外部LDAPサーバでの管理者とユーザの設定
Check Pointの環境では、LDAP やその他の外部管理技術をCheck Pointのソリューションに統合しています。
管理者やユーザ数が多い場合は、Security Management Serverのパフォーマンスを向上させるために、LDAPなどの外部データベースを使用することをお勧めします。
-
LDAPサーバによって、管理者やユーザを外部から管理することができます。
-
セキュリティゲートウェイは、CRLを取得することができます。
-
Security Management Serverは、LDAPデータを使用して管理者とユーザを認証することができる。
-
LDAP データベースに収集された他のアプリケーションからの管理者およびユーザデータは、異なるアプリケーションで共有することができます。
Check Point の管理データベースでドメインを管理するか、外部の LDAP サーバでドメインを管理するかを選択できます。
マイクロソフトActive Directory
Microsoft Windows 2000 Advancedサーバ(またはそれ以降)には、高度なユーザディレクトリ サーバが含まれており、Security Management Serverのユーザデータベースとして動作するように調整することが可能です。
デフォルトでは、Active Directoryのサービスは無効になっています。ディレクトリ サービスを有効にするには、次の手順を実行します。
-
dcpromoスタート] > [ファイル名を指定して実行]メニューから コマンドを実行する。 -
システム構成ウィンドウを使用して Active Directoryのセットアップウィザードを実行します。
Active Directoryは、以下のような構造になっています。
|
|
Windows 2000のツールで作成されたユーザオブジェクトやグループオブジェクトの多くは、CN=Users, DCROOTブランチ、その他はCN=Builtin, DCROOTブランチに格納されていますが、これらのオブジェクトは他のブランチでも作成することができます。
ブランチCN=Schema, CN=Configuration, DCROOTには、すべてのスキーマ定義が含まれています。
Check Pointは、既存のActive Directoryオブジェクトを利用するだけでなく、新しいタイプを追加することもできます。ユーザについては、既存のユーザを「そのまま」使用するか、「User」の補助としてfw1personで拡張することで、機能の粒度を揃えることが可能です。既存のActive Directoryの「グループ」タイプは、「そのまま」サポートされます。fw1template オブジェクトクラスを追加することで、ユーザディレクトリテンプレートを作成することができます。この情報は、schema_microsoft_ad.ldif ファイルを使ってディレクトリにダウンロードされる (Active Directoryに新しい属性を追加する)。
パフォーマンス
ディレクトリサーバで実行されるクエリの数は、Active Directoryで大幅に少なくなります。これは、異なるオブジェクト関係モデルを持つことで実現されています。Active Directoryグループ関連の情報は、ユーザオブジェクトの中に格納されます。そのため、ユーザオブジェクトを取得する際に、ユーザをグループに割り当てるための追加クエリは必要ありません。ユーザとテンプレートについても同様です。
管理
SmartConsoleでは、既存および新規のオブジェクトの作成と管理ができます。ただし、一部の特定のActive DirectoryのフィールドはSmartConsoleで有効になっていません。
実施
スキーマを拡張することなく、既存のActive Directoryのオブジェクトを操作することが可能です。これは、内部テンプレートオブジェクトを定義し、Active Directoryサーバで定義されたユーザディレクトリのアカウントユニットを割り当てることで可能になります。
たとえば、Active Directoryのパスワードに基づくIKE+ハイブリッドですべてのユーザを有効にする場合、IKEのプロパティを有効にし、認証方法に「Check Pointパスワード」を指定したテンプレートを新規に作成します。
レジストリ設定の更新
Active Directoryのスキーマを変更するには、Schema Update Allowedという新しいレジストリDWORDキーを追加し、HKLM\System\CurrentControlSet\Services\NTDS\Parametersの下にゼロ以外の値を設定します。
制御の委任
デフォルトでは、管理者はスキーマを変更したり、ユーザディレクトリプロトコルを通じてディレクトリオブジェクトを管理することさえできないため、ディレクトリに対する制御を特定のユーザまたはグループに委任することは重要です。
ディレクトリの制御を委譲するには
-
ユーザとコンピュータのコントロールコンソールを表示します。
-
左ペインに表示されているドメイン名を右クリックし、右クリックメニューから制御の委任を選択します。
制御の委任ウィザードウィンドウが表示されます。
-
ディレクトリを制御できるユーザのリストに、AdministratorまたはSystem Administratorsグループの他のユーザを追加します。
-
マシンを再起動します。
Active Directoryスキーマの拡張
SmartConsoleでActive Directoryのユーザを設定するために、Active Directoryスキーマでファイルを変更します。
Active Directoryスキーマを拡張するには
-
セキュリティゲートウェイからスキーマファイルのあるディレクトリ
$FWDIR/lib/ldapに移動します。 -
Active DirectoryサーバのC:\ドライブに
schmea_microsoft_ad.ldifをコピーします。 -
Active Directoryサーバから、テキストエディタでスキーマファイルを開きます。
-
値
DOMAINNAMEを見つけ、LDIF形式のドメイン名で置き換えます。例えば、LDIF形式のドメイン
sample.checkpoint.com:DC=sample,DC=checkpoint,DC=com -
modifyセクションの最後にダッシュ文字(-)があることを確認してください。これは、
modifyセクションの例です。dn: CN=User,CN-Schema,CN=Configuration,DC=sample,DC=checkpoint,DC=comchangetype: modifyadd: auxiliaryClassauxiliaryClass: 1.3.114.7.3.2.0.2- -
次を実行します:
ldifde -i -f c:/schema_microsoft_ad.ldif
Active Directoryに新しい属性を追加する
以下は、Microsoft Active Directoryに属性を1つ追加するLDIF(LDAP Data Interchange)形式の例です。
|
|
すべてのCheck Point属性は、同じ方法で追加できます。
LDIF形式のすべての属性の定義は、$FWDIR/lib/ldapディレクトリにあるschema_microsoft_ad.ldifファイルに含まれています。
ldapmodifyコマンドを実行する前に、schema_microsoft_ad.ldifを編集し、DCROOTのすべてのインスタンスを組織のドメインルートに置き換えます。例えば、ドメインがsupport.checkpoint.comの場合、DCROOTをdc=support,dc=checkpoint,dc=comに置き換えます。
ファイルを修正した後、ldapmodifyコマンドを実行して、ファイルをディレクトリに読み込みます。例えば、dc=support,dc=checkpoint,dc=com domainの管理者アカウントを使用する場合、コマンドの構文は次のようになります。
|
|
注 - UNIXゲートウェイでは、シェルスクリプトが利用できます。台本は以下にある: |
|
|
Active Directory上のLDAPアカウントユニットに対する管理者またはサービスアカウントのパスワードの更新
セキュリティゲートウェイは、Smart ConsoleのLDAPアカウントユニットに保存されたLDAPサーバのユーザ名とパスワードを使用して、LDAPサーバに認証されます。セキュリティゲートウェイからLDAPサーバへの接続を確立した後、この接続を再利用して、再認証を受けることなく以降のLDAPクエリを送信します。
LDAPサーバのActive Directoryでパスワードを更新した場合、変更を適用するには以下の手順を実行する必要があります:
-
LDAPアカウントユニットの情報を更新する。
-
ポリシーのインストール