レルムの作成および管理

次のトピックでは、ユーザーの認識と制御のためのユーザー ストアであるレルムの作成方法と管理方法について説明します。

レルムについて

レルムとは、Firepower Management Center とモニタリング対象のサーバー上にあるユーザーアカウントの間の接続です。レルムでは、サーバの接続設定と認証フィルタの設定を指定します。レルムでは次のことを実行できます。

  • アクティビティをモニターするユーザーとユーザー グループを指定する。

  • 権限のあるユーザー、および権限のあるユーザー以外の一部のユーザー(トラフィックベースの検出で検出された POP3 および IMAP ユーザー、およびトラフィックベースの検出、ユーザーエージェント、TS エージェント、ISE/ISE-PIC によって検出されたユーザー)のユーザーメタデータについてユーザーリポジトリに照会する。

レルム内のディレクトリとして複数のドメイン コントローラを追加できますが、同じ基本レルム情報を共有する必要があります。レルム内のディレクトリは、LDAP サーバのみ、または Active Directory(AD)サーバのみである必要があります。レルムを有効にすると、保存された変更は次回 Firepower Management Centerがサーバに照会するときに適用されます。

ユーザ認識を行うには、サポートされるすべてのサーバ タイプのレルムを設定する必要があります。システムは、これらの接続を使用して、POP3 および IMAP ユーザーに関連するデータについてサーバーにクエリし、トラフィック ベースの検出で検出された LDAP ユーザーに関するデータを収集します。

システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory または OpenLDAP上の LDAP ユーザに関連付けます。たとえば、LDAP ユーザーと電子メール アドレスが同じユーザーの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザーのメタデータをそのユーザーに関連付けます。

ユーザー制御を実行するために以下のいずれかを設定できます。

  • AD サーバー用またはユーザーエージェントまたは ISE/ISE-PIC 用のレルム


    (注)  

    SGT ISE 属性条件を設定することを計画しているものの、ユーザー、グループ、レルム、エンドポイントロケーション、エンドポイントプロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。

  • TS エージェント用の AD サーバーのレルム

  • キャプティブポータルの場合は、LDAP レルム。

    LDAP 用のレルムシーケンスはサポートされていません。

ユーザーのダウンロードについて

特定の検出されたユーザーの、次のユーザーとユーザーグループのメタデータを取得するために、Firepower Management Center と LDAP サーバーまたは AD サーバーとの間の接続を確立するためのレルムを設定することができます。

  • キャプティブポータルで認証された、あるいは ISE/ISE-PIC またはユーザーエージェントで報告された LDAP および AD ユーザー。このメタデータは、ユーザ認識とユーザ制御に使用できます。

  • トラフィック ベースの検出で検出された POP3 と IMAP ユーザー ログイン(ユーザーが LDAP または AD ユーザーと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。

レルム内のディレクトリとして、LDAP サーバまたは Active Directory ドメイン コントローラ接続を設定します。ユーザー認識とユーザー制御のためにレルムのユーザーおよびユーザー グループ データをダウンロードするには、[アクセス コントロールのためのユーザーおよびユーザー グループのダウンロード(Download users and user groups for access control)] をオンにする必要があります。

Firepower Management Centerは、ユーザーごとに次の情報とメタデータを取得します。

  • LDAP ユーザー名

  • 姓と名

  • 電子メール アドレス(Email address)

  • 部署名(Department)

  • 電話番号(Telephone number)

ユーザ アクティビティ データについて

ユーザ アクティビティ データはユーザ アクティビティ データベースに保存され、ユーザのアイデンティティ データはユーザ データベースに保存されます。アクセス制御で保存できる使用可能なユーザの最大数は Firepower Management Center モデルによって異なります。含めるユーザとグループを選択するときは、ユーザの総数がモデルの上限より少ないことを確認してください。アクセス制御パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザーに関する情報を取得し、取得できなかったユーザーの数をメッセージ センターの [タスク(Tasks)] タブ ページで報告します。


(注)  

ユーザー リポジトリからシステムによって検出されたユーザーを削除しても、Firepower Management Center はユーザー データベースからそのユーザーを削除しません。そのため、手動で削除する必要があります。ただし、LDAP に対する変更は、次に権限のあるユーザーのリストを Firepower Management Center が更新したときにアクセス 制御ルールに反映されます。

ビデオ レルムの作成に関する YouTube ビデオ

レルムおよび信頼できるドメイン

Firepower Management Center でレルムを設定すると、そのレルムは Active Directory または LDAP ドメインに関連付けられます。

互いに信頼する Microsoft Active Directory(AD)ドメインのグループ化は、一般的にフォレストと呼ばれます。この信頼関係により、ドメインは異なる方法で互いのリソースにアクセスできます。たとえば、ドメイン A で定義されたユーザー アカウントに、ドメイン B で定義されたグループのメンバーとしてマークを付けることができます。

Firepower システムと信頼できるドメイン

Firepower システムは、信頼できる AD ドメインをサポートしていません。つまり、Firepower システムは、どのドメインが互いに信頼しているかを追跡せず、どのドメインが互いの親ドメインまたは子ドメインかを認識しません。また、Firepower システムでは、信頼関係が Firepower システム外で実施される場合でも、クロスドメイン信頼を使用する環境のサポートを保証するテストがまだ行われていません。

レルムがサポートされているサーバー

レルムを設定して次のサーバ タイプに接続すると、Firepower Management Centerからの TCP/IP アクセスを提供できます。

サーバー タイプ

ユーザー エージェントによるデータ取得のサポート

ISE/ISE-PIC によるデータ取得のサポート

TS エージェントによるデータ取得のサポート

キャプティブ ポータルによるデータ取得のサポート

Windows Server 2008 と Windows Server 2012 上の Microsoft Active Directory

非対応

Windows Server 2008 および 2012 でのみサポートされるユーザーエージェント

対応

対応

対応

Linux 上の OpenLDAP

非対応

非対応

非対応

対応


(注)  

TS エージェントが別のパッシブ認証 ID ソース(ユーザーエージェントまたは ISE/ISE-PIC)と共有されている Windows サーバー上の Microsoft Active Directory にインストールされている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。

サーバー グループの設定に関して次の点に注意してください。

  • ユーザー グループまたはグループ内のユーザーに対してユーザー制御を実行するには、LDAP または Active Directory サーバーでユーザー グループを設定する必要があります。サーバーが基本的なオブジェクト階層でユーザーを編成している場合、Firepower Management Center はユーザーグループ制御を実行できません。

  • グループ名は LDAP で内部的に使用されているため、S- で開始することはできません。

    グループ名または組織単位名には、アスタリスク(*)、イコール(=)、バックスラッシュ(\)などの特殊文字は使用できません。使用すると、それらのグループまたは組織単位内のユーザーはダウンロードされず、アイデンティティ ポリシーでは使用できません。

  • サーバー上のサブグループのメンバーであるユーザーを含む(または除外する)Active Directory レルムを設定するには、Windows Server 2008 または 2012 では、Active Directory のグループあたりのユーザー数が 5000 人以下であることが Microsoft により推奨されていることに注意してください。詳細については、MSDN の「Active Directory Maximum Limits—Scalability」を参照してください。

    必要に応じて、より多くのユーザーをサポートするため、このデフォルトの制限を引き上げるよう Active Directory サーバーの設定を変更できます。

  • リモート デスクトップ サービス環境でサーバーにより報告されるユーザーを一意に識別するには、Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザーに別個のポートを割り当て、Firepower System はこれらのユーザーを一意に識別できるようになります。(Microsoft により、ターミナル サービスという名称はリモート デスクトップ サービスに変更されました)。

    TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。

サポートされているサーバー オブジェクト クラスと属性名

Firepower Management Center がサーバからユーザ メタデータを取得できるようにするには、レルム内のサーバが、次の表に記載されている属性名を使用する必要があります。サーバ上の属性名が正しくない場合、Firepower Management Center はその属性の情報を使ってデータベースに入力できなくなります。

表 1. Firepower Management Center フィールドへの属性名のマップ

メタデータ

FMC 属性

LDAP オブジェクト クラス

Active Directory 属性

OpenLDAP 属性

LDAP user name

ユーザ名(Username)

  • user

  • inetOrgPerson

samaccountname

cn

uid

first name

givenname

givenname

last name

sn

sn

メール アドレス

E メール

メール アドレス

userprincipalname(mail に値が設定されていない場合)

メール アドレス

部署

部署名(Department)

部署

distinguishedname(department に値が設定されていない場合)

ou

電話番号

電話

telephonenumber

telephonenumber


(注)  

グループの LDAP オブジェクト クラスは、groupgroupOfNames(Active Directory の場合は group-of-names)、または groupOfUniqueNames です。

オブジェクト クラスと属性の詳細については、次のリファレンスを参照してください。

  • Microsoft Active Directory:

    • オブジェクト クラス:MSDN の「All Classes」

    • 属性:MSDN の「All Attributes」

  • OpenLDAP:RFC 4512

レルムのライセンス要件

FTD ライセンス

任意

従来のライセンス

Control

レルムの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

レルムおよびレルムディレクトリの作成

次の手順では、レルム(FMC と Active Directory フォレスト間の接続)およびディレクトリ(FMC と LDAP サーバーまたは Active Directory ドメインコントローラ間の接続)を作成できます。

(推奨)FMC から Active Directory サーバーに安全に接続するには、まず次のタスクを実行します。

Microsoft 社は、2020 年に Active Directory サーバーで LDAP バインディングと LDAP 署名の適用を開始すると発表しました。Microsoft 社がこれらを要件にするのは、デフォルト設定で Microsoft Windows を使用する場合に権限昇格の脆弱性が存在するために、中間者攻撃者が認証要求を Windows LDAP サーバーに正常に転送できる可能性があるからです。詳細については、Microwoft 社のサポートサイトで「2020 LDAP channel binding and LDAP signing requirement for Windows」を参照してください。

レルムおよびディレクトリの設定フィールドに関する詳細については、レルム フィールド[Realm Directory] および [Download] フィールドを参照してください。


(注)  

すべての Microsoft Active Directory(AD)レルムに固有の [ADプライマリドメイン(AD Primary Domain)] を指定する必要があります。異なる AD レルムに同じ [ADプライマリドメイン(AD Primary Domain)] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン(AD Primary Domain)] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[レルム(Realms)] をクリックします。

ステップ 4

新しいレルムを作成するには、[Add Realm] をクリックします。

ステップ 5

その他のタスク(レルムの有効化、無効化、削除など)を実行する場合は、レルムの管理を参照してください。

ステップ 6

レルム フィールドで説明したように、レルム情報を入力します。

ステップ 7

(オプション)[AD参加のテスト(Test AD Join)] をクリックして、レルムへの接続をテストします。

(注)   

Microsoft Active Directory のレルム テストを成功させるには、[AD参加ユーザー名(AD Join Username)] フィールドと [AD参加パスワード(AD Join Password)] フィールドの両方に値を入力し、ドメインにコンピュータを追加するための十分な権限がユーザーにある必要があります。詳細については、レルム フィールドを参照してください。

ステップ 8

[OK] をクリックします。

ステップ 9

[Directory Server Configuration] セクションで、レルム ディレクトリの設定の説明に従って少なくとも 1 つのディレクトリを設定します。

ステップ 10

ユーザーとグループのダウンロードの説明に従って、(アクセス コントロールに必要な)ユーザーとユーザー グループのダウンロードを設定します。

ステップ 11

[レルム 設定(Realm Configuration)] をクリックします。

ステップ 12

[ユーザーエージェントおよび ISE/ISE-PIC ユーザー(User Agent and ISE/ISE-PIC Users)]、[TS エージェントユーザー(TS Agent Users)]、[キャプティブポータルユーザー(Captive Portal Users)]、[失敗したキャプティブポータルユーザー(Failed Captive Portal Users)]、 および [ゲスト キャプティブ ポータル ユーザー(Guest Captive Portal Users)] のユーザー セッション タイムアウト値を分単位で入力します。

