ユーザ認証用の Active Directory を設定する方法

Active Directory は、 にアクセスしようとするユーザの認証に使用される LDAP ディレクトリの 1 つです。
capam32
Active Directory は、
Privileged Access Manager
にアクセスしようとするユーザの認証に使用される LDAP ディレクトリの 1 つです。
2
クロスドメインの信頼関係を介したレコードの表示
Active Directory サーバがクロスドメインの信頼関係にある場合は、別のドメインから 1 つの Active Directory ドメイン内のレコードのユーザ DN を表示できます。Active Directory ドメインの信頼関係によって、管理者はドメイン間でアカウントを共有することができます。この関係によって、ドメインは
外部の
ユーザ、デバイス、ユーザ グループ、およびデバイス グループを含めることができます。外部とは、ディレクトリが別のドメインによって権威的に管理されているという意味です。
ユーザまたはデバイスを提供する Active Directory ドメインごとに、UI で各ドメインを設定します。移動して各ディレクトリを設定します。
PAM
LDAP ブラウザを使用して、これらのレコードを表示およびインポートできます。
以下の手順に従います。
  1. ユーザ管理権限を持つ管理者としてログインします。
  2. [構成]
    -
    [サードパーティ]
    -
    [LDAP]
    に移動し、ユーザまたはデバイスを提供する各ディレクトリを設定します。
  3. 関連するクロスドメインの信頼関係にある各 Active Directory ドメインにアクセスするために製品を設定します。
  4. ユーザ
    ]-[
    ユーザ グループの管理
    ]に移動します。
  5. [LDAP グループのインポート]
    を選択して、LDAP ブラウザを起動します。LDAP ブラウザでは、クロスドメインの参加者およびその他の設定済みの LDAP ディレクトリを選択できます。
  6. [LDAP ドメインの選択]
    ドロップダウン リストからこれらのいずれかのドメインを選択します。
  7. LDAP ブラウザから、ドメイン内のメンバを含むグループを選択します。最初に、エンティティに対応する SID (セキュリティ識別子)番号がブラウザに表示されます。この時点では、SID 解決はありません。外部ドメインに含まれるメンバは、外部ドメインに対して解決されません。メンバが現在のローカル ドメインに対応して表示されます。
  8. クロスドメイン SID 解決を完全修飾 DN として有効にするには、
    [オプション]
    -
    [グループ メンバの SID 解決を有効化]
    を選択します。この設定はいつでもオンまたはオフを切り替えることができます。
  9. 別のブラウザ ツリー項目を選択します。決定後は、以前のグループに戻ります。SID を解決することで、ブラウザはツリーとエントリ属性の表示を作成できるようになります。ブラウザに各レコードの解決済み DN が表示されるまでに時間がかかる場合があります。
  10. 更新されたメニュー項目、
    [オプション]
    -
    [グループ メンバの SID 解決を無効化]
    を選択します。ツリー項目間を移動します。解決済みのメンバがキャッシュされていることを確認できます。このキャッシュは、LDAP ブラウザを使用していても、ログオンしている間は保持されます。
SID 解決は、アプライアンスへのグループのインポート方法には影響しません。LDAP ブラウザで SID が解決されても、外部メンバは LDAP ブラウザによって解決され、ユーザを作成します。
Active Directory パスワードの更新
Active Directory ユーザが認証タイプとして
LDAP を使用して
PAM
にログインすると、ユーザはパスワードの更新を求められる場合があります。パスワードの更新は、Active Directory サーバ上で以下のイベントのいずれかが発生したときにトリガされます。
  • Active Directory 管理者が、以下の Active Directory のオプションのいずれかを使用して、ユーザ パスワードを一時的な値に設定する
    • 新しいオブジェクト - ユーザ
    • パスワードのリセット。ユーザは次回のログイン時にパスワードを変更する必要があります
  • ユーザ パスワードの期限が切れる
いずれのイベントについても、アプライアンスではユーザ情報ページに、ユーザがパスワードを変更する必要がある旨のメッセージが表示されます。ユーザがパスワードを変更した後、古い値と新しい値が Active Directory サーバに渡されます。ユーザが認証され、ユーザ レコードが更新されます。その後ユーザは、適切なターゲットへのアクセス権を取得します。
アプライアンスはパスワード更新リクエストを含めてセッション ログを更新します。Active Directory サーバ上のレコード更新の確認も記録されます。
必須の LDAP パスワード更新の設定
SSL プロトコルを使用するように
PAM
LDAP 接続を設定します。
以下の手順に従います。
  1. [構成]
    -
    [サードパーティ]
    -
    [LDAP]
    を選択します。
  2. LDAP エントリを追加または更新します。
  3. 各タブのウィンドウに適切な情報を入力します。
[LDAP ドメインの追加]
タブで、以下の情報を入力します。
  1. [SSL の使用]
    フィールドを[STARTTLS]または[LDAP]に設定します。
  • その他の Active Directory ユーザ パスワードをリセットするには、十分な権限を持つターゲット アカウントを使用します。
    Active Directory 管理者に関連付けられているターゲット アカウントには、インポートされた Active Directory ユーザのパスワードをリセットするための十分な権限が必要です。そうでない場合、インポートされたユーザは無効になるパスワードを変更できません。Active Directory サーバ上で、以下のコマンドまたは同等の UI を発行することにより、パスワードをリセットするための最小権限をアカウントに付与します。
    dsacls "%
    DN
    %" /I:S /G "%
    user_domain
    %\xsuiteLookup:CA;Reset Password;user"
  • DN は、
    DC=exampledomain、DC=com
    などの、ドメインの識別名です。
  • user_domain
    は、Windows ドメインの短い名前です。
  • xsuiteLookup
    は、アカウント ユーザ名です。
2. LDAP サーバからの変更を更新しない場合は、
[定期的な更新の無効化]
を選択します。
3.
