Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

客户管理的设备(本地)部署

注意:

“配置瞻博网络安全边缘部署”和“添加目录服务”对于同时使用本地和安全边缘部署的客户是必需的。

JIMS 服务器

默认情况下,JIMS 服务器配置为本地主机连接。配置后,您只能编辑服务器的 JIMS 服务器端口最大数据速率

还可以配置新的 JIMS 服务器。要添加新的 JIMS 服务器,请按照以下步骤作:

  1. 单击“添加”以添加新的 JIMS 服务器。
  2. 输入服务器的 IP 地址或全限定域名 (FQDN)。
  3. 请给出描述。
  4. 输入用户名密码以进行身份验证。
  5. 下拉菜单中选择 JIMS 服务器类型
  6. 仅在执行故障排除时取消选择 TLS。
  7. 身份 JIMS 服务器端口最大数据速率由 JIMS 自动配置。在“设置”>“常规”中更改JIMS本地服务器的数字证书已弃用;不再支持此选项。

目录服务

您必须为 JIMS 收集器配置至少一个目录服务器,以收集用户、设备和组成员资格。目前,仅支持 Active Directory。

如果计划使用具有相同凭证的多个 Directory Server,则可以创建一个模板来减少每个 Directory Server 的输入。

要添加新的 Directory Server,请执行以下作:

  1. 单击“添加”以添加新的目录服务器。
  2. (可选)使用已创建的模板来预配置凭据。
  3. 默认情况下,源处于选中状态。
  4. 提供描述
  5. 输入服务器的服务器主机名或 IP 地址
  6. 输入登录 ID) 和密码以进行身份验证。
  7. 如果 要加密 JIMS 与 Directory Server 之间的通信,请选择 TLS 连接

身份生产者

您可以配置身份生成方来收集用户和设备状态事件。JIMS 使用此信息来提供 IP 地址到用户名的映射。JIMS 还向实施点提供带有域名的设备名称(SRX 系列防火墙)。

标识生成者有 3 个选项卡/选项。根据“ 身份生成者 ”部分中提供的信息为您的部署选择适当的选项。

添加事件源

要添加新事件源,请执行以下作:

  1. 单击添加以添加新的事件源。
  2. 使用已创建的模板来预配置凭据。
  3. 选择源的类型(域控制器或 Exchange Server)。
  4. 提供可选描述。
  5. 输入服务器的服务器主机名或 IP 地址
  6. 输入登录 ID 和密码。这应该是新创建的具有有限权限的服务帐户。
  7. 输入启动事件历史记录追赶时间。这可以确保 JIMS 在生产使用之前收集历史数据。

添加 PC 探测器

要添加新的 PC 探针:

  1. 单击“添加”以添加新的 PC 探针。
  2. 输入登录 ID密码。这是新创建的具有有限权限的服务帐户。
  3. 提供可选描述。
  4. 提供详细信息后,您可以按照您希望执行用户名的顺序移动用户名的顺序。

添加系统日志源

要添加新的系统日志源,请执行以下作:

  1. 单击“添加”以添加新的 Syslog 源。
  2. (可选)使用已创建的基本配置。
  3. 输入服务器(系统日志客户端)的 IP 地址或 FQDN。
  4. 提供可选描述。
  5. 单击“添加”以定义匹配的正则表达式。

过滤器

JIMS 服务器允许您按以下条件进行过滤:

  • IP 过滤器 — 提供 IP 范围开始IP 范围结束

  • 事件/组过滤器 - 输入要包含在报告中的 用户或设备 。组过滤器适用于网络中的所有 SRX 系列防火墙。还要指定

  • DN 过滤器 — 输入 DN 过滤器。建议使用正则表达式。

设置

“设置”菜单由两个选项卡组成:

日志

“日志记录” 部分中,输入以下详细信息:

  1. 输入文件名前缀。
  2. 单击“选择”以选择所需的目录
  3. 输入文件大小
    注意:

    可接受的文件大小范围为 1 到 2000 MB。
  4. 输入文件生存期
    注意:

    可接受的文件生存期范围为 1 到 30 天。

常规

常规 部分中,输入以下详细信息:

  1. 管理接口配置下,输入 TLS (https) 端口
  2. 用户会话配置下,输入注销时间
    注意:

    可接受的注销时间范围应在 1 到 1440 分钟之间。
  3. 在全局配置部分(需要重新启动 JIMS)下,输入系统日志初始时间跨度(分钟)。根据要求选择适当的选项:传递 UPN允许复合用户名信任其他域

实施点

在 JIMS UI 中添加实施点

您必须配置实施点(SRX/NFX 设备),否则,它将无法提取用户、设备和组信息来实施身份感知策略(用户防火墙)。

如果有许多具有相同客户端 ID 和客户端密码的实施点,则可以创建一个模板来减少每个实施点的输入。

要添加新的实施点:

  1. 单击添加
  2. (可选)使用已创建的模板来预配置凭据。
  3. 输入 SRX IP 地址
  4. 如果子网中有多个实施点,则可以输入覆盖所有实施点的匹配子网
  5. 提供可选描述。
  6. 在您的 组织中使用 IPv6 时,将其启用为 IPv6。这会在实施点的身份验证表中添加重复的记录。
  7. 输入用于此设备的客户端 ID客户端密码
  8. 强制 执行 令牌生存期 。此生存期可以更改/调整。

在 Junos 中配置 JIMS

使用 SRX 系列防火墙配置 JIMS

使用以下步骤将 JIMS 配置为 SRX 系列防火墙:

  1. 配置主/辅助 JIMS 服务器的 FQDN/IP 地址。

  2. 配置 SRX 系列设备提供给 JIMS 主/辅助服务器的客户端 ID 和客户端密码,作为其身份验证的一部分。

  3. (可选)配置应用于访问 JIMS 服务器的源 IP 或路由实例。

    注意:

    您还可以将实施点配置为验证 JIMS 服务器的证书,为此,请参阅高级部分。

  4. 配置设备在一个批次中接受的最大用户身份项数,以响应查询。

  5. 配置设备对新生成的用户身份发出查询请求的间隔(以秒为单位)。

  6. 配置 SRX 系列防火墙关注的 Active Directory 域。您最多可以为过滤器指定 20 个域名。

  7. 配置地址簿名称以包含 IP 过滤器。

  8. 要配置所有模块的引用地址集、跟踪选项文件名、跟踪文件大小、调试输出级别和跟踪身份管理,请适当使用以下命令:

设备身份认证源的配置(最终用户配置文件)

指定设备身份身份验证源和安全策略。设备从身份验证源获取经过身份验证设备的身份验证设备身份信息。当用户设备发出的流量到达设备时,设备会在设备身份身份验证表中搜索设备匹配项。如果找到匹配项,设备将搜索匹配的安全策略。如果找到匹配的安全策略,则会将安全策略的作应用于流量。

使用以下步骤配置设备身份身份验证源:

  1. 指定设备身份身份验证源。

  2. 配置设备所属的设备身份配置文件和域名。

  3. 配置配置文件名称属性设备标识字符串。

防火墙策略的配置以匹配源身份。

使用以下步骤配置一个或多个基于身份控制访问的防火墙策略。

  1. 为安全策略创建源地址或目标地址,并配置应用/服务以匹配该策略。

  2. 定义 JIMS 发送到设备的用户名或角色(组)名称。 例如:“ jims-dom1.local\user1”。

  3. 如果策略匹配,则允许数据包。

  4. 要配置会话启动时间和会话关闭时间,请使用以下命令:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: