Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

고객 관리 디바이스(온프레미스) 구축

참고:

"주니퍼 Secure Edge 구축 구성" 및 "디렉토리 서비스 추가"는 온프레미스 및 Secure Edge 구축을 모두 사용하는 고객에게 필수입니다.

JIMS 서버

JIMS 서버는 기본적으로 localhost 연결을 위해 구성됩니다. 일단 구성되면 서버의 JIMS 서버 포트최대 데이터 속도 만 편집할 수 있습니다.

새로운 JIMS 서버를 구성할 수도 있습니다. 새 JIMS 서버를 추가하려면 다음 단계를 따르십시오.

  1. 추가를 클릭하여 새 JIMS 서버를 추가합니다.
  2. 서버의 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력합니다.
  3. 설명을 제공합니다.
  4. 인증을 위해 사용자 이름비밀번호를 입력합니다.
  5. 드롭다운 메뉴에서 JIMS 서버 유형을 선택합니다.
  6. 문제 해결을 수행하는 경우에만 TLS를 선택 취소합니다.
  7. ID JIMS 서버 포트최대 데이터 전송 속도는 JIMS에 의해 자동으로 구성됩니다. 설정 > 일반에서 JIMS 로컬 서버의 디지털 인증서를 변경하는 것은 더 이상 사용되지 않습니다. 이 옵션은 더 이상 지원되지 않습니다.

디렉토리 서비스

사용자, 디바이스 및 그룹 멤버십을 수집하려면 JIMS 수집기에 대해 하나 이상의 디렉터리 서버를 구성해야 합니다. 현재는 Active Directory만 지원됩니다.

동일한 신임 정보로 여러 Directory Server를 사용하려는 경우 템플릿을 작성하여 각 디렉토리 서버에 대한 입력을 줄일 수 있습니다.

새 Directory Server를 추가하려면:

  1. 추가를 클릭하여 새 디렉토리 서버를 추가합니다.
  2. 선택적으로 이미 생성된 템플릿을 사용하여 자격 증명을 사전 구성합니다.
  3. 소스는 기본적으로 선택됩니다.
  4. 설명을 제공합니다.
  5. 서버의 서버 호스트 이름 또는 IP 주소를 입력합니다.
  6. 인증 목적으로 로그인 ID) 및 비밀번호를 입력합니다.
  7. JIMS와 Directory Server 간의 통신을 암호화하려면 TLS 연결을 선택합니다.

ID 생산자

사용자 및 디바이스 상태 이벤트를 수집하도록 ID 생산자를 구성할 수 있습니다. JIMS는 이 정보를 사용하여 IP 주소-사용자 이름 매핑을 제공합니다. 또한 JIMS는 적용 지점(SRX 시리즈 방화벽)에 도메인 이름과 함께 디바이스 이름을 제공합니다.

ID 생산자에게는 3개의 탭/옵션이 있습니다. ID 생산자 섹션에 제공된 정보를 기반으로 배포에 적합한 옵션을 선택합니다.

이벤트 소스 추가

새 이벤트 원본을 추가하려면:

  1. 추가를 클릭하여 새 이벤트 소스를 추가합니다.
  2. 이미 생성된 템플릿을 사용하여 자격 증명을 미리 구성합니다.
  3. 원본 유형(도메인 컨트롤러 또는 Exchange Server)을 선택합니다.
  4. 선택 적 설명을 제공합니다.
  5. 서버의 서버 호스트 이름 또는 IP 주소를 입력합니다.
  6. 로그인 ID와 비밀번호를 입력합니다. 제한된 권한이 있는 새로 생성된 서비스 계정이어야 합니다.
  7. 시작 이벤트 기록 따라잡기 시간을 입력합니다. 이를 통해 JIMS는 프로덕션 사용 전에 기록 데이터를 수집했습니다.

PC 프로브 추가

새 PC 프로브 추가하기:

  1. 추가를 클릭하여 새 PC 프로브를 추가합니다.
  2. 로그인 ID비밀번호를 입력합니다. 제한된 권한으로 새로 생성된 서비스 계정입니다.
  3. 선택 적 설명을 제공합니다.
  4. 세부 정보를 제공한 후 실행하려는 순서대로 사용자 이름의 순서를 이동할 수 있습니다.

Syslog 소스 추가

새 syslog 소스를 추가하려면 다음을 수행합니다.

  1. 추가를 클릭하여 새 Syslog 소스를 추가합니다.
  2. 선택적으로 이미 생성된 기본 구성을 사용합니다.
  3. 서버(Syslog 클라이언트)의 IP 주소 또는 FQDN을 입력합니다.
  4. 선택 적 설명을 제공합니다.
  5. 추가를 클릭하여 일치하는 정규식을 정의합니다.

필터

JIMS 서버를 사용하면 다음을 기준으로 필터링할 수 있습니다.

  • IP 필터 - IP 범위 시작IP 범위 끝을 제공합니다.

  • 이벤트/그룹 필터 - 보고서에 포함할 사용자 또는 디바이스 를 입력합니다. 그룹 필터는 네트워크의 모든 SRX 시리즈 방화벽에 적용됩니다. 또한 도메인도 지정합니다.

  • DN 필터 - DN 필터를 입력합니다. 정규식을 사용하는 것이 좋습니다.

설정

설정 메뉴는 두 개의 탭으로 구성됩니다.

로깅

로깅 섹션에서 다음 세부 정보를 입력합니다.

  1. 파일 이름 접두사를 입력합니다.
  2. 선택을 클릭하여 필요한 디렉터리를 선택합니다.
  3. 파일 크기를 입력합니다.
    참고:

    허용되는 파일 크기 범위는 1에서 2000MB입니다.
  4. 파일 수명을 입력합니다.
    참고:

    허용되는 파일 수명 범위는 1일에서 30일입니다.

일반

일반 섹션에서 다음 세부 정보를 입력합니다.

  1. 관리 인터페이스 구성에서 TLS(https) 포트를 입력합니다.
  2. 사용자 세션 구성에서 로그오프 시간을 입력합니다.
    참고:

    허용되는 로그오프 시간 범위는 1분에서 1440분 사이여야 합니다.
  3. 전역 구성 섹션(JIMS 재시작 필요) 아래에 Syslog 초기 시간 범위(분)를 입력합니다. 요구 사항에 따라 UPN 통과, 복합 사용자 이름 허용기타 도메인 신뢰와 같은 적절한 옵션을 선택합니다.

시행 지점

JIMS UI에서 적용 지점 추가

시행 지점(SRX/NFX 디바이스)을 구성해야 합니다. 그렇지 않으면 사용자, 디바이스 및 그룹 정보를 가져와 ID 인식 정책(사용자 방화벽)을 시행할 수 없습니다.

동일한 클라이언트 ID 및 클라이언트 암호를 가진 적용 지점이 많은 경우 템플릿을 만들어 각 지점에 대한 입력을 줄일 수 있습니다.

새 적용 지점을 추가하려면:

  1. 추가를 클릭합니다.
  2. 선택적으로 이미 생성된 템플릿을 사용하여 자격 증명을 사전 구성합니다.
  3. SRX IP 주소를 입력합니다.
  4. 서브넷 내에 여러 적용 지점이 있는 경우 모든 적용 지점을 포함하는 일치하는 서브넷을 입력할 수 있습니다.
  5. 선택 적 설명을 제공합니다.
  6. 조직에서 IPv6으로 IPv6 보고를 사용하도록 설정합니다. 이렇게 하면 적용 지점의 인증 테이블에 중복된 레코드가 추가됩니다.
  7. 이 디바이스에 사용되는 클라이언트 ID클라이언트 암호를 입력합니다.
  8. 토큰 수명이 적용됩니다. 이 수명은 변경/조정할 수 있습니다.

Junos에서 JIMS 구성

SRX 시리즈 방화벽을 사용한 JIMS 구성

SRX 시리즈 방화벽으로 JIMS를 구성하려면 다음 단계를 따르십시오.

  1. 기본/보조 JIMS 서버의 FQDN/IP 주소를 구성합니다.

  2. SRX 시리즈 디바이스가 인증의 일부로 JIMS 기본/보조 서버에 제공하는 클라이언트 ID와 클라이언트 암호를 구성합니다.

  3. 선택적으로 JIMS 서버에 도달하는 데 사용해야 하는 source-ip 또는 라우팅 인스턴스를 구성합니다.

    참고:

    또한 JIMS 서버의 인증서를 검증하도록 적용 지점을 구성할 수도 있습니다. 이를 위해서는 고급 섹션을 참조하십시오.

  4. 디바이스가 쿼리에 대한 응답으로 한 일괄 처리로 허용하는 최대 사용자 ID 항목 수를 구성합니다.

  5. 디바이스가 새로 생성된 사용자 ID에 대한 쿼리 요청을 실행할 때까지의 간격을 초 단위로 구성합니다.

  6. SRX 시리즈 방화벽에 관심 있는 Active Directory 도메인을 구성합니다. 필터에 대해 최대 20개의 도메인 이름을 지정할 수 있습니다.

  7. IP 필터를 포함하도록 주소록 이름을 구성합니다.

  8. 모든 모듈에 대해 참조된 주소 집합, 추적 옵션 파일 이름, 추적 파일 크기, 디버깅 출력 수준 및 추적 ID 관리를 구성하기 위해 아래 명령을 적절히 사용합니다.

디바이스 ID 인증 소스(End-User-Profile) 구성

디바이스 ID 인증 소스 및 보안 정책을 지정합니다. 디바이스는 인증 소스에서 인증된 디바이스에 대한 인증 ID 정보를 가져옵니다. 디바이스는 사용자의 디바이스에서 발생한 트래픽이 디바이스에 도착할 때 디바이스 ID 인증 테이블에서 디바이스 일치를 검색합니다. 일치하는 항목을 찾으면 디바이스는 일치하는 보안 정책을 검색합니다. 일치하는 보안 정책을 찾으면 보안 정책의 조치가 트래픽에 적용됩니다.

디바이스 ID 인증 소스를 구성하려면 다음 단계를 따르십시오.

  1. 디바이스 ID 인증 소스를 지정합니다.

  2. 디바이스가 속한 디바이스 ID 프로필 및 도메인 이름을 구성합니다.

  3. 프로필 이름, 속성, 디바이스, ID 문자열을 구성합니다.

소스 ID와 일치하는 방화벽 정책 구성.

다음 단계를 사용하여 ID를 기반으로 액세스를 제어하는 하나 이상의 방화벽 정책을 구성합니다.

  1. 보안 정책에 대한 소스 또는 대상 주소를 생성하고 정책에 맞게 애플리케이션/서비스를 구성합니다.

  2. JIMS가 디바이스로 보내는 사용자 이름 또는 역할(그룹) 이름을 정의합니다. 예: "jims-dom1.local\user1".

  3. 정책이 일치하는 경우 패킷을 허용합니다.

  4. 세션 시작 시간 및 세션 닫기 시간을 구성하려면 아래 명령을 사용합니다.

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: