JIMS con firewall de la serie SRX
JIMS con firewall de la serie SRX
El Servicio de administración de identidades de Juniper (JIMS) es una aplicación de servicio de Windows diseñada para recopilar y administrar información de usuarios, dispositivos y grupos de dominios de Active Directory.
Para usar el servicio de administración de identidad de Juniper, sus puntos de cumplimiento (firewalls de la serie SRX y NFX) deben estar configurados correctamente para obtener información de identidad de JIMS.
Los puntos de aplicación utilizan el servidor JIMS principal hasta que la conexión declara que el servidor se ha perdido. Periódicamente, el punto de cumplimiento sondea el servidor primario con errores y vuelve a él una vez que vuelve a estar disponible sin ninguna intervención del usuario.
La conexión al servidor JIMS solo debe utilizar transporte HTTPS, que cifra la comunicación entre el punto de cumplimiento y el servidor JIMS. Tanto los puntos de aplicación como el servidor JIMS autentican la conexión mediante un ID de cliente y un secreto de cliente, que generan un token de acceso. Este token de acceso debe estar presente en cada consulta al servidor JIMS.
Existen dos métodos para obtener información de identidad de usuario de JIMS:
-
Consultas por lotes:
SRX envía un mensaje de consulta por lotes a JIMS cada 5 segundos de forma predeterminada para obtener la información de identidad disponible.
-
Consultas IP:
Cuando a SRX le falta información sobre una dirección IP específica, puede enviar una consulta IP a JIMS que luego devuelve su estado para esa dirección IP específica. Si JIMS no contiene una entrada para la dirección IP especificada, SRX amenazará esta IP ya que es un usuario desconocido.
En el SRX, es posible definir filtros que se pueden usar para filtrar la información de identidad conocida por JIMS. Puede suscribirse a ciertos dominios o incluir o excluir información relacionada con ciertos prefijos IP definidos por entradas de libreta de direcciones o conjuntos de direcciones. Los cambios en estos filtros solo se realizarán durante la siguiente consulta por lotes.
Puede seleccionar hasta xxx entradas de libreta de direcciones/conjuntos para incluir o excluir filtros, y el número total de entradas xxx de libreta de direcciones se combina tanto con conjuntos como con libros.
Puede agregar un máximo de 25 dominios a la lista de filtros. Cada conjunto de direcciones puede incluir x número de entradas en la libreta de direcciones, si los conjuntos de direcciones se incluyen en un conjunto de direcciones, set services user-identification identity-management filter
Puede actualizar la información de identidad del usuario en la tabla de autenticación de gestión de identidades obtenida de JIMS. La información de identidad se actualizará durante la próxima consulta por lotes, clear services user-identification authentication-table authentication-source identity-management
Para buscar información de identidad de usuario y validar el origen de autenticación para conceder acceso al dispositivo, use run show services user-identification authentication-table authentication-source all
La siguiente configuración ilustra una configuración básica del servidor JIMS en un firewall serie SRX:
root@srx1# show services user-identification identity-management
authentication-entry-timeout 120; invalid-authentication-entry-timeout 10; connection { connect-method https; port 443; primary { address 70.0.0.250; client-id abcd; client-secret "$9$86jLdsaJDkmTUj"; ## SECRET-DATA } secondary { address 70.0.0.251; client-id otest; client-secret "$9$W0K8-woaUH.5GD"; ## SECRET-DATA } } batch-query { items-per-batch 500; query-interval 5; }
- Configuración de JIMS con el firewall de la serie SRX
- Configuración del origen de autenticación de identidad del dispositivo (perfil de usuario final)
- Configuración de la directiva de firewall para que coincida con la identidad de origen.
Configuración de JIMS con el firewall de la serie SRX
Para configurar una conexión a un firewall de la serie SRX, consulte Configuración de la conexión a un dispositivo de la serie SRX.
Siga estos pasos para configurar JIMS con el firewall de la serie SRX:
-
Configure la dirección FQDN/IP del servidor JIMS primario/secundario.
[edit services user-identification] user@host# set identity-management connection primary address [fqdn/ip-address] user@host# set identity-management connection secondary address [fqdn/ip-address]
-
Configure el ID de cliente y el secreto de cliente que el dispositivo de la serie SRX proporciona al servidor primario/secundario de JIMS como parte de su autenticación.
[edit services user-identification] user@host# set identity-management connection primary client-id [client-id] user@host# set identity-management connection primary client-secret [client-secret] user@host# set identity-management connection secondary client-id [client-id] user@host# set identity-management connection secondary client-secret [client-secret]
-
Opcionalmente, configure la instancia de IP de origen o de enrutamiento que se debe utilizar para llegar a los servidores JIMS.
[edit services user-identification] user@host# set identity-management connection primary source [ip-address] user@host# set identity-management connection primary routing-instance [routing-instance-name]
Nota:También puede configurar el punto de cumplimiento para validar el certificado del servidor JIMS, para ello, consulte la sección avanzada.
-
Configure el número máximo de elementos de identidad de usuario que el dispositivo acepta en un lote en respuesta a la consulta.
[edit services user-identification] user@host# set identity-management batch-query items-per-batch [number-of-items-per-batch]
-
Configure el intervalo en segundos tras el cual el dispositivo emite una solicitud de consulta para identidades de usuario recién generadas.
[edit services user-identification] user@host# set identity-management batch-query query-interval [query-interval]
-
Configure dominios de Active Directory de interés para el firewall de la serie SRX. Puede especificar hasta veinte nombres de dominio para el filtro.
[edit services user-identification] user@host# set identity-management filter domain [domain-name]
-
Configure el nombre de la libreta de direcciones para incluir el filtro IP.
[edit services user-identification] user@host# set identity-management filter include-ip address-book [address-book-name]
-
Para configurar el conjunto de direcciones al que se hace referencia, el nombre de archivo de la opción de seguimiento, el tamaño del archivo de seguimiento, el nivel de resultado de depuración y la administración de identidades de seguimiento para todos los módulos, utilice los siguientes comandos de forma adecuada:
[edit services user-identification] user@host# set identity-management filter include-ip address-set [address-set] user@host# set identity-management traceoptions file [file-name] user@host# set identity-management traceoptions file [file-size] user@host# set identity-management traceoptions level all user@host# set identity-management traceoptions flag all
Configuración del origen de autenticación de identidad del dispositivo (perfil de usuario final)
Especifique el origen de autenticación de identidad del dispositivo y la política de seguridad. El dispositivo obtiene la información de identidad del dispositivo para los dispositivos autenticados del origen de autenticación. El dispositivo busca en la tabla de autenticación de identidad del dispositivo una coincidencia de dispositivo cuando el tráfico que sale del dispositivo de un usuario llega al dispositivo. Si encuentra una coincidencia, el dispositivo busca una política de seguridad coincidente. Si encuentra una política de seguridad coincidente, la acción de la política de seguridad se aplica al tráfico.
Siga estos pasos para configurar el origen de autenticación de identidad del dispositivo:
-
Especifique el origen de autenticación de identidad del dispositivo.
[edit services user-identification] user@host# set device-information authentication-source network-access-controller
-
Configure el perfil de identidad del dispositivo y el nombre de dominio al que pertenece el dispositivo.
[edit services user-identification] user@host# set device-information end-user-profile profile-name [profile-name] domain-name [domain-name]
-
Configure la cadena de identidad de dispositivo de atributo de nombre de perfil.
[edit services user-identification] user@host# set device-information end-user-profile profile-name [profile-name] attribute device-identity string [string-value]
Configuración de la directiva de firewall para que coincida con la identidad de origen.
Siga estos pasos para configurar una o varias directivas de firewall que controlen el acceso en función de la identidad.
-
Cree una dirección de origen o destino para una política de seguridad y configure la aplicación o el servicio para que coincida con la directiva.
[edit security] user@host# set policies from-zone untrust to-zone trust policy name match source-address any user@host# set policies from-zone untrust to-zone trust policy name match destination-address any user@host# set policies from-zone untrust to-zone trust policy name match application any
-
Defina un nombre de usuario o un nombre de rol (grupo) que el JIMS envíe al dispositivo. Por ejemplo: "jims-dom1.local\user1".
[edit security] user@host# set policies from-zone untrust to-zone trust policy name match source-identity username or group
-
Permita el paquete si la directiva coincide.
[edit security] user@host# set policies from-zone untrust to-zone trust policy name then permit
-
Para configurar la hora de inicio y cierre de la sesión, utilice los siguientes comandos:
[edit security] user@host# set policies from-zone untrust to-zone trust policy name then log session-init user@host# set policies from-zone untrust to-zone trust policy name then log session-close
[edit security policies from-zone LAN to-zone FINANCE policy FinanceAUTH] user@host# set match source-address any user@host# set match destination-address Payroll user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall web-redirect user@host# set then permit firewall-authentication user-firewall web-redirect-to-https user@host# set then log session-init user@host# set then log session-close