NetScreen Remote Access 500 Mise en route

Transcription

Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
530-010089-01, Revision 1
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
A 1.25" spine would fold here.
NetScreen Remote Access 500
Mise en route
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net
Juniper Networks NetScreen-RA 500
Mise en route
Version 4.x
Sunnyvale, CA 94089
États-Unis
408-745-2000
www.juniper.net
Référence : 093-1398-000
Juniper Networks, le logo Juniper Networks, NetScreen, NetScreen Technologies, le logo NetScreen, NetScreen-Global Pro, ScreenOS et GigaScreen sont des
marques déposées de Juniper Networks, Inc. aux États-Unis et dans d'autres pays.
Juniper Networks, le logo Juniper Networks, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting, NetScreen-SA
1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen et le logo NetScreen sont des marques déposées de Juniper Networks, Inc. NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200,
NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP
10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC et NetScreen ScreenOS sont des marques commerciales de Juniper
Networks, Inc. Toutes les autres marques commerciales et marques déposées sont la propriété de leurs détenteurs respectifs.
Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 par le Massachusetts Institute of Technology. Tous droits réservés. Copyright © 2000 par
Zero-Knowledge Systems, Inc. Copyright © 2001 Dr Brian Gladman <[email protected]>, Worcester, Royaume-Uni. Tous droits réservés. Copyright ©
1989, 1991 Free Software Foundation, Inc. Copyright © 1989, 1991, 1992 par la Carnegie Mellon University. Travaux dérivés - 1996, 1998-2000. Copyright ©
1996, 1998-2000 The Regents of the University of California. Tous droits réservés. Copyright © 1999-2001 The OpenLDAP Foundation, Redwood City,
Californie, États-Unis. Tous droits réservés. L'autorisation de copier et de distribuer des copies intégrales de ce document a été accordée. Copyright © 1995
Tatu Ylonen <[email protected]>, Espoo, Finlande. Tous droits réservés. Copyright © 1986 Gary S. Brown. Copyright © 1998 CORE SDI S.A., Buenos Aires,
Argentine. Copyright © 1995, 1996 par David Mazieres <[email protected]>. Copyright © 1998-2002. The OpenSSL Project. Tous droits réservés. Copyright ©
1989-2001, Larry Wall. Tous droits réservés. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1996-2002 Andy Wardley. Tous droits
réservés. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998. Jean-loup Gailly et Mark Adler.
Juniper Networks NetScreen-RA 500 – Mise en route, Version 4.x
Copyright © 2004, Juniper Networks, Inc.
Tous droits réservés. Imprimé aux États-Unis.
Rédacteur : Carolyn A. Harding
Rédacteur en chef : Dana Marcell
Historique des versions
10 juillet 2004 – Version bêta
26 juillet 2004 – Version finale
Juniper Networks décline toute responsabilité quant à la présence d'imprécisions dans ce document. Juniper Networks se réserve le droit de modifier,
transférer ou réviser de toute autre manière la présente publication sans avertissement préalable.
Table des matières
Partie 1
Installation et configuration
1
Étape 1 : Installation du matériel ..................................................................... 3
Étape 2 : Configuration de base ....................................................................... 4
Étape 3 : Mise à jour et activation de la licence du NetScreen-RA 500.............. 7
Étape 4 : Saisie des informations d'adresse IP de Network Connect ................ 9
Étape 5 : Vérification de l'accessibilité pour les utilisateurs ............................ 11
Partie 2
Gestion des accès – Principes fondamentaux
13
Création d'un scénario de test pour apprendre les concepts et les meilleures
pratiques du NetScreen-RA 500 ..................................................................... 15
Définition d'un rôle d'utilisateur .............................................................. 15
Définition d'une stratégie de ressources .................................................. 17
Définition d'un serveur d'authentification ............................................... 19
Définition d'un royaume d'authentification ............................................. 21
Définition d'une stratégie d'ouverture de session .................................... 24
Utilisation du scénario de test.................................................................. 26
Paramètres par défaut des administrateurs....................................................29

iii
NetScreen Remote Access – Mise en route
iv

Partie 1
Installation et configuration

1
2

Merci d'avoir opté pour le système NetScreen-RA 500 SSL VPN de Juniper Networks !
Une procédure aisée en cinq étapes vous permettra d'installer le NetScreen-RA 500
et de commencer à configurer le système.
Étape 1 : Installation du matériel ...............................................................3
Étape 2 : Configuration de base.................................................................4
Étape 3 : Mise à jour et activation de la licence du NetScreen-RA 500..........7
Étape 4 : Saisie des informations d'adresse IP de Network Connect ............9
Étape 5 : Vérification de l'accessibilité pour les utilisateurs .......................11
Il est conseillé d'installer le NetScreen-RA 500 au sein de votre réseau local (LAN) de
manière à lui permettre de communiquer avec les ressources appropriées, à savoir :

Serveurs d'authentification

Serveurs DNS

Serveurs Web internes via HTTP/HTTPS

Sites Web externes via HTTP/HTTPS (facultatif)

Passerelles/routeurs internes/externes (facultatif)

Serveurs de fichiers Windows (facultatif)

Serveurs de fichiers NFS (facultatif)

Applications client/serveur (facultatif)
Si vous décidez d'installer le système dans une DMZ, assurez-vous que le
NetScreen-RA 500 peut se connecter à ces ressources.
Des versions de ce guide en langue anglaise, allemande et japonaise sont disponibles
sur le site du service d'assistance.
Étape 1 : Installation du matériel
Le NetScreen-RA 500 est fourni avec des oreilles de montage et des pieds en
caoutchouc. Utilisez les oreilles de montage pour installer le système en rack ou
fixez les pieds en caoutchouc pour placer le système sur une surface plane. Mettez
ensuite le système sous tension et branchez les câbles fournis à l'appareil en
procédant comme suit :
1. Sur le panneau arrière, branchez le cordon d'alimentation sur la prise de
courant (CA).
Étape 1 : Installation du matériel

3
2. Sur le panneau avant :
1.
Branchez le câble Ethernet sur le port de droite (étiqueté "INTERNAL"). Ce port
emploie deux LED pour indiquer l'état de la connexion, comme l'explique le
Tableau 1.
2. Appuyez une fois sur l'interrupteur situé dans le coin droit. La LED verte
située à proximité de l'interrupteur de mise sous tension s'allume.
3. Branchez le câble série au port série.
L'installation matérielle est terminée lorsque vous avez branché les câbles
d'alimentation, réseau et série au système et que vous avez mis l'appareil sous
tension. L'étape suivante consiste à brancher la console série du système, de
manière à entrer les paramètres de base de l'appareil et du réseau.
Tableau 1: NetScreen-RA 500 — LED du port de droite
État du LAN
LED 1
LED2
Connexion 10 Mbps
Éteint
N/D
Connexion 100 Mbps
Allumé
N/D
Données en cours de transfert
Orange ou éteint
Clignotant
Pas de connexion
Éteint
Éteint
Étape 2 : Configuration de base
Lorsque vous démarrez un NetScreen-RA 500 non configuré, vous devez entrer
des informations de base au sujet du réseau et de l'appareil via la console série,
de manière à rendre le système accessible au réseau. Après avoir entré ces
paramètres, vous pouvez poursuivre la configuration du NetScreen-RA 500 au
moyen de la console Web de l'administrateur. Cette section décrit la configuration
requise de la console série, ainsi que les tâches à accomplir lorsque vous vous
connectez pour la première fois à votre NetScreen-RA 500.
Pour effectuer la configuration de base :
1. Configurez le terminal de console ou un utilitaire d'émulation de terminal
tournant sur un ordinateur, comme HyperTerminal, de manière à employer
les paramètres de connexion série suivants :

9600 bits par seconde

1 bit d'arrêt

8 bits, pas de parité (8N1)

Pas de contrôle de flux
2. Branchez le terminal ou l'ordinateur au câble série connecté au port série du
système, puis appuyez sur Entrée jusqu'à ce que vous accédiez à l'invite du
script d'initialisation.
4

Figure 1: Écran de bienvenue de la console série NetScreen-RA 500
3. Tapez sur y pour continuer puis sur y pour accepter les dispositions de la
licence (ou sur r pour prendre tout d'abord connaissance de cette licence).
4. Entrez les informations de configuration Ethernet qui vous sont demandées,
à savoir :

Adresse IP du port interne (configurez éventuellement le port externe via
la console Web de l'administrateur après la configuration initiale)

Masque de sous-réseau

Adresse de la passerelle par défaut
5. Entrez les informations DNS qui vous sont demandées :

Adresse du serveur DNS principal

Adresse du serveur DNS secondaire (facultative)

Nom de domaine DNS par défaut (exemple : votresociete.com)
6. Entrez les informations relatives au serveur WINS qui vous sont demandées
(facultatif).
7. Indiquez un nom d'utilisateur et un mot de passe pour créer un compte
d'administrateur.
8. Entrez les informations requises pour créer un certificat de serveur
Web auto-signé, à savoir : le nom courant de l'appareil, tel que
connect.acmegizmo.com, le nom de votre société et un texte libre.
Le nom courant de l'appareil et le nom de la société servent à créer un
certificat numérique auto-signé qui sera utilisé pendant l'évaluation du
produit et la configuration initiale. Il est conseillé d'importer un certificat
numérique signé depuis une autorité de certification (CA) approuvée
avant de déployer le NetScreen-RA 500 en mode de production.

5
Après avoir entré ces informations, vous avez terminé la configuration de la
console série. Lorsque le NetScreen-RA 500 vous demande si vous voulez
modifier vos paramètres, choisissez l'option appropriée ou continuez.
9. Dans un navigateur Web, entrez l'URL de l'appareil, suivie de "/admin" pour
accéder à la page d'ouverture de session de l'administrateur. L'URL de l'appareil
possède le format suivant : https://a.b.c.d/admin, où a.b.c.d est l'adresse IP de
l'appareil, entrée à l'étape 4. Lorsqu'un avertissement de sécurité vous informe
que vous allez continuer sans certificat signé, cliquez sur Yes.
Si la page d'ouverture de session de l'administrateur s'affiche, cela signifie que
vous avez réussi à connecter votre système NetScreen-RA 500 au réseau. Si la
page d'ouverture de session est inaccessible, revenez à la console série pour
vérifier les paramètres de l'appareil et du réseau.
Figure 2: Page d'ouverture de session de l'administrateur
10. Sur la page d'ouverture de session, entrez le nom d'utilisateur et le mot de passe
de l'administrateur, créés à l'étape 7, puis cliquez sur Sign In. La console Web de
l'administrateur s'affiche et présente la page System>Status>Overview.
Figure 3: Page System > Status > Overview
11. À côté de System Date and Time, cliquez sur Edit. Sur la page Date and Time,
entrez l'heure du système puis cliquez sur Save Changes.
6

12. Si vous souhaitez modifier la durée de la session administrateur (pour éviter une
déconnexion forcée consécutive à une inactivité de dix minutes), sélectionnez
Administrators>Delegation. Sur la page Delegated Admin Roles, cliquez sur
.Administrators, qui permet d'accéder aux pages de configuration du rôle
.Administrators intégré. Pour ce rôle :
1.
Choisissez General>Session Options puis, sous Session Lifetime, modifiez les
valeurs de délai d'inactivité et de longueur de session maximale.
2. Cliquez sur Save Changes.
Au terme de cette procédure de configuration de base via les consoles série et Web,
vous êtes prêt à installer la version la plus récente du fichier de service, puis à activer
la licence du NetScreen-RA 500.
Étape 3 : Mise à jour et activation de la licence du NetScreen-RA 500
Avant de tester l'accessibilité pour les utilisateurs, il est conseillé d'installer le fichier
de service du système d'exploitation (SE) le plus récent afin de mettre à niveau le
NetScreen-RA 500. Ce fichier est disponible sur le site d'assistance de Juniper
(http://www.juniper.net/support). Pour pouvoir accéder à ce site, vous devez acheter
et activer un contrat de service.
Si vous n'avez pas acheté de contrat de service, vous ne pourrez pas
disposer des nouvelles versions logicielles. Contactez votre revendeur
pour obtenir des informations détaillées sur la procédure d'achat d'un
contrat d'assistance. Si vous ne possédez pas de contrat d'assistance,
commencez cette procédure à l'étape 3.
Pour mettre à jour le NetScreen-RA 500 et activer sa licence :
1. Procurez-vous* le dernier fichier de service du système d'exploitation :
1.
Entrez l'URL du site d'assistance dans un navigateur Web :
http://www.juniper.net/support.
2. Connectez-vous au site d'assistance à l'aide des informations d'identification
de votre compte. La page Customer Support Center s'ouvre.
3. Dans la section Download Software, cliquez sur le lien IVE Software pour
accéder à la page IVE OS Software.
4. Cliquez sur le lien correspondant à la version de votre choix. Ensuite, sur la
page Web correspondante, cliquez sur le lien de téléchargement du fichier
de service. Lorsque vous y êtes invité, enregistrez le fichier dans un
répertoire réseau auquel le NetScreen-RA 500 peut accéder.
* Si vous ne possédez pas de contrat de service, passez à l'étape 3.

7
2. Mettez à niveau* le fichier de service installé sur votre NetScreen-RA 500 :
1.
Dans un navigateur Web, entrez l'URL de l'appareil NetScreen-RA 500, suivie
de "/admin", pour accéder à la page d'ouverture de session de l'administrateur.
L'URL de l'appareil possède le format suivant : https://a.b.c.d/admin, où
a.b.c.d est l'adresse IP de l'appareil, entrée à l'étape 2-4 (page 5). Lorsqu'un
avertissement de sécurité vous informe que vous allez continuer sans certificat
signé, cliquez sur Yes.
2. Sur la page d'ouverture de session de l'administrateur, entrez le nom
d'utilisateur et le mot de passe de l'administrateur, créés à l'étape 2-7
(page 5), puis cliquez sur Sign In. La console Web de l'administrateur
s'affiche et présente la page System>Status>Overview.
3. Choisissez Maintenance>System>Upgrade/Downgrade.
4. Sur la page Install Service Package, accédez au fichier de service que vous
avez téléchargé sur votre réseau. Lorsque vous avez sélectionné le fichier,
dont le nom s'affiche dans la zone Service package to install, cliquez sur
Install Now.
Le NetScreen-RA 500 charge le fichier de service depuis le répertoire réseau
et commence son installation. L'opération peut prendre plusieurs minutes.
Vous pouvez contrôler le déroulement de l'opération via la console Web ou
la console série. Lorsque le NetScreen-RA 500 a terminé l'installation du
fichier de service, le système redémarre. Après le redémarrage du
NetScreen-RA 500, connectez-vous de nouveau à la console Web de
l'administrateur afin d'entrer la licence du système.
3. Installez la licence du produit sur le NetScreen-RA 500 :
1. Si vous n'avez pas encore ouvert de session sur la console Web, entrez l'URL
du NetScreen-RA 500, suivie de "/admin", pour accéder à la page
d'ouverture de session de l'administrateur. L'URL de l'appareil possède le
format suivant : https://a.b.c.d/admin, où a.b.c.d est l'adresse IP de
l'appareil, entrée à l'étape 2-4 (page 5). Lorsqu'un avertissement de sécurité
vous informe que vous allez continuer sans certificat signé, cliquez sur Yes.
2. Choisissez System>Configuration>Licensing. Sur la page Licensing :
a.
Dans le champ Company Name or ID, entrez le code de licence
(License ID) indiqué sur la carte de la clé de licence que vous trouverez
dans l'emballage du produit.
b.
Dans le champ License Key(s), entrez la clé de licence indiquée sur la
carte de la clé de licence que vous trouverez dans l'emballage du produit.
c.
Cliquez sur Save Changes. Les informations relatives à votre code de
licence s'affichent sur la page Licensing et vous êtes invité à créer une
nouvelle stratégie Pool d'adresses IP Network Connect.
* Si vous ne possédez pas de contrat de service, passez à l'étape 3.
8

Figure 4: Page System > Configuration > Licencesing
Après avoir mis à niveau et activé la licence de votre NetScreen-RA 500, vous êtes prêt
à indiquer les informations d'adresse IP de Network Connect.
Étape 4 : Saisie des informations d'adresse IP de Network Connect
Lorsque Network Connect s'exécute sur l'ordinateur d'un utilisateur, tout le trafic
en provenance et à destination du client est transmis sur le tunnel Network Connect
sécurisé. Ce tunnel est présent entre un processus côté serveur et un agent côté
client, deux entités qui nécessitent une adresse IP. Vous devez indiquer, pour
le processus côté serveur de Network Connect, une adresse unique qui sera
utilisée par toutes les sessions utilisateur de Network Connect. Lorsque le
NetScreen-RA 500 reçoit une demande client portant sur le démarrage d'une
session Network Connect, il attribue une adresse IP à l'agent Network Connect côté
client à partir d'une stratégie de ressources Pool d'adresses IP Network Connect. Le
système NetScreen-RA 500 affecte ces adresses IP sur la base d'une stratégie Pool
d'adresses IP qui s'applique au rôle d'un utilisateur.
Un rôle d'utilisateur est une entité qui définit les paramètres de session et de
personnalisation pour les utilisateurs et qui active la fonctionnalité d'accès de
Network Connect. Le NetScreen-RA 500 fait correspondre chaque utilisateur
authentifié à un ou plusieurs rôles. Les options de session et les stratégies de
ressources Network Connect spécifiées pour le(s) rôle(s) définissent les pools
d'adresses IP et les ressources accessibles. Pour plus d'informations sur les rôles,
reportez-vous à la section "Définition d'un rôle d'utilisateur", page 15.
Pour indiquer les informations d'adresse IP de Network Connect :
1. Dans la console Web, sélectionnez Resource Policies>Network Connect>
IP Address Pools.
2. Sur la page Network Connect IP Address Policies, cliquez sur New Policy.
3. Sur la page New Policy, entrez :

le nom à attribuer à cette stratégie ;

la description de la stratégie (facultatif).

9
4. Dans la section Resources, définissez les adresses IP ou une plage d'adresses IP
que le système NetScreen-RA 500 pourra affecter aux clients qui exécutent le
service Network Connect. Vous pouvez indiquer la plage IP sous la forme
"a.b.c.d-e", où le dernier composant de l'adresse IP est une plage délimitée par
un tiret (-). Aucun caractère spécial n'est admis.
Exemple : 10.10.10.1-100
5. Dans la section Roles, choisissez :

Policy applies to ALL roles — Pour appliquer cette stratégie à tous les
utilisateurs.

Policy applies to SELECTED roles — Pour n'appliquer cette stratégie qu'aux
utilisateurs correspondant à des rôles figurant dans la liste des rôles
sélectionnés. Veillez à ajouter des rôles à cette liste à partir de la liste des
rôles disponibles.

Policy applies to all roles OTHER THAN those selected below — Pour
appliquer cette stratégie à tous les utilisateurs, à l'exception de ceux qui
correspondent aux rôles de la liste des rôles sélectionnés. Veillez à ajouter
des rôles à cette liste à partir de la liste des rôles disponibles.
Pour plus d'informations sur les rôles d'utilisateur, reportez-vous à la
section "Définition d'un rôle d'utilisateur", page 15.
7. Sélectionnez System > Network> Network Connect.
8. Sous Network Connect Server IP Address, attribuez une adresse IP au processus
côté serveur de Network Connect, laquelle sera utilisée par toutes les sessions
utilisateur de Network Connect. Veillez à ce que cette adresse IP soit située dans
le même sous-réseau que l'une de vos stratégies de ressources Pool d'adresses IP.
Exemple : 10.10.10.200
9. Cliquez sur Save.
Après avoir créé une stratégie de ressources Pool d'adresses IP Network Connect pour
les processus côté client et défini une adresse IP pour le processus côté serveur, vous
êtes prêt à vérifier l'accessibilité des utilisateurs.
10

Étape 5 : Vérification de l'accessibilité pour les utilisateurs
Vous pouvez aisément créer un compte d'utilisateur dans le serveur d'authentification
du système afin de vérifier l'accessibilité des utilisateurs à votre NetScreen-RA 500.
Un serveur d'authentification est une base de données qui stocke des données
d'identification d'utilisateurs (nom d'utilisateur et mot de passe) et, en règle générale,
des informations sur les groupes et les attributs. Le NetScreen-RA 500 transfère les
données d'identification d'un utilisateur à un serveur d'authentification afin de
contrôler l'identité de l'utilisateur.
Le système NetScreen-RA 500 comporte un serveur d'authentification local prédéfini
pour les utilisateurs, baptisé "System Local". Ce serveur d'authentification local prédéfini
est une base de données NetScreen-RA 500 qui vous permet de créer rapidement des
comptes d'utilisateur à des fins d'authentification. Après avoir créé le compte via la
console Web de l'administrateur, connectez-vous en tant qu'utilisateur sur la page de
connexion des utilisateurs du système NetScreen-RA 500. Pour plus d'informations
sur les serveurs d'authentification, reportez-vous à la section "Définition d'un
serveur d'authentification", page 19.
Pour vérifier l'accessibilité des utilisateurs :
1. Dans la console Web de l'administrateur, choisissez Users>New User.
2. Sur la page New Local User, tapez "testuser1" comme nom d'utilisateur, entrez
un mot de passe puis cliquez sur Save Changes. Le NetScreen-RA 500 crée le
compte testuser1.
3. Dans une autre fenêtre de navigateur, tapez l'URL de l'appareil afin d'accéder à
la page d'ouverture de session des utilisateurs. L'URL de l'appareil possède le
format suivant : https://a.b.c.d, où a.b.c.d est l'adresse IP de l'appareil, entrée
à l'étape 2-7. Lorsqu'un avertissement de sécurité vous informe que vous allez
continuer sans certificat signé, cliquez sur Yes. Si la page d'ouverture de session
des utilisateurs s'affiche, vous avez réussi à vous connecter au système
NetScreen-RA 500.
Figure 5: Page d'ouverture de session des utilisateurs
4. Sur la page d'ouverture de session, entrez le nom d'utilisateur et le mot de
passe créés pour le compte d'utilisateur, puis cliquez sur Sign In pour lancer la
session Network Connect et accéder à la page d'accueil des utilisateurs du
système NetScreen-RA 500. Une fenêtre d'état (Figure 6, page 12) s'ouvre au
début de la session Network Connect.

11
5. Ouvrez une application client/serveur, telle que Microsoft Outlook, et consultez
les champs Sent et Received de la fenêtre Network Connect Status pour vous
assurer que Network Connect intercepte et transfère des données d'application.
Figure 6: Fenêtre Network Connect Status
Figure 7: Page d'accueil des utilisateurs du système NetScreen-RA 500
Après avoir vérifié l'accessibilité pour les utilisateurs, revenez à la console Web de
l'administrateur et passez à la seconde partie de ce document, laquelle présente le
système de gestion des accès du système NetScreen-RA 500.
12

Partie 2
Gestion des accès – Principes
fondamentaux

13
14

Création d'un scénario de test pour apprendre les concepts et les meilleures
pratiques du NetScreen-RA 500
Le NetScreen-RA 500 dispose d'un système flexible de gestion des accès qui permet
de personnaliser aisément les modalités d'accès distant d'un utilisateur à l'aide de
rôles, de stratégies de ressources, de serveurs d'authentification, de royaumes
d'authentification et de stratégies d'ouverture de session. Pour vous permettre de
travailler rapidement avec ces entités, le NetScreen-RA 500 dispose de configurations
par défaut pour chacune d'elles. Cette section décrit ces configurations par défaut et
explique comment créer chaque entité de gestion des accès en exécutant les
procédures suivantes :
Définition d'un rôle d'utilisateur ...............................................................15
Définition d'une stratégie de ressources ..................................................17
Définition d'un serveur d'authentification .................................................19
Définition d'un royaume d'authentification ................................................21
Définition d'une stratégie d'ouverture de session .....................................24
Pour plus d'informations sur la configuration des fonctions de sécurité du point
final, dont les fonctions de vérificateur d'hôte et de nettoyeur de cache, consultez
l'aide en ligne accessible à partir du lien Help de la console Web de l'administrateur.
Le système NetScreen-RA 500 prend en charge deux types d'utilisateurs :

Administrateurs — Un administrateur est une personne qui peut visualiser
ou modifier les paramètres de configuration du NetScreen-RA 500. Le premier
compte d'administrateur est créé via la console série.

