Juniper SSL VPN简明配置手册.docx
《Juniper SSL VPN简明配置手册.docx》由会员分享,可在线阅读,更多相关《Juniper SSL VPN简明配置手册.docx(19页珍藏版)》请在冰豆网上搜索。
JuniperSSLVPN简明配置手册
SSLVPN管理员简明配置手册
SSLVPN管理员简明配置手册1
1.例1:
创建一名VPN用户分配为总行普通用户:
3
2.例2:
创建书签资源并开放策略4
3.例3:
winsam添加服务并开放策略5
4.例4:
新增分支行,创建用户、角色、安全策略等6
5.例5:
Troubleshooting16
1.例1:
创建一名VPN用户分配为总行普通用户:
1.点击进入后选择“Auth.Servers中的ZongHang_auth_server”后点击“USER”选项,然后单击“NEW”
进入后输入要建立的用户名及密码,然后点击下方的savechanges。
勾选requireusertochangepasswordatnextsignin(如图):
2.下面将用户添加至总行普通用户组中,
点击“User—userRealms—总行--RoleMapping”
进入后会看到此选项里所有建立的角色映射策略,然后找到“总行普通用户”一行,点击左侧蓝色标示的“usernameis”
进入后,在Rule:
Ifusername下方输入“wangqiang”然后单击保存即可。
2.例2:
创建书签资源并开放策略
在总行普通用户中创建WEB书签,依次点击roles-总行维护用户-WEB-Bookmarks;
进入后点击”NewBookmarks”,然后添加相关WEB地址及名称(如图):
下面添加策略,在添加书签的下方有Accesscontrol选项,点击来定义策略书签策略:
在策略中添加相应的IP地址与端口或WEB域名.然后单击保存即可。
3.例3:
winsam添加服务并开放策略
在选择Roles-总行维护用户-SAM-Applications
进入后单击AddServer出现如下页面,然后添加响应IP与端口,如图:
添加策略,在选择Roles-总行维护用户-SAM-Applications后在最下方有如下选项,点击进入,如图:
进入后按照图中填入,然后单击保存,设置完毕
4.例4:
新增分支行,创建用户、角色、安全策略等
1.登录VPN管理系统后进入认证服务器选项,如下图:
2.按下图选择IVE认证服务器,创建一个新的分行认证服务器;
3.按下图填写新建分行名称和勾选相应的配置选项并保存;
4.认证服务器创建成功后,在users栏里创建分行用户,用户创建方法同上一例。
分行用户命名规则:
普通用户:
分行名称缩写_用户名全拼
开发用户:
分行名称缩写_rd_用户名全拼
维护用户:
分行名称缩写_rm_用户名全拼
5.创建认证角色,在users->userroles目录里,选择newuserroles,输入分行名称勾选相应选项后savechanges。
如下图:
Accessfeatures:
WEB(B/S架构访问方式)
SecureApplicationManager(C/S架构访问方式)
NetworkConnect(NC架构访问方式)
认证角色创建成功后,web书签创建方法同例2。
6.创建JSAMapplications:
1.在roles长春分行普通用户SAM-Applications选项中,选择Addapplication,添加邮件服务器。
如下图:
2.添加JSAMapplications后,需开放相应的sam访问策略。
在上步操作完后的窗口中,选择SAMaccesscontrolpolicies。
点击newpolicy,按下图配相应选项
Resources:
按系统规定格式填写允许访问的资源
Roles:
选择第二项,并将应用此策略的角色添加到右框中
7.创建维护用户并启用NetworkConnect,方法同上-例4.5
8.NetworkConnect相关配置,在roles-长春维护用户-NetworkConnect一项:
SplitTunnelingModes:
选择DisableSplitTunneling
AutoUninstallOptions:
选择Auto-UninstallNetworkConnect
保存上配置后,在此窗口下选择Connectionprofiles,配置NC连接的模板文件。
选择newprofiles
IPaddresspool:
填写VPN用户登录VPN后获取的虚拟网卡地址
CustomDNSsettings:
填写行里的DNS地址
Roles:
选择应用NC连接模板文件的角色
注:
Selectedroles中选择长春分行,此图为举例说明。
保存配置后,选择Access一项,点击newpolicy进行NC连接的访问策略配置。
如下图:
Resources:
按系统规则填写运行NC访问的资源,维护用户开放分行网段地址
Roles:
选择应用此策略的角色
Action:
选择allowacces
9.创建认证域;在users–Authentication,点NEW:
Severs:
选择新建分行认证服务器
其他默认即可
配置保存后,在AuthenticationPolicy-password选项中,启用EnablePasswordManagement。
在RoleMapping选项中,点击newrule创建新的映射策略。
分行角色映射策略以分行用户定义规则为依据,如下图:
映射策略创建成功后,可以通过界面上的上下箭头调整策略位置。
如下图:
10.认证域登录策略配置;
在System9-SigningIn中,在UserURLs栏中点击*/选项,如下图:
*/secc/:
(新建动态令牌认证域选择此项)
*/coop/:
(新建第三方合作单位认证域选择此项)
将Availablerealms栏中新建的认证域(例:
长春)移至Selectedrealms栏中,保存配置即可。
5.例5:
Troubleshooting
在Maintenance-Troubleshooting选项中,有几项简单常见的故障排查与测试功能。
1.在UserSessions中添加用户名称与所属区域,然后勾选Pre-Authentication与RoleMapping
查询用户所在的分组(如图)
然后点击
进行查询,查询结果(如图);
查看到此用户属于总行维护用户。
2.UserSessions--PolicyTracing查找用户的角色组,添加相关用户名与认证域,然后单击
进行查询。
3.Monitoring选项中有debuglog、nodemonitor、cluster三个选项,可根据这三个选项查看debug日志、线路连通性、与cluster状态监控。
4.SystemSnapshot 创建系统快照,快照可创建多个,可以包含配置快照与debug快照。
5.RemoteDebugging 开启远程协助,通过开启这项功能来远程协助维护VPN设备。