juniper_SSL_VPN-售后培训-配置汇编.ppt

环境拓扑 初始配置 出厂恢复 为什么要学习出厂恢复 真正初始化一台设备 LICENSE到期后，需要初始化，可以使用原有的LICENSE 5.0以下的版本） 初始化设备的步骤 Factory Restore 设备，设备重新启动 初始化配置（网络配置，证书配置，管理员配置） WEB登陆，升级系统软件 添加LICENSE 通过串口进行初始化配置 通过串口进行网络配置 通过串口进行管理员配置 自签名证书配置 LAB 1: 通过串口进行初始化配置 管理员登陆 软件升级 Task Guide 缺省系统设定 重新安装后，许多的IVE功能组件都有相关的初始配置 用户可以用‘*/’ 作为初始登陆界面，并且试验Users’ authentication realm 建有初始的“users” realm 利用 ‘System Local’ 认证服务器 有一条 role mapping rule： maps all users to the ‘Users’ role 建有本地授权服务器 ‘System Local’ 建有‘Users’ role 可以进行 Web and Windows Files 的访问 为‘Users’ role开放了相关的Web and Windows Files 的访问资源对象 Admin UI 系统配置 配置SA的步骤 配置SA的步骤 网络配置 IP地址，DNS，路由，host等。 认证服务器的配置 配置用户要使用的认证服务器（本地的或者第三方的） 可以多个认证服务器 用户角色的配置（ROLE 具有相同权限的同一组用户 权限分配的基础，所有的访问控制策略都是基于ROLE 用户区域的配置（REALM 使用相同的认证服务器的同一组用户 该组用户根据访问权限的不同，映射成不同的ROLE 配置SA的步骤 续） 配置SA的步骤 资源访问策略的配置（resource policy 对于目标资源的访问控制，如WEB服务器，文件服务器等 针对于ROLE的访问权限控制（某个ROLE有何种访问权限） 用户登陆的配置 （sign in policy 定制用户登陆界面（提供缺省界面） 定制用户登陆URL 缺省为*/ 用户的安全性检查（可选） 定制HOST CHECK 策略 定制CACHE CLEANER策略 配置实例 用户需求 无认身份证服务器 内部有WEB，SSH服务器 两个用户 用户分别有不同的访问权限 配置步骤 1. 添加本地认证服务器mylocalserver， 2. 添加用户 :user1: 123456 user2:123456 3. 定义两个ROLE, role1 WEB服务 role2, WEB服务和ssh 4. 定义一个REALM :myrealm,采用认证服务器mylocalserver，定义ROEL mapping策略 if username user1 map to role1 if username user2 map to role2 5. 资源访问策略的定制，可以通过角色中的自动允许完成 6。定义SIGN-IN POLCIY, sign-in URL : */ sign-in page: default page Realm : myrealm 7.用户通过登陆，输入身份信息，OK 配置的导入导出 二进制配置的导入导出 配置的导入导出 config file 用户的导入导出 user account 导入的信息包含LICENSE的信息 XML形式导入导出 可以按照不同的配置类型导出 导出的配置为明文，可认的，可以修改 必须在同一版本间导入导出 对下列情形有用 增加大量的用户 修改大量的配置，如认证服务器，用户或其他 建立一个配置模板 配置认证服务器 配置身份认证服务器 我们将练习 本地认证服务器 AD服务器 证书服务器 anonymous认证服务器 配置本地认证服务器 添加本地认证服务器 Signing-in servers 通过选择IVE authentication，建立New server 输入认证服务器名localserver，对密码的相关要求 可以添加多个本地认证服务器 增加用户 进入localserver user，添加用户 添加REALM，使用添加的本地认证服务器 User》 Authentication建立新的 Realms ： local realm 通过ROLE MAPPING 实现授权 进入local realm role mapping，建立新的规则 配置AD认证服务器 添加AD认证服务器 Signing-in servers 通过选择Active Directory/Windows NT，建立New server 输入AD的相关信息，名称，IP,D