Active Directory のユーザーデータソースの追加
既存の Active Directory 接続を使ってユーザーデータを取り入れることができます。Active Directory ソースから追加されるユーザーのカスタム属性を追加するには、ユーザーの名前と姓、電子メールとログオンの情報、そして使用するカスタム属性を含んでいるユーザーデータファイルを作成してインポートします。
Symantec Data Loss Prevention
は自動的にファイルベースのユーザーデータを、Active Directory ソースから取り入れた既存のユーザーレコードに関連付けます。Symantec Data Loss Prevention
はこの Active Directory フィルタを使用して、(読みやすくするために改行が挿入された) ユーザーデータを取得します。 (& (objectClass=user) (objectCategory=person) (sAMAccountType=805306368) (! (| (& (sAMAccountType=805306368) (sAMAccountName=-*) ) (& (sAMAccountType=805306368) (sAMAccountName=_*) ) ) ) )
Active Directory クレデンシャルには、次のユーザー属性にアクセスする権限がある必要があります。
FIRST_NAMEgivenNameLAST_NAMEsnLOGIN_NAMEsAMAccountNameTELEPHONEtelephoneNumberTITLEtitleCOUNTRYcoDEPARTMENTdepartmentEMPLOYEE_IDemployeeIdSTREET_ADDRESSstreetAddressLOCALITY_NAMElPOSTAL_CODEpostalCodeSTATE_OR_PROVINCEstOBJECT_DISINGUISHED_NAMEdistinguishedName
Active Directory クレデンシャルには、RootDSE レコードにアクセスする権限も必要です。
Symantec Data Loss Prevention
はこれらの属性を RootDSE から読み取ります。namingContexts defaultNamingContext rootDomainNamingContext configurationNamingContext schemaNamingContext isGlobalCatalogReady highestCommittedUSN
- Active Directory のユーザーデータソースを追加するには
- Enforce Server 管理コンソールで、[システム]>[ユーザー]>[データソース]に移動します。
- [データソース管理]ページで、[追加] > [AD ユーザーソース]をクリックします。[AD ユーザーソースを追加]ダイアログボックスが表示されます。
- [AD ユーザーソースを追加]ダイアログボックスで、次の情報を入力します。
- 名前:データソースの名前を指定します。
- ディレクトリ接続:既存の Active Directory 接続を選択します。
- 拡張オプション > AD カスタムフィルタ:ワークグループなどの、Active Directory のユーザーデータソースに対する任意のフィルタを指定します。次に例を示します。(&(region=North America)(!systemAccount=true))
- [送信]をクリックします。
ベストプラクティスとして、ディレクトリツリーのユーザーセクションで baseDNs が付いているディレクトリ接続オブジェクトを参照することを推奨します。例:
ou=Users,dc=corp,dc=company,dc=com
。