Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

사용자 ID 정보 획득을 위한 Juniper Identity Management Service 구성

JIMS(Juniper Identity Management Service)는 Active Directory 도메인에서 사용자, 디바이스 및 그룹 정보의 대규모 데이터베이스를 수집하고 유지하는 독립 실행형 Windows 서비스 애플리케이션입니다. JIMS를 통해 디바이스는 분산된 대규모 엔터프라이즈에서 수천 명의 사용자를 신속하게 식별할 수 있습니다.

JIMS에서 사용자 ID 정보 획득을 위한 고급 쿼리 기능 이해

개요

JIMS(Juniper Identity Management Service)는 다양한 소스에서 사용자 이름, 디바이스 ID 및 그룹 정보를 수집하는 소프트웨어 에이전트 및 리포지토리입니다. JIMS는 Microsoft 액티브 디렉터리 및 Microsoft Exchange Server를 지원합니다.

SRX 시리즈 또는 NFX 시리즈 디바이스는 JIMS를 사용하여 LDAP와 동일한 방식으로 사용자 ID 정보를 얻습니다.

고급 사용자 쿼리 기능을 구성하는 경우 디바이스는 다음을 수행합니다.

  • ID 정보를 위해 JIMS를 쿼리할 수 있습니다.

  • JIMS에서 얻은 정보로 ID 관리 인증 테이블을 채웁니다.

  • 채워진 ID 관리 인증 테이블을 사용하여 보호된 리소스에 대한 액세스를 요청하는 사용자 또는 디바이스를 인증합니다.

JIMS에 사용자에 대한 정보가 포함되어 있지 않은 경우 해당 정보를 디바이스로 푸시할 수 있습니다. 사용자는 먼저 캡티브 포털 통해 디바이스에 인증해야 합니다.

또한 고급 쿼리 기능을 사용하면 JIMS에 항목이 없지만 캡티브 포털 통해 디바이스에 성공적으로 인증된 사용자를 위해 인증 항목을 JIMS 서버로 푸시할 수 있습니다.

JIMS가 디바이스 쿼리에 따라 보내는 사용자 ID 정보에는 다음이 포함됩니다.

  • 사용자 디바이스의 IP 주소입니다.

  • 사용자 이름입니다.

  • 사용자의 디바이스가 속한 도메인입니다.

  • 사용자가 속한 역할, 즉 저의 회사 PC입니다. Ceo. 사용자를 인증합니다.

  • 디바이스가 온라인 상태이고 디바이스 상태가 "Healthy"와 같은 경우.

  • 디바이스 ID, 값(디바이스 이름) 및 디바이스가 속한 그룹과 같은 최종 사용자 속성.

JIMS에 연결하여 사용자 ID 정보 획득

디바이스는 일괄 모드에서 JIMS를 쿼리하여 사용자 그룹에 대한 정보를 획득하거나 개별 사용자에 대한 쿼리를 통해 사용자 ID 정보를 얻습니다. 디바이스가 JIMS를 쿼리하려면 디바이스와 JIMS 서버 간에 HTTPS 연결을 설정해야 합니다.

HTTP 연결은 디버깅 목적으로만 사용됩니다.

연결을 정의하려면 다음 정보를 구성하는 것이 수반됩니다.

  • 연결 매개 변수.

  • 디바이스가 JIMS에 인증할 수 있는 인증 정보입니다.

    디바이스는 JIMS 서버에 인증된 후 액세스 토큰을 얻습니다. 디바이스는 이 토큰을 사용하여 사용자 정보를 위해 JIMS를 쿼리해야 합니다.

  • 또한 보조 백업 서버에 연결하기 위해 이 정보를 구성할 수도 있습니다.

릴리스 18.3R1 Junos OS IPv6 주소는 기존 IPv4 주소 지원 외에도 JIMS 기본 서버 및 보조 서버를 연결하도록 지원됩니다.

디바이스는 먼저 기본 서버에 연결을 시도하고 실패하면 보조 서버로 전환합니다. 보조 서버에 연결한 후에도 디바이스는 장애가 있는 기본 서버를 주기적으로 조사하고 다시 사용할 수 있으면 기본 서버로 돌아갑니다.

Junos OS 릴리스 18.1R1부터 JIMS가 보안 연결을 시작하고 설정할 수 있도록 웹 API 기능에 대한 IPv6 주소를 구성할 수 있습니다. 웹 API는 JIMS에서 얻은 IPv6 사용자 또는 디바이스 항목을 지원합니다. 릴리스 18.1R1 Junos OS 이전에는 IPv4 주소만 지원되었습니다.

사용자 ID 정보에 대한 JIMS 쿼리

JIMS에서 사용자 ID 정보를 얻는 방법은 다음과 같은 세 가지가 있습니다.

  • 시작 시 초기 일괄 쿼리 — 디바이스가 시작되면 JIMS 서버에 디바이스 연결을 구성한 경우, 당시 예상되는 활성 디렉터리 사용자에 대해 사용 가능한 모든 사용자 ID 정보를 얻기 위해 JIMS에 일괄 쿼리 메시지를 보냅니다.

  • 후속 일괄 쿼리 - 사용자 ID 정보를 처음 수신한 후 디바이스는 JIMS에 새롭게 생성된 사용자 ID 정보의 일괄 처리에 대해 주기적으로 쿼리합니다. 이를 위해 주기적 쿼리에 대한 간격을 구성하고 일괄 처리당 대가로 보낼 사용자 ID 레코드 수를 지정합니다. Junos OS 릴리스 18.1R1부터 디바이스는 IPv6 사용자 또는 디바이스 정보에 대해 JIMS를 쿼리할 수 있습니다. 릴리스 18.1R1 Junos OS 이전에는 IPv4 주소만 지원되었습니다.

  • 개별 사용자 정보에 대한 쿼리 - 일괄 응답에서 해당 정보가 누락된 경우, 사용자 디바이스의 IP 주소를 기반으로 개별 사용자의 ID 정보를 위해 JIMS 서버를 쿼리할 수 있도록 고급 쿼리 기능을 구성할 수 있습니다. Junos OS 릴리스 18.1R1부터 디바이스는 IPv6 트래픽이 디바이스에 도착하면 IPv6 사용자 또는 디바이스 정보에 대한 JIMS를 쿼리할 수 있습니다.

    지정된 IP 주소에 대한 항목이 존재하지 않으면 JIMS는 HTTP 404 "찾을 수 없음" 메시지를 반환합니다.

디바이스가 처음에 JIMS에서 사용자 정보를 요청하면 타임스탬프를 지정합니다. JIMS는 타임스탬프 사양으로 돌아가는 응답으로 사용자 정보를 전송하며, 컨텍스트를 나타내기 위한 응답으로 디바이스에 쿠키를 포함합니다. 디바이스는 타임스탬프 대신 다음 쿼리로 해당 쿠키를 보냅니다.

JIMS에서 얻은 ID 관리 인증 테이블에서 사용자 ID 정보를 새로 고칠 수 있습니다. 디바이스를 시작할 때 그리고 후속 일괄 쿼리 및 개별 IP 쿼리에서 현재까지 자동으로 수신된 모든 것을 얻을 수 있습니다.

이를 위해 고급 쿼리 기능 구성을 비활성화하여 인증 테이블을 삭제합니다. 그런 다음 고급 쿼리 기능을 재구성하여 사용 가능한 모든 사용자 ID를 검색할 수 있습니다.

Junos OS 릴리스 18.1R1부터 디바이스는 IPv6 주소 기반 정보를 위해 ID 관리 인증 테이블을 검색할 수 있습니다. 릴리스 18.1R1 Junos OS 이전에는 디바이스가 IPv4 주소만 읽습니다. 디바이스는 보안 정책에서 소스 ID와 관련된 IPv6 주소의 사용을 지원합니다. IPv4 또는 IPv6 항목이 존재하는 경우, 해당 항목과 일치하는 정책이 트래픽에 적용되고 액세스가 허용되거나 거부됩니다.

Junos OS 릴리스 20.2R1부터 JIMS(Juniper Identity Management Service) 및 AD(Active Directory) 도메인의 로그 사용자, 연결된 디바이스 및 그룹 목록과 같은 사용자 ID 정보를 검색하고 볼 수 있습니다. SRX 시리즈 방화벽은 JIMS에 의존하여 사용자 ID 정보를 얻습니다.

사용자 ID 정보를 검색하고 인증 소스를 검증하여 디바이스에 대한 액세스를 제공할 수 있습니다. JIMS에 개별 사용자의 ID 정보를 위해 Active Directory 도메인에 대한 그룹 목록을 검색하도록 요청할 수 있습니다.

필터

고급 쿼리 기능은 쿼리에 대한 응답으로 수신할 사용자 정보 기록을 세분화된 수준에서 제어하는 데 사용할 수 있는 옵션 필터 기능을 제공합니다. IP 주소 및 도메인을 기반으로 필터를 구성할 수 있습니다. 필터를 사용하면 JIMS가 쿼리에 대한 응답으로 귀하에게 반환할 정보를 제공하는 특정 사용자를 정의할 수 있습니다.

다음으로 구성된 필터를 구성할 수 있습니다.

  • IP 주소의 범위. 에 대한 IP 주소 범위를 지정할 수 있습니다.

    • 수신하려는 정보가 있는 사용자.

    • 정보를 원하지 않는 사용자.

    Junos OS 릴리스 18.3R1부터 SRX 시리즈 방화벽은 IPv6 주소를 지원하여 기존 IPv4 주소 외에 IP 주소를 기반으로 필터를 구성합니다.

    주소록을 사용하여 IP 주소 필터를 생성합니다. 주소록에 포함될 20개 이상의 IP 주소를 포함해서는 안 되는 주소 세트를 구성합니다.

  • 도메인 이름.

    최대 25개의 활성 디렉터리 도메인의 이름을 지정할 수 있습니다.

포함할 IP 주소 범위, 제외할 IP 주소 범위, 하나 이상의 도메인 이름 등 세 가지 사양을 모두 포함하는 필터를 구성할 수 있습니다.

필터는 상황별입니다. 즉, 다른 요청에 대해 다른 필터 구성을 사용할 수 있습니다. 필터 구성을 변경할 경우 새 필터가 후속 쿼리에만 적용됩니다. 이는 이전 쿼리 요청과 아무런 관련이 없습니다.

주의 사항 및 제한 사항

고급 쿼리 기능에는 다음과 같은 경고와 주의 사항이 적용됩니다.

  • 이 기능을 사용하기 전에 계층에서 user-identificationauthentication-source 옵션을 비활성화 active-directory-access 해야 합니다. 액티브 디렉터리 인증 또는 ClearPass 쿼리 및 웹 API 기능이 구성되고 커밋되면 이 구성을 커밋할 수 없습니다.

  • CPU 사용량과 리소스 사용량은 디바이스의 사용자 ID 레코드 읽기 및 처리의 영향을 받습니다. 영향은 몇 분 정도 지속될 수 있습니다.

  • JIMS에서 사용자 ID 정보가 지워지거나 다른 이유로 누락되거나 지연된 경우 디바이스는 부정확한 IP 주소 및 사용자 매핑 정보를 수신할 수 있습니다.

  • 디바이스 방화벽 인증 기능이 캡티브 포털 통해 성공적으로 인증된 사용자에 대한 JIMS 항목으로 푸시하면 Juniper Identity Management Service 서버에 대한 인증 항목 시간 초과 상태를 업데이트하지 않습니다.

고급 쿼리 기능에 다음과 같은 제한이 적용됩니다.

  • ID 관리 인증 테이블의 인증 항목 생성은 JIMS 서버의 응답 시간 지연 또는 검색할 사용자 ID 레코드 수의 영향을 받을 수 있습니다.

  • 언급했듯이 필터 구성이 변경된 경우 새 필터는 사용자 ID의 후속 검색에서만 사용됩니다.

  • 주소 범위를 구성하기 위해 IPv4 주소만 구성할 수 있습니다.

더 보기

SRX 시리즈 디바이스에서 사용자 ID로 사용자 주체 이름 이해하기

Junos OS 릴리스 20.1R1부터 JIMS 또는 사용자 방화벽의 캡티브 포털 작동하는 방화벽 인증에서 사용자 주체 이름(UPN)을 로그온 이름으로 사용할 수 있습니다.

UPN을 함께 cn 또는 sAMAccountName 동시에 로그온 이름으로 사용할 수 있습니다. UPN은 사용자를 인증하는 대신 sAMAccountName 사용할 수 있습니다.

사용자가 UPN을 로그온 이름으로 사용하는 경우에도 방화벽 인증은 sAMAccountName UPN을 푸시하는 대신 사용자 ID에 (UPN 매핑)을 푸시합니다.

방화벽 인증은 UPN과 sAMAccountName (UPN에 매핑) 모두를 JIMS에 푸시합니다.

사용자 주체 이름(UPN) 속성은 도메인에 로그온하기 위한 Windows Active Directory의 로고 이름입니다. UPN은 UPN 접두사(사용자 계정 이름)와 UPN 접미사(DNS 도메인 이름)로 구성됩니다. UPN은 단일 가치인 인덱싱된 문자열입니다. LDAP 유형 액세스 프로필이 사용될 때 UPN은 방화벽 인증에서 로그온 이름으로 사용됩니다.

UPN은 인터넷 표준에 따라 사용자의 인터넷 스타일의 로그인 이름입니다. UPN은 이메일 주소 형식(예: mailto:username@domainname.com)의 시스템 사용자의 이름입니다. UPN은 고유 이름보다 짧고 기억하기 쉽습니다. UPN은 디렉터리 숲이 있는 모든 보안 주요 객체 중에서 고유합니다.

속성은 sAMAccountName Windows NT 4.0, Windows 95, Windows 98 및 LAN 관리자와 같은 이전 버전의 Windows에서 클라이언트 및 서버를 지원하는 데 사용되는 로그온 이름입니다. 로그온 이름은 20자 미만이어야 하며 도메인 내의 모든 보안 주요 개체 중 고유해야 합니다. 방화벽 인증이 Active Directory에서 검색 sAMAccountName 될 때 액세스할 수 있습니다.

UPN은 도메인에서 Active Directory 사용자의 ID 중 하나입니다. 조직에서 대부분의 사용자는 UPN을 또는 sAMAccountName 속성과 cn 함께 로그온 이름으로 동시에 사용합니다. UPN 속성 구성 액세스 프로필은 UPN 및 을 cn sAMAccountName(를) 동시에 처리할 수 없습니다. 통합 사용자 방화벽 구성을 참조하십시오.

캡티브 포털 의한 사용자 방화벽 인증에는 Active Directory 및 JIMS와 같은 두 가지 방법이 있습니다.

  • 소스가 Active Directory인 경우 사용자가 UPN을 로그온 이름으로 사용하는 경우 SRX 시리즈 방화벽에서 Active Directory를 구성해야 합니다. 방화벽 인증은 sAMAccountName SRX 시리즈 방화벽으로 푸시되며 사용자 인증 항목은 UPN이 아니라 입니다 sAMAccountName.

  • 소스가 JIMS인 경우 사용자가 UPN을 로그온 이름으로 사용하는 경우 SRX 시리즈 방화벽에서 JIMS를 구성해야 합니다. 방화벽 인증은 UPN과 sAMAccountName JIMS 모두를 푸시합니다. JIMS 서버에 SRX 시리즈 방화벽을 구성할 때 SRX 시리즈 방화벽은 JIMS에 일괄 쿼리를 전송하여 사용 가능한 사용자 정보를 얻습니다.

주의 사항 및 제한 사항

UPN 지원 기능에는 다음과 같은 경고와 주의 사항이 적용됩니다.

  • sAMAccountName 액세스 프로필에 대한 검색 필터 옵션에서 구성해야 합니다. 이 옵션은 다른 사용자의 UPN과 cn 이름 충돌을 방지할 수 있습니다.

  • UPN 접미사는 사용자가 속한 도메인 이름과 다를 수 있습니다. 이 경우 도메인 이름에 추가 보안 정책 소스 ID가 추가되어야 합니다. 예를 들어 도메인 ad03.net ndu123으로 있는 사용자가 sAMAccountName 있고 UPN이 mailto:bob@ad03-upn.net.

  • UPN은 방화벽 인증을 위해 LDAP 액세스 프로필이 구성된 경우에만 지원합니다.

JIMS에서 사용자 ID 정보 획득을 위한 고급 쿼리 기능 구성

이 구성은 JUNIPER IDENTITY MANAGEMENT SERVICE(JIMS)에서 사용자 ID 정보를 획득하기 위한 고급 쿼리 기능을 구성하고 소스 ID와 일치하도록 보안 정책을 구성하는 방법을 보여줍니다.

이 주제는 다음을 설명합니다.

JIMS에서 사용자 ID 정보 획득을 위한 고급 쿼리 기능 구성

고급 사용자 쿼리 기능을 구성함으로써 디바이스는 JIMS를 쿼리하고 로컬 active directory 인증 테이블에 ID 정보를 추가할 수 있습니다.

고급 쿼리 기능을 구성하려면 다음 단계를 따르십시오.

  1. 기본 JIMS 서버의 IP 주소를 구성합니다.
  2. SRX 시리즈 방화벽이 인증의 일부로 JIMS 기본 서버에 제공하는 클라이언트 ID를 구성합니다.
  3. 디바이스가 인증의 일부로 JIMS 기본 서버에 제공하는 클라이언트 기밀을 구성합니다.
  4. 보조 JIMS 서버에 대한 IP 주소를 구성합니다.
  5. 디바이스가 JIMS 보조 서버에 인증의 일부로 제공하는 클라이언트 ID를 구성합니다.
  6. 디바이스가 인증의 일부로 JIMS 보조 서버에 제공하는 클라이언트 기밀을 구성합니다.
  7. 쿼리에 대한 응답으로 디바이스가 하나의 일괄 처리로 수용하는 최대 사용자 ID 항목 수를 구성합니다.
  8. 디바이스가 새로 생성된 사용자 ID에 대한 쿼리 요청을 발행한 후 초 단위로 간격을 구성합니다.
  9. SRX 시리즈 방화벽에 관심 있는 active directory 도메인을 구성합니다. 필터의 도메인 이름을 최대 20개까지 지정할 수 있습니다.
  10. IP 필터를 포함하도록 주소록 이름을 구성합니다.
  11. 참조 주소 집합을 구성합니다.
  12. trace 옵션 파일 이름을 구성합니다.
  13. 추적 파일 크기를 구성합니다.
  14. 디버깅 출력 수준을 구성합니다.
  15. 모든 모듈에 대한 추적 ID 관리를 구성합니다.

JIMS에서 얻은 사용자 ID 정보와 일치하도록 디바이스 ID 인증 소스 및 보안 정책 구성

디바이스 ID 인증 소스 및 보안 정책을 지정합니다. 디바이스는 인증 소스에서 인증된 디바이스에 대한 디바이스 ID 정보를 획득합니다. 사용자의 디바이스에서 발행하는 트래픽이 디바이스에 도착하면 디바이스 ID 인증 테이블을 검색하여 디바이스 일치를 검색합니다. 일치하는 것이 발견되면 디바이스는 일치하는 보안 정책을 검색합니다. 일치하는 보안 정책을 발견하면 보안 정책의 작업이 트래픽에 적용됩니다.

디바이스 ID 인증 소스를 구성하려면 다음 단계를 따르십시오.

  1. 디바이스 ID 인증 소스를 지정합니다.
  2. 디바이스 ID 프로필을 구성합니다.
  3. 디바이스가 속한 도메인 이름을 구성합니다.

보안 정책을 구성하려면 다음 단계를 따르십시오.

  1. 보안 정책에 대한 소스 주소를 생성합니다.

  2. 보안 정책에 대한 대상 주소를 생성합니다.

  3. 정책과 일치하도록 포트 기반 애플리케이션을 구성합니다.

  4. JIMS가 디바이스에 보내는 사용자 이름 또는 역할(그룹) 이름을 정의합니다. 예: "jims-dom1.local\user1".

  5. 정책이 일치하는 경우 패킷을 허용합니다.

  6. 세션 시작 시간을 구성합니다.

  7. 세션 클로즈타임을 구성합니다.

예: JIMS에서 사용자 ID 정보 획득을 위한 고급 쿼리 기능 구성

요약 이 예는 SRX 시리즈 방화벽에서 고급 쿼리 기능을 구성하여 JIMS(Juniper Identity Management Service)에 자동으로 연결하는 방법을 보여줍니다. 고급 쿼리를 사용하여 요청을 하여 일괄 쿼리를 통해 인증 정보를 얻을 수 있습니다.

JIMS는 엔드포인트 컨텍스트 및 머신 ID를 포함하는 강력하고 확장 가능한 사용자 식별 및 IP 주소 매핑 구현을 제공합니다. JIMS는 SRX 시리즈 방화벽을 위해 다양한 인증 소스에서 사용자 ID 정보를 수집합니다. 고급 쿼리 기능에서 SRX 시리즈 방화벽은 HTTPS 클라이언트로 작동하고 포트 591에서 JIMS에 HTTPS 요청을 보냅니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

개요

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • Junos 소프트웨어 릴리스 15.1x49-D100 및 JIMS 소프트웨어 릴리스 v1.1 및 v1.2.

시작하기 전에 다음 정보가 필요합니다.

  • JIMS 서버의 IP 주소입니다.

  • HTTPS 요청을 수신하기 위한 JIMS 서버의 포트 번호입니다.

  • 고급 쿼리를 위한 JIMS 서버의 클라이언트 ID입니다.

  • 고급 쿼리를 위한 JIMS 서버 클라이언트 암호입니다.

  • 고급 쿼리를 위한 JIMS 서버의 traceoptions.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

절차

단계별 절차

SRX 시리즈 방화벽에서 고급 쿼리 기능을 구성하려면,

  1. 고급 쿼리 요청에 대한 인증 소스로 JIMS를 구성합니다. SRX 시리즈 방화벽은 서버에 연결하려면 이 정보가 필요합니다.

  2. SRX 시리즈 방화벽이 HTTPS 요청을 전송하는 JIMS 서버의 포트 번호를 구성합니다.

  3. JIMS 서버의 일차 주소를 구성합니다.

  4. 액세스 토큰을 획득하기 위해 클라이언트 ID 및 클라이언트 비밀을 구성합니다.

  5. JIMS 서버의 보조 주소를 구성합니다.

  6. 액세스 토큰을 획득하기 위해 클라이언트 ID 및 클라이언트 비밀을 구성합니다.

  7. 사용자 ID 정보를 위해 JIMS를 주기적으로 쿼리하도록 일괄 쿼리 간격을 구성합니다.

  8. SRX 시리즈 방화벽이 개별 사용자 쿼리를 전송하기 전에 지연 시간을 초 단위로 구성합니다. 이 예에서는 지연이 없습니다.

  9. 디버깅 및 트리밍 출력을 위한 traceoptions를 구성합니다.

  10. JIMS 서버에 연결할 디바이스를 구성합니다. 포트 번호를 지정하지 않으면 JIMS에 기본 포트 591이 사용됩니다. SRX 시리즈 방화벽은 동일한 JIMS 구성을 사용하여 JIMS 포트 443과 JIMS 서버(검증자) 포트 591에 연결합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show services user-identification . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다. ip 쿼리 사용 구성 set services user-identification identity-management ip-query no-ip-query을 비활성화하려면.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

사용자 식별 ID 관리 상태 확인

목적

JIMS 서버가 온라인 상태이고 어떤 서버가 SRX 시리즈 방화벽의 쿼리에 응답하고 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show services user-identification identity-management status .

의미

출력은 JIMS 서버 상태에 대한 데이터를 제공합니다.

사용자 식별 ID 관리 카운터 확인

목적

JIMS 디바이스로 전송된 일괄 및 IP 쿼리에 대한 카운터와 JIMS 서버에서 수신한 응답을 표시합니다. 하나 이상의 구성이 있는 경우 일괄 쿼리는 기본 서버 및 보조 서버에 대해 별도로 표시됩니다.

작업

운영 모드에서 명령을 입력합니다 show services user-identification identity-management counters .

운영 모드에서 명령을 입력 clear services user-identification identity-management counters 하여 카운터를 삭제합니다.

의미

출력은 JIMS 서버에서 일괄 처리 및 IP 쿼리 데이터를 제공합니다.

예: 고급 쿼리 기능에 대한 필터 구성

SRX 시리즈 방화벽은 JIMS(Juniper Identity Management Service)를 쿼리할 때 IP 필터 및 도메인 필터를 지원합니다. 고급 쿼리 기능은 쿼리에 대한 응답으로 사용자 정보를 수신할 수 있는 옵션 필터 기능을 제공합니다.

이 예는 사용자 정보를 얻기 위한 필터를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 수행합니다.

개요

IP 주소를 기반으로 사용자 ID 정보를 얻기 위해 보다 세분화된 수준에서 JIMS 서버를 쿼리하도록 필터를 구성할 수 있습니다. 필터를 설정하여 IP 주소 범위를 포함할 수 있습니다. SRX 시리즈 방화벽은 사용자 ID 정보를 수집할 때 필요하지 않은 IP 주소 범위를 요구하거나 제외할 수 있습니다. 도메인을 필터링할 수도 있습니다.

필터는 최대 20개의 IP 주소 범위를 포함 및 제외할 수 있습니다. 따라서 20개 이상의 주소 범위를 포함하는 주소 집합은 필터 구성에 실패하게 합니다. 범위를 지정하려면, 을(를) 포함하는 사전 정의된 주소 세트의 이름과 기존 주소록에 포함된 이름을 지정해야 합니다.

필터에 대해 최대 20개 도메인 이름을 도메인에 포함할 수 있습니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

이 예에서 주소록을 정의하고 주소록의 보안 주소를 지정합니다. 접두사로 IP 주소를 지정합니다. 주소 설정 이름을 정의하고 주소를 지정합니다. 주소록에 IP 주소를 포함 및 제외합니다. IP 주소를 포함 및 제외하도록 주소 집합을 추가합니다. 도메인 이름을 추가하여 도메인을 필터링합니다.

절차

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

고급 쿼리 기능에 대한 필터를 구성하려면 다음을 수행합니다.

  1. 주소록 이름을 정의하고, 주소록에 대한 보안 주소를 지정하고, 접두사를 사용하여 IPv4 주소를 추가합니다.

  2. 주소 세트 이름을 지정하고 주소를 지정합니다.

  3. IP 주소를 포함 및 제외하도록 주소록을 구성합니다.

  4. IP 주소를 포함하거나 제외하도록 주소 집합을 정의합니다.

  5. 도메인을 필터링할 도메인 이름을 지정합니다.

결과

구성 모드에서 및 show security address-book 명령을 입력하여 구성을 show services user-identification 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

확인

고급 쿼리 기능에 대한 필터 확인

목적

인증 테이블에 쿼리에 대한 응답으로 수신할 사용자 정보가 표시되는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show services user-identification authentication-table authentication-source all .

의미

출력은 쿼리에 대한 응답으로 사용자 정보를 표시합니다.

릴리스 기록 테이블
릴리스
설명
18.3R1
릴리스 18.3R1 Junos OS IPv6 주소는 기존 IPv4 주소 지원 외에도 JIMS 기본 서버 및 보조 서버를 연결하도록 지원됩니다.
18.3R1
Junos OS 릴리스 18.3R1부터 SRX 시리즈 방화벽은 IPv6 주소를 지원하여 기존 IPv4 주소 외에 IP 주소를 기반으로 필터를 구성합니다.
18.1R1
Junos OS 릴리스 18.1R1부터 JIMS가 보안 연결을 시작하고 설정할 수 있도록 웹 API 기능에 대한 IPv6 주소를 구성할 수 있습니다. 웹 API는 JIMS에서 얻은 IPv6 사용자 또는 디바이스 항목을 지원합니다. 릴리스 18.1R1 Junos OS 이전에는 IPv4 주소만 지원되었습니다.
18.1R1
Junos OS 릴리스 18.1R1부터 디바이스는 IPv6 사용자 또는 디바이스 정보에 대해 JIMS를 쿼리할 수 있습니다. 릴리스 18.1R1 Junos OS 이전에는 IPv4 주소만 지원되었습니다.
18.1R1
Junos OS 릴리스 18.1R1부터 디바이스는 IPv6 주소 기반 정보를 위해 ID 관리 인증 테이블을 검색할 수 있습니다. 릴리스 18.1R1 Junos OS 이전에는 디바이스가 IPv4 주소만 읽습니다. 디바이스는 보안 정책에서 소스 ID와 관련된 IPv6 주소의 사용을 지원합니다. IPv4 또는 IPv6 항목이 존재하는 경우, 해당 항목과 일치하는 정책이 트래픽에 적용되고 액세스가 허용되거나 거부됩니다.