このトピックでは、Active Directoryを使用して外部ユーザを認証するようNetWitness Suiteを構成する方法について説明します。
ユーザがログインを試行すると、NetWitness Suiteはまずローカル認証を試みます。ローカル ユーザが検出されず、Active Directory構成が有効である場合、Active Directoryサービスでの認証が試行されます。[管理]>[セキュリティ]ビュー>[設定]タブで、Active Directoryを構成し、外部ユーザーの認証を有効にすることができます。
複数の認証サーバを使用する環境では、LDAP転送により、ADグループ検索のためのLDAPリフェラルの利用が可能になります。LDAP転送を使用すると、ログオンにかかる時間が長くなる可能性があります。これは、ADグループ検索が、接続済みの認証サーバへと拡張されるためです。ADインスタンスがファイアウォールでブロックされているドメイン コントローラに接続を試みると、ユーザがNetWitness Suiteへログオンする際に数分の遅延が発生する可能性があります。NetWitness Suiteには、LDAP転送を実行するかどうか指定する構成オプションがあります。デフォルトでLDAPリフェラルは無効になっています。LDAPリフェラルが無効の場合、ADインスタンスは参照先のドメイン コントローラに接続を試みません。
注:[設定]タブには、PAM構成を有効化するオプションもあります。PAM構成は、Active Directory構成と同時に使用できます。PAM認証を有効化および構成する方法については、「PAMのログイン機能の構成」を参照してください。
手順
Active Directory認証の構成
- [管理]>[セキュリティ]に移動します。
[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。 - [設定]タブをクリックします。
Active Directory構成リストがパネルに表示され、構成を追加または編集できます。
- 必要に応じて、以下のセクションの説明に従ってドメインを追加、編集、または削除します。
このリストに追加されたドメインは[外部グループ マッピング]タブに自動的に表示され、セキュリティ ロールを各グループに割り当てることができます。
注:Active Directoryで認証するユーザに適用するセキュリティ ロールを構成する場合は、「ステップ5. (オプション)外部グループへのユーザ ロールの割り当て」を参照してください。
新しいActive Directory構成の追加
Active Directory構成リストに新しいActive Directory構成を追加するには、次の手順を実行します。
- [Active Directory構成]で
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/423783/icon_add.png)
をクリックします。
[新しい構成の追加]ダイアログが表示されます。![[新しい構成の追加]ダイアログ](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-90220-1-423735/AddCfgADdb_384x337.png)
- [有効]チェックボックスをクリックします。
- Active Directoryサービスのドメイン、ホスト、ポート情報を入力します。
- (オプション)この構成でSSLを選択するには、[SSL]チェックボックスをオンにします。次に、[参照]をクリックし、アップロードするファイルを選択することで、証明書ファイルを入力する必要があります。ADサーバでパブリックCA署名済み証明書を使用する場合は、証明書をアップロードする必要はありません。ADサーバで自己署名証明書を使用する場合は、CA証明書または自己署名証明書のいずれかをアップロードする必要があります。
- [ユーザ名マッピング]フィールドで、ユーザ名マッピングに使用するActive Directory検索フィールドを選択します。UPN(userPrincipalName)またはsAMAccountNameを選択できます。
- 複数の認証サーバがあるサイトの場合、[リフェラルのフォロー]をクリックして、ADグループ検索のためのLDAP参照のリフェラルを有効または無効にします。
- Active Directoryグループの検索時に、Active Directoryサービスにバインドするための認証情報を提供するには、[ユーザ名]フィールドと[パスワード]フィールドに認証情報を入力します。
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/423783/icon_add.png){kind=icon}
![[新しい構成の追加]ダイアログ](https://community.rsa.com/servlet/JiveServlet/showImage/102-90220-1-423735/AddCfgADdb_384x337.png)
注:[ユーザ名マッピング]フィールドでsAMAccountNameを選択した場合は、認証に使用するユーザ名を「ドメイン\ユーザ」の形式で入力する必要があります。
- [保存]をクリックします。
新しい構成がActive Directory構成リストに表示されます。
Active Directory構成の編集
Active Directory構成リストのActive Directory構成を編集するには、次の手順を実行します。
- [Active Directory構成]で、編集する構成を選択して
をクリックします。
[構成の編集]ダイアログが表示されます。![[構成の編集]ダイアログ](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-90220-1-423706/EditCfgADdb_384x335.png)
- (オプション)Active Directoryサービスのドメイン、ホスト、ポート情報を入力します。
- (オプション)この構成でSSLを選択するには、[SSL]チェックボックスをオンにします。次に、[参照]をクリックし、目的のファイルを選択することで、証明書ファイルを入力する必要があります。
- (オプション)[ユーザ名マッピング]フィールドで、ユーザ名マッピングに使用するActive Directory検索フィールドを選択します。
- 複数の認証サーバがある環境でLDAPリフェラルのフォローを指定するには、[リフェラルのフォロー]チェックボックスをクリックします。
- LDAP転送を無効にする場合、ボックスをオフにします。
- LDAP転送を有効にする場合、ボックスをオンにします。
- Active Directoryグループの検索時に、Active Directoryサービスにバインドするための認証情報を提供するには、[ユーザ名]フィールドと[パスワード]フィールドに認証情報を入力します。
- [保存]をクリックします。
構成がActive Directory構成リストに表示されます。
![[構成の編集]ダイアログ](https://community.rsa.com/servlet/JiveServlet/showImage/102-90220-1-423706/EditCfgADdb_384x335.png)
Active Directory構成のテスト
Active Directory構成をテストするには、次の手順を実行します。
- Active Directory構成リストからテストする構成を選択します。
- ツールバーで
をクリックします。
テストに成功したことを示すメッセージが表示されます。 - テストが成功しない場合は、構成を確認して編集します。
Active Directory構成の削除
Active Directory構成を削除するには、次の手順を実行します。
- [Active Directory構成]で、Active Directory構成リストから削除する構成を選択します。
- ツールバーで
をクリックします。
選択したActive Directory構成を削除すると、その構成のすべてのユーザがNetWitness Suiteにログインできなくなることを警告するメッセージが表示されます。 - 次のいずれかを実行します。
- 削除を確定するには、[はい]をクリックします。
- 削除をキャンセルするには、[いいえ]をクリックする。
