Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

带有 SRX 系列防火墙的 JIMS

带有 SRX 系列防火墙的 JIMS

瞻博网络身份管理服务 (JIMS) 是一款 Windows 服务应用程序,旨在从 Active Directory 域收集和管理用户、设备和组信息。

要使用瞻博网络身份管理服务,需要正确配置您的实施点(SRX 系列防火墙和 NFX),才能从 JIMS 获取身份信息。

实施点使用主 JIMS 服务器,直到连接将服务器声明为丢失。实施点会定期探测发生故障的主服务器,并在主服务器再次可用时恢复到该主服务器,而无需任何用户干预。

与 JIMS 服务器的连接应仅使用 HTTPS 传输,这将加密实施点与 JIMS 服务器之间的通信。实施点和 JIMS 服务器都使用生成访问令牌的客户端 ID 和客户端密钥对连接进行身份验证。此访问令牌必须存在于对 JIMS 服务器的每个查询中。

从 JIMS 获取用户身份信息的方法有两种:

  • 批量查询:

    默认情况下,SRX 每 5 秒向 JIMS 发送一次批量查询消息,以获取可用的身份信息。

  • IP 查询:

    当 SRX 缺少有关特定 IP 地址的信息时,它可以向 JIMS 发送 IP 查询,然后返回该特定 IP 地址的状态。如果 JIMS 不包含指定 IP 地址的条目,SRX 将威胁该 IP,因为它是未知用户。

在 SRX 中,可以定义过滤器,这些过滤器可用于过滤掉 JIMS 已知的身份信息。您可以订阅某些域,也可以包含或排除与地址簿条目或地址集定义的某些 IP 前缀相关的信息。对这些筛选器的更改只会在下一次批处理查询期间发生。

您最多可以为包含或排除过滤器选择 xxx 地址簿/集条目,并且 xxx 地址簿条目的总数由集和簿合并。

您最多可以向过滤器列表添加 25 个域。如果地址集中包含地址集,则每个地址集可以包含 x 个地址簿条目, set services user-identification identity-management filter

可以刷新从 JIMS 获取的身份管理认证表中的用户身份信息。身份信息将在下一次批处理查询期间更新, clear services user-identification authentication-table authentication-source identity-management

要搜索用户身份信息并验证身份验证源以授予对设备的访问权限,请使用 run show services user-identification authentication-table authentication-source all

以下配置说明了 SRX 系列防火墙上的基本 JIMS 服务器配置:

root@srx1# show services user-identification identity-management

使用 SRX 系列防火墙配置 JIMS

要配置与 SRX 系列防火墙的连接,请参阅 配置与 SRX 系列设备的连接

使用以下步骤将 JIMS 与 SRX 系列防火墙一起配置:

  1. 配置主/辅助 JIMS 服务器的 FQDN/IP 地址。

  2. 配置 SRX 系列设备提供给 JIMS 主/辅助服务器的客户端 ID 和客户端密钥,作为其身份验证的一部分。

  3. (可选)配置应用于访问 JIMS 服务器的源 IP 或路由实例。

    注意:

    您还可以配置实施点来验证 JIMS 服务器的证书,为此,请参阅高级部分。

  4. 配置设备在一批中接受的最大用户标识项数,以响应查询。

  5. 配置设备为新生成的用户身份发出查询请求的时间间隔(以秒为单位)。

  6. 配置 SRX 系列防火墙感兴趣的活动目录域。您最多可以为过滤器指定 20 个域名。

  7. 配置通讯簿名称以包括 IP 过滤器。

  8. 若要配置引用的地址集、跟踪选项文件名、跟踪文件大小、调试输出级别以及所有模块的跟踪标识管理,请相应地使用以下命令:

设备身份验证源(最终用户配置文件)的配置

指定设备身份验证源和安全策略。设备从身份验证源获取经过身份验证的设备的设备标识信息。当从用户设备发出的流量到达设备时,设备会在设备身份验证表中搜索设备匹配项。如果找到匹配项,设备将搜索匹配的安全策略。如果找到匹配的安全策略,则会将安全策略的操作应用于流量。

使用以下步骤配置设备身份验证源:

  1. 指定设备身份验证源。

  2. 配置设备所属的设备身份配置文件和域名。

  3. 配置配置文件名称属性设备标识字符串。

配置防火墙策略以匹配源身份。

使用以下步骤配置一个或多个防火墙策略,这些策略根据身份控制访问。

  1. 为安全策略创建源地址或目标地址,并将应用程序/服务配置为与策略匹配。

  2. 定义 JIMS 发送到设备的用户名或角色(组)名称。 例如:“ jims-dom1.local\user1”。

  3. 如果策略匹配,则允许数据包。

  4. 要配置会话启动时间和会话关闭时间,请使用以下命令:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: