はじめに
このドキュメントでは、Cisco UmbrellaでのマルチADドメインのサポートについて説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Umbrellaに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
概要
Umbrella組織内の複数のActive Directoryドメインのサポートがデフォルトで有効になりました。
複数のADドメインを別々のUmbrella組織に既にオンボーディングしている場合、これらの組織は、マルチADドメインをサポートする単一のUmbrella組織に統合できます。詳細については、この記事を参照してください。
マルチADドメインサポートの前提条件
- ログオン名がOpenDNS_Connectorのユーザーアカウントは、各ドメインで作成し、Umbrellaのドキュメントで指定されている要件に準拠する必要があります。ADドメイン間でこのアカウントのパスワードを同じにすることをお勧めします。
- 仮想アプライアンスを使用して導入する場合、Umbrellaサイトの各ADドメインに対して1つのADコネクタが必要です。必要に応じて冗長性を確保するために、オプションで2番目のコネクタも必要です。
- 展開にRoaming ClientまたはAnyConnectのみが含まれている場合、単一のマルチドメインADコネクタ*で複数のドメインのADユーザ/グループを同期できます。これには、各ドメインで同じパスワードを使用してOpenDNS_Connectorアカウントを作成する必要があります。この機能はデフォルトでは有効になっていないので、有効にするにはサポートチケットを発行する必要があります。
- ADコネクタは、バージョン1.2.3以降を実行している必要があります。
- Umbrellaのドキュメントで指定されているその他の前提条件も、マルチADドメインに適用されます。
マルチADドメインのサポートの制限(仮想アプライアンスの導入)
- 現在、ドメイン間認証はAD Connectorで認識されていません。ADユーザが他のADドメインに属するローカルドメインコントローラに対して認証を行う場合、ADコネクタはそのユーザのADユーザとIPのマッピングを取得できません。仮想アプライアンスでは、ユーザIDをそのIPに関連付けることはできません。そのため、そのユーザに対してADベースのポリシーを適用することはできません。回避策は、Umbrellaサイト(Umbrellaのドキュメントで指定)の基準に影響しない限り、両方のADドメインのドメインコントローラを同じUmbrellaサイトに含めることです。
- クロスドメインメンバーを持つADグループには、包括ポリシーは適用されません。 複数のドメインのユーザに適用するポリシーを作成するには、各ドメインの関連するグループ/ユーザをポリシーに追加する必要があります。
マルチADドメインのサポートの制限(ローミングクライアント展開)
- ローミングクライアント/AnyConnectの導入は、クロスドメイン認証の制限の影響を受けません。
- マルチドメインADコネクタ機能を有効にすると、Umbrellaはクロスドメイングループメンバーを持つADグループをサポートできます。サポートチケットを発行して、明示的に要求する必要があります。また、同じ機能により、単一のコネクタで複数のADドメインのAD IDを同期することもできます。
フィードバック