管理者アカウントのディレクトリサーバー認証のテスト

作成した管理者アカウントのユーザー名とパスワードが、Active Directory または LDAP サーバーによって認証されることを確認できます。確認するときに、ユーザー名とパスワードが正しく追加されたかどうか、およびディレクトリサーバー上にアカウント名が存在するかどうかが評価されます。
ディレクトリサーバーで使うユーザー名とパスワードと同じものを
つの Symantec Endpoint Protection Manager
の管理者アカウントで使います。管理者が管理サーバーにログオンするときに、ディレクトリサーバーは管理者のユーザー名とパスワードを認証します。管理サーバーは、ディレクトリサーバーのアカウントを検索するために追加したディレクトリサーバーの設定を使います。
また、ユーザー名とパスワードなしの管理者アカウントが、Active Directory または LDAP サーバーによって認証されるかどうかも確認できます。ユーザー名またはパスワードのないアカウントによるアクセスは、匿名アクセスになります。ディレクトリサーバーでパスワードが変更されても管理者がロックアウトされないようにするには、匿名アクセスの管理者アカウントを作成してください。
Windows 2003 Active Directory サーバーでは、匿名認証はデフォルトで無効になっています。このため、管理者アカウントにユーザー名のないディレクトリサーバーを追加して、
[アカウントの確認]
をクリックすると、「
アカウント認証が失敗しました
」というエラーメッセージが表示されます。この問題に対処するには、ディレクトリサーバーエントリを 2 つ作成し、1 つをテスト用、もう 1 つを匿名アクセス用にします。このようにすると、管理者は、有効なユーザー名とパスワードを使って管理サーバーにログオンできます。
ステップ 1: 複数のディレクトリサーバーの接続を追加する
テストでの匿名アクセスの使用を容易にするには、少なくとも 2 つのディレクトリサーバーエントリを追加します。1 つのエントリを認証のテストに使い、2 つ目のエントリを匿名アクセスのテストに使います。これらのエントリでは、設定が異なる同じディレクトリサーバーを使用します。
デフォルトでは、別の組織単位に移動していない限り、ほとんどのユーザーは CN=Users に属しています。LDAP ディレクトリサーバーのユーザーは、CN=Users、DC=<
サンプルドメイン
>、DC=local の下に作成されます。ユーザーが LDAP 内のどこに所属しているかを調べるには、ADSIEdit を使います。
この例では、ディレクトリサーバーをセットアップするのに次の情報を使います。
  • CN=John Smith
  • OU=test
  • DC=<
    サンプルドメイン
    >
  • DC=local
この例では、デフォルトの Active Directory LDAP(389)を使いますが、セキュリティ保護された LDAP(636)も使用できます。
  1. Active Directory と LDAP サーバーの認証を確認するためにディレクトリサーバーの接続を追加するには、コンソールで
    [管理]
    >
    [サーバー]
    をクリックし、デフォルトのサーバーを選択して
    [サーバーのプロパティを編集]
    をクリックします。
  2. [ディレクトリサーバー]
    タブで、
    [追加]
    をクリックします。
  3. [全般]
    タブで、次のディレクトリサーバーの設定を追加して
    [OK]
    をクリックします。
    ディレクトリ 1
    • 名前:
      <
      サンプルドメイン
      > Active Directory
    • サーバーの種類:
      Active Directory
    • サーバーの IP アドレスまたは名前:
      server01.<
      サンプルドメイン
      >.local
    • ユーザ名:
      <
      サンプルドメイン
      >\administrator
    • パスワード:
      <
      ディレクトリサーバーのパスワード
      >
    ディレクトリ 2
    • 名前:
      <
      サンプルドメイン
      > LDAP(ユーザー名あり)
    • サーバーの種類:
      LDAP
    • サーバーの IP アドレスまたは名前:
      server01.<
      サンプルドメイン
      >.local
    • LDAP ポート:
      389
    • LDAP BaseDN:
      DC=<
      サンプルドメイン
      >、DC=local
    • ユーザ名:
      <
      サンプルドメイン
      >\administrator
    • パスワード:
      <
      ディレクトリサーバーのパスワード
      >
    ディレクトリ 3
    • 名前:
      <
      サンプルドメイン
      > LDAP(ユーザー名なし)
    • サーバーの種類:
      LDAP
    • サーバーの IP アドレスまたは名前:
      server01.<
      サンプルドメイン
      >.local
    • LDAP ポート:
      389
    • LDAP BaseDN:
      <空白>
      匿名アクセスを使うときは、このフィールドを空白のままにします。
    • ユーザー名:
