このページの目次
顧客管理デバイス(オンプレミス)の導入
オンプレミスとセキュアエッジの両方の導入を使用しているお客様は、「Juniper Secure Edge導入の設定」と「ディレクトリサービスの追加」が必須です。
JIMSサーバー
JIMSサーバーは、デフォルトでローカルホスト接続用に設定されています。一度構成すると、サーバーの JIMSサーバーポート と 最大データレート のみを編集できます。
新しいJIMSサーバーを設定することもできます。新しいJIMSサーバーを追加するには、以下の手順に従います。
- 「追加」をクリックして、新しい JIMS サーバーを追加します。
- サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
- 説明を付けます。
- 認証用のユーザー名とパスワードを入力します。
- ドロップダウンメニューからJIMSサーバータイプを選択します。
- [TLS] の選択を解除するのは、トラブルシューティングを実行する場合のみです。
- JIMSサーバーポートと最大データレートは、JIMSによって自動的に設定されます。組織によって署名された証明書に変更することも、JIMSが提供するデフォルトの証明書を使用することができます。
ディレクトリサービス
JIMS Collectorがユーザー、デバイス、およびグループメンバーシップを収集するには、少なくとも1つのディレクトリサーバーを設定する必要があります。現時点では、アクティブディレクトリのみがサポートされています。
同じ資格情報で複数のディレクトリー・サーバーを使用する予定の場合は、テンプレートを作成して、各ディレクトリー・サーバーの入力を減らすことができます。
新しいディレクトリサーバーを追加するには:
- 「追加」をクリックして、新規ディレクトリー・サーバーを追加します。
- 必要に応じて、作成済みのテンプレートを使用して資格情報を事前に構成します。
- ソースはデフォルトで選択されています。
- 説明を入力します。
- サーバーのホスト名または IP アドレスを入力します。
- 認証のためにログインID)とパスワードを入力します。
- JIMSとディレクトリサーバー間の通信を暗号化する場合は、[TLS接続]を選択します。
アイデンティティ プロデューサー
ユーザーおよびデバイスのステータスイベントを収集するように ID プロデューサーを設定できます。JIMSはこの情報を使用して、IPアドレスからユーザー名へのマッピングを提供します。JIMSは、ポリシー適用ポイント(SRXシリーズファイアウォール)にデバイス名とドメイン名も提供します。
アイデンティティプロデューサには3つのタブ/オプションがあります。「 アイデンティティ・プロデューサ 」セクションで提供される情報に基づいて、デプロイメントに適したオプションを選択します。
イベントソースの追加
新しいイベントソースを追加するには:
- [追加] をクリックして、新しいイベント ソースを追加します。
- 作成済みのテンプレートを使用して、資格情報を事前に構成します。
- ソースの種類 (ドメイン コントローラまたは Exchange サーバー) を選択します。
- 必要に応じて説明を入力します。
- サーバーのホスト名または IP アドレスを入力します。
- ログインIDとパスワードを入力します。これは、制限された特権を持つ新しく作成されたサービス アカウントである必要があります。
- 起動イベント履歴のキャッチアップ時間を入力します。これにより、JIMSは本番環境で使用する前に履歴データを収集します。
PCプローブの追加
新しい PC プローブを追加するには、次の手順を実行します。
- [追加] をクリックして、新しい PC プローブを追加します。
- ログインIDとパスワードを入力します。これは、制限された特権を持つ新しく作成されたサービス アカウントです。
- 必要に応じて説明を入力します。
- 詳細を入力したら、ユーザー名の順序を、実行する順序で移動できます。
Syslogソースの追加
新しい syslog ソースを追加するには、次の手順を実行します。
- [追加] をクリックして、新しい Syslog ソースを追加します。
- オプションで、作成済みの基本構成を使用します。
- サーバ(Syslog クライアント)の IP アドレスまたは FQDN を入力します。
- 必要に応じて説明を入力します。
- [Add] をクリックして、一致する正規表現を定義します。
フィルター
JIMSサーバーでは、以下の条件でフィルタリングすることができます。
-
IP フィルター: IP 範囲の開始 と 終了を指定します。
-
イベント/グループ フィルター - レポートに含める ユーザーまたはデバイス を入力します。グループフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。 [ドメイン] も指定します。
-
DNフィルター: DNフィルターを入力します。正規表現を使用することをお勧めします。
施行ポイント
JIMS UIでの適用ポイントの追加
適用ポイント(SRX/NFXデバイス)を設定する必要があります。設定しないと、ユーザー、デバイス、グループの情報を取得してアイデンティティ認識ポリシーを適用できません(ユーザーファイアウォール)。
同じクライアント ID とクライアント シークレットを持つ適用ポイントが多数ある場合は、テンプレートを作成して、それぞれの入力を減らすことができます。
新しい適用ポイントを追加するには:
- [追加] をクリックします。
- 必要に応じて、作成済みのテンプレートを使用して資格情報を事前に構成します。
- SRX IPアドレスを入力します。
- サブネット 内に複数の適用ポイントがある場合は、それらすべてをカバーする一致する サブネット を入力できます。
- 必要に応じて説明を入力します。
- 組織で使用されている IPv6 として IPv6 レポートを有効にします。これにより、重複したレコードが適用ポイントの認証テーブルに追加されます。
- このデバイスに使用するクライアント ID とクライアント シークレットを入力します。
- トークンの有効期間が適用されます。この有効期間は変更/調整できます。
Junos での JIMS の設定
SRXシリーズファイアウォールによるJIMSの設定
以下の手順に従って、SRXシリーズファイアウォールでJIMSを設定します。
-
1次/2次JIMSサーバーのFQDN/IPアドレスを設定します。
[edit services user-identification] user@host# set identity-management connection primary address [fqdn/ip-address] user@host# set identity-management connection secondary address [fqdn/ip-address]
-
SRXシリーズデバイスが認証の一環としてJIMSプライマリ/セカンダリサーバーに提供するクライアントIDとクライアントシークレットを設定します。
[edit services user-identification] user@host# set identity-management connection primary client-id [client-id] user@host# set identity-management connection primary client-secret [client-secret] user@host# set identity-management connection secondary client-id [client-id] user@host# set identity-management connection secondary client-secret [client-secret]
-
オプションで、JIMSサーバーに到達するために使用するsource-ipまたはルーティング・インスタンスを設定します。
[edit services user-identification] user@host# set identity-management connection primary source [ip-address] user@host# set identity-management connection primary routing-instance [routing-instance-name]
メモ:また、JIMSサーバーの証明書を検証するように実施ポイントを設定することもできます。そのためには、詳細セクションを参照してください。
-
デバイスがクエリに応答して 1 つのバッチで受け入れるユーザー ID 項目の最大数を構成します。
[edit services user-identification] user@host# set identity-management batch-query items-per-batch [number-of-items-per-batch]
-
デバイスが新しく生成されたユーザー ID に対してクエリー要求を発行するまでの間隔を秒単位で設定します。
[edit services user-identification] user@host# set identity-management batch-query query-interval [query-interval]
-
SRXシリーズファイアウォール対象のアクティブディレクトリドメインを設定します。フィルターには最大 20 のドメイン名を指定できます。
[edit services user-identification] user@host# set identity-management filter domain [domain-name]
-
IP フィルターを含むようにアドレス帳名を構成します。
[edit services user-identification] user@host# set identity-management filter include-ip address-book [address-book-name]
-
すべてのモジュールの参照先アドレス セット、トレース オプション ファイル名、トレース ファイル サイズ、デバッグ出力レベル、トレース ID 管理を構成するには、次のコマンドを適切に使用します。
[edit services user-identification] user@host# set identity-management filter include-ip address-set [address-set] user@host# set identity-management traceoptions file [file-name] user@host# set identity-management traceoptions file [file-size] user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all
デバイスID認証ソース(エンドユーザープロファイル)の設定
デバイス、ID、認証ソース、およびセキュリティポリシーを指定します。デバイスは、認証ソースから認証済みデバイスのデバイスID情報を取得します。ユーザーのデバイスから発行されたトラフィックがデバイスに到着すると、デバイスはデバイスID認証テーブルで一致するデバイスを検索します。一致するものが見つかると、デバイスは一致するセキュリティ ポリシーを検索します。一致するセキュリティポリシーが見つかると、セキュリティポリシーのアクションがトラフィックに適用されます。
次の手順を使用して、デバイス ID 認証ソースを構成します。
-
デバイス ID 認証ソースを指定します。
[edit services user-identification] user@host# set device-information authentication-source network-access-controller
-
デバイスが属するデバイス ID プロファイルとドメイン名を設定します。
[edit services user-identification] user@host# set device-information end-user-profile profile-name [profile-name] domain-name [domain-name]
-
プロファイル名属性デバイス ID 文字列を構成します。
[edit services user-identification] user@host# set device-information end-user-profile profile-name [profile-name] attribute device-identity string [string-value]
送信元 ID と一致するようにファイアウォール ポリシーを構成する。
次の手順を使用して、ID に基づいてアクセスを制御する 1 つ以上のファイアウォール ポリシーを構成します。
-
セキュリティ ポリシーの送信元アドレスまたは宛先アドレスを作成し、ポリシーに一致するようにアプリケーション/サービスを構成します。
[edit security] user@host# set policies from-zone untrust to-zone trust policy name match source-address any user@host# set policies from-zone untrust to-zone trust policy name match destination-address any user@host# set policies from-zone untrust to-zone trust policy name match application any
-
JIMSがデバイスに送信するユーザー名またはロール(グループ)名を定義します。 たとえば、 "jims-dom1.local\user1" のようになります。
[edit security] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
ポリシーが一致する場合、パケットを許可します。
[edit security] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
セッション開始時刻とセッション終了時刻を設定するには、次のコマンドを使用します。
[edit security] user@host# set policies from-zone untrust to-zone trust policy name then log session-init user@host# set policies from-zone untrust to-zone trust policy name then log session-close
[edit security policies from-zone LAN to-zone FINANCE policy FinanceAUTH] user@host# set match source-address any user@host# set match destination-address Payroll user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall web-redirect user@host# set then permit firewall-authentication user-firewall web-redirect-to-https user@host# set then log session-init user@host# set then log session-close