Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: Firepower システム ユーザ管理
Firepower システム ユーザ管理
次のトピックでは、管理アクセス権を持つユーザが Firepower システム内のユーザ アカウントを管理する方法について説明します。
ユーザの役割
Firepower システムでは、ユーザのロールに基づいてユーザ特権を割り当てることができます。たとえば、アナリストに対して Security Analyst や Discovery Admin などの事前定義ロールを付与し、Firepower システムを管理するセキュリティ管理者に対して Administrator ロールを予約することができます。また、組織のニーズに合わせて調整されたアクセス権限を含むカスタム ユーザ ロールを作成することもできます。
管理対象デバイスのプラットフォーム設定ポリシーでは、そのデバイスからの外部で認証されたすべてのユーザのデフォルト アクセス ロールを設定します。外部認証ユーザの初回ログイン後に、[ユーザ管理(User Management)] ページでそのユーザのアクセス権を追加または削除できます。ユーザの権限を変更しない場合、そのユーザにはデフォルトで付与される権限のみが設定されます。内部認証ユーザは手動で作成されるため、内部認証ユーザの作成時にアクセス権を設定します。
LDAP グループを使用したアクセス権の管理を設定した場合、ユーザのアクセス権は LDAP グループのそのメンバーシップに基づきます。属しているグループの中で最も高いレベルのアクセスを持つグループのデフォルト アクセス権が付与されます。ユーザがどのグループにも属していない場合にグループ アクセスを設定していた場合、ユーザには、LDAP サーバの認証オブジェクトで設定されているデフォルト ユーザ アクセス権が付与されます。グループ アクセスを設定すると、それらの設定によってプラットフォーム設定ポリシーのデフォルト アクセス設定がオーバーライドされます。
同様に、RADIUS 認証オブジェクトの特定のユーザ ロール リストにユーザを割り当てると、1 つ以上のロールが相互に矛盾しない限り、割り当てられたすべてのロールがそのユーザに付与されます。2 つの相互に矛盾するロールのリストにユーザが含まれている場合、最も高いレベルのアクセスを持つロールが付与されます。ユーザがどのリストにも属しておらず、認証オブジェクトでデフォルト アクセス ロールを設定している場合、そのユーザにはそのデフォルト アクセス ロールが付与されます。認証オブジェクトでデフォルト アクセスを設定すると、それらの設定によってプラットフォーム設定ポリシーのデフォルト アクセス設定がオーバーライドされます。
マルチドメイン展開では、複数のドメインでユーザ ロールを割り当てることができます。たとえば、ユーザにグローバル ドメインでは読み取り専用権限を割り当て、サブドメインでは管理者権限を割り当てることができます。
定義済みのユーザ ロール
Firepower System では、組織のニーズを満たすために、アクセス権限セットの範囲を提供する 10 の定義済みのユーザ ロールを含みます。7000 および 8000 シリーズ デバイスは、10 の定義済みユーザ ロールのうちの 3 つ(管理者、メンテナンス ユーザ、セキュリティ アナリスト)のみにアクセスする点にご注意ください。
定義済みユーザ ロールは編集できませんが、カスタム ユーザ ロールの基準として、アクセス特権セットを使用できます。また、別のユーザ ロールに対して段階的に増やすように設定できません。
- アクセス管理者(Access Admin)
-
[ポリシー(Policies)] メニューでアクセス制御ポリシー機能や関連する機能へのアクセスが可能です。アクセス管理者は、ポリシーを展開できません。
- 管理者(Administrator)
-
解析およびレポート機能、ルールおよびポリシー コンフィギュレーション機能、システム管理機能、すべてのメンテナンス機能へのアクセスが可能です。管理者は、ポリシーを含むデバイスへの設定変更も展開できます。管理者は、すべてのメニュー オプションにアクセスします。侵害された場合には、これらのセッションには高いセキュリティ リスクが存在するため、ログイン セッションがタイムアウトする可能性があります。
セキュリティ上の理由から、管理者ロールの使用を制限する必要があります。
- 検出管理者(Discovery Admin)
-
[ポリシー(Policies)] メニューのネットワーク検出機能、アプリケーション検出機能、相関機能にアクセス可能です。検出管理者は、ポリシーを展開できません。
- 外部データベースのユーザ(External Database User)
-
JDBC SSL 接続に対応しているアプリケーションを用いて、Firepower System データベースに対して読取り専用のアクセスが可能です。Firepower システム アプライアンスの認証を行うサードパーティのアプリケーションについては、システム設定内でデータベースへのアクセスを有効にする必要があります。Web インターフェイスでは、外部データベース ユーザは、[ヘルプ(Help)] メニューのオンライン ヘルプ関連のオプションのみにアクセスできます。このロールの機能は、web インターフェイスに搭載されていないため、サポートやパスワードの変更を容易にするためにのみアクセスが可能です。
- 侵入管理者(Intrusion Admin)
-
[ポリシー(Policies)] メニューと [オブジェクト(Objects)] メニューの侵入ポリシー機能、侵入ルール機能、ネットワーク分析ポリシー機能のすべてにアクセスが可能です。侵入管理者は、ポリシーを展開できません。
- メンテナンス ユーザ(Maintenance User)
-
監視機能やメインテナンス機能へのアクセスが可能です。メンテナンス ユーザは、[ヘルス(Health)] メニューや [システム(System)] メニューのメンテナンス関連オプションにアクセスできます。
- ネットワーク管理者(Network Admin)
-
[ポリシー(Policies)] メニューのアクセス制御機能、SSL インスペクション機能、DNS ポリシー機能、アイデンティティ ポリシー機能、および [デバイス(Devices)] メニューのデバイス設定機能へのアクセスが可能です。ネットワーク管理者は、デバイスへの設定の変更を展開できます。
- セキュリティ アナリスト(Security Analyst)
-
セキュリティ イベント分析機能へのアクセスと [概要(Overview)] メニュー、[分析(Analysis)] メニュー、[ヘルス(Health)] メニュー、[システム(System)] メニューのヘルス イベントに対する読み取り専用のアクセスが可能です。
- セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))
-
[概要(Overview)] メニュー、[分析(Analysis)] メニュー、[ヘルス(Health)] メニュー、[システム(System)] メニューのセキュリティ イベント分析機能とヘルス イベント機能への読み取り専用アクセスを提供します。
- セキュリティ承認者(Security Approver)
-
[ポリシー(Policies)] メニューのアクセス制御ポリシーや関連のあるポリシー、ネットワーク検出ポリシーへの制限付きのアクセスが可能です。セキュリティ承認者はこれらのポリシーを表示し、展開できますが、ポリシーを変更することはできません。
外部認証ユーザは、他のロールを割当てられていない場合、LDAP または RADIUS 認証オブジェクトの設定やプラットフォーム設定に基づいて、最低限のアクセス権を有します。追加の権利を外部ユーザに割り当てることはできますが、最低限のアクセス権を削除するまたは変更するには、以下のタスクを実施する必要があります。
カスタム ユーザ ロール
事前定義ユーザ ロールの他に、特定の分野に特化したアクセス権限を含むカスタム ユーザ ロールを作成できます。カスタム ユーザ ロールには、メニューベースのアクセス許可およびシステム アクセス許可の任意のセットを割り当てることができます。また、最初から独自に作成したり、事前定義されたユーザ ロールを基に作成したりできます。事前定義ユーザ ロールと同様に、カスタム ロールは外部認証ユーザのデフォルト ロールとして使用できます。事前定義ロールとは異なり、カスタム ロールは変更、削除できます。
選択可能なアクセス許可は階層構造になっており、Firepower システムのメニュー レイアウトに基づいています。アクセス許可にサブページが含まれているか、または単純なページ アクセスよりも詳細なアクセス許可が含まれている場合、このアクセス許可は拡張可能です。その場合、親のアクセス許可によって、ページ ビュー アクセス、およびそのページの関連機能への詳細な子のアクセス権が付与されます。「管理(Manage)」という単語が含まれているアクセス許可は、他のユーザが作成する情報を編集および削除できる権限を付与します。
 ヒント | メニュー構造に含まれていないページまたは機能の権限は、親または関連ページにより付与されます。たとえば、侵入ポリシーの変更(Modify Intrusion Policy)権限があれば、ネットワーク分析ポリシーの変更もできます。 |
カスタム ユーザ ロールに制限付き検索を適用できます。これにより、イベント ビューアでユーザに対して表示されるデータが制限されます。制限付き検索を設定するには、最初に、プライベートの保存済み検索を作成し、該当するメニュー ベースのアクセス許可の下で [制限付き検索(Restricted Search)] ドロップダウン メニューからその検索を選択します。
Firepower Management Center でカスタム ユーザ ロールを設定するときには、すべてのメニュー ベースのアクセス許可を付与できます。管理対象デバイスでカスタム ユーザ ロールを設定するときには、デバイス機能に関連する一部のアクセス許可だけを使用できます。
[システム許可(System Permissions)] で選択できるオプションでは、外部データベースに対してクエリを実行したり、対象ユーザ ロールのアクセス許可にエスカレーションしたりすることができるユーザ ロールを作成できます。
オプションで、新しいカスタム ユーザ ロールを作成する代わりに、別のアプライアンスからカスタム ユーザ ロールをエクスポートし、ご使用のアプライアンスにインポートできます。インポートしたロールは、適用する前に、ニーズに合わせて編集できます。
例:カスタム ユーザ ロールとアクセス制御
アクセス制御関連機能のカスタム ユーザ ロールを作成して、Firepower システムのユーザのアクセス制御および関連付けられたポリシーの表示、変更権限の有無を指定できます。
次の表に、作成可能なカスタム ロールと例として挙げたロールでそれぞれ与えられるユーザ権限を示します。表にはそれぞれのカスタム ロールに必要な権限が記載されています。この例では、ポリシー承認者(Policy Approver)はアクセス コントロール ポリシーと侵入ポリシーの表示が可能です(変更はできません)。また、ポリシー承認者は設定の変更をデバイスに展開することもできます。
|
例:ポリシー承認者(Policy Approver) |
|||
|---|---|---|---|
|
Yes |
|||
|
Yes |
|||
|
No |
|||
|
Yes |
|||
|
No |
|||
|
設定をデバイスに展開 |
No |
No |
Yes |
ユーザ アカウントの権限
ここでは、Firepower システムでの設定可能なユーザ アクセス許可と、それらのアクセス許可にアクセスできる事前定義ユーザ ロールの一覧を示します。管理対象デバイスでは使用できないアクセス許可があります。Firepower Management Center でのみ使用可能なアクセス許可には、そのようにマークが付いています。
- [概要(Overview)] メニュー
- [分析(Analysis)] メニュー
- ポリシー メニュー
- [デバイス(Devices)] メニュー
- [オブジェクト マネージャ(Object Manager)] メニュー
- Cisco AMP
- デバイスへの設定の展開
- [システム(System)] メニュー
- [ヘルプ(Help)] メニュー
[概要(Overview)] メニュー
次の表は、[概要(Overview)] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示しています。Security Approver、Discovery Admin、Intrusion Admin、Access Admin、Network Admin、および External Database User の各ロールには、[概要(Overview)] メニューでのアクセス許可がありません。
[分析(Analysis)] メニュー
次の表に、[分析(Analysis)] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、そのユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示します。異なる見出しの下に複数回出現する権限は、最初に出現する表にのみ示されています。ただし、サブメニューの見出しを示す場合を除きます。Security Approver、Intrusion Admin、Access Admin、Network Admin、および External Database User の各ロールには、[分析(Analysis)] メニューに対する権限はありません。[分析(Analysis)] メニューは Firepower Management Center でのみ使用可能です。
ポリシー メニュー
次の表には、ポリシー メニューのそれぞれのオプションへのアクセスに必要なユーザ ロールの権限や、ユーザ ロールがポリシー メニューのサブパーミッションにアクセス可能であるかを順番に示します。外部データベース ユーザ、メンテナンス ユーザ、セキュリティ アナリスト、セキュリティ アナリスト(読取り専用)ロールには、ポリシー メニューの権限はありません。ポリシー メニューは、Firepower Management Center でのみ利用可能です。
侵入ポリシーおよび「侵入ポリシーの変更」の権限により、ネットワーク アナリシス ポリシーの作成および変更が可能になる点にご注意ください。
|
DNS ポリシー(DNS Policy) |
Yes |
Yes |
No |
No |
Yes |
Yes |
|
DNS ポリシーの変更(Modify DNS Policy) |
Yes |
Yes |
No |
No |
Yes |
No |
|
アイデンティティ ポリシー(Identity Policy) |
Yes |
Yes |
No |
No |
Yes |
No |
|
アイデンティティ ポリシーの変更(Modify Identity Policy) |
Yes |
Yes |
No |
No |
Yes |
No |
|
管理者ルールの変更(Modify Administrator Rules) |
Yes |
Yes |
No |
No |
Yes |
No |
|
ルート ルールの変更(Modify Root Rules) |
Yes |
Yes |
No |
No |
Yes |
No |
|
SSL ポリシー(SSL Policy) |
Yes |
Yes |
No |
No |
Yes |
Yes |
|
SSL ポリシーの変更(Modify SSL Policy) |
Yes |
Yes |
No |
No |
Yes |
No |
|
管理者ルールの変更(Modify Administrator Rules) |
Yes |
Yes |
No |
No |
Yes |
No |
|
ルート ルールの変更(Modify Root Rules) |
Yes |
Yes |
No |
No |
Yes |
No |
|
カスタム フィンガープリントの変更(Modify Custom Fingerprinting) |
No |
Yes |
Yes |
No |
No |
No |
|
カスタム トポロジの変更(Modify Custom Topology) |
No |
Yes |
No |
No |
No |
No |
|
アプリケーション ディテクタの変更(Modify Application Detectors) |
No |
Yes |
Yes |
No |
No |
No |
|
ユーザ サードパーティ マッピングの変更(Modify User 3rd Party Mappings) |
No |
Yes |
No |
No |
No |
No |
|
カスタム製品マッピングの変更(Modify Custom Product Mappings) |
No |
Yes |
No |
No |
No |
No |
|
ポリシーの管理の変更(Modify Policy Management) |
No |
Yes |
Yes |
No |
No |
No |
| ルールの管理の変更(Modify Rule Management) |
No |
Yes |
Yes |
No |
No |
No |
|
ホワイトリストの変更(Modify White List) |
No |
Yes |
Yes |
No |
No |
No |
|
トラフィック プロファイルの変更(Modify Traffic Profiles) |
No |
Yes |
Yes |
No |
No |
No |
|
影響度フラグ アラートの変更(Modify Impact Flag Alerts) |
No |
Yes |
Yes |
No |
No |
No |
|
検出イベント アラートの変更(Modify Discovery Event Alerts) |
No |
Yes |
Yes |
No |
No |
No |
|
E メール |
No |
Yes |
No |
Yes |
No |
No |
|
E メールの変更(Modify Email) |
No |
Yes |
No |
Yes |
No |
No |
|
アラートの変更(Modify Alerts) |
No |
Yes |
Yes |
No |
No |
No |
|
スキャナの変更(Modify Scanners) |
No |
Yes |
Yes |
No |
No |
No |
|
グループの変更(Modify Groups) |
No |
Yes |
Yes |
No |
No |
No |
|
モジュールの変更(Modify Modules) |
No |
Yes |
Yes |
No |
No |
No |
|
インスタンスの変更(Modify Instances) |
No |
Yes |
Yes |
No |
No |
No |
[デバイス(Devices)] メニュー
[Devices(デバイス)] メニューの表には、[デバイス(Devices)] メニューの各オプションとそのサブ権限にアクセスするために必要なユーザ ロール特権を順に示します。検出管理者、外部データベース ユーザ、侵入管理者、メンテナンス ユーザ、セキュリティ アナリスト、セキュリティ アナリスト(読取り専用)ロールには、ポリシー メニューの権限はありません。[デバイス(Devices)] メニューは Firepower Management Center でのみ使用可能です。
|
メニュー |
アクセス管理者 |
管理者 |
ネットワーク管理者 |
セキュリティ承認者 |
|---|---|---|---|---|
|
デバイス管理 |
No |
Yes |
Yes |
Yes |
|
デバイスの変更(Modify Devices) |
No |
Yes |
Yes |
No |
|
NAT |
Yes |
Yes |
Yes |
Yes |
|
NAT リスト(NAT List) |
Yes |
Yes |
Yes |
Yes |
|
NAT ポリシーの変更(Modify NAT Policy) |
Yes |
Yes |
Yes |
No |
|
VPN |
No |
Yes |
Yes |
Yes |
|
VPN の変更(Modify VPN) |
No |
Yes |
Yes |
No |
|
デバイス管理 |
No |
Yes |
Yes |
No |
|
デバイスの変更(Modify Devices) |
No |
Yes |
Yes |
No |
[オブジェクト マネージャ(Object Manager)] メニュー
[オブジェクト マネージャ(Object Manager)] メニューの表には、[オブジェクト マネージャ(Object Manager)] メニューの各オプションとそのサブ権限にアクセスするために必要なユーザ ロール特権を順に示します。Discovery Admin、Security Approver、Maintenance User、External Database User、Security Analyst、および Security Analyst(読み取り専用)の各ロールには、[オブジェクト マネージャ(Object Manager)] メニューでのアクセス許可がありません。[オブジェクト マネージャ(Object Manager)] メニューは Firepower Management Center でのみ使用可能です。
|
アクセス管理者 |
侵入管理者 |
|||
|---|---|---|---|---|
|
Yes |
No |
|||
|
No |
Yes |
|||
|
No |
Yes |
|||
|
Yes |
No |
|||
|
No |
No |
Cisco AMP
Cisco AMP 権限は、Administrator ユーザ ロールのみに対して使用可能です。この権限は、Firepower Management Center でのみ使用可能です。
デバイスへの設定の展開
デバイスに設定を展開する権限は、Administrator、Network Admin、および Security Approver のロールで使用できます。この権限は、Firepower Management Center でのみ使用可能です。
[システム(System)] メニュー
次の表は、[システム(System)] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示します。外部データベース ユーザ ロールには、[システム(System)] メニューへのアクセス許可が与えられません。
[ヘルプ(Help)] メニュー
[ヘルプ(Help)] メニューとその権限には、すべてのユーザ ロールがアクセスできます。[ヘルプ(Help)] メニュー オプションを制限することはできません。
ユーザ ロールの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
Firepower システムの各ユーザは、ユーザ アクセス ロール(1 つまたは複数)に関連付けられています。これに該当するユーザ ロールには、システムのメニューなどのオプションへのアクセスを決定する権限が割り当てられます。たとえばアナリストは、ネットワークのセキュリティを分析するためにイベント データへのアクセスが必要ですが、Firepower システム自体の管理機能へのアクセスが必要になることはありません。アナリストには Security Analyst のアクセス権を付与し、Firepower システムを管理する 1 人以上のユーザに対して Administrator ロールを予約しておくことができます。
Firepower システムには、さまざまな管理者およびアナリスト用に設計された 10 個の事前定義のユーザ ロールが用意されています。これらの事前定義のユーザ ロールには、事前設定されたアクセス権限のセットが含まれています。
より詳細なアクセス権限を使用して、カスタムのユーザ ロールを作成することもできます。
また、あるユーザ ロールがイベント ビューアで表示できるデータを制限するために、そのロールに制限付きの検索を適用することもできます。制限付きアクセスを使用してカスタム ロールを作成するには、[権限に基づくメニュー(Menu Based Permissions)] リストから制限するテーブルを選択し、次に [制限付き検索(Restrictive Search)] ドロップダウンリストからプライベート保存検索を選択します。
事前定義のユーザ ロールは削除できませんが、不要になったカスタム ロールは削除できます。カスタム ロールを完全に削除することなく無効にするには、削除する代わりに非アクティブ化します。自分のユーザ ロール、またはプラットフォーム設定ポリシーでデフォルト ユーザ ロールとして設定されているロールは削除できない点に注意してください。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [ユーザロール(User Roles)] タブをクリックします。 | ||
| ステップ 3 | ユーザ ロールを管理します。
|
)をクリックします。ユーザ ロールのアクティブおよび非アクティブの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
事前定義ユーザ ロールは削除できませんが、非アクティブにすることができます。ロールを非アクティブにすると、そのロールが割り当てられているすべてのユーザから、そのロールと関連するアクセス許可が削除されます。
マルチドメイン展開では、現在のドメインで作成されたカスタム ユーザ ロールが表示されます。これは編集できます。先祖ドメインで作成されたカスタム ユーザ ロールも表示されますが、これは編集できません。下位のドメインのカスタム ユーザ ロールを表示および編集するには、そのドメインに切り替えます。
 注意 | 非アクティブにされたロールが、特定のユーザに割り当てられていた唯一のロールである場合、そのユーザはログインして [User Preferences] メニューにアクセスできますが、Firepower System にはアクセスできません。 |
カスタム ユーザ ロールの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [ユーザロール(User Roles)] タブをクリックします。 |
| ステップ 3 | [ユーザ ロールの作成(Create User Role)] をクリックします。 |
| ステップ 4 | [名前(Name)] フィールドに、新しいユーザ ロールの名前を入力します。ユーザ ロール名では、大文字と小文字が区別されます。 |
| ステップ 5 | オプションで、[説明(Description)] を追加します。 |
| ステップ 6 | 新しいロールのメニューベースのアクセス許可を選択します。
アクセス許可を選択すると、その下位にあるアクセス許可もすべて選択され、複数値を持つアクセス許可では最初の値が使用されます。上位のアクセス許可をクリアすると、下位のアクセス許可もすべてクリアされます。アクセス許可を選択しても、下位のアクセス許可を選択しない場合、アクセス許可がイタリックのテキストで表示されます。 カスタム ロールのベースとして使用する事前定義ユーザ ロールをコピーすると、その事前定義ロールに関連付けられているアクセス許可が事前選択されます。 |
| ステップ 7 | 必要に応じて、[外部データベース アクセス(External Database Access)] チェックボックスをオンまたはオフにして、新規ロールのデータベース アクセス権限を設定します。 |
| ステップ 8 | エスカレーションに使用するカスタム ユーザ ロールの設定の説明に従って、必要に応じて Firepower Management Center で、新規ユーザ ロールのエスカレーション アクセス許可を設定します。 |
| ステップ 9 | [保存(Save)] をクリックします。 |
ユーザ ロールのコピー
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
新しいカスタム ロールのベースとして使用する既存のロールをコピーできます。これにより、ユーザ ロール エディタで既存のロールの権限が事前に選択されるので、あるロールをモデルとして別のロールを作成できます。
事前定義されたユーザ ロールや先祖ドメインから継承されるカスタム ユーザ ロールなど、既存のロールをコピーできます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [ユーザロール(User Roles)] タブをクリックします。 |
| ステップ 3 | コピーするユーザ ロールの横にあるコピー アイコン( )をクリックします。 |
| ステップ 4 | 新しい名前を入力します。
システムは、元のユーザ ロールの名前と (copy) サフィックスを組み合わせた新しいユーザ ロールのデフォルト名を作成します。 |
| ステップ 5 | [説明(Description)] ボックスに新しい説明を入力します。
上書きしないことを選択した場合、システムは元のユーザ ロールの説明を保持します。 |
| ステップ 6 | オプションで、元のユーザ ロールから継承されたメニュー ベースの権限を変更します。
アクセス許可を選択すると、その下位にあるアクセス許可もすべて選択され、複数値を持つアクセス許可では最初の値が使用されます。上位のアクセス許可をクリアすると、下位のアクセス許可もすべてクリアされます。アクセス許可を選択しても下位のアクセス許可を選択しない場合、そのアクセス許可はイタリック体のテキストで表示されます。 |
| ステップ 7 | オプションで、[外部データベース アクセス(External Database Access)] チェックボックスをオンまたはオフにすることで、新しいロールのデータベース アクセス権限を設定します。 |
| ステップ 8 | オプションで、エスカレーションに使用するカスタム ユーザ ロールの設定の説明に従って、新しいユーザ ロールのエスカレーション権限を設定します。 |
| ステップ 9 | [保存(Save)] をクリックします。 |
カスタム ユーザ ロールの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
事前定義ユーザ ロールは編集できません。
マルチドメイン展開では、現在のドメインで作成されたカスタム ユーザ ロールが表示されます。これは編集できます。先祖ドメインで作成されたカスタム ユーザ ロールも表示されますが、これは編集できません。下位のドメインのカスタム ユーザ ロールを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [ユーザロール(User Roles)] タブをクリックします。 |
| ステップ 3 | 変更するカスタム ユーザ ロールの横にある編集アイコン( )をクリックします。代わりに表示アイコン( )が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | [名前(Name)] フィールドと [説明(Description)] フィールドを変更します。ユーザ ロール名では、大文字と小文字が区別されます。 |
| ステップ 5 | ユーザ ロールのメニューベースのアクセス許可を選択します。
アクセス許可を選択すると、その下位にあるアクセス許可もすべて選択され、複数値を持つアクセス許可では最初の値が使用されます。上位のアクセス許可をクリアすると、下位のアクセス許可もすべてクリアされます。アクセス許可を選択しても下位のアクセス許可を選択しない場合、そのアクセス許可はイタリック体のテキストで表示されます。 |
| ステップ 6 | 必要に応じて、[外部データベース アクセス(External Database Access)] チェックボックスをオンまたはオフにすることにより、ロールのデータベース アクセス権限を設定します。 |
| ステップ 7 | 必要に応じて、エスカレーションに使用するカスタム ユーザ ロールの設定の説明に従って Firepower Management Center で、ユーザ ロールにエスカレーション アクセス許可を設定します。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
ユーザ ロールのエスカレーション
カスタム ユーザ ロールにアクセス許可を付与し、パスワードを設定することで、ベース ロールの特権に加え、別のターゲット ユーザ ロールの特権を一時的に取得できます。これにより、あるユーザが不在であるときにそのユーザを別のユーザに容易に置き換えることや、拡張ユーザ特権の使用状況をさらに注意深く追跡することができます。
たとえば、ユーザのベース ロールに含まれている特権が非常に限られている場合、そのユーザは管理アクションを実行するために Administrator ロールにエスカレーションする場合があります。この機能は、ユーザが各自のパスワードを使用したり、指定された別のユーザのパスワードを使用したりできるように設定できます。2 番目のオプションでは、該当するすべてのユーザのための 1 つのエスカレーション パスワードを容易に管理できます。
エスカレーション ターゲット ロールにすることができるユーザ ロールは一度に 1 つだけであることに注意してください。カスタム ユーザ ロールまたは事前定義ユーザ ロールを使用できます。各エスカレーションはログイン セッション期間中保持され、監査ログに記録されます。
エスカレーション ターゲット ロールの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
各自のユーザ ロール(事前定義またはカスタム)をシステム全体でのエスカレーション ターゲット ロールとして機能するように割り当てることができます。これは、他のロールからのエスカレーション先となるロールです(エスカレーションが可能な場合)。
エスカレーションに使用するカスタム ユーザ ロールの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
カスタム ロールのエスカレーション パスワードを設定するときには、部門のニーズを考慮してください。多数のエスカレーション ユーザを容易に管理するには、別のユーザを選択し、そのユーザのパスワードをエスカレーション パスワードとして使用することができます。そのユーザのパスワードを変更するか、またはそのユーザを非アクティブにすると、そのパスワードを必要とするすべてのエスカレーション ユーザが影響を受けます。このことにより、特に一元管理できる外部認証ユーザを選択した場合に、ユーザ ロール エスカレーションをより効率的に管理できます。
| ステップ 1 | カスタム ユーザ ロールの作成の説明に従って、カスタム ユーザ ロールの設定を開始します。 | ||
| ステップ 2 | [システム権限(System Permissions)] で、[このロールをエスカレーションする:(Set this role to escalate to:)] チェックボックスをオンにします。
現在のエスカレーション ターゲット ロールは、チェックボックスの横に表示されます。 | ||
| ステップ 3 | このロールがエスカレーションするときに使用するパスワードを選択します。次の 2 つの対処法があります。
| ||
| ステップ 4 | [保存(Save)] をクリックします。 これで、このロールが割り当てられているユーザはターゲット ユーザ ロールにエスカレーションできます。 |
ユーザ ロールのエスカレーション
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center |
任意(Any) |
任意(Any) |
エスカレーション対象のアクセス許可が含まれているカスタム ユーザ ロールが割り当てられているユーザは、いつでもターゲット ロールのアクセス許可にエスカレーションできます。エスカレーションはユーザ設定に影響しないことに注意してください。
-
管理者が、エスカレーション ターゲット ロールの設定またはエスカレーションに使用するカスタム ユーザ ロールの設定に従って、エスカレーション ターゲット ロールまたはカスタム ユーザ ロールをエスカレーション用に設定済みであることを確認してください。
ユーザ アカウント
Firepower Management Center デバイスまたは Firepower 7000 および 8000 シリーズ デバイス上の管理者アカウント、およびオプションのカスタムのユーザ アカウントを使用すれば、ユーザはこれらのデバイスにログインすることができます。内部認証ユーザについては、アカウントを手動で作成する必要があります。外部認証ユーザについては、アカウントが自動的に作成されます。
- ユーザ アカウントの管理
- ユーザ アカウントの作成
- ユーザ アカウントの編集
- 複数のドメインでのユーザ ロールの割り当て
- 内部認証から外部認証へのユーザの変換
- ユーザ アカウント ログイン オプション
- コマンド ラインのアクセス レベル
ユーザ アカウントの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | ユーザ アカウントを管理します。
|
)をクリックします。admin アカウント以外のユーザ アカウントはシステムからいつでも削除できます。admin アカウントは削除できません。ユーザ アカウントの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 7000 & 8000 シリーズ |
任意(Any) |
Admin |
新しいユーザ アカウントをセットアップするときに、そのアカウントでアクセスできるシステムの部分を制御できます。ユーザ アカウントの作成時に、ユーザ アカウントのパスワードの有効期限と強度を設定できます。7000 または 8000 シリーズ デバイスのローカル アカウントの場合、ユーザに付与するコマンド ライン アクセスのレベルも設定できます。
マルチドメイン型展開では、Admin アクセス権限があるドメインでユーザ アカウントを作成できます。また、上位のドメインでアカウントを作成し、それよりも低いアクセス権のみをユーザに割り当てることもできます。たとえば、単一ユーザを 2 つのドメインの管理者にし、先祖のドメインへのアクセスは拒否することができます。このタイプのユーザ アカウントは、アクセス権が割り当てられているサブドメインに切り替えることによってのみ変更することができます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [ユーザの作成(Create User)] をクリックします。 | ||
| ステップ 3 | [ユーザ名(User Name)] に入力します。 | ||
| ステップ 4 | ログイン オプションを変更します(ユーザ アカウント ログイン オプションを参照)。 | ||
| ステップ 5 | [パスワード(Password)] と [パスワードの確認(Confirm Password)] に値を入力します。
入力する値は、以前に設定したパスワード オプションに基づいている必要があります。 | ||
| ステップ 6 | 7000 または 8000 シリーズ デバイスでユーザ アカウントを作成する場合、コマンド ラインのアクセス レベルの説明に従って、適切なレベルの [コマンドライン インターフェイス アクセス(Command-Line Interface Access)] を割り当てます。 | ||
| ステップ 7 | 次のようにして、ユーザ ロールを割り当てます。
| ||
| ステップ 8 | [Save] をクリックします。 |
ユーザ アカウントの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | 変更するユーザの横にある編集アイコン()をクリックします。 |
| ステップ 3 | ユーザ アカウントの作成の説明に従って設定を変更します。 |
| ステップ 4 | [保存(Save)] をクリックします。 |
複数のドメインでのユーザ ロールの割り当て
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
マルチドメイン展開では、先祖や子孫のドメインにユーザ ロールを割り当てることができます。たとえば、グローバル ドメインでユーザに読み取り専用権限を割り当てながら、子孫ドメインに管理者権限を割り当てることもできます。
内部認証から外部認証へのユーザの変換
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
 (注) | 内部認証から外部認証にユーザを変換するとき、ユーザ アカウントに設定されているアクセス許可が保持されます。既存のアクセス許可は、関連する認証オブジェクト グループまたはプラットフォーム設定ポリシーで設定されたデフォルトのユーザ ロールに関連付けられたすべてのアクセス許可より優先されます。 |
ユーザ アカウント ログイン オプション
次の表に、Firepower システム ユーザのパスワードおよびアカウント アクセスの調整に使用できるオプションの一部について説明します。
(注) |
|
コマンド ラインのアクセス レベル
7000 または 8000 シリーズ デバイスでローカル Web インターフェイスを使用して、コマンドライン インターフェイス アクセスをローカル デバイスのユーザに割り当てることができます。NGIPSv ではコマンド ライン アクセスをユーザに割り当てることもできますが、コマンドはコマンド ライン インターフェイスから使用することに注意してください。
ユーザが実行できるコマンドは、ユーザに割り当てられているアクセスのレベルによって決まります。[コマンドライン インターフェイス アクセス(Command-Line Interface Access)] 設定で指定できる値は、次のとおりです。
- なし(None)
-
ユーザは、コマンド ラインでアプライアンスにログインすることはできません。ユーザが資格情報を入力すると、ユーザが開始したセッションがすべて終了します。ユーザ作成時に、アクセス レベルはデフォルトで [なし(None)] に設定されます。
- 設定(Configuration)
-
ユーザは、任意のコマンド ライン オプションにアクセスできます。このアクセス レベルをユーザに割り当てるときには注意してください。
注意
外部認証ユーザに付与されるコマンド ライン アクセスは、デフォルトで [設定(Configuration)] レベルのコマンド ライン アクセスになり、すべてのコマンド ライン ユーティリティに対する権限が付与されます。
- 基本
-
特定の一連のコマンドはユーザが実行できます。それらは、次のとおりです。
Firepower システムのユーザ認証
Firepower Management Center または管理対象デバイスでユーザが Web インターフェイスにログインすると、アプライアンスがローカルのユーザ リストでユーザ名とパスワードに一致するものを検索します。このプロセスは認証と呼ばれます。
認証には次の 2 種類あります。
認証プロセスは、次のとおりです。
ユーザ アカウントを作成する場合は、そのユーザに対して内部認証または外部認証を指定します。
内部認証
内部認証では、ユーザ クレデンシャルは、内部 Firepower システムのデータベースのレコードに照らして検証されます。これがデフォルトの認証タイプです。
ユーザのアカウントを作成する際に、内部認証のユーザにアクセス権を設定します。
(注) | 内部認証ユーザが外部認証に変換された場合、内部認証に戻すことはできません。 |
外部認証(External Authentication)
外部認証では、Firepower Management Center または管理対象デバイスによって、外部サーバのリポジトリからユーザ クレデンシャルが取得されます。外部サーバは、Lightweight Directory Access Protocol(LDAP)ディレクトリ サーバまたは Remote Authentication Dial In User Service(RADIUS)認証サーバにすることができます。
プラットフォーム設定ポリシーおよび個別のユーザ アカウントの設定で外部認証を有効にします。アプライアンスに対して使用できる外部認証形式は 1 つだけです。
ユーザがアプライアンスに初めてログインすると、アプライアンスは、ローカル ユーザ レコードを作成して、これらの外部クレデンシャルを一連のアクセス許可に関連付けます。ユーザには、次のいずれかに基づいて権限が割り当てられます。
権限がグループまたはリストのメンバーシップによって付与される場合は、権限を変更できません。ただし、デフォルトのユーザ ロールによって割り当てられている場合は、ユーザ アカウントで変更でき、この変更でデフォルトの設定がオーバーライドされます。次に例を示します。
-
外部認証ユーザ アカウントのデフォルト ロールとして特定のアクセス ロールが設定されている場合、ユーザは外部アカウント クレデンシャルを使用してアプライアンスにログインでき、この際にシステム管理者による追加の設定は必要ありません。
-
アカウントが外部で認証され、デフォルトではアクセス権限が付与されない場合、ユーザはログインできますが、どの機能にもアクセスできません。ユーザ(またはシステム管理者)は、ユーザ機能へ適切なアクセス権を付与する権限を変更することができます。
Firepower システム インターフェイスでは、外部認証ユーザのパスワード管理および外部認証ユーザの非アクティブ化は実行できません。外部認証ユーザの場合、LDAP グループ メンバーシップ、RADIUS リスト メンバーシップ、または属性値によってアクセス ロールが割り当てられているユーザの Firepower システム ユーザ管理ページでは、最小アクセス権を削除することができません。外部認証ユーザの [ユーザの編集(Edit User)] ページでは、外部認証サーバの設定により付与された権限は、[外部変更済み(Externally Modified)] ステータスでマークされます。
ただし、追加の権限を割り当てることはできます。外部認証ユーザのアクセス権を変更すると、[ユーザ管理(User Management)] ページの [認証方式(Authentication Method)] カラムに、[外部:ローカルで変更済み(External - Locally Modified)] というステータスが表示されます。
LDAP 認証
LDAP(Lightweight Directory Access Protocol)により、ユーザ クレデンシャルなどのオブジェクトをまとめるためのディレクトリをネットワーク上の一元化されたロケーションにセットアップできます。こうすると、複数のアプリケーションがこれらのクレデンシャルと、クレデンシャルの記述に使用される情報にアクセスできます。ユーザのクレデンシャルを変更する必要がある場合も、常に 1 箇所でクレデンシャルを変更できます。
LDAP 認証オブジェクトは Firepower Management Center 上に作成する必要がありますが、Web インターフェイスを備えた管理対象デバイス(つまり、7000 および 8000 シリーズ デバイス)であればどれでも、オブジェクトを有効にするプラットフォーム設定ポリシーをそのデバイスに導入することで、外部認証オブジェクトを使用できます。ポリシーを導入すると、オブジェクトがデバイスにコピーされます。
(注) | 7000 および 8000 シリーズ デバイスで外部認証を有効にする前に、シェル アクセス フィルタに含まれている外部認証ユーザと同じユーザ名を持つ内部認証シェル ユーザまたは CLI ユーザをすべて削除してください。 |
LDAP 命名標準は、アドレスの指定と、認証オブジェクトのフィルタおよび属性の構文に使用できることに注意してください。詳細については、『Lightweight Directory Access Protocol (v3): Technical Specification』(RFC 3377)に記載されている RFC を参照してください。この手順ではシンタックスの例が示されています。Microsoft Active Directory Server へ接続するための認証オブジェクトをセットアップするときに、ドメインを含むユーザ名を参照する場合には、Internet RFC 822(Standard for the Format of ARPA Internet Text Messages)仕様に記載されているアドレス指定構文を使用できることに注意してください。たとえばユーザ オブジェクトを参照する場合は、JoeSmith@security.example.com と入力し、Microsoft Active Directory Sever を使用する場合の同等のユーザ識別名 cn=JoeSmith,ou=security, dc=example,dc=com は使用しません。
(注) | 現在 Firepower システムでは、Microsoft Active Directory on Windows Server 2008、Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0、OpenLDAP on Linux が稼働する LDAP サーバでの LDAP 外部認証がサポートされています。ただし、Firepower システムでは NGIPSv または ASA FirePOWER デバイスの外部認証はサポートされていません。 |
LDAP 認証オブジェクトを作成するために必要な情報
LDAP サーバへの接続を設定する前に、LDAP 認証オブジェクトを作成するのに必要な情報を収集する必要があります。
(注) | ローカル アプライアンスから、接続する認証サーバに TCP/IP でアクセスできることを確認する必要があります。 |
基本的な認証オブジェクトを作成するには、少なくとも以下が必要です。
ヒント | サードパーティの LDAP クライアントを使用して、LDAP ツリーを参照し、ベース DN と属性の説明を確認できます。またそのクライアントを使用して、選択したユーザが、選択したベース DN を参照できることを確認することもできます。LDAP 管理者に連絡し、ご使用の LDAP サーバ向けの推奨される認定 LDAP クライアントを確認してください。 |
詳細な LDAP 認証オブジェクト設定をどのようにカスタマイズするかによって、次の表に示す情報が必要となることがあります。
|
各グループの識別名、およびグループがスタティック グループの場合はグループ メンバー属性、グループがダイナミック グループの場合はグループ メンバーの URL 属性 |
|
CAC 認証
部門で共通アクセス カード(CAC)が使用される場合は、Web インターフェイスにログインするユーザを認証し、グループ メンバーシップまたはデフォルト アクセス権に基づいて特定機能へのアクセスを許可するように、LDAP 認証を設定できます。CAC 認証および認可が設定されている場合、ユーザは、アプライアンスに個別のユーザ名とパスワードを指定せずに直接ログインすることができます。
(注) | CAC 設定プロセスの一部としてユーザ証明書を有効にするには、ブラウザに有効なユーザ証明書(この場合は CAC を介してユーザのブラウザに渡されるサーバ証明書)が存在している必要があります。CAC 認証および認可の設定後に、ネットワーク上のユーザはブラウズ セッション期間にわたって CAC 接続を維持する必要があります。セッション中に CAC を削除または交換すると、Web ブラウザでセッションが終了し、システムにより Web インターフェイスから強制的にログアウトされます。 |
システムでは、CAC 認証ユーザは Electronic Data Interchange Personal Identifier(EDIPI)番号により識別されます。ユーザが CAC クレデンシャルを使用して初めてログインした後で、[ユーザ管理(User Management)] ページでのこれらのユーザのアクセス権限を手動で追加または削除できます。グループ制御アクセス ロールを使用してユーザの権限を事前に設定していない場合、ユーザには、プラットフォーム設定ポリシーでデフォルトで付与される権限だけが与えられています。
ヒント | 操作が行われない状態で 24 時間が経過すると、システムによって [ユーザ管理(User Management)] ページから CAC 認証ユーザを消去されるときに、手動で設定されたアクセス権限が削除されることに注意してください。その後ユーザがログインするたびに、ユーザがページに復元されますが、ユーザのアクセス権限に対する手動での変更はすべて再設定する必要があります。 |
CAC 認証の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
7000 および 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
ネットワークのユーザが各自の CAC クレデンシャルを使用して Firepower Management Center および 7000 および 8000 シリーズ デバイスにログインする前に、適切なアクセス許可を持つユーザが、CAC 認証および認可のマルチステップ設定プロセスを完了しておく必要があります。
-
LDAP 認証オブジェクトを作成するために必要な情報の説明に従って情報を収集します。
| ステップ 1 | 組織の指示に従い CAC を挿入します。 | ||
| ステップ 2 | ブラウザで https://hostname/ を開きます(hostname はご使用の Firepower Management Center のホスト名に対応しています)。 | ||
| ステップ 3 | プロンプトが表示されたら、ステップ 1 で挿入した CAC に関連付けられた PIN を入力します。 | ||
| ステップ 4 | プロンプトが表示されたら、ドロップダウン リストから該当する証明書を選択します。 | ||
| ステップ 5 | ログイン ページで、[ユーザ名(Username)] フィールドと [パスワード(Password)] フィールドに、管理者権限を持つユーザとしてログインします。ユーザ名では、大文字と小文字が区別されます。
| ||
| ステップ 6 | に移動し、[外部認証(External Authentication)] タブをクリックします。 | ||
| ステップ 7 | および拡張 LDAP 認証オブジェクトの作成の手順に従い、CAC 認証および認可専用の LDAP 認証オブジェクトを作成します。次の設定を行う必要があります。
| ||
| ステップ 8 | [保存(Save)] をクリックします。 | ||
| ステップ 9 | 外部認証の有効化の説明に従って、外部認証と CAC 認証を有効にします。
| ||
| ステップ 10 | に移動し、[HTTPS 証明書(HTTPS Certificate)] をクリックします。 | ||
| ステップ 11 | HTTPS サーバ証明書をインポートし、必要に応じて サーバ証明書のアップロード で説明する手順に従います。
| ||
| ステップ 12 | [HTTPS ユーザ証明書設定(HTTPS User Certificate Settings)] の [ユーザ証明書を有効にする(Enable User Certificates)] を選択します。詳細については、有効なユーザ証明書の強制を参照してください。 |
次の作業
-
ユーザが初めてログインした後、手動でユーザのアクセス権を追加または削除できます。権限を変更しない場合、そのユーザにはデフォルトで付与される権限のみが設定されます。詳細については、ユーザ アカウントの編集を参照してください。
基本 LDAP 認証オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
LDAP 認証オブジェクトをセットアップできます。LDAP 認証オブジェクトでは多くの値をカスタマイズします。ただし、特定ディレクトリ内のすべてのユーザを認証するだけの場合は、そのディレクトリのベース DN を使用して基本認証オブジェクトを作成できます。ご使用のサーバ タイプでベース DN のデフォルトを設定し、サーバからユーザ データを取得するために使用するアカウントの認証クレデンシャルを指定すれば、認証オブジェクトを簡単に作成できます。このためには、次の手順に従います。
(注) | (たとえば、シェル アクセスを付与するために)認証オブジェクトを作成するときに、各認証設定を検討してカスタマイズする場合は、高度な手順を使用してオブジェクトを作成します。サーバへの接続の暗号化、ユーザ タイムアウトの設定、ユーザ名テンプレートのカスタマイズ、または LDAP グループ メンバーシップに基づく Firepower システム ユーザ ロールの割り当てを行う場合にも、この高度な手順を使用してください。 |
マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。
-
LDAP 認証オブジェクトを作成するために必要な情報の説明に従って情報を収集します。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [外部認証(External Authentication)] タブをクリックします。 | ||
| ステップ 3 | [外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。 | ||
| ステップ 4 | [認証方式(Authentication Method)] ドロップダウンリストから [LDAP] を選択します。 | ||
| ステップ 5 | LDAP 認証サーバの特定の説明に従って、[名前(Name)]、[説明(Description)]、[サーバ タイプ(Server Type)]、[プライマリ サーバ ホスト名/IP アドレス(Primary Server Host Name/IP Address)] を入力します。
| ||
| ステップ 6 | LDAP 固有パラメータの設定の説明に従って、[DN の取得(Fetch DNs)] を選択して基本識別名を指定し、オプションで [基本フィルタ(Base Filter)] に入力します。 | ||
| ステップ 7 | LDAP 固有パラメータの設定の説明に従って、[ユーザ名(User Name)] として識別名を入力し、LDAP サーバを参照するための十分なクレデンシャルを持っているユーザの [パスワード(Password)] を入力します。 | ||
| ステップ 8 | [パスワードの確認(Confirm Password)] フィールドに、パスワードを再度入力します。 | ||
| ステップ 9 | LDAP 認証接続のテストの説明に従って、接続をテストします。 | ||
| ステップ 10 | [保存(Save)] をクリックします。 |
例
次の図は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの基本設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 389 が使用されます。
この例では、Example 社の情報テクノロジー ドメインで、セキュリティ部門のベース識別名として OU=security,DC=it,DC=example,DC=com を使用した接続を示しています。
ただし、このサーバが Microsoft Active Directory Server であるため、ユーザ名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。サーバのタイプとして MS Active Directory を選択し、[デフォルトの設定(Set Defaults)] をクリックすると、[UI アクセス属性(UI Access Attribute)] が sAMAccountName に設定されます。その結果、ユーザが Firepower システムへのログインを試行すると、Firepower システムは各オブジェクトの sAMAccountName 属性を検査し、一致するユーザ名を検索します。
また、[シェル アクセス属性(Shell Access Attribute)] が sAMAccountName の場合、ユーザがアプライアンスでシェル アカウントまたは CLI アカウントにログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。
基本フィルタはこのサーバに適用されないため、Firepower システムはベース識別名により示されるディレクトリ内のすべてのオブジェクトの属性を検査することに注意してください。サーバへの接続は、デフォルトの期間(または LDAP サーバで設定されたタイムアウト期間)の経過後にタイムアウトします。
-
LDAP 認証を有効にするには、外部認証の有効化の説明に従って、認証オブジェクトを有効にします。
-
取得されるユーザのリストを絞り込む場合の詳細は、LDAP 認証接続のトラブルシューティングを参照してください。
拡張 LDAP 認証オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
基本認証オブジェクトの作成時に、認証サーバに接続できるようにする基本設定を定義します。拡張認証オブジェクトを作成する場合は、基本設定を定義し、サーバからユーザ データを取得するために使用するディレクトリ コンテキストおよび検索条件も選択します。オプションで、シェル アクセス認証を設定できます。
ご使用のサーバ タイプのデフォルト設定を使用して LDAP 設定を迅速にセットアップできますが、詳細設定をカスタマイズして、アプライアンスから LDAP サーバに暗号化接続するかどうか、接続のタイムアウト、およびサーバがユーザ情報を検査する属性を制御することもできます。
LDAP 固有のパラメータの場合、LDAP 命名基準とフィルタおよび属性のシンタックスを使用できます。詳細については、『Lightweight Directory Access Protocol (v3): Technical Specification』(RFC 3377)に記載されている RFC を参照してください。この手順ではシンタックスの例が示されています。Microsoft Active Directory Server へ接続するための認証オブジェクトをセットアップするときに、ドメインを含むユーザ名を参照する場合には、Internet RFC 822(Standard for the Format of ARPA Internet Text Messages)仕様に記載されているアドレス指定シンタックスを使用できることに注意してください。たとえばユーザ オブジェクトを参照する場合は、JoeSmith@security.example.com と入力し、Microsoft Active Directory Server を使用する場合の同等のユーザ識別名 cn=JoeSmith,ou=security, dc=example,dc=com は使用しません。
(注) | CAC 認証に使用する LDAP 認証オブジェクトを設定する場合は、コンピュータに挿入されている CAC を取り外さないでください。ユーザ証明書を有効にした後は、CAC が常に挿入された状態にしておく必要があります。 |
マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。
-
LDAP 認証オブジェクトを作成するために必要な情報の説明に従って情報を収集します。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [外部認証(External Authentication)] タブをクリックします。 | ||
| ステップ 3 | [外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。 | ||
| ステップ 4 | LDAP 認証サーバの特定の説明に従って、認証サーバを指定します。 | ||
| ステップ 5 | LDAP 固有パラメータの設定の説明に従って、認証設定を行います。 | ||
| ステップ 6 | オプションで、グループによるアクセス権の設定の説明に従って、デフォルト アクセス ロール割り当ての基準として使用する LDAP グループを設定します。
| ||
| ステップ 7 | オプションで、LDAP シェル アクセスの設定の説明に従って、シェル アクセスの認証設定を行います。 | ||
| ステップ 8 | LDAP 認証接続のテストの説明に従って、設定をテストします。 | ||
| ステップ 9 | [保存(Save)] をクリックします。 |
例
次の例は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの詳細設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 636 が使用されます。
この例では、Example 社の情報テクノロジー ドメインで、セキュリティ部門のベース識別名として OU=security,DC=it,DC=example,DC=com を使用した接続を示しています。ただし、このサーバに基本フィルタ (cn=*smith) が設定されていることに注意してください。このフィルタは、サーバから取得するユーザを、一般名が smith で終わるユーザに限定します。
サーバへの接続が SSL を使用して暗号化され、certificate.pem という名前の証明書が接続に使用されます。また、[タイムアウト(Timeout)] の設定により、60 秒経過後にサーバへの接続がタイムアウトします。
このサーバが Microsoft Active Directory Server であるため、ユーザ名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。設定では、[UI アクセス属性(UI Access Attribute)] が sAMAccountName であることに注意してください。その結果、ユーザが Firepower システムへのログインを試行すると、Firepower システムは各オブジェクトの sAMAccountName 属性を検査し、一致するユーザ名を検索します。
また、[シェル アクセス属性(Shell Access Attribute)] が sAMAccountName の場合、ユーザがアプライアンスでシェル アカウントにログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。
この例では、グループ設定も行われます。[メンテナンス ユーザ(Maintenance User)] ロールが、member グループ属性を持ち、ベース ドメイン名が CN=SFmaintenance,=it,=example,=com であるグループのすべてのメンバーに自動的に割り当てられます。
シェル アクセス フィルタは、基本フィルタと同一に設定されます。このため、同じユーザが Web インターフェイスを使用する場合と同様に、シェルまたは CLI を介してアプライアンスにアクセスできます。
-
LDAP 認証を有効にするには、で認証オブジェクトを有効化します。外部認証の有効化
LDAP 認証サーバのフィールド
CAC
[名前(Name)]
説明
サーバ タイプ(Server Type)
接続する LDAP サーバのタイプ。タイプを選択する際には、次のオプションから選択できます。
-
Microsoft Active Directory Server に接続する場合は、[MS Active Directory] を選択します。
-
Sun Java System Directory Server または Oracle Directory Server に接続する場合は、[Oracle Directory] を選択します。
-
上記のサーバ以外の LDAP サーバに接続し、デフォルト設定をクリアする場合は、[その他(Other)] を選択します。
ヒント | [デフォルトにセット(Set Defaults)] をクリックすると、[ユーザ名テンプレート(User Name Template)]、[UI アクセス属性(UI Access Attribute)]、[シェル アクセス属性(Shell Access Attribute)]、[グループ メンバー属性(Group Member Attribute)]、および [グループ メンバー URL 属性(Group Member URL Attribute)] フィールドにデフォルト値が入力されます。 |
[プライマリ サーバのホスト名/IP アドレス(Primary Server Host Name/IP Address)]
認証データを取得するプライマリ サーバの IP アドレスまたはホスト名。
(注) | 証明書を使用し、TLS または SSL 経由で接続する場合は、証明書のホスト名が、このフィールドに入力するホスト名と一致している必要がりあります。また、暗号化接続では IPv6 アドレスはサポートされていません。 |
[プライマリ サーバのポート(Primary Server Port)]
[バックアップ サーバのホスト名/IP アドレス(Backup Server Host Name/IP Address)]
[バックアップサーバポート(Backup Server Port)]
LDAP 認証サーバの特定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
認証オブジェクトの作成時には、管理対象デバイスまたは Firepower Management Center が認証のために接続する、プライマリおよびバックアップ サーバとサーバ ポートを最初に指定します。
(注) | CAC 認証に使用する LDAP 認証オブジェクトを設定する場合は、コンピュータに挿入されている CAC を取り外さないでください。ユーザ証明書を有効にした後は、CAC が常に挿入された状態にしておく必要があります。 |
マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [外部認証(External Authentication)] タブをクリックします。 | ||
| ステップ 3 | [外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。 | ||
| ステップ 4 | [認証方式(Authentication Method)] ドロップダウンリストから [LDAP] を選択します。 | ||
| ステップ 5 | オプションで、CAC 認証および認可にこの認証オブジェクトを使用する予定の場合は、[CAC] チェックボックスをオンにします。
| ||
| ステップ 6 | [名前(Name)] フィールドと [説明(Description)] フィールドに、認証サーバの名前と説明を入力します。 | ||
| ステップ 7 | ドロップダウンリストから [サーバ タイプ(Server Type)] を選択します。詳細については、LDAP 認証サーバのフィールドを参照してください。必要に応じて、[デフォルトの設定(Set Defaults)] をクリックします。 | ||
| ステップ 8 | [プライマリ サーバのホスト名または IP アドレス(Primary Server Host Name/IP Address)] を入力します。
| ||
| ステップ 9 | 必要に応じて、[プライマリ サーバ ポート(Primary Server Port)] を入力します。 | ||
| ステップ 10 | 必要に応じて、[バックアップ サーバのホスト名または IP アドレス(Backup Server Host Name/IP Address)] を入力します。 | ||
| ステップ 11 | 必要に応じて、[バックアップ サーバ ポート(Backup Server Port)] を入力します。 |
次の作業
-
LDAP 認証オブジェクトの作成を続行します。詳細については、拡張 LDAP 認証オブジェクトの作成を参照してください。
LDAP 固有フィールド
|
アプライアンスがユーザ情報を検索する LDAP サーバのディレクトリのベース識別名を指定します。 通常、ベース DN には、企業ドメインおよび部門を示す基本構造があります。 プライマリ サーバを特定したら、そのサーバから使用可能なベース DN のリストが自動的に取得され、該当するベース DN を選択できることに注意してください。 |
Example 社のセキュリティ(Security)部門のベース DN は、ou=security,dc=example,dc=com となります。 |
|
|
ベース DN でフィルタに設定されている特定の属性と値のペアを含むオブジェクトだけを取得することで、検索を絞り込みます。基本フィルタは、カッコ内に囲まれるフィルタとして使用する属性タイプ、比較演算子、および属性値です。 |
||
|
ローカル アプライアンスがユーザ オブジェクトにアクセスできるようにします。取得する認証オブジェクトに対する適切な権限を持つユーザのユーザ資格情報を指定します。指定するユーザの識別名は、LDAP サーバのディレクトリ情報ツリーで一意である必要があります。Microsoft Active Directory Server に関連付けられたサーバ ユーザ名の末尾の文字が $ であってはなりません。 |
Example 社のセキュリティ(Security)部門の admin ユーザのユーザ名は、cn=admin, ou=security, dc=example,dc=com となります。 |
|
|
通信が暗号化されるかどうかと、暗号化方法を示します。暗号化なし、Transport Layer Security(TLS)、または Secure Sockets Layer(SSL)暗号化を選択できます。TLS または SSL 経由で接続するときに認証に証明書を使用する場合、証明書の LDAP サーバ名が、指定するユーザ名と一致している必要があることに注意してください。 |
外部認証の設定に 10.10.10.250 を、証明書に computer1. example.com を入力すると、computer1. example.com に IP アドレス 10.10.10.250 がある場合であっても、接続に失敗します。外部認証設定のサーバ名を computer1. example.com に変更すると、接続が正常に行われます。 |
|
|
文字列変換文字(%s)をユーザの [UI アクセス属性(UI Access Attribute)] の値にマッピングすることで、ログイン時に入力されるユーザ名の形式を指定します。ユーザ名テンプレートは、認証に使用する識別名の形式です。ユーザがログイン ページにユーザ名を入力すると、アプライアンスにより文字列変換文字が名前に置き換えられ、その結果生成される識別名がユーザ資格情報の検索に使用されます。 CAC 認証および許可にこのオブジェクトを使用するには、[ユーザ名テンプレート(User Name Template)] に入力する必要があります。 |
||
|
プライマリ サーバへの接続試行のタイムアウトを設定します。これにより、接続がバックアップ サーバにロールオーバーされます。プライマリ認証サーバからの応答がない状態でこのフィールドに示されている秒数(または LDAP サーバのタイムアウト)が経過すると、アプライアンスはバックアップ サーバに対してクエリを実行します。 ただし LDAP がプライマリ LDAP サーバのポートで実行されており、何らかの理由で要求の処理を拒否する場合は、バックアップ サーバへのフェールオーバーは行われません。 |
||
|
ローカル アプライアンスに対し、ユーザ識別名の値ではなく、特定の属性の値の照合を行うように指示します。Firepower システム Web インターフェイスの有効なユーザ名が値として設定されている属性であれば、どの属性でも使用できます。いずれかのオブジェクトに一致するユーザ名とパスワードがある場合は、ユーザ ログイン要求が認証されます。 サーバ タイプを選択し、デフォルトを設定すると、[UI アクセス属性(UI Access Attribute)] に、そのサーバ タイプに適した値が取り込まれます。 このフィールドを空白のままにすると、ローカル アプライアンスは、LDAP サーバの各ユーザ レコードのユーザ識別名値を調べ、ユーザ名に一致しているかどうかを確認します。 CAC 認証および許可にこのオブジェクトを使用するには、[ユーザ名テンプレート(User Name Template)] の値に対応する値を入力する必要があります。 |
LDAP 固有パラメータの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
LDAP 固有パラメータ セクションの設定により、アプライアンスがユーザ名を検索する LDAP ディレクトリの領域が決定され、アプライアンスから LDAP サーバへの接続の詳細が制御されます。
有効なユーザ名は一意のユーザ名であり、アンダースコア(_)、ピリオド(.)、ハイフン(-)、英数字を使用できます。
ほとんどの LDAP 固有設定の他に、LDAP 命名基準とフィルタおよび属性の構文を使用できます。詳細については、『Lightweight Directory Access Protocol (v3): Technical Specification』(RFC 3377)に記載されている RFC を参照してください。この手順ではシンタックスの例が示されています。Microsoft Active Directory Server へ接続するための認証オブジェクトをセットアップするときに、ドメインを含むユーザ名を参照する場合には、Internet RFC 822(Standard for the Format of ARPA Internet Text Messages)仕様に記載されているアドレス指定シンタックスを使用できることに注意してください。たとえばユーザ オブジェクトを参照する場合は、JoeSmith@security.example.com と入力し、Microsoft Active Directory Server を使用する場合の同等のユーザ識別名 cn=JoeSmith,ou=security, dc=example,dc=com は使用しません。
(注) | CAC 認証に使用する LDAP 認証オブジェクトを設定する場合は、コンピュータに挿入されている CAC を取り外さないでください。ユーザ証明書を有効にした後では、CAC が常に挿入された状態にしておく必要があります。 |
| ステップ 1 | [外部認証オブジェクトの作成(Create External Authentication Object)] ページの [LDAP 固有パラメータ(LDAP-Specific Parameters)] セクションには、ベース DN を設定する 2 つのオプションがあります。 | ||
| ステップ 2 | 必要に応じて、[基本フィルタ(Base Filter)] を入力します。 例:たとえば、ディレクトリ ツリー内のユーザ オブジェクトに physicalDeliveryOfficeName 属性が設定されており、New York 支店のユーザに対しこの属性に値 NewYork が設定されている場合、New York 支店のユーザだけを取得するには、(physicalDeliveryOfficeName=NewYork) と入力します。 | ||
| ステップ 3 | LDAP サーバを参照する十分なクレデンシャルがあるユーザの [ユーザ名(User Name)] として識別名と、[パスワード(Password)] を入力します。 例:たとえば、ユーザ オブジェクトに uid 属性が含まれている OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門の管理者のオブジェクトの uid に値 NetworkAdmin が設定されている場合は、uid=NetworkAdmin,ou=security,dc=example,dc=com と入力します。
| ||
| ステップ 4 | [パスワードの確認(Confirm Password)] フィールドに、パスワードを再度入力します。 | ||
| ステップ 5 | 基本的な LDAP 固有パラメータの設定後に行う手順には、いくつかの選択肢があります。
| ||
| ステップ 6 | 必要に応じて、LDAP 接続に [暗号化(Encryption)] モードを選択します。
| ||
| ステップ 7 | TLS または SSL が暗号化を選択し、認証に証明書を使用する場合は、有効な TLS または SSL 証明書の場所を参照します。
| ||
| ステップ 8 | 必要に応じて、[UI アクセス属性(UI Access Attribute)] に対応する [ユーザ名テンプレート(User Name Template)] を指定します。 例:たとえば、UI アクセス属性が uid である OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門で働くすべてのユーザを認証するには、[ユーザ名テンプレート(User Name Template)] フィールドに uid=%s,ou=security,dc=example,dc=com と入力します。Microsoft Active Directory Server の場合は %s@security.example.com と入力します。
| ||
| ステップ 9 | オプションで、バックアップ接続にロールオーバーするまでの経過秒数を [タイムアウト(Timeout)] フィールドに入力します。 | ||
| ステップ 10 | オプションで、ベース DN および基本フィルタの代わりに属性に基づいてユーザを取得する場合、2 つのオプションがあります。
|
次の作業
-
拡張 LDAP 認証オブジェクトの作成の説明に従って、引き続き LDAP 認証オブジェクトを作成します。
LDAP グループ フィールド
参照するグループはすべて LDAP サーバに存在している必要があります。スタティック LDAP グループまたはダイナミック LDAP グループを参照できます。スタティック LDAP グループとは、特定のユーザを指し示すグループ オブジェクト属性によってメンバーシップが決定されるグループであり、ダイナミック LDAP グループとは、ユーザ オブジェクト属性に基づいてグループ ユーザを取得する LDAP 検索を作成することでメンバーシップが決定されるグループです。ロールのグループ アクセス権は、グループのメンバーであるユーザにのみ影響します。
ユーザが Firepower システムにログインするときに付与されるアクセス権は、LDAP 構成によって異なります。
-
LDAP サーバでグループ アクセス権が設定されていない場合、新しいユーザがログインすると、Firepower システムはそのユーザを LDAP サーバに対して認証し、プラットフォーム設定ポリシーに設定されているデフォルトの最小アクセス ロールに基づいてユーザ権限を付与します。
-
グループ設定を設定すると、指定されたグループに属している新しいユーザは、メンバーとなっているグループの最小アクセス設定を継承します。
-
新しいユーザが指定のどのグループにも属していない場合は、認証オブジェクトの [グループ制御アクセス ロール(Group Controlled Access Roles)] セクションに指定されているデフォルトの最小アクセス ロールが割り当てられます。
-
設定されている複数のグループにユーザが属している場合、ユーザは最も高いアクセスを持つグループのアクセス ロールを最小アクセス ロールとして受け取ります。
Firepower システム ユーザ管理ページでは、LDAP グループ メンバーシップによってアクセス ロールが割り当てられているユーザの最小アクセス権を削除することはできません。ただし、追加の権限を割り当てることはできます。外部認証ユーザのアクセス権を変更すると、[ユーザ管理(User Management)] ページの [認証方式(Authentication Method)] カラムに、[外部 - ローカルで変更済み(External - Locally Modified)] というステータスが表示されます。
(注) | ダイナミック グループを使用する場合、LDAP クエリは、LDAP サーバで設定されている通りに使用されます。この理由から、検索構文エラーが原因で無限ループが発生することを防ぐため、Firepower システムでは検索の再帰回数が 4 回に制限されています。この再帰回数内でユーザのグループ メンバーシップが確立されない場合、[グループ制御アクセス ロール(Group Controlled Access Roles)] セクションで定義されているデフォルト アクセス ロールがユーザに付与されます。 |
[Firepower システムのユーザ権限(Firepower System User Roles)]
[デフォルトのユーザ ロール(Default User Role)]
[グループ メンバーの属性(Group Member Attribute)]
[グループ メンバーの URL 属性(Group Member URL Attribute)]
グループによるアクセス権の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
LDAP グループのユーザのメンバーシップに基づいてデフォルト アクセス権を設定する場合は、Firepower システムにより使用される各アクセス ロールに、LDAP サーバの既存のグループの識別名を指定できます。これを行うと、LDAP によって検出された、指定のどのグループにも属さないユーザのデフォルト アクセス設定を設定できます。ユーザがログインすると、Firepower システムは LDAP サーバを動的に検査し、ユーザの現在のグループ メンバーシップに基づいてデフォルト アクセス権を割り当てます。
グループ制御アクセス ロールを使用してユーザの権限を事前に設定していない場合、ユーザには、プラットフォーム設定ポリシーでデフォルトで付与される権限だけが与えられています。
CAC 認証および認可にオブジェクトを使用する予定の場合、CAC 認証ユーザへのアクセス ロール割り当ての管理のために LDAP グループを設定することを推奨します。
(注) | CAC 認証に使用する LDAP 認証オブジェクトを設定する場合は、コンピュータに挿入されている CAC を取り外さないでください。ユーザ証明書を有効にした後では、CAC が常に挿入された状態にしておく必要があります。 |
| ステップ 1 | [外部認証オブジェクトの作成(Create External Authentication Object)] ページで、[グループ制御アクセス ロール(Group Controlled Access Roles)] の横の下矢印をクリックします。 |
| ステップ 2 | 必要に応じて、Firepower システム ユーザ ロールに対応する [DN] フィールドに、これらのロールに割り当てる必要があるユーザを含む LDAP グループの識別名を入力します。 例:たとえば、Example 社の情報テクノロジー(Information Technology)部門の名前を認証するには、[管理者(Administrator)] フィールドに次のように入力します。 cn=itgroup,ou=groups, dc=example,dc=com |
| ステップ 3 | [デフォルト ユーザ ロール(Default User Role)] を選択します。 |
| ステップ 4 | スタティック グループを使用する場合は、[グループ メンバー属性(Group Member Attribute)] を入力します。 例:たとえば、デフォルトの Security Analyst アクセスのために参照するスタティック グループのメンバーシップを示すために member 属性を使用する場合は、member と入力します。 |
| ステップ 5 | ダイナミック グループを使用する場合は、[グループ メンバー URL 属性(Group Member URL Attribute)] を入力します。 例:たとえば、デフォルトの Admin アクセスに対して指定したダイナミック グループのメンバーを取得する LDAP 検索が memberURL 属性に含まれている場合は、memberURL と入力します。 |
次の作業
-
拡張 LDAP 認証オブジェクトの作成の説明に従って、引き続き LDAP 認証オブジェクトを作成します。
LDAP シェル アクセスのフィールド
admin アカウントを除き、シェル アクセスは設定したシェル アクセス属性によって完全に制御されます。設定するシェル アクセス フィルタにより、シェルにログインできる LDAP サーバのユーザが決定します。
ログイン時に各シェル ユーザのホーム ディレクトリが作成されること、および(LDAP 接続を無効にすることで)LDAP シェル アクセス ユーザ アカウントが無効になっている場合はディレクトリが維持されますが、ユーザ シェルは /etc/password 内の /bin/false に設定され、シェルが無効になることに注意してください。ユーザが再度有効になると、同じホーム ディレクトリを使用してシェルがリセットされます。
シェル ユーザは、小文字、大文字、または小文字と大文字が混在するユーザ名を使用してログインすることができます。シェルのログイン認証では大文字と小文字が区別されます。
[シェル アクセス属性(Shell Access Attribute)]
ユーザがフィルタリング用に使用するアクセス属性です。シェル アクセスの有効なユーザ名が値として設定されている属性であれば、どの属性でも使用できます。
このフィールドを空白のままにした場合、シェル アクセス認証にはユーザ識別名が使用されます。
ヒント | サーバ タイプを選択し、デフォルトを設定すると、そのサーバ タイプに適した属性がこのフィールドに事前に取り込まれます。 |
[シェル アクセス フィルタ(Shell Access Filter)]
シェル アクセス用の管理ユーザのエントリを取得するために使用する属性値です。フィルタは、属性名、比較演算子、および属性値です。
[ベース フィルタと同じ(Same as Base Filter)] チェックボックスを使用すると、ベース DN で限定されるすべてのユーザが、シェル アクセス権限でも限定される場合に、より効率的に検索できます。通常、ユーザを取得する LDAP クエリは、基本フィルタとシェル アクセス フィルタを組み合わせます。シェル アクセス フィルタが基本フィルタと同一である場合は、同じクエリが 2 回実行されることになり、不必要に時間を消費することになります。[ベース フィルタと同じ(Same as Base Filter)] オプションを使用すると、この両方の目的でクエリを 1 回だけ実行することができます。
LDAP シェル アクセスの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
LDAP サーバを使用して、管理対象デバイスまたは Firepower Management Center でシェル アクセス用のアカウントを認証できます。シェル アクセスを付与するユーザの項目を取得する検索フィルタを指定します。
同一認証オブジェクトで CAC 認証および認可とシェル アクセスの両方を設定することはできません。代わりに、別の認証オブジェクトを作成し、有効にします。
シェル アクセスの認証オブジェクトは、Firepower Management Center の最初の認証オブジェクトである必要があります。
シスコは、NGIPSv デバイスまたは ASA FirePOWER デバイスの外部認証をサポートしていません。さらに、シェル アクセス認証では IPv6 がサポートされていません。
注意 | すべてのアプライアンスで、(外部認証または CLI expert コマンドで取得した)シェル アクセスを持つユーザには、シェルでの sudoers 権限がありますが、これはセキュリティ リスクを示す場合があります。外部認証を確立する場合は、シェル アクセスが付与されるユーザのリストを適切に制限してください。同様に、CLI アクセス権限を付与する場合は、構成レベルのアクセス権を持つユーザのリストを制限してください。Firepower Management Center で追加のシェル ユーザを設定しないことをお勧めします。 |
同一認証オブジェクトで CAC 認証および認可とシェル アクセスの両方を設定することはできません。[CAC] チェックボックスをオンにすると、そのページのシェル アクセス設定のオプションが無効になります。代わりに、別の認証オブジェクトを作成し、有効にします。
| ステップ 1 | [外部認証オブジェクトの作成(Create External Authentication Object)] ページで、ユーザ識別以外のシェル アクセス属性を使用する場合は、[シェル アクセス属性(Shell Access Attribute)] に入力します。 例:たとえば、Microsoft Active Directory Server で sAMAccountName シェル アクセス属性を使用してシェル アクセス ユーザを取得するには、[シェル アクセス属性(Shell Access Attribute)] フィールドに sAMAccountName と入力します。 |
| ステップ 2 | シェル アクセス アカウント フィルタを設定します。次の複数のオプションがあります。
|
次の作業
-
拡張 LDAP 認証オブジェクトの作成の説明に従って、引き続き LDAP 認証オブジェクトを作成します。
LDAP 認証接続のテスト
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
LDAP サーバを設定し、認証設定を行ったら、これらの設定をテストするため、認証できる必要があるユーザのユーザ資格情報を指定できます。
[ユーザ名(User Name)] にテストに使用するユーザの uid 属性の値を入力できます。Microsoft Active Directory Server に接続して uid の代わりに UI アクセス属性を指定する場合は、ユーザ名としてこの属性の値を使用します。ユーザの完全修飾識別名も指定できます。
テスト出力には、有効なユーザ名と無効なユーザ名が示されます。有効なユーザ名は一意のユーザ名であり、アンダースコア(_)、ピリオド(.)、ハイフン(-)、英数字を使用できます。
Web インターフェイスのページ サイズ制限のため、ユーザ数が 1000 を超えているサーバへの接続をテストする場合、返されるユーザの数は 1000 であることに注意してください。
ヒント | テスト ユーザの名前とパスワードを誤って入力すると、サーバ設定が正しい場合でもテストが失敗します。最初に、追加のテスト パラメータを使用せずにサーバ設定をテストします。正常に完了した場合は、テストする特定ユーザのユーザ名とパスワードを指定します。 |
| ステップ 1 | [外部認証オブジェクトの追加(Add External Authentication Object)] ページで、[ユーザ名(User Name)] と [パスワード(Password)] を入力します。 例:たとえば、Example 社のユーザ JSmith の資格情報を取得できるかどうかをテストするには、「JSmith」および「password」を入力します。 |
| ステップ 2 | [テスト(Test)] をクリックします。次の 2 つの対処法があります。
|
次の作業
-
LDAP 認証を有効にするには、外部認証の有効化の説明に従って、認証オブジェクトを有効にします。
LDAP 認証接続のトラブルシューティング
LDAP 認証オブジェクトを作成したが、選択したサーバへの接続が失敗したか、または必要なユーザのリストが取得されなかった場合は、そのオブジェクトの設定を調整できます。
接続のテストで接続が失敗する場合は、設定のトラブルシューティングに関する次の推奨手順を試してください。
-
ベース識別名を入力した場合は、[DN を取得(Fetch DNs)] をクリックし、サーバで使用可能なすべてのベース識別名を取得し、リストから名前を選択します。
-
基本フィルタまたはシェル アクセス フィルタを使用している場合は、フィルタがカッコで囲まれており、有効な比較演算子を使用していることを確認します。
-
より制限された基本フィルタをテストするには、特定のユーザだけを取得するため、フィルタにそのユーザのベース識別名を設定します。
-
次の構文を使用して、接続するアプライアンスでコマンド ラインから LDAP サーバに接続し、使用するクエリをテストします。
ldapsearch -x -b 'base_distinguished_name'
-h LDAPserver_ip_address -p port -v -D
'user_distinguished_name' -W 'base_filter'
たとえば、domainadmin@myrtle.example.com ユーザと基本フィルタ (cn=*) を使用して myrtle.example.com のセキュリティ ドメインに接続する場合は、次のステートメントを使用して接続をテストできます。
ldapsearch -x -b 'CN=security,DC=myrtle,DC=example,DC=com'
-h myrtle.example.com -p 389 -v -D
'domainadmin@myrtle.example.com' -W '(cn=*)'
接続のテストが正常に完了したが、プラットフォーム設定ポリシーの適用後に認証が機能しない場合は、使用する認証とオブジェクトの両方が、アプライアンスに適用されるプラットフォーム設定ポリシーで有効になっていることを確認します。
正常に接続されたが、接続で取得されたユーザ リストを調整する必要がある場合は、基本フィルタまたはシェル アクセス フィルタを追加または変更するか、ベース DN をさらに制限するかまたは制限を緩めて使用することができます。
RADIUS 認証
Remote Authentication Dial In User Service(RADIUS)は、ネットワーク リソースへのユーザ アクセスの認証、認可、およびアカウンティングに使用される認証プロトコルです。RFC 2865 に準拠するすべての RADIUS サーバで、認証オブジェクトを作成できます。
RADIUS サーバで認証されたユーザが初めてログインすると、認証オブジェクトでそのユーザに指定されている権限がユーザに付与されます。どのユーザ ロールにもリストされていないユーザには、認証オブジェクトで選択されているデフォルト アクセス権限が付与されます。認証オブジェクトでデフォルト アクセス権限が選択されていない場合は、プラットフォームの設定ポリシーに設定されているデフォルト アクセス権限が付与されます。設定が認証オブジェクトのユーザ リストを介して付与されていない場合は、必要に応じてユーザの権限を変更できます。属性照合を使用して RADIUS サーバで認証されたユーザが初めてログインしようとすると、ユーザ アカウントが作成されているためログインが拒否されることに注意してください。ユーザはもう一度ログインする必要があります。
(注) | 7000 または 8000 シリーズ デバイスで外部認証を有効にする前に、シェル アクセス フィルタに含まれている外部認証ユーザと同じユーザ名を持つ内部認証 CLI ユーザをすべて削除してください。 |
Firepower システムの RADIUS 実装では、SecurID® トークンの使用がサポートされています。SecurID を使用したサーバによる認証を設定すると、そのサーバに対して認証されているユーザが、SecurID PIN の末尾に SecurID トークンを付加し、Cisco システムへのログイン時にそれをパスワードとして使用します。SecurID が外部のユーザを認証するように適切に設定されている限り、これらのユーザは PIN と SecurID を使用して Firepower Management Center または 7000 または 8000 シリーズ デバイスにログインできるので、追加の設定は不要です。
RADIUS 認証オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
RADIUS 認証オブジェクトの作成時に、認証サーバに接続できるようにする設定を定義します。また、特定のユーザおよびデフォルト ユーザにユーザ ロールを付与します。RADIUS サーバから、認証予定のユーザのカスタム属性が返される場合は、これらのカスタム属性を定義する必要があります。オプションで、CLI またはシェル アクセス認証も設定できます。
マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [外部認証(External Authentication)] タブをクリックします。 |
| ステップ 3 | [外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。 |
| ステップ 4 | [認証方式(Authentication Method)] ドロップダウン リストから [RADIUS] を選択します。 |
| ステップ 5 | RADIUS 接続の設定の説明に従って、認証サーバを指定します。 |
| ステップ 6 | RADIUS ユーザ ロールの設定の説明に従って、ユーザ ロールを設定します。 |
| ステップ 7 | オプションで、RADIUS シェル アクセスの設定の説明に従ってシェル アクセスを設定します。 |
| ステップ 8 | オプションで、カスタム RADIUS 属性の定義の説明に従ってカスタム属性を定義します。 |
| ステップ 9 | RADIUS 認証接続のテストの説明に従って、設定をテストします。 |
例
次の図は、IP アドレスが 10.10.10.98 で FreeRADIUS が稼働しているサーバのサンプル RADIUS ログイン認証オブジェクトを示します。接続ではアクセスのためにポート 1812 が使用されること、および不使用期間が 30 秒を経過するとサーバ接続がタイムアウトになり、バックアップ認証サーバへの接続試行前に、サーバ接続が 3 回再試行されることに注意してください。
次の例は、RADIUS ユーザ ロール設定の重要な特徴を示します。
ユーザ ewharton と gsand には、この認証オブジェクトが有効になっているアプライアンスへの管理アクセスが付与されます。
ユーザ cbronte には、この認証オブジェクトが有効になっているアプライアンスへの [メンテナンス ユーザ(Maintenance User)] アクセスが付与されます。
ユーザ cbronte には、この認証オブジェクトが有効になっているアプライアンスへの [セキュリティ アナリスト(Security Analyst)] アクセスが付与されます。
ユーザ ewharton は、シェル アカウントを使用してアプライアンスにログインできます。
属性と値のペアを使用して、特定のユーザ ロールが付与される必要があるユーザを示すこともできます。使用する属性がカスタム属性の場合、そのカスタム属性を定義する必要があります。
次の図は、前述の例と同じ FreeRADIUS サーバのサンプル RADIUS ログイン認証オブジェクトでのロール設定とカスタム属性の定義を示します。
ただしこの例では、Microsoft リモート アクセス サーバが使用されているため、1 人以上のユーザの MS-RAS-Version カスタム属性が返されます。MS-RAS-Version カスタム属性は文字列であることに注意してください。この例では、Microsoft v. 5.00 リモート アクセス サーバ経由で RADIUS にログインするすべてのユーザに対し、[セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] ロールが付与される必要があります。このため、属性と値のペア MS-RAS-Version=MSRASV5.00 を [セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] フィールドに入力します。
-
RADIUS 認証を有効にするには、外部認証の有効化の説明に従って認証オブジェクトを有効にします。
RADIUS 接続の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
RADIUS 認証オブジェクトの作成時には、ローカル アプライアンス(管理対象デバイスまたは Firepower Management Center)が認証のために接続するプライマリおよびバックアップ サーバとサーバ ポートを最初に指定します。
(注) | RADIUS が正しく機能するためは、ファイアウォールで認証ポートとアカウンティング ポート(デフォルトでは 1812 および 1813)を開く必要があります。 |
バックアップ認証サーバを指定する場合は、プライマリ サーバへの接続試行操作のタイムアウトを設定できます。プライマリ認証サーバからの応答がない状態で [タイムアウト(Timeout)] フィールド(または LDAP サーバのタイムアウト)に指定された秒数が経過すると、アプライアンスはプライマリ サーバに対してクエリを再実行します。
アプライアンスがプライマリ認証サーバに対してクエリを再実行した後に、プライマリ認証サーバからの応答がない状態で [再試行(Retries)] フィールドに指定された回数を超え、[タイムアウト(Timeout)] フィールドに指定された秒数が再び経過すると、アプライアンスはバックアップ サーバにロールオーバーします。
たとえば、プライマリ サーバで RADIUS が無効な場合、アプライアンスはバックアップ サーバに対してクエリを実行します。ただし RADIUS がプライマリ RADIUS サーバのポートで実行されており、何らかの理由(誤った設定またはその他の問題など)で要求の処理を拒否する場合は、バックアップ サーバへのフェールオーバーは行われません。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [外部認証(External Authentication)] タブをクリックします。 | ||
| ステップ 3 | をクリックします。 | ||
| ステップ 4 | [認証方式(Authentication Method)] ドロップダウン リストから [RADIUS] を選択します。 | ||
| ステップ 5 | 認証サーバの名前と説明を入力します。 | ||
| ステップ 6 | 認証データを取得するプライマリ RADIUS サーバの IP アドレスまたはホスト名を [プライマリ サーバ ホスト名/IP アドレス(Primary Server Host Name/IP Address)] フィールドに入力します。
| ||
| ステップ 7 | オプションで、[プライマリ サーバ ポート(Primary Server Port)] フィールドでプライマリ RADIUS 認証サーバが使用するポートを変更します。
| ||
| ステップ 8 | プライマリ RADIUS 認証サーバの RADIUS 秘密キーを入力します。 | ||
| ステップ 9 | オプションで、認証データを取得するバックアップ RADIUS 認証サーバの IP アドレスまたはホスト名を [バックアップ サーバ ホスト名/IP アドレス(Backup Server Host Name/IP Address)] フィールドに入力します。 | ||
| ステップ 10 | バックアップ サーバを設定する場合は、[バックアップ サーバ ポート(Backup Server Port)]、[RADIUS 秘密キー(RADIUS Secret Key)]、および [タイムアウト(Timeout)] を変更し、[再試行(Retries)] フィールドに、バックアップ接続にロールオーバーするまでプライマリ サーバ接続を試行する回数を入力します。
|
次の作業
-
RADIUS 認証オブジェクトの作成の説明に従って、引き続き RADIUS 認証オブジェクトを作成します。
RADIUS ユーザ ロールの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
ユーザがログインすると、Firepower システムは RADIUS サーバを検査し、RADIUS 構成に基づいてアクセス権を付与します。
-
ユーザに対して特定のアクセス権が設定されておらず、デフォルト アクセス ロールが指定されていない場合、新しいユーザがログインすると、Firepower システムは RADIUS サーバに対してそのユーザを認証してから、プラットフォーム設定ポリシーで設定されているデフォルト アクセス ロールに基づいてユーザ権限を付与します。
-
新しいユーザがどのリストにも指定されておらず、認証オブジェクトの [デフォルト ユーザ ロール(Default User Role)] リストでデフォルト アクセス ロールが指定されている場合、ユーザにはこのデフォルト アクセス ロールが割り当てられます。
-
1 つ以上の特定のロールのリストにユーザを追加すると、割り当てられているすべてのアクセス ロールがそのユーザに付与されます。
また、ユーザ名の代わりに属性と値のペアを使用して、特定のユーザ ロールが付与される必要があるユーザを示すこともできます。たとえば、セキュリティ アナリストとする必要があるすべてのユーザの User-Category 属性の値が Analyst である場合、これらのユーザにそのロールを付与するには、[セキュリティ アナリスト リスト(Security Analyst List)] フィールドに User-Category=Analyst と入力します。
外部認証されるが、特定のロールにリストされないすべてのユーザに、デフォルトのユーザ ロールを割り当てることができます。[デフォルト ユーザ ロール(Default User Role)] リストでは、複数のロールを指定できます。
Firepower システムのユーザ管理ページで RADIUS ユーザ リスト メンバーシップが設定されているため、アクセス ロールが割り当てられているユーザの最小アクセス権を削除することはできません。ただし、追加の権限を割り当てることはできます。
注意 | ユーザの最小アクセス設定を変更するには、[RADIUS 固有パラメータ(RADIUS Specific Parameters)] セクションのリスト間でユーザを移動するかまたは RADIUS サーバでユーザの属性を変更する他に、構成を管理対象デバイスに再展開し、ユーザ管理ページで割り当てられているユーザ権限を削除する必要があります。 |
-
ユーザ ロール メンバーシップの設定に使用する場合は、カスタム RADIUS 属性の定義の説明に従ってカスタム属性を定義します。
| ステップ 1 | [外部認証オブジェクトの作成(Create External Authentication Object)] ページで、Firepower システムのユーザ ロールに対応するフィールドに、各ユーザの名前を入力するか、またはそれらのロールに割り当てる属性と値のペアを指定します。
ユーザ名と属性と値のペアは、カンマで区切ります。 例:たとえば、ユーザ jsmith と jdoe に管理者ロールを付与する場合は、[管理者(Administrator)] フィールドに jsmith, jdoe と入力します。もう 1 つの例として User-Category の値が Maintenance であるすべてのユーザにメンテナンス ユーザ ロールを付与するには、[メンテナンス ユーザ(Maintenance User)] フィールドに User-Category=Maintenance と入力します。 |
| ステップ 2 | [デフォルト ユーザ ロール(Default User Role)] リストから、指定のどのグループにも属していないユーザのデフォルト最小アクセス ロールを選択します。 |
次の作業
-
RADIUS 認証オブジェクトの作成の説明に従って、引き続き RADIUS 認証オブジェクトを作成します。
RADIUS シェル アクセスの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
RADIUS サーバを使用して、ローカル アプライアンス(管理対象デバイスまたは Firepower Management Center)で、CLI またはシェル アクセスについてアカウントを認証することもできます。CLI またはシェル アクセスを付与するユーザのユーザ名を指定します。
(注) | シェル認証では IPv6 アドレスはサポートされていません。IPv6 アドレスを使用してプライマリ RADIUS サーバを設定し、管理シェル アクセスも設定すると、シェル アクセスの設定は無視されます。プライマリ RADIUS サーバに IPv6 アドレスを使用するときにシェル認証を許可するには、サーバの IPv4 アドレスを使用して別の認証オブジェクトをセットアップし、Firepower Management Center の最初の認証オブジェクトとしてそのオブジェクトを使用します。 |
Admin アカウント以外は、RADIUS 認証オブジェクトで設定したシェル アクセス リストにより、アプライアンスでの CLI またはシェル アクセスが完全に制御されます。CLI またはシェル ユーザは、プラットフォーム設定ポリシーを展開するときに、アプライアンスでローカル ユーザとして設定されます。属性照合を使用して RADIUS サーバで認証されたユーザが初めてログインしようとすると、ユーザ アカウントが作成されているためログインが拒否されることに注意してください。ユーザはもう一度ログインする必要があります。
ログイン時に各 CLI またはシェル ユーザのホーム ディレクトリが作成されること、および(RADIUS 接続を無効にすることで)RADIUS シェル アクセス ユーザ アカウントが無効になっている場合はディレクトリが維持されますが、ユーザ シェルは /etc/password 内の /bin/false に設定され、シェルが無効になることに注意してください。ユーザが再度有効になると、同じホーム ディレクトリを使用してシェルがリセットされます。
CLI またはシェル ユーザは、小文字、大文字、または小文字と大文字が混在するユーザ名を使用してログインできます。CLI またはシェルのログイン認証では大文字と小文字が区別されます。
注意 | すべてのアプライアンスで、(外部認証または CLI expert コマンドで取得した)シェル アクセスを持つユーザには、シェルでの sudoers 権限がありますが、これはセキュリティ リスクを示す場合があります。外部認証を確立する場合は、シェル アクセスが付与されるユーザのリストを適切に制限してください。同様に、CLI アクセス権限を付与する場合は、構成レベルのアクセス権を持つユーザのリストを制限してください。Firepower Management Center で追加のシェル ユーザを設定しないことをお勧めします。 |
|
-
RADIUS 認証オブジェクトの作成の説明に従って、引き続き RADIUS 認証オブジェクトを作成します。
カスタム RADIUS 属性の定義
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
RADIUS サーバが、/etc/radiusclient/ 内の dictionary ファイルに含まれていない属性の値を返し、これらの属性を使用してユーザにユーザ ロールを設定する予定の場合は、ログイン認証オブジェクトでこれらの属性を定義する必要があります。RADIUS サーバでユーザ プロファイルを調べると、ユーザについて返される属性を見つけることができます。
属性を定義する場合は、英数字からなる属性名を指定します。属性名の中の単語を区切るには、スペースではなくダッシュを使用することに注意してください。また、指定する属性 ID は整数であり、etc/radiusclient/dictionary ファイルの既存の属性 ID と競合していてはなりません。属性のタイプ(文字列、IP アドレス、整数、または日付)も指定します。
RADIUS 認証オブジェクトの作成時に、そのオブジェクトの新しいディクショナリ ファイルがアプライアンスの /var/sf/userauth ディレクトリに作成されます。認証オブジェクトに追加するカスタム属性はすべて、そのディクショナリ ファイルに追加されます。
マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。
| ステップ 1 | [外部認証オブジェクトの追加(Add External Authentication Object)] ページで、矢印をクリックして [カスタム RADIUS 属性の定義(Define Custom RADIUS Attributes)] セクションを展開します。 | ||
| ステップ 2 | [属性名(Attribute Name)] フィールドに属性名を入力します。 | ||
| ステップ 3 | [属性 ID(Attribute ID)] フィールドに、属性 ID を整数形式で入力します。 | ||
| ステップ 4 | [属性タイプ(Attribute Type)] ドロップダウン リストから、属性のタイプを選択します。 | ||
| ステップ 5 | 認証オブジェクトにカスタム属性を追加するには、[追加(Add)] をクリックします。
|
例
シスコ ルータが接続しているネットワーク上で RADIUS サーバが使用される場合に、Ascend-Assign-IP-Pool 属性を使用して、特定の IP アドレス プールからログインするすべてのユーザに特定のロールを付与するとします。Ascend-Assign-IP-Pool は、ユーザがログインできるアドレス プールを定義する整数属性であり、割り当てられる IP アドレス プールの番号を示す整数が指定されます。
そのカスタム属性を宣言するには、属性名が Ascend-IP-Pool-Definition、属性 ID が 218、属性タイプが integer のカスタム属性を作成します。
次に、Ascend-IP-Pool-Definition 属性値が 2 のすべてのユーザに対し、読み取り専用の Security Analyst 権限を付与するには、Ascend-Assign-IP-Pool=2 を [セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] フィールドに入力します。
-
RADIUS 認証オブジェクトの作成の説明に従って、引き続き RADIUS 認証オブジェクトを作成します。
RADIUS 認証接続のテスト
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
RADIUS 接続、ユーザ ロール、およびカスタム属性を設定したら、これらの設定をテストするため、認証できる必要があるユーザのユーザ資格情報を指定できます。
UI のページ サイズ制限のため、ユーザ数が 1000 を超えているサーバへの接続をテストする場合、返されるユーザの数は 1000 であることに注意してください。
ヒント | テスト ユーザの名前とパスワードを誤って入力すると、サーバ設定が正しい場合でもテストが失敗します。サーバ設定が正しいことを確認するには、最初に [追加のテストパラメータ(Additional Test Parameters)] フィールドにユーザ情報を入力せずに [テスト(Test)] をクリックします。正常に完了した場合は、テストする特定ユーザのユーザ名とパスワードを指定します。 |
| ステップ 1 | [外部認証オブジェクトの追加(Add External Authentication Object)] ページの [ユーザ名(User Name)] フィールドと [パスワード(Password)] フィールドに、RADIUS サーバへのアクセスの検証に資格情報が使用されるユーザのユーザ名とパスワードを入力します。 例:たとえば、Example 社の jsmith のユーザ資格情報を取得できるかどうかをテストするには、「jsmith」と入力します。 |
| ステップ 2 | [詳細の表示(Show Details)] を選択し、[テスト(Test)] をクリックします。 |
| ステップ 3 | テストが成功した場合は [保存(Save)] をクリックします。 |
次の作業
-
RADIUS 認証を有効にするには、外部認証の有効化の説明に従って、認証オブジェクトを有効にします。
シングル サインオン(SSO)
シングル サインオン(SSO)により、Cisco Security Manager(CSM)バージョン 4.7 以上と Firepower Management Center を統合して、ログインの追加認証なしで CSM から Firepower Management Center にアクセスできるようにすることができます。ASA FirePOWER モジュールの管理では、モジュールに展開したポリシーの変更が必要となる場合もあります。CSM で Firepower Management Center を管理して、Web ブラウザで起動するという方法を選択することもできます。
ユーザ ロールに基づくアクセス権限がある場合、CSM でクロス起動したデバイスの [デバイス管理(Device Management)] ページの [デバイス(Device)] タブに移動します。それ以外の場合は、[サマリー ダッシュボード(Summary Dashboard)] ページ()に移動します。ただしダッシュボードにアクセスできないユーザ アカウントの場合は、[ようこそ(Welcome)] ページが使用されます。
Firepower Management Center で STIG コンプライアンスが有効にされいている場合、システムにより SSO が無効化されます。
(注) | 組織で認証に CAC が使用されている場合、シングル サインオンでログインすることはできません。 |
SSO の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
ASA FirePOWER |
任意(Any) |
Admin |
シングル サインオンを設定する前に、CSM から Firepower Management Center への一方向の暗号化認証パスを設定する必要があります。
NAT 環境では、Firepower Management Center と CSM は NAT 境界の同じ側に存在している必要があります。CSM と Firepower Management Center 間の通信を有効にする特定の基準を入力する必要があります。
(注) | 組織で認証に CAC が使用されている場合は、シングル サインオンでログインできません。 |
| ステップ 1 | CSM から、接続を識別する SSO 共有暗号キーを生成します。詳細については、CSM のマニュアルを参照してください。 |
| ステップ 2 | Firepower Management Center から、 を選択します。 |
| ステップ 3 | [CSM シングル サインオン(CSM Single Sign-on)] を選択します。 |
| ステップ 4 | CSM ホスト名または IP アドレスとサーバのポートを入力します。 |
| ステップ 5 | CSM から生成した共有キーを入力します。 |
| ステップ 6 | オプションで、Firepower Management Center のプロキシ サーバを使用して CSM と通信する場合は、[接続にプロキシを使用(Use Proxy For Connection)] チェックボックスをオンにします。 |
| ステップ 7 | [送信(Submit)] をクリックします。 |
| ステップ 8 | [証明書の確認(Confirm Certificate)] をクリックして証明書を保存します。 これで CSM から Firepower Management Center にログインできるようになります。追加のログインを実行する必要はありません。 |
フィードバック