FireSIGHT システム ユーザ ガイド バージョン 5.3.1
ユーザの管理
ユーザの管理
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ユーザの管理

ユーザ認証について

内部認証について

外部認証について

ユーザ特権について

認証オブジェクトの管理

LDAP 認証について

デフォルトの設定

ベース DN の設定

基本フィルタ の設定

偽装アカウントの選択

LDAP 接続の暗号化

ユーザ名テンプレートの設定

接続タイムアウトの設定

属性を使用したアクセスの管理

グループ メンバーシップを使用したアクセスの管理

シェル アクセスのセットアップ

接続のテスト

LDAP 認証オブジェクトの作成の準備

LDAP 認証のクイック スタート

LDAP 認証接続の調整

拡張 LDAP 認証オブジェクトの作成

LDAP 認証サーバの指定

LDAP 固有パラメータの設定

グループによるアクセスの設定

管理シェル アクセスの設定

ユーザ認証のテスト

LDAP 認証オブジェクトの例

例:基本 LDAP 設定

例:詳細な LDAP 設定

LDAP 認証オブジェクトの編集

RADIUS 認証について

RADIUS 認証オブジェクトの作成

RADIUS 接続の設定

RADIUS ユーザ ロールの設定

管理シェル アクセスの設定

カスタム RADIUS 属性の定義

ユーザ認証のテスト

RADIUS 認証オブジェクトの例

RADIUS を使用したユーザの認証

カスタム属性を使用したユーザの認証

RADIUS 認証オブジェクトの編集

認証オブジェクトの削除

ユーザ アカウントの管理

ユーザ アカウントの表示

新しいユーザ アカウントの追加

コマンド ライン アクセスの管理

外部認証ユーザ アカウントの管理

ユーザ ログイン設定の管理

ユーザ ロールの設定

事前定義ユーザ ロールの管理

カスタム ユーザ ロールの管理

事前定義ユーザ ロールのカスタム コピーの作成

カスタム ユーザ ロールの削除

ユーザ特権とオプションの変更

制限付きユーザ アクセス プロパティについて

ユーザ パスワードの変更

ユーザ アカウントの削除

アカウント特権について

[Overview] メニュー

[Analysis] メニュー

[Policies]メニュー

[Devices] メニュー

Object Manager

ユーザの管理

ユーザ アカウントに Administrator アクセスが付与されている場合、防御センターまたは管理対象デバイスの Web インターフェイスにアクセス可能なユーザ アカウントを管理できます。防御センターでは、内部データベースではなく、外部認証サーバを使用したユーザ認証をセットアップすることもできます。

詳細については、次の項を参照してください。

「シスコユーザ認証について」

「認証オブジェクトの管理」

「ユーザ アカウントの管理」

「ユーザ ロール エスカレーションの管理」

「Cisco Security Manager からのシングル サインオンの設定」

シスコユーザ認証について

ライセンス:任意

ユーザが Web インターフェイスにログインすると、アプライアンスがローカルのユーザ リストでユーザ名とパスワードに一致するものを検索します。このプロセスは 認証 と呼ばれます。認証には、内部認証と外部認証の 2 種類があります。ユーザ アカウントで内部 認証 が使用される場合、認証プロセスはローカル データベースでこのリストを確認します。アカウントで 外部認証 が使用される場合、プロセスはローカル データベースにユーザが存在するかどうかを調べ、ユーザがローカル データベースに存在しない場合は外部サーバ(Lightweight Directory Access Protocol(LDAP)ディレクトリ サーバ、Remote Authentication Dial In User Service(RADIUS)認証サーバなど)に対してユーザ リストを照会します。

 

内部認証または外部認証を使用するユーザの場合、ユーザのアクセス許可を制御できます。外部認証を使用するユーザには、ユーザのアクセス許可を手動で変更していない限り、ユーザが属するグループまたはアクセス リストの権限、またはサーバ認証オブジェクトあるいは管理元の防御センターのシステム ポリシーで設定したデフォルト ユーザ アクセス ロールに基づくアクセス許可が付与されます。

詳細については、次の項を参照してください。

「内部認証について」

「外部認証について」

「ユーザ特権について」

内部認証について

ライセンス:任意

デフォルトでは、ユーザがログインするときに、FireSIGHT システムは内部認証を使用してユーザ資格情報を検査します。内部認証は、ユーザ名とパスワードが内部 FireSIGHT システム データベースのレコードと照合されるときに発生します。ユーザの作成時に外部認証を有効にしないと、ユーザ資格情報は内部データベースで管理されます。

各内部認証ユーザは手動で作成されるため、ユーザを作成するときにアクセス設定を行います。デフォルト設定は必要ありません。


外部認証を有効にした場合に、内部認証ユーザと同一のユーザ名が外部サーバに存在し、外部サーバでそのユーザに対して保存されているパスワードを使用してユーザがログインすると、内部認証ユーザが外部認証に変換されることに注意してください。内部認証ユーザを外部認証ユーザに変換した後で、内部認証に戻すことはできません。


外部認証について

ライセンス:任意

外部認証は、防御センターまたは管理対象デバイスが LDAP ディレクトリ サーバまたは RADIUS 認証サーバなどの外部リポジトリからユーザ資格情報を取得するときに発生します。外部認証のタイプには、LDAP 認証と RADIUS 認証があります。アプライアンスに対して使用できる外部認証形式は 1 つだけであることに注意してください。

外部認証を使用する場合、ユーザ情報を要求する外部認証サーバごとに、 認証オブジェクト を設定する必要があります。認証オブジェクトには、そのサーバに接続してユーザ データを取得するための設定が含まれています。管理元の防御センターのシステム ポリシーでそのオブジェクトを有効にし、そのポリシーをアプライアンスに適用して認証を有効にすることができます。外部認証ユーザがログインすると、Web インターフェイスは、システム ポリシーにリストされている順序で各認証サーバを調べ、そのユーザがリストされているかどうかを確認します。

ユーザの作成時に、そのユーザに対し内部認証または外部認証のいずれが実行されるかを指定できます。


シリーズ 3 管理対象デバイスで外部認証を有効にする前に、シェル アクセス フィルタに含まれている外部認証ユーザと同じユーザ名を持つ内部認証シェル ユーザをすべて削除してください。


管理対象デバイスで外部認証を有効にするために、そのデバイスにシステム ポリシーをプッシュできますが、デバイスの Web インターフェイスから認証オブジェクトを制御することはできません。新規ユーザに対して外部認証を選択すると、デバイスでは外部認証の設定だけが行われます。管理対象デバイスで外部認証を無効にする場合は、管理元の防御センターのシステム ポリシーで外部認証を無効にし、デバイスにポリシーを再適用します。また、デバイス自体に(管理対象デバイスで作成された)ローカル システム ポリシーを適用すると、外部認証も無効になります。


ヒント システム ポリシーをエクスポートするには、インポート/エクスポート機能を使用できます。外部認証が有効になっているポリシーをエクスポートすると、認証オブジェクトがそのポリシーとともにエクスポートされます。その後、別の防御センターにそのポリシーとオブジェクトをインポートできます。ポリシーと認証オブジェクトを管理対象デバイスにインポートしないでください

各種外部認証の詳細については、次の項を参照してください。

「LDAP 認証について」

「RADIUS 認証について」

ユーザ特権について

ライセンス:任意

FireSIGHT システムでは、ユーザのロールに基づいてユーザ特権を割り当てることができます。たとえばアナリストは通常、監視対象ネットワークのセキュリティを分析するためイベント データへのアクセスが必要ですが、FireSIGHT システム自体の管理機能へのアクセス権は必要としません。アナリストに対し、Security Analyst や Discovery Admin などの事前定義ロールを付与し、FireSIGHT システムを管理するネットワーク管理者に対し Administrator ロールを予約することができます。また、組織のニーズに合わせて調整されたアクセス権限を含むカスタム ユーザ ロールを作成できます。

防御センターのシステム ポリシーでは、外部認証されるすべてのユーザのデフォルト アクセス ロールを設定します。外部認証ユーザの初回ログイン後に、[User Management] ページで、そのユーザのアクセス権を追加または削除できます。ユーザの権限を変更しない場合、そのユーザにはデフォルトで付与される権限のみが設定されます。内部認証ユーザは手動で作成されるため、内部認証ユーザの作成時にアクセス権を設定します。

LDAP グループを使用したアクセス権の管理を設定した場合、ユーザのアクセス権は LDAP グループ メンバーシップに基づいています。属しているグループの中で最も高いレベルのアクセスを持つグループのデフォルト アクセス権が付与されます。ユーザがどのグループにも属していない場合にグループ アクセスを設定した場合、ユーザには、LDAP サーバの認証オブジェクトで設定されているデフォルト ユーザ アクセス権が付与されます。グループ アクセスを設定すると、それらの設定によってシステム ポリシーのデフォルト アクセス設定がオーバーライドされます。

同様に、RADIUS 認証オブジェクトの特定のユーザ ロール リストにユーザを割り当てると、1 つ以上のロールが相互に矛盾しない限り、割り当てられたすべてのロールがそのユーザに付与されます。2 つの相互に矛盾するロールのリストにユーザが含まれている場合、最も高いレベルのアクセスを持つロールが付与されます。ユーザがどのリストにも属しておらず、認証オブジェクトでデフォルト アクセス ロールを設定している場合、ユーザにはそのデフォルト アクセス ロールが付与されます。認証オブジェクトでデフォルト アクセスを設定すると、それらの設定によってシステム ポリシーのデフォルト アクセス設定がオーバーライドされます。

FireSIGHT システムでは、ライセンスされている機能に応じて、次に示す事前定義ユーザ ロールがサポートされています。これらのロールは、優先度順にリストされています。

Access Admin はアクセス制御ポリシーとファイル ポリシーを表示、変更できますが、ポリシーの変更を適用することはできません。

Administrator は、アプライアンスのネットワーク設定をセットアップし、ユーザ アカウントおよびCollective Security Intelligence クラウド 接続を管理し、システム ポリシーとシステム設定を設定できます。Administrator ロールが割り当てられているユーザは、その他のすべてのロールのすべての権限と特権を持ちます(ただしこれらの特権の制限付きの低いバージョンは除きます)。

Discovery Admin は、ネットワーク検出ポリシーを確認、変更、削除できますが、ポリシー変更を適用することはできません。

External Database ユーザは、JDBC SSL 接続をサポートする外部アプリケーションを使用して FireSIGHT システム データベースに対してクエリを実行できます。Web インターフェイスでは、オンライン ヘルプとユーザ設定にアクセスできます。

Intrusion Admin は、侵入ポリシーと侵入ルールを確認、変更、削除できます。

Maintenance User は、監視機能(ヘルス モニタ、ホスト統計、パフォーマンス データ、システム ログなど)と保守機能(タスク スケジューリング、システムのバックアップなど)にアクセスできます。

Maintenance User は、[Policies] メニューの機能にはアクセスできず、[Analysis] メニューからダッシュボードへのアクセスだけが可能であることに注意してください。

Network Admin は、デバイス設定を確認、変更、適用し、(ファイル ポリシーではなく)アクセス制御ポリシーを確認、変更できます。

Security Approver は、設定およびポリシーの変更を確認、適用できますが、作成することはできません。

Security Analyst は、侵入、ディスカバリ、ユーザ アクティビティ、接続、相関、およびネットワーク変更の各イベントを確認、分析、削除できます。ホスト、ホスト属性、サービス、脆弱性、およびクライアント アプリケーションの確認、分析、および(該当する場合は)削除を行うことができます。Security Analyst は、レポートを生成し、ヘルス イベントを確認することもできます(ただしヘルス イベントの削除と変更はできません)。

Security Analysts(読み取り専用) には、Security Analyst と同じ権限が含まれていますが、イベントの削除はできません。

前述の事前定義ロールの他に、特別なアクセス権限を含むカスタム ユーザ ロールを設定できます。どのロールでも、外部認証ユーザのデフォルト アクセス ロールとして設定できます。

外部認証ユーザ アカウントにユーザ ロール エスカレーション特権を付与できます。また、外部認証ユーザのパスワードをエスカレーション パスワードとして使用できます。詳細については、「ユーザ ロール エスカレーションの管理」を参照してください。

認証オブジェクトの管理

ライセンス:任意

認証オブジェクトは、外部認証サーバのサーバ プロファイルであり、これらのサーバの接続設定と認証フィルタ設定が含まれています。防御センターで認証オブジェクトを作成、管理、および削除できます。これらの作業の詳細については、次の項を参照してください。

「LDAP 認証について」

「LDAP 認証オブジェクトの作成の準備」

「LDAP 認証のクイック スタート」

「LDAP 認証接続の調整」

「拡張 LDAP 認証オブジェクトの作成」

「LDAP 認証オブジェクトの例」

「LDAP 認証オブジェクトの編集」

「RADIUS 認証オブジェクトの作成」

「RADIUS 認証オブジェクトの例」

「RADIUS 認証オブジェクトの編集」

「認証オブジェクトの削除」

LDAP 認証について

ライセンス:任意

LDAP(Lightweight Directory Access Protocol)により、ユーザ資格情報などのオブジェクトをまとめるためのディレクトリをネットワーク上の一元化されたロケーションにセットアップできます。その後複数のアプリケーションが、これらの資格情報と、資格情報の記述に使用される情報にアクセスできます。ユーザの資格情報を変更する必要がある場合は、1 か所で変更でき、FireSIGHT システム アプライアンスごとに資格情報を変更する必要はありません。

LDAP 認証オブジェクトは防御センターで作成できますが、ほかの FireSIGHT システム アプライアンスでは作成できません。ただし、オブジェクトが有効に設定されているシステム ポリシーをアプライアンスに適用することで、アプライアンスで外部認証オブジェクトを使用できます。ポリシーを適用すると、オブジェクトがアプライアンスにコピーされます。


シリーズ 3 管理対象デバイスで外部認証を有効にする前に、シェル アクセス フィルタに含まれている外部認証ユーザと同じユーザ名を持つ内部認証シェル ユーザをすべて削除してください。


LDAP 命名標準は、アドレスの指定と、認証オブジェクトのフィルタおよび属性の構文に使用できることに注意してください。詳細については、『Lightweight Directory Access Protocol (v3): Technical Specification』(RFC 3377)に記載されている RFC を参照してください。この手順では構文の例が示されています。Microsoft Active Directory Server へ接続するための認証オブジェクトをセットアップするときに、ドメインを含むユーザ名を参照する場合には、Internet RFC 822(Standard for the Format of ARPA Internet Text Messages)仕様に記載されているアドレス指定構文を使用できることに注意してください。たとえばユーザ オブジェクトを参照する場合は、 JoeSmith@security.example.com と入力し、Microsoft Active Directory Sever を使用する場合の同等のユーザ識別名 cn=JoeSmith,ou=security, dc=example,dc=com は使用しません。


現在シスコは、Microsoft Active Directory on Windows Server 2003 および Windows Server 2008、Windows Server 2003 および Windows Server 2008 上の Oracle Directory Server Enterprise Edition 7.0、または OpenLDAP on Linux が稼働する LDAP サーバでの LDAP 外部認証をサポートしています。ただしシスコでは、仮想デバイスまたは Sourcefire Software for X-Series の外部認証をサポートしていません。


詳細については、次の項を参照してください。

「デフォルトの設定」

「ベース DN の設定」

「基本フィルタ の設定」

「偽装アカウントの選択」

「LDAP 接続の暗号化」

「ユーザ名テンプレートの設定」

「接続タイムアウトの設定」

「属性を使用したアクセスの管理」

「グループ メンバーシップを使用したアクセスの管理」

「シェル アクセスのセットアップ」

「接続のテスト」

デフォルトの設定

ライセンス:任意

ユーザが接続する予定のサーバのタイプに基づいて、各種フィールドにデフォルト値を移入できます。サーバのタイプを選択してデフォルトを設定すると、[User Name Template]、[UI Access Attribute]、[Shell Access Attribute]、[Group Member Attribute]、[Group Member URL Attribute] の各フィールドにデフォルト値が取り込まれます。

ベース DN の設定

ライセンス:任意

ローカル アプライアンスが認証サーバのユーザ情報を取得するため LDAP サーバを検索するときには、検索起点が必要となります。ローカル アプライアンスにより検索されるツリーを指定するには、ベース識別名( ベース DN )を指定します。

通常、ベース DN には、企業ドメインおよび部門を示す基本構造があります。たとえば、Example 社のセキュリティ(Security)部門のベース DN は、 ou=security,dc=example,dc=com となります。

プライマリ サーバの指定後に、使用可能なベース DN のリストをプライマリ サーバから自動的に取得し、適切なベース DN を選択できます。

基本フィルタ の設定

ライセンス:任意

特定の属性に特定の値を設定する 基本フィルタ を追加できます。基本フィルタでは、ベース DN でフィルタに設定されている属性値を含むオブジェクトだけを取得することで、検索を絞り込みます。基本フィルタはカッコで囲みます。たとえば、F で始まる一般名を持つユーザのみをフィルタで検出するには、フィルタ (cn=F*) を使用します。

テスト ユーザ名とパスワードを入力して基本フィルタをより具体的にテストするには「ユーザ認証のテスト」を参照してください。

偽装アカウントの選択

ライセンス:任意

ローカル アプライアンスがユーザ オブジェクトにアクセスできるようにするには、偽装アカウントのユーザ資格情報を指定する必要があります。 偽装アカウント とは、ベース DN によって指定されるディレクトリを参照し、必要なユーザ オブジェクトを取得するための適切な権限が付与されているユーザ アカウントです。指定するユーザの識別名は、サーバのツリーで一意である必要があることに注意してください。

LDAP 接続の暗号化

ライセンス:任意

LDAP 接続の暗号化方式を管理できます。暗号化なし、Transport Layer Security(TLS)、または Secure Sockets Layer(SSL)暗号化を選択できます。

TLS または SSL 経由での接続時に認証に証明書を使用する場合、証明書の LDAP サーバ名が、[Host Name/IP Address] フィールドで使用する名前と一致している 必要がある ことに注意してください。たとえば、認証プロファイルに 10.10.10.250 と入力し、証明書に computer1.example.com と入力すると、接続は失敗します。認証プロファイルのサーバ名を computer1.example.com に変更すると、接続が正常に行われます。

ポートを指定した後で暗号化方式を変更すると、ポートが、選択されているサーバ タイプのデフォルト値にリセットされることに注意してください。

ユーザ名テンプレートの設定

ライセンス:任意

ユーザ名テンプレートを選択する場合、文字列変換文字( %s )をユーザのシェル アクセス属性の値にマッピングすることで、ログイン時に入力されるユーザ名の形式を指定できます。ユーザ名テンプレートは、認証に使用する識別名の形式です。ユーザがログイン ページにユーザ名を入力すると、文字列変換文字が名前に置き換えられ、その結果生成される識別名がユーザ資格情報の検索に使用されます。

たとえば、Example 社のセキュリティ(Security)部門のユーザ名テンプレートを設定するには、 %s@security.example.com と入力します。

接続タイムアウトの設定

ライセンス:任意

バックアップ認証サーバを指定する場合は、プライマリ サーバへの接続試行操作のタイムアウトを設定できます。プライマリ認証サーバから応答がない状態でタイムアウト期間が経過すると、アプライアンスはバックアップ サーバに対してクエリを実行します。たとえば、プライマリ サーバで LDAP が無効な場合、アプライアンスはバックアップ サーバに対してクエリを実行します。

ただし LDAP がプライマリ LDAP サーバのポートで実行されており、何らかの理由(誤った設定またはその他の問題など)で要求の処理を拒否する場合は、バックアップ サーバへのフェールオーバーは行われません。

属性を使用したアクセスの管理

ライセンス:任意

LDAP サーバのタイプによって、ユーザ データの保管に使用される属性が異なります。LDAP サーバが UI アクセス属性 uid を使用する場合、ローカル アプライアンスは、設定されたベース DN が示すツリー内の各オブジェクトで uid 属性値を調べます。特定の UI アクセス属性を設定しない場合、ローカル アプライアンスは、LDAP サーバの各ユーザ レコードの識別名を調べ、ユーザ名に一致しているかどうかを確認します。いずれかのオブジェクトに一致するユーザ名とパスワードがある場合は、ユーザ ログイン要求が認証されます。

異なる LDAP 属性を使用して、ローカル アプライアンスが、識別名の値ではなく LDAP 属性に対してユーザ名を照合するようにできます。サーバ タイプを選択し、デフォルトを設定すると、そのサーバ タイプに適した UI アクセス属性に値が取り込まれます。いずれかのオブジェクトに、指定した属性の値として一致するユーザ名とパスワードがある場合は、ユーザ ログイン要求が認証されます。FireSIGHT システム Web インターフェイスの有効なユーザ名が値として設定されている属性であれば、どの属性でも使用できます。有効なユーザ名は一意のユーザ名であり、アンダースコア(_)、ピリオド(.)、ハイフン(-)、英数字を使用できます。

LDAP サーバのシェル アクセス属性はシェル アクセス属性として機能します。LDAP サーバが uid を使用する場合、ローカル アプライアンスはログイン時に入力されたユーザ名を、 uid の属性値と照合して調べます。また、 uid 以外のカスタム シェル アクセス属性も設定できます。

サーバ タイプを選択し、デフォルトを設定すると、そのサーバ タイプに適したシェル アクセス 属性に値が取り込まれることに注意してください。シェル アクセスの有効なユーザ名が値として設定されている属性であれば、どの属性でも使用できます。有効なユーザ名は一意のユーザ名であり、アンダースコア(_)、ピリオド(.)、ハイフン(-)、英数字を使用できます。

グループ メンバーシップを使用したアクセスの管理

ライセンス:任意

LDAP グループのユーザのメンバーシップに基づいてデフォルト アクセス設定を設定する場合は、FireSIGHT システムにより使用される各アクセス ロールに、LDAP サーバの既存のグループの識別名を指定できます。これを行うと、LDAP によって検出された、指定のどのグループにも属さないユーザのデフォルト アクセス設定を設定できます。ユーザがログインすると、FireSIGHT システムは LDAP サーバを動的に検査し、ユーザの現在のグループ メンバーシップに基づいてデフォルト アクセス権を割り当てます。

LDAP サーバによって認証されたユーザは、ローカル FireSIGHT システム アプライアンスに初めてログインすると、ユーザが属するグループのデフォルト アクセス設定を受け取ります。グループが設定されていない場合は、システム ポリシーで選択されているデフォルト アクセス設定を受け取ります。

その後、これらの設定がグループ メンバーシップを介して付与されていない場合には、設定を変更できます。

シェル アクセスのセットアップ

ライセンス:任意

LDAP サーバを使用して、管理対象デバイスまたは防御センターでシェル アクセス用のアカウントを認証できます。シェル アクセスを付与するユーザの項目を取得する検索フィルタを指定します。シェル アクセスは、システム ポリシーの最初の認証オブジェクトでのみ設定できることに注意してください。認証オブジェクトの順序の管理については、「認証プロファイルの設定」を参照してください。

admin アカウントを除き、シェル アクセスは設定したシェル アクセス属性によって完全に制御されます。シェル ユーザはアプライアンスのローカル ユーザとして設定されます。ここで設定するフィルタにより、シェルにログインできる LDAP サーバのユーザが決定されます。

ログイン時に各シェル ユーザのホーム ディレクトリが作成されること、および(LDAP 接続を無効にすることで)LDAP シェル アクセス ユーザ アカウントが無効になっている場合はディレクトリが維持されますが、ユーザ シェルは /etc/password 内の /bin/false に設定され、シェルが無効になることに注意してください。ユーザが再度有効になると、同じホーム ディレクトリを使用してシェルがリセットされます。

ベース DN で限定されるすべてのユーザがシェル アクセス権限でも限定される場合は、シェル アクセス フィルタを基本フィルタと同一に設定することで、より効率的に検索できます。通常、ユーザを取得する LDAP クエリは、基本フィルタとシェル アクセス フィルタを組み合わせます。シェル アクセス フィルタが基本フィルタと同一である場合は、同じクエリが 2 回実行されることになり、不必要に時間を消費することになります。

シェル ユーザがログインに使用するユーザ名には、小文字、大文字、または大文字と小文字を組み合わせて使用できます。シェルのログイン認証では大文字と小文字が区別されます。


注意 シリーズ 3 防御センターでは、すべてのシェル ユーザに sudoers 特権が付与されます。シェル アクセスが付与されるユーザのリストを適切に制限してください。シリーズ 3 と仮想デバイスでは、外部認証ユーザに付与されるシェル アクセスのデフォルトは、Configuration レベルのコマンド ライン アクセスになります。このアクセスでも sudoers 特権が付与されます。

接続のテスト

ライセンス:任意

LDAP サーバを設定し、認証設定を行ったら、これらの設定をテストするため、認証できる必要があるユーザのユーザ資格情報を指定できます。

ユーザ名として、テストに使用するユーザの uid 属性の値を入力できます。Microsoft Active Directory Server に接続して uid の代わりに UI アクセス属性を指定する場合は、ユーザ名としてこの属性の値を使用します。

LDAP 認証オブジェクトの作成の準備

ライセンス:任意

LDAP サーバへの接続を設定する前に、LDAP 認証オブジェクトの作成に必要な情報を収集する必要があります。設定の特定の側面については、「LDAP 認証について」を参照してください。

すべての認証オブジェクトに必要な情報は次のとおりです。

接続するサーバのサーバ名または IP アドレス

接続するサーバのサーバ タイプ

LDAP ツリーを参照できる十分な権限が付与されているユーザ アカウントのユーザ名とパスワード。シスコはこの目的でドメイン管理ユーザのアカウントを使用することを推奨します。

アプライアンスと LDAP サーバの間にファイアウォールがある場合、発信接続を許可するファイアウォールの項目

ユーザ名が存在するサーバ ディレクトリのベース識別名(可能な場合)

サードパーティの LDAP クライアントを使用して、LDAP ツリーを参照し、ベース DN と属性の説明を確認できることに注意してください。またそのクライアントを使用して、選択したユーザが、選択した DN を参照できることを確認することもできます。LDAP 管理者に連絡し、ご使用の LDAP サーバ向けの推奨される認定 LDAP クライアントを確認してください。

LDAP 認証オブジェクト設定をどのようにカスタマイズするかによって、次の表に示す情報が必要となることがあります。

 

表 48-1 追加の LDAP 設定情報

目的
必要な情報

389 以外のポートを介した接続

ポート番号

暗号化接続を使用した接続

接続の証明書

属性値に基づいてアプライアンスにアクセスできるユーザをフィルタにより絞り込む

フィルタの条件となる属性と値のペア

ユーザ識別名を検査するのではなく、特定の属性を UI アクセス属性として使用する

属性の名前

ユーザ識別名を検査するのではなく、特定の属性をシェル ログイン属性として使用する

属性の名前

属性値に基づいてシェルを介してアプライアンスにアクセスできるユーザをフィルタにより絞り込む

フィルタの条件となる属性と値のペア

特定のユーザ ロールへのグループの関連付け

各グループの識別名、およびグループがスタティック グループの場合はグループ メンバー属性、グループがダイナミック グループの場合はグループ メンバーの URL 属性

LDAP 認証のクイック スタート

ライセンス:任意

LDAP 認証オブジェクトをセットアップできます。LDAP 認証オブジェクトでは多くの値をカスタマイズします。ただし、単に特定ディレクトリ内のすべてのユーザを認証する場合は、そのディレクトリのベース DN を使用して認証オブジェクトを作成できます。ご使用のサーバ タイプでベース DN のデフォルトを設定し、サーバからユーザ データを取得するために使用するアカウントの認証資格情報を指定すれば、認証オブジェクトを簡単に作成できます。このためには、次の手順に従います。


認証オブジェクトの作成時に各認証設定を検討し、カスタマイズする場合は、「拡張 LDAP 認証オブジェクトの作成」の手順に従ってオブジェクトを作成します。サーバへの接続を暗号化するか、ユーザ タイムアウトを設定するか、ユーザ名テンプレートをカスタマイズするか、または LDAP グループ メンバーシップに基づいて FireSIGHT システム ユーザ ロールを割り当てる予定の場合は、高度な手順を使用します。


LDAP サーバへの接続を設定する前に、LDAP 認証オブジェクトの作成に必要な情報を収集する必要があります。設定の特定の側面については、「LDAP 認証について」を参照してください。

次の内容が必要になります。

接続するサーバのサーバ名または IP アドレス

接続するサーバのサーバ タイプ

LDAP ツリーを参照できる十分な権限が付与されているユーザ アカウントのユーザ名とパスワード。シスコはこの目的でドメイン管理ユーザのアカウントを使用することを推奨します。

オプションで、ユーザ検索をさらに絞り込む場合には、特定の属性に特定の値を設定する基本フィルタを追加できます。基本フィルタでは、ベース DN でフィルタに設定されている属性値を含むオブジェクトだけを取得することで、検索を絞り込みます。基本フィルタはカッコで囲みます。たとえば、F で始まる一般名を持つユーザのみをフィルタで検出するには、フィルタ (cn=F*) を使用します。認証オブジェクトを保存すると、ローカル アプライアンスは、基本フィルタを使用してクエリを実行し、基本フィルタをテストして、このフィルタが正しいかどうかを示します。

LDAP 認証オブジェクトを作成するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 [Create Authentication Object] をクリックします。

ステップ 4 [Authentication Method ] ドロップダウン リストから [LDAP] を選択します。

LDAP 設定オプションが表示されます。

ステップ 5 [Name] フィールドと [Description] フィールドに、認証サーバの名前と説明を入力します。

ステップ 6 [Server Type] ドロップダウン リストからサーバ タイプを選択し、[Set Defaults] ボタンをクリックして、そのタイプのデフォルト設定を設定します。次の選択肢があります。

Microsoft Active Directory Server に接続する場合は、[MS Active Directory] を選択し、次に [Set Defaults] をクリックします。

Sun Java System Directory Server または Oracle Directory Server に接続する場合は、[Oracle Directory] を選択し、次に [Set Defaults] をクリックします。

OpenLDAP サーバに接続する場合は、[OpenLDAP] を選択し、次に [Set Defaults] をクリックします。

上記のサーバ以外のサーバに接続し、デフォルト設定をクリアする場合は、[Other] を選択し、次に [Set Defaults] をクリックします。

ステップ 7 認証データを取得するプライマリ サーバの IP アドレスまたはホスト名を [Primary Server Host Name/IP Address] フィールドに入力します。


証明書を使用し、TLS または SSL 経由で接続する場合は、証明書のホスト名が、このフィールドに入力するホスト名と一致している必要がりあります。また、暗号化接続では IPv6 アドレスはサポートされていません。


ステップ 8 すべてのベース DN のリストを取得するには、[Fetch DNs] をクリックして、ドロップダウン リストから適切なベース DN を選択します。

たとえば、Example 社のセキュリティ(Security)部門の名前を認証するには、 ou=security,dc=example,dc=com を選択します。

ステップ 9 オプションで、ベース DN として指定したディレクトリ内の特定のオブジェクトだけを取得するフィルタを設定するには、[Base Filter] フィールドに、属性タイプ、比較演算子、フィルタとして使用する属性値をカッコで囲んで入力します。

たとえば、ツリー内のユーザ オブジェクトに physicalDeliveryOfficeName 属性が設定されており、New York 支店のユーザに対しこの属性に値 NewYork が設定されている場合、New York 支店のユーザだけを取得するには、 (physicalDeliveryOfficeName=NewYork) と入力します。

ステップ 10 [User Name] フィールドと [Password] フィールドに、LDAP サーバを参照できる十分な資格情報を持つユーザの識別名とパスワードを入力します。

たとえば、ユーザ オブジェクトに uid 属性が含まれている OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門の管理者のオブジェクトの uid に値 NetworkAdmin が設定されている場合は、 uid=NetworkAdmin,ou=security,dc=example,dc=com と入力します。


注意 Microsoft Active Directory Server に接続する場合は、末尾の文字が $ のサーバ ユーザ名は指定できません。

ステップ 11 [Confirm Password] フィールドに、パスワードを再入力します。

ステップ 12 オプションで、シェル アクセスのユーザを取得するには、フィルタ条件とする属性タイプを [Shell Access Attribute] フィールドに入力します。

たとえば、Microsoft Active Directory Server で sAMAccountName シェル アクセス属性を使用してシェル アクセス ユーザを取得するには、[Shell Access Attribute] フィールドに sAMAccountName と入力します。


シェル認証では IPv6 アドレスはサポートされていません。


ステップ 13 [User Name] フィールドと [Password] フィールドに、LDAP サーバへのアクセスの検証に資格情報が使用されるユーザの uid 値またはシェル アクセス属性値と、パスワードを入力します。この場合も、Microsoft Active Directory Server に関連付けられたサーバ ユーザ名の末尾の文字が $ であってはならないことに注意してください。

たとえば、Example 社のユーザ JSmith の資格情報を取得できるかどうかをテストするには、 JSmith と入力します。

ステップ 14 [Test] をクリックして接続をテストします。

テストの成功を示すメッセージ、または欠落しているか訂正する必要がある設定を詳しく示すメッセージが表示されます。テストが成功した場合、テストの出力はページ下部に表示されます。この出力には、接続によって取得されたユーザのリストが含まれています。テストの出力に示されるユーザ数が、LDAP サーバから返されるユーザ レコードの数により制限される場合、テスト出力にこの制限が示されます。

ステップ 15 次の 2 つのオプションから選択できます。

テストが成功した場合は [Save] をクリックします。

[Login Authentication] ページが表示され、このページに新しいオブジェクトが示されます。

アプライアンスでオブジェクトを使用して LDAP 認証を有効にするには、そのオブジェクトが有効になっているシステム ポリシーをアプライアンスに適用する必要があります。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。

テストが失敗した場合、または取得したユーザのリストをさらに絞り込む場合は、次の項の「LDAP 認証接続の調整」に進みます。


 

LDAP 認証接続の調整

ライセンス:任意

LDAP 認証オブジェクトを作成したが、選択したサーバへの接続が失敗したか、または必要なユーザのリストが取得されなかった場合は、そのオブジェクトの設定を調整できます。

接続のテストで接続が失敗する場合は、設定のトラブルシューティングに関する次の推奨手順を試してください。

画面上部とテスト出力に示されるメッセージから、問題の原因となっているオブジェクトの部分を確認します。

オブジェクトに使用したユーザ名とパスワードが有効であることを確認します。

サードパーティの LDAP ブラウザを使用して LDAP サーバに接続し、ベース識別名に示されているディレクトリを参照する権限がユーザにあることを確認します。

ユーザ名が、LDAP サーバのディレクトリ情報ツリーで一意であることを確認します。

ユーザ名に、アンダースコア、ピリオド、ハイフン、英数字だけが使用されていることを確認します。

テスト出力に LDAP バインド エラー 49 が示される場合は、ユーザのユーザ バインディングが失敗しています。サードパーティ アプリケーションを使用してサーバ認証を試行し、その接続でも同様にバインディングが失敗するかどうかを確認します。

サーバを正しく指定していることを確認します。

サーバの IP アドレスまたはホスト名が正しいことを確認します。

ローカル アプライアンスから、接続する認証サーバに TCP/IP でアクセスできることを確認します。

サーバへのアクセスがファイアウォールによって妨げられないこと、およびオブジェクトで設定されているポートがオープンしていることを確認します。

証明書を使用して TLS または SSL 経由で接続する場合は、証明書のホスト名が、サーバに使用されているホスト名と一致している必要があります。

シェル アクセスを認証する場合は、サーバ接続に IPv6 アドレスを使用していないことを確認します。

サーバ タイプのデフォルトを使用している場合は、正しいサーバ タイプであることを確認し、[Set Default] をもう一度クリックしてデフォルト値をリセットします。

詳細については、「LDAP 認証サーバの指定」を参照してください。

ベース識別名を入力した場合は、[Fetch DNs] をクリックし、サーバで使用可能なすべてのベース識別名を取得し、リストから名前を選択します。

フィルタ、アクセス属性、または詳細設定を使用している場合は、それぞれが有効であり正しく入力されていることを確認します。

フィルタ、アクセス属性、または詳細設定を使用している場合は、各設定を削除し、設定なしでオブジェクトをテストしてみます。

基本フィルタまたはシェル アクセス フィルタを使用している場合は、フィルタがカッコで囲まれており、有効な比較演算子を使用していることを確認します。詳細については、「基本フィルタ の設定」および「シェル アクセスのセットアップ」を参照してください。

より制限された基本フィルタをテストするには、特定のユーザだけを取得するため、フィルタにそのユーザのベース識別名を設定します。

暗号化接続を使用する場合:

証明書の LDAP サーバの名前が、接続に使用するホスト名と一致していることを確認します。

暗号化されたサーバ接続で IPv6 アドレスを使用していないことを確認します。

テスト ユーザを使用する場合、ユーザ名とパスワードが正しく入力されていることを確認します。

テスト ユーザを使用する場合、ユーザ資格情報を削除してオブジェクトをテストします。

次の構文を使用して、接続するアプライアンスでコマンド ラインから LDAP サーバに接続し、使用するクエリをテストします。

ldapsearch -x -b 'base_distinguished_name'
-h LDAPserver_ip_address -p port -v -D
'user_distinguished_name' -W 'base_filter'

たとえば、 domainadmin@myrtle.example.com ユーザと基本フィルタ ( cn=* ) を使用して myrtle.example.com のセキュリティ ドメインに接続する場合は、次のステートメントを使用して接続をテストできます。

ldapsearch -x -b 'CN=security,DC=myrtle,DC=example,DC=com'
-h myrtle.example.com -p 389 -v -D
'domainadmin@myrtle.example.com' -W '(cn=*)'

接続のテストが正常に完了したが、システム ポリシーの適用後に認証が機能しない場合は、使用する認証とオブジェクトの両方が、アプライアンスに適用されるシステム ポリシーで有効になっていることを確認します。

正常に接続したが、接続で取得されたユーザ リストを調整する必要がある場合は、基本フィルタまたはシェル アクセス フィルタを追加または変更するか、ベース DN をさらに制限するかまたは制限を緩めて使用することができます。詳細については、次のトピックを参照してください。

「ベース DN の設定」

「基本フィルタ の設定」

「LDAP 固有パラメータの設定」

拡張 LDAP 認証オブジェクトの作成

ライセンス:任意

アプライアンスにユーザ認証サービスを提供するため、LDAP 認証オブジェクトを作成できます。

認証オブジェクトの作成時に、認証サーバに接続できるようにするための設定を定義します。また、サーバからユーザ データを取得するために使用するディレクトリ コンテキストと検索条件も選択します。オプションで、シェル アクセス認証を設定できます。

ローカル アプライアンスから、接続する認証サーバに TCP/IP でアクセスできることを確認します。

ご使用のサーバ タイプのデフォルト設定を使用して基本 LDAP 設定を迅速にセットアップできますが、詳細設定をカスタマイズして、アプライアンスから LDAP サーバに暗号化接続するかどうか、接続のタイムアウト、およびサーバがユーザ情報を検査する属性を制御することもできます。

LDAP 固有のパラメータの場合、LDAP 命名基準とフィルタおよび属性の構文を使用できます。詳細については、『Lightweight Directory Access Protocol (v3): Technical Specification』(RFC 3377)に記載されている RFC を参照してください。この手順では構文の例が示されています。Microsoft Active Directory Server へ接続するための認証オブジェクトをセットアップするときに、ドメインを含むユーザ名を参照する場合には、Internet RFC 822(Standard for the Format of ARPA Internet Text Messages)仕様に記載されているアドレス指定構文を使用できることに注意してください。たとえばユーザ オブジェクトを参照する場合は、 JoeSmith@security.example.com と入力し、Microsoft Active Directory Sever を使用する場合の同等のユーザ識別名 cn=JoeSmith,ou=security, dc=example,dc=com は使用しません。

拡張認証オブジェクトを作成するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 [Create Authentication Object] をクリックします。

[Create Authentication Object] ページが表示されます。

ステップ 4 外部認証のためのユーザ データを取得する認証サーバを指定します。詳細については、「LDAP 認証サーバの指定」を参照してください。

ステップ 5 認証対象ユーザを取得する検索要求を作成するための認証設定を設定します。ユーザがログイン時に入力するユーザ名の形式を規定するユーザ名テンプレートを指定します。詳細については、「LDAP 固有パラメータの設定」を参照してください。

ステップ 6 オプションで、デフォルト アクセス ロール割り当ての基準として使用する LDAP グループを設定します。詳細については、「グループによるアクセスの設定」を参照してください。

ステップ 7 オプションで、シェル アクセスの認証設定を設定します。詳細については、「管理シェル アクセスの設定」を参照してください。

ステップ 8 正常に認証を実行できるユーザの名前とパスワードを入力して、設定をテストします。詳細については、「ユーザ認証のテスト」を参照してください。

変更が保存されます。認証の変更がアプライアンスで行われる前に、オブジェクトが有効に設定されているシステム ポリシーをそのアプライアンスに適用する必要があることに注意してください。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。


 

LDAP 認証サーバの指定

ライセンス:任意

認証オブジェクトの作成時には、管理対象デバイスまたは防御センターが認証のために接続する、プライマリおよびバックアップ サーバとサーバ ポートを最初に指定します。

LDAP 認証サーバを指定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 [Create Authentication Object] をクリックします。

[Create Authentication Object] ページが表示されます。

ステップ 4 [Authentication Method ] ドロップダウン リストから [LDAP] を選択します。

LDAP 設定オプションが表示されます。

ステップ 5 [Name] フィールドと [Description] フィールドに、認証サーバの名前と説明を入力します。

ステップ 6 オプションで、[Server Type] フィールドで接続先 LDAP サーバのタイプを選択し、[Set Defaults] をクリックして、[User Name Template]、[UI Access Attribute]、[Shell Access Attribute]、[Group Member Attribute]、および [Group Member URL Attribute] の各フィールドにデフォルト値を取り込みます。次の選択肢があります。

Microsoft Active Directory Server に接続する場合は、[MS Active Directory] を選択し、[Set Defaults] をクリックします。

Sun Java System Directory Server または Oracle Directory Server に接続する場合は、[Oracle Directory] を選択し、[Set Defaults] をクリックします。

OpenLDAP サーバに接続する場合は、[OpenLDAP] を選択し、[Set Defaults] をクリックします。

上記のサーバ以外の LDAP サーバに接続し、デフォルト設定をクリアする場合は、[Other] を選択し、[Set Defaults] をクリックします。

ステップ 7 認証データを取得するプライマリ サーバの IP アドレスまたはホスト名を [Primary Server Host Name/IP Address] フィールドに入力します。


証明書を使用し、TLS または SSL 経由で接続する場合は、証明書のホスト名が、このフィールドに入力するホスト名と一致している必要がりあります。また、暗号化接続では IPv6 アドレスはサポートされていません。


ステップ 8 オプションで、[Primary Server Port] フィールドでプライマリ認証サーバが使用するポートを変更します。

ステップ 9 オプションで、認証データを取得するバックアップ サーバの IP アドレスまたはホスト名を [Backup Server Host Name/IP Address] フィールドに入力します。

ステップ 10 オプションで、[Backup Server Port] フィールドでプライマリ認証サーバが使用するポートを変更します。

「LDAP 固有パラメータの設定」に進みます。


 

LDAP 固有パラメータの設定

ライセンス:任意

LDAP 固有パラメータ セクションの設定により、アプライアンスがユーザ名を検索する LDAP ディレクトリの領域が決定され、アプライアンスから LDAP サーバへの接続の詳細が制御されます。

これらの設定を行う場合、有効なユーザ名は一意のユーザ名であり、アンダースコア(_)、ピリオド()、ハイフン(-)、英数字を使用できることに注意してください。

ほとんどの LDAP 固有設定の他に、LDAP 命名基準とフィルタおよび属性の構文を使用できます。詳細については、『Lightweight Directory Access Protocol (v3): Technical Specification』(RFC 3377)に記載されている RFC を参照してください。この手順では構文の例が示されています。Microsoft Active Directory Server へ接続するための認証オブジェクトをセットアップするときに、ドメインを含むユーザ名を参照する場合には、Internet RFC 822(Standard for the Format of ARPA Internet Text Messages)仕様に記載されているアドレス指定構文を使用できることに注意してください。たとえばユーザ オブジェクトを参照する場合は、 JoeSmith@security.example.com と入力し、Microsoft Active Directory Sever を使用する場合の同等のユーザ識別名 cn=JoeSmith,ou=security, dc=example,dc=com は使用しません。

次の表で、各 LDAP 固有パラメータについて説明します。

 

表 48-2 LDAP 固有パラメータ

設定
説明

Base DN

アプライアンスがユーザ情報を検索する LDAP サーバのディレクトリのベース識別名を指定します。

通常、ベース DN には、企業ドメインおよび部門を示す基本構造があります。

プライマリ サーバを特定したら、そのサーバから使用可能なベース DN のリストが自動的に取得され、該当するベース DN を選択できることに注意してください。

Example 社のセキュリティ(Security)部門のベース DN は、 ou=security, dc=example,dc=com となります。

Base Filter

ベース DN でフィルタに設定されている特定の属性と値のペアを含むオブジェクトだけを取得することで、検索を絞り込みます。基本フィルタはカッコで囲む必要があることに注意してください。

テスト ユーザ名とパスワードを入力して基本フィルタをより具体的にテストするには「ユーザ認証のテスト」を参照してください。

F で始まる一般名を持つユーザのみをフィルタで検出するには、フィルタ (cn=F*) を使用します。

User Name/ Password

ローカル アプライアンスがユーザ オブジェクトにアクセスできるようにします。取得する認証オブジェクトに対する適切な権限を持つユーザのユーザ資格情報を指定します。指定するユーザの識別名は、LDAP サーバのディレクトリ情報ツリーで一意である必要があります。Microsoft Active Directory Server に関連付けられたサーバ ユーザ名の末尾の文字が $ であってはならないことに注意してください。

Example 社のセキュリティ(Security)部門の admin ユーザのユーザ名は、 cn=admin,
ou=security,
DC=example,DC=com
です。

Encryption

通信が暗号化されるかどうかと、暗号化方法を示します。暗号化なし、Transport Layer Security(TLS)、または Secure Sockets Layer(SSL)暗号化を選択できます。TLS または SSL 経由で接続するときに認証に証明書を使用する場合、証明書の LDAP サーバ名が、接続時に使用する名前と一致している 必要がある ことに注意してください。

ポートを指定した後で暗号化方式を変更すると、ポートが、選択されているサーバ タイプのデフォルト値にリセットされます。

認証プロファイルに 10.10.10.250 と入力し、証明書に computer1.
example.com
と入力すると、 computer1.
example.com
の IP アドレスが 10.10.10.250 の場合でも、接続は失敗します。認証プロファイルのサーバ名を computer1.
example.com
に変更することで、接続が正常に行われます。

SSL Certificate Upload Path

ローカル コンピュータで、暗号化に使用する証明書のパスを指定します。

c:/server.crt

User Name Template

文字列変換文字( %s )をユーザのシェル アクセス属性の値にマッピングすることで、ログイン時に入力されるユーザ名の形式を指定します。ユーザ名テンプレートは、認証に使用する識別名の形式です。ユーザがログイン ページにユーザ名を入力すると、アプライアンスにより文字列変換文字が名前に置き換えられ、その結果生成される識別名がユーザ資格情報の検索に使用されます。

たとえば、Example 社のセキュリティ(Security)部門のユーザ名テンプレートを設定するには、 %s@security.
example.com
と入力します。

Timeout

プライマリ サーバへの接続試行のタイムアウトを設定します。これにより、接続がバックアップ サーバにロールオーバーされます。プライマリ認証サーバからの応答がない状態でこのフィールドに示されている秒数(または LDAP サーバのタイムアウト)が経過すると、アプライアンスはバックアップ サーバに対してクエリを実行します。

ただし LDAP がプライマリ LDAP サーバのポートで実行されており、何らかの理由で要求の処理を拒否する場合は、バックアップ サーバへのフェールオーバーは行われません。

プライマリ サーバで LDAP が無効な場合、アプライアンスはバックアップ サーバに対してクエリを実行します。

UI Access Attribute

ローカル アプライアンスに対し、ユーザ識別名の値ではなく、特定の属性の値の照合を行うように指示します。FireSIGHT システム Web インターフェイスの有効なユーザ名が値として設定されている属性であれば、どの属性でも使用できます。いずれかのオブジェクトに一致するユーザ名とパスワードがある場合は、ユーザ ログイン要求が認証されます。

サーバ タイプを選択し、デフォルトを設定すると、[UI Access Attribute] に、そのサーバ タイプに適した値が取り込まれます。

このフィールドを空白のままにすると、ローカル アプライアンスは、LDAP サーバの各ユーザ レコードのユーザ識別名値を調べ、ユーザ名に一致しているかどうかを確認します。

sAMAccountName

Shell Access Attribute

シェル アクセス資格情報の特定の属性を調べる場合は、その属性に一致するようにこのフィールドを明示的に設定する必要があります。シェル アクセスの有効なユーザ名が値として設定されている属性であれば、どの属性でも使用できます。

このフィールドを空白のままにした場合、シェル アクセス認証にはユーザ識別名が使用されます。

サーバ タイプを選択し、デフォルトを設定すると、そのサーバ タイプに適した属性がこのフィールドに事前に取り込まれることに注意してください。

sAMAccountName

サーバに LDAP 固有のパラメータを設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Create Authentication Object] ページの [LDAP-Specific Parameters] セクションには、2 つのベース DN 設定オプションがあります。

使用可能なすべてのドメインのリストを取得するには、[Fetch DNs] をクリックして、ドロップダウン リストから適切なベース ドメイン名を選択します。

アクセスする LDAP ディレクトリのベース識別名を [Base DN] フィールドに入力します。

たとえば、Example 社のセキュリティ(Security)部門の名前を認証するには、 ou=security,dc=example,dc=com を入力または選択します。

ステップ 2 オプションで、ベース DN として指定したディレクトリ内の特定のオブジェクトだけを取得するフィルタを設定するには、[Base Filter] フィールドに、属性タイプ、比較演算子、フィルタとして使用する属性値をカッコで囲んで入力します。

たとえば、ディレクトリ ツリー内のユーザ オブジェクトに physicalDeliveryOfficeName 属性が設定されており、New York 支店のユーザに対しこの属性に値 NewYork が設定されている場合、New York 支店のユーザだけを取得するには、 (physicalDeliveryOfficeName=NewYork) と入力します。

ステップ 3 [User Name] および [Password ] フィールドに、LDAP ディレクトリへのアクセスの検証に資格情報が使用されるユーザの識別名とパスワードを入力します。

たとえば、ユーザ オブジェクトに uid 属性が含まれている OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門の管理者のオブジェクトの uid に値 NetworkAdmin が設定されている場合は、 uid=NetworkAdmin,ou=security,dc=example,dc=com と入力します。


注意 Microsoft Active Directory Server に接続する場合は、末尾の文字が $ のサーバ ユーザ名は指定できません。

ステップ 4 [Confirm Password] フィールドに、パスワードを再入力します。

ステップ 5 基本的な LDAP 固有パラメータの設定後に行う手順には、いくつかの選択肢があります。

詳細オプションにアクセスするには、[Show Advanced Options] の横の矢印をクリックし、次のステップに進みます。

LDAP グループ メンバーシップに基づいてユーザ デフォルト ロールを設定する場合は、「グループによるアクセスの設定」に進みます。

認証に LDAP グループを使用しない場合は、「管理シェル アクセスの設定」に進みます。

ステップ 6 オプションで、次のいずれかの暗号化モードを選択できます。

Secure Sockets Layer(SSL)を使用して接続するには、[SSL] を選択します。

Transport Layer Security(TLS)を使用して接続するには、[TLS] を選択します。

暗号化なしで接続するには、[None] を選択します。


ポートを指定した後で暗号化方式を変更すると、ポートがその方式のデフォルト値にリセットされることに注意してください。[None] または [TLS] の場合、ポートはデフォルト値 389 を使用します。SSL 暗号化を選択した場合は、ポートはデフォルト値 636 を使用します。


ステップ 7 TLS または SSL 暗号化を選択しており、認証に証明書を使用する場合は、[Browse] をクリックして有効な TLS または SSL 証明書のロケーションを参照するか、または [SSL Certificate Upload Path] フィールドに証明書のパスを入力します。

証明書のアップロードが正常に完了したことを示すメッセージが表示されます。


以前にアップロードした証明書を置き換えるには、新しい証明書をアップロードし、システム ポリシーをアプライアンスに再適用して、新しい証明書を上書きコピーします。


ステップ 8 オプションで、[User Name Template] フィールドに、[UI Access Attribute] の値からユーザ名を判別するときに使用する文字列変換文字( %s )を入力します。

たとえば、シェル アクセス属性が uid である OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門で働くすべてのユーザを認証するには、[User Name Template] フィールドに uid=%s,ou=security,dc=example,dc=com と入力します。Microsoft Active Directory Server の場合は %s@security.example.com と入力します。

ステップ 9 オプションで、バックアップ接続にロールオーバーするまでの経過秒数を [Timeout] フィールドに入力します。

ステップ 10 オプションで、ベース DN および基本フィルタの代わりに属性に基づいてユーザを取得する場合、2 つのオプションがあります。

[Fetch Attrs] をクリックして使用可能な属性のリストを取得し、適切な属性を選択します。

属性を [UI Access Attribute] フィールドに入力します。

たとえば Microsoft Active Directory Server では、Active Directory Server ユーザ オブジェクトに uid 属性がないため、[UI Access Attribute] を使用してユーザを取得することがあります。代わりに [UI Access Attribute] フィールドに userPrincipalName と入力して、 userPrincipalName 属性を検索できます。

ステップ 11 オプションで、シェル アクセスのユーザを取得するには、フィルタ条件とする属性を [Shell Access Attribute] フィールドに入力します。

たとえば、Microsoft Active Directory Server で sAMAccountName シェル アクセス属性を使用してシェル アクセス ユーザを取得するには、[Shell Access Attribute] フィールドに sAMAccountName と入力します。

ステップ 12 次のステップでは、2 つの選択肢があります。

LDAP グループ メンバーシップに基づいてユーザ デフォルト ロールを設定する場合は、「グループによるアクセスの設定」に進みます。

認証に LDAP グループを使用しない場合は、「管理シェル アクセスの設定」に進みます。


 

グループによるアクセスの設定

ライセンス:任意

LDAP グループのユーザのメンバーシップに基づいてデフォルト アクセス設定を設定する場合は、FireSIGHT システムにより使用される各アクセス ロールに、LDAP サーバの既存のグループの識別名を指定できます。これを行うと、LDAP によって検出された、指定のどのグループにも属さないユーザのデフォルト アクセス設定を設定できます。ユーザがログインすると、FireSIGHT システムは LDAP サーバを動的に検査し、ユーザの現在のグループ メンバーシップに基づいてデフォルト アクセス権を割り当てます。

参照するグループはすべて LDAP サーバに存在している必要があります。スタティック LDAP グループまたはダイナミック LDAP グループを参照できます。スタティック LDAP グループとは、特定のユーザを指し示すグループ オブジェクト属性によってメンバーシップが決定されるグループであり、ダイナミック LDAP グループとは、ユーザ オブジェクト属性に基づいてグループ ユーザを取得する LDAP 検索を作成することでメンバーシップが決定されるグループです。ロールのグループ アクセス設定は、グループのメンバーであるユーザにのみ影響します。

ユーザが FireSIGHT システムにログインするときに付与されるアクセス権は、LDAP 構成によって異なります。

LDAP サーバでグループ アクセス設定が設定されていない場合、新しいユーザがログインすると、FireSIGHT システムはそのユーザを LDAP サーバに対して認証し、システム ポリシーに設定されているデフォルトの最小アクセス ロールに基づいてユーザ権限を付与します。

グループ設定を設定すると、指定されたグループに属している新しいユーザは、メンバーとなっているグループの最小アクセス設定を継承します。

新しいユーザが指定のどのグループにも属していない場合は、認証オブジェクトの [Group Controlled Access Roles] セクションに指定されているデフォルトの最小アクセス ロールが割り当てられます。

設定されている複数のグループにユーザが属している場合、ユーザは最も高いアクセスを持つグループのアクセス ロールを最小アクセス ロールとして受け取ります。

FireSIGHT システム ユーザ管理ページでは、LDAP グループ メンバーシップによってアクセス ロールが割り当てられているユーザの最小アクセス権を削除することはできません。ただし、追加の権限を割り当てることはできます。外部認証ユーザのアクセス権を変更すると、[User Management] ページの [Authentication Method] カラムに、[External - Locally Modified] というステータスが表示されます。


ダイナミック グループを使用する場合、LDAP クエリは、LDAP サーバで設定されている通りに使用されます。この理由から、検索構文エラーが原因で無限ループが発生することを防ぐため、FireSIGHT システムでは検索の再帰回数が 4 回に制限されています。この再帰回数内でユーザのグループ メンバーシップが確立されない場合、[Group Controlled Access Roles] セクションで定義されているデフォルト アクセス ロールがユーザに付与されます。


グループ メンバーシップに基づいてデフォルトのロールを設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Create Authentication Object] ページで、[Group Controlled Access Roles] の横の下矢印をクリックします。

セクションが展開されます。

ステップ 2 オプションで、グループ メンバーシップ別のアクセス デフォルトを設定します。

FireSIGHT システム ユーザ ロールに対応する [DN] フィールドに、これらのロールに割り当てる必要があるユーザを含む LDAP グループの識別名を入力します。

たとえば、Example 社の情報テクノロジー(Information Technology)部門の名前を認証するには、[Administrator] フィールドに次のように入力します。

cn=itgroup,ou=groups, dc=example,dc=com

ユーザ アクセス ロールの詳細については、「新しいユーザ アカウントの追加」を参照してください。

ステップ 3 [Default User Role] から、指定のどのグループにも属さないユーザのデフォルト最小アクセス ロールを選択します。


ヒント 複数のロールを選択するには、Ctrl キーを押しながらロール名をクリックします。

ステップ 4 スタティック グループを使用していた場合は、スタティック グループのメンバーシップを指定する LDAP 属性を [Group Member Attribute] フィールドに入力します。

たとえば、デフォルトの Security Analyst アクセスのために参照するスタティック グループのメンバーシップを示すために member 属性を使用する場合は、 member と入力します。

ステップ 5 ダイナミック グループを使用していた場合は、ダイナミック グループのメンバーシップの決定に使用される LDAP 検索文字列を含む LDAP 属性を [Group Member URL Attribute] フィールドに入力します。

たとえば、デフォルトの Admin アクセスに対して指定したダイナミック グループのメンバーを取得する LDAP 検索が memberURL 属性に含まれている場合は、 memberURL と入力します。

ステップ 6 「管理シェル アクセスの設定」に進みます。


 

管理シェル アクセスの設定

ライセンス:任意

LDAP サーバを使用して、管理対象デバイスまたは防御センターでシェル アクセス用アカウントを認証することもできます。シェル アクセスを付与するユーザの項目を取得する検索フィルタを指定します。シェル アクセスは、システム ポリシーの最初の認証オブジェクトでのみ設定できることに注意してください。認証オブジェクトの順序の管理については、「認証プロファイルの設定」を参照してください。


シスコは、仮想デバイスまたは Sourcefire Software for X-Series の外部認証をサポートしていません。さらに、シェル アクセス認証では IPv6 がサポートされていません。


admin アカウントを除き、シェル アクセスは設定したシェル アクセス属性によって完全に制御されます。設定するシェル アクセス フィルタにより、シェルにログインできる LDAP サーバのユーザが決定します。

ログイン時に各シェル ユーザのホーム ディレクトリが作成されること、および(LDAP 接続を無効にすることで)LDAP シェル アクセス ユーザ アカウントが無効になっている場合はディレクトリが維持されますが、ユーザ シェルは /etc/password 内の /bin/false に設定され、シェルが無効になることに注意してください。ユーザが再度有効になると、同じホーム ディレクトリを使用してシェルがリセットされます。

[Same as Base Filter] チェック ボックスを使用すると、ベース DN で限定されるすべてのユーザが、シェル アクセス権限でも限定される場合に、より効率的に検索できます。通常、ユーザを取得する LDAP クエリは、基本フィルタとシェル アクセス フィルタを組み合わせます。シェル アクセス フィルタが基本フィルタと同一である場合は、同じクエリが 2 回実行されることになり、不必要に時間を消費することになります。[Same as Base Filter] オプションを使用すると、この両方の目的でクエリを 1 回だけ実行することができます。

シェル ユーザがログインに使用するユーザ名には、小文字、大文字、または大文字と小文字を組み合わせて使用できます。シェルのログイン認証では大文字と小文字が区別されます。


注意 シリーズ 3 防御センターでは、すべてのシェル ユーザに sudoers 特権が付与されます。シェル アクセスが付与されるユーザのリストを適切に制限してください。シリーズ 3 と仮想デバイスでは、外部認証ユーザに付与されるシェル アクセスのデフォルトは、Configuration レベルのコマンド ライン アクセスになります。このアクセスでも sudoers 特権が付与されます。

シェル アカウント認証を設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 オプションで、[Create Authentication Object] ページでシェル アクセス アカウント フィルタを設定します。次の複数のオプションがあります。

属性値に基づいて管理ユーザ項目を取得するには、属性名、比較演算子、およびフィルタとして使用する属性値を、カッコで囲んで [Shell Access Filter] フィールドに入力します。

認証設定の設定時に指定したものと同じフィルタを使用するには、[Same as Base Filter] を選択します。

シェル アクセスの LDAP 認証を防止するには、このフィールドを空白にします。シェル アクセス フィルタを指定しないことを選択すると、認証オブジェクトの保存時に、フィルタを空白のままにすることを確認する警告が表示されます。

たとえば、すべてのネットワーク管理者の manager 属性に属性値 shell が設定されている場合は、基本フィルタ (manager=shell) を設定できます。

ステップ 2 「ユーザ認証のテスト」に進みます。


 

ユーザ認証のテスト

ライセンス:任意

LDAP サーバを設定し、認証設定を行ったら、これらの設定をテストするため、認証できる必要があるユーザのユーザ資格情報を指定できます。

ユーザ名として、テストに使用するユーザの uid 属性の値を入力できます。Microsoft Active Directory Server に接続して uid の代わりにシェル アクセス属性を指定する場合は、ユーザ名としてこの属性の値を使用します。ユーザの完全修飾識別名も指定できます。

テスト出力には、有効なユーザ名と無効なユーザ名が示されます。有効なユーザ名は一意のユーザ名であり、英数字と、アンダースコア(_)、ピリオド()、ハイフン(-)のみを使用できます。無効なユーザ名は、その他の英数字以外の文字(スペースなど)が含まれているユーザ名です。

Web インターフェイスのページ サイズ制限のため、ユーザ数が 1000 を超えているサーバへの接続をテストする場合、返されるユーザの数は 1000 であることに注意してください。


ヒント テスト ユーザの名前とパスワードを誤って入力すると、サーバ設定が正しい場合でもテストが失敗します。最初に、追加のテスト パラメータを使用せずにサーバ設定をテストします。正常に完了した場合は、テストする特定ユーザのユーザ名とパスワードを指定します。

ユーザ認証をテストするには、次の手順を実行します。

アクセス:Admin


ステップ 1 [User Name] フィールドと [Password] フィールドに、LDAP サーバへのアクセスの検証に資格情報が使用されるユーザの uid 値またはシェル アクセス属性値と、パスワードを入力します。

たとえば、Example 社のユーザ JSmith の資格情報を取得できるかどうかをテストするには、 JSmith と入力します。

ステップ 2 [Test] をクリックします。

テストの成功を示すメッセージ、または欠落しているか訂正する必要がある設定を詳しく示すメッセージが表示されます。次の 2 つのオプションから選択できます。

テストが成功した場合、テストの出力がページ下部に表示されます。[Save] をクリックします。[Login Authentication] ページが表示され、このページに新しいオブジェクトが示されます。

アプライアンスでオブジェクトを使用して LDAP 認証を有効にするには、そのオブジェクトが有効になっているシステム ポリシーをアプライアンスに適用する必要があります。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。

テストが失敗した場合は、接続のトラブルシューティングの提案事項につて「LDAP 認証接続の調整」を参照してください。表示されるエラー メッセージに、接続失敗の原因が示されていることに注意してください。


 

LDAP 認証オブジェクトの例

ライセンス:任意

ここでは、基本設定を使用する LDAP 設定の例と、詳細な設定オプションを使用する例を示します。

「例:基本 LDAP 設定」

「例:詳細な LDAP 設定」

例:基本 LDAP 設定

ライセンス:任意

次の図は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの基本設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 389 が使用されます。

 

この例では、Example 社の情報テクノロジー ドメインのセキュリティ(Security)部門のベース識別名として OU=security, DC =it, DC =example, DC =com が使用されています。

ただし、このサーバが Microsoft Active Directory Server であるため、ユーザ名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。サーバのタイプとして MS Active Directory を選択し、[Set Defaults] をクリックすると、[UI Access Attribute] が sAMAccountName に設定されます。その結果、ユーザが FireSIGHT システムへのログインを試行すると、FireSIGHT システムは各オブジェクトの sAMAccountName 属性を検査し、一致するユーザ名を検索します。

また、[Shell Access Attribute] が sAMAccountName の場合、ユーザがアプライアンスでシェル アカウントにログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。

基本フィルタはこのサーバに適用されないため、FireSIGHT システムはベース識別名により示されるディレクトリ内のすべてのオブジェクトの属性を検査することに注意してください。サーバへの接続は、デフォルトの期間(または LDAP サーバで設定されたタイムアウト期間)の経過後にタイムアウトします。

例:詳細な LDAP 設定

ライセンス:任意

次の例は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの詳細設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 636 が使用されます。

 

この例では、Example 社の情報テクノロジー ドメインのセキュリティ(Security)部門のベース識別名として OU=security, DC =it, DC =example, DC =com が使用されています。ただし、このサーバに基本フィルタ (cn=*smith) が設定されていることに注意してください。このフィルタは、サーバから取得するユーザを、一般名が smith で終わるユーザに限定します。

 

サーバへの接続が SSL を使用して暗号化され、 certificate.pem という名前の証明書が接続に使用されます。また、[Timeout] の設定により、60 秒経過後にサーバへの接続がタイムアウトします。

このサーバが Microsoft Active Directory Server であるため、ユーザ名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。設定では、[UI Access Attribute] が sAMAccountName であることに注意してください。その結果、ユーザが FireSIGHT システムへのログインを試行すると、FireSIGHT システムは各オブジェクトの sAMAccountName 属性を検査し、一致するユーザ名を検索します。

また、[Shell Access Attribute] が sAMAccountName の場合、ユーザがアプライアンスでシェル アカウントにログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。

この例では、グループ設定も行われます。Maintenance User ロールが、 member グループ属性を持ち、ベース ドメイン名が CN=SFmaintenance, DC =it, DC =example, DC =com であるグループのすべてのメンバーに自動的に割り当てられます。

 

シェル アクセス フィルタは、基本フィルタと同一に設定されます。このため、同じユーザが Web インターフェイスを使用する場合と同様に、シェルを介してアプライアンスにアクセスできます。

 

LDAP 認証オブジェクトの編集

ライセンス:任意

既存の認証オブジェクトを編集できます。ポリシーを再適用するまでは、変更内容は反映されません。

認証オブジェクトを編集するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 編集するオブジェクトの横にある編集アイコン( )をクリックします。

[Create Authentication Object] ページが表示されます。

ステップ 4 必要に応じてオブジェクト設定を変更します。

詳細については、次のトピックを参照してください。

「LDAP 認証のクイック スタート」

「拡張 LDAP 認証オブジェクトの作成」

「LDAP 認証サーバの指定」

「LDAP 固有パラメータの設定」

「グループによるアクセスの設定」

「管理シェル アクセスの設定」

「ユーザ認証のテスト」

ステップ 5 [Test] をクリックします。

テストの成功を示すメッセージ、または欠落しているか訂正する必要がある設定を詳しく示すメッセージが表示されます。テストが成功した場合、テストの出力がページ下部に表示されます。

テストが失敗した場合は、接続のトラブルシューティングの提案事項につて「LDAP 認証接続の調整」を参照してください。表示されるエラー メッセージに、接続失敗の原因が示されていることに注意してください。

ステップ 6 [Save] をクリックします。

変更が保存され、[Login Authentication] ページが表示されます。認証の変更がアプライアンスで行われる前に、オブジェクトが有効に設定されているシステム ポリシーをそのアプライアンスに適用する必要があることに注意してください。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。


 

RADIUS 認証について

ライセンス:任意

Remote Authentication Dial In User Service(RADIUS)は、ネットワーク リソースへのユーザ アクセスの認証、認可、およびアカウンティングに使用される認証プロトコルです。RFC 2865 に準拠するすべての RADIUS サーバで、認証オブジェクトを作成できます。


シリーズ 3 管理対象デバイスで外部認証を有効にする前に、シェル アクセス フィルタに含まれている外部認証ユーザと同じユーザ名を持つ内部認証シェル ユーザをすべて削除してください。


RADIUS サーバで認証されたユーザが初めてログインすると、ユーザには、認証オブジェクトでそのユーザに対して指定されているロールが付与されます。そのユーザにどのユーザ ロールも指定されていない場合は、認証オブジェクトで選択したデフォルトのアクセス ロールが付与されます。これが当てはまらない場合は、システム ポリシーが適用されます。設定が認証オブジェクトのユーザ リストを介して付与されていない場合は、必要に応じてユーザのロールを変更できます。属性照合を使用して RADIUS サーバで認証されたユーザが初めてログインしようとすると、ユーザ アカウントが作成されているためログインが拒否されることに注意してください。ユーザはもう一度ログインする必要があります。

FireSIGHT システムの RADIUS 実装では、SecurID® トークンの使用がサポートされています。SecurID を使用したサーバによる認証を設定すると、そのサーバに対して認証されているユーザが、SecurID PIN の末尾に SecurID トークンを付加し、シスコ アプライアンスへのログイン時にそれをパスワードとして使用します。SecurID が FireSIGHT システム外部のユーザを認証するように適切に設定されている限り、これらのユーザは PIN と SecurID を使用して FireSIGHT システムにログインでき、アプライアンスでの追加の設定は不要です。

RADIUS 認証オブジェクトの作成

ライセンス:任意

RADIUS 認証オブジェクトの作成時に、認証サーバに接続できるようにする設定を定義します。また、特定のユーザおよびデフォルト ユーザにユーザ ロールを付与します。RADIUS サーバから、認証予定のユーザのカスタム属性が返される場合は、これらのカスタム属性を定義する必要があります。オプションで、シェル アクセス認証も設定できます。

認証オブジェクトを作成するには、ローカル アプライアンスから、接続する認証サーバに TCP/IP でアクセスできる必要があることに注意してください。

認証オブジェクトを作成するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 [Create Authentication Object] をクリックします。

[Create Authentication Object] ページが表示されます。

ステップ 4 外部認証のためのユーザ データを取得するプライマリ認証サーバとバックアップ認証サーバを指定し、タイムアウト値と再試行値を設定します。詳細については、「RADIUS 接続の設定」を参照してください。

ステップ 5 デフォルトのユーザ ロールを設定します。オプションで、ユーザを指定するか、または特定の FireSIGHT システム アクセス ロールを付与するユーザのユーザ属性値を指定します。詳細については、「RADIUS ユーザ ロールの設定」を参照してください。

ステップ 6 オプションで、管理シェル アクセスを設定します。詳細については、「管理シェル アクセスの設定」を参照してください。

ステップ 7 認証対象ユーザのプロファイルからカスタム RADIUS 属性が返される場合は、これらの属性を定義します。詳細については、「カスタム RADIUS 属性の定義」を参照してください。

ステップ 8 認証が成功する必要があるユーザの名前とパスワードを入力して、設定をテストします。詳細については、「ユーザ認証のテスト」を参照してください。

変更が保存されます。認証の変更がアプライアンスで行われる前に、オブジェクトが有効に設定されているシステム ポリシーをそのアプライアンスに適用する必要があることに注意してください。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。


 

RADIUS 接続の設定

ライセンス:任意

RADIUS 認証オブジェクトの作成時には、ローカル アプライアンス(管理対象デバイスまたは防御センター)が認証のために接続するプライマリおよびバックアップ サーバとサーバ ポートを最初に指定します。


RADIUS が正しく機能するためは、ファイアウォールで認証ポートとアカウンティング ポート(デフォルトでは 1812 および 1813)を開く必要があります。


バックアップ認証サーバを指定する場合は、プライマリ サーバへの接続試行操作のタイムアウトを設定できます。プライマリ認証サーバからの応答がない状態で [Timeout] フィールド(または LDAP サーバのタイムアウト)に指定された秒数が経過すると、アプライアンスはプライマリ サーバに対してクエリを再実行します。

アプライアンスがプライマリ認証サーバに対して再クエリを実行した後に、プライマリ認証サーバからの応答がない状態で [Retries] フィールドに指定された回数を超え、[Timeout] フィールドに指定された秒数が再び経過すると、プライアンスはバックップ サーバにロールオーバーします。

たとえば、プライマリ サーバで RADIUS が無効な場合、アプライアンスはバックアップ サーバに対してクエリを実行します。ただし RADIUS がプライマリ RADIUS サーバのポートで実行されており、何らかの理由(誤った設定またはその他の問題など)で要求の処理を拒否する場合は、バックアップ サーバへのフェールオーバーは行われません。

RADIUS 認証サーバを指定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 [Create Authentication Object] をクリックします。

[Create Authentication Object] ページが表示されます。

ステップ 4 [Authentication Method ] ドロップダウン リストから [RADIUS] を選択します。

RADIUS 設定オプションが表示されます。

ステップ 5 [Name] フィールドと [Description] フィールドに、認証サーバの名前と説明を入力します。

ステップ 6 認証データを取得するプライマリ RADIUS サーバの IP アドレスまたはホスト名を [Primary Server Host Name/IP Address] フィールドに入力します。


シェル認証では IPv6 アドレスはサポートされていません。プライマリ RADIUS サーバに IPv6 アドレスを使用するときにシェル認証を許可するには、サーバの IPv4 アドレスを使用して認証オブジェクトをセットアップし、システム ポリシーの最初の認証オブジェクトとしてその IPv4 オブジェクトを使用します。


ステップ 7 オプションで、[Primary Server Port] フィールドでプライマリ RADIUS 認証サーバが使用するポートを変更します。


認証ポート番号とアカウンティング ポート番号が連続番号ではない場合は、このフィールドを空白にします。システムは、アプライアンスの /etc/services ファイルの radius データと radacct データから RADIUS ポート番号を判断します。


ステップ 8 プライマリ RADIUS 認証サーバの秘密キーを [RADIUS Secret Key] フィールドに入力します。

ステップ 9 認証データを取得するバックアップ RADIUS 認証サーバの IP アドレスまたはホスト名を [Backup Server Host Name/IP Address] フィールドに入力します。

ステップ 10 オプションで、[Backup Server Port] フィールドで、バックアップ RADIUS 認証サーバが使用するポートを変更します。


認証ポート番号とアカウンティング ポート番号が連続番号ではない場合は、このフィールドを空白にします。システムは、アプライアンスの /etc/services ファイルの radius データと radacct データから RADIUS ポート番号を判断します。


ステップ 11 バックアップ RADIUS 認証サーバの秘密キーを [RADIUS Secret Key] フィールドに入力します。

ステップ 12 [Timeout] フィールドに、接続を再試行するまでの経過秒数を入力します。

ステップ 13 [Retries] フィールドに、バックアップ接続にロールオーバーする前に、プライマリ サーバ接続を試行する回数を入力します。

ステップ 14 「RADIUS ユーザ ロールの設定」に進みます。


 

RADIUS ユーザ ロールの設定

ライセンス:任意

RADIUS サーバで既存のユーザに対してアクセス ロールを指定するには、FireSIGHT システムで使用される各アクセス ロールに対してユーザ名をリストします。これを行うと、RADIUS によって検出された、特定のロールに対して指定されていないユーザのデフォルト アクセス設定を設定できます。

ユーザがログインすると、FireSIGHT システムは RADIUS サーバを検査し、RADIUS 設定に基づいてアクセス権を付与します。

ユーザに対して特定のアクセス設定が設定されておらず、デフォルト アクセス ロールが選択されていない場合、新しいユーザがログインすると、FireSIGHT システムは RADIUS サーバに対してそのユーザを認証してから、システム ポリシーで設定されているデフォルト アクセス ロールに基づいてユーザ権限を付与します。

新しいユーザがどのリストにも指定されておらず、認証オブジェクトの [Default User Role] リストでデフォルト アクセス ロールが選択されている場合、ユーザにはこのデフォルト アクセス ロールが割り当てられます。

1 つ以上の特定のロールのリストにユーザを追加すると、割り当てられているすべてのアクセス ロールがそのユーザに付与されます。

また、ユーザ名の代わりに属性と値のペアを使用して、特定のユーザ ロールが付与される必要があるユーザを示すこともできます。たとえば、Security Analyst とする必要があるすべてのユーザの [User-Category] 属性の値が [Analyst] である場合、これらのユーザにそのロールを付与するには、[Security Analyst List] フィールドに User-Category=Analyst と入力します。カスタム属性を使用してユーザ ロール メンバーシップを設定するには、その前に、カスタム属性を定義する必要があることに注意してください。詳細については、「カスタム RADIUS 属性の定義」を参照してください。

外部認証されるが、特定のロールにリストされないすべてのユーザに、デフォルトのユーザ ロールを割り当てることができます。[Default User Role] リストでは、複数のロールを選択できます。

FireSIGHT システムでサポートされているユーザ ロールの詳細については、「ユーザ ロールの設定」を参照してください。

FireSIGHT システム ユーザ管理ページで RADIUS ユーザ リスト メンバーシップが設定されているため、アクセス ロールが割り当てられているユーザの最小アクセス権を削除することはできません。ただし、追加の権限を割り当てることはできます。


注意 ユーザの最小アクセス設定を変更するには、[ADIUS Specific Parameters] セクションのリスト間でユーザを移動するかまたは RADIUS サーバでユーザの属性を変更する他に、システム ポリシーを再適用し、ユーザ管理ページで割り当てられているユーザ権限を削除する必要があります。

ユーザ リストに基づいてアクセスを設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 FireSIGHT システム ユーザ ロールに対応するフィールドに、各ユーザの名前を入力するか、またはこれらのロールに割り当てる必要がある属性と値のペアを指定します。ユーザ名と属性値のペアは、カンマで区切ります。

たとえば、ユーザ jsmith jdoe に Administrator ロールを付与する場合は、[Administrator] フィールドに jsmith, jdoe と入力します。

もう 1 つの例として、[User-Category] の値が [Maintenance] であるすべてのユーザに Maintenance User ロールを付与するには、[Maintenance User] フィールドに User-Category=Maintenance と入力します。

ユーザ アクセス ロールの詳細については、「ユーザ ロールの設定」を参照してください。

ステップ 2 [Default User Role] リストから、指定のどのグループにも属していないユーザのデフォルト最小アクセス ロールを選択します。


ヒント 複数のロールを選択するには、Ctrl キーを押しながらロール名をクリックします。

ステップ 3 「管理シェル アクセスの設定」に進みます。


 

管理シェル アクセスの設定

ライセンス:任意

RADIUS サーバを使用して、ローカル アプライアンス(管理対象デバイスまたは防御センター)で、シェル アクセスについてアカウントを認証することもできます。シェル アクセスを付与するユーザのユーザ名を指定します。シェル アクセスは、システム ポリシーの最初の認証オブジェクトでのみ設定できることに注意してください。認証オブジェクトの順序の管理については、「認証プロファイルの設定」を参照してください。


シェル認証では IPv6 アドレスはサポートされていません。IPv6 アドレスを使用してプライマリ RADIUS サーバを設定し、管理シェル アクセスも設定すると、シェル アクセスの設定は無視されます。プライマリ RADIUS サーバに IPv6 アドレスを使用するときにシェル認証を許可するには、サーバの IPv4 アドレスを使用して別の認証オブジェクトをセットアップし、システム ポリシーの最初の認証オブジェクトとしてそのオブジェクトを使用します。


Admin アカウント以外は、RADIUS 認証オブジェクトで設定したシェル アクセス リストにより、アプライアンスでのシェル アクセスが完全に制御されます。システム ポリシーの適用時に、シェル ユーザはアプライアンスのローカル ユーザとして設定されます。属性照合を使用して RADIUS サーバで認証されたユーザが初めてログインしようとすると、ユーザ アカウントが作成されているためログインが拒否されることに注意してください。ユーザはもう一度ログインする必要があります。

ログイン時に各シェル ユーザのホーム ディレクトリが作成されること、および(RADIUS 接続を無効にすることで)RADIUS シェル アクセス ユーザ アカウントが無効になっている場合はディレクトリが維持されますが、ユーザ シェルは /etc/password 内の /bin/false に設定され、シェルが無効になることに注意してください。ユーザが再度有効になると、同じホーム ディレクトリを使用してシェルがリセットされます。

シェル ユーザがログインに使用するユーザ名には、小文字、大文字、または大文字と小文字を組み合わせて使用できます。シェルのログイン認証では大文字と小文字が区別されます。


注意 シリーズ 3 防御センターでは、すべてのシェル ユーザに sudoers 特権が付与されます。シェル アクセスが付与されるユーザのリストを適切に制限してください。シリーズ 3 と仮想デバイスでは、外部認証ユーザに付与されるシェル アクセスのデフォルトは、Configuration レベルのコマンド ライン アクセスになります。このアクセスでも sudoers 特権が付与されます。

シェル アカウント認証を設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [Administrator Shell Access User List] フィールドに、ユーザ名をカンマで区切って入力します。


シェル アクセス フィルタを指定しないことを選択すると、認証オブジェクトの保存時に、フィルタを空白のままにすることを確認する警告が表示されます。


ステップ 2 「カスタム RADIUS 属性の定義」に進みます。


 

カスタム RADIUS 属性の定義

ライセンス:任意

RADIUS サーバが、 /etc/radiusclient/ 内の dictionary ファイル に含まれていない属性の値を返し、これらの属性を使用してユーザにユーザ ロールを設定する予定の場合は、ログイン認証オブジェクトでこれらの属性を定義する必要があります。

RADIUS サーバでユーザ プロファイルを調べると、ユーザについて返される属性を見つけることができます。

属性を定義する場合は、英数字からなる属性名を指定します。属性名の中の単語を区切るには、スペースではなくダッシュを使用することに注意してください。また、指定する属性 ID は整数であり、 etc/radiusclient/dictionary ファイルの既存の属性 ID と競合していてはなりません。属性のタイプ(文字列、IP アドレス、整数、または日付)も指定します。

たとえば、シスコ ルータが接続しているネットワーク上で RADIUS サーバが使用される場合、 Ascend-Assign-IP-Pool 属性を使用して、特定の IP アドレス プールからログインするすべてのユーザに特定のロールを付与できます。 Ascend-Assign-IP-Pool は、ユーザがログインできるアドレス プールを定義する整数属性であり、割り当てられる IP アドレス プールの番号を示す整数が指定されます。そのカスタム属性を宣言するには、属性名が Ascend-IP-Pool-Definition 、属性 ID が 218 、属性タイプが integer のカスタム属性を作成します。次に、 Ascend-IP-Pool-Definition 属性値が 2 のすべてのユーザに対し、読み取り専用の Security Analyst 権限を付与するには、 Ascend-Assign-IP-Pool=2 を [Security Analyst (Read Only)] フィールドに入力します。

RADIUS 認証オブジェクトの作成時に、そのオブジェクトの新しいディクショナリ ファイルが FireSIGHT システム アプライアンスの /var/sf/userauth ディレクトリに作成されます。認証オブジェクトに追加するカスタム属性はすべて、そのディクショナリ ファイルに追加されます。

カスタム属性を定義するには、次の手順を実行します。

アクセス:Admin


ステップ 1 矢印をクリックして、[Define Custom RADIUS Attributes] セクションを展開します。

属性フィールドが表示されます。

ステップ 2 [Attribute Name] フィールドに、英数字とダッシュからなる属性名をスペースなしで入力します。

ステップ 3 [Attribute ID] フィールドに、属性 ID を整数形式で入力します。

ステップ 4 [Attribute Type] ドロップダウン リストから、属性のタイプを選択します。

ステップ 5 認証オブジェクトにカスタム属性を追加するには、[Add] をクリックします。


ヒント 認証オブジェクトからカスタム属性を削除するには、その属性の横にある [Delete] をクリックします。

ステップ 6 「ユーザ認証のテスト」に進みます。


 

ユーザ認証のテスト

ライセンス:任意

RADIUS 接続、ユーザ ロール、およびカスタム属性を設定したら、これらの設定をテストするため、認証できる必要があるユーザのユーザ資格情報を指定できます。

ユーザ名として、テストするユーザのユーザ名を入力できます。

UI のページ サイズ制限により、ユーザ数が 1000 を超えているサーバへの接続をテストする場合、返されるユーザの数は 1000 であることに注意してください。


ヒント テスト ユーザの名前とパスワードを誤って入力すると、サーバ設定が正しい場合でもテストが失敗します。サーバ設定が正しいことを確認するには、最初に [Additional Test Parameters] フィールドにユーザ情報を入力せずに [Test] をクリックします。正常に完了した場合は、テストする特定ユーザのユーザ名とパスワードを指定します。

ユーザ認証をテストするには、次の手順を実行します。

アクセス:Admin


ステップ 1 [User Name] フィールドと [Password] フィールドに、RADIUS サーバへのアクセスの検証に資格情報が使用されるユーザのユーザ名とパスワードを入力します。

たとえば、Example 社の jsmith のユーザ資格情報を取得できるかどうかをテストするには、 jsmith と入力します。

ステップ 2 [Show Details] を選択し、[Test] をクリックします。

テストの成功を示すメッセージ、または欠落しているか訂正する必要がある設定を詳しく示すメッセージが表示されます。

ステップ 3 テストが成功した場合は [Save] をクリックします。

[Login Authentication] ページが表示され、このページに新しいオブジェクトが示されます。

アプライアンスでオブジェクトを使用して RADIUS 認証を有効にするには、そのオブジェクトが有効に設定されているシステム ポリシーをアプライアンスに適用する必要があります。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。


 

RADIUS 認証オブジェクトの例

ライセンス:任意

ここでは、RADIUS サーバ認証オブジェクトの例を示し、FireSIGHT システム RADIUS 認証機能をどのように使用できるかを示します。詳細については、次の項を参照してください。

「RADIUS を使用したユーザの認証」

「カスタム属性を使用したユーザの認証」

RADIUS を使用したユーザの認証

ライセンス:任意

次の図は、IP アドレスが 10.10.10.98 で FreeRADIUS が稼働しているサーバのサンプル RADIUS ログイン認証オブジェクトを示します。接続ではアクセスのためにポート 1812 が使用されること、および不使用期間が 30 秒を経過するとサーバ接続がタイムアウトになり、バックアップ認証サーバへの接続試行前に、サーバ接続が 3 回再試行されることに注意してください。

次の例は、RADIUS ユーザ ロール設定の重要な特徴を示します。

ユーザ ewharton gsand には、この認証オブジェクトが有効になっている FireSIGHT システム アプライアンスへの管理アクセスが付与されます。

ユーザ cbronte には、この認証オブジェクトが有効になっている FireSIGHT システム アプライアンスへの Maintenance User アクセスが付与されます。

ユーザ cbronte には、この認証オブジェクトが有効になっている FireSIGHT システム アプライアンスへの Security Analyst アクセスが付与されます。

ユーザ ewharton は、シェル アカウントを使用してアプライアンスにログインできます。

次の図に、この例のロール設定を示します。

 

カスタム属性を使用したユーザの認証

ライセンス:任意

属性と値のペアを使用して、特定のユーザ ロールが付与される必要があるユーザを示すこともできます。使用する属性がカスタム属性の場合、そのカスタム属性を定義する必要があります。

次の図は、前述の例と同じ FreeRADIUS サーバのサンプル RADIUS ログイン認証オブジェクトでのロール設定とカスタム属性の定義を示します。

ただしこの例では、Microsoft リモート アクセス サーバが使用されているため、1 つ以上のユーザの MS-RAS-Version カスタム属性が返されます。 MS-RAS-Version カスタム属性は文字列であることに注意してください。この例では、Microsoft v.5.00 リモート アクセス サーバ経由で RADIUS にログインするすべてのユーザに対し、Security Analyst(読み取り専用)ロールが付与される必要があります。このため、属性と値のペア MS-RAS-Version=MSRASV5.00 を [Security Analyst (Read Only)] フィールドに入力します。

 

RADIUS 認証オブジェクトの編集

ライセンス:任意

既存の認証オブジェクトを編集できます。オブジェクトがシステム ポリシーで使用されている場合、ポリシーが適用された時点での設定が、ポリシーを再適用するまで有効になります。

認証オブジェクトを編集するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 編集するオブジェクトの横にある編集アイコン( )をクリックします。

[Create Authentication Object] ページが表示されます。

ステップ 4 必要に応じてオブジェクト設定を変更します。

詳細については、次のトピックを参照してください。

「RADIUS 認証オブジェクトの作成」

「RADIUS 接続の設定」

「RADIUS ユーザ ロールの設定」

「管理シェル アクセスの設定」

「ユーザ認証のテスト」

ステップ 5 [Save] をクリックします。

変更が保存され、[Login Authentication] ページが再び表示されます。認証の変更がアプライアンスで行われる前に、オブジェクトが有効に設定されているシステム ポリシーをそのアプライアンスに適用する必要があることに注意してください。詳細については、「認証プロファイルの設定」および「システム ポリシーの適用」を参照してください。


 

認証オブジェクトの削除

ライセンス:任意

削除できる認証オブジェクトは、システム ポリシーで現在有効ではない認証オブジェクトです。

認証オブジェクトを削除するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Login Authentication] タブをクリックします。

[Login Authentication] ページが表示されます。

ステップ 3 削除するオブジェクトの横にある削除アイコン( )をクリックします。

オブジェクトが削除され、[Login Authentication] ページが表示されます。


 

ユーザ アカウントの管理

ライセンス:任意

Administration アクセスが付与されている場合は、Web インターフェイスを使用して防御センターまたは管理対象デバイスでユーザ アカウントを表示および管理(アカウントの追加、変更、削除など)できます。また、カスタム ユーザ ロールを作成および変更し、ユーザ ロール エスカレーションを設定できます。Administrator アクセスのないユーザ アカウントでは、管理機能へのアクセスが制限されています。表示されるナビゲーション メニューは、ユーザのタイプによって異なります。

ユーザ アカウントの管理の詳細については、次の項を参照してください。

「ユーザ アカウントの表示」では、[User Management] ページへのアクセス方法を説明します。このページでは、ユーザ アカウントを追加、アクティブ化、非アクティブ化、編集、削除できます。

「新しいユーザ アカウントの追加」では、新しいユーザ アカウントを追加するときに使用できるさまざまなオプションについて説明します。

「外部認証ユーザ アカウントの管理」では、外部認証ユーザの追加方法と、FireSIGHT システム内で管理できるユーザ設定の内容を説明します。

「ユーザ特権とオプションの変更」では、既存のユーザ アカウントにアクセスして変更する方法を説明します。

「制限付きユーザ アクセス プロパティについて」では、制限付きデータ アクセスを使用して、ユーザ アカウントに対して使用可能なデータを制限する方法を説明します。

「ユーザ アカウントの削除」では、ユーザ アカウントを削除する方法について説明します。

「アカウント特権について」には、各種ユーザ アカウントでアクセスできるメニューとオプションをまとめた表が収録されています。

ユーザ アカウントの表示

ライセンス:任意

[User Management] ページでは、既存のアカウントを表示、編集、削除できます。[Authentication Method] カラムでユーザの認証タイプを確認できます。[Password Lifetime] カラムには、ユーザ パスワードの残りの有効日数が示されます。[Action] カラムのアイコンを使用して、ユーザの詳細を編集したり、ユーザをアクティブまたは非アクティブにしたりできます。外部認証ユーザの場合、サーバの認証オブジェクトが無効であると、[Authentication Method] カラムに [External (Disabled)] が表示されます。

[User Management] ページにアクセスするには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページに、各ユーザと、ユーザ アカウントのアクティブ化、非アクティブ化、編集、または削除のオプションが表示されます。

[User Management] ページで実行できるアクションについては、次の項を参照してください。

「新しいユーザ アカウントの追加」

「ユーザ ロールの設定」

「ユーザ特権とオプションの変更」

「制限付きユーザ アクセス プロパティについて」

「ユーザ パスワードの変更」

「ユーザ アカウントの削除」


 

新しいユーザ アカウントの追加

ライセンス:任意

サポート対象デバイス:機能に応じて異なる

新しいユーザ アカウントをセットアップするときに、そのアカウントでアクセスできるシステムの部分を制御できます。ユーザ アカウントの作成時に、ユーザ アカウントのパスワードの有効期限と強度を設定できます。シリーズ 3 デバイスのローカル アカウントの場合、ユーザに付与するコマンド ライン アクセスのレベルも設定できます。

新規のユーザを追加するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [Create User] をクリックします。

[Create User] ページが表示されます。

ステップ 3 [User Name] フィールドに、新しいユーザの名前を入力します。

新しいユーザ名は、英数字とハイフン文字のみからなり、スペースを使用せず、32 文字以下の長さにする必要があります。ユーザ名では、大文字と小文字が区別されます。

ステップ 4 このユーザがログイン時に外部ディレクトリ サーバに対して認証されるようにするには、[Use External Authentication Method] を選択します。

このオプション有効にすると、パスワード管理オプションが非表示になります。ユーザのアクセス ロールの設定を続行するには、ステップ 8 に移動してください。

外部ディレクトリ サーバに対してユーザを認証する場合は、防御センターを使用して、使用するサーバの認証オブジェクトを作成し、次に認証が有効な状態でシステム ポリシーを適用します。また、これらのユーザが FireSIGHT システム アプライアンスにログインするには、外部認証サーバが使用可能である必要があります。詳細については、「認証オブジェクトの管理」および「認証プロファイルの設定」を参照してください。

ステップ 5 [Password] および [Confirm Password] フィールドに、パスワード(最大 32 文字の英数字)を入力します。

パスワード強度の検査を有効にする場合は、パスワードは 8 文字以上の英数字からなり、大文字と小文字を使用し、1 つ以上の数字と 1 つ以上の特殊文字を使用する必要があります。辞書に記載されている単語や、同じ文字を連続して繰り返し使用することはできません。


アプライアンスで STIG 準拠を有効にするには、シェル アクセス ユーザのパスワード設定の詳細について『FireSIGHT System STIG Release Notes』(バージョン 5.3)を参照してください。


ステップ 6 その他のユーザ アカウント ログイン オプションを設定します。

詳細については、 「ユーザ アカウント ログイン オプション」 の表を参照してください。

ステップ 7 シリーズ 3 デバイスの Web インターフェイスでローカル ユーザを作成する場合は、[Command-Line Interface Access] でユーザのコマンド ライン インターフェイス アクセス レベルを割り当てることができます。

ユーザに対しコマンド ラインへのアクセスを無効にするには、[None] を選択します。

ユーザがシェルにログインし、特定のコマンド サブセットにアクセスできるようにするには、[Basic] を選択します。

ユーザがシェルにログインし、すべてのコマンド ライン オプション(アプライアンスでエキスパート モードが有効な場合はエキスパート モードも含む)を使用できるようにするには、[Configuration] を選択します。

コマンド ライン アクセスの詳細については、「コマンド ライン アクセスの管理」を参照してください。

ステップ 8 ユーザに付与するアクセス ロールを選択します。


すべての物理管理対象デバイスでは、シスコから提供される事前定義のユーザ ロールは、Administrator、Maintenance User、および Security Analyst に限定されています。


詳細については、「ユーザ ロールの設定」を参照してください。

ステップ 9 [Save] をクリックします。

ユーザが作成され、[User Management] ページが再度表示されます。


ヒント [User Management] ページの内部認証ユーザの名前の横にあるスライダをクリックして、非アクティブなユーザを再度アクティブにするか、またはアクティブ ユーザ アカウントを削除せずに無効にします。


 

コマンド ライン アクセスの管理

ライセンス:任意

サポート対象デバイス:シリーズ 3、仮想

シリーズ 3 または仮想デバイスでは、コマンド ライン インターフェイス アクセスをローカル デバイス ユーザに割り当てることができます。

仮想デバイスのユーザにコマンド ライン アクセスを割り当てることができますが、コマンドはコマンド ライン インターフェイスから使用することに注意してください。詳細については、「コマンドライン リファレンス」を参照してください。

ユーザが実行できるコマンドは、ユーザに割り当てられているアクセスのレベルによって決まります。[Command-Line Interface Access] を [None] に設定すると、ユーザはコマンド ラインでアプライアンスにログインできなくなります。ユーザが資格情報を指定すると、ユーザが開始したセッションはすべて閉じます。ユーザ作成時に、アクセス レベルはデフォルトで [None] に設定されます。[Command-Line Interface Access] を [Basic] に設定すると、ユーザは特定のコマンド セットだけを実行できます。

 

表 48-3 基本のコマンド ライン コマンド

configure password

interfaces

end

lcd

exit

link-state

help

log-ips-connection

history

managers

logout

memory

?

model

??

mpls-depth

access-control-config

NAT

alarms

network

arp-tables

network-modules

audit-log

ntp

bypass

perfstats

clustering

portstats

cpu

power-supply-status

database

process-tree

device-settings

processes

disk

routing-table

disk-manager

serial-number

dns

stacking

expert

summary

fan-status

time

fastpath-rules

traffic-statistics

GUI

version

hostname

virtual-routers

hyperthreading

virtual-switches

inline-sets

 

[Command-Line Interface Access] を [Configuration] に設定すると、ユーザはすべてのコマンド ライン オプションにアクセスできます。このアクセス レベルをユーザに割り当てるときには注意してください。


注意 外部認証ユーザに付与されるシェル アクセスは、デフォルトで [Configuration] レベルのコマンド ライン アクセスになります。これにより、すべてのコマンド ライン ユーティリティの権限が付与されます。外部認証ユーザのシェル アクセスの詳細については、 「シェル アクセスのセットアップ」および 「管理シェル アクセスの設定」を参照してください。

外部認証ユーザ アカウントの管理

ライセンス:任意

外部認証が有効になっているアプライアンスに外部認証ユーザがログインすると、認証オブジェクトでグループ メンバーシップを指定して設定したデフォルト アクセス ロールが、アプライアンスによりユーザに付与されます。アクセス グループ設定を設定していない場合、アプライアンスは、システム ポリシーで設定されているデフォルト ユーザ ロールを付与します。ただし、ユーザがアプライアンスにログインする前に、ユーザをローカルで追加すると、[User Management] ページで設定するユーザ特権によってデフォルト設定がオーバーライドされます。

デフォルト ユーザ ロールの作成の詳細については、 「認証プロファイルの設定」および「ユーザ特権について」を参照してください。外部認証ユーザのデフォルト ユーザ ロールとして、事前定義のユーザ ロールとカスタム ユーザ ロールの両方を設定できることに注意してください。詳細については、「ユーザ ロールの設定」を参照してください。

次のすべての条件が満たされている場合には、内部認証ユーザが外部認証に変換されます。

LDAPまたは RADIUS 認証を有効にしている。

LDAP サーバまたは RADIUS サーバでユーザに対して同一ユーザ名が存在する。

ユーザが、LDAP または RADIUS サーバに保存されているそのユーザのパスワードを使用してログインする。

防御センターではシステム ポリシーの外部認証だけを有効にできることに注意してください。管理対象デバイスで外部認証を使用するには、防御センターを使用して管理対象デバイスにポリシーを適用する必要があります。

ユーザ アクセスの変更の詳細については、「ユーザ特権とオプションの変更」を参照してください。FireSIGHT システム インターフェイスでは、外部認証ユーザのパスワード管理および外部認証ユーザの非アクティブ化は実行できないことに注意してください。外部認証ユーザの場合、LDAP グループ メンバーシップ、RADIUS リスト メンバーシップ、または属性値によってアクセス ロールが割り当てられているユーザの FireSIGHT システム ユーザ管理ページでは、最小アクセス権を削除することができません。外部認証ユーザの [Edit User] ページでは、外部認証サーバの設定により付与された権限は、[Externally Modified] ステータスでマークされます。

ただし、追加の権限を割り当てることはできます。外部認証ユーザのアクセス権を変更すると、[User Management] ページの [Authentication Method] カラムに、[External - Locally Modified] というステータスが表示されます。

シェル ユーザがログインに使用するユーザ名には、小文字、大文字、または大文字と小文字を組み合わせて使用できます。シェルのログイン認証では大文字と小文字が区別されます。


注意 シリーズ 3 防御センターでは、すべてのシェル ユーザに sudoers 特権が付与されます。シェル アクセスが付与されるユーザのリストを適切に制限してください。シリーズ 3 と仮想デバイスでは、外部認証ユーザに付与されるシェル アクセスのデフォルトは、Configuration レベルのコマンド ライン アクセスになります。このアクセスでも sudoers 特権が付与されます。シェル アクセスのセットアップの詳細については、 「シェル アクセスのセットアップ」および 「管理シェル アクセスの設定」を参照してください。

ユーザ ログイン設定の管理

ライセンス:任意

各ユーザ アカウントのパスワードの変更方法と変更する条件、およびユーザ アカウントが無効になる条件を制御できます。Web インターフェイス ログイン セッションのタイムアウトを設定している場合は、このタイムアウトからユーザを除外できます。次の表に、パスワードおよびアカウント アクセスの調整に使用できるオプションの一部について説明します。

シリーズ 3 管理対象デバイス上のローカル認証ユーザの場合、Web インターフェイスのユーザ パスワードを変更すると、コマンド ライン インターフェイスのパスワードも変更されることに注意してください。

[Check Password Strength] オプションを有効にすると、最小パスワード長が自動的に 8 文字に設定されます。また、[Minimum Password Length] に 8 文字を超える値を設定すると、いずれか大きい方の値が適用されます。


[Use External Authentication Method] を有効にした後は、ログイン オプションが表示されなくなります。ログイン設定の管理に外部認証サーバを使用します。


 

表 48-4 ユーザ アカウント ログイン オプション

オプション
説明

Use External Authentication Method

このユーザの資格情報を外部で認証する場合に、このチェック ボックスをオンにします。

(注) ユーザに対してこのオプションを選択した場合に外部認証サーバが使用できないと、そのユーザは Web インターフェイスにログインできますが、どの機能にもアクセスできません。

Maximum Number of Failed Logins

各ユーザが、ログイン試行の失敗後に、アカウントがロックされるまでに試行できるログインの最大回数を示す整数を、スペースなしで入力します。デフォルト設定は 5 回です。ログイン失敗回数を無制限にするには、0 を使用します。

Minimum Password Length

ユーザのパスワードの必須最小長(文字数)を示す整数を、スペースなしで入力します。デフォルト設定は 8 です。値 0 は、最小長が必須ではないことを示します。

Days Until Password Expiration

ユーザのパスワードの有効期限までの日数を入力します。デフォルト設定は 0 で、パスワードは期限切れにならないことを示します。

Days Before Password Expiration Warning

パスワードが実際に期限切れになる何日前に、ユーザがパスワードを変更する必要があるという警告が表示されるかを入力します。デフォルト設定は 0 日間です。


注意 警告日数は、パスワードの残りの有効期間の日数未満である必要があります。

Force Password Reset on Login

初回ログイン時に、ユーザが強制的に各自のパスワードを変更するようにするには、このオプションを選択します。

Check Password Strength

強力なパスワードを必須にするには、このオプションを選択します。強力なパスワードは 8 文字以上の英数字からなり、大文字と小文字を使用し、1 つ以上の数字と 1 つ以上の特殊文字を使用する必要があります。辞書に記載されている単語や、同じ文字を連続して繰り返し使用することはできません。

Exempt from Browser Session Timeout

操作が行われなかったことが原因でユーザのログイン セッションが終了しないようにするには、このオプションを選択します。Administrator ロールが割り当てられているユーザを除外することはできません。セッション タイムアウトの詳細については、「ユーザ インターフェイスの設定」を参照してください。

ユーザ ロールの設定

ライセンス:任意

各 FireSIGHT システム ユーザには、1 つ以上のユーザ アクセス ロールが関連付けられています。たとえばアナリストは、ネットワークのセキュリティを分析するためイベント データへのアクセスが必要ですが、FireSIGHT システム自体の管理機能へのアクセスが必要となることはありません。たとえばユーザ ロールを使用して、アナリストには Security Analyst アクセスを付与し、FireSIGHT システムを管理する 1 人以上のユーザに対して Administrator ロールを予約しておくことができます。FireSIGHT システムには、さまざまな管理者とアナリスト向けに設計された 10 の事前定義ユーザ ロールがあります。また、特殊なアクセス権限を含むカスタム ユーザ ロールを作成できます。

ユーザがアクセスできる Web インターフェイスのメニューとその他のオプションは、ロールによって異なります。事前定義のユーザ ロールには、一連の事前定義のアクセス権限が含まれており、カスタム ユーザ ロールには、作成者が指定する詳細なアクセス権限が含まれています。

[User Roles] ページでユーザ ロールを設定します。

[User Roles] ページにアクセスするには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] タブをクリックします。

[User Roles] ページが表示され、すべての事前定義ユーザ ロールとカスタム ユーザ ロール、およびロールのアクティブ化、非アクティブ化、編集、コピー、削除、エクスポートのためのオプションが表示されます。

この 2 種類のユーザ ロールの設定の詳細については、次の項を参照してください。

「事前定義ユーザ ロールの管理」

「カスタム ユーザ ロールの管理」

「事前定義ユーザ ロールのカスタム コピーの作成」

「カスタム ユーザ ロールの削除」


 

事前定義ユーザ ロールの管理

ライセンス:任意

FireSIGHT システムには、組織のニーズに対応するためのさまざまなアクセス権限セットを提供する 10 の事前定義ユーザ ロールがあります。[User Roles] ページでは、事前定義ユーザ ロールに「シスコ Provided」というラベルが付いています。管理対象デバイスは、10 の事前定義ユーザ ロールのうち 3 つのユーザ ロール(Administrator、Maintenance User、および Security Analyst)にだけアクセスできることに注意してください。

事前定義ユーザ ロールは編集できませんが、そのアクセス権限セットをカスタム ユーザ ロールのベースとして使用できます。カスタム ユーザ ロールの作成と編集については、「カスタム ユーザ ロールの管理」を参照してください。また、事前定義ユーザ ロールを編集できないため、事前定義ユーザ ロールが別のユーザ ロールにエスカレーションするように設定することができません。詳細については、「ユーザ ロール エスカレーションの管理」を参照してください。

次の表に、使用可能な事前定義ロールの簡単な説明を示します。各ロールで使用可能なメニューおよびオプションのリストについては、「アカウント特権について」を参照してください。

 

表 48-5 事前定義ユーザ ロール

ユーザ ロール
権限

Access Admin

アクセス制御およびファイル ポリシー機能にアクセスするためのアクセス権を提供します。ただし、Access Admin はアクセス制御ポリシーを適用することはできません。Access Admin は、[Policies] メニューでアクセス制御およびファイル関連オプションにアクセスできます。

Administrator

分析およびレポート機能、ルールおよびポリシーの設定、システム管理、およびすべての保守機能へのアクセスを提供します。Administrator はすべてのメニュー オプションにアクセスできるため、セッションでセキュリティが侵害されると、高いセキュリティ リスクが生じます。このため、ログイン セッション タイムアウトから Administrator を除外することはできません。

セキュリティ上の理由から、Administrator ロールの使用を制限する必要があることに注意してください。

このロールは、管理対象デバイスでも使用可能です。

Discovery Admin

ネットワーク検出、相関、およびユーザ アクティビティ機能へのアクセスを提供します。Discovery Admin は、[Policies] メニューの関連オプションにアクセスできます。

External Database User

JDBC SSL 接続をサポートするアプリケーションを使用した FireSIGHT システム データベースへの読み取り専用アクセスを提供します。サードパーティ アプリケーションを FireSIGHT システム アプライアンスに対して認証するには、「データベースへのアクセスの有効化」の説明に従い、システム設定でデータベース アクセスを有効にする必要があることに注意してください。Web インターフェイスでは、External Database User は [Help] メニューのオンライン ヘルプ関連オプションだけにアクセスできます。このロールの機能には Web インターフェイスが含まれていないため、容易なサポートとパスワード変更の目的でのみアクセスが提供されます。

Intrusion Admin

すべての侵入ポリシーと侵入ルール機能へのアクセスを提供します。Intrusion Admin は、[Policies] メニューの侵入関連オプションにアクセスできます。Intrusion Admin は、侵入ポリシーをアクセス制御ポリシーの一部として適用できないことに注意してください。

Maintenance User

監視機能と保守機能へのアクセスを提供します。Maintenance User は、[Health] メニューと [System] メニューの保守関連オプションにアクセスできます。

このロールは、管理対象デバイスでも使用可能です。

Network Admin

アクセス制御およびデバイス設定機能にアクセスするためのアクセス権を提供します。Network Admin は、アクセス制御および [Policies] メニューと [Devices] メニューのデバイス関連オプションにアクセスできます。

Security Analyst

セキュリティ イベント分析機能(イベント ビュー、レポート、ホスト、ホスト属性、サービス、脆弱性、クライアント アプリケーション、ヘルス イベントへの読み取り専用アクセスなど)へのアクセスを提供します。Security Analyst は、[Overview]、[Analysis]、[Health]、および [System] メニューの分析関連オプションにアクセスできます。

このロールは、管理対象デバイスでも使用可能です。

Security Analyst (Read Only)

セキュリティ イベント分析機能(イベント ビュー、レポート、ホスト、ホスト属性、サービス、脆弱性、クライアント アプリケーション、ヘルス イベントなど)への読み取り専用アクセスを提供します。Security Analyst は、[Overview]、[Analysis]、[Health]、および [System] メニューの分析関連オプションにアクセスできます。

Security Approver

アクセス制御、侵入、ファイル、およびネットワーク検出ポリシーへのアクセスを提供します。Security Approver は、これらのポリシーを表示し、ネットワーク検出、侵入、およびアクセ制御ポリシーを適用できますが、ポリシーを変更することはできません。[Policies] メニューのポリシー関連オプションにアクセスできます。

ユーザに Event Analyst ロールを割り当てるときに、そのユーザの削除権限を、そのユーザにより作成されるレポート プロファイル、検索、ブックマーク、カスタム テーブル、およびカスタム ワークフローの削除だけに制限できます。詳細については、「新しいユーザ アカウントの追加」を参照してください。

その他のロールが割り当てられていない外部認証ユーザには、LDAP または RADIUS 認証オブジェクトとシステム ポリシーでの設定に基づいて最小アクセス権が付与されることに注意してください。追加の権限をこれらのユーザに割り当てることができますが、最小アクセス権を削除または変更するには、次の操作を行う必要があります。

認証オブジェクト内のリスト間でユーザを移動するか、または外部認証サーバのユーザの属性値またはグループ メンバーシップを変更します。

システム ポリシーを再度適用します。

[User Management] ページでそのユーザ アカウントからアクセスを削除します。

事前定義ユーザ ロールは削除できませんが、非アクティブにすることができます。ロールを非アクティブにすると、そのロールが割り当てられているすべてのユーザから、そのロールと関連するアクセス許可が削除されます。


注意 非アクティブにされたロールが、特定のユーザに割り当てられていた唯一のロールである場合、そのユーザはログインして [User Preferences] メニューにアクセスできますが、FireSIGHT システムにはアクセスできません。

ユーザ ロールをアクティブ化または非アクティブ化するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] タブをクリックします。

[User Roles] ページが表示されます。

ステップ 3 アクティブまたは非アクティブにするユーザ ロールの横にあるスライダをクリックします。


Lights-Out Management を含むロールが割り当てられているユーザがログインしているときに、このロールを非アクティブにしてから再度アクティブにする場合、またはユーザのログイン セッション中にバックアップからユーザまたはユーザ ロールを復元する場合、そのユーザは Web インターフェイスに再度ログインして、IPMItool コマンドへのアクセスを再度取得する必要があります。詳細については、「Lights-Out 管理の使用」を参照してください。



 

カスタム ユーザ ロールの管理

ライセンス:任意

事前定義ユーザ ロールの他に、特別なアクセス権限を含むカスタム ユーザ ロールを作成できます。カスタム ユーザ ロールには、メニュー ベースのシステム権限の任意のセットを割り当てることができます。また、カスタム ユーザ ロールは、完全にオリジナルなものを作成することも、事前定義されたユーザー ロールを基に作成することもできます。事前定義ユーザ ロールと同様に、カスタム ロールは外部認証ユーザのデフォルト ロールとして使用できます。事前定義ロールとは異なり、カスタム ロールは変更、削除できます。

選択可能なアクセス許可は階層構造になっており、FireSIGHT システム メニュー レイアウトに基づいています。アクセス許可にサブページが含まれているか、または単純なページ アクセスよりも詳細なアクセス許可が含まれている場合、このアクセス許可は拡張可能です。その場合、上位アクセス許可によって、ページ ビュー アクセス、およびそのページの関連機能への詳細な下位アクセス権が付与されます。たとえば [Correlation Events] アクセス許可は [Correlation Events] ページへのアクセスを付与し、[Modify Correlation Events] チェック ボックスは、ユーザがそのページで使用可能な情報を編集、削除できるようにします。「Manage」という単語が含まれているアクセス許可は、他のユーザが作成する情報を編集および削除できる権限を付与します。

カスタム ユーザ ロールに制限付き検索を適用できます。これにより、イベント ビューアでユーザに対して表示されるデータが制限されます。制限付き検索を設定するには、最初に、プライベートの保存済み検索を作成し、該当するメニュー ベースのアクセス許可の下で、[Restricted Search] ドロップダウン メニューからその検索を選択します。詳細については、「検索の実行」を参照してください。

防御センターでカスタム ユーザ ロールを設定するときには、すべてのメニュー ベースのアクセス許可を付与できます。管理対象デバイスでカスタム ユーザ ロールを設定するときには、デバイス機能に関連する一部のアクセス許可だけを使用できます。設定できるメニュー ベースのアクセス許可と、事前定義ユーザ ロールとの関係については、次の項を参照してください。

「[Analysis] メニュー」

「[Policies]メニュー」

「[Devices] メニュー」

「Object Manager」

「[Health] メニュー」

「[System] メニュー」

「[Help] メニュー」

[System Permissions] で選択できるオプションでは、外部データベースに対してクエリを実行したり、ターゲット ユーザ ロールのアクセス許可にエスカレーションしたりすることができるユーザ ロールを作成できます。詳細については、「データベースへのアクセスの有効化」および「ユーザ ロール エスカレーションの管理」を参照してください。

オプションで、新しいカスタム ユーザ ロールを作成する代わりに、別のアプライアンスからカスタム ユーザ ロールをエクスポートし、ご使用のアプライアンスにインポートできます。インポートしたロールは、適用する前に、ニーズに合わせて編集できます。詳細については、「設定のエクスポート」および「設定のインポート」を参照してください。

カスタム ユーザ ロールを作成するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] タブをクリックします。

[User Roles] ページが表示されます。

ステップ 3 [Create User Role] をクリックします。

[User Role Editor] ページが表示されます。

ステップ 4 [Name] フィールドに、新しいユーザ ロールの名前を入力します。

英数字またはハイフン文字を使用できます。スペースは使用しないでください。ロール名は 75 文字以下でなければなりません。ユーザ ロール名では、大文字と小文字が区別されます。

ステップ 5 オプションで、[Description] フィールドに新しいロールの説明を入力します。

ロールの説明は 255 文字以下でなければなりません。

ステップ 6 新しいロールのアクセス許可を選択します。

選択されていないアクセス許可を選択すると、その権限の下位のアクセス許可もすべて選択され、複数値を持つアクセス許可では最初の値が選択されます。上位のアクセス許可を選択解除すると、下位のアクセス許可も選択解除されます。選択されたアクセス許可の下位のアクセス許可がすべて選択されていない場合、イタリック テキストで表示されます。

カスタム ロールのベースとして使用する事前定義ユーザ ロールをコピーすることを選択すると、その事前定義ロールに関連付けられているアクセス許可が事前に選択されることに注意してください。事前定義ユーザ ロールのコピーの詳細については、「事前定義ユーザ ロールのカスタム コピーの作成」を参照してください。

現在のエスカレーション ターゲット ロールは、ロール エスカレーション チェック ボックスの横に表示されます。このチェック ボックスをオンにすると、割り当てられているユーザのパスワードまたは指定されている別のユーザ ロールのパスワードのいずれかを使用してエスカレーションを認証することを選択できます。詳細については、「ユーザ ロール エスカレーションの管理」を参照してください。

ステップ 7 [Save] をクリックします。

カスタム ユーザ ロールが作成され、[User Roles] ページが再度表示されます。


 

事前定義ユーザ ロールのカスタム コピーの作成

ライセンス:任意

新しいカスタム ロールのベースとして使用する既存のロールをコピーできます。これにより、[User Role Editor] で既存のロールのアクセス許可が事前に選択されるので、あるロールをモデルとして別のロールを作成できます。

事前定義ユーザ ロールのカスタム コピーを作成するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] タブをクリックします。

[User Roles] ページが表示されます。

ステップ 3 コピーするユーザ ロールの横にあるコピー アイコン( )をクリックします。

[User Role Editor] ページが表示され、コピーされたロールのアクセス許可が事前に選択されます。

カスタム ユーザ ロールと事前定義ユーザ ロールの両方をこの方法でコピーできることに注意してください。


 

カスタム ユーザ ロールの削除

ライセンス:任意

事前定義ユーザ ロールとは異なり、不要になったカスタム ロールは削除できます。カスタム ロールを完全に削除せずに無効にするには、カスタム ロールを非アクティブ化します。詳細については、「事前定義ユーザ ロールの管理」を参照してください。各自のユーザ ロール、またはシステム ポリシーでデフォルト ユーザ ロールとして設定されているロールは削除できないことに注意してください。詳細については、 「認証プロファイルの設定」を参照してください。

カスタム ユーザ ロールを削除するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] タブをクリックします。

[User Roles] ページが表示されます。

ステップ 3 削除するカスタム ロールの横にある削除アイコン( )をクリックします。

カスタム ロールが削除されます。

削除されたロールが、特定のユーザに割り当てられていた唯一のロールである場合、そのユーザはログインして [User Preferences] メニューにアクセスできますが、FireSIGHT システムにはアクセスできません。


 

ユーザ特権とオプションの変更

ライセンス:任意

システムにユーザ アカウントを追加したら、アクセス権限、アカウント オプション、パスワードをいつでも変更できます。パスワード管理オプションは、外部ディレクトリ サーバに対して認証されるユーザには適用されないことに注意してください。これらの設定は外部サーバで管理します。ただし、外部認証されるアカウントを含め、すべてのアカウントのアクセス権を設定する必要があります。

外部認証ユーザの場合、LDAP グループ メンバーシップ、RADIUS リスト メンバーシップ、または属性値によってアクセス ロールが割り当てられているユーザの FireSIGHT システム ユーザ管理ページでは、最小アクセス権を削除することができません。ただし、追加の権限を割り当てることはできます。外部認証ユーザのアクセス権を変更すると、[User Management] ページの [Authentication Method] カラムに、[External - Locally Modified] というステータスが表示されます。

ユーザの認証を外部認証から内部認証に変更した場合は、ユーザの新しいパスワードを指定する必要があることに注意してください。

ユーザ アカウント特権を変更するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 変更するユーザの横にある編集アイコン( )をクリックします。

[Edit User] ページが表示されます。

ステップ 3 必要に応じて 1 つ以上のアカウントを変更します。

外部サーバでユーザを認証する方法の説明については、「外部認証ユーザ アカウントの管理」を参照してください。

内部認証ユーザのパスワード設定の変更については、「ユーザ ログイン設定の管理」を参照してください。

FireSIGHT システム機能のアクセスを付与するロールの設定の詳細については、「ユーザ ロールの設定」を参照してください。


 

制限付きユーザ アクセス プロパティについて

ライセンス:任意

イベント ビューアであるユーザ ロールが表示できるデータを制限するには、そのロールに制限付き検索を適用します。ユーザに割り当てられたロールを作成または編集するときに、この情報を指定できます。制限付きアクセスを使用してカスタム ロールを作成するには、[Menu Based Permissions] リストから制限するテーブルを選択し、次に [Restrictive Search] ドロップダウン リストからプライベート保存検索を選択します。詳細については、「カスタム ユーザ ロールの管理」を参照してください。

ユーザ パスワードの変更

ライセンス:任意

内部認証ユーザの [User Management] ページで、ユーザ パスワードを変更できます。LDAP または RADIUS サーバで外部認証ユーザのパスワードを管理する必要があることに注意してください。


アプライアンスで STIG 準拠を有効にするには、シェル アクセス ユーザのパスワード設定の詳細について『FireSIGHT System STIG Release Notes』(バージョン 5.3)を参照してください。


ユーザ パスワードを変更するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 ユーザ名の横にある編集アイコン( )をクリックします。

[Edit User] ページが表示されます。

ステップ 3 [Password] フィールドに、新しいパスワード(最大 32 文字の英数字)を入力します。

ステップ 4 [Confirm Password] フィールドに、新しいパスワードをもう一度入力します。

ユーザ アカウントのパスワード強度検査が有効な場合は、パスワードは 8 文字以上の英数字からなり、大文字と小文字を使用し、1 つ以上の数字と 1 つ以上の特殊文字を使用する必要があります。辞書に記載されている単語や、同じ文字を連続して繰り返し使用することはできません。

ステップ 5 ユーザ設定に、必要なその他のすべての変更を行います。

パスワード オプションの詳細については、「ユーザ ログイン設定の管理」を参照してください。

ユーザ ロールの詳細については、「ユーザ ロールの設定」を参照してください。

ステップ 6 [Save] をクリックします。

パスワードが変更され、その他のすべての変更が保存されます。


 

ユーザ アカウントの削除

ライセンス:任意

admin アカウント以外のユーザ アカウントはシステムからいつでも削除できます。admin アカウントは削除できません。

ユーザ アカウントを削除するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 アカウントを削除するユーザの横の削除アイコン( )をクリックします。アカウントが削除されます。


 

アカウント特権について

ライセンス:任意

ここでは、FireSIGHT システムの設定可能なユーザ アクセス許可と、これらのアクセス許可にアクセスできるユーザ ロールのリストを示します。ここに記載されているアクセス許可は、カスタム ユーザ ロールの作成時に表示される [Menu Based Permissions] リストの順序に従っています。管理対象デバイスでは使用できないアクセス許可があります。防御センターでのみ使用可能なアクセス許可には、そのことが記されています。詳細については、「カスタム ユーザ ロールの管理」を参照してください。

DC500 防御センターと シリーズ 2 デバイスでは制限付き機能セットがサポートされているため、これらのアプライアンスに適用されないアクセス許可があることに注意してください。シリーズ 2 アプライアンス機能の要約については、 「管理対象デバイスの各モデルでサポートされる機能」 の表を参照してください。

このマニュアルで、これ以降のすべての表で使用されるアクセスの表記の詳細については、「アクセスの表記法」を参照してください。ここでは、Web ベース インターフェイスの各メイン メニューに関連付けられているユーザ ロール特権を示します。

「[Overview] メニュー」

「[Analysis] メニュー」

「[Policies]メニュー」

「[Devices] メニュー」

「FireAMP」

「[Devices] メニュー」

「[Health] メニュー」

「[System] メニュー」

「[Help] メニュー」

[Overview] メニュー

ライセンス:任意

次の表は、[Overview] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示しています。Security Approver、Discovery Admin、Intrusion Admin、Access Admin、Network Admin、および External Database User の各ロールには、[Overview] メニューのアクセス許可がありません。

 

表 48-6 [Overview] メニュー

権限
Admin
Maint User
Security Analyst
Security Analyst(RO)

Dashboards

Manage Dashboards

不可

不可

不可

Appliance Information Widget

Appliance Status Widget 防御センター のみ)

Correlation Events Widget

不可

Current Interface Status Widget

Current Sessions Widget

不可

不可

不可

Custom Analysis Widget 防御センター のみ)

不可

Disk Usage Widget

Interface Traffic Widget

Intrusion Events Widget 防御センター のみ)

不可

Network Correlation Widget 防御センター のみ)

不可

Product Licensing Widget 防御センター のみ)

不可

不可

Product Updates Widget

不可

不可

RSS Feed Widget

System Load Widget

System Time Widget

White List Events Widget 防御センター のみ)

不可

Reporting( 防御センター のみ

不可

Manage Report Templates 防御センター のみ)

不可

Summary

不可

Intrusion Event Statistics 防御センター のみ)

不可

Intrusion Event Performance

不可

不可

不可

Intrusion Event Graphs 防御センター のみ)

不可

Discovery Statistics 防御センター のみ)

不可

Discovery Performance 防御センター のみ)

不可

不可

不可

Connection Summary 防御センター のみ)

不可

[Analysis] メニュー

ライセンス:任意

次の表は、[Analysis] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示しています。異なる見出しの下に複数回出現する権限は、最初に出現する表にのみ示されています。ただし、サブメニューの見出しを示す場合を除きます。Security Approver、Intrusion Admin、Access Admin、Network Admin、および External Database User の各ロールには、[Analysis] メニューのアクセス許可がありません。[Analysis] メニューは防御センターでのみ使用可能です。

