Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)

Chapter Title

アイデンティティ ポリシー

検索結果

Updated:
2017年12月8日

章のタイトル: アイデンティティ ポリシー

アイデンティティ ポリシー

アイデンティティポリシーを使用して、接続からユーザ アイデンティティ情報を収集できます。その後、ダッシュボードにユーザ アイデンティティに基づく使用状況を表示し、ユーザまたはユーザグループに基づくアクセス コントロールを設定できます。

アイデンティティ ポリシーの概要

接続に関連付けられているユーザを検出するためにアイデンティティ ポリシーを使用できます。ユーザを識別することで、脅威、エンドポイント、およびネットワーク インテリジェンスをユーザ ID 情報に関連付けることができます。ネットワーク動作、トラフィック、およびイベントを個別のユーザに直接リンクすることによって、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。

たとえば、侵入イベントのターゲットとされたホストを誰が所有し、誰が内部攻撃やポート スキャンを開始したかを確認できます。また、高帯域幅のユーザや、望ましくない Web サイトまたはアプリケーションにアクセスしているユーザを確認することもできます。

ユーザの検出は、分析用のデータを収集するだけではありません。ユーザ名またはユーザ グループの名前に基づいてアクセス ルールを書き込み、ユーザの権限に基づいて選択的にリソースへのアクセスを有効化またはブロックすることもできます。


(注)  

システムは、同じホストに対して異なるユーザによる複数のログインを検出すると、特定のホストにログインするユーザは一度に 1 人だけであり、ホストの現在のユーザが最後の権限のあるユーザ ログインであると見なします。複数のユーザがリモート セッション経由でログインしている場合は、サーバによって報告された最後のユーザがユーザであると見なされます。

アクティブ認証によるユーザ ID の確立

認証は、ユーザのアイデンティティを確認する動作です。

アクティブ認証を使用すると、HTTP トラフィック フローがユーザ ID のマッピングがないシステムの IP アドレスから送られてきたときに、ネットワークに設定されたディレクトリを使用して、トラフィック フローを開始したユーザを認証するかどうかを決定できます。ユーザが正常に認証された場合、IP アドレスは、認証されたユーザのアイデンティティがあると見なされます。

認証が失敗しても、ユーザのネットワーク アクセスは妨げられません。アクセス ルールは最終的に、これらのユーザにどのアクセスを提供するか決定します。

ユーザ数の制限

Firepower Device Manager は、ディレクトリ サーバから最大 2000 人のユーザに関する情報をダウンロードできます。

ディレクトリ サーバに 2000 人以上のユーザ アカウントが含まれる場合、アクセス ルールでユーザを選択するとき、またはユーザ ベースのダッシュボード情報を閲覧するときに、すべての可能な名前を確認することができません。ルールは、ダウンロードしたこれらの名前だけに書き込むことができます。

2000 までの制限は、グループに関連付けられた名前に適用されます。グループに 2000 人以上のメンバーがいる場合、ダウンロードされた 2000 の名前のみをグループ メンバーシップと一致させることができます。

2000 人以上のユーザがいる場合、Firepower Device Manager ではなく Firepower Management Center(リモート マネージャ)の使用を検討してください。Firepower Management Center では、はるかに多くのユーザをサポートします。

サポートされるディレクトリ サーバ

アイデンティティ ポリシーとともに Windows Server 2008 および 2012 で Microsoft Active Directory(AD)を使用できます。

サーバの設定に関して次の点に注意してください。

  • ユーザ グループまたはグループ内のユーザに対してユーザ制御を実行する場合、ディレクトリ サーバでユーザ グループを設定する必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、システムはユーザ グループ制御を実行できません。

  • ディレクトリ サーバは、次の表に示すフィールド名を使用して、システムがそのフィールドのサーバからユーザ メタデータを取得できるようにする必要があります。

    メタデータ

    Active Directory フィールド

    LDAP user name

    samaccountname

    first name

    givenname

    last name

    sn

    email address

    mail

    userprincipalname(mail に値が設定されていない場合)

    department

    department

    distinguishedname(department に値が設定されていない場合)

    telephone number

    telephonenumber

ディレクトリ ベース DN の決定

ディレクトリのプロパティを設定する際は、ユーザおよびグループに共通のベース識別名(DN)を指定する必要があります。このベースは、ディレクトリ サーバで定義され、ネットワークごとに異なります。アイデンティティ ポリシーが動作するためには、正しいベースを入力する必要があります。ベースが誤っている場合、システムがユーザやグループ名を判別できないため、アイデンティティ ベースのポリシーが動作不能になります。


ヒント

正しいベースを取得するには、ディレクトリ サーバを担当する管理者に問い合わせてください。

Active Directory の場合、ドメイン管理者として Active Directory サーバにログインし、コマンド プロンプトで dsquery のコマンドを次のように使用することで、正しいベースを判別できます。

ユーザ検索ベース

dsquery user コマンドを入力し、ベース識別名を調べたい既知のユーザ名(一部または全部)を指定します。たとえば、次のコマンドでは、「John*」という部分名を使用して、「John」から始まるすべてのユーザの情報を返します。

C:\Users\Administrator>dsquery user -name “John*” 
“CN=John Doe,CN=Users,DC=csc-lab,DC=example,DC=com”

ベース DN は「DC=csc-lab,DC=example,DC=com」となります。

グループ検索ベース

dsquery group コマンドを入力し、ベース識別名を調べたい既知のグループ名(一部または全部)を指定します。たとえば、次のコマンドは、Employees グループ名を使用して識別名を返します。

C:\>dsquery group -name “Employees” 
“CN=Employees,CN=Users,DC=csc-lab,DC=example,DC=com”

グループのベース DN は「DC=csc-lab,DC=example,DC=com」となります。

また、ADSI Edit プログラムを使用して、Active Directory 構造をブラウズすることもできます([スタート(Start)] > [ファイル名を指定して実行(Run)] > [adsiedit.msc])。ADSI Edit で組織ユニット(OU)、グループ、ユーザなどのオブジェクトを右クリックし、[プロパティ(Properties)]を選択すると、識別名が表示されます。DC 値の文字列をベースとしてコピーできます。

ベースが正しいことを確認するには、次のように操作します。

  1. ディレクトリ プロパティの [接続テスト(Test Connection)] ボタンをクリックして、接続を確認します。問題を解決し、ディレクトリ プロパティを保存します。

  2. デバイスに対する変更をコミットします。

  3. アクセス ルールを作成し、[ユーザ(Users)]タブを選択して、ディレクトリから既知のユーザおよびグループ名の追加を試みます。ディレクトリが含まれるレルム内のユーザおよびグループに入力が一致すると、自動コンプリートによる候補が表示されます。これらの候補がドロップダウン リストに表示された場合、システムがディレクトリを正常にクエリーできたことが分かります。候補が表示されず、入力した文字列は確実にユーザ名またはグループ名に含まれることが既知である場合には、対応する検索ベースを修正する必要があります。

不明なユーザの対処

アイデンティティ ポリシーのディレクトリ サーバを設定すると、システムはディレクトリ サーバからユーザおよびグループ メンバーシップ情報をダウンロードします。この情報は、24 時間ごとに夜中に更新されるか、またはディレクトリ設定を編集して保存するたびに(変更がなくても)更新されます。

アクティブな認証アイデンティティ ルールによって求められた認証に成功したにも関わらず、ユーザ名がダウンロードしたユーザ ID 情報の中に存在しない場合、不明なユーザとしてマークされます。ID 関連のダッシュボードにそのユーザの ID は表示されず、ユーザ一致グループ ルールにも検出されません。

ただし、不明なユーザに対するアクセス コントロール ルールが適用されます。たとえば、不明なユーザの接続をブロックすると、これらのユーザは、たとえ認証に成功(ディレクトリ サーバがユーザとパスワードが有効であると認識したことを意味する)してもブロックされます。

そのため、ユーザの追加や削除、グループ メンバーシップの変更などの変更をディレクトリ サーバに加えた場合、システムがディレクトリから更新情報をダウンロードするまで、これらの変更はポリシーの適用に反映されません。

毎日の深夜の更新まで待てない場合、ディレクトリ サーバ情報を編集することで強制的に更新を実行できます([ポリシー(Policies)] > [アイデンティティ(Identity)] から [ディレクトリ サーバ(Directory Server)]ボタンをクリックする)。[保存(Save)]をクリックして変更を展開します。システムはただちに更新情報をダウンロードします。


(注)  

新規または削除されたユーザ情報がシステムに反映されているかどうかを確認するには、[ポリシー(Policies)] > [アクセス コントロール(Access Control)] に移動して [ルールを追加(Add Rule (+))] ボタンをクリックし、[ユーザ(Users)]タブのユーザ リストを確認します。新規ユーザを検出できないか、または削除されたユーザが検出される場合、システムには古い情報があります。

アイデンティティ ポリシーの設定

アイデンティティ ポリシーを使用して、接続からユーザ アイデンティティ情報を収集できます。その後で、ダッシュボードにユーザ アイデンティティに基づく使用状況を表示し、ユーザまたはユーザ グループに基づくアクセス コントロールを設定できます。

次に、アイデンティティ ポリシーでユーザ アイデンティティを取得するために必要な要素を設定する方法の概要を示します。

手順
    ステップ 1   [ポリシー(Policies)] > [アイデンティティ(Identity)] を選択します。

    アイデンティティ ポリシーをまだ定義していない場合、ウィザードを開始してアイデンティティ ポリシーを設定するように求められます。[開始(Get Started)]をクリックしてウィザードを開始します。ウィザードでは次の手順を実行します。

    1. ディレクトリ サーバの設定
    2. アクティブ認証キャプティブ ポータルの設定
    ステップ 2   アイデンティティ ポリシーを管理します。

    アイデンティティ設定を設定すると、このページにすべてのルールが順番にリストアップされます。上から下に向かってルールがトラフィックと照合され、最初に適合したルールによって、適用されるアクションが決定されます。このページで次の操作を実行できます。

    • アイデンティティ ポリシーを有効または無効にするには、[アイデンティティ ポリシー(Identity Policy)]トグルをクリックします。

    • ディレクトリ サーバの設定を変更するには、[ディレクトリ サーバ(Directory Server)]ボタンをクリックします()。

    • アクティブ認証キャプティブ ポータルの設定を変更するには、[アクティブ認証(Active Authentication)]ボタンをクリックします()。

    • ルールを設定するには、次の手順を実行します。

      • 新しいルールを作成するには、[+]ボタンをクリックします。

      • 既存のルールを編集するには、そのルールの編集アイコン()をクリックします。テーブルでプロパティをクリックして、選択的にルールのプロパティを編集することもできます。

      • 不要になったルールを削除するには、ルールの削除アイコン()をクリックします。

    アイデンティティ ルールの作成と変更の詳細については、アイデンティティ ルールの設定を参照してください。

    ディレクトリ サーバの設定

    ディレクトリ サーバには、ネットワークへのアクセスが許可されているユーザおよびユーザ グループに関する情報が含まれています。毎日、一日の最後の時間(UTC)にすべてのユーザとグループに関する更新情報がダウンロードされます。

    ディレクトリ管理者と協力して、ディレクトリ サーバのプロパティの設定に必要な値を入手します。


    (注)  

    レルムを追加したら、設定を確認し、[ディレクトリ サーバ(Directory Server)]ボタンをクリックし、[ディレクトリ サーバ(Directory Server)] ダイアログボックスの [テスト(Test)]ボタンをクリックして接続をテストします。テストが失敗した場合は、すべてのフィールドを確認し、管理 IP アドレスとディレクトリ サーバ間にネットワーク パスが存在することを確認します。

    手順
      ステップ 1   [ポリシー(Policies)] > [アイデンティティ(Identity)] を選択します。
      ステップ 2   次のいずれかを実行します。
      • ディレクトリ ルールまたはアイデンティティ ルールを設定していない場合は、[開始(Get Started)]をクリックして、アイデンティティ ポリシー ウィザードを開始します。最初にディレクトリ サーバを設定するように求められます。
      • [ディレクトリ サーバ(Directory Server)]ボタン(
      ステップ 3   ディレクトリ サーバに関する次の情報を入力します。

      • [名前(Name)]:ディレクトリ レルムの名前。

      • [タイプ(Type)]:ディレクトリ サーバのタイプ。Active Directory がサポートされている唯一のタイプであり、このフィールドは変更できません。

      • [ディレクトリ ユーザ名(Directory Username)]、[ディレクトリ パスワード(Directory Password)]:取得するユーザ情報に適切な権限を持っているユーザの識別用のユーザ名とパスワード。たとえば、admin@ad.example.com などです。

      • [ベース DN(Base DN)]:ユーザおよびグループの共通の親である、ユーザおよびグループ情報を検索、または問い合わせるためのディレクトリ ツリー。たとえば、dc=example,dc=com などです。ベース DN の検索についての詳細は、ディレクトリ ベース DN の決定を参照してください。

      • [AD プライマリ ドメイン(AD Primary Domain)]:デバイスが参加する必要のある、完全修飾 Active Directory ドメイン名。たとえば、example.com などです。

      • [ホスト名/IP アドレス(Hostname/IP Address)]:ディレクトリ サーバのホスト名または IP アドレス。サーバへ暗号化接続を使用している場合、IP アドレスではなく完全修飾ドメイン名を入力する必要があります。

      • [ポート(Port)]:サーバとの通信に使用するポート番号。デフォルトは 389 です。暗号化方式として LDAPS を選択する場合はポート 636 を使用します。

      • [暗号化(Encryption)]:ユーザおよびグループ情報をダウンロードするために暗号化接続を使用するには、希望する方法、STARTTLS または LDAPSを選択します。デフォルトは [なし(None)]であり、ユーザおよびグループ情報はクリア テキストにダウンロードされることを意味します。

        • STARTTLSは暗号化方式をネゴシエートし、ディレクトリ サーバでサポートされている最も強力な方式を使用します。ポート 389 を使用します。

        • LDAPSでは LDAP over SSL が必要です。ポート 636 を使用します。

      • [SSL 証明書(SSL Certificate)]:暗号化方式を選択したら、CA 証明書をアップロードしてシステムとディレクトリ サーバ間の信頼されている接続を有効にします。認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IP アドレス(Hostname/IP Address)] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用し、証明書内で ad.example.com を使用した場合は、接続が失敗します。

      ステップ 4   (ウィザードで)[次へ(Next)]をクリックするか、[保存(Save)] をクリックします。

      アクティブ認証キャプティブ ポータルの設定

      アイデンティティ ルールでユーザのアクティブ認証を必要とする場合、ユーザは接続されているインターフェイス上のキャプティブ ポータル ポートにリダイレクトされ、認証を求めるプロンプトが表示されます。証明書をアップロードしないと、ユーザには自己署名証明書が提示されます。ブラウザがすでに信頼している証明書をアップロードしない場合、ユーザは証明書を承認する必要があります。


      (注)  

      HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブ ポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名 firewall-hostname.AD-domain-name を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。

      はじめる前に

      ディレクトリ サーバ、Firepower Threat Defenseデバイス、およびクライアント間で、時刻設定が一致していることを確認します。これらのデバイス間で時刻にずれがあると、ユーザ認証が成功しない場合があります。「一致」とは、別のタイム ゾーンを使用できますが、たとえば、10 AM PST = 1 PM EST など、それらのゾーンに対して相対的に同じになっている必要があることを意味しています。

      手順
        ステップ 1   [ポリシー(Policies)] > [アイデンティティ(Identity)] を選択します。
        ステップ 2   次のいずれかを実行します。
        • [開始する(Get Started)]ウィザードを使用している場合、ディレクトリ サーバを設定した後、[次へ(Next)] をクリックします。
        • [アクティブ認証(Active Authentication)]ボタン()をクリックします。
        ステップ 3   次のオプションを設定します。

        • [サーバ証明書(Server Certificate)]:アクティブ認証の間にユーザに表示する CA 証明書。証明書は PEM または DER 形式の X509 証明書である必要があります。証明書に貼り付けるか、[証明書のアップロード(Upload Certificate)]をクリックして証明書ファイルを選択します。デフォルトでは、ユーザ認証時の自己署名証明書が表示されます。

        • [証明書キー(Certificate Key)]:サーバ証明書のキー。キーに貼り付けるか、[キーのアップロード(Upload Key)]をクリックしてキー ファイルを選択します。

        • [ポート(Port)]:キャプティブ ポータルのポート。デフォルトは 885(TCP)です。異なるポートを設定する場合、1025 ~ 65535 の範囲内とする必要があります。

        ステップ 4   [保存(Save)]をクリックします。

        アイデンティティ ルールの設定

        アイデンティティ ルールは、一致するトラフィックに対してユーザ識別情報を収集する必要があるかどうかを定義します。一致するトラフィックのユーザ識別情報を取得しない場合は、「No Authentication」を設定します。

        ルール設定に関係なく、アクティブ認証は HTTP トラフィックに対してのみ実行されることに注意してください。したがって、HTTP 以外のトラフィックをアクティブ認証から除外するルールを作成する必要はありません。すべての HTTP トラフィックに対してユーザ識別情報を取得する場合は、アクティブ認証ルールをすべての送信元および宛先に適用するだけで済みます。


        (注)  

        また、認証に失敗してもネットワーク アクセスには影響しません。アイデンティティ ポリシーは、ユーザ識別情報のみを収集します。認証に失敗したユーザがネットワークにアクセスできないようにするには、アクセス ルールを使用する必要があります。

        手順
          ステップ 1   [ポリシー(Policies)] > [アイデンティティ(Identity)] を選択します。
          ステップ 2   次のいずれかを実行します。
          • 新しいルールを作成するには、[+]ボタンをクリックします。
          • 既存のルールを編集するには、ルールの [編集(edit)] アイコン()をクリックします。

          不要になったルールを削除するには、ルールの [削除(delete)] アイコン()をクリックします。

          ステップ 3   [順序(Order)]で、ルールの番号付きリストのどこにルールを挿入するかを選択します。

          ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。

          デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。

          ステップ 4   [ユーザ認証(User Authentication)]のタイプを選択します。
          • [アクティブ(Active)]:ユーザを識別するためにアクティブ認証を使用します。アクティブ認証は HTTPトラフィックのみに適用されます。他のタイプのトラフィックが、アクティブ認証を要求または許可するアイデンティティ ポリシーに適合した場合、アクティブ認証は試行されません。
          • [認証なし(No Auth)]:ユーザ識別情報を取得しません。このトラフィックに、アイデンティティベースのアクセス ルールは適用されません。これらのユーザは、[認証不要(No Authentication Required)]とマークが付けられます。
          ステップ 5   (アクティブ認証のみ)。ディレクトリ サーバでサポートする認証方法([タイプ(Type)])を選択します。
          • [HTTP 基本(HTTP Basic)]:暗号化されていない HTTP 基本認証(BA)接続を使用して、ユーザを認証します。ユーザはブラウザのデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。これがデフォルトです。
          • [NTLM]:NT LAN マネージャ(NTLM)接続を使用して、ユーザを認証します。この選択は AD レルムを選択するときにのみ使用できます。Windows ドメインのログインを使って透過的に認証するよう、IE と Firefox ブラウザを設定することはできますが、ユーザはブラウザのデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします( 透過的なユーザ認証のイネーブル化を参照してください)。
          • [HTTP ネゴシエート(HTTP Negotiate)]:ユーザ エージェント(トラフィック フローを開始するためにユーザが使用しているアプリケーション)方式と Active Directory サーバ方式の間でデバイスがネゴシエーションできるようになります。ネゴシエーションの結果は、NTLM、ベーシックの順に、共通にサポートされ、使用されている最も強力な方式になります。ユーザはブラウザのデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。
          • [HTTP 応答ページ(HTTP Response Page)]:システムが提供する Web ページを使用して、ユーザに認証を求めるプロンプトを表示します。これは、HTTP 基本認証の 1 つの形式です。
          (注)     

          HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブ ポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名 firewall-hostname.AD-domain-name を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。

          ステップ 6   (アクティブ認証のみ)。アクティブ認証に失敗したユーザがゲスト ユーザとしてラベル付けされているかどうかを確認するには、[ゲストとしてフォールバックする(Fall Back as Guest)] > [オン/オフ(On/Off)] を選択します。

          ユーザは、正常に認証する 3 つの機会が得られます。失敗した場合、このオプションの選択により、ユーザがどのようにマーク付けされるかが決まります。これらの値に基づき、アクセス ルールを書き込みできます。

          • [ゲストとしてフォールバックする(Fall Back as Guest)] > [オン(On)]:ユーザは [ゲスト(Guest)] としてマーク付けされます。

          • [ゲストとしてフォールバックする(Fall Back as Guest)] > [オフ(Off)]:ユーザは [認証失敗(Failed Authentication)] としてマーク付けされます。

          ステップ 7   [送信元/宛先(Source/Destination)]タブで、トラフィック一致基準を定義します。

          アクティブ認証は、HTTP トラフィックに対してのみ試されることに注意してください。したがって、HTTP 以外のトラフィックに対して 「No Auth」ルールを設定する必要はなく、また HTTP 以外のトラフィックに対してアクティブ認証ルールを作成するポイントもありません。

          アイデンティティ ルールの送信元/宛先基準は、トラフィックが通過するセキュリティ ゾーン(インターフェイス)、IP アドレス、または IP アドレスの国または大陸(地理的位置)、またはトラフィックで使用されるプロトコルおよびポートを定義します。デフォルトは、すべてのゾーン、アドレス、地理的位置、プロトコル、およびポートです。

          条件を変更するには、条件内の [+]ボタンをクリックし、希望するオブジェクトまたは要素を選択し、 ポップアップ ダイアログボックスの [OK] をクリックします。基準にオブジェクトが必要で、そのオブジェクトが存在しない場合、[新規オブジェクトの作成(Create New Object)] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x]をクリックします。

          次のトラフィック一致基準を設定できます。

          送信元ゾーン、宛先ゾーン

          トラフィックが通過するインターフェイスを定義するセキュリティ ゾーン オブジェクト。1 つの基準を定義する 、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

          • ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン(Destination Zones)]に追加します。

          • ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン(Source Zones)]に追加します。

          • 送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

          トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、内部ネットワークから発信されるすべてのトラフィックからユーザ識別情報を収集する場合、内部ゾーンを [送信元ゾーン(Source Zones)]として選択し、宛先ゾーンを空のままにします。

          送信元ネットワーク、宛先ネットワーク

          トラフィックのネットワーク アドレスまたは場所を定義する、ネットワーク オブジェクトまたは地理的位置。

          • IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク(Source Networks)]を設定します。

          • IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク(Destination Networks)]を設定します。

          • 送信元(Source)ネットワーク条件と宛先(Destination)ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

          この条件を追加する場合、次のタブから選択します。

          • [ネットワーク(Network)]:制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワーク オブジェクトまたはグループを選択します。

          • [地理位置情報(Geolocation)]:位置情報機能を選択して、その送信元または宛先の国や大陸に基づいてトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。ルール内で地理的位置を直接選択する以外に、作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限することができます。

            (注)     

            確実に最新の位置情報データを使用してトラフィックをフィルタ処理するため、地理位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。

          送信元ポート、宛先ポート/プロトコル

          トラフィックで使用されるプロトコルを定義するポート オブジェクト。TCP/UDP では、これにポートを含めることができます。

          • プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート(Source Ports)]を設定します。送信元ポートは TCP/UDP のみです。

          • プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル(Destination Ports/Protocols)]を設定します。

          • 特定の TCP/UDP ポートから発生し、特定の TCP/UDP ポートに向かうトラフィックを照合するには、両方設定します。送信元ポートと宛先ポートの両方を条件に追加する場合、単一のトランスポート プロトコル、TCP、または UDP を共有するポートのみを追加できます。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にすることができます。

          ステップ 8   [OK]をクリックします。

          透過的なユーザ認証のイネーブル化

          アクティブ認証を有効にするためにアイデンティティ ポリシーを設定する場合、ユーザ ID を取得するために次の認証方式を使用できます。
          HTTP Basic

          HTTP 基本認証では、ユーザは常に自分のディレクトリ ユーザ名とパスワードを認証するように要求されます。パスワードはクリア テキストで送信されます。そのため、基本認証はセキュアな認証形式とは見なされません。

          基本認証は、デフォルトの認証メカニズムです。

          HTTP 応答ページ

          これは、HTTP 基本認証の一種であり、ユーザがログイン ブラウザ ページに表示されます。

          NTLM、HTTP ネゴシエート(Active Directory のための統合 Windows s認証)

          統合 Windows 認証では、ユーザがドメインにログインしてワークステーションを使用するという事実が利用されます。ブラウザは、アクティブ認証中のFirepower Threat Defenseキャプティブ ポータルを含め、サーバへのアクセス時にこのドメイン ログインの使用を試みます。パスワードは送信されません。認証が成功すると、ユーザは透過的に認証されます。ユーザは、何らかの認証チャレンジが実行され、それが満たされたことを意識しません。

          ブラウザがドメイン ログイン クレデンシャルを使用して認証要求を満足できない場合、ユーザは、ユーザ名とパスワードの入力を要求されますが、これは基本認証と同じユーザ エクスペリエンスとなります。したがって、統合 Windows 認証を設定した場合、同じドメイン内のネットワークまたはサーバにアクセスするときに、ユーザがクレデンシャルを入力する必要性を減らすことができます。

          なお、HTTP ネゴシエートは、アクティブ ディレクトリ サーバとユーザ エージェントの両方がサポートする、最も強力な方式を選択することに注意してください。ネゴシエーションが認証方式として HTTP 基本認証を選択した場合、トランスペアレント認証は行われません。強度の順序は、NTLM、次に基本認証です。トランスペアレント認証を可能にするには、ネゴシエーションが NTLM を選択する必要があります。

          透過的な認証をイネーブルにするには、統合 Windows 認証をサポートするようにクライアント ブラウザを設定する必要があります。以下に、統合 Windows 認証をサポートする、広く使用されている一部のブラウザに関して、一般的な要件と基本設定について説明します。ソフトウェア リリースごとに技術が変更される場合があるため、詳細情報についてはブラウザ(または他のユーザ エージェント)のヘルプを参照してください。


          ヒント

          Chrome および Safari など、すべてのブラウザが統合 Windows 認証をサポートするとは限りません(これが書かれたときに使用可能なバージョンに基づく)。ユーザはユーザ名とパスワードの入力を要求されます。使用しているバージョンでサポートが使用可能かどうかを確認するには、ブラウザのマニュアルを参照してください。

          トランスペアレント認証の要件

          トランスペアレント認証を実装するには、ブラウザまたはユーザ エージェントを設定する必要があります。これは、個別に実行することも、そのための設定を作成し、ソフトウェア配布ツールを使用してその設定をクライアント ワークステーションにプッシュすることもできます。この作業をユーザが自分で実行する場合は、ネットワークで機能する具体的な設定パラメータを提供する必要があります。

          ブラウザまたはユーザ エージェントに関係なく、次の一般的な設定を実装する必要があります。

          • ユーザがネットワークへの接続に使用する Firepower Threat Defense インターフェイスを [信頼済みサイト(Trusted Sites)] リストに追加します。IP アドレスか、使用可能な場合は完全修飾ドメイン名(たとえば、inside.example.com)を使用できます。また、ワイルドカードまたはアドレスの一部を使用して、汎用化された信頼済みサイトを作成できます。たとえば、一般的には *.example.com または単に example.com を使用してすべて内部サイトを網羅し、ネットワーク内のすべてのサイトを信頼することができます(自身のドメイン名を使用)。インターフェイスの特定アドレスを追加する場合は、信頼済みサイトに複数のアドレスを追加して、ネットワークへのすべてのユーザ アクセス ポイントに対処することが必要な場合があります。

          • 統合 Windows 認証は、プロキシ サーバ経由で機能しません。したがって、プロキシを使用しないか、またはプロキシを通過しないアドレスにFirepower Threat Defenseインターフェイスを追加する必要があります。プロキシを使用する必要がある場合、ユーザは NTLM を使用する場合でも認証を要求されます。


          ヒント

          トランスペアレント認証の設定は必須ではありませんが、エンド ユーザにとって便利です。トランスペアレント認証を設定しなかった場合、ユーザはすべての認証方式に対するログイン チャレンジを提示されます。

          トランスペアレント認証用の Internet Explorer の設定

          NTLM トランスペアレント認証を有効にするよう Internet Explorer を設定するには、次の手順を実行します。

          手順
            ステップ 1   [ツール(Tools)] > [インターネット オプション(Internet Options)]を選択します。
            ステップ 2   [セキュリティ(Security)]タブを選択し、[ローカル イントラネット(Local Intranet)] ゾーンを選択した後、次の手順を実行します。
            1. [サイト(Sites)]ボタンをクリックして、信頼できるサイトのリストを開きます。
            2. 少なくとも次のオプションの 1 つが選択されていることを確認します。

              • [イントラネット ネットワークを自動的に検出する(Automatically detect intranet network)]。このオプションを選択すると、他のすべてのオプションが無効になります。

              • [プロキシをバイパスするすべてのサイトを含める(Include all sites that bypass the proxy)]

            3. [詳細(Advanced)]をクリックして [ローカル イントラネット サイト(Local Intranet Sites)] ダイアログボックスを開き、次に信頼する URL を [サイトの追加(Add Site)] ボックスに貼り付けて [追加(Add)] をクリックします。

              複数の URL が存在する場合は、このステップを繰り返します。ワイルドカードを使用して、http://*.example.com のように URL の一部を指定するか、または単に *.example.com と指定します。

              このダイアログボックスを閉じて、[インターネット オプション(Internet Options)] ダイアログボックスに戻ります。

            4. [ローカル イントラネット(Local Intranet)]が選択されたままの状態で、[カスタム レベル(Custom Level)]をクリックして [セキュリティ設定(Security Settings)] ダイアログボックスを開きます。[ユーザ認証(User Authentication)] > [ログオン(Logon)] 設定を探して、[自動ログオンをイントラネット ゾーンのみで有効にする(Automatic logon only in Intranet zone)]を選択します。[OK]をクリックします。
            ステップ 3   [インターネットオプション(Internet Options)] ダイアログボックスで [接続(Connections)]タブをクリックし、次に [LAN 設定(LAN Settings)] をクリックします。
            [LAN でプロキシ サーバを使用する(Use a proxy server for your LAN)]が選択されている場合、Firepower Threat Defense インターフェイスがプロキシをバイパスすることを確認する必要があります。必要に応じて、次のいずれかを実行します。

            • [ローカル アドレスにはプロキシ サーバを使用しない(Bypass proxy server for local addresses)]を選択します。

            • [詳細(Advanced)]をクリックして、アドレスを [次で始まるアドレスにはプロキシ サーバを使用しない(Do not use proxy server for addresses beginning with)]ボックスに入力します。たとえば、*.example.com のようにワイルドカードを使用できます。

            トランスペアレント認証用の Firefox の設定

            NTLM トランスペアレント認証を有効にするよう Firefox を設定するには、次の手順を実行します。

            手順
              ステップ 1   [about:config]を開きます。フィルタ バーを使用して、修正する必要のある設定を検索します。
              ステップ 2   NTLM をサポートするには、次の設定を修正します(network.automatic でフィルタリング)。
              • [network.automatic-ntlm-auth.trusted-uris]:設定をダブルクリックし、URL を入力して [OK]をクリックします。カンマで区切って複数の URL を入力できます。プロトコルを含めるかどうかは任意です。次に例を示します。
                http://host.example.com, http://hostname, myhost.example.com

                URL の一部を使用することもできます。Firefox は、ランダムに部分文字列と照合するのではなく、文字列の末尾と照合します。したがって、ドメイン名のみを指定することにより、内部ネットワーク全体を包含することができます。次に例を示します。 

                example.com
              • [network.automatic-ntlm-auth.allow-proxies]:値が、デフォルトの [true]であることを確認します。値が [false] になっている場合は、ダブルクリックして変更します。
              ステップ 3   HTTP プロキシ設定を確認します。これは、[ツール(Tools)] > [オプション(Options)] を選択し、次に [オプション(Options)] ダイアログボックスで [ネットワーク(Network)]タブをクリックすると見つかります。[接続(Connection)] グループで、[設定(Settings)]ボタンをクリックします。
              • [プロキシなし(No Proxy)]が選択されている場合は、何も設定する必要がありません。
              • [システムのプロキシ設定を使用(Use System Proxy Settings)]が選択されている場合、[about:config] 内の [network.proxy.no_proxies_on] プロパティを修正して、[network.automatic-ntlm-auth.trusted-uris] に含めた信頼済み URI を追加する必要があります。
              • [手動プロキシ設定(Manual Proxy Configuration)]が選択されている場合、これらの信頼済み URI を包含するように [プロキシなし(No Proxy For)] リストを更新します。
              • 他のオプションの 1 つが選択されている場合、これらの設定で使用するプロパティから同一の信頼済み URI が除外されていることを確認します。

              アイデンティティ ポリシーのモニタリング

              認証が必要なアイデンティティ ポリシーが正しく機能している場合、[モニタリング(Monitoring)] > [ユーザ(Users)] ダッシュボード、およびユーザ情報を含むその他のダッシュボードにユーザ情報が表示されます。

              また、[モニタリング(Monitoring)] > [イベント(Events)] に表示されるイベントにもユーザ情報が含まれます。

              ユーザ情報が表示されない場合は、ディレクトリ サーバが正しく機能していることを確認します。ディレクトリ サーバの設定ダイアログ ボックスにある [テスト(Test)]ボタンを使用して、接続を確認します。

              ディレクトリ サーバが機能していて使用可能な場合、認証が必要なアイデンティティ ルールのトラフィック一致条件がユーザを照合する方法で記述されていることを確認します。たとえば、ユーザ トラフィックがデバイスに入るインターフェイスが送信元ゾーンに含まれていることを確認します。

              アイデンティティ ルールは HTTP トラフィックのみを照合するため、ユーザはそのタイプのトラフィックをデバイス経由で送信している必要があります。

              このドキュメントは役に立ちましたか?

              Feedbackフィードバック

              シスコに問い合わせ