고객 관리 디바이스(온-프레미스) 구축
"주니퍼 Secure Edge 구축 구성" 및 "디렉토리 서비스 추가"는 온프레미스 및 Secure Edge 구축을 모두 사용하는 고객에게 필수입니다.
JIMS 서버
JIMS 서버는 localhost 연결을 위해 기본적으로 구성됩니다. 구성이 완료되면 서버의 JIMS 서버 포트 및 최대 데이터 속도 만 편집할 수 있습니다.
새 JIMS 서버도 구성할 수 있습니다. 새 JIMS 서버를 추가하려면 다음 단계를 따르십시오.
- Add(추가)를 클릭하여 새 JIMS 서버를 추가합니다.
- 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력합니다.
- 설명을 제공하십시오.
- 인증을 위해 Username(사용자 이름) 및 Password(비밀번호)를 입력합니다.
- 드롭다운 메뉴에서 JIMS 서버 유형을 선택합니다.
- 문제 해결을 수행하는 경우에만 TLS를 선택 취소합니다.
- ID JIMS 서버 포트 및 최대 데이터 속도는 JIMS에 의해 자동으로 구성됩니다. 조직에서 서명한 인증서로 변경하거나 JIMS에서 제공하는 기본 인증서를 사용할 수 있습니다.
디렉토리 서비스
JIMS 컬렉터가 사용자, 디바이스 및 그룹 멤버십을 수집할 수 있도록 하나 이상의 디렉토리 서버를 구성해야 합니다. 현재는 Active Directory만 지원됩니다.
동일한 자격 증명으로 여러 Directory Server를 사용하려는 경우 템플릿을 만들어 각 디렉토리 서버에 대한 입력을 줄일 수 있습니다.
새 Directory Server를 추가하려면 다음과 같이 하십시오.
- 추가를 눌러 새 Directory Server를 추가합니다.
- 필요에 따라 이미 생성된 템플릿을 사용하여 자격 증명을 미리 구성합니다.
- 소스는 기본적으로 선택됩니다.
- 설명을 입력합니다.
- 서버의 서버 호스트 이름 또는 IP 주소를 입력합니다.
- 인증을 위해 Login ID(로그인 ID) 및 Password(비밀번호)를 입력합니다.
- JIMS와 Directory Server 간의 통신을 암호화하려면 TLS 연결을 선택합니다.
ID 생산자
ID 생산자를 구성하여 사용자 및 디바이스 상태 이벤트를 수집할 수 있습니다. JIMS는 이 정보를 사용하여 IP 주소-사용자 이름 매핑을 제공합니다. 또한 JIMS는 적용 지점(SRX 시리즈 방화벽)에 도메인 이름과 함께 디바이스 이름을 제공합니다.
ID 생산자에는 3개의 탭/옵션이 있습니다. ID 생산 자 섹션에 제공된 정보에 따라 배포에 적합한 옵션을 선택합니다.
이벤트 원본 추가
새 이벤트 원본을 추가하려면To add a new event source:
- Add(추가)를 클릭하여 새 Event Sources(이벤트 소스)를 추가합니다.
- 이미 만든 템플릿을 사용하여 자격 증명을 미리 구성합니다.
- 원본 유형(도메인 컨트롤러 또는 Exchange Server)을 선택합니다.
- 설명(선택 사항)을 입력합니다.
- 서버의 서버 호스트 이름 또는 IP 주소를 입력합니다.
- 로그인 ID와 비밀번호를 입력합니다. 이 계정은 제한된 권한을 가진 새로 만든 서비스 계정이어야 합니다.
- 시작 이벤트 기록 캐치업 시간을 입력합니다. 이를 통해 JIMS는 프로덕션 사용 전에 기록 데이터를 수집할 수 있습니다.
PC 프로브 추가
새 PC 프로브를 추가하려면:
- Add(추가)를 클릭하여 새 PC 프로브를 추가합니다.
- 로그인 ID와 비밀번호를 입력합니다. 제한된 권한을 가진 새로 만든 서비스 계정입니다.
- 설명(선택 사항)을 입력합니다.
- 세부 정보를 제공한 후 실행하려는 순서대로 사용자 이름의 순서를 이동할 수 있습니다.
Syslog 소스 추가
새 syslog 소스를 추가하려면 다음을 수행합니다.
- Add(추가)를 클릭하여 새 Syslog Source(Syslog 소스)를 추가합니다.
- 선택적으로 이미 생성된 기본 구성을 사용합니다.
- 서버(Syslog Client)의 IP 주소 또는 FQDN을 입력합니다.
- 설명(선택 사항)을 입력합니다.
- Add(추가)를 클릭하여 일치하는 정규 표현식을 정의합니다.
필터
JIMS 서버를 사용하면 다음을 기준으로 필터링할 수 있습니다.
-
IP 필터 - IP 범위 시작 및 IP 범위 끝을 제공합니다.
-
이벤트/그룹 필터 - 보고서에 포함할 사용자 또는 디바이스를 입력합니다. 그룹 필터는 네트워크의 모든 SRX 시리즈 방화벽에 적용됩니다. 또한 도메인을 지정합니다.
-
DN 필터 - DN 필터를 입력합니다. 정규식을 사용하는 것을 권장합니다.
적용 지점
JIMS UI에 적용 지점 추가
적용 지점(SRX/NFX 디바이스)을 구성해야 하며, 그렇지 않으면 ID 인식 정책(사용자 방화벽)을 적용하기 위해 사용자, 디바이스 및 그룹 정보를 가져올 수 없습니다.
동일한 클라이언트 ID와 클라이언트 암호를 가진 적용 지점이 여러 개 있는 경우 템플릿을 만들어 각각에 대한 입력을 줄일 수 있습니다.
새 적용 지점을 추가하려면:
- Add(추가)를 클릭합니다.
- 필요에 따라 이미 생성된 템플릿을 사용하여 자격 증명을 미리 구성합니다.
- SRX IP 주소를 입력합니다.
- 서브넷 내에 여러 적용 지점이 있는 경우 모든 적용 지점을 포함하는 일치하는 서브넷을 입력할 수 있습니다.
- 설명(선택 사항)을 입력합니다.
- 조직에서 사용되는 IPv6 보고를 IPv6으로 사용하도록 설정합니다. 이렇게 하면 적용 지점의 인증 테이블에 중복된 레코드가 추가됩니다.
- 이 디바이스에 사용되는 클라이언트 ID 및 클라이언트 암호를 입력합니다.
- 토큰 수명이 적용됩니다. 이 수명은 변경/조정될 수 있습니다.
Junos에서 JIMS 구성
SRX 시리즈 방화벽을 사용한 JIMS 구성
SRX 시리즈 방화벽으로 JIMS를 구성하려면 다음 단계를 사용하십시오.
-
기본/보조 JIMS 서버의 FQDN/IP 주소를 구성합니다.
[edit services user-identification] user@host# set identity-management connection primary address [fqdn/ip-address] user@host# set identity-management connection secondary address [fqdn/ip-address]
-
SRX 시리즈 디바이스가 인증의 일부로 JIMS 기본/보조 서버에 제공하는 클라이언트 ID 및 클라이언트 암호를 구성합니다.
[edit services user-identification] user@host# set identity-management connection primary client-id [client-id] user@host# set identity-management connection primary client-secret [client-secret] user@host# set identity-management connection secondary client-id [client-id] user@host# set identity-management connection secondary client-secret [client-secret]
-
선택적으로 JIMS 서버에 도달하는 데 사용해야 하는 source-ip 또는 라우팅 인스턴스를 구성합니다.
[edit services user-identification] user@host# set identity-management connection primary source [ip-address] user@host# set identity-management connection primary routing-instance [routing-instance-name]
참고:또한 JIMS 서버의 인증서를 검증하기 위해 적용 지점을 구성할 수 있으며, 이를 위해 고급 섹션을 참조하십시오.
-
디바이스가 쿼리에 대한 응답으로 한 배치에서 허용하는 최대 사용자 ID 항목 수를 구성합니다.
[edit services user-identification] user@host# set identity-management batch-query items-per-batch [number-of-items-per-batch]
-
디바이스가 새로 생성된 사용자 ID에 대한 쿼리 요청을 발행하는 간격(초 단위)을 구성합니다.
[edit services user-identification] user@host# set identity-management batch-query query-interval [query-interval]
-
SRX 시리즈 방화벽에 대한 Active Directory 도메인을 구성합니다. 필터에 대해 최대 20개의 도메인 이름을 지정할 수 있습니다.
[edit services user-identification] user@host# set identity-management filter domain [domain-name]
-
IP 필터를 포함하도록 주소록 이름을 구성합니다.
[edit services user-identification] user@host# set identity-management filter include-ip address-book [address-book-name]
-
모든 모듈에 대해 참조된 주소 집합, 추적 옵션 파일 이름, 추적 파일 크기, 디버깅 출력 수준 및 추적 ID 관리를 구성하려면 아래 명령을 적절하게 사용합니다.
[edit services user-identification] user@host# set identity-management filter include-ip address-set [address-set] user@host# set identity-management traceoptions file [file-name] user@host# set identity-management traceoptions file [file-size] user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all
디바이스 ID 인증 소스 구성(End-User-Profile)
디바이스 ID 인증 소스 및 보안 정책을 지정합니다. 디바이스는 인증 소스에서 인증된 디바이스에 대한 디바이스 ID 정보를 가져옵니다. 디바이스는 사용자 디바이스에서 발생한 트래픽이 디바이스에 도착할 때 디바이스 ID 인증 테이블에서 디바이스 일치를 검색합니다. 일치하는 정책을 찾으면 디바이스는 일치하는 보안 정책을 검색합니다. 일치하는 보안 정책을 찾으면 보안 정책의 작업이 트래픽에 적용됩니다.
다음 단계를 사용하여 디바이스 ID 인증 소스를 구성합니다.
-
디바이스 ID 인증 소스를 지정합니다.
[edit services user-identification] user@host# set device-information authentication-source network-access-controller
-
디바이스가 속한 디바이스 ID 프로파일 및 도메인 이름을 구성합니다.
[edit services user-identification] user@host# set device-information end-user-profile profile-name [profile-name] domain-name [domain-name]
-
프로필 이름 속성 디바이스 ID 문자열을 구성합니다.
[edit services user-identification] user@host# set device-information end-user-profile profile-name [profile-name] attribute device-identity string [string-value]
소스 ID와 일치하도록 방화벽 정책을 구성합니다.
다음 단계를 사용하여 ID를 기반으로 액세스를 제어하는 하나 이상의 방화벽 정책을 구성합니다.
-
보안 정책의 소스 또는 대상 주소를 생성하고 정책과 일치하도록 애플리케이션/서비스를 구성합니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy name match source-address any user@host# set policies from-zone untrust to-zone trust policy name match destination-address any user@host# set policies from-zone untrust to-zone trust policy name match application any
-
JIMS가 디바이스로 전송하는 사용자 이름 또는 역할(그룹) 이름을 정의합니다. 예: "jims-dom1.local\user1".
[edit security] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
정책이 일치할 경우 패킷을 허용합니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
세션 시작 시간 및 세션 종료 시간을 구성하려면 아래 명령을 사용합니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy name then log session-init user@host# set policies from-zone untrust to-zone trust policy name then log session-close
[edit security policies from-zone LAN to-zone FINANCE policy FinanceAUTH] user@host# set match source-address any user@host# set match destination-address Payroll user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall web-redirect user@host# set then permit firewall-authentication user-firewall web-redirect-to-https user@host# set then log session-init user@host# set then log session-close