Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクティブディレクトリプロファイルを作成する

[Active Directory プロファイルの作成] ページを使用して、LDAP サーバーにアクセスするための IP アドレスからユーザーへのマッピング情報、およびユーザーとグループのマッピング情報を構成します。

アクティブディレクトリプロファイルを作成するには:

  1. [SRX > Identity] > [Active Directory] を選択します。

    [アクティブ ディレクトリ プロファイル] ページが表示されます。

  2. [+] アイコンをクリックします。
  3. 表 1 のガイドラインを使用して、構成を完了します。
  4. OK をクリックします。

    完全な構成のプレビューを提供する [概要] ページが表示されます。

表 1: [Active Directory プロファイルの作成] ページのフィールド

形容

General Information

名前

以下を含む英数字の一意の文字列を入力します。

  • コロン
  • 期間
  • ダッシュ
  • アンダー スコア

最大長は 62 文字です。

形容

アクティブ ディレクトリ プロファイルの説明を入力します。最大長は 255 文字です。

Add Domain Settings

全般

ドメイン名

ドメインの名前を入力します。最大長は 64 文字です。SRXシリーズファイアウォールでは、最大2つのドメインに統合ユーザーファイアウォールを設定できます。

例: example.net

形容

LDAP サーバードメインの説明を入力します。最大長は 255 文字です。

ドメイン コントローラ

ユーザー名

アクティブディレクトリのアカウント名を入力します。範囲は 1 から 64 文字です。

例: 管理者

パスワード

アクティブディレクトリアカウントのパスワードを入力します。範囲は 1 から 128 文字です。

例: $ABC 123

ドメイン コントローラ

プラス記号をクリックして、新しいドメイン コントローラーを作成します。

  • ドメイン コントローラ名:1 〜 64 文字の範囲で名前を入力します。最大 10 個のドメイン コントローラーを構成できます。

  • アドレス - ドメイン コントローラの IP アドレス。

User Group Mapping (LDAP)

資格情報のオプション

次のいずれかのオプションを選択します。

  • ドメイン コントローラーのユーザー名/パスワードを使用する
  • ユーザー名/パスワードの指定

住所

LDAP サーバーの IP アドレスを指定します。アドレスが指定されていない場合、システムは構成された Active Directory ドメイン コントローラーの 1 つを使用します。

例: 192.0.2.15

LDAP サーバーのポート番号を指定します。ポート番号が指定されていない場合、システムはプレーンテキスト用にポート389を使用し、暗号化されたテキスト用にポート636を使用します。

ベース DN

LDAP ベース識別名 (DN) を入力します。

例: DC=example,DC=net

ユーザー名

LDAP アカウントのユーザー名を入力します。ユーザー名が指定されていない場合、システムは構成されたドメイン コントローラーのユーザー名を使用します。

例: 管理者

パスワード

アカウントのパスワードを入力します。パスワードが指定されていない場合、システムは構成されたドメイン コントローラーのパスワードを使用します。

アドバンスド

SSL

切り替えボタンをクリックしてセキュア・ソケット・レイヤー (SSL) を有効にし、LDAP サーバーとのセキュアな伝送を確保します。このフィールドはデフォルトで無効になっており、パスワードはプレーンテキストで送信されます。

認証アルゴリズム

切り替えボタンをクリックして、SRXシリーズファイアウォールがLDAPサーバーと通信するときに使用するアルゴリズムを指定します。デフォルトでは、単純(プレーンテキスト)認証モードを構成するために [ simple ] が選択されています。

IP-User Mapping

イベント ログのスキャン間隔

SRXシリーズファイアウォールがドメインコントローラのイベントログをスキャンするスキャン間隔を入力します。範囲は 5 から 60 秒です。

イベントログスパン

SRXシリーズファイアウォールが最初にスキャンする、ドメインコントローラ上の最も古いイベントログの時刻を入力します。このスキャンは、初期展開にのみ適用されます。WMIC とユーザー識別が機能し始めると、SRX シリーズ ファイアウォールは最新のイベント ログのみをスキャンします。

範囲は 1 から 168 秒です。

Assign Device

デバイス

[使用可能] 列からこれらのデバイスを選択し、[選択済み] 列に移動します。

[ 使用可能(Available )] 列と [選択済み(Selected )] 列の両方の検索フィールドでデバイスを検索することもできます。これらのデバイスを検索するには、デバイス名、デバイスの IP アドレス、またはデバイス タグを入力します。

Timeout

認証エントリのタイムアウト

タイムアウト後にユーザーのエントリが認証テーブルから削除されないように、タイムアウトを 0 に設定します。

ユーザーがアクティブでなくなると、Active Directory 認証テーブル内のそのユーザーのエントリに対してタイマーが開始されることに注意してください。時間切れになると、ユーザーのエントリがテーブルから削除されます。テーブル内のエントリは、エントリに関連付けられているセッションがある限り、アクティブなままになります。

デフォルトの認証エントリのタイムアウトは 30 分です。タイムアウトを無効にするには、間隔を 0 に設定します。範囲は 10 分から 1440 分です。

WMI タイムアウト

ドメインPCがWindows管理計装(WMI)または分散コンポーネントオブジェクトモジュール(DCOM)を介してSRXシリーズファイアウォールのクエリに応答する必要がある秒数を設定します。

wmi-timeout間隔内にドメイン PC から応答がない場合、プローブは失敗し、システムは無効な認証エントリを作成するか、既存の認証エントリを無効として更新します。プローブされた IP アドレスの認証テーブル エントリが存在し、wmi-timeout間隔内にドメイン PC から応答を受信しない場合、プローブは失敗し、そのエントリはテーブルから削除されます。

範囲は 3 から 120 秒です。

Filter

フィルター

監視する必要がある、または監視しない IP アドレスの範囲を設定します。

  • 含める—使用可能 列から IP アドレスを含めるように指定します。

  • 除外—使用可能 列から IP アドレスを除外するように指定します。

[ 新しいアドレスの追加 ] をクリックして IP アドレスを作成し、監視に含めるか、監視から除外するかとして追加します。