IDENTITY AWARENESS 設定ガイド (AD クエリ編 ) 1
はじめに 本ガイドは AD サーバと連携してユーザ ( グループ ) ベースでアクセス制御を実現する手順を解説します (AD クエリ ) 本ガイドでは基本的な設定 ポリシーはすでにセットアップ済みであることを想定しています 構成については 分散構成セットアップ ガイド スタンドアロン構成セットアップ ガイド等を参照してください ネットワーク構成としてはスタンドアロン構成セットアップ ガイドと同じ構成を想定しています セキュリティ ポリシーについては ファイアウォール設定ガイドを参照してください [Protected] Distribution or modification is subject to approval 2
サンプル構成 Internet 192.168.100.1 External:192.168.100.0/24 Security Management Security Gateway 3200 10.0.0.15 eth1: 192.168.100.41 Mgmt: 10.0.0.10 10.0.0.12 Internal:10.0.0.0/24 AD サーバ AD クライアント 管理 PC 3
設定前の注意点 ウィザードでは SmartConsole から AD サーバへ直接通信を行い 接続の確認を行います AD サーバへの接続には LDAP ( ポート 389) が使用されます 連携する Security Gateway または Security Management から AD サーバへ接続できることを確認してください AD 情報取得は WMI が利用され AD サーバへは DCE RPC ( ポート 135 から開始 ) が使用されます DCE RPC は最初の通信はポート 135 が使用されますが その後は動的なポートが使用されます WMI 通信を Security Gateway で制御する場合は ルールで ALL_DCE_RCP を許可してください グループ情報の取得には LDAP ( ポート 389) が使用されます 4
AD クエリ利用上の注意 ユーザに関する情報は AD サーバで取得したユーザのログインに関連するイベント ログから行われます ログイン ロックの解除 ネットワーク ドライブへのアクセス等によりイベント ログが生成されます 上記以外のイベント ログが生成されないケースではユーザと IP アドレスの紐付けができないことがあります ユーザと IP アドレスとの紐付けはタイムアウトの設定によって行われます 上記対象イベントが発生した場合はタイムアウトが延長されます 対象イベントが発生しなかった場合 ユーザと IP アドレスとの紐付けが切れてしまいます 再認証を伴うアクティビティの実施や Captive Portal による認証が必要になります 複数のユーザが同一 IP アドレスを使用する環境 (NAT 環境等 ) ではデフォルトではすべてのユーザ情報がタイムアウトまで残ります 5
AD サーバ情報 Windows Server 2016R2 IP アドレス : 10.0.0.15 ドメイン : AD 管理者 : 管理者パスワード : test.local Administrator P@ssw0rd 管理者ではないユーザを利用する場合は sk43874 に従ってください ユーザ情報 ユーザは User1 (User1 Taro) と User2 (User2 Hanako) の 2 人が登録済み グループは GroupA と GroupB が登録済み User1 は GroupA に User2 は GroupB に属する 6
参考 :AD サーバ上のユーザ情報 7
Identity Logging Identity Awareness を Security Management のみに適用することもできます Security Management で利用する Identity Awareness 機能は Identity Logging と呼ばれ Security Management でログを受け取った際に IP アドレスとユーザ情報を紐付けます ログのみの連携になり通信への影響はありません 8
Identity Awareness の設定 Security Gateway で AD サーバと連携してユーザ / グループベー スでアクセス制御するための手順です 9
Identity Awareness ウィザードの開始 Security Gateway のプロパティを開き Identity Awareness にチェックを入れます Identity Awareness 初期設定用のウィザードが開始されます ログのみ取得すしたい場合は後半の Identity Logging のセクションを参照してください 10
ウィザード (1) ユーザ情報をどこから取得するか選択します ここでは [AD Query] を選択します AD Query AD サーバに接続し AD にログインしたユーザの情報を取得します Browser-Based Authentication Security Gateway 上の認証 Web ポータルを利用してユーザの情報を取得します Terminal Server ターミナルサーバ ( 単一サーバを複数人で利用 ) 用のエージェントを利用します 11
ウィザード (2) Create new domain を選択して新しい AD サーバを登録します 以前に AD 連携を行っている場合 既存の設定を利用することもできます Active Directory のドメイン名 ユーザ名 パスワード IP アドレスを入力し Connect をクリックします テスト構成では以下を利用します Domain name : test.local Username : Administrator Password : P@ssw0rd Domain Controller : 10.0.0.15 12
ウィザード (3) Security Gateway および GUI から AD サーバに接続を試みます Successfully connected! が表示されると接続 ( 認証 ) が成功です Next をクリックして次に進みます 接続できない場合以下のようなメッセージが表示されます AD に接続できない環境の場合 Ignore をチェックしてスキップできます 13
ウィザード (4) これでウィザードは終了です Finish をクリックしてウィザードを終了します 14
Identity Awareness プロパティの変更 (1) Security Gateway オブジェクトを開き Identity Awareness ページを表示します 追加のパラメータを設定したり ウィザードで設定した内容を変更することができます Settings をクリックして AD サーバに関する設定を変更します 15
Identity Awareness プロパティの変更 (2) Assume that only one user is connected per computer をチェックします これにより 複数のユーザが同じ IP アドレスで AD にログインした場合 最後にログインしたユーザの情報が利用されます OK をクリックして Active Directory Query ウインドウと Security Gateway プロパティを閉じます卯 16
セッションの公開 (Publish) ウィザードで設定した内容を反映させるため セッションの公開を行います ユーザ情報 (Access Role) を登録するのに必要になります 17
Access Role オブジェクト ユーザやグループの指定には Access Role と呼ばれるオブジェクト使用します Access Role オブジェクトは ルールベースの Source や Destination に利用することができ Access Role の内容に従って制御されます 18
Access Role の作成 (1) オブジェクトパネルで New More User Access Role を選択します 19
Access Role の作成 (2) Access Role に名前を付けます ここでは GroupA とします Networks ページではユーザの属するネットワークを指定できます 特定のサブネット上のユーザのみ 20
Access Role の作成 (3) Users ページでは特定のユーザやグループを指定できます ここでは AD の特定のグループに対する Access Role を作成します Specific users/groups を選択し + をクリックします 21
Access Role の作成 (4) ポップアップが表示され AD サーバからの情報が表示されます AD サーバの情報が多い場合 一部の情報しか表示されません 一覧に表示されない場合 検索することで表示させることができます 対象のグループが見つかったら + をクリックして追加します ここでは GroupA を追加します 22
Access Role の作成 (5) グループが追加されていることが確認できたら OK をクリックします 23
ルールの作成 (1) R80.10 ファイアウォール設定ガイドで作成した以下のポリシーをベースに Identity Awareness を利用した制御に変更します ルール 2 は Internal_Net (10.0.0.0/24) に属する IP アドレスであれば誰でもインターネットに HTTP/HTTPS でアクセスできます これを特定のユーザのみが通信できるように変更します 24
ルールの作成 (2) 不要なオブジェクトの削除 Internal_Net オブジェクトの上で右クリックして Remove を選択します Source カラムが Any になります 25
ルールの作成 (3) Source カラムで + をクリックするとオブジェクト選択画面が開きます 作成した Access Role オブジェクト (GroupA) をピックアップ ( + をクリック ) して追加します Search を利用するとキーワード検索を行いオブジェクトの絞込みができます 26
作成するルール 同様の手順を繰り返して以下のようなルールを作成します ルール1: すべての発信元から DNS サーバへの通信を許可 ルール2: GroupA から Any ( 外部 ) へ http と https 通信を許可 GroupA の Access Role にマッチするユーザのみが対象になります ルール3: Admin_PC から r8010gw に通信を許可 ( 管理用 ) ルール4: クリーンアップ ルールで上記以外を破棄 ルールは上から順番に評価され 最初にマッチしたルールに従って処理されます 27
セッションの公開とポリシーのインストール セッションの公開とポリシーのインストールを行い 変更を反映させます 28
通信の制御 以上で AD と連携するための設定は完了です GroupA に属するユーザのみがインターネットにアクセスできます 29
ログでの確認 Identity Awareness に関する専用のフィルタが用意されています All Identity Awareness に関するすべてのログ Login Activity ログイン / ログアウトに関連するイベント System AD サーバとの連携に関するイベント 30
Identity Awareness ログ (Login Activity) AD サーバにログインしたユーザ情報を確認できます 同じ PC で User1 がログイン ログアウト User2 がログインした際のログです 31
通信ログ 通常の Access ログにユーザ情報が紐付きます GroupA に属する User1 の通信は許可され 属さない User2 の通信はブロックされていることが分かります 32
通信ログ詳細 ( 許可 ) ルール 2 (GroupA を許可 ) で通信が許可されています (User1 は GroupA に属する ) ユーザ情報情報が付加されていますユーザ : User1 33
通信ログ詳細 ( ブロック ) ルール 4 (Clean up ルール ) で通信がブロックされています (User2 は GroupA に属さない ) ユーザ情報情報が付加されていますユーザ : User2 34
Identity Logging Security Management で AD サーバと連携してログ上で IP アド レスとユーザ / グループを紐付けるため手順です 35
Identity Logging について ユーザやグループによる制御は行わず ログとしてのみユーザやマシンの情報を表示したい場合は Identity Logging という仕組みを利用できます Identity Logging では ログを受け取った Security Management サーバで IP アドレスとユーザ / マシンの紐付けを行います Security Gateway の Identity Awareness と合わせて設定することもできますし Security Management の Identity Logging のみ設定することもできます [Protected] Distribution or modification is subject to approval 36
Identity Logging ウィザードの開始 Security Management のプロパティを開き Identity Logging にチェックを入れます Identity Logging 初期設定用のウィザードが開始されます 37
ウィザード (1) Next をクリックして次に進みます Identity Logging では AD サーバの情報のみ利用できます 38
ウィザード (2) Create new domain を選択し 新しい AD サーバを登録します Security Gateway ですでに AD サーバと連携している場合 設定済みの情報を利用することもできます Active Directory のドメイン名 ユーザ名 パスワード IP アドレスを入力し Connect をクリックします テスト構成では以下を利用します Domain name : test.local Username : Administrator Password : P@ssw0rd Domain Controller : 10.0.0.15 39
ウィザード (3) Security Management および GUI から AD サーバに接続を試みます Successfully connected! が表示されると接続 ( 認証 ) が成功です Next をクリックして次に進みます 接続できない場合以下のようなメッセージが表示されます AD に接続できない環境の場合 Ignore をチェックしてスキップできます 40
ウィザード (4) これでウィザードは終了です Finish をクリックしてウィザードを終了します 41
ウィザードの終了 AD 連携設定が完了しました Security Management プロパティを OK をクリックして閉じます 42
セッションの公開とポリシーのインストール セッションの公開とポリシーのインストールを行い 変更を反映させます 43
データベースのインストール Security Management の設定を反映させる場合は Install Database を実行します メニューから Install Database を選択し ポップアップ ウインドウで Install をクリックします 44
ログでの確認 Identity Awareness に関する専用のフィルタを利用できます All Identity Logging に関するログは表示されません 表示したい場合は以下のように検索します Login Activity ログイン / ログアウトに関連するイベント System AD サーバとの連携に関するイベント 45
アクセスログ 通常の Access ログにユーザ情報が紐付きます 46
アクセスログ詳細 ユーザ情報情報が付加されていますユーザ : User1 47
THANK YOU [Protected] Distribution or modification is subject to approval 48