Interfaz de usuario administrativa y configuración de JIMS
RESUMEN Lea esta sección para conocer la interfaz administrativa de JIMS y sus opciones de configuración.
Menú de interfaz de usuario de JIMS
La interfaz de usuario de JIMS consta de tres menús.
La siguiente ilustración captura la interfaz de usuario de JIMS.
Figura 2: Pantalla de la interfaz de usuario de JIMS
| Descripción del menú | |
|---|---|
| Archivo | Permite importar y exportar los datos de configuración relacionados con el JIMS. Puede utilizar el menú Archivo para conectar el recopilador JIMS a Juniper Secure Edge y volver a conectarse a una conexión perdida de la interfaz de usuario. |
| Editar | Permite copiar y buscar contenido desde la interfaz de usuario con vista de tabla/lista. |
| Ayuda | Le permite encontrar la documentación y la información sobre JIMS, como la versión, la compilación y otra información de derechos de autor, como el aviso de marca comercial, todos los derechos reservados, las atribuciones y los términos de licencia. |
Las otras opciones de interfaz de usuario se enumeran a continuación.
- Monitor
- Servidor JIMS
- Servicios de directorio
- Productores de identidad
- Puntos de aplicación
- Filtros
- Configuración
Monitor
El menú Monitor ofrece varias pestañas con información diferente relacionada con el estado, eventos, etc. La fecha y la hora en la barra superior muestran la fecha y la hora en formato GMT.
El menú Monitor consta de 8 pestañas:
| Descripción del menú | |
|---|---|
| Resumen |
|
| Sistema | Enumera todos los sistemas configurados. |
| Puntos de aplicación | Enumera todos los puntos de aplicación configurados con estadísticas específicas del dispositivo. Para obtener una explicación más detallada y los pasos de configuración, consulte Puntos de aplicación |
| Servidores JIMS | Enumera todo el servidor JIMS configurado con estadísticas específicas. Para obtener una explicación más detallada y pasos de configuración, consulte JIMS Server |
| Orígenes de eventos | Enumera todos los orígenes de eventos configurados con estadísticas específicas. Para obtener una explicación más detallada y pasos de configuración, consulte Servicios de directorio |
| Servicios de directorio | Enumera todos los servicios de directorio configurados con estadísticas específicas. Para obtener una explicación más detallada y pasos de configuración, consulte JIMS Server |
| Sondas de PC | Enumera todos los nombres de usuario configurados y el orden de ejecución, incluidas las estadísticas del sondeo. Para obtener una explicación más detallada y los pasos de configuración, consulte Productores de identidades |
| Orígenes de Syslog | Enumera todos los clientes de Syslog configurados que envían datos a JIMS con estadísticas específicas. Para obtener una explicación más detallada y los pasos de configuración, consulte Productores de identidades |
Servidor JIMS
Cuando JIMS está instalado, configura automáticamente el servidor JIMS local. Si utiliza Contrail® Service Orchestration (CSO) o Juniper® Secure Edge, estos deben configurarse manualmente.
Para conocer los pasos de configuración, consulte Servidor JIMS
Servicios de directorio
Debe configurar al menos un servidor de directorios para que JIMS Collector recopile pertenencias a usuarios, dispositivos y grupos. Actualmente, solo se admite Active Directory.
Si piensa utilizar varios servidores de directorios con las mismas credenciales, puede crear una plantilla para reducir la entrada de cada servidor de directorio.
Para conocer los pasos de configuración, consulte Servicios de directorio
Productores de identidad
Puede configurar productores de identidades para recopilar eventos de estado de usuarios y dispositivos. JIMS utiliza esta información para proporcionar asignaciones de dirección IP a nombre de usuario. JIMS también proporciona nombres de dispositivo con nombres de dominio a los puntos de cumplimiento (firewalls de la serie SRX).
Los productores de identidad ofrecen muchas pestañas que se enumeran a continuación.
Los orígenes de eventos se utilizan para recopilar el nombre de usuario y la dirección IP asociada. Esto crea una asignación de IP_address a nombre de usuario, así como un nombre de dispositivo con un nombre de dominio de un controlador de dominio de Microsoft o Microsoft Exchange Server. Puede navegar a los orígenes de eventos desde la vista de servidor > los productores de identidades
Si planea usar varios orígenes de eventos con las mismas credenciales, puede crear una plantilla para reducir la entrada para cada servidor de origen de eventos.
Para conocer los pasos de configuración, consulte Agregar origen de eventos
Los sondeos de PC son un complemento de los orígenes de eventos y eventos Syslog para todos los dispositivos Windows conectados en el dominio. Cuando el origen de eventos al que le faltan un dominio y un nombre de usuario está asociado a una dirección IP, el sondeo de PC inicia una llamada WMI al dispositivo específico para recopilar la información que falta. La información de WMI contiene datos confidenciales. Asegúrese de que el recopilador JIMS no envía sondeos WMI a redes que no sean de confianza. Puede navegar a los sondeos de PC desde la vista de servidor > los proveedores de identidad
Para conocer los pasos de configuración, consulte Agregar sonda de PC
Los orígenes de Syslog se utilizan para recopilar la asignación de usuarios y dispositivos de una IP desde otros sistemas, como un concentrador VPN, un sistema de control de acceso a la red (NAC), un controlador de acceso inalámbrico, etc. Puede navegar a los orígenes syslog desde Server View > Identity Producers
Syslog se utiliza como una expresión regular (regex), en lugar de una plantilla ofrecida por otras funciones. Syslog utiliza una configuración base específica para cada tipo de cliente syslog. Puede utilizar una configuración base ya creada para Juniper® Secure Connect a fin de registrar los usuarios que están activos en los eventos de inicio y cierre de sesión.
Para conocer los pasos de configuración, consulte Agregar origen de Syslog
Puntos de aplicación
Debe configurar los puntos de cumplimiento. De lo contrario, los firewalls de la serie SRX no pueden extraer información de usuarios, dispositivos y grupos para aplicar políticas de reconocimiento de identidad (firewall de usuario).
Si tiene varios firewalls serie SRX con el mismo identificador de cliente y secreto de cliente, puede crear una plantilla para reducir la entrada para cada firewall serie SRX.
Para conocer los pasos de configuración, consulte Agregar puntos de cumplimiento en la interfaz de usuario de JIMS
JIMS con firewall de la serie SRX
El Servicio de administración de identidades de Juniper (JIMS) es una aplicación de servicio de Windows diseñada para recopilar y administrar información de usuarios, dispositivos y grupos de dominios de Active Directory.
Para usar el servicio de administración de identidad de Juniper, sus puntos de cumplimiento (firewalls de la serie SRX y NFX) deben estar configurados correctamente para obtener información de identidad de JIMS.
Los puntos de aplicación utilizan el servidor JIMS principal hasta que la conexión declara que el servidor se ha perdido. Periódicamente, el punto de cumplimiento sondea el servidor primario con errores y vuelve a él una vez que vuelve a estar disponible sin ninguna intervención del usuario.
La conexión al servidor JIMS solo debe utilizar transporte HTTPS, que cifra la comunicación entre el punto de cumplimiento y el servidor JIMS. Tanto los puntos de aplicación como el servidor JIMS autentican la conexión mediante un ID de cliente y un secreto de cliente, que generan un token de acceso. Este token de acceso debe estar presente en cada consulta al servidor JIMS.
Existen dos métodos para obtener información de identidad de usuario de JIMS:
-
Consultas por lotes:
SRX envía un mensaje de consulta por lotes a JIMS cada 5 segundos de forma predeterminada para obtener la información de identidad disponible.
-
Consultas IP:
Cuando a SRX le falta información sobre una dirección IP específica, puede enviar una consulta IP a JIMS que luego devuelve su estado para esa dirección IP específica. Si JIMS no contiene una entrada para la dirección IP especificada, SRX amenazará esta IP ya que es un usuario desconocido.
En el SRX, es posible definir filtros que se pueden usar para filtrar la información de identidad conocida por JIMS. Puede suscribirse a ciertos dominios o incluir o excluir información relacionada con ciertos prefijos IP definidos por entradas de libreta de direcciones o conjuntos de direcciones. Los cambios en estos filtros solo se realizarán durante la siguiente consulta por lotes.
Puede seleccionar hasta xxx entradas de libreta de direcciones/conjuntos para incluir o excluir filtros, y el número total de entradas xxx de libreta de direcciones se combina tanto con conjuntos como con libros.
Puede agregar un máximo de 25 dominios a la lista de filtros. Cada conjunto de direcciones puede incluir x número de entradas en la libreta de direcciones, si los conjuntos de direcciones se incluyen en un conjunto de direcciones, set services user-identification identity-management filter
Puede actualizar la información de identidad del usuario en la tabla de autenticación de gestión de identidades obtenida de JIMS. La información de identidad se actualizará durante la próxima consulta por lotes, clear services user-identification authentication-table authentication-source identity-management
Para buscar información de identidad de usuario y validar el origen de autenticación para conceder acceso al dispositivo, use run show services user-identification authentication-table authentication-source all
La siguiente configuración ilustra una configuración básica del servidor JIMS en un firewall serie SRX:
root@srx1# show services user-identification identity-management
authentication-entry-timeout 120;
invalid-authentication-entry-timeout 10;
connection {
connect-method https;
port 443;
primary {
address 70.0.0.250;
client-id abcd;
client-secret "$9$86jLdsaJDkmTUj"; ## SECRET-DATA
}
secondary {
address 70.0.0.251;
client-id otest;
client-secret "$9$W0K8-woaUH.5GD"; ## SECRET-DATA
}
}
batch-query {
items-per-batch 500;
query-interval 5;
}
Para conocer los pasos de configuración detallados, consulte Configuración de JIMS con el firewall de la serie SRX
Filtros
JIMS le permite especificar los rangos de direcciones IP que se incluirán o excluirán de los informes que el servidor de JIMS envía a los firewalls de la serie SRX. También puede especificar grupos de usuarios de Active Directory para incluirlos en los informes. Estos filtros se aplican a todos los firewalls de la serie SRX de su red. También puede aplicar los filtros de direcciones IPv4 en versiones posteriores.
JIMS admite tanto un filtro IPv6 de la consulta del firewall de la serie SRX como un filtro IPv6 de nivel de sistema. El filtro de nivel de sistema funciona para filtrar las direcciones IP de los orígenes de eventos. Los filtros IP a nivel de sistema se configuran a través de la interfaz administrativa de JIMS. El servidor JIMS incluye o excluye las sesiones IP cuando el servidor JIMS recibe los eventos de inicio de sesión de los orígenes de eventos configurados.
Por ejemplo, consideremos que se agrega 192.x.x.x como dirección IP de exclusión en el filtro de nivel de sistema en el servidor JIMS. Cuando un usuario con 192.x.x.x inicia sesión en el controlador de dominio, el servidor JIMS ignora la sesión de este usuario. Por lo tanto, no se envía ninguna entrada con 192.x.x.x al firewall de la serie SRX.
Los filtros IPv6 usados por la consulta del firewall de la serie SRX se configuran en el firewall de la serie SRX. El firewall de la serie SRX incluye o excluye las direcciones IP en la consulta por lotes que envía al servidor JIMS. El servidor JIMS responde con las entradas basadas en los filtros recibidos del firewall de la serie SRX. Sin embargo, tenga en cuenta que los firewalls de la serie SRX solo aplican filtros dentro del contexto del filtro de nivel de sistema. Por ejemplo, si 192.0.2.0/24 está configurado en el firewall de la serie SRX como filtro de inclusión, el firewall de la serie SRX envía la consulta con 192.0.2.0/24 como subred de inclusión al servidor JIMS. El servidor JIMS responde solo con las entradas dentro de esta subred, aunque el servidor JIMS contiene muchas entradas distintas de 192.0.2.0/24.
Además, el servidor JIMS le permite filtrar por:
-
Grupos: los grupos de usuarios de Active Directory que se van a incluir en los informes. Los filtros de grupo se aplican a todos los firewalls de la serie SRX de la red.
-
Evento de usuario/dispositivo: los filtros de eventos del servidor JIMS le permiten aplicar un filtro en la red para definir los usuarios o dispositivos que se deben excluir de los informes que el servidor de JIMS envía a los firewalls de la serie SRX. El filtro de eventos Usuario/Dispositivo realiza una coincidencia de expresiones regulares para filtrar usuarios o dispositivos específicos por nombre. El filtro omite los eventos asociados con un usuario o dispositivo determinado.
Para los firewalls de la serie SRX que ejecutan la versión Junos OS, JIMS aplica los filtros que recibe de los firewalls individuales de la serie SRX. Si configura los filtros para JIMS, el servicio aplica primero sus propios filtros a todos los firewalls de la serie SRX de la red y, a continuación, aplica los filtros que recibe de los firewalls de la serie SRX individuales.
Para conocer los pasos de configuración detallados, consulte Agregar filtros
Configuración
El menú Configuración consta de dos pestañas:
-
General
-
Registro
La configuración de la vista del servidor le permite cambiar los valores configurados de los puertos utilizados por JIMS. También puede cambiar el certificado digital que se utiliza para el servidor local de JIMS. Vaya a General desde la vista del servidor > Configuración
Para conocer los pasos de configuración detallados, consulte la sección Configurar la sección General
El elemento de menú Registro de la vista del servidor permite cambiar los niveles de registro. Cambie los niveles de registro solo si Juniper aconseja cambiar los registros para la solución de problemas. Vaya a Registro desde la vista del servidor > Configuración
Para conocer los pasos de configuración detallados, consulte la sección Configurar el registro