外部認証の追加 - BlueCat Integrity - 9.5.0

管理ガイド
Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

Address Manager には十分な機能を有する認証サブシステムが組み込まれており、Kerberos、LDAP、Microsoft Active Directory、または RADIUS を通した混合モードの認証がサポートされています。RSA SecurID のサポートは、RADIUS 認証モジュールを介して実行されます。

Address Manager が認証情報をリモート システムと交換する前に、認証子を定義して Address Manager ユーザに関連付ける必要があります。認証子をユーザに割り当てる方法については、「ユーザ グループ」を参照してください。

認証子とは、外部認証システムへの接続を表すシステム オブジェクトのタイプのことです。そのシステムに固有の保護措置が、そのシステムと Address Manager の間の通信に適用されます。Address Manager は、認証システムのプロキシ クライアントとして機能し、Address Manager ユーザの ID を検証します。ユーザのパスワードや資格情報を管理したり検証したりすることはありません。外部認証がユーザを検証すると、Address Manager は、セッションが終了またはタイムアウトするまでそのユーザを有効と見なします。
注: 外部認証は、Address Manager ユーザ管理の代替にはなりません。認証子は、単に資格情報を検証する責任を別のシステムに転換するだけです。

1 人のユーザに複数の認証子を追加することができます。これにより、プライマリ認証子が使用できなくなった場合にセカンダリ認証子を使用することができます。Address Manager が外部サービスと通信できることを確認するために、認証子をテストすることができます。

[認証子] ページを使用すると、Address Manager システムに外部認証を追加することができます。選択した認証子のタイプに応じて、[認証子の追加] ページには異なるテキスト フィールドが表示されます。

注: FQDN が解決可能な AAAA リソース レコードをポイントし、認証システムが IPv6 に完全対応する場合、設計上、IPv6 認証は機能するはずです。この IPv6 認証ソリューションのすべてのテストおよび検証は、必ず実行する必要がありますが、現時点ではサポートされていません。現時点で、IP アドレス構成オプションは IPv6 アドレスをサポートしないため、IPv4 アドレスのみを使用する必要があります。

外部認証を追加するには:

  1. [管理] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[管理] ページにいることを確認します。
  2. [ユーザ管理] で、[認証子] をクリックします。
  3. [認証子] で、[新規] をクリックします。
  4. [認証子] で、認証子のタイプを選択し、認証子に名前を割り当てます。
    • タイプ: KerberosLDAPRadius、または TACACS+ を選択します。
      注:
      • Microsoft Active Directory 向け認証子を作成する際には、LDAP または Kerberos を選択します。LDAP ユーザ グループの使用を考えている場合は、LDAP を選択する必要があります。それ以外の場合は、Kerberos を選択します。LDAP ユーザ グループの詳細については、「LDAP ユーザ グループの追加」を参照してください。
      • RSA SecurID 認証子を作成する場合、Radius を選択します。
    • 名前: 認証子の名前を入力します。
    • ホスト: 認証子の完全修飾ドメイン名または IP アドレスを入力します。
      重要: [ホスト] フィールドにはアンダースコア (_) 文字を使用できません。ホストの FQDN にアンダースコア文字が含まれる場合、ホストの IP アドレスを入力するか、アンダースコア文字が含まれないように FQDN を変更し、アンダースコア文字が含まれない更新された FQDN を入力する必要があります。
    • ホスト (KDC): 認証子のタイプとして Kerberos を選択した場合に表示されます。認証子の完全修飾ドメイン名 (FQDN) または IP アドレスを入力します。
      注: [ホスト] フィールドに FQDN または IP アドレスのいずれかを入力できます。[レルム] フィールドに入力する情報は、大文字にする必要があります。Kerberos サーバと Address Manager の時間が、互いに 1 分以内に同期されていることを確認します。
  5. [追加のプロパティ] で、認証子のプロパティを設定します。このセクションで使用できるフィールドは、選択した認証子のタイプに応じて変わります。
  6. [セカンダリ認証子] で、セカンダリ認証子のオプションを設定します。

    なし: セカンダリ認証子を必要としない場合に選択します。

    特定の認証子: リストから認証子を選択して、セカンダリ認証子として指定します。プライマリ認証子で認証を完了できない場合、セカンダリ認証子が使用されます。リストから [BlueCat Address Manager 認証子] を選択して、Address Manager をセカンダリ認証子として使用します。

  7. 必要に応じて [変更管理] で、コメントを追加します。
  8. [追加] をクリックします。