LDAP デバイス グループのインポート
LDAP デバイス グループを作成する効率的な方法は、リモート LDAP サーバから LDAP グループをインポートすることです。インポートを完了するには、組み込み capam LDAP ブラウザを使用する必要があります。これはインポート処理中に起動されます。
capam33
LDAP デバイス グループを作成する効率的な方法は、リモート LDAP サーバから LDAP グループをインポートすることです。インポートを完了するには、組み込み LDAP ブラウザを使用する必要があります。これはインポート処理中に起動されます。
PAM
このトピックでは、以下のタスクについて説明します。
2
LDAP グループをインポートする権限を持つのは、
Privileged Access Manager
管理者だけです。 LDAP ブラウザの起動
LDAP グループをインポートするには、LDAP ブラウザを使用します。
以下の手順に従います。
- アプライアンスがライセンスされていることを確認します。LDAP ブラウザを起動するには、ライセンスが必要です。
- LDAP サーバへのアクセスを設定するには、[構成]-[サード パーティ]-[LDAP]に移動します。LDAP グループをインポートできるようにするには、LDAP サーバをプロビジョニングする必要があります。
- [デバイス]-[デバイス グループ管理]を選択します。
- [LDAP グループのインポート]を選択します。LDAP ブラウザが起動します。LDAP ドメインを選択するように求められます。
/content/ldapbrowser.png/_jcr_content/renditions/original)
- LDAP グループをインポートするには、次の手順に移動します。
LDAP サーバで、
Privileged Access Manager
LDAP ブラウザによって使用される暗号スイートをサポートしていない場合、接続に失敗します。以下のエラー メッセージが表示されます。「Possible cipher mismatch with LDAP server. (暗号が LDAP サーバと一致していない可能性があります。)」
プロビジョニング中に、ターゲット LDAP サーバでサポートされている暗号に、LDAP ブラウザでサポートされている暗号が含まれることを確認してください。
LDAP ブラウザによってサポートされている暗号スイート
LDAP ブラウザでは、新しい暗号スイートをサポートしています。これには、PFS (Perfect Forward Secrecy)を可能にし、楕円曲線を通じてパフォーマンスが向上した Diffie-Hellman 暗号スイートなどが含まれます。
- (デフォルト) TLSv1.0 および 1.1 が許可されている場合、以下の暗号を LDAP/Active Directory サーバとのネゴシエーションに使用できます。
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLSv1.0 および 1.1 が無効になっている場合(TLSv1.2 のみが有効)、以下の暗号が使用可能です。
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS の設定を変更しても、現在の LDAP ブラウザ接続には影響しません。設定の変更は、LDAP ブラウザを起動した後に有効になります。
- FIPS モードが有効な場合は、以下の暗号を使用できます。
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS 1.0 および 1.1 が
Privileged Access Manager
設定で許可されていない場合、SHA-1 HMAC は許可されず、SHA256 のみが使用されます。サポートされる楕円曲線は -secp256r1 と secp384r1 のみです。これらの曲線は、NIST で承認されています。Microsoft Windows では、ECDHE が必要な場合に Active Directory サーバで
Privileged Access Manager
曲線が許可されるように、グループ ポリシーによって曲線のサポートを設定できます。LDAP グループのインポート
LDAP ブラウザで、左側のペインの
[検索]
タブに、LDAP ツリーのグラフィカル表現が表示されます。任意のオブジェクトを選択して、オブジェクト属性を表示します。以下の手順に従います。
- LDAP ドメインを選択して[OK]を選択し、そのドメインに接続します。ブラウザが接続し、選択したドメインの下にすべてのレコードが表示されます。
- 左側のペインの LDAP ツリーを移動し、インポートするデバイス グループを見つけます。任意の順序または方向にツリーを移動します。
- デバイス グループをインポートするには、グループの横のチェックボックスを選択します。
- インポートするグループごとに、これらの手順を繰り返します。
- (オプション)インポートに選択されているデバイス グループを確認します。
- [PAM グループ]-[PAM アプライアンスに登録するために選択されたグループを管理します]を選択します。選択されたすべてのグループの識別名のリストが表示されます。
- 任意のグループ DN を選択して編集するか、またはステージング リストから削除します。
- [PAM グループ]-[選択されたグループを PAM アプライアンスに登録します]を選択します。ステージングされたグループのリストを表示するウィンドウが開きます。それらの進捗を確認することができ、アクションに関連するすべてのメッセージを表示できます。
- グループをインポートする準備ができたら、左下にある[グループの登録]を選択します。Privileged Access Managerは、グループが一覧表示されている順序でグループをインポートします。プロセスの間は、ブラウザにはフィードバックおよびキャンセル オプションが常に表示されます。開始後でも、グループの登録をキャンセルしたり、すべてのグループの登録をキャンセルしたりすることができます。インポートが終了すると、登録ウィンドウの各行アイテムに、成功の場合は緑色のチェック マーク、インポート失敗/キャンセルの場合は赤色のXが表示されます。
- (オプション)行アイテムを選択して、完全なリストのステータスや個別の各グループを確認します。個々のグループで、変更を加えた場合やエラーが発生した場合は、下部の[メッセージ]パネルに詳細が表示されます。
- [デバイス]-[デバイス グループ管理]に移動し、インポート済みグループがページに表示されることを確認します。
