FireSIGHT システムでの LDAP 認証オブジェクトの設定
概要
認証オブジェクトは外部認証サーバのためのサーバプロファイルで、それらのサーバの接続 設定および認証フィルターの設定が含まれています。 FireSIGHT Management Center の認証オブジェクトを作成し、管理し、削除できます。 この資料に SireSIGHT システムの LDAP認証 オブジェクトを設定する方法を記述されています。
LDAP認証 オブジェクトの設定
1. FireSIGHT Management Center の Web ユーザ ユーザー・インターフェースにログインして下さい。
2. システム > ローカル > ユーザマネージメントへのナビゲート。
ログイン認証タブを選択して下さい。
認証 オブジェクトを『Create』 をクリック して下さい。
3. 認証方式およびサーバタイプを選択して下さい。
- [Authentication Method]: LDAP
- [Name]: <Authentication オブジェクト Name>
- Server Type: MS アクティブ ディレクトリ
4. プライマリ および バックアップ サーバ ホスト名か IP アドレスを規定 して下さい。 バックアップサーバはオプションです。 ただし、同じドメイン内のどのドメインコントローラでもバックアップサーバと使用することができます。
5. 下記に示されているように LDAP 仕様パラメータを規定 して下さい:
- ベース DN -ドメインか仕様 OU DN
- 基礎フィルタ-ユーザがメンバーのであることグループ DN。
- ユーザネーム- DC のための偽装アカウント
- password: <password>
- Confirm Password: <password>
詳細オプション:
- Encryption(暗号化): SSL、TLS またはどれも
- SSL 認証アップロード パス: アップロードして下さい CA 認証(オプションの)を
- ユーザネーム テンプレート: %s
- タイムアウト(秒): 30
AD のドメイン セキュリティポリシー設定では、要件に設定 される場合 SSL が TLS 署名する署名を必要とするために LDAPサーバが使用される。
LDAPサーバ署名要件
- None: サーバと結合 するためにデータ署名が必要となりません。 署名する Client 要求 データがサーバそれをサポートすれば。
- require 署名: TLS \ SSL が使用されなければ、オプションに署名する LDAP データはネゴシエートする必要があります。
6. アトリビュート マッピング することを規定 して下さい
- UI アクセス アトリビュート: sAMAccountName
- シェル アクセス アトリビュート: sAMAccountName
7. 群制御アクセス ロールを設定して下さい
ldp.exe で、各グループに参照し、認証 オブジェクトに下記に示されているように対応した グループ DN をコピーして下さい:
- <Group Name> グループ DN: <group dn>
- グループ メンバー アトリビュート: メンバーは常にあるはずです
例:
- 管理者グループ DN: CN=DC admin、CN=Security グループ、DC=VirtualLab、DC=local
- グループ メンバー アトリビュート: メンバー
AD セキュリティグループはメンバーのアトリビュートをメンバー ユーザの DN に先行させてもらいます。 数先行するメンバー属性はメンバー ユーザの数を示します。
8. 基づいているシェル アクセス フィルタ用のフィルタ選択して下さい、またはステップ 5.に示すように memberOf アトリビュートを同じを規定 して下さい。
シェル アクセス フィルタ: (memberOf=<group DN>)
例として、
シェル アクセス フィルタ: (memberOf=CN=Shell ユーザ、CN=Security グループ、DC=VirtualLab、DC=local)
9. 認証 オブジェクトを保存し、テストを行って下さい。 下記にのように正常なテスト結果見え:
10. 認証 オブジェクトがテストに合格したら、システム ポリシーのオブジェクトを有効に し、アプライアンスにポリシーを再適用して下さい。
フィードバック