認証オブジェクトとは、外部認証サーバのサーバ プロファイルであり、これらのサーバの接続設定と認証フィルタ設定が含まれています。 認証オブジェクトは FireSight Management Center で作成、管理および削除できます。 このドキュメントでは、FireSIGHT システムで LDAP 認証オブジェクトを設定する方法について説明します。
1. FireSIGHT Management Center の Web ユーザ ユーザー・インターフェースにログインして下さい。
2. システム > ローカル > ユーザマネージメントへのナビゲート。
ログイン認証タブを選択して下さい。
認証 オブジェクトを『Create』 をクリック して下さい。
3. 認証方式およびサーバタイプを選択して下さい。
4. プライマリ および バックアップ サーバ ホスト名か IP アドレスを規定 して下さい。 バックアップサーバはオプションです。 ただし、同じドメイン内のどのドメインコントローラでもバックアップサーバと使用することができます。
5. 下記に示されているように LDAP 仕様パラメータを規定 して下さい:
詳細オプション:
AD のドメイン セキュリティポリシー設定では、要件に設定 される場合 SSL が TLS 署名する署名を必要とするために LDAPサーバが使用される。
LDAPサーバ署名要件
6. アトリビュート マッピング することを規定 して下さい
7. 群制御アクセス ロールを設定して下さい
ldp.exe で、各グループに参照し、認証 オブジェクトに下記に示されているように対応した グループ DN をコピーして下さい:
例:
AD セキュリティグループはメンバーのアトリビュートをメンバー ユーザの DN に先行させてもらいます。 数先行するメンバー属性はメンバー ユーザの数を示します。
8. 基づいているシェル アクセス フィルタ用のフィルタ選択して下さい、またはステップ 5.に示すように memberOf アトリビュートを同じを規定 して下さい。
シェル アクセス フィルタ: (memberOf=<group DN>)
例として、
シェル アクセス フィルタ: (memberOf=CN=Shell ユーザ、CN=Security グループ、DC=VirtualLab、DC=local)
9. 認証 オブジェクトを保存し、テストを行って下さい。 下記にのように正常なテスト結果見え:
10. 認証 オブジェクトがテストに合格したら、システム ポリシーのオブジェクトを有効に し、アプライアンスにポリシーを再適用して下さい。