Active Directory連携の設定手順

UTX100/UTX200にWindows Server Active Directory(以下「AD」と記載します)を登録し、ADサーバーとUTXを連携させる手順について説明します。

ADサーバーと【ユーザ認識】と連携することで、以下の用途に利用可能です。

  1. 構成例
  2. ADサーバーの登録
  3. セキュリティーログ/レポートへのユーザーの反映
  4. ファイアウォールポリシーにADユーザーグループを指定
  5. ADユーザーグループをリモートアクセス認証に利用
  6. Q&A

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ 設定手順はルーター/ブリッジモードで共通です。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001960) のキャプチャーになります。

1. 構成例

ADサーバー構成
OSWindows Server 2012
IPアドレス192.168.99.100
ドメインad.local
ユーザーIDyamaha-utx(ドメインの管理権限を持ったユーザー)
パスワードYamaha123!
ユーザー情報
ユーザー名所属グループ
1. eigyouser1eigyo, remoteusers
2. supportuser1support, remoteusers

2. ADサーバーの登録

2-1. ADサーバーの登録

  1. UTXのWeb GUIにログインします
  2. 左メニューから【ユーザ&オブジェクト】 > 【認証サーバ】に移動します
  3. Active Directory欄の【新規】をクリックします
  4. 【新しいACTIVE DIRECTORY ドメイン】ウィンドウに以下のADサーバー情報を入力します
    ドメインad.local
    IPアドレス192.168.99.100
    ユーザ名yamaha-utx(ドメインの管理権限を持ったユーザー)
    パスワードYamaha123!
  5. 上記の設定値を入力後、【検索】をクリックします
  6. 「ユーザDN」に情報が追加されたことを確認し、【適用】をクリックします
  7. Active Directory 一覧にADサーバーが追加されたら、ADサーバーの登録は完了です

2-2. ADクエリーを有効にする

ADの登録完了後、UTXでADサーバーを利用するため、Active Directoryクエリを有効にする必要があります。

  1. UTMのWeb GUIより、【ユーザ&オブジェクト】タブ > 【ユーザ認識】に移動します
  2. ポリシー設定の【ActiveDirectoryクエリ】にチェックを入れ、【適用】をクリックします

以上で、UTXとADサーバーの連携が完了します。

2-3. ADサーバーとの同期について

UTXとADサーバーとの同期は24時間間隔で実施されます。この同期間隔は変更することができません
そのため、ADの変更を即時反映したい場合、手動で同期する必要があります。手動同期は以下の手順で実施します。

  1. 【ユーザ&オブジェクト】タブから【認証サーバ】のメニューを開きます
  2. 同期するADの編集画面を開きます
  3. 【適用】をクリックします

3. セキュリティーログ/レポートへのユーザの反映

3-1. セキュリティーログへの反映

ADクエリを有効にすることにより、ADに登録されたドメインのユーザー情報がUTXのセキュリティーログ/レポートに反映されます。

例として、[ファイル共有アプリケーションをブロック]が有効になっている環境で、[supportuser1] が Dropbox へアクセスし、ブロックされたログの図を示します。以下の図では、【ユーザ】の行にADのユーザー名が表示されています。

また、以下の図(セキュリティーログの詳細)では、送信元のマシン名やユーザー名が表示されています。

3-2. セキュリティーレポートへの反映

ADと連携することにより、セキュリティーレポートでは【上位ユーザ】ページが表示されるようになります。

【上位ユーザ】ページでは以下の項目が表示されます。

※ 2バイト文字(日本語の全角文字等)の表示には対応していないため、ADユーザーの表示名が日本語表記の場合、セキュリティーログ/レポートの表記は文字化けして表示されます。

4. ファイアウォールポリシーにADユーザーグループを指定

ADクエリを有効にすることにより、ファイアウォールのアクセスポリシーの【ソース】にADのユーザーグループを指定することが可能です。

以下に、[support]グループに所属しているユーザーは[yahoo.co.jp] のアクセスをブロックするポリシーの作成例を記載します。

  1. UTXのWeb GUIで、【アクセスポリシー】タブ > 【ポリシー】に移動します
  2. [インターネットへの外部アクセス]の【新規】をクリックします
  3. 【ソース】の【AD】タブを開きます
  4. ADユーザーグループ(ここでは[support])を指定します
  5. カスタムアプリケーションを作成し [*yahoo.co.jp*] を指定します
  6. アクションが【ブロック】になっていることを確認し、【適用】をクリックします
  7. [support]グループに所属しているユーザーのPCで、https://www.yahoo.co.jp にアクセスし、正常にブロックされたことを確認します

5. ADユーザーグループをリモートアクセス認証に利用

ADクエリを有効にすることにより、リモートアクセスVPN用にADのユーザーグループを利用することが可能です。

以下に、[remoteusers]グループに所属しているユーザーにリモートアクセス権限を付与する設定例を記載します。

  1. UTXのWeb GUIより、【VPN】タブ -> 【リモートアクセスユーザ】に移動します
  2. 【追加】横の【▼】をクリックし、【Active Directoryグループ】を選択します
  3. ユーザーグループ一覧より【remoteusers】を選択し、【適用】をクリックします
  4. リモートアクセスユーザ一覧にADのユーザーグループが追加されたら、リモートアクセスに利用可能となります
  5. ADユーザーのユーザー名/パスワードでリモートアクセスVPNの接続ができることをご確認ください

5-1. 2要素認証の利用について

UTXでは、リモートアクセスVPN機能でSMS送信による2要素認証を利用することができます。ADユーザーで2要素認証を利用する際は、Windows Server上でADを以下のように設定してください。

  1. ADユーザーのプロパティを開きます
  2. 【電話】のタブを開きます
  3. 【携帯電話番号】の欄に、SMSの送信先として利用する番号を入力します
  4. 「OK」をクリックします

    ※ ADサーバー上での設定変更を即時反映したい場合は、UTX側で手動同期を実施してください(「2-3. ADサーバーとの同期について」を参照)。

6. Q&A

Q1) ADサーバーを複数登録することは可能ですか?

はい。複数登録することも可能です。
2. ADサーバーの登録」と同じ手順で追加してください。

Q2) 特定のユーザーのみにファイアウォールポリシーを適用することは可能ですか?

できません。
ユーザーが所属するADユーザーグループを指定いただく必要があります。

Q3) セキュリティーログ/レポートに表示されるユーザー名が文字化けしている

UTXでは2バイト文字(日本語の全角文字)の表示には対応していないため、ADユーザー名が日本語表記の場合、セキュリティーログ/レポートの表記は文字化けして表示されます。

Q4) ポリシー作成の際、ユーザーグループが一覧に表示されない

UTXにADを連携後、ADで新たにユーザーグループが追加された場合は、ADサーバーと手動で同期する必要があります。
詳細については「2-3. ADサーバーとの同期について」をご参照ください。

Q5) UTXがルーターモード以外でもADとの連携は可能ですか?

はい。ブリッジモードでもAD連携は可能です。

Q6) レポートの【感染したデバイス】【危険にさらされたホスト】にユーザー名が表示されない

【感染したデバイス】【危険にさらされたホスト】にはADのユーザー名は表示されません。
検出時のホストのIPアドレスが表示されます。

[EOF]