[Active Directory] ページについて
現在地: セキュリティ サービス > ファイアウォール認証> Active Directory
Active Directory を設定できます。
表 1 は、[Active Directory] ページのフィールドを説明しています。
畑 |
形容 |
|---|---|
| 一般情報 | |
| 全般 | |
オンデマンドプローブなし |
SRXシリーズデバイスがアドレスからユーザーへのマッピング情報を取得するための代替方法として、ドメインPCの手動オンデマンドプローブを有効にします。 |
| タイムアウト | |
認証エントリータイムアウト |
タイムアウト後にユーザーのエントリが認証テーブルから削除されないようにするには、タイムアウトを 0 に設定します。
手記:
ユーザーがアクティブでなくなると、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時間切れになると、ユーザーのエントリがテーブルから削除されます。テーブル内のエントリーは、エントリーに関連付けられたセッションがある限り、アクティブなままです。 デフォルトの認証エントリのタイムアウトは 30 分です。Junos OS リリース 19.2R1 以降、デフォルト値は 60 分です。 タイムアウトを無効にするには、間隔をゼロに設定します。範囲は 10 分から 1440 分です。 |
WMI タイムアウト |
Windows Management Instrumentation(WMI)または Distributed Component Object Module(DCOM)を介して、ドメインPCがSRXシリーズデバイスのクエリーに応答する必要がある秒数を入力します。 wmi-timeoutinterval内にドメインPCから応答が受信されない場合、プローブは失敗し、システムは無効な認証エントリを作成するか、既存の認証エントリを無効として更新します。プローブされた IP アドレスの認証テーブル エントリが既に存在し、wmi-timeout 間隔内にドメイン PC から応答を受信しない場合、プローブは失敗し、そのエントリはテーブルから削除されます。 範囲は 3 から 120 秒です。 |
無効な認証エントリのタイムアウト |
値を入力します。範囲は 10 分から 1440 分です。ユーザーがアクティブでなくなると、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時間切れになると、ユーザーのエントリがテーブルから削除されます。 この値が構成されていない場合、Active Directory からの無効な認証エントリはすべて、デフォルト値の 30 分を使用します。 範囲は 10 分から 1440 分です。 |
ファイアウォール認証の強制タイムアウト |
値を入力します。範囲は 10 分から 1440 分です。これは、ファイアウォール認証のフォールバック時間です。タイムアウト後にユーザーのエントリが認証テーブルから削除されないようにするには、タイムアウトを 0 に設定します。 |
| フィルター | |
含める |
[使用可能(Available)] 列から IP アドレスを含めることを有効にします。 [追加(Add)] アイコン(+)をクリックして新しい IP アドレスを作成し、[監視に含める(Include or exclude from monitoring)] として追加します。 [削除(Delete)] アイコンをクリックして新しい IP アドレスを削除し、モニタリングに含めるか除外するかに追加します。 |
除外する |
有効にすると、[使用可能] 列から IP アドレスが除外されます。 [追加(Add)] アイコン(+)をクリックして新しい IP アドレスを作成し、[監視に含める(Include or exclude from monitoring)] として追加します。 [削除(Delete)] アイコンをクリックして新しい IP アドレスを削除し、モニタリングに含めるか除外するかに追加します。 |
| ドメイン設定 | |
試験 |
[ テスト ] をクリックして、ドメイン接続の状態を確認します。 test:Status ページが表示され、ステータスが表示されます。 |
+ |
[ + ] をクリックしてドメインを追加します。 [Add Domain] ページが表示されます。
手記:
|
| 全般 | |
ドメイン名 |
ドメイン名を入力します。 ドメイン名の範囲は 1 文字から 64 文字です。 |
ユーザー名 |
Active Directory アカウントのパスワードを入力します。 ユーザー名の範囲は 1 〜 64 文字です。例: 管理者 |
パスワード |
Active Directory アカウント名のユーザー名を入力します。 パスワードの範囲は 1 文字から 128 文字です。例: A$BC123 |
| ドメイン コントローラ | |
ドメイン コントローラ |
追加アイコン (+) をクリックして、ドメイン コントローラーの設定を追加します。
|
| ユーザー グループ マッピング(LDAP) | |
ユーザー グループ マッピング(LDAP) |
追加アイコン (+) をクリックします。
|
ベース識別名 |
LDAP ベース識別名(DN)を入力します。 例: DC=example,DC=net |
ユーザー名 |
LDAP アカウントのユーザー名を入力します。ユーザー名が指定されていない場合、システムは構成されたドメイン コントローラーのユーザー名を使用します。 |
パスワード |
アカウントのパスワードを入力します。パスワードが指定されていない場合、システムは構成されたドメイン コントローラーのパスワードを使用します。 |
SSLを使用 |
Secure Sockets Layer (SSL) を有効にして、LDAP サーバーとのセキュアな伝送を確保します。デフォルトでは無効になっており、パスワードはプレーンテキストで送信されます。 |
認証アルゴリズム |
SRXシリーズデバイスがLDAP サーバーと通信する際に使用するアルゴリズムを指定するには、このオプションを有効にします。デフォルトでは、シンプル(プレーンテキスト)認証モードを設定するために[シンプル]が選択されています。 |
| IPユーザーマッピング | |
検出方法(WMI) |
IP アドレスからユーザーへのマッピングを検出する方法を有効にします。 WMI - Windows Management Instrumentation (WMI) は、ドメイン コントローラーへのアクセスに使用される検出方法です。このオプションは、内部ホストまたは信頼済みホストに対してのみ有効にする必要があります。 |
イベントログのスキャン間隔 |
SRXシリーズデバイスがドメインコントローラ上のイベントログをスキャンするスキャン間隔を入力します。範囲は 5 から 60 秒です。 デフォルト値は60秒です。 |
初期イベントログ TimeSpan |
SRXシリーズデバイスが最初にスキャンするドメインコントローラ上の最も古いイベントログの時刻を入力します。このスキャンは、初期デプロイにのみ適用されます。WMIC とユーザー識別が動作を開始すると、SRXシリーズデバイスは最新のイベント ログのみをスキャンします。 範囲は 1 から 168 時間です。デフォルト値は 1 時間です。 |
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。