FireSIGHT システムでの LDAP 認証オブジェクトの設定

ダウンロード オプション

  • PDF     (458.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (184.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (184.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 1 月 5 日
Document ID:118738

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

認証オブジェクトとは、外部認証サーバのサーバ プロファイルであり、これらのサーバの接続設定と認証フィルタ設定が含まれています。認証オブジェクトは FireSight Management Center で作成、管理および削除できます。このドキュメントでは、FireSIGHT システムで LDAP 認証オブジェクトを設定する方法について説明します。

LDAP認証オブジェクトの設定

1. FireSIGHT Management CenterのWebユーザインターフェイスにログインします。

2. [System] > [Local] > [User Management]に移動します。

[Login Authentication]タブを選択します。

[Create Authentication Object] をクリックします。



3. [Authentication Method] と[Server Type] を選択します。

  • Authentication Method:[LDAP]
  • [Name]:<認証オブジェクト名>
  • Server Type:MS Active Directory

注:アスタリスク(*)の付いたフィールドは必須です。

4.プライマリおよびバックアップサーバのホスト名またはIPアドレスを指定します。バックアップサーバはオプションです。ただし、同じドメイン内の任意のドメインコントローラをバックアップサーバとして使用できます。

注:LDAPポートのデフォルトはポート389ですが、LDAPサーバがリッスンしている非標準のポート番号を使用できます。


5. LDAP固有のパラメータを次のように指定します。

ヒント:LDAP固有のパラメータを設定する前に、ユーザ、グループ、およびOU属性を特定する必要があります。認証オブジェクト設定のActive Directory LDAPオブジェクト属性を特定するには、このドキュメントを参照してください。

  • ベースDN:ドメインまたは特定のOU DN
  • [Base Filter]:ユーザがメンバーになっているグループDN。
  • [User Name]:DCの偽装アカウント
  • パスワード:<password>
  • Confirm Password<password>

詳細オプション:

  • 暗号化:SSL、TLS、またはNone
  • SSL証明書アップロードパス:CA認定のアップロード(オプション)
  • ユーザー名テンプレート:%s
  • タイムアウト(秒):30


ADの[Domain Security Policy Setting]で、[LDAP server Signing requirement] が[Require Signing] に設定されている場合は、SSLまたはTLSを使用する必要があります。

LDAPサーバ署名要件

  • [なし(None)]: サーバとバインドするためにデータ署名は必要ありません。クライアントがデータ署名を要求する場合、サーバはそれをサポートします。
  • 署名の要求:TLS\SSLが使用されていない限り、LDAPデータ署名オプションをネゴシエートする必要があります。

注:LDAPSでは、クライアント側またはCA証明書(CA証明書)は必要ありません。ただし、CA証明書の追加レベルのセキュリティが認証オブジェクトにアップロードされます。


6.属性マッピングの指定

  • UIアクセス属性:sAMAccountName
  • シェルアクセス属性:sAMAccountName

ヒント:テスト出力で「Unsupported Users」というメッセージが表示された場合は、[UI Access Attribute] を[userPrincipalName] に変更し、[User Name template]%sに設定されていることを確認します。

 

7.グループ制御アクセスロールの設定

ldp.exeで、各グループを参照し、対応するグループDNを次のようにAuthentication Objectにコピーします。

  • <Group Name>グループDN:<グループDN>
  • グループメンバー属性:常にメンバーである必要がある

例:

  • 管理者グループDN:CN=DC admins,CN=Security Groups,DC=VirtualLab,DC=local
  • グループメンバー属性:member

ADセキュリティグループには、属性memberの後にメンバーユーザのDNが続きます。member属性の前にある数値は、メンバユーザの数を示します。





8. 「シェル・アクセス・フィルタ」で「ベース・フィルタと同じ」を選択するか、手順5に示すようにmemberOf属性を指定します。

シェルアクセスフィルタ:(memberOf=<group DN>)

例として、

シェルアクセスフィルタ:(memberOf=CN=Shell users,CN=Security Groups,DC=VirtualLab,DC=local)


9.認証オブジェクトを保存し、テストを実行します。正常なテスト結果は次のようになります。





 
10.認証オブジェクトがテストに合格したら、システムポリシーでオブジェクトを有効にし、アプライアンスにポリシーを再適用します。

関連資料

更新履歴

改定 発行日 コメント
1.0
05-Jan-2015
初版
TAC Authored

シスコ エンジニア提供

  • Nazmul Rajib and Binyam Demissie
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています