Clasificar el tráfico en función de las funciones de los usuarios
A un usuario se le permite o se le deniega el acceso en función de las políticas de seguridad. Las directivas de seguridad de firewall de roles de usuario le permiten clasificar el tráfico en función de los roles a los que está asignado un usuario. La información del rol de usuario se puede recopilar desde el servidor de Junos Pulse o desde un servidor de autenticación de terceros.
Descripción del control de acceso unificado
En Junos OS versión 12.1 y posteriores, las directivas de seguridad de firewall de roles de usuario permiten clasificar el tráfico en función de los roles a los que está asignado un usuario. En función de los criterios de coincidencia, que incluyen el rol del usuario, se crean directivas para aplicar servicios que permiten o bloquean el acceso a los recursos. El firewall de roles de usuario es similar a la solución de control de acceso a redes (NAC) basada en identidad disponible con UAC en el firewall de la serie SRX. Sin embargo, un firewall de rol de usuario no requiere la instalación de Junos Pulse/Odyssey y admite la autenticación transparente sin agente.
La información de roles del usuario se puede recopilar de varias maneras: localmente en el firewall de la serie SRX, desde un dispositivo del servicio de control de acceso de Junos Pulse o mediante la transmisión de datos de autenticación desde un servidor de autenticación de terceros a través de un dispositivo del servicio de control de acceso de Junos Pulse al firewall de la serie SRX.
Adquirir información de roles de usuario de un servidor de autenticación de Active Directory
Las redes han utilizado la dirección IP como una forma de identificar usuarios y servidores. La estrategia se basa en el supuesto de que los usuarios o grupos de usuarios se conectan a la red desde ubicaciones fijas y utilizan un dispositivo a la vez.
Las redes inalámbricas y los dispositivos móviles requieren una estrategia diferente. Las personas pueden conectarse a la red utilizando múltiples dispositivos simultáneamente. La forma en que los dispositivos se conectan a la red cambia rápidamente. Ya no es posible identificar a un usuario con un grupo de direcciones IP asignadas estáticamente.
En Junos OS versión 12.1 y posteriores, las directivas de seguridad de firewall de roles de usuario permiten clasificar el tráfico en función de los roles a los que está asignado un usuario. En función de los criterios de coincidencia, que incluyen el rol del usuario, se crean directivas para aplicar servicios que permiten o bloquean el acceso a los recursos. El firewall de roles de usuario es similar a la solución de control de acceso a redes (NAC) basada en identidad disponible con UAC en el firewall de la serie SRX. Sin embargo, un firewall de rol de usuario no requiere la instalación de Junos Pulse/Odyssey y admite la autenticación transparente sin agente.
La información de roles del usuario se puede recopilar de varias maneras: localmente en el firewall de la serie SRX, desde un dispositivo del servicio de control de acceso de Junos Pulse o mediante la transmisión de datos de autenticación desde un servidor de autenticación de terceros a través de un dispositivo del servicio de control de acceso de Junos Pulse al firewall de la serie SRX.
La incorporación de un servidor de autenticación de terceros en una configuración de firewall de rol de usuario también puede proporcionar compatibilidad con el inicio de sesión único (SSO). Esto permite que un usuario basado en explorador se autentique una vez y que esa autenticación se comunique a otros servidores de confianza del dominio según sea necesario.
Requisitos
Esta solución utiliza los siguientes componentes de hardware y software:
Un dispositivo Junos Pulse Gateway de la serie MAG con la versión de software 4.2 o posterior
La licencia MAGx600-UAC-SRX instalada en el dispositivo serie MAG
Un firewall serie SRX con Junos OS versión 12.1 o posterior
Un servidor de Microsoft Active Directory con la versión 2008
Nota:Microsoft Windows 2003 también es compatible con esta funcionalidad, pero la terminología, las rutas de acceso y la configuración pueden diferir de lo que se presenta en este documento.
Antes de empezar:
Asegúrese de que el dispositivo de la serie MAG esté configurado como un servicio de control de acceso y que sea accesible para la red. Consulte la Guía de hardware de la puerta de enlace Junos Pulse de la serie MAG para obtener detalles de configuración.
Asegúrese de que la licencia MAGx600-UAC-SRX esté instalada en el dispositivo de la serie MAG.
Asegúrese de que el firewall de la serie SRX esté configurado e inicializado con Junos OS versión 12.1 o posterior.
Asegúrese de que el servidor de autenticación de Active Directory esté configurado para la autenticación estándar del Servicio de control de acceso de Junos Pulse. Consulte la documentación de terceros.
Asegúrese de que el administrador tenga las capacidades adecuadas para configurar los roles, los usuarios y las interacciones entre dispositivos.
Visión general
En esta solución, un firewall de la serie SRX obtiene información de roles de usuario dinámicamente de un servidor de autenticación de Microsoft Active Directory. El servicio de control de acceso del dispositivo serie MAG transmite al firewall de la serie SRX la comprobación de autenticación y la información de funciones de usuario del servidor de Active Directory.
Los usuarios del mismo dominio están conectados a un segmento LAN. Se asocian con grupos de roles de usuario, como desarrollador o administrador, dependiendo de su trabajo en la organización. Cuando un usuario se autentica en el servidor de autenticación de AD, el usuario debe poder tener acceso a los recursos protegidos sin tener que autenticarse una segunda vez.
El firewall de la serie SRX está configurado como un ejecutor para el dispositivo de la serie MAG. Recibe información de roles de usuario del dispositivo de la serie MAG y aplica políticas de firewall de rol de usuario en consecuencia al tráfico entrante y saliente.
Cuando el firewall de la serie SRX no tiene información de función de usuario para un usuario, el explorador del usuario se redirige al dispositivo de la serie MAG. De forma transparente para el usuario, el dispositivo de la serie MAG solicita la verificación desde el navegador. El explorador recupera un token del servidor de Active Directory confirmando la autenticación y lo pasa al dispositivo de la serie MAG. Con la información proporcionada por el token, el dispositivo de la serie MAG recupera la información de rol de usuario para el usuario del servidor de Active Directory y crea una entrada de tabla de autenticación que consta de la dirección IP actual y los datos de rol de usuario. El dispositivo de la serie MAG inserta la tabla actualizada en el firewall de la serie SRX y redirige el explorador de vuelta al SRX para solicitar acceso nuevamente. Esta vez, la tabla contiene información de rol de usuario que luego se recupera y usa como parte de los criterios de coincidencia para aplicar servicios de firewall de rol de usuario.
El usuario no es consciente del proceso a menos que el servidor de Active Directory (AD) no tenga autenticación actual para el usuario. Cuando ese es el caso, el servidor solicita al usuario el nombre y la contraseña. Una vez que se produce la autenticación, el servidor devuelve un token al explorador.
El procedimiento documentado aquí configura inicialmente el dispositivo de la serie MAG como autenticador. La configuración se modifica posteriormente para recuperar información de autenticación del servidor de AD. Esta solución usa la negociación SPNEGO y la autenticación Kerberos para proteger las comunicaciones entre el firewall de la serie SRX, el dispositivo de la serie MAG, el explorador y el servidor de autenticación.
Topología
La figura 1 muestra la topología de esta implementación en la que el dispositivo de la serie MAG se usa inicialmente como origen de autenticación. Más tarde, el servidor de AD se usa de forma transparente a menos que el usuario no esté autenticado, en cuyo caso se le pedirá un nombre de usuario y una contraseña.
de soporte de inicio de sesión único
La solicitud de un usuario para acceder a otro recurso se controla mediante roles y grupos asociados con el usuario. Por ejemplo, un usuario perteneciente a un grupo de desarrolladores llamado Dev podría tener acceso a un servidor de prueba determinado. El mismo usuario también puede ser el administrador y pertenecer al grupo Mgr que puede acceder a ciertos recursos de recursos humanos. Un contratista que trabaja para este gerente también puede requerir acceso al servidor de prueba, pero no a los recursos de recursos humanos. En este caso, el usuario se agregaría al grupo Dev y quizás a un grupo Contractor, pero no al grupo Mgr.
Las políticas de firewall de rol de usuario definidas en el firewall de la serie SRX controlan los grupos y roles de usuario que pueden acceder a varios recursos. En esta configuración, si no existen datos de rol de usuario para un usuario que solicita acceso, una política redirige el explorador del usuario al dispositivo de la serie MAG para autenticar al usuario y recuperar los datos de rol de usuario asociados.
Un intercambio de tokens entre el servicio de control de acceso, el explorador y el servidor de Active Directory permanece transparente para el usuario mientras comprueba la autenticación del usuario. El intercambio utiliza la negociación SPNEGO y la autenticación Kerberos para cifrar y descifrar mensajes entre los dispositivos.
Con la información obtenida del token de respuesta, el dispositivo de la serie MAG recupera los roles y grupos del usuario directamente desde el servidor de Active Directory. A continuación, crea una entrada de tabla de autenticación y la pasa al firewall de la serie SRX.
Configuración
Configure los dispositivos para esta solución realizando las siguientes tareas.
Conecte el firewall de la serie SRX y el dispositivo de la serie MAG en una configuración de ejecutor.
Configure el servicio de control de acceso en el dispositivo de la serie MAG para la autenticación de usuarios locales y compruebe que la información de autenticación se transfiere entre los dispositivos.
Configure una directiva de portal cautivo en el firewall de la serie SRX para redirigir a cualquier usuario no autenticado al Servicio de control de acceso y comprobar que la redirección funciona correctamente.
Configure el servidor de autenticación de Microsoft Active Directory para interactuar con el Servicio de control de acceso y los extremos.
Vuelva a configurar el servicio de control de acceso para la autenticación remota mediante el servidor de Active Directory y redefina los grupos de Active Directory para el firewall de la serie SRX.
Configurar exploradores de extremos para el protocolo SPNEGO
Para esta solución no es necesario configurar el servicio de control de acceso mediante autenticación local. Sin embargo, al configurar primero la autenticación local, puede comprobar la interacción del portal cautivo entre el dispositivo de la serie MAG y el firewall de la serie SRX.
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
- Conexión del firewall de la serie SRX al servicio de control de acceso
- Configuración del servicio de control de acceso para la autenticación de usuarios locales
- Configuración de la redirección desde el firewall de la serie SRX al servicio de control de acceso
- Configuración de Active Directory
- Reconfiguración de la autenticación remota en el servicio de control de acceso
- Configuración de exploradores de terminales para SPNEGO
Conexión del firewall de la serie SRX al servicio de control de acceso
Procedimiento paso a paso
En una configuración de ejecutor, el servicio de control de acceso en el dispositivo de la serie MAG y el firewall de la serie SRX se comunican a través de un canal seguro. Cuando el firewall de la serie SRX se conecta por primera vez con el servicio de control de acceso, los dispositivos intercambian información para garantizar una comunicación segura. Opcionalmente, puede utilizar certificados de seguridad digitales como mecanismo mejorado para establecer la confianza.
Consulte la Guía de administración del control de acceso unificado para obtener más información sobre cómo configurar la confianza de certificados entre el firewall de la serie SRX y el servicio de control de acceso .
Para conectar el firewall de la serie SRX y el servicio de control de acceso en el dispositivo de la serie MAG:
-
Configure el firewall de la serie SRX.
Procedimiento paso a paso
-
Configure las zonas e interfaces de los dispositivos.
user@host# set security zones security-zone user interfaces ge-0/0/0 user@host# set security zones security-zone infrastructure interfaces ge-0/0/1 user@host# set security zones security-zone untrust interfaces ge-0/0/2
-
Configure las direcciones IP de las interfaces.
user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.12.12.1/8 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.22/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 203.0.113.19/24
-
Identifique el servicio de control de acceso como un nuevo controlador de infranet y configure la interfaz para la conexión al mismo.
[edit] user@host# set services unified-access-control infranet-controller mag123 address 10.0.0.22 user@host# set services unified-access-control infranet-controller mag123 interface fxp0.0
-
Especifique la contraseña para proteger las interacciones entre el servicio de control de acceso y el firewall de la serie SRX.
[edit] user@host# set services unified-access-control infranet-controller mag123 password pwd
Nota:Se debe configurar la misma contraseña en ambos dispositivos.
-
(Opcional) Especifique el nombre completo del certificado del Servicio de control de acceso que el firewall de la serie SRX debe coincidir durante la conexión.
user@host# set services unified-access-control infranet-controller mag123 ca-profile ca-mag123-enforcer
-
Cuando haya terminado de configurar el firewall de la serie SRX, escriba confirmar desde el modo de configuración.
-
Configure el servicio de control de acceso desde la consola de administrador en el dispositivo de la serie MAG.
