認証オブジェクトに関する Active Directory LDAP オブジェクト属性の識別の設定

ダウンロードオプション

PDF (936.1 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (306.9 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (317.8 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2014 年 12 月 19 日

Document ID:118721

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

LDAP オブジェクト属性の識別

概要

このドキュメントでは、外部認証用に認証オブジェクトを設定するための Active Directory（AD）LDAP オブジェクト属性を特定する方法について説明します。

LDAP オブジェクト属性の識別

外部認証用に FireSIGHT Management Center で Authentication Object を設定する前に、外部認証が意図したとおりに動作するためにユーザおよびセキュリティグループの AD LDAP 属性を識別する必要があります。この目的で、Microsoft が提供する GUI ベースの LDAP クライアントである Ldp.exe、またはサードパティの LDAP ブラウザを使用することができます。この記事では、ldp.exeを使用してローカルまたはリモートでADサーバに接続、バインド、および参照し、属性を特定します。

ステップ 1：ldp.exe アプリケーションを起動します。[スタートメニュー（Start）] メニューから [実行（Run）] を選択します。ldp.exeと入力し、OKボタンを押します。

注：Windows Server 2008 では、ldp.exe はデフォルトでインストールされています。Windows Server 2003の場合、またはWindowsクライアントコンピュータからのリモート接続の場合は、Microsoftサイトからsupport.cabまたはsupport.msiファイルをダウンロードしてください。.cabファイルを展開するか、.msiファイルをインストールしてldp.exeを実行します。

ステップ 2：サーバに接続します。[Connection] を選択して [Connect] をクリックします。

ローカルコンピュータから AD のドメインコントローラ（DC）に接続するには、AD サーバのホスト名または IP アドレスを入力します。
AD DC にローカルに接続するには、[Server] に localhost を入力します。

次のスクリーンショットは、Windows ホストからのリモート接続を示しています。

次のスクリーンショットは、AD DC のローカル接続を示しています。

ステップ 3：AD DC へバインドします。[Connection] > [Bind] を選択します。[User]、[Password]、および [Domain] に入力します。[OK] をクリックします。

接続の試行が成功すると、次のような出力が表示されます。

また、ldp.exe の左側のペインの出力には、AD DC へのバインドが成功したことが表示されます。

ステップ 4：ディレクトリツリーを参照します。[View] > [Tree] をクリックしてドロップダウンリストから BaseDN ドメインを選択し、[OK] をクリックします。この Base DN は、Authentication Object で使用される DN です。

ステップ 5：ldp.exe の左側のペインで AD オブジェクトをダブルクリックし、リーフオブジェクトのレベルまでコンテナを展開して、対象ユーザが属している AD セキュリティグループにナビゲートします。グループが見つかったら、そのグループを右クリックして、Copy DNを選択します。

グループがどの組織ユニット（OU）に属しているかわからない場合は、[Base DN] または [Domain] を右クリックして [Search] を選択します。プロンプトが表示されたら、[Filter] に cn=<group name> と入力し、[Scope] で [Subtree] を選択します。結果が表示されたら、グループの DN 属性をコピーすることができます。cn=*admin* のようにワイルドカード検索を実行することもできます。

Authentication Object の基本フィルタは、次のようになっています。

1 つのグループ：

基本フィルタ：(memberOf=<Security_group_DN>)

複数のグループ：

基本フィルタ：(|(memberOf=<group1_DN>)(memberOf=<group2_DN>)(memberOf=<groupN_DN))

次の例では、AD ユーザが、基本フィルタと一致する memberOf 属性を持っていることに注意してください。memberOf 属性の前にある数字は、ユーザが属しているグループの番号を示しています。ユーザは、1 つのセキュリティグループ secadmins だけのメンバーです。

ステップ 6：Authentication Object で偽装アカウントとして使用するユーザアカウントにナビゲートし、そのユーザアカウントを右クリックして [Copy DN] を選択します。

Authentication Object で、[User Name] としてこの DN を使用します。たとえば、

ユーザ名：CN=sfdc1,CN=Service Accounts,DC=VirtualLab,DC=local

グループ検索と同様に、CN のユーザを検索することも、name=sfdc1 などの特別な属性のユーザを検索することもできます。