Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Arquitectura, flujo de trabajo y funcionalidades de JIMS

RESUMEN Lea esta sección para obtener información sobre el flujo de trabajo, la arquitectura y las funcionalidades de JIMS.

Flujo de trabajo de JIMS

El Servicio de administración de identidad de Juniper (JIMS) le permite aplicar políticas en los firewalls de la serie SRX (incluido el firewall virtual vSRX de Juniper Networks®) en función de la información de identidad del usuario, como nombres de usuario y grupos de usuarios, además de direcciones IP. El servicio asigna direcciones IP a usuarios y dispositivos en función de la pertenencia a grupos y proporciona esta información de asignación a los firewalls de la serie SRX. (Los grupos de usuarios de los firewalls de la serie SRX también se conocen como roles de usuario). Los firewalls de la serie SRX utilizan la información de asignación para generar entradas para sus tablas de autenticación que puede usar para aplicar el control de políticas de seguridad basado en usuarios o dispositivos en función de la pertenencia a grupos.

Para admitir políticas de firewall con reconocimiento de identidad, JIMS realiza estos pasos:

  1. Se comunica con Microsoft Active Directory para recuperar la información de asignación de nombre de usuario a grupo y utiliza esta información para identificar el grupo al que pertenece cada usuario.

  2. Se comunica con los controladores de dominio de Microsoft o los servidores de Microsoft Exchange en los dominios de Active Directory para recopilar información del registro de eventos, que contiene la información de asignación de dirección IP a nombre de usuario. El servicio utiliza la información de asignación para determinar las direcciones IP de los usuarios en Active Directory y Exchange Servers.

  3. Almacena la dirección IP, el nombre de usuario y la información de relación de grupo en su caché. A continuación, el servicio genera un informe utilizando la información almacenada y lo pone a disposición de los puntos de aplicación (firewalls de la serie SRX).

  4. Genera entradas de autenticación que se utilizan para aplicar el control de acceso basado en dispositivos y usuarios o en grupos que se aplica en la base de reglas para los firewalls de la serie SRX.

Figura 1: Arquitectura de JIMS

El recopilador JIMS utiliza Active Directory para supervisar los cambios de estado de usuarios, dispositivos y pertenencias a grupos, y recopila esta información. Después de cada instancia de recopilación de datos, el recopilador envía automáticamente estos datos al servidor JIMS. Estos datos son necesarios para actualizar los puntos de aplicación.

El recopilador JIMS realiza las siguientes acciones:

  • Se conecta a:

    • Servicios de directorio (Microsoft Active Directory) mediante el Protocolo ligero de acceso a directorios (LDAP) sobre (puerto TCP 389) o LDAP sobre Capa de sockets seguros (LDAPS) sobre (puerto TCP 636).

    • Proveedores de identidad (controladores de dominio de Microsoft o Exchange Server) que usan Microsoft Remote Procedure Call (RPC) over (puerto TCP 135 y puertos dinámicos 49152 a 65535).

      Nota:

      Microsoft Exchange Server también se conoce como Exchange Server.

    • Proveedores de identidad (ClearPass Policy Manager o CPPM, Protocolo de configuración dinámica de host o DHCP, y servidor syslog) mediante comunicación interna. El servidor syslog escucha los puertos TCP y UDP 514 para los mensajes syslog entrantes.

    • Un proveedor de identidad (sonda PC) mediante comunicación interna. La sonda de PC envía una solicitud saliente de Instrumental de administración de Windows (WMI) a dispositivos que utilizan el puerto TCP 135 y los puertos dinámicos 49152 a 65535.

  • Envía datos a los servidores de JIMS mediante Seguridad de la capa de transporte (TLS) a través del puerto TCP 443. (Los puertos TCP son configurables).

Los puntos de cumplimiento (firewalls de la serie SRX) utilizan TLS a través de los puertos TCP 443 y 591 (puerto predeterminado) para enviar consultas al servidor JIMS.

Arquitectura de JIMS

Tipos de servicio de JIMS

El JIMS consta de dos servicios:

  • Recopilador: asigna usuarios y dispositivos a direcciones IP.

  • Servidor: sirve a los puntos de aplicación con la información de la asignación.

Actualmente, estos dos servicios se ejecutan en el mismo servidor que una sola aplicación.

Servidor JIMS

El servidor JIMS proporciona a todos los puntos de aplicación (firewalls de la serie SRX) datos de identidad a gran escala sin consumir ciclos de CPU innecesarios en los servicios de directorio. El servidor proporciona la información de identidad en un informe JIMS que incluye información de usuario, dispositivo, dirección IP y asignación de grupo. Cada firewall de la serie SRX utiliza esta información para tomar decisiones de políticas en la función de firewall de usuario.

Recolector JIMS

El recopilador JIMS se comunica con Active Directory para recopilar información de pertenencia a usuarios, dispositivos y grupos. El recopilador también asigna cada usuario y dispositivo activo a una dirección IP.

El recopilador también puede conectarse a un servidor syslog y actuar sobre los datos entrantes de un sistema de interés diferente, como el control de acceso a la red (NAC), el Protocolo de configuración dinámica de host (DHCP), las puertas de enlace VPN o un portal cautivo para registrar eventos de inicio y cierre de sesión.

Recopilación de datos de identidad

JIMS es escalable y puede hacerse cargo de la recopilación de datos de identidad de usuario de Microsoft Active Directory, controladores de dominio, servidores de Microsoft Exchange y servidores syslog. JIMS sirve como una única fuente centralizada de recopilación de datos para los firewalls de la serie SRX.

El servicio genera informes que contienen la dirección IP, el nombre de usuario, el dispositivo y la información de relación de grupo que el servicio recopila de los orígenes de datos de identidad del usuario.

JIMS utiliza los siguientes servicios de directorio y productores de identidad para recopilar datos de identidad.

  • Servicios de directorio: recopilación de datos de Microsoft Active Directory

    JIMS se comunica con cada Active Directory para recopilar información de grupo para usuarios y dispositivos. El servicio consulta cada Active Directory configurado para obtener información de usuario y dispositivo. Consulta la fuente de información de usuario adecuada cada vez que recibe un evento de inicio de sesión para un usuario.

  • Productores de identidad: recopilación de datos de orígenes de registro de eventos

    JIMS se conecta a orígenes de registro de eventos para recopilar eventos de estado de usuarios y dispositivos, y proporciona información de asignación de dirección IP a nombre de usuario a los firewalls de la serie SRX. Para los eventos de inicio de sesión de usuario, JIMS recopila el nombre de dominio, el nombre de usuario y la dirección IP. Para los eventos de inicio de sesión del dispositivo, JIMS recopila el nombre de dominio, el nombre del equipo y la dirección IP.

    Los orígenes del registro de eventos pueden ser uno o varios controladores de dominio de Active Directory o uno o varios servidores de Exchange. JIMS le ofrece la opción de configurar orígenes de registro de eventos que pueden ser una combinación de los controladores de dominio de Active Directory y los servidores de Exchange.

  • Productores de identidad: recopilación de datos de fuentes de Syslog

    JIMS permite a los clientes syslog enviar datos de eventos, como información de usuarios y dispositivos, desde un origen de eventos, como un servidor DHCP. Debe definir la dirección IP y el puerto del cliente syslog remoto al que el servidor JIMS permite una conexión. Debe configurar el servidor JIMS para que recopile datos syslog siempre que detecte un evento de cierre de sesión, un evento de inicio de sesión o un cambio en el valor de los datos. El recopilador JIMS extrae la información del dispositivo, el nombre de usuario y la dirección IP de los mensajes syslog y asigna esta información a las pertenencias a grupos. A continuación, el recopilador convierte la información de representación cartográfica en informes JIMS.

  • Productores de identidades: recopilación de datos mediante sondeo de PC de dominio

    Sonda de PC

    Para iniciar un sondeo de PC de dominio de un dispositivo en el dominio de un cliente, JIMS necesita credenciales administrativas para acceder al dispositivo. Para una sonda de PC a una nueva dirección IP, JIMS utiliza cada conjunto de credenciales configuradas en el orden en que aparecen en la lista.

    El sondeo de PC de dominio actúa como complemento de la lectura del registro de eventos. Cuando un usuario inicia sesión en un dominio, el registro de eventos contiene toda la información que JIMS necesita. Cuando la información de asignación de dirección IP a nombre de usuario no está disponible en el registro de eventos, JIMS inicia un sondeo de PC de dominio en el dispositivo para obtener el nombre de usuario y el dominio del usuario activo actual. Puede utilizar sondeos de PC de dominio para determinar también el estado de un dispositivo después de que haya expirado su estado de inicio de sesión. Cuando utilice una sonda de PC, debe asegurarse de que el firewall bloquea las solicitudes de sondeo de PC salientes a Internet y las direcciones IP potencialmente falsificadas mediante el bloqueo de los paquetes salientes de Instrumental de administración de Windows (WMI) de los servidores JIMS.

Puntos de aplicación

Cuando una consulta por lotes anterior no recupera la información de asignación de dirección IP a nombre de usuario, los puntos de aplicación (firewalls de la serie SRX) vuelven a enviar consultas por lotes (informes) o consultas IP para extraer información sobre usuarios, dispositivos y pertenencia a grupos del servidor JIMS. Cuando el servidor JIMS no tiene la dirección IP sobre la que ha consultado un punto final, el servidor solicita al recopilador JIMS estos datos. El recopilador JIMS consulta el registro correspondiente al controlador de dominio y al servidor de Exchange. Cuando dicho registro no existe, JIMS realiza una sondeo de PC a la dirección IP. Solo puede ejecutar una sonda de PC en Microsoft Windows.