Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Bereitstellung vom Kunden verwaltete Geräte (vor Ort)

Hinweis:

"Konfiguration von Juniper Secure Edge-Bereitstellungen" und "Directory Services hinzufügen" sind für Kunden, die sowohl lokale als auch Secure Edge-Bereitstellungen nutzen, obligatorisch.

JIMS Server

Der JIMS-Server ist standardmäßig für die localhost-Verbindung konfiguriert. Nach der Konfiguration können Sie nur noch den JIMS-Server-Port und die maximale Datenrate für den Server bearbeiten.

Es kann auch ein neuer JIMS-Server konfiguriert werden. Führen Sie die folgenden Schritte aus, um einen neuen JIMS-Server hinzuzufügen:

  1. Klicken Sie auf Hinzufügen, um einen neuen JIMS-Server hinzuzufügen.
  2. Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Servers ein.
  3. Geben Sie eine Beschreibung.
  4. Geben Sie den Benutzernamen und das Kennwort für die Authentifizierung ein.
  5. Wählen Sie den JIMS-Servertyp aus dem Dropdown-Menü aus.
  6. Deaktivieren Sie TLS nur, wenn Sie eine Fehlerbehebung durchführen.
  7. Die Identität, der JIMS-Serverport und die maximale Datenrate werden automatisch von JIMS konfiguriert. Das Ändern des digitalen Zertifikats für den JIMS lokalen Server in den Einstellungen > "Allgemein" ist veraltet. Diese Option wird nicht mehr unterstützt.

Verzeichnisdienste

Sie müssen mindestens einen Verzeichnisserver für JIMS Collector konfigurieren, um Benutzer, Geräte und Gruppenmitgliedschaften zu erfassen. Derzeit wird nur Active Directory unterstützt.

Wenn Sie mehrere Directory Server mit denselben Anmeldeinformationen verwenden möchten, können Sie eine Vorlage erstellen, um die Eingabe für jeden Directory Server zu reduzieren.

So fügen Sie einen neuen Directory Server hinzu:

  1. Klicken Sie auf Hinzufügen, um einen neuen Directory Server hinzuzufügen.
  2. Verwenden Sie optional eine bereits erstellte Vorlage, um die Anmeldeinformationen vorzukonfigurieren.
  3. Die Quelle ist standardmäßig ausgewählt.
  4. Geben Sie eine Beschreibung an.
  5. Geben Sie den Hostnamen oder die IP-Adresse des Servers ein.
  6. Geben Sie die Anmelde-ID) und das Kennwort für die Authentifizierung ein.
  7. Wählen Sie TLS-Verbindung, wenn Sie die Kommunikation zwischen JIMS und dem Directory Server verschlüsseln möchten.

Identity Produzenten

Sie können Identitätsproduzenten so konfigurieren, dass Benutzer- und Gerätestatusereignisse erfasst werden. JIMS verwendet diese Informationen, um Zuordnungen von IP-Adressen zu Benutzernamen bereitzustellen. JIMS stellt auch Gerätenamen mit Domänennamen für die Durchsetzungspunkte bereit (Firewalls der SRX-Serie).

Die Identitätsproduzenten haben 3 Registerkarten/Optionen. Wählen Sie die entsprechende Option für Ihre Bereitstellung basierend auf den Informationen im Abschnitt Identitätsproduzenten aus.

Ereignisquelle hinzufügen

So fügen Sie eine neue Ereignisquelle hinzu:

  1. Klicken Sie auf Hinzufügen, um eine neue Ereignisquelle hinzuzufügen.
  2. Verwenden Sie eine bereits erstellte Vorlage, um die Anmeldeinformationen vorzukonfigurieren.
  3. Wählen Sie den Quelltyp (Domänencontroller oder Exchange Server) aus.
  4. Geben Sie eine optionale Beschreibung an.
  5. Geben Sie den Hostnamen oder die IP-Adresse des Servers ein.
  6. Geben Sie die Anmelde-ID und das Passwort ein. Dies sollte das neu erstellte Dienstkonto mit eingeschränkten Berechtigungen sein.
  7. Geben Sie die Nachholzeit für den Startereignisverlauf ein. Dadurch wird sichergestellt, dass JIMS historische Daten vor dem Produktionseinsatz gesammelt hat.

