JuniperSA、操作手册.doc

Juniper SA 基本配置手册联强国际-李铭2009年10月第一章Juniper SA 配置步骤、名词解释2第二章初始化、基本配置42.1Console下进行初始化配置42.2Web中管理员身份登录62.3基本配置7第三章认证服务器的配置(Auth.Server)11第四章用户角色的配置(Role)13第五章用户区域的配置(Realm)16第六章资源访问策略的配置（resource policy)19第七章用户登陆的配置 （sign in policy)23第一章 Juniper SA 配置步骤、名词解释RADIUS、LDAP、Local Authentication：认证服务器的类型Auth Server：认证服务器（具体员工）Realm：用户区域=用户群（如：人事部门、财务部门、公司老总）Role：用户角色=资源组（如：财务资源、销售资源）上图中的对应关系可以清晰的看到从用户到资源的映射过程，在各个元素映射的过程中，可以是一对多的映射。所以Juniper SA产品可以面对更为复杂的企业网络应用环境。配置Juniper SA的步骤：1、 初始化、基本配置l 网络地址信息、时间、升级、License2、 认证服务器的配置(Auth.Server)l 配置用户要使用的认证服务器（本地的或者第三方的）l 可以多个认证服务器3、 用户角色的配置(Role)l 具有相同资源访问权限的同一组用户l 权限分配的基础，所有的访问控制策略都是基于ROLE4、 用户区域的配置(Realm)l 使用相同的认证服务器的同一组用户l 该组用户根据访问资源权限的不同，与不同的ROLE进行映射5、 资源访问策略的配置（resource policy)l 对于目标资源的访问控制，如WEB服务器，文件服务器等l 针对于ROLE的访问权限控制（某个ROLE有何种访问权限）6、 用户登陆的配置 （sign in policy)l 定制用户登陆界面（提供缺省界面）l 默认用户登陆URL(缺省为*/)l 默认管理员登陆URL(缺省为*/admin)7、 用户的安全性检查（Endpoint Security）（可选）l 定制HOST CHECK 策略l 定制CACHE CLEANER策略l 定制Secure Virtual Workspace策略第二章 初始化、基本配置设备出厂时无IP地址、密码、License，需要连接Console进行初始配置。2.1Console下进行初始化配置初始开机信息如下：Welcome to the initial configuration of your server!NOTE: Press y if this is a stand-alone server or the first machine in a clustered configuration.If this is going to be a member of an already running clusterpress n to reboot. When you see the Hit TAB for clustering optionsmessage press TAB and follow the directions.Would you like to proceed (y/n)?: yNote that continuing signifies that you accept the termsof the Juniper license agreement. Type r to read thelicense agreement (the text is also available at any timefrom the License tab in the Administrator Console).Do you agree to the terms of the license agreement (y/n/r)?: y输入网络地址信息：Please provide ethernet configuration information IP address: 0 Network mask: Default gateway: 54Please provide DNS nameserver information: Primary DNS server: 83 Secondary (optional): 82 DNS domain(s): Please provide Microsoft WINS server information: WINS server (optional): 51确认输入的网络地址信息：Please confirm the following setup: IP address: 0 Network mask: Gateway IP: 54 Link speed: Auto Primary DNS server: 83 Secondary DNS: 82 DNS domain(s): WINS server: 51Correct? (y/n): yInitial network configuration complete.输入Admin管理员账号、密码：Internal NIC: .Down code=0x1Please create an administrator username and password.Admin username: admin （可自定义）Password:（此处输入密码不会显示）Confirm password: The administrator was successfully created.输入域名、组织名信息：Please provide information to create a self-signed Web serverdigital certificate. Common name (example: ): Organization name (example: Company Inc.): synnex输入任意字符生成自签名证书：Please enter some random characters to augment the systemsrandom key generator. We recommend that you enter approximatelythirty characters.Random text (hit enter when done): jklfjwwl&%&*(09897655RTY&TYGu8yuhuCreating self-signed digital certificate.The self-signed digital certificate was successfully created.