ユーザディレクトリ

エントリーの名前。

「Common Name（コモンネーム）」とも言います。

ユーザの場合は、セキュリティゲートウェイへのログインに使用される名前であるuid属性と異なる場合があります。

この属性は、ユーザディレクトリエントリの識別名、つまりDNのRDNを構築するためにも使用されます。

ユーザのログイン名、つまりセキュリティゲートウェイにログインする際に使用する名前。

この属性は、「内部パスワード」を除くすべての認証方式で外部認証システムに渡され、これらの認証方式すべてで定義する必要があります。

ログイン名は、Security Management ServerがUser Directoryサーバ（複数可）を検索するために使用されます。

このため、各ユーザエントリは一意のUID値を持つ必要があります。

フルパスのDNを使用してセキュリティゲートウェイにログインすることもできます。

DNは、この属性に曖昧さがある場合、または "内部パスワード"でこの属性が欠落している可能性がある場合に使用することができます。

DNは、同じユーザ（同じuid）が異なるUser Directoryサーバ上の複数のアカウントユニットに定義されている場合にも使用することができます。

ユーザに関する説明テキスト。

デフォルトは"no value"です。

ユーザのEメールアドレス。

デフォルトは"no value"です。

エントリには、この属性の値を0個以上指定することができます。

• テンプレート内：このテンプレートを使用するユーザエントリーのDN。ユーザでないDN（オブジェクトクラスが"person"、"organizationalPerson"、"inetOrgPerson"、"fw1person"のいずれかでないもの）は無視されます。

• グループ内：ユーザのDN。

認証方法（fw1auth-method）が "Internal Password "の場合に必ず指定します。この値は"crypt"を用いてハッシュ化できます。この場合、この属性の構文は次のようになります。

"{crypt}xxyyyyyyyyyyy"

この場合:

• "xx"は"salt"です。

• "yyyyyyyyyyy"はハッシュ化されたパスワード

ハッシュ化せずにパスワードを保存することも可能です（推奨しません）。ただし、User Directoryサーバでハッシュ化を指定している場合は、パスワードの二重ハッシュ化を防ぐため、ここではハッシュ化を指定しないようにします。この場合、暗号化されていないパスワードの送信を防ぐために、SSLを使用する必要があります。

セキュリティゲートウェイはこの属性を書き込むことはあっても、読み込むことはありません。その代わり、ユーザディレクトリのバインド操作でパスワードの検証を行います。

いずれかの方法を実行します。

• RADIUS

• TACACS

• SecurID

• OSパスワード

• Defender

この属性のデフォルト値は、SmartConsoleのAccount UnitウィンドウのAuthenticationタブにあるDefault authentication schemeで上書きされます。

たとえば、User Directoryサーバでは、サーバのスキーマに独自のオブジェクトクラス"fw1person"が追加されていないにもかかわらず、すべてのオブジェクトクラス"person"のUser Directoryエントリが含まれていることがあります。

SmartConsoleのDefault authentication schemeが「内部パスワード」の場合、すべてのユーザは"userPassword"属性に保存されているパスワードを使用して認証されます。

認証を行うサーバの名前。

このフィールドは、fw1auth-method が "RADIUS"または"TACACS"の場合に指定する必要があります。

他のすべてのfw1auth-methodの値については、無視されます。意味は以下の通りです。

パスワードが最後に変更された日付。

フォーマットはyyyymmdd （例：1998年8月20日は19980820）です。

パスワードは、認証プロセスの一部として、セキュリティゲートウェイを通じて変更することができます。

ユーザがセキュリティゲートウェイにログインできる最後の日付。有効期限がない場合は "値なし"。

フォーマットはyyyymmdd （例：1998年8月20日は19980820）です。

デフォルトは"no value"です。

ユーザがセキュリティゲートウェイにログインできるようになる時間。

フォーマットはhh:mm （例：午前8時15分は08:15）です。

ユーザがセキュリティゲートウェイにログインできるまでの時間。

フォーマットはhh:mm （例：午前8時15分は08:15）です。

ユーザがセキュリティゲートウェイにログインできる日（曜日）。

値は"SUN"、"MON"などと指定可能。

ユーザがクライアントを実行できる1つ以上のネットワークオブジェクトの名前。この制限を解除するには "Any" 、そのようなクライアントが存在しない場合は "no value" 。

Security Management Serverで定義されたネットワークオブジェクトの名前と一致する必要があります。

ユーザがアクセスできる1つまたは複数のネットワークオブジェ クトの名前。この制限を解除するには "Any"、そのようなネットワークオブジェクトがない場合は"no value"。

