User Directoryサーバからの情報の取得

セキュリティゲートウェイが認証のためにユーザ情報を必要とするとき、このプロセスが行われます。

  1. セキュリティゲートウェイは内部管理データベースでユーザを検索する。

  2. 指定されたユーザが内部管理データベースに定義されていない場合、セキュリティゲートウェイは、アカウントユニットに定義されているLDAPサーバに最優先で問い合わせを行う。

  3. 最も高い優先順位を持つLDAPサーバへのクエリ失敗した場合(接続が切れたなど)、セキュリティゲートウェイは次に高い優先順位を持つサーバにクエリを行います。

    アカウントユニットが複数ある場合は、アカウントユニットを同時に照会します。クエリの結果は、条件を満たした最初のアカウントユニット、または条件を満たしたすべてのアカウントユニットから取得されます。

  4. すべてのLDAPサーバに対するクエリが失敗した場合、セキュリティゲートウェイは一般的な外部ユーザプロファイルとユーザを照合します。

User Directoryのクエリの実行

クエリを使用して、User Directoryのユーザまたはグループデータを取得します。最高のパフォーマンスを得るには、接続が開いているときにアカウントユニットにクエリを実行します。一部の接続は、ユーザが特定の操作を許可されたグループに属していることを確認するために、セキュリティゲートウェイによって開かれたままになっています。

  1. SmartConsole で、Manage & Settings >Blades と進みます。

  2. Configure in SmartDashboardをクリックします。

    SmartDashboardが開きます。

  3. Objects Treeで、Usersをクリックします。

  4. Account Unitをダブルクリックすると、LDAP サーバへの接続が開始されます。

  5. Account Unitを右クリックし、Query Users/Groupを選択します。

    LDAP Query Searchウィンドウが開きます。

    Advancedをクリックすると、ユーザ、グループ、テンプレートなど、指定したオブジェクトの種類を選択できます。

  6. クエリを定義します。

  7. さらに条件を追加するには、値を選択または入力し、Addをクリックします。

クエリの条件:

  • 属性 - ドロップダウンリストからユーザの属性を選択するか、属性を入力します。

  • 演算子 - ドロップダウンリストから演算子を選択します。

  • - エントリの属性と比較するための値を入力します。実際のユーザ属性と同じタイプとフォーマットを使用します。例えば、属性がfw1expiration-dateの場合、yyyymmdd構文でなければなりません。

  • フリーフォーム - クエリ式を入力します。User Directory(LDAP)のクエリ式の構文については、RFC 1558を参照してください。

  • 追加 - クエリに条件を追加します(Search Methodの右側のテキストボックス)。

次のクエリを作成した場合:

  • Attributes=mail

  • Contains

  • Value=Andy

サーバはこのフィルタでUser Directoryにクエリを行います。

filter:(&(|(objectclass=fw1person)(objectclass=person)
(objectclass=organizationalPerson)(objectclass=inetOrgPerson))
(|(cn=Brad)(mail=*Andy*)))

複数のLDAPサーバへのクエリ

Security Management Serverとセキュリティゲートウェイは、複数のLDAPサーバと同時に動作することができます。例えば、セキュリティゲートウェイがユーザ情報を見つける必要があり、指定されたユーザがどこで定義されているかがわからない場合、システム内のすべてのLDAPサーバに問い合わせる。(証明書を扱う場合、セキュリティゲートウェイはユーザDNを見ることでユーザの場所を見つけることができることがある)。