Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Despliegue de dispositivos administrados por el cliente (en las instalaciones)

Nota:

"Configuración de los despliegues de Juniper Secure Edge" y "Agregar servicios de directorio" son obligatorios para los clientes que utilizan despliegues en las instalaciones y en Secure Edge.

Servidor JIMS

El servidor JIMS está configurado de forma predeterminada para la conexión de host local. Una vez configurado, solo puede editar el puerto del servidor JIMS y la velocidad máxima de datos del servidor.

También se puede configurar un nuevo servidor JIMS. Para agregar un nuevo servidor JIMS, siga los pasos a continuación:

  1. Haga clic en Agregar para agregar un nuevo servidor JIMS.
  2. Ingrese la dirección IP o el nombre de dominio completo (FQDN) del servidor.
  3. Dé una descripción.
  4. Ingrese el nombre de usuario y la contraseña para fines de autenticación.
  5. Seleccione el tipo de servidor JIMS en el menú desplegable.
  6. Anule la selección de TLS solo si realiza la solución de problemas.
  7. JIMS configura automáticamente la identidad, el puerto de servidor JIMS y la velocidad máxima de datos. Cambiar el certificado digital para el servidor local de JIMS en la Configuración > General está en desuso; Esta opción ya no se admite.

Servicios de directorio

Debe configurar al menos un servidor de directorios para que el recopilador de JIMS recopile usuarios, dispositivos y pertenencias a grupos. Actualmente, solo se admite Active Directory.

Si tiene previsto utilizar varios servidores de directorios con las mismas credenciales, puede crear una plantilla para reducir la entrada de cada servidor de directorios.

Para agregar un nuevo servidor de directorios:

  1. Haga clic en Agregar para agregar un nuevo servidor de directorios.
  2. Opcionalmente, use una plantilla ya creada para preconfigurar las credenciales.
  3. El origen está seleccionado de forma predeterminada.
  4. Proporcione una descripción.
  5. Introduzca el nombre de host del servidor o la dirección IP del servidor.
  6. Introduzca el ID de inicio de sesión y la contraseña para fines de autenticación.
  7. Seleccione Conexión TLS si desea cifrar la comunicación entre JIMS y el servidor de directorios.

Productores de identidad

Puede configurar Identity Producers para recopilar eventos de estado de usuario y dispositivo. JIMS utiliza esta información para proporcionar asignaciones de direcciones IP a nombres de usuario. JIMS también proporciona nombres de dispositivo con nombres de dominio a los puntos de aplicación (firewalls de la serie SRX).

Los productores de identidad tienen 3 pestañas/opciones. Seleccione la opción adecuada para su implementación en función de la información proporcionada en la sección Productores de identidad .

Agregar origen de evento

Para agregar una nueva fuente de eventos:

  1. Haga clic en Agregar para agregar nuevas fuentes de eventos.
  2. Utilice una plantilla ya creada para preconfigurar las credenciales.
  3. Seleccione el tipo de origen (controlador de dominio o servidor de Exchange).
  4. Proporcione una descripción opcional.
  5. Introduzca el nombre de host del servidor o la dirección IP del servidor.
  6. Ingrese el ID de inicio de sesión y la contraseña. Debe ser la cuenta de servicio recién creada con privilegios limitados.
  7. Ingrese el tiempo de recuperación del historial de eventos de inicio. Esto garantiza que JIMS haya recopilado datos históricos antes del uso en producción.

Agregar sonda de PC

Para agregar una nueva sonda de PC:

  1. Haga clic en Agregar para agregar una nueva sonda de PC.
  2. Ingrese el ID de inicio de sesión y la contraseña. Esta es la cuenta de servicio recién creada con privilegios limitados.
  3. Proporcione una descripción opcional.
  4. Después de proporcionar los detalles, puede mover el orden de los nombres de usuario en la secuencia en la que desea que se ejecuten.

Agregar fuente de syslog

Para agregar un nuevo origen de syslog:

  1. Haga clic en Agregar para agregar una nueva fuente de Syslog.
  2. Si lo desea, utilice una configuración base ya creada.
  3. Introduzca la dirección IP o el FQDN del servidor (cliente Syslog).
  4. Proporcione una descripción opcional.
  5. Haga clic en Agregar para definir las expresiones regulares coincidentes.

Filtros

El servidor JIMS le permite filtrar por:

  • Filtros IP: proporcionan el inicio y el final del intervalo IP.

  • Filtros de eventos/grupos: introduzca el usuario o dispositivo que desea incluir en los informes. Los filtros de grupo se aplican a todos los firewalls de la serie SRX en su red. Especifique también el dominio.

  • Filtros DN: introduzca el filtro DN. Se recomienda usar expresiones regulares.

Configuración

El menú Configuración consta de dos pestañas:

Registro

En la sección Registro , escriba los siguientes detalles:

  1. Escriba el prefijo filename.
  2. Haga clic en Seleccionar para elegir el directorio requerido.
  3. Ingrese el tamaño del archivo.
    Nota:

    El rango de tamaño de archivo aceptable es de 1 a 2000 MB.
  4. Ingrese la duración del archivo.
    Nota:

    El intervalo de vida útil de archivo aceptable es de 1 a 30 días.

General

En la sección General , escriba los siguientes detalles:

  1. En Configuración de interfaz administrativa, escriba el puerto TLS (https).
  2. En Configuración de sesión de usuario, escriba la hora de cierre de sesión.
    Nota:

    El marco de tiempo de cierre de sesión aceptable debe estar entre 1 y 1440 minutos.
  3. En la sección Configuración global (que requiere un reinicio de JIMS), ingrese el intervalo de tiempo inicial de Syslog (minutos). Elija las opciones adecuadas: Pasar UPN, Permitir nombres de usuario compuestos y Confiar en otros dominios según sus requisitos.

Puntos de cumplimiento

Agregar puntos de cumplimiento en la interfaz de usuario de JIMS

Debe configurar los puntos de cumplimiento (dispositivos SRX/NFX), de lo contrario, no podrá extraer información del usuario, del dispositivo y del grupo para aplicar políticas que tengan en cuenta la identidad (firewall de usuario).

Si tiene muchos puntos de cumplimiento con el mismo ID de cliente y secreto de cliente, puede crear una plantilla para reducir la entrada de cada uno de ellos.

Para agregar un nuevo punto de cumplimiento:

  1. Haga clic en Agregar.
  2. Opcionalmente, use una plantilla ya creada para preconfigurar las credenciales.
  3. Ingrese la dirección IP SRX.
  4. Si tiene varios puntos de cumplimiento dentro de una subred, puede ingresar una subred coincidente que los cubra todos.
  5. Proporcione una descripción opcional.
  6. Active los informes IPv6 como IPv6, ya que se utilizan en su organización. Esto agrega registros duplicados en la tabla de autenticación en el punto de cumplimiento.
  7. Escriba el ID de cliente y el secreto de cliente utilizados para este dispositivo.
  8. Se aplica la vida útil del token. Esta vida útil se puede cambiar/ajustar.

Configurar JIMS en Junos

Configuración de JIMS con firewall de la serie SRX

Siga estos pasos para configurar JIMS con el firewall de la serie SRX:

  1. Configure la dirección FQDN/IP del servidor JIMS principal/secundario.

  2. Configure el ID de cliente y el secreto de cliente que el dispositivo de la serie SRX proporciona al servidor primario o secundario de JIMS como parte de su autenticación.

  3. Opcionalmente, configure la instancia de enrutamiento o la IP de origen que se debe utilizar para llegar a los servidores JIMS.

    Nota:

    También puede configurar el punto de cumplimiento para validar el certificado del servidor JIMS; para ello, consulte la sección avanzada.

  4. Configure la cantidad máxima de elementos de identidad de usuario que el dispositivo acepta en un lote en respuesta a la consulta.

  5. Configure el intervalo en segundos después del cual el dispositivo emite una solicitud de consulta para las identidades de usuario recién generadas.

  6. Configure los dominios de Active Directory de interés para el firewall de la serie SRX. Puede especificar hasta veinte nombres de dominio para el filtro.

  7. Configure el nombre de la libreta de direcciones para incluir el filtro IP.

  8. Para configurar el conjunto de direcciones al que se hace referencia, el nombre de archivo de la opción de rastreo, el tamaño del archivo de rastreo, el nivel de salida de depuración y la administración de identidades de rastreo para todos los módulos, utilice los siguientes comandos de forma adecuada:

Configuración del origen de autenticación de identidad del dispositivo (perfil del usuario final)

Especifique la identidad del dispositivo, el origen de la autenticación y la política de seguridad. El dispositivo obtiene la información de identidad del dispositivo para los dispositivos autenticados del origen de autenticación. El dispositivo busca en la tabla de autenticación de identidad de dispositivo una coincidencia cuando el tráfico que se emite desde el dispositivo de un usuario llega al dispositivo. Si encuentra una coincidencia, el dispositivo busca una política de seguridad coincidente. Si encuentra una política de seguridad coincidente, la acción de la política de seguridad se aplica al tráfico.

Siga estos pasos para configurar el origen de autenticación de identidad del dispositivo:

  1. Especifique el origen de autenticación de identidad del dispositivo.

  2. Configure el perfil de identidad del dispositivo y el nombre de dominio al que pertenece el dispositivo.

  3. Configure la cadena de identidad del dispositivo del atributo del nombre de perfil.

Configuración de la política de firewall para que coincida con la identidad de origen.

Siga estos pasos para configurar una o varias políticas de firewall que controlen el acceso en función de la identidad.

  1. Cree una dirección de origen o de destino para una política de seguridad y configure la aplicación o el servicio para que coincida con la política.

  2. Defina un nombre de usuario o un nombre de rol (grupo) que JIMS envía al dispositivo. Por ejemplo: "jims-dom1.local\user1".

  3. Permita el paquete si la política coincide.

  4. Para configurar la hora de inicio de sesión y la hora de cierre de sesión, utilice los siguientes comandos:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: