junos pulse secure access
DESCRIPTION
Junos Pulse Secure AccessTRANSCRIPT
-
Junos Pulse Secure Access Service
Administration Guide
Release
7.2
Published: 2013-06-26
Part Number: , Revision 1
Copyright 2013, Juniper Networks, Inc.
-
Juniper Networks, Inc.1194 North Mathilda AvenueSunnyvale, California 94089USA408-745-2000www.juniper.net
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 1986-1997,Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no partof them is in the public domain.
This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentationand software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed throughrelease 3.0 by Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNsHELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateDsoftware copyright 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright 1991, D.L. S. Associates.
This product includes software developed by Maker Communications, Inc., copyright 1996, 1997, Maker Communications, Inc.
Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the UnitedStates and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All othertrademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,transfer, or otherwise revise this publication without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that areowned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312,6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Junos Pulse Secure Access Service Administration Guide
Revision HistoryAugust 2011 FIntegrate new features
The information in this document is current as of the date on the title page.
ENDUSER LICENSE AGREEMENT
The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networkssoftware. Use of such software is subject to the terms and conditions of the End User License Agreement (EULA) posted athttp://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditions ofthat EULA.
Copyright 2013, Juniper Networks, Inc.ii
-
Abbreviated Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv
Part 1 Getting StartedChapter 1 Initial Verification and Key Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Chapter 2 Introduction to Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Part 2 Access Management FrameworkChapter 3 General Access Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Chapter 4 User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Chapter 5 Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Chapter 6 Virtual Desktop Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Chapter 7 Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Chapter 8 Authentication and Directory Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Chapter 9 SAML Single Sign-on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Chapter 10 Authentication Realms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Chapter 11 Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Chapter 12 Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Chapter 13 Synchronizing User Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Part 3 Endpoint DefenseChapter 14 Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Chapter 15 Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Part 4 Remote AccessChapter 16 Hosted Java Applets Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Chapter 17 Citrix Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Chapter 18 Lotus iNotes Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Chapter 19 Microsoft OWA Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Chapter 20 Microsoft Sharepoint Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Chapter 21 Web Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Chapter 22 File Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Chapter 23 Secure Application Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Chapter 24 Telnet/SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
iiiCopyright 2013, Juniper Networks, Inc.
-
Chapter 25 Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Chapter 26 Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Chapter 27 Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Chapter 28 VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
Part 5 SystemManagementChapter 29 General SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
Chapter 30 Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
Chapter 31 System Archiving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
Chapter 32 Logging andMonitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
Chapter 33 Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903
Chapter 34 Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917
Chapter 35 Delegating Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947
Chapter 36 Instant Virtual System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953
Chapter 37 Secure Access Service and IDP Interoperability . . . . . . . . . . . . . . . . . . . . . 1007
Chapter 38 Routing AAA Over the Management Port for Virtual Appliances . . . . . . . 1017
Part 6 System ServicesChapter 39 Secure Access Service Serial Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1023
Chapter 40 Customizable Admin and End-User UIs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1029
Chapter 41 SA6000 Series Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031
Chapter 42 SA4500 and SA6500 Series Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . 1035
Chapter 43 Secure Access FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1045
Chapter 44 SA4500 and SA6500 FIPS Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1057
Chapter 45 Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1067
Chapter 46 Multi-Language Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1071
Chapter 47 Handheld Devices and PDAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075
Chapter 48 Using IKEv2 with the Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . 1083
Chapter 49 Writing Custom Expressions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1091
Part 7 IndexIndex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1117
Copyright 2013, Juniper Networks, Inc.iv
Junos Pulse Secure Access Service Administration Guide
-
Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxv
Objective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvAudience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvDocument Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvDocumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxviObtaining Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxviDocumentation Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxviRequesting Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvi
Self-Help Online Tools and Resources . . . . . . . . . . . . . . . . . . . . . . . . . xxxviiOpening a Case with JTAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxvii
Part 1 Getting StartedChapter 1 Initial Verification and Key Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Verifying User Accessibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Creating a Test Scenario to Learn Secure Access Service Concepts and Best
Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Defining a User Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Defining a Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Defining an Authentication Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Defining an Authentication Realm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Defining a Sign-In Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Using the Test Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Default Settings for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Chapter 2 Introduction to Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Secure Access Service Solution Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Securing Traffic With Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Authenticating Users With Existing Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Fine-Tuning Access to Secure Access Service and the Resources It
Intermediates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Creating a Seamless Integration Between Secure Access Service and the
Resources It Intermediates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Protecting Against Infected Computers and Other Security Concerns . . . . . . . . . . 21Ensuring Redundancy in the Secure Access Service Environment . . . . . . . . . . . . . 22Making the Secure Access Service Interface Match My Companys
Look-and-Feel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Enabling Users on a Variety of Computers and Devices to Use Secure Access
Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Providing Secure Access for My International Users . . . . . . . . . . . . . . . . . . . . . . . . 24Configuring Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
vCopyright 2013, Juniper Networks, Inc.
-
Network and Security Manager and the Secure Access Service . . . . . . . . . . . . . . 25How Secure Access Service and NSM communicate . . . . . . . . . . . . . . . . . . . 25Available Services and Configuration Options . . . . . . . . . . . . . . . . . . . . . . . . . 27DMI Communication with the Secure Access Service . . . . . . . . . . . . . . . . . . . 27
Configuring Secure Access for the Initial DMI Connection . . . . . . . . . . . . . . . . . . . 28Managing Large Binary Data Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Uploading and Linking Large Binary Data Files With NSM . . . . . . . . . . . . . . . . . . . 30Importing Custom Sign-In Pages With NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Importing Antivirus LiveUpdate Settings With NSM . . . . . . . . . . . . . . . . . . . . . . . . 32Importing Endpoint Security Assessment Plug-in (ESAP) Packages With
NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Uploading a Third-Party Host Checker Policy With NSM . . . . . . . . . . . . . . . . . . . . 34Linking to a Third-Party Host Checker Policy Shared Object With NSM . . . . . . . . 35Linking to a Secure Virtual Workspace Wallpaper Image Shared Object With
NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Importing Hosted Java Applets With NSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Importing a Custom Citrix Client .cab File With NSM . . . . . . . . . . . . . . . . . . . . . . . 37Junos Pulse Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Session Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Location Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Security Certificates on Junos Pulse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38User Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Secure Access Service Gateway Deployment Options . . . . . . . . . . . . . . . . . . 39Platform Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Junos Pulse Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Configuring a Role for Junos Pulse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Client Connection Set Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Connection is Established Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Creating a Client Connection Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Configuring Connection Rules for Location Awareness . . . . . . . . . . . . . . . . . . . . . 49Junos Pulse Component Set Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Creating a Client Component Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Junos Pulse Client Installation Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Installing the Junos Pulse Client from the Web . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Installing the Junos Pulse Client Using a Preconfiguration File . . . . . . . . . . . . . . . 55
Installing the Pulse Client Using Advanced Command Line Options . . . . . . . 56Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Repairing a Pulse Installation on a Windows Endpoint . . . . . . . . . . . . . . . . . . 58
Part 2 Access Management FrameworkChapter 3 General Access Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Access Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Policies, Rules & Restrictions, and Conditions Overview . . . . . . . . . . . . . . . . . . . . 62
Accessing Authentication Realms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Accessing User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Copyright 2013, Juniper Networks, Inc.vi
Junos Pulse Secure Access Service Administration Guide
-
Accessing Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Policies, Rules & Restrictions, and Conditions Evaluation . . . . . . . . . . . . . . . . . . . 64Dynamic Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Understanding Dynamic Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Understanding Standard Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Enabling Dynamic Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Specifying Source IP Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Specifying Source IP Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Specifying Browser Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Specifying Certificate Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Specifying Password Access Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Specifying Session Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75IF-MAP Federation Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
IF-MAP Federation Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79IF-MAP Federation Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
IF-MAP Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Task Summary: Configuring IF-MAP Federation . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configuring IF-MAP Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configuring the IF-MAP Federation Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84IF-MAP Federation Network Timing Considerations . . . . . . . . . . . . . . . . . . . . . . . 84Session-Export and Session-Import Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Default Session-Export and Session-Import Policy Action . . . . . . . . . . . . . . . 87Advanced Session-Export and Session-Import Policies . . . . . . . . . . . . . . . . . 87
Configuring Session-Export Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Session-Import Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Troubleshooting the IF-MAP Federation Network . . . . . . . . . . . . . . . . . . . . . . . . . 90Viewing Active Users on the IF-MAP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Trusted Server List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Administrator and User Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91White List Flow Chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Chapter 4 User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
User Roles Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95User Role Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Permissive Merge Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Configuration of User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Configuring General Role Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Role Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Specifying Role-Based Source IP Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Specifying Role Session Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Customizing the Secure Access Service Welcome Page . . . . . . . . . . . . . . . . . . . 105Secure Access Service Optimized Interface for the Apple iPad . . . . . . . . . . . . . . . 110Defining Default Options for User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Customizing Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Customizing UI Views for User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Chapter 5 Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Resource Profile Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Defining Resource Profile Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
viiCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
Defining Resource Profile Autopolicies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Defining Resource Profile Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Defining Resource Profile Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Resource Profile Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Chapter 6 Virtual Desktop Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Virtual Desktop Resource Profile Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuring a Citrix XenDesktop Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . 128Configuring a VMware View Manager Resource Profile . . . . . . . . . . . . . . . . . . . . 129Defining Bookmarks for a Virtual Desktop Profile . . . . . . . . . . . . . . . . . . . . . . . . . 130Configuring the Client Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Connecting to the Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Chapter 7 Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Resource Policy Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Specifying Resources for a Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
General Notes About the Canonical Formats . . . . . . . . . . . . . . . . . . . . . . . . . 135Specifying Server Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Resource Policy Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Creating Detailed Rules for Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Writing a Detailed Rule for Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Customizing Resource Policy UI Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Chapter 8 Authentication and Directory Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
About Authentication and Directory Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Task Summary: Configuring Authentication Servers . . . . . . . . . . . . . . . . . . . . . . . 145About Anonymous Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Anonymous Server Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Defining an Anonymous Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Using an RSA ACE/Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Defining an ACE/Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Using an RSA ACE/Server with a Secure Access Service Cluster . . . . . . . . . . . . . 151Using Active Directory or NT Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Defining an Active Directory or Windows NT Domain Server Instance . . . . . . . . . 154Configuring a Role-Mapping Rule Based on the Active Directory LDAP Primary
Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Multi-Domain User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Windows 2000 and Windows 2003 Multi-Domain Authentication . . . . . . . 159Windows NT4 Multi-Domain Authentication . . . . . . . . . . . . . . . . . . . . . . . . . 159NT User Normalization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Join Domain for Active Directory-based Authentication Server Without Using aDomain Admin Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Using the Kerberos Debugging Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Active Directory and NT Group Lookup Support . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Active Directory Lookup Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163NT4 Group Lookup Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Certificate Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164Configuring a Certificate Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165Using an LDAP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Copyright 2013, Juniper Networks, Inc.viii
Junos Pulse Secure Access Service Administration Guide
-
Defining an LDAP Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167Configuring LDAP Search Attributes for Meeting Creators . . . . . . . . . . . . . . . . . . 169Enabling LDAP Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Enabling LDAP Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Supported LDAP Directories and Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Microsoft Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Sun iPlanet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Supported LDAP Password Management Functions . . . . . . . . . . . . . . . 172AD/NT Password Management Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Troubleshooting LDAP Password Management on the Secure AccessService . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Using a Local Authentication Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Defining a Local Authentication Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . 175Creating User Accounts on a Local Authentication Server . . . . . . . . . . . . . . . . . . 177Configuring an NIS Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Configuring a RADIUS Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
User Experience for RADIUS Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180Using CASQUE Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Defining a Secure Access Service RADIUS Server Instance . . . . . . . . . . . . . . . . . . 181Enabling RADIUS Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184General RADIUS Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Understanding Clustering Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Understanding the Interim Update Feature . . . . . . . . . . . . . . . . . . . . . . . . . . 196
eTrust SiteMinder Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Authentication Using Various Authentication Schemes . . . . . . . . . . . . . . . . 199Determining the Username . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Configuring SiteMinder to Work with the Secure Access Service . . . . . . . . . . . . 200Configuring the SiteMinder Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Creating a SiteMinder Authentication Scheme for the Secure Access Service . . 202Creating a SiteMinder Domain for the Secure Access Service . . . . . . . . . . . . . . . 204Creating a SiteMinder Realm for the Secure Access Service . . . . . . . . . . . . . . . . 204Creating a Rule/Response Pair to Pass Usernames to the Secure Access
Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Configuring Secure Access to Work with SiteMinder . . . . . . . . . . . . . . . . . . . . . . 206Using SiteMinder User Attributes for Secure Access Role Mapping . . . . . . . . . . . 216Defining a SiteMinder Realm for Automatic Sign-In . . . . . . . . . . . . . . . . . . . . . . . 216Debugging SiteMinder and Secure Access Issues . . . . . . . . . . . . . . . . . . . . . . . . . 217Defining a SAML Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Chapter 9 SAML Single Sign-on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Junos Pulse Secure Access Service SAML 2.0 SSO Solutions . . . . . . . . . . . . . . . 223Understanding SAML SSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
About SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223SAML Use Cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Secure Access Service SAML Supported Features Reference . . . . . . . . . . . 224Supported SAML SSO Deployment Modes . . . . . . . . . . . . . . . . . . . . . . 224Supported SAML SSO Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
ixCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
FIPS Support Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Secure Access Service SAML 2.0 Configuration Tasks . . . . . . . . . . . . . . . . . . . . . 232
Configuring System-Wide SAML Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Configuring Global SAML Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Managing SAML Metadata Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Configuring Secure Access Service as a SAML Service Provider . . . . . . . . . . 235Configuring Secure Access Service as a SAML Identity Provider . . . . . . . . . 239
Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Configuring Sign-in SAML Metadata Provider Settings . . . . . . . . . . . . . 240Configuring Sign-in SAML Identity Provider Settings . . . . . . . . . . . . . . . 240Configuring Peer SAML Service Provider Settings . . . . . . . . . . . . . . . . . 242Configuring a SAML SSO Resource Policy for Gateway Mode
Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Configuring a SAML SSO External Applications Policy . . . . . . . . . . . . . 248
Configuring a SAML ACL Web Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Example: Implementing SAML Web Browser SSO for Google Apps . . . . . . . . . . 251
Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Configuring the Google Apps SAML service provider . . . . . . . . . . . . . . . . . . 253Configuring the Secure Access Service SAML Identity Provider . . . . . . . . . . 255Verifying the Google Apps SAML SSO Deployment . . . . . . . . . . . . . . . . . . . 259
Junos Pulse Secure Access Service SAML 1.1 Support . . . . . . . . . . . . . . . . . . . . . 260About SAML Version 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Configuring SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Configuring a SAML Server Instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Understanding Assertions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Creating a Trust Relationship Between SAML-Enabled Systems . . . . . 268
Secure Access Service SAML Version 1.1 Configuration Tasks . . . . . . . . . . . . 272Creating a SAML Server Instance (SAML 1.1) . . . . . . . . . . . . . . . . . . . . . . 272Configuring SAML SSO Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Creating a Single Sign-on POST Profile . . . . . . . . . . . . . . . . . . . . . . . . . 278Creating a SAML Access Control Resource Policy . . . . . . . . . . . . . . . . . . 281
Chapter 10 Authentication Realms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Authentication Realm Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Creating an Authentication Realm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Defining Authentication Access Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Role Mapping Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288Specifying Role Mapping Rules for an Authentication Realm . . . . . . . . . . . . . . . 289Machine Authentication for Junos Pulse Connections . . . . . . . . . . . . . . . . . . . . . 291Junos Pulse Connection Realm and Role Preferences for Machine
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Using the LDAP Server Catalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Customizing User Realm UI Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Copyright 2013, Juniper Networks, Inc.x
Junos Pulse Secure Access Service Administration Guide
-
Chapter 11 Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
About Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301Task Summary: Configuring Sign In Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304About Configuring Sign In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Configuring User Sign In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304About Sign-In Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Configuring and Implementing Sign-in Notifications . . . . . . . . . . . . . . . . . . . . . . 308Defining authorization-only access policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310Defining Meeting Sign-In Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Configuring Sign-In pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Configuring Standard Sign-In Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Chapter 12 Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
About Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315About Multiple Sign-In Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Task Summary: Configuring Multiple Authentication Servers . . . . . . . . . . . . . . . . 317Task Summary: Enabling SSO to Resources Protected by Basic
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317Task Summary: Enabling SSO to Resources Protected by NTLM . . . . . . . . . . . . . 318Multiple Sign-In Credentials Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Configuring SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324Configuring SAML SSO Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326Creating a Single Sign-on POST Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Creating a SAML Access Control Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . 334Creating a Trust Relationship Between SAML-Enabled Systems . . . . . . . . . . . . . 337
Configuring Trusted Application URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337Configuring an Issuer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Configuring Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Configuring SSO Transactions: Artifact Profile . . . . . . . . . . . . . . . . . . . . 338Configuring SSO Transactions: POST Profile . . . . . . . . . . . . . . . . . . . . . 339Configuring Access Control Transactions . . . . . . . . . . . . . . . . . . . . . . . . 340
Configuring User Identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Chapter 13 Synchronizing User Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
About User Record Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Enabling User Record Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Configuring the User Record Synchronization Authentication Server . . . . . . . . . 346Configuring the User Record Synchronization Server . . . . . . . . . . . . . . . . . . . . . . 347Configuring the User Record Synchronization Client . . . . . . . . . . . . . . . . . . . . . . 347Configuring the User Record Synchronization Database . . . . . . . . . . . . . . . . . . . 348Scheduling User Record Synchronization Backup . . . . . . . . . . . . . . . . . . . . . . . . 349
Part 3 Endpoint DefenseChapter 14 Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Host Checker and Trusted Network Computing . . . . . . . . . . . . . . . . . . . . . . . . . . 354Task Summary: Configuring Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356Creating Global Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Enabling Enhanced Endpoint Security Functionality . . . . . . . . . . . . . . . . . . . . . . 359
xiCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
Enabling Connection Control Host Checker Policies (Windows Only) . . . . . . . . . 361Creating and Configuring New Client-side Host Checker Policies . . . . . . . . . . . . 362Checking for Third-Party Applications Using Predefined Rules (Windows
Only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Configuring a Predefined Antivirus Rule with Remediation Options . . . . . . . . . . 364Configuring a Predefined Firewall Rule with Remediation Options (Windows
Only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366Configuring a Predefined AntiSpyware Rule (Windows Only) . . . . . . . . . . . . . . . 367Configuring Virus Signature Version Monitoring and Patch Assessment Data
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368Patch Management Info Monitoring and Patch Deployment . . . . . . . . . . . . . . . . 370
Additional Functionality with Pulse 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371User Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372Using a System Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Specifying Customized Requirements Using Custom Rules . . . . . . . . . . . . . . . . 374Using a Wildcard or Environment Variable in a Host Checker Rule . . . . . . . . . . . 379Configuring Patch Assessment Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Using a System Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382Configuring Patch Assessment Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Using Third-party Integrity Measurement Verifiers . . . . . . . . . . . . . . . . . . . . . . . . 385Configuring a Remote IMV Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Implementing the Third-Party IMV Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390Implementing Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Executing Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392Configuring Host Checker Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394Remediating Host Checker Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
General Host Checker Remediation User Experience . . . . . . . . . . . . . . . . . . 396Configuring General Host Checker Remediation . . . . . . . . . . . . . . . . . . . . . . . . . 397Upgrading the Endpoint Security Assessment Plug-In . . . . . . . . . . . . . . . . . . . . 399Defining Host Checker Pre-Authentication Access Tunnels . . . . . . . . . . . . . . . . . 401Specifying Host Checker Pre-Authentication Access Tunnel Definitions . . . . . . 402Specifying General Host Checker Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405Specifying Host Checker Installation Options . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Client ActiveX Installation Delay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Using Host Checker with the GINA Automatic Sign-In Function . . . . . . . . . . . . . 408Installing Host Checker Automatically or Manually . . . . . . . . . . . . . . . . . . . . . . . 409Using Host Checker Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Configuring Host Checker for Windows Mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Requiring Junos Pulse Mobile Security for Secure Access Service GatewayAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Host Checker for Apple iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Host Checker for Pulse iOS Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Configuring Host Checker for Pulse iOS Clients . . . . . . . . . . . . . . . . . . . . . . . 413Implementing Host Checker Policies for Pulse for iOS Devices . . . . . . . . . . . 415
Using Proxy Exceptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Enabling the Secure Virtual Workspace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Secure Virtual Workspace Restrictions and Defaults . . . . . . . . . . . . . . . . . . 418Configuring the Secure Virtual Workspace . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Defining Secure Virtual Workspace Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Copyright 2013, Juniper Networks, Inc.xii
Junos Pulse Secure Access Service Administration Guide
-
Defining a Secure Virtual Workspace Application Policy . . . . . . . . . . . . . . . . . . . 421Defining a Secure Virtual Workspace Security Policy . . . . . . . . . . . . . . . . . . . . . . 422Defining Secure Virtual Workspace Environment Options . . . . . . . . . . . . . . . . . . 423Defining Secure Virtual Workspace Remediation Policy . . . . . . . . . . . . . . . . . . . 423
Chapter 15 Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
About Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425Setting Global Cache Cleaner Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425Implementing Cache Cleaner Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428Specifying Cache Cleaner Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429About Cache Cleaner Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Part 4 Remote AccessChapter 16 Hosted Java Applets Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
About Hosted Java Applet Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Task Summary: Hosting Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434Uploading Java Applets to Secure Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434Signing Uploaded Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435Creating HTML Pages That Reference Uploaded Java Applets . . . . . . . . . . . . . . 436Accessing Java Applet Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436Creating a Hosted Java Applet Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . 437Configuring Hosted Java Applet Resource Profile Bookmarks . . . . . . . . . . . . . . . 438Creating Hosted Java Applets Bookmarks Through the User Roles Page . . . . . . 440Required Attributes for Uploaded Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . 441Required Parameters for Uploaded Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . 442Use case: Creating a Citrix JICA 9.5 Java Applet Bookmark . . . . . . . . . . . . . . . . . 443
Chapter 17 Citrix Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
About Citrix Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447Comparing Secure Access Access Mechanisms for Configuring Citrix . . . . . . . . 448Creating Resource Profiles Using Citrix Web Applications . . . . . . . . . . . . . . . . . . 451
Chapter 18 Lotus iNotes Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Creating Resource Profiles Using the Lotus iNotes Template . . . . . . . . . . . . . . . 457
Chapter 19 Microsoft OWA Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Creating Resource Profiles Using the Microsoft OWA Template . . . . . . . . . . . . . 461
Chapter 20 Microsoft Sharepoint Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Creating Resource Profiles Using the Microsoft Sharepoint Template . . . . . . . . 465
Chapter 21 Web Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Web Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470Silverlight Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471Task summary: Configuring the Web Rewriting Feature . . . . . . . . . . . . . . . . . . . . 472Remote SSO Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474Passthrough Proxy Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475Creating a Custom Web Application Resource Profile . . . . . . . . . . . . . . . . . . . . . 476Defining a Web Access Control Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479Defining a Single Sign-On Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480Defining a Caching Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
xiiiCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
Defining a Java Access Control Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485Defining a Rewriting Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486Defining a Web Compression Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Defining Web Resource Profile Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491Specifying Web Browsing Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495Resource Policy Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498Writing a Web Access Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500Defining Single Sign-On Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501About Basic, NTLM and Kerberos Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501Writing the Basic, NTLM and Kerberos Resources . . . . . . . . . . . . . . . . . . . . . . . . 503Writing a Basic Authentication, NTLM or Kerberos Intermediation Resource
Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506Writing a Remote SSO Form POST Resource Policy . . . . . . . . . . . . . . . . . . . . . . 509Writing a Remote SSO Headers/Cookies Resource Policy . . . . . . . . . . . . . . . . . . . 511Writing a Web Caching Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513About OWA and Lotus Notes Caching Resource Policies . . . . . . . . . . . . . . . . . . . 515Specifying General Caching Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516Writing a Java Access Control Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 517Writing a Java Code Signing Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518Creating a Selective Rewriting Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 519Creating a Passthrough Proxy Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Creating a Custom Header Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524Creating an ActiveX Parameter Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 525Restoring the Default Secure Access Service ActiveX Resource Policies . . . . . . . 527
Creating Rewriting Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531Writing a Web Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532Defining an OWA Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . 533Writing a Web Proxy Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533Specifying Web Proxy Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534Writing An HTTP 1.1 Protocol Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535Creating a Cross Domain Access Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Defining Resource Policies: General Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538Managing Resource Policies: Customizing UI Views . . . . . . . . . . . . . . . . . . . . . . . 538
Chapter 22 File Rewriting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
File Rewriting Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541Creating a File Rewriting Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543Creating a File Access Control Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544Creating a File Compression Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544Creating a Single Sign-On Autopolicy (Windows Only) . . . . . . . . . . . . . . . . . . . . 545Configuring File Resource Profile Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546Creating Windows File Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548Creating Advanced Bookmarks to Windows Resources . . . . . . . . . . . . . . . . . . . 549Creating Windows Bookmarks that Map to LDAP Servers . . . . . . . . . . . . . . . . . . 550Defining General Windows File Browsing Options . . . . . . . . . . . . . . . . . . . . . . . . 550Writing a File Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Windows File Resources Canonical Format . . . . . . . . . . . . . . . . . . . . . . . . . . 551Writing a Windows Access Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552Writing a Windows SSO Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Copyright 2013, Juniper Networks, Inc.xiv
Junos Pulse Secure Access Service Administration Guide
-
