Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JIMS con firewall de la serie SRX

JIMS con firewall de la serie SRX

El Servicio de administración de identidades de Juniper (JIMS) es una aplicación de servicio de Windows diseñada para recopilar y administrar información de usuarios, dispositivos y grupos de dominios de Active Directory.

Para usar el servicio de administración de identidad de Juniper, sus puntos de cumplimiento (firewalls de la serie SRX y NFX) deben estar configurados correctamente para obtener información de identidad de JIMS.

Los puntos de aplicación utilizan el servidor JIMS principal hasta que la conexión declara que el servidor se ha perdido. Periódicamente, el punto de cumplimiento sondea el servidor primario con errores y vuelve a él una vez que vuelve a estar disponible sin ninguna intervención del usuario.

La conexión al servidor JIMS solo debe utilizar transporte HTTPS, que cifra la comunicación entre el punto de cumplimiento y el servidor JIMS. Tanto los puntos de aplicación como el servidor JIMS autentican la conexión mediante un ID de cliente y un secreto de cliente, que generan un token de acceso. Este token de acceso debe estar presente en cada consulta al servidor JIMS.

Existen dos métodos para obtener información de identidad de usuario de JIMS:

  • Consultas por lotes:

    SRX envía un mensaje de consulta por lotes a JIMS cada 5 segundos de forma predeterminada para obtener la información de identidad disponible.

  • Consultas IP:

    Cuando a SRX le falta información sobre una dirección IP específica, puede enviar una consulta IP a JIMS que luego devuelve su estado para esa dirección IP específica. Si JIMS no contiene una entrada para la dirección IP especificada, SRX amenazará esta IP ya que es un usuario desconocido.

En el SRX, es posible definir filtros que se pueden usar para filtrar la información de identidad conocida por JIMS. Puede suscribirse a ciertos dominios o incluir o excluir información relacionada con ciertos prefijos IP definidos por entradas de libreta de direcciones o conjuntos de direcciones. Los cambios en estos filtros solo se realizarán durante la siguiente consulta por lotes.

Puede seleccionar hasta xxx entradas de libreta de direcciones/conjuntos para incluir o excluir filtros, y el número total de entradas xxx de libreta de direcciones se combina tanto con conjuntos como con libros.

Puede agregar un máximo de 25 dominios a la lista de filtros. Cada conjunto de direcciones puede incluir x número de entradas en la libreta de direcciones, si los conjuntos de direcciones se incluyen en un conjunto de direcciones, set services user-identification identity-management filter

Puede actualizar la información de identidad del usuario en la tabla de autenticación de gestión de identidades obtenida de JIMS. La información de identidad se actualizará durante la próxima consulta por lotes, clear services user-identification authentication-table authentication-source identity-management

Para buscar información de identidad de usuario y validar el origen de autenticación para conceder acceso al dispositivo, use run show services user-identification authentication-table authentication-source all

La siguiente configuración ilustra una configuración básica del servidor JIMS en un firewall serie SRX:

root@srx1# show services user-identification identity-management

Configuración de JIMS con el firewall de la serie SRX

Para configurar una conexión a un firewall de la serie SRX, consulte Configuración de la conexión a un dispositivo de la serie SRX.

Siga estos pasos para configurar JIMS con el firewall de la serie SRX:

  1. Configure la dirección FQDN/IP del servidor JIMS primario/secundario.

  2. Configure el ID de cliente y el secreto de cliente que el dispositivo de la serie SRX proporciona al servidor primario/secundario de JIMS como parte de su autenticación.

  3. Opcionalmente, configure la instancia de IP de origen o de enrutamiento que se debe utilizar para llegar a los servidores JIMS.

    Nota:

    También puede configurar el punto de cumplimiento para validar el certificado del servidor JIMS, para ello, consulte la sección avanzada.

  4. Configure el número máximo de elementos de identidad de usuario que el dispositivo acepta en un lote en respuesta a la consulta.

  5. Configure el intervalo en segundos tras el cual el dispositivo emite una solicitud de consulta para identidades de usuario recién generadas.

  6. Configure dominios de Active Directory de interés para el firewall de la serie SRX. Puede especificar hasta veinte nombres de dominio para el filtro.

  7. Configure el nombre de la libreta de direcciones para incluir el filtro IP.

  8. Para configurar el conjunto de direcciones al que se hace referencia, el nombre de archivo de la opción de seguimiento, el tamaño del archivo de seguimiento, el nivel de resultado de depuración y la administración de identidades de seguimiento para todos los módulos, utilice los siguientes comandos de forma adecuada:

Configuración del origen de autenticación de identidad del dispositivo (perfil de usuario final)

Especifique el origen de autenticación de identidad del dispositivo y la política de seguridad. El dispositivo obtiene la información de identidad del dispositivo para los dispositivos autenticados del origen de autenticación. El dispositivo busca en la tabla de autenticación de identidad del dispositivo una coincidencia de dispositivo cuando el tráfico que sale del dispositivo de un usuario llega al dispositivo. Si encuentra una coincidencia, el dispositivo busca una política de seguridad coincidente. Si encuentra una política de seguridad coincidente, la acción de la política de seguridad se aplica al tráfico.

Siga estos pasos para configurar el origen de autenticación de identidad del dispositivo:

  1. Especifique el origen de autenticación de identidad del dispositivo.

  2. Configure el perfil de identidad del dispositivo y el nombre de dominio al que pertenece el dispositivo.

  3. Configure la cadena de identidad de dispositivo de atributo de nombre de perfil.

Configuración de la directiva de firewall para que coincida con la identidad de origen.

Siga estos pasos para configurar una o varias directivas de firewall que controlen el acceso en función de la identidad.

  1. Cree una dirección de origen o destino para una política de seguridad y configure la aplicación o el servicio para que coincida con la directiva.

  2. Defina un nombre de usuario o un nombre de rol (grupo) que el JIMS envíe al dispositivo. Por ejemplo: "jims-dom1.local\user1".

  3. Permita el paquete si la directiva coincide.

  4. Para configurar la hora de inicio y cierre de la sesión, utilice los siguientes comandos:

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: