レルムについて
レルムとは、Firepower Management Center とモニタリング対象のサーバー上にあるユーザーアカウントの間の接続です。レルムでは、サーバの接続設定と認証フィルタの設定を指定します。レルムでは次のことを実行できます。
-
アクティビティをモニターするユーザーとユーザー グループを指定する。
-
権限のあるユーザー、および権限のあるユーザー以外の一部のユーザー(トラフィックベースの検出で検出された POP3 および IMAP ユーザー、およびトラフィックベースの検出、ユーザーエージェント、TS エージェント、ISE/ISE-PIC によって検出されたユーザー)のユーザーメタデータについてユーザーリポジトリに照会する。
レルム内のディレクトリとして複数のドメイン コントローラを追加できますが、同じ基本レルム情報を共有する必要があります。レルム内のディレクトリは、LDAP サーバのみ、または Active Directory(AD)サーバのみである必要があります。レルムを有効にすると、保存された変更は次回 Firepower Management Centerがサーバに照会するときに適用されます。
ユーザ認識を行うには、サポートされるすべてのサーバ タイプのレルムを設定する必要があります。システムは、これらの接続を使用して、POP3 および IMAP ユーザーに関連するデータについてサーバーにクエリし、トラフィック ベースの検出で検出された LDAP ユーザーに関するデータを収集します。
システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory または OpenLDAP上の LDAP ユーザに関連付けます。たとえば、LDAP ユーザーと電子メール アドレスが同じユーザーの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザーのメタデータをそのユーザーに関連付けます。
ユーザー制御を実行するために以下のいずれかを設定できます。
-
AD サーバー用またはユーザーエージェントまたは ISE/ISE-PIC 用のレルム
(注)
SGT ISE 属性条件を設定することを計画しているものの、ユーザー、グループ、レルム、エンドポイントロケーション、エンドポイントプロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
-
TS エージェント用の AD サーバーのレルム
-
キャプティブポータルの場合は、LDAP レルム。
LDAP 用のレルムシーケンスはサポートされていません。
ユーザーのダウンロードについて
特定の検出されたユーザーの、次のユーザーとユーザーグループのメタデータを取得するために、Firepower Management Center と LDAP サーバーまたは AD サーバーとの間の接続を確立するためのレルムを設定することができます。
-
キャプティブポータルで認証された、あるいは ISE/ISE-PIC またはユーザーエージェントで報告された LDAP および AD ユーザー。このメタデータは、ユーザ認識とユーザ制御に使用できます。
-
トラフィック ベースの検出で検出された POP3 と IMAP ユーザー ログイン(ユーザーが LDAP または AD ユーザーと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
レルム内のディレクトリとして、LDAP サーバまたは Active Directory ドメイン コントローラ接続を設定します。ユーザー認識とユーザー制御のためにレルムのユーザーおよびユーザー グループ データをダウンロードするには、[アクセス コントロールのためのユーザーおよびユーザー グループのダウンロード(Download users and user groups for access control)] をオンにする必要があります。
Firepower Management Centerは、ユーザーごとに次の情報とメタデータを取得します。
-
LDAP ユーザー名
-
姓と名
-
電子メール アドレス(Email address)
-
部署名(Department)
-
電話番号(Telephone number)
ユーザ アクティビティ データについて
ユーザ アクティビティ データはユーザ アクティビティ データベースに保存され、ユーザのアイデンティティ データはユーザ データベースに保存されます。アクセス制御で保存できる使用可能なユーザの最大数は Firepower Management Center モデルによって異なります。含めるユーザとグループを選択するときは、ユーザの総数がモデルの上限より少ないことを確認してください。アクセス制御パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザーに関する情報を取得し、取得できなかったユーザーの数をメッセージ センターの [タスク(Tasks)] タブ ページで報告します。
(注) |
ユーザー リポジトリからシステムによって検出されたユーザーを削除しても、Firepower Management Center はユーザー データベースからそのユーザーを削除しません。そのため、手動で削除する必要があります。ただし、LDAP に対する変更は、次に権限のあるユーザーのリストを Firepower Management Center が更新したときにアクセス 制御ルールに反映されます。 |
レルムおよび信頼できるドメイン
Firepower Management Center でレルムを設定すると、そのレルムは Active Directory または LDAP ドメインに関連付けられます。
互いに信頼する Microsoft Active Directory(AD)ドメインのグループ化は、一般的にフォレストと呼ばれます。この信頼関係により、ドメインは異なる方法で互いのリソースにアクセスできます。たとえば、ドメイン A で定義されたユーザー アカウントに、ドメイン B で定義されたグループのメンバーとしてマークを付けることができます。
Firepower システムと信頼できるドメイン
Firepower システムは、信頼できる AD ドメインをサポートしていません。つまり、Firepower システムは、どのドメインが互いに信頼しているかを追跡せず、どのドメインが互いの親ドメインまたは子ドメインかを認識しません。また、Firepower システムでは、信頼関係が Firepower システム外で実施される場合でも、クロスドメイン信頼を使用する環境のサポートを保証するテストがまだ行われていません。
レルムがサポートされているサーバー
レルムを設定して次のサーバ タイプに接続すると、Firepower Management Centerからの TCP/IP アクセスを提供できます。
サーバー タイプ |
ユーザー エージェントによるデータ取得のサポート |
ISE/ISE-PIC によるデータ取得のサポート |
TS エージェントによるデータ取得のサポート |
キャプティブ ポータルによるデータ取得のサポート |
---|---|---|---|---|
Windows Server 2008 と Windows Server 2012 上の Microsoft Active Directory |
非対応 Windows Server 2008 および 2012 でのみサポートされるユーザーエージェント |
対応 |
対応 |
対応 |
Linux 上の OpenLDAP |
非対応 |
非対応 |
非対応 |
対応 |
(注) |
TS エージェントが別のパッシブ認証 ID ソース(ユーザーエージェントまたは ISE/ISE-PIC)と共有されている Windows サーバー上の Microsoft Active Directory にインストールされている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。 |
サーバー グループの設定に関して次の点に注意してください。
-
ユーザー グループまたはグループ内のユーザーに対してユーザー制御を実行するには、LDAP または Active Directory サーバーでユーザー グループを設定する必要があります。サーバーが基本的なオブジェクト階層でユーザーを編成している場合、Firepower Management Center はユーザーグループ制御を実行できません。
-
グループ名は LDAP で内部的に使用されているため、S- で開始することはできません。
グループ名または組織単位名には、アスタリスク(
*
)、イコール(=
)、バックスラッシュ(\
)などの特殊文字は使用できません。使用すると、それらのグループまたは組織単位内のユーザーはダウンロードされず、アイデンティティ ポリシーでは使用できません。 - サーバー上のサブグループのメンバーであるユーザーを含む(または除外する)Active Directory レルムを設定するには、Windows Server 2008 または 2012 では、Active Directory のグループあたりのユーザー数が 5000 人以下であることが Microsoft により推奨されていることに注意してください。詳細については、MSDN の「Active Directory Maximum Limits—Scalability」を参照してください。
必要に応じて、より多くのユーザーをサポートするため、このデフォルトの制限を引き上げるよう Active Directory サーバーの設定を変更できます。
-
リモート デスクトップ サービス環境でサーバーにより報告されるユーザーを一意に識別するには、Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザーに別個のポートを割り当て、Firepower System はこれらのユーザーを一意に識別できるようになります。(Microsoft により、ターミナル サービスという名称はリモート デスクトップ サービスに変更されました)。
TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
サポートされているサーバー オブジェクト クラスと属性名
Firepower Management Center がサーバからユーザ メタデータを取得できるようにするには、レルム内のサーバが、次の表に記載されている属性名を使用する必要があります。サーバ上の属性名が正しくない場合、Firepower Management Center はその属性の情報を使ってデータベースに入力できなくなります。
メタデータ |
FMC 属性 |
LDAP オブジェクト クラス |
Active Directory 属性 |
OpenLDAP 属性 |
---|---|---|---|---|
LDAP user name |
ユーザ名(Username) |
|
samaccountname |
cn uid |
first name |
名 |
givenname |
givenname |
|
last name |
姓 |
sn |
sn |
|
メール アドレス |
E メール |
メール アドレス userprincipalname(mail に値が設定されていない場合) |
メール アドレス |
|
部署 |
部署名(Department) |
部署 distinguishedname(department に値が設定されていない場合) |
ou |
|
電話番号 |
電話 |
telephonenumber |
telephonenumber |
(注) |
グループの LDAP オブジェクト クラスは、group、groupOfNames(Active Directory の場合は group-of-names)、または groupOfUniqueNames です。 |
オブジェクト クラスと属性の詳細については、次のリファレンスを参照してください。