junos pulse secure access

Junos Pulse Secure Access Service

Administration Guide

Release

7.2

Published: 2013-06-26

Part Number: , Revision 1

Copyright 2013, Juniper Networks, Inc.

Juniper Networks, Inc.1194 North Mathilda AvenueSunnyvale, California 94089USA408-745-2000www.juniper.net

This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 1986-1997,Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no partof them is in the public domain.

This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.

This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentationand software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.

GateD software copyright 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed throughrelease 3.0 by Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNsHELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateDsoftware copyright 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright 1991, D.L. S. Associates.

This product includes software developed by Maker Communications, Inc., copyright 1996, 1997, Maker Communications, Inc.

Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the UnitedStates and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All othertrademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.

Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,transfer, or otherwise revise this publication without notice.

Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that areowned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312,6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.

Junos Pulse Secure Access Service Administration Guide

Revision HistoryAugust 2011 FIntegrate new features

The information in this document is current as of the date on the title page.

ENDUSER LICENSE AGREEMENT

The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networkssoftware. Use of such software is subject to the terms and conditions of the End User License Agreement (EULA) posted athttp://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditions ofthat EULA.

Copyright 2013, Juniper Networks, Inc.ii

Abbreviated Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv

Part 1 Getting StartedChapter 1 Initial Verification and Key Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Chapter 2 Introduction to Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Part 2 Access Management FrameworkChapter 3 General Access Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Chapter 4 User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Chapter 5 Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Chapter 6 Virtual Desktop Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Chapter 7 Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Chapter 8 Authentication and Directory Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Chapter 9 SAML Single Sign-on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Chapter 10 Authentication Realms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

Chapter 11 Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

Chapter 12 Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

Chapter 13 Synchronizing User Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

Part 3 Endpoint DefenseChapter 14 Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Chapter 15 Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Part 4 Remote AccessChapter 16 Hosted Java Applets Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

Chapter 17 Citrix Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447

Chapter 18 Lotus iNotes Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

Chapter 19 Microsoft OWA Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

Chapter 20 Microsoft Sharepoint Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Chapter 21 Web Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

Chapter 22 File Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

Chapter 23 Secure Application Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563

Chapter 24 Telnet/SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611

iiiCopyright 2013, Juniper Networks, Inc.

Chapter 25 Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621

Chapter 26 Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

Chapter 27 Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701

Chapter 28 VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709

Part 5 SystemManagementChapter 29 General SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761

Chapter 30 Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801

Chapter 31 System Archiving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839

Chapter 32 Logging andMonitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879

Chapter 33 Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903

Chapter 34 Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917

Chapter 35 Delegating Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947

Chapter 36 Instant Virtual System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953

Chapter 37 Secure Access Service and IDP Interoperability . . . . . . . . . . . . . . . . . . . . . 1007

Chapter 38 Routing AAA Over the Management Port for Virtual Appliances . . . . . . . 1017

Part 6 System ServicesChapter 39 Secure Access Service Serial Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1023

Chapter 40 Customizable Admin and End-User UIs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1029

Chapter 41 SA6000 Series Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031

Chapter 42 SA4500 and SA6500 Series Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . 1035

Chapter 43 Secure Access FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1045

Chapter 44 SA4500 and SA6500 FIPS Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1057

Chapter 45 Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1067

Chapter 46 Multi-Language Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1071

Chapter 47 Handheld Devices and PDAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075

Chapter 48 Using IKEv2 with the Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . 1083

Chapter 49 Writing Custom Expressions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1091

Part 7 IndexIndex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1117

Copyright 2013, Juniper Networks, Inc.iv


Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv

Objective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvAudience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvDocument Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvDocumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxviObtaining Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxviDocumentation Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxviRequesting Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvi

Self-Help Online Tools and Resources . . . . . . . . . . . . . . . . . . . . . . . . . xxxviiOpening a Case with JTAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvii

Part 1 Getting StartedChapter 1 Initial Verification and Key Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Verifying User Accessibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Creating a Test Scenario to Learn Secure Access Service Concepts and Best

Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Defining a User Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Defining a Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Defining an Authentication Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Defining an Authentication Realm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Defining a Sign-In Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Using the Test Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Default Settings for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Chapter 2 Introduction to Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Secure Access Service Solution Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Securing Traffic With Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Authenticating Users With Existing Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Fine-Tuning Access to Secure Access Service and the Resources It

Intermediates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Creating a Seamless Integration Between Secure Access Service and the

Resources It Intermediates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Protecting Against Infected Computers and Other Security Concerns . . . . . . . . . . 21Ensuring Redundancy in the Secure Access Service Environment . . . . . . . . . . . . . 22Making the Secure Access Service Interface Match My Companys

Look-and-Feel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Enabling Users on a Variety of Computers and Devices to Use Secure Access

Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Providing Secure Access for My International Users . . . . . . . . . . . . . . . . . . . . . . . . 24Configuring Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

vCopyright 2013, Juniper Networks, Inc.

Network and Security Manager and the Secure Access Service . . . . . . . . . . . . . . 25How Secure Access Service and NSM communicate . . . . . . . . . . . . . . . . . . . 25Available Services and Configuration Options . . . . . . . . . . . . . . . . . . . . . . . . . 27DMI Communication with the Secure Access Service . . . . . . . . . . . . . . . . . . . 27

Configuring Secure Access for the Initial DMI Connection . . . . . . . . . . . . . . . . . . . 28Managing Large Binary Data Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Uploading and Linking Large Binary Data Files With NSM . . . . . . . . . . . . . . . . . . . 30Importing Custom Sign-In Pages With NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Importing Antivirus LiveUpdate Settings With NSM . . . . . . . . . . . . . . . . . . . . . . . . 32Importing Endpoint Security Assessment Plug-in (ESAP) Packages With

NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Uploading a Third-Party Host Checker Policy With NSM . . . . . . . . . . . . . . . . . . . . 34Linking to a Third-Party Host Checker Policy Shared Object With NSM . . . . . . . . 35Linking to a Secure Virtual Workspace Wallpaper Image Shared Object With

NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Importing Hosted Java Applets With NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Importing a Custom Citrix Client .cab File With NSM . . . . . . . . . . . . . . . . . . . . . . . 37Junos Pulse Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Session Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Location Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Security Certificates on Junos Pulse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38User Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Secure Access Service Gateway Deployment Options . . . . . . . . . . . . . . . . . . 39Platform Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Junos Pulse Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Configuring a Role for Junos Pulse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Client Connection Set Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Connection is Established Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Creating a Client Connection Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Configuring Connection Rules for Location Awareness . . . . . . . . . . . . . . . . . . . . . 49Junos Pulse Component Set Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Creating a Client Component Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Junos Pulse Client Installation Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Installing the Junos Pulse Client from the Web . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Installing the Junos Pulse Client Using a Preconfiguration File . . . . . . . . . . . . . . . 55

Installing the Pulse Client Using Advanced Command Line Options . . . . . . . 56Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Repairing a Pulse Installation on a Windows Endpoint . . . . . . . . . . . . . . . . . . 58

Part 2 Access Management FrameworkChapter 3 General Access Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Access Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Policies, Rules & Restrictions, and Conditions Overview . . . . . . . . . . . . . . . . . . . . 62

Accessing Authentication Realms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Accessing User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Copyright 2013, Juniper Networks, Inc.vi


Accessing Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Policies, Rules & Restrictions, and Conditions Evaluation . . . . . . . . . . . . . . . . . . . 64Dynamic Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Understanding Dynamic Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Understanding Standard Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Enabling Dynamic Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Specifying Source IP Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Specifying Source IP Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Specifying Browser Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Specifying Certificate Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Specifying Password Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Specifying Session Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75IF-MAP Federation Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

IF-MAP Federation Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79IF-MAP Federation Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

IF-MAP Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Task Summary: Configuring IF-MAP Federation . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configuring IF-MAP Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configuring the IF-MAP Federation Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84IF-MAP Federation Network Timing Considerations . . . . . . . . . . . . . . . . . . . . . . . 84Session-Export and Session-Import Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Default Session-Export and Session-Import Policy Action . . . . . . . . . . . . . . . 87Advanced Session-Export and Session-Import Policies . . . . . . . . . . . . . . . . . 87

Configuring Session-Export Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Session-Import Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Troubleshooting the IF-MAP Federation Network . . . . . . . . . . . . . . . . . . . . . . . . . 90Viewing Active Users on the IF-MAP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Trusted Server List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Administrator and User Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91White List Flow Chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Chapter 4 User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

User Roles Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95User Role Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Permissive Merge Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Configuration of User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Configuring General Role Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Role Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Specifying Role-Based Source IP Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Specifying Role Session Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Customizing the Secure Access Service Welcome Page . . . . . . . . . . . . . . . . . . . 105Secure Access Service Optimized Interface for the Apple iPad . . . . . . . . . . . . . . . 110Defining Default Options for User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Customizing Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Customizing UI Views for User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Chapter 5 Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Resource Profile Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Defining Resource Profile Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

viiCopyright 2013, Juniper Networks, Inc.

Table of Contents

Defining Resource Profile Autopolicies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Defining Resource Profile Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Defining Resource Profile Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Resource Profile Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Chapter 6 Virtual Desktop Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Virtual Desktop Resource Profile Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuring a Citrix XenDesktop Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . 128Configuring a VMware View Manager Resource Profile . . . . . . . . . . . . . . . . . . . . 129Defining Bookmarks for a Virtual Desktop Profile . . . . . . . . . . . . . . . . . . . . . . . . . 130Configuring the Client Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Connecting to the Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Chapter 7 Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Resource Policy Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Specifying Resources for a Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

General Notes About the Canonical Formats . . . . . . . . . . . . . . . . . . . . . . . . . 135Specifying Server Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Resource Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Creating Detailed Rules for Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Writing a Detailed Rule for Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Customizing Resource Policy UI Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Chapter 8 Authentication and Directory Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

About Authentication and Directory Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Task Summary: Configuring Authentication Servers . . . . . . . . . . . . . . . . . . . . . . . 145About Anonymous Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Anonymous Server Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Defining an Anonymous Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Using an RSA ACE/Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Defining an ACE/Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Using an RSA ACE/Server with a Secure Access Service Cluster . . . . . . . . . . . . . 151Using Active Directory or NT Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Defining an Active Directory or Windows NT Domain Server Instance . . . . . . . . . 154Configuring a Role-Mapping Rule Based on the Active Directory LDAP Primary

Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Multi-Domain User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Windows 2000 and Windows 2003 Multi-Domain Authentication . . . . . . . 159Windows NT4 Multi-Domain Authentication . . . . . . . . . . . . . . . . . . . . . . . . . 159NT User Normalization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Join Domain for Active Directory-based Authentication Server Without Using aDomain Admin Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Using the Kerberos Debugging Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Active Directory and NT Group Lookup Support . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Active Directory Lookup Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163NT4 Group Lookup Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Certificate Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164Configuring a Certificate Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165Using an LDAP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Copyright 2013, Juniper Networks, Inc.viii


Defining an LDAP Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167Configuring LDAP Search Attributes for Meeting Creators . . . . . . . . . . . . . . . . . . 169Enabling LDAP Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Enabling LDAP Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Supported LDAP Directories and Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Microsoft Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Sun iPlanet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Supported LDAP Password Management Functions . . . . . . . . . . . . . . . 172AD/NT Password Management Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Troubleshooting LDAP Password Management on the Secure AccessService . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Using a Local Authentication Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Defining a Local Authentication Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . 175Creating User Accounts on a Local Authentication Server . . . . . . . . . . . . . . . . . . 177Configuring an NIS Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Configuring a RADIUS Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

User Experience for RADIUS Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180Using CASQUE Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Defining a Secure Access Service RADIUS Server Instance . . . . . . . . . . . . . . . . . . 181Enabling RADIUS Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184General RADIUS Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Understanding Clustering Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Understanding the Interim Update Feature . . . . . . . . . . . . . . . . . . . . . . . . . . 196

eTrust SiteMinder Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Authentication Using Various Authentication Schemes . . . . . . . . . . . . . . . . 199Determining the Username . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

Configuring SiteMinder to Work with the Secure Access Service . . . . . . . . . . . . 200Configuring the SiteMinder Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Creating a SiteMinder Authentication Scheme for the Secure Access Service . . 202Creating a SiteMinder Domain for the Secure Access Service . . . . . . . . . . . . . . . 204Creating a SiteMinder Realm for the Secure Access Service . . . . . . . . . . . . . . . . 204Creating a Rule/Response Pair to Pass Usernames to the Secure Access

Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Configuring Secure Access to Work with SiteMinder . . . . . . . . . . . . . . . . . . . . . . 206Using SiteMinder User Attributes for Secure Access Role Mapping . . . . . . . . . . . 216Defining a SiteMinder Realm for Automatic Sign-In . . . . . . . . . . . . . . . . . . . . . . . 216Debugging SiteMinder and Secure Access Issues . . . . . . . . . . . . . . . . . . . . . . . . . 217Defining a SAML Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

Chapter 9 SAML Single Sign-on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Junos Pulse Secure Access Service SAML 2.0 SSO Solutions . . . . . . . . . . . . . . . 223Understanding SAML SSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

About SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223SAML Use Cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

Secure Access Service SAML Supported Features Reference . . . . . . . . . . . 224Supported SAML SSO Deployment Modes . . . . . . . . . . . . . . . . . . . . . . 224Supported SAML SSO Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

ixCopyright 2013, Juniper Networks, Inc.

Table of Contents

FIPS Support Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Secure Access Service SAML 2.0 Configuration Tasks . . . . . . . . . . . . . . . . . . . . . 232

Configuring System-Wide SAML Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Configuring Global SAML Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Managing SAML Metadata Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

Configuring Secure Access Service as a SAML Service Provider . . . . . . . . . . 235Configuring Secure Access Service as a SAML Identity Provider . . . . . . . . . 239

Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Configuring Sign-in SAML Metadata Provider Settings . . . . . . . . . . . . . 240Configuring Sign-in SAML Identity Provider Settings . . . . . . . . . . . . . . . 240Configuring Peer SAML Service Provider Settings . . . . . . . . . . . . . . . . . 242Configuring a SAML SSO Resource Policy for Gateway Mode

Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Configuring a SAML SSO External Applications Policy . . . . . . . . . . . . . 248

Configuring a SAML ACL Web Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Example: Implementing SAML Web Browser SSO for Google Apps . . . . . . . . . . 251

Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Configuring the Google Apps SAML service provider . . . . . . . . . . . . . . . . . . 253Configuring the Secure Access Service SAML Identity Provider . . . . . . . . . . 255Verifying the Google Apps SAML SSO Deployment . . . . . . . . . . . . . . . . . . . 259

Junos Pulse Secure Access Service SAML 1.1 Support . . . . . . . . . . . . . . . . . . . . . 260About SAML Version 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Configuring SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Configuring a SAML Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Understanding Assertions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Creating a Trust Relationship Between SAML-Enabled Systems . . . . . 268

Secure Access Service SAML Version 1.1 Configuration Tasks . . . . . . . . . . . . 272Creating a SAML Server Instance (SAML 1.1) . . . . . . . . . . . . . . . . . . . . . . 272Configuring SAML SSO Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Creating a Single Sign-on POST Profile . . . . . . . . . . . . . . . . . . . . . . . . . 278Creating a SAML Access Control Resource Policy . . . . . . . . . . . . . . . . . . 281

Chapter 10 Authentication Realms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

Authentication Realm Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Creating an Authentication Realm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Defining Authentication Access Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Role Mapping Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288Specifying Role Mapping Rules for an Authentication Realm . . . . . . . . . . . . . . . 289Machine Authentication for Junos Pulse Connections . . . . . . . . . . . . . . . . . . . . . 291Junos Pulse Connection Realm and Role Preferences for Machine

Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Using the LDAP Server Catalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Customizing User Realm UI Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298

Copyright 2013, Juniper Networks, Inc.x


Chapter 11 Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

About Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301Task Summary: Configuring Sign In Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304About Configuring Sign In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Configuring User Sign In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304About Sign-In Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Configuring and Implementing Sign-in Notifications . . . . . . . . . . . . . . . . . . . . . . 308Defining authorization-only access policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310Defining Meeting Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Configuring Sign-In pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Configuring Standard Sign-In Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Chapter 12 Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

About Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315About Multiple Sign-In Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

Task Summary: Configuring Multiple Authentication Servers . . . . . . . . . . . . . . . . 317Task Summary: Enabling SSO to Resources Protected by Basic

Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317Task Summary: Enabling SSO to Resources Protected by NTLM . . . . . . . . . . . . . 318Multiple Sign-In Credentials Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Configuring SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324Configuring SAML SSO Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326Creating a Single Sign-on POST Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Creating a SAML Access Control Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . 334Creating a Trust Relationship Between SAML-Enabled Systems . . . . . . . . . . . . . 337

Configuring Trusted Application URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337Configuring an Issuer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Configuring Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Configuring SSO Transactions: Artifact Profile . . . . . . . . . . . . . . . . . . . . 338Configuring SSO Transactions: POST Profile . . . . . . . . . . . . . . . . . . . . . 339Configuring Access Control Transactions . . . . . . . . . . . . . . . . . . . . . . . . 340

Configuring User Identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

Chapter 13 Synchronizing User Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

About User Record Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Enabling User Record Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Configuring the User Record Synchronization Authentication Server . . . . . . . . . 346Configuring the User Record Synchronization Server . . . . . . . . . . . . . . . . . . . . . . 347Configuring the User Record Synchronization Client . . . . . . . . . . . . . . . . . . . . . . 347Configuring the User Record Synchronization Database . . . . . . . . . . . . . . . . . . . 348Scheduling User Record Synchronization Backup . . . . . . . . . . . . . . . . . . . . . . . . 349

Part 3 Endpoint DefenseChapter 14 Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Host Checker and Trusted Network Computing . . . . . . . . . . . . . . . . . . . . . . . . . . 354Task Summary: Configuring Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356Creating Global Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Enabling Enhanced Endpoint Security Functionality . . . . . . . . . . . . . . . . . . . . . . 359

xiCopyright 2013, Juniper Networks, Inc.

Table of Contents

Enabling Connection Control Host Checker Policies (Windows Only) . . . . . . . . . 361Creating and Configuring New Client-side Host Checker Policies . . . . . . . . . . . . 362Checking for Third-Party Applications Using Predefined Rules (Windows

Only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Configuring a Predefined Antivirus Rule with Remediation Options . . . . . . . . . . 364Configuring a Predefined Firewall Rule with Remediation Options (Windows

Only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366Configuring a Predefined AntiSpyware Rule (Windows Only) . . . . . . . . . . . . . . . 367Configuring Virus Signature Version Monitoring and Patch Assessment Data

Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368Patch Management Info Monitoring and Patch Deployment . . . . . . . . . . . . . . . . 370

Additional Functionality with Pulse 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371User Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372Using a System Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372

Specifying Customized Requirements Using Custom Rules . . . . . . . . . . . . . . . . 374Using a Wildcard or Environment Variable in a Host Checker Rule . . . . . . . . . . . 379Configuring Patch Assessment Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

Using a System Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382Configuring Patch Assessment Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Using Third-party Integrity Measurement Verifiers . . . . . . . . . . . . . . . . . . . . . . . . 385Configuring a Remote IMV Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Implementing the Third-Party IMV Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390Implementing Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

Executing Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392Configuring Host Checker Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394Remediating Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395

General Host Checker Remediation User Experience . . . . . . . . . . . . . . . . . . 396Configuring General Host Checker Remediation . . . . . . . . . . . . . . . . . . . . . . . . . 397Upgrading the Endpoint Security Assessment Plug-In . . . . . . . . . . . . . . . . . . . . 399Defining Host Checker Pre-Authentication Access Tunnels . . . . . . . . . . . . . . . . . 401Specifying Host Checker Pre-Authentication Access Tunnel Definitions . . . . . . 402Specifying General Host Checker Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405Specifying Host Checker Installation Options . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Client ActiveX Installation Delay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Using Host Checker with the GINA Automatic Sign-In Function . . . . . . . . . . . . . 408Installing Host Checker Automatically or Manually . . . . . . . . . . . . . . . . . . . . . . . 409Using Host Checker Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Configuring Host Checker for Windows Mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

Requiring Junos Pulse Mobile Security for Secure Access Service GatewayAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411

Host Checker for Apple iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Host Checker for Pulse iOS Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Configuring Host Checker for Pulse iOS Clients . . . . . . . . . . . . . . . . . . . . . . . 413Implementing Host Checker Policies for Pulse for iOS Devices . . . . . . . . . . . 415

Using Proxy Exceptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Enabling the Secure Virtual Workspace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

Secure Virtual Workspace Restrictions and Defaults . . . . . . . . . . . . . . . . . . 418Configuring the Secure Virtual Workspace . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

Defining Secure Virtual Workspace Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . 419

Copyright 2013, Juniper Networks, Inc.xii


Defining a Secure Virtual Workspace Application Policy . . . . . . . . . . . . . . . . . . . 421Defining a Secure Virtual Workspace Security Policy . . . . . . . . . . . . . . . . . . . . . . 422Defining Secure Virtual Workspace Environment Options . . . . . . . . . . . . . . . . . . 423Defining Secure Virtual Workspace Remediation Policy . . . . . . . . . . . . . . . . . . . 423

Chapter 15 Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

About Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425Setting Global Cache Cleaner Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425Implementing Cache Cleaner Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428Specifying Cache Cleaner Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429About Cache Cleaner Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430

Part 4 Remote AccessChapter 16 Hosted Java Applets Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

About Hosted Java Applet Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Task Summary: Hosting Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434Uploading Java Applets to Secure Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434Signing Uploaded Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435Creating HTML Pages That Reference Uploaded Java Applets . . . . . . . . . . . . . . 436Accessing Java Applet Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436Creating a Hosted Java Applet Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . 437Configuring Hosted Java Applet Resource Profile Bookmarks . . . . . . . . . . . . . . . 438Creating Hosted Java Applets Bookmarks Through the User Roles Page . . . . . . 440Required Attributes for Uploaded Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . 441Required Parameters for Uploaded Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . 442Use case: Creating a Citrix JICA 9.5 Java Applet Bookmark . . . . . . . . . . . . . . . . . 443

Chapter 17 Citrix Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447

About Citrix Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447Comparing Secure Access Access Mechanisms for Configuring Citrix . . . . . . . . 448Creating Resource Profiles Using Citrix Web Applications . . . . . . . . . . . . . . . . . . 451

Chapter 18 Lotus iNotes Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

Creating Resource Profiles Using the Lotus iNotes Template . . . . . . . . . . . . . . . 457

Chapter 19 Microsoft OWA Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

Creating Resource Profiles Using the Microsoft OWA Template . . . . . . . . . . . . . 461

Chapter 20 Microsoft Sharepoint Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Creating Resource Profiles Using the Microsoft Sharepoint Template . . . . . . . . 465

Chapter 21 Web Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

Web Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470Silverlight Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471Task summary: Configuring the Web Rewriting Feature . . . . . . . . . . . . . . . . . . . . 472Remote SSO Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474Passthrough Proxy Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475Creating a Custom Web Application Resource Profile . . . . . . . . . . . . . . . . . . . . . 476Defining a Web Access Control Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479Defining a Single Sign-On Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480Defining a Caching Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483

xiiiCopyright 2013, Juniper Networks, Inc.

Table of Contents

Defining a Java Access Control Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485Defining a Rewriting Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486Defining a Web Compression Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Defining Web Resource Profile Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491Specifying Web Browsing Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495Resource Policy Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498Writing a Web Access Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500Defining Single Sign-On Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501About Basic, NTLM and Kerberos Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501Writing the Basic, NTLM and Kerberos Resources . . . . . . . . . . . . . . . . . . . . . . . . 503Writing a Basic Authentication, NTLM or Kerberos Intermediation Resource

Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506Writing a Remote SSO Form POST Resource Policy . . . . . . . . . . . . . . . . . . . . . . 509Writing a Remote SSO Headers/Cookies Resource Policy . . . . . . . . . . . . . . . . . . . 511Writing a Web Caching Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513About OWA and Lotus Notes Caching Resource Policies . . . . . . . . . . . . . . . . . . . 515Specifying General Caching Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516Writing a Java Access Control Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 517Writing a Java Code Signing Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518Creating a Selective Rewriting Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 519Creating a Passthrough Proxy Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Creating a Custom Header Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524Creating an ActiveX Parameter Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 525Restoring the Default Secure Access Service ActiveX Resource Policies . . . . . . . 527

Creating Rewriting Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531Writing a Web Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532Defining an OWA Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . 533Writing a Web Proxy Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533Specifying Web Proxy Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534Writing An HTTP 1.1 Protocol Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535Creating a Cross Domain Access Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Defining Resource Policies: General Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538Managing Resource Policies: Customizing UI Views . . . . . . . . . . . . . . . . . . . . . . . 538

Chapter 22 File Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

File Rewriting Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541Creating a File Rewriting Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543Creating a File Access Control Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544Creating a File Compression Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544Creating a Single Sign-On Autopolicy (Windows Only) . . . . . . . . . . . . . . . . . . . . 545Configuring File Resource Profile Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546Creating Windows File Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548Creating Advanced Bookmarks to Windows Resources . . . . . . . . . . . . . . . . . . . 549Creating Windows Bookmarks that Map to LDAP Servers . . . . . . . . . . . . . . . . . . 550Defining General Windows File Browsing Options . . . . . . . . . . . . . . . . . . . . . . . . 550Writing a File Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550

Windows File Resources Canonical Format . . . . . . . . . . . . . . . . . . . . . . . . . . 551Writing a Windows Access Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552Writing a Windows SSO Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Copyright 2013, Juniper Networks, Inc.xiv


Writing a Windows Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . 554Defining General File Writing Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555Creating UNIX File Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556Creating Advanced Bookmarks to UNIX Resources . . . . . . . . . . . . . . . . . . . . . . . 556Defining General UNIX File Browsing Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557Defining UNIX/NFS File Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

Canonical Format: UNIX/NFS File Resources . . . . . . . . . . . . . . . . . . . . . . . . 558Writing UNIX/NFS Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559Writing a UNIX/NFS Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . 560Defining General UNIX/NFS File Writing Options . . . . . . . . . . . . . . . . . . . . . . . . . 561

Chapter 23 Secure Application Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563

Secure Application Manager Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564Task Summary: Configuring WSAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564Launching VPN Tunneling During a WSAM Session . . . . . . . . . . . . . . . . . . . . . . . 565Debugging WSAM Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566About WSAM Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566Creating WSAM Client Application Resource Profiles . . . . . . . . . . . . . . . . . . . . . 567Creating WSAM Destination Network Resource Profiles . . . . . . . . . . . . . . . . . . . 568Specifying Applications and Servers for WSAM to Secure . . . . . . . . . . . . . . . . . 569Specifying Applications that Need to Bypass WSAM . . . . . . . . . . . . . . . . . . . . . . 571Specifying Role-Level WSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573Specifying Application Servers that Users can Access . . . . . . . . . . . . . . . . . . . . . 574Specifying Resource Level WSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576Using the WSAM Launcher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577JSAM Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580Task Summary: Configuring JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581Using JSAM for Client/Server Communications . . . . . . . . . . . . . . . . . . . . . . . . . . 582

Assigning IP Loopback Addresses to Servers . . . . . . . . . . . . . . . . . . . . . . . . 584Using Static Loopback Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585IP Loopback Address Considerations When Merging Roles . . . . . . . . . . . . . 585Resolving Host Names to Localhost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586

Configuring a PC that Connects to the Secure Access Service Through a ProxyWeb Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587

Determining the Secure Access Service-Assigned Loopback Address . . . . . . . . 587Configuring External DNS Servers and User Machines . . . . . . . . . . . . . . . . . . . . 588JSAM Linux and Macintosh Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Standard Application Support: MS Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590

Client/Server Communication Using JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . 590Standard Application Support: Lotus Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592

Client/Server Communication Using JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . 592Configuring the Lotus Notes Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593Standard Application Support: Citrix Web Interface for MetaFrame (NFuse

Classic) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594Enabling Citrix Published Applications on the Citrix Native Client . . . . . . . . . . . 594Enabling Citrix Secure Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597Creating a JSAM Application Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . 598Specifying Applications for JSAM to Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602Specifying Role Level JSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604

xvCopyright 2013, Juniper Networks, Inc.

Table of Contents

Automatically Launching JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605Specifying Application Servers that Users Can Access . . . . . . . . . . . . . . . . . . . . 607Specifying Resource Level JSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608

Chapter 24 Telnet/SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611

About Telnet/SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611Task summary: Configuring the Telnet/SSH Feature . . . . . . . . . . . . . . . . . . . . . . 612Creating a Telnet/SSH Resource Profile: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613Associating Bookmarks with Telnet/SSH Resource Profiles . . . . . . . . . . . . . . . . 614Configuring General Telnet/SSH Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617Writing a Telnet/SSH Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618

Chapter 25 Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621

About Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622Terminal Services User Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622

Task Summary: Configuring the Terminal Services Feature . . . . . . . . . . . . . . . . . 623Terminal Services Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625Configuring Citrix to Support ICA Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . 626About Terminal Services Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628Configuring a Windows Terminal Services Resource Profile . . . . . . . . . . . . . . . . 629Defining a Hosted Java Applet Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630Defining a Bookmark for a Windows Terminal Services Profile . . . . . . . . . . . . . . 633Creating a Windows Terminal Services Bookmark Through the User Roles

Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634Defining Display Options for the Windows Terminal Services Session . . . . . . . . 635Defining SSO Options for the Windows Terminal Services Session . . . . . . . . . . 636Defining Application Settings for the Windows Terminal Services Session . . . . 636Defining Device Connections for the Windows Terminal Services Session . . . . . 637Defining Desktop Settings for the Windows Terminal Services Session . . . . . . . 639Creating a Citrix Terminal Services Resource Profile Using Default ICA

Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639Defining a Bookmark for a Citrix Profile Using Default ICA Settings . . . . . . . . . . 640Defining Display Options for the Citrix Terminal Services Session . . . . . . . . . . . 643Defining SSO Options for the Citrix Terminal Services Session . . . . . . . . . . . . . . 643Defining Application, Auto-Launch, and Session Reliability Settings for the Citrix

Terminal Services Session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644Defining Device Connections for the Citrix Terminal Services Session . . . . . . . . 645Creating a Citrix Resource Profile That Uses a Custom ICA File . . . . . . . . . . . . . 646Defining a Bookmark for a Citrix Profile Using a Custom ICA File . . . . . . . . . . . . 648Creating a Citrix Profile That Lists Published Applications . . . . . . . . . . . . . . . . . 649Defining a Bookmark for a Citrix Profile Listing Applications . . . . . . . . . . . . . . . . 650Creating Session Bookmarks to Your Terminal Server . . . . . . . . . . . . . . . . . . . . . 652Creating Advanced Terminal Services Session Bookmarks . . . . . . . . . . . . . . . . . 653Creating Links from an External Site to a Terminal Services Session

Bookmark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659Specifying General Terminal Services Options . . . . . . . . . . . . . . . . . . . . . . . . . . 665Configuring Terminal Services Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . 668Specifying the Terminal Services Resource Option . . . . . . . . . . . . . . . . . . . . . . . 669Using the Remote Desktop Launcher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670

Copyright 2013, Juniper Networks, Inc.xvi


Chapter 26 Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

Junos Pulse Collaboration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671Task Summary: Configuring Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . 673Scheduling Meetings Through the Secure Access Service End-User Console . . 674Scheduling Meetings Through Microsoft Outlook . . . . . . . . . . . . . . . . . . . . . . . . 675Sending Notification Emails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677Joining Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678Attending Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680Conducting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681Presenting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681About Instant Meetings and Support Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . 682About MyMeeting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683

Joining MyMeeting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684Enabling and Configuring Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . 685Permissive Merge Guidelines for Junos Pulse Collaboration . . . . . . . . . . . . . . . . 688Specifying Authentication Servers that Meeting Creators Can Access . . . . . . . . 689Configuring System-Level Meeting Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691Configuring a Junos Pulse Collaboration Meeting Server . . . . . . . . . . . . . . . . . . . 693Junos Pulse Collaboration Meeting Server Use Cases . . . . . . . . . . . . . . . . . . . . . 695Troubleshooting Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696

Known Issues with Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . 697Monitoring Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698

Chapter 27 Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701

About the Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701Choosing an Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702Working with a Standards-Based Mail Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 703Working with the Microsoft Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704

Exchange Server and IMAP Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704Exchange Server and POP Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705Exchange Server and Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . 705

About Lotus Notes and the Lotus Notes Mail Server . . . . . . . . . . . . . . . . . . . . . . 706Enabling the Email Client at the Role Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706Writing the Email Client Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707

Chapter 28 VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709

About VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710Task Summary: Configuring VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712VPN Tunneling Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713Automatically Signing into VPN Tunneling using GINA . . . . . . . . . . . . . . . . . . . . . 715Using GINA Chaining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717Credential Provider for Windows Vista and Later . . . . . . . . . . . . . . . . . . . . . . . . . 717Smart Card Credential Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719Credential Provider Authentication for Pulse Secure Access Service . . . . . . . . . 720Launching VPN Tunneling During a Windows Secure Application Manager

Session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724Logging In To Windows Through a Secure Tunnel . . . . . . . . . . . . . . . . . . . . . . . . 724VPN Tunneling Connection Profiles with Support for Multiple DNS Settings . . . 725VPN Tunneling Incompatibility with Other VPN Client Applications . . . . . . . . . . 726

xviiCopyright 2013, Juniper Networks, Inc.

Table of Contents

Linux Client Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726Client Side Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727VPN Tunneling Proxy Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727VPN Tunneling Quality of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729VPN Tunneling Multicast Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729Defining VPN Tunneling Role Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730About VPN Tunneling Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733Defining VPN Tunneling Access Control Policies . . . . . . . . . . . . . . . . . . . . . . . . . 734Creating VPN Tunneling Connection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735Defining Split Tunneling Network Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742VPN Tunneling Resource Policy Configuration Use Case . . . . . . . . . . . . . . . . . . . 744About VPN Tunneling Bandwidth Management Policies . . . . . . . . . . . . . . . . . . . 745

User is Mapped to Multiple Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748

Writing a VPN Tunneling Bandwidth Management Resource Policy . . . . . . . . . . 748Specifying IP Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749VPN Tunneling Installer Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750

VPN tunneling Installation Process Dependencies . . . . . . . . . . . . . . . . . . . . 750VPN Tunneling Un-installation Process Dependencies . . . . . . . . . . . . . . . . . 751

Network Connect Launcher (NC Launcher) Overview . . . . . . . . . . . . . . . . . . . . . 753Launching Network Connect On Other Platforms . . . . . . . . . . . . . . . . . . . . . . . . 755Troubleshooting Network Connect Errors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757

nc.windows.app.23792 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757Version Conflict on Downgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757Error When Connecting to a FIPS Appliance . . . . . . . . . . . . . . . . . . . . . . . . . 758

Part 5 SystemManagementChapter 29 General SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761

General Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762Internal and External Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763

Bonding Ports on the SA 6000 SSL VPN Appliance . . . . . . . . . . . . . . . . . . . 763Bonding Ports on the SA 6500 SSL VPN Appliance . . . . . . . . . . . . . . . . . . . 764

Configuring the Internal and External Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764Configuring SFP Ports on the SA Series 6000 SSL VPN Appliance . . . . . . . . . . 765Configuring the Management Port on the SA Series 6000 SSL VPN

Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766Using VLANs with Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767Creating a New VLAN Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769Configuring Virtual Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770Configuring Static Routes for Network Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772Creating ARP Caches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772Specifying Host Names for Secure Access Service to Resolve Locally . . . . . . . . . 773Configuring System Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774

Reviewing System Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774Upgrading or Downgrading the Secure Access Service Device . . . . . . . . . . . 776Setting System Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777

Downloading Application Installers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779Obtaining, Entering and Upgrading Your License Keys . . . . . . . . . . . . . . . . . . . . . 781

Copyright 2013, Juniper Networks, Inc.xviii


Configuring License Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784Upgrading License Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785About Subscription Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787

Available Subscription Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788Activating and Deactivating Emergency Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . 788Setting Security Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789

Setting System-Wide Security Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790Configuring Lockout Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791

Configuring NCP and JCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793Installing a Juniper Software Service Package . . . . . . . . . . . . . . . . . . . . . . . . . . . 794Configuring Your Management Port Network Settings From the Serial

Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795Configuring Your Management Port Network Settings From the Admin

Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795Adding Static Routes to the Management Route Table . . . . . . . . . . . . . . . . . . . . 796Assigning Certificate to Management Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796Controlling Administrator Sign-In Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796Signing in Over the Management Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797Setting Role-Mapping Rules Using Custom Expressions . . . . . . . . . . . . . . . . . . . 798Troubleshooting the Management Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798Using the Management Port on a Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799Importing Configurations to a System with the Management Port Enabled . . . . 799

Chapter 30 Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801

About Using Certificates on Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . 802Using Device Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803Importing Certificates Into the Secure Access Service . . . . . . . . . . . . . . . . . . . . 804Downloading a Device Certificate From the Secure Access Service . . . . . . . . . . 806Creating a Certificate Signing Request (CSR) for a New Certificate . . . . . . . . . . 807Using Intermediate Server CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808Importing Intermediate Server CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . 809Using Multiple Secure Access Service Certificates . . . . . . . . . . . . . . . . . . . . . . . . 809

Task summary: Enabling Multiple Device Certificates . . . . . . . . . . . . . . . . . 809Associating a Certificate With a Virtual Port . . . . . . . . . . . . . . . . . . . . . . . . . 810

Associating Different Certificates with Different Virtual Ports . . . . . . . . . . . . . . . 810Using a Trusted Client CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811

Enabling Trusted Client CAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812Automatically Importing a CA Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813Manually Uploading CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815Specifying Attributes for the Trusted Client CA Certificate . . . . . . . . . . . . . . . . . . 817Specifying Client-side Certificate Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . 819Enabling Client CA Hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820Enabling CRLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821Sending CRL Download Requests to a Proxy Server . . . . . . . . . . . . . . . . . . . . . . 823Specifying CDP Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824Enabling OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826Using Trusted Server CAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827Uploading Trusted Server CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828Renewing a Trusted Server CA Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829

xixCopyright 2013, Juniper Networks, Inc.

Table of Contents

Viewing Trusted Server CA Certificate Details . . . . . . . . . . . . . . . . . . . . . . . . . . . 830Restoring the Prepopulated Group of Trusted Server CA Certificates . . . . . . . . . 830Using Code-signing Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831

Additional Considerations for SUN JVM Users . . . . . . . . . . . . . . . . . . . . . . . 832Task Summary: Configuring the Secure Access Service to Sign or Re-Sign Java

Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832Importing a Code-Signing Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833About Two-Way SSL Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833Task Summary: Configuring the Secure Access Service for Two-Way SSL

Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834Importing the Certificates for Two-Way SSL Handshake . . . . . . . . . . . . . . . . . . 835Mapping Resource Policies to the Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836Mapping an Client Authentication Auto-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 837Client Certificate Validation on the External and Virtual Ports . . . . . . . . . . . . . . . 837Task Summary: Configuring for Client Certificate Validation . . . . . . . . . . . . . . . . 838Selecting the Ports For Client Certification Validation . . . . . . . . . . . . . . . . . . . . . 838

Chapter 31 System Archiving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839

About System Archiving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839Specifying Archiving Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841Creating Local Backups of Secure Access Service Configuration Files . . . . . . . . 842Importing and Exporting Secure Access Service Configuration Files . . . . . . . . . 844Importing and Exporting IVS Configuration Settings . . . . . . . . . . . . . . . . . . . . . . 848Importing and Exporting XML Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . 849

Creating and Modifying XML Instances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851Integrity Constraints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854Mapping the XML Instance to UI Components . . . . . . . . . . . . . . . . . . . . . . . 855Downloading the Schema File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856Strategies for Working With XML Instances . . . . . . . . . . . . . . . . . . . . . . . . . 856

Importing and Exporting XML Configuration Data . . . . . . . . . . . . . . . . . . . . . . . . 858System Restarts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864XML Import/Export Use Cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866Importing to a System with the Management Port . . . . . . . . . . . . . . . . . . . . . . . 870Using Operation Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870

General Import Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872Using the Push Configuration Feature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872Defining Push Configuration Targets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874Pushing Configuration Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875Archiving Junos Pulse Collaboration Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . 877

Chapter 32 Logging andMonitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879

Logging and Monitoring Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879Log File Severity Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881Custom Filter Log Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881Dynamic Log Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881

Viewing and Deleting User Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882Configuring Log Monitoring Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883

Configuring Events, User Access, Admin Access, and Sensor Logs . . . . . . . 883Creating, Resetting, or Saving a Dynamic Log Query . . . . . . . . . . . . . . . . . . 884Specifying Which Events to Save in the Log File . . . . . . . . . . . . . . . . . . . . . . 884

Copyright 2013, Juniper Networks, Inc.xx


Creating, Editing, or Deleting Log Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885Monitoring the Secure Access Service as an SNMP Agent . . . . . . . . . . . . . . . . . . 887Viewing System Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892About Client-Side Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893

Enabling Client-Side Logging and Global Options . . . . . . . . . . . . . . . . . . . . 893Enabling and Viewing Client-Side Log Uploads . . . . . . . . . . . . . . . . . . . . . . . . . . 894Viewing General Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896

Viewing System Capacity Utilization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896Specifying Time Range and Data to Display in Graphs . . . . . . . . . . . . . . . . . 897Configuring Graph Appearance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897Viewing Critical System Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898Downloading the Current Service Package . . . . . . . . . . . . . . . . . . . . . . . . . . 898Editing the System Date and Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899

Monitoring Active Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899Viewing and Cancelling Scheduled Meetings . . . . . . . . .

junos pulse secure access

Documents