FireSIGHT システムでの LDAP 認証オブジェクトの設定
概要
認証オブジェクトとは、外部認証サーバのサーバ プロファイルであり、これらのサーバの接続設定と認証フィルタ設定が含まれています。 認証オブジェクトは FireSight Management Center で作成、管理および削除できます。 このドキュメントでは、FireSIGHT システムで LDAP 認証オブジェクトを設定する方法について説明します。
LDAP認証 オブジェクトの設定
1. FireSIGHT Management Center の Web ユーザ ユーザー・インターフェースにログインして下さい。
2. システム > ローカル > ユーザマネージメントへのナビゲート。
ログイン認証タブを選択して下さい。
認証 オブジェクトを『Create』 をクリック して下さい。
3. 認証方式およびサーバタイプを選択して下さい。
- [Authentication Method]: LDAP
- [Name]: <Authentication オブジェクト Name>
- Server Type: MS Active Directory
4. プライマリ および バックアップ サーバ ホスト名か IP アドレスを規定 して下さい。 バックアップサーバはオプションです。 ただし、同じドメイン内のどのドメインコントローラでもバックアップサーバと使用することができます。
5. 下記に示されているように LDAP 仕様パラメータを規定 して下さい:
- ベース DN -ドメインか仕様 OU DN
- 基礎フィルタ-ユーザがメンバーのであることグループ DN。
- ユーザネーム- DC のための偽装アカウント
- password: <password>
- Confirm Password: <password>
詳細オプション:
- Encryption(暗号化): SSL、TLS またはどれも
- SSL 証明書アップ ロード パス: アップロードして下さい CA 認証(オプションの)を
- ユーザネーム テンプレート: %s
- タイムアウト(秒): 30
AD のドメイン セキュリティポリシー設定では、要件に設定 される場合 SSL が TLS 署名する署名を必要とするために LDAPサーバが使用される。
LDAPサーバ署名要件
- None: サーバと結合 するためにデータ署名が必要となりません。 署名する Client 要求 データがサーバそれをサポートすれば。
- require 署名: TLS \ SSL が使用されなければ、オプションに署名する LDAP データはネゴシエートする必要があります。
6. アトリビュート マッピング することを規定 して下さい
- UI アクセス アトリビュート: sAMAccountName
- シェル アクセス アトリビュート: sAMAccountName
7. 群制御アクセス ロールを設定して下さい
ldp.exe で、各グループに参照し、認証 オブジェクトに下記に示されているように対応した グループ DN をコピーして下さい:
- <Group Name> グループ DN: <group dn>
- グループ メンバー アトリビュート: メンバーは常にあるはずです
例:
- 管理者グループ DN: CN=DC admin、CN=Security グループ、DC=VirtualLab、DC=local
- グループ メンバー アトリビュート: メンバー
AD セキュリティグループはメンバーのアトリビュートをメンバー ユーザの DN に先行させてもらいます。 数先行するメンバー属性はメンバー ユーザの数を示します。
8. 基づいているシェル アクセス フィルタ用のフィルタ選択して下さい、またはステップ 5.に示すように memberOf アトリビュートを同じを規定 して下さい。
シェル アクセス フィルタ: (memberOf=<group DN>)
例として、
シェル アクセス フィルタ: (memberOf=CN=Shell ユーザ、CN=Security グループ、DC=VirtualLab、DC=local)
9. 認証 オブジェクトを保存し、テストを行って下さい。 下記にのように正常なテスト結果見え:
10. 認証 オブジェクトがテストに合格したら、システム ポリシーのオブジェクトを有効に し、アプライアンスにポリシーを再適用して下さい。
フィードバック