この名前は、Security Management Serverで定義されたネットワークオブジェクトの名前と一致する必要があります。

現在は使用していません。

SecuRemoteでセッションキーを暗号化するために使用されるアルゴリズム。

CLEAR"、"FWZ1"、"DES"、"Any"のいずれかを指定できます。

SecuRemoteでデータの暗号化に使用するアルゴリズム。

CLEAR"、"FWZ1"、"DES"、"Any"のいずれかを指定できます。

SecuRemoteのデータへの署名に使用されるアルゴリズム。

none"または"MD5"を指定できます。

SecuRemoteユーザがセキュリティゲートウェイに対して再認証を行う必要がある時間 (分)。

SecuRemoteによる認証に成功した場合に発生する例外。

none"、"cryptlog"、"cryptalert"のいずれかを指定できます。

このフラグは、グループメンバシップに関連する問題を解決するために使用します。

ユーザのグループメンバシップは、そのユーザが属するグループエントリ、ユーザエントリ自身、またはその両方のエントリに保存されます。

そのため、グループ関係についてテンプレートからの情報を使用すべきかどうか、ユーザエントリでは明確ではありません。

このフラグが"TRUE"の場合、ユーザはテンプレートが属するすべてのグループのメンバとみなされます。

これは、ユーザが直接メンバになっているすべてのグループに追加されます。

IKEを使用するSecuRemoteユーザの鍵暗号化方式。

これは、１つまたは複数の"DES"や"3DES"にすることができます。

IKE（旧称：ISAMP）を使用するユーザは、両方の方法を定義することができます。

IKE（旧ISAMP）を使用するSecuRemoteユーザに許可される認証方法です。

これは、１つまたは複数の"preshared"や"signatures"にすることができます。

IKE（旧ISAMP）を使用するSecuRemoteユーザのためのデータ整合性方式です。

これは、１つまたは複数の"MD5"や"SHA1"にすることができます。

IKEを使用するユーザは、両方の方式を定義しておく必要があります。

IKE（旧ISAMP）を使用したSecuRemoteユーザ向けのIPSec Transform方式です。

これは、"AH"または"ESP"のいずれかになります。

IKE（旧ISAMP）を使用するSecuRemoteユーザのためのデータ整合性方式です。

これは、"MD5"または"SHA1"のいずれかになります。

IKE（旧ISAMP）を使用するSecuRemoteユーザの事前共有秘密キーです。

この値は、fw ikecrypt コマンドラインを使用して計算できます。

fw1ISAKMP-DataEncMethod

IKE（旧ISAMP）を使用したSecuRemoteユーザのデータ暗号化方式です。

SecuRemoteユーザに許可された暗号化方式です。

これは、"FWZ"、"ISAKMP"（IKEを意味する）のうちの1つ以上にすることができます。

パスワードをいつ、誰が変更すべきかを定義します。

間違ったパスワードを連続して入力できる回数。

最後にログインが失敗した時刻。

ユーザが属するテンプレートのDN。

Netscapeのディレクトリサーバに適切ななスキーマを追加するには、$FWDIR/lib/ldap/schema.ldifファイルを使用します。

コマンドを実行する前に、ユーザディレクトリサーバをバックアップしておくことをお勧めします。

ldifファイル:

• スキーマに新しい属性を追加

• fw1person 、古い定義を削除する。fw1template

• fw1person およびfw1template

Netscape LDAPスキーマを変更するには、schema.ldifファイルを指定して、ldapmodifyコマンドを実行します。

注 - サーバのバージョンによっては、delete objectclassの操作に成功しても、エラーが返されることがあります。ldapmodifyを-c (連続)オプションで使用します。

ユーザディレクトリプロファイルは、より正確なユーザディレクトリの要求を定義し、サーバとの通信を強化するための設定可能なLDAPポリシーです。

プロファイルは、LDAP サーバ固有の知識のほとんどを制御します。異なるベンダーのLDAPサーバを統合するために、多様な技術的ソリューションを管理することができます。

ユーザディレクトリプロファイルを使用して、Security Management Serverのユーザ管理属性が、関連するLDAPサーバに対して正しいものであることを確認します。

たとえば、認定されたOPSECユーザディレクトリサーバがある場合、OPSEC_DSプロファイルを適用して、強化されたOPSEC固有の属性を得ることができます。

LDAPサーバには、異なるオブジェクトリポジトリ、スキーマ、オブジェクト関係があります。

• 組織のユーザデータベースには、特定のアプリケーションのために、従来とは異なるオブジェクトタイプや関係が含まれる場合があります。

• アプリケーションによっては、ユーザオブジェクトのRDN（Relatively Distinguished Name）のcn属性を使用するものもあれば、uidを使用するものもあります。

• Microsoft Active Directoryでは、ユーザ属性memberOfはユーザが属するグループを記述しますが、標準的なLDAPの方法では、グループオブジェクト自体にmember属性を定義します。

• サーバによって、パスワードの保存形式が異なります。

• v3と見なされる一部のサーバには、すべてのv3仕様を実装していないものもあります。これらのサーバではスキーマを拡張できません。

• LDAPサーバには、特定のユーザデータのサポートが組み込まれているものもあれば、Check Pointスキーマ拡張属性が必要なものもあります。

  たとえば、Microsoft Active DirectoryにはaccountExpiresというユーザ属性がありますが、その他のサーバではCheck Pointの定義するfw1personオブジェクトクラスの一部であるfw1expirationdate という属性が必要です。

• サーバによっては、未定義タイプのクエリを許可するものもあれば、許可しないサーバもあります。

これらのプロファイルは、デフォルトで定義されています。

• OPSEC_DS - 標準的なOPSEC認定ユーザディレクトリのデフォルトプロファイル。

• Netscape_DS - Netscape Directory Serverのプロファイル。

• Novell_DS - Novell Directory Serverのプロファイル。

• Microsoft_AD - Microsoft Active Directoryのプロファイル。

プロフィールには次の主要なカテゴリがあります。

• Common（共通） - ユーザディレクトリへの書き込み/読み取りのためのプロファイル設定。

• Read（読み取り） - ユーザディレクトリから読み取り専用のプロファイル設定。

• Write（書き込み） - ユーザディレクトリへの書き込み専用のプロファイル設定。

これらのカテゴリの中には、サーバが操作の種類に応じて動作するように、同じエントリを異なる値でリストアップするものがあります。デフォルトのプロファイルの特定のパラメータを変更することで、より細かい粒度とパフォーマンスのチューニングが可能です。

プロファイルを適用するには

1. アカウントユニットを開きます。

2. プロファイルを選択します。

プロファイルを変更するには

1. 新しいプロフィールを作成します。

2. ユーザディレクトリのプロファイルの設定を新しいプロファイルにコピーします。

3. 値を変更します。

一意のユーザ名ユーザディレクトリ属性（uid）。

また、ユーザ名でユーザを取得する場合、この属性がクエリに使用されます。

このユーザパスワードは、ユーザディレクトリ属性です。

Check Pointユーザディレクトリテンプレートのオブジェクトクラス。

他のオブジェクトクラスでデフォルト値を変更する場合は、そのオブジェクトクラスのスキーマ定義をfw1templateの関連属性で拡張してください。

アカウントの有効期限は、ユーザディレクトリ属性です。

この属性は、Check Pointの拡張属性、または既存の属性の場合があります。

有効期限の形式。

このフォーマットは、ExpirationDateAttrで定義された値に適用されます。

パスワード更新日のフォーマットは、ユーザディレクトリ属性です。

で定義された値に適用される。PsswdDateAttr.

パスワードの最終更新日は、ユーザディレクトリの属性です。

パスワード認証の不正回数を保存し、読み取るためのユーザディレクトリの属性。

0の場合、送信パスワードは暗号化されません。

1の場合、送信パスワードはDefaultCryptAlgorithmで指定されたアルゴリズムで暗号化されます。

ユーザディレクトリサーバを新しいパスワードで更新する前に、パスワードを暗号化するために使用されるアルゴリズム。

変更されたパスワードでユーザディレクトリサーバを更新する際に、暗号化されたパスワードのプレフィックスを付けるテキスト。

ユーザの電話番号を保存し、読み取るためのユーザディレクトリ属性。

異なるサーバタイプの特性に関連する問題を解決するための汎用属性変換マップ。

例えば、X.500サーバでは、属性名に"-"文字を使用できません。

"-"を含むCheck Point属性を有効にするには、変換エントリ：（"fw1-expiration =fw1expiration"など）を指定します。

ここに記載されたすべての属性名は、読み取り/書き込み操作に含まれるデフォルトの属性リストから削除されます。

これは、これらの属性がユーザディレクトリサーバのスキーマでサポートされておらず、操作全体が失敗する可能性がある場合に、最も有効な方法です。

これは、ユーザディレクトリサーバのスキーマがCheck Pointのスキーマ拡張機能で拡張されていない場合に特に当てはまります。

この属性は、SmartConsoleでアカウントユニットを開いた後、オブジェクトツリーの分岐を表示する際に、どのタイプのオブジェクト（objectclass）を照会するかを定義します。

"One"を設定すると、"OR "クエリが送信され、条件に一致するすべてのオブジェクトがブランチとして表示されます。

"All"を設定すると、"AND"のクエリが送信され、すべてのタイプのオブジェクトのみが表示されます。

この属性は、どのオブジェクトが組織オブジェクトアイコンで表示されるべきかを定義します。

ここで指定された新しいオブジェクトタイプは、BranchObjectClassにも含まれる必要があります。

この属性は、どのオブジェクトが組織オブジェクトアイコンで表示されるべきかを定義します。

ここで指定された新しいオブジェクトタイプは、BranchObjectClassにも含まれる必要があります。

この属性は、ドメインオブジェクトアイコンで表示されるべきオブジェクトを定義します。

ここで指定された新しいオブジェクトタイプは、BranchObjectClassにも含まれる必要があります。

この属性は、ユーザオブジェクトとして読み取るべきオブジェクトを定義します。

ここで指定したオブジェクトタイプのツリーに、ユーザアイコンが表示されます。

"One"を設定すると、"OR "クエリが送信され、いずれかのタイプにマッチするすべてのオブジェクトが、ユーザとして表示されます。

"All"を設定すると、"AND"のクエリが送信され、すべてのタイプのオブジェクトのみが表示されます。

この属性は、グループとして読み取るべきオブジェクトを定義します。

ここで指定したタイプのオブジェクトには、ツリー上にグループアイコンが表示されます。

"One"を設定すると、"OR "クエリが送信され、いずれかのタイプにマッチするすべてのオブジェクトが、ユーザとして表示されます。

"All"を設定すると、"AND"のクエリが送信され、すべてのタイプのオブジェクトのみが表示されます。

グループメンバシップを読み取る際の、グループとそのメンバ（ユーザまたはテンプレートオブジェクト）の関係モードを定義します。

ユーザまたはテンプレートオブジェクトからグループメンバシップを読み取る際に使用するユーザディレクトリ属性を定義します。GroupMembershipモードが 'MemberOf' または 'Both' の場合、ユーザ/テンプレートオブジェクトのスキーマを拡張して、この属性を使用する必要がある可能性があります。

ユーザテンプレートメンバシップ情報を読み込む際の、ユーザからテンプレートメンバシップへのモードを定義します。

TemplateMembershipモードがMemberである場合に、テンプレートオブジェクトからユーザDNとしてユーザメンバを読み取る際に使用する属性を定義します。

TemplateMembershipモードがMemberOfの場合に、ユーザオブジェクトからユーザに関連するテンプレートDNを読み取る際に使用する属性を定義します。

この値は、SmartConsoleで新しい組織単位（OU）を作成するときに、相対識別名（RDN）の属性名として使用されます。

この値は、SmartConsoleで新しい組織単位（OU）を作成するときに、相対識別名（RDN）の属性名として使用されます。

この値は、SmartConsoleで新しいユーザオブジェクトを作成する際に、相対識別名（RDN）の属性名として使用されます。

この値は、SmartConsoleで新しいグループオブジェクトを作成する際に、RDNの属性名として使用されます。

この値は、SmartConsoleで新しいドメインオブジェクトを作成するときに、RDNの属性名として使用されます。

このフィールドは、SmartConsoleでオブジェクトを作成するときに関連します。

このフィールドのフォーマットはObjectclass:name:value 。したがって、作成されたオブジェクトがObjectClass 型である場合、作成されたオブジェクトに名前 'name' と値 'value' を持つ追加属性が含まれます。

このフィールドは、SmartConsoleでグループを修正するときに使用します。

このフィールドのフォーマットはObjectClass:memberattrで、各グループオブジェクトクラスにグループメンバシップの属性がマッピングされていることを意味します。

このユーザディレクトリサーバのプロファイルに可能なすべてのマッピングをここにリストアップします。

グループが変更された場合、グループのオブジェクトクラスに基づいて、正しいグループメンバシップマッピングが使用されます。

OrganizationalUnitオブジェクトを作成/変更する際に使用するObjectClassを決定します。

これらの値は、読み取りの対応値と異なる場合があります。

これは、組織オブジェクトを作成および/または変更するときに使用するObjectClassを決定します。

これらの値は、読み取りの対応値と異なる場合があります。

これは、ユーザオブジェクトの作成時や変更時に使用するObjectClassを決定します。

これらの値は、読み取りの対応値と異なる場合があります。

ドメインコンテキストオブジェクトを作成または変更する際に使用するObjectClassを決定します。

これらの値は、読み取りの対応値と異なる場合があります。