Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SRX 设备配置 JIMS

开始之前,您需要以下信息:

  • 主要和辅助(可选)JIMS 服务器的 IP 地址。

  • 从 JIMS 服务器获取 OAuth 令牌的客户端 ID,以便进行用户查询。

  • 从 JIMS 服务器获取 OAuth 令牌的客户端密钥,以便进行用户查询。

配置 SRX 系列防火墙到 JIMS 的连接后,JIMS 服务器可以通过 CSO 向 SRX 系列防火墙发送 IP 地址、用户名和组关系信息。您还可以为身份验证超时、域过滤器配置一组可选的高级设置,并选择在 JIMS 服务器和 SRX 系列防火墙之间的通信中包含或排除用户身份信息。

您可以为每个 SRX 系列防火墙配置主服务器和辅助 JIMS 服务器。SRX 系列防火墙始终查询主要 JIMS 服务器。辅助 JIMS 服务器可作为资源受限的回退选项。当对主 JIMS 服务器的大量查询失败时,将使用辅助 JIMS 服务器。SRX 系列防火墙在启动并运行后,会不断检查出现故障的主 JIMS 服务器,并恢复到主 JIMS 服务器。

要配置 SRX 系列防火墙与 JIMS 之间的连接:

  1. 选择 管理 > 身份管理

    将显示 “身份管理 ”页面。

  2. 单击 SRX to-JIMS 配置 或其旁边的大于 (>) 符号。

    SRX to-JIMS 配置面板展开。

    注意:

    如果您已经为 SRX 系列防火墙配置 JIMS,则此配置的详细信息将显示在 “SRX-to-JIMS 配置 ”面板中。
  3. 按照 表 1 中提供的准则完成配置。
  4. 单击 “保存” 以保存更改。现在已为 SRX 设备配置 JIMS。

    如果要丢弃更改,请单击 “取消 ”(改为)。

表 1 提供了使用 SRX to-JIMS 配置 面板上字段的准则。

表 1:SRX to-JIMS 配置面板上的字段

领域

描述
身份

IP 地址

输入主 JIMS 服务器的有效 IPv4 或 IPv6 地址。

SRX 系列防火墙始终查询主要 JIMS 以获取用户身份。

辅助身份

启用此选项可在主 JIMS 服务器发生故障时使用辅助 JIMS 服务器作为回退。默认情况下,此选项处于禁用状态。

辅助 IP 地址

输入辅助 JIMS 服务器的有效 IPv4 或 IPv6 地址。

辅助 JIMS 是资源有限的回退选项。当 HTTP GET 查询或对主 JIMS 的查询数失败时,请使用辅助 JIMS。
客户端证书

客户端 ID

输入 SRX 系列防火墙在身份验证中提供给 JIMS 服务器的客户端 ID。SRX 系列防火墙必须使用 JIMS 服务器进行自身身份验证,才能获得允许其查询 JIMS 服务器的用户身份信息的访问令牌。客户端 ID 必须与 JIMS 服务器上配置的 CSO 客户端 ID 或用户名一致。

客户端密钥

输入 SRX 系列防火墙提供给 JIMS 服务器的客户端密钥,作为身份验证的一部分。客户端密钥必须与 JIMS 服务器上配置的 CSO 客户端密钥或密码一致。
高级设置

身份验证条目超时

输入超时间隔(以分钟为单位),之后,JIMS 身份验证表中的空闲条目就会过期。超时间隔从用户身份验证条目添加到认证表中开始。此值可以介于 10 到 1440 分钟之间,其中值 0 表示没有超时。默认值为 69 分钟。

包括 IP 地址

SRX 系列防火墙向 JIMS 发送查询,仅针对所选地址组中存在的 IP 地址的用户身份信息:JIMS 会根据请求的用户身份信息做出响应。

单击 添加新地址 以创建新的 IP 地址组,请参阅 创建地址或地址组

排除 IP 地址

SRX 系列防火墙不会查询 JIMS,以查看所选地址组中已排除的 IP 地址的用户身份信息。

单击 添加新地址 以创建新的 IP 地址组,请参阅 创建地址或地址组

过滤器域

SRX 系列防火墙向 JIMS 发送查询,了解指定域中的用户身份信息。输入最多 25 个域名的逗号分隔列表。域名可以是最多 64 个字符的字母数字字符串,也可以包含破折号、下划线和点。

示例:example.net

相关文档