レルムとアイデンティティ ポリシーについて
レルムは、同じディレクトリ クレデンシャルを共有する 1 つ以上の LDAP または Microsoft Active Directory サーバで構成されます。ユーザおよびユーザ グループ クエリやユーザ制御を実行したり、権限のあるアイデンティティ ソースを設定したりするには、レルムを設定する必要があります。1 つ以上のレルムを設定すると、アイデンティティ ポリシーを設定できます。
アイデンティティ ポリシーは、ネットワーク上のトラフィックを権限のあるアイデンティティ ソースおよびレルムと関連付けます。1 つ以上のアイデンティティ ポリシーを設定した後、1 つをアクセス コントロール ポリシーに関連付け、そのアクセス コントロール ポリシーを管理対象デバイスに展開できます。
レルムについて
レルムとは、Firepower Management Center とモニタリング対象のサーバ上にあるユーザ アカウントの間の接続です。レルムでは、サーバの接続設定と認証フィルタの設定を指定します。レルムでは次のことを実行できます。
-
アクティビティをモニタするユーザとユーザ グループを指定する。
-
権限のあるユーザ、および権限のあるユーザ以外の一部のユーザ(トラフィック ベースの検出で検出された POP3 および IMAP ユーザ、およびトラフィック ベースの検出、ユーザ エージェント、TS エージェント、ISE/ISE-PIC によって検出されたユーザ)のユーザ メタデータについてユーザ リポジトリに照会する。
レルム内のディレクトリとして複数のドメイン コントローラを追加できますが、同じ基本レルム情報を共有する必要があります。レルム内のディレクトリは、LDAP サーバのみ、または Active Directory(AD)サーバのみである必要があります。レルムを有効にすると、保存された変更は次回 Firepower Management Centerがサーバに照会するときに適用されます。
ユーザ認識を行うには、サポートされるすべてのサーバ タイプのレルムを設定する必要があります。システムは、これらの接続を使用して、POP3 および IMAP ユーザに関連するデータについてサーバにクエリし、トラフィック ベースの検出で検出された LDAP ユーザに関するデータを収集します。
システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory、OpenLDAP、または Oracle Directory Server Enterprise Edition サーバ上の LDAP ユーザに関連付けます。たとえば、LDAP ユーザと電子メール アドレスが同じユーザの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザのメタデータをそのユーザに関連付けます。
ユーザ制御を実行するために以下のいずれかを設定できます。
-
ユーザ エージェントまたは ISE/ISE-PIC 用の AD サーバのレルム
(注)
SGT ISE 属性条件を設定することを計画しているものの、ユーザ、グループ、レルム、エンドポイント ロケーション、エンドポイント プロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
-
TS エージェント用の AD サーバのレルム
-
キャプティブ ポータル用の AD、Oracle Directory、OpenLDAP サーバのレルム
。
ユーザ ダウンロードについて
特定の検出されたユーザの、次のユーザとユーザ グループのメタデータを取得するために、Firepower Management Center と LDAP サーバまたは AD サーバとの間の接続を確立するためのレルムを設定することができます。
-
キャプティブ ポータルで認証されたか、あるいはユーザ エージェントまたは ISE/ISE-PIC で報告された LDAP および AD のユーザ。このメタデータは、ユーザ認識とユーザ制御に使用できます。
-
トラフィック ベースの検出で検出された POP3 と IMAP ユーザ ログイン(ユーザが LDAP または AD ユーザと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
レルム内の 1 つのディレクトリとして、個々のサーバ接続を設定します。ユーザ認識とユーザ制御のためにレルムのユーザおよびユーザ グループ データをダウンロードするには、[アクセス コントロールのためのユーザおよびユーザ グループのダウンロード(Download users and user groups for access control)] をオンにする必要があります。
Firepower Management Centerは、ユーザごとに次の情報とメタデータを取得します。
-
LDAP ユーザ名
-
姓と名
-
電子メール アドレス(Email address)
-
部署名(Department)
-
電話番号(Telephone number)
ユーザ アクティビティ データについて
ユーザ アクティビティ データはユーザ アクティビティ データベースに保存され、ユーザのアイデンティティ データはユーザ データベースに保存されます。アクセス制御で保存できる使用可能なユーザの最大数は Firepower Management Center モデルによって異なります。含めるユーザとグループを選択するときは、ユーザの総数がモデルの上限より少ないことを確認してください。アクセス制御パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザの数をメッセージ センターの [タスク(Tasks)] タブ ページで報告します。
(注) |
ユーザ リポジトリからシステムによって検出されたユーザを削除しても、Firepower Management Center はユーザ データベースからそのユーザを削除しません。そのため、手動で削除する必要があります。ただし、LDAP に対する変更は、Firepower Management Center が次に権限のあるユーザのリストを更新したときにアクセス コントロール ルールに反映されます。 |
レルムおよび信頼できるドメイン
Firepower Management Center でレルムを設定すると、そのレルムは Active Directory または LDAP ドメインに関連付けられます。
互いに信頼する Microsoft Active Directory(AD)ドメインのグループ化は、一般的にフォレストと呼ばれます。この信頼関係により、ドメインは異なる方法で互いのリソースにアクセスできます。たとえば、ドメイン A で定義されたユーザ アカウントに、ドメイン B で定義されたグループのメンバーとしてマークを付けることができます。
Firepower システムは、信頼できる AD ドメインをサポートしていません。つまり、Firepower システムは、どのドメインが互いに信頼しているかを追跡せず、どのドメインが互いの親ドメインまたは子ドメインかを認識しません。また、Firepower システムでは、信頼関係が Firepower システム外で実施される場合でも、クロスドメイン信頼を使用する環境のサポートを保証するテストがまだ行われていません。
詳細については、レルムとユーザのダウンロードのトラブルシューティングを参照してください。
レルムがサポートされているサーバ
レルムを設定して次のサーバ タイプに接続すると、Firepower Management Centerからの TCP/IP アクセスを提供できます。
サーバ タイプ(Server Type) |
ユーザ認識によるデータ取得のサポート |
ユーザ エージェントによるデータ取得のサポート |
ISE/ISE-PIC によるデータ取得のサポート |
TS エージェントによるデータ取得のサポート |
キャプティブ ポータルによるデータ取得のサポート |
---|---|---|---|---|---|
Windows Server 2008 と Windows Server 2012 上の Microsoft Active Directory |
○ |
○ |
○ |
○ |
○ |
Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0 |
[はい(Yes)] |
[いいえ(No)] |
[はい(Yes)] |
[いいえ(No)] |
○ |
Linux 上の OpenLDAP |
[はい(Yes)] |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
○ |
(注) |
TS エージェントが別のパッシブ認証 ID ソース(ユーザ エージェントまたは ISE/ISE-PIC)と共有されている Windows サーバ上の Microsoft Active Directory にインストールされている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。 |
サーバ グループの設定に関して次の点に注意してください。
-
ユーザ グループまたはグループ内のユーザに対してユーザ制御を実行するには、LDAP または Active Directory サーバでユーザ グループを設定する必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、Firepower Management Centerはユーザ グループ制御を実行できません。
-
グループ名は LDAP で内部的に使用されているため、S- で開始することはできません。
グループ名または組織単位名には、アスタリスク(
*
)、イコール(=
)、バックスラッシュ(\
)などの特殊文字は使用できません。使用すると、それらのグループまたは組織単位内のユーザはダウンロードされず、アイデンティティ ポリシーでは使用できません。 - サーバのサブ グループのメンバーであるユーザを含める(または除外する)Active Directory レルムを設定する場合には、Active Directory サーバがレポートするユーザ数が、Windows Server 2008 または
2012 の Microsoft Active Directory のグループ 1 つにつき 5000 ユーザに制限される点にご注意ください。
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるよう Active Directory サーバの設定を変更できます。
-
ターミナル サービス環境でサーバにより報告されるユーザを一意に識別するには、Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザに別個のポートを割り当て、Firepower System はこれらのユーザを一意に識別できるようになります。
TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
サポートされるサーバ フィールド名
Firepower Management Center がサーバからユーザ メタデータを取得できるようにするには、レルム内のサーバが、次の表に記載されているフィールド名を使用する必要があります。サーバ上のフィールド名が正しくない場合、Firepower Management Centerはそのフィールドの情報を使ってデータベースに入力できなくなります。
メタデータ |
Management Center のフィールド |
Active Directory フィールド |
Oracle Directory Server フィールド |
OpenLDAP フィールド |
---|---|---|---|---|
LDAP user name |
[ユーザ名(Username)] |
samaccountname |
cn uid |
cn uid |
first name |
名 |
givenname |
givenname |
givenname |
last name |
姓 |
sn |
sn |
sn |
メール アドレス |
E メール |
メール アドレス userprincipalname(mail に値が設定されていない場合) |
メール アドレス |
メール アドレス |
部署 |
部署名(Department) |
部署 distinguishedname(department に値が設定されていない場合) |
部署 |
ou |
電話番号 |
電話 |
telephonenumber |
適用対象外 |
telephonenumber |
レルムとユーザのダウンロードのトラブルシューティング
予期しないサーバ接続の動作に気付いたら、レルム設定、デバイス設定、またはサーバ設定の調整を検討してください。関連の他のトラブルシューティングについては、次を参照してください。
症状:アクセス コントロール ポリシーがグループのメンバーシップと一致しない
この解決策は、他の AD ドメインとの信頼関係にある AD ドメインに適用されます。以下の説明で、外部ドメイン ドメインは、ユーザがログインするドメイン以外のドメインを指します。
ユーザが信頼されている外部ドメインで定義されたグループに属している場合、Firepower は外部ドメインのメンバーシップを追跡しません。たとえば、次のシナリオを考えてください。
-
ドメイン コントローラ 1 と 2 は相互に信頼している
-
グループ A はドメイン コントローラ 2 で定義されている
-
コントローラ 1 のユーザ mparvinder はグループ A のメンバーである
ユーザ mparvinder はグループ A に属しているが、メンバーシップ グループ A を指定する Firepower のアクセス コントロール ポリシー ルールが一致しません。
解決策:グループ A に属する、すべてのドメイン 1 のアカウントを含むドメイン コントローラ 1 に同様のグループを作成します。グループ A またはグループ B のすべてのメンバーに一致するように、アクセス コントロール ポリシー ルールを変更します。
症状:アクセス コントロール ポリシーが子ドメインのメンバーシップと一致しない
ユーザが親ドメインの子であるドメインに属している場合、Firepower はドメイン間の親/子関係を追跡しません。たとえば、次のシナリオを考えてください。
-
ドメイン child.parent.com はドメイン parent.com の子である
-
ユーザ mparvinder は child.parent.com で定義されている
ユーザ mparvinder が子ドメインに属しているが、parent.com と一致する Firepower アクセス コントロール ポリシーが child.parent.com ドメインの mparvinder と一致しません。
解決策:parent.com または child.parent.com のいずれかのメンバーシップに一致するようにアクセス コントロール ポリシー ルールを変更します。
予期しない時間にユーザ タイムアウトが発生する
予期しない間隔でユーザ タイムアウトが実行されていることに気付いたら、ユーザ エージェント、ISE/ISE-PIC、TS エージェント サーバの時間が Firepower Management Centerの時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
レルム設定で指定したようにユーザが含まれない、または除外されない
サーバのサブグループのメンバーであるユーザを選別できる Active Directory レルムを設定する際は、Microsoft Windows サーバが報告するユーザの数を以下に制限することに注意します。
-
Windows サーバ 2008 または 2012 では、グループごとに 5000 ユーザまで。Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるようサーバの設定を変更できます。
ユーザがダウンロードされない
グループ名または組織単位名に特殊文字が使用されている Active Directory グループのユーザは、アイデンティティ ポリシー ルールで使用できない可能性があります。たとえば、グループ名または組織単位名にアスタリスク(*
)、イコール(=
)、バックスラッシュ(\
)などの特殊文字が含まれている場合、これらのグループ内のユーザはダウンロードされず、アイデンティティ ポリシーで使用できません。
解決策:グループ名または組織単位名から特殊文字を削除します。
未知の ISE とユーザエージェントのユーザのユーザデータが Web インターフェイスで表示されない
システムはデータがまだデータベースにない ISE/ISE-PIC、ユーザエージェントまたは TS エージェントユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Microsoft Windows サーバからこの情報を正常に取得するためにさらに時間がかかることもあります。データ取得が成功するまで、ISE/ISE-PIC、ユーザエージェント、TS エージェントユーザから見えるアクティビティは Web インターフェイスに表示されません。
これにより、アクセス制御ルールを使ったユーザトラフィックの処理も妨げられることがある点に注意します。
イベントのユーザデータが想定外の内容になる
ユーザやユーザアクティビティイベントに想定外の IP アドレスが含まれる場合は、レルムを確認します。複数のレルムに同一の [AD プライマリ ドメイン(AD Primary Domain)] の値を設定することはできません。
ターミナルサーバでのログインによるユーザが Web インターフェイスで一意に特定されない
導入されている構成にターミナルサーバが含まれ、これに接続されている 1 つまたは複数のサーバにレルムが設定されている場合は、ターミナルサーバ環境でのユーザログインを正確に報告するため Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザに別個のポートを割り当て、Firepower System はこれらのユーザを Web インターフェイスで一意に識別できるようになります。
TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
アイデンティティ ポリシーについて
アイデンティティ ポリシーには、アイデンティティ ルールが含まれます。アイデンティティ ルールでは、トラフィックのセットを、レルムおよび認証方式(パッシブ認証、アクティブ認証、または認証なし)と関連付けます。
アイデンティティ ルールで呼び出す前に、使用するレルムおよび認証方式を完全に設定しておく必要があります。
-
レルムの作成を参照してください。
でアイデンティティ ポリシー外のレルムを設定します。詳細については、 -
パッシブ認証のアイデンティティ ソースであるユーザ エージェントと ISE/ISE-PIC は、ユーザ制御のためのユーザ エージェントの設定およびユーザ制御用 ISE/ISE-PIC の設定を参照してください。
で設定します。詳細については、 -
パッシブ認証のアイデンティティ ソースである TS エージェントについては、Firepower システムの外で設定します。詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
-
アクティブ認証のアイデンティティ ソースであるキャプティブ ポータルについては、アイデンティティ ポリシー内で設定します。詳細については、ユーザ制御のためのキャプティブ ポータルの設定を参照してください。
-
リモート アクセス VPN ポリシー内では、アクティブな認証アイデンティティ ソースであるリモート アクセス VPN を設定します。詳細については、リモート アクセス VPN の AAA の設定を参照してください。
単一のアイデンティティ ポリシーに複数のアイデンティティ ルールを追加した後、ルールの順番を決めます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールがそのトラフィックを処理するルールです。
1 つ以上のアイデンティティ ポリシーを設定した後、アクセス コントロール ポリシーの 1 つのアイデンティティ ポリシーを呼び出す必要があります。ネットワークのトラフィックがアイデンティティ ルールの条件と一致する場合、システムはトラフィックを指定されたレルムと関連付け、指定されたアイデンティティ ソースを使用してトラフィックのユーザを認証します。
アイデンティティ ポリシーを設定しない場合、システムはユーザ認証を実行しません。