Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration et interface utilisateur administrative JIMS

RÉSUMÉ Lisez cette section pour en savoir plus sur l’interface d’administration JIMS et ses options de configuration.

Menu de l’interface utilisateur JIMS

L’interface utilisateur de JIMS se compose de trois menus.

L’illustration ci-dessous capture l’interface utilisateur de JIMS.

Figure 2 : écran de l’interface utilisateur JIMS

Tableau 1 :
Description du menu
Fichier

Permet d’importer et d’exporter les données de configuration relatives au JIMS. Vous pouvez utiliser le menu Fichier pour connecter le collecteur JIMS à Juniper Secure Edge et vous reconnecter à une connexion perdue de l’interface utilisateur.
Modifier Permet de copier et de rechercher du contenu à partir de l’interface utilisateur avec la vue table/liste.
Aide Vous permet de trouver la documentation et les informations sur JIMS, telles que la version, la construction et d’autres informations sur les droits d’auteur telles que l’avis de marque, tous droits réservés, les attributions et les conditions de licence.

Les autres options de l’interface utilisateur sont répertoriées ci-dessous.

Moniteur

Le menu Moniteur propose plusieurs onglets avec différentes informations relatives à l’état, aux événements, etc. La date et l’heure dans la barre supérieure affichent la date et l’heure au format GMT.

Le menu Moniteur se compose de 8 onglets :

Tableau 2 :
Description du menu
Résumé

  • JIMS Collector Service affiche l’état, l’ID de processus, l’heure de début et la disponibilité du processus.

  • L’état de la connexion administrateur indique le port de connexion et l’adresse IP actuels. La version/version actuelle de JIMS vous permet de vous exécuter en tant qu’administrateur uniquement sur le même serveur.

  • État actif indique le nombre d’objets collectés à partir d’Active Directory pour chaque type.

  • SRX Global Statistics indique le nombre total de points d’application connectés (clients) et le nombre total de requêtes demandées à ces points d’application.

    Il indique également le nombre total de rapports que le serveur JIMS a fournis à ces points d’application et le nombre d’erreurs qui se sont produites.

  • Configurations indique le nombre d’objets configurés par rapport au nombre maximal pris en charge.
Système

Répertorie tous les systèmes configurés.
Points d’application

Répertorie tous les points d’application configurés avec des statistiques spécifiques à l’appareil.

Pour une explication plus détaillée et les étapes de configuration, voir Points d’application
Serveurs JIMS

Répertorie tous les serveurs JIMS configurés avec des statistiques spécifiques.

Pour une explication plus détaillée et les étapes de configuration, voir JIMS Server
Sources des événements

Répertorie toutes les sources d’événements configurées avec des statistiques spécifiques.

Pour obtenir une explication plus détaillée et les étapes de configuration, voir Services d’annuaire
Services d’annuaire

Répertorie tous les services d’annuaire configurés avec des statistiques spécifiques.

Pour une explication plus détaillée et les étapes de configuration, voir JIMS Server
Sondes PC

Répertorie tous les noms d’utilisateur configurés et l’ordre d’exécution, y compris les statistiques de sonde.

Pour obtenir une explication plus détaillée et les étapes de configuration, voir Producteurs d’identités
Syslog Sources

Répertorie tous les clients Syslog configurés qui envoient des données à JIMS avec des statistiques spécifiques.

Pour obtenir une explication plus détaillée et les étapes de configuration, voir Producteurs d’identités

Serveur JIMS

Lorsque JIMS est installé, il configure automatiquement le serveur JIMS local. Si vous utilisez Contrail® Service Orchestration (CSO) ou Juniper® Secure Edge, ceux-ci doivent être configurés manuellement.

Pour connaître les étapes de configuration, voir Serveur JIMS

Services d’annuaire

Vous devez configurer au moins un serveur d’annuaire pour que JIMS Collector collecte les appartenances aux utilisateurs, aux appareils et aux groupes. Actuellement, seul Active Directory est pris en charge.

Si vous prévoyez d’utiliser plusieurs serveurs d’annuaire avec les mêmes informations d’identification, vous pouvez créer un modèle pour réduire l’entrée pour chaque serveur d’annuaire.

Pour connaître les étapes de configuration, voir Services d’annuaire

Producteurs d’identité

Vous pouvez configurer les producteurs d’identité pour collecter les événements d’état des utilisateurs et des appareils. JIMS utilise ces informations pour fournir des mappages d’adresse IP à nom d’utilisateur. JIMS fournit également des noms d’équipements avec des noms de domaine aux points d’application (pare-feu SRX Series).

Les producteurs d’identité proposent de nombreux onglets qui sont énumérés ci-dessous.

Les sources d’événements sont utilisées pour collecter le nom d’utilisateur et l’adresse IP associée. Cela crée un mappage IP_address-nom d’utilisateur ainsi qu’un nom de périphérique avec un nom de domaine à partir d’un contrôleur de domaine Microsoft ou Microsoft Exchange Server. Vous pouvez accéder aux sources d’événements à partir de Server View > Identity Producers

Si vous prévoyez d’utiliser plusieurs sources d’événements avec les mêmes informations d’identification, vous pouvez créer un modèle pour réduire l’entrée pour chaque serveur de source d’événements.

Pour connaître les étapes de configuration, consultez Ajouter une source d’événements

Les sondes PC sont un complément aux sources d’événements et aux événements Syslog pour tous les périphériques Windows connectés au domaine. Lorsque la source d’événements pour laquelle il manque un domaine et un nom d’utilisateur est associée à une adresse IP, la sonde pc lance un appel WMI vers le périphérique spécifique pour collecter les informations manquantes. Les informations WMI contiennent des données sensibles. Assurez-vous que le collecteur JIMS n’envoie pas de sondes WMI à des réseaux non approuvés. Vous pouvez accéder aux sondes PC à partir de Server View > Identity Providers

Pour connaître les étapes de configuration, voir Ajouter une sonde PC

Les sources syslog sont utilisées pour collecter le mappage des utilisateurs et des périphériques à partir d’une adresse IP à partir d’autres systèmes, tels qu’un concentrateur VPN, un système de contrôle d’accès réseau (NAC), un contrôleur d’accès sans fil, etc. Vous pouvez accéder aux sources syslog à partir de Server View > Identity Producers

Syslog est utilisé comme une expression régulière (regex), au lieu d’un modèle offert par d’autres fonctions. Syslog utilise une configuration de base spécifique à chaque type de client syslog. Vous pouvez utiliser une configuration de base déjà créée pour Juniper® Secure Connect afin de consigner les utilisateurs actifs lors des événements d’ouverture et de fermeture de session.

Note: Lors de la configuration d’une expression regex, assurez-vous que le résultat ne contiendra aucun des caractères suivants : /\ [ ] : ; | = , + * ? < > @ "

Pour connaître les étapes de configuration, consultez Ajouter une source Syslog

Points d’application

Vous devez configurer des points d’application. Sinon, les pare-feu SRX Series ne peuvent pas extraire les informations sur les utilisateurs, les équipements et les groupes pour appliquer des stratégies tenant compte de l’identité (pare-feu utilisateur).

Si vous avez plusieurs pare-feu SRX Series avec le même ID client et la même clé secrète client, vous pouvez créer un modèle pour réduire le nombre d’entrées pour chaque pare-feu SRX Series.

Pour connaître les étapes de configuration, voir Ajouter des points d’application dans l’interface utilisateur de JIMS

JIMS avec pare-feu SRX Series

Juniper Identity Management Service (JIMS) est une application de service Windows conçue pour collecter et gérer les informations sur les utilisateurs, les appareils et les groupes à partir de domaines Active Directory.

Pour utiliser le service de gestion d’identité Juniper, vos points d’application (pare-feu SRX Series et NFX) doivent être configurés correctement pour obtenir des informations d’identité de JIMS.

Les points d’application utilisent le serveur JIMS principal jusqu’à ce que la connexion déclare le serveur perdu. Périodiquement, le point d’application sonde le serveur principal défaillant et y revient une fois qu’il est à nouveau disponible sans aucune intervention de l’utilisateur.

La connexion au serveur JIMS ne doit utiliser que le transport HTTPS, qui chiffre la communication entre le point d’application et le serveur JIMS. Les points d’application et le serveur JIMS authentifient la connexion à l’aide d’un ID client et d’une clé secrète client, ce qui génère un jeton d’accès. Ce jeton d’accès doit être présent dans chaque requête adressée au serveur JIMS.

Il existe deux méthodes pour obtenir des informations d’identité d’utilisateur à partir de JIMS :

  • Requêtes par lots :

    SRX envoie par défaut un message de requête par lots à JIMS toutes les 5 secondes pour obtenir les informations d’identité disponibles.

  • Requêtes IP :

    Lorsqu’il manque à SRX des informations sur une adresse IP spécifique, il peut envoyer une requête IP au JIMS qui renvoie ensuite son statut pour cette adresse IP spécifique. Si JIMS ne contient pas d’entrée pour l’adresse IP spécifiée, SRX menacera cette adresse IP car il s’agit d’un utilisateur inconnu.

Dans le SRX, il est possible de définir des filtres qui peuvent être utilisés pour filtrer les informations d’identité connues de JIMS. Vous pouvez soit vous abonner à certains domaines, soit inclure ou exclure des informations relatives à certains préfixes IP définis par des entrées de carnet d’adresses ou des ensembles d’adresses. Les modifications apportées à ces filtres n’auront lieu que lors de la prochaine requête par lots.

Vous pouvez sélectionner jusqu’à xxx entrées de carnet d’adresses/ensembles pour les filtres d’inclusion ou d’exclusion, et le nombre total d’entrées de carnet d’adresses xxx est combiné par ensembles et livres.

Vous pouvez ajouter un maximum de 25 domaines à la liste de filtres. Chaque ensemble d’adresses peut inclure x nombre d’entrées de carnet d’adresses, si des ensembles d’adresses sont inclus dans un ensemble d’adresses, set services user-identification identity-management filter

Vous pouvez actualiser les informations d’identité de l’utilisateur dans votre table d’authentification de gestion des identités obtenue auprès de JIMS. Les informations d’identité seront mises à jour lors de la prochaine requête par lot, clear services user-identification authentication-table authentication-source identity-management

Pour rechercher les informations d’identité de l’utilisateur et valider la source d’authentification afin d’accorder l’accès à l’appareil, utilisez run show services user-identification authentication-table authentication-source all

La configuration suivante illustre une configuration de serveur JIMS de base sur un pare-feu SRX Series :

root@srx1# show services user-identification identity-management

Pour obtenir les étapes de configuration détaillées, voir Configuration de JIMS avec pare-feu SRX Series

Filtres

JIMS vous permet de spécifier les plages d’adresses IP à inclure ou à exclure des rapports que le serveur JIMS envoie aux pare-feu SRX Series. Vous pouvez également spécifier des groupes d’utilisateurs Active Directory à inclure dans les rapports. Ces filtres sont appliqués à tous les pare-feu SRX Series de votre réseau. Vous pouvez également appliquer les filtres d’adresses IPv4 dans les versions ultérieures.

JIMS prend en charge à la fois un filtre IPv6 de la requête SRX Series Firewall et un filtre IPv6 au niveau du système. Le filtre au niveau du système filtre les adresses IP des sources d’événements. Les filtres IP au niveau du système sont configurés via l’interface d’administration JIMS. Le serveur JIMS inclut ou exclut les sessions IP lorsqu’il reçoit les événements d’ouverture de session des sources d’événements configurées.

Par exemple, considérons que 192.x.x.x est ajouté comme adresse IP d’exclusion dans le filtre de niveau système sur le serveur JIMS. Lorsqu’un utilisateur avec 192.x.x.x ouvre une session sur le contrôleur de domaine, le serveur JIMS ignore la session pour cet utilisateur. Ainsi, aucune entrée avec 192.x.x.x n’est envoyée au pare-feu SRX Series.

Les filtres IPv6 utilisés par la requête SRX Series Firewall sont configurés sur le SRX Series Firewall. Le pare-feu SRX Series inclut ou exclut les adresses IP dans la requête par lots qu’il envoie au serveur JIMS. Le serveur JIMS répond avec les entrées basées sur les filtres reçus du pare-feu SRX Series. Notez toutefois que les pare-feu SRX Series appliquent des filtres uniquement dans le contexte du filtre au niveau du système. Par exemple, si 192.0.2.0/24 est configuré sur le pare-feu SRX Series comme filtre d’inclusion, le pare-feu SRX Series envoie la requête avec 192.0.2.0/24 comme sous-réseau d’inclusion au serveur JIMS. Le serveur JIMS répond uniquement avec les entrées de ce sous-réseau, bien que le serveur JIMS contienne un grand nombre d’entrées autres que 192.0.2.0/24.

De plus, le serveur JIMS vous permet de filtrer par :

  • Groupes : vous définissez les groupes d’utilisateurs Active Directory à inclure dans les rapports. Des filtres de groupe sont appliqués à tous les pare-feu SRX Series de votre réseau.

  • Événement utilisateur/appareil : les filtres d’événements sur le serveur JIMS vous permettent d’appliquer un filtre dans votre réseau pour définir les utilisateurs ou les périphériques à exclure des rapports que le serveur JIMS envoie aux pare-feu SRX Series. Le filtre d’événements Utilisateur/Appareil effectue une correspondance d’expression régulière pour filtrer des utilisateurs ou des appareils spécifiques par nom. Le filtre ignore les événements associés à un utilisateur ou à un appareil particulier.

Pour les pare-feu SRX Series exécutant Junos OS Release, JIMS applique les filtres qu’il reçoit de chaque pare-feu SRX Series. Si vous configurez les filtres pour JIMS, le service applique d’abord ses propres filtres à tous les pare-feu SRX Series de votre réseau, puis applique les filtres qu’il reçoit des pare-feu SRX Series individuels.

Pour obtenir les étapes de configuration détaillées, voir Ajouter des filtres

Paramètres

Le menu Paramètres se compose de deux onglets :

  • Générales

  • Enregistrement

Les paramètres de la vue serveur vous permettent de modifier les valeurs configurées des ports utilisés par JIMS. Vous pouvez également modifier le certificat numérique utilisé pour le serveur local JIMS. Accédez à Général à partir de la vue serveur > Paramètres

Pour obtenir les étapes de configuration détaillées, reportez-vous à la section Configurer le Général

L’option de menu Journalisation de la vue serveur vous permet de modifier les niveaux de journalisation. Modifiez les niveaux de journalisation uniquement si Juniper conseille de modifier les journaux à des fins de dépannage. Accédez à Journalisation à partir de l’affichage > des paramètres du serveur

Pour obtenir les étapes de configuration détaillées, voir la section Configurer la journalisation