FireSIGHT システムでの LDAP 認証オブジェクトの設定
概要
認証オブジェクトは外部認証サーバのためのサーバプロファイルで、それらのサーバの接続 設定および認証フィルターの設定が含まれています。 FireSIGHT Management Center の認証オブジェクトを作成し、管理し、削除できます。 この資料に SireSIGHT システムの LDAP認証 オブジェクトを設定する方法を記述されています。
LDAP認証 オブジェクトの設定
1. FireSIGHT Management Center の Web ユーザ ユーザー・インターフェースにログインして下さい。
2. システム > ローカル > ユーザマネージメントへのナビゲート。
ログイン認証タブを選択して下さい。
認証オブジェクトを『Create』 をクリック して下さい。
3. 認証方式およびサーバタイプを選択して下さい。
- [Authentication Method]: LDAP
- [Name]: <Authentication オブジェクト Name>
- Server Type: MS アクティブ ディレクトリ
4. プライマリ および バックアップ サーバ ホスト名か IP アドレスを規定 して下さい。 バックアップサーバはオプションです。 ただし、同じドメイン内のどのドメインコントローラでもバックアップサーバと使用することができます。
5. 下記に示されているように LDAP 仕様パラメータを規定 して下さい:
- ベース DN -ドメインか仕様 OU DN
- 基礎フィルタ-ユーザがメンバーのであることグループ DN。
- ユーザネーム- DC のための偽装アカウント
- password: <password>
- Confirm Password: <password>
詳細オプション:
- Encryption(暗号化): SSL、TLS またはどれも
- SSL 証明書アップ ロード パス: CA 認証をアップロードして下さい(オプションの)
- ユーザネーム テンプレート: %s
- タイムアウト(秒): 30
AD のドメイン セキュリティポリシー設定では、要件に設定される場合 SSL が TLS 署名する署名を必要とするために LDAPサーバが使用される。
LDAPサーバ署名要件
- None: サーバによって結合 するためにデータ署名が必要となりません。 署名する Client 要求データがサーバそれをサポートすれば。
- require 署名: TLS \ SSL が使用されなければ、LDAP データ署名オプションはネゴシエートする必要があります。
6. 属性マッピングを規定 して下さい
- UI アクセス属性: sAMAccountName
- シェル アクセス属性: sAMAccountName
7. 群制御アクセス ロールを設定して下さい
ldp.exe で、各グループに参照し、コピーしまグループ DN を下記に示されているように認証 オブジェクトに対応します:
- <Group Name> グループ DN: <group dn>
- グループ メンバー属性: メンバーは常にあるはずです
例:
- 管理者グループ DN: CN=DC admin、CN=Security グループ、DC=VirtualLab、DC=local
- グループ メンバー属性: メンバー
AD セキュリティグループはメンバーの属性をメンバー ユーザの DN に先行させてもらいます。 数先行するメンバー属性はメンバー ユーザの数を示します。
8. 同じを基礎フィルタとシェル アクセス フィルタ用に選択するか、またはステップ 5.に示すように memberOf 属性を規定 して下さい。
シェル アクセス フィルタ: (memberOf=<group DN>)
例として、
シェル アクセス フィルタ: (memberOf=CN=Shell ユーザ、CN=Security グループ、DC=VirtualLab、DC=local)
9. 認証 オブジェクトを保存し、テストを行って下さい。 下記にのように正常なテスト結果見え:
10. 認証 オブジェクトがテストに合格したら、システム ポリシーのオブジェクトを有効に し、アプライアンスにポリシーを再適用して下さい。
フィードバック