Active Directory ページについて
ごここにいる: セキュリティサービス > ファイアウォール認証 > Active Directory。
Active Directory を設定できます。
表 1 では、Active Directory ページのフィールドについて説明します。
フィールド |
説明 |
---|---|
一般的な情報 | |
一般 | |
オンデマンドプローブなし |
SRX シリーズ デバイスがアドレスからユーザーへのマッピング情報を取得する代替方法として、ドメイン PC の手動オンデマンドProbingを有効にします。 |
タイムアウト | |
認証エントリーのタイムアウト |
タイムアウト後にユーザーのエントリーが認証テーブルから削除されないようにするには、タイムアウトを0に設定します。
メモ:
ユーザーがアクティブでなくなった場合、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時刻が立ち上がると、ユーザーの項目が表から削除されます。テーブル内のエントリーは、エントリーに関連するセッションがある限り、アクティブなままになります。 デフォルトの認証エントリーのタイムアウトは30分です。Junos OS リリース 19.2R1 以降、デフォルト値は 60 分です。 タイムアウトを無効にするには、間隔をゼロに設定します。範囲は 10~1440 分です。 |
WMI タイムアウト |
Windows 管理インスツルメンテーション (WMI) または分散コンポーネント オブジェクト モジュール (DCOM) を通じて、ドメイン PC が SRX シリーズ デバイスのクエリに応答する必要がある秒数を入力します。 wmi-timeoutinterval 内でドメイン PC から応答が受信されない場合、プローブは失敗し、システムが無効な認証エントリを作成するか、既存の認証エントリを無効として更新します。プローブされた IP アドレスに対して認証テーブル エントリーが既に存在し、wmi-timeout 間隔内でドメイン PC から応答を受信しなかった場合、プローブは失敗し、そのエントリーはテーブルから削除されます。 範囲は3~120秒です。 |
無効な認証エントリのタイムアウト |
値を入力します。範囲は 10~1440 分です。ユーザーがアクティブでなくなった場合、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されます。時刻が立ち上がると、ユーザーの項目が表から削除されます。 この値が構成されていない場合、Active Directory からのすべての無効な認証エントリでは、デフォルト値が 30 分として使用されます。 範囲は 10~1440 分です。 |
ファイアウォール認証強制タイムアウト |
値を入力します。範囲は 10~1440 分です。これは、ファイアウォール認証のフォールバック時間です。タイムアウト後にユーザーのエントリーが認証テーブルから削除されないようにするには、タイムアウトを0に設定します。 |
フィルター | |
含める |
[使用可能] 列に IP アドレスを含めるのを有効にします。 [追加] アイコン (+) をクリックして新しい IP アドレスを作成し、監視を含めるか除外するかを選択して追加します。 [削除] アイコンをクリックして新しい IP アドレスを削除し、監視を含めるか除外するかを選択して追加します。 |
除外 |
[使用可能] 列から IP アドレスを除外できるようにします。 [追加] アイコン (+) をクリックして新しい IP アドレスを作成し、監視を含めるか除外するかを選択して追加します。 [削除] アイコンをクリックして新しい IP アドレスを削除し、監視を含めるか除外するかを選択して追加します。 |
ドメイン設定 | |
テスト |
[ テスト ] をクリックしてドメイン接続ステータスを確認します。 test:ステータスページが表示され、ステータスが表示されます。 |
+ |
[ + ] をクリックしてドメインを追加します。 [ドメインの追加] ページが表示されます。
メモ:
|
一般 | |
ドメイン名 |
ドメインの名前を入力します。 ドメイン名の範囲は1~64文字です。 |
名 |
Active Directory アカウントのパスワードを入力します。 ユーザー名の範囲は1~64文字です。例:admin |
パスワード |
Active Directory アカウント名のユーザー名を入力します。 パスワードの範囲は1~128文字です。例:A$BC123 |
ドメイン コントローラ | |
ドメイン コントローラ |
[追加] アイコン (+) をクリックして、ドメイン コントローラ設定を追加します。
|
ユーザーグループマッピング(LDAP) | |
ユーザーグループマッピング(LDAP) |
追加アイコン(+)をクリックします。
|
基本識別名 |
LDAP 基本識別名(DN)を入力します。 例:DC=例、DC=net |
名 |
LDAP アカウントのユーザー名を入力します。ユーザー名を指定しない場合、システムは構成済みのドメイン コントローラのユーザー名を使用します。 |
パスワード |
アカウントのパスワードを入力します。パスワードが指定されていない場合、システムは設定されたドメインコントローラのパスワードを使用します。 |
SSL を使用する |
SSL(セキュア ソケット レイヤー)を有効にして、LDAP サーバーとのセキュアな送信を保証します。デフォルトでは無効になっており、パスワードはプレーンテキストで送信されます。 |
認証アルゴリズム |
SRXシリーズデバイスがLDAPサーバーと通信する際に使用するアルゴリズムを指定するには、このオプションを有効にします。デフォルトでは、シンプル(プレーンテキスト)認証モードを設定する場合、シンプルが選択されます。 |
IP ユーザー マッピング | |
検出方法(WMI) |
IP アドレスとユーザー間マッピングの検出方法を有効にします。 WMI — Windows 管理インスツルメンテーション (WMI) は、ドメイン コント ローラーへのアクセスに使用される検出方法です。このオプションは、内部ホストまたは信頼できるホストに対してのみ有効にする必要があります。 |
イベント ログ スキャン間隔 |
SRX シリーズ デバイスがドメイン コントローラでイベント ログをスキャンするスキャン間隔を入力します。範囲は5~60秒です。 デフォルト値は60秒です。 |
初期イベントログの所要時間 |
SRX シリーズ デバイスが最初にスキャンするドメイン コントローラー上の最も早いイベント ログの時刻を入力します。このスキャンは、初期導入にのみ適用されます。WMIC とユーザー ID の動作が開始されると、SRX シリーズ デバイスは最新のイベント ログのみをスキャンします。 範囲は1から168時間である。デフォルト値は1時間です。 |