|
1
|
「ユーザ > 設定」ページを開きます。
|
|
2
|
|
3
|
「LDAP の設定」を選択します。
|
|
4
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
名前または IP アドレス - 認証に使用する LDAP サーバの FQDN または IP アドレスを入力します。名前を使用する場合は、DNS サーバで名前が解決できることを確認してください。また、「サーバからの有効な証明書を要求する」オプションとともに TLS を使用している場合、ここで指定した名前は、サーバ証明書の発行先の名前 (すなわち CN) と一致する必要があります。 一致しない場合、TLS 交換は失敗します。
|
|
•
|
ポート番号 - 既定の LDAP over TLS ポート番号は TCP 636 です。既定の LDAP (非暗号化) ポート番号は、TCP 389 です。LDAP サーバで個別のリッスン ポートを使用している場合は、ここでポート番号を指定します。
|
|
•
|
サーバ タイムアウト - SonicOS が LDAP サーバからの応答を待つ秒数を入力します。この秒数が経過すると、タイム アウトが発生します。指定できる範囲は 1 ~ 99999 で、既定値は 10 秒です。
|
|
•
|
総合操作のタイムアウト - 自動動作に費やす時間を分単位で指定します。複数の LDAP サーバを使用している場合は特に、ディレクトリの設定やユーザ グループのインポートなど、数分かかる動作もあります。
|
|
•
|
匿名ログイン - LDAP サーバによっては、匿名でツリーにアクセスできます。利用するサーバでこの機能がサポートされている場合 (通常、アクティブ ディレクトリではサポートされません)、このオプションを選択することができます。
|
|
•
|
ログイン名/ツリー内位置を渡す - 以下の規則に従って、LDAP サーバへのバインドに使用する識別名 (dn) を "ログイン ユーザ名" フィールドと "サーバ ログインにログインするためのユーザ ツリー" フィールドから作成するには、このオプションを選択します。
|
|
•
|
最初の名前構成要素は "cn=" で開始する
|
|
•
|
|
•
|
ドメイン構成要素はすべて "dc="を使用する
|
|
•
|
識別名のバインドを渡す - バインド dn が上記の 1 番目の項目に一致していない場合 (最初の名前構成要素が "cn=" で始まらない場合) は、このオプションを選択します。dn がわかっている場合は、常にこのオプションを選択することができます。バインド dn が上記の 1 番目の項目に一致しない場合は、バインド dn を明示的に指定する必要があります。
|
|
•
|
ログイン ユーザ名 - LDAP ディレクトリにログインする権限のあるユーザ名を指定します。ログイン名は、完全な“dn"赴L法で LDAP サーバに自動的に提示されます。LDAP の読み取り権限があるアカウント (実質的にすべてのユーザ) である必要があり、管理者権限は必要ありません。これは、ユーザの名前で、ログイン ID でないことに注意してください (例えば、jsmith ではなく、John Smith です)。
|
|
•
|
ログイン パスワード - 上記で指定したユーザ アカウントのパスワードを指定します。
|
|
•
|
プロトコル バージョン - LDAP バージョン 3 か LDAP バージョン 2 を選択します。現在の LDAP のほとんど (アクティブ ディレクトリを含む) の実装では、LDAP バージョン 3 が採用されています。
|
|
•
|
TLS (SSL) を使用する - LDAP サーバへのログインに Transport Layer Security (SSL) を使用します。ネットワーク上に送信されるユーザ名とパスワード情報を保護するために TLS を使用することを強くお勧めします。現在の LDAP のほとんど (アクティブ ディレクトリを含む) の実装では、TLS がサポートされています。この既定の設定を変更して選択を解除した場合は、警告が表示されます。 続行するには、この警告を受け入れる必要があります。
|
|
•
|
LDAP'Start TLS'要求を送信する - 一部の LDAP サーバの実装では、ネイティブな LDAP over TLS を使用しないで、Start TLS 指示をサポートしています。これにより、LDAP サーバが、LDAP 接続を 1 つのポート (通常 389) でリッスンすること、および、クライアントによる指示で TLS へ切り替えることが可能になります。アクティブ ディレクトリではこのオプションはサポートされません。 このオプションは、LDAP サーバによって要求された場合にのみ選択すべきです。
|
|
•
|
サーバからの有効な証明書を要求する - TLS 交換時に、サーバによって提示された証明書の名前が上記で指定した名前と一致するかどうかを確認します。この既定のオプションを非選択にした場合、警告が表示されますが、SonicOS と LDAP サーバ間の交換には TLS が使われます (確認を行わないだけです)。
|
|
•
|
TLS に用いるローカル証明書 - オプション。LDAP サーバが接続のためにクライアント証明書を要求する場合にのみ使用されます。LDAP クライアントの識別を確実にするためにパスワードを返すLDAP サーバの実装では有用です (アクティブ ディレクトリではパスワードは返されません)。この設定はアクティブ ディレクトリでは必要ありません。
|
|
2
|
「適用」を選択します。
|
|
1
|
「スキーマ」タブを選択します。
|
|
3
|
LDAP スキーマ - 次のいずれかを選択します。
|
|
•
|
|
•
|
定義済みのいずれかのスキーマを選択した場合、そのスキーマによって使用されるフィールドに適切な値が自動的に入力されます。「ユーザ定義」を選択した場合は、値を指定することができます。この設定は、特定のまたは独自の LDAP スキーマ設定を利用する場合にのみ使用してください。
|
4
|
オブジェクト クラス - 次の 2 つのフィールドが適用される個々のユーザ アカウントを表す属性を選択します。
|
|
5
|
ログイン名属性 - 次のいずれかを選択して、ログイン認証に使用する属性を定義します。
|
|
•
|
sAMAccountName: Microsoft アクティブ ディレクトリ用
|
|
•
|
inetOrgPerson: RFC 2798 inetOrgPerson 用
|
|
•
|
posixAccount: RFC2307 ネットワーク インフォメーション サービス用
|
|
•
|
sambaSAMAccount: サンバ SMB 用
|
|
•
|
inetOrgPerson: ノベル イーディレクトリ用
|
|
6
|
資格のあるログイン名属性 - ユーザの代替ログイン名を「名前@ドメイン」形式で設定するユーザ オブジェクトの属性を、必要に応じて指定します。これは特に、単純なログイン名ではドメイン間で一意性を保てない可能性がある複数ドメインを持つ場合に必要になります。Microsoft アクティブ ディレクトリおよび RFC 2798 inetOrgPerson の場合は、「mail」に設定します。
|
|
7
|
ユーザ グループ メンバーシップ属性 - ユーザ オブジェクトの所属先グループについての情報を表す属性を選択します。これに該当するのは、Microsoft アクティブ ディレクトリの memberOf 属性です。他の定義済みのスキーマでは、グループ メンバーシップ情報がユーザ オブジェクトではなくグループ オブジェクト内に格納されるので、このフィールドは使用されません。
|
|
8
|
構築された IP アドレス属性 - ディレクトリ内でユーザに割り当てられた静的 IP アドレスを取得するための属性を選択します。現在は、L2TP を介して SonicOS の L2TP サーバと接続するユーザに対してのみ使用されます。将来的には、グローバル VPN クライアントでもサポートされる予定です。アクティブ ディレクトリでは、ユーザ プロパティの「ダイヤルイン」タブで静的 IP アドレスを設定します。
|
|
9
|
|
•
|
オブジェクト クラス - 属性のグループに関連付けられる名前を指定します。
|
|
•
|
メンバー属性 - メンバーに関連付けられる属性を指定します。
|
|
•
|
識別名またはユーザ ID のどちらかを選択します。
|
|
•
|
サーバから読み込み - 選択すると、LDAP サーバからユーザ グループ オブジェクトの情報を読み込みます。
|
|
•
|
スキーマ設定を自動的に更新またはスキーマの詳細をエクスポートのどちらかを選択します。
|
|
1
|
「ディレクトリ」タブで、以下のフィールドを設定します。
|
|
•
|
プライマリ ドメイン - LDAP 実装により使用されているユーザ ドメイン。AD の場合、これは、アクティブ ディレクトリのドメイン名です (例えば、yourADdomain.com)。オプションで、このフィールドを変更したときにページ内の残りのツリー情報を自動的に更新することもできます。既定では、ノベル イーディレクトリを除くすべてのスキーマで mydomain.com に設定されます (ノベル イーディレクトリの既定値は o=mydomain) です。
|
|
•
|
サーバにログインするためのユーザ ツリー -「設定」タブで指定したユーザが含まれるツリー。例えば、アクティブ ディレクトリにおける“administrator"アカウントの既定のツリーはユーザ ツリーと同じです。
|
|
•
|
ユーザを含むツリー - LDAP ディレクトリ内でユーザが一般に含まれるツリー。編集可能な 1 つの既定値が提供されます。 合計 64 個の DN 値を登録することができます。SonicOS は、これらすべてを使用して、一致するかリストの最後になるまで、ディレクトリを検索します。LDAP または AD ディレクトリ内に他のユーザ コンテナを作成している場合は、ここにユーザ コンテナを指定する必要があります。
|
|
•
|
ユーザ グループを含むツリー - ユーザ グループ コンテナに関連し、DN 値の最大数が 32 であること以外は、「ユーザを含むツリー」と同じです。スキーマのユーザ オブジェクト内にユーザ グループ メンバーシップ属性がない場合にのみ適用できます。 AD では使用されません。
|
|
•
|
上記のすべてのツリーは、通常 URL 形式で指定しますが、識別名で指定することもできます (例えば、"myDom.com/Sales/Users" は "ou=Users,ou=Sales,dc=myDom,dc=com" という DN で指定することもできます)。後者の形式は、DN がサンプルに示すような通常の書式ルールに従っていない場合に必要になります。アクティブ ディレクトリでは、ツリーの識別名に対応する URL が、ツリーの最上部にあるコンテナのプロパティの「オブジェクト」タブに表示されます。
|
|
•
|
自動設定 - ディレクトリをスキャンしてユーザ オブジェクトが含まれるすべてのツリーを検出することにより、「ユーザを含むツリー」フィールドと「ユーザ グループを含むツリー」フィールドを自動的に設定します。自動設定を使用するには、最初に「サーバにログインするためのユーザ ツリー」フィールドに値を入力し (匿名ログインが設定されていない場合)、「自動設定」ボタンを選択して、次のウィンドウを表示します。
|
|
a
|
|
•
|
現在のツリーに追加する - 新たに検出されたツリーを現在の設定に追加します。
|
|
•
|
現在のツリーを置き換える - 現在設定されているすべてのツリーを削除してから新規に作り直します。
|
|
2
|
「OK」を選択します。
|
自動設定プロセスでは、ユーザ ログインには不要なツリーも検出されます。これらのエントリは手動で削除できます。
参照機能を使用して複数の LDAP/AD サーバを利用している場合は、「検索するドメイン」の値を適切な情報で置き換え、「現在のツリーに追加する」オプションを選択して、それぞれのサーバに対してこの処理を繰り返します。
|
1
|
「紹介」タブを選択します。
|
|
•
|
紹介を許可する - 設定されたプライマリ LDAP サーバ以外の LDAP サーバ上にユーザ情報がある場合は常にこのオプションを選択します。
|
|
•
|
ユーザ認証時の継続参照を許可する - 個々のディレクトリ ツリーを複数の LDAP サーバにわたって手動で設定した場合は常にこのオプションを選択します。
|
|
•
|
ディレクトリ自動設定時の継続参照を許可する - 1 回の動作で複数の LDAP サーバからツリーを読み出せるようにするにはこのオプションを選択します。
|
|
•
|
ドメイン検索の継続参照を許可する - 別個の LDAP サーバを持つ複数サブドメイン内のユーザに対してシングル サインオンを使用する場合はこのオプションを選択します。
|
|
1
|
「ユーザとグループ」タブを選択します。
|
|
•
|
ローカルに登録されたユーザのみ許可する - LDAP ユーザが SonicOS ローカル ユーザ データベースにも登録されている場合にのみ、そのユーザのログインを許可するようにします。
|
|
•
|
LDAP ユーザ名を複製してユーザ グループ メンバーシップをローカルで設定可能にする - ローカル ユーザと LDAP ユーザ設定の共通部分に基づいてグループ メンバーシップ (と権限) が決定されるようにします。
|
|
•
|
既定の LDAP ユーザ グループ - LDAP サーバ上で設定されたグループ メンバーシップに加えて、LDAP ユーザが所属する SonicOS の既定のグループ。
|
|
•
|
ユーザのインポート - このボタンを選択すると、LDAP サーバからユーザ名を取得することにより、SonicOS でローカル ユーザを設定できます。「ユーザのインポート」ボタンは、インポートするために利用可能なユーザ名のリストを含むダイアログ ボックスを起動します。
|
「LDAP インポート ユーザ」ダイアログ ボックスで、SonicOS にインポートする各ユーザのチェックボックスを選択し、「選択の保存」を選択します。
LDAP サーバから読み込んだユーザのリストは、非常に長くなる場合があるため、それらのうち少数をインポートしたいことがあります。望まないユーザを選択するいくつかの方法と共に、「リストより削除」ボタンが提供されます。これらのオプションを使って、リストを管理可能なサイズに縮小してからインポートするユーザを選択できます。
既存の LDAP/AD ユーザ グループと同じ名前のユーザが SonicOS にあれば、LDAP認証に成功したときに SonicWALL のユーザ権限が与えられます。
|
•
|
ユーザ グループのインポート - このボタンを選択すると、LDAP サーバからユーザ グループ名を取得することにより、SonicOS でユーザ グループを設定できます。「ユーザ グループのインポート」ボタンは、ファイアウォールにインポートするために利用可能なユーザ グループ名のリストを含むダイアログ ボックスを起動します。
|
「LDAP のユーザ グループのインポート」ウィンドウで、SonicOS にインポートする各グループのチェックボックスを選択し、「選択の保存」を選択します。
アクティブ ディレクトリの場合、SonicWALL は、独自仕様である戻り値 "memberOf" ユーザ属性を利用することにより、より効率的にグループ メンバーシップを取得できます。
|
1
|
「LDAP リレー」タブを選択します。
|
|
•
|
RADIUS から LDAP へのリレーを有効にする – この機能を有効にします。
|
|
•
|
以下の RADIUS クライアントからの接続を許可する - 適切なチェックボックスを選択します。着信 RADIUS 要求を許可するためのポリシー ルールが追加されます。
|
|
•
|
RADIUS 事前共有鍵 - すべてのリモート SonicWALL に共通の事前共有鍵です。
|
|
•
|
レガシー VPN ユーザに対するユーザ グループ - 従来の 'VPN へのアクセスを許可する' 権限に対応するユーザ グループを定義します。このユーザ グループに所属するユーザが認証された場合、リモートの SonicWALL に通知が送られ、そのユーザに適切な権限が与えられます。
|
|
•
|
レガシー VPN クライアント ユーザに対するユーザ グループ - 従来の 'XAUTH による VPN クライアントからのアクセスを許可する' 権限に対応するユーザ グループを定義します。このユーザ グループに所属するユーザが認証された場合、リモートの SonicWALL に通知が送られ、そのユーザに適切な権限が与えられます。
|
|
•
|
レガシー L2TP ユーザに対するユーザ グループ - 従来の 'L2TP による VPN クライアントからのアクセスを許可する' 権限に対応するユーザ グループを定義します。このユーザ グループに所属するユーザが認証された場合、リモートの SonicWALL に通知が送られ、そのユーザに適切な権限が与えられます。
|
|
•
|
インターネット アクセスのあるレガシー ユーザに対するユーザ グループ - 従来の 'インターネット アクセスを許可する (アクセス制限時)' 権限に対応するユーザ グループを定義します。このユーザ グループに所属するユーザが認証された場合、リモートの SonicWALL に通知が送られ、そのユーザに適切な権限が与えられます。
|
|
1
|
設定した LDAP 設定をテストするには、「テスト」タブを選択します。
|
「LDAP 設定のテスト」ページでは、指定したユーザとパスワード資格情報を使用して認証を試みることにより、設定された LDAP 設定をテストすることができます。ユーザに対して LDAP/AD サーバ上で設定されたユーザ グループ メンバーシップや構築された IP アドレスが表示されます。