PC-Sonde hinzufügen

So fügen Sie eine neue PC-Sonde hinzu:

  1. Klicken Sie auf Hinzufügen, um neue PC-Sonden hinzuzufügen.
  2. Geben Sie die Anmelde-ID und das Passwort ein. Dies ist das neu erstellte Dienstkonto mit eingeschränkten Berechtigungen.
  3. Geben Sie eine optionale Beschreibung an.
  4. Nachdem Sie die Details angegeben haben, können Sie die Reihenfolge der Benutzernamen in der Reihenfolge verschieben, in der sie ausgeführt werden sollen.

Syslog-Quelle hinzufügen

So fügen Sie eine neue Syslog-Quelle hinzu:

  1. Klicken Sie auf Hinzufügen, um eine neue Syslog-Quelle hinzuzufügen.
  2. Verwenden Sie optional eine bereits erstellte Basiskonfiguration.
  3. Geben Sie die IP-Adresse oder den FQDN des Servers (Syslog-Client) ein.
  4. Geben Sie eine optionale Beschreibung an.
  5. Klicken Sie auf Hinzufügen, um die übereinstimmenden regulären Ausdrücke zu definieren.

Filter

Mit dem JIMS-Server können Sie filtern nach:

  • IP-Filter: Geben Sie den IP-Bereichsanfang und das Ende des IP-Bereichs an.

  • Ereignis-/Gruppenfilter: Geben Sie den Benutzer oder das Gerät ein, der bzw. das in Berichte aufgenommen werden soll. Gruppenfilter werden auf alle Firewalls der SRX-Serie in Ihrem Netzwerk angewendet. Geben Sie auch die Domäne an.

  • DN-Filter: Geben Sie den DN-Filter ein. Es wird empfohlen, reguläre Ausdrücke zu verwenden.

Einstellungen

Das Menü Einstellungen besteht aus zwei Registerkarten:

Protokollierung

Geben Sie im Abschnitt Protokollierung die folgenden Details ein:

  1. Geben Sie das Dateinamenpräfix ein.
  2. Klicken Sie auf Auswählen, um das gewünschte Verzeichnis auszuwählen.
  3. Geben Sie die Dateigröße ein.
    Hinweis:

    Der zulässige Dateigrößenbereich liegt zwischen 1 und 2000 MB.
  4. Geben Sie die Dateilebensdauer ein.
    Hinweis:

    Der zulässige Dateilebensdauerbereich liegt zwischen 1 und 30 Tagen.

Allgemein

Geben Sie im Abschnitt Allgemein die folgenden Details ein:

  1. Geben Sie unter Konfiguration der Verwaltungsschnittstelle den TLS-Port (https) ein.
  2. Geben Sie unter Konfiguration der Benutzersitzung die Abmeldezeit ein.
    Hinweis:

    Der akzeptable Zeitrahmen für die Abmeldung sollte zwischen 1 und 1440 Minuten liegen.
  3. Geben Sie im Abschnitt Globale Konfiguration (der einen JIMS-Neustart erfordert) die Syslog-Anfangszeit (Minuten) ein. Wählen Sie die entsprechenden Optionen aus: UPN übergeben, zusammengesetzte Benutzernamen zulassen und anderen Domains vertrauen, basierend auf Ihren Anforderungen.

Durchsetzungspunkte

Hinzufügen von Enforcement Points in der JIMS-Benutzeroberfläche

Sie müssen die Durchsetzungspunkte (SRX/NFX-Geräte) konfigurieren, da sonst keine Benutzer-, Geräte- und Gruppeninformationen abgerufen werden können, um identitätsorientierte Richtlinien (Benutzer-Firewall) durchzusetzen.

Wenn Sie über viele Durchsetzungspunkte mit derselben Client-ID und demselben geheimen Clientschlüssel verfügen, können Sie eine Vorlage erstellen, um die Eingabe für jeden von ihnen zu reduzieren.

So fügen Sie einen neuen Durchsetzungspunkt hinzu:

  1. Klicken Sie auf Hinzufügen.
  2. Verwenden Sie optional eine bereits erstellte Vorlage, um die Anmeldeinformationen vorzukonfigurieren.
  3. Geben Sie die SRX-IP-Adresse ein.
  4. Wenn Sie mehrere Enforcement Points in einem Subnetz haben, können Sie ein passendes Subnetz eingeben, das alle abdeckt.
  5. Geben Sie eine optionale Beschreibung an.
  6. Aktivieren Sie die IPv6-Berichterstellung als IPv6, wie sie in Ihrer Organisation verwendet wird. Dadurch werden doppelte Datensätze in der Authentifizierungstabelle auf dem Erzwingungspunkt hinzugefügt.
  7. Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die für dieses Gerät verwendet werden.
  8. Die Tokenlebensdauer wird erzwungen. Diese Lebensdauer kann geändert/angepasst werden.

