講義卷用戶認證

Copyright?2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenTechnologies,GigaScreen,andtheNetScreenlogoareregisteredtrademarksofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.Sunnyvale,CA94089-FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 CLI約 WebUI約 插圖約 JuniperNetworksNetScreen文 第1章認 Admin用戶 范例:組表達式 范例:組表達式 范例:自定義WebAuth標題 第2章認證服務 Auth服務器對象屬

支持的用戶類型和功 NetScreen詞典文 質 SecurIDAuth服務器對象屬 支持的用戶類型和功 支持的用戶類型和功 第3章認證用 Auth用戶 范例:運行時認證(外部用戶 范例:多個組中的本地Auth用戶 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 范例:WebAuth(外部用戶組 范例:僅WebAuth+SSL(外部用戶組 在網(wǎng)關 IKE協(xié)商中的XAuth用 范例:XAuth認證(本地用戶

XAuth客戶 范例:NetScreen設備作為XAuth客戶 索 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 8ScreenOS中認證不同類型用戶的方法。本卷介紹了用戶認證、可用戶配置文件的兩)，然后提供了配置認證、IKE、XauthL2TP用戶和用戶組的諸多示例。其IKE/XAuth用戶)及在應用認證的策略JuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 約約vii|setinterface{ethernet1|ethernet2|ethernet3}變量以方式出現(xiàn)。例如setadminusername當鍵入關鍵字時，只需鍵入足夠的字母就可以唯一地標識單詞。例如，要輸入命setadminuserjoej12fmt54setadmujoej12fmt54就足夠了。盡管輸入命令時可以使用此捷徑，但本文所述的所有命令都JuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 約 框的路徑顯示為Objects>Addresses>List>New。此導航序列如下所示4123ObjectsObjectsDHTML菜單Addresses

JuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 約如要用WebUI執(zhí)行任務，必須首先導航到相應的 令集劃分為兩部分:導航路徑和配置詳細信息。例如，下列指令集包含指向地址配置 ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于沒由于沒CommentIPAddressName/ Zone:OKJuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 約通用NetScreen

/24安全區(qū) 白色受保護區(qū)段接口例如Trust區(qū)段黑色例如Untrust

動態(tài)IPDIP)

例如:NAT服務器，接入集中器)

JuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 約 trust“l(fā)ocalLAN”/24。NetScreen為雙字節(jié)字符集，DBCS)的例子是中文、韓文和日文。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 JuniperNetworksNetScreen文檔要獲取任何JuniperNetworksNetScreen產品的技術文檔， 打開支持個例，還可撥 國內)或 以外的地區(qū)) JuniperNetworksNetScreen概念與范例–第8卷:用戶認 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念與范例–第8卷:用戶認 HTTPFTPL2TP、netXAuth登錄提示時出現(xiàn)的標題的信息。本章包括以下部分:JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 用戶 IKEXAuthL2TPAuthIPSec上的L2TP通道設置和使用期間IKE、XAuth、L2TP和IKE1主模式5主動模式12

12

1

IPSec

2 信息流 注意:因為XAuth和L2TP都提供用戶認證和地址分配，故通常它們不同時使用。此處將兩者同時顯示，只為說明 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 Admin用Admin戶AdminNetScreenadminVsys 在本地數(shù)據(jù)庫中，但可將具有讀/寫和只讀權限的vsys用戶和根 如果將admin用戶帳戶 在外部RADIUSauth服務器上，并在auth服務器上加載NetScreen詞典文件(請參閱第25頁上的“NetScreen詞典文件”)，則可 查詢服務器上定義的admin權限。此外，您也可以指定某權限級別，以全局方式應用于該auth服務器上 的所有admin用戶?？芍付ㄗx/寫或只讀權限。如果將admin用戶SecurID、LDAPRADIUS服務器未NetScreen:JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 Admin用Admin

Admin用戶發(fā)1

4,5.NetScreen設備首先在本地數(shù)據(jù)庫上檢查admin

本地數(shù)據(jù) 2,3.NetScreen通過HTTP

authWebUI6NetScreen設備成功認證admin用戶后，打開WebUICLI會話。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 多類 在本地數(shù)據(jù)庫上Auth/L2TP

L2TP/XAuth盡管在本地數(shù)據(jù)庫上定義多類型用戶帳戶時，可以創(chuàng)建上述所有組合，但在創(chuàng)建之前仍須考慮以下事項將IKE用戶類型與其它任何用戶類型組合后，會限制其擴展?jié)撃?。必須將IKE用戶帳戶 這些帳戶重新置于外部auth服務器中。如果將IKE用戶帳戶與其它類型帳戶分離，必要時可以靈活地將非IKE用戶帳戶移動到外部auth服務器中。L2TPXAuth:IP、DNSWINS服務器地址分配。建議不要對L2TPL2TPXAuth地址分配。auth/L2TPauth/uth更高的安全性。例如，可將auth用戶帳戶 在外部auth服務器上，將XAuth用戶帳戶 ，并在IKE網(wǎng)關配置中 XAuth用戶，而在策略 auth用戶。撥號 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達組表(“a”O(jiān)Rb”(“aANDb組合起來，也可以將某個用戶、用戶組或另一組表達式排除在外(NOT“c”)。雖然您NetScreen設備上定義組表達并在本地數(shù)據(jù)庫)，但組表達式中的用戶和用戶組須在外RADIUS服務器RADIUS服務器允許一個用戶屬于多個用戶組。但本地數(shù)據(jù)庫不允許這戶、auth用戶組或先前定義的組表達式。用ANDAND運算符時，要求兩個表達式對象中至少有一個是用戶組或組表達式。要求某個“aAND“b”是不符合邏輯的。“aAND組“b中的成員，則只有當滿足這兩個條件時，NetScreen設備才會認證該用戶。NOT“c”NOTc”)“c”，NetScreen設備就會認證他/她。用戶JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達組表達NetScreen設備才會認證他/她。NetScreen設備才會認證他/她。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達范例組表達式 名為“project1”的服務器(0)上的 ObjectsAddressesListNewAddressName:project1IPAddress/ IP/Netmask:0/32Zone:Trust組表達ObjectsGroupExpressionsNewGroupExpression:ANDsalesAND信息流NetScreen設備外，不能有任何其它路由設備。有關區(qū)段內部策略的詳細信息，請參閱2-293頁上策略”。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達PoliciesFromTrust,ToTrust)NewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置頁:

AuthServerUse:GroupExpressionExternalGroupExpressionsetaddresstrustproject1組表達setgroup-expressions+msalesand策setpolicytopfromtrusttotrustanyproject1anypermitauthserverradius1group-expressions+mJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達范例組表達式 頁上的“范例:RADIUSAuth服務器”。)然后在從Trust區(qū)段到DMZ的策略中使用該組表達式。策略的認證部分要求用戶必須為amy或basil，才能 0處名為“web1”的Web服務器。ObjectsAddressesListNewAddressName:IP Zone:DMZ組表達ObjectsGroupExpressionsNewGroupExpression:a/bOR:amyORbasilJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達PoliciesFromTrust,ToDMZNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置頁:

AuthServerUse:GroupExpressionExternalGroupExpressionsetaddresstrustproject1組表達setgroup-expressiona/bamyor策setpolicytopfromtrusttodmzanyweb1anypermitauthserverradius1group-expressiona/bJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達范例組表達式 互聯(lián)網(wǎng)。策略的認證部分要求認證Trust區(qū)段中除“temp”中的用戶以外的 Untrust區(qū)段。組表達ObjectsGroupExpressionsNewGroupExpression:-OR:NOTPoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:Action:PositionatTop>AuthServerUse:GroupExpressionExternalGroupExpressionJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 組表達組表達setgroup-expression-tempnotsetpolicytopfromtrusttountrustanyanyanypermitauthserverJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第1章認 標題 net、FTP或HTTP的登錄提示、成功消息和失敗消息上顯范例自定義WebAuth

ConfigurationBannersWebAuthSuccessBannerAuthenticationapproved，然后單Apply。setwebauthbannersuccess“Authentication net或控制臺標題下面加入其它標題行。雖然 net標題可不同于控制臺標題，但 題，請輸入以下命令:setadminauthbannersecondarystring。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 認證可對NetScreen設備進行配置，以便使用本地數(shù)據(jù)庫或者一個或多個外部認證服務器驗證以下類型用戶 AuthIKEL2TPXAuthAdmin 在本地數(shù)據(jù)庫上。RADIUS是唯一支持L2TP和XAuthNetScreenRADIUSSecurIDLDAP服務器?？墒褂酶鞣N類型的認證服務authL2TPXAuthadminNetScreenWebAuth，這是面向auth[WebAuth的范例，請參閱70:僅WebAuthSSL外部用戶類型及認證功能之間的對應支持關系加以總結:

L2TP用 設置 設置 bbbbbbbbbbbbbbbb bbbbbbbbJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 這一數(shù)字包括本地數(shù)據(jù)庫，但不包括備份認證服務器。一個RADIUSLDAP服務器支持兩個備份服務器，一個SecurID9RADIUSRADIUS服

IKE

IKE/XAuth用戶(橙色)–>本地數(shù)據(jù)庫IKE用戶(紅色)–>本地數(shù)據(jù)庫IKE/L2TP綠色SecurID服務器Admin(紫色)–>RADIUS服務器Auth用戶(藍色)–>LDAP服務器RADIUS服務器可同時admin、auth、L2TPXAuth用戶。

Auth

服務

JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 本地

數(shù)據(jù) 用戶進 AuthIKEL2TP

*在NetScreen設備上定義組表達式，但用戶和用戶組必須 請參閱第6頁上的“組表達式”。auth)WebUICLI向本地數(shù)JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 范例

ConfigurationAdminManagementEnableWebManagementIdleTimeoutApplyConfigurationAuthServersEditLocalTimeout30Applysetadminauthtimeoutsetauth-serverLocaltimeoutJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 外部Auth服務Auth服器NetScreen設備可與用戶帳戶的一個或多個外部認證服務器或“authNetScreen設備在接證檢查的過程如下:主機

1

Auth2Name:??2 成功消成功消

7

服務主機A將FTP、HTTP 用戶以用戶名 回復JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 外部Auth服務 : :

超時周

JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 外部Auth服務 Admin用戶:如果空閑時間長度達到超時臨界值，NetScreen設備將終止admin會話。要繼續(xù)管理分鐘。也可將超時值設置為0，此時admin會話將 Admin必須重新連adminadmin

RADIUSSecurIDLDAPauthJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類Auth服務器型NetScreenauthRADIUSSecurIDLDAP

NetScreen設備在批準連接請求RADIUS服務器對撥號用戶進行認證。RADIUS客戶端(即NetScreen設備)通過客戶端與服務器之間的一系列通信對用戶進行認證。通常，RADIUS會要求登錄人員輸入其用戶名 RADIUSNetScreenRADIUSIP地址并定義共享與RADIUS服務器上的定義相同。共享是一個，RADIUSNetScreenRADIUS設備之間的信JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類 )。設備利用 將其 為1645 響應時，向RADIUS服務器發(fā)送另外的認證請求之前Auth 設置XAuth用戶(認證 設置Admin(認證和權限指派中，RADIUS是目前唯一能支持如此眾多對象的服務器。為了使RADIUS服務器能夠支持管理權限、用戶組及L2TP和XAuthIP地址1、DNS和WINS服務器地址分配等NetScreen 義上述屬性的NetScreen詞典文件。 屬性(VSA)JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類NetScreen詞典文件用于定義可加載到RADIUS服務器上的供應商 用戶登錄NetScreen設備時查詢這些屬性。NetScreenVSA包括管理權限、用戶組及 L2TP和XAuthIP地址、SoftwareRADIUS服務器。如果使用 RADIUS服務器，則不會有任何詞典文件。必須如Bi-DirectionalNetScreenRemote usingxAuthandFirewallAuthenticationwith InternetAuthenticationService(IAS) /knowbase/root/public/ns10382.pdfVendorIDNetScreenIDVID；也稱“IETF3224。VID用于識別特殊屬性的具體供應RADIUSVID，而其它類型則只要求輸入一次，然后即可全局應用。有關詳細信息，請參閱RADIUS服務器文檔。 屬性。 屬性編號分為兩個范圍NetScreenScreenOS:1–NetScreen-GlobalPRO200值122 kb/downloads/dictionary/funkradius.zip kb/downloads/dictionaryJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類 net到服務器的下列方案

可選Name:

Name:(Name:

(Name:JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類 NetScreen設備截取該數(shù)據(jù)包、檢查其策略列表、確定該會話是否需要用戶認證。NetScreen設備緩存 與該用戶的 握手 并發(fā)送給NetScreen設備。然后，NetScreen設備將含有登錄信息的“ 求”發(fā)送到RADIUS服務器。RADIUSNetScreen(“質詢”可以有選擇地提示認證用戶再次提供用戶名。第二個用戶名可以與第一個NetScreen)響應”的第二個“請求”發(fā)送到RADIUS服務器。RADIUSauth(SecurID服務器必)RADIUSauth服務器發(fā)送“請求”。RADIUS服務器將“響應”轉發(fā)給另一臺auth服務器，并且該服務器發(fā)送“接受”，或者如RADIUSRADIUSNetScreen設備發(fā)送“接受”消息。然后，NetScreen設備通知認證用戶登錄成功。NetScreenSYN:net在本NetScreen并不支持具L2TP的“質詢”。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類SecurID結合兩種因素來創(chuàng)建動態(tài)變化的，而不使用固定。SecurID具有一個大小的設備，稱為認證戶還擁有個人識別號碼(PIN)。用戶登錄時，需要輸入用戶名、其PIN以及當前令牌代碼。SecurID認證設備認證器

60秒就變成另一同算法的ACE服務器將接收到的值與其數(shù)據(jù)庫中的值進行比較。如果它們匹配，則認證成功。NetScreen設備充當客戶端，將認證請求轉發(fā)到外部服務器申請批準，并在用戶和服務器之間傳遞登錄信息。SecurID與RADIUS的不同之處在于用戶“ JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類AuthenticationPort:SecurIDACE服務器上的端 ，NetScreen設備向此處發(fā)送認證請求。缺省端為5500。DESClientTimeoutNetScreen秒)UseDuress:PINPINSecurIDACE服務器會允許一次，之后，它會該用戶的所有其它登錄嘗試，直至他/她SecurID管理員聯(lián)系。只有SecurIDACE服務器支持此選項時，才可使用強迫模式。AuthXAuth用戶認證；不支持設置指派Adminadmin用戶接收只讀的缺省權限指派目前，盡管可使用SecurID服務器 L2TP、XAuth和admin用戶帳戶進行認證，但SecurIDACE服務器仍不能指派L2TP或 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類 協(xié)議(LDAP)是密歇根大學在1996年開發(fā)出來 確定資源位置，如網(wǎng)絡上的組織 和文件幫助認證用戶嘗試連接 LDAP的基本結構分支至上而下依次為國家、組織、組織單位、 “縣”等。下圖為LDAP分支組織結構的一個范例。

LDAPRFC-1777,“LightweightDirectoryAccessProtocol”可對NetScreen設備進行配置，以便 到“輕量 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 Auth服務器類 為389注意:如果更改NetScreen設備上的LDAP LDAP服務器支持以下類型的用戶和認證功能AuthXAuth用戶(用戶認證；不支 設置指派Adminadmin用戶接收只讀的缺省權限指派 或 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對Auth服務器象要在策略、IKE網(wǎng)關和L2TP通道中 說明如何為RADIUS服務器、SecurID服務器和LDAP服務器定義auth服務器對象。在下例中，將為RADIUS服務器定義auth服務器對象。將其用戶帳戶類型指定為auth、L2TP和XAuth。將 由缺省值(1645)更改為4500。將其共享 改為30分鐘，并將RADIUS重試超時值由3秒更改為4秒。同時將兩個備份服務器的IP地址分別指定為10和20。此外，還要將NetScreen詞典文件加載到RADIUS服務器上，使其能支持下列供應商 屬性(VSA)的查詢:用戶 L2TP和XAuth設置。NetScreen設備將auth、L2TPXAuth如果NetScreen設備與主RADIUS服務器的網(wǎng)絡連接斷開，它會重新定向，將認證請求轉發(fā)到10地址處的備份1。如果NetScreen設備無法連到備份服務器1求轉發(fā)20地址處的備份服務器2

IP:

IP:

RADIUS服務器Name:radius1IP00Port:Timeout:30JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對ConfigurationAuthServersNewName: Name:Backup1:Timeout:AccountTypeAuthL2TPRADIUSPort:RetryTimeout:4SharedSecret:JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對setauth-serverradius1typesetauth-serverradius1account-typeauthl2tpsetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiustimeoutsetauth-serverradius1radiussecretA56htYY97kl (1645)展開 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對范例SecurIDAuth在下例中，將為SecurIDACE服務器配置auth服務器對象。將其用戶帳戶類型指定為admin。將服務器命名為址:10。將其端 法保護認證信息。允許重試三次，客戶端超時值為10秒4。將空閑超時值由缺省值(10分鐘)更改為60分鐘5。禁用UseDuress設置。NetScreen設備將admin00地址SecurIDsecurid1”。NetScreen設備與SecurID服務器的網(wǎng)絡連接斷開，1。

備份服務IP:

SecurID服務器Namesecurid1IP00Port:15000ClientTimeout:10secondsIdleTimeout:60minutesAccountTypes:Admin客戶端超時值是指兩次認證重試操作之SecurID客戶即NetScreen秒)請參閱第21頁上的“Auth服務器對象屬性”。)JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對ConfigurationAuthServersNewName: Name:Backup1:Timeout:AccountType:SecurID:(選擇)ClientRetries:3ClientTimeout:10secondsAuthenticationPort:15000EncryptionType:DESUserDuress:Nosetauth-serversecurid1typesetauth-serversecurid1server-name00setauth-serversecurid1backup110setauth-serversecurid1timeout60setauth-serversecurid1account-typeadminsetauth-serversecurid1securidretries3setauth-serversecurid1securidtimeout10setauth-serversecurid1securidauth-portsetauth-serversecurid1securidencr1setauth-serversecurid1securidduress0JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對范例LDAPAuth在下例中，將為LDAP服務器配置auth服務器對象。將用戶帳戶類型指定為auth。將LDAP服務器命名為“l(fā)dap1”，并接受NetScreen設備自動指派的ID號。輸入其IP地址00；將其端 由缺省值(389)更改20。LDAP通用名稱標識符為cn，DistinguishedName(識別名稱)為c=us;o=juniper;ou=marketing。NetScreen設備將認證請求從auth用戶發(fā)送到會重新定向，將認證請求轉發(fā)到10地址處的備份1。如果NetScreen1，它會將認證請20地址處的備份服務器2。

備份服務IP:

備份服務IP:

LDAP服務器Name:ldap1IP00Port:Timeout:40minutesCommonName:cnDistinguishedNam::AccountType:AuthJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義Auth服務器對

ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:40AccountType:AuthLDAPPort:CommonNameIdentifier:DistinguishedName(dn):setauth-serverldap1typesetauth-serverldap1account-typesetauth-serverldap1server-name00setauth-serverldap1backup110setauth-serverldap1backup220setauth-serverldap1timeout40setauth-serverldap1ldapport15000setauth-serverldap1ldapcncnsetauth-serverldap1ldapdnJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義缺省Auth服務定義缺省Auth服器auth 范例更改缺省AuthJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第2章認證服務 定義缺省Auth服務