 

表 48-7 [Analysis] メニュー

メニュー
Admin
Discovery Admin
Maint User
Security Analyst
Security Analyst(RO)

Application Statistics

不可

不可

Geolocation Statistics

不可

不可

User Statistics

不可

不可

URL Category Statistics

不可

不可

URL Reputation Statistics

不可

不可

Intrusion Event Statistics by Application

不可

不可

Intrusion Event Statistics by User

不可

不可

Security Intelligence Category Statistics

不可

不可

Context Explorer

不可

不可

Connection Events

不可

不可

Modify Connection Events

不可

不可

不可

Connection Summary Events

不可

不可

Modify Connection Summary Events

不可

不可

不可

Security Intelligence Events

不可

不可

Modify Security Intelligence Events

不可

不可

不可

Intrusion

不可

不可

Intrusion Events

不可

不可

Modify Intrusion Events

不可

不可

不可

View Local Rules

不可

不可

Reviewed Events

不可

不可

Clipboard

不可

不可

Incidents

不可

不可

Files

不可

不可

File Download

不可

不可

Dynamic File Analysis

不可

不可

不可

File Storage Statistics by Disposition

不可

不可

File Storage Statistics by Type

不可

不可

Dynamic File Analysis Statistics

不可

不可

Malware Events

不可

不可

Modify Malware Events

不可

不可

不可

File Events

不可

不可

Modify File Events

不可

不可

不可

Captured Files

不可

不可

Modify Captured Files

不可

不可

不可

File Trajectory

不可

不可

Hosts

不可

不可

Network Map

不可

不可

Hosts

不可

不可

Modify Hosts

不可

不可

不可

Indications of Compromise

不可

不可

Modify Indications of Compromise

不可

不可

不可

Servers

不可

不可

Modify Servers

不可

不可

不可

Vulnerabilities

不可

不可

Host Attributes

不可

不可

Modify Host Attributes

不可

不可

不可

Applications

不可

不可

Application Details

不可

不可

Modify Application Details

不可

不可

不可

Host Attribute Management

不可

不可

不可

不可

Discovery Events

不可

不可

Modify Discovery Events

不可

不可

不可

Users

不可

User Activity

不可

Modify User Activity Events

不可

不可

Users

不可

Modify Users

不可

不可

Vulnerabilities

不可

不可

Third-party Vulnerabilities

不可

不可

Modify Third-party Vulnerabilities

不可

不可

不可

Correlation

不可

Correlation Events

不可

Modify Correlation Events

不可

不可

White List Events

不可

Modify White List Events

不可

不可

White List Violations

不可

Remediation Status

不可

不可

不可

Modify Remediation Status

不可

不可

不可

Custom

不可

不可

Custom Workflows

不可

不可

Manage Custom Workflows

不可

不可

Custom Tables

不可

不可

Manage Custom Tables

不可

不可

Search

不可

Manage Search

不可

不可

不可

不可

Bookmarks

不可

不可

Manage Bookmarks

不可

不可

[Policies]メニュー

ライセンス:任意

次の表は、[Policies] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示しています。External Database User、Maintenance User、Security Analyst、および Security Analyst(Read Only)の各ロールには、[Policy] メニューでのアクセス許可がありません。[Policies] メニューは防御センターでのみ使用可能です。

 

表 48-8 [Policies]メニュー

メニュー
Access Admin
Admin
Discovery Admin
Intrusion Admin
Network Admin
Security Approver

Access Control

不可

不可

Access Control List

不可

不可

Modify Access Control Policy

不可

不可

不可

Modify Administrator Rules

不可

不可

不可

Modify Root Rules

不可

不可

不可

Apply Intrusion Policies

不可

不可

不可

不可

Apply Access Control Policies

不可

不可

不可

不可

Intrusion

不可

不可

Intrusion Policy

不可

不可

不可

Modify Intrusion Policy

不可

不可

不可

不可

Rule Editor

不可

不可

不可

不可

Email

不可

不可

不可

不可

File Policy

不可

不可

不可

不可

Modify File Policy

不可

不可

不可

不可

Network Discovery

不可

不可

不可

Modify Network Discovery

不可

不可

不可

不可

Apply Network Discovery

不可

不可

不可

不可

Custom Fingerprinting

不可

不可

不可

不可

Custom Product Mappings

不可

不可

不可

不可

User 3rd Party Mappings

不可

不可

不可

不可

Custom Topology

不可

不可

不可

不可

Application Detectors

不可

不可

不可

不可

Users

不可

不可

不可

不可

不可

Correlation

不可

不可

不可

不可

不可

Policy Management

不可

不可

不可

不可

不可

Rule Management

不可

不可

不可

不可

不可

White List

不可

不可

不可

不可

不可

Traffic Profiles

不可

不可

不可

不可

不可

Actions

不可

不可

不可

不可

Alerts

不可

不可

不可

不可

Impact Flag Alerts

不可

不可

不可

不可

Discovery Event Alerts

不可

不可

不可

不可

Scanners

不可

不可

不可

不可

Scan Results

不可

不可

不可

不可

Modify Scan Results

不可

不可

不可

不可

Groups

不可

不可

不可

不可

不可

Modules

不可

不可

不可

不可

不可

Instances

不可

不可

不可

不可

不可

[Devices] メニュー

ライセンス:任意

[Devices] メニューの表には、[Devices] メニューの各オプションとそのサブ権限にアクセスするために必要なユーザ ロール特権を順に示します。X はユーザ ロールにアクセス権があることを示します。Access Admin、Discovery Admin、External Database User、Maintenance User、Security Approver、Security Analyst、および Security Analyst(Read Only)の各ロールには、[Devices] メニューでのアクセス許可がありません。[Devices] メニューは防御センターでのみ使用可能です。

 

表 48-9 [Devices] メニュー

メニュー
Admin
Network Admin

Device Management

Modify Devices

Apply Device Changes

NAT

NAT List

Modify NAT Policy

Apply NAT Rules

不可

VPN

Modify VPN

Apply VPN Changes

Object Manager

ライセンス:任意

[Object Manager] アクセス許可は、Access Admin、Administrator、Network Admin の各ユーザ ロールに対して使用可能です。[Object Manager] アクセス許可は防御センターでのみ使用可能です。

FireAMP

ライセンス:任意

FireAMP アクセス許可は、Administrator ユーザ ロールのみに対して使用可能です。このアクセス許可は、防御センターでのみ使用可能です。

[Health] メニュー

ライセンス:任意

次の表は、[Health] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示します。Access Admin、Discovery Admin、Intrusion Admin、External Database User、Network Admin、および Security Approver の各ロールには、[Health] メニューでのアクセス許可がありません。[Health] メニューは防御センターでのみ使用可能です。

 

表 48-10 [Health] メニュー

メニュー
Admin
Maint User
Security Analyst
Security Analyst(RO)

Health Policy

不可

不可

Modify Health Policy

不可

不可

Apply Health Policy

不可

不可

Health Events

Modify Health Events

不可

不可

[System] メニュー

ライセンス:Any

次の表は、[System] メニューの各オプションにアクセスするために必要なユーザ ロール特権と、ユーザ ロールがオプション内のサブ権限にアクセスできるかどうかを順に示します。Access Admin、Discovery Admin、Intrusion Admin、External Database User、および Security Approver の各ロールには、[System] メニューでのアクセス許可はありません。

 

表 48-11 [System] メニュー

メニュー
Admin
Maint User
Network Admin
Security Approver
Security Analyst

Local

不可

不可

不可

不可

Configuration

不可

不可

不可

不可

Registration

不可

不可

不可

不可

High Availability (DC1000、DC1500、DC3000、DC3500 のみ)

不可

不可

不可

不可

eStreamer

不可

不可

不可

不可

Host Input Client 防御センター のみ)

不可

不可

不可

不可

User Management

不可

不可

不可

不可

Users

不可

不可

不可

不可

User Roles

不可

不可

不可

不可

Login Authentication 防御センター のみ)

不可

不可

不可

不可

System Policy 防御センター のみ)

不可

不可

不可

不可

Modify System Policy 防御センター のみ)

不可

不可

不可

不可

Apply System Policy 防御センター のみ)

不可

不可

不可

不可

Updates

不可

不可

不可

不可

Rule Updates 防御センター のみ)

不可

不可

不可

不可

Rule Update Import Log 防御センター のみ)

不可

不可

不可

不可

Licenses

不可

不可

不可

不可

Monitoring

Audit

不可

不可

不可

不可

Modify Audit Log

不可

不可

不可

不可

Syslog

不可

不可

不可

Task Status

View Other Users’ Tasks

不可

不可

不可

不可

Statistics

不可

不可

不可

Tools

不可

不可

Backup Management

不可

不可

不可

Restore Backup

不可

不可

不可

Scheduling

不可

不可

不可

Delete Other Users’ Scheduled Tasks

不可

不可

不可

不可

Import/Export

不可

不可

不可

不可

Discovery Data Purge 防御センター のみ)

不可

不可

不可

Whois

不可

不可

[Help] メニュー

ライセンス:任意

[Help] メニューとその権限には、すべてのユーザ ロールがアクセスできます。[Help] メニュー オプションを制限することはできません。

ユーザ ロール エスカレーションの管理

ライセンス:任意

カスタム ユーザ ロールにアクセス許可を付与し、パスワードを設定することで、ベース ロールの特権に加え、他のターゲット ユーザ ロールの特権を一時的に取得できます。これにより、あるユーザが不在であるときにそのユーザを別のユーザに容易に置き換えることや、拡張ユーザ特権の使用状況を緊密に追跡することができます。

たとえば、ユーザのベース ロールに含まれている特権が非常に限られている場合、そのユーザは管理アクションを実行するために Administrator ロールにエスカレーションします。ユーザが各自のパスワードを使用するか、または指定された別のユーザのパスワードを使用することができるように、この機能を設定できます。2 番目のオプションでは、該当するすべてのユーザのための 1 つのエスカレーション パスワードを容易に管理できます。詳細については、「エスカレーションに使用するカスタム ユーザ ロールの設定」を参照してください。

エスカレーション ターゲット ロールにすることができるユーザ ロールは一度に 1 つだけであることに注意してください。カスタム ユーザ ロールまたは事前定義ユーザ ロールを使用できます。各エスカレーションはログイン セッション期間中保持され、監査ログに記録されます。

この機能の構成および使用方法の詳細については、次の項を参照してください。

「エスカレーション ターゲット ロールの設定」

「エスカレーションに使用するカスタム ユーザ ロールの設定」

「ユーザ ロールのエスカレーション」

エスカレーション ターゲット ロールの設定

ライセンス:任意

各自のユーザ ロール(事前定義またはカスタム)をシステム全体でのエスカレーション ターゲット ロールとして機能するように割り当てることができます。これは、他のロールからのエスカレーション先となるロールです(エスカレーションが可能な場合)。

エスカレーション ターゲット ロールを設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] をクリックします。

[User Roles] ページが表示されます。

ステップ 3 [Configure Permission Escalation] をクリックします。

[Configure Permission Escalation] ダイアログ ボックスが表示されます。

ステップ 4 ドロップダウン リストからユーザ ロールを選択します。

ステップ 5 [OK] をクリックして変更を保存します。

変更が保存され、[User Roles] ページが表示されます。


エスカレーション ターゲット ロールの変更は即時に反映されます。エスカレーションされたセッションのユーザには、新しいエスカレーション ターゲットのアクセス許可が付与されます。



 

エスカレーションに使用するカスタム ユーザ ロールの設定

ライセンス:任意

ユーザ ロール エスカレーション機能を使用するには、最初にエスカレーション権限を持つカスタム ユーザ ロールを設定し、そのエスカレーション パスワードを選択して、そのロールをユーザに割り当てる必要があります。詳細については、「新しいユーザ アカウントの追加」および「ユーザ ロールの設定」を参照してください。

カスタム ロールのエスカレーション パスワードを設定するときには、部門のニーズを考慮してください。多数のエスカレーション ユーザを容易に管理するには、別のユーザを選択し、そのユーザのパスワードをエスカレーション パスワードとして使用することができます。そのユーザのパスワードを変更するか、またはそのユーザを非アクティブにすると、そのパスワードを必要とするすべてのエスカレーション ユーザが影響を受けます。このことにより、特に一元管理できる外部認証ユーザを選択した場合に、ユーザ ロール エスカレーションをより効率的に管理できます。

エスカレーションに使用するカスタム ユーザ ロールを設定するには、次の手順を実行します。

アクセス:Admin


ステップ 1 [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 2 [User Roles] をクリックします。

[User Roles] ページが表示されます。

ステップ 3 [Create User Role] をクリックして新しいカスタム ユーザ ロールを作成するか、既存のカスタム ユーザ ロールの横の編集アイコン( )をクリックします。

[User Role Editor] ページが表示されます。

ステップ 4 カスタム ユーザ ロールの名前、説明、およびメニュー ベースのアクセス許可を選択します。

詳細については、「カスタム ユーザ ロールの管理」の手順を参照してください。

ステップ 5 [System Permissions] で、[Set this role to escalate to:] チェック ボックスをオンにします。

エスカレーション パスワード オプションが表示されます。

ステップ 6 このロールがエスカレーションするときに使用するパスワードを選択します。次の 2 つのオプションから選択できます。

このロールが割り当てられているユーザがエスカレーション時に各自のパスワードを使用できるようにするには、[Authenticate with the assigned user's password] を選択します。

このロールが割り当てられているユーザが、別のユーザのパスワードを使用するようにするには、[Authenticate with the specified user's password] を選択し、そのユーザ名を入力します。


別のユーザのパスワードで認証するときには、任意のユーザ名(非アクティブなユーザまたは存在しないユーザを含む)を入力できます。エスカレーションにパスワードが使用されるユーザを非アクティブにすると、そのパスワードを必要とするロールが割り当てられているユーザのエスカレーションが不可能になります。この機能を使用して、必要に応じてエスカレーション機能をただちに削除できます。


ステップ 7 [Save] をクリックします。

変更が保存され、[User Roles] ページが再度表示されます。これで、このロールが割り当てられているユーザはターゲット ユーザ ロールにエスカレーションできます。ユーザへのユーザ ロールの割り当ての詳細については、「新しいユーザ アカウントの追加」を参照してください。


 

ユーザ ロールのエスカレーション

ライセンス:任意

エスカレーション対象のアクセス許可が含まれているカスタム ユーザ ロールが割り当てられているユーザは、いつでもターゲット ロールのアクセス許可にエスカレーションできます。エスカレーションはユーザ設定に影響しないことに注意してください。割り当てられているユーザ ロールがユーザ ロール エスカレーション向けに設定されていない場合、[User] メニューの [Escalate Permissions] オプションは表示されません。

ユーザ アクセス許可をエスカレーションするには、次の手順を実行します。

アクセス:Any


ステップ 1 [Local] > [User] > [Escalate Permissions] を選択します。

[Escalate User Permissions] ダイアログ ボックスが表示されます。

ステップ 2 認証パスワードを入力します。

ステップ 3 [Escalate] をクリックします。

これで、現行ロールに加え、エスカレーション ターゲット ロールのすべてのアクセス許可が付与されました。

エスカレーションはログイン セッションの残り期間にわたって保持されることに注意してください。ベース ロールの特権だけに戻すには、ログアウトしてから新しいセッションを開始する必要があります。


 

Cisco Security Manager からのシングル サインオンの設定

ライセンス:任意

サポート対象デバイス:ASA FirePOWER

シングル サインオン(SSO)により、Cisco Security Manager(CSM)バージョン 4.7 以上と防御センターを統合できます。これにより、ログインのために追加認証なしで CSM から防御センターにアクセスできます。ASA FirePOWER デバイスの ASA モジュールを管理するときに、デバイスの FirePOWER モジュールに適用するポリシーを変更することをお勧めします。CSM で防御センターを管理することを選択し、Web ブラウザで起動します。管理元の防御センターが高可用性ペアのメンバーの場合、SSO を使用すると、プライマリ ピアに移動します。

ユーザ ロールに基づくアクセスがある場合、CSM でクロス起動したデバイスの [Device Management] ページの [Device] タブに移動します。それ以外の場合は、[Summary Dashboard] ページ([Overview] > [Dashboards])に移動します。ただしダッシュボードにアクセスできないユーザ アカウントの場合は、[Welcome] ページが使用されます。

防御センターに SSO を行うには、その前に、CSM から防御センターへの一方向暗号化認証パスをセットアップする必要があります。NAT 環境では、防御センターと CSM は NAT 境界の同じ側に存在している必要があります。通信を有効にするには、CSM と防御センターが相互を認識できるように、次の基準を指定する必要があります。

CSM から、接続を識別する SSO 共有暗号キーを生成する必要があります。防御センターでこの鍵を入力する必要があります。

防御センターで、CSM サーバのホスト名または IP アドレスとサーバ ポートを指定します。高可用性を使用する場合は、プライマリ ピアで SSO を設定します。

暗号化認証パラメータを検証するため、SSO アクセスを持たせるすべてのユーザに対し、CSM と防御センターで同じユーザ名(大文字小文字を区別)をセットアップする必要があります。

防御センターで STIG 準拠が有効な場合、システムにより SSO が無効化されます。詳細については、「STIG コンプライアンスの有効化」を参照してください。

シングル サインオンをセットアップするには、次の手順を実行します。

アクセス:Admin


ステップ 1 CSM から SSO 共有暗号キーを生成します。

詳細については、CSM のマニュアルを参照してください。

ステップ 2 防御センターで [System] > [Local] > [User Management] を選択します。

[User Management] ページが表示されます。

ステップ 3 [CSM Single Sign-on] を選択します。

[CSM Single Sign-on] ページが表示されます。

ステップ 4 CSM ホスト名または IP アドレスとサーバのポートを入力します。

ステップ 5 CSM から生成した共有キーを入力します。

ステップ 6 [Submit] をクリックします。

CSM 証明書が表示されます。

ステップ 7 [Confirm Certificate] をクリックして証明書を保存します。

これで CSM から防御センターにログインできるようになります。追加のログインを実行する必要はありません。