レルムについて
レルムとは、Firepower Management Center とモニタリング対象のサーバ上にあるユーザ アカウントの間の接続です。レルムでは、サーバの接続設定と認証フィルタの設定を指定します。レルムでは次のことを実行できます。
-
アクティビティをモニタするユーザとユーザ グループを指定する。
-
権限のあるユーザ、および権限のあるユーザ以外の一部のユーザ(トラフィック ベースの検出で検出された POP3 および IMAP ユーザ、およびトラフィック ベースの検出、ユーザ エージェント、TS エージェント、ISE/ISE-PIC によって検出されたユーザ)のユーザ メタデータについてユーザ リポジトリに照会する。
レルム内のディレクトリとして複数のドメイン コントローラを追加できますが、同じ基本レルム情報を共有する必要があります。レルム内のディレクトリは、LDAP サーバのみ、または Active Directory(AD)サーバのみである必要があります。レルムを有効にすると、保存された変更は次回 Firepower Management Centerがサーバに照会するときに適用されます。
ユーザ認識を行うには、サポートされるすべてのサーバ タイプのレルムを設定する必要があります。システムは、これらの接続を使用して、POP3 および IMAP ユーザに関連するデータについてサーバにクエリし、トラフィック ベースの検出で検出された LDAP ユーザに関するデータを収集します。
システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory または OpenLDAP上の LDAP ユーザに関連付けます。たとえば、LDAP ユーザと電子メール アドレスが同じユーザの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザのメタデータをそのユーザに関連付けます。
ユーザ制御を実行するために以下のいずれかを設定できます。
-
ユーザ エージェントまたは ISE/ISE-PIC 用の AD サーバのレルム
ユーザ エージェントまたは ISE/ISE-PIC 用の AD サーバのレルム
(注)
SGT ISE 属性条件を設定することを計画しているものの、ユーザ、グループ、レルム、エンドポイント ロケーション、エンドポイント プロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
-
TS エージェント用の AD サーバのレルム
-
キャプティブ ポータル用の AD または OpenLDAP サーバのレルム
。
ユーザ ダウンロードについて
特定の検出されたユーザの、次のユーザとユーザ グループのメタデータを取得するために、Firepower Management Center と LDAP サーバまたは AD サーバとの間の接続を確立するためのレルムを設定することができます。
-
キャプティブ ポータルで認証されたか、あるいはユーザ エージェントまたは ISE/ISE-PIC で報告された LDAP および AD のユーザ。このメタデータは、ユーザ認識とユーザ制御に使用できます。
-
トラフィック ベースの検出により検出された POP3 と IMAP ユーザ ログイン(ユーザが LDAP または AD ユーザと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
レルム内のディレクトリとして、LDAP サーバまたは Active Directory ドメイン コントローラ接続を設定します。ユーザ認識とユーザ制御のためにレルムのユーザおよびユーザ グループ データをダウンロードするには、[アクセス コントロールのためのユーザおよびユーザ グループのダウンロード(Download users and user groups for access control)] をオンにする必要があります。
Firepower Management Centerは、ユーザごとに次の情報とメタデータを取得します。
-
LDAP ユーザ名
-
姓と名
-
電子メール アドレス(Email address)
-
部署名(Department)
-
電話番号(Telephone number)
ユーザ アクティビティ データについて
ユーザ アクティビティ データはユーザ アクティビティ データベースに保存され、ユーザのアイデンティティ データはユーザ データベースに保存されます。アクセス制御で保存できる使用可能なユーザの最大数は Firepower Management Center モデルによって異なります。含めるユーザとグループを選択するときは、ユーザの総数がモデルの上限より少ないことを確認してください。アクセス制御パラメータの範囲が広すぎる場合、Firepower Management Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザの数をメッセージ センターの [タスク(Tasks)] タブ ページで報告します。
(注) |
ユーザ リポジトリからシステムによって検出されたユーザを削除しても、Firepower Management Center はユーザ データベースからそのユーザを削除しません。そのため、手動で削除する必要があります。ただし、LDAP に対する変更は、次に権限のあるユーザのリストを Firepower Management Center が更新したときにアクセス 制御ルールに反映されます。 |
レルムおよび信頼できるドメイン
Firepower Management Center でレルムを設定すると、そのレルムは Active Directory または LDAP ドメインに関連付けられます。
互いに信頼する Microsoft Active Directory(AD)ドメインのグループ化は、一般的にフォレストと呼ばれます。この信頼関係により、ドメインは異なる方法で互いのリソースにアクセスできます。たとえば、ドメイン A で定義されたユーザ アカウントに、ドメイン B で定義されたグループのメンバーとしてマークを付けることができます。
Firepower システムは、信頼できる AD ドメインをサポートしていません。つまり、Firepower システムは、どのドメインが互いに信頼しているかを追跡せず、どのドメインが互いの親ドメインまたは子ドメインかを認識しません。また、Firepower システムでは、信頼関係が Firepower システム外で実施される場合でも、クロスドメイン信頼を使用する環境のサポートを保証するテストがまだ行われていません。
詳細については、「レルムとユーザのダウンロードのトラブルシュート」を参照してください。
レルムがサポートされているサーバ
レルムを設定して次のサーバ タイプに接続すると、Firepower Management Centerからの TCP/IP アクセスを提供できます。
サーバ タイプ(Server Type) |
ユーザ エージェントによるデータ取得のサポート |
ISE/ISE-PIC によるデータ取得のサポート |
TS エージェントによるデータ取得のサポート |
キャプティブ ポータルによるデータ取得のサポート |
---|---|---|---|---|
Windows Server 2008 と Windows Server 2012 上の Microsoft Active Directory |
あり |
あり |
あり |
あり |
Linux 上の OpenLDAP |
なし |
なし |
なし |
あり |
(注) |
TS エージェントが別のパッシブ認証 ID ソース(ユーザ エージェントまたは /ISE-PIC)と共有されている Windows サーバ上の Microsoft Active Directory にインストールされている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。 |
サーバ グループの設定に関して次の点に注意してください。
-
ユーザ グループまたはグループ内のユーザに対してユーザ制御を実行するには、LDAP または Active Directory サーバでユーザ グループを設定する必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、Firepower Management Centerはユーザ グループ制御を実行できません。
-
グループ名は LDAP で内部的に使用されているため、S- で開始することはできません。
グループ名または組織単位名には、アスタリスク(
*
)、イコール(=
)、バックスラッシュ(\
)などの特殊文字は使用できません。使用すると、それらのグループまたは組織単位内のユーザはダウンロードされず、アイデンティティ ポリシーでは使用できません。 - サーバ上のサブグループのメンバーであるユーザを含む(または除外する)Active Directory レルムを設定するには、Windows Server 2008 または 2012 では、Active Directory のグループあたりのユーザ数が
5000 人以下であることが Microsoft により推奨されていることに注意してください。詳細については、MSDN の「Active Directory Maximum Limits—Scalability」を参照してください。
必要に応じて、より多くのユーザをサポートするため、このデフォルトの制限を引き上げるよう Active Directory サーバの設定を変更できます。
-
リモート デスクトップ サービス環境でサーバにより報告されるユーザを一意に識別するには、Cisco Terminal Services(TS)エージェントを設定する必要があります。TS エージェントをインストールし、設定すると、このエージェントは各ユーザに別個のポートを割り当て、Firepower System はこれらのユーザを一意に識別できるようになります。(Microsoft により、ターミナル サービスという名称はリモート デスクトップ サービスに変更されました)。
TS エージェントの詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
サポートされているサーバ オブジェクト クラスと属性名
Firepower Management Center がサーバからユーザ メタデータを取得できるようにするには、レルム内のサーバが、次の表に記載されている属性名を使用する必要があります。サーバ上の属性名が正しくない場合、Firepower Management Center はその属性の情報を使ってデータベースに入力できなくなります。
メタデータ |
FMC 属性 |
LDAP オブジェクト クラス |
Active Directory 属性 |
OpenLDAP 属性 |
---|---|---|---|---|
LDAP ユーザ名 |
Username |
|
samaccountname |
cn uid |
名 |
First Name |
givenname |
givenname |
|
姓 |
Last Name |
sn |
sn |
|
電子メール アドレス |
|
userprincipalname(mail に値が設定されていない場合) |
|
|
department |
department |
department distinguishedname(department に値が設定されていない場合) |
ou |
|
telephone number |
Phone |
telephonenumber |
telephonenumber |
(注) |
グループの LDAP オブジェクト クラスは、group、groupOfNames(Active Directory の場合は group-of-names)、または groupOfUniqueNames です。 |
オブジェクト クラスと属性の詳細については、次のリファレンスを参照してください。