セキュリティ/ユーザ管理：Active Directoryの構成

このトピックでは、Active Directoryを使用して外部ユーザを認証するようNetWitness Platformを構成する方法について説明します。

ユーザがログインを試行すると、NetWitness Platformはまずローカル認証を試みます。ローカル ユーザが検出されず、Active Directory構成が有効である場合、Active Directoryサービスでの認証が試行されます。［管理］＞［セキュリティ］ビュー＞［設定］タブで、Active Directoryを設定し、外部グループの認証を有効にすることができます。

複数の認証サーバを使用する環境では、LDAP転送により、ADグループ検索のためのLDAPリフェラルの利用が可能になります。LDAP転送を使用すると、ログオンにかかる時間が長くなる可能性があります。これは、ADグループ検索が、接続済みの認証サーバへと拡張されるためです。ADインスタンスがファイアウォールでブロックされているドメイン コントローラに接続を試みると、ユーザがNetWitness Platformへログオンする際に数分の遅延が発生する可能性があります。NetWitness Platformには、LDAP転送を実行するかどうか指定する構成オプションがあります。デフォルトでLDAPリフェラルは無効になっています。LDAPリフェラルが無効の場合、ADインスタンスは参照先のドメイン コントローラに接続を試みません。

注：［設定］タブには、PAM構成を有効化するオプションもあります。PAM構成は、Active Directory構成と同時に使用できます。PAM認証を有効化および構成する方法については、「PAMのログイン機能の構成」を参照してください。

Active Directory認証の構成

1. ［管理］＞［セキュリティ］に移動します。
   ［セキュリティ］ビューが表示され、［ユーザ］タブが開きます。
2. ［設定］タブをクリックします。
   Active Directory構成リストがパネルに表示され、構成を追加または編集できます。
   
3. 必要に応じて、以下のセクションの説明に従ってドメインを追加、編集、または削除します。
   このリストに追加されたドメインは［外部グループ マッピング］タブに自動的に表示され、セキュリティ ロールを各グループに割り当てることができます。

注：Active Directoryで認証するユーザに適用するセキュリティ ロールを構成する場合は、「ステップ5. （オプション）外部グループへのユーザ ロールの割り当て」を参照してください。

新しいActive Directory構成の追加

Active Directory構成リストに新しいActive Directory構成を追加するには、次の手順を実行します。

1. ［Active Directory構成］でをクリックします。
   ［新しい構成の追加］ダイアログが表示されます。
   
2. ［有効］チェックボックスを選択します。
3. Active Directoryサービスのドメイン、ホスト、ポート情報を入力します。
4. （オプション）この設定でSSLを選択するには、［SSL］チェックボックスをオンにします。次に、［参照］をクリックし、アップロードするファイルを選択することで、Active Directoryサーバの証明書ファイルを入力する必要があります。
5. ［ユーザ名マッピング］フィールドで、ユーザ名マッピングに使用するActive Directory検索フィールドを選択します。UPN（userPrincipalName）またはsAMAccountNameを選択できます。
6. 複数の認証サーバがあるサイトの場合、［リフェラルのフォロー］をクリックして、ADグループ検索のためのLDAP参照のリフェラルを有効または無効にします。
7. Active Directoryグループの検索時に、Active Directoryサービスにバインドするための認証情報を提供するには、［ユーザ名］フィールドと［パスワード］フィールドに認証情報を入力します。

注：［ユーザ名マッピング］フィールドでsAMAccountNameを選択した場合は、認証に使用するユーザ名を「ドメイン\ユーザ」の形式で入力する必要があります。

8. ［保存］をクリックします。
   新しい構成がActive Directory構成リストに表示されます。

Active Directory構成の編集

Active Directory構成リストのActive Directory構成を編集するには、次の手順を実行します。

1. ［Active Directory構成］で、編集する構成を選択してをクリックします。
   ［構成の編集］ダイアログが表示されます。
   
2. （オプション）Active Directoryサービスのドメイン、ホスト、ポート情報を入力します。
3. （オプション）この設定でSSLを選択するには、［SSL］チェックボックスをオンにします。次に、［参照］をクリックし、アップロードするファイルを選択することで、Active Directoryサーバの証明書ファイルを入力する必要があります。
4. （オプション）［ユーザ名マッピング］フィールドで、ユーザ名マッピングに使用するActive Directory検索フィールドを選択します。 
5. 複数の認証サーバがある環境でLDAPリフェラルのフォローを指定するには、［リフェラルのフォロー］チェックボックスをオンにします。
   1. LDAP転送を無効化する場合は、ボックスをオフにします。
   2. LDAP転送を有効にする場合は、ボックスをオンにします。
6. Active Directoryグループの検索時に、Active Directoryサービスにバインドするための認証情報を提供するには、［ユーザ名］フィールドと［パスワード］フィールドに認証情報を入力します。
7. ［保存］をクリックします。
   構成がActive Directory構成リストに表示されます。

Active Directory構成のテスト

Active Directory構成をテストするには、次の手順を実行します。

1. Active Directory構成リストからテストする構成を選択します。
2. ツールバーでをクリックします。
   テストに成功したことを示すメッセージが表示されます。
3. テストが成功しない場合は、構成を確認して編集します。

Active Directory構成の削除 

Active Directory構成を削除するには、次の手順を実行します。

1. ［Active Directory構成］で、Active Directory構成リストから削除する構成を選択します。
2. ツールバーでをクリックします。
   選択したActive Directory構成を削除すると、その構成のすべてのユーザがNetWitness Platformにログインできなくなることを警告するメッセージが表示されます。
3. 次のいずれかを実行します。
   1. 削除を確定するには、［はい］をクリックします。
   2. 削除をキャンセルするには、［いいえ］をクリックする。