UTX100/UTX200にWindows Server Active Directory(以下「AD」と記載します)を登録し、ADサーバーとUTXを連携させる手順について説明します。
ADサーバーと【ユーザ認識】と連携することで、以下の用途に利用可能です。
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ 設定手順はルーター/ブリッジモードで共通です。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001960) のキャプチャーになります。
ADサーバー構成 | |
---|---|
OS | Windows Server 2012 |
IPアドレス | 192.168.99.100 |
ドメイン | ad.local |
ユーザーID | yamaha-utx(ドメインの管理権限を持ったユーザー) |
パスワード | Yamaha123! |
ユーザー情報 | |
ユーザー名 | 所属グループ |
1. eigyouser1 | eigyo, remoteusers |
2. supportuser1 | support, remoteusers |
ドメイン | ad.local |
---|---|
IPアドレス | 192.168.99.100 |
ユーザ名 | yamaha-utx(ドメインの管理権限を持ったユーザー) |
パスワード | Yamaha123! |
ADの登録完了後、UTXでADサーバーを利用するため、Active Directoryクエリを有効にする必要があります。
以上で、UTXとADサーバーの連携が完了します。
UTXとADサーバーとの同期は24時間間隔で実施されます。この同期間隔は変更することができません。
そのため、ADの変更を即時反映したい場合、手動で同期する必要があります。手動同期は以下の手順で実施します。
ADクエリを有効にすることにより、ADに登録されたドメインのユーザー情報がUTXのセキュリティーログ/レポートに反映されます。
例として、[ファイル共有アプリケーションをブロック]が有効になっている環境で、[supportuser1] が Dropbox へアクセスし、ブロックされたログの図を示します。以下の図では、【ユーザ】の行にADのユーザー名が表示されています。
また、以下の図(セキュリティーログの詳細)では、送信元のマシン名やユーザー名が表示されています。
ADと連携することにより、セキュリティーレポートでは【上位ユーザ】ページが表示されるようになります。
【上位ユーザ】ページでは以下の項目が表示されます。
※ 2バイト文字(日本語の全角文字等)の表示には対応していないため、ADユーザーの表示名が日本語表記の場合、セキュリティーログ/レポートの表記は文字化けして表示されます。
ADクエリを有効にすることにより、ファイアウォールのアクセスポリシーの【ソース】にADのユーザーグループを指定することが可能です。
以下に、[support]グループに所属しているユーザーは[yahoo.co.jp] のアクセスをブロックするポリシーの作成例を記載します。
ADクエリを有効にすることにより、リモートアクセスVPN用にADのユーザーグループを利用することが可能です。
以下に、[remoteusers]グループに所属しているユーザーにリモートアクセス権限を付与する設定例を記載します。
UTXでは、リモートアクセスVPN機能でSMS送信による2要素認証を利用することができます。ADユーザーで2要素認証を利用する際は、Windows Server上でADを以下のように設定してください。
※ ADサーバー上での設定変更を即時反映したい場合は、UTX側で手動同期を実施してください(「2-3. ADサーバーとの同期について」を参照)。
はい。複数登録することも可能です。
「2. ADサーバーの登録」と同じ手順で追加してください。
できません。
ユーザーが所属するADユーザーグループを指定いただく必要があります。
UTXでは2バイト文字(日本語の全角文字)の表示には対応していないため、ADユーザー名が日本語表記の場合、セキュリティーログ/レポートの表記は文字化けして表示されます。
UTXにADを連携後、ADで新たにユーザーグループが追加された場合は、ADサーバーと手動で同期する必要があります。
詳細については「2-3. ADサーバーとの同期について」をご参照ください。
はい。ブリッジモードでもAD連携は可能です。
【感染したデバイス】【危険にさらされたホスト】にはADのユーザー名は表示されません。
検出時のホストのIPアドレスが表示されます。