[同期方法]
を選択します。
グループとユーザ
: グループ内のユーザは、グループ インポートの一部としてインポートされます。定期的な更新が有効な場合、ユーザおよびグループに関連する LDAP 変更が更新されます。
グループのみ
: グループ内のユーザは、グループ インポートの一部としてインポートされません。ユーザは初回ログイン時にプロビジョニングされます。ログイン時に、ユーザには PAM での LDAP ルックアップおよびインポートされたグループに基づいてグループが割り当てられます。定期的な更新が有効な場合、グループに関連する LDAP 変更が更新されます。デバイス グループをインポートすると、グループ内のデバイスも自動的にインポートされます。
LDAP、LDAP + RADIUS、LDAP + RSA の認証タイプはグループのみでサポートされています。
[同期方法]が[グループのみ]の場合、外部 API を有効にする必要があります。
4.
[更新間隔]
を分単位で設定します。LDAP サーバからの変更を更新する頻度を指定します。
Active Directory ユーザに、パスワードのリセット権限および読み取り専用権限が付与されます。
[属性]
タブで、以下の情報を入力します。
  1. [一意の属性 ]
    を指定します。これは、ユーザを表す LDAP ディレクトリ内の一意のフィールドです。通常、これはユーザの userName フィールドを指します。例: Active Directory では、これは sAMAccountName にマップされます。
  2. [ユーザ グループ オブジェクト クラス]
    を指定します。AD ディレクトリ以外では、カスタム LDAP スキーマを使用することができます。このスキーマでは、標準以外の objectClass を使用してディレクトリ内のグループを定義する要素を表します。
  3. [グループ メンバ属性]
    を指定します。LDAP ディレクトリでは、メンバが定義される標準以外のフィールドを使用できます。通常は、これは「members」ですが、カスタム スキーマがある場合、フィールドが異なる場合があります。
  4. [グループ検索フィルタ]
    を指定します。多くのグループがある大規模な LDAP ディレクトリがある場合は、特定の命名規則を持つグループを検索することで LDAP クエリの速度を向上できます。例: PAMGroup-Admins の場合、検索を絞り込み、PAMGroup- のみをクエリします。
[参照ポイント]
タブで、以下の情報を入力します。大規模なディレクトリがある場合、特定の参照ポイントを設定して、ディレクトリのルートからトラバースする代わりにユーザまたはグループを探します。参照ポイントは、LDAP クエリを迅速に実行するために役立ちます。
[ドメインの信頼]
タブで、以下の情報を入力します。
[Available Domain Trust (利用可能なドメイン信頼)]
リストから 1 つ以上のドメイン信頼を選択します。矢印を使用して、
[Selected Domain Trust (選択したドメイン信頼]
リストでそれらを追加または削除します。
[カスタム フィールド マッピング]
タブ(
[PIV/CAC フィールド ]
[対象名]
[AltName]
): カスタム フィールド マッピングは、PIV/CAC で認証されたユーザを CA Directory や Active Directory などの LDAP ディレクトリにアラインするときに使用されます。CAC ユーザを検索する場合、PAM は証明書のサブジェクトまたはサブジェクトの別名(SAN)をディレクトリにアラインします。ディレクトリでは、この値はディレクトリ内のユーザ レコードの属性に格納されます。たとえば、証明書の SAN が [email protected] の場合、この値は Active Directory ユーザ オブジェクトの電子メール フィールドに格納されます。