LDAP 認証の構成
2024年4月11日
ID 196751
Kaspersky CyberTrace は LDAP ユーザー認証をサポートしており、Kaspersky CyberTrace Web でドメインアカウントでのユーザー認証を可能にします。このセクションでは、このタイプの認証を構成する方法について説明します。LDAP 接続設定パラメータは、構成リファレンスを参照してください。
Kaspersky CyberTrace は、ドメインコントローラが Windows を実行している場合にのみ、Active Directory の使用をサポートしています。Linux ベースのドメインコントローラで Active Directory を使用することは可能ですが、保証はされていません。
Active Directory サーバーのルート証明書は、Kaspersky CyberTrace がインストールされているオペレーティングシステムのシステムストアに配置される必要があります。
[LDAP]セクションでは、次の操作を実行できます:
- LDAP 認証の有効化
- 接続設定の指定
- LDAP サーバーへの接続のテスト
- アカウントフィルタリングの構成
LDAP 認証の有効化
LDAP 認証を有効にするには:
[LDAP is on]スイッチをクリックします。
LDAP サーバーがユーザー認証に使用されます。
LDAP 認証が有効になると、ローカルユーザーアカウントで Kaspersky CyberTrace と対話できます。
接続の設定
[LDAP]タブの[Connection settings]セクションでは、次の設定を指定できます:
- LDAP サーバーの IP アドレスまたは FQDN(完全修飾ドメイン名)、およびポート
グローバルカタログポートを使用して LDAP サーバーに接続します:StartTLS および暗号化なしの接続にはポート 3268、TLS にはポート 3269 を使用します。
- SSL セキュアな接続
Kaspersky CyberTrace Web を使用して、SSL/TLS または STARTTLS を選択して、LDAP サーバーへのセキュアな接続を使用できます。既定では、SSL/TLS プロトコルが選択されています。
Linux では、LDAP サーバーに接続する時に、Kaspersky CyberTrace が証明書を検証します。
証明書が格納されているフォルダー
/etc/ssl/certs
には、ルート証明書へのシンボリックリンクが含まれています。リンクの名前には証明書のハッシュが含まれます。Linux deb 上で実行している場合、証明書名の形式は
update-ca-certificates
ユーティリティによって設定されます。Linux rpm 上で実行している場合、証明書名の形式は、ユーザーが
openssl x509 -in YOUR_CERT_FILE -hash –noout
コマンドを使用して手動で設定します。セキュアな接続を有効にした場合、Kaspersky CyberTrace は、
/etc/ssl/certs
からの証明書を使用して LDAP サーバーを認証します。 - LDAP データベースへのパス
Kaspersky CyberTrace にアクセスできるユーザーアカウントが含まれるデータベースへのパス。
LDAP サーバーへの接続のテスト
下の手順を実行して、LDAP サーバーへの接続が確立されていることを確認します。
LDAP サーバーへの接続をテストするには:
- [Test connection with LDAP]をクリックします。
[Test connection with LDAP]ウィンドウが表示されます。
- 次の設定を指定します:
- テスト接続のユーザー名
- テスト接続のユーザーパスワード
- [Test]をクリックします。
接続テストは、サーバーに接続するために必要な設定をすべて指定した場合にのみ実行できます。
アカウントのフィルタリング
[Accounts filtering]セクションには、管理者およびアナリストアカウントのフィルタリングルールが含まれています。
次のプロパティを構成できます:
- アカウント形式
2 つの形式のいずれかを選択できます:
- User Principal Name
このオプションをオンにすると、ユーザーは、認証の実行時にメールアドレスではないユーザー名を指定する必要があります(たとえば user、user@domain.com ではない)。
- SAM Account Name
このオプションをオンにすると、ユーザーは、認証の実行時にユーザー名を Domain\User の形式で指定する必要があります。
- User Principal Name
- 管理者アカウントフィルター
Active Directory の一般的な名前によって決まる管理者ロールを割り当てる必要があるユーザーを定義する LDAP ユーザーアカウントのフィルター。
この値を指定していない場合、LDAP 認証を使用してログインし、アナリストアカウントフィルターを通過したすべてのユーザーには、アナリストロールが割り当てられます。
- アナリストアカウントフィルター
Active Directory の一般的な名前によって決まるアナリストロールを割り当てる必要があるユーザーを定義する LDAP ユーザーアカウントのフィルター。
この値を指定していない場合、LDAP 認証を使用してログインし、管理者アカウントフィルターを通過していないすべてのユーザーには、アナリストロールが割り当てられます。
例として、下の図でフィルターを構成することにより、[
Admins
]グループのメンバーであるユーザーに管理者ロールが割り当てられ、[Operators
]または[Analysts
]グループのメンバーであるユーザーにアナリストロールが割り当てられます。アカウントフィルターの例
ファイル kl_feed_service.conf の[AdministratorAccountsFilter
]および[AnalystAccountsFilter
]要素に値が含まれており、ログインを試行しているユーザーが指定したグループのいずれにも含まれていない場合、Kaspersky CyberTrace はエラーを返し、このユーザーの Web ユーザーインターフェイスへのアクセスを拒否します。