LDAPとユーザディレクトリ

Check Point User Directory は、LDAP をはじめとする外部のユーザ管理テクノロジをチェック・ポイントのソリューションに統合するものです。

ユーザ数が多い場合は、Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。のパフォーマンスを高めるために、LDAPなどの外部ユーザ管理データベースを使用することをお勧めします。

ドメインは、Check Point のユーザ・データベース上で管理するか、外部の LDAP サーバを導入するかを選択することができます。

- User Directoryは特別なライセンスが必要です。Mobile Access Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。をお持ちの方は、ユーザ・ディレクトリ・ライセンスをお持ちです。

ユーザディレクトリ閉じた LDAP およびその他の外部ユーザ管理サーバを Check Point 製品およびセキュリティソリューションと統合する管理サーバ上の Check Point Software Blade。で設定することができます。

ユーザディレクトリとアイデンティティの認識

Identity Awarenessは、ユーザディレクトリを使用します。

アイデンティティ認識機能により、ネットワークの場所、ユーザのアイデンティティ、コンピュータのアイデンティティに基づき、ネットワークアクセスの強制やデータの監査ができます。

アクセス制御、脅威防御、および DLP ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。では、アイデンティティ認識機能を使用できます。

ユーザディレクトリに関する考察

始める前に、ユーザディレクトリの使用方法を計画してください。

  • User Directoryサーバを、ユーザ管理、CRL取得、ユーザ認証、またはそのすべてのいずれに使用するかを決定します。

    LDAPアカウント単位での作業」を参照してください。

  • 必要なアカウント数を決定します。

    ユーザ・ディレクトリ・サーバごとに用意することもできますし、1つのユーザ・ディレクトリ・サーバのブランチを異なるアカウント・ユニットに分割することもできます。

    アカウント単位を参照してください。

  • ハイアベイラビリティの設定を行うかどうかを決定します。

    アカウントユニットとハイアベイラビリティハイアベイラビリティを参照してください。

  • ハイアベイラビリティとクエリを目的としたユーザディレクトリサーバ間の優先順位を決定します。

    ハイアベイラビリティのハイアベイラビリティの優先順位の設定」を参照してください。

  • ユーザを異なるアカウントユニット、ブランチ、サブブランチに割り当て、共通の属性(組織におけるロール、権限など)を持つユーザをグループ化する。

    ユーザディレクトリサーバでユーザを管理するを参照してください。

ユーザディレクトリのスキーマ

ユーザディレクトリのデフォルトスキーマは、ユーザディレクトリのデータの構造を記述したものである。

LDAPサーバのユーザ定義が定義されている。

このスキーマには、IKE関連の属性、認証方法、リモートユーザの値など、Security Management ServerやSecurity Gatewayに特有のデータは含まれていない。

すべてのユーザが同じ認証方法を持ち、デフォルトのテンプレートに従って定義されている場合、デフォルトのユーザ・ディレクトリ・スキーマを使用することができます。

しかし、データベース内のユーザの定義が異なる場合は、LDAP サーバに Check Point のスキーマを適用した方がよいでしょう。

Check PointCheck Point Schema for LDAP(チェック・ポイント・スキーマ・フォー・LDAP)。」を参照してください。

Check Point Schema for LDAP(チェック・ポイント・スキーマ・フォー・LDAP)。

Check Point Schemaは、LDAPサーバ内の構造体にSecurity Management ServerおよびSecurity Gateway固有のデータを追加します。

Check Point Schema を使用して、ユーザ認証機能を持つオブジェクトの定義を拡張することができます。

たとえば、fw1Personという名前のオブジェクト・クラスは、Check Point のスキーマの一部です。

この Object Class は、Person 属性の定義に追加するための必須属性とオプション属性を持つ。

他の例としては、fw1Template.これは、ユーザ情報のテンプレートを定義するスタンドアロン閉じた Security Gateway とセキュリティマネジメントサーバ製品が同じサーバにインストールされ、設定される構成。属性である。

スキーマチェック

スキーマ・チェックを有効にすると、User Directory は、すべてのチェック・ポイント・オブジェクト・クラスとその関連属性がディレクトリ・スキーマに定義されていることを要求します。

ユーザディレクトリで作業する前に、スキーマチェックが無効になっていることを確認してください。そうでない場合は、統合に失敗します。

チェック・ポイントのオブジェクト・クラスと属性をユーザ・ディレクトリ・サーバのスキーマに適用した後、スキーマ・チェックを再度有効にする必要があります。

OID プロプライエタリーアトリビュート

独自のオブジェクトクラスと属性(すべて "fw1" で始まる)には、それぞれ以下に示す独自のオブジェクト識別子(OID)が設定されています。

オブジェクトクラスOID

オブジェクトクラス

OID

fw1template

1.3.114.7.4.2.0.1

fw1person

1.3.114.7.4.2.0.2

独自属性のOIDは,同じ接頭辞で始まる("1.3.114.7.4.2.0.X")。

X "の値だけが各属性で異なる。

ユーザディレクトリのスキーマ属性参照してください。

ユーザディレクトリのスキーマ属性

エントリーの名前です。

これを「コモンネーム」ともいう。

ユーザの場合は、Security Gatewayへのログインに使用される名前であるuid属性と異なる場合があります。

この属性は、ユーザディレクトリエントリの識別名、つまりDNのRDNを構築するためにも使用されます。

ユーザのログイン名、つまりSecurity Gatewayにログインする際に使用する名前。

この属性は、「内部パスワード」を除くすべての認証方式で外部認証システムに渡され、これらの認証方式すべてで定義する必要があります。

ログイン名は、Security Management ServerがUser Directoryサーバ(複数可)を検索するために使用されます。

このため、各ユーザエントリは一意のUID値を持つ必要があります。

フルパスの DN を使用して Security Gateway にログインすることもできます。

DNは、この属性に曖昧さがある場合、または "内部パスワード "でこの属性が欠落している可能性がある場合に使用することができる。

DNは、同じユーザ(同じuid)が異なるUser Directoryサーバ上の複数のAccount Unitに定義されている場合にも使用することができます。

ユーザに関する説明テキスト。

デフォルトはno valueです。

ユーザの電子メールアドレス。

デフォルトはno valueです。

エントリには、この属性の値を0個以上指定することができます。

  • テンプレート:このテンプレートを使用したユーザエントリのDN。ユーザでないDN(オブジェクトクラスが"person", "organizationalPerson", "inetOrgPerson", "fw1person" のいずれかでないもの)は無視されます。

  • グループ:ユーザのDN。

認証方法(fw1auth-method)が "Internal Password "の場合、必ず指定すること。この値は "crypt "を用いてハッシュ化することができる。この場合、この属性の構文は次のようになります。

"{crypt}xxyyyyyyyyyyy"

この場合:

  • "xx" は "塩 "です。

  • "yyyyyyyyyyy" はハッシュ化されたパスワード

ハッシュ化せずにパスワードを保存することも可能です(ただし、推奨しません)。ただし、User Directoryサーバでハッシュ化を指定している場合は、パスワードの二重ハッシュ化を防ぐため、ここではハッシュ化を指定しないようにします。この場合、暗号化されていないパスワードの送信を防ぐために、SSLを使用することも必要です。

Security Gatewayはこの属性を書き込むことはあっても、読み込むことはない。その代わり、ユーザディレクトリのバインド操作でパスワードの検証を行う。

いずれかの方法を実行します。

  • RADIUS

  • TACACS+

  • SecurID

  • OSパスワード

  • ディフェンダー

この属性のデフォルト値は、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。Account Unit ウィンドウのAuthentication タブにあるDefault authentication scheme で上書きされます。

たとえば、User Directory サーバでは、サーバのスキーマに独自のオブジェクトクラス "fw1person" が追加されていないにもかかわらず、すべてのオブジェクトクラス "person" の User Directory エントリが含まれていることがあります。

SmartConsoleのDefault authentication scheme が「内部パスワード」の場合、すべてのユーザは "userPassword" 属性に保存されているパスワードを使用して認証されます。

OIDの "X"

fw1person

fw1template

デフォルト

1

y

y

"未定義"

認証を行うサーバの名前です。

このフィールドは、fw1auth-method が "RADIUS" または "TACACS" の場合に指定する必要があります。

fw1auth-method の他のすべての値については、無視される。その意味は以下の通りです。

方法

意味

RADIUS

RADIUS サーバの名前、RADIUS サーバのグループ、または「Any」

TACACS+

TACACS サーバの名前

OIDの "X"

fw1template

2

y

パスワードが最後に変更された日付。

フォーマットはyyyymmdd (例:1998年8月20日は19980820)です。

パスワードは、認証プロセスの一部として、Security Gatewayを通じて変更することができます。

OIDの "X"

fw1person

fw1template

デフォルト

3

y

y

値が与えられない場合、パスワードは一度も変更されたことがない。

ユーザがSecurity Gatewayにログインできる最後の日付。有効期限がない場合は "no value "となる。

フォーマットはyyyymmdd (例:1998年8月20日は19980820)です。

デフォルトはno valueです。

OIDの "X"

fw1person

fw1template

デフォルト

8

y

y

「無価値

ユーザがセキュリティゲートウェイにログインできるようになる時間。

フォーマットはhh:mm (例:午前8時15分は08:15)です。

OIDの "X"

fw1person

fw1template

デフォルト

9

y

y

"00:00"

ユーザがセキュリティゲートウェイにログインできるまでの時間。

フォーマットはhh:mm (例:午前8時15分は08:15)です。

OIDの "X"

fw1person

fw1template

デフォルト

10

y

y

"23:59"

ユーザがセキュリティゲートウェイにログインできる日(曜日)。

値は"SUN"、"MON"などとすることができる。

OIDの "X"

fw1person

fw1template

デフォルト

11

y

y

ぜんしゅうかん

ユーザがクライアントを実行できる1つ以上のネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。の名前。この制限を解除するには "Any" 、そのようなクライアントが存在しない場合は "no value" 。

Security Management Serverで定義されたネットワークオブジェクトの名前と一致する必要があります。

OIDの "X"

fw1person

fw1template

デフォルト

12

y

y

「無価値

ユーザがアクセスできる 1 つまたは複数のネットワーク・オブジェ クトの名前。この制限を解除するには "Any" 、そのようなネットワーク・オブジェクトがない場合は "no value" 。

この名前は、Security Management Serverで定義されたネットワークオブジェクトの名前と一致する必要があります。

OIDの "X"

fw1person

fw1template

デフォルト

13

y

y

「無価値

現在は使用していません。

OIDの "X"

fw1person

fw1template

デフォルト

14

y

y

「無価値

SecuRemoteでセッションキーを暗号化するために使用されるアルゴリズムです。

CLEAR", "FWZ1", "DES", "Any" のいずれかを指定することができます。

OIDの "X"

fw1person

fw1template

デフォルト

2346

y

y

"Any"

SecuRemoteでデータの暗号化に使用するアルゴリズムです。

CLEAR", "FWZ1", "DES", "Any" のいずれかを指定することができます。

OIDの "X"

fw1person

fw1template

デフォルト

33

y

y

"Any"

SecuRemoteのデータへの署名に使用されるアルゴリズム。

none" または "MD5" とすることができます。

OIDの "X"

fw1person

fw1template

デフォルト

17

y

y

- なし。

SecuRemoteユーザがSecurity Gatewayに対して再認証を行う必要がある時間(分)。

OIDの "X"

fw1person

fw1template

18

y

y

SecuRemoteによる認証に成功した場合に発生する例外を指定します。

none", "cryptlog", "cryptalert" のいずれかを指定することができます。

OIDの "X"

fw1person

fw1template

デフォルト

19

y

y

- なし。

このフラグは、グループ・メンバーシップに関連する問題を解決するために使用されます。

ユーザの所属グループは、そのユーザが所属するグループエントリ、ユーザエントリ自身、またはその両方のエントリに保存されます。

そのため、グループ関係についてのテンプレートからの情報を使用すべきかどうか、ユーザエントリーに明確な指示がない。

このフラグが"TRUE"の場合、ユーザはテンプレートが所属するすべてのグループのメンバとみなされます。

これは、ユーザが直接メンバになっているすべてのグループに追加されます。

OIDの "X"

fw1person

fw1template

デフォルト

20

y

y

"False"

SecuRemoteユーザがIKEを使用する際の鍵暗号化方式。

これは、"DES"、"3DES"のいずれか、または複数にすることができます。

IKE(旧称:ISAMP)を使用するユーザは、両方の方法を定義することができます。

OIDの "X"

fw1person

fw1template

デフォルト

2346

y

y

"DES"、"3DES"

IKE(旧ISAMP)を使用するSecuRemoteユーザに許可される認証方法です。

これは、"preshared"、"signatures"のいずれか、または複数にすることができます。

OIDの "X"

fw1person

fw1template

デフォルト

2346

y

y

"signatures"

IKE(旧ISAMP)を使用するSecuRemoteユーザのためのデータ整合性方式です。

これは、"MD5"、"SHA1"のいずれか、または複数にすることができます。

IKEを使用するユーザは、両方の方式を定義しておく必要があります。

OIDの "X"

fw1person

fw1template

デフォルト

23

y

y

"MD5", "SHA1"

IKE(旧ISAMP)を使用したSecuRemoteユーザ向けのIPSec Transform方式です。

AH", "ESP" のいずれかを指定することができます。

OIDの "X"

fw1person

fw1template

デフォルト

24

y

y

"ESP"

IKE(旧ISAMP)を使用するSecuRemoteユーザのためのデータ整合性方式です。

MD5", "SHA1" のいずれかを指定することができます。

OIDの "X"

fw1person

fw1template

デフォルト

25

y

y

"SHA1"

IKE(旧ISAMP)を使用するSecuRemoteユーザの事前共有秘密です。

この値は、fw ikecrypt コマンドラインを使用して計算することができます。

OIDの "X"

fw1person

fw1template

26

y

y

fw1ISAKMP-DataEncMethod

IKE(旧ISAMP)を使用したSecuRemoteユーザのデータ暗号化方式です。

OIDの "X"

fw1person

fw1template

デフォルト

27

y

y

"DES"

SecuRemoteユーザに許可された暗号化方式です。

これは、"FWZ"、"ISAKMP"(IKEを意味する)のうちの1つ以上とすることができる。

OIDの "X"

fw1person

fw1template

デフォルト

28

y

y

"FWZ"

パスワードをいつ、誰が変更すべきかを定義する。

OIDの "X"

fw1person

29

y

順次入力される誤ったパスワードの許容数。

OIDの "X"

fw1person

30

y

最後にログインが失敗した時刻。

OIDの "X"

fw1person

31

4

ユーザが所属するテンプレートのDN。

OIDの "X"

fw1person

33

4

Netscapeのディレクトリサーバにプロプライエタリなスキーマを追加するには、$FWDIR/lib/ldap/schema.ldif ファイルを使用します。

重要- これにより、スキーマからオブジェクト・クラス定義が削除され、更新されたものがその場所に追加されます。

コマンドを実行する前に、ユーザディレクトリサーバをバックアップしておくことをお勧めします。

ldifファイル:

  • スキーマに新しい属性を追加します。

  • 古い定義であるfw1person を削除し fw1template

  • fw1person 、新しい定義を追加しました。 fw1template

Netscape LDAPスキーマを変更するには、schema.ldif ファイルを指定して、ldapmodify コマンドを実行します。

:サーバのバージョンによっては、delete objectclass の操作に成功しても、エラーが返されることがあります。ldapmodify-c (連続)オプションで使用します。

User Directoryプロファイルは、より正確なUser Directoryの要求を定義し、サーバとの通信を強化するためのLDAPポリシーとして設定可能なものです。

プロファイルは、LDAP サーバ固有の知識のほとんどを制御します。異なるベンダーのLDAPサーバを統合するために、多様な技術的ソリューションを管理することができます。

User Directoryプロファイルを使用して、Security Management Serverのユーザ管理属性が、関連するLDAPサーバに対して正しいものであることを確認します。

たとえば、認定されたOPSECユーザ・ディレクトリ・サーバがある場合、OPSEC_DSプロファイルを適用して、強化されたOPSEC固有の属性を得ることができます。

LDAPサーバには、オブジェクトリポジトリ、スキーマ、オブジェクトリレーションの違いがあります。

  • 組織のユーザデータベース閉じた スマートコンソールで定義および管理されるすべてのユーザを含むCheck Point内部データベース。は、特定のアプリケーションのために、従来とは異なるオブジェクトタイプやリレーションを持つ場合があります。

  • アプリケーションによっては、ユーザオブジェクトのRDN(Relatively Distinguished Name)内のcn 属性を使用するものもあれば、uid を使用するものもあります。

  • Microsoft Active Directoryでは、ユーザ属性memberOf 、ユーザがどのグループに属しているかを記述しますが、標準的なLDAPの方法では、グループオブジェクト自体にmember 属性を定義します。

  • サーバによって、パスワードの保存形式が異なる。

  • v3とされていても、すべてのv3仕様を実装していないサーバもあります。これらのサーバはスキーマを拡張することはできない。

  • LDAP サーバの中には、特定のユーザ・データをすでにサポートしているものもあれば、チェック・ポイントのスキーマ拡張属性が必要なものもあります。

    たとえば、Microsoft Active Directory にはaccountExpires というユーザ属性がありますが、その他のサーバではチェック・ポイントの定義するfw1person オブジェクトクラスの一部であるfw1expirationdate という属性が必要です。

  • サーバによっては、定義されていない型を使ったクエリを許可するものもあれば、許可しないものもあります。

これらのプロファイルは、デフォルトで定義されています。

  • OPSEC_DS- 標準的なOPSEC認証ユーザ・ディレクトリのデフォルト・プロファイルです。

  • Netscape_DS- Netscapeディレクトリ・サーバのプロファイルです。

  • Novell_DS- Novell Directory Server用のプロファイルです。

  • Microsoft_AD- Microsoft Active Directory用のプロファイルです。

プロフィールは大きく分けてこのように分類されます。

  • Common- User Directoryへの読み書きのためのプロファイル設定。

  • Read- User Directoryから読み込むためのプロファイル設定のみ。

  • Write- ユーザディレクトリに書き込むためのプロファイル設定のみ。

これらのカテゴリの中には、サーバが操作の種類に応じて動作するように、同じエントリを異なる値でリストアップするものがあります。デフォルトのプロファイルの特定のパラメータを変更することで、より細かい粒度とパフォーマンスのチューニングが可能です。

プロファイルを適用するには

  1. アカウントユニットを開く。

  2. プロファイルを選択します。

プロファイルを変更するには

  1. 新しいプロフィールを作成します。

  2. User Directoryのプロファイルの設定を新しいプロファイルにコピーします。

  3. 値を変更します。

ユーザ情報の効率的な取得

ユーザディレクトリサーバは、さまざまな手段や関係によってグループやメンバを組織しています。ユーザ・ディレクトリの操作は、ユーザ、ユーザのグループ、およびテンプレート(テンプレートはグループ・エントリとして定義され、ユーザはそのメンバとなる)に対してチェック・ポイントが実行するものです。グループ/テンプレートやユーザを定義するモードは、ユーザ情報を取得する際の Check Point の一部の機能のパフォーマンスに大きく影響します。3種類のモードがあります。

  • メンバーごとに「メンバー」属性を定義する、または "Member" ユーザからグループへのメンバーシップモードを定義する。この場合、特定のグループの各メンバーは「メンバー」属性を取得し、この属性の値はそのメンバーのDNとなる。

  • グループごとの "Memberof "属性、または"MemberOf"ユーザからグループへのメンバーシップモードを定義する。この場合、グループごとに "Memberof "属性を取得し、この属性の値はグループエントリのDNとなる。これは、「MemberOf 」ユーザからグループへのメンバーシップモードと呼ばれます。

  • メンバーおよびグループごとに "Memberof "属性を定義する、または"Both" ユーザからグループへのメンバーシップモードを定義する。この場合、メンバとグループの両方に "Memberof "属性が付与される。

最も効果的なモードは「MemberOf」と「Both」モードで、ユーザのグループメンバーシップ情報がユーザ自身から得られるため、追加のユーザディレクトリ照会が不要になります。

ユーザ・トゥ・グループ・メンバーシップ・モードの設定

objects_5_0.C ファイル内の各 User Directory サーバのプロファイルオブジェクトに、ユーザとグループ のメンバーシップモードを設定します。

  • ユーザからグループ、テンプレートからグループへのメンバーシップモードを指定するには、GroupMembership 属性に "Member", "MemberOf", "Both" のいずれかを適宜設定してください。

  • ユーザからテンプレートへのメンバーシップモードを指定するには、TemplateMembership 属性に "Member", "MemberOf" のいずれかを適宜設定します。

データベースの変換に成功したら、objects_5_0.C ファイル内の User Directory サーバプロファイルを適切なメンバーシップ設定にし、Security Management Server を起動します。

新しい設定を有効にするために、すべての Security Gateway にポリシー/ユーザデータベースをインストールすることを確認します。

プロフィール属性

ユニークなユーザ名 User Directory 属性(uid)。

また、ユーザ名でユーザを取得する場合、この属性がクエリに使用される。

デフォルト

その他

  • uid (ほとんどのサーバ)

  • SamAccountName (in Microsoft_AD)

1つの値でOK

このユーザパスワードは、User Directoryの属性です。

デフォルト

その他

  • userPassword (ほとんどのサーバ)

  • unicodePwd (in Microsoft_AD)

1つの値でOK

Check Pointユーザ・ディレクトリ・テンプレート用のオブジェクト・クラスです。

他のオブジェクトクラスでデフォルト値を変更する場合は、そのオブジェクトクラスのスキーマ定義をfw1template の関連属性で拡張してください。

デフォルト

その他

fw1template

複数値可

アカウントの有効期限は、User Directoryの属性です。

この属性は、Check Point の拡張属性または既存の属性である可能性があります。

デフォルト

その他

  • fw1expiration-date (ほとんどのサーバ)

  • accountExpires (in Microsoft_AD)

1つの値でOK

有効期限の形式。

このフォーマットは、ExpirationDateAttr で定義された値に適用されます。

デフォルト

その他

CPのフォーマットはyyyymmdd

1つの値でOK

パスワード更新日のフォーマットは、User Directory属性です。

で定義された値に対して、この形成が適用されます。 PsswdDateAttr.

デフォルト

その他

  • CP(ほとんどのサーバ)のフォーマットはyyyymmddです。

  • MS (in Microsoft_AD)

1つの値でOK

パスワードの最終更新日は、ユーザディレクトリの属性です。

デフォルト

その他

  • fw1pwdLastMod (most servers)

  • pwdLastSet (in Microsoft_AD)

1つの値でOK

パスワード認証の不正回数を保存し、読み取るためのユーザディレクトリの属性。

デフォルト

その他

fw1BadPwdCount

1つの値でOK

0 の場合、送信パスワードは暗号化されない。

1の場合、送信パスワードはDefaultCryptAlgorithmで指定されたアルゴリズムで暗号化される。

デフォルト

その他

  • ほとんどのサーバで0点

  • 1 for Netscape_DS

暗号化されたパスワードを使用しない場合は、SSLを推奨します。

1つの値でOK

ユーザディレクトリサーバを新しいパスワードで更新する前に、パスワードを暗号化するために使用されるアルゴリズム。

デフォルト

その他

  • プレーン(ほとんどのサーバ用)

  • クリプト(Netscape_DS用)

  • SHAI1

1つの値でOK

変更されたパスワードでユーザディレクトリサーバを更新する際に、暗号化されたパスワードの前に付けるテキストです。

デフォルト

その他

{暗号} (Netscape_DS用)

1つの値でOK

ユーザの電話番号を保存し、読み取るためのユーザディレクトリ属性。

デフォルト

その他

国際化番号

1つの値でOK

サーバの種類によって異なる問題を解決するための汎用属性変換マップ。

例えば、X.500サーバでは、属性名に"-"文字を使用することができません。

を含むCheck Pointの属性を有効にするには、変換エントリ:("fw1-expiration =fw1expiration"など)を指定します。

デフォルト

その他

- なし。

複数値可

ここに記載されたすべての属性名は、読み取り/書き込み操作に含まれるデフォルトの属性リストから削除されます。

これは、これらの属性がユーザディレクトリサーバのスキーマでサポートされておらず、操作全体が失敗する可能性がある場合に、最も有効な方法です。

これは、ユーザ・ディレクトリ・サーバのスキーマがCheck Pointのスキーマ拡張機能で拡張されていない場合に特に当てはまります。

デフォルト

その他

デフォルトでは値はありません。

ユーザ・ディレクトリ・サーバがCheck Pointのスキーマによって拡張されていない場合。

チェック・ポイント・スキーマの新しい属性をすべて列挙するのが最善策です。

複数値可

この属性は、SmartConsoleでアカウントユニットを開いた後、オブジェクトツリーの分岐を表示する際に、どのタイプのオブジェクト(objectclass)を問い合わせるかを定義するために使用します。

デフォルト

その他

  • 組織 OrganizationalUnit ドメイン(ほとんどのサーバ)

  • Container (extra for Microsoft_AD)

複数値可

One "を設定すると、"OR "化されたクエリーが送信され、条件に一致するすべてのオブジェクトがブランチとして表示されます。

All" を設定すると、"AND" 形式のクエリーが送信され、すべてのタイプのオブジェクトのみが表示されます。

デフォルト

その他

1名

1つの値でOK

この属性は、どのオブジェクトが組織オブジェクトアイコンで表示されるべきかを定義します。

ここで指定された新しいオブジェクトタイプは、BranchObjectClass にも含まれる必要があります。

デフォルト

その他

組織

複数値可

この属性は、どのオブジェクトが組織オブジェクトアイコンで表示されるべきかを定義します。

ここで指定された新しいオブジェクトタイプは、BranchObjectClass にも含まれる必要があります。

デフォルト

その他

  • organizationalUnit (ほとんどのサーバ)

  • コンテナ(Microsoft_ADに追加)。

複数値可

この属性は、ドメインオブジェクトアイコンで表示されるべきオブジェクトを定義する。

ここで指定された新しいオブジェクトタイプは、BranchObjectClass にも含まれる必要があります。

デフォルト

その他

ドメイン

複数値可

この属性は、どのオブジェクトをユーザオブジェクトとして読み込むべきかを定義する。

ここで指定したオブジェクトタイプのツリーには、ユーザアイコンが表示されます。

デフォルト

その他

  • User (in Microsoft_AD)

  • 人物

OrganizationalPerson

InertOrgPerson

FW1人(ほとんどのサーバ)

複数値可

One "を設定すると、"OR "化されたクエリーが送信され、いずれかのタイプにマッチするすべてのオブジェクトが、ユーザとして表示されます。

All" を設定すると、"AND" 形式のクエリーが送信され、すべてのタイプのオブジェクトのみが表示されます。

デフォルト

その他

1名

1つの値でOK

この属性は、どのようなオブジェクトをグループとして読み込むべきかを定義する。

ここで指定したタイプのオブジェクトには、ツリー上にグループアイコンが表示されます。

デフォルト

その他

グループ名

Groupofuniquenames (ほとんどのサーバ)

グループ

グループ名 (Microsoft_AD 内)

複数値可

One "を設定すると、"OR "化されたクエリーが送信され、いずれかのタイプにマッチするすべてのオブジェクトが、ユーザとして表示されます。

All" を設定すると、"AND" 形式のクエリーが送信され、すべてのタイプのオブジェクトのみが表示されます。

デフォルト

その他

1名

1つの値でOK

グループメンバーシップを読み取る際の、グループとそのメンバ(ユーザまたはテンプレートオブジェクト)の関係モードを定義します。

デフォルト

その他

  • メンバーモードは、グループオブジェクトのメンバーDNを定義します(ほとんどのサーバ)。

  • MemberOfモードでは、メンバオブジェクトのグループDNを定義する(Microsoft_ADの場合)。

  • モードは、GroupオブジェクトにメンバDNを、MemberオブジェクトにグループDNを定義します。

1つの値でOK

GroupMembership mode が 'MemberOf' または 'Both' の場合、ユーザ/テンプレートオブジェクトのスキーマを拡張して、この属性を使用する必要があるかもしれません。

デフォルト

その他

MemberOf

1つの値でOK

ユーザテンプレート閉じた セキュリティ ポリシーを適用するユーザの種類を定義するプロパティセット。メンバーシップ情報を読み込む際の、ユーザからテンプレートメンバーシップへのモードを定義します。

デフォルト

その他

  • メンバーモードは、グループオブジェクトのメンバーDNを定義します(ほとんどのサーバ)。

  • MemberOfモードでは、メンバオブジェクトのグループDNを定義する(Microsoft_ADの場合)。

1つの値でOK

TemplateMembershipモードがMemberである場合に、テンプレートオブジェクトからユーザDNとしてユーザメンバーを読み取る際に使用する属性を定義します。

デフォルト

その他

member

複数値可

TemplateMembershipモードがMemberOfの場合に、ユーザオブジェクトからユーザに関連するテンプレートDNを読み取る際に使用する属性を定義します。

デフォルト

その他

member

複数値可

この値は、SmartConsoleで新しい組織単位を作成するときに、相対識別名(RDN)の属性名として使用されます。

デフォルト

その他

o

1つの値でOK

この値は、SmartConsoleで新しい組織単位を作成するときに、相対識別名(RDN)の属性名として使用されます。

デフォルト

その他

オーユー

1つの値でOK

この値は、SmartConsoleで新しいユーザオブジェクトを作成する際に、相対識別名(RDN)の属性名として使用されます。

デフォルト

その他

cn

1つの値でOK

この値は、SmartConsoleで新しいグループオブジェクトを作成する際に、RDNの属性名として使用されます。

デフォルト

その他

cn

1つの値でOK

この値は、SmartConsoleで新しいドメインオブジェクトを作成するときに、RDNの属性名として使用されます。

デフォルト

その他

dc

1つの値でOK

このフィールドは、SmartConsoleでオブジェクトを作成するときに関連します。

このフィールドのフォーマットはObjectclass:name:value です。つまり、作成されるオブジェクトのタイプがObjectClass の場合、作成されるオブジェクトに名前 'name' と値 'value' の追加属性が含まれることになります。

デフォルト

その他

user:userAccountControl:66048

Microsoft_ADの場合 これは、ユーザ・オブジェクトの作成時に、userAccountControl(値66048)という追加属性が自動的に含まれることを意味します。

複数値可

このフィールドは、SmartConsoleでグループを修正するときに使用されます。

このフィールドのフォーマットはObjectClass:memberattrであり、各グループオブジェクトクラスにグループメンバーシップの属性がマッピングされていることを意味する。

このユーザ・ディレクトリ・サーバ・プロファイルに可能なすべてのマッピングをここにリストアップします。

グループが変更された場合、グループのオブジェクトクラスに基づいて、正しいグループメンバーシップマッピングが使用されます。

デフォルト

その他

groupOfNames:メンバ

groupOfUniqueNames:uniqueMember

(他のすべてのサーバ)

複数値可

OrganizationalUnit オブジェクトを作成/変更する際に使用する ObjectClass を決定します。

これらの値は、読み出し対応と異なる場合があります。

デフォルト

その他

OrganizationalUnit

複数値可

これは、組織オブジェクトを作成および/または変更するときに使用するObjectClassを決定します。

これらの値は、読み出し対応と異なる場合があります。

デフォルト

その他

組織図

複数値可

これは、ユーザ・オブジェクトの作成時や変更時に使用するObjectClassを決定するものです。

これらの値は、読み出し対応と異なる場合があります。

デフォルト

その他

User (in Microsoft_AD)

organizationalPerson

inetOrgPerson

fw1Person

(他のすべてのサーバ)

複数値可

ドメインコンテキストオブジェクトを作成または変更する際に使用するObjectClassを決定します。

これらの値は、読み出し対応と異なる場合があります。

デフォルト

その他

ドメイン

複数値可

マイクロソフトアクティブディレクトリ

Microsoft Windows 2000 Advancedサーバ(またはそれ以降)には、洗練されたUser Directoryサーバが含まれており、Security Management Server用のユーザデータベースとして動作するように調整することが可能です。

デフォルトでは、Active Directoryのサービスは無効になっています。ディレクトリサービスを有効にするためです。

  • スタート> 実行メニューから、dcpromo コマンドを実行します。 or

  • システム構成ウィンドウを使用して Active Directory のセットアップウィザードを実行します。

Active Directoryは、以下のような構造になっています。

DC=qa, DC=checkpoint,DC=com
CN=Configuration,DCROOT
CN=Schema,CN=Configuration,DCROOT
CN=System,DCROOT
CN=Users,DCROOT
CN=Builtin,DCROOT
CN=Computers,DCOOT
OU=Domain Controllers,DCROOT
...

Windows 2000のツールで作成されたユーザオブジェクトやグループオブジェクトの多くは、CN=Users, DCROOT ブランチ、その他はCN=Builtin, DCROOT ブランチに格納されていますが、これらのオブジェクトは他のブランチでも作成することができます。

ブランチCN=Schema, CN=Configuration, DCROOT には、すべてのスキーマ定義が含まれています。

Check Point は、既存の Active Directory オブジェクトを利用するだけでなく、新しいタイプを追加することもできます。ユーザについては、既存のユーザを「そのまま」使用するか、fw1person 、「User」の補助として拡張することで、全機能の粒度を揃えることが可能です。既存のActive Directoryの「グループ」タイプは、「そのまま」サポートされます。fw1template オブジェクトクラスを追加することで、ユーザ・ディレクトリ・テンプレートを作成することができます。この情報は、schema_microsoft_ad.ldif ファイルを使用してディレクトリにダウンロードされます(ActiveActive Directoryへの新しい属性の追加追加を参照)。

パフォーマンス

Active Directoryでは、ディレクトリサーバで実行されるクエリの数が著しく少ない。これは、異なるオブジェクトリレーションズモデルを持つことで実現されています。Active Directoryのグループ関連情報は、ユーザオブジェクトの中に格納されます。したがって、ユーザ・オブジェクトを取得する際に、ユーザをグループに割り当てるための追加のクエリーは必要ありません。ユーザとテンプレートについても同様です。

管理性

SmartConsoleは、既存および新規のオブジェクトの作成と管理を可能にします。ただし、SmartConsoleでは、特定のActive Directoryのフィールドが有効になっていないものがあります。

施行

スキーマを拡張することなく、既存のActive Directoryのオブジェクトを操作することが可能です。これは、内部テンプレートオブジェクトを定義し、Active Directoryサーバで定義されたUser Directoryアカウントユニットを割り当てることで可能となる。

たとえば、Active Directoryのパスワードに基づくIKE+Hybridですべてのユーザを有効にする場合、IKEのプロパティを有効にし、認証方法として「Check Point password」を指定したテンプレートを新規に作成します。

レジストリの設定を更新する

Active Directoryのスキーマを変更するには、Schema Update Allowed という新しいレジストリDWORDキーを追加し、HKLM\System\CurrentControlSet\Services\NTDS\Parameters の下にゼロ以外の値を設定します。

コントロールの委譲

デフォルトでは、管理者はスキーマを変更したり、ユーザディレクトリプロトコルを通じてディレクトリオブジェクトを管理することさえできないため、ディレクトリに対する制御を特定のユーザまたはグループに委譲することは重要です。

  1. ユーザとコンピュータのコントロールコンソールを表示します。

  2. 左ペインに表示されているドメイン名を右クリックし、右クリックメニューから「制御の委譲」を選択します。

    コントロールの委譲ウィザードウィンドウが表示されます。

  3. ディレクトリを制御できるユーザのリストに、AdministratorまたはSystem Administratorsグループの他のユーザを追加します。

  4. マシンを再起動する。

Active Directoryのスキーマを拡張する

SmartConsoleでActive Directoryのユーザを設定するために、Active Directoryのスキーマが記述されたファイルを修正します。

  1. Security Gateway からスキーマファイルのあるディレクトリに移動します。$FWDIR/lib/ldap.

  2. Active Directory サーバのC:\ ドライブにschmea_microsoft_ad.ldif をコピーします。

  3. Active Directory サーバから、テキストエディタでスキーマファイルを開きます。

  4. DOMAINNAME を見つけ、LDIF形式のドメイン名で置き換えます。

    例えば、LDIF形式のドメインsample.checkpoint.comDC=sample,DC=checkpoint,DC=com

  5. modify の部分の最後にダッシュ文字- があることを確認してください。

    これは、modify の部分の例です。

    dn: CN=User,CN-Schema,CN=Configuration,DC=sample,DC=checkpoint,DC=com

    changetype: modify

    add: auxiliaryClass

    auxiliaryClass: 1.3.114.7.3.2.0.2

    -

  6. 次を実行します:

    ldifde -i -f c:/schema_microsoft_ad.ldif

Active Directoryへの新しい属性の追加

以下は、Microsoft Active Directoryに属性を1つ追加するLDIF(LDAP Data Interchange)形式の例です。

dn:CN=fw1auth-method,CN=Schema,CN=Configuration,DCROOT

changetype: add

adminDisplayName: fw1auth-method
attributeID: 1.3.114.7.4.2.0.1
attributeSyntax: 2.5.5.4
cn: fw1auth-method
distinguishedName:
CN=fw1auth-method,CN=Schema,CN=Configuration,DCROOT
instanceType: 4
isSingleValued: FALSE
LDAPDisplayName: fw1auth-method
name: fw1auth-method
objectCategory:
CN=Attribute-Schema,CN=ConfigurationCN=Schema,CN=Configuration,DCROOT
ObjectClass: attributeSchema
oMSyntax: 20
rangeLower: 1
rangeUpper: 256
showInAdvancedViewOnly: TRUE

すべてのCheck Point属性は、同じ方法で追加できます。

LDIF形式の全属性の定義は、$FWDIR/lib/ldap ディレクトリにあるschema_microsoft_ad.ldif ファイルに含まれています。

ldapmodify コマンドを実行する前に、schema_microsoft_ad.ldif を編集し、DCROOT のすべてのインスタンスを組織のドメインルートに置き換えてください。例えば、ドメインがsupport.checkpoint.com の場合、DCROOTdc=support,dc=checkpoint,dc=com に置き換えてください。

ファイルを修正した後、ldapmodify コマンドを実行して、ファイルをディレクトリにロードします。例えば、dc=support,dc=checkpoint,dc=com domain の Administrator アカウントを使用する場合、コマンドの構文は次のようになります。

- UNIXゲートウェイでは、シェルスクリプトが利用できます。スクリプトはである。 $FWDIR/lib/ldap/update_schema_microsoft_ad

ldapmodify -c -h support.checkpoint.com -D cn=administrator,cn=users,dc=support,dc=checkpoint,dc=com" -w SeCrEt -f $FWDIR/lib/ldap/schema_microsoft_ad.ldif