Writing a Windows Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . 554Defining General File Writing Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555Creating UNIX File Bookmarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556Creating Advanced Bookmarks to UNIX Resources . . . . . . . . . . . . . . . . . . . . . . . 556Defining General UNIX File Browsing Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557Defining UNIX/NFS File Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Canonical Format: UNIX/NFS File Resources . . . . . . . . . . . . . . . . . . . . . . . . 558Writing UNIX/NFS Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559Writing a UNIX/NFS Compression Resource Policy . . . . . . . . . . . . . . . . . . . . . . . 560Defining General UNIX/NFS File Writing Options . . . . . . . . . . . . . . . . . . . . . . . . . 561
Chapter 23 Secure Application Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Secure Application Manager Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564Task Summary: Configuring WSAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564Launching VPN Tunneling During a WSAM Session . . . . . . . . . . . . . . . . . . . . . . . 565Debugging WSAM Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566About WSAM Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566Creating WSAM Client Application Resource Profiles . . . . . . . . . . . . . . . . . . . . . 567Creating WSAM Destination Network Resource Profiles . . . . . . . . . . . . . . . . . . . 568Specifying Applications and Servers for WSAM to Secure . . . . . . . . . . . . . . . . . 569Specifying Applications that Need to Bypass WSAM . . . . . . . . . . . . . . . . . . . . . . 571Specifying Role-Level WSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573Specifying Application Servers that Users can Access . . . . . . . . . . . . . . . . . . . . . 574Specifying Resource Level WSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576Using the WSAM Launcher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577JSAM Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580Task Summary: Configuring JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581Using JSAM for Client/Server Communications . . . . . . . . . . . . . . . . . . . . . . . . . . 582
Assigning IP Loopback Addresses to Servers . . . . . . . . . . . . . . . . . . . . . . . . 584Using Static Loopback Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585IP Loopback Address Considerations When Merging Roles . . . . . . . . . . . . . 585Resolving Host Names to Localhost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
Configuring a PC that Connects to the Secure Access Service Through a ProxyWeb Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
Determining the Secure Access Service-Assigned Loopback Address . . . . . . . . 587Configuring External DNS Servers and User Machines . . . . . . . . . . . . . . . . . . . . 588JSAM Linux and Macintosh Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Standard Application Support: MS Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Client/Server Communication Using JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . 590Standard Application Support: Lotus Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
Client/Server Communication Using JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . 592Configuring the Lotus Notes Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593Standard Application Support: Citrix Web Interface for MetaFrame (NFuse
Classic) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594Enabling Citrix Published Applications on the Citrix Native Client . . . . . . . . . . . 594Enabling Citrix Secure Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597Creating a JSAM Application Resource Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . 598Specifying Applications for JSAM to Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602Specifying Role Level JSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
xvCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
Automatically Launching JSAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605Specifying Application Servers that Users Can Access . . . . . . . . . . . . . . . . . . . . 607Specifying Resource Level JSAM Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
Chapter 24 Telnet/SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
About Telnet/SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611Task summary: Configuring the Telnet/SSH Feature . . . . . . . . . . . . . . . . . . . . . . 612Creating a Telnet/SSH Resource Profile: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613Associating Bookmarks with Telnet/SSH Resource Profiles . . . . . . . . . . . . . . . . 614Configuring General Telnet/SSH Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617Writing a Telnet/SSH Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
Chapter 25 Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
About Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622Terminal Services User Experience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
Task Summary: Configuring the Terminal Services Feature . . . . . . . . . . . . . . . . . 623Terminal Services Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625Configuring Citrix to Support ICA Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . 626About Terminal Services Resource Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628Configuring a Windows Terminal Services Resource Profile . . . . . . . . . . . . . . . . 629Defining a Hosted Java Applet Autopolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630Defining a Bookmark for a Windows Terminal Services Profile . . . . . . . . . . . . . . 633Creating a Windows Terminal Services Bookmark Through the User Roles
Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634Defining Display Options for the Windows Terminal Services Session . . . . . . . . 635Defining SSO Options for the Windows Terminal Services Session . . . . . . . . . . 636Defining Application Settings for the Windows Terminal Services Session . . . . 636Defining Device Connections for the Windows Terminal Services Session . . . . . 637Defining Desktop Settings for the Windows Terminal Services Session . . . . . . . 639Creating a Citrix Terminal Services Resource Profile Using Default ICA
Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639Defining a Bookmark for a Citrix Profile Using Default ICA Settings . . . . . . . . . . 640Defining Display Options for the Citrix Terminal Services Session . . . . . . . . . . . 643Defining SSO Options for the Citrix Terminal Services Session . . . . . . . . . . . . . . 643Defining Application, Auto-Launch, and Session Reliability Settings for the Citrix
Terminal Services Session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644Defining Device Connections for the Citrix Terminal Services Session . . . . . . . . 645Creating a Citrix Resource Profile That Uses a Custom ICA File . . . . . . . . . . . . . 646Defining a Bookmark for a Citrix Profile Using a Custom ICA File . . . . . . . . . . . . 648Creating a Citrix Profile That Lists Published Applications . . . . . . . . . . . . . . . . . 649Defining a Bookmark for a Citrix Profile Listing Applications . . . . . . . . . . . . . . . . 650Creating Session Bookmarks to Your Terminal Server . . . . . . . . . . . . . . . . . . . . . 652Creating Advanced Terminal Services Session Bookmarks . . . . . . . . . . . . . . . . . 653Creating Links from an External Site to a Terminal Services Session
Bookmark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659Specifying General Terminal Services Options . . . . . . . . . . . . . . . . . . . . . . . . . . 665Configuring Terminal Services Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . 668Specifying the Terminal Services Resource Option . . . . . . . . . . . . . . . . . . . . . . . 669Using the Remote Desktop Launcher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670
Copyright 2013, Juniper Networks, Inc.xvi
Junos Pulse Secure Access Service Administration Guide
-
Chapter 26 Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Junos Pulse Collaboration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671Task Summary: Configuring Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . 673Scheduling Meetings Through the Secure Access Service End-User Console . . 674Scheduling Meetings Through Microsoft Outlook . . . . . . . . . . . . . . . . . . . . . . . . 675Sending Notification Emails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677Joining Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678Attending Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680Conducting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681Presenting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681About Instant Meetings and Support Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . 682About MyMeeting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
Joining MyMeeting Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684Enabling and Configuring Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . 685Permissive Merge Guidelines for Junos Pulse Collaboration . . . . . . . . . . . . . . . . 688Specifying Authentication Servers that Meeting Creators Can Access . . . . . . . . 689Configuring System-Level Meeting Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691Configuring a Junos Pulse Collaboration Meeting Server . . . . . . . . . . . . . . . . . . . 693Junos Pulse Collaboration Meeting Server Use Cases . . . . . . . . . . . . . . . . . . . . . 695Troubleshooting Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
Known Issues with Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . 697Monitoring Junos Pulse Collaboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Chapter 27 Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
About the Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701Choosing an Email Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702Working with a Standards-Based Mail Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 703Working with the Microsoft Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
Exchange Server and IMAP Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704Exchange Server and POP Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705Exchange Server and Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . 705
About Lotus Notes and the Lotus Notes Mail Server . . . . . . . . . . . . . . . . . . . . . . 706Enabling the Email Client at the Role Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706Writing the Email Client Resource Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
Chapter 28 VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
About VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710Task Summary: Configuring VPN Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712VPN Tunneling Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713Automatically Signing into VPN Tunneling using GINA . . . . . . . . . . . . . . . . . . . . . 715Using GINA Chaining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717Credential Provider for Windows Vista and Later . . . . . . . . . . . . . . . . . . . . . . . . . 717Smart Card Credential Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719Credential Provider Authentication for Pulse Secure Access Service . . . . . . . . . 720Launching VPN Tunneling During a Windows Secure Application Manager
Session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724Logging In To Windows Through a Secure Tunnel . . . . . . . . . . . . . . . . . . . . . . . . 724VPN Tunneling Connection Profiles with Support for Multiple DNS Settings . . . 725VPN Tunneling Incompatibility with Other VPN Client Applications . . . . . . . . . . 726
xviiCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
Linux Client Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726Client Side Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727VPN Tunneling Proxy Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727VPN Tunneling Quality of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729VPN Tunneling Multicast Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729Defining VPN Tunneling Role Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730About VPN Tunneling Resource Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733Defining VPN Tunneling Access Control Policies . . . . . . . . . . . . . . . . . . . . . . . . . 734Creating VPN Tunneling Connection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735Defining Split Tunneling Network Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742VPN Tunneling Resource Policy Configuration Use Case . . . . . . . . . . . . . . . . . . . 744About VPN Tunneling Bandwidth Management Policies . . . . . . . . . . . . . . . . . . . 745
User is Mapped to Multiple Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
Writing a VPN Tunneling Bandwidth Management Resource Policy . . . . . . . . . . 748Specifying IP Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749VPN Tunneling Installer Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
VPN tunneling Installation Process Dependencies . . . . . . . . . . . . . . . . . . . . 750VPN Tunneling Un-installation Process Dependencies . . . . . . . . . . . . . . . . . 751
Network Connect Launcher (NC Launcher) Overview . . . . . . . . . . . . . . . . . . . . . 753Launching Network Connect On Other Platforms . . . . . . . . . . . . . . . . . . . . . . . . 755Troubleshooting Network Connect Errors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
nc.windows.app.23792 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757Version Conflict on Downgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757Error When Connecting to a FIPS Appliance . . . . . . . . . . . . . . . . . . . . . . . . . 758
Part 5 SystemManagementChapter 29 General SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
General Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762Internal and External Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
Bonding Ports on the SA 6000 SSL VPN Appliance . . . . . . . . . . . . . . . . . . . 763Bonding Ports on the SA 6500 SSL VPN Appliance . . . . . . . . . . . . . . . . . . . 764
Configuring the Internal and External Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764Configuring SFP Ports on the SA Series 6000 SSL VPN Appliance . . . . . . . . . . 765Configuring the Management Port on the SA Series 6000 SSL VPN
Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766Using VLANs with Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767Creating a New VLAN Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769Configuring Virtual Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770Configuring Static Routes for Network Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772Creating ARP Caches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772Specifying Host Names for Secure Access Service to Resolve Locally . . . . . . . . . 773Configuring System Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
Reviewing System Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774Upgrading or Downgrading the Secure Access Service Device . . . . . . . . . . . 776Setting System Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
Downloading Application Installers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779Obtaining, Entering and Upgrading Your License Keys . . . . . . . . . . . . . . . . . . . . . 781
Copyright 2013, Juniper Networks, Inc.xviii
Junos Pulse Secure Access Service Administration Guide
-
Configuring License Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784Upgrading License Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785About Subscription Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
Available Subscription Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788Activating and Deactivating Emergency Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . 788Setting Security Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
Setting System-Wide Security Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790Configuring Lockout Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Configuring NCP and JCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793Installing a Juniper Software Service Package . . . . . . . . . . . . . . . . . . . . . . . . . . . 794Configuring Your Management Port Network Settings From the Serial
Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795Configuring Your Management Port Network Settings From the Admin
Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795Adding Static Routes to the Management Route Table . . . . . . . . . . . . . . . . . . . . 796Assigning Certificate to Management Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796Controlling Administrator Sign-In Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796Signing in Over the Management Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797Setting Role-Mapping Rules Using Custom Expressions . . . . . . . . . . . . . . . . . . . 798Troubleshooting the Management Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798Using the Management Port on a Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799Importing Configurations to a System with the Management Port Enabled . . . . 799
Chapter 30 Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
About Using Certificates on Secure Access Service . . . . . . . . . . . . . . . . . . . . . . . 802Using Device Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803Importing Certificates Into the Secure Access Service . . . . . . . . . . . . . . . . . . . . 804Downloading a Device Certificate From the Secure Access Service . . . . . . . . . . 806Creating a Certificate Signing Request (CSR) for a New Certificate . . . . . . . . . . 807Using Intermediate Server CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808Importing Intermediate Server CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . 809Using Multiple Secure Access Service Certificates . . . . . . . . . . . . . . . . . . . . . . . . 809
Task summary: Enabling Multiple Device Certificates . . . . . . . . . . . . . . . . . 809Associating a Certificate With a Virtual Port . . . . . . . . . . . . . . . . . . . . . . . . . 810
Associating Different Certificates with Different Virtual Ports . . . . . . . . . . . . . . . 810Using a Trusted Client CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
Enabling Trusted Client CAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812Automatically Importing a CA Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813Manually Uploading CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815Specifying Attributes for the Trusted Client CA Certificate . . . . . . . . . . . . . . . . . . 817Specifying Client-side Certificate Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . 819Enabling Client CA Hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820Enabling CRLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821Sending CRL Download Requests to a Proxy Server . . . . . . . . . . . . . . . . . . . . . . 823Specifying CDP Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824Enabling OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826Using Trusted Server CAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827Uploading Trusted Server CA Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828Renewing a Trusted Server CA Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
xixCopyright 2013, Juniper Networks, Inc.
Table of Contents
-
Viewing Trusted Server CA Certificate Details . . . . . . . . . . . . . . . . . . . . . . . . . . . 830Restoring the Prepopulated Group of Trusted Server CA Certificates . . . . . . . . . 830Using Code-signing Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
Additional Considerations for SUN JVM Users . . . . . . . . . . . . . . . . . . . . . . . 832Task Summary: Configuring the Secure Access Service to Sign or Re-Sign Java
Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832Importing a Code-Signing Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833About Two-Way SSL Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833Task Summary: Configuring the Secure Access Service for Two-Way SSL
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834Importing the Certificates for Two-Way SSL Handshake . . . . . . . . . . . . . . . . . . 835Mapping Resource Policies to the Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836Mapping an Client Authentication Auto-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 837Client Certificate Validation on the External and Virtual Ports . . . . . . . . . . . . . . . 837Task Summary: Configuring for Client Certificate Validation . . . . . . . . . . . . . . . . 838Selecting the Ports For Client Certification Validation . . . . . . . . . . . . . . . . . . . . . 838
Chapter 31 System Archiving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
About System Archiving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839Specifying Archiving Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 841Creating Local Backups of Secure Access Service Configuration Files . . . . . . . . 842Importing and Exporting Secure Access Service Configuration Files . . . . . . . . . 844Importing and Exporting IVS Configuration Settings . . . . . . . . . . . . . . . . . . . . . . 848Importing and Exporting XML Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . 849
Creating and Modifying XML Instances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851Integrity Constraints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854Mapping the XML Instance to UI Components . . . . . . . . . . . . . . . . . . . . . . . 855Downloading the Schema File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856Strategies for Working With XML Instances . . . . . . . . . . . . . . . . . . . . . . . . . 856
Importing and Exporting XML Configuration Data . . . . . . . . . . . . . . . . . . . . . . . . 858System Restarts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 864XML Import/Export Use Cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866Importing to a System with the Management Port . . . . . . . . . . . . . . . . . . . . . . . 870Using Operation Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
General Import Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872Using the Push Configuration Feature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872Defining Push Configuration Targets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874Pushing Configuration Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875Archiving Junos Pulse Collaboration Meetings . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
Chapter 32 Logging andMonitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879
Logging and Monitoring Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879Log File Severity Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881Custom Filter Log Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881Dynamic Log Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
Viewing and Deleting User Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882Configuring Log Monitoring Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883
Configuring Events, User Access, Admin Access, and Sensor Logs . . . . . . . 883Creating, Resetting, or Saving a Dynamic Log Query . . . . . . . . . . . . . . . . . . 884Specifying Which Events to Save in the Log File . . . . . . . . . . . . . . . . . . . . . . 884
Copyright 2013, Juniper Networks, Inc.xx
Junos Pulse Secure Access Service Administration Guide
-
Creating, Editing, or Deleting Log Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885Monitoring the Secure Access Service as an SNMP Agent . . . . . . . . . . . . . . . . . . 887Viewing System Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892About Client-Side Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
Enabling Client-Side Logging and Global Options . . . . . . . . . . . . . . . . . . . . 893Enabling and Viewing Client-Side Log Uploads . . . . . . . . . . . . . . . . . . . . . . . . . . 894Viewing General Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
Viewing System Capacity Utilization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896Specifying Time Range and Data to Display in Graphs . . . . . . . . . . . . . . . . . 897Configuring Graph Appearance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897Viewing Critical System Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898Downloading the Current Service Package . . . . . . . . . . . . . . . . . . . . . . . . . . 898Editing the System Date and Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
Monitoring Active Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899Viewing and Cancelling Scheduled Meetings . . . . . . . . .