Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Fonctionnement de JIMS

RÉSUMÉ Lisez cette section pour en savoir plus sur le flux de travail, l’architecture et les fonctionnalités de JIMS.

Flux de travail JIMS

Juniper Identity Management Service (JIMS) vous permet d’appliquer des stratégies sur les équipements SRX Series (y compris le pare-feu virtuel vSRX de Juniper Networks®) en fonction des informations d’identité des utilisateurs telles que les noms d’utilisateur et les groupes d’utilisateurs, en plus des adresses IP. Le service mappe les adresses IP aux utilisateurs et aux appareils en fonction de l’appartenance aux groupes et fournit ces informations de mappage aux appareils SRX Series. (Les groupes d’utilisateurs des équipements SRX Series sont également appelés rôles d’utilisateur.) Les périphériques SRX Series utilisent les informations de mappage pour générer des entrées pour leurs tables d’authentification que vous pouvez utiliser pour appliquer un contrôle de stratégie de sécurité basé sur l’utilisateur/périphérique en fonction de l’appartenance à un groupe.

Pour prendre en charge les stratégies de pare-feu sensibles à l’identité, JIMS effectue les opérations suivantes :

  1. Communique avec Microsoft Active Directory pour récupérer les informations de mappage de nom d’utilisateur à groupe et utilise ces informations pour identifier le groupe auquel chaque utilisateur appartient.

  2. Communique avec les contrôleurs de domaine Microsoft ou les serveurs Microsoft Exchange dans les domaines Active Directory pour collecter les informations du journal des événements, qui contiennent les informations de mappage d’adresse IP à nom d’utilisateur. Le service utilise les informations de mappage pour déterminer les adresses IP des utilisateurs dans Active Directory et les serveurs Exchange.

  3. Stocke l’adresse IP, le nom d’utilisateur et les informations de relation de groupe dans son cache. Le service génère ensuite un rapport à partir des informations stockées et le met à la disposition des points d’application (équipements SRX Series).

  4. Génère des entrées d’authentification qui sont utilisées pour appliquer le contrôle d’accès basé sur les appareils et les utilisateurs ou les groupes appliqué dans la base de règles pour les pare-feu SRX Series.

Figure 1 : architecture JIMS

Le collecteur JIMS utilise Active Directory pour surveiller les changements d’état des utilisateurs, des appareils et des appartenances aux groupes et collecte ces informations. Après chaque collecte de données, le collecteur envoie automatiquement ces données au serveur JIMS. Ces données sont nécessaires pour mettre à jour les points d’application.

Le collecteur JIMS effectue les actions suivantes :

  • Il se connecte à :

    • Services d’annuaire (Microsoft Active Directory) utilisant LDAP (Lightweight Directory Access Protocol) sur (port TCP 389) ou LDAP over Secure Sockets Layer (LDAPS) sur (port TCP 636).

    • Fournisseurs d’identité (contrôleurs de domaine Microsoft ou Exchange Server) utilisant Microsoft Remote Procedure Call (RPC) sur (port TCP 135 et ports dynamiques 49152 à 65535).

      Note:

      Microsoft Exchange Server est également connu sous le nom de DC Exchange.

    • Fournisseurs d’identité (ClearPass Policy Manager ou CPPM, Dynamic Host Configuration Protocol ou DHCP et serveur syslog) utilisant la communication interne. Le serveur syslog écoute les ports TCP et UDP 514 pour les messages syslog entrants.

    • Un fournisseur d’identité (sonde PC) utilisant la communication interne. La sonde PC envoie une requête WMI (Windows Management Instrumentation) sortante aux périphériques utilisant le port TCP 135 et les ports dynamiques 49152 à 65535.

  • Envoie des données aux serveurs JIMS à l’aide du protocole TLS (Transport Layer Security) sur le port TCP 443. (Les ports TCP sont configurables.)

Les points d’application (équipements SRX Series) utilisent les ports TLS sur TCP 443 et 591 (port par défaut) pour envoyer des requêtes au serveur JIMS.

JIMS Architecture

Types de services JIMS

Le JIMS se compose de deux services :

  • Collecteur : mappe les utilisateurs et les appareils aux adresses IP.

  • Serveur : fournit les informations de mappage aux points d’application.

Actuellement, ces deux services s’exécutent sur le même serveur en tant qu’application unique.

Serveur JIMS

Le serveur JIMS fournit à tous vos points d’application (pare-feu SRX Series) des données d’identité à grande échelle sans consommer de cycles CPU inutiles sur vos services d’annuaire. Le serveur fournit les informations d’identité dans un rapport JIMS qui inclut des informations d’utilisateur, d’équipement, d’adresse IP et de mappage de groupe. Chaque équipement SRX Series utilise ces informations pour prendre des décisions stratégiques dans la fonction de pare-feu utilisateur.

Collecteur JIMS

Le collecteur JIMS communique avec votre Active Directory pour collecter des informations sur l’appartenance des utilisateurs, des appareils et des groupes. Le collecteur mappe également chaque utilisateur et périphérique actif à une adresse IP.

Le collecteur peut également se connecter à un serveur syslog et agir sur les données entrantes provenant d’un autre système d’intérêt, tel que le contrôle d’accès réseau (NAC), le protocole DHCP (Dynamic Host Configuration Protocol), les passerelles VPN ou un portail captif pour enregistrer les événements de connexion et de déconnexion.

Collecte de données d’identité

JIMS est évolutif et peut prendre en charge la collecte des données d’identité des utilisateurs à partir de Microsoft Active Directory, des contrôleurs de domaine, des serveurs Microsoft Exchange et des serveurs syslog. JIMS sert de source centralisée unique de collecte de données pour les équipements SRX Series.

Le service génère des rapports qui contiennent l’adresse IP, le nom d’utilisateur, l’appareil et les informations de relation de groupe qu’il collecte à partir des sources de données d’identité de l’utilisateur.

JIMS utilise les services d’annuaire et les producteurs d’identité suivants pour collecter les données d’identité.

  • Services d’annuaire : collecte de données à partir de Microsoft Active Directory

    JIMS communique avec chaque Active Directory pour collecter des informations de groupe pour les utilisateurs et les appareils. Le service interroge chaque Active Directory configuré pour obtenir des informations sur les utilisateurs et les appareils. Il interroge la source d’informations utilisateur appropriée chaque fois qu’il reçoit un événement de connexion pour un utilisateur.

  • Producteurs d’identité : collecte de données à partir de sources de journaux d’événements

    JIMS se connecte aux sources de journaux d’événements pour collecter les événements d’état des utilisateurs et des équipements et fournit des informations de mappage d’adresse IP à nom d’utilisateur aux équipements SRX Series. Pour les événements de connexion des utilisateurs, JIMS collecte le nom de domaine, le nom d’utilisateur et l’adresse IP. Pour les événements de connexion à l’appareil, JIMS collecte le nom de domaine, le nom de l’ordinateur et l’adresse IP.

    Les sources du journal des événements peuvent être un ou plusieurs contrôleurs de domaine Active Directory ou un ou plusieurs serveurs Exchange. JIMS vous permet de configurer des sources de journaux des événements qui peuvent être une combinaison des contrôleurs de domaine Active Directory et des serveurs Exchange.

  • Producteurs d’identité : collecte de données à partir de sources syslog

    JIMS permet aux clients syslog d’envoyer des données d’événement telles que des informations sur les utilisateurs et les périphériques à partir d’une source d’événements telle qu’un serveur DHCP. Vous devez définir l’adresse IP et le port du client syslog distant auquel le serveur JIMS autorise la connexion. Vous devez configurer le serveur JIMS pour collecter des données syslog chaque fois qu’il détecte un événement de déconnexion, un événement de connexion ou une modification de la valeur des données. Le collecteur JIMS extrait les informations de périphérique, de nom d’utilisateur et d’adresse IP des messages syslog et mappe ces informations aux appartenances aux groupes. Le collecteur transforme ensuite les informations de mappage en rapports JIMS.

  • Producteurs d’identité - Collecte de données à l’aide de l’exploration de PC de domaine

    Sonde PC

    Pour lancer une analyse PC de domaine d’un équipement dans le domaine d’un client, JIMS a besoin d’informations d’identification administratives pour accéder à l’équipement. Pour qu’un PC recherche une nouvelle adresse IP, JIMS utilise chaque jeu d’informations d’identification configurées dans l’ordre dans lequel elles apparaissent dans la liste.

    L’analyse du PC de domaine agit en complément de la lecture du journal des événements. Lorsqu’un utilisateur est connecté à un domaine, le journal des événements contient toutes les informations requises par JIMS. Lorsque les informations de mappage d’adresse IP à nom d’utilisateur ne sont pas disponibles dans le journal des événements, JIMS lance une sonde PC de domaine vers le périphérique pour obtenir le nom d’utilisateur et le domaine de l’utilisateur actif actuel. Vous pouvez également utiliser des sondes de PC de domaine pour déterminer l’état d’un périphérique après l’expiration de son état de connexion. Lorsque vous utilisez une sonde PC, vous devez vous assurer que votre pare-feu bloque les requêtes de sonde PC sortantes vers Internet et les adresses IP potentiellement usurpées en bloquant les paquets WMI (Windows Management Instrumentation) sortants de vos serveurs JIMS.

Points d’application

Lorsqu’une requête par lots précédente ne parvient pas à récupérer les informations de mappage d’adresse IP à nom d’utilisateur, les points d’application (pare-feu SRX Series) envoient à nouveau des requêtes par lots (rapports) ou des requêtes IP pour extraire des informations sur les utilisateurs, les périphériques et l’appartenance aux groupes du serveur JIMS. Lorsque le serveur JIMS ne dispose pas de l’adresse IP sur laquelle un point de terminaison a demandé, il demande ces données au collecteur JIMS. Le collecteur JIMS interroge le contrôleur de domaine et Exchange Server pour obtenir l’enregistrement correspondant. Lorsqu’un tel enregistrement n’existe pas, JIMS effectue une analyse PC à l’adresse IP. Vous ne pouvez exécuter une sonde PC que sous Microsoft Windows.