LDAPを使用するためのSonicWall装置の設定

LDAP 統合を管理するには、次の手順に従います。(管理者ガイドから抜粋）

1 「ユーザ > 設定」ページを開きます。

 2 「ユーザ認証方式」ドロップダウンメ ニ ューで、「LDAP」と「LDAP + ローカル ユーザ」のどちらかを
選択します。

3 「LDAP の設定」を選択します。

4 現在 HTTPS ではなく HTTP で SonicWall に接続している場合は、ディレクトリサービスに格納された情報の機密性について警告し、接続を HTTPS に変更するように促すメッセージが表示されます。接続しているインターフェースで HTTPS 管理を有効にしている場合 (推奨) は、「はい」を選択します。「LDAP設定」ダイアログが表示されます。

 

「設定」タブ

1 以下のフィールドを設定します。　

• 名前またはIP アドレス - 認証に使用する LDAP サーバの FQDN または IP アドレスを入力します。名前を使用する場合は、DNS サーバで名前が解決できることを確認してください。また、「サーバからの有効な証明書を要求する」オプションとともに TLS を使用している場合、ここで指定した名前は、サーバ証明書の発行先の名前 (すなわち CN) と一致する必要があります。一致しない場合、TLS 交換は失敗します。
• ポート番号 - 既定の LDAP over TLS ポート番号は TCP 636 です。既定の LDAP (非暗号化) ポート番号は、TCP 389 です。LDAP サーバで個別のリッスンポートを使用している場合は、ここでポート番号を指定します。
• サーバタ イムアウト - SonicOS が LDAP サーバからの応答を待つ秒数を入力します。この秒数が経過すると、タイムアウトが発生します。指定できる範囲は 1 ～ 99999 で、既定値は10 秒です。
• 総合操作のタイムアウト - 自動動作に費やす時間を分単位で指定します。複数の LDAP サーバを使用している場合は特に、ディレクトリの設定やユーザグループのインポートなど、数分かかる動作もあります。
• 次のいずれかのラジオボタンを選択します。

• 匿名ログイン - LDAP サーバによっては、匿名でツリーにアクセスできます。利用するサーバでこの機能がサポートされている場合 (通常、アクティブデ ィ レクトリではサポートされません)、このオプションを選択することができます。
• ログイン名/ツリー内位置を渡す - 以下の規則に従って、LDAP サーバへのバインドに使用する識別名 (dn) を "ログインユーザ名" フィールドと "サーバログインにログインするためのユーザツ リ ー" フィールドから作成するには、このオプションを選択します。

- 最初の名前構成要素は "cn=" で開始する
- 「ツリー内位置」構成要素はすべて "ou=" を使用する ("cn="で始まる特定のアクティブデ ィ レクトリのビルトインとは別に)
- ドメイン構成要素はすべて "dc="を使用する
- 「サーバログインに使用するユーザツ リー」フィールドが dn として指定されている場合は、バインド dn が上記の 1 番目の項目に一致していれば、2 番目、3 番目の項目には一致していなくても、このオプションを選択することができます。

• 識別名のバインドを渡す - バイ ンド dn が上記の 1 番目の項目に一致していない場合 (最初の名前構成要素が "cn=" で始まらない場合) は、このオプションを選択します。dn がわかっている場合は、常にこのオプションを選択することができます。バインド dn が上記の 1 番目の項目に一致しない場合は、バインド dn を明示的に指定する必要があります。

• ログインユーザ名 - LDAP ディレクトリにログインする権限のあるユーザ名を指定します。ログイン名は、完全な"dn"赴L法で LDAP サーバに自動的に提示されます。LDAP の読み取り権限があるアカウント (実質的にすべてのユーザ) である必要があり、管理者権限は必要ありません。これは、ユーザの名前で、ログイン ID でないことに注意してください (例えば、jsmith ではなく、John Smith です)。
• ログインパスワード - 上記で指定したユーザア カウントのパスワードを指定します。
• プロトコルバージョン - LDAP バージョン 3 か LDAP バージョン 2 を選択します。現在の LDAP のほとんど (アクティブデ ィ レクトリを含む) の実装では、LDAP バージョン 3 が採用されています。
• TLS (SSL) を使用する - LDAP サーバへのログインに Transport Layer Security (SSL) を使用します。ネットワーク上に送信されるユーザ名とパスワード情報を保護するために TLS を使用することを強くお勧めします。現在の LDAP のほとんど (アクティブデ ィ レクトリを含む) の実装では、TLS がサポートされています。この既定の設定を変更して選択を解除した場合は、警告が表示されます。続行するには、この警告を受け入れる必要があります。
• LDAP'Start TLS'要求を送信する - 一部の LDAP サーバの実装では、ネイティブな LDAP over TLS を使用しないで、Start TLS 指示をサポートしています。これにより、LDAP サーバが、LDAP 接続を1 つのポート (通常 389) でリッスンすること、および、クライアントによる指示で TLS へ切り替えることが可能になります。アクティブデ ィ レクトリではこのオプションはサポートされません。このオプションは、LDAP サーバによって要求された場合にのみ選択すべきです。
• サーバからの有効な証明書を要求する - TLS 交換時に、サーバによって提示された証明書の名前が上記で指定した名前と一致するかどうかを確認します。この既定のオプションを非選択にした場合、警告が表示されますが、SonicOS と LDAP サーバ間の交換には TLS が使われます (確認を行わないだけです)。
• TLS に用いるローカル証明書 - オプション。LDAP サーバが接続のためにクライアント証明書を要求する場合にのみ使用されます。LDAP クライアントの識別を確実にするためにパスワードを返すLDAP サーバの実装では有用です (アクティブデ ィ レクトリではパスワードは返されません)。この設定はアクティブデ ィレクトリでは必要ありません。
  ネットワークで参照機能を使用して複数の LDAP/AD サーバを利用している場合は、1 つのサーバ(通常、大量のユーザを保持しているサーバ) をプライマリサーバとして選択し、そのサーバに上記の設定を行う必要があります。プライマリサーバは、自分以外のドメインのユーザに対して、別のサーバを参照するように SonicOS に指示します。このような別のサーバに SonicOS がログインするためには、それぞれのサーバにおいて、プライマリサーバへのログインと同じ資格情報 (ユーザ名、パスワード、ディレクトリ内の場所) を使用してユーザを設定する必要があります。そのためには、SonicOS のログイン用に、ディレクトリ内に特別なユーザを作成する必要性が生じる場合があります。ディレクトリへの読み取りアクセスのみが必要とされていることに注意してください。

2 　「適用」を選択します。

 

「スキーマ」タブ

1 「スキーマ」タブを選択します。

2 以下のフィールドを設定します。

3 LDAP スキーマ - 次のいずれかを選択します。

• マイクロソフトア ク ティブデ ィ レクトリ
• RFC2798 InetOrgPerson
• RFC2307 ネットワークイ ン フォメーションサービス
• サンバ SMB
• ノベルイーディレクトリ
• ユーザ定義
  定義済みのいずれかのスキーマを選択した場合、そのスキーマによって使用されるフィールドに適切な値が自動的に入力されます。「ユーザ定義」を選択した場合は、値を指定することができます。この設定は、特定のまたは独自の LDAP スキーマ設定を利用する場合にのみ使用してください。

4 オブジェクトク ラ ス
次の 2 つのフィールドが適用される個々のユーザア カウントを表す属性を選択します。

5 ログイン名属性

次のいずれかを選択して、ログイン認証に使用する属性を定義します。

• sAMAccountName: Microsoft アクティブデ ィ レクトリ用
• inetOrgPerson: RFC 2798 inetOrgPerson 用
• posixAccount: RFC2307 ネットワークイ ン フォメーションサービス用
• sambaSAMAccount: サンバ SMB 用
• inetOrgPerson: ノベルイーディレクトリ用

6 資格のあるログイン名属性
ユーザの代替ログイン名を「名前@ドメイン」形式で設定するユーザオブジェクトの属性を、必要に応じて指定します。これは特に、単純なログイン名ではドメイン間で一意性を保てない可能性がある複数ドメインを持つ場合に必要になります。Microsoft アクティブデ ィ レクトリおよび RFC 2798 inetOrgPerson の場合は、「mail」に設定します。

7 ユーザグループメ ンバーシップ属性
ユーザオブジェクトの所属先グループについての情報を表す属性を選択します。これに該当するのは、Microsoft アクティブデ ィ レクトリのmemberOf 属性です。他の定義済みのスキーマでは、グループメ ンバーシップ情報がユーザオブ ジェクトではなくグループオブジェクト内に格納されるので、このフィールドは使用されません。

8 構築された IP アドレス属性 - ディレクトリ内でユーザに割り当てられた静的 IP アドレスを取得するための属性を選択します。現在は、L2TP を介して SonicOS の L2TP サーバと接続するユーザに対してのみ使用されます。将来的には、グローバル VPN クライアントでもサポートされる予定です。アクティブデ ィレクトリでは、ユーザプロパティの「ダイヤルイン」タブで静的 IP アドレスを設定します。

9 ユーザグループオブジェクト - このセクションは、「LDAP スキーマ」で「ユーザ定義」を選択しない場合は自動設定されます。

• オブジェクトク ラ ス - 属性のグループに関連付けられる名前を指定します。
• メンバー属性 - メンバーに関連付けられる属性を指定します。
• 識別名またはユーザ ID のどちらかを選択します。
• サーバから読み込み - 選択すると、LDAP サーバからユーザグループオブジェクトの情報を読み込みます。
• スキーマ設定を自動的に更新またはスキーマの詳細をエクスポートのどちらかを選択します。

 

「ディレクトリ」タブ

1 「ディレクトリ」タブで、以下のフィールドを設定します。

• プライマリド メ イン - LDAP 実装により使用されているユーザド メ イン。AD の場合、これは、アクティブデ ィ レクトリのドメイン名です (例えば、yourADdomain.com)。オプションで、このフィールドを変更したときにページ内の残りのツリー情報を自動的に更新することもできます。既定では、ノベルイーディレクトリを除くすべてのスキーマでmydomain.com に設定されます ( ノベルイーディレクトリの既定値はo=mydomain) です。
• サーバにログインするためのユーザツ リ ー - 「設定」タブで指定したユーザが含まれるツリー。例えば、アクティブデ ィ レクトリにおける"administrator"アカウントの既定のツリーはユーザツリーと同じです。
• ユーザを含むツリー - LDAP ディレクトリ内でユーザが一般に含まれるツリー。編集可能な 1 つの既定値が提供されます。合計 64 個の DN 値を登録することができます。SonicOS は、これらすべてを使用して、一致するかリストの最後になるまで、ディレクトリを検索します。LDAP またはAD ディレクトリ内に他のユーザコ ン テナを作成している場合は、ここにユーザコ ン テナを指定する必要があります。
• ユーザグループを含むツリー - ユーザグループコ ンテナに関連し、DN 値の最大数が 32 であること以外は、「ユーザを含むツリー」と同じです。スキーマのユーザオブジェクト内にユーザグループメ ンバーシップ属性がない場合にのみ適用できます。 AD では使用されません。
• 上記のすべてのツリーは、通常 URL 形式で指定しますが、識別名で指定することもできます (例えば、"myDom.com/Sales/Users" は "ou=Users,ou=Sales,dc=myDom,dc=com" という DN で指定することもできます)。後者の形式は、DN がサンプルに示すような通常の書式ルールに従っていない場合に必要になります。アクティブデ ィレクトリでは、ツリーの識別名に対応する URL が、ツリーの最上部にあるコンテナのプロパティの「オブジェクト」タブに表示されます。
  
  補足： AD には、通常の書式ルールに従っていないいくつかのビルトインコ ン テナがあります (例えば、最上位のユーザコ ン テナの DN は"cn=Users,dc=..." というように、"ou"ではなく"cn"を使っています)。し か し、SonicOS はこれを認識して対処できるようになっているため、より簡易な URL 形式で入力することができます。
  
  順序は重要ではありませんが、検索が特定の順序で行われることから、最も効率的な検索を行うためには頻繁に使用されるツリーを各リストの先頭に配置します。複数の LDAP サーバに渡った参照をする場合は、プライマリサーバのツリーを最初に配置し、残りのツリーはサーバを参照する順に並べるようにすると、ツリーを最適に並べ替えることができます。
  
  補足： AD を使用している場合、「サーバログインに使用するユーザツ リー」フィールドで指定したディレクトリのどの位置にユーザが含まれているかを確認するために、サーバ上の管理ツール内の「Active Directory ユーザとコンピュータ」コントロールパネル アプ レットを使用して、ディレクトリを手動で検索することができます。ま た、ウィンドウズNT/2000/XP リソースキ ッ トに含まれる queryad.vbs のようなディレクトリ検索ユーティリティをドメイン内の任意の PC 上で実行することもできます。

 

• 自動設定 - ディレクトリをスキャンしてユーザオブジェクトが含まれるすべてのツリーを検出することにより、「ユーザを含むツリー」フィールドと「ユーザグループを含むツリー」フィールドを自動的に設定します。自動設定を使用するには、最初に「サーバにログインするためのユーザツ リ ー」フィールドに値を入力し (匿名ログインが設定されていない場合)、「自動設定」ボタンを選択して、次のウィンドウを表示します。
  

a 「自動設定」ウィンドウの「検索するドメイン」フィールドに目的のドメインを入力します。
b 次のいずれかを選択します。
• 現在のツリーに追加する - 新たに検出されたツリーを現在の設定に追加します。
• 現在のツリーを置き換える - 現在設定されているすべてのツリーを削除してから新規に作り直します。

2 「OK」を選択します。
自動設定プロセスでは、ユーザログインには不要なツリーも検出されます。これらのエントリは手動で削除できます。
参照機能を使用して複数の LDAP/AD サーバを利用している場合は、「検索するドメイン」の値を適切な情報で置き換え、「現在のツリーに追加する」オプションを選択して、それぞれのサーバに対してこの処理を繰り返します。

 

「紹介」タブ
1 「紹介」タブを選択します。

2 以下のフィールドを設定します。

• 紹介を許可する - 設定されたプライマリ LDAP サーバ以外の LDAP サーバ上にユーザ情報がある場合は常にこのオプションを選択します。
• ユーザ認証時の継続参照を許可する - 個々のディレクトリツ リーを複数の LDAP サーバにわたって手動で設定した場合は常にこのオプションを選択します。
• ディレクトリ自動設定時の継続参照を許可する－ 1 回の動作で複数の LDAP サーバからツリーを読み出せるようにするにはこのオプションを選択します。
• ドメイン検索の継続参照を許可する－ 別個の LDAP サーバを持つ複数サブドメイン内のユーザに対してシングルサインオンを使用する場合はこのオプションを選択します。

 

「ユーザとグループ」タブ
1 「ユーザとグループ」タブを選択します。

2 以下のフィールドを設定します。

• ローカルに登録されたユーザのみ許可する - LDAP ユーザが SonicOS ローカルユーザデー タベースにも登録されている場合にのみ、そのユーザのログインを許可するようにします。
• LDAP ユーザ名を複製してユーザグループメ ンバーシップをローカルで設定可能にする - ローカルユーザと LDAP ユーザ設定の共通部分に基づいてグループメ ンバーシップ (と権限) が決定されるようにします。
• 既定の LDAP ユーザグループ - LDAP サーバ上で設定されたグループメ ンバーシップに加えて、LDAP ユーザが所属する SonicOS の既定のグループ。
• ユーザのインポート - このボタンを選択すると、LDAP サーバからユーザ名を取得することにより、SonicOS でローカルユーザを設定できます。「ユーザのインポート」ボタンは、インポートするために利用可能なユーザ名のリストを含むダイアログボ ッ クスを起動します。

