Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JIMS 관리 사용자 인터페이스 및 구성

JIMS 관리 인터페이스 및 해당 구성 옵션에 대해 알아보려면 이 섹션을 읽어보십시오.

JIMS 사용자 인터페이스 메뉴

JIMS 사용자 인터페이스는 세 가지 메뉴로 구성됩니다.

아래 그림은 JIMS UI를 캡처합니다.

그림 2: JIMS UI 화면

표 1:
메뉴 설명
파일

JIMS와 관련된 구성 데이터를 가져오고 내보낼 수 있습니다. 파일 메뉴를 사용하여 JIMS 수집기를 주니퍼 Secure Edge에 연결하고 끊어진 UI 연결에 다시 연결할 수 있습니다.
편집하다 테이블/목록 보기를 사용하여 사용자 인터페이스에서 콘텐츠를 복사하고 검색할 수 있습니다.
도움말 버전, 빌드 및 상표 고지, 판권 소유, 저작자 표시 및 라이선스 조건과 같은 기타 저작권 정보와 같은 JIMS에 대한 문서 및 정보를 찾을 수 있습니다.

다른 UI 옵션은 아래에 나열되어 있습니다.

모니터

모니터 메뉴에는 상태, 이벤트 등과 관련된 다양한 정보가 포함된 여러 탭이 있습니다. 상단 표시줄의 날짜 및 시간은 GMT 형식으로 날짜와 시간을 표시합니다.

모니터 메뉴는 8개의 탭으로 구성됩니다.

표 2:
메뉴 설명
요약

  • JIMS 수집기 서비스는 프로세스의 상태, 프로세스 ID, 시작 시간 및 업타임을 표시합니다.

  • 관리자 연결 상태 는 현재 연결 포트 및 IP를 표시합니다. JIMS의 현재 릴리스/버전을 사용하면 동일한 서버에서 관리자로만 실행할 수 있습니다.

  • 활성 상태 는 각 유형에 대해 Active Directory에서 수집된 개체 수를 보여줍니다.

  • SRX 글로벌 통계는 연결된 적용 지점(클라이언트)의 총 수와 이러한 적용 지점에서 요청된 총 쿼리 수를 보여줍니다.

    또한 JIMS 서버가 이러한 적용 지점에 제공한 총 보고서 수와 발생한 오류 수를 보여 줍니다.

  • 구성은 구성된 개체의 수와 지원되는 최대 수를 보여줍니다.
시스템

구성된 모든 시스템을 나열합니다.
시행 지점

디바이스별 통계와 함께 구성된 모든 실행 지점을 나열합니다.

자세한 설명과 구성 단계는 적용 지점을 참조하십시오
JIMS 서버

특정 통계와 함께 구성된 모든 JIMS 서버를 나열합니다.

자세한 설명과 구성 단계는 JIMS 서버를 참조하세요.
이벤트 소스

특정 통계와 함께 구성된 모든 이벤트 소스를 나열합니다.

자세한 설명 및 구성 단계는 디렉토리 서비스를 참조하십시오
디렉토리 서비스

구성된 모든 디렉토리 서비스를 특정 통계와 함께 나열합니다.

자세한 설명과 구성 단계는 JIMS 서버를 참조하세요.
PC 프로브

프로브 통계를 포함하여 구성된 모든 사용자 이름과 실행 순서를 나열합니다.

자세한 설명 및 구성 단계는 ID 생산자를 참조하십시오
Syslog 소스

특정 통계와 함께 JIMS에 데이터를 전송하는 구성된 모든 Syslog 클라이언트를 나열합니다.

자세한 설명 및 구성 단계는 ID 생산자를 참조하십시오

JIMS 서버

JIMS가 설치되면 로컬 JIMS 서버가 자동으로 구성됩니다. CSO(Contrail® Service Orchestration) 또는 주니퍼® Secure Edge를 사용하는 경우 수동으로 구성해야 합니다.

구성 단계는 JIMS 서버를 참조하십시오.

디렉토리 서비스

사용자, 디바이스 및 그룹 멤버십을 수집하려면 JIMS 수집기에 대해 하나 이상의 디렉터리 서버를 구성해야 합니다. 현재는 Active Directory만 지원됩니다.

동일한 신임 정보로 여러 디렉토리 서버를 사용하려는 경우 템플릿을 작성하여 각 디렉토리 서버에 대한 입력을 줄일 수 있습니다.

구성 단계는 디렉토리 서비스를 참조하십시오.

ID 생산자

사용자 및 디바이스 상태 이벤트를 수집하도록 ID 생산자를 구성할 수 있습니다. JIMS는 이 정보를 사용하여 IP 주소-사용자 이름 매핑을 제공합니다. 또한 JIMS는 적용 지점(SRX 시리즈 방화벽)에 도메인 이름과 함께 디바이스 이름을 제공합니다.

ID 생산자는 아래에 나열된 많은 탭을 제공합니다.

이벤트 소스는 사용자 이름 및 관련 IP 주소를 수집하는 데 사용됩니다. 이렇게 하면 IP_address-사용자 이름 매핑과 Microsoft 도메인 컨트롤러 또는 Microsoft Exchange Server의 도메인 이름을 가진 디바이스 이름이 생성됩니다. Server View > Identity Producers에서 이벤트 소스로 이동할 수 있습니다.

동일한 자격 증명으로 여러 이벤트 원본을 사용하려는 경우 템플릿을 만들어 각 이벤트 원본 서버에 대한 입력을 줄일 수 있습니다.

구성 단계는 이벤트 원본 추가를 참조하십시오

PC 프로브는 도메인에 연결된 모든 Windows 디바이스에 대한 이벤트 소스 및 Syslog 이벤트를 보완합니다. 도메인과 사용자 이름이 누락된 이벤트 원본이 IP 주소와 연결되면 PC 프로브는 누락된 정보를 수집하기 위해 특정 디바이스에 WMI 호출을 시작합니다. WMI 정보에는 중요한 데이터가 포함되어 있습니다. JIMS 수집기가 신뢰할 수 없는 네트워크에 WMI 프로브를 보내지 않는지 확인합니다. Server View > Identity Providers에서 PC 프로브로 이동할 수 있습니다.

구성 단계는 PC 프로브 추가를 참조하십시오.

Syslog 소스는 VPN Concentrator, NAC(Network Access Control) 시스템, 무선 액세스 컨트롤러 등과 같은 다른 시스템의 IP에서 사용자 및 디바이스 매핑을 수집하는 데 사용됩니다. Server View > Identity Producers에서 syslog 소스로 이동할 수 있습니다

Syslog는 다른 함수에서 제공하는 템플릿 대신 정규식(regex)으로 사용됩니다. Syslog는 각 syslog 클라이언트 유형에 특정한 기본 구성을 사용합니다. 주니퍼® Secure Connect에 대해 이미 생성된 기본 구성을 사용하여 로그온 및 로그오프 이벤트에서 활성 상태인 사용자를 기록할 수 있습니다.

참고: 정규식 표현식을 구성할 때 결과에 다음 문자가 포함되지 않는지 확인하십시오. /\ [ ] : ; | = , + * ? < > @ "

구성 단계는 Syslog 소스 추가를 참조하십시오

시행 지점

적용 지점을 구성해야 합니다. 그렇지 않으면 SRX 시리즈 방화벽은 사용자, 디바이스 및 그룹 정보를 가져와 ID 인식 정책(사용자 방화벽)을 시행할 수 없습니다.

동일한 클라이언트 ID와 클라이언트 암호를 가진 여러 SRX 시리즈 방화벽이 있는 경우 템플릿을 생성하여 각 SRX 시리즈 방화벽에 대한 입력을 줄일 수 있습니다.

구성 단계는 JIMS UI에서 적용 지점 추가를 참조하십시오.

SRX 시리즈 방화벽이 포함된 JIMS

JIMS(주니퍼 Identity Management Service)는 Active Directory 도메인에서 사용자, 디바이스 및 그룹 정보를 수집하고 관리하도록 설계된 Windows 서비스 애플리케이션입니다.

주니퍼 Identity Management Service를 사용하려면 시행 지점(SRX 시리즈 방화벽 및 NFX)을 올바르게 구성하여 JIMS에서 ID 정보를 가져와야 합니다.

적용 지점은 연결이 서버를 손실된 것으로 선언할 때까지 기본 JIMS 서버를 사용합니다. 적용 지점은 주기적으로 장애가 발생한 주 서버를 조사하고 사용자 개입 없이 다시 사용할 수 있게 되면 해당 서버로 되돌립니다.

JIMS 서버에 대한 연결은 적용 지점과 JIMS 서버 간의 통신을 암호화하는 HTTPS 전송만 사용해야 합니다. 적용 지점과 JIMS 서버 모두 클라이언트 ID와 클라이언트 암호를 사용하여 연결을 인증하며, 이는 액세스 토큰을 생성합니다. 이 액세스 토큰은 JIMS 서버에 대한 각 쿼리에 있어야 합니다.

JIMS에서 사용자 ID 정보를 가져오는 방법에는 두 가지가 있습니다.

  • 일괄 쿼리:

    SRX는 기본적으로 5초마다 JIMS에 일괄 쿼리 메시지를 보내 사용 가능한 ID 정보를 얻습니다.

  • IP 쿼리:

    SRX는 특정 IP 주소에 대한 정보가 누락된 경우 JIMS에 IP 쿼리를 보낸 다음 해당 특정 IP 주소에 대한 상태를 반환할 수 있습니다. JIMS에 지정된 IP 주소에 대한 항목이 포함되어 있지 않으면 SRX는 알 수 없는 사용자이므로 이 IP를 위협합니다.

SRX에서는 JIMS에 알려진 ID 정보를 필터링하는 데 사용할 수 있는 필터를 정의할 수 있습니다. 특정 도메인을 구독하거나 주소록 항목 또는 주소 집합으로 정의된 특정 IP 접두사와 관련된 정보를 포함하거나 제외할 수 있습니다. 이러한 필터에 대한 변경은 다음 일괄 쿼리 중에만 적용됩니다.

포함 또는 제외 필터를 위해 최대 xxx 주소록/세트 항목을 선택할 수 있으며, xxx 주소록 항목의 총 수는 세트와 북에 의해 합산됩니다.

필터 목록에 최대 25개의 도메인을 추가할 수 있습니다. 주소 집합이 주소 집합에 포함된 경우 각 주소 집합은 x개의 주소록 항목을 포함할 수 있습니다. set services user-identification identity-management filter

JIMS에서 얻은 ID 관리 인증 테이블에서 사용자 ID 정보를 새로 고칠 수 있습니다. ID 정보는 다음 일괄 쿼리 중에 업데이트됩니다. clear services user-identification authentication-table authentication-source identity-management

사용자 ID 정보를 검색하고 인증 소스의 유효성을 검사하여 디바이스에 대한 액세스 권한을 부여하려면 다음을 사용하십시오. run show services user-identification authentication-table authentication-source all

다음 구성은 SRX 시리즈 방화벽의 기본 JIMS 서버 구성을 보여줍니다.

root@srx1# show services user-identification identity-management

자세한 구성 단계는 SRX 시리즈 방화벽을 사용한 JIMS 구성을 참조하십시오

필터

JIMS를 사용하면 JIMS 서버가 SRX 시리즈 방화벽으로 보내는 보고서에 포함하거나 제외할 IP 주소 범위를 지정할 수 있습니다. 보고서에 포함할 Active Directory 사용자 그룹을 지정할 수도 있습니다. 이러한 필터는 네트워크의 모든 SRX 시리즈 방화벽에 적용됩니다. 또한 이후 릴리스 버전에서도 IPv4 주소 필터를 적용할 수 있습니다.

JIMS는 SRX 시리즈 방화벽 쿼리의 IPv6 필터와 시스템 수준 IPv6 필터를 모두 지원합니다. 시스템 수준 필터는 이벤트 소스에서 IP 주소를 필터링하기 위해 작동합니다. 시스템 수준 IP 필터는 JIMS 관리 인터페이스를 통해 구성됩니다. JIMS 서버가 구성된 이벤트 소스로부터 로그온 이벤트를 수신할 때 JIMS 서버는 IP 세션을 포함하거나 제외합니다.

예를 들어, 192.x.x.x가 JIMS 서버의 시스템 수준 필터에서 제외 IP 주소로 추가되었다고 가정해 보겠습니다. 192.x.x.x를 사용하는 사용자가 도메인 컨트롤러에 로그온하면 JIMS 서버는 이 사용자에 대한 세션을 무시합니다. 따라서 192.x.x.x가 포함된 항목은 SRX 시리즈 방화벽으로 전송되지 않습니다.

SRX 시리즈 방화벽 쿼리에서 사용되는 IPv6 필터는 SRX 시리즈 방화벽에서 구성됩니다. SRX 시리즈 방화벽은 JIMS 서버로 보내는 일괄 쿼리에서 IP 주소를 포함하거나 제외합니다. JIMS 서버는 SRX 시리즈 방화벽에서 수신한 필터를 기반으로 항목으로 응답합니다. 그러나 SRX 시리즈 방화벽은 시스템 수준 필터의 컨텍스트 내에서만 필터를 적용한다는 점에 유의하십시오. 예를 들어, 192.0.2.0/24가 포함 필터로 SRX 시리즈 방화벽에 구성된 경우, SRX 시리즈 방화벽은 포함 서브넷으로 192.0.2.0/24를 포함하는 쿼리를 JIMS 서버로 보냅니다. JIMS 서버는 192.0.2.0/24 이외의 많은 항목을 보유하지만 JIMS 서버는 이 서브넷 내의 항목으로만 응답합니다.

또한 JIMS 서버를 사용하면 다음을 기준으로 필터링할 수 있습니다.

  • 그룹 - 보고서에 포함할 Active Directory 사용자 그룹을 정의합니다. 그룹 필터는 네트워크의 모든 SRX 시리즈 방화벽에 적용됩니다.

  • 사용자/디바이스 이벤트 - JIMS 서버의 이벤트 필터를 사용하면 네트워크에서 필터를 적용하여 JIMS 서버가 SRX 시리즈 방화벽으로 보내는 보고서에서 제외할 사용자 또는 디바이스를 정의할 수 있습니다. 사용자/디바이스 이벤트 필터는 정규식 일치를 수행하여 이름별로 특정 사용자 또는 디바이스를 필터링합니다. 필터는 특정 사용자 또는 디바이스와 관련된 이벤트를 무시합니다.

Junos OS 릴리스를 실행하는 SRX 시리즈 방화벽의 경우, JIMS는 개별 SRX 시리즈 방화벽에서 수신하는 필터를 적용합니다. JIMS에 대한 필터를 구성하는 경우, 서비스는 먼저 네트워크의 모든 SRX 시리즈 방화벽에 자체 필터를 적용한 다음 개별 SRX 시리즈 방화벽에서 수신하는 필터를 적용합니다.

자세한 구성 단계는 필터 추가를 참조하십시오

설정

설정 메뉴는 두 개의 탭으로 구성됩니다.

  • 일반

  • 로깅

서버 보기의 설정을 통해 JIMS에서 사용하는 포트의 구성 값을 변경할 수 있습니다. JIMS 로컬 서버에 사용되는 디지털 인증서를 변경할 수도 있습니다. 서버 보기 > 설정에서 일반으로 이동합니다.

자세한 구성 단계는 일반 섹션 구성을 참조하십시오

서버 보기의 로깅 메뉴 항목을 사용하여 로그 수준을 변경할 수 있습니다. 주니퍼가 문제 해결을 위해 로그를 변경할 것을 권고하는 경우에만 로그 수준을 변경하십시오. 서버 보기 > 설정에서 로깅으로 이동합니다.

자세한 구성 단계는 로깅 구성 섹션을 참조하십시오