レルムとアイデンティティ ポリシーについて
レルムは、同じディレクトリ クレデンシャルを共有する 1 つ以上の LDAP または Microsoft Active Directory サーバで構成されます。ユーザおよびユーザ グループ クエリやユーザ制御を実行したり、権限のあるアイデンティティ ソースを設定したりするには、レルムを設定する必要があります。1 つ以上のレルムを設定すると、アイデンティティ ポリシーを設定できます。
アイデンティティ ポリシーは、ネットワーク上のトラフィックを権限のあるアイデンティティ ソースおよびレルムと関連付けます。1 つ以上のアイデンティティ ポリシーを設定した後、1 つをアクセス コントロール ポリシーに関連付け、そのアクセス コントロール ポリシーを管理対象デバイスに展開できます。
レルムについて
レルムとは、Firepower Management Center とモニタリング対象のサーバ上にあるユーザ アカウントの間の接続です。レルムでは、サーバの接続設定と認証フィルタの設定を指定します。レルムでは次のことを実行できます。
-
アクティビティをモニタするユーザとユーザ グループを指定する。
-
権限のあるユーザ、および権限のあるユーザ以外の一部のユーザ(トラフィック ベースの検出で検出された POP3 および IMAP ユーザ、およびトラフィック ベースの検出、ユーザ エージェント、TS エージェント、ISE によって検出されたユーザ)のユーザ メタデータについてユーザ リポジトリに照会する。
レルム内のディレクトリとして複数のドメイン コントローラを追加できますが、同じ基本レルム情報を共有する必要があります。レルム内のディレクトリは、LDAP サーバのみ、または Active Directory(AD)サーバのみである必要があります。レルムを有効にすると、保存された変更は次回 Firepower Management Centerがサーバに照会するときに適用されます。
ユーザ認識を行うには、サポートされるすべてのサーバ タイプのレルムを設定する必要があります。システムは、これらの接続を使用して、POP3 および IMAP ユーザに関連するデータについてサーバにクエリし、トラフィック ベースの検出で検出された LDAP ユーザに関するデータを収集します。
システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory、OpenLDAP、または Oracle Directory Server Enterprise Edition サーバ上の LDAP ユーザに関連付けます。たとえば、LDAP ユーザと電子メール アドレスが同じユーザの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザのメタデータをそのユーザに関連付けます。
ユーザ制御を実行するために以下のいずれかを設定できます。
-
ユーザ エージェントまたは ISE 用の AD サーバのレルム
(注)
SGT ISE 属性条件を設定することを計画しているものの、ユーザ、グループ、レルム、エンドポイント ロケーション、エンドポイント プロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
-
TS エージェント用の AD サーバのレルム
-
キャプティブ ポータル用の AD、Oracle Directory、OpenLDAP サーバのレルム
。
ユーザ ダウンロードについて
特定の検出されたユーザの、次のユーザとユーザ グループのメタデータを取得するために、Firepower Management Center と LDAP サーバまたは AD サーバとの間の接続を確立するためのレルムを設定することができます。
-
キャプティブ ポータルで認証された、あるいはユーザ エージェントまたは ISE で報告された LDAP および AD ユーザ。このメタデータは、ユーザ認識とユーザ制御に使用できます。
-
トラフィック ベースの検出で検出された POP3 と IMAP ユーザ ログイン(ユーザが LDAP または AD ユーザと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
レルム内のディレクトリとして、LDAP サーバまたは Active Directory ドメイン コントローラ接続を設定します。ユーザ認識とユーザ制御のためにレルムのユーザおよびユーザ グループ データをダウンロードするには、[アクセス コントロールのためのユーザおよびユーザ グループのダウンロード(Download users and user groups for access control)] をオンにする必要があります。
Firepower Management Centerは、ユーザごとに次の情報とメタデータを取得します。
-
LDAP ユーザ名
-
姓と名
-
電子メール アドレス(Email address)
-
部署名(Department)
-
電話番号(Telephone number)
ユーザ アクティビティ データについて
ユーザ アクティビティ データはユーザ アクティビティ データベースに保存され、ユーザのアイデンティティ データはユーザ データベースに保存されます。アクセス制御で保存できる使用可能なユーザの最大数は Firepower Management Center モデルによって異なります。含めるユーザとグループを選択するときは、ユーザの総数がモデルの上限より少ないことを確認してください。アクセス制御パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザの数をメッセージ センターの [タスク(Tasks)] タブ ページで報告します。
(注) |
ユーザ リポジトリからシステムによって検出されたユーザを削除しても、Firepower Management Center はユーザ データベースからそのユーザを削除しません。そのため、手動で削除する必要があります。ただし、LDAP に対する変更は、Firepower Management Center が次に権限のあるユーザのリストを更新したときにアクセス コントロール ルールに反映されます。 |
レルムおよび信頼できるドメイン
Firepower Management Center でレルムを設定すると、そのレルムは Active Directory または LDAP ドメインに関連付けられます。
互いに信頼する Microsoft Active Directory(AD)ドメインのグループ化は、一般的にフォレストと呼ばれます。この信頼関係により、ドメインは異なる方法で互いのリソースにアクセスできます。たとえば、ドメイン A で定義されたユーザ アカウントに、ドメイン B で定義されたグループのメンバーとしてマークを付けることができます。
Firepower システムは、信頼できる AD ドメインをサポートしていません。つまり、Firepower システムは、どのドメインが互いに信頼しているかを追跡せず、どのドメインが互いの親ドメインまたは子ドメインかを認識しません。また、Firepower システムでは、信頼関係が Firepower システム外で実施される場合でも、クロスドメイン信頼を使用する環境のサポートを保証するテストがまだ行われていません。
詳細については、レルムとユーザのダウンロードのトラブルシュートを参照してください。
レルムがサポートされているサーバ
レルムを設定して次のサーバ タイプに接続すると、Firepower Management Centerからの TCP/IP アクセスを提供できます。
サーバ タイプ(Server Type) |
ユーザ認識によるデータ取得のサポート |
ユーザ エージェントによるデータ取得のサポート |
ISE によるデータ取得のサポート |
TS エージェントによるデータ取得のサポート |
キャプティブ ポータルによるデータ取得のサポート |
---|---|---|---|---|---|
Windows Server 2008 と Windows Server 2012 上の Microsoft Active Directory |
○ |
○ |
○ |
○ |
○ |
Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0 |
○ |
× |
○ |
× |
○ |
Linux 上の OpenLDAP |
○ |
× |
× |
× |
○ |
(注) |
TS エージェントが別のパッシブ認証 ID ソース(ユーザ エージェントまたは ISE)と共有されている Windows サーバ上の Microsoft Active Directory にインストールされている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。 |
サーバ グループの設定に関して次の点に注意してください。
-
ユーザ グループまたはグループ内のユーザに対してユーザ制御を実行するには、LDAP または Active Directory サーバでユーザ グループを設定する必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、Firepower Management Centerはユーザ グループ制御を実行できません。
-
グループ名は LDAP で内部的に使用されているため、S- で開始することはできません。
グループ名または組織単位名には、アスタリスク(
*
)、イコール(=
)、バックスラッシュ(\
)などの特殊文字は使用できません。使用すると、それらのグループまたは組織単位内のユーザはダウンロードされず、アイデンティティ ポリシーでは使用できません。 - サーバ上のサブグループのメンバーであるユーザを含む(または除外する)Active Directory レルムを設定するには、Windows Server 2008 または 2012 では、Active Directory のグループあたりのユーザ数が
5000 人以下であることが Microsoft により推奨されていることに注意してください。詳細については、MSDN の「Active Directory Maximum Limits—Scalability」を参照してください。
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるよう Active Directory サーバの設定を変更できます。
-
ターミナル サービス環境でサーバにより報告されるユーザを一意に識別するには、Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザに別個のポートを割り当て、Firepower System はこれらのユーザを一意に識別できるようになります。
TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
サポートされているサーバ オブジェクト クラスと属性名
Firepower Management Centerがサーバからユーザ メタデータを取得できるようにするには、レルム内のサーバが、次の表に記載されている属性名を使用する必要があります。サーバ上の属性名が正しくない場合、Firepower Management Center はその属性の情報を使ってデータベースに入力できなくなります。
メタデータ(Metadata) |
Management Center 属性 |
LDAP オブジェクト クラス |
Active Directory 属性 |
Oracle Directory Server 属性 |
OpenLDAP 属性 |
---|---|---|---|---|---|
LDAP user name |
[ユーザ名(Username)] |
ユーザまたは inetOrgPerson |
samaccountname |
cn uid |
cn uid |
first name |
名 |
givenname |
givenname |
givenname |
|
last name |
姓 |
sn |
sn |
sn |
|
メール アドレス |
E メール |
メール アドレス userprincipalname(mail に値が設定されていない場合) |
メール アドレス |
メール アドレス |
|
部署 |
部署名(Department) |
部署 distinguishedname(department に値が設定されていない場合) |
部署 |
ou |
|
電話番号 |
電話 |
telephonenumber |
適用対象外 |
telephonenumber |
(注) |
グループの LDAP オブジェクト クラスは、group、groupOfNames(Active Directory の場合は group-of-names)、または groupOfUniqueNames です。 |
オブジェクト クラスと属性の詳細については、次のリファレンスを参照してください。
-
Microsoft Active Directory:
-
Oracle:
-
オブジェクト クラス:docs.oracle.com の「LDAP Object Class Reference」
-
属性:docs.oracle.com の「LDAP Attribute Reference」
-
-
OpenLDAP:RFC 4512
レルムとユーザのダウンロードのトラブルシュート
予期しないサーバ接続の動作に気付いたら、レルム設定、デバイス設定、またはサーバ設定の調整を検討してください。関連の他のトラブルシューティングについては、次を参照してください。
症状:アクセス コントロール ポリシーがグループのメンバーシップと一致しない
この解決策は、他の AD ドメインとの信頼関係にある AD ドメインに適用されます。以下の説明で、外部ドメイン ドメインは、ユーザがログインするドメイン以外のドメインを指します。
ユーザが信頼されている外部ドメインで定義されたグループに属している場合、Firepower は外部ドメインのメンバーシップを追跡しません。たとえば、次のシナリオを考えてください。
-
ドメイン コントローラ 1 と 2 は相互に信頼している
-
グループ A はドメイン コントローラ 2 で定義されている
-
コントローラ 1 のユーザ mparvinder はグループ A のメンバーである
ユーザ mparvinder はグループ A に属しているが、メンバーシップ グループ A を指定する Firepower のアクセス コントロール ポリシー ルールが一致しません。
解決策:グループ A に属する、すべてのドメイン 1 のアカウントを含むドメイン コントローラ 1 に同様のグループを作成します。グループ A またはグループ B のすべてのメンバーに一致するように、アクセス コントロール ポリシー ルールを変更します。
症状:アクセス コントロール ポリシーが子ドメインのメンバーシップと一致しない
ユーザが親ドメインの子であるドメインに属している場合、Firepower はドメイン間の親/子関係を追跡しません。たとえば、次のシナリオを考えてください。
-
ドメイン child.parent.com はドメイン parent.com の子である
-
ユーザ mparvinder は child.parent.com で定義されている
ユーザ mparvinder が子ドメインに属しているが、parent.com と一致する Firepower アクセス コントロール ポリシーが child.parent.com ドメインの mparvinder と一致しません。
解決策:parent.com または child.parent.com のいずれかのメンバーシップに一致するようにアクセス コントロール ポリシー ルールを変更します。
症状:レルムまたはレルム ディレクトリのテストが失敗する
ディレクトリ ページの [テスト(Test)] ボタンは、入力したホスト名または IP アドレスに LDAP クエリを送信します。失敗した場合は、次を確認してください。
-
入力した [ホスト名(Hostname)] が、LDAP サーバまたは Active Directory ドメイン コントローラの IP アドレスに解決される。
-
入力した [IPアドレス(IP Address)] が有効である。
レルム設定ページの [AD参加のテスト(Test AD Join)] ボタンは、次のことを確認します。
-
DNS が、[ADプライマリドメイン(AD Primary Domain)] を LDAP サーバまたは Active Directory ドメイン コントローラの IP アドレスに解決される。
-
[AD参加ユーザ名(AD Join Username)] と [AD参加パスワード(AD Join Password)] が正しい。
[AD参加ユーザ名(AD Join Username)] は完全修飾名である必要があります(たとえば、administrator ではなく administrator@mydomain.com を使用します)。
-
ドメイン内にコンピュータを作成し、ドメインに Firepower Management Center をドメイン コンピュータとして参加させるための十分な権限がユーザにある。
症状:予期しない時間にユーザ タイムアウトが発生する
予期しない間隔でユーザ タイムアウトが実行されていることに気付いたら、ユーザ エージェント、ISE、TS エージェント サーバの時間が Firepower Management Centerの時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
症状:レルム設定で指定したようにユーザが含まれない、または除外されない
サーバのサブグループのメンバーであるユーザを選別できる Active Directory レルムを設定する際は、Microsoft Windows サーバが報告するユーザの数を以下に制限することに注意します。
-
Windows サーバ 2008 または 2012 では、グループごとに 5000 ユーザまで。Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるようサーバの設定を変更できます。
症状:ユーザがダウンロードされない
考えられる原因は次のとおりです。
-
レルムの [タイプ(Type)] が正しく設定されていない場合は、FirePOWER システムにより必要とされる属性とリポジトリにより提供される属性が一致しないため、ユーザとグループをダウンロードできません。たとえば、Microsoft Active Directory レルムの [タイプ(Type)] を [LDAP] として設定すると、FirePOWER システムでは
uid
属性が必要になり、この属性は Active Directory ではnone
に設定されています。(Active Directory リポジトリでは、ユーザ ID にsAMAccountName
が使用されます。)ソリューション:レルムの [タイプ(Type)] フィールドを適切に設定します。Microsoft Active Directory の場合は [AD] に設定し、サポートされている別の LDAP リポジトリの場合は [LDAP] に設定します。
-
グループ名または組織単位名に特殊文字が使用されている Active Directory グループのユーザは、アイデンティティ ポリシー ルールで使用できない可能性があります。たとえば、グループ名または組織単位名にアスタリスク(
*
)、イコール(=
)、バックスラッシュ(\
)などの特殊文字が含まれている場合、これらのグループ内のユーザはダウンロードされず、アイデンティティ ポリシーで使用できません。解決策:グループ名または組織単位名から特殊文字を削除します。
症状:未知の ISE とユーザ エージェントのユーザのユーザ データが Web インターフェイスで表示されない
システムはデータがまだデータベースにない ISE、ユーザエージェントまたは TS エージェントユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Microsoft Windows サーバからこの情報を正常に取得するためにさらに時間がかかることもあります。データ取得が成功するまで、ISE、ユーザエージェント、TS エージェントユーザから見えるアクティビティは Web インターフェイスに表示されません。
これにより、アクセス制御ルールを使ったユーザトラフィックの処理も妨げられることがある点に注意します。
症状:イベントのユーザ データが想定外の内容になる
ユーザやユーザアクティビティイベントに想定外の IP アドレスが含まれる場合は、レルムを確認します。複数のレルムに同一の [AD プライマリ ドメイン(AD Primary Domain)] の値を設定することはできません。
症状:ターミナル サーバからログインしたユーザが、システムによって一意に識別されない
導入されている構成にターミナルサーバが含まれ、これに接続されている 1 つまたは複数のサーバにレルムが設定されている場合は、ターミナルサーバ環境でのユーザログインを正確に報告するため Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザに別個のポートを割り当て、Firepower System はこれらのユーザを Web インターフェイスで一意に識別できるようになります。
TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
アイデンティティ ポリシーについて
アイデンティティ ポリシーには、アイデンティティ ルールが含まれます。アイデンティティ ルールでは、トラフィックのセットを、レルムおよび認証方式(パッシブ認証、アクティブ認証、または認証なし)と関連付けます。
このトピックの最後に記載されている例外を除き、使用する予定のレルムと認証方式を、アイデンティティ ルールで起動する前に設定する必要があります。
-
レルムの作成を参照してください。
でアイデンティティ ポリシー外のレルムを設定します。詳細については、 -
パッシブ認証のアイデンティティ ソースであるユーザ エージェントと ISE は、ユーザ制御のためのユーザ エージェントの設定およびユーザ制御用 ISE の設定を参照してください。
で設定します。詳細については、 -
パッシブ認証のアイデンティティ ソースである TS エージェントについては、Firepower システムの外で設定します。詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
-
アクティブ認証のアイデンティティ ソースであるキャプティブ ポータルについては、アイデンティティ ポリシー内で設定します。詳細については、ユーザ制御のためのキャプティブ ポータルの設定方法を参照してください。
単一のアイデンティティ ポリシーに複数のアイデンティティ ルールを追加した後、ルールの順番を決めます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールがそのトラフィックを処理するルールです。
1 つ以上のアイデンティティ ポリシーを設定した後、1 つのアイデンティティ ポリシーをアクセス コントロール ポリシーに関連付ける必要があります。ネットワークのトラフィックがアイデンティティ ルールの条件と一致する場合、システムはトラフィックを指定されたレルムと関連付け、指定されたアイデンティティ ソースを使用してトラフィックのユーザを認証します。
アイデンティティ ポリシーを設定しない場合、システムはユーザ認証を実行しません。
アイデンティティ ポリシーの作成に関する例外
次のすべてに該当する場合、アイデンティティ ポリシーは必要ありません。
-
ISE アイデンティティ ソースを使用できます。
-
アクセス コントロール ポリシーのユーザまたはグループは使用しません。
-
アクセス コントロール ポリシーのセキュリティ グループ タグ(SGT)を使用します。詳細については、ISE SGT とカスタム SGT ルール条件との比較を参照してください。