JIMS と SRX シリーズ ファイアウォール
JIMS と SRX シリーズ ファイアウォール
Juniper Identity Management Service(JIMS)は、Active Directory ドメインからユーザー、デバイス、グループ情報を収集および管理するために設計された Windows サービス アプリケーションです。
Juniper Identity Management Serviceを使用するには、JIMSからID情報を取得するために、ポリシー適用ポイント(SRXシリーズファイアウォールとNFX)を適切に構成する必要があります。
ポリシー適用ポイントは、接続がサーバーを失ったと宣言するまで、プライマリ JIMS サーバーを使用します。ポリシー適用ポイントは、障害が発生したプライマリ サーバーを定期的にプローブし、ユーザーの介入なしに再び使用可能になると、そのサーバーを元に戻します。
JIMS サーバーへの接続では、ポリシー適用ポイントと JIMS サーバー間の通信を暗号化する HTTPS トランスポートのみを使用する必要があります。ポリシー適用ポイントと JIMS サーバーの両方が、アクセス トークンを生成するクライアント ID とクライアント シークレットを使用して接続を認証します。このアクセス トークンは、JIMS サーバーに対する各クエリに存在する必要があります。
JIMS からユーザー ID 情報を取得する方法は 2 つあります。
-
バッチ クエリ:
SRX は、デフォルトで 5 秒ごとにバッチ クエリ メッセージを JIMS に送信し、使用可能な ID 情報を取得します。
-
IP クエリー:
特定の IP アドレスに関する情報が SRX に存在しない場合、JIMS に IP クエリーを送信すると、その IP アドレスのステータスが返されます。JIMS に指定された IP アドレスのエントリーが含まれていない場合、SRX はこの IP を未知のユーザーとして脅威します。
SRXでは、JIMSで知られているID情報を除外するために使用できるフィルターを定義することができます。特定のドメインにサブスクライブしたり、アドレス帳エントリーやアドレスセットで定義された特定の IP プレフィックスに関連する情報を含めたり除外したりできます。これらのフィルターに対する変更は、次のバッチ クエリ中にのみ行われます。
含めるか除外フィルターのアドレス帳/セットのエントリーを最大で選択でき、xxx アドレス帳エントリーの総数はセットとブックの両方で組み合わされます。
最大 25 ドメインをフィルター リストに追加できます。アドレスセットがアドレスセットに含まれている場合、各アドレスセットには、アドレス帳エントリーのx数を含めることができます。 set services user-identification identity-management filter
JIMS から取得した ID 管理認証テーブル内のユーザー ID 情報を更新できます。ID 情報は次のバッチ クエリ中に更新されます。 clear services user-identification authentication-table authentication-source identity-management
ユーザーID情報を検索し、認証ソースを検証してデバイスへのアクセスを許可するには、 run show services user-identification authentication-table authentication-source all
以下の構成は、SRX シリーズ ファイアウォールでの JIMS サーバーの基本的な構成を示しています。
root@srx1# show services user-identification identity-management
authentication-entry-timeout 120; invalid-authentication-entry-timeout 10; connection { connect-method https; port 443; primary { address 70.0.0.250; client-id abcd; client-secret "$9$86jLdsaJDkmTUj"; ## SECRET-DATA } secondary { address 70.0.0.251; client-id otest; client-secret "$9$W0K8-woaUH.5GD"; ## SECRET-DATA } } batch-query { items-per-batch 500; query-interval 5; }
JIMS と SRX シリーズ ファイアウォールの構成
SRXシリーズファイアウォールへの接続を設定するには、 SRXシリーズデバイスへの接続の設定を参照してください。
JIMS と SRX シリーズ ファイアウォールを設定するには、次の手順に従います。
-
プライマリ/セカンダリ JIMS サーバーの IP/FQDN アドレスを構成します。
[edit services user-identification] user@host# set identity-management connection primary address ip-address user@host# set identity-management connection secondary address ip-address
-
SRX シリーズ デバイスが認証の一環として JIMS プライマリ/セカンダリ サーバーに提供するクライアント ID とクライアント シークレットを設定します。
[edit services user-identification] user@host# set identity-management connection primary client-id client-id user@host# set identity-management connection primary client-secret client-secret user@host# set identity-management connection secondary client-id client-id user@host# set identity-management connection secondary client-secret client-secret
-
オプションで、JIMS サーバーへのアクセスに使用する source-ip またはルーティング インスタンスを設定します。
[edit services user-identification] user@host# set identity-management connection primary source [ip-address] user@host# set identity-management connection primary routing-instance [routing-instance-name]
メモ:また、JIMS サーバーの証明書を検証するようにポリシー適用ポイントを構成することもできます。そのためには、「詳細」セクションを参照してください。
-
クエリに応答して 1 つのバッチでデバイスが受け入れるユーザー ID 項目の最大数を設定します。
[edit services user-identification] user@host# set identity-management batch-query items-per-batch items-per-batch
-
デバイスが新しく生成されたユーザーIDのクエリー要求を発行する間隔を秒単位で設定します。
[edit services user-identification] user@host# set identity-management batch-query query-interval query-interval
-
SRXシリーズファイアウォールに関心のあるアクティブディレクトリドメインを設定します。フィルターには最大 20 のドメイン名を指定できます。
[edit services user-identification] user@host# set identity-management filter domain domain
-
IP フィルターを含むようにアドレス帳名を構成します。
[edit services user-identification] user@host# set identity-management filter include-ip address-book address-book
-
参照先アドレス・セット、trace オプション・ファイル名、トレース・ファイル・サイズ、デバッグ出力のレベル、およびすべてのモジュールのトレース ID 管理を構成するには、以下のコマンドを適切に使用します。
[edit services user-identification] user@host# set identity-management filter include-ip address-set address-set user@host# set identity-management traceoptions file file name user@host# set identity-management traceoptions file file size user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all
デバイスアイデンティティ認証ソース(エンドユーザープロファイル)の設定
デバイスアイデンティティ認証ソースとセキュリティポリシーを指定します。デバイスは、認証されたデバイスのデバイスアイデンティティ情報を認証ソースから取得します。デバイスは、ユーザーのデバイスから発行されたトラフィックがデバイスに到着したときに、デバイスアイデンティティ認証テーブルを検索してデバイスと一致させます。一致するものが見つかると、デバイスは一致するセキュリティ ポリシーを検索します。一致するセキュリティポリシーが見つかると、セキュリティポリシーのアクションがトラフィックに適用されます。
以下の手順を使用して、デバイス アイデンティティ認証ソースを設定します。
-
デバイスアイデンティティ認証ソースを指定します。
[edit services user-identification ] user@host# set device-information authentication-source network-access-controller
-
デバイスアイデンティティプロファイルを設定します。
[edit services user-identification ] user@host# set device-information end-user-profile profile-name profile-name domain-name domain-name
-
デバイスが属するドメイン名を設定します。
[edit services user-identification ] user@host# set device-information end-user-profile profile-name profile-name attribute device-identity string string-value
送信元アイデンティティと一致させるファイアウォール ポリシーの設定。
アイデンティティに基づいてアクセスを制御する 1 つ以上のファイアウォール ポリシーを設定するには、次の手順を使用します。
-
1. セキュリティ ポリシーの送信元または宛先アドレスを作成します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-address any user@host# set policies from-zone untrust to-zone trust policy name match destination-address any
-
ポリシーに一致するようにポートベースアプリケーションを設定します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match application any
-
JIMS がデバイスに送信するユーザー名またはロール(グループ)名を定義します。 例: "jims-dom1.local\user1"。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
ポリシーが一致する場合、パケットを許可します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
セッション開始時間とセッション終了時間を設定するには、以下のコマンドを使用します。
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-init user@host# set policies from-zone untrust to-zone trust policy name then log session-close
[edit security policies from-zone LAN to-zone FINANCE policy FinanceAUTH] user@host# set match source-address any user@host# set match destination-address Payroll user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall web-redirect user@host# set then permit firewall-authentication user-firewall web-redirect-to-https user@host# set then log session-init user@host# set then log session-close