Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JIMS管理ユーザーインターフェイスと設定

このセクションでは、JIMS管理インターフェイスとその構成オプションについて説明します。

JIMSユーザーインターフェイスメニュー

JIMSユーザーインターフェイスは3つのメニューで構成されています。

以下の図は、JIMS UIを捉えています。

図2:JIMS UI画面

表1:
メニュー の説明
ファイル

JIMSに関連する設定データをインポートおよびエクスポートできます。ファイルメニューを使用して、JIMSコレクターをジュニパーセキュアエッジに接続し、失われたUIの接続に再接続できます。
編集 テーブル/リストビューを備えたユーザーインターフェイスからコンテンツをコピーおよび検索できます。
ヘルプ バージョン、ビルド、および商標通知、全著作権所有、帰属、ライセンス条件などのその他の著作権情報など、JIMSに関するドキュメントや情報を見つけることができます。

その他のUIオプションを以下に示します。

監視

監視メニューには、状態やイベントなどに関連するさまざまな情報が記載されたタブがいくつかあります。トップバーの日付と時刻は、GMT形式で日付と時刻を表示します。

監視メニューには8つのタブがあります。

表2:
メニュー の説明
概要

  • JIMSコレクタサービス は、プロセスのステータス、プロセスID、開始時間、稼働時間を表示します。

  • 管理者接続状態 は、現在の接続ポートとIPを示しています。JIMSの現在のリリース/バージョンでは、同じサーバー上でのみ管理者として実行できます。

  • アクティブな状態 は、タイプごとにアクティブディレクトリから収集されたオブジェクトの数を表示します。

  • SRXグローバル統計には 、接続されている適用ポイント(クライアント)の総数と、これらの適用ポイントから要求されたクエリの合計数が表示されます。

    また、JIMSサーバーがこれらの適用ポイントに提供したレポートの合計数と、発生したエラー数も表示されます。

  • 設定は、 設定されたオブジェクトの数とサポートされる最大数を示しています。
システム

設定されているすべてのシステムを一覧表示します。
適用ポイント

設定されているすべての適用ポイントとデバイス固有の統計を一覧表示します。

詳細な説明と設定手順については、「適用ポイント」を参照してください
JIMSサーバー

設定されているすべてのJIMSサーバーを特定の統計とともに一覧表示します。

詳細な説明と設定手順については、JIMSサーバーを参照してください
イベントソース

設定されているすべてのイベントソースと特定の統計を一覧表示します。

詳細な説明と設定手順については、ディレクトリサービスを参照してください
ディレクトリサービス

設定されているすべてのディレクトリサービスを特定の統計とともに一覧表示します。

詳細な説明と設定手順については、JIMSサーバーを参照してください
PCプローブ

設定されたすべてのユーザー名と、プローブ統計を含む実行順序を一覧表示します。

詳細な説明と設定手順については、IDプロデューサーを参照してください
Syslogソース

特定の統計とともにJIMSにデータを送信するすべての設定済みSyslogクライアントを一覧表示します。

詳細な説明と設定手順については、IDプロデューサーを参照してください

JIMSサーバー

JIMSをインストールすると、ローカルJIMSサーバーが自動的に設定されます。Contrail® Service Orchestration(CSO)またはジュニパー® Secure Edge を使用する場合は、手動で設定する必要があります。

設定手順については、JIMSサーバーを参照してください。

ディレクトリサービス

ユーザー、デバイス、グループメンバーシップを収集するために、JIMS Collectorに少なくとも1つのディレクトリサーバーを設定する必要があります。現在サポートされているのはActive Directoryのみです。

同じ資格情報を持つ複数のディレクトリー・サーバーを使用する場合は、テンプレートを作成して各ディレクトリー・サーバーの入力を減らすことができます。

設定手順については、ディレクトリサービスを参照してください

IDプロデューサー

IDプロデューサーを設定して、ユーザーとデバイスのステータスイベントを収集できます。JIMSはこの情報を使用して、IPアドレスとユーザー名のマッピングを提供します。また、JIMSは、適用ポイント(SRXシリーズファイアウォール)にドメイン名付きのデバイス名を提供します。

IDプロデューサーには、以下に示す多数のタブがあります。

イベントソース は、ユーザー名と関連するIPアドレスを収集するために使用されます。これにより、IP_addressからユーザー名へのマッピングと、MicrosoftドメインコントローラーまたはMicrosoft Exchange Serverのドメイン名を含むデバイス名が作成されます。イベントソースには、 サーバービュー > IDプロデューサーから移動できます。

同じ資格情報を持つ複数のイベントソースを使用する場合は、テンプレートを作成して各イベントソースサーバーの入力を減らすことができます。

設定手順については、「イベントソースの追加」を参照してください。

PCプローブは、ドメインに接続されているすべてのWindowsデバイスのイベントソースとSyslogイベントを補完するものです。ドメインとユーザー名が欠落しているイベントソースがIPアドレスに関連付けられている場合、PCプローブは特定のデバイスに対してWMI呼び出しを開始し、欠落している情報を収集します。WMI 情報には機密データが含まれています。JIMS Collectorが信頼できないネットワークにWMIプローブを送信しないことを確認します。サーバービュー>IDプロバイダーからPCプローブに移動できます

設定手順については、PCプローブの追加を参照してください

Syslogソースは、VPNコンセントレータ、ネットワークアクセス制御(NAC)システム、無線アクセスコントローラなどの他のシステムからIPからユーザーやデバイスマッピングを収集するために使用されます。サーバービュー>IDプロデューサーからsyslogソースに移動できます

Syslogは、他の関数が提供するテンプレートではなく、正規表現(正規表現)として使用されます。Syslogは、各syslogクライアントタイプに固有の基本設定を使用します。ジュニパー® セキュアな接続用にすでに作成されているベース設定を使用して、ログオンおよびログオフ イベントでアクティブなユーザーをログに記録できます。

注:正規表現を設定する際は、結果に次の文字が含まれていないことを確認してください: /\ [ ] : ; |= , + * ?< > @ "

設定手順については、Syslogソースの追加を参照してください。

適用ポイント

適用ポイントを設定する必要があります。そうしないと、SRXシリーズファイアウォールは、ユーザー、デバイス、グループ情報を取得してID認識ポリシー(ユーザーファイアウォール)を適用できません。

同じクライアントIDとクライアントシークレットを持つ多数のSRXシリーズファイアウォールがある場合、テンプレートを作成して各SRXシリーズファイアウォールの入力を減らすことができます。

設定手順については、「JIMS UIでの適用ポイントの追加」を参照してください。

SRXシリーズファイアウォールを使用したJIMS

JIMS(ジュニパー Identity Management Service)は、Active Directoryドメインからユーザー、デバイス、グループ情報を収集および管理するために設計されたWindowsサービスアプリケーションです。

ジュニパー Identity Management Serviceを使用するには、JIMSからID情報を取得するために適用ポイント(SRXシリーズファイアウォールとNFX)を適切に構成する必要があります。

適用ポイントは、接続がサーバーを失ったと宣言するまで、プライマリJIMSサーバーを使用します。適用ポイントは定期的に、障害が発生したプライマリサーバーをプローブし、それが再び利用可能になると、ユーザーの介入なしでそのサーバーに戻ります。

JIMSサーバーへの接続では、適用ポイントとJIMSサーバー間の通信を暗号化するHTTPSトランスポートのみを使用する必要があります。適用ポイントとJIMSサーバーの両方が、アクセストークンを生成するクライアントIDとクライアントシークレットを使用して接続を認証します。このアクセストークンは、JIMSサーバーへの各クエリに存在する必要があります。

JIMSからユーザーID情報を取得するには、2つの方法があります。

  • バッチクエリ:

    SRXはデフォルトで5秒ごとにバッチクエリメッセージをJIMSに送信し、利用可能なID情報を取得します。

  • IPクエリー:

    SRXに特定のIPアドレスに関する情報が欠落している場合、JIMSにIPクエリを送信することで、その特定のIPアドレスのステータスが返されます。JIMSに指定されたIPアドレスのエントリが含まれていない場合、SRXは不明なユーザーとしてこのIPを脅かします。

SRXでは、JIMSが認識しているID情報を除外するために使用できるフィルターを定義できます。特定のドメインを購読したり、アドレス帳エントリーやアドレスセットで定義された特定のIPプレフィックスに関連する情報を含めたり除外したりできます。これらのフィルターへの変更は、次のバッチ クエリ中にのみ実行されます。

含めるフィルタまたは除外フィルタで最大xxxのアドレス帳/セットエントリーを選択でき、xxxのアドレス帳エントリーの合計数はセットとブックの両方で合計されます。

フィルタリストには最大25個のドメインを追加できます。アドレスセットがアドレスセットに含まれている場合、各アドレスセットにはx個のアドレス帳エントリーを含めることができます。 set services user-identification identity-management filter

JIMSから取得したID管理認証テーブル内のユーザーID情報を更新できます。ID情報は、次のバッチクエリ時に更新されます。 clear services user-identification authentication-table authentication-source identity-management

ユーザーID情報を検索し、デバイスへのアクセスを許可するための認証ソースを検証するには、run show services user-identification authentication-table authentication-source allを使用します

次の設定は、SRXシリーズファイアウォール上の基本的なJIMSサーバー設定を示しています。

root@srx1# show services user-identification identity-management

詳細な設定手順については、SRXシリーズファイアウォールを使用したJIMSの設定を参照してください

フィルター

JIMSでは、JIMSサーバーがSRXシリーズファイアウォールに送信するレポートに含める、またはレポートから除外するIPアドレス範囲を指定することができます。レポートに含めるActive Directoryユーザーグループを指定することもできます。これらのフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。IPv4アドレスフィルターは、それ以降のリリースバージョンでも適用できます。

JIMSは、SRXシリーズファイアウォールクエリからのIPv6フィルターとシステムレベルのIPv6フィルターの両方をサポートしています。システムレベルのフィルターは、イベントソースからIPアドレスをフィルタリングするために機能します。システムレベルIPフィルターは、JIMS管理インターフェイスを介して設定されます。JIMSサーバーは、JIMSサーバーが設定されたイベントソースからログオンイベントを受信するときに、IPセッションを含めたり、除外したりします。

例えば、192.x.x.xがJIMSサーバーのシステムレベルフィルターに除外IPアドレスとして追加されたとします。192.x.x.xを持つユーザーがドメインコントローラにログオンすると、JIMSサーバーはこのユーザーのセッションを無視します。したがって、192.x.x.xのエントリーはSRXシリーズファイアウォールに送信されません。

SRXシリーズファイアウォールクエリで使用されるIPv6フィルターは、SRXシリーズファイアウォールで設定されています。SRXシリーズファイアウォールは、JIMSサーバーに送信するバッチクエリにIPアドレスを含めたり、除外したりします。JIMSサーバーは、SRXシリーズファイアウォールから受信したフィルターに基づいてエントリーで応答します。ただし、SRXシリーズファイアウォールは、システムレベルフィルターのコンテキスト内でのみフィルターを適用することに注意してください。例えば、192.0.2.0/24がインクルードフィルターとしてSRXシリーズファイアウォールで設定されている場合、SRXシリーズファイアウォールは192.0.2.0/24をインクルードサブネットとして含むクエリをJIMSサーバーに送信します。JIMSサーバーは192.0.2.0/24以外の多くのエントリを保持しますが、JIMSサーバーはこのサブネット内のエントリのみで応答します。

さらに、JIMSサーバーでは、以下でフィルタリングできます。

  • グループ—レポートに含めるActive Directoryユーザーグループを定義します。グループフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。

  • ユーザー/デバイスイベント—JIMSサーバーのイベントフィルターにより、ネットワークにフィルターを適用して、JIMSサーバーがSRXシリーズファイアウォールに送信するレポートから除外するユーザーまたはデバイスを定義できます。ユーザー/デバイスイベントフィルターは、正規表現の一致を実行して、特定のユーザーまたはデバイスを名前でフィルタリングします。このフィルターは、特定のユーザーまたはデバイスに関連するイベントを無視します。

Junos OSリリースを実行しているSRXシリーズファイアウォールの場合、JIMSは個々のSRXシリーズファイアウォールから受信したフィルターを適用します。JIMSのフィルターを設定すると、サービスはまずネットワーク内のすべてのSRXシリーズファイアウォールに独自のフィルターを適用し、次に個々のSRXシリーズファイアウォールから受信したフィルターを適用します。

詳細な設定手順については、「フィルターの追加」を参照してください

設定

設定メニューには、次の2つのタブがあります。

  • 全般

  • ロギング

サーバービューの設定では、JIMSが使用するポートの設定値を変更できます。JIMSローカルサーバーに使用されるデジタル証明書を変更することもできます。サーバービュー>設定から一般に移動します。

詳細な設定手順については、「全般の設定」セクションを参照してください

サーバービューの「ログ」メニュー項目では、ログレベルを変更できます。ログレベルを変更するのは、ジュニパーがトラブルシューティングのためにログを変更するようアドバイスした場合にのみ行います。サーバービューからロギングに移動>設定

詳細な設定手順については、「ログの設定」セクションを参照してください