Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JIMS 관리 사용자 인터페이스 및 구성

요약 이 섹션을 읽고 JIMS 관리 인터페이스 및 해당 구성 옵션에 대해 알아보십시오.

JIMS 사용자 인터페이스 메뉴

JIMS 사용자 인터페이스는 세 가지 메뉴로 구성되어 있습니다.

아래 그림은 JIMS UI를 캡처합니다.

그림 2: JIMS UI 화면

표 1:
메뉴 설명
파일

JIMS와 관련된 구성 데이터를 가져오고 내보낼 수 있습니다. 파일 메뉴를 사용하여 JIMS 컬렉터를 주니퍼 Secure Edge에 연결하고 끊어진 UI 연결에 다시 연결할 수 있습니다.
편집 테이블/목록 보기가 있는 사용자 인터페이스에서 콘텐츠를 복사하고 검색할 수 있습니다.
도움말 버전, 빌드 및 상표 고지, All Rights Reserved, 저작자 표시 및 라이선스 약관과 같은 기타 저작권 정보와 같은 JIMS에 대한 문서 및 정보를 찾을 수 있습니다.

다른 UI 옵션은 다음과 같습니다.

모니터

모니터 메뉴는 상태, 이벤트 등과 관련된 다양한 정보가 있는 여러 탭을 제공합니다. 상단 표시줄의 날짜 및 시간은 날짜와 시간을 GMT 형식으로 표시합니다.

모니터 메뉴는 8개의 탭으로 구성되어 있습니다.

표 2:
메뉴 설명
요약

  • JIMS Collector Service 는 프로세스의 상태, 프로세스 ID, 시작 시간 및 가동 시간을 보여줍니다.

  • Admin Connection State(관리자 연결 상태 )에는 현재 연결 포트와 IP가 표시됩니다. JIMS의 현재 릴리스/버전에서는 동일한 서버에서만 관리자 권한으로 실행할 수 있습니다.

  • 활성 상태 에는 각 유형에 대해 Active Directory에서 수집된 개체 수가 표시됩니다.

  • SRX Global Statistics 는 연결된 적용 지점(클라이언트)의 총 수와 이러한 적용 지점에서 요청된 총 쿼리 수를 보여줍니다.

    또한 JIMS 서버가 이러한 적용 지점에 제공한 총 보고서 수와 발생한 오류 수를 보여줍니다.

  • 구성 에는 구성된 개체 수와 지원되는 최대 수가 표시됩니다.
시스템

구성된 모든 시스템을 나열합니다.
적용 지점

장치별 통계와 함께 구성된 모든 적용 지점을 나열합니다.

자세한 설명과 구성 단계는 적용 지점을 참조하십시오
JIMS 서버

구성된 모든 JIMS 서버를 특정 통계와 함께 나열합니다.

자세한 설명 및 구성 단계는 을 참조하십시오. JIMS 서버
이벤트 원본

구성된 모든 이벤트 소스를 특정 통계와 함께 나열합니다.

자세한 설명과 구성 단계는 디렉토리 서비스를 참조하십시오
디렉토리 서비스

구성된 모든 디렉토리 서비스를 특정 통계와 함께 나열합니다.

자세한 설명 및 구성 단계는 을 참조하십시오. JIMS 서버
PC 프로브

프로브 통계를 포함하여 구성된 모든 사용자 이름과 실행 순서를 나열합니다.

자세한 설명과 구성 단계는 ID 생산자를 참조하십시오
Syslog 소스

특정 통계와 함께 JIMS로 데이터를 전송하는 구성된 모든 Syslog 클라이언트를 나열합니다.

자세한 설명과 구성 단계는 ID 생산자를 참조하십시오

JIMS 서버

JIMS가 설치되면 로컬 JIMS 서버를 자동으로 구성합니다. CSO(Contrail® Service Orchestration) 또는 주니퍼® Secure Edge를 사용하는 경우 수동으로 구성해야 합니다.

구성 단계는 JIMS 서버를 참조하십시오

디렉토리 서비스

JIMS 컬렉터가 사용자, 디바이스 및 그룹 멤버십을 수집할 수 있도록 하나 이상의 디렉토리 서버를 구성해야 합니다. 현재는 Active Directory만 지원됩니다.

동일한 자격 증명으로 여러 디렉토리 서버를 사용하려는 경우 템플리트를 작성하여 각 디렉토리 서버에 대한 입력을 줄일 수 있습니다.

구성 단계는 디렉터리 서비스를 참조하십시오

ID 생산자

ID 생산자를 구성하여 사용자 및 디바이스 상태 이벤트를 수집할 수 있습니다. JIMS는 이 정보를 사용하여 IP 주소-사용자 이름 매핑을 제공합니다. 또한 JIMS는 적용 지점(SRX 시리즈 방화벽)에 도메인 이름과 함께 디바이스 이름을 제공합니다.

ID 생산자는 아래에 나열된 많은 탭을 제공합니다.

이벤트 소스는 사용자 이름 및 관련 IP 주소를 수집하는 데 사용됩니다. 이렇게 하면 IP_address-사용자 이름 매핑과 Microsoft 도메인 컨트롤러 또는 Microsoft Exchange Server의 도메인 이름을 가진 디바이스 이름이 만들어집니다. Server View > Identity Producers에서 이벤트 소스로 이동할 수 있습니다

동일한 자격 증명으로 여러 이벤트 원본을 사용하려는 경우 템플릿을 만들어 각 이벤트 원본 서버에 대한 입력을 줄일 수 있습니다.

구성 단계는 이벤트 원본 추가를 참조하십시오

PC 프로브는 도메인에 연결된 모든 Windows 디바이스에 대한 이벤트 원본 및 Syslog 이벤트를 보완합니다. 도메인 및 사용자 이름이 누락된 이벤트 원본이 IP 주소와 연결된 경우 PC 프로브는 특정 디바이스에 대한 WMI 호출을 시작하여 누락된 정보를 수집합니다. WMI 정보에는 중요한 데이터가 포함되어 있습니다. JIMS 수집기가 신뢰할 수 없는 네트워크에 WMI 프로브를 보내지 않는지 확인합니다. 서버 보기 > ID 공급자에서 PC 프로브로 이동할 수 있습니다

구성 단계는 PC 프로브 추가를 참조하십시오

Syslog 소스는 VPN Concentrator, NAC(Network Access Control) 시스템, 무선 액세스 컨트롤러 등과 같은 다른 시스템의 IP에서 사용자 및 디바이스 매핑을 수집하는 데 사용됩니다. Server View > Identity Producers에서 syslog 소스로 이동할 수 있습니다

Syslog는 다른 함수에서 제공하는 템플릿 대신 정규식(regex)으로 사용됩니다. Syslog는 각 syslog 클라이언트 유형에 특정한 기본 구성을 사용합니다. Juniper® Secure Connect에 대해 이미 생성된 기본 구성을 사용하여 로그온 및 로그오프 이벤트에서 활성 상태인 사용자를 기록할 수 있습니다.

참고: 정규식 표현식을 구성할 때 결과에 /\ [ ] : ; | = , + * ? < > @ "

구성 단계는 Syslog 소스 추가의 내용을 참조하십시오

적용 지점

적용 지점을 구성해야 합니다. 그렇지 않으면 SRX 시리즈 방화벽이 사용자, 디바이스 및 그룹 정보를 가져와 ID 인식 정책(사용자 방화벽)을 적용할 수 없습니다.

클라이언트 ID와 클라이언트 암호가 동일한 SRX 시리즈 방화벽이 여러 개 있는 경우 템플릿을 생성하여 각 SRX 시리즈 방화벽에 대한 입력을 줄일 수 있습니다.

구성 단계는 JIMS UI에서 적용 지점 추가를 참조하십시오

JIMS(SRX 시리즈 방화벽 포함)

JIMS(Juniper Identity Management Service)는 Active Directory 도메인에서 사용자, 디바이스 및 그룹 정보를 수집하고 관리하도록 설계된 Windows 서비스 애플리케이션입니다.

Juniper Identity Management Service를 사용하려면 JIMS에서 ID 정보를 가져올 수 있도록 적용 지점(SRX 시리즈 방화벽 및 NFX)을 올바르게 구성해야 합니다.

적용 지점은 연결에서 서버가 손실된 것으로 선언될 때까지 기본 JIMS 서버를 사용합니다. 적용 지점은 주기적으로 장애가 발생한 주 서버를 조사하고 사용자 개입 없이 다시 사용할 수 있게 되면 해당 서버로 되돌립니다.

JIMS 서버에 대한 연결은 적용 지점과 JIMS 서버 간의 통신을 암호화하는 HTTPS 전송만 사용해야 합니다. 적용 지점과 JIMS 서버 모두 액세스 토큰을 생성하는 클라이언트 ID와 클라이언트 암호를 사용하여 연결을 인증합니다. 이 액세스 토큰은 JIMS 서버에 대한 각 쿼리에 있어야 합니다.

JIMS에서 사용자 ID 정보를 얻는 방법에는 두 가지가 있습니다.

  • 일괄 처리 쿼리:

    SRX는 기본적으로 5초마다 JIMS에 일괄 쿼리 메시지를 전송하여 사용 가능한 ID 정보를 얻습니다.

  • IP 쿼리:

    SRX에 특정 IP 주소에 대한 정보가 누락된 경우 JIMS에 IP 쿼리를 전송한 다음 해당 특정 IP 주소에 대한 상태를 반환할 수 있습니다. JIMS에 지정된 IP 주소에 대한 항목이 포함되어 있지 않은 경우 SRX는 알 수 없는 사용자이므로 이 IP를 위협합니다.

SRX에서는 JIMS에 알려진 ID 정보를 필터링하는 데 사용할 수 있는 필터를 정의할 수 있습니다. 특정 도메인에 가입하거나 address-book 항목 또는 address-sets에 의해 정의된 특정 ip-prefix와 관련된 정보를 포함하거나 제외할 수 있습니다. 이러한 필터에 대한 변경 내용은 다음 일괄 처리 쿼리 중에만 적용됩니다.

포함 또는 제외 필터에 대해 최대 xxx개의 주소록/집합 항목을 선택할 수 있으며 총 xxx개의 주소록 항목 수는 집합과 책으로 합산됩니다.

필터 목록에 최대 25개의 도메인을 추가할 수 있습니다. 각 주소 집합에는 x개의 주소록 항목이 포함될 수 있습니다. 주소 집합이 주소 집합에 포함된 경우, set services user-identification identity-management filter

JIMS에서 가져온 ID 관리 인증 테이블의 사용자 ID 정보를 새로 고칠 수 있습니다. ID 정보는 다음 일괄 처리 쿼리 중에 업데이트됩니다. clear services user-identification authentication-table authentication-source identity-management

사용자 ID 정보를 검색하고 인증 소스의 유효성을 검사하여 디바이스에 대한 액세스 권한을 부여하려면 다음을 사용하십시오 run show services user-identification authentication-table authentication-source all

다음 구성은 SRX 시리즈 방화벽의 기본 JIMS 서버 구성을 보여줍니다.

root@srx1# show services user-identification identity-management

자세한 구성 단계는 SRX 시리즈 방화벽을 사용한 JIMS 구성을 참조하십시오.

필터

JIMS를 사용하면 JIMS 서버가 SRX 시리즈 방화벽으로 보내는 보고서에 포함하거나 제외할 IP 주소 범위를 지정할 수 있습니다. 보고서에 포함할 Active Directory 사용자 그룹을 지정할 수도 있습니다. 이러한 필터는 네트워크의 모든 SRX 시리즈 방화벽에 적용됩니다. 이후 릴리스 버전에서도 IPv4 주소 필터를 적용할 수 있습니다.

JIMS는 SRX 시리즈 방화벽 쿼리의 IPv6 필터와 시스템 수준 IPv6 필터를 모두 지원합니다. 시스템 수준 필터는 이벤트 원본에서 IP 주소를 필터링하기 위해 작동합니다. 시스템 수준 IP 필터는 JIMS 관리 인터페이스를 통해 구성됩니다. JIMS 서버가 구성된 이벤트 소스에서 로그온 이벤트를 수신할 때 JIMS 서버는 IP 세션을 포함하거나 제외합니다.

예를 들어, 192.x.x.x가 JIMS 서버의 시스템 수준 필터에서 제외 IP 주소로 추가되었다고 가정해 보겠습니다. 192.x.x.x를 사용하는 사용자가 도메인 컨트롤러에 로그온하면 JIMS 서버는 이 사용자에 대한 세션을 무시합니다. 따라서 192.x.x.x의 항목은 SRX 시리즈 방화벽으로 전송되지 않습니다.

SRX 시리즈 방화벽 쿼리에 사용되는 IPv6 필터는 SRX 시리즈 방화벽에서 구성됩니다. SRX 시리즈 방화벽은 JIMS 서버로 보내는 일괄 쿼리에서 IP 주소를 포함하거나 제외합니다. JIMS 서버는 SRX 시리즈 방화벽에서 수신한 필터를 기반으로 엔트리로 응답합니다. 그러나 SRX 시리즈 방화벽은 시스템 수준 필터의 컨텍스트 내에서만 필터를 적용합니다. 예를 들어, SRX 시리즈 방화벽에서 192.0.2.0/24가 포함 필터로 구성된 경우 SRX 시리즈 방화벽은 192.0.2.0/24를 포함 서브넷으로 사용하여 쿼리를 JIMS 서버로 보냅니다. JIMS 서버는 192.0.2.0/24 이외의 많은 항목을 보유하고 있지만 JIMS 서버는 이 서브넷 내의 항목으로만 응답합니다.

또한 JIMS 서버를 사용하면 다음을 기준으로 필터링할 수 있습니다.

  • 그룹 - 보고서에 포함할 Active Directory 사용자 그룹을 정의합니다. 그룹 필터는 네트워크의 모든 SRX 시리즈 방화벽에 적용됩니다.

  • 사용자/디바이스 이벤트 - JIMS 서버의 이벤트 필터를 사용하면 네트워크에서 필터를 적용하여 JIMS 서버가 SRX 시리즈 방화벽으로 전송하는 보고서에서 제외할 사용자 또는 디바이스를 정의할 수 있습니다. User/Device 이벤트 필터는 정규식 일치를 수행하여 이름별로 특정 사용자 또는 디바이스를 필터링합니다. 필터는 특정 사용자 또는 장치와 연결된 이벤트를 무시합니다.

Junos OS 릴리스를 실행하는 SRX 시리즈 방화벽의 경우, JIMS는 개별 SRX 시리즈 방화벽에서 수신한 필터를 적용합니다. JIMS에 대한 필터를 구성하는 경우, 서비스는 먼저 네트워크의 모든 SRX 시리즈 방화벽에 자체 필터를 적용한 다음 개별 SRX 시리즈 방화벽에서 수신한 필터를 적용합니다.

자세한 구성 단계는 필터 추가를 참조하십시오

설정

설정 메뉴는 두 개의 탭으로 구성됩니다.

  • 일반

  • 로깅

서버 보기의 설정을 통해 JIMS에서 사용하는 포트의 구성된 값을 변경할 수 있습니다. JIMS 로컬 서버에 사용되는 디지털 인증서를 변경할 수도 있습니다. Server View > Settings(서버 보기 설정에서 General(일반)로 이동합니다.

자세한 구성 단계는 일반 섹션 구성을 참조하십시오

서버 보기의 로깅 메뉴 항목을 사용하여 로그 수준을 변경할 수 있습니다. 주니퍼가 문제 해결을 위해 로그를 변경하도록 권장하는 경우에만 로그 수준을 변경하십시오. Server View > Settings(서버 보기 설정에서 로깅)로 이동합니다.

자세한 구성 단계는 로깅 섹션 구성을 참조하십시오