JIMS 管理用户界面和配置
总结 阅读本节以了解 JIMS 管理界面及其配置选项。
JIMS 用户界面菜单
JIMS用户界面由三个菜单组成。
下图捕获了 JIMS UI。
图 2:JIMS UI 屏幕
| 菜单 | 说明 |
|---|---|
| 文件 | 允许您导入和导出与 JIMS 相关的配置数据。您可以使用“文件”菜单将 JIMS 收集器连接到瞻博网络安全边缘,然后重新连接到丢失的 UI 连接。 |
| 编辑 | 允许您使用表格/列表视图从用户界面复制和搜索内容。 |
| 帮助 | 允许您查找有关 JIMS 的文档和信息,例如版本、内部版本和其他版权信息,如商标声明、保留所有权利、归属和许可条款。 |
下面列出了其他 UI 选项。
监控
“监视器”菜单提供了多个选项卡,其中包含与状态、事件等相关的不同信息。顶部栏上的日期和时间以 GMT 格式显示日期和时间。
“监视器”菜单由 8 个选项卡组成:
| 菜单 | 说明 |
|---|---|
| 总结 |
|
| 系统 | 列出所有已配置的系统。 |
| 实施点 | 列出所有已配置的实施点以及特定于设备的统计信息。 有关更详细的说明和配置步骤,请参阅 实施点 |
| JIMS 服务器 | 列出所有已配置的 JIMS 服务器以及特定的统计信息。 有关更详细的说明和配置步骤,请参阅 JIMS 服务器 |
| 事件源 | 列出所有已配置的事件源和特定统计信息。 有关更详细的说明和配置步骤,请参阅 目录服务 |
| 目录服务 | 列出所有已配置的目录服务以及特定的统计信息。 有关更详细的说明和配置步骤,请参阅 JIMS 服务器 |
| 电脑探头 | 列出所有已配置的用户名和执行顺序,包括探测统计信息。 有关更详细的说明和配置步骤,请参阅 身份创建者 |
| 系统日志源 | 列出向 JIMS 发送数据的所有已配置系统日志客户端以及特定统计信息。 有关更详细的说明和配置步骤,请参阅 身份创建者 |
JIMS 服务器
安装 JIMS 后,它会自动配置本地 JIMS 服务器。如果您使用 Contrail® 服务编排 (CSO) 或瞻博网络安全®边缘,则需要手动配置这些内容。
有关配置步骤,请参阅 JIMS 服务器
目录服务
必须为 JIMS 收集器配置至少一个目录服务器来收集用户、设备和组成员身份。目前,仅支持活动目录。
如果计划使用具有相同凭据的多个目录服务器,则可以创建一个模板来减少每个目录服务器的输入。
有关配置步骤,请参阅 目录服务
身份生产者
您可以配置身份创建者来收集用户和设备状态事件。JIMS 使用此信息来提供 IP 地址到用户名的映射。JIMS 还为设备名称以及实施点的域名(SRX 系列防火墙)。
标识生成者提供了下面列出的许多选项卡。
事件源用于收集用户名和关联的 IP 地址。这将创建IP_address到用户名的映射以及具有来自 Microsoft 域控制器或 Microsoft Exchange Server 的域名的设备名称。可以从“服务器视图”>“标识生成器”导航到事件源
如果计划使用具有相同凭据的多个事件源,则可以创建一个模板来减少每个事件源服务器的输入。
有关配置步骤,请参阅 添加事件源
PC 探测是对域中连接的所有 Windows 设备的事件源和系统日志事件的补充。当缺少域和用户名的事件源与 IP 地址相关联时,电脑探测会启动对特定设备的 WMI 调用,以收集缺少的信息。WMI 信息包含敏感数据。确保 JIMS 收集器不会将 WMI 探测发送到不受信任的网络。可以从“服务器视图”>“身份提供程序”导航到 pc 探测器
有关配置步骤,请参阅 添加 PC 探测
系统日志源用于从其他系统(如 VPN 集中器、网络访问控制 (NAC) 系统、无线接入控制器等)的 IP 收集用户和设备映射。您可以从“服务器视图”>“身份创建者”导航到系统日志源
Syslog 用作正则表达式 (regex),而不是其他函数提供的模板。系统日志使用特定于每个系统日志客户端类型的基本配置。您可以使用已创建的瞻博网络安全®连接基本配置来记录在登录和注销事件中处于活动状态的用户。
有关配置步骤,请参阅 添加系统日志源
实施点
您必须配置实施点。否则,SRX 系列防火墙无法提取用户、设备和组信息来实施身份感知策略(用户防火墙)。
如果有多个具有相同客户端 ID 和客户端密钥的 SRX 系列防火墙,则可以创建一个模板来减少每个 SRX 系列防火墙的输入。
有关配置步骤,请参阅 在 JIMS UI 中添加实施点
带有 SRX 系列防火墙的 JIMS
瞻博网络身份管理服务 (JIMS) 是一款 Windows 服务应用程序,旨在从 Active Directory 域收集和管理用户、设备和组信息。
要使用瞻博网络身份管理服务,需要正确配置您的实施点(SRX 系列防火墙和 NFX),才能从 JIMS 获取身份信息。
实施点使用主 JIMS 服务器,直到连接将服务器声明为丢失。实施点会定期探测发生故障的主服务器,并在主服务器再次可用时恢复到该主服务器,而无需任何用户干预。
与 JIMS 服务器的连接应仅使用 HTTPS 传输,这将加密实施点与 JIMS 服务器之间的通信。实施点和 JIMS 服务器都使用生成访问令牌的客户端 ID 和客户端密钥对连接进行身份验证。此访问令牌必须存在于对 JIMS 服务器的每个查询中。
从 JIMS 获取用户身份信息的方法有两种:
-
批量查询:
默认情况下,SRX 每 5 秒向 JIMS 发送一次批量查询消息,以获取可用的身份信息。
-
IP 查询:
当 SRX 缺少有关特定 IP 地址的信息时,它可以向 JIMS 发送 IP 查询,然后返回该特定 IP 地址的状态。如果 JIMS 不包含指定 IP 地址的条目,SRX 将威胁该 IP,因为它是未知用户。
在 SRX 中,可以定义过滤器,这些过滤器可用于过滤掉 JIMS 已知的身份信息。您可以订阅某些域,也可以包含或排除与地址簿条目或地址集定义的某些 IP 前缀相关的信息。对这些筛选器的更改只会在下一次批处理查询期间发生。
您最多可以为包含或排除过滤器选择 xxx 地址簿/集条目,并且 xxx 地址簿条目的总数由集和簿合并。
您最多可以向过滤器列表添加 25 个域。如果地址集中包含地址集,则每个地址集可以包含 x 个地址簿条目, set services user-identification identity-management filter
可以刷新从 JIMS 获取的身份管理认证表中的用户身份信息。身份信息将在下一次批处理查询期间更新, clear services user-identification authentication-table authentication-source identity-management
要搜索用户身份信息并验证身份验证源以授予对设备的访问权限,请使用 run show services user-identification authentication-table authentication-source all
以下配置说明了 SRX 系列防火墙上的基本 JIMS 服务器配置:
root@srx1# show services user-identification identity-management
authentication-entry-timeout 120;
invalid-authentication-entry-timeout 10;
connection {
connect-method https;
port 443;
primary {
address 70.0.0.250;
client-id abcd;
client-secret "$9$86jLdsaJDkmTUj"; ## SECRET-DATA
}
secondary {
address 70.0.0.251;
client-id otest;
client-secret "$9$W0K8-woaUH.5GD"; ## SECRET-DATA
}
}
batch-query {
items-per-batch 500;
query-interval 5;
}
有关详细配置步骤,请参阅 使用 SRX 系列防火墙配置 JIMS
过滤 器
通过 JIMS,您可以指定要在 JIMS 服务器发送到 SRX 系列防火墙的报告中包括或排除的 IP 地址范围。您还可以指定要包含在报告中的活动目录用户组。这些过滤器将应用于网络中的所有 SRX 系列防火墙。您还可以在更高发行版中应用 IPv4 地址过滤器。
JIMS 支持来自 SRX 系列防火墙查询的 IPv6 过滤器和系统级 IPv6 过滤器。系统级筛选器用于筛选事件源中的 IP 地址。系统级 IP 过滤器通过 JIMS 管理界面进行配置。当 JIMS 服务器从配置的事件源接收登录事件时,JIMS 服务器包括或排除 IP 会话。
例如,我们假设 192.x.x.x 已添加为 JIMS 服务器上的系统级过滤器中的排除 IP 地址。当具有 192.x.x.x 的用户登录到域控制器时,JIMS 服务器将忽略此用户的会话。因此,不会向 SRX 系列防火墙发送具有 192.x.x.x 的条目。
SRX 系列防火墙查询使用的 IPv6 过滤器在 SRX 系列防火墙上配置。SRX 系列防火墙在发送到 JIMS 服务器的批处理查询中包含或排除 IP 地址。JIMS 服务器使用从 SRX 系列防火墙收到的过滤器的条目进行回复。但是,请注意,SRX 系列防火墙仅在系统级过滤器的上下文中应用过滤器。例如,如果在 SRX 系列防火墙上将 192.0.2.0/24 配置为包含过滤器,则 SRX 系列防火墙会将将 192.0.2.0/24 作为包含子网的查询发送到 JIMS 服务器。尽管 JIMS 服务器包含除 192.0.2.0/24 以外的许多条目,但 JIMS 服务器仅使用此子网中的条目进行回复。
此外,JIMS 服务器允许您按以下条件进行过滤:
-
组 - 定义要包含在报告中的活动目录用户组。组过滤器将应用于网络中的所有 SRX 系列防火墙。
-
用户/设备事件 — 通过 JIMS 服务器上的事件过滤器,您可以在网络中应用过滤器,以定义要从 JIMS 服务器发送到 SRX 系列防火墙的报告中排除的用户或设备。用户/设备事件筛选器执行正则表达式匹配,以按名称筛选特定用户或设备。筛选器忽略与特定用户或设备关联的事件。
对于运行 Junos OS 版本的 SRX 系列防火墙,JIMS 会应用从各个 SRX 系列防火墙接收的过滤器。如果为 JIMS 配置过滤器,则服务首先将其自己的过滤器应用于网络中的所有 SRX 系列防火墙,然后应用从各个 SRX 系列防火墙接收的过滤器。
有关详细的配置步骤,请参阅 添加筛选器