Utilisateurs — Un utilisateur est une personne qui se sert du NetScreen-RA 500
pour accéder aux ressources de l'entreprise, telles qu'elles sont configurées par un
administrateur. La création du premier compte d'utilisateur (testuser1) s'effectue
à l'"Étape 5 : Vérification de l'accessibilité pour les utilisateurs", page 11.
Le scénario de test suivant se concentre sur l'emploi des éléments de gestion des
accès du NetScreen-RA 500 pour configurer les paramètres d'accès d'un utilisateur.
Pour plus d'informations sur les paramètres système par défaut des administrateurs,
reportez-vous à la section "Paramètres par défaut des administrateurs", page 29.
Définition d'un rôle d'utilisateur
Un rôle d'utilisateur est une entité qui définit les paramètres de session et de
personnalisation pour les utilisateurs et qui active la fonctionnalité d'accès de Network
Connect. Le NetScreen-RA 500 fait correspondre chaque utilisateur authentifié à un ou
plusieurs rôles. Les options de session et les stratégies de ressources Network Connect
définies pour le(s) rôle(s) déterminent les types de ressources auxquelles l'utilisateur
peut accéder au cours de la session NetScreen-RA 500.
Création d'un scénario de test pour apprendre les concepts et les meilleures pratiques du NetScreen-RA 500

15
Le NetScreen-RA 500 comporte un rôle d'utilisateur prédéfini, baptisé "Users". Ce
rôle prédéfini active les fonctionnalités Network Connect. Ce faisant, tout utilisateur
mis en correspondance avec le rôle "Users" peut accéder à votre réseau d'entreprise.
Vous pouvez afficher ce rôle sur la page Users>Roles.
Pour définir un rôle d'utilisateur :
1. Dans la console Web de l'administrateur, choisissez Users>Roles.
2. Sur la page Roles, cliquez sur New Role.
3. Sur la page New Role, entrez "Test Role" dans le champ Name, assurez-vous que
Network Connect est activé sous Access Features, puis cliquez sur Save
Changes. Le NetScreen-RA 500 crée le rôle et affiche les onglets de configuration
correspondants. Pour plus d'informations sur la configuration de ces onglets,
consultez l'aide en ligne.
Au terme de cette procédure, vous avez défini un rôle d'utilisateur. Lorsque vous
créerez des stratégies de ressources, vous pourrez les appliquer à ce rôle. Vous
pouvez également faire correspondre des utilisateurs à ce rôle au moyen des règles
de correspondance de rôles définies pour un royaume d'authentification.
Figure 8: Page Users > Roles > New Role
16

Définition d'une stratégie de ressources
Une stratégie de ressources est une règle système qui définit :

les ressources auxquelles la stratégie s'applique (comme les pools d'adresses IP
et les serveurs Web, d'applications et de fichiers) ;

les utilisateurs auxquels la stratégie s'applique (définis par les rôles et d'autres
variables de session) ;

si le NetScreen-RA 500 autorise l'accès à une ressource ou active une option
de configuration.
Le NetScreen-RA 500 comporte une stratégie Network Connect Access Control
prédéfinie qui permet à tous les utilisateurs d'accéder au réseau d'entreprise.
Cette stratégie de contrôle d'accès par défaut est affichée sur la page Resource
Policies>Network Connect>Network Connect Access Control.
Pour définir une stratégie de ressources :
1. Dans la console Web de l'administrateur, sélectionnez Resource
Policies>Network Connect>Network Connect Access Control.
2. Sur la page Network Connect Access Policies, cliquez sur New Policy.
3. Sur la page New Policy :
1.
Dans la zone Name, entrez : Test NC Access
2. Dans le champ Resources, indiquez un serveur Web de l'entreprise au
format suivant : protocole://IP:Port
Exemple : tcp://10.10.10.220:80
3. Sous Roles, choisissez Policy applies to SELECTED roles, puis choisissez
"Test Role" dans la zone Available Roles et cliquez sur Add afin de
déplacer cette entrée dans la zone Selected Roles.
4. Sous Action, choisissez Deny access.
5. Cliquez sur Save Changes. Le NetScreen-RA 500 ajoute "Test NC Access"
à la page Network Connect Access Policies.
4. Sur la page Network Connect Access Policies, cochez la case en regard de
"Test NC Access" dans la liste Policies. Le NetScreen-RA 500 met la ligne du
tableau en surbrillance.

17
5. Cliquez sur la flèche vers le haut
en haut de la page pour déplacer la ligne
"Test NC Access" au-dessus de la ligne prédéfinie "Initial Network Connect
Policy", puis cliquez sur Save Changes.
Le NetScreen-RA 500 traite les stratégies de ressources dans l'ordre, en
commençant par la première stratégie de la liste. Pour être sûr que le
NetScreen-RA 500 applique les restrictions de ressources appropriées
aux utilisateurs, classez les stratégies de la liste en plaçant la plus
restrictive en haut de la liste et en terminant par la moins restrictive.
Arrivé au terme de cette procédure, vous avez configuré une stratégie de ressources
Network Connect Access Control. Notez que, même si la stratégie suivante de la liste
Network Connect Access Policies autorise tous les utilisateurs à accéder à toutes les
ressources réseau, les utilisateurs correspondant au rôle Test sont toujours empêchés
d'accéder au serveur spécifié, car ils répondent aux conditions de la première
stratégie, Test NC Access, qui est prioritaire par rapport à la stratégie suivante.
Figure 9: Resources Policies > Network Connect > Network Connect Access Control >
New Policy
18

Figure 10: Resource Policies > Network Connect > Network Connect Access Policies —
Modification de l'ordre des stratégies
Définition d'un serveur d'authentification
Un serveur d'authentification est une base de données qui stocke des données
d'identification d'utilisateurs (nom d'utilisateur et mot de passe) et, en règle
générale, des informations sur les groupes et les attributs. Lorsqu'un utilisateur se
connecte à un système NetScreen-RA 500, il définit un royaume d'authentification,
qui est associé à un serveur d'authentification. Le NetScreen-RA 500 transfère les
données d'identification de l'utilisateur à ce serveur d'authentification afin de
contrôler l'identité de l'utilisateur.
Le système NetScreen-RA 500 prend en charge les serveurs d'authentification les plus
courants, comme Domaine Windows NT, Active Directory, RADIUS, LDAP, NIS, RSA
ACE/Server et Netegrity SiteMinder. Il vous permet de créer une ou plusieurs bases de
données locales d'utilisateurs authentifiés par le NetScreen-RA 500. Le NetScreen-RA
500 comporte un serveur d'authentification local prédéfini pour les utilisateurs, baptisé
"System Local". Ce serveur d'authentification local prédéfini est une base de données
NetScreen-RA 500 qui vous permet de créer rapidement des comptes d'utilisateur à
des fins d'authentification. Ce principe offre une flexibilité optimale à des fins de test et
de fourniture d'un accès tiers, en éliminant la nécessité de créer des comptes
d'utilisateur sur un serveur d'authentification externe.
Le serveur d'authentification local par défaut est affiché sur la page
System>Signing In>Authentication/Authorization Servers.
Le NetScreen-RA 500 prend également en charge les serveurs d'autorisation. Un
serveur d'autorisation (ou serveur d'annuaire) est une base de données qui
stocke des informations sur les attributs et les groupes des utilisateurs. Vous
pouvez configurer un royaume d'authentification de manière à ce qu'il emploie un
serveur d'annuaire pour charger les informations relatives aux attributs ou aux
groupes des utilisateurs. Ces informations seront employées dans les règles de
correspondance de rôles et les stratégies de ressources.

19
Pour définir un serveur d'authentification :
1. Dans la console Web de l'administrateur, choisissez System>Signing
In>Servers.
2. Sur la page Servers, choisissez IVE Authentication dans la liste New puis
cliquez sur New Server.
3. Sur la page New IVE Authentication, entrez "Test Server" dans la zone Name
puis cliquez sur Save Changes. Lorsque le NetScreen-RA 500 vous informe que
les modifications ont été enregistrées, des onglets de configuration
supplémentaires s'affichent.
4. Cliquez sur l'onglet Users puis sur New.
5. Sur la page New Local User, entrez "testuser2" dans la zone Username, entrez
un mot de passe puis cliquez sur Save Changes afin de créer le compte de
l'utilisateur sur le serveur d'authentification Test Server.
Au terme de cette procédure, vous avez crée un serveur d'authentification qui
contient un compte d'utilisateur. Cet utilisateur pourra se connecter au royaume
d'authentification qui emploie le serveur d'authentification Test Server.
Figure 11: System > Signing In > Servers > New Server
Figure 12: System > Signing In > Servers > Test Server > New User
20

Figure 13: System > Signing In > Servers
Définition d'un royaume d'authentification
Un royaume d'authentification est un ensemble de ressources d'authentification,
à savoir :

Un serveur d'authentification, qui vérifie l'identité d'un utilisateur. Le
NetScreen-RA 500 transfère les données d'identification saisies sur une page
d'ouverture de session à un serveur d'authentification.

Une stratégie d'authentification, qui définit les exigences de sécurité du royaume
qui doivent être satisfaites avant que le NetScreen-RA 500 envoie des données
d'identification à un serveur d'authentification en vue de leur vérification.

Un serveur d'annuaire, c'est-à-dire un serveur LDAP qui fournit au
NetScreen-RA 500 des informations sur les attributs des utilisateurs et des
groupes. Ces informations seront employées dans les règles de correspondance
de rôles et les stratégies de ressources (facultatif).

Des règles de correspondance de rôles, qui sont les conditions qu'un utilisateur
doit remplir pour que le NetScreen-RA 500 le fasse correspondre à un ou
plusieurs rôles. Ces conditions sont basées sur les informations renvoyées par
le serveur d'annuaire du royaume, le nom d'utilisateur de la personne ou les
attributs de certificat.
Le NetScreen-RA 500 comporte un royaume d'utilisateur préconfiguré, baptisé
"Users". Ce royaume prédéfini utilise le serveur d'authentification System Local et
une stratégie d'authentification qui exige que les mots de passe comportent au
moins 4 caractères ; il n'emploie aucun serveur d'annuaire et contient une règle de
correspondance de rôles qui fait correspondre tous les utilisateurs qui se connectent
au royaume Users au rôle Users. Le compte "testuser1" que vous avez créé à
l'"Étape 5 : Vérification de l'accessibilité pour les utilisateurs", page 11 fait partie du
royaume Users, car il a été créé sur le serveur d'authentification System Local. Le
compte "testuser2" créé à l'étape "Définition d'un serveur d'authentification",
page 19 ne fait pas partie du royaume Users, car il a été créé sur le nouveau serveur
d'authentification "Test Server", qui n'est pas employé par le royaume Users.
Le royaume d'authentification par défaut des utilisateurs est affiché sur la page
Users>Authentication.

21
Pour définir un royaume d'authentification :
1. Dans la console Web de l'administrateur, choisissez Users>Authentication.
2. Sur la page User Authentication Realms, cliquez sur New.
3. Sur la page New Authentication Realm :
1.
Dans la zone Name, entrez : Test Realm
2. Sous Servers, choisissez "Test Server" dans la liste Authentication server.
3. Cliquez sur Save Changes. Le NetScreen-RA 500 vous informe que les
modifications ont été enregistrées, puis affiche les onglets de configuration
du royaume.
4. Sur la page Role Mapping, cliquez sur New Rule.
5. Sur la page Role Mapping Rule :
1.
Dans la zone Name, entrez : Test Rule
2. Sous Rule: If username..., tapez "testuser2" dans la zone de saisie.
3. Sous ...then assign these roles, sélectionnez "Test Role" dans la zone
Available Roles puis cliquez sur Add pour déplacer cet élément dans la
zone Selected Roles.
Au terme de cette procédure, vous avez créé un royaume d'authentification. Ce
royaume emploie Test Server pour authentifier les utilisateurs et une règle de
correspondance de rôles afin de faire correspondre "testuser2" au rôle Test Role.
Étant donné que la stratégie de ressources Test NC Access s'applique au rôle Test
Role, aucun utilisateur correspondant à ce rôle ne peut accéder au serveur Web de
l'entreprise que vous avez défini dans le champ Resources de la stratégie.
Figure 14: Users > Authentication > New Realm
22

Figure 15: Users > Authentication > Test Server > New Rule

23
Définition d'une stratégie d'ouverture de session
Une stratégie d'ouverture de session est une règle système qui définit :

une URL via laquelle un utilisateur peut se connecter au NetScreen-RA 500 ;

une page d'ouverture de session à présenter à l'utilisateur ;

si l'utilisateur doit ou non indiquer ou sélectionner un royaume
d'authentification auquel le NetScreen-RA 500 soumettra des données
d'identification ;

les royaumes d'authentification auxquels la stratégie d'ouverture de session
s'applique.
Le NetScreen-RA 500 comporte une stratégie d'ouverture de session prédéfinie qui
s'applique aux utilisateurs : */ . Selon cette stratégie d'ouverture de session par
défaut (*/), lorsqu'un utilisateur entre une URL dans le NetScreen-RA 500, ce dernier
lui présente la page d'ouverture de session par défaut et l'invite à sélectionner un
royaume d'authentification (s'il en existe plusieurs). La stratégie d'ouverture de
session */ est configurée de manière à s'appliquer au royaume d'authentification
Users, si bien q'elle ne s'applique pas à celui que vous créez dans la section
"Définition d'un royaume d'authentification", page 21.
La stratégie d'ouverture de session par défaut des utilisateurs est affichée sur la
page System>Signing In>Sign-in Policies.
La stratégie d'ouverture de session par défaut s'applique à tous les utilisateurs. Vous
pouvez modifier l'URL pour qu'elle pointe vers la page d'ouverture des utilisateurs de
NetScreen-RA 500 en l'ajoutant au chemin d'accès (par exemple : */employees).
Pour définir une stratégie d'ouverture de session :
1.
Dans la console Web de l'administrateur, choisissez System>Signing In>Sign-in
Policies.
2. Sur la page Sign-in Policies, cliquez sur */.
3. Sur la page */ :
1.
Dans la zone Sign-in URL, tapez "test" après "*/".
2. Sous Authentication realm, choisissez User picks from a list of
authentication realms, puis sélectionnez "Test Realm" dans la zone
Available Roles et cliquez sur Add pour déplacer cet élément dans la zone
Selected Roles. Répétez l'opération pour le rôle Users s'il ne se trouve pas
déjà dans la zone Selected Roles.
Arrivé au terme de cette procédure, vous avez modifié la stratégie d'ouverture de session
par défaut des utilisateurs.
24

Opération facultative :
1. Choisissez System>Signing In>Sign-in Pages puis cliquez sur New Page.
2. Sur la page New Sign-In Page, entrez "Test Sign-in Page" dans la zone Name,
entrez "#FF0000" (rouge) dans la zone Background color, puis cliquez sur Save
Changes.
3. Choisissez System>Signing In>Sign-in Policies, puis cliquez sur */test/ sous
User URLs.
4. Sur la page */test/, choisissez "Test Sign-in Page" dans la liste Sign-in page puis
cliquez sur Save Changes.
Au terme de cette procédure facultative, vous avez défini une nouvelle page
d'ouverture de session associée à la stratégie d'ouverture de session "*/test".
Figure 16: System > Signing In > Sign-in Policies > */

25
Figure 17: Système > Signing In > Sign-in Pages > New Page— Page Nouvelle ouverture
de Session facultative
Figure 18: System > Signing In > Sign-in Policies > */test/ — Utilisation de la page New
Sign-in
Utilisation du scénario de test
Le scénario de test vous permet d'effectuer les actions suivantes :

Accès à la console Web de l'utilisateur au moyen de la stratégie d'ouverture
de session par défaut que vous avez modifiée

Connexion au royaume Test sous l'identité de l'utilisateur créé sur le
serveur Test

Test de l'accès au serveur Web, lequel dépend de la configuration correcte
du rôle Test Role et de l'accès Test NC Acces
Pour utiliser le scénario de test :
1. Dans un navigateur, entrez l'URL de l'appareil, suivie de "/test", pour accéder
à la page d'ouverture de session de l'utilisateur. L'URL de l'appareil possède le
format suivant : https://a.b.c.d/test, où a.b.c.d est l'adresse IP de l'appareil,
entrée à l'étape 2-4. Lorsqu'un avertissement de sécurité vous informe que
vous allez continuer sans certificat signé, cliquez sur Yes. Si la page d'ouverture
de session des utilisateurs s'affiche, vous avez réussi à vous connecter au
NetScreen-RA 500.
26

Figure 19: Page d'ouverture de session des utilisateurs
Si vous avez accompli les tâches de configuration facultatives de la section
"Définition d'une stratégie d'ouverture de session", page 24, l'en-tête de
page est de couleur rouge.
2. Sur la page d'ouverture de session, entrez "testuser2" et le mot de passe créé
pour le compte d'utilisateur sur le serveur Test, choisissez "Test Realm" dans la
liste Realm, puis cliquez sur Sign In pour accéder à la page d'accueil des
utilisateurs de NetScreen-RA 500.
Le NetScreen-RA 500 transmet les données d'identification au royaume Test, qui
est configuré de manière à employer le serveur Test. Si la vérification effectuée
par ce serveur d'authentification réussit, le NetScreen-RA 500 traite la règle de
correspondance de rôles définie pour le royaume Test, qui fait correspondre
"testuser2" au rôle Test. Le rôle Test désactive l'accès au serveur Web
d'entreprise que vous avez défini dans la stratégie de ressources Network
Connect Access Control, dans la section "Définition d'une stratégie de
ressources", page 17.
Figure 20: Page d'accueil de l'utilisateur
3. Cliquez sur l'icône Network Connect dans la barre d'état système pour ouvrir la
fenêtre Network Connect Status (le cas échéant).