ステップ 13

レルムの設定が完了したら、[Save] をクリックします。

次のタスク

Kerberos 認証の前提条件

キャプティブ ポータル ユーザーの認証に Kerberos を使用している場合は、次の点に注意してください。

ホスト名の文字の制限

Kerberos 認証を使用している場合、管理対象デバイスのホスト名は 15 文字未満にする必要があります(Windows で設定されている NetBIOS の制限)。そのようにしないと、キャプティブポータル認証が失敗します。管理対象デバイスのホスト名は、デバイスのセットアップ時に設定します。詳細については、Microsoft のマニュアルサイト「Naming conventions in Active Directory for computers, domains, sites, and OUs」で、次のような記事を参照してください。

DNS 応答の文字の制限

DNS はホスト名に対して 512 バイト以下の応答を返す必要があります。それ以外の場合、AD 接続のテストは失敗します。この制限は両方向に適用され、RFC 6891 セクション 6.2.5 で説明されています。

レルム フィールド

次のフィールドを使用してレルムを設定します。

レルムの設定(Realm Configuration)フィールド

これらの設定は、レルム内のすべての Active Directory サーバまたはドメイン コントローラ(別名ディレクトリ)に適用されます。

[名前(Name)]

レルムの一意の名前。

  • アイデンティティ ポリシーにレルムを使用する場合、英数字や特殊文字に対応しています。

  • RA VPN 設定でレルムを使用する場合は、英数字、ハイフン(-)、下線(_)、プラス(+)に対応しています。

説明
(オプション)レルムの説明を入力します。
タイプ

レルムのタイプで、Microsoft Active Directory 用の AD またはその他のサポートされている LDAP リポジトリ用の LDAP、または Local です。サポートされている LDAP リポジトリの一覧については、レルムがサポートされているサーバーを参照してください。LDAP リポジトリを使用してキャプティブ ポータル ユーザーを認証できます。他はすべて Active Directory が必要です。


(注)  

キャプティブ ポータルのみ、LDAP レルムをサポートします。
AD プライマリ ドメイン(AD Primary Domain)

Microsoft Active Directory レルム専用です。ユーザー認証が必要となる Active Directory サーバーのドメインです。


(注)  

すべての Microsoft Active Directory(AD)レルムに固有の [ADプライマリドメイン(AD Primary Domain)] を指定する必要があります。異なる AD レルムに同じ [ADプライマリドメイン(AD Primary Domain)] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン(AD Primary Domain)] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。
AD 参加ユーザー名(AD Join Username)、AD 参加パスワード(AD Join Password)

Kerberos キャプティブ ポータル アクティブ認証を目的とした Microsoft Active Directory レルムでは、Active Directory ドメインでドメイン コンピュータ アカウントを作成するための適切な権限を持つ Active Directory ユーザーの識別用のユーザー名とパスワード。

次の点を考慮してください。

  • DNS は、ドメイン名を Active Directory ドメイン コントローラの IP アドレスに解決できる必要があります。

  • 指定するユーザは、コンピュータを Active Directory ドメインに参加させることができる必要があります。

  • ユーザー名は完全修飾名である必要があります(たとえば、administrator ではなく administrator@mydomain.com を使用します)。

アイデンティティ ルールの [認証プロトコル(Authentication Protocol)]Kerberos を選択する場合(または Kerberos をオプションとして HTTP Negotiate を選択する場合)、Kerberos キャプティブ ポータル アクティブ認証を実行するには、[アクティブディレクトリ参加ユーザー名(AD Join Username)] と [アクティブディレクトリ参加パスワード(AD Join Password)] を使用して、選択した [レルム(Realm)] を設定する必要があります。


(注)  

SHA-1 ハッシュアルゴリズムでは Active Directory サーバーにパスワードが保存されて安全ではないため、使用しないでください。詳細については、Open Web Application Security Project の Web サイトにある「Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2 on Microsoft TechNet」や「Password Storage Cheat Sheet」などの参考資料を参照してください。

[ディレクトリ ユーザー名(Directory Username)] と [ディレクトリ パスワード(Directory Password)]

取得するユーザ情報に適切なアクセス権を持っているユーザの識別用のユーザ名とパスワード。

次の点に注意してください。

  • Microsoft Active Directory では、ユーザに昇格された特権は必要ありません。ドメイン内の任意のユーザーを指定できます。

  • OpenLDAP では、ユーザーのアクセス権限は、OpenLDAP の仕様書のセクション 8 で説明されている <level> パラメータにより決定されます。ユーザーの <level> は、auth 以上にする必要があります。

  • ユーザ名は完全修飾名である必要があります(たとえば、administrator ではなく administrator@mydomain.com を使用します)。


(注)  

SHA-1 ハッシュアルゴリズムでは Active Directory サーバーにパスワードが保存されて安全ではないため、使用しないでください。詳細については、Open Web Application Security Project の Web サイトにある「Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2 on Microsoft TechNet」や「Password Storage Cheat Sheet」などの参考資料を参照してください。

ベース DN(Base DN)

Firepower Management Centerがユーザー データの検索を開始するサーバーのディレクトリ ツリー。ベース DN を指定しない場合、サーバーに接続できる場合、システムは最上位 DN を取得します。

通常、ベース識別名(DN)には企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。

グループ DN(Group DN)

Firepower Management Centerがグループ属性を持つユーザーを検索するサーバーのディレクトリ ツリー。サポートされているグループ属性の一覧については、サポートされているサーバー オブジェクト クラスと属性名を参照してください。グループ DN を指定しない場合、サーバーに接続できる場合、システムは最上位 DN を取得します。


(注)  

次に、ディレクトリサーバーのユーザー、グループ、DN で Firepower システムがサポートする文字のリストを示します。次に示す文字以外を使用すると、Firepower システムがユーザーとグループをダウンロードできなくなる可能性があります。

エンティティ サポートされている文字
ユーザー名

a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ `

グループ名

a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ `

ベース DN とグループ DN

a-z A-Z 0-9 ! @ $ % ^ & * ( ) _ - . ~ ` [ ]

グループ属性(Group Attribute)

(オプション)サーバーのグループ属性:メンバー、または一意のメンバー

既存のレルムを編集する場合、次のフィールドを使用できます。

[ユーザー セッション タイムアウト(User Session Timeout)]

ユーザー セッションがタイムアウトするまでの分数を入力します。デフォルトは、ユーザのログイン イベントから 1440 分(24 時間)後です。このタイムアウトを過ぎると、ユーザのセッションは終了します。ユーザが再度ログインせずにネットワークにアクセスし続けている場合、ユーザは Firepower Management Center により不明として認識されます([失敗したキャプティブポータルユーザ(Failed Captive Portal Users)] を除く)

次のタイムアウト値を設定できます。

  • [ユーザーエージェントおよびISE/ISE-PICユーザー(User Agent and ISE/ISE-PIC Users)]:パッシブ認証タイプであるユーザー エージェントまたは ISE/ISE-PIC によってトラッキングされるユーザーのタイムアウト。

    指定したタイムアウト値は、pxGrid SXP セッション トピック サブスクリプション(宛先 SGT マッピングなど)には適用されません。代わりに、ISE からの特定のマッピングの削除または更新メッセージがない限り、セッション トピック マッピングは保持されます。

    ISE/ISE-PIC の詳細については、ISE/ISE-PIC アイデンティティ ソースを参照してください。

  • [TSエージェントユーザー(TS Agent Users)]:パッシブ認証タイプである TS エージェントによってトラッキングされるユーザーのタイムアウト。詳細については、ターミナル サービス(TS)エージェントのアイデンティティ ソースを参照してください。

  • [キャプティブポータルユーザ(Captive Portal Users)]:アクティブ認証タイプであるキャプティブ ポータルを使用して正常にログインしたユーザのタイムアウト。詳細については、キャプティブ ポータルのアイデンティティ ソースを参照してください。

  • [失敗したキャプティブポータルユーザ(Failed Captive Portal Users)]:キャプティブ ポータルを使用して正常にログインしていないユーザのタイムアウト。Firepower Management Center によってユーザが認証失敗ユーザとして認識されるまでの、[最大ログイン試行回数(Maximum login attempts)] を設定できます。アクセス コントロール ポリシーを使用して、認証失敗ユーザにネットワークへのアクセス権を付与することもできます。この場合は、そのユーザにこのタイムアウト値が適用されます。

    失敗したキャプティブ ポータル ログインの詳細については、キャプティブ ポータル フィールドを参照してください。

  • [ゲストキャプティブポータルユーザ(Guest Captive Portal Users)]:キャプティブ ポータルにゲスト ユーザとしてログインしているユーザのタイムアウト。詳細については、キャプティブ ポータルのアイデンティティ ソースを参照してください。

[Realm Directory] および [Download] フィールド

レルムのディレクトリ フィールド(Realm Directory Fields)

これらの設定は、レルム内の個々のサーバー(Active Directory ドメイン コントローラなど)に適用されます。

ホスト名/IP アドレス(Hostname/IP Address)
Active Directory ドメインコントローラマシンの完全修飾ホスト名。完全修飾名を確認するには、Active Directory サーバーの名前の検索を参照してください。
ポート

Firepower Management Center コントローラ接続に使用するポート。

暗号化(Encryption)

(強く推奨)Firepower Management Center サーバー接続に使用する暗号化方式。

  • STARTTLS:暗号化 LDAP 接続

  • LDAPS:暗号化 LDAP 接続

  • なし:非暗号化 LDAP 接続(保護されていないトラフィック)

Active Directory サーバーと安全に通信するには、Active Directory へのセキュアな接続を参照してください。

SSL 証明書

サーバーへの認証に使用する SSL 証明書。SSL 証明書を使用するにために、STARTTLS または LDAPS を [暗号化(Encryption)] タイプとして設定できます。

認証に証明書を使用する場合、証明書のサーバー名は、サーバーの [ホスト名/IP アドレス(Hostname/IP Address)] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で computer1.example.com を使用している場合は、接続が失敗します。

ユーザーの [Download] フィールド

AD プライマリ ドメイン(AD Primary Domain)

Microsoft Active Directory レルム専用です。ユーザー認証が必要となる Active Directory サーバーのドメインです。


(注)  

すべての Microsoft Active Directory(AD)レルムに固有の [ADプライマリドメイン(AD Primary Domain)] を指定する必要があります。異なる AD レルムに同じ [ADプライマリドメイン(AD Primary Domain)] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン(AD Primary Domain)] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。
ユーザーおよびグループのダウンロード(ユーザーアクセス制御に必須)

ユーザー認識用およびユーザー制御用にユーザーとグループをダウンロードできるようになります。

自動ダウンロードの開始、繰り返し設定(Begin automatic download at, Repeat every)

自動ダウンロードの回数を指定します。

Download Now
クリックして、グループとユーザーを AD と同期します。
[使用可能なグループ(Available Groups)]、[含むに追加する(Add to Include)]、[除外するに追加する(Add to Exclude)]

ポリシーで使用できるグループを制限します。

  • [使用可能なグループ(Available Groups)] フィールドに表示されているグループは、グループを [含むに追加する(Add to Include)] または [除外するに追加する(Add to Exclude)] フィールドに移動しないかぎり、ポリシーで利用できます。

  • グループを [含むに追加する(Add to Include)] フィールドに移動させた場合は、それらのグループだけがダウンロードされ、ユーザーデータはユーザー認識やユーザー制御に利用できます。

  • グループを [除外するに追加する(Add to Exclude)] フィールドに移動させた場合は、それらを除くすべてのグループがダウンロードされ、ユーザー認識やユーザー制御に利用できます。

  • 含まれないグループのユーザーを含めるには、[含めるグループ(Groups to Include)] の下のフィールドにそのユーザー名を入力し、[追加(Add)] をクリックします。

  • 除外されないグループのユーザーを除外するには、[除外するグループ(Groups to Exclude)] の下のフィールドにそのユーザー名を入力し、[追加(Add)] をクリックします。


    (注)  

    Firepower Management Center にダウンロードされるユーザーは、数式 R = I - (E+e) + i を使用して計算されます。

    • R はダウンロードしたユーザーのリストです。

    • I は含まれているグループです。

    • E は除外されているグループです。

    • e は除外されているユーザーです。

    • i は含まれているユーザーです。
自動ダウンロードの開始時間
AD からユーザーとグループをダウンロードする時間と時間間隔を入力します。

Active Directory へのセキュアな接続

Active Directory サーバーと FMC の間でセキュアな接続を確立するには(強く推奨)、次のすべてのタスクを実行する必要があります。

  • Active Directory サーバーのルート証明書をエクスポートします。

  • ルート証明書を信頼できる CA 証明書として FMC にインポートします。

  • Active Directory サーバーの完全修飾名を検索します。

  • レルムディレクトリを作成します。

詳細については、次のいずれかのタスクを参照してください。

Active Directory サーバーの名前の検索

FMC でレルムディレクトリを設定するには、次の手順で説明するように、完全修飾サーバー名が分かっている必要があります。

始める前に

コンピュータの名前を表示できる権限を持つユーザーとして Active Directory サーバーにログインする必要があります。

手順
ステップ 1

Active Directory サーバーにログインします。

ステップ 2

[開始(Start)] をクリックします。

ステップ 3

[この PC(This PC)] を右クリックします。

ステップ 4

[プロパティ(Properties)] をクリックします。

ステップ 5

[Advanced System Settings] をクリックします。

ステップ 6

[コンピュータ名(Computer Name)] タブをクリックします。

ステップ 7

[フルコンピュータ名(Full computer name)] の値をメモします。

FMCでレルムディレクトリを設定するときには、この正確な名前を入力する必要があります。
次のタスク

レルムディレクトリを作成します。

Active Directory サーバーのルート証明書のエクスポート

次のタスクでは、Active Directory サーバーのルート証明書をエクスポートする方法について説明します。これは、ユーザーアイデンティティ情報を取得するために FMC に安全に接続する際に必要になります。

始める前に

Active Directory サーバーのルート証明書の名前が分かっている必要があります。ルート証明書の名前がドメインと同じである場合も異なっている場合もあります。次の手順は、名前を確認する一つの方法を示しています。ただし、他の方法も考えられます。

手順
ステップ 1

以下は、Active Directory サーバーのルート証明書の名前を確認する一つの方法です。詳細については、Microsoft 社のドキュメントを参照してください。

  1. Microsoft 管理コンソールを実行する権限を持つユーザーとして Active Directory サーバーにログインします。

  2. [開始(Start)] をクリックして、mmc を入力します。

  3. [ファイル(File)] > [スナップインの追加と削除(Add/Remove Snap-in)] をクリックします。

  4. 左側のペインにある [使用可能なスナップイン(Available Snap-ins)] リストから、[証明書(ローカル)(Certificates (local))] をクリックします。

  5. [追加(Add)] をクリックします。

  6. [証明書スナップイン(Certificates snap-in)] ダイアログボックスで、[コンピュータアカウント(Computer Account)] をクリックし、[次へ(Next)] をクリックします。

  7. [コンピュータの選択(Select Computer)] ダイアログボックスで [ローカルコンピュータ(Local Computer)] をクリックし、[終了(Finish)] をクリックします。

  8. Windows Server 2012 のみ。前の手順を繰り返して、証明機関スナップインを追加します。

  9. [コンソールルート(Console Root)] > [信頼された証明機関(Trusted Certification Authorities)] > [証明書(Certificates)] をクリックします。

    サーバーの信頼できる証明書が右側のペインに表示されます。次の図は Windows Server 2012 の例であり、環境によっては異なっている可能性があります。

ステップ 2

certutil コマンドを使用して証明書をエクスポートします。

これは、証明書をエクスポートする一つの方法に過ぎません。これは、証明書をエクスポートするための便利な方法です。特に、Web ブラウザを実行して ActiveDirectory サーバーから FMC に接続できる場合に便利です。

  1. [開始(Start)] をクリックして、cmd を入力します。

  2. certutil -ca.cert certificate-name コマンドを入力します。

    サーバーの証明書が画面に表示されます。

  3. -----BEGIN CERTIFICATE----- で始まり -----END CERTIFICATE----- で終わる(これらの文字列を含む)証明書全体をクリップボードにコピーします。

次のタスク
信頼できる CA オブジェクトの追加 の説明に従って、Active Directory サーバーの証明書を信頼できる CA 証明書として FMC にインポートします。

レルム ディレクトリの設定

この手順では、LDAP サーバーまたは Microsoft Active Directory ドメイン コントローラに対応するレルム ディレクトリを作成できます。それぞれ異なるユーザーやグループを認証する複数のドメイン コントローラを、1 つの Active Directory サーバーに設定することができます。

Microsoft 社は、2020 年に Active Directory サーバーで LDAP バインディングと LDAP 署名の適用を開始すると発表しました。Microsoft 社がこれらを要件にするのは、デフォルト設定で Microsoft Windows を使用する場合に権限昇格の脆弱性が存在するために、中間者攻撃者が認証要求を Windows LDAP サーバーに正常に転送できる可能性があるからです。詳細については、Microwoft 社のサポートサイトで「2020 LDAP channel binding and LDAP signing requirement for Windows」を参照してください。

まだ行っていない場合は、Active Directory サーバーによる認証で TLS/SSL 暗号化の使用を開始することをお勧めします。

Active Directory グローバルカタログサーバーは、レルムディレクトリとしてサポートされていません。グローバルカタログサーバーの詳細については、learn.microsoft.com の「Global Catalog」を参照してください。

レルム ディレクトリの設定フィールドに関する詳細については、レルム フィールドを参照してください。

始める前に

(推奨)FMC から Active Directory サーバーに安全に接続するには、まず次のタスクを実行します。

手順

ステップ 1

まだ実行していない場合は、Firepower Management Center にログインし、[システム(System)] > [統合(Integration)] > [レルム(Realms)] をクリックします。

ステップ 2

[レルム(Realms)] ページで、ディレクトリの設定対象となるレルムの名前をクリックします。
ステップ 3

[ディレクトリ(Directory)] ページで、[ディレクトリの追加(Add Directory)] をクリックします。

ステップ 4

LDAP サーバーまたは Active Directory ドメイン コントローラの [ホスト名/IPアドレス(Hostname / IP Address)] と [ポート(Port)] を入力します。

システムにより、指定したホスト名または IP アドレスに LDAP クエリが送信されます。ホスト名が LDAP サーバまたは Active Directory ドメイン コントローラの IP アドレスに解決される場合は、[テスト(Test)] が成功します。
ステップ 5

[暗号化モード(Encryption Mode)] を選択します。

ステップ 6

リストから [SSL 証明書(SSL Certificate)] を 1 つ選択するか、 をクリックして証明書を追加します。

ステップ 7

接続をテストするには、[テスト(Test)] をクリックします。

ステップ 8

[OK] をクリックします。

ステップ 9

[保存(Save)] をクリックします。[レルム(Realms)] ページに戻ります。

ステップ 10

レルムをまだ有効にしていない場合は、[レルム(Realms)] ページで、[状態(State)] を有効にします。

次のタスク

ユーザーとグループのダウンロード

スマートライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス

任意

制御

任意

任意

Administrator、Access Admin、Network Admin

このセクションでは、Active Directory サーバから Firepower Management Center にユーザとグループをダウンロードする方法について説明します。含めるグループを指定しなかった場合、システムは指定されたパラメータと一致するすべてのグループのユーザー データを取得します。パフォーマンス上の理由から、アクセス コントロールに使用するユーザを表すグループだけを明示的に含めることをお勧めします。

Firepower Management Center がサーバーから取得可能なユーザーの最大数は Firepower Management Center モデルによって異なります。レルムのダウンロードパラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザーに関する情報を取得し、取得できなかったユーザー数を Message Center の [タスク(Task)] で報告します。

レルム設定フィールドの詳細については、レルム フィールドを参照してください。

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[システム(System)] > [統合(Integration)] > [レルム(Realms)] をクリックします。

ステップ 3

ユーザーとグループを手動でダウンロードするには、ユーザーやユーザーグループをダウンロードするレルムの横にあるダウンロードアイコン()をクリックします。コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。残りの手順をスキップできます。

ステップ 4

自動でユーザーとグループをダウンロードするようにレルムを設定するには、自動でユーザーやグループをダウンロードするように設定するレルムの横にある編集アイコン()をクリックします。

ステップ 5

[ユーザーアクセス制御(User Access Control)] ページで、[(ユーザーアクセス制御に必要な)ユーザーとグループをダウンロードする(Download users and groups (required for user access control))] をオンにします。

ステップ 6

一覧から [自動ダウンロードの開始時間(Begin automatic download at)] の時間を選択します。

ステップ 7

[繰り返し設定(Repeat Every)] 一覧からダウンロード間隔を選択します。

ステップ 8

ダウンロードにユーザ グループを含めるか除外するには、[選択可能なグループ(Available Groups)] 列からユーザ グループを選択し、[含めるに追加(Add to Include)] または [除外に追加(Add to Exclude)] をクリックします。

複数のユーザはカンマで区切ります。このフィールドでは、アスタリスク(*)をワイルドカード文字として使用できます。

(注)   

そのグループのユーザーに対してユーザー制御を実行する場合は、[含めるに追加(Add to Include)] をクリックする必要があります。

次の注意事項に従ってください。

  • [使用可能グループ ボックス(Available Groups)] にグループが残っている場合、グループのダウンロードは行われません。

  • グループを [含むに追加する(Add to Include)] ボックスに移動させた場合、そのグループはダウンロードされ、ユーザ データはユーザ認識やユーザ制御に利用できます。

  • [除外に追加する(Add to Exclude)] ボックスにグループを移動させると、グループがダウンロードされ、ユーザー データはユーザー認識に利用できますが、ユーザー制御には利用できません。

  • 含まれないグループのユーザーを含めるには、[含めるグループ(Groups to Include)] の下のフィールドにそのユーザー名を入力し、[追加(Add)] をクリックします。

  • 除外されないグループのユーザーを除外するには、[除外するグループ(Groups to Exclude)] の下のフィールドにそのユーザー名を入力し、[追加(Add)] をクリックします。

レルムの管理

このセクションでは、[レルム(Realms)] ページ上のコントロールを使用して、レルムに関するさまざまなメンテナンス タスクを実行する方法について説明します。次の点に注意してください。

  • コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

  • 代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[レルム(Realms)] をクリックします。

ステップ 4

レルムを削除するには、 をクリックします。

ステップ 5

レルムを編集するには、レルムの横にある をクリックし、レルムおよびレルムディレクトリの作成の説明に従って変更を行います。

ステップ 6

レルムを有効にするには、[状態(State)] を右にスライドします。レルムを無効にするには、左にスライドします。

ステップ 7

ユーザーおよびユーザーグループをダウンロードするには、ダウンロード[ダウンロード(download)] アイコン をクリックします。

ステップ 8

レルムをコピーするには、 をクリックします。

ステップ 9

レルムを比較する方法については、レルムの比較を参照してください。

レルムの比較

このタスクを実行するには、管理者アクセス管理者ネットワーク管理者、またはセキュリティ承認者である必要があります。

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[レルム(Realms)] をクリックします。

ステップ 4

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 5

[レルム(Realms)] をクリックします。

ステップ 6

[レルムの比較(Compare Realms)] をクリックします。

ステップ 7

[比較対象(Compare Against)] リストから [レルムの比較(Compare Realm)] を選択します。

ステップ 8

[レルム A(Realm A)] および [レルム B(Realm B)] リストから比較するレルムを選択します。

ステップ 9

[OK] をクリックします。

ステップ 10

個々の変更を選択するには、タイトル バーの上の [前へ(Previous)] または [次へ(Next)] をクリックします。

ステップ 11

(オプション)[比較レポート(Comparison Report)] をクリックして、レルム比較レポートを生成します。

ステップ 12

(オプション)[新しい比較(New Comparison)] をクリックして、新しいレルム比較ビューを生成します。

レルムとユーザーのダウンロードのトラブルシュート

予期しないサーバー接続の動作に気付いたら、レルム設定、デバイス設定、またはサーバー設定の調整を検討してください。関連の他のトラブルシューティングについては、次を参照してください。

症状: レルムとグループはレポートされますが、ダウンロードされません

Firepower Management Center のヘルス モニターは、ユーザーまたはレルムの不一致を通知します。これらは次のように定義されています。

  • ユーザーの不一致: ユーザーは、Firepower Management Center をダウンロードすることがなく報告されます。

    ユーザーの不一致の一般的な理由は、ユーザーが Firepower Management Center にダウンロードすることから除外がグループに属することです。レルム フィールド で説明されている情報も参照してください。

  • レルムの不一致: ユーザーは、Firepower Management Center に不明レルムに対応するドメインにログインします。

たとえば、Firepower Management Center で domain.example.com というドメインに対応するレルムを定義していても、another-domain.example.com というドメインからログインがレポートされる場合、これはレルムの不一致となります。このドメイン内のユーザーは Firepower Management Center によって不明(Unknown)と識別されます。

あるヘルス警告がトリガーされると、パーセンテージの不一致のしきい値を設定します。次に例を示します。

  • 50% のデフォルトの不一致のしきい値を使用すると、2 つのミスマッチ レルム 8 つの着信セッションでは、不一致割合は、25% と警告はトリガーされません。

  • 30% の不一致のしきい値を設定すると、3 つのミスマッチ レルム 5 つの着信セッションでは、不一致割合は、60% および警告がトリガーされます。

不明なユーザー アイデンティティ ルールに一致しないには、ポリシーに適用されていません。(不明ユーザーに対してアイデンティティ ルールをセットアップすることはできますが、ユーザーとレルムを正確に識別することによってルールの数を最小限に保つことをお勧めします。)

詳細については、レルムまたはユーザーの不一致の検出を参照してください。

症状:アクセス コントロール ポリシーがグループのメンバーシップと一致しない

この解決策は、他の AD ドメインとの信頼関係にある AD ドメインに適用されます。以下の説明で、外部ドメイン ドメインは、ユーザがログインするドメイン以外のドメインを指します。

ユーザが信頼されている外部ドメインで定義されたグループに属している場合、Firepower は外部ドメインのメンバーシップを追跡しません。たとえば、次のシナリオを考えてください。

  • ドメイン コントローラ 1 と 2 は相互に信頼している

  • グループ A はドメイン コントローラ 2 で定義されている

  • コントローラ 1 のユーザ mparvinder はグループ A のメンバーである

ユーザ mparvinder はグループ A に属しているが、メンバーシップ グループ A を指定する Firepower のアクセス コントロール ポリシー ルールが一致しません。

解決策:グループ A に属する、すべてのドメイン 1 のアカウントを含むドメイン コントローラ 1 に同様のグループを作成します。グループ A またはグループ B のすべてのメンバーに一致するように、アクセス コントロール ポリシー ルールを変更します。

症状:アクセス コントロール ポリシーが子ドメインのメンバーシップと一致しない

ユーザが親ドメインの子であるドメインに属している場合、Firepower はドメイン間の親/子関係を追跡しません。たとえば、次のシナリオを考えてください。

  • ドメイン child.parent.com はドメイン parent.com の子である

  • ユーザ mparvinder child.parent.com で定義されている

ユーザ mparvinder が子ドメインに属しているが、parent.com と一致する Firepower アクセス コントロール ポリシーが child.parent.com ドメインの mparvinder と一致しません。

解決策:parent.com または child.parent.com のいずれかのメンバーシップに一致するようにアクセス コントロール ポリシー ルールを変更します。

症状:レルムまたはレルム ディレクトリのテストが失敗する

ディレクトリ ページの [テスト(Test)] ボタンは、入力したホスト名または IP アドレスに LDAP クエリを送信します。失敗した場合は、次を確認してください。

  • 入力した [ホスト名(Hostname)] が、LDAP サーバまたは Active Directory ドメイン コントローラの IP アドレスに解決される。

  • 入力した [IPアドレス(IP Address)] が有効である。

レルム設定ページの [AD参加のテスト(Test AD Join)] ボタンは、次のことを確認します。

  • DNS が、[ADプライマリドメイン(AD Primary Domain)] を LDAP サーバーまたは Active Directory ドメイン コントローラの IP アドレスに解決される。

  • [AD参加ユーザ名(AD Join Username)] と [AD参加パスワード(AD Join Password)] が正しい。

    [AD参加ユーザ名(AD Join Username)] は完全修飾名である必要があります(たとえば、administrator ではなく administrator@mydomain.com を使用します)。

  • ドメイン内にコンピュータを作成し、ドメインに Firepower Management Center をドメイン コンピュータとして参加させるための十分な権限がユーザにある。

症状:予期しない時間にユーザー タイムアウトが発生する

予期しない間隔でユーザータイムアウトが実行されていることに気付いたら、ユーザーエージェントまたは ISE サーバーの時間が Firepower Management Centerの時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザーのタイムアウトが実行される可能性があります。

予期しない間隔でユーザータイムアウトが実行されていることに気付いたら、ISE/ISE-PIC、ユーザーエージェント、 または TS エージェントサーバーの時間が Firepower Management Centerの時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザーのタイムアウトが実行される可能性があります。

症状:レルム設定で指定したようにユーザが含まれない、または除外されない

サーバーのサブグループのメンバーであるユーザーを選別できる Active Directory レルムを設定する際は、Microsoft Windows サーバーが報告するユーザーの数を以下に制限することに注意します。

  • Windows サーバー 2008 または 2012 では、グループごとに 5000 ユーザーまで

必要に応じて、より多くのユーザーをサポートするため、このデフォルトの制限を引き上げるようサーバーの設定を変更できます。

症状:ユーザがダウンロードされない

考えられる原因は次のとおりです。

  • レルムの [タイプ(Type)] が正しく設定されていない場合は、FirePOWER システムにより必要とされる属性とリポジトリにより提供される属性が一致しないため、ユーザとグループをダウンロードできません。たとえば、Microsoft Active Directory レルムの [タイプ(Type)] を [LDAP] として設定すると、FirePOWER システムでは uid 属性が必要になり、この属性は Active Directory では none に設定されています。(Active Directory リポジトリでは、ユーザ ID に sAMAccountName が使用されます。)

    ソリューション:レルムの [タイプ(Type)] フィールドを適切に設定します。Microsoft Active Directory の場合は [AD] に設定し、サポートされている別の LDAP リポジトリの場合は [LDAP] に設定します。

  • グループ名または組織単位名に特殊文字が使用されている Active Directory グループのユーザーは、アイデンティティ ポリシー ルールで使用できない可能性があります。たとえば、グループ名または組織単位名にアスタリスク(*)、イコール(=)、バックスラッシュ(\)などの特殊文字が含まれている場合、これらのグループ内のユーザはダウンロードされず、アイデンティティ ポリシーで使用できません。

    解決策:グループ名または組織単位名から特殊文字を削除します。

症状:未知の ISE とユーザーエージェントのユーザーのユーザーデータが Web インターフェイスで表示されない

システムはデータがまだデータベースにない ISE/ISE-PIC、ユーザーエージェント、または TS エージェントユーザーのアクティビティを検出すると、サーバーからそれらに関する情報を取得します。状況によっては、システムが Microsoft Windows サーバーからこの情報を正常に取得するためにさらに時間がかかることもあります。データ取得が成功するまで、ISE/ISE-PIC、ユーザーエージェント、または TS エージェントユーザーから見えるアクティビティは Web インターフェイスに表示されません

これにより、アクセス制御ルールを使ったユーザートラフィックの処理も妨げられることがある点に注意します。

症状:イベントのユーザ データが想定外の内容になる

ユーザやユーザアクティビティイベントに想定外の IP アドレスが含まれる場合は、レルムを確認します。複数のレルムに同一の [AD プライマリ ドメイン(AD Primary Domain)] の値を設定することはできません。

症状:ターミナル サーバからログインしたユーザが、システムによって一意に識別されない

導入されている構成にターミナルサーバーが含まれ、これに接続されている 1 つまたは複数のサーバーにレルムが設定されている場合は、ターミナルサーバー環境でのユーザーログインを正確に報告するため Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザに別個のポートを割り当て、Firepower System はこれらのユーザを Web インターフェイスで一意に識別できるようになります。

TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。

レルムまたはユーザーの不一致の検出

この項では、レルムまたはユーザーの不一致を検出する方法について説明します。これらは次のように定義されています。

  • ユーザーの不一致: ユーザーは、Firepower Management Center をダウンロードすることがなく報告されます。

    ユーザーの不一致の一般的な理由は、ユーザーが Firepower Management Center にダウンロードすることから除外がグループに属することです。レルム フィールド で説明されている情報も参照してください。

  • レルムの不一致: ユーザーは、Firepower Management Center に不明レルムに対応するドメインにログインします。

詳細については、レルムとユーザーのダウンロードのトラブルシュートを参照してください。

不明なユーザー アイデンティティ ルールに一致しないには、ポリシーに適用されていません。(不明ユーザーに対してアイデンティティ ルールをセットアップすることはできますが、ユーザーとレルムを正確に識別することによってルールの数を最小限に保つことをお勧めします。)

手順

ステップ 1

レルムまたはユーザーの不一致の検出を有効にします。

  1. まだ Firepower Management Center にログインしていない場合は、ログインします。

  2. [System] > [Health] > [Policy] をクリックします。

  3. 新しいヘルス ポリシーを作成するか、または既存のポリシーを編集します。

  4. [ポリシーの編集(Editing Policy)] ページで、[ポリシーのランタイムの間隔(Policy Runtime Interval)] を設定します。

    これは、すべてのヘルス モニター タスクが実行される頻度です。

  5. 左側のペインで、[レルム(Realm)] をクリックします。

  6. 次の情報を入力します。

    • [有効(Enabled)]:[オン(On)] をクリックします

    • 警告のユーザーに一致のしきい値 %: ヘルス モニターに警告をトリガーするレルムの不一致またはユーザーの不一致のいずれかの割合。詳細については、レルムとユーザーのダウンロードのトラブルシュートを参照してください。

  7. ページの下部で [ポリシーを保存して終了(Save Policy & Exit)] をクリックします。

  8. 正常性ポリシーの適用 で説明したように、管理対象デバイスにヘルス ポリシーを適用します。

ステップ 2

次の方法のいずれかでユーザーとレルムの不一致を表示します。

  • 警告しきい値を超過した場合は、Firepower Management Center の上部のナビゲーションで [警告(Warning)] > [ヘルス(Health)] をクリックします。これにより、ヘルス モニターが開きます。

  • [システム(System)] > [ヘルス(Health)] > [モニタ(Monitor) ] をクリックします。

ステップ 3

[ヘルス モニター(Health Monitor)] ページの [表示(Display)] 列で、[レルム:ドメイン(Realm: Domain)] または [レルム:ユーザー(Realm: User)] を展開し、不一致に関する詳細を表示します。

レルムの履歴

機能

バージョン

詳細

ユーザー制御用のレルム。

バージョン 6.0 よりも前に導入された機能です。レルムは、FMC と、Active Directory または LDAP のユーザーリポジトリ間の接続です。