Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

顧客管理対象デバイス(オンプレミス)の導入

注:

「ジュニパーのSecure Edge導入の設定」と「ディレクトリサービスの追加」は、オンプレミスとSecure Edgeの両方の導入をご利用のお客様に必須です。

JIMSサーバー

JIMSサーバーは、デフォルトでローカルホスト接続用に設定されています。設定が完了すると、サーバーの JIMSサーバーポート最大データレート のみを編集できます。

新しいJIMSサーバーを設定することもできます。新しいJIMSサーバーを追加するには、以下の手順に従います。

  1. 追加をクリックして、新しいJIMSサーバーを追加します。
  2. サーバーのIPアドレスまたは完全修飾ドメイン名(FQDN)を入力します。
  3. 説明をしてください。
  4. 認証用のユーザー名パスワードを入力します。
  5. ドロップダウンメニューからJIMSサーバータイプを選択します。
  6. トラブルシューティングを実行する場合にのみ、TLSの選択を解除します。
  7. アイデンティティ、JIMSサーバーポートおよび最大データレートは、JIMSによって自動的に設定されます。設定>一般でのJIMSローカルサーバーのデジタル証明書の変更は非推奨になりました。このオプションはサポートされなくなりました。

ディレクトリサービス

ユーザー、デバイス、グループメンバーシップを収集するために、JIMS Collectorに少なくとも1つのディレクトリサーバーを設定する必要があります。現在サポートされているのはActive Directoryのみです。

同じ資格情報を持つ複数のDirectory Serverを使用する場合は、テンプレートを作成して各ディレクトリーサーバーの入力を減らすことができます。

新しいDirectory Serverを追加するには:

  1. 追加をクリックして、新しいDirectory Serverを追加します。
  2. オプションで、すでに作成されたテンプレートを使用して資格情報を事前に設定します。
  3. ソースはデフォルトで選択されています。
  4. 説明を入力します。
  5. サーバーのホスト名またはIPアドレスを入力します。
  6. 認証用のログインID)とパスワードを入力します。
  7. JIMS と Directory Server 間の通信を暗号化する場合は、「TLS 接続」を選択します。

IDプロデューサー

IDプロデューサーを設定して、ユーザーとデバイスのステータスイベントを収集できます。JIMSはこの情報を使用して、IPアドレスとユーザー名のマッピングを提供します。また、JIMSは、適用ポイント(SRXシリーズファイアウォール)にドメイン名付きのデバイス名を提供します。

IDプロデューサーには3つのタブ/オプションがあります。 IDプロデューサー セクションに記載されている情報に基づいて、導入に適したオプションを選択します。

イベントソースの追加

新しいイベントソースを追加するには:

  1. 追加をクリックして、新しいイベントソースを追加します。
  2. すでに作成されたテンプレートを使用して、資格情報を事前に設定します。
  3. ソースの種類(ドメインコントローラーまたはExchange Server)を選択します。
  4. オプションの説明を入力します。
  5. サーバーのホスト名またはIPアドレスを入力します。
  6. ログインIDとパスワードを入力します。これは、制限された権限を持つ新しく作成されたサービスアカウントである必要があります。
  7. 起動イベント履歴のキャッチアップ時間を入力します。これにより、JIMSは本番環境で使用される前に履歴データを収集したことを確認できます。

PCプローブを追加

新しいPCプローブを追加するには:

  1. 追加をクリックして、新しいPCプローブを追加します。
  2. ログインIDパスワードを入力します。これは、権限が制限された新しく作成されたサービスアカウントです。
  3. オプションの説明を入力します。
  4. 詳細を入力したら、ユーザー名を実行したい順序でユーザー名の順序を移動できます。

Syslogソースを追加

新しいsyslogソースを追加するには:

  1. 追加をクリックして、新しいSyslogソースを追加します。
  2. オプションで、すでに作成済みのベース設定を使用します。
  3. サーバー(Syslogクライアント)のIPアドレスまたはFQDNを入力します。
  4. オプションの説明を入力します。
  5. 追加をクリックして、一致する正規表現を定義します。

フィルター

JIMSサーバーでは、以下でフィルタリングできます。

  • IPフィルター— IP範囲の開始IP範囲の終了を指定します。

  • イベント/グループフィルター—レポートに含める ユーザーまたはデバイス を入力します。グループフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。ドメイン も指定します。

  • DNフィルター— DNフィルターを入力します。正規表現の使用を推奨します。

設定

設定メニューには、次の2つのタブがあります。

ロギング

[ ログ] セクションに、以下の詳細を入力します。

  1. ファイル名プレフィックスを入力します。
  2. [選択]をクリックして、必要なディレクトリを選択します。
  3. ファイルサイズを入力します。
    注:

    許容されるファイルサイズは、1〜2000MBです。
  4. ファイルのライフタイムを入力します。
    注:

    許容されるファイルの有効期間は、1〜30日です。

全般

一般セクションで、以下の詳細を入力します。

  1. 管理インターフェイス設定で、TLS(https)ポートを入力します。
  2. ユーザーセッション設定で、ログオフ時間を入力します。
    注:

    許容可能なログオフ時間枠は、1 分から 1440 分以内にする必要があります。
  3. グローバル設定セクション(JIMSの再起動が必要)で、Syslogの初期タイムスパン(分)を入力します。要件に基づいて、適切なオプションを選択します:UPNに合格する、複合ユーザー名を許可する、他のドメインを信頼する。

適用ポイント

JIMS UIでの適用ポイントの追加

適用ポイント(SRX/NFXデバイス)を設定する必要があります。設定しないと、ユーザー、デバイス、グループ情報を取得してID認識ポリシー(ユーザーファイアウォール)を適用できません。

同じクライアントIDとクライアントシークレットを持つ多数の適用ポイントがある場合は、テンプレートを作成して、それぞれの入力を減らすことができます。

新しい適用ポイントを追加するには:

  1. 追加をクリックします
  2. オプションで、すでに作成されたテンプレートを使用して資格情報を事前に設定します。
  3. SRX IPアドレスを入力します。
  4. サブネット内に複数の適用ポイントがある場合は、それらすべてをカバーする一致するサブネットを入力できます。
  5. オプションの説明を入力します。
  6. 組織で使用されているIPv6として報告できるようにします。これにより、適用ポイントの認証テーブルに重複したレコードが追加されます。
  7. このデバイスに使用されるクライアントIDクライアントシークレットを入力します。
  8. トークンのライフタイムが適用されます。このライフタイムは変更/調整できます。

JunosでJIMSを設定する

SRXシリーズファイアウォールを使用したJIMSの設定

以下の手順を使用して、SRXシリーズファイアウォールでJIMSを設定します。

  1. プライマリ/セカンダリJIMSサーバーのFQDN/IPアドレスを設定します。

  2. SRXシリーズデバイスが認証の一環としてJIMSプライマリ/セカンダリサーバーに提供するクライアントIDとクライアントシークレットを設定します。

  3. オプションで、JIMSサーバーへの到達に使用するソースIPまたはルーティングインスタンスを設定します。

    注:

    また、適用ポイントを設定して、JIMSサーバーの証明書を検証することもできます。これを行うには、「詳細」セクションを参照してください。

  4. デバイスがクエリに応答して1つのバッチで受け入れるユーザーIDアイテムの最大数を設定します。

  5. デバイスが新しく生成されたユーザーIDに対してクエリ要求を発行するまでの間隔を秒単位で設定します。

  6. SRXシリーズファイアウォールに関心のあるアクティブディレクトリドメインを設定します。フィルターには最大20個のドメイン名を指定できます。

  7. IPフィルターを含むアドレス帳名を設定します。

  8. すべてのモジュールの参照アドレスセット、トレースオプションファイル名、トレースファイルサイズ、デバッグ出力レベル、トレースID管理を設定するには、以下のコマンドを適切に使用します。

デバイスID認証ソース(エンドユーザープロファイル)の設定

デバイスID認証ソースとセキュリティポリシーを指定します。デバイスは、認証ソースから認証済みデバイスのデバイスID情報を認証元から取得します。ユーザーのデバイスから発行されたトラフィックがデバイスに到着すると、デバイスはデバイスID認証テーブルを検索してデバイス一致を検索します。一致するものが見つかった場合、デバイスは一致するセキュリティポリシーを検索します。一致するセキュリティポリシーが見つかった場合、セキュリティポリシーのアクションがトラフィックに適用されます。

以下の手順を使用して、デバイスID認証ソースを設定します。

  1. デバイスID認証ソースを指定します。

  2. デバイスが属するデバイスIDプロファイルとドメイン名を設定します。

  3. プロファイル名属性デバイスID文字列を設定します。

ソースIDに一致するファイアウォールポリシーの設定。

以下の手順を使用して、IDに基づいてアクセスを制御する1つ以上のファイアウォールポリシーを設定します。

  1. セキュリティポリシーの送信元または宛先アドレスを作成し、ポリシーに一致するようにアプリケーション/サービスを設定します。

  2. JIMSがデバイスに送信するユーザー名またはロール(グループ)名を定義します。例 : "jims-dom1.local\user1" 。

  3. ポリシーが一致する場合はパケットを許可します。

  4. セッション開始時刻とセッション終了時刻を設定するには、以下のコマンドを使用します。

    5. It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: