キャプティブ ポータル ユーザーの認証に Kerberos を使用している場合は、次の点に注意してください。

ホスト名の文字の制限

Kerberos 認証を使用している場合、管理対象デバイスのホスト名は 15 文字未満にする必要があります（Windows で設定されている NetBIOS の制限）。そのようにしないと、キャプティブポータル認証が失敗します。管理対象デバイスのホスト名は、デバイスのセットアップ時に設定します。詳細については、Microsoft のマニュアルサイト「Naming conventions in Active Directory for computers, domains, sites, and OUs」で、次のような記事を参照してください。

DNS 応答の文字の制限

DNS はホスト名に対して 64KB 以下の応答を返す必要があります。それ以外の場合、AD 接続テストは失敗します。この制限は両方向に適用され、RFC 6891 セクション 6.2.5 で説明されています。

次のフィールドを使用して、レルムを設定します。

[レルムの構成（Realm Configuration）] フィールド

これらの設定は、レルム内のすべての Active Directory サーバまたはドメイン コントローラ（別名ディレクトリ）に適用されます。

名前

レルムの一意の名前。

• アイデンティティ ポリシーにレルムを使用する場合、英数字や特殊文字に対応しています。

• RA VPN 設定でレルムを使用する場合は、英数字、ハイフン（-）、下線（_）、プラス（+）に対応しています。

説明

（オプション）レルムの説明を入力します。

タイプ

レルムのタイプで、Microsoft Active Directory 用の [AD]、その他のサポートされている LDAP リポジトリ用の [LDAP]、または [Local] です。サポートされている LDAP リポジトリの一覧については、レルム向けにサポートされているサーバーを参照してください。LDAP リポジトリを使用してキャプティブ ポータル ユーザーを認証できます。他はすべて Active Directory が必要です。

（注）	キャプティブ ポータルのみ、LDAP レルムをサポートします。

レルムタイプ LOCAL は、ローカルユーザー設定の設定に使用されます。LOCAL レルムは、リモートアクセスユーザーの認証で使用されます。

LOCAL レルムの次のローカルユーザー情報を追加します。

• [Username]：ローカルユーザーの名前。

• [Password]：ローカルユーザーのパスワード。

• [Confirm Password]：ローカルユーザーのパスワードを確認します。

（注）	LOCAL レルムにユーザーを追加するには、[Add another local user] をクリックします。 レルムの作成後にユーザーを追加し、ローカルユーザーのパスワードを更新できます。複数の LOCAL レルムも作成できますが、無効にすることはできません。

AD プライマリ ドメイン（AD Primary Domain）

Microsoft Active Directory レルム専用です。ユーザー認証が必要となる Active Directory サーバーのドメインです。

（注）

すべての Microsoft Active Directory（AD）レルムに固有の [ADプライマリドメイン（AD Primary Domain）] を指定する必要があります。異なる Microsoft AD レルムに同じ [ADプライマリドメイン（AD Primary Domain）] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン（AD Primary Domain）] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。

AD 参加ユーザー名（AD Join Username）、AD 参加パスワード（AD Join Password）

（レルムの編集時に [Realm Configuration] タブページで使用できます）。

Kerberos キャプティブ ポータル アクティブ認証を目的とした Microsoft Active Directory レルムでは、Active Directory ドメインでドメイン コンピュータ アカウントを作成するための適切な権限を持つ Active Directory ユーザーの識別用のユーザー名とパスワード。

次の点を考慮してください。

• DNS は、ドメイン名を Active Directory ドメイン コントローラの IP アドレスに解決できる必要があります。

• 指定するユーザは、コンピュータを Active Directory ドメインに参加させることができる必要があります。

• ユーザー名は完全修飾名である必要があります（たとえば、administrator ではなく administrator@mydomain.com を使用します）。

Kerberos（または Kerberos をオプションとする場合に HTTP ネゴシエート）を、アイデンティティルールの [認証プロトコル（Authentication Protocol）] として選択する場合、選択する [レルム（Realm）] は、Kerberos キャプティブ ポータル アクティブ認証を実行するように、[AD参加ユーザー名（AD Join Username）] と [AD参加パスワード（AD Join Password）] を使用して設定する必要があります。

（注）

SHA-1 ハッシュアルゴリズムでは Active Directory サーバーにパスワードが保存されて安全ではないため、使用しないでください。詳細については、Open Web Application Security Project の Web サイトにある「Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2 on Microsoft TechNet」や「Password Storage Cheat Sheet」などの参考資料を参照してください。 Active Directory との通信には SHA-256 を使用することを推奨します。

[ディレクトリ ユーザー名（Directory Username）] と [ディレクトリ パスワード（Directory Password）]

取得するユーザ情報に適切なアクセス権を持っているユーザの識別用のユーザ名とパスワード。

次の点に注意してください。

• OpenLDAP では、ユーザーのアクセス権限は、OpenLDAP の仕様書のセクション 8 で説明されている <level> パラメータにより決定されます。ユーザーの <level> は、auth 以上にする必要があります。

• ユーザ名は完全修飾名である必要があります（たとえば、administrator ではなく administrator@mydomain.com を使用します）。

（注）

SHA-1 ハッシュアルゴリズムでは Active Directory サーバーにパスワードが保存されて安全ではないため、使用しないでください。詳細については、Open Web Application Security Project の Web サイトにある「Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2 on Microsoft TechNet」や「Password Storage Cheat Sheet」などの参考資料を参照してください。 Active Directory との通信には SHA-256 を使用することを推奨します。

ベース DN（Base DN）

（オプション）Secure Firewall Management Centerがユーザー データの検索を開始するサーバーのディレクトリ ツリー。ベース DN を指定しない場合、サーバーに接続できる場合、システムは最上位 DN を取得します。

通常、ベース識別名（DN）には企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。

Group DN

（オプション）Secure Firewall Management Centerがグループ属性を持つユーザーを検索するサーバーのディレクトリ ツリー。サポートされているグループ属性の一覧については、サポートされているサーバーオブジェクトクラスと属性名を参照してください。グループ DN を指定しない場合、サーバーに接続できる場合、システムは最上位 DN を取得します。

（注）

次に、ディレクトリサーバーのユーザー、グループ、DN でシステムがサポートする文字のリストを示します。次に示す文字以外を使用すると、システムがユーザーとグループをダウンロードできなくなる可能性があります。 エンティティ サポートされている文字 ユーザー名 a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ ` グループ名 a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ ` ベース DN とグループ DN a-z A-Z 0-9 ! @ $ % ^ & * ( ) _ - . ~ ` ユーザー名では、どの場所でも（末尾を含む）スペースはサポートされていません。

既存のレルムを編集する場合、次のフィールドを使用できます。

[ユーザー セッション タイムアウト（User Session Timeout）]

（レルムの編集時に [Realm Configuration] タブページで使用できます）。

ユーザー セッションがタイムアウトするまでの分数を入力します。デフォルトは、ユーザのログイン イベントから 1440 分（24 時間）後です。このタイムアウトを過ぎると、ユーザーのセッションは終了します。ユーザーが再度ログインせずにネットワークにアクセスし続けている場合、ユーザーは Secure Firewall Management Center により不明として認識されます（[失敗したキャプティブポータルユーザー（Failed Captive Portal Users）] を除く）。

さらに、レルムなしで ISE/ISE-PIC を設定し、タイムアウトを超えた場合は、回避策が必要です。詳細については、Cisco TAC にお問い合わせください。

次のタイムアウト値を設定できます。

• [ユーザーエージェントおよびISE/ISE-PICユーザー（User Agent and ISE/ISE-PIC Users）]：パッシブ認証タイプであるユーザー エージェントまたは ISE/ISE-PIC によってトラッキングされるユーザーのタイムアウト。

  指定したタイムアウト値は、pxGrid SXP セッション トピック サブスクリプション（宛先 SGT マッピングなど）には適用されません。代わりに、ISE からの特定のマッピングの削除または更新メッセージがない限り、セッション トピック マッピングは保持されます。

  ISE/ISE-PIC の詳細については、ISE/ISE-PIC アイデンティティ ソースを参照してください。

• [ターミナルサービスエージェントユーザー（Tterminal Services Agent Users）]：パッシブ認証タイプである TS エージェントによってトラッキングされるユーザーのタイムアウト。詳細については、ターミナル サービス（TS）エージェントのアイデンティティ ソースを参照してください。

• [キャプティブポータルユーザ（Captive Portal Users）]：アクティブ認証タイプであるキャプティブ ポータルを使用して正常にログインしたユーザのタイムアウト。詳細については、キャプティブ ポータルのアイデンティティ ソースを参照してください。

• [失敗したキャプティブポータルユーザ（Failed Captive Portal Users）]：キャプティブ ポータルを使用して正常にログインしていないユーザのタイムアウト。Secure Firewall Management Center によってユーザが認証失敗ユーザとして認識されるまでの、[最大ログイン試行回数（Maximum login attempts）] を設定できます。アクセス コントロール ポリシーを使用して、認証失敗ユーザにネットワークへのアクセス権を付与することもできます。この場合は、そのユーザにこのタイムアウト値が適用されます。

  失敗したキャプティブ ポータル ログインの詳細については、キャプティブ ポータル フィールドを参照してください。

• [ゲストキャプティブポータルユーザ（Guest Captive Portal Users）]：キャプティブ ポータルにゲスト ユーザとしてログインしているユーザのタイムアウト。詳細については、「キャプティブ ポータルのアイデンティティ ソース」を参照してください。

レルム ディレクトリ フィールド

これらの設定は、レルム内の個々のサーバー（Active Directory ドメイン コントローラなど）に適用されます。

ホスト名/IP アドレス（Hostname/IP Address）

Active Directory ドメインコントローラマシンの完全修飾ホスト名。完全修飾名を確認するには、Active Directory（AD）サーバーの名前を検索するを参照してください。

キャプティブポータルの認証に Kerberos を使用している場合は、次のことも理解してください。

Kerberos 認証を使用している場合、管理対象デバイスのホスト名は 15 文字未満にする必要があります（Windows で設定されている NetBIOS の制限）。そのようにしないと、キャプティブポータル認証が失敗します。管理対象デバイスのホスト名は、デバイスのセットアップ時に設定します。詳細については、Microsoft のマニュアルサイト「Naming conventions in Active Directory for computers, domains, sites, and OUs」で、次のような記事を参照してください。

DNS はホスト名に対して 64KB 以下の応答を返す必要があります。それ以外の場合、AD 接続テストは失敗します。この制限は両方向に適用され、RFC 6891 セクション 6.2.5 で説明されています。

ポート

サーバーのポート。

暗号化（Encryption）

（強く推奨）使用する暗号化方式。

• STARTTLS：暗号化 LDAP 接続

• LDAPS：暗号化 LDAP 接続

• なし：非暗号化 LDAP 接続（保護されていないトラフィック）

Active Directory サーバーと安全に通信するには、Active Directory（AD）または LDAP に安全に接続するを参照してください。

CA Certificate

サーバーへの認証に使用する TLS/SSL 証明書。TLS/SSL 証明書を使用するために、STARTTLS または LDAPS を [暗号化（Encryption）] タイプとして設定できます。

認証に証明書を使用する場合、証明書のサーバー名は、サーバーの [Hostname/IP Address] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で computer1.example.com を使用している場合は、接続が失敗します。

ディレクトリサーバーへの接続に使用されるインターフェイス

Secure Firewall Threat Defense が Active Directory サーバーに安全に接続できるように、RA VPN 認証にのみ必要です。ただし、このインターフェイスは、ユーザーおよびグループのダウンロードには使用されません。

ルーテッド インターフェイス グループだけを選択できます。詳細については、インターフェイス（Interface）を参照してください。

次のいずれかをクリックします。

• ルートルックアップによる解決：ルーティングを使用して Active Directory サーバーに接続します。

• [インターフェイスの選択（Choose an interface）]：Active Directory サーバーに接続する特定の管理対象デバイス インターフェイス グループを選択します。

ユーザー同期フィールド

AD プライマリ ドメイン（AD Primary Domain）

Microsoft Active Directory レルム専用です。ユーザー認証が必要となる Active Directory サーバーのドメインです。

（注）

すべての Microsoft Active Directory（AD）レルムに固有の [ADプライマリドメイン（AD Primary Domain）] を指定する必要があります。異なる Microsoft AD レルムに同じ [ADプライマリドメイン（AD Primary Domain）] を指定することはできますが、システムが適切に機能しなくなります。これは、システムにより各レルム内のすべてのユーザーとグループに 1 つの固有 ID が割り当てられるためです。そのため、システムは特定のユーザまたはグループを明確に識別することができません。ユーザーとグループが適切に識別されないため、同じ [ADプライマリドメイン（AD Primary Domain）] を使用して複数のレルムを指定することはできません。これは、システムが一意の ID を各レルムのすべてのユーザーとグループに割り当てるために発生します。そのため、システムは特定のユーザーまたはグループを明確に識別できません。

ユーザーとグループを検索するクエリを入力してください

[Base DN]：

（オプション）Firewall Management Centerがユーザー データの検索を開始するサーバーのディレクトリ ツリー。

通常、ベース識別名（DN）には企業ドメイン名および部門を示す基本構造があります。たとえば、Example 社のセキュリティ部門のベース DN は、ou=security,dc=example,dc=com となります。

[Group DN]：

（オプション）Firewall Management Centerがグループ属性を持つユーザーを検索するサーバーのディレクトリ ツリー。サポートされているグループ属性の一覧については、サポートされているサーバーオブジェクトクラスと属性名を参照してください。

（注）	グループ名または組織単位名には、アスタリスク（*）、イコール（=）、バックスラッシュ（\）などの特殊文字は使用できません。使用した場合、それらのグループのユーザーはダウンロードされず、ID ポリシーで使用できないためです。

[Load Groups]

ユーザー認識用およびユーザー制御用にユーザーとグループをダウンロードできるようになります。

[使用可能なグループ（Available Groups）]、[含むに追加する（Add to Include）]、[除外するに追加する（Add to Exclude）]

ポリシーで使用できるグループを制限します。

• [使用可能なグループ（Available Groups）] フィールドに表示されているグループは、グループを [含めるグループとユーザー（Included Groups and Users）] または [除外するグループとユーザー（Excluded Groups and Users）] フィールドに移動しない限り、ポリシーで利用できます。

• グループを [含めるグループとユーザー（Included Groups and Users）] フィールドに移動させた場合は、それらのグループとそれらのグループに含まれるユーザーだけがダウンロードされ、ユーザーデータはユーザー認識やユーザー制御に利用できます。

• グループを [除外するグループとユーザー（Excluded Groups and Users）] フィールドに移動させた場合は、それ以外のすべてのグループとそれらのグループに含まれるユーザーがダウンロードされ、ユーザー認識やユーザー制御に利用できます。

• 含まれないグループのユーザーを含めるには、[ユーザーの包含（User Inclusion）] の下のフィールドにそのユーザー名を入力し、[追加（Add）] をクリックします。

• 除外されないグループのユーザーを除外するには、[ユーザーの除外（User Exclusion）] の下のフィールドにそのユーザー名を入力し、[追加（Add）] をクリックします。

  （注）	Firewall Management Center にダウンロードされるユーザーは、数式 R = I - (E+e) + i を使用して計算されます。 R はダウンロードしたユーザーのリストです。 I は含まれているグループです。 E は除外されているグループです。 e は除外されているユーザーです。 i は含まれているユーザーです。

[Synchronize Now]

クリックして、グループとユーザーを AD と同期します。

自動同期の開始時間

AD からユーザーとグループをダウンロードする時間と時間間隔を入力します。