Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Administrative Benutzeroberfläche und Konfiguration von JIMS

Lesen Sie diesen Abschnitt, um mehr über die JIMS-Verwaltungsschnittstelle und ihre Konfigurationsoptionen zu erfahren.

Menü der JIMS-Benutzeroberfläche

Die JIMS-Benutzeroberfläche besteht aus drei Menüs.

Die folgende Abbildung zeigt die JIMS-Benutzeroberfläche.

Abbildung 2: Bildschirm der JIMS-Benutzeroberfläche

Tabelle 1:
Menü Beschreibung
Datei

Ermöglicht das Importieren und Exportieren der Konfigurationsdaten im Zusammenhang mit dem JIMS. Sie können das Menü Datei verwenden, um den JIMS Collector mit Juniper Secure Edge zu verbinden und die Verbindung zu einer unterbrochenen Verbindung der Benutzeroberfläche wiederherzustellen.
Bearbeiten Ermöglicht das Kopieren und Durchsuchen von Inhalten aus der Benutzeroberfläche mit Tabellen-/Listenansicht.
Hilfe Hier finden Sie die Dokumentation und Informationen zu JIMS, wie Version, Build und andere Urheberrechtsinformationen wie Markenhinweis, Alle Rechte vorbehalten, Zuschreibungen und Lizenzbedingungen.

Die anderen UI-Optionen sind unten aufgeführt.

Überwachen

Das Monitor-Menü bietet mehrere Registerkarten mit unterschiedlichen Informationen zu Status, Ereignissen usw. Das Datum und die Uhrzeit in der oberen Leiste zeigen Datum und Uhrzeit im GMT-Format an.

Das Monitormenü besteht aus 8 Registerkarten:

Tabelle 2:
Menü Beschreibung
Zusammenfassung

  • Der JIMS Collector Service zeigt Status, Prozess-ID, Startzeit und Betriebszeit des Prozesses an.

  • Der Admin-Verbindungsstatus zeigt den aktuellen Verbindungsport und die IP-Adresse an. Die aktuelle Version/Version von JIMS ermöglicht es Ihnen, als Administrator nur auf demselben Server zu arbeiten.

  • Active State zeigt die Anzahl der Objekte an, die für jeden Typ aus dem Active Directory gesammelt wurden.

  • SRX Global Statistics zeigt die Gesamtzahl der verbundenen Durchsetzungspunkte (Clients) und die Gesamtzahl der von diesen Durchsetzungspunkten angeforderten Abfragen.

    Außerdem werden die Gesamtzahl der Berichte, die der JIMS-Server an diese Enforcement Points übermittelt hat, sowie die Anzahl der aufgetretenen Fehler angezeigt.

  • Konfigurationen zeigt die Anzahl der konfigurierten Objekte im Vergleich zum unterstützten Maximum an.
System (System)

Listet alle konfigurierten Systeme auf.
Durchsetzungspunkte

Listet alle konfigurierten Enforcement Points mit gerätespezifischen Statistiken auf.

Eine ausführlichere Erläuterung und Konfigurationsschritte finden Sie unter Durchsetzungspunkte
JIMS Server

Listet alle konfigurierten JIMS Server mit spezifischen Statistiken auf.

Eine ausführlichere Erläuterung und Konfigurationsschritte finden Sie unter JIMS Server
Ereignisquellen

Listet alle konfigurierten Ereignisquellen mit spezifischen Statistiken auf.

Eine ausführlichere Erläuterung und Konfigurationsschritte finden Sie unter Verzeichnisdienste
Verzeichnisdienste

Listet alle konfigurierten Verzeichnisdienste mit spezifischen Statistiken auf.

Eine ausführlichere Erläuterung und Konfigurationsschritte finden Sie unter JIMS Server
PC-Sonden

Listet alle konfigurierten Benutzernamen und die Reihenfolge der Ausführung einschließlich Teststatistiken auf.

Eine ausführlichere Erläuterung und Konfigurationsschritte finden Sie unter Identitätsproduzenten
Syslog-Quellen

Listet alle konfigurierten Syslog-Clients auf, die Daten mit spezifischen Statistiken an JIMS senden.

Eine ausführlichere Erläuterung und Konfigurationsschritte finden Sie unter Identitätsproduzenten

JIMS Server

Wenn JIMS installiert ist, konfiguriert es automatisch den lokalen JIMS-Server. Wenn Sie Contrail® Service Orchestration (CSO) oder Juniper® Secure Edge verwenden, müssen diese manuell konfiguriert werden.

Informationen zu den Konfigurationsschritten finden Sie unter JIMS Server

Verzeichnisdienste

Sie müssen mindestens einen Verzeichnisserver für JIMS Collector konfigurieren, um Benutzer, Geräte und Gruppenmitgliedschaften zu erfassen. Derzeit wird nur Active Directory unterstützt.

Wenn Sie mehrere Verzeichnisserver mit denselben Anmeldeinformationen verwenden möchten, können Sie eine Vorlage erstellen, um die Eingabe für jeden Verzeichnisserver zu reduzieren.

Die Konfigurationsschritte finden Sie unter Verzeichnisdienste

Identity Produzenten

Sie können Identitätsproduzenten so konfigurieren, dass Benutzer- und Gerätestatusereignisse erfasst werden. JIMS verwendet diese Informationen, um Zuordnungen von IP-Adressen zu Benutzernamen bereitzustellen. JIMS stellt auch Gerätenamen mit Domänennamen für die Durchsetzungspunkte bereit (Firewalls der SRX-Serie).

Der Identitätsproduzent bietet viele Registerkarten, die unten aufgeführt sind.

Ereignisquellen werden verwendet, um den Benutzernamen und die zugehörige IP-Adresse zu erfassen. Dadurch werden eine Zuordnung von IP_address zu Benutzernamen sowie ein Gerätename mit einem Domänennamen von einem Microsoft Domain Controller oder Microsoft Exchange Server erstellt. Sie können aus der Serveransicht > Identitätsproduzenten zu Ereignisquellen navigieren

Wenn Sie mehrere Ereignisquellen mit denselben Anmeldeinformationen verwenden möchten, können Sie eine Vorlage erstellen, um die Eingabe für jeden Ereignisquellenserver zu reduzieren.

Informationen zu den Konfigurationsschritten finden Sie unter Hinzufügen einer Ereignisquelle.

PC-Sonden sind eine Ergänzung zu Ereignisquellen und Syslog-Ereignissen für alle Windows-Geräte, die in der Domäne verbunden sind. Wenn der Ereignisquelle, in der eine Domäne und ein Benutzername fehlen, eine IP-Adresse zugeordnet ist, initiiert die PC-Probe einen WMI-Aufruf an das jeweilige Gerät, um die fehlenden Informationen zu sammeln. Die WMI-Informationen enthalten vertrauliche Daten. Stellen Sie sicher, dass der JIMS-Collector keine WMI-Tests an nicht vertrauenswürdige Netzwerke sendet. Sie können über die Serveransicht > Identitätsanbieter zu PC-Sonden navigieren.

Informationen zu den Konfigurationsschritten finden Sie unter Hinzufügen einer PC-Sonde

Syslog-Quellen werden verwendet, um Benutzer- und Gerätezuordnungen von einer IP aus anderen Systemen zu erfassen, z. B. von einem VPN-Konzentrator, einem Netzwerk-Zugriffskontrollsystem (NAC), einem drahtlosen Zugriffscontroller usw. Sie können von Server View > Identity Producers zu Syslog-Quellen navigieren

Syslog wird als regulärer Ausdruck (Regex) anstelle einer Vorlage verwendet, die von anderen Funktionen angeboten wird. Syslog verwendet eine Basiskonfiguration, die für jeden Syslog-Client-Typ spezifisch ist. Sie können eine bereits erstellte Basiskonfiguration für Juniper® Secure Connect verwenden, um die Benutzer zu protokollieren, die bei An- und Abmeldeereignissen aktiv sind.

Hinweis: Stellen Sie beim Konfigurieren eines Regex-Ausdrucks sicher, dass das Ergebnis keines der folgenden Zeichen enthält: /\ [ ] : ; | = , + * ? < > @ "

Informationen zu den Konfigurationsschritten finden Sie unter Hinzufügen von Syslog-Quelle

Durchsetzungspunkte

Sie müssen Enforcement Points konfigurieren. Andernfalls können die Firewalls der SRX-Serie keine Benutzer-, Geräte- und Gruppeninformationen abrufen, um identitätsorientierte Richtlinien durchzusetzen (Benutzer-Firewall).

Wenn Sie viele Firewalls der SRX-Serie mit derselben Client-ID und demselben geheimen Client-Schlüssel haben, können Sie eine Vorlage erstellen, um die Eingabe für jede Firewall der SRX-Serie zu reduzieren.

Informationen zu den Konfigurationsschritten finden Sie unter Hinzufügen von Erzwingungspunkten in der JIMS-Benutzeroberfläche

JIMS mit Firewall der SRX-Serie

Juniper Identity Management Service (JIMS) ist eine Windows-Dienstanwendung zum Sammeln und Verwalten von Benutzer-, Geräte- und Gruppeninformationen aus Active Directory-Domänen.

Für die Verwendung des Juniper Identity Management Service müssen Ihre Durchsetzungspunkte (Firewalls und NFXs der SRX-Serie) ordnungsgemäß konfiguriert sein, um Identitätsinformationen von JIMS zu erhalten.

Die Erzwingungspunkte verwenden den primären JIMS-Server, bis die Verbindung den Server als verloren deklariert. In regelmäßigen Abständen überprüft der Durchsetzungspunkt den ausgefallenen primären Server und kehrt zu ihm zurück, sobald er ohne Benutzereingriff wieder verfügbar ist.

Die Verbindung mit dem JIMS-Server sollte nur über den HTTPS-Transport erfolgen, der die Kommunikation zwischen dem Enforcement Point und dem JIMS-Server verschlüsselt. Sowohl die Erzwingungspunkte als auch der JIMS-Server authentifizieren die Verbindung mithilfe einer Client-ID und eines geheimen Clientschlüssels, wodurch ein Zugriffstoken generiert wird. Dieses Zugriffstoken muss in jeder Abfrage an den JIMS-Server vorhanden sein.

Es gibt zwei Methoden, um Benutzeridentitätsinformationen von JIMS zu erhalten:

  • Batch-Abfragen:

    SRX sendet standardmäßig alle 5 Sekunden eine Batch-Abfragenachricht an JIMS, um verfügbare Identitätsinformationen zu erhalten.

  • IP-Abfragen:

    Wenn SRX Informationen zu einer bestimmten IP-Adresse fehlen, kann es eine IP-Abfrage an JIMS senden, die dann den Status für diese bestimmte IP-Adresse zurückgibt. Wenn JIMS keinen Eintrag für die angegebene IP-Adresse enthält, bedroht SRX diese IP, da es sich um einen unbekannten Benutzer handelt.

In der SRX ist es möglich, Filter zu definieren, mit denen Identitätsinformationen herausgefiltert werden können, die JIMS bekannt sind. Sie können entweder bestimmte Domänen abonnieren und/oder Informationen zu bestimmten IP-Präfixen, die durch Adressbucheinträge oder Adresssätze definiert sind, ein- oder ausschließen. Änderungen an diesen Filtern werden nur bei der nächsten Batchabfrage vorgenommen.

Sie können bis zu xxx Adressbuch-/Sets-Einträge für Ein- oder Ausschlussfilter auswählen, und die Gesamtzahl der xxx-Adressbucheinträge wird sowohl von Sets als auch von Büchern kombiniert.

Sie können der Filterliste maximal 25 Domains hinzufügen. Jeder Adresssatz kann x Adressbucheinträge enthalten, wenn Adresssätze in einem Adresssatz enthalten sind, set services user-identification identity-management filter

Sie können die Benutzeridentitätsinformationen in Ihrer von JIMS abgerufenen Identitätsmanagement-Authentifizierungstabelle aktualisieren. Identitätsinformationen werden bei der nächsten Batch-Abfrage aktualisiert. clear services user-identification authentication-table authentication-source identity-management

Um Informationen zur Benutzeridentität zu durchsuchen und die Authentifizierungsquelle zu validieren, um Zugriff auf das Gerät zu gewähren, verwenden Sie run show services user-identification authentication-table authentication-source all

Die folgende Konfiguration veranschaulicht eine grundlegende JIMS-Serverkonfiguration auf einer Firewall der SRX-Serie:

root@srx1# show services user-identification identity-management

Detaillierte Konfigurationsschritte finden Sie unter Konfiguration von JIMS mit der Firewall der SRX-Serie.

Filter

Mit JIMS können Sie die IP-Adressbereiche angeben, die in Berichte ein- oder ausgeschlossen werden sollen, die der JIMS-Server an die Firewalls der SRX-Serie sendet. Sie können auch Active Directory-Benutzergruppen angeben, die in die Berichte aufgenommen werden sollen. Diese Filter werden auf alle Firewalls der SRX-Serie in Ihrem Netzwerk angewendet. Sie können die IPv4-Adressfilter auch in den späteren Release-Versionen anwenden.

JIMS unterstützt sowohl einen IPv6-Filter aus der Firewall-Abfrage der SRX-Serie als auch einen IPv6-Filter auf Systemebene. Der Filter auf Systemebene filtert die IP-Adressen aus den Ereignisquellen. Die IP-Filter auf Systemebene werden über die JIMS-Verwaltungsschnittstelle konfiguriert. Der JIMS-Server schließt die IP-Sitzungen ein oder aus, wenn der JIMS-Server die Anmeldeereignisse von den konfigurierten Ereignisquellen empfängt.

Betrachten wir zum Beispiel, dass 192.x.x.x als Ausschluss-IP-Adresse im Filter auf Systemebene auf dem JIMS-Server hinzugefügt wird. Wenn sich ein Benutzer mit 192.x.x.x beim Domänencontroller anmeldet, ignoriert der JIMS-Server die Sitzung für diesen Benutzer. Daher wird kein Eintrag mit 192.x.x.x an die Firewall der SRX-Serie gesendet.

Die IPv6-Filter, die von der Firewall-Abfrage der SRX-Serie verwendet werden, sind auf der Firewall der SRX-Serie konfiguriert. Die Firewall der SRX-Serie schließt die IP-Adressen in der Batchabfrage, die sie an den JIMS-Server sendet, ein oder aus. Der JIMS-Server antwortet mit den Einträgen, die auf den von der Firewall der SRX-Serie empfangenen Filtern basieren. Beachten Sie jedoch, dass die Firewalls der SRX-Serie Filter nur im Kontext des Filters auf Systemebene anwenden. Wenn beispielsweise 192.0.2.0/24 auf der Firewall der SRX-Serie als Include-Filter konfiguriert ist, sendet die Firewall der SRX-Serie die Abfrage mit 192.0.2.0/24 als Include-Subnetz an den JIMS-Server. Der JIMS-Server antwortet nur mit den Einträgen in diesem Subnetz, obwohl der JIMS-Server viele andere Einträge als 192.0.2.0/24 enthält.

Darüber hinaus können Sie auf dem JIMS-Server nach Folgendem filtern:

  • Gruppen: Sie definieren die Active Directory-Benutzergruppen, die in Berichte aufgenommen werden sollen. Gruppenfilter werden auf alle Firewalls der SRX-Serie in Ihrem Netzwerk angewendet.

  • Benutzer-/Geräteereignis: Mit Ereignisfiltern auf dem JIMS-Server können Sie einen Filter in Ihrem Netzwerk anwenden, um Benutzer oder Geräte zu definieren, die von Berichten ausgeschlossen werden sollen, die der JIMS-Server an Firewalls der SRX-Serie sendet. Der Benutzer-/Geräteereignisfilter führt einen Abgleich mit regulären Ausdrücken durch, um bestimmte Benutzer oder Geräte nach Namen zu filtern. Der Filter ignoriert Ereignisse, die einem bestimmten Benutzer oder Gerät zugeordnet sind.

Bei Firewalls der SRX-Serie mit Junos OS wendet JIMS die Filter an, die es von einzelnen Firewalls der SRX-Serie erhält. Wenn Sie die Filter für JIMS konfigurieren, wendet der Service zuerst seine eigenen Filter auf alle Firewalls der SRX-Serie in Ihrem Netzwerk an und wendet dann die Filter an, die er von den einzelnen Firewalls der SRX-Serie erhält.

Ausführliche Konfigurationsschritte finden Sie unter Hinzufügen von Filtern.

Einstellungen

Das Menü Einstellungen besteht aus zwei Registerkarten:

  • Allgemein

  • Protokollierung

Mit den Einstellungen in der Serveransicht können Sie die konfigurierten Werte der von JIMS verwendeten Ports ändern. Sie können auch das digitale Zertifikat ändern, das für den lokalen JIMS-Server verwendet wird. Navigieren Sie in der Serveransicht > Einstellungen zu Allgemein.

Ausführliche Konfigurationsschritte finden Sie im Abschnitt "Allgemein" konfigurieren.

Über den Menüpunkt Protokollierung in der Serveransicht können Sie die Protokollebenen ändern. Ändern Sie die Protokollebenen nur, wenn Juniper empfiehlt, die Protokolle zur Fehlerbehebung zu ändern. Navigieren Sie zu Protokollierung aus der Serveransicht > Einstellungen

Ausführliche Konfigurationsschritte finden Sie im Abschnitt "Protokollierung" konfigurieren