Konfigurieren von JIMS in Junos

Konfiguration von JIMS mit Firewall der SRX-Serie

Führen Sie die folgenden Schritte aus, um JIMS mit der Firewall der SRX-Serie zu konfigurieren:

  1. Konfigurieren Sie die FQDN-/IP-Adresse des primären/sekundären JIMS-Servers.

  2. Konfigurieren Sie die Client-ID und den geheimen Clientschlüssel, die das Gerät der SRX-Serie dem primären/sekundären JIMS-Server als Teil seiner Authentifizierung zur Verfügung stellt.

  3. Konfigurieren Sie optional die Quell-IP- oder Routing-Instanz, die zum Erreichen von JIMS-Servern verwendet werden soll.

    Hinweis:

    Sie können den Erzwingungspunkt auch so konfigurieren, dass das Zertifikat des JIMS-Servers überprüft wird, siehe Abschnitt "Erweitert".

  4. Konfigurieren Sie die maximale Anzahl von Benutzeridentitätselementen, die das Gerät in einem Batch als Antwort auf die Abfrage akzeptiert.

  5. Konfigurieren Sie das Intervall in Sekunden, nach dem das Gerät eine Abfrageanforderung für neu generierte Benutzeridentitäten ausgibt.

  6. Konfigurieren Sie Active Directory-Domänen, die für die Firewall der SRX-Serie von Interesse sind. Sie können bis zu zwanzig Domainnamen für den Filter angeben.

  7. Konfigurieren Sie den Adressbuchnamen so, dass er den IP-Filter enthält.

  8. Verwenden Sie die folgenden Befehle, um den Adresssatz, den Dateinamen der Trace-Option, die Größe der Trace-Datei, die Ebene der Debugging-Ausgabe und die Verwaltung der Traceidentität für alle Module entsprechend zu konfigurieren:

Konfiguration der Authentifizierungsquelle für die Geräteidentität (Endbenutzerprofil)

Geben Sie die Quelle für die Authentifizierung der Geräteidentität und die Sicherheitsrichtlinie an. Das Gerät ruft die Geräteidentitätsinformationen für authentifizierte Geräte von der Authentifizierungsquelle ab. Das Gerät durchsucht die Tabelle zur Authentifizierung der Geräteidentität nach einer Geräteübereinstimmung, wenn Datenverkehr vom Gerät eines Benutzers auf dem Gerät eintrifft. Wenn eine Übereinstimmung gefunden wird, sucht das Gerät nach einer übereinstimmenden Sicherheitsrichtlinie. Wenn eine übereinstimmende Sicherheitsrichtlinie gefunden wird, wird die Aktion der Sicherheitsrichtlinie auf den Datenverkehr angewendet.

Führen Sie die folgenden Schritte aus, um die Quelle für die Authentifizierung der Geräteidentität zu konfigurieren:

  1. Geben Sie die Quelle für die Authentifizierung der Geräteidentität an.

  2. Konfigurieren Sie das Geräteidentitätsprofil und den Domänennamen, zu dem das Gerät gehört.

  3. Konfigurieren Sie die Geräteidentitätszeichenfolge für das Attribut Profilname.

Konfiguration der Firewall-Richtlinie entsprechend der Quellidentität.

Führen Sie die folgenden Schritte aus, um eine oder mehrere Firewall-Richtlinien zu konfigurieren, die den Zugriff basierend auf der Identität steuern.

  1. Erstellen Sie eine Quell- oder Zieladresse für eine Sicherheitsrichtlinie, und konfigurieren Sie die Anwendung/den Dienst entsprechend der Richtlinie.

  2. Definieren Sie einen Benutzernamen oder einen Rollennamen (Gruppennamen), den das JIMS an das Gerät sendet. Zum Beispiel: "jims-dom1.local\user1".

  3. Lassen Sie das Paket zu, wenn die Richtlinie übereinstimmt.

  4. Verwenden Sie die folgenden Befehle, um die Zeit für den Beginn einer Sitzung und die Zeit zum Schließen einer Sitzung zu konfigurieren:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: