Active Directory アカウントのログイン・エラーを解決する

有効な Active Directory アカウントを使用して IBM® QRadar® にログインしたときにエラーが発生する場合は、時刻同期の問題があるかどうかを確認してください。

このタスクについて

有効な Active Directory アカウントが QRadar Consoleと同期されていない場合、以下のようなログイン・エラーが発生する可能性があります。

指定されたユーザー名およびパスワードは無効です。 やり直してください。

QRadar サーバーと LDAP 認証サーバーの間でデータを手動で同期することができます。

ユーザー属性またはグループに基づく許可を使用する場合、ユーザー情報は LDAP サーバーから QRadar コンソールに自動的にインポートされます。

LDAP サーバー上で構成される各グループには、 QRadar コンソールで構成される、一致するユーザー役割またはセキュリティー・プロファイルが必要です。一致するグループごとに、ユーザーがインポートされ、そのユーザー・ロールまたはセキュリティー・プロファイルに基づく権限が割り当てられます。

デフォルトでは、同期は 24 時間間隔で実行されます。同期のタイミングは、前回の実行時間に基づいて決まります。例えば、11:45 pm に同期を手動で実行し、同期間隔を 8 時間に設定した場合、次回の同期は 7:45 am に行われます。同期の実行時に、ログイン・ユーザーのアクセス権が変更された場合、セッションが無効になります。ユーザーは、次の要求でログイン画面にリダイレクトされます。

以下の手順を実行します。

手順

Active Directory が最近構成されていない場合は、SSH を使用して root ユーザーとして QRadar にログインします。
以下のコマンドを入力します。

cat /opt/qradar/conf/login.conf
サーバーが Active Directory 認証用に構成されていることを確認します。
例えば、認証済みサーバーは以下のような出力になります。
LDAPServerURL=ldaps://<server>:<port>

< server> オプションは、 QRadar 認証を受信する Active Directory ドメイン・コントローラーです。 389 が、デフォルトの Active Directory LDAP ポートです。
Active Directory ドメイン・コントローラーの IP アドレスをコピーします。
以下のコマンドを入力し、 < server> オプションに Active Directory ドメイン・コントローラー IP アドレスを使用します。

ntpdate -q <server>
オフセット時刻が +/- 300 秒を超えているかどうか確認します。
出力は、以下の例のようになります。
server 192.0.2.0, stratum 3, offset -10774.586000, delay 0.04221 19 Nov 13:59:16 ntpdate[22011]: step time server 192.0.2.0 offset -10774.586000 sec

オフセット時間が +/-300 秒を超える場合、 QRadar Console と Active Directory サーバーの間の時間間隔によって認証の問題が発生します。
以下のコマンドを入力して、 QRadar Web サービスを再始動します。

service tomcat restart

QRadar Web サービスを再始動すると、すべてのユーザーがログオフし、イベントのエクスポートを停止し、レポートの生成を停止します。この手順を完了するには、いくつかのレポートを手動で再開するか、保守時間帯を待つことが必要な場合があります。
QRadar Console システム時刻と Active Directory サーバー・システム時刻が少なくとも 5 分異なる場合は、以下のステップを実行します。
1. 「管理」タブをクリックします。
2. ナビゲーション・メニューで、「システム構成」をクリックします。
3. 「認証」をクリックします。
4. 「認証モジュール」リストで、「LDAP」を選択します。
5. 同期の管理 > 「今すぐ同期を実行」をクリックします。