sAutoKeyAdvancedXAuthSettingsDefaultAuthenticationServerLocal后單擊Apply7sL2TPDefaultSettingsDefaultAuthenticationServerradius1setxauthdefaultauthserverLocal7setl2tpdefaultauthserverradius1setadminauthserversecurid1setauthdefaultauthserverJuniperNetworksNetScreen概念與范例–第8卷:用戶認 認證用戶(或“auth用戶”)指啟動通過 在本地數(shù)據(jù)庫或外部RADIUS、SecurID或LDAP服務器上?？蓪⒍鄠€auth用戶帳戶集合到一起組成auth用戶組，用戶組可以 在本地數(shù)據(jù)庫或RADIUS服務器上。單個器上定義一個名為“au_grp1”的auth用戶組，并在組中添加10個成員，則在NetScreen設備上必須也定義一個名為“au_grp1”的auth用戶組，將其標識為外部用戶組，但不在其中添加成員。如果在策略中 外部auth用戶組“au_grp1”和auth服務器“rs1”，則當與該策略匹配的信息流 認證檢查時，NetScreen設備可以正確查詢指定的RADIUS服務器。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用在策略 戶定義auth用戶后，可創(chuàng)建一個要求用戶通過兩種認證方案之一進行認證的策略。第 配的FTP、HTTP或 求用戶認證的策略的信息流(任何類型，不局限于FTP、HTTP或 net)之前進行認證。運行時認用戶嘗試發(fā)起(應用要求進行認證的策略的)HTTP、FTP 與本地數(shù)據(jù)庫或外部auth服務器上的用戶名和 2

數(shù)據(jù)

5

7成功成功 auth用戶將FTP、HTTP net輸入登錄信息用戶以用戶名 回復 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用策略前檢查認證HTTP1Name:??Name:??

15auth用戶連接到WebAuthIP1，并成功登錄。[NetScreen在指定數(shù)據(jù)庫(本地數(shù)據(jù)庫或外部auth服務器)中檢查auth用戶帳戶。] 成功消成功消

47

外部

的連

策略引擎記錄應用于該信息流的策略要求通過WebAuth進行認WebAuth進行認證，并將信息流發(fā)送到其目的地。WebAuth的一些詳細說明(IP/24WebAuthWebAuthIP/24子網(wǎng)內?？诘男畔?，請參閱2-51)JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用WebAuth)NAT可將所有初始源地址更改為單個轉換后的地址)后面發(fā)出信息流，則實際情況可能就是這樣。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶在策略 組要管理多個auth用戶，可創(chuàng)建auth用戶組，并將 您可將用戶集合成組，使對此組實施的任何更改應用于組的所有成員，而不必分別管理每個用戶。一個auth用戶最 1個策

1JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例運行時認證本地用戶在本例中，將定義一個名為louis的本地auth用戶，其 為iDa84rNk，在Trust區(qū)段通訊簿中的地址名為“host1”。然后配置兩個外向策略:一個 請求以及來自“host1”Auth用戶和地ObjectsUsersLocalNewUserName:louisStatus:EnableUserPassword:iDa84rNkObjectsAddressesListNewAddressName:IP IP/Netmask:/32Zone:TrustJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryAction:DenyPoliciesFromTrustToUntrustNewSourceAddressBookEntryhost1DestinationAddress:AddressBookEntryAnyServiceANYAction:PositionatTop>置頁:AuthServer)Use:LocalUserLocalAuthUserJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶setuserlouispasswordiDa84rNk1setaddresstrusthost/32setpolicyfromtrusttountrustanyanyanysetpolicytopfromtrusttountrusthost1anyanypermitauthuserlouis JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例運行時認證本地用戶組 auth_grp1的策略。此策略為auth_grp1提供FTP-GET和FTP-PUT權限，令其以Trust區(qū)段中“auth_grp1”地址名(IP地址/24) DMZ區(qū)段中名為“ftp1”(IP地址/32)的FTP服務器。ObjectsUsersLocalGroupsNewGroupNameauth_grp1，執(zhí)行以下操作，然后單擊Members欄中。Members欄中。ObjectsAddressesListNewAddressName:IP IP/Netmask:/24Zone:Trustauth、IKEL2TP和XAuth用戶類型可創(chuàng)建多類型用戶組。不能將Admin用戶與其它任意用戶類型組合。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:PoliciesFromTrustToDMZNewSourceAddressBookEntryauth_grp1DestinationAddress:AddressBookEntryService:FTPPositionatTop>置頁:AuthServer)Use:LocalUserGroupLocalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶setuser-groupauth_grp1locationlocalsetuser-groupauth_grp1userlouissetuser-groupauth_grp1userlara地setaddresstrustauth_grp/24setaddressdmzftp1/32setpolicytopfromtrusttodmzauth_grp1ftp1ftppermitauthuser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例運行時認證外部用戶Accounttype:IPaddress:Backup1IPaddress:Backup2IPaddress:

Authenticationtimeout:60LDAPportnumber: 務器x_srv1上進行認證的外向策略。Auth服務ConfigurationAuthServersNewName: Name:Backup1:Timeout:60AccountTypeAuthLDAP:(選擇)LDAPPort:CommonNameIdentifier:DistinguishedName(dn):JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶外部用 為eTcS114uObjectsAddressesListNewAddressName:IP Zone:TrustPoliciesFromTrustToUntrustNewSourceAddressBookEntryDestinationAddressBookEntryService:Action:PositionatTop>AuthServerUse:UserExternalUserExternalUser:euclidJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶Auth服務setauth-serversetauth-serverx_srv1typesetauth-serverx_srv1account-typesetauth-serverx_srv1server-name00setauth-serverlx_srv1backup110setauth-serverx_srv1backup220setauth-serverx_srv1timeout60setauth-serverx_srv1ldapportsetauth-serverx_srv1ldapcnsetauth-serverx_srv1ldapdn外部用 為eTcS114usetaddresstrusteuc_host策setpolicytopfromtrusttountrusteuc_hostanyanyauthserverx_srv1userJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例運行時認證外部用戶組RADIUSauth服務器“ Trust區(qū)段中。(有關區(qū)段內部策略的詳細信息，請參閱第2-293頁上的“策略”。)RADIUSNetScreen詞典文件加載到RADIUS服務器上4其應用于要添加到該組中的auth用戶帳戶。: JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶Auth服務ConfigurationAuthServersNewName: Name:Backup2:Timeout:AccountType:RADIUS:(選擇)SharedSecret:外部用戶ObjectsUsersExternalGroups>NewGroupName:GroupType:ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶PoliciesFromTrustToTrust)NewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANYPositionatTop>置頁:AuthServerUse:UserGroupExternalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶Auth服務setauth-serverradius1typesetauth-serverradius1account-typesetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiussecret外部用戶setuser-groupauth_grp2locationexternalsetuser-groupauth_grp2typeauth地setaddresstrustmidassetpolicytopfromtrusttotrustanymidasanypermitauthserveruser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例多個組中的本地Auth 下列兩臺服務器:銷售人(sales_reps組)使用的服務器A和經理(sales_mgrs組)使用的服務器B。要提供對這兩臺服務器的 要將Mary添加到這兩個用戶組中。然后創(chuàng)建兩個策略—每組一個策略。本地用ObjectsUsersLocalNewStatus:EnableAuthenticationUser:(選擇)UserPassword:iFa8rBdConfirmPasswordiFa8rBdObjectsUsersLocalGroupsNewGroupNamesales_mgrs，執(zhí)行以下操作，然后單OK:Members欄中Members欄中。JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:ObjectsAddressesListNewAddressName:server_aIPAddress/ IP/Netmask/32Zone:UntrustObjectsAddressesListNewAddressName:server_bIPAddress/ IP/NetmaskZone:PoliciesFromTrustToUntrustNewSourceAddressBookEntrysalesDestinationAddress:AddressBookEntryService:FTPJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶PositionatTop置頁:AuthServerUse:UserGroupLocalAuthGroupsales_repsPoliciesFrom:Trust;To:UntrustNew:輸入以下內容，然后單擊OK:SourceAddressBookEntrysalesDestinationAddress:AddressBookEntryService:Action:PositionatTopAuthServerUse:UserGroupLocalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶本地用setusermarypasswordsetuser-groupsales_mgrslocationsetuser-groupsales_mgrsusersetuser-groupsales_repslocationlocalsetuser-groupsales_repsusermarysetaddresstrustsales/24setaddressuntrustserver_a/32setaddressuntrustserver_b策setpolicytopfromtrusttountrustsalesserver_aftppermitauthuser-groupsetpolicytopfromtrusttountrustsalesserver_bftppermitauthuser-JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例WebAuth本地用戶組WebAuthNetScreen設備上的本地數(shù)據(jù)庫中創(chuàng)建名為“auth_grp3Trustauth用戶帳戶，并將他們添加到庫作為缺省的WebAuth服務器。因此，用戶在啟動流向互聯(lián)網(wǎng)的信息流之前，必須首先以HTTP方式連接到 登錄。然后，NetScreen設備將該用戶名和 認證請求。如果它批準該請求，被認證的用戶將有30分鐘的時間啟動流向互聯(lián)網(wǎng)的信息流。終止該ConfigurationAuth>WebAuthWebAuthServerLocalApply。NetworkInterfacesEditethernet1WebAuthWebAuthIP0。ConfigurationAuth>ServersEditLocalTimeout30Apply。用戶ObjectsUsersLocalGroupsNewGroupNameauth_grp3，執(zhí)行以下操作，然后單擊GroupMembersJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANY>WebAuth:(選擇)UserGroupLocalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶setwebauthserversetinterfaceethernet1webauth-ip0setinterfaceethernet1webauthsetauth-serverLocaltimeout用戶setuser-groupauth_grp3locationauth用戶添加到剛剛創(chuàng)建的用戶組中setuser-groupauth_grp3usersetpolicytopfromtrusttountrustanyanyanypermitwebauthuser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例WebAuth外部用戶組 Trust區(qū)段中的每個人創(chuàng)建用戶帳戶，并將他們添加到“auth_grp4”中。Trust區(qū)段接口使用ethernet1，其IP地址為/24。指定0作為WebAuthIP地址，并使用外部首先以HTTP方式連接到0，并以用戶名和 用戶之間中繼所有WebAuth用戶認證請求及響應。RADIUS服務JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶Auth服務ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:AccountType:RADIUS:(選擇)SharedSecret:>NetworkInterfacesEditethernet1WebAuthWebAuthIP0，然后單擊OK。用戶ObjectsUsersExternalGroupsNewGroupName:auth_grp4GroupType:AuthJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶PoliciesFromTrustToUntrustNewSourceAddressBookEntryAnyDestinationAddress:AddressBookEntryService:ANY>WebAuth:(選擇)UserGroupExternalAuthGroupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶Auth服務setauth-serverradius1typesetauth-serverradius1account-typesetauth-serverradius1server-name00setauth-serverradius1backup110setauth-serverradius1backup220setauth-serverradius1timeout30setauth-serverradius1radiusportsetauth-serverradius1radiussecretsetwebauthserversetinterfaceethernet1webauth-ip0setinterfaceethernet1webauth用戶setuser-groupauth_grp4locationexternalsetuser-groupauth_grp4typeauthsetpolicytopfromtrusttountrustanyanyanypermitwebauthuser-groupJuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶范例WebAuthSSL外部用戶組WebAuth(SSL技術組合，來保護用戶登錄時發(fā)送的用戶名和。WebAuthNetScreen設備的管理信息流的來通過WebUI實現(xiàn)管理。SSL3-7頁上的“接字層”。) RADIUSauth服務器“radius1RADIUSNetScreen設備上創(chuàng)建名為將其添加到“auth_grp5”中。auth”作為用戶帳戶類型。Untrustethernet3，IP/0WebAuthIP地址，指示設備對WebAuthSSLRADIUSauthradius1WebAuth服 的IDX號(本例中為1DES_SHA-SSL +因此，用戶在啟動流向互聯(lián)網(wǎng)的信息流之前，必須首先以HTTP方式連接到 碼登錄。然后，NetScreen設備在“radius1”和嘗試登錄的用戶之間中繼所有WebAuth用戶認證請求及響應。 JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶RADIUS服務Auth服務ConfigurationAuthServersNewName: Name:Backup1:Backup2:Timeout:30AccountType:AuthRADIUS:(選擇)SharedSecret:>JuniperNetworksNetScreen概念與范例–第8卷:用戶認 第3章認證用 在策略 Auth用戶NetworkInterfacesEditethernet3I