Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

顧客が管理するデバイス(オンプレミス)の展開

手記:

オンプレミス展開とSecure Edge展開の両方を使用しているお客様には、「Juniper Secure Edge展開の構成」と「ディレクトリサービスの追加」が必須です。

JIMS サーバー

JIMS サーバーは、既定で localhost 接続用に構成されています。いったん構成すると、サーバーの JIMS サーバー ポート最大データ レート のみを編集できます。

新しい JIMS サーバーを構成することもできます。新しい JIMS サーバーを追加するには、次の手順に従います。

  1. [追加] をクリックして、新しい JIMS サーバーを追加します。
  2. サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
  3. 説明を入力します。
  4. 認証のために [ユーザー名] と [パスワード] を入力します。
  5. ドロップダウン メニューから [JIMS サーバーの種類] を選択します。
  6. トラブルシューティングを実行する場合にのみ、[TLS] の選択を解除します。
  7. ID の JIMS サーバー ポート最大データ レートは、JIMS によって自動的に構成されます。組織によって署名された証明書に変更するか、JIMS が提供する既定の証明書を使用できます。

ディレクトリサービス

JIMS collector がユーザー、デバイス、およびグループ メンバーシップを収集するには、少なくとも 1 つのディレクトリ サーバーを構成する必要があります。現在、Active Directory のみがサポートされています。

同じ資格証明で複数の Directory Server を使用する場合は、テンプレートを作成して、各ディレクトリサーバーの入力を減らすことができます。

新しい Directory Server を追加するには、次の手順に従います。

  1. 追加」をクリックして、新しいディレクトリ・サーバーを追加します。
  2. 必要に応じて、作成済みのテンプレートを使用して資格情報を事前構成します。
  3. デフォルトではソースが選択されています。
  4. 説明を入力します。
  5. サーバーのホスト名またはIP アドレスを入力します。
  6. 認証のために、ログインID)とパスワードを入力します。
  7. JIMS と Directory Server 間の通信を暗号化する場合は、[TLS 接続] を選択します。

アイデンティティプロデューサー

アイデンティティプロデューサを設定して、ユーザーおよびデバイスのステータスイベントを収集できます。JIMS は、この情報を使用して、IP アドレスとユーザー名のマッピングを提供します。JIMSは、強化ポイント(SRXシリーズファイアウォール)へのドメイン名を含むデバイス名も提供します。

ID プロデューサーには 3 つのタブ/オプションがあります。 「アイデンティティ・プロデューサー 」セクションに記載されている情報に基づいて、デプロイメントに適したオプションを選択します。

イベントソースを追加

新しいイベントソースを追加するには:

  1. 追加」をクリックして、新しいイベントソースを追加します。
  2. 既存のテンプレートを使用して、資格情報を事前構成します。
  3. ドロップダウンメニューからソースのタイプを選択します。

    • ドメイン コントローラー

    • Exchange サーバー

    • Windows イベント コレクター (WEC)

  4. 「Windows イベント・コレクター (WEC)」を選択した場合は、ログを収集するチャネル・パスを入力します。
  5. オプションの説明を入力します。
  6. サーバーのホスト名またはIP アドレスを入力します。
  7. ログインIDパスワードを入力します。制限された権限で作成された専用サービスアカウントを使用します。
  8. [スタートアップ イベント履歴のキャッチアップ時間] を入力して、システムがアクティブな監視を開始する前に JIMS が履歴イベント ログを収集するようにします。

PCプローブを追加

新しい PC プローブを追加するには、次の手順を実行します。

  1. [Add] をクリックして、新しい PC プローブを追加します。
  2. ログインIDパスワードを入力します。これは、権限が制限された新しく作成されたサービスアカウントです。
  3. オプションの説明を入力します。
  4. 詳細を入力したら、実行する順序でユーザー名の順序を移動できます。

Syslogソースの追加

新しいsyslogソースを追加するには:

  1. [追加(Add)] をクリックして、新しい Syslog ソースを追加します。
  2. 必要に応じて、既存の基本構成を選択して、定義済みの設定を継承します。
  3. Syslogクライアント(ログを送信するサーバー)のIPアドレスまたは完全修飾ドメイン名(FQDN)を入力します
  4. オプションの説明を入力します。
  5. 追加」をクリックして、一致する正規表現を定義します。
  6. [正規表現シーケンス(Regular Expression Sequences)] セクションに移動します。右側に、[追加]、[編集]、および[削除]ボタンが表示されます。
  7. [追加(Add)] をクリックして、新しい正規表現シーケンスを定義します。「正規表現ビルダーの追加」というタイトルのポップアップウィンドウが表示されます。
  8. ポップアップウィンドウで、次の詳細を入力します。
    1. 説明: シーケンスの簡単な説明。
    2. ID: 自動生成され、既定では 1 から始まります。
    3. タイプ: ドロップダウンメニューからシーケンスのタイプを選択します。

      • セッションの開始

      • セッション終了

    4. 標準属性カテゴリ: パターンに関連する適用可能な属性カテゴリを指定します。
    5. Trigger Match Expression: 一致をトリガーする正規表現パターンを定義します。
    6. Return Count(オプション):この式が一致を返す回数を設定します。
    7. 開始時刻 (分単位) (オプション): 一致の評価を開始する時間枠を指定します。
    8. 元 IP に一致: 式で送信元 IP を一致させるかどうかに基づいて、チェックボックスを有効または無効にします。
  9. フィールドに入力したら、[追加] をクリックしてシーケンスを保存します。
  10. [OK] をクリックして、[正規表現シーケンス(Regular Expression Sequences)] テーブルに新しく定義したシーケンスを入力します。設定が完了すると、正規表現シーケンスは選択したSyslogソースに関連付けられ、それに応じて受信ログメッセージの照合に使用されます。

フィルター

JIMS サーバーでは、次の条件でフィルター処理できます。

  • [IP フィルター(IP Filters)]:指定した IP 範囲のトラフィックをレポートに 含めたり、除外 したりできます。同様に、IPフィルターを含めると、SRXへの更新送信中にこれらのIP範囲のみが含まれます。同様に、IPフィルターを除外すると、SRXへの更新からIP範囲が除外されます。 [IP Range Start ] と [IP Range End] の入力が必要です。

  • ユーザー/デバイスフィルター:レポートから 特定のユーザーまたはデバイスを除外 するように設計されています。ユーザー名またはデバイス識別子を指定して、不要なデータを除外できます。無関係なソースや既知のソースを省略することで、イベントの可視性を洗練させるのに役立ちます。

  • グループフィルター - イン クルードフィルターとして機能し、ネットワーク内のすべての SRXシリーズファイアウォール に適用されます。マッチングを改善するために、グループ仕様と一緒に ドメイン を追加することもできます。

  • DNフィルター識別名(DN)に基づいてエントリーを除外するために使用します。ディレクトリから特定の組織単位やユーザー パスを除外するのに最適です。

    手記:正規表現の使用をサポートし、ユーザー/デバイスフィルター、グループフィルター、DNフィルターのより正確で柔軟なマッチングを実現します。

設定

[設定] メニューは、次の 2 つのタブで構成されています。

伐採

[ ログ] セクションで、次の詳細を入力します。

  1. ファイル名の接頭辞を入力します。
  2. [選択]をクリックして、必要なディレクトリを選択します。
  3. ファイルサイズを入力します。
    手記:

    許容されるファイルサイズの範囲は 1 から 2000 MB です。
  4. ファイルのライフタイムを入力します。
    手記:

    ファイルの有効期間は 1 日から 30 日です。

全般

[ 全般 ] セクションで、次の詳細を入力します。

  1. [管理インターフェイスの設定(Administrative Interface Configuration)] で、TLS(https)ポートを入力します。
  2. [ユーザー セッションの構成] で、ログオフ時刻を入力します。
    手記:

    許容されるログオフ時間枠は、1 分から 1440 分以内である必要があります。
  3. [グローバル設定(Global Configuration)] セクション(JIMS の再起動が必要)で、[Syslog Initial Timespan (minutes)] を入力します。要件に基づいて、適切なオプション ([Pass UPN]、[Permit Compound Usernames]、および [Trust Other Domains]) を選択します。

適用ポイント

JIMS UI での適用ポイントの追加

適用ポイント(SRX/NFXデバイス)を設定しないと、アイデンティティ認識ポリシー(ユーザーファイアウォール)を適用するためのユーザー、デバイス、およびグループの情報を取得できません。

同じクライアント ID とクライアント シークレットを持つ適用ポイントが多数ある場合は、テンプレートを作成して、それぞれの入力を減らすことができます。

新しい適用ポイントを追加するには:

  1. [追加] をクリックします。
  2. 必要に応じて、作成済みのテンプレートを使用して資格情報を事前構成します。
  3. SRX IP アドレスを入力します。
  4. サブネット内に複数の適用ポイントがある場合は、それらすべてをカバーする一致するサブネットを入力できます。
  5. オプションの説明を入力します。
  6. 組織で使用されている IPv6 レポートを IPv6 として有効にします。これにより、強制ポイントの認証テーブルに重複するレコードが追加されます。
  7. このデバイスに使用する [クライアント ID] と [クライアント シークレット] を入力します。
  8. トークンの有効期間が適用されます。この有効期間は変更/調整できます。

JunosでJIMSを設定する

SRXシリーズファイアウォールを備えたJIMSの設定

SRXシリーズファイアウォールでJIMSを設定するには、次の手順を使用します。

  1. プライマリ/セカンダリ JIMS サーバーの FQDN/IP アドレスを構成します。

  2. SRXシリーズデバイスが認証の一環としてJIMSプライマリ/セカンダリサーバーに提供するクライアントIDとクライアントシークレットを設定します。

  3. 必要に応じて、JIMS サーバーへの到達に使用する source-ip またはルーティング インスタンスを構成します。

    手記:

    また、JIMS サーバーの証明書を検証するように強制ポイントを構成することもできますが、これを行うには、「詳細」セクションを参照してください。

  4. クエリへの応答として、デバイスが 1 つのバッチで受け入れるユーザー ID 項目の最大数を構成します。

  5. デバイスが新しく生成されたユーザー ID のクエリ要求を発行する間隔を秒単位で構成します。

  6. SRXシリーズファイアウォールの対象となるActive Directoryドメインを設定します。フィルターには最大 20 個のドメイン名を指定できます。

  7. IP フィルターを含むようにアドレス帳名を構成します。

  8. すべてのモジュールに対して、参照アドレス セット、トレース オプション ファイル名、トレース ファイル サイズ、デバッグ出力レベル、およびトレース ID 管理を構成するには、以下のコマンドを適切に使用します。

デバイス アイデンティティ認証ソース(end-user-profile)の設定

デバイスアイデンティティ認証ソースとセキュリティポリシーを指定します。デバイスは、認証されたデバイスのデバイス識別情報を認証ソースから取得します。ユーザーのデバイスから発行されたトラフィックがデバイスに到着すると、デバイスはデバイス アイデンティティ認証テーブルでデバイスの一致を検索します。一致するものが見つかった場合、デバイスは一致するセキュリティポリシーを検索します。一致するセキュリティポリシーが見つかった場合、セキュリティポリシーのアクションがトラフィックに適用されます。

次の手順を使用して、デバイス アイデンティティ認証ソースを設定します。

  1. デバイスアイデンティティ認証ソースを指定します。

  2. デバイスが属するデバイス アイデンティティ プロファイルとドメイン名を設定します。

  3. プロファイル名、属性、デバイス、識別文字列を設定します。

送信元 ID と一致するファイアウォール ポリシーの構成。

次の手順を使用して、ID に基づいてアクセスを制御する 1 つ以上のファイアウォールポリシーを構成します。

  1. セキュリティポリシーの送信元アドレスまたは宛先アドレスを作成し、ポリシーに一致するようにアプリケーション/サービスを設定します。

  2. JIMSがデバイスに送信するユーザー名またはロール(グループ)名を定義します。 たとえば、 "jims-dom1.local\user1" です。

  3. ポリシーが一致する場合は、パケットを許可します。

  4. セッション開始時刻とセッション終了時刻を設定するには、次のコマンドを使用します。

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: