Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JIMS と SRX シリーズ ファイアウォール

JIMS と SRX シリーズ ファイアウォール

Juniper Identity Management Service(JIMS)は、Active Directory ドメインからユーザー、デバイス、グループ情報を収集および管理するために設計された Windows サービス アプリケーションです。

Juniper Identity Management Serviceを使用するには、JIMSからID情報を取得するために、ポリシー適用ポイント(SRXシリーズファイアウォールとNFX)を適切に構成する必要があります。

ポリシー適用ポイントは、接続がサーバーを失ったと宣言するまで、プライマリ JIMS サーバーを使用します。ポリシー適用ポイントは、障害が発生したプライマリ サーバーを定期的にプローブし、ユーザーの介入なしに再び使用可能になると、そのサーバーを元に戻します。

JIMS サーバーへの接続では、ポリシー適用ポイントと JIMS サーバー間の通信を暗号化する HTTPS トランスポートのみを使用する必要があります。ポリシー適用ポイントと JIMS サーバーの両方が、アクセス トークンを生成するクライアント ID とクライアント シークレットを使用して接続を認証します。このアクセス トークンは、JIMS サーバーに対する各クエリに存在する必要があります。

JIMS からユーザー ID 情報を取得する方法は 2 つあります。

  • バッチ クエリ:

    SRX は、デフォルトで 5 秒ごとにバッチ クエリ メッセージを JIMS に送信し、使用可能な ID 情報を取得します。

  • IP クエリー:

    特定の IP アドレスに関する情報が SRX に存在しない場合、JIMS に IP クエリーを送信すると、その IP アドレスのステータスが返されます。JIMS に指定された IP アドレスのエントリーが含まれていない場合、SRX はこの IP を未知のユーザーとして脅威します。

SRXでは、JIMSで知られているID情報を除外するために使用できるフィルターを定義することができます。特定のドメインにサブスクライブしたり、アドレス帳エントリーやアドレスセットで定義された特定の IP プレフィックスに関連する情報を含めたり除外したりできます。これらのフィルターに対する変更は、次のバッチ クエリ中にのみ行われます。

含めるか除外フィルターのアドレス帳/セットのエントリーを最大で選択でき、xxx アドレス帳エントリーの総数はセットとブックの両方で組み合わされます。

最大 25 ドメインをフィルター リストに追加できます。アドレスセットがアドレスセットに含まれている場合、各アドレスセットには、アドレス帳エントリーのx数を含めることができます。 set services user-identification identity-management filter

JIMS から取得した ID 管理認証テーブル内のユーザー ID 情報を更新できます。ID 情報は次のバッチ クエリ中に更新されます。 clear services user-identification authentication-table authentication-source identity-management

ユーザーID情報を検索し、認証ソースを検証してデバイスへのアクセスを許可するには、 run show services user-identification authentication-table authentication-source all

以下の構成は、SRX シリーズ ファイアウォールでの JIMS サーバーの基本的な構成を示しています。

root@srx1# show services user-identification identity-management

JIMS と SRX シリーズ ファイアウォールの構成

SRXシリーズファイアウォールへの接続を設定するには、 SRXシリーズデバイスへの接続の設定を参照してください。

JIMS と SRX シリーズ ファイアウォールを設定するには、次の手順に従います。

  1. プライマリ/セカンダリ JIMS サーバーの IP/FQDN アドレスを構成します。

  2. SRX シリーズ デバイスが認証の一環として JIMS プライマリ/セカンダリ サーバーに提供するクライアント ID とクライアント シークレットを設定します。

  3. オプションで、JIMS サーバーへのアクセスに使用する source-ip またはルーティング インスタンスを設定します。

    メモ:

    また、JIMS サーバーの証明書を検証するようにポリシー適用ポイントを構成することもできます。そのためには、「詳細」セクションを参照してください。

  4. クエリに応答して 1 つのバッチでデバイスが受け入れるユーザー ID 項目の最大数を設定します。

  5. デバイスが新しく生成されたユーザーIDのクエリー要求を発行する間隔を秒単位で設定します。

  6. SRXシリーズファイアウォールに関心のあるアクティブディレクトリドメインを設定します。フィルターには最大 20 のドメイン名を指定できます。

  7. IP フィルターを含むようにアドレス帳名を構成します。

  8. 参照先アドレス・セット、trace オプション・ファイル名、トレース・ファイル・サイズ、デバッグ出力のレベル、およびすべてのモジュールのトレース ID 管理を構成するには、以下のコマンドを適切に使用します。

デバイスアイデンティティ認証ソース(エンドユーザープロファイル)の設定

デバイスアイデンティティ認証ソースとセキュリティポリシーを指定します。デバイスは、認証されたデバイスのデバイスアイデンティティ情報を認証ソースから取得します。デバイスは、ユーザーのデバイスから発行されたトラフィックがデバイスに到着したときに、デバイスアイデンティティ認証テーブルを検索してデバイスと一致させます。一致するものが見つかると、デバイスは一致するセキュリティ ポリシーを検索します。一致するセキュリティポリシーが見つかると、セキュリティポリシーのアクションがトラフィックに適用されます。

以下の手順を使用して、デバイス アイデンティティ認証ソースを設定します。

  1. デバイスアイデンティティ認証ソースを指定します。

  2. デバイスアイデンティティプロファイルを設定します。

  3. デバイスが属するドメイン名を設定します。

送信元アイデンティティと一致させるファイアウォール ポリシーの設定。

アイデンティティに基づいてアクセスを制御する 1 つ以上のファイアウォール ポリシーを設定するには、次の手順を使用します。

  1. 1. セキュリティ ポリシーの送信元または宛先アドレスを作成します。

  2. ポリシーに一致するようにポートベースアプリケーションを設定します。

  3. JIMS がデバイスに送信するユーザー名またはロール(グループ)名を定義します。 例: "jims-dom1.local\user1"。

  4. ポリシーが一致する場合、パケットを許可します。

  5. セッション開始時間とセッション終了時間を設定するには、以下のコマンドを使用します。

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: