Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

顧客管理デバイス(オンプレミス)の導入

メモ:

オンプレミスとセキュアエッジの両方の導入を使用しているお客様は、「Juniper Secure Edge導入の設定」と「ディレクトリサービスの追加」が必須です。

JIMSサーバー

JIMSサーバーは、デフォルトでローカルホスト接続用に設定されています。一度構成すると、サーバーの JIMSサーバーポート最大データレート のみを編集できます。

新しいJIMSサーバーを設定することもできます。新しいJIMSサーバーを追加するには、以下の手順に従います。

  1. 追加」をクリックして、新しい JIMS サーバーを追加します。
  2. サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
  3. 説明を付けます。
  4. 認証用のユーザー名とパスワードを入力します。
  5. ドロップダウンメニューからJIMSサーバータイプを選択します。
  6. [TLS] の選択を解除するのは、トラブルシューティングを実行する場合のみです。
  7. JIMSサーバーポート最大データレートは、JIMSによって自動的に設定されます。組織によって署名された証明書に変更することも、JIMSが提供するデフォルトの証明書を使用することができます。

ディレクトリサービス

JIMS Collectorがユーザー、デバイス、およびグループメンバーシップを収集するには、少なくとも1つのディレクトリサーバーを設定する必要があります。現時点では、アクティブディレクトリのみがサポートされています。

同じ資格情報で複数のディレクトリー・サーバーを使用する予定の場合は、テンプレートを作成して、各ディレクトリー・サーバーの入力を減らすことができます。

新しいディレクトリサーバーを追加するには:

  1. 追加」をクリックして、新規ディレクトリー・サーバーを追加します。
  2. 必要に応じて、作成済みのテンプレートを使用して資格情報を事前に構成します。
  3. ソースはデフォルトで選択されています。
  4. 説明を入力します。
  5. サーバーのホスト名または IP アドレスを入力します。
  6. 認証のためにログインID)とパスワードを入力します。
  7. JIMSとディレクトリサーバー間の通信を暗号化する場合は、[TLS接続]を選択します。

アイデンティティ プロデューサー

ユーザーおよびデバイスのステータスイベントを収集するように ID プロデューサーを設定できます。JIMSはこの情報を使用して、IPアドレスからユーザー名へのマッピングを提供します。JIMSは、ポリシー適用ポイント(SRXシリーズファイアウォール)にデバイス名とドメイン名も提供します。

アイデンティティプロデューサには3つのタブ/オプションがあります。「 アイデンティティ・プロデューサ 」セクションで提供される情報に基づいて、デプロイメントに適したオプションを選択します。

イベントソースの追加

新しいイベントソースを追加するには:

  1. [追加] をクリックして、新しいイベント ソースを追加します。
  2. 作成済みのテンプレートを使用して、資格情報を事前に構成します。
  3. ソースの種類 (ドメイン コントローラまたは Exchange サーバー) を選択します。
  4. 必要に応じて説明を入力します。
  5. サーバーのホスト名または IP アドレスを入力します。
  6. ログインIDとパスワードを入力します。これは、制限された特権を持つ新しく作成されたサービス アカウントである必要があります。
  7. 起動イベント履歴のキャッチアップ時間を入力します。これにより、JIMSは本番環境で使用する前に履歴データを収集します。

PCプローブの追加

新しい PC プローブを追加するには、次の手順を実行します。

  1. [追加] をクリックして、新しい PC プローブを追加します。
  2. ログインIDパスワードを入力します。これは、制限された特権を持つ新しく作成されたサービス アカウントです。
  3. 必要に応じて説明を入力します。
  4. 詳細を入力したら、ユーザー名の順序を、実行する順序で移動できます。

Syslogソースの追加

新しい syslog ソースを追加するには、次の手順を実行します。

  1. [追加] をクリックして、新しい Syslog ソースを追加します。
  2. オプションで、作成済みの基本構成を使用します。
  3. サーバ(Syslog クライアント)の IP アドレスまたは FQDN を入力します。
  4. 必要に応じて説明を入力します。
  5. [Add] をクリックして、一致する正規表現を定義します。

フィルター

JIMSサーバーでは、以下の条件でフィルタリングすることができます。

  • IP フィルター: IP 範囲の開始終了を指定します。

  • イベント/グループ フィルター - レポートに含める ユーザーまたはデバイス を入力します。グループフィルターは、ネットワーク内のすべてのSRXシリーズファイアウォールに適用されます。 [ドメイン] も指定します。

  • DNフィルター: DNフィルターを入力します。正規表現を使用することをお勧めします。

設定

[設定] メニューは、次の 2 つのタブで構成されています。

ログ

[ ログ記録] セクションで、次の詳細を入力します。

  1. ファイル名のプレフィックスを入力します。
  2. [選択]をクリックして、必要なディレクトリを選択します。
  3. ファイルサイズを入力します。
    メモ:

    許容されるファイル サイズの範囲は 1 から 2000 MB です。
  4. ファイルの有効期間を入力します。
    メモ:

    許容されるファイルの有効期間の範囲は 1 日から 30 日です。

一般

[ 全般 ] セクションで、次の詳細を入力します。

  1. [管理インターフェイスの構成] で、TLS (https) ポートを入力します。
  2. [ユーザー セッションの構成] で、ログオフ時刻を入力します。
    メモ:

    許容されるログオフの時間枠は、1 分から 1440 分以内に収まる必要があります。
  3. [グローバル設定]セクション(JIMSの再起動が必要)で、Syslogの初期タイムスパン(分)を入力します。要件に基づいて、[UPNを渡す]、[複合ユーザー名を許可する]、[他のドメインを信頼する]などの適切なオプションを選択します。

施行ポイント

JIMS UIでの適用ポイントの追加

適用ポイント(SRX/NFXデバイス)を設定する必要があります。設定しないと、ユーザー、デバイス、グループの情報を取得してアイデンティティ認識ポリシーを適用できません(ユーザーファイアウォール)。

同じクライアント ID とクライアント シークレットを持つ適用ポイントが多数ある場合は、テンプレートを作成して、それぞれの入力を減らすことができます。

新しい適用ポイントを追加するには:

  1. [追加] をクリックします。
  2. 必要に応じて、作成済みのテンプレートを使用して資格情報を事前に構成します。
  3. SRX IPアドレスを入力します。
  4. サブネット 内に複数の適用ポイントがある場合は、それらすべてをカバーする一致する サブネット を入力できます。
  5. 必要に応じて説明を入力します。
  6. 組織で使用されている IPv6 として IPv6 レポートを有効にします。これにより、重複したレコードが適用ポイントの認証テーブルに追加されます。
  7. このデバイスに使用するクライアント IDクライアント シークレットを入力します。
  8. トークンの有効期間が適用されます。この有効期間は変更/調整できます。

Junos での JIMS の設定

SRXシリーズファイアウォールによるJIMSの設定

以下の手順に従って、SRXシリーズファイアウォールでJIMSを設定します。

  1. 1次/2次JIMSサーバーのFQDN/IPアドレスを設定します。

  2. SRXシリーズデバイスが認証の一環としてJIMSプライマリ/セカンダリサーバーに提供するクライアントIDとクライアントシークレットを設定します。

  3. オプションで、JIMSサーバーに到達するために使用するsource-ipまたはルーティング・インスタンスを設定します。

    メモ:

    また、JIMSサーバーの証明書を検証するように実施ポイントを設定することもできます。そのためには、詳細セクションを参照してください。

  4. デバイスがクエリに応答して 1 つのバッチで受け入れるユーザー ID 項目の最大数を構成します。

  5. デバイスが新しく生成されたユーザー ID に対してクエリー要求を発行するまでの間隔を秒単位で設定します。

  6. SRXシリーズファイアウォール対象のアクティブディレクトリドメインを設定します。フィルターには最大 20 のドメイン名を指定できます。

  7. IP フィルターを含むようにアドレス帳名を構成します。

  8. すべてのモジュールの参照先アドレス セット、トレース オプション ファイル名、トレース ファイル サイズ、デバッグ出力レベル、トレース ID 管理を構成するには、次のコマンドを適切に使用します。

デバイスID認証ソース(エンドユーザープロファイル)の設定

デバイス、ID、認証ソース、およびセキュリティポリシーを指定します。デバイスは、認証ソースから認証済みデバイスのデバイスID情報を取得します。ユーザーのデバイスから発行されたトラフィックがデバイスに到着すると、デバイスはデバイスID認証テーブルで一致するデバイスを検索します。一致するものが見つかると、デバイスは一致するセキュリティ ポリシーを検索します。一致するセキュリティポリシーが見つかると、セキュリティポリシーのアクションがトラフィックに適用されます。

次の手順を使用して、デバイス ID 認証ソースを構成します。

  1. デバイス ID 認証ソースを指定します。

  2. デバイスが属するデバイス ID プロファイルとドメイン名を設定します。

  3. プロファイル名属性デバイス ID 文字列を構成します。

送信元 ID と一致するようにファイアウォール ポリシーを構成する。

次の手順を使用して、ID に基づいてアクセスを制御する 1 つ以上のファイアウォール ポリシーを構成します。

  1. セキュリティ ポリシーの送信元アドレスまたは宛先アドレスを作成し、ポリシーに一致するようにアプリケーション/サービスを構成します。

  2. JIMSがデバイスに送信するユーザー名またはロール(グループ)名を定義します。 たとえば、 "jims-dom1.local\user1" のようになります。

  3. ポリシーが一致する場合、パケットを許可します。

  4. セッション開始時刻とセッション終了時刻を設定するには、次のコマンドを使用します。

It is recommended to have a policy or a captive portal that could authenticate users if they are not already logged on to the Active Directory. Ensure that the captive portal is configured to use the below example: