次のフィールドを使用してレルムを設定します。

レルムの設定（Realm Configuration）フィールド

これらの設定は、レルム内のすべてのサーバまたはコントローラ（別名ディレクトリ）に適用されます。

[名前（Name）]

レルムの一意の名前。

• アイデンティティ ポリシーにレルムを使用する場合、英数字や特殊文字に対応しています。

• RA VPN 設定でレルムを使用する場合は、英数字とハイフン（-）、アンダスコア（_）、プラス（+）に対応しています。

説明

（オプション）レルムの説明を入力します。

AD プライマリ ドメイン（AD Primary Domain）

Active Directory レルム専用です。ユーザ認証が必要となる Active Directory サーバのドメインです。

（注）	[AD プライマリ ドメイン（AD Primary Domain）] 値のすべてのレルムが一意である必要があります。

AD 参加ユーザ名（AD Join Username）、AD 参加パスワード（AD Join Password）

Kerberos のキャプティブ ポータルのアクティブ認証を目的とした AD レルムでは、クライアントをドメインに参加させる適切な権利を有するユーザのユーザ名とパスワードとが区別されています。

アイデンティティ ルールの [認証プロトコル（Authentication Protocol）] に Kerberos を選択する場合（または Kerberos をオプションとして HTTP Negotiate を選択する場合）、Kerberos キャプティブ ポータル アクティブ認証を実行するには、[アクティブディレクトリ参加ユーザ名（AD Join Username）] と [アクティブディレクトリ参加パスワード（AD Join Password）] を使用して、選択した [レルム（Realm）] を設定する必要があります。

[ディレクトリ ユーザ名（Directory Username）] と [ディレクトリ パスワード（Directory Password）]

取得するユーザ情報に適切な権限を持っているユーザの識別用のユーザ名とパスワード。

ベース DN（Base DN）

Firepower Management Center がユーザ データの検索を開始するサーバのディレクトリ ツリー。

通常、ベース識別名（DN）には企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。

グループ DN（Group DN）

Firepower Management Centerがグループ属性を持つユーザを検索するサーバのディレクトリ ツリー。

（注）	グループ名または組織単位名には、アスタリスク（*）、イコール（=）、バックスラッシュ（\）などの特殊文字は使用できません。使用した場合、それらのグループのユーザはダウンロードされず、アイデンティティ ポリシーで使用できないためです。

グループ属性（Group Attribute）

（オプション）サーバのグループ属性：メンバー、または一意のメンバー。

タイプ（Type）

レルム、AD、LDAP のタイプ。

（注）	キャプティブ ポータルのみ、LDAP レルムをサポートします。

レルムの設定（Realm Configuration）フィールド

Active Directory 情報

Active Directory 情報のフィールドについては、このセクションの前半で説明しました。

[ユーザ セッション タイムアウト（User Session Timeout）]

ユーザ セッションがタイムアウトするまでの分数を入力します。デフォルトは 1440 分（24 時間）です。

（注）	ユーザ セッションタイムアウト値は、アクティブ認証（キャプティブ ポータル）とパッシブ認証（TS エージェント、ユーザ エージェント、ISE/ISE-PIC）の両方に適用されます。大きな値を設定すると、ユーザ セッションが終了しない可能性があり、他のユーザによってこれらのセッションが要求される場合があります。

レルムのディレクトリ フィールド（Realm Directory Fields）

これらの設定は、レルム内の個々のサーバ（ディレクトリ）に適用されます。

暗号化（Encryption）

Firepower Management Center サーバ接続に使用する暗号化方式。

• STARTTLS：暗号化 LDAP 接続

• LDAPS：暗号化 LDAP 接続

• なし：非暗号化 LDAP 接続（保護されていないトラフィック）

ホスト名/IP アドレス（Hostname/IP Address）

サーバのホスト名または IP アドレス。[暗号化（Encryption）] 方式を指定する場合は、このフィールドでホスト名を指定します。

[ポート（Port）]

Firepower Management Center サーバ接続に使用するポート。

SSL 証明書（SSL Certificate）

サーバへの認証に使用する SSL 証明書。SSL 証明書を使用するにために、STARTTLS または LDAPS を [暗号化（Encryption）] タイプとして設定できます。

認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IP アドレス（Hostname/IP Address）] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で computer1.example.com を使用している場合は、接続が失敗します。

ユーザのダウンロード（User Download）フィールド

[使用可能なグループ（Available Groups）]、[含むに追加する（Add to Include）]、[除外するに追加する（Add to Exclude）]

ダウンロードしてユーザ認識やユーザ制御に使用できるようにするグループを特定します。

• [使用可能グループ ボックス（Available Groups）] にグループが残っている場合、グループのダウンロードは行われません。

• グループを [含むに追加する（Add to Include）] ボックスに移動させた場合、そのグループはダウンロードされ、ユーザ データはユーザ認識やユーザ制御に利用できます。

• [除外に追加する（Add to Exclude）] ボックスにグループを移動させると、グループがダウンロードされ、ユーザ データはユーザ認識に利用できますが、ユーザ制御には利用できません。

• 含まれないグループのユーザを含めるには、[含めるグループ（Groups to Include）] の下のフィールドにそのユーザ名を入力し、[追加（Add）] をクリックします。

• 除外されないグループのユーザを除外するには、[除外するグループ（Groups to Exclude）] の下のフィールドにそのユーザ名を入力し、[追加（Add）] をクリックします。

自動ダウンロードの開始、繰り返し設定（Begin automatic download at, Repeat every）

自動ダウンロードの回数を指定します。

ユーザおよびグループのダウンロード（ユーザアクセス制御に必須）

ユーザ認識用およびユーザ制御用にユーザとグループをダウンロードできるようになります。

次のフィールドを使用して、アイデンティティ ルールを設定します。

[有効（Enabled）]

このオプションを選択すると、アイデンティティ ポリシーのアイデンティティ ルールが有効になります。このオプションの選択を解除すると、アイデンティティ ルールが無効になります。

アクション（Action）

指定したレルムでユーザに対して実行する認証のタイプを指定します。これには、[パッシブ認証（Passive Authentication）]（デフォルト）、[アクティブ認証（Active Authentication）]、または [認証なし（No Authentication）] があります。アイデンティティ ルールのアクションとして選択する前に、認証方式、またはアイデンティティ ソースを完全に設定する必要があります。

さらに、VPN が有効になっている場合（少なくとも 1 つの管理対象デバイスで設定されている場合）、リモート アクセス VPN セッションは VPN によってアクティブに認証されます。他のセッションはルール アクションを使用します。つまり、VPN が有効になっている場合は、選択したアクションに関係なく、すべてのセッションで VPN ID の判別が最初に行われます。指定されたレルム上に VPN ID が見つかった場合、これは使用されるアイデンティティ ソースになります。選択されていても、追加のキャプティブ ポータル アクティブ認証は実行されません。

VPN アイデンティティ ソースが見つからない場合は、指定されたアクションに従ってプロセスが続行されます。アイデンティティ ポリシーを VPN 認証のみに制限することはできません。VPN ID が見つからない場合は、選択されたアクションに従ってルールが適用されるためです。

注意

SSL 復号が無効の場合（つまりアクセス コントロール ポリシーに SSL ポリシーが含まれない場合）に、アクティブな最初の認証ルールを追加するか、アクティブな最後の認証ルールを削除すると 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。 アクティブ認証ルールには [アクティブ認証（Active Authentication）] ルール アクションが含まれているか、または [パッシブまたは VPN ID を確立できない場合はアクティブ認証を使用する（Use active authentication if passive or VPN identity cannot be established）] が選択された [パッシブ認証（Passive Authentication）] ルール アクションが含まれています。

Firepower システムのバージョンでサポートされるパッシブおよびアクティブ認証方式の詳細については、ユーザ アイデンティティ ソースについてを参照してください。

レルム

指定されたアクションを実行するユーザが含まれるレルム。アイデンティティ ルールのレルムとして選択する前に、レルムを完全に設定する必要があります。

（注）	リモート アクセス VPN が有効で、展開で VPN 認証に RADIUS サーバ グループを使用している場合は、この RADIUS サーバ グループに関連付けられているレルムを指定してください。

（注）	[Kerberos]（または [Kerberos] をオプションとする場合は [HTTP ネゴシエート（HTTP Negotiate）]）を、アイデンティティ ルールの [認証プロトコル（Authentication Protocol）] として選択する場合、選択する [レルム（Realm）] は、Kerberos キャプティブ ポータル アクティブ認証を実行できるように、[AD 参加ユーザ名（AD Join Username）] と [AD 参加パスワード（AD Join Password）] を使用して設定する必要があります。

パッシブまたは VPN ID を確立できない場合は、アクティブ認証を使用します。

このオプションを選択すると、パッシブまたは VPN 認証でユーザを識別できない場合にキャプティブ ポータル アクティブ認証を使用してユーザが認証されます。このオプションを選択するには、アイデンティティ ポリシーでキャプティブ ポータル アクティブ認証を設定する必要があります。

このオプションを無効にすると、VPN ID を持たないユーザまたはパッシブ認証では識別できないユーザは、「不明（Unknown）」と識別されます。

認証でユーザを識別できない場合は特別 ID/ゲストとして識別する（Identify as Special Identities/Guest if authentication cannot identify user）

ルール アクションとして [アクティブ認証（Active Authentication）]（つまり、キャプティブ ポータル認証）を設定している場合にのみ、このフィールドが表示されます。

認証プロトコル

キャプティブ ポータル アクティブ認証を実行するために使用する方法です。選択は、レルム、LDAP、または AD のタイプによって異なります。

• 暗号化されていない HTTP 基本認証（BA）接続を使用してユーザを認証するには、[HTTP 基本（HTTP Basic）] を選択します。ユーザはブラウザのデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。

  ほとんどの Web ブラウザは、HTTP 基本ログインからクレデンシャルをキャッシュし、古いセッションがタイムアウトした後にシームレスに新しいセッションを開始するためにそのクレデンシャルを使用します。

• NT LAN Manager（NTLM）接続を使用してユーザを認証するには NTLM を選択します。この選択は AD レルムを選択するときにのみ使用できます。透過的な認証がユーザのブラウザで設定されている場合、ユーザは自動的にログインします。透過的な認証が設定されていない場合、ユーザは各自のブラウザでデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。

• Kerberos 接続を使用してユーザを認証する場合は、[Kerberos] を選択します。この選択は、セキュア LDAP（LDAPS）が有効になっているサーバに対して AD レルムを選択する場合にのみ可能です。透過的な認証がユーザのブラウザで設定されている場合、ユーザは自動的にログインします。透過的な認証が設定されていない場合、ユーザは各自のブラウザでデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。

  （注）	選択する [レルム（Realm）] は、Kerberos キャプティブ ポータル アクティブ認証を実行するために、[AD 参加ユーザ名（AD Join Username）] および [AD 参加パスワード（AD Join Password）] を使用して設定する必要があります。

  （注）	Kerberos キャプティブ ポータルを実行するアイデンティティ ルールを作成しようとしており、DNS 解決は設定済みである場合は、キャプティブ ポータル デバイスの完全修飾ドメイン名（FQDN）を解決する DNS サーバを設定する必要があります。FQDN は、DNS の設定時に指定したホスト名と一致する必要があります。 ASA with FirePOWER Services および Firepower Threat Defense デバイスの場合、FQDN は、キャプティブ ポータルに使用されるルーテッド インターフェイスの IP アドレスに解決される必要があります。

• キャプティブ ポータル サーバが認証接続に HTTP 基本認証、Kerberos、または NTLM を選択できるようにするには、[HTTP ネゴシエート（HTTP Negotiate）] を選択します。このタイプは AD レルムを選択するときにのみ使用できます。

  （注）	選択する [レルム（Realm）] は、[HTTP ネゴシエート（HTTP Negotiate）] で Kerberos キャプティブ ポータル アクティブ認証を選択するために、[AD 参加ユーザ名（AD Join Username）] および [AD 参加パスワード（AD Join Password）] を使用して設定する必要があります。

  （注）	[HTTP ネゴシエート（HTTP Negotiate）] キャプティブ ポータルを実行するアイデンティティ ルールを作成しようとしており、DNS 解決は設定済みである場合は、キャプティブ ポータル デバイスの完全修飾ドメイン名（FQDN）を解決する DNS サーバを設定する必要があります。キャプティブ ポータルに使用するデバイスの FQDN は、DNS の設定時に入力したホスト名と一致している必要があります。 ASA with FirePOWER Services デバイスの場合、FQDN は ASA FirePOWER モジュールの FQDN です。