講義卷用戶認(rèn)證

Copyright?2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenTechnologies,GigaScreen,andtheNetScreenlogoareregisteredtrademarksofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.Sunnyvale,CA94089-FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 CLI約 WebUI約 插圖約 JuniperNetworksNetScreen文 第1章認(rèn) Admin用戶 范例:組表達(dá)式 范例:組表達(dá)式 范例:自定義WebAuth標(biāo)題 第2章認(rèn)證服務(wù) Auth服務(wù)器對(duì)象屬

支持的用戶類型和功 NetScreen詞典文 質(zhì) SecurIDAuth服務(wù)器對(duì)象屬 支持的用戶類型和功 支持的用戶類型和功 第3章認(rèn)證用 Auth用戶 范例:運(yùn)行時(shí)認(rèn)證(外部用戶 范例:多個(gè)組中的本地Auth用戶 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 范例:WebAuth(外部用戶組 范例:僅WebAuth+SSL(外部用戶組 在網(wǎng)關(guān) IKE協(xié)商中的XAuth用 范例:XAuth認(rèn)證(本地用戶

XAuth客戶 范例:NetScreen設(shè)備作為XAuth客戶 索 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 8ScreenOS中認(rèn)證不同類型用戶的方法。本卷介紹了用戶認(rèn)證、可用戶配置文件的兩)，然后提供了配置認(rèn)證、IKE、XauthL2TP用戶和用戶組的諸多示例。其IKE/XAuth用戶)及在應(yīng)用認(rèn)證的策略JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 約約vii|setinterface{ethernet1|ethernet2|ethernet3}變量以方式出現(xiàn)。例如setadminusername當(dāng)鍵入關(guān)鍵字時(shí)，只需鍵入足夠的字母就可以唯一地標(biāo)識(shí)單詞。例如，要輸入命setadminuserjoej12fmt54setadmujoej12fmt54就足夠了。盡管輸入命令時(shí)可以使用此捷徑，但本文所述的所有命令都JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 約 框的路徑顯示為Objects>Addresses>List>New。此導(dǎo)航序列如下所示4123ObjectsObjectsDHTML菜單Addresses

JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 約如要用WebUI執(zhí)行任務(wù)，必須首先導(dǎo)航到相應(yīng)的 令集劃分為兩部分:導(dǎo)航路徑和配置詳細(xì)信息。例如，下列指令集包含指向地址配置 ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于沒由于沒CommentIPAddressName/ Zone:OKJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 約通用NetScreen

/24安全區(qū) 白色受保護(hù)區(qū)段接口例如Trust區(qū)段黑色例如Untrust

動(dòng)態(tài)IPDIP)

例如:NAT服務(wù)器，接入集中器)

JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 約 trust“l(fā)ocalLAN”/24。NetScreen為雙字節(jié)字符集，DBCS)的例子是中文、韓文和日文。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 JuniperNetworksNetScreen文檔要獲取任何JuniperNetworksNetScreen產(chǎn)品的技術(shù)文檔， 打開支持個(gè)例，還可撥 國內(nèi))或 以外的地區(qū)) JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) HTTPFTPL2TP、netXAuth登錄提示時(shí)出現(xiàn)的標(biāo)題的信息。本章包括以下部分:JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 用戶 IKEXAuthL2TPAuthIPSec上的L2TP通道設(shè)置和使用期間IKE、XAuth、L2TP和IKE1主模式5主動(dòng)模式12

12

1

IPSec

2 信息流 注意:因?yàn)閄Auth和L2TP都提供用戶認(rèn)證和地址分配，故通常它們不同時(shí)使用。此處將兩者同時(shí)顯示，只為說明 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) Admin用Admin戶AdminNetScreenadminVsys 在本地?cái)?shù)據(jù)庫中，但可將具有讀/寫和只讀權(quán)限的vsys用戶和根 如果將admin用戶帳戶 在外部RADIUSauth服務(wù)器上，并在auth服務(wù)器上加載NetScreen詞典文件(請(qǐng)參閱第25頁上的“NetScreen詞典文件”)，則可 查詢服務(wù)器上定義的admin權(quán)限。此外，您也可以指定某權(quán)限級(jí)別，以全局方式應(yīng)用于該auth服務(wù)器上 的所有admin用戶?？芍付ㄗx/寫或只讀權(quán)限。如果將admin用戶SecurID、LDAPRADIUS服務(wù)器未NetScreen:JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) Admin用Admin

Admin用戶發(fā)1

4,5.NetScreen設(shè)備首先在本地?cái)?shù)據(jù)庫上檢查admin

本地?cái)?shù)據(jù) 2,3.NetScreen通過HTTP

authWebUI6NetScreen設(shè)備成功認(rèn)證admin用戶后，打開WebUICLI會(huì)話。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 多類 在本地?cái)?shù)據(jù)庫上Auth/L2TP

L2TP/XAuth盡管在本地?cái)?shù)據(jù)庫上定義多類型用戶帳戶時(shí)，可以創(chuàng)建上述所有組合，但在創(chuàng)建之前仍須考慮以下事項(xiàng)將IKE用戶類型與其它任何用戶類型組合后，會(huì)限制其擴(kuò)展?jié)撃?。必須將IKE用戶帳戶 這些帳戶重新置于外部auth服務(wù)器中。如果將IKE用戶帳戶與其它類型帳戶分離，必要時(shí)可以靈活地將非IKE用戶帳戶移動(dòng)到外部auth服務(wù)器中。L2TPXAuth:IP、DNSWINS服務(wù)器地址分配。建議不要對(duì)L2TPL2TPXAuth地址分配。auth/L2TPauth/uth更高的安全性。例如，可將auth用戶帳戶 在外部auth服務(wù)器上，將XAuth用戶帳戶 ，并在IKE網(wǎng)關(guān)配置中 XAuth用戶，而在策略 auth用戶。撥號(hào) JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)組表(“a”O(jiān)Rb”(“aANDb組合起來，也可以將某個(gè)用戶、用戶組或另一組表達(dá)式排除在外(NOT“c”)。雖然您NetScreen設(shè)備上定義組表達(dá)并在本地?cái)?shù)據(jù)庫)，但組表達(dá)式中的用戶和用戶組須在外RADIUS服務(wù)器RADIUS服務(wù)器允許一個(gè)用戶屬于多個(gè)用戶組。但本地?cái)?shù)據(jù)庫不允許這戶、auth用戶組或先前定義的組表達(dá)式。用ANDAND運(yùn)算符時(shí)，要求兩個(gè)表達(dá)式對(duì)象中至少有一個(gè)是用戶組或組表達(dá)式。要求某個(gè)“aAND“b”是不符合邏輯的?！癮AND組“b中的成員，則只有當(dāng)滿足這兩個(gè)條件時(shí)，NetScreen設(shè)備才會(huì)認(rèn)證該用戶。NOT“c”NOTc”)“c”，NetScreen設(shè)備就會(huì)認(rèn)證他/她。用戶JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)組表達(dá)NetScreen設(shè)備才會(huì)認(rèn)證他/她。NetScreen設(shè)備才會(huì)認(rèn)證他/她。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)范例組表達(dá)式 名為“project1”的服務(wù)器(0)上的 ObjectsAddressesListNewAddressName:project1IPAddress/ IP/Netmask:0/32Zone:Trust組表達(dá)ObjectsGroupExpressionsNewGroupExpression:ANDsalesAND信息流NetScreen設(shè)備外，不能有任何其它路由設(shè)備。有關(guān)區(qū)段內(nèi)部策略的詳細(xì)信息，請(qǐng)參閱2-293頁上策略”。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)PoliciesFromTrust,ToTrust)NewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置頁:

AuthServerUse:GroupExpressionExternalGroupExpressionsetaddresstrustproject1組表達(dá)setgroup-expressions+msalesand策setpolicytopfromtrusttotrustanyproject1anypermitauthserverradius1group-expressions+mJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)范例組表達(dá)式 頁上的“范例:RADIUSAuth服務(wù)器”。)然后在從Trust區(qū)段到DMZ的策略中使用該組表達(dá)式。策略的認(rèn)證部分要求用戶必須為amy或basil，才能 0處名為“web1”的Web服務(wù)器。ObjectsAddressesListNewAddressName:IP Zone:DMZ組表達(dá)ObjectsGroupExpressionsNewGroupExpression:a/bOR:amyORbasilJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)PoliciesFromTrust,ToDMZNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置頁:

AuthServerUse:GroupExpressionExternalGroupExpressionsetaddresstrustproject1組表達(dá)setgroup-expressiona/bamyor策setpolicytopfromtrusttodmzanyweb1anypermitauthserverradius1group-expressiona/bJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)范例組表達(dá)式 互聯(lián)網(wǎng)。策略的認(rèn)證部分要求認(rèn)證Trust區(qū)段中除“temp”中的用戶以外的 Untrust區(qū)段。組表達(dá)ObjectsGroupExpressionsNewGroupExpression:-OR:NOTPoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:Action:PositionatTop>AuthServerUse:GroupExpressionExternalGroupExpressionJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 組表達(dá)組表達(dá)setgroup-expression-tempnotsetpolicytopfromtrusttountrustanyanyanypermitauthserverJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第1章認(rèn) 標(biāo)題 net、FTP或HTTP的登錄提示、成功消息和失敗消息上顯范例自定義WebAuth

ConfigurationBannersWebAuthSuccessBannerAuthenticationapproved，然后單Apply。setwebauthbannersuccess“Authentication net或控制臺(tái)標(biāo)題下面加入其它標(biāo)題行。雖然 net標(biāo)題可不同于控制臺(tái)標(biāo)題，但 題，請(qǐng)輸入以下命令:setadminauthbannersecondarystring。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 認(rèn)證可對(duì)NetScreen設(shè)備進(jìn)行配置，以便使用本地?cái)?shù)據(jù)庫或者一個(gè)或多個(gè)外部認(rèn)證服務(wù)器驗(yàn)證以下類型用戶 AuthIKEL2TPXAuthAdmin 在本地?cái)?shù)據(jù)庫上。RADIUS是唯一支持L2TP和XAuthNetScreenRADIUSSecurIDLDAP服務(wù)器。可使用各種類型的認(rèn)證服務(wù)authL2TPXAuthadminNetScreenWebAuth，這是面向auth[WebAuth的范例，請(qǐng)參閱70:僅WebAuthSSL外部用戶類型及認(rèn)證功能之間的對(duì)應(yīng)支持關(guān)系加以總結(jié):

L2TP用 設(shè)置 設(shè)置 bbbbbbbbbbbbbbbb bbbbbbbbJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 這一數(shù)字包括本地?cái)?shù)據(jù)庫，但不包括備份認(rèn)證服務(wù)器。一個(gè)RADIUSLDAP服務(wù)器支持兩個(gè)備份服務(wù)器，一個(gè)SecurID9RADIUSRADIUS服

IKE

IKE/XAuth用戶(橙色)–>本地?cái)?shù)據(jù)庫IKE用戶(紅色)–>本地?cái)?shù)據(jù)庫IKE/L2TP綠色SecurID服務(wù)器Admin(紫色)–>RADIUS服務(wù)器Auth用戶(藍(lán)色)–>LDAP服務(wù)器RADIUS服務(wù)器可同時(shí)admin、auth、L2TPXAuth用戶。

Auth

服務(wù)

JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 本地

數(shù)據(jù) 用戶進(jìn) AuthIKEL2TP

*在NetScreen設(shè)備上定義組表達(dá)式，但用戶和用戶組必須 請(qǐng)參閱第6頁上的“組表達(dá)式”。auth)WebUICLI向本地?cái)?shù)JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 范例

ConfigurationAdminManagementEnableWebManagementIdleTimeoutApplyConfigurationAuthServersEditLocalTimeout30Applysetadminauthtimeoutsetauth-serverLocaltimeoutJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 外部Auth服務(wù)Auth服器NetScreen設(shè)備可與用戶帳戶的一個(gè)或多個(gè)外部認(rèn)證服務(wù)器或“authNetScreen設(shè)備在接證檢查的過程如下:主機(jī)

1

Auth2Name:??2 成功消成功消

7

服務(wù)主機(jī)A將FTP、HTTP 用戶以用戶名 回復(fù)JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 外部Auth服務(wù) : :

超時(shí)周

JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 外部Auth服務(wù) Admin用戶:如果空閑時(shí)間長(zhǎng)度達(dá)到超時(shí)臨界值，NetScreen設(shè)備將終止admin會(huì)話。要繼續(xù)管理分鐘。也可將超時(shí)值設(shè)置為0，此時(shí)admin會(huì)話將 Admin必須重新連adminadmin

RADIUSSecurIDLDAPauthJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類Auth服務(wù)器型NetScreenauthRADIUSSecurIDLDAP

NetScreen設(shè)備在批準(zhǔn)連接請(qǐng)求RADIUS服務(wù)器對(duì)撥號(hào)用戶進(jìn)行認(rèn)證。RADIUS客戶端(即NetScreen設(shè)備)通過客戶端與服務(wù)器之間的一系列通信對(duì)用戶進(jìn)行認(rèn)證。通常，RADIUS會(huì)要求登錄人員輸入其用戶名 RADIUSNetScreenRADIUSIP地址并定義共享與RADIUS服務(wù)器上的定義相同。共享是一個(gè)，RADIUSNetScreenRADIUS設(shè)備之間的信JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類 )。設(shè)備利用 將其 為1645 響應(yīng)時(shí)，向RADIUS服務(wù)器發(fā)送另外的認(rèn)證請(qǐng)求之前Auth 設(shè)置XAuth用戶(認(rèn)證 設(shè)置Admin(認(rèn)證和權(quán)限指派中，RADIUS是目前唯一能支持如此眾多對(duì)象的服務(wù)器。為了使RADIUS服務(wù)器能夠支持管理權(quán)限、用戶組及L2TP和XAuthIP地址1、DNS和WINS服務(wù)器地址分配等NetScreen 義上述屬性的NetScreen詞典文件。 屬性(VSA)JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類NetScreen詞典文件用于定義可加載到RADIUS服務(wù)器上的供應(yīng)商 用戶登錄NetScreen設(shè)備時(shí)查詢這些屬性。NetScreenVSA包括管理權(quán)限、用戶組及 L2TP和XAuthIP地址、SoftwareRADIUS服務(wù)器。如果使用 RADIUS服務(wù)器，則不會(huì)有任何詞典文件。必須如Bi-DirectionalNetScreenRemote usingxAuthandFirewallAuthenticationwith InternetAuthenticationService(IAS) /knowbase/root/public/ns10382.pdfVendorIDNetScreenIDVID；也稱“IETF3224。VID用于識(shí)別特殊屬性的具體供應(yīng)RADIUSVID，而其它類型則只要求輸入一次，然后即可全局應(yīng)用。有關(guān)詳細(xì)信息，請(qǐng)參閱RADIUS服務(wù)器文檔。 屬性。 屬性編號(hào)分為兩個(gè)范圍NetScreenScreenOS:1–NetScreen-GlobalPRO200值122 kb/downloads/dictionary/funkradius.zip kb/downloads/dictionaryJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類 net到服務(wù)器的下列方案

可選Name:

Name:(Name:

(Name:JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類 NetScreen設(shè)備截取該數(shù)據(jù)包、檢查其策略列表、確定該會(huì)話是否需要用戶認(rèn)證。NetScreen設(shè)備緩存 與該用戶的 握手 并發(fā)送給NetScreen設(shè)備。然后，NetScreen設(shè)備將含有登錄信息的“ 求”發(fā)送到RADIUS服務(wù)器。RADIUSNetScreen(“質(zhì)詢”可以有選擇地提示認(rèn)證用戶再次提供用戶名。第二個(gè)用戶名可以與第一個(gè)NetScreen)響應(yīng)”的第二個(gè)“請(qǐng)求”發(fā)送到RADIUS服務(wù)器。RADIUSauth(SecurID服務(wù)器必)RADIUSauth服務(wù)器發(fā)送“請(qǐng)求”。RADIUS服務(wù)器將“響應(yīng)”轉(zhuǎn)發(fā)給另一臺(tái)auth服務(wù)器，并且該服務(wù)器發(fā)送“接受”，或者如RADIUSRADIUSNetScreen設(shè)備發(fā)送“接受”消息。然后，NetScreen設(shè)備通知認(rèn)證用戶登錄成功。NetScreenSYN:net在本NetScreen并不支持具L2TP的“質(zhì)詢”。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類SecurID結(jié)合兩種因素來創(chuàng)建動(dòng)態(tài)變化的，而不使用固定。SecurID具有一個(gè)大小的設(shè)備，稱為認(rèn)證戶還擁有個(gè)人識(shí)別號(hào)碼(PIN)。用戶登錄時(shí)，需要輸入用戶名、其PIN以及當(dāng)前令牌代碼。SecurID認(rèn)證設(shè)備認(rèn)證器

60秒就變成另一同算法的ACE服務(wù)器將接收到的值與其數(shù)據(jù)庫中的值進(jìn)行比較。如果它們匹配，則認(rèn)證成功。NetScreen設(shè)備充當(dāng)客戶端，將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到外部服務(wù)器申請(qǐng)批準(zhǔn)，并在用戶和服務(wù)器之間傳遞登錄信息。SecurID與RADIUS的不同之處在于用戶“ JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類AuthenticationPort:SecurIDACE服務(wù)器上的端 ，NetScreen設(shè)備向此處發(fā)送認(rèn)證請(qǐng)求。缺省端為5500。DESClientTimeoutNetScreen秒)UseDuress:PINPINSecurIDACE服務(wù)器會(huì)允許一次，之后，它會(huì)該用戶的所有其它登錄嘗試，直至他/她SecurID管理員聯(lián)系。只有SecurIDACE服務(wù)器支持此選項(xiàng)時(shí)，才可使用強(qiáng)迫模式。AuthXAuth用戶認(rèn)證；不支持設(shè)置指派Adminadmin用戶接收只讀的缺省權(quán)限指派目前，盡管可使用SecurID服務(wù)器 L2TP、XAuth和admin用戶帳戶進(jìn)行認(rèn)證，但SecurIDACE服務(wù)器仍不能指派L2TP或 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類 協(xié)議(LDAP)是密歇根大學(xué)在1996年開發(fā)出來 確定資源位置，如網(wǎng)絡(luò)上的組織 和文件幫助認(rèn)證用戶嘗試連接 LDAP的基本結(jié)構(gòu)分支至上而下依次為國家、組織、組織單位、 “縣”等。下圖為L(zhǎng)DAP分支組織結(jié)構(gòu)的一個(gè)范例。

LDAPRFC-1777,“LightweightDirectoryAccessProtocol”可對(duì)NetScreen設(shè)備進(jìn)行配置，以便 到“輕量 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) Auth服務(wù)器類 為389注意:如果更改NetScreen設(shè)備上的LDAP LDAP服務(wù)器支持以下類型的用戶和認(rèn)證功能AuthXAuth用戶(用戶認(rèn)證；不支 設(shè)置指派Adminadmin用戶接收只讀的缺省權(quán)限指派 或 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)Auth服務(wù)器象要在策略、IKE網(wǎng)關(guān)和L2TP通道中 說明如何為RADIUS服務(wù)器、SecurID服務(wù)器和LDAP服務(wù)器定義auth服務(wù)器對(duì)象。在下例中，將為RADIUS服務(wù)器定義auth服務(wù)器對(duì)象。將其用戶帳戶類型指定為auth、L2TP和XAuth。將 由缺省值(1645)更改為4500。將其共享 改為30分鐘，并將RADIUS重試超時(shí)值由3秒更改為4秒。同時(shí)將兩個(gè)備份服務(wù)器的IP地址分別指定為10和20。此外，還要將NetScreen詞典文件加載到RADIUS服務(wù)器上，使其能支持下列供應(yīng)商 屬性(VSA)的查詢:用戶 L2TP和XAuth設(shè)置。NetScreen設(shè)備將auth、L2TPXAuth如果NetScreen設(shè)備與主RADIUS服務(wù)器的網(wǎng)絡(luò)連接斷開，它會(huì)重新定向，將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到10地址處的備份1。如果NetScreen設(shè)備無法連到備份服務(wù)器1求轉(zhuǎn)發(fā)20地址處的備份服務(wù)器2

IP:

IP:

RADIUS服務(wù)器Name:radius1IP00Port:Timeout:30JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)ConfigurationAuthServersNewName: Name:Backup1:Timeout:AccountTypeAuthL2TPRADIUSPort:RetryTimeout:4SharedSecret:JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)setauth-serverradius1typesetauth-serverradius1account-typeauthl2tpsetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiustimeoutsetauth-serverradius1radiussecretA56htYY97kl (1645)展開 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)范例SecurIDAuth在下例中，將為SecurIDACE服務(wù)器配置auth服務(wù)器對(duì)象。將其用戶帳戶類型指定為admin。將服務(wù)器命名為址:10。將其端 法保護(hù)認(rèn)證信息。允許重試三次，客戶端超時(shí)值為10秒4。將空閑超時(shí)值由缺省值(10分鐘)更改為60分鐘5。禁用UseDuress設(shè)置。NetScreen設(shè)備將admin00地址SecurIDsecurid1”。NetScreen設(shè)備與SecurID服務(wù)器的網(wǎng)絡(luò)連接斷開，1。

備份服務(wù)IP:

SecurID服務(wù)器Namesecurid1IP00Port:15000ClientTimeout:10secondsIdleTimeout:60minutesAccountTypes:Admin客戶端超時(shí)值是指兩次認(rèn)證重試操作之SecurID客戶即NetScreen秒)請(qǐng)參閱第21頁上的“Auth服務(wù)器對(duì)象屬性”。)JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)ConfigurationAuthServersNewName: Name:Backup1:Timeout:AccountType:SecurID:(選擇)ClientRetries:3ClientTimeout:10secondsAuthenticationPort:15000EncryptionType:DESUserDuress:Nosetauth-serversecurid1typesetauth-serversecurid1server-name00setauth-serversecurid1backup110setauth-serversecurid1timeout60setauth-serversecurid1account-typeadminsetauth-serversecurid1securidretries3setauth-serversecurid1securidtimeout10setauth-serversecurid1securidauth-portsetauth-serversecurid1securidencr1setauth-serversecurid1securidduress0JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)范例LDAPAuth在下例中，將為L(zhǎng)DAP服務(wù)器配置auth服務(wù)器對(duì)象。將用戶帳戶類型指定為auth。將LDAP服務(wù)器命名為“l(fā)dap1”，并接受NetScreen設(shè)備自動(dòng)指派的ID號(hào)。輸入其IP地址00；將其端 由缺省值(389)更改20。LDAP通用名稱標(biāo)識(shí)符為cn，DistinguishedName(識(shí)別名稱)為c=us;o=juniper;ou=marketing。NetScreen設(shè)備將認(rèn)證請(qǐng)求從auth用戶發(fā)送到會(huì)重新定向，將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到10地址處的備份1。如果NetScreen1，它會(huì)將認(rèn)證請(qǐng)20地址處的備份服務(wù)器2。

備份服務(wù)IP:

備份服務(wù)IP:

LDAP服務(wù)器Name:ldap1IP00Port:Timeout:40minutesCommonName:cnDistinguishedNam::AccountType:AuthJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義Auth服務(wù)器對(duì)

ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:40AccountType:AuthLDAPPort:CommonNameIdentifier:DistinguishedName(dn):setauth-serverldap1typesetauth-serverldap1account-typesetauth-serverldap1server-name00setauth-serverldap1backup110setauth-serverldap1backup220setauth-serverldap1timeout40setauth-serverldap1ldapport15000setauth-serverldap1ldapcncnsetauth-serverldap1ldapdnJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義缺省Auth服務(wù)定義缺省Auth服器auth 范例更改缺省AuthJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第2章認(rèn)證服務(wù) 定義缺省Auth服務(wù)

sAutoKeyAdvancedXAuthSettingsDefaultAuthenticationServerLocal后單擊Apply7sL2TPDefaultSettingsDefaultAuthenticationServerradius1setxauthdefaultauthserverLocal7setl2tpdefaultauthserverradius1setadminauthserversecurid1setauthdefaultauthserverJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 認(rèn)證用戶(或“auth用戶”)指啟動(dòng)通過 在本地?cái)?shù)據(jù)庫或外部RADIUS、SecurID或LDAP服務(wù)器上。可將多個(gè)auth用戶帳戶集合到一起組成auth用戶組，用戶組可以 在本地?cái)?shù)據(jù)庫或RADIUS服務(wù)器上。單個(gè)器上定義一個(gè)名為“au_grp1”的auth用戶組，并在組中添加10個(gè)成員，則在NetScreen設(shè)備上必須也定義一個(gè)名為“au_grp1”的auth用戶組，將其標(biāo)識(shí)為外部用戶組，但不在其中添加成員。如果在策略中 外部auth用戶組“au_grp1”和auth服務(wù)器“rs1”，則當(dāng)與該策略匹配的信息流 認(rèn)證檢查時(shí)，NetScreen設(shè)備可以正確查詢指定的RADIUS服務(wù)器。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用在策略 戶定義auth用戶后，可創(chuàng)建一個(gè)要求用戶通過兩種認(rèn)證方案之一進(jìn)行認(rèn)證的策略。第 配的FTP、HTTP或 求用戶認(rèn)證的策略的信息流(任何類型，不局限于FTP、HTTP或 net)之前進(jìn)行認(rèn)證。運(yùn)行時(shí)認(rèn)用戶嘗試發(fā)起(應(yīng)用要求進(jìn)行認(rèn)證的策略的)HTTP、FTP 與本地?cái)?shù)據(jù)庫或外部auth服務(wù)器上的用戶名和 2

數(shù)據(jù)

5

7成功成功 auth用戶將FTP、HTTP net輸入登錄信息用戶以用戶名 回復(fù) JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用策略前檢查認(rèn)證HTTP1Name:??Name:??

15auth用戶連接到WebAuthIP1，并成功登錄。[NetScreen在指定數(shù)據(jù)庫(本地?cái)?shù)據(jù)庫或外部auth服務(wù)器)中檢查auth用戶帳戶。] 成功消成功消

47

外部

的連

策略引擎記錄應(yīng)用于該信息流的策略要求通過WebAuth進(jìn)行認(rèn)WebAuth進(jìn)行認(rèn)證，并將信息流發(fā)送到其目的地。WebAuth的一些詳細(xì)說明(IP/24WebAuthWebAuthIP/24子網(wǎng)內(nèi)?？诘男畔?，請(qǐng)參閱2-51)JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用WebAuth)NAT可將所有初始源地址更改為單個(gè)轉(zhuǎn)換后的地址)后面發(fā)出信息流，則實(shí)際情況可能就是這樣。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶在策略 組要管理多個(gè)auth用戶，可創(chuàng)建auth用戶組，并將 您可將用戶集合成組，使對(duì)此組實(shí)施的任何更改應(yīng)用于組的所有成員，而不必分別管理每個(gè)用戶。一個(gè)auth用戶最 1個(gè)策

1JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例運(yùn)行時(shí)認(rèn)證本地用戶在本例中，將定義一個(gè)名為louis的本地auth用戶，其 為iDa84rNk，在Trust區(qū)段通訊簿中的地址名為“host1”。然后配置兩個(gè)外向策略:一個(gè) 請(qǐng)求以及來自“host1”Auth用戶和地ObjectsUsersLocalNewUserName:louisStatus:EnableUserPassword:iDa84rNkObjectsAddressesListNewAddressName:IP IP/Netmask:/32Zone:TrustJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryAction:DenyPoliciesFromTrustToUntrustNewSourceAddressBookEntryhost1DestinationAddress:AddressBookEntryAnyServiceANYAction:PositionatTop>置頁:AuthServer)Use:LocalUserLocalAuthUserJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶setuserlouispasswordiDa84rNk1setaddresstrusthost/32setpolicyfromtrusttountrustanyanyanysetpolicytopfromtrusttountrusthost1anyanypermitauthuserlouis JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例運(yùn)行時(shí)認(rèn)證本地用戶組 auth_grp1的策略。此策略為auth_grp1提供FTP-GET和FTP-PUT權(quán)限，令其以Trust區(qū)段中“auth_grp1”地址名(IP地址/24) DMZ區(qū)段中名為“ftp1”(IP地址/32)的FTP服務(wù)器。ObjectsUsersLocalGroupsNewGroupNameauth_grp1，執(zhí)行以下操作，然后單擊Members欄中。Members欄中。ObjectsAddressesListNewAddressName:IP IP/Netmask:/24Zone:Trustauth、IKEL2TP和XAuth用戶類型可創(chuàng)建多類型用戶組。不能將Admin用戶與其它任意用戶類型組合。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:PoliciesFromTrustToDMZNewSourceAddressBookEntryauth_grp1DestinationAddress:AddressBookEntryService:FTPPositionatTop>置頁:AuthServer)Use:LocalUserGroupLocalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶setuser-groupauth_grp1locationlocalsetuser-groupauth_grp1userlouissetuser-groupauth_grp1userlara地setaddresstrustauth_grp/24setaddressdmzftp1/32setpolicytopfromtrusttodmzauth_grp1ftp1ftppermitauthuser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例運(yùn)行時(shí)認(rèn)證外部用戶Accounttype:IPaddress:Backup1IPaddress:Backup2IPaddress:

