SMA100では、ドメイン（ポータル＞ドメイン）毎に複数のローカルグループを作成しドメインのユーザに一つまたは複数のグループを割り当てることが可能です。

AD認証のドメインで認証されたユーザには、既定で、Active Directoryのグループメンバーシップ情報に基づいてSMAのローカルグループを割り当てることが可能です。

SMAのローカルグループでは、ブックマーク、ルート、ポリシー、EPCポリシーなどを個別に設定することが可能です。

この記事では、ADドメインで認証されたユーザに誤ったグループポリシーが適用されてしまう問題について説明します。

考えられる原因は以下の通りです。

1. ユーザに割り当てることができるSMAのローカルグループが存在しない
   この場合は、誤ったポリシーが適用されるというより、ログインに失敗します。

   エラーメッセージ: Login failed - no suitable group found

2. SMAのローカルグループの”ADグループ”の設定と、Active Directoryのグループメンバーシップが異なっている
3. 複数のローカルグループが割り当てられている。
4. 一度SMAへのログインが成功した後に、Active Directoryのユーザ設定でグループメンバーシップが変更された。

グループ割り当ての基本事項

トラブルシューティング

ローカルグループの確認

ローカルユーザの確認

Active Directoryのグループメンバシップの変更

適用されるグループポリシー

グループ割り当ての基本事項

1. SMAの管理GUIでポータル＞ドメインでActive Directoryのドメインを作成（以下ドメイン:AD）すると、SMAはADという名前のローカルグループを作成（以下ローカルグループ: AD）します。
2. ローカルグループ: ADの既定値では、設定ページの”AD グループ”は、何も設定されていません。これは、すべてのグループを意味し、すべてのActive Directoryユーザに割り当てられるローカルグループであることを意味します。
   
3. この”AD グループ"設定で特定の一つまたは複数のActive Directoryのグループを設定することが可能です。他に、ドメイン: ADのローカルグループがない場合、”ADグループ”設定で指定したActive Directoryグループに属さないユーザは認証に失敗し、ポータル/NetExtender/Mobile ConnectいずれからのアクセスでもSMAへのログインに失敗します。

   エラーメッセージ: Login failed - no suitable group found

   
4. "AD グループ"設定で、Active Directoryに存在しないグループ名を指定しても、SMAではエラーとはなりません。スペース、大文字小文字も含めて正確なグループ名を設定してください。
5. Active Directoryではユーザに複数のグループを割り当てることが可能です。SMAの複数のローカルグループが一致する場合、一致するすべてのローカルグループが割り当てられ、割り当てられたローカルグループで設定されたグループポリシーがすべて適用されます。

トラブルシューティング

ローカルグループの確認

1. ユーザ > ローカルグループで次のことを確認します。
   ドメイン: ADに属するローカルグループを確認します。この例では、AD、ADグループ設定なし、Japan TAC Admin Group, Japan TAC Users Groupの４つのローカルグループが確認できます。
2. 詳細のi アイコンにマウスカーソルを移動しグループに設定された”ADグループ”設定を確認します。この例ではローカルグループ: ADはJapan TAC、Japan TAC Adminsが設定されています。他のローカルグループの”ADグループ”設定は以下の通りに設定されています。
   AD: Japan TAC、Japan TAC Admins
   ADグループ設定なし: ”ADグループ”設定は空白（いずれのグループも設定されていない）です。
   Japan TAC Admin Group: Japan TAC Admins
   Japan TAC Users Group: Japan TAC
3. ここで設定されている、Japan TAC、Japan TAC AdminsがActive Directory のグループと空白や大文字/小文字を含めて正確に一致するか確認してください。
   

ローカルユーザの確認

ユーザ > ローカルユーザ を確認します。この確認は、必ず初回ログイン成功後に実施します。SMAはADユーザの情報を、初回ログイン成功時に、ADユーザの情報をローカルユーザとして格納します。ただし、ドメインの設定でログアウト時に外部ユーザ アカウントを削除するが有効な場合、ローカルユーザがログアウトの際削除されますのでこの項目の確認ができません。また、ログイン前に手動でユーザを作成することが可能ですが、一般的な設定ではグループの自動設定は、初回ログイン成功時に行われますので、注意をしてください。手動でユーザ作成時はドメイン作成時に自動的に作成されるローカルグループ: AD だけがプライマリグループとして登録されます。

1. ユーザ（ここではtest1）の設定画面を開きます。test1はActive DirectoryでJapan TAC、Japan TAC Admins　のメンバーです
2. グループタブで、(ローカル）グループメンバーシップを確認します。ユーザtest1は、ドメイン: ADのローカルグループ４つ全てが割り当てられます。
   AD: test1はJapan TAC、Japan TAC Admins両方のメンバーのため。Japan TACのみ、Japan TAC Adminsのみのユーザはこのローカルグループにマッチしません。
   ADグループ設定なし: "ADグループ"設定でグループが設置されていないため、すべてのユーザがこのローカルグループのメンバになります。Japan TAC、Japan TAC Admins以外にメンバーもこのグループのメンバになります。
   Japan TAC Admin Group: Japan TAC Adminsのメンバーのため。
   Japan TAC Users Group: Japan TACのメンバーのため
   

ヒント: 上記画像では、ADがプライマリグループになっています。SMAのグループメンバーシップでのプライマリグループは最優先されるグループになります。例えばタイムアウト値を複数グループで別々に設定していても、プライマリグループの設定のみが採用されます。別の例としては、プライマリグループの設定> ポリシー タブで1.1.1.1へのアクセスを禁止するポリシーを記述した場合、追加グループで1.1.1.1へのアクセスを許容するポリシーを記述をしてもプライマリグループの設定が優先され禁止されます。。 

Active Directoryのグループメンバシップの変更

例として、上記のローカルユーザ: test1のグループメンバーシップが割り当てられた後に、Active Directoryでtest1のグループメンバーシップを変更しても、次回SMAのログイン時には、ローカルグループのメンバーシップの確認は行わないため、Active Directoryでの変更は反映されません。この場合はローカルユーザを削除してください。次回ログイン時に再度Active Directoryのメンバーシップの情報を確認し、ローカルグループの割り当てを行います。

適用されるグループポリシー

ローカルユーザのグループメンバーシップのローカルグループに設定されているポリシーが全て適用されます。test1の場合は、ローカルグループ: 
AD、ADグループ設定なし、Japan TAC Admin Group、Japan TAC Users Group　で設定された以下のグループポリシーが全て適用されます。

• ポータル
• クライアント
• ルート
• ポリシー
• ブックマーク
• EPC
• キャプチャ