インポート済みデバイス グループからレコードを削除することはできません。また、LDAP インポート済みフィールドは編集できません。
LDAP グループのリフレッシュ
LDAP グループをリフレッシュして、グループ内のレコードを更新できます。
以下の手順に従います。
- UI で、[デバイス]-[デバイス グループ管理]を選択します。
- ページの右側にある[LDAP グループのリフレッシュ]を選択します。LDAP ブラウザは[登録済みの LDAP グループをリフレッシュ]ウィンドウを起動します。
/content/refresh_ldap_window.png/_jcr_content/renditions/original)
- リフレッシュする 1 つまたは複数のグループを選択し、[選択したグループのリフレッシュ]を選択します。
OU の変更後の Active Directory デバイス グループのリフレッシュ
デバイスの組織単位(OU)の変更により、デバイス DN が変更されます。変更された DN はアクセス ポリシーに影響を与える可能性があります。Active Directory グループが自動的にリフレッシュされるときに、
PAM
が OU の変更を処理します。リフレッシュ時に、アプライアンスはリモート Active Directory サーバを検索し、そのデバイス レコードを更新します。OU の変更にかかわらず、そのデバイスのポリシーは保持されます。OU の変更をただちに反映させるには、
PAM
で Active Directory グループを手動でリフレッシュできます。Active Directory とのデータの同期を保持するには、現在デバイスを含むすべてのグループおよびデバイスの移動元のすべてのグループをリフレッシュします。ネストされた LDAP グループ
LDAP グループは、親グループ メンバ属性のエレメントとして別のグループ内にネストできます。親グループがインポートされると、親または子内のすべてのデバイスがインポートされます。たとえば、グループ StateA および CityB について考えてみます。ここで、CityB はグループ StateA のメンバである(ネストされている)とします。StateA グループをインポートすると、StateA のすべてのメンバと CityB のすべてのメンバが表示されます。
LDAP ブラウザのメニューとコントロール
以下の表に、LDAP ブラウザのコントロールを示します。
メニュー アイテム | 機能 |
[コピー]アイコン | 選択されたエントリの識別名をクリップボードにコピーします。 |
[グループ]アイコン | このコンテナのすべてのグループを表示します。 [検索]タブの下のツリーでオブジェクトを選択した後、このボタンをクリックします。次に[結果]タブに切り替え、選択したオブジェクト内に含まれるすべてのグループ(objectClass: group)の完全に展開されたツリーを表示します。 |
ファイル | |
接続 | LDAP データベースにログインします。現在アクセス可能なドメインを選択できるポップアップ ウィンドウが表示されます。 |
切断 | 現在の LDAP ドメインからログアウトします。 |
PDF | 現在選択されているノードを印刷します。 |
終了 | ブラウザ ウィンドウを閉じます。 注: ブラウザは、接続がアクティブの間実行を継続します。その間、ブラウザは[デバイス]-[デバイス グループの管理]-[LDAP グループのインポート]から再び呼び出すことができます。 |
詳細については、 | メイン メニュー下のグラフ メニュー アイテムの表示オプション |
ボタン バーを表示 | メイン メニュー バーの下、左側 デフォルト: オン |
検索バーを表示 | メイン メニュー バーの下、右側 デフォルト : オン |
オプション | |
LDAP 接続タイムアウトの設定 | 接続の試行の前の最大時間(秒)はキャンセルされます。このタイムアウトは、特定の LDAP ドメインに複数のサーバが指定されている場合に役立ちます。 デフォルト : 60 秒 |
結果セット ページ サイズの設定 | 改ページ調整前の LDAP ディレクトリ内のレコードの最大数がブラウザ ツリーに反映されます。 改ページ調整されたサブツリーの各ページのレコード数。 デフォルト : 1000 |
ブックマーク | ツリー内の任意のリーフにブックマークを作成できるため、後でメニューからそれを選択できます。ブックマークは各ドメインで保存され、ブラウザがそのドメインに接続されているときのみ表示されます。 |
ブックマークの追加 | 現在選択しているリーフをブックマークするための編集ウィンドウを開きます。 DN - 現在の識別名(DN)が予め入力されます ブックマーク名 - 現在の共通名(CN)が予め入力されます 説明 |
ブックマークの編集 | ブックマーク選択ウィンドウを開きます。順番に選択し、ブックマーク編集ウィンドウを開きます(「ブックマークの追加」を参照)。 |
ブックマークの削除 | ブックマーク選択ウィンドウを開きます。順番に選択し、ブックマークの削除を確認し、ブックマークを削除します。 |
Search | |
検索ダイアログ | 詳細な検索条件ウィンドウを開きます。(クイック検索とは対照的) |
フィルタの削除 | 選択および削除するフィルタのリストが記載されたウィンドウを開きます。 |
返される属性のリスト | |
ページ化結果 | |
結果の次ページ | 結果の次ページを取得し、[検索]ツリー内にページ ラッパを表示します(緑色の場合。適用されない場合はグレー)。 |
ツール | |
アクションの停止 | LDAP リクエストを停止します。リクエストの停止は、ページ サイズが大きく、ブラウザが大きいデータベースを検索している場合に便利です。 |
Privileged Access Manager グループ | Privileged Access Manager に特有のメニュー アイテム |
アプライアンスで登録するように選択されたグループを管理 | Privileged Access Manager へのインポートのため現在選択されている(またはステージングされた)すべてのアイテムを表示します。 |
選択されたグループをアプライアンスで登録 | [ Privileged Access Manager アプライアンスで登録するように選択されたグループを管理]で表示されている、選択されたアイテムで入力操作を実行します。 |
アイコンは、ボタン バー メニューがアクティブ(または「オン」)のとき、ボタン バー メニューに表示されます。デフォルトでは、ボタン バーはオンになっています。