初始配置完成：Congratulations! You have successfully completed theinitial set up of your server. To administer the system, please browse to an appropriate URL: https:/admin (note the s in https:/) Example: 4/admin -举例：管理员登陆地址 If a DNS name already exists for this IVE, you can also use: https:/admin Example: /admin-System is now ready.Press Enter to modify system settings.Console菜单：Welcome to the Juniper Networks IVE Serial Console!Current version: 5.1R2 (build 9029) -设备初始版本（恢复出厂后的版本）Reset version: 5.1R2 (build 9029)Licensing Hardware ID: 0152MMY3N0MY5XXXPlease choose from among the following options: 1. Network Settings and Tools -网络设定 2. Create admin username and password -新建管理员帐户 3. Display log -显示日志（用于Debug） 4. System Operations -系统选项包含恢复出厂、删除配置、重启等操作 5. Toggle password protection for the console (Off) -为Console连接设置密码（不推荐） 6. Create a Super Admin session. -用于找回丢失的Admin密码 7. System Snaphot -系统快照（用于Debug）Choice: 12.2Web中管理员身份登录浏览器打开0/admin2.3 基本配置2.3.1 设置时间2.3.2 升级版本官方建议版本：2.3.3 添加License 无License则无法进行使用设置完成后的主页如下：第三章 认证服务器的配置(Auth.Server)Juniper SA 支持以下认证服务器类型：下面的例子中我们会用到Local Authentication 本地认证服务器点击User添加帐户第四章 用户角色的配置(Role)点选New User Role新建Roles,名称为Demo-Role名字可以为中文在Demo-Role中，我们可以开启相应的资源功能。General选择该角色可以使用哪些资源服务，勾选即可VLAN/Source IPVLAN信息Session option超时选项，COOKIE的相关选项UI option用户成功登陆后的界面设置Restriction用户登陆，获得该角色的其他条件：如果不符合，则不能获取该ROLE的权限Source IP 用户发起连接时，限制用户的源IPBrowser限制用户的浏览器类型Certificate 限制用户浏览器中的证书（配合USB KEY）Host Checker主机检查程序Cache Cleaner缓存清理程序第五章 用户区域的配置(Realm)点选New User Realm 建立Juniper SA演示 区域1、 名字可以是中文2、 在Authentication处点选认证服务器Demo User3、 点选Role Mapping映射Role 此步骤非常关键，即实现Role与Realm的对应。新建映射Rule: If username.：分为is 和 is not ，填写*即为所有用户.then assign these roles：选择映射的RoleStop processing rules when this rule matches：匹配后立即停止（Realm可以映射多个Role，在新建的映射条目中，按照从上到下的匹配方式进行）如图：第六章 资源访问策略的配置（resource policy)本例中我们将建立WEB资源。SAM、NC等配置方法会单独介绍。Web资源的添加：新建资源 9Autopolicy: Web Access ControlWeb资源选项（必选）Autopolicy: Single Sign-on 单点登录选项（可选）Autopolicy: Caching缓存选项（可选）Autopolicy: Java Access ControlJava插件控制选项（可选）Autopolicy: Rewriting Options重写选项（可选）Autopolicy: Web CompressionWeb Gzip压缩选项（可选）Save and Continue！点击进入 联强国际内部系统对标签进行编辑Save即可完成！第七章 用户登陆的配置 （sign in policy)图中：*/admin/ 为管理员默认登陆入口*/ 为用户默认登录入口*/liming为新建登陆入口本例中我们将不同的Realms加入到 */ 这个登录入口点击*/进行编辑，将所需的RealmsUser types the realm name用户登陆时需要手动输入Realm的名称User picks from a list of authentication realms采用下拉菜单方式显示Realm名称（建议）至此，Web资源添加的配置完成。用户登录，浏览器中打开0下拉菜单中可以看到我们添加的Realm 名称Juniper SA演示登陆后可以看到所添加的资源，其中“联强国际内部系统”为刚刚添加的web资源第八章：SAM的应用于配置8.1 SAM介绍：Use this task guide to complete basic setup, obtain the latest OS service package, license your applia