Active Directory または LDAP のオプション設定を使用する

Fireware が、情報を検索するためにディレクトリ サーバー (Active Directory または LDAP) に接続すると、サーバーの検索結果内の属性のリストから追加の情報を取得できます。これにより、タイムアウトや Mobile VPN アドレス割り当てなどの追加パラメータを、認証されたユーザー セッションに割り当てるために、ディレクトリ サーバーを使用することができます。データは個々のユーザー オブジェクトに関連付けられた属性から取得されるため、ユーザーごとにこれらのパラメータを設定することができます。デバイス構成ファイルで指定したグローバル設定に制限されることはありません。

開始する前に

これらのオプション設定を使用するには、以下の手順を実行する必要があります。

  • これらの項目に新しい属性を追加するためにディレクトリスキーマを拡張する。
  • ユーザー アカウントが属するオブジェクト クラスに使用可能な新しい属性を作成する。
  • 属性を使用するユーザー オブジェクトに属性の値を指定する。

ディレクトリスキーマを拡張する前に、慎重に計画およびテストを行ってください。通常、Active Directory スキーマへの追加は永続的で元に戻すことができません。Active Directory スキーマの変更を計画、テスト、および実装するためのリソースは、Microsoft®の Web サイトから入手できます。それ以外のディレクトリのスキーマを拡張する場合は、その LDAP 製品のベンダーが提供するドキュメントを事前に確認してください

Active Directory または LDAP オプションの設定を指定する

Fireware がディレクトリサーバーからの検索回答で探す追加属性を指定できます。

  1. 認証 > サーバー の順に選択します。

    認証サーバー ページが表示されます。

Firebox タブが選択された認証サーバー ダイアログ ボックスのスクリーンショット

  1. 認証サーバー リストから、LDAP または Active Directory を選択して、サーバーが有効化されていることを確認します。
  2. LDAP を選択した場合は、次のセクションで定義されているように、オプション設定 セクションで、文字列フィールドにディレクトリ検索に含める属性を入力します。

LDAP サーバーの任意設定のスクリーンショット

  1. Active Directory を選択した場合:
    1. サーバーを選択して、編集 をクリックします。
    2. オプション設定 タブをクリックします。
    3. 次のセクションで定義されているように、文字列フィールドにディレクトリ検索に含める属性を入力します。
  2. 保存 をクリックします。
    属性の設定が保存されます。
  1. 設定 > 認証 > 認証サーバー の順に選択します。
    認証サーバー ダイアログ ボックスが表示されます。
  2. LDAP または Active Directory タブをクリックして、サーバーが有効化されていることを確認してください。
  3. LDAP を選択した場合:
    1. オプション設定 をクリックします。
      LDAP サーバーの任意設定 ダイアログ ボックスが表示されます。
    2. 次のセクションで定義されているように、文字列フィールドにディレクトリ検索に含める属性を入力します。
    3. OK をクリックします。
      属性の設定が保存されます。

LDAP タブが選択された認証サーバー ダイアログ ボックスのスクリーンショット

LDAP サーバーの任意設定のスクリーンショット

  1. Active Directory を選択した場合:
    1. サーバーを選択して、編集 をクリックします。
    2. オプション設定 タブをクリックします。
    3. 次のセクションで定義されているように、文字列フィールドにディレクトリ検索に含める属性を入力します。
  2. 保存 をクリックします。
    属性の設定が保存されます。

LDAP および Active Directory 任意属性の文字列

IP 属性文字列

この設定は Mobile VPN クライアントにのみ適用されます。

Mobile VPN クライアントに仮想 IP アドレスを割り当てるために Fireware が使用する属性の名前を入力します。これは単一値の属性と 10 進法形式の IP アドレスです。この IP アドレスは、Mobile VPN グループの作成時にユーザーが指定する仮想 IP アドレス プール内部の IP アドレスである必要があります。

Firebox が検索回答内に IP 属性を見つけることができない場合、またはユーザーが属性を指定しない場合、Firebox は Mobile VPN グループ作成時に、Mobile VPN クライアントを作成する仮想 IP アドレス プールからの仮想 IP アドレスに割り当てます。

ネットマスク属性文字列

この設定は Mobile VPN クライアントにのみ適用されます。

Mobile VPN クライアントの仮想 IP アドレスにサブネット マスクを割り当てるために Fireware が使用する属性の名前を入力します。これは単一値の属性と 10 進法形式のサブネット マスクです。

Firebox が検索回答内にネットマスク属性を見つけることができないか、ユーザーがネットマスクを指定しない場合、Firebox は Mobile VPN ソフトウェアが自動的にネットマスクを割り当てます。

DNS 属性文字列

この設定は Mobile VPN クライアントにのみ適用されます。

Mobile VPN セッションの存続中に、1 つ以上の DNS アドレスを Mobile VPN クライアントに割り当てるために Fireware が使用する属性の名前を入力します。ここでは複数値の属性を指定できますが、10 進数をドットで区切った通常形式の IP アドレスです。Firebox が検索応答に DNS 属性を見つけることができない場合、またはユーザーが属性を指定しない場合、Firefox は DNS サーバーの設定を構成する際に指定する WINS アドレスを使用します。

これらのサーバーの構成方法についての詳細は、次を参照してください:Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する

WINS 属性文字列

この設定は Mobile VPN クライアントにのみ適用されます。

Mobile VPN セッションの存続中に、1 つ以上の WINS アドレスを Mobile VPN クライアントに割り当てるために Fireware が使用する属性の名前を入力します。ここでは複数値の属性を指定できますが、10 進数をドットで区切った通常形式の IP アドレスです。Firebox が検索応答に WINS 属性が見つからない、またはユーザーが属性を指定しない場合、Firebox は WINS サーバーの設定を構成する際に指定する WINS アドレスを使用します。

これらのサーバーの構成方法についての詳細は、次を参照してください:Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する

リース時間属性文字列

この設定は、Mobile VPN クライアントと、ファイアウォール認証を使用するクライアントに適用されます。

ユーザーが認証された状態を維持できる最大時間 (セッション タイムアウト) を制御するために Fireware が使用する属性の名前を入力します。この時間が経過すると、ユーザーが認証されたユーザーのリストから削除されます。これは単一値の属性です。Fireware は、秒数を表す 10 進数として属性の値を解釈します。値 0 は タイムアウトなしと解釈されます。

アイドル タイムアウト属性文字列

この設定は、Mobile VPN クライアントと、ファイアウォール認証を使用するクライアントに適用されます。

ユーザーから Firebox へのトラフィックが発生しない状態で、ユーザーが認証された状態を維持できる時間の長さ (アイドル タイムアウト) を制御するために Fireware が使用する属性の名前を入力します。ここで設定された時間にわたってデバイスへのトラフィックが発生しない場合、ユーザーが認証されたユーザーのリストから削除されます。これは単一値の属性です。Fireware は、秒数を表す 10 進数として属性の値を解釈します。値 0 は タイムアウトなしと解釈されます。

関連情報:

Active Directory Authentication を構成する

LDAP 認証を構成する