ユーザー認証のための Active Directory や LDAP サーバーの構成

IBM® QRadar® Network Packet Capture は、既存の認証プロバイダーを使用してセキュリティー・インフラストラクチャーに統合されます。 「認証および許可 (AUTHENTICATION AND AUTHORIZATION)」ウィジェットを使用して、Active Directory および LDAP を構成します。 QRadar Network Packet Capture は、Microsoft ® Active Directory サービスまたは LDAP サーバーによって指定されたフルユーザー認証をサポートします。 デフォルトでは、認証ソースとしての Microsoft® Active Directory サーバーおよび LDAP サーバーは無効になっています。

始める前に

管理者として QRadar Network Packet Capture アプライアンス にログインします。

手順

  1. QRadar Network Packet Captureで、 「管理」 タブをクリックし、 「認証と許可 (AUTHENTICATION AND AUTHORIZATION)」 ウィジェットに移動します。
  2. 適切な サーバー・タイプを選択し、 適用をクリックします。
    構成するパラメーターは、認証サーバーのタイプによって異なります。
    注: ユーザーが認証を要求したときに 1 次認証および許可サーバーにアクセスできない場合は、DNS 名に対してサービス・レコード (SRV) 検索が実行されます。 解決された SRV IP アドレスのリストはセカンダリー認証サーバーとして使用されます。
    重要: Active Directory が有効になっている場合、ユーザー名は、 \\[domain]\[user name][user name]@[domain]などの完全修飾ドメイン名でなければなりません。

    以下の表を使用して、適切な「サーバー・タイプ」を選択して構成してください。

    パラメーター サーバー・タイプ 説明 デフォルト
    Active Directory または LDAP サーバーと通信するためのプロトコル (Protocol for communicating with the Active Directory or LDAP server) すべて プロトコルおよび暗号化方式。 使用できる値:
    • LDAP
    • LDAP + TLS
    • LDAP + SSL
    		 LDAP
    Active Directory または LDAP サーバーのホスト名または IP アドレス (Host name or IP address of the Active Directory or LDAP server) すべて   N/A
    Active Directory または LDAP サーバーに接続するポート番号 (Port number to connect to on the Active Directory or LDAP server) すべて   389
    Active Directory または LDAP サーバーへの接続のタイムアウト (秒) (Timeout in seconds of the connection to the Active Directory or LDAP server) すべて   25 秒
    基本ドメイン名 (Base Domain Name) すべて 照会を開始する場所の識別名。 N/A
    管理者レベルのグループ (Administrator level group) すべて 管理者レベルの特権を識別するために使用するグループの名前 N/A
    オペレーター・レベルのグループ (Operator level group) すべて オペレーター・レベルの特権を識別するために使用するグループの名前 N/A
    モニター・レベルのグループ (Monitor level group) すべて モニター・レベルの特権を識別するために使用するグループの名前 N/A
    フィルター LDAP 項目が満たさなければならない条件 N/A
    フィルターの有効範囲 (Scope of the filter) LDAP

    使用できる値:

    • ベース
    • 1 レベル
    • サブツリー
    		 サブツリー
    ユーザーへのグループの割り当てに使用する属性名 (Attribute name used for assigning groups to users) LDAP グループ名を含む、返されるオブジェクト属性の名前。  

    LDAP サーバーにバインディングする際に使用される LDAP ユーザー・ベース

    		 LDAP ユーザーがショート・ユーザー名を使用してログインできるようにする認証情報を指定します。

    例えば、以下のように指定できます。

    cn={},dc=company,dc=com

    ここで、{} はユーザー名を表し (例えば、admin)、company.com はドメインです。

    以下にもう 1 つ例を示します。

    uid={},ou=people,

    dc=company,dc=com

    この USERBASE フィールドが設定されている場合、ユーザーは、完全修飾ドメイン名を指定することなく、ショート・ユーザー名 (例えば、admin) を使用してログオンできます。