Procedimiento paso a paso
Vaya a la página Infranet Enforcer y haga clic en Nuevo ejecutor.
-
Seleccione Junos, escriba la contraseña establecida anteriormente en el firewall de la serie SRX (InSub321) e ingrese el número de serie del firewall de la serie SRX.
Haga clic en Guardar cambios.
Resultados
Cuando ambos dispositivos están configurados, el firewall de la serie SRX se conecta automáticamente al servicio de control de acceso.
En el Servicio de control de acceso, seleccione Sistema>Estado>Descripción general para ver el estado de la conexión al firewall de la serie SRX. El diodo en la pantalla es verde si la conexión está funcionando. Para mostrar información adicional, haga clic en el nombre del dispositivo.
Desde el modo operativo en el firewall de la serie SRX, ingrese el comando para confirmar la
show services unified-access-control statusconexión. Si el resultado no muestra la configuración deseada, repita las instrucciones de esta sección para corregir la configuración.user@host> show services unified-access-control status
Host Address Port Interface State mag123 10.0.0.22 11123 fxp0.0 connected
Configuración del servicio de control de acceso para la autenticación de usuarios locales
Procedimiento paso a paso
Cuando se autentica un usuario, el servicio de control de acceso en el dispositivo de la serie MAG actualiza su tabla de autenticación con la dirección IP y las funciones asociadas del usuario, e inserta la tabla actualizada en el firewall de la serie SRX. Si se eliminan o modifican estos datos de usuario, el Servicio de control de acceso actualiza la tabla de autenticación con la nueva información y la inserta de nuevo en el firewall de la serie SRX.
Para probar la transferencia y el contenido correctos de la tabla de autenticación, esta tarea configura el servicio de control de acceso en el dispositivo de la serie MAG para la autenticación local. Dentro de esta configuración, puede probar el firewall de rol de usuario desde el firewall de la serie SRX sin afectar otras operaciones de red. Una tarea posterior modifica esta configuración para proporcionar la recuperación de roles de usuario desde el servidor remoto de Active Directory.
No es un requisito configurar el servicio de control de acceso para la autenticación de usuarios locales. Se proporciona para que pueda probar cada tarea en la configuración.
Para configurar el servicio de control de acceso para la autenticación local:
Definir roles en el servicio de control de acceso.
Procedimiento paso a paso
En la consola de administrador del Servicio de control de acceso, seleccione Usuarios>Roles de usuario>Nuevo rol de usuario.
Escriba dev como nombre del rol.
En esta solución, use los valores predeterminados para otras configuraciones de rol.
Haga clic en Guardar cambios.
Nota:Esta solución supone que la licencia MAGx600-UAC-SRX está instalada en Access Control Service. Si la licencia con todas las funciones está instalada, deberá deshabilitar la instalación de OAC y habilitar el acceso sin agente.
Configure el servidor de autenticación predeterminado.
Procedimiento paso a paso
Seleccione Servidores > autenticación.
Seleccione Sistema local. Esto establece el dispositivo de la serie MAG como el servidor de autenticación predeterminado.
Crear usuarios.
Procedimiento paso a paso
Seleccione la pestaña Usuarios y haga clic en Nuevo.
Cree user-a ingresando los siguientes detalles.
Nombre de usuario
Nombre completo del usuario
Contraseña
Confirmación de contraseña
Repita el paso anterior para crear user-b.
Haga clic en Guardar cambios.
Cree un dominio.
Procedimiento paso a paso
Seleccione Usuarios>Dominios de usuario >Nuevo dominio de usuario.
Escribe REALM6 como nombre del reino.
Seleccione Sistema local en el cuadro Autenticación.
Haga clic en Guardar cambios.
Desde la misma página, cree reglas de asignación de roles.
Procedimiento paso a paso
Seleccione la pestaña Asignación de roles y haga clic en Nueva regla.
Defina dos reglas con los siguientes detalles.
Escriba el nombre de usuario user-a y asígnelo al rol dev.
Escriba el nombre de usuario user-b y asígnelo al rol dev.
Haga clic en Guardar cambios.
Configure la página de inicio de sesión predeterminada.
Procedimiento paso a paso
Seleccione Directivas de autenticación>inicio de sesión>inicio de sesión.
Haga clic en la directiva de inicio de sesión predeterminada (*/).
En el cuadro URL de inicio de sesión , escriba la dirección IP de este dispositivo.
En Dominio de autenticación, Dominios disponibles, seleccione DOMINIOM6.
Haga clic en Guardar cambios.
Resultados
Compruebe los resultados de la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de esta sección para corregir la configuración.
Procedimiento paso a paso
Compruebe que la autenticación local en el servicio de control de acceso funciona correctamente.
Abra una ventana del explorador desde un punto de conexión de la red.
Escriba el nombre de dominio completo para el servicio de control de acceso.
Debería mostrarse la página de inicio de sesión predeterminada.
Inicie sesión como usuario-a y proporcione la contraseña definida.
-
Desde el modo operativo en el firewall de la serie SRX:
Procedimiento paso a paso
-
Confirme que la tabla de autenticación del firewall de la serie SRX se actualizó con user-a.
user@host> show services unified-access-control authentication-table
Id Source IP Username Age Role identifier 1 203.0.113.102 user-a 0 0000000001.000005.0 Total: 1
-
Confirme que se asoció el rol correcto con el identificador de rol.
user@host> show services unified-access-control roles
Name Identifier dev 0000000001.000005.0
-
Enumere todos los roles asociados con el usuario-a.
user@host> show services unified-access-control authentication-table detail
Identifier: 1 Source IP: 203.0.113.102 Username: user-a Age: 0 Role identifier Role name 0000000001.000005.0 dev
-
Configuración de la redirección desde el firewall de la serie SRX al servicio de control de acceso
Procedimiento paso a paso
La autenticación local, tal como se configuró en la tarea anterior, requiere que los usuarios inicien sesión directamente en el Servicio de control de acceso para obtener acceso a los recursos de red. El firewall de la serie SRX se puede configurar para redirigir automáticamente el navegador de un usuario no autenticado al Servicio de control de acceso si un usuario solicita acceso a un recurso protegido directamente. Puede definir una directiva de firewall de rol de usuario para redirigir a un usuario no autenticado a un portal cautivo en el Servicio de control de acceso para iniciar sesión.
Se pueden configurar otros servicios, como IDP, seguridad de contenido, AppFW y AppQoS, así como la implementación del portal cautivo de UAC. La solución se centra en el portal cautivo para la autenticación solo para la implementación de roles de usuario.
Para configurar la redirección desde el firewall de la serie SRX al servicio de control de acceso:
-
Desde el modo de configuración en el firewall de la serie SRX, configure el perfil para el dispositivo acs del portal cautivo.
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-traffic unauthenticated
-
Agregue la URL de redirección para el Servicio de control de acceso o una dirección URL predeterminada.
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-url “https://%ic-url%/?target=%dest-url%&enforcer=%enforcer-id%”
Este comando especifica las variables de destino y ejecutor predeterminadas para que el explorador vuelva al firewall de la serie SRX después de la autenticación.
Permitir el tráfico al servidor del directorio de Acitve (AD), al servicio de control de acceso y a los demás servidores de infraestructura.
[edit] user@host# set security policies from-zone user to-zone infrastructure policy Allow-AD-UAC match source-address any user@host# set security policies from-zone user to-zone infrastructure policy Allow-AD-UAC match destination-address any user@host# set security policies from-zone user to-zone infrastructure policy Allow-AD-UAC application any user@host# set security policies from-zone user to-zone infrastructure policy Allow-AD-UAC then permit
Configure una política de seguridad que redirija el tráfico HTTP del usuario de zona a la zona que no es de confianza si la identidad de origen es unauthenticated-user.
[edit] user@host# set security policies from-zone user to-zone untrust policy user-role-fw1 match source-address any user@host# set security policies from-zone user to-zone untrust policy user-role-fw1 match destination-address any user@host# set security policies from-zone user to-zone untrust policy user-role-fw1 match application http user@host# set security policies from-zone user to-zone untrust policy user-role-fw1 match source-identity unauthenticated-user
Configure la acción que se realizará cuando el tráfico coincida con los criterios para user-role-fw1.
En este caso, se permite el acceso del tráfico que cumpla los criterios especificados al portal cautivo de UAC definido por el perfil de dispositivo acs.
user@host# set security policies from-zone user to-zone untrust policy user-role-fw1 then permit application-services uac-policy captive-portal acs-device
Configure una política de seguridad que permita el acceso a cualquier tráfico HTTP desde el usuario de zona a la zona que no es de confianza.
[edit] user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match source-address any user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match destination-address any user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match application http user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 match source-identity any user@host# set security policies from-zone user to-zone untrust policy user-role-fw2 then permit
Nota:Es importante colocar la directiva de redirección para usuarios no autenticados antes de una directiva para "cualquier" usuario, de modo que la autenticación de UAC no se vea ensombrecida por una directiva destinada a usuarios autenticados.
Cuando haya terminado de configurar las directivas, confirme los cambios.
[edit] user@host# commit
Resultados
Procedimiento paso a paso
Confirme su configuración con los siguientes procedimientos. Si el resultado no muestra la configuración deseada, repita las instrucciones de esta sección para corregir la configuración.
Desde el modo de configuración, escriba el comando para confirmar la configuración del perfil del
show servicesportal cautivo.[edit] user@host# show services
... unified-access-control { captive-portal acs-device { redirect-traffic unauthenticated; redirect-url “https://%ic-url%/?target=%dest-url%&enforcer=%enforcer-id%” ...Desde el modo de configuración, escriba el comando para confirmar la configuración de la
show security policiesdirectiva.user@host# show security policies
... from-zone user to-zone infrastructure { policy Allow-AD-UAC { match { source-address any; destination-address any; application any; } then { permit } } } from-zone user to-zone untrust { policy user-role-fw1 { match { source-address any; destination-address any; application http; source-identity unauthenticated-user } then { permit { application-services { uac-policy { captive-portal acs-device; } } } } } } from-zone user to-zone untrust { policy user-role-fw2 { match { source-address any; destination-address any; application http; source-identity any } then { permit } } } ...Compruebe que la directiva de redirección funciona correctamente.
Procedimiento paso a paso
Abra una ventana del navegador desde un segundo punto de conexión en la red.
Introduzca una URL de terceros, como www.google.com.
La página de inicio de sesión predeterminada del Servicio de control de acceso solicita un usuario y una contraseña.
Introduzca el nombre de usuario user-b y su contraseña.
El navegador debe mostrar la URL solicitada.
Nota:Si se establece un bloqueador de elementos emergentes en el punto de conexión, podría interferir con esta funcionalidad.
-
Desde el modo operativo en el firewall de la serie SRX, compruebe que los datos de autenticación y las funciones del servicio de control de acceso se insertaron correctamente en el firewall de la serie SRX.
user@host> show services unified-access-control authentication-table
Id Source IP Username Age Role identifier 1 203.0.113.112 user-a 0 0000000001.000005.0 2 203.0.113.15 user-b 0 0000000001.000005.0 Total: 2
Configuración de Active Directory
Procedimiento paso a paso
La negociación SPNEGO y la autenticación Kerberos son transparentes para el usuario y el administrador de red, pero ciertas opciones de configuración permiten el uso de estos protocolos. En esta sección se identifican los requisitos de configuración cuando se utiliza Active Directory como servidor de autenticación. Para interactuar en la negociación SPNEGO, Access Control Service requiere un archivo keytab creado por Active Directory. Consulte la documentación de terceros para obtener más información acerca de cómo habilitar el uso de SPNEGO y Kerberos.
Esta sección no pretende ser un tutorial para Active Directory. Sin embargo, hay detalles de configuración específicos necesarios para esta solución. Consulte la documentación de terceros para configurar Active Directory como controlador de dominio.
Para configurar el servidor de autenticación de Active Directory:
Agregue una entrada DNS como cuenta de servicio de UAC en las zonas de búsqueda directa. De esta manera, los clientes pueden referirse al dispositivo de la serie MAG por nombre o por dirección IP.
Este nombre de cuenta de servicio de UAC se usará en la siguiente sección al volver a configurar el servicio de UAC en el dispositivo de la serie MAG.
La autenticación de inicio de sesión único requiere que la contraseña de la cuenta de servicio de UAC nunca caduque. Para modificar la configuración del usuario:
Procedimiento paso a paso
En la aplicación Usuarios y equipos de Active Directory en DNS, seleccione Usuarios>Nuevo>Usuario y seleccione la cuenta de servicio de UAC creada en el paso 1.
Seleccione la pestaña Cuenta .
En la configuración del usuario, haga clic en La contraseña nunca caduca.
En el controlador de dominio, abra una línea de comandos y escriba el comando para crear el archivo de
ktpasstabla de claves SPNEGO.El archivo keytab creado en el servidor de Active Directory contiene el nombre principal de servicio (SPN) completo y otra información de cifrado del servidor. A continuación, el archivo keytab se carga en el servicio de control de acceso en el dispositivo de la serie MAG. Esta información compartida identifica un dispositivo con respecto al otro cada vez que se envían mensajes y respuestas cifrados.
Use la sintaxis siguiente.
ktpass -out output-file-name -mapuser uac-service-acccount-name -prin service://fqdn@REALM
ktpass Utilidad Kerberos de terceros que asigna un SPN a un usuario, en este caso, a la cuenta de servicio de UAC. El ejecutable está disponible para su descarga. Consulte la documentación de terceros para obtener el origen de esta utilidad.
-out output-file-name Nombre del archivo keytab SPNEGO que está creando.
-mapuser uac-service-acccount-name Nombre de la cuenta de servicio de UAC creada en el paso 1.
-prin service://fqdn@REALM Nombre principal del servicio. La autenticación Kerberos usa el SPN en su comunicación. No utiliza una dirección IP.
service El servicio HTTP.
fqdn El nombre de host del servicio de control de acceso de Junos Pulse. El serviceservicio de control de acceso proporciona la parte ://FQDN del nombre al registrarse en el servidor de Active Directory.
REALM El dominio del servidor de autenticación de Active Directory. Es lo mismo que el nombre de dominio. El nombre del dominio Kerberos siempre está en mayúsculas, siguiendo la recomendación de RFC 1510. Esto afecta a la interoperabilidad con otros entornos basados en Kerberos.
El siguiente comando crea un archivo de tabla de claves SPNEGO denominado ic.ktpass.
ktpass -out ic.ktpass -mapuser icuser@UCDC.COM -princ HTTP/mag123.ucdc.com@UCDC.COM -pass Doj73096
Este archivo se copia en el servicio de control de acceso en el dispositivo de la serie MAG en la siguiente sección cuando SPNEGO está configurado para la autenticación remota.
Reconfiguración de la autenticación remota en el servicio de control de acceso
Procedimiento paso a paso
En esta sección se reconfigura el servicio de control de acceso en el dispositivo de la serie MAG para consultar el servidor remoto de Active Directory en lugar de la tabla de autenticación local al autenticar a un usuario. Los pasos siguientes agregan servicios y opciones de autenticación al servicio de control de acceso en el dispositivo de la serie MAG. La configuración del firewall de la serie SRX permanece sin cambios.
Al volver a configurar el servidor de autenticación del reino, el Servicio de control de acceso muestra todas las funciones o grupos del controlador de dominio configurado y sus dominios de confianza. El establecimiento de reglas de asignación de roles equipara los roles o grupos del servidor de autenticación a los definidos en el Servicio de control de acceso.
Para reconfigurar la autenticación remota en el Servicio de control de acceso:
En la consola de administrador del servicio de control de acceso del dispositivo de la serie MAG, seleccione Servidores > autenticación.
Elija el tipo de servidor de Active Directory o Windows NT y haga clic en Agregar nuevo servidor.
Introduzca el perfil del nuevo servidor de autenticación.
Procedimiento paso a paso
Asigne un nombre al servidor de Active Directory.
Escriba su nombre de dominio NetBIOS en el cuadro dominio.
Nota:Es posible que reciba el mensaje siguiente: "El servidor no es un controlador de dominio del dominio o el nombre NetBIOS del dominio es diferente del nombre de Active Directory (LDAP)". Este mensaje es informativo y no afecta al procesamiento de la autenticación.
Escriba el nombre del dominio Kerberos.
El nombre de dominio Kerberos es el FQDN del dominio de Active Directory. Por ejemplo, si "miempresa" es el nombre de dominio o NetBIOS, mycompany.com es el nombre del dominio Kerberos.
En la sección Configuración de unión a un dominio, escriba el nombre de usuario y la contraseña de la cuenta de servicios de UAC que tiene permiso para unir equipos al dominio de Active Directory.
Seleccione la casilla Guardar credenciales.
Introduzca el nombre del contenedor.
Este es el nombre del contenedor de Active Directory donde creó la cuenta de servicios de UAC para el servicio de control de acceso.
Escriba el nombre del equipo.
Especifique el identificador de equipo que Access Control Service usa para unirse al dominio de Active Directory especificado como equipo. Este nombre se deriva del ID de hardware de licencia del servicio de control de acceso en el siguiente formato: 0161MT2L00K2C0.
Compruebe que la operación de unión se ha realizado correctamente.
El indicador Estado de unión proporciona un estado codificado por colores para la operación de unión al dominio de la siguiente manera:
Gris: No iniciado
Amarillo: En curso
Rojo: No se pudo unir
Verde: se unió al dominio
Seleccione Kerberos y NTLM v2 como protocolos de autenticación.
En la sección Confianzas, seleccione la casilla Permitir dominios de confianza.
Seleccione Habilitar SPNEGO.
Use el botón Examinar para cargar el archivo keytab que creó en la sección anterior.
Haga clic en Guardar cambios y probar configuración.
Asegúrese de que el inicio de sesión único esté habilitado.
Procedimiento paso a paso
Seleccione Usuarios>Dominios de usuario y el nombre del reino.
Seleccione el nombre del servidor de Active Directory en la lista Servidor de autenticación .
Seleccione la ficha Directiva de autenticación .
Compruebe que la opción SSO esté seleccionada.
Haga clic en Guardar cambios.
Cree políticas de asignación de roles para los grupos adquiridos desde el servidor de autenticación.
Los grupos del servidor de autenticación de Active Directory deben asignarse a roles en el Servicio de control de acceso. Primero debe crear roles y, a continuación, asignar uno o más grupos al rol apropiado.
Procedimiento paso a paso
Seleccione la pestaña Asignación de roles.
Haga clic en Nueva regla, escriba un nombre de rol y haga clic en Guardar cambios.
No es necesario agregar usuarios al rol. Cree tantos roles como sea necesario para asignar los grupos desde el servidor de autenticación de Active Directory.
Haga clic en Grupos y seleccione Buscar para enumerar los grupos definidos en el controlador de dominio.
Seleccione los nombres de grupo que desea asignar al nuevo rol.
Repita los pasos b a d para crear y asignar otros grupos.
Haga clic en Guardar cambios.
Configuración de exploradores de terminales para SPNEGO
Procedimiento paso a paso
Asegúrese de que los navegadores de punto de conexión tengan SPNEGO habilitado. Para obtener más información, consulte la documentación de terceros.
Internet Explorer
Desde Seguridad>Intranet local>Sitios>Avanzado , agregue la URL de confianza.
IE realiza SPNEGO sin ninguna otra configuración de punto de conexión, pero se solicita al usuario un nombre de usuario y una contraseña. El nombre de usuario y la contraseña se pueden almacenar en caché.
Para proporcionar compatibilidad con el inicio de sesión único, se puede insertar una configuración de Internet Explorer configurando una directiva de grupo en el servidor de Active Directory. Consulte la documentación de terceros para obtener más información.
La autenticación integrada de Windows debe estar habilitada. Use la ruta Herramientas>Opciones de Internet>Avanzado>Seguridad>Habilitar autenticación integrada de Windows para comprobar que IWA está habilitado.
Firefox (Windows y MacOS)
La configuración se encuentra en una ubicación oculta. Para la URL, escriba about:config y busque la palabra trusted. La clave necesaria es el parámetro separado por comas denominado network.negotiate-auth.trusted-uris.
Nota:Debe especificar la dirección URL del recurso (en esta solución, el valor FQDN o controlador de dominio UCDC.com).
Cromo
Use la configuración de Internet Explorer. Desde Seguridad>Intranet local>Sitios>Avanzado , agregue la URL de confianza.
Una configuración de explorador de Internet también se puede insertar mediante la configuración de una directiva de grupo en el servidor de Active Directory. Chrome respeta esta configuración.
Obtener información de nombre de usuario y rol a través de la autenticación de firewall
Las directivas de firewall de rol de usuario se pueden integrar con la autenticación de firewall tanto para autenticar usuarios como para recuperar información de nombre de usuario y rol. La información se asigna a la dirección IP del tráfico, se almacena en la tabla de autenticación de firewall y se utiliza para la aplicación de directivas de firewall de rol de usuario.
Las siguientes instrucciones de CLI configuran la autenticación de firewall para el cumplimiento del firewall de rol de usuario.