Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JIMS管理ユーザー・インターフェースおよび構成

概要 このセクションを読んで、JIMS管理インターフェースとその構成オプションについて理解してください。

JIMSユーザーインターフェースメニュー

JIMSのユーザーインターフェイスは、3つのメニューで構成されています。

次の図は、JIMS UIをキャプチャしたものです。

図2: JIMS UI画面

表 1:
メニュー の説明
ファイル

JIMSに関連する設定データをインポートおよびエクスポートできます。[ファイル]メニューを使用して、JIMSコレクターをJuniper Secure Edgeに接続し、切断されたUIの接続に再接続することができます。
編集 テーブル/リストビューのユーザーインターフェイスからコンテンツをコピーおよび検索できます。
ヘルプ バージョン、ビルド、商標表示、全著作権所有、帰属、ライセンス条件などの他の著作権情報など、JIMSに関するドキュメントと情報を見つけることができます。

その他の UI オプションを以下に示します。

モニター

[モニター] メニューには、状態やイベントなどに関連するさまざまな情報を含むいくつかのタブがあります。上部のバーの日付と時刻には、GMT 形式で日付と時刻が表示されます。

[モニター] メニューは 8 つのタブで構成されています。

表 2:
メニュー の説明
概要

  • JIMSコレクターサービスは 、プロセスのステータス、プロセスID、開始時間、稼働時間を表示します。

  • [管理接続状態 ] には、現在の接続ポートと IP が表示されます。JIMSの現在のリリース/バージョンでは、同じサーバー上でのみ管理者として実行できます。

  • [アクティブ状態 ] には、種類ごとに Active Directory から収集されたオブジェクトの数が表示されます。

  • SRX Global Statistics には 、接続されている適用ポイント(クライアント)の総数と、これらの実施ポイントからリクエストされたクエリの総数が表示されます。

    また、JIMSサーバーがこれらの実施ポイントに提供したレポートの総数と、発生したエラーの数も表示されます。

  • [設定(Configuration)] には、設定されているオブジェクトの数とサポートされる最大オブジェクトの数が表示されます。
システム

設定されているすべてのシステムを一覧表示します。
施行ポイント

設定されているすべての適用ポイントを、デバイス固有の統計情報とともに一覧表示します。

詳細な説明と構成手順については、「適用ポイント」を参照してください
JIMSサーバー

構成済みのすべての JIMS サーバーを特定の統計情報とともに一覧表示します。

詳細な説明と構成手順については、JIMSサーバーを参照してください
イベントソース

構成済みのすべてのイベント ソースを特定の統計情報とともに一覧表示します。

詳細な説明と構成手順については、「ディレクトリ サービス」を参照してください
ディレクトリサービス

すべての設定済みディレクトリサービスを特定の統計情報とともに一覧表示します。

詳細な説明と構成手順については、JIMSサーバーを参照してください
PCプローブ

設定されているすべてのユーザー名と実行順序(プローブ統計情報を含む)を一覧表示します。

詳細な説明と設定手順については、「 アイデンティティプロデューサ」を参照してください。
Syslogのソース

特定の統計情報とともにJIMSにデータを送信するすべての設定済みSyslogクライアントを一覧表示します。

詳細な説明と設定手順については、「 アイデンティティプロデューサ」を参照してください。

JIMSサーバー

JIMSがインストールされると、ローカルJIMSサーバーが自動的に設定されます。Contrail® Service Orchestration(CSO)またはJuniper® Secure Edgeを使用する場合、これらは手動で設定する必要があります。

構成手順については、 JIMSサーバーを参照してください。

ディレクトリ サービス

JIMS Collectorがユーザー、デバイス、およびグループメンバーシップを収集するには、少なくとも1つのディレクトリサーバーを設定する必要があります。現時点では、アクティブディレクトリのみがサポートされています。

同じ資格情報で複数のディレクトリー・サーバーを使用する予定の場合は、テンプレートを作成して、各ディレクトリー・サーバーの入力を減らすことができます。

構成手順については、「ディレクトリ サービス」を参照してください

アイデンティティ プロデューサー

ユーザーおよびデバイスのステータスイベントを収集するように ID プロデューサーを設定できます。JIMSはこの情報を使用して、IPアドレスからユーザー名へのマッピングを提供します。JIMSは、ポリシー適用ポイント(SRXシリーズファイアウォール)にデバイス名とドメイン名も提供します。

ID プロデューサーには、以下に示す多くのタブが用意されています。

イベントソースは、ユーザー名と関連するIPアドレスを収集するために使用されます。これにより、IP_addressからユーザー名へのマッピングと、Microsoft ドメイン コントローラーまたは Microsoft Exchange Server からのドメイン名を持つデバイス名が作成されます。イベントソースは、サーバービュー>アイデンティティプロデューサから移動できます

同じ資格情報で複数のイベント ソースを使用する場合は、テンプレートを作成して、各イベント ソース サーバーの入力を減らすことができます。

構成手順については、「イベント ソースの追加」を参照してください

PC プローブは、ドメインに接続されているすべての Windows デバイスのイベント ソースと Syslog イベントを補完するものです。ドメインとユーザー名が欠落しているイベント ソースが IP アドレスに関連付けられている場合、pc プローブは特定のデバイスへの WMI 呼び出しを開始して、不足している情報を収集します。WMI 情報には機密データが含まれています。JIMS コレクターが信頼できないネットワークに WMI プローブを送信しないことを確認します。サーバ ビューからアイデンティティ プロバイダ>PCプローブに移動できます

設定手順については、 PC プローブの追加を参照してください。

Syslog ソースは、VPN コンセントレータ、ネットワーク アクセス コントロール(NAC)システム、ワイヤレス アクセス コントローラなどの他のシステムの IP からユーザとデバイスのマッピングを収集するために使用されます。アイデンティティプロデューサ>サーバビューからsyslogソースに移動できます

Syslogは、他の関数が提供するテンプレートの代わりに、正規表現(regex)として使用されます。Syslog は、各 syslog クライアント タイプに固有の基本設定を使用します。Juniper® Secure Connect用に作成済みの基本設定を使用して、ログオンおよびログオフイベントでアクティブなユーザーをログに記録できます。

メモ:正規表現を設定するときは、結果に次の文字が含まれていないことを確認してください: /\ [ ] : ; |= , + * ?< > @ "

設定手順については、 次を参照してください:Syslog ソースの追加

施行ポイント

適用ポイントを設定する必要があります。そうしないと、SRXシリーズファイアウォールは、ユーザー、デバイス、およびグループの情報を取得して、ID認識ポリシーを適用できません(ユーザーファイアウォール)。

同じクライアントIDとクライアントシークレットを持つSRXシリーズファイアウォールが多数ある場合は、テンプレートを作成して、各SRXシリーズファイアウォールの入力を減らすことができます。

設定手順については、JIMS UIでの適用ポイントの追加を参照してください。

SRXシリーズファイアウォールを備えたJIMS

JIMS(Juniper Identity Management Service)は、アクティブディレクトリドメインからユーザー、デバイス、グループの情報を収集および管理するために設計されたWindowsサービスアプリケーションです。

Juniper Identity Management Serviceを使用するには、実施ポイント(SRXシリーズファイアウォールとNFX)が適切に設定され、JIMSからID情報を取得する必要があります。

強制ポイントは、接続によってサーバーが失われたと宣言されるまで、プライマリ JIMS サーバーを使用します。強制ポイントは、障害が発生したプライマリサーバーを定期的に調査し、ユーザーの介入なしに再び使用可能になると、そのサーバーに戻ります。

JIMSサーバーへの接続では、実施ポイントとJIMSサーバー間の通信を暗号化するHTTPSトランスポートのみを使用する必要があります。実施ポイントとJIMSサーバーの両方が、クライアント ID とクライアント・シークレットを使用して接続を認証し、アクセス・トークンを生成します。このアクセストークンは、JIMSサーバーへの各クエリに存在する必要があります。

JIMSからユーザーID情報を取得するには、2つの方法があります。

  • バッチクエリ:

    SRXは、デフォルトで5秒ごとにバッチクエリメッセージをJIMSに送信し、利用可能なID情報を取得します。

  • IP クエリ:

    SRXが特定のIPアドレスに関する情報を欠いている場合、JIMSにipクエリを送信し、JIMSはその特定のIPアドレスのステータスを返すことができます。JIMSに指定されたIPアドレスのエントリーが含まれていない場合、SRXはこのIPが不明なユーザーであると脅威します。

SRXでは、JIMSが認識するID情報を除外するために使用できるフィルターを定義できます。特定のドメインにサブスクライブしたり、アドレス帳エントリまたはアドレスセットで定義された特定のIPプレフィックスに関連する情報を含めたり除外したりできます。これらのフィルターへの変更は、次のバッチ クエリ中にのみ行われます。

含めるフィルターまたは除外するフィルターに最大 xxx 個のアドレス帳/セット エントリを選択でき、xxx 個のアドレス帳エントリの合計数がセットとブックの両方で結合されます。

フィルター一覧には、最大 25 個のドメインを追加できます。アドレスセットがアドレスセットに含まれている場合、各アドレスセットにはx個のアドレス帳エントリを含めることができます。 set services user-identification identity-management filter

JIMSから取得したID管理認証テーブル内のユーザーID情報をリフレッシュできます。ID 情報は、次のバッチ クエリで更新されます。 clear services user-identification authentication-table authentication-source identity-management

ユーザーID情報を検索し、認証ソースを検証してデバイスへのアクセスを許可するには、以下を使用します run show services user-identification authentication-table authentication-source all

以下の構成は、SRXシリーズファイアウォール上の基本的なJIMSサーバー構成を示しています。

root@srx1# show services user-identification identity-management

詳細な設定手順については、 SRXシリーズファイアウォールを使用したJIMSの設定を参照してください。

フィルター

JIMSでは、JIMSサーバーがSRXシリーズファイアウォールに送信するレポートに含める、またはレポートから除外するIPアドレス範囲を指定できます。レポートに含めるアクティブディレクトリユーザーグループを指定することもできます。これらのフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。IPv4 アドレス フィルターは、以降のリリース バージョンでも適用できます。

JIMSは、SRXシリーズファイアウォールクエリーからのIPv6フィルターとシステムレベルのIPv6フィルターの両方をサポートしています。システム レベルのフィルターは、イベント ソースから IP アドレスをフィルター処理するために機能します。システム・レベルの IP フィルターは、JIMS管理インターフェースを介して構成します。JIMSサーバーは、構成されたイベント・ソースからログオン・イベントを受信するときに、IPセッションを組み込むか除外します。

例えば、192.x.x.xがJIMSサーバー上のシステムレベルフィルターの除外IPアドレスとして追加されたとします。192.x.x.x を持つユーザーがドメイン・コントローラーにログオンすると、JIMS サーバーはこのユーザーのセッションを無視します。したがって、192.x.x.xのエントリーはSRXシリーズファイアウォールに送信されません。

SRXシリーズファイアウォールのクエリで使用されるIPv6フィルターは、SRXシリーズファイアウォールで設定されます。SRXシリーズファイアウォールは、JIMSサーバーに送信するバッチクエリにIPアドレスを含めるか除外します。JIMSサーバーは、SRXシリーズファイアウォールから受信したフィルターに基づいてエントリーで応答します。ただし、SRXシリーズファイアウォールは、システムレベルフィルターのコンテキスト内でのみフィルターを適用することに注意してください。例えば、SRXシリーズのファイアウォールで192.0.2.0/24がインクルードフィルターとして設定されている場合、SRXシリーズのファイアウォールは192.0.2.0/24をインクルードサブネットとしてJIMSサーバーへのクエリーを送信します。JIMSサーバーはこのサブネット内のエントリーのみで応答しますが、JIMSサーバーは192.0.2.0/24以外のエントリーを多数保持しています。

さらに、JIMSサーバーでは、以下の条件でフィルタリングすることができます。

  • グループ - レポートに含める Active Directory ユーザー グループを定義します。グループフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。

  • ユーザー/デバイスイベント—JIMSサーバーのイベントフィルターを使用すると、ネットワークにフィルターを適用して、JIMSサーバーがSRXシリーズファイアウォールに送信するレポートから除外するユーザーまたはデバイスを定義できます。ユーザー/デバイスイベントフィルターは、正規表現マッチングを実行して、特定のユーザーまたはデバイスを名前でフィルタリングします。フィルターは、特定のユーザーまたはデバイスに関連付けられているイベントを無視します。

Junos OSリリースを実行しているSRXシリーズファイアウォールの場合、JIMSは個々のSRXシリーズファイアウォールから受信したフィルターを適用します。JIMSのフィルターを設定すると、サービスはまずネットワーク内のすべてのSRXシリーズファイアウォールに独自のフィルターを適用し、次に個々のSRXシリーズファイアウォールから受信したフィルターを適用します。

詳細な構成手順については、「 フィルターの追加」を参照してください。

設定

[設定] メニューは、次の 2 つのタブで構成されています。

  • 一般

  • ログ

サーバービューの設定により、JIMSが使用するポートの設定値を変更できます。JIMSローカル・サーバーに使用されるデジタル証明書を変更することもできます。サーバービュー>設定から一般に移動します

詳細な構成手順については、「全般」セクションの構成を参照してください。

サーバー ビューの [ログ記録] メニュー項目を使用すると、ログ レベルを変更できます。ログレベルを変更するのは、ジュニパーがトラブルシューティングのためにログを変更することを勧めた場合のみにしてください。サーバービュー>設定からのロギングへの移動

詳細な構成手順については、「 ログの構成」セクションを参照してください。