Active Directory Server を使用してユーザーを認証する場合は、Management Server を設定する際に、Active Directory Server の接続情報を定義する必要があります。
プライマリ管理者アカウントはいつも Management Server によって管理されますが、それ以外のユーザー アカウントを管理するには Active Directory server を使用できます。外部認証サーバーのユーザーが Management Server にログインしたとき、サ バーはその情報を外部の Active Directory Server に送信します。Active Directory Server サーバーはユーザーが有効かどうか、またユーザーが属するグループを Management Server に伝えます。それから、Management Server はユーザーおよびグループの情報を Management Server のリストのユーザーおよびグループ、またそれらに関連するロール ポリシーを比較します。
役割に基づいた管理のために Active Directory Server からのユーザーやグループを使用できるようにするには、Management Server の Active Directory Server への接続を有効化する必要があります。また、最低 1 つの Active Directory ドメインを正しいサービスレコード (SRV) で指定し、Active Directory Server で LDAPS が有効になっていることを確認する必要があります。Active Directory Server に接続して LDAPS 認証を行うため、Management Server はそのサーバーに対して指定されたドメインに DNS クエリを送信します。
Active Directory Server へのセキュリティで保護された接続を確立するためには、Management Server は Active Directory Server が使用する SSL サーバー証明書を検証できる必要があります。最も有名な公開鍵認証機関 (CA) によって署名された SSL 証明書は、自動的に信頼されます。信頼済みの公開証明書機関のリストについては、Management Server がインストールされているコンピュータ上の C:\ProgramData\WatchGuard\wgauth\certs\readme.txt にある、readme.txt ファイルを参照してください。ヒント!
リストにないプライベート CA によって署名された証明書を使用するには、後述の手順に従って証明書を Management Server にインポートする必要があります。中間証明書を Management Server にインポートする必要はありません。Management Server は、Active Directory Server からサーバー証明書と中間証明書を受け取ります。Management Server は、ルート CA 証明書を使用して証明書チェーンを検証します。
Management Server で Active Directory の認証機能を使用するには、Active Directory のドメインで LDAPS (LDAP over SSL)を有効にする必要があります。詳細については、マイクロソフトのウェブサイトを参照するか、お使いの Active Directory Server の説明書をお読みください。
Active Directory Authentication を有効にして構成するには、WatchGuard Server Center から、以下の手順を実行します:
- サーバー ツリーから、Management Server を選択します。
- Active Directory タブを選択します。
[Active Directory] ページが表示されます。 - [Active Directory Authentication を有効にする] チェックボックスをオンにします。
- ドメイン名 リストにドメインを追加、編集、または削除するには、追加・削除 をクリックします。そのリストには複数のドメイン名があっても問題ありません。
[ドメインの追加] ダイアログ ボックスが表示されます。
![[ドメインの追加] ダイアログ ボックスのスクリーンショット](../wsc/images/wsm_wsc_mgmt-server-ad-settings_add-domains.jpg)
- リストにドメイン名を追加するには、ドメイン名を指定する テキスト ボックスに Active Directory ドメインを入力します。
Active Directory Server の SRV レコードには同じドメインを指定してください。ヒント!
アクティブ ディレクトリ ドメイン コントローラは SSL を使用してアクティブ ディレクトリ ド サーバに接続します。 - 追加 をクリックします。
- リストにドメイン名をさらに追加するには、ステップ 4~6 を繰り返します。
- リストからドメイン名を削除するには、リストでドメイン名を選択し、削除 をクリックします。
- OK をクリックして、 ドメインの追加 ダイアログ ボックスを閉じます。
選択したドメイン名はドメイン名リストに表示されます。 - SSL 証明書を検証するには、ドメイン コントローラの SSL 証明書の妥当性確認チェックボックスをオンにします。
![[Management Server Active Directory] タブのスクリーンショット](../wsc/images/wsm_wsc_mgmt-server-ad-settings.jpg)
- CA 証明書をインポートするには、インポート をクリックして参照し CA 証明書ファイルを選択します。
- Active Directory Authentication への接続をテストするには、試験 をクリックします。
AD 認証テスト ダイアログ ボックスが表示されます。
- AD 認証テスト ダイアログ ボックスで、Active Directory Server へのテスト接続用のユーザー認証情報を入力します。
ユーザー名は、必ず [email protected] のように UPN 形式で入力してください。 - OK をクリックします。
Management Server は、Active Directory Server への接続をテストします。 - 変更内容を保存するには、適用 をクリックします。