JIMS Administrative Benutzeroberfläche und Konfiguration
ZUSAMMENFASSUNG Lesen Sie diesen Abschnitt, um mehr über die JIMS-Verwaltungsschnittstelle und ihre Konfigurationsoptionen zu erfahren.
Menü der JIMS-Benutzeroberfläche
Die JIMS-Benutzeroberfläche besteht aus drei Menüs.
Die folgende Abbildung zeigt die JIMS-Benutzeroberfläche.
Abbildung 2: JIMS-UI-Bildschirm
| Menübeschreibung | |
|---|---|
| Datei | Ermöglicht das Importieren und Exportieren der Konfigurationsdaten, die sich auf das JIMS beziehen. Sie können das Menü "Datei" verwenden, um den JIMS-Collector mit Juniper Secure Edge zu verbinden und die Verbindung zu einer unterbrochenen Verbindung der Benutzeroberfläche wiederherzustellen. |
| Bearbeiten | Ermöglicht das Kopieren und Durchsuchen von Inhalten aus der Benutzeroberfläche mit Tabellen-/Listenansicht. |
| Hilfe | Hier finden Sie die Dokumentation und Informationen zu JIMS wie Version, Build und andere Copyright-Informationen wie Markenhinweis, Alle Rechte vorbehalten, Namensnennungen und Lizenzbedingungen. |
Die anderen UI-Optionen sind unten aufgeführt.
Monitor
Das Monitor-Menü bietet mehrere Registerkarten mit unterschiedlichen Informationen zu Status, Ereignissen usw. Das Datum und die Uhrzeit in der oberen Leiste zeigen Datum und Uhrzeit im GMT-Format an.
Das Monitor-Menü besteht aus 8 Registerkarten:
| Menübeschreibung | |
|---|---|
| Zusammenfassung |
|
| System | Listet alle konfigurierten Systeme auf. |
| Erzwingungspunkte | Listet alle konfigurierten Enforcement Points mit gerätespezifischen Statistiken auf. Ausführlichere Erläuterungen und Konfigurationsschritte finden Sie unter Durchsetzungspunkte |
| JIMS-Server | Listet alle konfigurierten JIMS-Server mit spezifischen Statistiken auf. Ausführlichere Erklärungen und Konfigurationsschritte finden Sie unter JIMS Server |
| Ereignisquellen | Listet alle konfigurierten Ereignisquellen mit spezifischen Statistiken auf. Ausführlichere Erläuterungen und Konfigurationsschritte finden Sie unter Verzeichnisdienste |
| Verzeichnisdienste | Listet alle konfigurierten Verzeichnisdienste mit spezifischen Statistiken auf. Ausführlichere Erklärungen und Konfigurationsschritte finden Sie unter JIMS Server |
| PC-Tastköpfe | Listet alle konfigurierten Benutzernamen und die Reihenfolge der Ausführung einschließlich der Probestatistiken auf. Ausführlichere Erläuterungen und Konfigurationsschritte finden Sie unter Identitätsproduzenten |
| Syslog-Quellen | Listet alle konfigurierten Syslog-Clients auf, die Daten mit spezifischen Statistiken an JIMS senden. Ausführlichere Erläuterungen und Konfigurationsschritte finden Sie unter Identitätsproduzenten |
JIMS-Server
Wenn JIMS installiert ist, wird automatisch der lokale JIMS-Server konfiguriert. Wenn Sie Contrail® Service Orchestration (CSO) oder Juniper® Secure Edge verwenden, müssen diese manuell konfiguriert werden.
Informationen zu den Konfigurationsschritten finden Sie unter JIMS-Server
Verzeichnisdienste
Sie müssen mindestens einen Verzeichnisserver für JIMS Collector konfigurieren, um Benutzer, Geräte und Gruppenmitgliedschaften zu erfassen. Derzeit wird nur Active Directory unterstützt.
Wenn Sie mehrere Verzeichnisserver mit denselben Anmeldeinformationen verwenden möchten, können Sie eine Vorlage erstellen, um die Eingabe für jeden Verzeichnisserver zu reduzieren.
Informationen zu den Konfigurationsschritten finden Sie unter Verzeichnisdienste.
Identitätsproduzenten
Sie können Identitätsproduzenten so konfigurieren, dass sie Benutzer- und Gerätestatusereignisse erfassen. JIMS verwendet diese Informationen, um Zuordnungen von IP-Adressen zu Benutzernamen bereitzustellen. JIMS stellt den Durchsetzungspunkten auch Gerätenamen mit Domänennamen zur Verfügung (Firewalls der SRX-Serie).
Die Identitätsproduzenten bieten viele Registerkarten, die unten aufgeführt sind.
Ereignisquellen werden verwendet, um den Benutzernamen und die zugehörige IP-Adresse zu erfassen. Dadurch wird eine IP_address-zu-Benutzernamen-Zuordnung sowie ein Gerätename mit einem Domänennamen von einem Microsoft-Domänencontroller oder Microsoft Exchange Server erstellt. Sie können über die Serveransicht > Identitätsproduzenten zu Ereignisquellen navigieren
Wenn Sie mehrere Ereignisquellen mit denselben Anmeldeinformationen verwenden möchten, können Sie eine Vorlage erstellen, um die Eingabe für jeden Ereignisquellenserver zu reduzieren.
Informationen zu den Konfigurationsschritten finden Sie unter Hinzufügen einer Ereignisquelle
PC-Tests sind eine Ergänzung zu Ereignisquellen und Syslog-Ereignissen für alle Windows-Geräte, die mit der Domäne verbunden sind. Wenn die Ereignisquelle, bei der eine Domäne und ein Benutzername fehlen, einer IP-Adresse zugeordnet ist, initiiert der PC-Test einen WMI-Aufruf an das jeweilige Gerät, um die fehlenden Informationen zu sammeln. Die WMI-Informationen enthalten vertrauliche Daten. Stellen Sie sicher, dass der JIMS Collector keine WMI-Tests an nicht vertrauenswürdige Netzwerke sendet. Sie können über die Serveransicht > Identitätsanbieter zu PC-Tests navigieren
Die Konfigurationsschritte finden Sie unter Hinzufügen von PC Probe
Syslog-Quellen werden verwendet, um Benutzer- und Gerätezuordnungen von einer IP aus anderen Systemen wie einem VPN-Konzentrator, einem NAC-System (Network Access Control), einem drahtlosen Zugriffscontroller usw. zu erfassen. Sie können in der Serveransicht > Identitätsproduzenten zu Syslog-Quellen navigieren
Syslog wird als regulärer Ausdruck (Regex) anstelle einer Vorlage verwendet, die von anderen Funktionen angeboten wird. Syslog verwendet eine Basiskonfiguration, die für jeden Syslog-Clienttyp spezifisch ist. Sie können eine bereits erstellte Basiskonfiguration für Juniper® Secure Connect verwenden, um die Benutzer zu protokollieren, die bei An- und Abmeldeereignissen aktiv sind.
Die Konfigurationsschritte finden Sie unter Hinzufügen einer Syslog-Quelle
Erzwingungspunkte
Sie müssen Erzwingungspunkte konfigurieren. Andernfalls können die Firewalls der SRX-Serie keine Benutzer-, Geräte- und Gruppeninformationen abrufen, um identitätsbewusste Richtlinien durchzusetzen (Benutzer-Firewall).
Wenn Sie viele Firewalls der SRX-Serie mit derselben Client-ID und demselben geheimen Clientschlüssel haben, können Sie eine Vorlage erstellen, um die Eingabe für jede Firewall der SRX-Serie zu reduzieren.
Informationen zu den Konfigurationsschritten finden Sie unter Hinzufügen von Durchsetzungspunkten in der JIMS-Benutzeroberfläche
JIMS mit Firewall der SRX-Serie
Juniper Identity Management Service (JIMS) ist eine Windows-Dienstanwendung zum Sammeln und Verwalten von Benutzer-, Geräte- und Gruppeninformationen aus Active Directory-Domänen.
Um den Juniper Identity Management Service nutzen zu können, müssen Ihre Durchsetzungspunkte (Firewalls und NFXs der SRX-Serie) ordnungsgemäß konfiguriert sein, um Identitätsinformationen von JIMS abzurufen.
Die Durchsetzungspunkte verwenden den primären JIMS-Server, bis die Verbindung den Server als unterbrochen deklariert. In regelmäßigen Abständen überprüft der Erzwingungspunkt den ausgefallenen primären Server und kehrt zu ihm zurück, sobald er ohne Benutzereingriff wieder verfügbar ist.
Die Verbindung zum JIMS-Server sollte nur über den HTTPS-Transport erfolgen, der die Kommunikation zwischen dem Durchsetzungspunkt und dem JIMS-Server verschlüsselt. Sowohl die Durchsetzungspunkte als auch der JIMS-Server authentifizieren die Verbindung mithilfe einer Client-ID und eines geheimen Clientschlüssels, wodurch ein Zugriffstoken generiert wird. Dieses Zugriffstoken muss in jeder Abfrage an den JIMS-Server vorhanden sein.
Es gibt zwei Methoden zum Abrufen von Benutzeridentitätsinformationen von JIMS:
-
Batch-Abfragen:
SRX sendet standardmäßig alle 5 Sekunden eine Batch-Abfragenachricht an JIMS, um verfügbare Identitätsinformationen abzurufen.
-
IP-Abfragen:
Wenn SRX Informationen über eine bestimmte IP-Adresse fehlen, kann es eine IP-Abfrage an JIMS senden, das dann seinen Status für diese bestimmte IP-Adresse zurückgibt. Wenn JIMS keinen Eintrag für die angegebene IP-Adresse enthält, bedroht SRX diese IP-Adresse, da es sich um einen unbekannten Benutzer handelt.
In der SRX ist es möglich, Filter zu definieren, mit denen JIMS bekannte Identitätsinformationen herausgefiltert werden können. Sie können entweder bestimmte Domains abonnieren und/oder Informationen zu bestimmten IP-Präfixen, die durch Adressbucheinträge oder Adresssätze definiert sind, ein- oder ausschließen. Änderungen an diesen Filtern werden erst bei der nächsten Batchabfrage vorgenommen.
Sie können bis zu xxx Adressbuch-/Sets-Einträge für Ein- oder Ausschlussfilter auswählen, und die Gesamtzahl der xxx-Adressbucheinträge wird sowohl durch Sets als auch durch Bücher kombiniert.
Sie können der Filterliste maximal 25 Domains hinzufügen. Jeder Adresssatz kann x Adressbucheinträge enthalten, wenn Adresssätze in einem Adresssatz enthalten sind, set services user-identification identity-management filter
Sie können die Benutzeridentitätsinformationen in der Authentifizierungstabelle für das Identitätsmanagement, die Sie von JIMS erhalten haben, aktualisieren. Die Identitätsinformationen werden bei der nächsten Batchabfrage aktualisiert. clear services user-identification authentication-table authentication-source identity-management
Um nach Benutzeridentitätsinformationen zu suchen und die Authentifizierungsquelle zu validieren, um Zugriff auf das Gerät zu gewähren, verwenden Sie run show services user-identification authentication-table authentication-source all
Die folgende Konfiguration veranschaulicht eine grundlegende JIMS-Serverkonfiguration auf einer Firewall der SRX-Serie:
root@srx1# show services user-identification identity-management
authentication-entry-timeout 120;
invalid-authentication-entry-timeout 10;
connection {
connect-method https;
port 443;
primary {
address 70.0.0.250;
client-id abcd;
client-secret "$9$86jLdsaJDkmTUj"; ## SECRET-DATA
}
secondary {
address 70.0.0.251;
client-id otest;
client-secret "$9$W0K8-woaUH.5GD"; ## SECRET-DATA
}
}
batch-query {
items-per-batch 500;
query-interval 5;
}
Ausführliche Konfigurationsschritte finden Sie unter Konfiguration von JIMS mit der Firewall der SRX-Serie
Filter
Mit JIMS können Sie die IP-Adressbereiche angeben, die in Berichte aufgenommen oder ausgeschlossen werden sollen, die der JIMS-Server an die Firewalls der SRX-Serie sendet. Sie können auch Active Directory-Benutzergruppen angeben, die in die Berichte aufgenommen werden sollen. Diese Filter werden auf alle Firewalls der SRX-Serie in Ihrem Netzwerk angewendet. Sie können die IPv4-Adressfilter auch in den späteren Versionen anwenden.
JIMS unterstützt sowohl einen IPv6-Filter aus der Firewall-Abfrage der SRX-Serie als auch einen IPv6-Filter auf Systemebene. Der Filter auf Systemebene filtert die IP-Adressen aus den Ereignisquellen. Die IP-Filter auf Systemebene werden über die JIMS-Verwaltungsschnittstelle konfiguriert. Der JIMS-Server schließt die IP-Sitzungen ein oder aus, wenn der JIMS-Server die Anmeldeereignisse von den konfigurierten Ereignisquellen empfängt.
Nehmen wir zum Beispiel an, dass 192.x.x.x als Ausschluss-IP-Adresse im Filter auf Systemebene auf dem JIMS-Server hinzugefügt wird. Wenn sich ein Benutzer mit 192.x.x.x am Domänencontroller anmeldet, ignoriert der JIMS-Server die Sitzung für diesen Benutzer. Somit wird kein Eintrag mit 192.x.x.x an die Firewall der SRX-Serie gesendet.
Die IPv6-Filter, die von der Firewall-Abfrage der SRX-Serie verwendet werden, werden auf der Firewall der SRX-Serie konfiguriert. Die Firewall der SRX-Serie schließt die IP-Adressen in der Batchabfrage, die sie an den JIMS-Server sendet, ein oder aus. Der JIMS-Server antwortet mit den Einträgen, die auf den von der Firewall der SRX-Serie empfangenen Filtern basieren. Beachten Sie jedoch, dass die Firewalls der SRX-Serie Filter nur im Kontext des Filters auf Systemebene anwenden. Beispiel: Wenn 192.0.2.0/24 auf der Firewall der SRX-Serie als Include-Filter konfiguriert ist, sendet die Firewall der SRX-Serie die Abfrage mit 192.0.2.0/24 als Include-Subnetz an den JIMS-Server. Der JIMS-Server antwortet nur mit den Einträgen innerhalb dieses Subnetzes, obwohl der JIMS-Server viele andere Einträge als 192.0.2.0/24 enthält.
Darüber hinaus können Sie auf dem JIMS-Server filtern nach:
-
Gruppen: Sie definieren die Active Directory-Benutzergruppen, die in Berichte aufgenommen werden sollen. Gruppenfilter werden auf alle Firewalls der SRX-Serie in Ihrem Netzwerk angewendet.
-
Benutzer-/Geräteereignis: Mit Ereignisfiltern auf dem JIMS-Server können Sie einen Filter in Ihrem Netzwerk anwenden, um Benutzer oder Geräte zu definieren, die von Berichten ausgeschlossen werden sollen, die der JIMS-Server an Firewalls der SRX-Serie sendet. Der Ereignisfilter "Benutzer/Gerät" führt einen Abgleich mit regulären Ausdrücken durch, um bestimmte Benutzer oder Geräte nach Namen zu filtern. Der Filter ignoriert Ereignisse, die einem bestimmten Benutzer oder Gerät zugeordnet sind.
Bei Firewalls der SRX-Serie, auf denen Junos OS Release ausgeführt wird, wendet JIMS die Filter an, die es von den einzelnen Firewalls der SRX-Serie empfängt. Wenn Sie die Filter für JIMS konfigurieren, wendet der Service zunächst seine eigenen Filter auf alle Firewalls der SRX-Serie in Ihrem Netzwerk an und wendet dann die Filter an, die er von den einzelnen Firewalls der SRX-Serie empfängt.
Ausführliche Konfigurationsschritte finden Sie unter Hinzufügen von Filtern
Einstellungen
Das Menü "Einstellungen " besteht aus zwei Registerkarten:
-
Allgemeine
-
Protokollierung
In den Einstellungen in der Serveransicht können Sie die konfigurierten Werte der von JIMS verwendeten Ports ändern. Sie können auch das digitale Zertifikat ändern, das für den lokalen JIMS-Server verwendet wird. Navigieren Sie in der Serveransicht zu Allgemein > Einstellungen
Ausführliche Konfigurationsschritte finden Sie im Abschnitt Konfigurieren des Abschnitts Allgemein
Über den Menüpunkt Protokollierung in der Serveransicht können Sie die Protokollebenen ändern. Ändern Sie die Protokollebenen nur, wenn Juniper empfiehlt, die Protokolle zur Fehlerbehebung zu ändern. Navigieren Sie zu Protokollierung in der Serveransicht > Einstellungen
Ausführliche Konfigurationsschritte finden Sie im Abschnitt Konfigurieren der Protokollierung