認証サーバの管理

[ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページでは、複数の認証サーバを定義、参照できます。外部ユーザデータベースと、そのデータベースに定義されているユーザの認証メソッドを定義できます。

以下の認証タイプを設定できます。

  • RADIUSサーバ - プライマリとセカンダリのRADIUSサーバの詳細を定義できます。Quantum Sparkアプライアンスはこれらのサーバに接続し、これらのサーバで定義、認証されているユーザを認識できます。

    -R81.10.10では、管理者アクセスにRADIUSまたはTACACSが設定されている場合、2要素認証がサポートされません。

  • TACACS+サーバ - TACACS+は、ネットワーク上の別のサーバでユーザの認証と承諾を可能にするアクセス制御メカニズムです。

    注:

    • R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

    • [VPN]ビュー>[リモートアクセス]セクション>[認証サーバ]ページでは、[TACACS+サーバ]セクションは表示されません。

RADIUSサーバの設定

RADIUSサーバは以下の用途に使用できます。

  • リモート・アクセス権限のあるユーザのデータベースを定義する。このようなユーザの定義と認証はRADIUSサーバで行います。

  • 管理者を定義する。詳細については、[ユーザ&オブジェクト]>[ユーザ管理]セクション>[管理者]ページを参照してください。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [RADIUSサーバ]セクションで、[設定]をクリックします。

  3. [プライマリ]タブで以下の情報を入力します。

    • [IPアドレス] - RADIUSサーバのIPアドレス。

    • [ポート] - RADIUSサーバがクライアントとの通信に使用するポート番号。デフォルトは1812です。

    • [共有秘密キー] - RADIUSサーバとQuantum Sparkアプライアンスの間で使用される秘密情報(メッセージの暗号化に使用される事前共有情報)です。

      [表示]を選択すると、共有秘密キーが表示されます。

      -パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

    • [タイムアウト(秒)] - RADIUSサーバと通信する際のタイムアウト値(秒)です。デフォルトのタイムアウトは3秒です。

    - [IPアドレス][共有秘密キー]に入力した情報を削除する場合は、[クリア]をクリックします。

  4. セカンダリRADIUSサーバを使用する場合は、[セカンダリ]タブで手順2を繰り返します。

  5. [適用]をクリックします。

    プライマリとセカンダリ(定義した場合)のサーバがページの[RADIUS]セクションに追加されます。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. 編集するRADIUSサーバのIPアドレス・リンクをクリックします。

  3. 必要な変更を行います。

  4. [適用]をクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. 削除するRADIUSサーバの横にある[削除]リンクをクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[管理者]ページをクリックします。

  2. [管理者RADIUS認証]の行で、[権限の編集]クリックします。

  3. [管理者用RADIUS認証を有効にする]を選択します。

  4. 以下のいずれかを選択します。

    • RADIUSサーバで定義されたロールを使用する

    • RADIUSユーザにデフォルトのロールを使用する

      1. [デフォルトの管理者ロール]で、該当するロールを選択します。

      2. オプション: 管理者は特定のRADIUSグループのみを使用するを選択します。

        該当するRADIUSグループを入力します。

  5. [適用]をクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[管理者]ページをクリックします。

  2. [RADIUSユーザのリモートアクセス権限が無効になっています]の文中のリンクをクリックします。

  3. RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にするを選択します。

  4. オプション: リモートアクセスでは、特定のRADIUSグループのみを使用するを選択します。

    該当するRADIUSグループを入力します。

  5. [適用]をクリックします。

  6. [VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページで、RADIUSユーザのリモートアクセス権限を設定します。

TACACS+ サーバの設定

注:

  • R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

  • TACACS+は管理用としてのみ使用し、リモートアクセス認証には使用しません。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [TACACS+サーバ]セクションで、[設定]をクリックします。

  3. [プライマリ]タブで以下の情報を入力します。

    • [IPアドレス] - TACACS+サーバのIPアドレス。

    • [ポート] - TACACS+サーバがクライアントとの通信に使用するポート番号。デフォルトは49です。

    • [共有秘密キー] - TACACS+サーバとQuantum Sparkアプライアンスの間で使用される秘密情報(メッセージの暗号化に使用される事前共有情報)です。

      [表示]を選択すると、共有秘密キーが表示されます。

      -パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

    • [タイムアウト(秒)] - TACACS+サーバと通信する際のタイムアウト値(秒)です。デフォルトのタイムアウトは3秒です。

    - [IPアドレス][共有秘密キー]に入力した情報を削除する場合は、[クリア]をクリックします。

  4. セカンダリTACACS+サーバを使用する場合は、[セカンダリ]タブで手順2を繰り返します。

  5. [適用]をクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. 削除するTACACS+サーバの横にある[削除]リンクをクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[管理者]ページをクリックします。

  2. [管理者TACACS+認証]の行で、[権限の編集]クリックします。

  3. [管理者のTACACS+認証を有効にする]を選択します。

  4. 以下のいずれかを選択します。

    • TACACS+サーバで定義されたロールを使用する

    • TACACS+ユーザにデフォルトのロールを使用する

      [デフォルトの管理者ロール]で、該当するロールを選択します。

  5. [適用]をクリックします。

Active Directoryサーバの設定

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [Active Directory]セクションで[新規]をクリックします。

  3. 以下の情報を入力します。

    • [ドメイン] - ドメイン名です。

      既存のActive Directoryドメインオブジェクトと同じ[ドメイン]を持つ別のオブジェクトを作成することはできません。

    • [IPアドレス] - ドメインのいずれかのドメイン コントローラのIPアドレス。

    • [ユーザ名] - 設定を効率化し、Active Directoryに定義されているユーザを使用してユーザ ベースのポリシーを作成するには、管理者権限のあるユーザを指定する必要があります。

    • [パスワード] - ユーザのパスワードです。

      -パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

    • [ユーザDN] - [検索]をクリックして該当のユーザを表すオブジェクトのDNを自動検出閉じた UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。するか、そのユーザのDNを入力します。

      例えば、次のように入力します。CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

  4. Active Directoryに定義された一部のユーザ データベースだけを使う場合は、[特定のブランチからのユーザ グループのみ使用]をオンにします。

    1. [新規]をクリックします。

    2. [ブランチ]のテキスト・フィールドにそのブランチ名(フルDN)を入力します。

    3. [適用]をクリックします。

  5. [適用]をクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. Active Directoryセクションで、Active Directoryドメインを選択します。

  3. [編集]をクリックします。。

  4. 該当する変更を行います。

    [ドメイン]は変更できません。

  5. [適用]をクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. Active Directoryセクションで、Active Directoryドメインを選択します。

  3. [削除]をクリックします。。

  4. 確認閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。メッセージでOKをクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [Active Directory]セクションで[設定]をクリックします。

  3. 該当するオプションを選択します。

    • 自動同期

    • 手動同期

      - このオプションを選択すると、アプライアンスが把握しているユーザ データベースを、そのデータベースを参照できるすべての場所で同期化できます。

      例:

      • [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[ユーザ]ページ。

      • [アクセスポリシー]ビュー>[ファイアウォール]セクション>[ポリシー]ページ>[ソース]ピッカー。

        Active Directoryからユーザを選択することはできません。Active Directoryユーザグループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。のみを選択できます。

        ローカル ユーザを選択できます。

  4. [適用]をクリックします。

Active Directoryに定義されているユーザには、デフォルトではリモート・アクセス権限は付与されません。その代わり、[VPN]>[リモートアクセス]セクション>[リモートアクセスユーザ]ページから、ローカルまたはActive Directoryで定義されているユーザを個別に選択してリモートアクセス権限を付与できます。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. Active Directoryセクションで、Active Directoryユーザのリモートアクセス許可が設定されますの文中のリンクをクリックします。

  3. Active Directoryのすべてのユーザを選択します。

    このオプションを使用する場合、[VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページに移動して特定のユーザを選択する必要はありません。

    Active Directoryには、たいてい多数のユーザが含まれています。組織へのリモート・アクセス権限をすべてのユーザに付与することは、お勧めできません。

    通常は、[選択したActive Directoryユーザグループ]オプションを選択したままにし、[VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページでリモートアクセス権限を設定します。

  4. [適用]をクリックします。