Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interface utilisateur administrative et configuration de JIMS

Lisez cette section pour en savoir plus sur l’interface administrative de JIMS et ses options de configuration.

Menu de l’interface utilisateur de JIMS

L’interface utilisateur de JIMS se compose de trois menus.

L’illustration ci-dessous capture l’interface utilisateur de JIMS.

Figure 2 : Écran de l’interface utilisateur de JIMS

Tableau 1 :
Description du menu
Fichier

Permet d’importer et d’exporter les données de configuration liées au JIMS. Vous pouvez utiliser le menu Fichier pour connecter le collecteur JIMS à Juniper Secure Edge et vous reconnecter à une connexion perdue de l’interface utilisateur.
Modifier Vous permet de copier et de rechercher du contenu à partir de l’interface utilisateur avec une vue tableau/liste.
Aide Vous permet de trouver la documentation et les informations sur le JIMS, telles que la version, la construction et d’autres informations sur les droits d’auteur telles que l’avis de marque, tous les droits réservés, les attributions et les conditions de licence.

Les autres options d’interface utilisateur sont répertoriées ci-dessous.

Moniteur

Le menu Surveiller propose plusieurs onglets avec différentes informations relatives à l’état, aux événements, etc. La date et l’heure dans la barre supérieure affichent la date et l’heure au format GMT.

Le menu Moniteur se compose de 8 onglets :

Tableau 2 :
Description du menu
Résumé

  • Le service de collecte JIMS indique l’état, l’identifiant du processus, l’heure de démarrage et la disponibilité du processus.

  • L’état de la connexion Admin indique le port de connexion et l’adresse IP actuels. La version/version actuelle de JIMS vous permet de fonctionner en tant qu’administrateur uniquement sur le même serveur.

  • L’état actif indique le nombre d’objets collectés à partir de l’Active Directory pour chaque type.

  • SRX Global Statistics indique le nombre total de points d’application connectés (clients) et le nombre total de requêtes demandées à ces points d’application.

    Il indique également le nombre total de rapports que le serveur JIMS a fournis à ces points d’application et le nombre d’erreurs qui se sont produites.

  • Configurations indique le nombre d’objets configurés par rapport au nombre maximal pris en charge.
Système

Répertorie tous les systèmes configurés.
Points d’application

Répertorie tous les points d’application configurés avec des statistiques spécifiques à l’appareil.

Pour obtenir des explications plus détaillées et les étapes de configuration, consultez la section Points d’application
Serveurs JIMS

Répertorie tous les serveurs JIMS configurés avec des statistiques spécifiques.

Pour une explication plus détaillée et les étapes de configuration, consultez Serveur JIMS
Sources d’événements

Répertorie toutes les sources d’événements configurées avec des statistiques spécifiques.

Pour obtenir des explications détaillées et les étapes de configuration, consultez Services d’annuaire
Services d’annuaire

Répertorie tous les services d’annuaire configurés avec des statistiques spécifiques.

Pour une explication plus détaillée et les étapes de configuration, consultez Serveur JIMS
Sondes PC

Répertorie tous les noms d’utilisateur configurés et l’ordre d’exécution, y compris les statistiques des sondes.

Pour une explication plus détaillée et les étapes de configuration, consultez Producteurs d’identités
Syslog Sources

Répertorie tous les clients Syslog configurés qui envoient des données à JIMS avec des statistiques spécifiques.

Pour une explication plus détaillée et les étapes de configuration, consultez Producteurs d’identités

Serveur JIMS

Lorsque JIMS est installé, il configure automatiquement le serveur JIMS local. Si vous utilisez Contrail® Service Orchestration (CSO) ou Juniper® Secure Edge, ceux-ci doivent être configurés manuellement.

Pour connaître les étapes de configuration, reportez-vous à la section Serveur JIMS

Services d’annuaire

Vous devez configurer au moins un serveur d’annuaire pour que JIMS Collector collecte les utilisateurs, les appareils et les appartenances aux groupes. Actuellement, seul Active Directory est pris en charge.

Si vous prévoyez d’utiliser plusieurs serveurs d’annuaire avec les mêmes informations d’identification, vous pouvez créer un modèle pour réduire l’entrée de chaque serveur d’annuaire.

Pour connaître les étapes de configuration, consultez Services d’annuaire

Producteurs d’identité

Vous pouvez configurer les producteurs d’identité pour collecter les événements d’état des utilisateurs et des appareils. Le JIMS utilise ces informations pour fournir des correspondances entre l’adresse IP et le nom d’utilisateur. Le JIMS fournit également des noms d’appareils avec des noms de domaine vers les points d’application (pare-feu SRX Series).

Les producteurs d’identité proposent de nombreux onglets qui sont répertoriés ci-dessous.

Les sources d’événements sont utilisées pour collecter le nom d’utilisateur et l’adresse IP associée. Cela crée un mappage IP_address-nom d’utilisateur ainsi qu’un nom d’appareil avec un nom de domaine provenant d’un contrôleur de domaine Microsoft ou d’un serveur Microsoft Exchange. Vous pouvez accéder aux sources d’événements à partir de Server View > Identity Producers

Si vous prévoyez d’utiliser plusieurs sources d’événements avec les mêmes informations d’identification, vous pouvez créer un modèle pour réduire l’entrée de chaque serveur source d’événements.

Pour connaître les étapes de configuration, consultez Ajouter une source d’événements

Les sondes PC sont un complément aux sources d’événements et aux événements Syslog pour tous les appareils Windows connectés au domaine. Lorsque la source d’événement à laquelle il manque un domaine et un nom d’utilisateur est associée à une adresse IP, la sonde PC lance un appel WMI à l’appareil spécifique pour collecter les informations manquantes. Les informations WMI contiennent des données sensibles. Assurez-vous que le collecteur JIMS n’envoie pas de sondes WMI à des réseaux non approuvés. Vous pouvez accéder aux sondes PC à partir de la vue serveur > des fournisseurs d’identité

Pour connaître les étapes de configuration, reportez-vous à la section Ajouter une sonde PC

Les sources Syslog sont utilisées pour collecter des mappages d’utilisateurs et d’appareils à partir d’une adresse IP provenant d’autres systèmes tels qu’un concentrateur VPN, un système de contrôle d’accès réseau (NAC), un contrôleur d’accès sans fil, etc. Vous pouvez accéder aux sources syslog à partir de Server View > Identity Producers

Syslog est utilisé comme une expression régulière (regex), au lieu d’un modèle proposé par d’autres fonctions. Syslog utilise une configuration de base spécifique à chaque type de client syslog. Vous pouvez utiliser une configuration de base déjà créée pour Juniper® Secure Connect afin de journaliser les utilisateurs actifs lors des événements d’ouverture et de déconnexion.

Remarque : Lors de la configuration d’une expression Regex, assurez-vous que le résultat ne contiendra aucun des caractères suivants : /\ [ ] : ; | = , + * ? < > @ "

Pour connaître les étapes de configuration, reportez-vous à la section Ajouter une source Syslog

Points d’application

Vous devez configurer les points d’application. Sinon, les pare-feu SRX Series ne peuvent pas extraire les informations des utilisateurs, des appareils et des groupes pour appliquer des stratégies basées sur l’identité (pare-feu utilisateur).

Si vous avez plusieurs pare-feu SRX Series avec le même ID client et la même clé secrète client, vous pouvez créer un modèle pour réduire l’entrée de chaque pare-feu SRX Series.

Pour connaître les étapes de configuration, consultez Ajouter des points d’application dans l’interface utilisateur de JIMS

JIMS avec pare-feu SRX Series

Juniper Identity Management Service (JIMS) est une application de service Windows conçue pour collecter et gérer des informations sur les utilisateurs, les appareils et les groupes à partir de domaines Active Directory.

Pour utiliser le Juniper Identity Management Service, vos points d’application (pare-feu SRX Series et NFX) doivent être configurés correctement pour obtenir des informations d’identité à partir du JIMS.

Les points d’application utilisent le serveur JIMS principal jusqu’à ce que la connexion déclare le serveur perdu. Périodiquement, le point d’application sonde le serveur principal défaillant et y revient une fois qu’il est à nouveau disponible sans aucune intervention de l’utilisateur.

La connexion au serveur JIMS ne doit utiliser que le transport HTTPS, qui crypte la communication entre le point d’application et le serveur JIMS. Les points d’application et le serveur JIMS authentifient la connexion à l’aide d’un ID client et d’une clé secrète client, ce qui génère un jeton d’accès. Ce jeton d’accès doit être présent dans chaque requête adressée au serveur JIMS.

Il existe deux méthodes pour obtenir des informations sur l’identité des utilisateurs à partir du JIMS :

  • Requêtes par lots :

    SRX envoie par défaut un message de requête par lots à JIMS toutes les 5 secondes pour obtenir les informations d’identité disponibles.

  • Requêtes IP :

    Lorsqu’il manque des informations sur une adresse IP spécifique à SRX, il peut envoyer une requête IP au JIMS, qui renvoie ensuite son statut pour cette adresse IP spécifique. Si JIMS ne contient pas d’entrée pour l’adresse IP spécifiée, SRX menacera cette adresse IP car il s’agit d’un utilisateur inconnu.

Dans le SRX, il est possible de définir des filtres qui peuvent être utilisés pour filtrer les informations d’identité connues du JIMS. Vous pouvez soit vous abonner à certains domaines, soit inclure ou exclure des informations relatives à certains préfixes IP définis par des entrées de carnet d’adresses ou des ensembles d’adresses. Les modifications apportées à ces filtres n’auront lieu que lors de la prochaine requête par lots.

Vous pouvez sélectionner jusqu’à xxx entrées de carnet d’adresses/ensembles pour inclure ou exclure des filtres, et le nombre total de xxx entrées de carnet d’adresses est combiné par ensembles et livres.

Vous pouvez ajouter un maximum de 25 domaines à la liste de filtres. Chaque ensemble d’adresses peut inclure un nombre x d’entrées de carnet d’adresses, si des ensembles d’adresses sont inclus dans un ensemble d’adresses, set services user-identification identity-management filter

Vous pouvez actualiser les informations d’identité de l’utilisateur dans votre table d’authentification de gestion des identités obtenue à partir de JIMS. Les informations d’identité seront mises à jour lors de la prochaine requête par lots, clear services user-identification authentication-table authentication-source identity-management

Pour rechercher les informations d’identité des utilisateurs et valider la source d’authentification afin d’accorder l’accès à l’appareil, utilisez run show services user-identification authentication-table authentication-source all

La configuration suivante illustre une configuration de serveur JIMS de base sur un pare-feu SRX Series :

root@srx1# show services user-identification identity-management

Pour connaître les étapes de configuration détaillées, voir Configuration de JIMS avec le pare-feu SRX Series

Filtres

JIMS vous permet de spécifier les plages d’adresses IP à inclure ou à exclure des rapports que le serveur JIMS envoie aux pare-feu SRX Series. Vous pouvez également spécifier les groupes d’utilisateurs Active Directory à inclure dans les rapports. Ces filtres sont appliqués à tous les pare-feu SRX Series de votre réseau. Vous pouvez également appliquer les filtres d’adresse IPv4 dans les versions ultérieures.

JIMS prend en charge à la fois un filtre IPv6 de la requête de pare-feu SRX Series et un filtre IPv6 au niveau du système. Le filtre au niveau du système fonctionne pour filtrer les adresses IP des sources d’événements. Les filtres IP au niveau du système sont configurés via l’interface administrative de JIMS. Le serveur JIMS inclut ou exclut les sessions IP lorsque le serveur JIMS reçoit les événements de connexion des sources d’événements configurées.

Par exemple, considérons que 192.x.x.x est ajouté comme adresse IP d’exclusion dans le filtre de niveau système sur le serveur JIMS. Lorsqu’un utilisateur avec 192.x.x.x se connecte au contrôleur de domaine, le serveur JIMS ignore la session de cet utilisateur. Ainsi, aucune entrée contenant 192.x.x.x n’est envoyée au pare-feu SRX Series.

Les filtres IPv6 utilisés par la requête de pare-feu SRX Series sont configurés sur le pare-feu SRX Series. Le pare-feu SRX Series inclut ou exclut les adresses IP dans la requête par lots qu’il envoie au serveur JIMS. Le serveur JIMS répond avec les entrées basées sur les filtres reçus du pare-feu SRX Series. Notez toutefois que les pare-feu SRX Series n’appliquent des filtres que dans le contexte du filtre au niveau du système. Par exemple, si 192.0.2.0/24 est configuré sur le pare-feu SRX Series en tant que filtre d’inclusion, le pare-feu SRX Series envoie la requête avec 192.0.2.0/24 comme sous-réseau d’inclusion au serveur JIMS. Le serveur JIMS ne répond qu’avec les entrées de ce sous-réseau, bien que le serveur JIMS contienne de nombreuses entrées autres que 192.0.2.0/24.

De plus, le serveur JIMS vous permet de filtrer par :

  • Groupes : vous définissez les groupes d’utilisateurs Active Directory à inclure dans les rapports. Les filtres de groupe sont appliqués à tous les pare-feu SRX Series de votre réseau.

  • Événement utilisateur/appareil : les filtres d’événement du serveur JIMS vous permettent d’appliquer un filtre dans votre réseau pour définir les utilisateurs ou les périphériques à exclure des rapports que le serveur JIMS envoie aux pare-feu SRX Series. Le filtre d’événements Utilisateur/Appareil effectue une correspondance d’expressions régulières pour filtrer des utilisateurs ou des appareils spécifiques par leur nom. Le filtre ignore les événements associés à un utilisateur ou à un appareil particulier.

Pour les pare-feu SRX Series exécutant la version de Junos OS, JIMS applique les filtres qu’il reçoit de chaque pare-feu SRX Series. Si vous configurez les filtres pour JIMS, le service applique d’abord ses propres filtres à tous les pare-feu SRX Series de votre réseau, puis applique les filtres qu’il reçoit des pare-feu SRX Series individuels.

Pour connaître les étapes de configuration détaillées, consultez la section Ajouter des filtres

Paramètres

Le menu Paramètres se compose de deux onglets :

  • Généralités

  • Journalisation

Les paramètres de la vue serveur vous permettent de modifier les valeurs configurées des ports utilisés par JIMS. Vous pouvez également modifier le certificat numérique utilisé pour le serveur local JIMS. Accédez à Général dans Vue serveur > Paramètres.

Pour obtenir des étapes de configuration détaillées, consultez la section Configurer la section Général

L’élément de menu Journalisation de la vue serveur vous permet de modifier les niveaux de journalisation. Ne modifiez les niveaux de journaux que si Juniper vous conseille de modifier les journaux pour le dépannage. Accédez à Journalisation à partir de la vue Serveur > Paramètres

Pour connaître les étapes de configuration détaillées, reportez-vous à la section Configurer la journalisation