserverradius1group-expressiona/bJuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达范例组表达式 互联网。策略的认证部分要求认证Trust区段中除“temp”中的用户以外的 Untrust区段。组表达ObjectsGroupExpressionsNewGroupExpression:-OR:NOTPoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:Action:PositionatTop>AuthServerUse:GroupExpressionExternalGroupExpressionJuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 组表达组表达setgroup-expression-tempnotsetpolicytopfromtrusttountrustanyanyanypermitauthserverJuniperNetworksNetScreen概念与范例–第8卷:用户认 第1章认 标题 net、FTP或HTTP的登录提示、成功消息和失败消息上显范例自定义WebAuth

ConfigurationBannersWebAuthSuccessBannerAuthenticationapproved，然后单Apply。setwebauthbannersuccess“Authentication net或控制台标题下面加入其它标题行。虽然 net标题可不同于控制台标题，但 题，请输入以下命令:setadminauthbannersecondarystring。JuniperNetworksNetScreen概念与范例–第8卷:用户认 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 认证可对NetScreen设备进行配置，以便使用本地数据库或者一个或多个外部认证服务器验证以下类型用户 AuthIKEL2TPXAuthAdmin 在本地数据库上。RADIUS是唯一支持L2TP和XAuthNetScreenRADIUSSecurIDLDAP服务器。可使用各种类型的认证服务authL2TPXAuthadminNetScreenWebAuth，这是面向auth[WebAuth的范例，请参阅70:仅WebAuthSSL外部用户类型及认证功能之间的对应支持关系加以总结:

L2TP用 设置 设置 bbbbbbbbbbbbbbbb bbbbbbbbJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 这一数字包括本地数据库，但不包括备份认证服务器。一个RADIUSLDAP服务器支持两个备份服务器，一个SecurID9RADIUSRADIUS服

IKE

IKE/XAuth用户(橙色)–>本地数据库IKE用户(红色)–>本地数据库IKE/L2TP绿色SecurID服务器Admin(紫色)–>RADIUS服务器Auth用户(蓝色)–>LDAP服务器RADIUS服务器可同时admin、auth、L2TPXAuth用户。

Auth

服务

JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 本地

数据 用户进 AuthIKEL2TP

*在NetScreen设备上定义组表达式，但用户和用户组必须 请参阅第6页上的“组表达式”。auth)WebUICLI向本地数JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 范例

ConfigurationAdminManagementEnableWebManagementIdleTimeoutApplyConfigurationAuthServersEditLocalTimeout30Applysetadminauthtimeoutsetauth-serverLocaltimeoutJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 外部Auth服务Auth服器NetScreen设备可与用户帐户的一个或多个外部认证服务器或“authNetScreen设备在接证检查的过程如下:主机

1

Auth2Name:??2 成功消成功消

7

服务主机A将FTP、HTTP 用户以用户名 回复JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 外部Auth服务 : :

超时周

JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 外部Auth服务 Admin用户:如果空闲时间长度达到超时临界值，NetScreen设备将终止admin会话。要继续管理分钟。也可将超时值设置为0，此时admin会话将 Admin必须重新连adminadmin

RADIUSSecurIDLDAPauthJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类Auth服务器型NetScreenauthRADIUSSecurIDLDAP

NetScreen设备在批准连接请求RADIUS服务器对拨号用户进行认证。RADIUS客户端(即NetScreen设备)通过客户端与服务器之间的一系列通信对用户进行认证。通常，RADIUS会要求登录人员输入其用户名 RADIUSNetScreenRADIUSIP地址并定义共享与RADIUS服务器上的定义相同。共享是一个，RADIUSNetScreenRADIUS设备之间的信JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类 )。设备利用 将其 为1645 响应时，向RADIUS服务器发送另外的认证请求之前Auth 设置XAuth用户(认证 设置Admin(认证和权限指派中，RADIUS是目前唯一能支持如此众多对象的服务器。为了使RADIUS服务器能够支持管理权限、用户组及L2TP和XAuthIP地址1、DNS和WINS服务器地址分配等NetScreen 义上述属性的NetScreen词典文件。 属性(VSA)JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类NetScreen词典文件用于定义可加载到RADIUS服务器上的供应商 用户登录NetScreen设备时查询这些属性。NetScreenVSA包括管理权限、用户组及 L2TP和XAuthIP地址、SoftwareRADIUS服务器。如果使用 RADIUS服务器，则不会有任何词典文件。必须如Bi-DirectionalNetScreenRemote usingxAuthandFirewallAuthenticationwith InternetAuthenticationService(IAS) /knowbase/root/public/ns10382.pdfVendorIDNetScreenIDVID；也称“IETF3224。VID用于识别特殊属性的具体供应RADIUSVID，而其它类型则只要求输入一次，然后即可全局应用。有关详细信息，请参阅RADIUS服务器文档。 属性。 属性编号分为两个范围NetScreenScreenOS:1–NetScreen-GlobalPRO200值122 kb/downloads/dictionary/funkradius.zip kb/downloads/dictionaryJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类 net到服务器的下列方案

可选Name:

Name:(Name:

(Name:JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类 NetScreen设备截取该数据包、检查其策略列表、确定该会话是否需要用户认证。NetScreen设备缓存 与该用户的 握手 并发送给NetScreen设备。然后，NetScreen设备将含有登录信息的“ 求”发送到RADIUS服务器。RADIUSNetScreen(“质询”可以有选择地提示认证用户再次提供用户名。第二个用户名可以与第一个NetScreen)响应”的第二个“请求”发送到RADIUS服务器。RADIUSauth(SecurID服务器必)RADIUSauth服务器发送“请求”。RADIUS服务器将“响应”转发给另一台auth服务器，并且该服务器发送“接受”，或者如RADIUSRADIUSNetScreen设备发送“接受”消息。然后，NetScreen设备通知认证用户登录成功。NetScreenSYN:net在本NetScreen并不支持具L2TP的“质询”。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类SecurID结合两种因素来创建动态变化的，而不使用固定。SecurID具有一个大小的设备，称为认证户还拥有个人识别号码(PIN)。用户登录时，需要输入用户名、其PIN以及当前令牌代码。SecurID认证设备认证器

60秒就变成另一同算法的ACE服务器将接收到的值与其数据库中的值进行比较。如果它们匹配，则认证成功。NetScreen设备充当客户端，将认证请求转发到外部服务器申请批准，并在用户和服务器之间传递登录信息。SecurID与RADIUS的不同之处在于用户“ JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类AuthenticationPort:SecurIDACE服务器上的端 ，NetScreen设备向此处发送认证请求。缺省端为5500。DESClientTimeoutNetScreen秒)UseDuress:PINPINSecurIDACE服务器会允许一次，之后，它会该用户的所有其它登录尝试，直至他/她SecurID管理员联系。只有SecurIDACE服务器支持此选项时，才可使用强迫模式。AuthXAuth用户认证；不支持设置指派Adminadmin用户接收只读的缺省权限指派目前，尽管可使用SecurID服务器 L2TP、XAuth和admin用户帐户进行认证，但SecurIDACE服务器仍不能指派L2TP或 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类 协议(LDAP)是密歇根大学在1996年开发出来 确定资源位置，如网络上的组织 和文件帮助认证用户尝试连接 LDAP的基本结构分支至上而下依次为国家、组织、组织单位、 “县”等。下图为LDAP分支组织结构的一个范例。

LDAPRFC-1777,“LightweightDirectoryAccessProtocol”可对NetScreen设备进行配置，以便 到“轻量 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 Auth服务器类 为389注意:如果更改NetScreen设备上的LDAP LDAP服务器支持以下类型的用户和认证功能AuthXAuth用户(用户认证；不支 设置指派Adminadmin用户接收只读的缺省权限指派 或 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对Auth服务器象要在策略、IKE网关和L2TP通道中 说明如何为RADIUS服务器、SecurID服务器和LDAP服务器定义auth服务器对象。在下例中，将为RADIUS服务器定义auth服务器对象。将其用户帐户类型指定为auth、L2TP和XAuth。将 由缺省值(1645)更改为4500。将其共享 改为30分钟，并将RADIUS重试超时值由3秒更改为4秒。同时将两个备份服务器的IP地址分别指定为10和20。此外，还要将NetScreen词典文件加载到RADIUS服务器上，使其能支持下列供应商 属性(VSA)的查询:用户 L2TP和XAuth设置。NetScreen设备将auth、L2TPXAuth如果NetScreen设备与主RADIUS服务器的网络连接断开，它会重新定向，将认证请求转发到10地址处的备份1。如果NetScreen设备无法连到备份服务器1求转发20地址处的备份服务器2

IP:

IP:

RADIUS服务器Name:radius1IP00Port:Timeout:30JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对ConfigurationAuthServersNewName: Name:Backup1:Timeout:AccountTypeAuthL2TPRADIUSPort:RetryTimeout:4SharedSecret:JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对setauth-serverradius1typesetauth-serverradius1account-typeauthl2tpsetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiustimeoutsetauth-serverradius1radiussecretA56htYY97kl (1645)展开 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对范例SecurIDAuth在下例中，将为SecurIDACE服务器配置auth服务器对象。将其用户帐户类型指定为admin。将服务器命名为址:10。将其端 法保护认证信息。允许重试三次，客户端超时值为10秒4。将空闲超时值由缺省值(10分钟)更改为60分钟5。禁用UseDuress设置。NetScreen设备将admin00地址SecurIDsecurid1”。NetScreen设备与SecurID服务器的网络连接断开，1。

备份服务IP:

SecurID服务器Namesecurid1IP00Port:15000ClientTimeout:10secondsIdleTimeout:60minutesAccountTypes:Admin客户端超时值是指两次认证重试操作之SecurID客户即NetScreen秒)请参阅第21页上的“Auth服务器对象属性”。)JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对ConfigurationAuthServersNewName: Name:Backup1:Timeout:AccountType:SecurID:(选择)ClientRetries:3ClientTimeout:10secondsAuthenticationPort:15000EncryptionType:DESUserDuress:Nosetauth-serversecurid1typesetauth-serversecurid1server-name00setauth-serversecurid1backup110setauth-serversecurid1timeout60setauth-serversecurid1account-typeadminsetauth-serversecurid1securidretries3setauth-serversecurid1securidtimeout10setauth-serversecurid1securidauth-portsetauth-serversecurid1securidencr1setauth-serversecurid1securidduress0JuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对范例LDAPAuth在下例中，将为LDAP服务器配置auth服务器对象。将用户帐户类型指定为auth。将LDAP服务器命名为“ldap1”，并接受NetScreen设备自动指派的ID号。输入其IP地址00；将其端 由缺省值(389)更改20。LDAP通用名称标识符为cn，DistinguishedName(识别名称)为c=us;o=juniper;ou=marketing。NetScreen设备将认证请求从auth用户发送到会重新定向，将认证请求转发到10地址处的备份1。如果NetScreen1，它会将认证请20地址处的备份服务器2。

备份服务IP:

备份服务IP:

LDAP服务器Name:ldap1IP00Port:Timeout:40minutesCommonName:cnDistinguishedNam::AccountType:AuthJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义Auth服务器对

ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:40AccountType:AuthLDAPPort:CommonNameIdentifier:DistinguishedName(dn):setauth-serverldap1typesetauth-serverldap1account-typesetauth-serverldap1server-name00setauth-serverldap1backup110setauth-serverldap1backup220setauth-serverldap1timeout40setauth-serverldap1ldapport15000setauth-serverldap1ldapcncnsetauth-serverldap1ldapdnJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义缺省Auth服务定义缺省Auth服器auth 范例更改缺省AuthJuniperNetworksNetScreen概念与范例–第8卷:用户认 第2章认证服务 定义缺省Auth服务

sAutoKeyAdvancedXAuthSettingsDefaultAuthenticationServerLocal后单击Apply7sL2TPDefaultSettingsDefaultAuthenticationServerradius1setxauthdefaultauthserverLocal7setl2tpdefaultauthserverradius1setadminauthserversecurid1setauthdefaultauthserverJuniperNetworksNetScreen概念与范例–第8卷:用户认 认证用户(或“auth用户”)指启动通过 在本地数据库或外部RADIUS、SecurID或LDAP服务器上。可将多个auth用户帐户集合到一起组成auth用户组，用户组可以 在本地数据库或RADIUS服务器上。单个器上定义一个名为“au_grp1”的auth用户组，并在组中添加10个成员，则在NetScreen设备上必须也定义一个名为“au_grp1”的auth用户组，将其标识为外部用户组，但不在其中添加成员。如果在策略中 外部auth用户组“au_grp1”和auth服务器“rs1”，则当与该策略匹配的信息流 认证检查时，NetScreen设备可以正确查询指定的RADIUS服务器。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用在策略 户定义auth用户后，可创建一个要求用户通过两种认证方案之一进行认证的策略。第 配的FTP、HTTP或 求用户认证的策略的信息流(任何类型，不局限于FTP、HTTP或 net)之前进行认证。运行时认用户尝试发起(应用要求进行认证的策略的)HTTP、FTP 与本地数据库或外部auth服务器上的用户名和 2

数据

5

7成功成功 auth用户将FTP、HTTP net输入登录信息用户以用户名 回复 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用策略前检查认证HTTP1Name:??Name:??

15auth用户连接到WebAuthIP1，并成功登录。[NetScreen在指定数据库(本地数据库或外部auth服务器)中检查auth用户帐户。] 成功消成功消

47

外部

的连

策略引擎记录应用于该信息流的策略要求通过WebAuth进行认WebAuth进行认证，并将信息流发送到其目的地。WebAuth的一些详细说明(IP/24WebAuthWebAuthIP/24子网内。口的信息，请参阅2-51)JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用WebAuth)NAT可将所有初始源地址更改为单个转换后的地址)后面发出信息流，则实际情况可能就是这样。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户在策略 组要管理多个auth用户，可创建auth用户组，并将 您可将用户集合成组，使对此组实施的任何更改应用于组的所有成员，而不必分别管理每个用户。一个auth用户最 1个策

1JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例运行时认证本地用户在本例中，将定义一个名为louis的本地auth用户，其 为iDa84rNk，在Trust区段通讯簿中的地址名为“host1”。然后配置两个外向策略:一个 请求以及来自“host1”Auth用户和地ObjectsUsersLocalNewUserName:louisStatus:EnableUserPassword:iDa84rNkObjectsAddressesListNewAddressName:IP IP/Netmask:/32Zone:TrustJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryAction:DenyPoliciesFromTrustToUntrustNewSourceAddressBookEntryhost1DestinationAddress:AddressBookEntryAnyServiceANYAction:PositionatTop>置页:AuthServer)Use:LocalUserLocalAuthUserJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户setuserlouispasswordiDa84rNk1setaddresstrusthost/32setpolicyfromtrusttountrustanyanyanysetpolicytopfromtrusttountrusthost1anyanypermitauthuserlouis JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例运行时认证本地用户组 auth_grp1的策略。此策略为auth_grp1提供FTP-GET和FTP-PUT权限，令其以Trust区段中“auth_grp1”地址名(IP地址/24) DMZ区段中名为“ftp1”(IP地址/32)的FTP服务器。ObjectsUsersLocalGroupsNewGroupNameauth_grp1，执行以下操作，然后单击Members栏中。Members栏中。ObjectsAddressesListNewAddressName:IP IP/Netmask:/24Zone:Trustauth、IKEL2TP和XAuth用户类型可创建多类型用户组。不能将Admin用户与其它任意用户类型组合。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:PoliciesFromTrustToDMZNewSourceAddressBookEntryauth_grp1DestinationAddress:AddressBookEntryService:FTPPositionatTop>置页:AuthServer)Use:LocalUserGroupLocalAuthGroupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户setuser-groupauth_grp1locationlocalsetuser-groupauth_grp1userlouissetuser-groupauth_grp1userlara地setaddresstrustauth_grp/24setaddressdmzftp1/32setpolicytopfromtrusttodmzauth_grp1ftp1ftppermitauthuser-groupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例运行时认证外部用户Accounttype:IPaddress:Backup1IPaddress:Backup2IPaddress:

Authenticationtimeout:60LDAPportnumber: 务器x_srv1上进行认证的外向策略。Auth服务ConfigurationAuthServersNewName: Name:Backup1:Timeout:60AccountTypeAuthLDAP:(选择)LDAPPort:CommonNameIdentifier:DistinguishedName(dn):JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户外部用 为eTcS114uObjectsAddressesListNewAddressName:IP Zone:TrustPoliciesFromTrustToUntrustNewSourceAddressBookEntryDestinationAddressBookEntryService:Action:PositionatTop>AuthServerUse:UserExternalUserExternalUser:euclidJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户Auth服务setauth-serversetauth-serverx_srv1typesetauth-serverx_srv1account-typesetauth-serverx_srv1server-name00setauth-serverlx_srv1backup110setauth-serverx_srv1backup220setauth-serverx_srv1timeout60setauth-serverx_srv1ldapportsetauth-serverx_srv1ldapcnsetauth-serverx_srv1ldapdn外部用 为eTcS114usetaddresstrusteuc_host策setpolicytopfromtrusttountrusteuc_hostanyanyauthserverx_srv1userJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例运行时认证外部用户组RADIUSauth服务器“ Trust区段中。(有关区段内部策略的详细信息，请参阅第2-293页上的“策略”。)RADIUSNetScreen词典文件加载到RADIUS服务器上4其应用于要添加到该组中的auth用户帐户。: JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户Auth服务ConfigurationAuthServersNewName: Name:Backup2:Timeout:AccountType:RADIUS:(选择)SharedSecret:外部用户ObjectsUsersExternalGroups>NewGroupName:GroupType:ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户PoliciesFromTrustToTrust)NewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置页:AuthServerUse:UserGroupExternalAuthGroupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户Auth服务setauth-serverradius1typesetauth-serverradius1account-typesetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiussecret外部用户setuser-groupauth_grp2locationexternalsetuser-groupauth_grp2typeauth地setaddresstrustmidassetpolicytopfromtrusttotrustanymidasanypermitauthserveruser-groupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例多个组中的本地Auth 下列两台服务器:销售人(sales_reps组)使用的服务器A和经理(sales_mgrs组)使用的服务器B。要提供对这两台服务器的 要将Mary添加到这两个用户组中。然后创建两个策略—每组一个策略。本地用ObjectsUsersLocalNewStatus:EnableAuthenticationUser:(选择)UserPassword:iFa8rBdConfirmPasswordiFa8rBdObjectsUsersLocalGroupsNewGroupNamesales_mgrs，执行以下操作，然后单OK:Members栏中Members栏中。JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:ObjectsAddressesListNewAddressName:server_aIPAddress/ IP/Netmask/32Zone:UntrustObjectsAddressesListNewAddressName:server_bIPAddress/ IP/NetmaskZone:PoliciesFromTrustToUntrustNewSourceAddressBookEntrysalesDestinationAddress:AddressBookEntryService:FTPJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户PositionatTop置页:AuthServerUse:UserGroupLocalAuthGroupsales_repsPoliciesFrom:Trust;To:UntrustNew:输入以下内容，然后单击OK:SourceAddressBookEntrysalesDestinationAddress:AddressBookEntryService:Action:PositionatTopAuthServerUse:UserGroupLocalAuthGroupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户本地用setusermarypasswordsetuser-groupsales_mgrslocationsetuser-groupsales_mgrsusersetuser-groupsales_repslocationlocalsetuser-groupsales_repsusermarysetaddresstrustsales/24setaddressuntrustserver_a/32setaddressuntrustserver_b策setpolicytopfromtrusttountrustsalesserver_aftppermitauthuser-groupsetpolicytopfromtrusttountrustsalesserver_bftppermitauthuser-JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例WebAuth本地用户组WebAuthNetScreen设备上的本地数据库中创建名为“auth_grp3Trustauth用户帐户，并将他们添加到库作为缺省的WebAuth服务器。因此，用户在启动流向互联网的信息流之前，必须首先以HTTP方式连接到 登录。然后，NetScreen设备将该用户名和 认证请求。如果它批准该请求，被认证的用户将有30分钟的时间启动流向互联网的信息流。终止该ConfigurationAuth>WebAuthWebAuthServerLocalApply。NetworkInterfacesEditethernet1WebAuthWebAuthIP0。ConfigurationAuth>ServersEditLocalTimeout30Apply。用户ObjectsUsersLocalGroupsNewGroupNameauth_grp3，执行以下操作，然后单击GroupMembersJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANY>WebAuth:(选择)UserGroupLocalAuthGroupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户setwebauthserversetinterfaceethernet1webauth-ip0setinterfaceethernet1webauthsetauth-serverLocaltimeout用户setuser-groupauth_grp3locationauth用户添加到刚刚创建的用户组中setuser-groupauth_grp3usersetpolicytopfromtrusttountrustanyanyanypermitwebauthuser-groupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例WebAuth外部用户组 Trust区段中的每个人创建用户帐户，并将他们添加到“auth_grp4”中。Trust区段接口使用ethernet1，其IP地址为/24。指定0作为WebAuthIP地址，并使用外部首先以HTTP方式连接到0，并以用户名和 用户之间中继所有WebAuth用户认证请求及响应。RADIUS服务JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户Auth服务ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:AccountType:RADIUS:(选择)SharedSecret:>NetworkInterfacesEditethernet1WebAuthWebAuthIP0，然后单击OK。用户ObjectsUsersExternalGroupsNewGroupName:auth_grp4GroupType:AuthJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANY>WebAuth:(选择)UserGroupExternalAuthGroupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户Auth服务setauth-serverradius1typesetauth-serverradius1account-typesetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiussecretsetwebauthserversetinterfaceethernet1webauth-ip0setinterfaceethernet1webauth用户setuser-groupauth_grp4locationexternalsetuser-groupauth_grp4typeauthsetpolicytopfromtrusttountrustanyanyanypermitwebauthuser-groupJuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户范例WebAuthSSL外部用户组WebAuth(SSL技术组合，来保护用户登录时发送的用户名和。WebAuthNetScreen设备的管理信息流的来通过WebUI实现管理。SSL3-7页上的“接字层”。) RADIUSauth服务器“radius1RADIUSNetScreen设备上创建名为将其添加到“auth_grp5”中。auth”作为用户帐户类型。Untrustethernet3，IP/0WebAuthIP地址，指示设备对WebAuthSSLRADIUSauthradius1WebAuth服 的IDX号(本例中为1DES_SHA-SSL +因此，用户在启动流向互联网的信息流之前，必须首先以HTTP方式连接到 码登录。然后，NetScreen设备在“radius1”和尝试登录的用户之间中继所有WebAuth用户认证请求及响应。 JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户RADIUS服务Auth服务ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:30AccountType:AuthRADIUS:(选择)SharedSecret:>JuniperNetworksNetScreen概念与范例–第8卷:用户认 第3章认证用 在策略 Auth用户NetworkInterfacesEditethernet3I