Konfigurieren des Juniper Identity Management-Service zum Abrufen von Benutzeridentitätsinformationen
Juniper Identity Management Service (JIMS) ist eine eigenständige Windows-Dienstanwendung, die eine umfassende Datenbank mit Benutzer-, Geräte- und Gruppeninformationen aus Active Directory-Domänen sammelt und verwaltet. JIMS wurde speziell entwickelt, um eine effiziente Benutzeridentifikation in großen, verteilten Unternehmen zu ermöglichen.
Grundlegendes zur erweiterten Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen aus JIMS
- Übersicht
- Herstellen einer Verbindung zu JIMS zum Abrufen von Informationen zur Benutzeridentität
- Abfragen von JIMS nach Informationen zur Benutzeridentität
- Filter
- Vorsichtsmaßnahmen und Einschränkungen
Übersicht
Juniper Identity Management Service (JIMS) dient sowohl als Software-Agent als auch als Repository zum Sammeln von Benutzernamen, Geräteidentitäten und Gruppeninformationen aus verschiedenen Quellen. JIMS lässt sich nahtlos in Microsoft Active Directory und Microsoft Exchange Server integrieren.
Bei Geräten der SRX- oder NFX-Serie spielt JIMS eine entscheidende Rolle beim Abrufen von Benutzeridentitätsinformationen wie LDAP. Durch die Konfiguration der erweiterten Benutzerabfragefunktion erhält das Gerät folgende Möglichkeiten:
Wenn Sie die erweiterte Benutzerabfragefunktion konfigurieren, wird das Gerät:
-
Fragen Sie JIMS nach Identitätsinformationen ab.
-
Füllen Sie die Authentifizierungstabelle für das Identitätsmanagement mit den von JIMS erfassten Informationen.
-
Verwenden Sie die ausgefüllte Authentifizierungstabelle für das Identitätsmanagement, um Benutzer oder Geräte zu authentifizieren, die Zugriff auf geschützte Ressourcen suchen.
In Fällen, in denen JIMS keine Informationen für einen bestimmten Benutzer hat, können Sie diese Informationen per Push auf das Gerät übertragen. Dazu muss sich der Benutzer jedoch zunächst über das Captive Portal des Geräts authentifizieren.
Darüber hinaus ermöglicht die erweiterte Abfragefunktion dem Gerät, Authentifizierungseinträge für Benutzer, die keine vorhandenen Einträge in JIMS haben, sich aber erfolgreich über das Captive Portal authentifiziert haben, an den JIMS-Server zu übertragen.
Zu den Benutzeridentitätsinformationen, die von JIMS als Antwort auf Geräteabfragen bereitgestellt werden, gehören:
-
IP-Adresse des Geräts des Benutzers.
-
Benutzername.
-
Domäne, zu der das Gerät des Benutzers gehört.
-
Rollen, denen der Benutzer angehört, z. B. mycompany-pc, CEO, benutzerauthentifiziert.
-
Onlinestatus des Geräts und dessen Status, z. B. "Fehlerfrei".
-
Endbenutzerattribute, z. B. Geräteidentität, Wert (Gerätename) und Gruppen, zu denen das Gerät gehört.
Herstellen einer Verbindung zu JIMS zum Abrufen von Informationen zur Benutzeridentität
Um Benutzeridentitätsinformationen von JIMS zu erhalten, kann das Gerät JIMS entweder im Batch-Modus für Benutzergruppen oder einzeln für bestimmte Benutzer abfragen. Für die Abfrage von JIMS ist der Aufbau einer HTTPS-Verbindung zwischen dem Gerät und dem JIMS-Server erforderlich. Es ist wichtig zu beachten, dass HTTP-Verbindungen nur zu Debugging-Zwecken verwendet werden.
Zum Definieren der Verbindung müssen die folgenden Informationen konfiguriert werden:
-
Verbindungsparameter.
-
Authentifizierungsinformationen für das Gerät zur Authentifizierung bei JIMS.
Das Gerät erhält ein Zugriffstoken, nachdem es sich beim JIMS-Server authentifiziert hat. Das Gerät muss dieses Token verwenden, um JIMS nach Benutzerinformationen abzufragen.
Nach erfolgreicher Authentifizierung beim JIMS-Server erhält das Gerät ein Zugriffstoken, mit dem es JIMS nach Benutzerinformationen abfragen muss. Sie können diese Verbindungsinformationen auch für einen sekundären Sicherungsserver konfigurieren.
Ab Junos OS Version 18.3R1 unterstützen primäre und sekundäre JIMS-Server zusätzlich zur vorhandenen IPv4-Adressunterstützung IPv6-Adressen. Das Gerät versucht zunächst, eine Verbindung mit dem primären Server herzustellen, und wechselt zum sekundären Server, wenn der Versuch fehlschlägt. Selbst wenn eine Verbindung mit dem sekundären Server besteht, überprüft das Gerät in regelmäßigen Abständen den ausgefallenen primären Server und kehrt zu ihm zurück, sobald er wieder verfügbar ist.
Ab Junos OS Version 18.1R1 können Sie eine IPv6-Adresse für die Web-API-Funktion konfigurieren, sodass JIMS eine sichere Verbindung initiieren und herstellen kann. Die Web-API unterstützt jetzt IPv6-Benutzer- oder Geräteeinträge, die von JIMS abgerufen werden. Vor Junos OS Version 18.1R1 wurden nur IPv4-Adressen unterstützt.
Abfragen von JIMS nach Informationen zur Benutzeridentität
Es gibt drei Möglichkeiten, Informationen zur Benutzeridentität von JIMS abzurufen:
-
Erste Batch-Abfrage beim Start: Wenn das Gerät gestartet wird, sendet es eine Batch-Abfragenachricht an JIMS, um alle verfügbaren Benutzeridentitätsinformationen für Active Directory-Benutzer basierend auf der konfigurierten Geräteverbindung zum JIMS-Server abzurufen.
-
Anschließende Batch-Abfragen: Nach Erhalt der anfänglichen Benutzeridentitätsinformationen fragt das Gerät JIMS regelmäßig nach neu generierten Benutzeridentitätsinformationen ab. Sie können das Intervall zwischen diesen Abfragen konfigurieren und die Anzahl der Benutzeridentitätsdatensätze angeben, die in jeden Batch aufgenommen werden sollen. Ab Junos OS Version 18.1R1 kann das Gerät auch JIMS nach IPv6-Benutzer- oder -Geräteinformationen abfragen.
-
Abfrage einzelner Benutzerinformationen: Nach Erhalt der anfänglichen Benutzeridentitätsinformationen fragt das Gerät JIMS regelmäßig nach neu generierten Benutzeridentitätsinformationen ab. Sie können das Intervall zwischen diesen Abfragen konfigurieren und die Anzahl der Benutzeridentitätsdatensätze angeben, die in jeden Batch aufgenommen werden sollen. Ab Junos OS Version 18.1R1 kann das Gerät auch JIMS nach IPv6-Benutzer- oder -Geräteinformationen abfragen.
Wenn JIMS keinen Eintrag für die angegebene IP-Adresse enthält, antwortet es mit der HTTP 404-Meldung "Not Found".
Wenn das Gerät zum ersten Mal Benutzerinformationen von JIMS anfordert, enthält es einen Zeitstempel. Als Antwort sendet JIMS Benutzerinformationen, die bis zum angegebenen Zeitstempel zurückgehen, und fügt ein Cookie in die Antwort ein, um den Kontext anzugeben. Das Gerät schließt dieses Cookie mit nachfolgenden Abfragen anstelle eines Zeitstempels ein.
Sie können die Benutzeridentitätsinformationen in der Authentifizierungstabelle für das Identitätsmanagement, die Sie von JIMS erhalten haben, aktualisieren. Darin enthalten sind alle Informationen, die beim Gerätestart und von nachfolgenden Batch-Abfragen und individuellen IP-Abfragen bis heute automatisch empfangen werden.
Um dies zu erreichen, können Sie die Authentifizierungstabelle löschen, indem Sie die Konfiguration der erweiterten Abfragefunktion deaktivieren. Anschließend können Sie die erweiterte Abfragefunktion neu konfigurieren, um alle verfügbaren Benutzeridentitäten abzurufen.
Ab Junos OS Version 18.1R1 können Geräte die Authentifizierungstabelle des Identitätsmanagements nach Informationen durchsuchen, die auf IPv6-Adressen basieren, wodurch die bisherige Unterstützung für IPv4-Adressen erweitert wird. Das Gerät unterstützt auch die Verwendung von IPv6-Adressen, die Quellidentitäten in Sicherheitsrichtlinien zugeordnet sind. Datenverkehr, der mit einem IPv4- oder IPv6-Eintrag in der Tabelle übereinstimmt, unterliegt Richtlinien, die den Zugriff entsprechend zulassen oder verweigern.
Ab Junos OS Version 20.2R1 können Sie Benutzeridentitätsinformationen wie angemeldete Benutzer, verbundene Geräte und Gruppenlisten sowohl in JIMS- (Juniper Identity Management Service) als auch in Active Directory (AD)-Domänen suchen und anzeigen. Die Firewall der SRX-Serie nutzt JIMS, um Informationen zur Benutzeridentität abzurufen. Sie können nach Benutzeridentitätsinformationen suchen und die Authentifizierungsquelle validieren, um Zugriff auf das Gerät zu gewähren. Darüber hinaus können Sie JIMS auffordern, die Gruppenliste für einen einzelnen Benutzer aus der Active Directory-Domäne abzurufen.
Filter
Die erweiterte Abfragefunktion bietet eine optionale Filterfunktion, die eine granulare Kontrolle über die Benutzerinformationsdatensätze ermöglicht, die als Antwort auf Abfragen zurückgegeben werden. Sie können Filter basierend auf IP-Adressen und Domänen konfigurieren. Mit Filtern können Sie spezifisch definieren, welche Benutzerinformationen JIMS in die Abfrageantworten aufnehmen soll.
Filter können konfiguriert werden mit:
-
Ein Bereich von IP-Adressen. Sie können einen Bereich von IP-Adressen angeben für:
-
Benutzer, deren Informationen Sie erhalten möchten.
-
Benutzer, über die Sie keine Informationen wünschen.
Ab Junos OS Version 18.3R1 unterstützen Firewalls der SRX-Serie IPv6-Adressen, um die Filter zusätzlich zu den vorhandenen IPv4-Adressen auf der Grundlage von IP-Adressen zu konfigurieren.
Sie verwenden Adressbücher, um die IP-Adressfilter zu erstellen. Sie konfigurieren Adressgruppen, von denen jede nicht mehr als zwanzig IP-Adressen enthalten darf, um in das Adressbuch aufgenommen zu werden.
-
-
Domänennamen.
Sie können die Namen von bis zu fünfundzwanzig Active Directory-Domänen angeben.
Sie können Filter erstellen, die alle drei Spezifikationen enthalten: einzuschließende IP-Adressbereiche, auszuschließende IP-Adressbereiche und einen oder mehrere Domänennamen.
Filter sind kontextspezifisch und ermöglichen unterschiedliche Filterkonfigurationen für unterschiedliche Anforderungen. Wenn Sie die Filterkonfiguration ändern, gilt der neue Filter ausschließlich für nachfolgende Abfragen und wirkt sich nicht auf vorherige Abfrageanforderungen aus.
Vorsichtsmaßnahmen und Einschränkungen
Die folgenden Warnungen, Vorbehalte und Einschränkungen sind mit der erweiterten Abfragefunktion verbunden:
-
Bevor Sie diese Funktion verwenden können, müssen die Optionen active-directory-access und authentication-source in der Benutzeridentifikationshierarchie deaktiviert werden. Wenn die Active Directory-Authentifizierung oder die ClearPass-Abfrage- und Web-API-Funktionen konfiguriert und festgeschrieben sind, kann diese Konfiguration nicht angewendet werden.
-
Das Lesen und Verarbeiten von Benutzeridentitätsdatensätzen kann sich auf die CPU-Auslastung und den Ressourcenverbrauch auf dem Gerät auswirken. Diese Auswirkungen können mehrere Minuten anhalten.
-
Wenn Informationen zur Benutzeridentität aus JIMS gelöscht werden oder aus anderen Gründen fehlen oder verzögert werden, erhält das Gerät möglicherweise ungenaue IP-Adress- und Benutzerzuordnungsinformationen.
-
Wenn die Firewall-Authentifizierungsfunktion des Geräts Einträge für Benutzer, die erfolgreich über das Captive Portal authentifiziert wurden, an JIMS sendet, wird der Timeout-Status des Authentifizierungseintrags für den Juniper Identity Management Service-Server nicht aktualisiert.
-
Die Generierung von Authentifizierungseinträgen in der Authentifizierungstabelle für das Identitätsmanagement kann durch die Antwortzeit des JIMS-Servers oder die Anzahl der abzurufenden Benutzeridentitätsdatensätze beeinflusst werden.
-
Das Ändern der Konfiguration eines Filters gilt nur für nachfolgende Abrufe von Benutzeridentitäten. Sie wirkt sich nicht auf zuvor abgerufene Identitäten aus.
-
Die Adressbereiche in den Filtern können nur mit IPv4-Adressen konfiguriert werden. Ab Junos OS Version 18.3R1 unterstützt die Firewall der SRX-Serie auch IPv6-Adressen für die Filterkonfiguration.
Diese Details vermitteln ein umfassendes Verständnis des Juniper Identity Management Service (JIMS) und seiner Funktionen zum Abrufen von Informationen zur Benutzeridentität, einschließlich der Verwendung erweiterter Abfragefunktionen, des Verbindungsaufbaus und der Anwendung von Filtern.
Siehe auch
Grundlegendes zum Benutzerprinzipalnamen als Benutzeridentität in der Firewall der SRX-Serie
Ab Junos OS Version 20.1R1 unterstützt die Firewall der SRX-Serie die Verwendung des Benutzerprinzipalnamens (User Principal Name, UPN) als Anmeldename bei der Firewall-Authentifizierung, die als Captive Portal für Juniper Identity Management Service (JIMS) oder Benutzer-Firewall fungiert. Sie können UPN als Anmeldenamen in Kombination mit can oder sAMAccountName verwenden. UPN kann anstelle von sAMAccountName für die Benutzerauthentifizierung verwendet werden.
Wenn ein Benutzer UPN als Anmeldenamen verwendet, überträgt die Firewallauthentifizierungsfunktion den entsprechenden sAMAccountName (dem UPN zugeordnet) an die Benutzer-ID, anstatt den UPN selbst zu pushen. Sowohl der UPN als auch sAMAccountName (dem UPN zugeordnet) werden an JIMS übertragen.
Das UPN-Attribut (User Principal Name) ist der Anmeldename, der in Windows Active Directory zum Authentifizieren von Benutzern innerhalb einer Domäne verwendet wird. Ein UPN besteht aus einem Präfix (dem Namen des Benutzerkontos) und einem Suffix (einem DNS-Domänennamen). Es handelt sich um eine indizierte Zeichenfolge, die einwertig ist. Wenn Sie ein LDAP-Zugriffsprofil verwenden, kann UPN als Anmeldename bei der Firewallauthentifizierung verwendet werden.
UPN ist ein Internet-Anmeldename für einen Benutzer, der dem Internetstandard folgt. Dies geschieht in Form einer E-Mail-Adresse, z. B. mailto:username@domainname.com. UPN ist kürzer als ein definierter Name und leichter zu merken. Jeder UPN ist unter allen Sicherheitsprinzipalobjekten innerhalb einer Verzeichnisgesamtstruktur eindeutig.
Das sAMAccountName-Attribut ist ein Anmeldename, der zur Unterstützung von Clients und Servern aus früheren Versionen von Windows verwendet wird, z. B. Windows NT 4.0, Windows 95, Windows 98 und LAN-Manager. Der Anmeldename sollte weniger als 20 Zeichen lang sein und unter allen Sicherheitsprinzipalobjekten innerhalb der Domäne eindeutig sein. Der Zugriff wird gewährt, wenn die Firewall-Authentifizierung den sAMAccountName aus dem Active Directory abruft.
In Organisationen verwenden die meisten Benutzer UPN als Anmeldenamen zusammen mit dem Attribut cn oder sAMAccountName. Die UPN-Attributkonfiguration im Zugriffsprofil kann jedoch UPN und cn oder sAMAccountName nicht gleichzeitig verarbeiten. Weitere Informationen finden Sie in der Dokumentation "Konfigurieren der integrierten Benutzer-Firewall".
Die Firewall-Authentifizierung des Benutzers über das Captive Portal hat zwei Quellen: Active Directory und JIMS.
-
Wenn es sich bei der Quelle um Active Directory handelt, muss Active Directory auf der Firewall der SRX-Serie konfiguriert werden, wenn Benutzer UPN als Anmeldenamen verwenden. Die Firewall-Authentifizierungsfunktion überträgt den sAMAccountName an die Firewall der SRX-Serie, und der Benutzerauthentifizierungseintrag basiert auf sAMAccountName, nicht auf UPN.
-
Wenn es sich bei der Quelle um JIMS handelt, muss JIMS in der Firewall der SRX-Serie konfiguriert werden, wenn Benutzer UPN als Anmeldenamen verwenden. Die Firewall-Authentifizierungsfunktion überträgt sowohl UPN als auch sAMAccountName an JIMS. Wenn die Firewall der SRX-Serie mit dem JIMS-Server konfiguriert wird, sendet das Gerät eine Batch-Abfrage an JIMS, um verfügbare Benutzerinformationen abzurufen.
Vorsichtsmaßnahmen und Einschränkungen
Die folgenden Warnungen und Einschränkungen gelten für die UPN-Unterstützungsfunktion:
-
sAMAccountName sollte in der Suchfilteroption für das Zugriffsprofil konfiguriert werden, um Namenskonflikte zwischen cn und UPN eines anderen Benutzers zu vermeiden.
-
Das UPN-Suffix kann sich von dem Domänennamen unterscheiden, zu dem der Benutzer gehört. In solchen Fällen muss eine zusätzliche Quellidentität der Sicherheitsrichtlinie für den Domänennamen hinzugefügt werden.
-
UPN-Unterstützung ist nur verfügbar, wenn ein LDAP-Zugriffsprofil für die Firewall-Authentifizierung konfiguriert wird.
Konfigurieren der erweiterten Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen aus JIMS
Diese Konfiguration zeigt, wie Sie die erweiterte Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen von Juniper Identity Management Service (JIMS) konfigurieren und die Sicherheitsrichtlinie so konfigurieren, dass sie mit der Quellidentität übereinstimmt.
In diesem Thema wird Folgendes beschrieben:
- Konfigurieren der erweiterten Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen aus JIMS
- Konfigurieren der Geräteidentität, der Authentifizierungsquelle und der Sicherheitsrichtlinie so, dass sie mit den von JIMS erhaltenen Benutzeridentitätsinformationen übereinstimmen
Konfigurieren der erweiterten Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen aus JIMS
Durch Konfigurieren der erweiterten Benutzerabfragefunktion kann das Gerät JIMS abfragen und Identitätsinformationen in der lokalen Active Directory-Authentifizierungstabelle hinzufügen.
Führen Sie die folgenden Schritte aus, um die erweiterte Abfragefunktion zu konfigurieren:
Konfigurieren der Geräteidentität, der Authentifizierungsquelle und der Sicherheitsrichtlinie so, dass sie mit den von JIMS erhaltenen Benutzeridentitätsinformationen übereinstimmen
Geben Sie die Authentifizierungsquelle für die Geräteidentität und die Sicherheitsrichtlinie an. Das Gerät ruft die Geräteidentitätsinformationen für authentifizierte Geräte von der Authentifizierungsquelle ab. Das Gerät durchsucht die Authentifizierungstabelle für die Geräteidentität nach einer Geräteübereinstimmung, wenn der vom Gerät eines Benutzers ausgehende Datenverkehr am Gerät eintrifft. Wenn eine Übereinstimmung gefunden wird, sucht das Gerät nach einer übereinstimmenden Sicherheitsrichtlinie. Wenn eine übereinstimmende Sicherheitsrichtlinie gefunden wird, wird die Aktion der Sicherheitsrichtlinie auf den Datenverkehr angewendet.
Führen Sie die folgenden Schritte aus, um die Authentifizierungsquelle für die Geräteidentität zu konfigurieren:
Führen Sie die folgenden Schritte aus, um die Sicherheitsrichtlinie zu konfigurieren:
-
Erstellen Sie eine Queladresse für eine Sicherheitsrichtlinie.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-address any
-
Erstellen Sie eine Zieladresse für eine Sicherheitsrichtlinie.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match destination-address any
-
Konfigurieren Sie die portbasierte Anwendung so, dass sie mit der Richtlinie übereinstimmt.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match application any
-
Definieren Sie einen Benutzernamen oder einen Rollennamen (Gruppennamen), den JIMS an das Gerät sendet. Beispiel: "jims-dom1.local\user1".
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
Lassen Sie das Paket zu, wenn die Richtlinie übereinstimmt.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
Konfigurieren Sie die Sitzungsinitiierungszeit.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-init
-
Konfigurieren Sie die Schließzeit der Sitzung.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-close
Beispiel: Konfigurieren der erweiterten Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen aus JIMS
ZUSAMMENFASSUNG Dieses Beispiel zeigt, wie Sie die erweiterte Abfragefunktion der Firewall der SRX-Serie so konfigurieren, dass automatisch eine Verbindung zu Juniper Identity Management Service (JIMS) hergestellt wird. Sie können Anforderungen mithilfe der erweiterten Abfrage stellen, um die Authentifizierungsinformationen per Batchabfrage abzurufen.
JIMS bietet eine robuste und skalierbare Implementierung von Benutzeridentifikation und IP-Adresszuordnung, die Endpunktkontext und Computer-ID umfasst. JIMS sammelt Benutzeridentitätsinformationen aus verschiedenen Authentifizierungsquellen für Firewalls der SRX-Serie. Mit erweiterter Abfragefunktion fungiert die Firewall der SRX-Serie als HTTPS-Client und sendet HTTPS-Anfragen an JIMS an Port 591.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Junos Softwareversion 15.1x49-D100 und JIMS Softwareversion v1.1 und v1.2.
Bevor Sie beginnen, benötigen Sie die folgenden Informationen:
-
Die IP-Adresse des JIMS-Servers.
-
Die Portnummer auf dem JIMS-Server für den Empfang von HTTPS-Anforderungen.
-
Die Client-ID des JIMS-Servers für erweiterte Abfragen.
-
Der geheime Clientschlüssel des JIMS-Servers für erweiterte Abfragen.
-
Die Trace-Optionen des JIMS-Servers für erweiterte Abfragen.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.15 set services user-identification identity-management connection primary client-id client1 set services user-identification identity-management connection primary client-secret "$ABC123" set services user-identification identity-management connection secondary address 192.0.2.2 set services user-identification identity-management connection secondary client-id client2 set services user-identification identity-management connection secondary client-secret "$ABC123" set services user-identification identity-management batch-query query-interval 60 set services user-identification identity-management ip-query query-delay-time 0 set services user-identification identity-management traceoptions file jimslog set services user-identification identity-management traceoptions file size 10m set services user-identification identity-management traceoptions level all set services user-identification identity-management traceoptions flag all set services user-identification identity-management traceoptions flag jims-validator-query
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die erweiterte Abfragefunktion in der Firewall der SRX-Serie:
-
Konfigurieren Sie JIMS als Authentifizierungsquelle für erweiterte Abfrageanforderungen. Die Firewall der SRX-Serie benötigt diese Informationen, um mit dem Server in Kontakt treten zu können.
[edit services user-identification] user@host# set identity-management connection connect-method https
-
Konfigurieren Sie die Portnummer des JIMS-Servers, an den die Firewall der SRX-Serie HTTPS-Anforderungen sendet.
[edit services user-identification] user@host# set identity-management connection port 443
-
Konfigurieren Sie die primäre Adresse des JIMS-Servers.
[edit services user-identification] user@host# set identity-management connection primary address 192.0.2.15
-
Konfigurieren Sie die Client-ID und den geheimen Clientschlüssel zum Abrufen des Zugriffstokens.
[edit services user-identification] user@host# set identity-management connection primary client-id client1 user@host# set identity-management connection primary client-secret "$ABC123"
-
Konfigurieren Sie die sekundäre Adresse des JIMS-Servers.
[edit services user-identification] user@host# set identity-management connection secondary address 192.0.2.2
-
Konfigurieren Sie die Client-ID und den geheimen Clientschlüssel zum Abrufen des Zugriffstokens.
[edit services user-identification] user@host# set identity-management connection secondary client-id client2 user@host# set identity-management connection secondary client-secret "$ABC123"
-
Konfigurieren Sie das Batchabfrageintervall so, dass JIMS regelmäßig nach Benutzeridentitätsinformationen abgefragt wird.
[edit services user-identification] user@host# set identity-management batch-query query-interval 60
-
Konfigurieren Sie die Verzögerungszeit in Sekunden, bevor die Firewall der SRX-Serie die individuelle Benutzeranfrage sendet. In diesem Beispiel gibt es keine Verzögerung.
[edit services user-identification] user@host# set identity-management ip-query query-delay-time 0
-
Konfigurieren Sie die Trace-Optionen für das Debuggen und Kürzen der Ausgabe.
[edit services user-identification] user@host# set identity-management traceoptions file jimslog user@host# set identity-management traceoptions file size 10m user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all user@host# set services user-identification identity-management traceoptions flag jims-validator-query
-
Konfigurieren Sie das Gerät für die Verbindung mit dem JIMS-Server. Wenn Sie keine Portnummer angeben, wird der Standardport 591 für JIMS verwendet. Die Firewall der SRX-Serie verwendet dieselbe JIMS-Konfiguration, um eine Verbindung sowohl mit JIMS-Port 443 als auch mit JIMS-Server-Port (Validator-Port 591) herzustellen.
set services user-identification identity-management jims-validator port 591
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show services user-identification Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren. Um die ip-Abfrage zu deaktivieren, verwenden Sie die Konfiguration set services user-identification identity-management ip-query no-ip-query.
[edit]
user@host# show services user-identification
identity-management {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.15;
client-id client1;
client-secret "$ABC123";
}
secondary {
address 192.0.2.2;
client-id client2;
client-secret "$ABC123";
}
}
jims-validator {
port 591;
}
batch-query {
query-interval 60;
}
ip-query {
query-delay-time 0;
}
traceoptions {
file jimslog size 10m;
level all;
flag all;
flag jims-validator-query;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Status der Identitätsverwaltung für die Benutzeridentifikation
- Überprüfen der Leistungsindikatoren für die Identitätsverwaltung der Benutzeridentifikation
Überprüfen des Status der Identitätsverwaltung für die Benutzeridentifikation
Zweck
Stellen Sie sicher, dass der JIMS-Server online ist und welcher Server auf Anfragen von der Firewall der SRX-Serie antwortet.
Aktion
Geben Sie im Betriebsmodus den show services user-identification identity-management status Befehl ein.
Primary server :
Address : 192.0.2.15
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : jjrOS4unS5d6KOTAvN8VlTsflhZBQmOm9jVsrwS
Token expire time : 2017-12-22 08:51:38
Secondary server :
Address : 192.0.2.2
Port : 443
Connection method : HTTPS
Connection status : Online
Last received status message : OK (200)
Access token : MLefNf00jG503D7H95neF1ip59JOC3jPgcl4oWQ
Token expire time : 2017-12-22 08:51:28
Bedeutung
Die Ausgabe liefert Daten über den Status des JIMS-Servers.
Überprüfen der Leistungsindikatoren für die Identitätsverwaltung der Benutzeridentifikation
Zweck
Anzeige von Zählern für Batch- und IP-Abfragen, die an das JIMS-Gerät gesendet werden, und Antworten, die vom JIMS-Server empfangen wurden. Die Batchabfrage wird für den primären und den sekundären Server separat angezeigt, wenn mehr als ein Server konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show services user-identification identity-management counters Befehl ein.
Geben Sie im Betriebsmodus den clear services user-identification identity-management counters Befehl zum Löschen des Zählers ein.
Primary server :
Address : 192.0.2.15
Batch query sent number : 8
Batch query total response number : 8
Batch query error response number : 0
Batch query last response time : 2017-12-22 01:04:34
IP query sent number : 4
IP query total response number : 4
IP query error response number : 0
IP query last response time : 2017-12-22 01:02:25
Secondary server :
Address : 192.0.2.2
Batch query sent number : 0
Batch query total response number : 0
Batch query error response number : 0
Batch query last response time : 0
IP query sent number : 0
IP query total response number : 0
IP query error response number : 0
IP query last response time : 0
Bedeutung
Die Ausgabe enthält die Batch- und IP-Abfragedaten vom JIMS-Server.
Beispiel: Konfigurieren des Filters für die erweiterte Abfragefunktion
Eine Firewall der SRX-Serie unterstützt IP-Filter und Domänenfilter bei der Abfrage von Juniper Identity Management Service (JIMS). Die erweiterte Abfragefunktion bietet eine optionale Filterfunktion, um die Benutzerinformationen als Antwort auf Anfragen zu erhalten.
In diesem Beispiel wird gezeigt, wie die Filter zum Abrufen der Benutzerinformationen konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
-
Konfigurieren Sie die erweiterte Abfragefunktion. Weitere Informationen finden Sie unter Konfigurieren der erweiterten Abfragefunktion zum Abrufen von Benutzeridentitätsinformationen aus JIMS.
Übersicht
Sie können Filter konfigurieren, um JIMS-Server auf einer detaillierteren Ebene abzufragen, um Informationen zur Benutzeridentität auf der Grundlage von IP-Adressen abzurufen. Sie können Filter so einstellen, dass sie die IP-Adressbereiche einschließen, die von Firewalls der SRX-Serie benötigt werden, oder die IP-Adressbereiche ausgeschlossen werden, die sie beim Erfassen der Benutzeridentitätsinformationen nicht benötigen. Sie können auch Domänen filtern.
Ein Filter kann bis zu zwanzig IP-Adressbereiche ein- und ausschließen. Daher führt ein Adresssatz, der mehr als zwanzig Adressbereiche enthält, dazu, dass die Filterkonfiguration fehlschlägt. Um die Bereiche anzugeben, geben Sie den Namen eines vordefinierten Adresssatzes an, der sie enthält und der auch in einem vorhandenen Adressbuch enthalten ist.
Eine Domain kann bis zu 20 Domainnamen für einen Filter enthalten.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Definieren Sie in diesem Beispiel ein Adressbuch, und geben Sie die Sicherheitsadresse für das Adressbuch an. Geben Sie eine IP-Adresse mit einem Präfix an. Definieren Sie einen Adresssatznamen und geben Sie die Adresse an. Ein- und Ausschließen der IP-Adressen im Adressbuch. Fügen Sie den Adresssatz hinzu, der die IP-Adressen ein- und ausschließen soll. Fügen Sie einen Domänennamen hinzu, um die Domäne zu filtern.
set security address-book mybook address addr1 192.0.2.0/24 set security address-book mybook address-set myset address addr1 set services user-identification identity-management filter include-ip address-book mybook set services user-identification identity-management filter include-ip address-set myset set security address-book mybook2 address addr2 198.51.100.0/24 set security address-book mybook2 address-set myset2 address addr2 set services user-identification identity-management filter exclude-ip address-book mybook2 set services user-identification identity-management filter exclude-ip address-set myset2 set services user-identification identity-management filter domain host.example.com
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen Filter für die erweiterte Abfragefunktion:
-
Definieren Sie einen Adressbuchnamen, geben Sie die Sicherheitsadresse für das Adressbuch an, und fügen Sie eine IPv4-Adresse mit einem Präfix hinzu.
[edit ] user@host# set security address-book mybook address addr1 192.0.2.0/24 user@host# set security address-book mybook2 address addr2 198.51.100.0/24
-
Geben Sie einen Namen für den Adresssatz und die Adresse an.
[edit ] user@host# set security address-book mybook address-set myset address addr1 user@host# set security address-book mybook2 address-set myset2 address addr2
-
Konfigurieren Sie das Adressbuch so, dass die IP-Adresse ein- und ausgeschlossen wird.
[edit ] user@host# set services user-identification identity-management filter include-ip address-book mybook user@host# set services user-identification identity-management filter exclude-ip address-book mybook2
-
Definieren Sie den Adresssatz, der die IP-Adresse ein- oder ausschließen soll.
[edit ] user@host# set services user-identification identity-management filter include-ip address-set myset user@host# set services user-identification identity-management filter exclude-ip address-set myset2
-
Geben Sie einen Domänennamen an, um die Domäne zu filtern.
[edit ] user@host# set services user-identification identity-management filter domain host.example.com
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show services user-identification Befehle und show security address-book eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show services user-identification
identity-management {
filter {
domain {
host.example.com;
}
include-ip {
address-book mybook;
address-set myset;
}
exclude-ip {
address-book mybook2;
address-set myset2;
}
}
}
[edit]
user@host# show security address-book
mybook {
address addr1 192.0.2.0/24;
address-set myset {
address addr1;
}
}
mybook2 {
address addr2 198.51.100.0/24;
address-set myset2 {
address addr2;
}
}
Überprüfung
Überprüfen des Filters für die erweiterte Abfragefunktion
Zweck
Stellen Sie sicher, dass in der Authentifizierungstabelle die Benutzerinformationen angezeigt werden, die Sie als Antwort auf Abfragen erhalten möchten.
Aktion
Geben Sie im Betriebsmodus command ein show services user-identification authentication-table authentication-source all .
show services user-identification authentication-table authentication-source all node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: host.example.com Total entries: 10 Source IP Username groups(Ref by policy) state 192.0.2.10 jasonlee Valid 192.0.2.9 jasonlee Valid 192.0.2.8 jasonlee Valid 192.0.2.7 jasonlee Valid 192.0.2.6 jasonlee Valid 192.0.2.5 jasonlee Valid 192.0.2.4 jasonlee Valid 192.0.2.3 jasonlee Valid 192.0.2.2 jasonlee Valid 192.0.2.1 jasonlee Valid node1: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: host.example.com Total entries: 10 Source IP Username groups(Ref by policy) state 192.0.2.10 jasonlee Valid 192.0.2.9 jasonlee Valid 192.0.2.8 jasonlee Valid 192.0.2.7 jasonlee Valid 192.0.2.6 jasonlee Valid 192.0.2.5 jasonlee Valid 192.0.2.4 jasonlee Valid 192.0.2.3 jasonlee Valid 192.0.2.2 jasonlee Valid 192.0.2.1 jasonlee Valid
Bedeutung
In der Ausgabe werden die Benutzerinformationen als Antwort auf Abfragen angezeigt.