ユーザ認識および制御のための LDAP サーバへの接続
ライセンス: FireSIGHT または Control
サポートされるデバイス: 機能に応じて異なる
サポートされる防御センター: 機能に応じて異なる
Defense Center と組織の LDAP サーバとの間の接続によって以下を行うことができます。
- アクセス制御されたユーザおよびグループ(ユーザ エージェントでアクティビティをモニタするユーザおよびグループ、およびアクセス コントロール ルールによるトラフィックの制限時に条件として使用できるユーザおよびグループ)を指定します。
- アクセス制御されたユーザと、一部のアクセス制御されていないユーザ(ユーザ検出によって検出される POP3 および IMAP ユーザ、およびアクティビティがユーザ検出またはユーザ エージェントによって検出される LDAP ユーザ)のメタデータ取得のためにサーバに対してクエリを実行できます。
これらの接続、または ユーザ認識オブジェクト は、LDAP サーバに対して接続設定および認証フィルタ設定を指定します。これらは、FireSIGHT システム の Web インターフェイスへの外部認証を管理するために設定する認証オブジェクトに似ています。認証オブジェクトの管理を参照してください。
ユーザ制御を実行するには、Microsoft Active Directory LDAP サーバに接続する 必要があります 。LDAP ユーザ メタデータを簡単に取得したい場合、システムは他のタイプの LDAP サーバへの接続をサポートします。表 17-1を参照してください。
システムがユーザ アクティビティを検出すると、システムはそのユーザのレコードを Defense Center ユーザ データベース(ユーザ アイデンティティ データベースとも呼ばれます)に追加できます。Defense Center は、定期的に LDAP サーバにクエリを行い、最後のクエリ以降にアクティビティが検出された新しいユーザおよび更新されたユーザのメタデータを取得します。ユーザがデータベースにすでに存在している場合、システムはメタデータが過去 12 時間更新されていなければ更新します。システムが新しいユーザ ログインを検出してから、Defense Center がユーザ メタデータで更新するまで数分かかる場合があります。
システムは、POP3 と IMAP ログイン内の電子メール アドレスを使用して LDAP サーバ上のユーザに関連付けます。たとえば、LDAP ユーザと電子メール アドレスが同じユーザの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザのメタデータをそのユーザに関連付けます。
(注
) LDAP サーバからシステムによって検出されたユーザを削除しても、Defense Center はユーザ データベースからそのユーザを削除しません。そのため、手動で削除する必要があります。ただし、LDAP 変更は、Defense Center が次にアクセス制御されたユーザのリストを更新したときにアクセス コントロール ルールに反映されます。
次の表に、モニタ対象ユーザに関連付けることができる LDAP メタデータを示します。LDAP サーバからユーザのメタデータを正常に取得するには、サーバはこの表にリストされている LDAP フィールド名を使用する 必要がある ことに注意してください。LDAP サーバ上のフィールド名を変更すると、Defense Center はそのフィールドの情報を使ってデータベースに入力できなくなります。
表 17-2 シスコ フィールドへの LDAP フィールドのマッピング
|
|
|
|
|
LDAP user name |
[ユーザ名(Username)] |
samaccountname |
cn uid |
cn uid |
first name |
名 |
givenname |
givenname |
givenname |
last name |
姓 |
sn |
sn |
sn |
メール アドレス |
E メール |
メール アドレス userprincipalname(mail に値が設定されていない場合) |
メール アドレス |
メール アドレス |
部署 |
部署名(Department) |
部署 distinguishedname(department に値が設定されていない場合) |
部署 |
ou |
電話番号 |
電話 |
telephonenumber |
適用対象外 |
telephonenumber |
LDAP 管理者と密に連携し、LDAP サーバが正しく設定され、そのサーバに接続して LDAP 接続の作成時に提供する必要がある情報を確実に取得できるようにします。
サーバ タイプ、IP アドレス、およびポート
プライマリ LDAP サーバ(オプションでバックアップ LDAP サーバも)のサーバ タイプ、IP アドレスまたはホスト名、およびポートを指定する必要があります。ユーザ制御を実行する場合は、Microsoft Active Directory サーバを使用する 必要があります 。
LDAP 固有パラメータ
Defense Center が認証サーバ上のユーザ情報を取得するために LDAP サーバを検索する場合は、その検索の出発点が必要です。ベース識別名、すなわち ベース DN を提供することで検索する 名前空間 またはディレクトリ ツリーを指定できます。通常、ベース DN には、企業ドメインおよび部門を示す基本構造があります。たとえば、Example 社のセキュリティ(Security)部門のベース DN は、 ou=security,dc=example,dc=com
となります。プライマリ サーバを特定したら、そのサーバから使用可能なベース DN のリストが自動的に取得され、該当するベース DN を選択できることに注意してください。
取得するユーザ情報に適切な権限を持っているユーザのユーザ クレデンシャルを指定する必要があります。指定したユーザの識別名はディレクトリ サーバのディレクトリ インフォメーション ツリーで一意でなければならないことに注意してください。
また、LDAP 接続の暗号化方式を指定することもできます。認証に証明書が使用される場合は、証明書内の LDAP サーバの名前と Defense Center Web インターフェイスで指定したホスト名が一致する 必要がある ことに注意してください。たとえば、LDAP 接続を設定するときに 10.10.10.250
を使用し、証明書内で computer1.example.com
を使用した場合は、接続が失敗します。
最後に、無応答の LDAP サーバへの接続の試みがバックアップ接続にロールオーバーされるタイムアウト期間を指定する必要があります。
ユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータ
ユーザ制御を実行するには、アクセス コントロール ルールで条件として使用するグループを指定します。
グループを含めると、自動的に、すべてのサブグループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、アクセス コントロール ルールでサブグループを使用する場合は、明示的にサブグループを含める必要があります。また、グループと個別のユーザを除外することもできます。グループを除外すると、ユーザが他のグループのメンバーであっても、そのグループのすべてのメンバーが除外されます。
アクセス コントロールで使用可能なユーザの最大数は FireSIGHT ライセンスによって異なります。含めるユーザとグループを選択するときに、ユーザの総数が FireSIGHT のユーザ ライセンス数より少ないことを確認します。アクセス コントロール パラメータの範囲が広すぎる場合、Defense Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザ数をタスク キューで報告します。
(注
) 含めるグループを指定しなかった場合、システムは指定された LDAP パラメータと一致するすべてのグループのユーザ データを取得します。パフォーマンス上の理由から、シスコでは、アクセス コントロールで使用するユーザを代表するグループだけを明示的に含めることを推奨しています。ユーザ グループまたはドメイン ユーザ グループを含めることはできないことに注意してください。
また、Defense Center がアクセス コントロールで使用する新しいユーザを取得するために LDAP サーバに対してクエリを実行する頻度を指定する必要もあります。
LDAP 接続を作成した後、削除アイコン(
)をクリックして、選択内容を確認することで、その接続を削除できます。LDAP 接続を変更するには、編集アイコン(
)をクリックします。接続が有効になっている場合は、Defense Center が LDAP サーバ対して次回クエリを実行したときに保存した変更が反映されます。
ユーザ認識またはユーザ制御用の LDAP 接続を作成するには、次の手順を実行します。
アクセス: Admin/Discovery Admin
手順 1 [ポリシー(Policies)] > [ユーザ(Users)] の順に選択します。
[ユーザ ポリシー(Users Policy)] ページが表示されます。
手順 2 [LDAP 接続の追加(Add LDAP Connection)] をクリックします。
[ユーザ認識認証オブジェクトの作成(Create User Awareness Authentication Object)] ページが表示されます。
手順 3 オブジェクトの [名前(Name)] と [説明(Description)] を入力します。
手順 4 [LDAP サーバタイプ(LDAP Server Type)] を選択します。
ユーザ制御を実行する場合は、Microsoft Active Directory サーバを使用する 必要があります 。
(注
) ユーザ エージェントは $
記号で終わる Active Directory ユーザ名を Defense Center に送信できません。これらのユーザをモニタする場合は、最後の $
の文字を削除する必要があります。
手順 5 プライマリ LDAP サーバ(オプションで、バックアップ LDAP サーバも)の [IP アドレス(IP Address)] または [ホスト名(Host Name)] を指定します。
手順 6 LDAP サーバが認証トラフィックに使用する [ポート(Port)] を指定します。
手順 7 ユーザがアクセスする LDAP ディレクトリの [ベース DN(Base DN)] を指定します。
たとえば、Example 社の Security 組織で名前を認証するには、 ou=security,dc=example,dc=com
と入力します。
ヒント
使用可能なすべてのドメインのリストを取得するには、[DN の取得(Fetch DNs)] をクリックして、ドロップダウンリストから該当するベース識別名を選択します。
手順 8 LDAP ディレクトリへのアクセスを検証するために使用する識別 [ユーザ名(Username)] と [パスワード(Password)] を指定します。パスワードを確認します。
たとえば、ユーザ オブジェクトに uid
属性が設定されており、Example 社の Security 部門の管理者用のオブジェクトの uid
値が NetworkAdmin
である OpenLDAP サーバに接続している場合は、 uid=NetworkAdmin,ou=security,dc=example,dc=com
と入力することになります。
手順 9 [暗号化(Encryption)] 方式を選択します。暗号化を使用する場合は、[SSL 証明書(SSL Certificate)] を追加できます。
証明書内のホスト名は、手順 5 で指定した LDAP サーバのホスト名と一致する 必要があります 。
手順 10 無応答の LDAP サーバへの接続の試みがバックアップ接続にロールオーバーされるタイムアウト期間(秒単位)を [タイムアウト(Timeout)] に指定する必要があります。
手順 11 オプションで、オブジェクトのユーザ認識設定を指定する前に、[テスト(Test)] をクリックして接続をテストします。
手順 12 手順 4 で選択した LDAP サーバのタイプによって 2 つの選択肢があります。
- Active Directory サーバに接続している場合は、[ユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータ(User/Group Access Control Parameters)] を有効にして、アクセス コントロールで使用するユーザを指定できます。次の手順に進みます。
- 他の種類のサーバに接続している場合、または、ユーザ制御を実行しない場合は、手順 17 までスキップします。
手順 13 [取得グループ(Fetch Groups)] をクリックし、指定した LDAP パラメータを使用して、使用可能なグループ リストに値を入力します。
手順 14 グループを追加または除外するための右矢印ボタンと左矢印ボタンを使用して、アクセス コントロールで使用するユーザを指定します。
グループを含めると、自動的に、すべてのサブグループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、アクセス コントロール ルールでサブグループを使用する場合は、明示的にサブグループを含める必要があります。グループを除外すると、ユーザが他のグループのメンバーであっても、そのグループのすべてのメンバーが除外されます。
手順 15 特定の [ユーザの除外(User Exclusions)] を指定します。
ユーザを除外すると、そのユーザを条件として使用するアクセス コントロール ルールを作成できなくなります。複数のユーザはカンマで区切ります。このフィールドでは、アスタリスク( *
)をワイルドカード文字として使用できます。
手順 16 LDAP サーバに対するクエリを実行して新しいユーザとグループの情報を取得する頻度を指定します。
デフォルトでは、Defense Center は 1 日 1 回午前零時にサーバに対するクエリを実行します。
- [開始(Start At)] ドロップダウン リストを使用して、クエリを実行するタイミングを指定します。 0 は午前零時を意味し、 1 は午前 1 時を意味します。
- [更新間隔(Update Interval)] ドロップダウンリストを使用して、サーバに対してクエリを実行する頻度を時間単位で指定します。
手順 17 [保存(Save)] をクリックします。
ユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータを追加または変更したら、変更の実行を確認します。オブジェクトが保存され、[ユーザ ポリシー(Users Policy)] ページが再度表示されます。
手順 18 作成した接続の横にあるスライダをクリックして接続を有効にします。
接続を有効にして、接続にユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータが含まれている場合は、すぐに LDAP サーバに対するクエリを実行してユーザとグループの情報を取得するかどうかを選択します。すぐに LDAP サーバに対するクエリを実行しない場合は、クエリはスケジュールされた時刻に実行されます。タスク キュー([システム(System)] > [モニタリング(Monitoring)] > [タスクのステータス(Task Status)])で、クエリの進捗をモニタリングすることができます。