このトピックでは、Active Directoryを使用して外部ユーザを認証するようNetWitness Platformを構成する方法について説明します。
ユーザがログインを試行すると、NetWitness Platformはまずローカル認証を試みます。ローカル ユーザが検出されず、Active Directory構成が有効である場合、Active Directoryサービスでの認証が試行されます。[管理]>[セキュリティ]ビュー>[設定]タブで、Active Directoryを設定し、外部グループの認証を有効にすることができます。
複数の認証サーバを使用する環境では、LDAP転送により、ADグループ検索のためのLDAPリフェラルの利用が可能になります。LDAP転送を使用すると、ログオンにかかる時間が長くなる可能性があります。これは、ADグループ検索が、接続済みの認証サーバへと拡張されるためです。ADインスタンスがファイアウォールでブロックされているドメイン コントローラに接続を試みると、ユーザがNetWitness Platformへログオンする際に数分の遅延が発生する可能性があります。NetWitness Platformには、LDAP転送を実行するかどうか指定する構成オプションがあります。デフォルトでLDAPリフェラルは無効になっています。LDAPリフェラルが無効の場合、ADインスタンスは参照先のドメイン コントローラに接続を試みません。
注:[設定]タブには、PAM構成を有効化するオプションもあります。PAM構成は、Active Directory構成と同時に使用できます。PAM認証を有効化および構成する方法については、「PAMのログイン機能の構成」を参照してください。
Active Directory認証の構成
- [管理]>[セキュリティ]に移動します。
[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。 - [設定]タブをクリックします。
Active Directory構成リストがパネルに表示され、構成を追加または編集できます。 - 必要に応じて、以下のセクションの説明に従ってドメインを追加、編集、または削除します。
このリストに追加されたドメインは[外部グループ マッピング]タブに自動的に表示され、セキュリティ ロールを各グループに割り当てることができます。
注:Active Directoryで認証するユーザに適用するセキュリティ ロールを構成する場合は、「ステップ5. (オプション)外部グループへのユーザ ロールの割り当て」を参照してください。
新しいActive Directory構成の追加
Active Directory構成リストに新しいActive Directory構成を追加するには、次の手順を実行します。
- [Active Directory構成]で
をクリックします。
[新しい構成の追加]ダイアログが表示されます。 - [有効]チェックボックスを選択します。
- Active Directoryサービスのドメイン、ホスト、ポート情報を入力します。
- (オプション)この設定でSSLを選択するには、[SSL]チェックボックスをオンにします。次に、[参照]をクリックし、アップロードするファイルを選択することで、Active Directoryサーバの証明書ファイルを入力する必要があります。
- [ユーザ名マッピング]フィールドで、ユーザ名マッピングに使用するActive Directory検索フィールドを選択します。UPN(userPrincipalName)またはsAMAccountNameを選択できます。
- 複数の認証サーバがあるサイトの場合、[リフェラルのフォロー]をクリックして、ADグループ検索のためのLDAP参照のリフェラルを有効または無効にします。
- Active Directoryグループの検索時に、Active Directoryサービスにバインドするための認証情報を提供するには、[ユーザ名]フィールドと[パスワード]フィールドに認証情報を入力します。
注:[ユーザ名マッピング]フィールドでsAMAccountNameを選択した場合は、認証に使用するユーザ名を「ドメイン\ユーザ」の形式で入力する必要があります。
- [保存]をクリックします。
新しい構成がActive Directory構成リストに表示されます。
Active Directory構成の編集
Active Directory構成リストのActive Directory構成を編集するには、次の手順を実行します。
- [Active Directory構成]で、編集する構成を選択して
をクリックします。
[構成の編集]ダイアログが表示されます。 - (オプション)Active Directoryサービスのドメイン、ホスト、ポート情報を入力します。
- (オプション)この設定でSSLを選択するには、[SSL]チェックボックスをオンにします。次に、[参照]をクリックし、アップロードするファイルを選択することで、Active Directoryサーバの証明書ファイルを入力する必要があります。
- (オプション)[ユーザ名マッピング]フィールドで、ユーザ名マッピングに使用するActive Directory検索フィールドを選択します。
- 複数の認証サーバがある環境でLDAPリフェラルのフォローを指定するには、[リフェラルのフォロー]チェックボックスをオンにします。
- LDAP転送を無効化する場合は、ボックスをオフにします。
- LDAP転送を有効にする場合は、ボックスをオンにします。
- Active Directoryグループの検索時に、Active Directoryサービスにバインドするための認証情報を提供するには、[ユーザ名]フィールドと[パスワード]フィールドに認証情報を入力します。
- [保存]をクリックします。
構成がActive Directory構成リストに表示されます。
Active Directory構成のテスト
Active Directory構成をテストするには、次の手順を実行します。
- Active Directory構成リストからテストする構成を選択します。
- ツールバーで
をクリックします。
テストに成功したことを示すメッセージが表示されます。 - テストが成功しない場合は、構成を確認して編集します。
Active Directory構成の削除
Active Directory構成を削除するには、次の手順を実行します。