セキュリティ/ユーザー管理:ステップ4:ユーザー プリンシパル設定の構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、PKI(公開鍵基盤)認証のため、ユーザーを一意に識別するように証明書の属性を指定する方法について説明します。

ユーザーを一意に識別するには、証明書のユーザー名またはユーザーIDを含む属性を指定する必要があります。証明書の[サブジェクトDN]または[サブジェクト代替名]フィールドにユーザー名やユーザーIDが含まれていることがあるため、この属性の値を読み取るようにSecurity Analyticsサーバを構成する必要があります。Security Analyticsサーバでは、この属性の抽出した値を認証に使用し、AD(Active Directory)サーバからユーザー グループを取得します。デフォルトで、Security Analyticsサーバは、どのような文字もフィルタリングせず、選択した属性の値全体を抽出します。抽出した値を絞り込むためにREGEX(正規表現)を使用することができます。

ユーザー プリンシパル設定を構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[セキュリティ]を選択します。
    [セキュリティ]ビューが表示され、[ユーザー]タブが開きます。
  2. 設定タブをクリックします。
  3. ユーザー プリンシパル設定]で、[構成]をクリックします。
    [ユーザー プリンシパル設定]ダイアログが表示されます。
  4. 証明書]フィールドに、Base64でエンコードされたユーザー証明書をペーストします。
  5. 次へをクリックします。
    [サブジェクト]と[サブジェクト代替名]フィールドが表示されます。
  6. ユーザー名またはユーザーIDを反映する一意のフィールドを選択します。
  7. テスト]をクリックします。
    ユーザー名またはユーザー プリンシパル名が抽出され、角括弧で囲まれて表示されます。

  • 抽出されたユーザー プリンシパル名がADユーザー名と一致しない場合は、正確なユーザー名を抽出するようにRegexを変更して[テスト]をクリックします。
  • 抽出された値がADユーザー名と同じでない場合は、次のいずれかのタスクを実行する必要があります。
    • 他の値を選択する。
    • 値が一意でない場合、一意の値を持つ別の属性を選択する。
    • ユーザーを識別する一意の値を持つ属性を含む新しい証明書を取得する。
      たとえば、CN属性に2つの値(Userspkitest3)がある場合、pkitest3はADユーザー名と一致します。pkitest3を選択して[テスト]をクリックしても、抽出される値はUsersです。この場合は、次のいずれかを実行します。
      • domainComponentまたはSubjectAltNameから一意の属性を選択する。
      • domainComponentまたはSubjectAltNameの一意の属性を特定できない場合は、ユーザーを識別する一意の値を持つ属性を含む新しい証明書を取得する。
  1. 保存]をクリックしてSecurity Analyticsサーバを更新します。

注:ユーザー プリンシパル設定が正しくない場合、Security Analyticsサーバでは、ユーザーがSecurity Analytics UIにアクセスできません。この場合、Security Analytics UIにアクセスするには、バックエンドからPKIを復元または無効化する必要があります。PKIを無効にする詳細については、「PKIの無効化」を参照してください。PKIの無効化.

 

 

次のステップ:

ステップ5:証明書失効リストのインポート

You are here
Table of Contents > PKI(公開鍵基盤)認証の設定 > PKI認証の構成 > ステップ4:ユーザー プリンシパル設定の構成

Attachments

    Outcomes