      <空白>
    • パスワード:
      <空白>
      [OK]
      をクリックすると、警告が表示されます。しかし、ディレクトリサーバーは有効です。
      ユーザー名とパスワードを指定せずに BaseDN の追加を試みると、警告が表示されます。
ステップ 2: 複数の管理者アカウントを追加する
複数のシステム管理者アカウントを追加します。匿名アクセス用のアカウントでは、ユーザー名またはパスワードを使いません。
  1. ディレクトリサーバーエントリを使って管理者アカウントを追加するには、コンソールで
    [管理]
    >
    [管理者]
    をクリックし、
    [全般]
    タブで、前のステップの管理者アカウントを追加します。
  2. 各管理者アカウントを追加して
    [アカウントの確認]
    オプションをクリックすると、メッセージが表示されます。アカウント情報を無効にするメッセージが表示される場合があります。しかし、管理者は
    つの Symantec Endpoint Protection Manager
    にログオンできます。
  3. [全般]
    タブで、次の情報を入力します。
    管理者 1
    • 名前:
      <
      サンプルドメイン
      > LDAP(ユーザー名なし)
    • サーバーの種類:
      LDAP
    • サーバーの IP アドレスまたは名前:
      server01.<
      サンプルドメイン
      >.local
    • LDAP ポート:
      389
    • LDAP BaseDN:
      <空白>
      匿名アクセスを使うときは、このフィールドを空白のままにします。
    • ユーザー名:
      <空白>
    • パスワード:
      <空白>
      [OK]
      をクリックすると、警告が表示されます。しかし、ディレクトリサーバーは有効です。
      ユーザー名とパスワードを指定せずに BaseDN の追加を試みると、警告が表示されます。
    管理者 2
    • ユーザー名:
      john
    • 氏名:
      John Smith
    • 電子メールアドレス:
      [email protected]<
      サンプルドメイン
      >.local
    • [アクセス権]
      タブで、
      [システム管理者]
      をクリックします。
    • [認証]
      タブで
      [ディレクトリ認証]
      をクリックします。
      [ディレクトリサーバー]
      ドロップダウンリストで、[<
      サンプルドメイン
      > LDAP(ユーザー名あり)]を選択します。
      [アカウント名]
      フィールドに
      john
      と入力します。
      [アカウントの確認]
      をクリックします。
      システム管理者の
      john
      は、ディレクトリの認証を使って
      つの Symantec Endpoint Protection Manager
      にログオンできません。
    管理者 3
    • ユーザー名:
      john
    • 氏名:
      John Smith
    • 電子メールアドレス:
      [email protected]<
      サンプルドメイン
      >.local
    • [アクセス権]
      タブで、
      [システム管理者]
      をクリックします。
    • [認証]
      タブで
      [ディレクトリ認証]
      をクリックします。
      [ディレクトリサーバー]
      ドロップダウンリストで、[<
      サンプルドメイン
      > LDAP(ユーザー名あり)]を選択します。
      [アカウント名]
      フィールドに
      John Smith
      と入力します。
      [アカウントの確認]
      をクリックします。
      システム管理者の
      john
      は、ディレクトリの認証を使って
      つの Symantec Endpoint Protection Manager
      にログオンできます。
    管理者 4
    • ユーザー名:
      john
    • 氏名:
      John Smith
    • 電子メールアドレス:
      [email protected]<
      サンプルドメイン
      >.local
    • [アクセス権]
      タブで、
      [システム管理者]
      をクリックします。
    • [認証]
      タブで
      [ディレクトリ認証]
      をクリックします。
      [ディレクトリサーバー]
      ドロップダウンリストで、[<
      サンプルドメイン
      > LDAP(ユーザー名なし)]を選択します。
      [アカウント名]
      フィールドに
      John Smith
      と入力します。
      [アカウントの確認]
      をクリックします。
      アカウントの認証は失敗しますが、システム管理者の
      John Smith
      つの Symantec Endpoint Protection Manager
      にログオンできます。