Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月14日
章のタイトル: レルムとアイデンティティ ポリシー
レルムとアイデンティティ ポリシー
次のトピックでは、レルムとアイデンティティ ポリシーについて説明します。
レルムとアイデンティティ ポリシーについて
レルムは、同じディレクトリ クレデンシャルを共有する 1 つ以上の LDAP または Microsoft Active Directory サーバで構成されます。ユーザおよびユーザ グループ クエリやユーザ制御を実行したり、権限のあるアイデンティティ ソースを設定したりするには、レルムを設定する必要があります。1 つ以上のレルムを設定すると、アイデンティティ ポリシーを設定できます。
アイデンティティ ポリシーは、ネットワーク上のトラフィックを権限のあるアイデンティティ ソースおよびレルムと関連付けます。1 つ以上のアイデンティティ ポリシーを設定した後、1 つをアクセス コントロール ポリシーに関連付け、そのアクセス コントロール ポリシーを管理対象デバイスに展開できます。
レルムについて
レルムは、Firepower Management Center とモニタするサーバのユーザ アカウントとの間の接続です。レルムはサーバの接続設定と認証フィルタ設定を指定します。レルムでは次のことを実行できます。
-
アクティビティをモニタするユーザとユーザ グループを指定する。
権限のあるユーザ、および権限のあるユーザ以外の一部のユーザ(トラフィック ベースの検出で検出された POP3 および IMAP ユーザ、およびトラフィック ベースの検出、ユーザ エージェント、ISE によって検出されたユーザ)のユーザ メタデータについてユーザ リポジトリに照会する。
レルム内のディレクトリとして複数のドメイン コントローラを追加できますが、同じ基本レルム情報を共有する必要があります。レルム内のディレクトリは、LDAP サーバのみ、または Active Directory(AD)サーバのみである必要があります。レルムを有効にすると、保存された変更は次回 Firepower Management Centerがサーバに照会するときに適用されます。
ユーザ認識を行うには、サポートされるすべてのサーバ タイプのレルムを設定する必要があります。システムは、これらの接続を使用して、POP3 および IMAP ユーザに関連するデータについてサーバにクエリし、トラフィック ベースの検出で検出された LDAP ユーザに関するデータを収集します。
システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory、OpenLDAP、または Oracle Directory Server Enterprise Edition サーバ上の LDAP ユーザに関連付けます。たとえば、LDAP ユーザと電子メール アドレスが同じユーザの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザのメタデータをそのユーザに関連付けます。
ユーザ制御を実行するために以下のいずれかを設定できます。
-
ユーザ エージェントまたは ISE をサポートするように設定された AD サーバのレルム。
キャプティブ ポータルをサポートするように設定された AD、Oracle Directory、OpenLDAP サーバのレルム
。
ユーザ ダウンロードについて
特定の検出されたユーザの、次のユーザとユーザ グループのメタデータを取得するために、Firepower Management Center と LDAP サーバまたは AD サーバとの間の接続を確立するためのレルムを設定することができます。
-
キャプティブ ポータルで認証された、あるいはユーザ エージェントまたは ISE で報告された LDAP および AD ユーザ。このメタデータは、ユーザ認識とユーザ制御に使用できます。
-
トラフィック ベースの検出で検出された POP3 と IMAP ユーザ ログイン(ユーザが LDAP または AD ユーザと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
レルム内の 1 つのディレクトリとして、個々のサーバ接続を設定します。ユーザ認識とユーザ制御のためにレルムのユーザおよびユーザ グループ データをダウンロードするには、[アクセス コントロールのためのユーザおよびユーザ グループのダウンロード(Download users and user groups for access control)] をオンにする必要があります。
ユーザ アクティビティ データについて
ユーザ アクティビティ データはユーザ アクティビティ データベースに保存され、ユーザのアイデンティティ データはユーザ データベースに保存されます。アクセス制御で保存できる使用可能なユーザの最大数は Firepower Management Center モデルによって異なります。含めるユーザとグループを選択するときは、ユーザの総数がモデルの上限より少ないことを確認してください。アクセス制御パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザの数をメッセージ センターの [タスク(Tasks)] タブ ページで報告します。
レルムおよび信頼できるドメイン
Firepower Management Center でレルムを設定すると、そのレルムは Active Directory または LDAP ドメインに関連付けられます。
互いに信頼する Microsoft Active Directory(AD)ドメインのグループ化は、一般的にフォレストと呼ばれます。この信頼関係により、ドメインは異なる方法で互いのリソースにアクセスできます。たとえば、ドメイン A で定義されたユーザ アカウントに、ドメイン B で定義されたグループのメンバーとしてマークを付けることができます。
Firepower システムは、信頼できる AD ドメインをサポートしていません。つまり、Firepower システムは、どのドメインが互いに信頼しているかを追跡せず、どのドメインが互いの親ドメインまたは子ドメインかを認識しません。また、Firepower システムでは、信頼関係が Firepower システム外で実施される場合でも、クロスドメイン信頼を使用する環境のサポートを保証するテストがまだ行われていません。
詳細については、レルムとユーザのダウンロードのトラブルシューティングを参照してください。
レルムがサポートされているサーバ
レルムを設定して次のサーバ タイプに接続すると、Firepower Management Centerからの TCP/IP アクセスを提供できます。
|
サーバ タイプ(Server Type) |
ユーザ認識によるデータ取得のサポート |
