Configurar el servicio de administración de identidad de Juniper para obtener información de identidad del usuario
El Servicio de administración de identidades (JIMS) de Juniper es una aplicación de servicio de Windows independiente diseñada para recopilar y administrar una base de datos completa de información de usuarios, dispositivos y grupos de dominios de Active Directory. JIMS está desarrollado específicamente para facilitar la identificación eficiente de usuarios en grandes empresas distribuidas.
Descripción de la función de consulta avanzada para obtener información de identidad de usuario de JIMS
- Visión general
- Establecer una conexión con JIMS para obtener información de identidad de usuario
- Consultar JIMS para obtener información de identidad de usuario
- Filtros
- Advertencias y limitaciones
Visión general
El Servicio de administración de identidades (JIMS) de Juniper sirve como agente de software y repositorio para recopilar nombres de usuario, identidades de dispositivos e información de grupos de diversas fuentes. JIMS se integra perfectamente con Microsoft Active Directory y Microsoft Exchange Server.
Para los dispositivos serie SRX o NFX, JIMS desempeña un papel crucial en la obtención de información de identidad de usuario, como LDAP. Al configurar la función de consulta avanzada de usuarios, el dispositivo obtiene la capacidad de:
Si configura la función de consulta avanzada de usuarios, el dispositivo:
-
Consulte JIMS para obtener información de identidad.
-
Rellene la tabla de autenticación de gestión de identidades con la información adquirida de JIMS.
-
Utilice la tabla de autenticación de administración de identidades rellenada para autenticar a los usuarios o dispositivos que buscan acceso a recursos protegidos.
En los casos en que JIMS carezca de información para un usuario específico, puede enviar esa información al dispositivo. Sin embargo, para hacerlo, el usuario primero debe autenticarse a través del portal cautivo del dispositivo.
Además, la función de consulta avanzada permite al dispositivo insertar entradas de autenticación en el servidor JIMS para los usuarios que no tienen entradas existentes en JIMS pero que se han autenticado correctamente a través del portal cautivo.
La información de identidad del usuario proporcionada por JIMS en respuesta a las consultas sobre dispositivos incluye:
-
Dirección IP del dispositivo del usuario.
-
Nombre de usuario.
-
Dominio al que pertenece el dispositivo del usuario.
-
Roles a los que pertenece el usuario, como miempresa-pc, CEO, autenticado por el usuario.
-
Estado en línea del dispositivo y su estado, como "En buen estado".
-
Atributos del usuario final, como identidad del dispositivo, valor (nombre del dispositivo) y grupos a los que pertenece el dispositivo.
Establecer una conexión con JIMS para obtener información de identidad de usuario
Para obtener información de identidad de usuario de JIMS, el dispositivo puede consultar JIMS en modo por lotes para grupos de usuarios o individualmente para usuarios específicos. Es necesario establecer una conexión HTTPS entre el dispositivo y el servidor JIMS para consultar JIMS. Es importante tener en cuenta que las conexiones HTTP solo se usan con fines de depuración.
La definición de la conexión implica configurar la siguiente información:
-
Parámetros de conexión.
-
Información de autenticación para que el dispositivo se autentique con JIMS.
El dispositivo obtiene un token de acceso después de autenticarse en el servidor JIMS. El dispositivo debe utilizar este token para consultar información de usuario de JIMS.
Después de una autenticación correcta con el servidor JIMS, el dispositivo recibe un token de acceso, que debe utilizar para consultar JIMS para obtener información de usuario. También puede configurar esta información de conexión para un servidor de copia de seguridad secundario.
A partir de Junos OS versión 18.3R1, los servidores primarios y secundarios de JIMS admiten direcciones IPv6 además de la compatibilidad con direcciones IPv4 existentes. El dispositivo primero intenta conectarse al servidor principal y cambia al servidor secundario si se produce un error en el intento. Incluso cuando está conectado al servidor secundario, el dispositivo sondea periódicamente el servidor primario fallido y vuelve a él una vez que vuelve a estar disponible.
A partir de Junos OS versión 18.1R1, puede configurar una dirección IPv6 para la función API web, lo que permite a JIMS iniciar y establecer una conexión segura. La API web ahora admite entradas de usuario o dispositivo IPv6 obtenidas de JIMS. Antes de Junos OS versión 18.1R1, solo se admitían direcciones IPv4.
Consultar JIMS para obtener información de identidad de usuario
Hay tres formas de obtener información de identidad de usuario de JIMS:
-
Consulta por lotes inicial al inicio: cuando el dispositivo se inicia, envía un mensaje de consulta por lotes a JIMS para obtener toda la información de identidad de usuario disponible para los usuarios de Active Directory en función de la conexión del dispositivo configurada con el servidor JIMS.
-
Consultas por lotes de seguimiento: después de recibir la información de identidad de usuario inicial, el dispositivo consulta periódicamente a JIMS la información de identidad de usuario recién generada. Puede configurar el intervalo entre estas consultas y especificar el número de registros de identidad de usuario que se incluirán en cada lote. A partir de Junos OS versión 18.1R1, el dispositivo también puede consultar JIMS para obtener información de usuario o dispositivo IPv6.
-
Consulta de información de usuario individual: después de recibir la información de identidad de usuario inicial, el dispositivo consulta periódicamente a JIMS la información de identidad de usuario recién generada. Puede configurar el intervalo entre estas consultas y especificar el número de registros de identidad de usuario que se incluirán en cada lote. A partir de Junos OS versión 18.1R1, el dispositivo también puede consultar JIMS para obtener información de usuario o dispositivo IPv6.
Si JIMS no contiene una entrada para la dirección IP especificada, responde con un mensaje HTTP 404 "No encontrado".
Cuando el dispositivo solicita inicialmente información de usuario de JIMS, incluye una marca de tiempo. En respuesta, JIMS envía información del usuario volviendo a la marca de tiempo especificada e incluye una cookie en la respuesta para indicar el contexto. El dispositivo incluye esta cookie con consultas posteriores en lugar de una marca de tiempo.
Puede actualizar la información de identidad del usuario en la tabla de autenticación de gestión de identidades obtenida de JIMS. Esto incluye todo lo que se recibe automáticamente al iniciar el dispositivo y desde consultas por lotes posteriores y consultas IP individuales hasta el presente.
Para ello, puede borrar la tabla de autenticación deshabilitando la configuración de la característica de consulta avanzada. Después, puede volver a configurar la característica de consulta avanzada para recuperar todas las identidades de usuario disponibles.
A partir de Junos OS versión 18.1R1, los dispositivos pueden buscar información basada en direcciones IPv6 en la tabla de autenticación de administración de identidades, ampliando la compatibilidad anterior con direcciones IPv4. El dispositivo también admite el uso de direcciones IPv6 asociadas con identidades de origen en las políticas de seguridad. El tráfico que coincida con una entrada IPv4 o IPv6 de la tabla está sujeto a políticas que permiten o deniegan el acceso en consecuencia.
A partir de Junos OS versión 20.2R1, puede buscar y ver información de identidad de usuario, como usuarios que han iniciado sesión, dispositivos conectados y listas de grupos de los dominios de Juniper Identity Management Service (JIMS) y Active Directory (AD). El firewall de la serie SRX se basa en JIMS para obtener información de identidad del usuario. Puede buscar información de identidad de usuario y validar el origen de autenticación para conceder acceso al dispositivo. Además, puede solicitar a JIMS que recupere la lista de grupos de un usuario individual del dominio de Active Directory.
Filtros
La función de consulta avanzada ofrece una función de filtro opcional que permite un control granular sobre los registros de información del usuario devueltos en respuesta a las consultas. Puede configurar filtros basados en direcciones IP y dominios. Los filtros le permiten definir específicamente qué información de usuario desea que JIMS incluya en las respuestas de consulta.
Los filtros se pueden configurar con:
-
Un rango de direcciones IP. Puede especificar un rango de direcciones IP para:
-
Usuarios cuya información desea recibir.
-
Usuarios para los que no desea información.
A partir de Junos OS versión 18.3R1, los firewalls de la serie SRX admiten direcciones IPv6 para configurar los filtros basados en direcciones IP, además de las direcciones IPv4 existentes.
Utilice libretas de direcciones para crear los filtros de direcciones IP. Los conjuntos de direcciones se configuran, cada uno de los cuales no debe contener más de veinte direcciones IP para incluirlas en la libreta de direcciones.
-
-
Nombres de dominio.
Puede especificar los nombres de hasta veinticinco dominios de Active Directory.
Puede crear filtros que incluyan las tres especificaciones: intervalos de direcciones IP que se van a incluir, intervalos de direcciones IP que se van a excluir y uno o varios nombres de dominio.
Los filtros son específicos del contexto, lo que permite diferentes configuraciones de filtro para diferentes solicitudes. Si modifica la configuración del filtro, el nuevo filtro se aplica exclusivamente a consultas posteriores y no afecta a las solicitudes de consulta anteriores.
Advertencias y limitaciones
Las siguientes advertencias, advertencias y limitaciones están asociadas con la característica de consulta avanzada:
-
Antes de utilizar esta función, es necesario deshabilitar las opciones de acceso al directorio activo y origen de autenticación en la jerarquía de identificación del usuario. Si la autenticación de Active Directory o las funciones de consulta y API web de ClearPass están configuradas y confirmadas, esta configuración no se puede aplicar.
-
La lectura y el procesamiento de registros de identidad de usuario pueden afectar el uso de la CPU y el consumo de recursos en el dispositivo. Este impacto puede persistir durante varios minutos.
-
Si la información de identidad del usuario se borra de JIMS o falta por otras razones o se retrasa, el dispositivo puede recibir una dirección IP e información de asignación de usuario inexactas.
-
Cuando la función de autenticación de firewall del dispositivo inserta entradas en JIMS para usuarios autenticados correctamente a través del portal cautivo, no actualiza el estado de tiempo de espera de entrada de autenticación para el servidor de Juniper Identity Management Service.
-
La generación de entradas de autenticación en la tabla de autenticación de gestión de identidades puede verse afectada por el tiempo de respuesta del servidor JIMS o por el número de registros de identidad de usuario que se van a recuperar.
-
Cambiar la configuración de un filtro solo se aplicará a recuperaciones posteriores de identidades de usuario. No afecta a las identidades recuperadas anteriormente.
-
Los intervalos de direcciones de los filtros solo se pueden configurar con direcciones IPv4. A partir de Junos OS versión 18.3R1, el firewall serie SRX también admite direcciones IPv6 para la configuración de filtros.
Estos detalles proporcionan una comprensión integral del Servicio de administración de identidad de Juniper (JIMS) y sus capacidades para obtener información de identidad del usuario, incluido el uso de funciones de consulta avanzadas, el establecimiento de conexiones y la aplicación de filtros.
Ver también
Descripción del nombre principal de usuario como identidad de usuario en el firewall de la serie SRX
A partir de Junos OS versión 20.1R1, el firewall serie SRX admite el uso del nombre principal de usuario (UPN) como nombre de inicio de sesión en la autenticación de firewall, que funciona como un portal cautivo para el servicio de administración de identidad de Juniper (JIMS) o firewall de usuario. Puede usar UPN como nombre de inicio de sesión en combinación con can o sAMAccountName. Se puede usar UPN en lugar de sAMAccountName para la autenticación de usuarios.
Cuando un usuario usa UPN como nombre de inicio de sesión, la característica de autenticación de firewall inserta el sAMAccountName correspondiente (asignado al UPN) al ID de usuario, en lugar de insertar el UPN en sí. Tanto el UPN como sAMAccountName (asignado al UPN) se insertan en JIMS.
El atributo Nombre principal de usuario (UPN) es el nombre de inicio de sesión que se usa en Windows Active Directory para autenticar usuarios dentro de un dominio. Un UPN consta de un prefijo (el nombre de la cuenta de usuario) y un sufijo (un nombre de dominio DNS). Es una cadena indizada de un solo valor. Cuando se utiliza un perfil de acceso de tipo LDAP, UPN se puede utilizar como nombre de inicio de sesión en la autenticación de firewall.
UPN es un nombre de inicio de sesión de estilo de Internet para un usuario, siguiendo el estándar de Internet. Toma la forma de una dirección de correo electrónico, como mailto:username@domainname.com. UPN es más corto que un nombre distinguido y más fácil de recordar. Cada UPN es único entre todos los objetos principales de seguridad dentro de un bosque de directorios.
El atributo sAMAccountName es un nombre de inicio de sesión utilizado para admitir clientes y servidores de versiones anteriores de Windows, como Windows NT 4.0, Windows 95, Windows 98 y LAN Manager. El nombre de inicio de sesión debe tener menos de 20 caracteres y ser único entre todos los objetos principales de seguridad del dominio. El acceso se concede cuando la autenticación de firewall recupera sAMAccountName de Active Directory.
En las organizaciones, la mayoría de los usuarios usan UPN como nombre de inicio de sesión junto con el atributo cn o sAMAccountName simultáneamente. Sin embargo, la configuración del atributo UPN en el perfil de acceso no puede controlar UPN y cn o sAMAccountName al mismo tiempo. Puede consultar la documentación "Configurar firewall de usuario integrado" para obtener más información.
La autenticación de firewall de usuario mediante el portal cautivo tiene dos orígenes: Active Directory y JIMS.
-
Si el origen es Active Directory, Active Directory debe configurarse en el firewall de la serie SRX cuando los usuarios usan UPN como nombre de inicio de sesión. La característica de autenticación de firewall inserta sAMAccountName en el firewall de la serie SRX y la entrada de autenticación de usuario se basa en sAMAccountName, no en UPN.
-
Si el origen es JIMS, JIMS debe configurarse en el firewall de la serie SRX cuando los usuarios utilicen UPN como nombre de inicio de sesión. La función de autenticación de firewall inserta UPN y sAMAccountName a JIMS. Al configurar el firewall de la serie SRX con el servidor JIMS, el dispositivo envía una consulta por lotes a JIMS para recuperar la información de usuario disponible.
Advertencias y limitaciones
Las siguientes advertencias y advertencias se aplican a la característica de soporte UPN:
-
El sAMAccountName debe configurarse en la opción de filtro de búsqueda para el perfil de acceso para evitar conflictos de nombre entre cn y UPN de otro usuario.
-
El sufijo UPN puede diferir del nombre de dominio al que pertenece el usuario. En tales casos, se debe agregar una identidad de origen de directiva de seguridad adicional para el nombre de dominio.
-
La compatibilidad con UPN solo está disponible cuando se configura un perfil de acceso LDAP para la autenticación de firewall.
Configuración de la función de consulta avanzada para obtener información de identidad de usuario de JIMS
Esta configuración muestra cómo configurar la característica de consulta avanzada para obtener información de identidad de usuario de Juniper Identity Management Service (JIMS) y configurar la política de seguridad para que coincida con la identidad de origen.
En este tema se describe:
- Configuración de la función de consulta avanzada para obtener información de identidad de usuario de JIMS
- Configuración del origen de autenticación de identidad del dispositivo y de la política de seguridad para que coincida con la información de identidad del usuario obtenida de JIMS
Configuración de la función de consulta avanzada para obtener información de identidad de usuario de JIMS
Al configurar la función de consulta avanzada de usuarios, el dispositivo puede consultar JIMS y agregar información de identidad en la tabla de autenticación local de Active Directory.
Siga estos pasos para configurar la característica de consulta avanzada:
Configuración del origen de autenticación de identidad del dispositivo y de la política de seguridad para que coincida con la información de identidad del usuario obtenida de JIMS
Especifique el origen de autenticación de identidad del dispositivo y la política de seguridad. El dispositivo obtiene la información de identidad del dispositivo para los dispositivos autenticados del origen de autenticación. El dispositivo busca en la tabla de autenticación de identidad del dispositivo una coincidencia de dispositivo cuando el tráfico que sale del dispositivo de un usuario llega al dispositivo. Si encuentra una coincidencia, el dispositivo busca una política de seguridad coincidente. Si encuentra una política de seguridad coincidente, la acción de la política de seguridad se aplica al tráfico.
Siga estos pasos para configurar el origen de autenticación de identidad del dispositivo:
Siga estos pasos para configurar la directiva de seguridad:
-
Cree una dirección de origen para una política de seguridad.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-address any
-
Cree una dirección de destino para una directiva de seguridad.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match destination-address any
-
Configure la aplicación basada en puertos para que coincida con la directiva.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match application any
-
Defina un nombre de usuario o un nombre de rol (grupo) que el JIMS envíe al dispositivo. Ejemplo: "jims-dom1.local\user1".
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
Permita el paquete si la política coincide.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
Configure la hora de inicio de la sesión.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-init
-
Configure la hora de cierre de la sesión.
[edit security ] user@host# set policies from-zone untrust to-zone trust policy name then log session-close
Ejemplo: Configuración de la función de consulta avanzada para obtener información de identidad de usuario de JIMS
RESUMEN En este ejemplo se muestra cómo configurar la función de consulta avanzada en el firewall de la serie SRX para conectarse automáticamente al Servicio de administración de identidades (JIMS) de Juniper. Puede realizar solicitudes mediante consultas avanzadas para obtener la información de autenticación mediante consultas por lotes.
JIMS proporciona una implementación de identificación de usuario y mapeo de direcciones IP robusta y escalable que incluye el contexto del punto final y el ID de la máquina. JIMS recopila información de identidad de usuario de diferentes fuentes de autenticación para firewalls de la serie SRX. Con la función de consulta avanzada, el firewall de la serie SRX funciona como cliente HTTPS y envía solicitudes HTTPS a JIMS en el puerto 591.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Junos Software versión 15.1x49-D100 y JIMS Software Release v1.1 y v1.2.
Antes de comenzar, necesita la siguiente información:
-
La dirección IP del servidor JIMS.
-
El número de puerto del servidor JIMS para recibir solicitudes HTTPS.
-
El ID de cliente del servidor JIMS para consultas avanzadas.
-
El secreto de cliente del servidor JIMS para consultas avanzadas.
-
Las traceoptions del servidor JIMS para consultas avanzadas.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 192.0.2.15 set services user-identification identity-management connection primary client-id client1 set services user-identification identity-management connection primary client-secret "$ABC123" set services user-identification identity-management connection secondary address 192.0.2.2 set services user-identification identity-management connection secondary client-id client2 set services user-identification identity-management connection secondary client-secret "$ABC123" set services user-identification identity-management batch-query query-interval 60 set services user-identification identity-management ip-query query-delay-time 0 set services user-identification identity-management traceoptions file jimslog set services user-identification identity-management traceoptions file size 10m set services user-identification identity-management traceoptions level all set services user-identification identity-management traceoptions flag all set services user-identification identity-management traceoptions flag jims-validator-query
Procedimiento
Procedimiento paso a paso
Para configurar la función de consulta avanzada en el firewall de la serie SRX:
-
Configure JIMS como origen de autenticación para solicitudes de consulta avanzadas. El firewall de la serie SRX requiere esta información para ponerse en contacto con el servidor.
[edit services user-identification] user@host# set identity-management connection connect-method https
-
Configure el número de puerto del servidor JIMS al que el firewall de la serie SRX envía solicitudes HTTPS.
[edit services user-identification] user@host# set identity-management connection port 443
-
Configure la dirección principal del servidor JIMS.
[edit services user-identification] user@host# set identity-management connection primary address 192.0.2.15
-
Configure el identificador de cliente y el secreto de cliente para obtener el token de acceso.
[edit services user-identification] user@host# set identity-management connection primary client-id client1 user@host# set identity-management connection primary client-secret "$ABC123"
-
Configure la dirección secundaria del servidor JIMS.
[edit services user-identification] user@host# set identity-management connection secondary address 192.0.2.2
-
Configure el identificador de cliente y el secreto de cliente para obtener el token de acceso.
[edit services user-identification] user@host# set identity-management connection secondary client-id client2 user@host# set identity-management connection secondary client-secret "$ABC123"
-
Configure el intervalo de consulta por lotes para consultar periódicamente a JIMS la información de identidad del usuario.
[edit services user-identification] user@host# set identity-management batch-query query-interval 60
-
Configure el tiempo de retraso en segundos antes de que el firewall de la serie SRX envíe la consulta de usuario individual. En este ejemplo, no hay demora.
[edit services user-identification] user@host# set identity-management ip-query query-delay-time 0
-
Configure traceoptions para depurar y recortar la salida.
[edit services user-identification] user@host# set identity-management traceoptions file jimslog user@host# set identity-management traceoptions file size 10m user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all user@host# set services user-identification identity-management traceoptions flag jims-validator-query
-
Configure el dispositivo para conectarse con el servidor JIMS. Si no especifica un número de puerto, se utiliza el puerto predeterminado 591 para JIMS. El firewall de la serie SRX utiliza la misma configuración de JIMS para conectarse con el puerto 443 de JIMS y el puerto 591 del servidor (validador) de JIMS.
set services user-identification identity-management jims-validator port 591
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show services user-identification
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla. Para deshabilitar la configuración set services user-identification identity-management ip-query no-ip-query
de uso ip-query .
[edit]
user@host# show services user-identification
identity-management {
connection {
connect-method https;
port 443;
primary {
address 192.0.2.15;
client-id client1;
client-secret "$ABC123";
}
secondary {
address 192.0.2.2;
client-id client2;
client-secret "$ABC123";
}
}
jims-validator {
port 591;
}
batch-query {
query-interval 60;
}
ip-query {
query-delay-time 0;
}
traceoptions {
file jimslog size 10m;
level all;
flag all;
flag jims-validator-query;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificación del estado de administración de identidad de identificación del usuario
- Comprobación de los contadores de administración de identidad de identificación del usuario
Verificación del estado de administración de identidad de identificación del usuario
Propósito
Verifique que el servidor JIMS esté en línea y qué servidor está respondiendo a las consultas del firewall de la serie SRX.
Acción
Desde el modo operativo, ingrese el show services user-identification identity-management status
comando.
Primary server : Address : 192.0.2.15 Port : 443 Connection method : HTTPS Connection status : Online Last received status message : OK (200) Access token : jjrOS4unS5d6KOTAvN8VlTsflhZBQmOm9jVsrwS Token expire time : 2017-12-22 08:51:38 Secondary server : Address : 192.0.2.2 Port : 443 Connection method : HTTPS Connection status : Online Last received status message : OK (200) Access token : MLefNf00jG503D7H95neF1ip59JOC3jPgcl4oWQ Token expire time : 2017-12-22 08:51:28
Significado
El resultado proporciona datos sobre el estado del servidor JIMS.
Comprobación de los contadores de administración de identidad de identificación del usuario
Propósito
Muestra contadores para consultas por lotes e IP enviadas al dispositivo JIMS y respuestas recibidas del servidor JIMS. La consulta por lotes se muestra por separado para el servidor principal y el servidor secundario, si hay más de uno configurado.
Acción
Desde el modo operativo, ingrese el show services user-identification identity-management counters
comando.
Desde el modo operativo, escriba el comando para borrar el clear services user-identification identity-management counters
contador.
Primary server : Address : 192.0.2.15 Batch query sent number : 8 Batch query total response number : 8 Batch query error response number : 0 Batch query last response time : 2017-12-22 01:04:34 IP query sent number : 4 IP query total response number : 4 IP query error response number : 0 IP query last response time : 2017-12-22 01:02:25 Secondary server : Address : 192.0.2.2 Batch query sent number : 0 Batch query total response number : 0 Batch query error response number : 0 Batch query last response time : 0 IP query sent number : 0 IP query total response number : 0 IP query error response number : 0 IP query last response time : 0
Significado
El resultado proporciona los datos de consultas por lotes e IP del servidor JIMS.
Ejemplo: configuración del filtro para la característica de consulta avanzada
Un firewall de la serie SRX admite filtros IP y filtros de dominio al consultar el Servicio de administración de identidades (JIMS) de Juniper. La característica de consulta avanzada proporciona una función de filtro opcional para recibir la información del usuario en respuesta a las consultas.
En este ejemplo se muestra cómo configurar los filtros para obtener la información de usuario.
Requisitos
Antes de empezar:
-
Configure la característica de consulta avanzada. Consulte Configuración de la función de consulta avanzada para obtener información de identidad de usuario de JIMS.
Visión general
Puede configurar filtros para consultar el servidor JIMS a un nivel más granular para obtener información de identidad de usuario basada en direcciones IP. Puede establecer filtros para incluir los intervalos de direcciones IP que requieren los firewalls de la serie SRX o excluir los intervalos de direcciones IP que no requieren al recopilar la información de identidad del usuario. También puede filtrar dominios.
Un filtro puede incluir y excluir hasta veinte rangos de direcciones IP. Por lo tanto, un conjunto de direcciones que contiene más de veinte intervalos de direcciones hace que se produzca un error en la configuración del filtro. Para especificar los rangos, especifique el nombre de un conjunto de direcciones predefinido que los incluya y que también se incluya en una libreta de direcciones existente.
Un dominio puede incluir hasta 20 nombres de dominio para un filtro.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
En este ejemplo, defina una libreta de direcciones y especifique la dirección de seguridad para la libreta de direcciones. Especifique una dirección IP con un prefijo. Defina un nombre de conjunto de direcciones y especifique la dirección. Incluya y excluya las direcciones IP en la libreta de direcciones. Agregue la dirección establecida para incluir y excluir las direcciones IP. Agregue un nombre de dominio para filtrar el dominio.
set security address-book mybook address addr1 192.0.2.0/24 set security address-book mybook address-set myset address addr1 set services user-identification identity-management filter include-ip address-book mybook set services user-identification identity-management filter include-ip address-set myset set security address-book mybook2 address addr2 198.51.100.0/24 set security address-book mybook2 address-set myset2 address addr2 set services user-identification identity-management filter exclude-ip address-book mybook2 set services user-identification identity-management filter exclude-ip address-set myset2 set services user-identification identity-management filter domain host.example.com
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar un filtro para la característica de consulta avanzada:
-
Defina un nombre de libreta de direcciones, especifique la dirección de seguridad para la libreta de direcciones y agregue una dirección IPv4 con un prefijo.
[edit ] user@host# set security address-book mybook address addr1 192.0.2.0/24 user@host# set security address-book mybook2 address addr2 198.51.100.0/24
-
Especifique un nombre de conjunto de direcciones y especifique la dirección.
[edit ] user@host# set security address-book mybook address-set myset address addr1 user@host# set security address-book mybook2 address-set myset2 address addr2
-
Configure la libreta de direcciones para incluir y excluir la dirección IP.
[edit ] user@host# set services user-identification identity-management filter include-ip address-book mybook user@host# set services user-identification identity-management filter exclude-ip address-book mybook2
-
Defina la dirección establecida para incluir o excluir la dirección IP.
[edit ] user@host# set services user-identification identity-management filter include-ip address-set myset user@host# set services user-identification identity-management filter exclude-ip address-set myset2
-
Especifique un nombre de dominio para filtrar el dominio.
[edit ] user@host# set services user-identification identity-management filter domain host.example.com
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show services user-identification
comandos y show security address-book
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show services user-identification
identity-management {
filter {
domain {
host.example.com;
}
include-ip {
address-book mybook;
address-set myset;
}
exclude-ip {
address-book mybook2;
address-set myset2;
}
}
}
[edit]
user@host# show security address-book
mybook {
address addr1 192.0.2.0/24;
address-set myset {
address addr1;
}
}
mybook2 {
address addr2 198.51.100.0/24;
address-set myset2 {
address addr2;
}
}
Verificación
Filtro de comprobación para la característica de consulta avanzada
Propósito
Compruebe que la tabla de autenticación muestra la información de usuario que desea recibir en respuesta a las consultas.
Acción
En el modo operativo, escriba show services user-identification authentication-table authentication-source all
comando.
show services user-identification authentication-table authentication-source all node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: host.example.com Total entries: 10 Source IP Username groups(Ref by policy) state 192.0.2.10 jasonlee Valid 192.0.2.9 jasonlee Valid 192.0.2.8 jasonlee Valid 192.0.2.7 jasonlee Valid 192.0.2.6 jasonlee Valid 192.0.2.5 jasonlee Valid 192.0.2.4 jasonlee Valid 192.0.2.3 jasonlee Valid 192.0.2.2 jasonlee Valid 192.0.2.1 jasonlee Valid node1: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: host.example.com Total entries: 10 Source IP Username groups(Ref by policy) state 192.0.2.10 jasonlee Valid 192.0.2.9 jasonlee Valid 192.0.2.8 jasonlee Valid 192.0.2.7 jasonlee Valid 192.0.2.6 jasonlee Valid 192.0.2.5 jasonlee Valid 192.0.2.4 jasonlee Valid 192.0.2.3 jasonlee Valid 192.0.2.2 jasonlee Valid 192.0.2.1 jasonlee Valid
Significado
El resultado muestra la información del usuario en respuesta a las consultas.