キャプティブ ポータル ユーザーの認証に Kerberos を使用している場合は、次の点に注意してください。

ホスト名の文字の制限

Kerberos 認証を使用している場合、管理対象デバイスのホスト名は 15 文字未満にする必要があります（Windows で設定されている NetBIOS の制限）。そのようにしないと、キャプティブポータル認証が失敗します。管理対象デバイスのホスト名は、デバイスのセットアップ時に設定します。詳細については、Microsoft のマニュアルサイト「Naming conventions in Active Directory for computers, domains, sites, and OUs」で、次のような記事を参照してください。

DNS 応答の文字の制限

DNS はホスト名に対して 64KB 以下の応答を返す必要があります。それ以外の場合、AD 接続テストは失敗します。この制限は両方向に適用され、RFC 6891 セクション 6.2.5 で説明されています。

次のフィールドを使用してレルムを設定します。

レルムの設定（Realm Configuration）フィールド

これらの設定は、レルム内のすべての Active Directory サーバまたはドメイン コントローラ（別名ディレクトリ）に適用されます。

名前

レルムの一意の名前。

• アイデンティティ ポリシーにレルムを使用する場合、英数字や特殊文字に対応しています。

• RA VPN 設定でレルムを使用する場合は、英数字、ハイフン（-）、下線（_）、プラス（+）に対応しています。

説明

（オプション）レルムの説明を入力します。

タイプ

レルムのタイプで、Microsoft Active Directory 用の [AD]、その他のサポートされている LDAP リポジトリ用の [LDAP]、または [Local] です。サポートされている LDAP リポジトリの一覧については、レルムがサポートされているサーバーを参照してください。LDAP リポジトリを使用してキャプティブ ポータル ユーザーを認証できます。他はすべて Active Directory が必要です。

（注）	キャプティブ ポータルのみ、LDAP レルムをサポートします。

レルムタイプ LOCAL は、ローカルユーザー設定の設定に使用されます。LOCAL レルムは、リモートアクセスユーザーの認証で使用されます。

LOCAL レルムの次のローカルユーザー情報を追加します。

• [Username]：ローカルユーザーの名前。

• [Password]：ローカルユーザーのパスワード。

• [Confirm Password]：ローカルユーザーのパスワードを確認します。

（注）	LOCAL レルムにユーザーを追加するには、[Add another local user] をクリックします。 レルムの作成後にユーザーを追加し、ローカルユーザーのパスワードを更新できます。複数の LOCAL レルムも作成できますが、無効にすることはできません。

AD プライマリ ドメイン（AD Primary Domain）

Microsoft Active Directory レルム専用です。ユーザー認証が必要となる Active Directory サーバーのドメインです。

（注）

すべての Microsoft Active Directory（AD）レルムに固有の [ADプライマリドメイン（AD Primary Domain）] を指定する必要があります。異なる Microsoft AD レルムに同じ [ADプライマリドメイン（AD Primary Domain）] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン（AD Primary Domain）] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。

AD 参加ユーザー名（AD Join Username）、AD 参加パスワード（AD Join Password）

（レルムの編集時に [Realm Configuration] タブページで使用できます）。

Kerberos キャプティブ ポータル アクティブ認証を目的とした Microsoft Active Directory レルムでは、Active Directory ドメインでドメイン コンピュータ アカウントを作成するための適切な権限を持つ Active Directory ユーザーの識別用のユーザー名とパスワード。

次の点を考慮してください。

• DNS は、ドメイン名を Active Directory ドメイン コントローラの IP アドレスに解決できる必要があります。

• 指定するユーザは、コンピュータを Active Directory ドメインに参加させることができる必要があります。

• ユーザー名は完全修飾名である必要があります（たとえば、administrator ではなく administrator@mydomain.com を使用します）。

Kerberos（または Kerberos をオプションとする場合に HTTP ネゴシエート）を、アイデンティティルールの [認証プロトコル（Authentication Protocol）] として選択する場合、選択する [レルム（Realm）] は、Kerberos キャプティブ ポータル アクティブ認証を実行するように、[AD参加ユーザー名（AD Join Username）] と [AD参加パスワード（AD Join Password）] を使用して設定する必要があります。

（注）

SHA-1 ハッシュアルゴリズムでは Active Directory サーバーにパスワードが保存されて安全ではないため、使用しないでください。詳細については、Open Web Application Security Project の Web サイトにある「Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2 on Microsoft TechNet」や「Password Storage Cheat Sheet」などの参考資料を参照してください。 Active Directory との通信には SHA-256 を使用することを推奨します。

[ディレクトリ ユーザー名（Directory Username）] と [ディレクトリ パスワード（Directory Password）]

取得するユーザ情報に適切なアクセス権を持っているユーザの識別用のユーザ名とパスワード。

次の点に注意してください。

• Microsoft Active Directory の一部のバージョンでは、ユーザーとグループを読み取るために特定の権限が必要な場合があります。詳細については、Microsoft Active Directory に付属しているマニュアルを参照してください。

• OpenLDAP では、ユーザーのアクセス権限は、OpenLDAP の仕様書のセクション 8 で説明されている <level> パラメータにより決定されます。ユーザーの <level> は、auth 以上にする必要があります。

• ユーザ名は完全修飾名である必要があります（たとえば、administrator ではなく administrator@mydomain.com を使用します）。

（注）

SHA-1 ハッシュアルゴリズムでは Active Directory サーバーにパスワードが保存されて安全ではないため、使用しないでください。詳細については、Open Web Application Security Project の Web サイトにある「Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2 on Microsoft TechNet」や「Password Storage Cheat Sheet」などの参考資料を参照してください。 Active Directory との通信には SHA-256 を使用することを推奨します。

ベース DN（Base DN）

（オプション）Secure Firewall Management Centerがユーザー データの検索を開始するサーバーのディレクトリ ツリー。ベース DN を指定しない場合、サーバーに接続できる場合、システムは最上位 DN を取得します。

通常、ベース識別名（DN）には企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。

グループ DN（Group DN）

（オプション）Secure Firewall Management Centerがグループ属性を持つユーザーを検索するサーバーのディレクトリ ツリー。サポートされているグループ属性の一覧については、サポートされているサーバー オブジェクト クラスと属性名を参照してください。グループ DN を指定しない場合、サーバーに接続できる場合、システムは最上位 DN を取得します。

（注）

次に、ディレクトリサーバーのユーザー、グループ、DN でシステムがサポートする文字のリストを示します。次に示す文字以外を使用すると、システムがユーザーとグループをダウンロードできなくなる可能性があります。 エンティティ サポートされている文字 ユーザー名 a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ ` グループ名 a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ ` ベース DN とグループ DN a-z A-Z 0-9 ! @ $ % ^ & * ( ) _ - . ~ ` ユーザー名では、どの場所でも（末尾を含む）スペースはサポートされていません。

既存のレルムを編集する場合、次のフィールドを使用できます。

[ユーザー セッション タイムアウト（User Session Timeout）]

（レルムの編集時に [Realm Configuration] タブページで使用できます）。

ユーザー セッションがタイムアウトするまでの分数を入力します。デフォルトは、ユーザのログイン イベントから 1440 分（24 時間）後です。このタイムアウトを過ぎると、ユーザーのセッションは終了します。ユーザーが再度ログインせずにネットワークにアクセスし続けている場合、ユーザーは Management Center により不明として認識されます（[失敗したキャプティブポータルユーザー（Failed Captive Portal Users）] を除く）。

さらに、レルムなしで ISE/ISE-PIC を設定し、タイムアウトを超えた場合は、回避策が必要です。詳細については、Cisco TAC にお問い合わせください。

次のタイムアウト値を設定できます。

• [ユーザーエージェントおよびISE/ISE-PICユーザー（User Agent and ISE/ISE-PIC Users）]：パッシブ認証タイプであるユーザー エージェントまたは ISE/ISE-PIC によってトラッキングされるユーザーのタイムアウト。

  指定したタイムアウト値は、pxGrid SXP セッション トピック サブスクリプション（宛先 SGT マッピングなど）には適用されません。代わりに、ISE からの特定のマッピングの削除または更新メッセージがない限り、セッション トピック マッピングは保持されます。

  ISE/ISE-PIC の詳細については、ISE/ISE-PIC アイデンティティ ソースを参照してください。

• [ターミナルサービスエージェントユーザー（Tterminal Services Agent Users）]：パッシブ認証タイプである TS エージェントによってトラッキングされるユーザーのタイムアウト。詳細については、ターミナル サービス（TS）エージェントのアイデンティティ ソースを参照してください。

• [キャプティブポータルユーザ（Captive Portal Users）]：アクティブ認証タイプであるキャプティブ ポータルを使用して正常にログインしたユーザのタイムアウト。詳細については、キャプティブ ポータルのアイデンティティ ソースを参照してください。

• [失敗したキャプティブポータルユーザ（Failed Captive Portal Users）]：キャプティブ ポータルを使用して正常にログインしていないユーザのタイムアウト。Management Center によってユーザが認証失敗ユーザとして認識されるまでの、[最大ログイン試行回数（Maximum login attempts）] を設定できます。アクセス コントロール ポリシーを使用して、認証失敗ユーザにネットワークへのアクセス権を付与することもできます。この場合は、そのユーザにこのタイムアウト値が適用されます。

  失敗したキャプティブ ポータル ログインの詳細については、キャプティブ ポータル フィールドを参照してください。

• [ゲストキャプティブポータルユーザ（Guest Captive Portal Users）]：キャプティブ ポータルにゲスト ユーザとしてログインしているユーザのタイムアウト。詳細については、キャプティブ ポータルのアイデンティティ ソースを参照してください。

レルムのディレクトリ フィールド（Realm Directory Fields）

これらの設定は、レルム内の個々のサーバー（Active Directory ドメイン コントローラなど）に適用されます。

ホスト名/IP アドレス（Hostname/IP Address）

Active Directory ドメインコントローラマシンの完全修飾ホスト名。完全修飾名を確認するには、Active Directory サーバーの名前の検索を参照してください。

キャプティブポータルの認証に Kerberos を使用している場合は、次のことも理解してください。

Kerberos 認証を使用している場合、管理対象デバイスのホスト名は 15 文字未満にする必要があります（Windows で設定されている NetBIOS の制限）。そのようにしないと、キャプティブポータル認証が失敗します。管理対象デバイスのホスト名は、デバイスのセットアップ時に設定します。詳細については、Microsoft のマニュアルサイト「Naming conventions in Active Directory for computers, domains, sites, and OUs」で、次のような記事を参照してください。

DNS はホスト名に対して 64KB 以下の応答を返す必要があります。それ以外の場合、AD 接続テストは失敗します。この制限は両方向に適用され、RFC 6891 セクション 6.2.5 で説明されています。

ポート

サーバーのポート。

暗号化（Encryption）

（強く推奨）使用する暗号化方式。

• STARTTLS：暗号化 LDAP 接続

• LDAPS：暗号化 LDAP 接続

• なし：非暗号化 LDAP 接続（保護されていないトラフィック）

Active Directory サーバーと安全に通信するには、Active Directory へのセキュアな接続を参照してください。

CA Certificate

サーバーへの認証に使用する TLS/SSL 証明書。TLS/SSL 証明書を使用するために、STARTTLS または LDAPS を [暗号化（Encryption）] タイプとして設定できます。

認証に証明書を使用する場合、証明書のサーバー名は、サーバーの [ホスト名/IP アドレス（Hostname/IP Address）] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で computer1.example.com を使用している場合は、接続が失敗します。

ディレクトリサーバーへの接続に使用されるインターフェイス

Secure Firewall Threat Defense が Active Directory サーバーに安全に接続できるように、RA VPN 認証にのみ必要です。ただし、このインターフェイスは、ユーザーおよびグループのダウンロードには使用されません。

ルーテッド インターフェイス グループだけを選択できます。詳細については、インターフェイス（Interface）を参照してください。

次のいずれかをクリックします。

• ルートルックアップによる解決：ルーティングを使用して Active Directory サーバーに接続します。

• [インターフェイスの選択（Choose an interface）]：Active Directory サーバーに接続する特定の管理対象デバイス インターフェイス グループを選択します。

ユーザーの [同期（Synchronize）] フィールド

AD プライマリ ドメイン（AD Primary Domain）

Microsoft Active Directory レルム専用です。ユーザー認証が必要となる Active Directory サーバーのドメインです。

（注）

すべての Microsoft Active Directory（AD）レルムに固有の [ADプライマリドメイン（AD Primary Domain）] を指定する必要があります。異なる Microsoft AD レルムに同じ [ADプライマリドメイン（AD Primary Domain）] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン（AD Primary Domain）] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。

ユーザーとグループを検索するクエリを入力してください

[Base DN]：

（オプション）Management Centerがユーザー データの検索を開始するサーバーのディレクトリ ツリー。

通常、ベース識別名（DN）には企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。

[Group DN]：

（オプション）Management Centerがグループ属性を持つユーザーを検索するサーバーのディレクトリ ツリー。サポートされているグループ属性の一覧については、サポートされているサーバー オブジェクト クラスと属性名を参照してください。

（注）	グループ名または組織単位名には、アスタリスク（*）、イコール（=）、バックスラッシュ（\）などの特殊文字は使用できません。使用した場合、それらのグループのユーザーはダウンロードされず、ID ポリシーで使用できないためです。

[Load Groups]

ユーザー認識用およびユーザー制御用にユーザーとグループをダウンロードできるようになります。

[使用可能なグループ（Available Groups）]、[含むに追加する（Add to Include）]、[除外するに追加する（Add to Exclude）]

ポリシーで使用できるグループを制限します。

• [使用可能なグループ（Available Groups）] フィールドに表示されているグループは、グループを [含めるグループとユーザー（Included Groups and Users）] または [除外するグループとユーザー（Excluded Groups and Users）] フィールドに移動しない限り、ポリシーで利用できます。

• グループを [含めるグループとユーザー（Included Groups and Users）] フィールドに移動させた場合は、それらのグループとそれらのグループに含まれるユーザーだけがダウンロードされ、ユーザーデータはユーザー認識やユーザー制御に利用できます。

• グループを [除外するグループとユーザー（Excluded Groups and Users）] フィールドに移動させた場合は、それ以外のすべてのグループとそれらのグループに含まれるユーザーがダウンロードされ、ユーザー認識やユーザー制御に利用できます。

• 含まれないグループのユーザーを含めるには、[ユーザーの包含（User Inclusion）] の下のフィールドにそのユーザー名を入力し、[追加（Add）] をクリックします。

• 除外されないグループのユーザーを除外するには、[ユーザーの除外（User Exclusion）] の下のフィールドにそのユーザー名を入力し、[追加（Add）] をクリックします。

  （注）	Management Center にダウンロードされるユーザーは、数式 R = I - (E+e) + i を使用して計算されます。 R はダウンロードしたユーザーのリストです。 I は含まれているグループです。 E は除外されているグループです。 e は除外されているユーザーです。 i は含まれているユーザーです。

[Synchronize Now]

クリックして、グループとユーザーを AD と同期します。

自動同期の開始時間

AD からユーザーとグループをダウンロードする時間と時間間隔を入力します。