ユーザ エージェントによるデータ取得のサポート |
ISE によるデータ取得のサポート |
キャプティブ ポータルによるデータ取得のサポート |
|---|---|---|---|---|
|
Windows Server 2008 と Windows Server 2012 上の Microsoft Active Directory |
○ |
○ |
○ |
○ |
|
Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0 |
[はい(Yes)] |
[いいえ(No)] |
○ |
○ |
|
Linux 上の OpenLDAP |
[はい(Yes)] |
[いいえ(No)] |
[いいえ(No)] |
○ |
サーバ グループの設定に関して次の点に注意してください。
-
ユーザ グループまたはグループ内のユーザに対してユーザ制御を実行するには、サーバでユーザ グループを設定する必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、Firepower Management Centerはユーザ グループ制御を実行できません。
-
グループ名は LDAP で内部的に使用されているため、S- で開始することはできません。
グループ名または組織単位名には、アスタリスク(*)、イコール(=)、バックスラッシュ(\)などの特殊文字は使用できません。使用すると、それらのグループまたは組織単位内のユーザはダウンロードされず、アイデンティティ ポリシーでは使用できません。
- サーバのサブグループのメンバーであるユーザを選別できる Active Directory レルムを設定する際は、Active Directory サーバが報告するユーザの数を以下に制限することに注意します。
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるよう Active Directory サーバの設定を変更できます。
サポートされるサーバ フィールド名
レルムのサーバは、Firepower Management Center がサーバからユーザ メタデータを取得できるように、次の表に記載されているフィールド名を使用する必要があります。サーバ上のフィールド名が正しくない場合、Firepower Management Centerはそのフィールドの情報を使ってデータベースに入力できなくなります。
レルムとユーザのダウンロードのトラブルシューティング
予期しないサーバ接続の動作に気付いたら、レルム設定、デバイス設定、またはサーバ設定の調整を検討してください。関連の他のトラブルシューティングについては、次を参照してください。
症状:アクセス コントロール ポリシーがグループのメンバーシップと一致しない
この解決策は、他の AD ドメインとの信頼関係にある AD ドメインに適用されます。以下の説明で、外部ドメイン ドメインは、ユーザがログインするドメイン以外のドメインを指します。
ユーザが信頼されている外部ドメインで定義されたグループに属している場合、Firepower は外部ドメインのメンバーシップを追跡しません。たとえば、次のシナリオを考えてください。
-
ドメイン コントローラ 1 と 2 は相互に信頼している
-
グループ A はドメイン コントローラ 2 で定義されている
-
コントローラ 1 のユーザ mparvinder はグループ A のメンバーである
ユーザ mparvinder はグループ A に属しているが、メンバーシップ グループ A を指定する Firepower のアクセス コントロール ポリシー ルールが一致しません。
解決策:グループ A に属する、すべてのドメイン 1 のアカウントを含むドメイン コントローラ 1 に同様のグループを作成します。グループ A またはグループ B のすべてのメンバーに一致するように、アクセス コントロール ポリシー ルールを変更します。
症状:アクセス コントロール ポリシーが子ドメインのメンバーシップと一致しない
ユーザが親ドメインの子であるドメインに属している場合、Firepower はドメイン間の親/子関係を追跡しません。たとえば、次のシナリオを考えてください。
-
ドメイン child.parent.com はドメイン parent.com の子である
-
ユーザ mparvinder は child.parent.com で定義されている
ユーザ mparvinder が子ドメインに属しているが、parent.com と一致する Firepower アクセス コントロール ポリシーが child.parent.com ドメインの mparvinder と一致しません。
解決策:parent.com または child.parent.com のいずれかのメンバーシップに一致するようにアクセス コントロール ポリシー ルールを変更します。
予期しない時間にユーザ タイムアウトが発生する
予期しない間隔でユーザ タイムアウトが実行されていることに気付いたら、ユーザ エージェントまたは ISE サーバの時間が Firepower Management Centerの時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
レルム設定で指定したようにユーザが含まれない、または除外されない
サーバのサブグループのメンバーであるユーザを選別できる Active Directory レルムを設定する際は、Microsoft Windows サーバが報告するユーザの数を以下に制限することに注意します。
-
Windows サーバ 2008 または 2012 では、グループごとに 5000 ユーザまで。Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるようサーバの設定を変更できます。
ユーザがダウンロードされない
グループ名または組織単位名に特殊文字が使用されている Active Directory グループのユーザは、アイデンティティ ポリシー ルールで使用できない可能性があります。たとえば、グループ名または組織単位名にアスタリスク(*)、イコール(=)、バックスラッシュ(\)などの特殊文字が含まれている場合、これらのグループ内のユーザはダウンロードされず、アイデンティティ ポリシーで使用できません。
解決策:グループ名または組織単位名から特殊文字を削除します。
未知の ISE とユーザエージェントのユーザのユーザデータが Web インターフェイスで表示されない
システムはデータがまだデータベースにない ISE またはユーザエージェントユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するためにさらに時間がかかることもあります。データ取得が成功するまで、ISE またはユーザエージェントユーザから見えるアクティビティは Web インターフェイスに表示されません。
これにより、アクセス制御ルールを使ったユーザトラフィックの処理も妨げられることがある点に注意します。
イベントのユーザデータが想定外の内容になる
ユーザやユーザアクティビティイベントに想定外の IP アドレスが含まれる場合は、レルムを確認します。複数のレルムに同一の [AD プライマリ ドメイン(AD Primary Domain)] の値を設定することはできません。
アイデンティティ ポリシーについて
アイデンティティ ポリシーには、アイデンティティ ルールが含まれます。アイデンティティ ルールでは、トラフィックのセットを、レルムおよび認証方式(パッシブ認証、アクティブ認証、または認証なし)と関連付けます。
アイデンティティ ルールで呼び出す前に、使用するレルムおよび認証方式を完全に設定しておく必要があります。
-
でアイデンティティ ポリシー外のレルムを設定します。詳細については、レルムの作成を参照してください。
パッシブ認証のアイデンティティ ソースであるユーザ エージェントと ISE は、 で設定します。詳細については、ユーザ エージェント接続の設定およびISE 接続の設定を参照してください。
アクティブ認証のアイデンティティ ソースであるキャプティブ ポータルについては、アイデンティティ ポリシー内で設定します。詳細については、キャプティブ ポータル アイデンティティ ルールの設定を参照してください。
単一のアイデンティティ ポリシーに複数のアイデンティティ ルールを追加した後、ルールの順番を決めます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールがそのトラフィックを処理するルールです。
1 つ以上のアイデンティティ ポリシーを設定した後、アクセス コントロール ポリシーの 1 つのアイデンティティ ポリシーを呼び出す必要があります。ネットワークのトラフィックがアイデンティティ ルールの条件と一致する場合、システムはトラフィックを指定されたレルムと関連付け、指定されたアイデンティティ ソースを使用してトラフィックのユーザを認証します。
アイデンティティ ポリシーを設定しない場合、システムはユーザ認証を実行しません。
レルムの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator、Access Admin、Network Admin |
レルム設定フィールドの詳細については、レルム フィールドを参照してください。
| ステップ 1 | Firepower Management Center にログインします。 | ||
| ステップ 2 | をクリックします。 | ||
| ステップ 3 | [レルム(Realms)] をクリックします。 | ||
| ステップ 4 | 新しいレルムを作成するには、[新規レルム(New Realm)] をクリックします。 | ||
| ステップ 5 | その他のタスク(レルムの有効化、無効化、削除など)を実行する場合は、レルムの管理を参照してください。 | ||
| ステップ 6 | レルム フィールドで説明したように、レルム情報を入力します。 | ||
| ステップ 7 | (オプション)レルムへの接続をテストするには、[テスト(Test)] をクリックします。
| ||
| ステップ 8 | [OK] をクリック | ||
| ステップ 9 | レルム ディレクトリの設定で説明したように、少なくとも 1 つのディレクトリを設定します。 | ||
| ステップ 10 | ユーザとグループのダウンロードの説明に従ってユーザとユーザ グループのダウンロード(アクセス コントロールに必要)を設定します。 | ||
| ステップ 11 | [レルム設定(Realm Configuration)] タブをクリックします。 | ||
| ステップ 12 | [認証済みユーザ(Authenticated Users)]、[認証に失敗したユーザ(Failed Authentication Users)]、および [ゲスト ユーザ(Guest Users)] にユーザ セッション タイムアウト値(分単位)を入力します。 |
次の作業
-
レルムの編集、削除、有効化、または無効化を行います。レルムの管理を参照してください
-
必要に応じて、タスクのステータスをモニタします(タスク メッセージの表示 を参照)。
レルム フィールド
次のフィールドを使用してレルムを設定します。
レルムの設定(Realm Configuration)フィールド
これらの設定は、レルム内のすべてのサーバまたはコントローラ(別名ディレクトリ)に適用されます。
- [名前(Name)]
-
レルムの一意の名前。英数字や特殊文字に対応しています。
- 説明
- (オプション)レルムの説明を入力します。
- AD プライマリ ドメイン(AD Primary Domain)
-
Active Directory レルムのみの場合に、ユーザを認証する必要があるアクティブ ディレクトリ サーバのドメイン。同じ [AD プライマリ ドメイン(AD Primary Domain)] 値を持つ複数のレルムを作成することはできません。
(注)
[AD プライマリ ドメイン(AD Primary Domain)] 値のすべてのレルムが一意である必要があります。
- [ディレクトリ ユーザ名(Directory Username)] と [ディレクトリ パスワード(Directory Password)]
-
取得するユーザ情報に適切な権限を持っているユーザの識別用のユーザ名とパスワード。
- ベース DN(Base DN)
-
Firepower Management Center がユーザ データの検索を開始するサーバのディレクトリ ツリー。
通常、ベース DN は企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。
- グループ DN(Group DN)
-
Firepower Management Centerがグループ属性を持つユーザを検索するサーバのディレクトリ ツリー。
(注)
グループ名または組織単位名には、アスタリスク(*)、イコール(=)、バックスラッシュ(\)などの特殊文字は使用できません。使用した場合、それらのグループのユーザはダウンロードされず、アイデンティティ ポリシーで使用できないためです。
- グループ属性(Group Attribute)
-
(オプション)サーバのグループ属性:メンバー、または一意のメンバー。
- タイプ(Type)
-
レルム、AD、LDAP のタイプ。
(注)
キャプティブ ポータルのみ、LDAP レルムをサポートします。
レルムの設定(Realm Configuration)フィールド
- Active Directory 情報
- Active Directory 情報のフィールドについては、このセクションの前半で説明しました。
- [ユーザ セッション タイムアウト(User Session Timeout)]
- ユーザ セッションがタイムアウトするまでの分数を入力します。デフォルトは 1440 分(24 時間)です。
(注) | ユーザ セッションのタイムアウト値は、アクティブ認証(キャプティブ ポータル)とパッシブ認証(TS エージェント、ISE、ISE-PIC)の両方に適用されます。大きな値を設定すると、ユーザ セッションが終了しない可能性があり、他のユーザによってこれらのセッションが要求される場合があります。 |
レルムのディレクトリ フィールド(Realm Directory Fields)
これらの設定は、レルム内の個々のサーバ(ディレクトリ)に適用されます。
- 暗号化(Encryption)
-
Firepower Management Center サーバ接続に使用する暗号化方式。
- ホスト名/IP アドレス(Hostname/IP Address)
-
サーバのホスト名または IP アドレス。[暗号化(Encryption)] 方式を指定する場合は、このフィールドでホスト名を指定します。
- [ポート(Port)]
-
Firepower Management Center サーバ接続に使用するポート。
- SSL 証明書(SSL Certificate)
-
サーバへの認証に使用する SSL 証明書。SSL 証明書を使用するにために、STARTTLS または LDAPS を [暗号化(Encryption)] タイプとして設定できます。
認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IP アドレス(Hostname/IP Address)] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用し、証明書内で computer1.example.com を使用した場合は、接続が失敗します。
ユーザのダウンロード(User Download)フィールド
- [使用可能なグループ(Available Groups)]、[含むに追加する(Add to Include)]、[除外するに追加する(Add to Exclude)]
-
ダウンロードし、ユーザ認識やユーザ制御に使用できるグループを特定します。
- 自動ダウンロードの開始、繰り返し設定(Begin automatic download at, Repeat every)
-
自動ダウンロードの回数を指定します。
- ユーザおよびグループのダウンロード(ユーザアクセス制御に必須)
-
ユーザ データの自動ダウンロードができます。
基本的なレルム情報の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
レルム設定フィールドの詳細については、レルム フィールドを参照してください。
次の作業
-
レルム ディレクトリの設定の説明に従ってレルム ディレクトリを設定します。
レルム ディレクトリの設定
この手順により、レルムを作成できます。レルムは Firepower Management Center と LDAP リポジトリ(Microsoft Active Directory など)の間の接続です。この接続を作成した後、ユーザとグループをダウンロードする必要があります。ユーザ制御ではこれらのユーザとグループのみを使用できます。
ユーザやグループが変更された場合、将来の任意の時点でそれをダウンロードできます。または、ユーザとグループのダウンロード の説明に従って自動ダウンロードを設定することもできます。
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator、Access Admin、Network Admin |
レルム設定フィールドの詳細については、レルム フィールドを参照してください。
オプションで SSL 証明書を使用してディレクトリで認証するには、Firepower Management Center のアクセス元となるマシンで証明書を作成するか、証明書データとキーを利用可能にします。
| ステップ 1 | まだ実行していない場合は、Firepower Management Center にログインし、[統合(Integration)] > [レルム(Realms)] をクリックします。 |
| ステップ 2 | [レルム(Realms)] タブ ページで、ディレクトリの設定対象となるレルムの名前をクリックします。 |
| ステップ 3 | [ディレクトリ(Directory)] タブ ページで、[ディレクトリの追加(Add Directory)] をクリックします。 |
| ステップ 4 | [サーバのホスト名/IP アドレス(Hostname / IP Address)] と [ポート(Port)] を入力します。 |
| ステップ 5 | [暗号化モード(Encryption Mode)] を選択します。 |
| ステップ 6 | (オプション)リストから [SSL 証明書(SSL Certificate)] を 1 つ選択するか、追加アイコン( )をクリックして証明書を追加します。 |
| ステップ 7 | 接続をテストするには、[テスト(Test)] をクリックします。 |
| ステップ 8 | [OK] をクリックします。 |
| ステップ 9 | [保存(Save)] をクリックします。[レルム(Realms)] タブ ページに戻ります。 |
| ステップ 10 | レルムをまだ有効にしていない場合は、[レルム(Realms)] タブ ページで、[状態(State)] を有効にします。 |
次の作業
ユーザとグループのダウンロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
このセクションでは、Active Directory サーバから Firepower Management Center にユーザとグループをダウンロードする方法について説明します。含めるグループを指定しなかった場合、システムは指定されたパラメータと一致するすべてのグループのユーザ データを取得します。パフォーマンス上の理由から、アクセス コントロールに使用するユーザを表すグループだけを明示的に含めることをお勧めします。
Firepower Management Center がサーバから取得可能なユーザの最大数は Firepower Management Center モデルによって異なります。レルムのダウンロード パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザ数を Message Center の [タスク(Task)] タブで報告します。
レルム設定フィールドの詳細については、レルム フィールドを参照してください。
| ステップ 1 | Firepower Management Center にログインします。 | ||
| ステップ 2 | [統合(Integration)] > [レルム(Realms)] をクリックします。 | ||
| ステップ 3 | ユーザとグループを手動でダウンロードするには、ユーザやユーザ グループをダウンロードするレルムの横にあるダウンロード アイコン( )をクリックします。コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。残りの手順をスキップできます。 | ||
| ステップ 4 | 自動でユーザとグループをダウンロードするようにレルムを設定するには、自動でユーザやグループをダウンロードするように設定するレルムの横にある編集アイコン( )をクリックします。 | ||
| ステップ 5 | [ユーザ アクセス制御(User Access Control)] タブ ページで、[(ユーザのアクセス コントロールに必要な)ユーザとグループをダウンロードする(Download users and groups (required for user access control))] チェックボックスをオンにします。 | ||
| ステップ 6 | ドロップダウン リストから [自動ダウンロードの開始時間(Begin automatic download at)] の時間を選択します。 | ||
| ステップ 7 | [繰り返し設定(Repeat Every)] ドロップダウン リストからダウンロード間隔を選択します。 | ||
| ステップ 8 | ダウンロードからユーザ グループを含めるか除外するには、[選択可能なグループ(Available Groups)] 列からユーザ グループを選択し、[含めるに追加(Add to Include)] または [除外に追加(Add to Exclude)] をクリックします。
複数のユーザはカンマで区切ります。このフィールドでは、アスタリスク(*)をワイルドカード文字として使用できます。
|
レルム ユーザ セッション タイムアウトの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator、Access Admin、Network Admin |
レルム設定フィールドの詳細については、レルム フィールドを参照してください。
(注) | 予期しない間隔でシステムがユーザ タイムアウトを実行していることに気付いたら、ユーザ エージェントまたは ISE サーバの時間が Firepower Management Centerの時間と同期されていることを確認します。 |
アイデンティティ ポリシーの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
-
レルムの作成の説明に従って 1 つ以上のレルムを作成し、有効にします。
| ステップ 1 | まだ Firepower Management Center にログインしていない場合は、ログインします。 |
| ステップ 2 | を選択し、[新しいポリシー(New Policy)] をクリックします。 |
| ステップ 3 | [名前(Name)] を入力し、必要に応じて [説明(Description)] を入力します。 |
| ステップ 4 | [保存(Save)] をクリックします。 |
| ステップ 5 | ポリシーにルールを追加するには、アイデンティティ ルールの作成で説明されているように、[ルールの追加(Add Rule)] をクリックします。 |
| ステップ 6 | ルール カテゴリを作成するには、アイデンティティ ルール カテゴリの追加で説明されているように、[カテゴリの追加(Add Category)] をクリックします。 |
| ステップ 7 | キャプティブ ポータルのアクティブ認証を設定するには、キャプティブ ポータル アイデンティティ ルールの設定で説明されているように、[アクティブ認証(Active Authentication)] タブをクリックします。 |
| ステップ 8 | [保存(Save)] をクリックして、アイデンティティ ポリシーを保存します。 |
次の作業
-
アクセス コントロール ポリシーとアイデンティティ ポリシーを関連付けます(アクセス制御への他のポリシーの関連付けを参照)。
-
設定変更を展開します。設定変更の導入を参照してください。
アイデンティティ ルールの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
詳細については、アイデンティティ ルール フィールドを参照してください。
-
アイデンティティ ポリシーの作成 の説明に従って、アイデンティティ ポリシーの設定を開始します。
| ステップ 1 | まだ実行していない場合は、Firepower Management Center にログインし、 を選択します。 | ||
| ステップ 2 | 編集するポリシーの横にある編集( )をクリックします。
| ||
| ステップ 3 | [ルールの追加(Add Rule)] をクリックします。 | ||
| ステップ 4 | 名前を入力します。 | ||
| ステップ 5 | ルールを有効にするかどうかを指定します。 | ||
| ステップ 6 | ルール カテゴリにルールを追加するには、ルールを挿入する場所を指定します。カテゴリ作成に関する詳細については、アイデンティティ ルール カテゴリの追加 を参照してください。 | ||
| ステップ 7 | リストからルール [アクション(Action)] を選択します。 | ||
| ステップ 8 | オプションで、アイデンティティ ルールへのゾーン条件の追加の説明に従ってゾーン条件を追加します。
| ||
| ステップ 9 | オプションで、アイデンティティ ルールへのネットワークまたは位置情報条件の追加の説明に従ってネットワークまたは位置情報の条件を追加します。 | ||
| ステップ 10 | アイデンティティ ルールへの VLAN タグ条件の追加の説明に従って、オプションで VLAN タグの条件を追加します。 | ||
| ステップ 11 | オプションで、アイデンティティ ルールへのポート条件の追加の説明に従ってポート条件を追加します。 システムは、非 TCP トラフィックでキャプティブ ポータル アクティブ認証を実施できません。アイデンティティ ルール アクションが [アクティブ認証(Active Authentication)] である(キャプティブ ポータルを使用している)か、[パッシブ認証でユーザを識別できない場合にアクティブ認証を使用(Use active authentication if passive authentication cannot identify user)] チェックボックスをオンにしている場合は、TCP ポートの制約のみを使用します。アイデンティティ ルール アクションが [パッシブ認証(Passive Authentication)] または [認証なし(No Authentication)] である場合、非 TCP トラフィックに基づいてポート条件を作成できます。 | ||
| ステップ 12 | アイデンティティ ルールとレルムの関連付けの説明に従ってルールをレルムに関連付けます。 | ||
| ステップ 13 | キャプティブ ポータル アイデンティティ ルールの設定 の説明に従って、オプションでキャプティブ ポータル設定を構成します。 | ||
| ステップ 14 | [追加(Add)] をクリックします。 | ||
| ステップ 15 | [保存(Save)] をクリックします。 |
次の作業
-
アイデンティティ ポリシーの作成 の説明に従って、アイデンティティ ポリシーの設定を続行します。
アイデンティティ ルール フィールド
次のフィールドを使用して、アイデンティティ ルールを設定します。
- [有効(Enabled)]
-
このオプションを選択すると、アイデンティティ ポリシーのアイデンティティ ルールが有効になります。このオプションの選択を解除すると、アイデンティティ ルールが無効になります。
- アクション(Action)
-
指定されたレルムでユーザに実行する認証のタイプを指定します。[パッシブ認証(Passive Authentication)](デフォルト)、[アクティブ認証(Active Authentication)]、または [認証なし(No Authentication)] を選択します。アイデンティティ ルールのアクションとして選択する前に、認証方式、またはアイデンティティ ソースを完全に設定する必要があります。
注意
SSL 復号が無効の場合(つまりアクセス コントロール ポリシーに SSL ポリシーが含まれない場合)に、アクティブな最初の認証ルールを追加するか、アクティブな最後の認証ルールを削除すると 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。Firepower システムのバージョンでサポートされるパッシブおよびアクティブ認証方式の詳細については、ユーザ アイデンティティ ソースについてを参照してください。
- レルム
-
指定されたアクションを実行するユーザが含まれるレルム。アイデンティティ ルールのレルムとして選択する前に、レルムを完全に設定する必要があります。
- 認証でユーザを識別できない場合は特別 ID/ゲストとして識別する(Identify as Special Identities/Guest if authentication cannot identify user)
-
ルール アクションとして [アクティブ認証(Active Authentication)](つまり、キャプティブ ポータル認証)を設定する場合にのみ、このフィールドが表示されます。
- 認証タイプ
-
キャプティブ ポータル アクティブ認証を実行するために使用する方法です。選択は、レルム、LDAP、または AD のタイプによって異なります。
-
NT LAN Manager(NTLM)接続を使用してユーザを認証するには NTLM を選択します。この選択は AD レルムを選択するときにのみ使用できます。透過的な認証がユーザのブラウザで設定されている場合、ユーザは自動的にログインします。透過的な認証が設定されていない場合、ユーザは各自のブラウザでデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。
キャプティブ ポータル サーバが認証接続に HTTP 基本認証または NTLM を選択できるようにするには、[HTTP ネゴシエート(HTTP Negotiate)] を選択します。この選択は AD レルムを選択するときにのみ使用できます。
(注)
HTTP ネゴシエート キャプティブ ポータルを実行するアイデンティティ ルールを作成しようとしており、DNS 解決は設定済みである場合は、キャプティブ ポータル デバイスの完全修飾ドメイン名(FQDN)を解決する DNS サーバを設定する必要があります。FQDN は、DNS 設定時に指定したホスト名と一致する必要があります。
ASA with FirePOWER Services および Firepower Threat Defense デバイスの場合、FQDN は、キャプティブ ポータルに使用されるルーテッド インターフェイスの IP アドレスに解決される必要があります。
-
システムで提供されている、またはカスタムの HTTP 応答ページを使用してユーザを認証する場合は、[HTTP 応答ページ(HTTP Response Page)] を選択します。ユーザは設定された応答ページを使用してネットワークにログインします。
アイデンティティ ルールへのネットワークまたは位置情報条件の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | アイデンティティ ルール エディタ ページで、[ネットワーク(Networks)] タブを選択します。 |
| ステップ 2 | [利用可能なネットワーク(Available Networks)] から、次のように追加するネットワークを見つけます。 |
| ステップ 3 | オブジェクトを選択するには、そのオブジェクトをクリックします。すべてのオブジェクトを選択するには、右クリックして [すべて選択(Select All)] を選択します。 |
| ステップ 4 | [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックします。 |
| ステップ 5 | 手動で指定する送信元または宛先 IP アドレスまたはアドレス ブロックを追加します。[送信元ネットワーク(Source Networks)] リストまたは [宛先ネットワーク(Destination Networks)] リストの下にある [IP アドレスの入力(Enter an IP address)] プロンプトをクリックし、1 つの IP アドレスまたはアドレス ブロックを入力して [追加(Add)] をクリックします。 |
| ステップ 6 | [追加(Add)] をクリックするか、ルールの編集を続けます。 |
次の作業
-
アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールの作成を続けます。
アイデンティティ ルールへのポート条件の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Admin |
(注) | システムは、非 TCP トラフィックでキャプティブ ポータル アクティブ認証を実施できません。アイデンティティ ルール アクションが [アクティブ認証(Active Authentication)] である(キャプティブ ポータルを使用している)か、[パッシブ認証でユーザを識別できない場合にアクティブ認証を使用(Use active authentication if passive authentication cannot identify user)] チェックボックスをオンにしている場合は、TCP ポートの制約のみを使用します。アイデンティティ ルール アクションが [パッシブ認証(Passive Authentication)] または [認証なし(No Authentication)] である場合、非 TCP トラフィックに基づいてポート条件を作成できます。 |
| ステップ 1 | アイデンティティ ルール エディタで、[ポート(Ports)] タブをクリックします。 |
| ステップ 2 | [使用可能なポート(Available Ports)] リストで、追加する事前定義されたポートを見つけて選択します。 |
| ステップ 3 | [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックするか、ドラッグ アンド ドロップします。 |
| ステップ 4 | 手動で指定する送信元ポートまたは宛先ポートを追加します。
|
| ステップ 5 | ルールを保存するか、編集を続けます。 |
次の作業
-
アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールの作成を続けます。
アイデンティティ ルールへの VLAN タグ条件の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator、Access Admin、Network Admin |
| ステップ 1 | アイデンティティ ルール エディタ ページで、[VLAN タグ(VLAN Tags)] タブを選択します。 |
| ステップ 2 | [利用可能な VLAN タグ(Available VLAN Tags)] で、次のように追加する VLAN を見つけます。
|
| ステップ 3 | オブジェクトを選択するには、そのオブジェクトをクリックします。すべてのオブジェクトを選択するには、右クリックして [すべて選択(Select All)] を選択します。 |
| ステップ 4 | [ルールに追加(Add to Rule)] をクリックします。 |
| ステップ 5 | 手動で指定する VLAN タグを追加します。[選択した VLAN タグ(Selected VLAN Tags)] リストの下にある [VLAN タグの入力(Enter a VLAN Tag)] プロンプトをクリックし、VLAN タグまたはその範囲を入力して、[追加(Add)] をクリックします。1 から 4094 までの任意の VLAN タグを指定できます。VLAN タグの範囲を指定するにはハイフンを使用します。 |
| ステップ 6 | [追加(Add)] をクリックするか、ルールの編集を続けます。 |
次の作業
-
アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールの作成を続けます。
アイデンティティ ルールへのゾーン条件の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
(注) | キャプティブ ポータルに使用する予定のデバイスにインライン インターフェイスとルーテッド インターフェイスの両方が含まれる場合、キャプティブ ポータル デバイス上でルーテッド インターフェイスだけを対象とするようにキャプティブ ポータル アイデンティティ ルールでゾーン条件を設定する必要があります。 セキュリティ ゾーンの詳細については、セキュリティ ゾーンを参照してください。 |
-
セキュリティ ゾーン オブジェクトの作成 の説明に従って、セキュリティ ゾーンを設定します。
| ステップ 1 | アイデンティティ ルール エディタ ページで、[ゾーン(Zones)] タブを選択します。 |
| ステップ 2 | [利用可能なゾーン(Available Zones)] から追加するゾーンを見つけます。追加するゾーンを検索するには、[利用可能なゾーン(Available Zones)] リストの上にある [名前で検索(Search by name)] プロンプトをクリックし、ゾーン名を入力します。入力すると、リストが更新されて一致するゾーンが表示されます。 |
| ステップ 3 | クリックすると、ゾーンを選択できます。すべてのゾーンを選択するには、右クリックして [すべて選択(Select All)] を選択します。 |
| ステップ 4 | [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックします。 |
| ステップ 5 | [追加(Add)] をクリックするか、ルールの編集を続けます。 |
次の作業
-
アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールの作成を続けます。
アイデンティティ ルールとレルムの関連付け
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
レルムを各アイデンティティ ルールに関連付けて、指定したアイデンティティ ルールの [アクション(Action)] を使用して認証するユーザを識別する必要があります。
-
レルムの作成 の説明に従って 1 つ以上のレルムを作成します。
| ステップ 1 | まだ実行していない場合は、アイデンティティ ルールの作成 を参照してください。 |
| ステップ 2 | アイデンティティ ルール エディタ ページで、[レルムおよび設定(Realm & Settings)] タブを選択します。 |
| ステップ 3 | リストから [レルム(Realm)] を選択します。 |
| ステップ 4 | [追加(Add)] をクリックするか、ルールの編集を続けます。 |
次の作業
-
アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールの作成を続けます。
レルムの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
| ステップ 1 | Firepower Management Center にログインします。 |
| ステップ 2 | をクリックします。 |
| ステップ 3 | [レルム(Realms)] をクリックします。 |
| ステップ 4 | レルムを削除するには、削除アイコン( )をクリックします。 |
| ステップ 5 | レルムを編集するには、レルムの横にある編集アイコン()をクリックし、レルムの作成の説明に従って変更を行います。 |
| ステップ 6 | レルムを有効にするには、[状態(State)] を右にスライドします。レルムを無効にするには、左にスライドします。 |
| ステップ 7 | ユーザおよびユーザ グループをダウンロードするには、ダウンロード アイコン()をクリックします。 |
| ステップ 8 | レルムをコピーするには、コピー アイコン( )をクリックします。 |
| ステップ 9 | レルムを比較する方法については、レルムの比較を参照してください。 |
レルムの比較
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator、Security Approver、Access Admin、Network Admin |
| ステップ 1 | Firepower Management Center にログインします。 |
| ステップ 2 | をクリックします。 |
| ステップ 3 | [レルム(Realms)] をクリックします。 |
| ステップ 4 | をクリックします。 |
| ステップ 5 | [レルム(Realms)] をクリックします。 |
| ステップ 6 | [レルムの比較(Compare Realms)] をクリックします。 |
| ステップ 7 | [比較対象(Compare Against)] リストから [レルムの比較(Compare Realm)] を選択します。 |
| ステップ 8 | [レルム A(Realm A)] および [レルム B(Realm B)] リストから比較するレルムを選択します。 |
| ステップ 9 | [OK] をクリック |
| ステップ 10 | 個々の変更を選択するには、タイトル バーの上の [前へ(Previous)] または [次へ(Next)] をクリックします。 |
| ステップ 11 | (オプション)[比較レポート(Comparison Report)] をクリックして、レルム比較レポートを生成します。 |
| ステップ 12 | (オプション)[新しい比較(New Comparison)] をクリックして、新しいレルム比較ビューを生成します。 |
オンデマンドでのユーザとユーザ グループのダウンロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator、Access Admin、Network Admin |
レルムのユーザ ダウンロード パラメータまたはグループ ダウンロード パラメータを変更する場合、またはサーバでユーザまたはグループを変更して変更をユーザ制御にすぐに反映させる場合は、サーバからのオンデマンド ユーザ ダウンロードの実行を Firepower Management Centerに強制できます。
Firepower Management Center がサーバから取得可能なユーザの最大数は Firepower Management Center モデルによって異なります。レルムのダウンロード パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザ数を Message Center の [タスク(Task)] タブで報告します。
-
次の説明に従い、レルムを有効にします。 レルムの有効化または無効化
次の作業
-
必要に応じて、タスクのステータスをモニタします(タスク メッセージの表示 を参照)。
レルムの有効化または無効化
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
レルムを無効にすると、システムはユーザ ダウンロードのサーバへのクエリを停止し、アイデンティティ ルールでレルムを使用できないようにします。
次の作業
-
必要に応じて、タスクのステータスをモニタします(タスク メッセージの表示 を参照)。
アイデンティティ ポリシーの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
| ステップ 1 | まだ Firepower Management Center にログインしていない場合は、ログインします。 |
| ステップ 2 | を選択します。 |
| ステップ 3 | ポリシーを削除するには、削除()をクリックします。コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | ポリシーを編集するには、ポリシーの横にある編集()をクリックし、アイデンティティ ポリシーの作成 の説明に従って変更を行います。代わりに表示アイコン( )が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 5 | ポリシーをコピーする場合は、コピー アイコン()をクリックします。 |
| ステップ 6 | ポリシーのレポートを生成する場合は、現在のポリシー レポートの生成の説明に従って、レポート アイコン( )をクリックします。 |
| ステップ 7 | ポリシーを比較する場合は、ポリシーの比較を参照してください。 |
アイデンティティ ルールの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | 編集するポリシーの横にある編集アイコン()をクリックします。代わりに表示アイコン()が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 3 | アイデンティティ ルールを編集する場合は、編集アイコン()をクリックし、アイデンティティ ポリシーの作成の説明に従って変更を行います。 |
| ステップ 4 | アイデンティティ ルールを削除する場合は、削除アイコン()をクリックします。 |
| ステップ 5 | ルール カテゴリを作成する場合は、アイデンティティ ルール カテゴリの追加 を参照してください。 |
| ステップ 6 | [保存(Save)] をクリックします。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
アイデンティティ ルール カテゴリの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
Control |
任意(Any) |
任意(Any) |
Administrator/Access Admin/Network Admin |
| ステップ 1 | アイデンティティ ポリシーの編集時に、[カテゴリの追加(Add Category)] をクリックします。 |
| ステップ 2 | カテゴリの [名前(Name)] を入力します。 |
| ステップ 3 | 新しいカテゴリを [挿入(Insert)] する場所を次のように指定します。
|
| ステップ 4 | [OK] をクリックします。 |
| ステップ 5 | ポリシーの編集を続けます。 |
フィードバック