Authenticationtimeout:60LDAPportnumber: 務(wù)器x_srv1上進(jìn)行認(rèn)證的外向策略。Auth服務(wù)ConfigurationAuthServersNewName: Name:Backup1:Timeout:60AccountTypeAuthLDAP:(選擇)LDAPPort:CommonNameIdentifier:DistinguishedName(dn):JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶外部用 為eTcS114uObjectsAddressesListNewAddressName:IP Zone:TrustPoliciesFromTrustToUntrustNewSourceAddressBookEntryDestinationAddressBookEntryService:Action:PositionatTop>AuthServerUse:UserExternalUserExternalUser:euclidJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶Auth服務(wù)setauth-serversetauth-serverx_srv1typesetauth-serverx_srv1account-typesetauth-serverx_srv1server-name00setauth-serverlx_srv1backup110setauth-serverx_srv1backup220setauth-serverx_srv1timeout60setauth-serverx_srv1ldapportsetauth-serverx_srv1ldapcnsetauth-serverx_srv1ldapdn外部用 為eTcS114usetaddresstrusteuc_host策setpolicytopfromtrusttountrusteuc_hostanyanyauthserverx_srv1userJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例運(yùn)行時(shí)認(rèn)證外部用戶組RADIUSauth服務(wù)器“ Trust區(qū)段中。(有關(guān)區(qū)段內(nèi)部策略的詳細(xì)信息，請(qǐng)參閱第2-293頁上的“策略”。)RADIUSNetScreen詞典文件加載到RADIUS服務(wù)器上4其應(yīng)用于要添加到該組中的auth用戶帳戶。: JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶Auth服務(wù)ConfigurationAuthServersNewName: Name:Backup2:Timeout:AccountType:RADIUS:(選擇)SharedSecret:外部用戶ObjectsUsersExternalGroups>NewGroupName:GroupType:ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶PoliciesFromTrustToTrust)NewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置頁:AuthServerUse:UserGroupExternalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶Auth服務(wù)setauth-serverradius1typesetauth-serverradius1account-typesetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiussecret外部用戶setuser-groupauth_grp2locationexternalsetuser-groupauth_grp2typeauth地setaddresstrustmidassetpolicytopfromtrusttotrustanymidasanypermitauthserveruser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例多個(gè)組中的本地Auth 下列兩臺(tái)服務(wù)器:銷售人(sales_reps組)使用的服務(wù)器A和經(jīng)理(sales_mgrs組)使用的服務(wù)器B。要提供對(duì)這兩臺(tái)服務(wù)器的 要將Mary添加到這兩個(gè)用戶組中。然后創(chuàng)建兩個(gè)策略—每組一個(gè)策略。本地用ObjectsUsersLocalNewStatus:EnableAuthenticationUser:(選擇)UserPassword:iFa8rBdConfirmPasswordiFa8rBdObjectsUsersLocalGroupsNewGroupNamesales_mgrs，執(zhí)行以下操作，然后單OK:Members欄中Members欄中。JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:ObjectsAddressesListNewAddressName:server_aIPAddress/ IP/Netmask/32Zone:UntrustObjectsAddressesListNewAddressName:server_bIPAddress/ IP/NetmaskZone:PoliciesFromTrustToUntrustNewSourceAddressBookEntrysalesDestinationAddress:AddressBookEntryService:FTPJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶PositionatTop置頁:AuthServerUse:UserGroupLocalAuthGroupsales_repsPoliciesFrom:Trust;To:UntrustNew:輸入以下內(nèi)容，然后單擊OK:SourceAddressBookEntrysalesDestinationAddress:AddressBookEntryService:Action:PositionatTopAuthServerUse:UserGroupLocalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶本地用setusermarypasswordsetuser-groupsales_mgrslocationsetuser-groupsales_mgrsusersetuser-groupsales_repslocationlocalsetuser-groupsales_repsusermarysetaddresstrustsales/24setaddressuntrustserver_a/32setaddressuntrustserver_b策setpolicytopfromtrusttountrustsalesserver_aftppermitauthuser-groupsetpolicytopfromtrusttountrustsalesserver_bftppermitauthuser-JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例WebAuth本地用戶組WebAuthNetScreen設(shè)備上的本地?cái)?shù)據(jù)庫中創(chuàng)建名為“auth_grp3Trustauth用戶帳戶，并將他們添加到庫作為缺省的WebAuth服務(wù)器。因此，用戶在啟動(dòng)流向互聯(lián)網(wǎng)的信息流之前，必須首先以HTTP方式連接到 登錄。然后，NetScreen設(shè)備將該用戶名和 認(rèn)證請(qǐng)求。如果它批準(zhǔn)該請(qǐng)求，被認(rèn)證的用戶將有30分鐘的時(shí)間啟動(dòng)流向互聯(lián)網(wǎng)的信息流。終止該ConfigurationAuth>WebAuthWebAuthServerLocalApply。NetworkInterfacesEditethernet1WebAuthWebAuthIP0。ConfigurationAuth>ServersEditLocalTimeout30Apply。用戶ObjectsUsersLocalGroupsNewGroupNameauth_grp3，執(zhí)行以下操作，然后單擊GroupMembersJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANY>WebAuth:(選擇)UserGroupLocalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶setwebauthserversetinterfaceethernet1webauth-ip0setinterfaceethernet1webauthsetauth-serverLocaltimeout用戶setuser-groupauth_grp3locationauth用戶添加到剛剛創(chuàng)建的用戶組中setuser-groupauth_grp3usersetpolicytopfromtrusttountrustanyanyanypermitwebauthuser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例WebAuth外部用戶組 Trust區(qū)段中的每個(gè)人創(chuàng)建用戶帳戶，并將他們添加到“auth_grp4”中。Trust區(qū)段接口使用ethernet1，其IP地址為/24。指定0作為WebAuthIP地址，并使用外部首先以HTTP方式連接到0，并以用戶名和 用戶之間中繼所有WebAuth用戶認(rèn)證請(qǐng)求及響應(yīng)。RADIUS服務(wù)JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶Auth服務(wù)ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:AccountType:RADIUS:(選擇)SharedSecret:>NetworkInterfacesEditethernet1WebAuthWebAuthIP0，然后單擊OK。用戶ObjectsUsersExternalGroupsNewGroupName:auth_grp4GroupType:AuthJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANY>WebAuth:(選擇)UserGroupExternalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶Auth服務(wù)setauth-serverradius1typesetauth-serverradius1account-typesetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiussecretsetwebauthserversetinterfaceethernet1webauth-ip0setinterfaceethernet1webauth用戶setuser-groupauth_grp4locationexternalsetuser-groupauth_grp4typeauthsetpolicytopfromtrusttountrustanyanyanypermitwebauthuser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶范例WebAuthSSL外部用戶組WebAuth(SSL技術(shù)組合，來保護(hù)用戶登錄時(shí)發(fā)送的用戶名和。WebAuthNetScreen設(shè)備的管理信息流的來通過WebUI實(shí)現(xiàn)管理。SSL3-7頁上的“接字層”。) RADIUSauth服務(wù)器“radius1RADIUSNetScreen設(shè)備上創(chuàng)建名為將其添加到“auth_grp5”中。auth”作為用戶帳戶類型。Untrustethernet3，IP/0WebAuthIP地址，指示設(shè)備對(duì)WebAuthSSLRADIUSauthradius1WebAuth服 的IDX號(hào)(本例中為1DES_SHA-SSL +因此，用戶在啟動(dòng)流向互聯(lián)網(wǎng)的信息流之前，必須首先以HTTP方式連接到 碼登錄。然后，NetScreen設(shè)備在“radius1”和嘗試登錄的用戶之間中繼所有WebAuth用戶認(rèn)證請(qǐng)求及響應(yīng)。 JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶RADIUS服務(wù)Auth服務(wù)ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:30AccountType:AuthRADIUS:(選擇)SharedSecret:>JuniperNetworksNetScreen概念與范例–第8卷:用戶認(rèn) 第3章認(rèn)證用 在策略 Auth用戶NetworkInterfacesEditethernet3I