27
Figure 21: Icône Network Connect dans la barre d'état système et fenêtre d'état
4. Dans une autre fenêtre de navigateur, entrez l'URL du serveur Web d'entreprise
défini dans votre stratégie de ressources Network Connect Access Control
personnalisée, puis cliquez sur Browse. Le nombre d'octets indiqué dans le
champ Sent de la fenêtre Network Connect Status augmente, ce qui signifie
que Network Connect traite la requête Web. Étant donné que la stratégie "Test
NC Access" refuse l'accès au serveur demandé, le navigateur finit par afficher
une erreur de type "Impossible d'afficher la page".
5. Revenez à la page d'accueil de NetScreen-RA 500, puis cliquez sur Sign Out.
6. Dans un navigateur, entrez l'URL de l'appareil NetScreen-RA 500, suivie à
nouveau de "/test", pour accéder à la page d'ouverture de session des
utilisateurs.
7. Sur la page d'ouverture de session, entrez "testuser1" et le mot de passe créé
pour cet utilisateur (lors de l'"Étape 5 : Vérification de l'accessibilité pour les
utilisateurs", page 11), choisissez "Users" dans la liste Realm, puis cliquez sur
Sign In pour accéder à la page d'accueil de NetScreen-RA 500 réservée aux
utilisateurs.
8. Cliquez sur l'icône Network Connect dans la barre d'état système pour ouvrir la
fenêtre Network Connect Status (le cas échéant).
9. Dans une autre fenêtre de navigateur, entrez l'URL du serveur Web d'entreprise
défini dans votre stratégie de ressource Contrôle d'accès Network Connect
personnalisée, puis cliquez sur Browse. Le nombre d'octets indiqué dans le
champ Sent de la fenêtre Network Connect Status augmente, ce qui signifie
que Network Connect traite la requête Web. Étant donné que la stratégie "Test
Accès NC" ne s'applique pas à "testuser1", le navigateur affiche la page Web
demandée.
Ce scénario de test présente les fonctionnalités de gestion d'accès de NetScreen-RA 500.
Pour en savoir plus sur les fonctionnalités de gestion d'accès ou les fonctions de sécurité
du point final de NetScreen-RA 500, nous vous invitons à consulter l'aide en ligne.
28

Lorsque vous configurez le système NetScreen-RA 500 pour votre entreprise, il
est conseillé d'effectuer la configuration de l'accès des utilisateurs dans l'ordre
présenté dans cette section.

Pour plus d'informations au sujet de la configuration, consultez l'aide en ligne
ou le fichier PDF contenant le guide d'administration, disponible sur le site
d'assistance.

Avant de rendre votre NetScreen-RA 500 accessible depuis des emplacements
externes, il est conseillé d'importer un certificat numérique signé à partir d'une
autorité de certification (CA) approuvée.
Paramètres par défaut des administrateurs
Tout comme pour les utilisateurs, le NetScreen-RA 500 comporte des paramètres
par défaut qui permettent de configurer rapidement des comptes d'administrateur.
La liste suivante récapitule les paramètres par défaut du système pour les
administrateurs :

Rôles d'administrateur

.Administrators — Ce rôle intégré permet aux administrateurs de gérer
tous les aspects du NetScreen-RA 500. L'utilisateur administrateur que vous
créez dans la console série est mis en correspondance avec ce rôle.

.Read-Only Administrators — Ce rôle intégré permet aux utilisateurs qui y
correspondent de consulter (mais pas de configurer) tous les paramètres du
NetScreen-RA 500. Vous devez faire correspondre les administrateurs à ce
rôle si vous voulez limiter leur accès.

Administrators local authentication server — Le serveur d'authentification
des administrateurs est une base de données NetScreen-RA 500 qui stocke les
comptes d'administrateur. Le premier compte d'administrateur sur ce serveur
est créé via la console série. Le NetScreen-RA 500 ajoute à ce serveur tous les
comptes d'administrateur créés à l'aide de la console série. Il est impossible
de supprimer ce serveur local.

Admin Users authentication realm — Le royaume d'authentification Admin
Users utilise le serveur d'authentification Administrateurs par défaut et une
stratégie d'authentification qui exige que les mots de passe comportent au
moins 4 caractères ; il n'emploie aucun serveur d'annuaire et contient une
règle de correspondance de rôles qui fait correspondre tous les utilisateurs qui
se connectent au royaume Admin Users au rôle .Administrators. Le compte
d'administrateur que vous créez dans la console série fait partie du royaume
Admin Users.

29

30

*/admin sign-in policy — La stratégie d'ouverture de session par défaut des
administrateurs (*/admin) stipule que lorsqu'un utilisateur entre l'URL du
NetScreen-RA 500, suivie de "/admin", le NetScreen-RA 500 affiche la page
d'ouverture de session par défaut pour les administrateurs. Cette stratégie
exige en outre que l'administrateur sélectionne un royaume d'authentification
(s'il en existe plusieurs). La stratégie d'ouverture de session */admin est
configurée de manière à s'appliquer au royaume d'authentification Admin
Users. Par conséquent, cette stratégie s'applique au compte d'administrateur
que vous créez via la console série.
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
093-1398-000
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Printed on recycled paper
Juniper
Networks,
Inc.
NetScreen Secure Access
NetScreen Secure Access FIPS
Quick Start
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net