「LDAPインポートユーザ」ダイアログボックスで、SonicOSにインポートする各ユーザのチェックボックスを選択し、「選択の保存」を選択します。
LDAPサーバから読み込んだユーザのリストは、非常に長くなる場合があるため、それらのうち少数をインポートしたいことがあります。望まないユーザを選択するいくつかの方法と共に、「リストより削除」ボタンが提供されます。これらのオプションを使って、リストを管理可能なサイズに縮小してからインポートするユーザを選択できます。
既存のLDAP/ADユーザグループと同じ名前のユーザがSonicOSにあれば、LDAP認証に成功したときにSonicWallのユーザ権限が与えられます。

• ユーザグループのインポート - このボタンを選択すると、LDAPサーバからユーザグループ名を取得することにより、SonicOSでユーザグループを設定できます。「ユーザグループのインポート」ボタンは、ファイアウォールにインポートするために利用可能なユーザグループ名のリストを含むダイアログボックスを起動します。

「LDAPのユーザグループのインポート」ウィンドウで、SonicOSにインポートする各グループのチェックボックスを選択し、「選択の保存」を選択します。
既存のLDAP/ADユーザグループと同じ名前のユーザグループがSonicOSにあれば、LDAP認証に成功したときにSonicWallのグループメンバーシップおよび権限が与えられます。
代わりに、SonicWallのビルトイングループ(「ゲストサービス」、「Content Filtering Bypass」、「LimitedAdministrators」など)と同じ名前で、LDAP/ADサーバ上にユーザグループを手動で作成し、ディレクトリ内のこれらのグループにユーザを割り当てることもできます。この場合も、LDAP認証が成功したときにSonicWallのグループメンバーシップが与えられます。
アクティブディレクトリの場合、SonicWallは、独自仕様である戻り値"memberOf"ユーザ属性を利用することにより、より効率的にグループメンバーシップを取得できます。

 

LDAP リレー
1 「LDAP リレー」タブを選択します。


RADIUS から LDAP へのリレー機能は、LDAP/AD サーバおよびセントラル SonicWall を備えたセントラルサイトと、LDAP をサポートしていないローエンド SonicWall を経由して接続されたリモートサテ ライトサ イトが存在するトポロジーで使用するために設計されました。この場合、セントラル SonicWallは、リモート SonicWall 用の RADIUS サーバとして動作し、RADIUS と LDAP の間のゲートウェイとして、リモートサイトからの認証要求を LDAPサーバへ転送します。

2 以下のフィールドを設定します。

• RADIUS から LDAP へのリレーを有効にする – この機能を有効にします。
• 以下の RADIUS クライアントからの接続を許可する - 適切なチェックボックスを選択します。着信 RADIUS 要求を許可するためのポリシールールが追加されます。
• RADIUS 事前共有鍵 - すべてのリモート SonicWall に共通の事前共有鍵です。
• レガシー VPN ユーザに対するユーザグループ - 従来の 'VPN へのアクセスを許可する' 権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートの SonicWall に通知が送られ、そのユーザに適切な権限が与えられます。
• レガシー VPN クライアントユーザに対するユーザグループ - 従来の 'XAUTH による VPN クライアントからのアクセスを許可する' 権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートの SonicWall に通知が送られ、そのユーザに適切な権限が与えられます。
• レガシー L2TP ユーザに対するユーザグループ - 従来の 'L2TP による VPN クライアントからのアクセスを許可する' 権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートの SonicWall に通知が送られ、そのユーザに適切な権限が与えられます。
• インターネットア クセスのあるレガシーユーザに対するユーザグループ - 従来の 'インターネットアクセスを許可する (アクセス制限時)' 権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートの SonicWall に通知が送られ、そのユーザに適切な権限が与えられます。

補足： 「フィルタのバイパス」と「制限された管理機能へのアクセスを許可する」権限は、「Content Filtering Bypass」と「Limited Administrators」のユーザグループのメンバーシップに基づいて返されます。これらを設定することはできません。

 

「テスト」タブ
1 設定した LDAP 設定をテストするには、「テスト」タブを選択します。

「LDAP 設定のテスト」ページでは、指定したユーザとパスワード資格情報を使用して認証を試みることにより、設定された LDAP 設定をテストすることができます。ユーザに対して LDAP/AD サーバ上で設定されたユーザグループメ ンバーシップや構築された IP アドレスが表示されます。