MEMO
3. LDAP サーバとの連携を設定します。
[自動連携]-[自動連携設定]
自動更新 LDAPサーバのグループ構造を定期的にインポートするかどうか を選択します。自動連携設定については、「LDAPサーバとの自動 連携設定」(41ページ)を参照してください。
更新時刻 LDAPサーバのグループ構造をインポートする時刻を設定します。
最大で1日3回インポートする時刻を指定できます。
• すぐにLDAPサーバのグループ構造をインポートする場合は、[連携情報更新]-[連携情 報更新]の[更新]ボタンをクリックしてください。
• [認証設定]画面のLDAPグループ特定方式で[グループ毎にユーザ抽出条件を設定す
る]を選択している場合、自動連携設定、連携情報更新は表示されません。また、自動 連携設定が有効に設定されていても、動作しません。
4.
[保存]ボタンをクリックします。確認のダイアログが表示されます。
[保存]ボタンをクリックしないと、変更した内容は保存されません。設定を変更する場合 は、必ず[保存]ボタンをクリックしてください。
5.
[OK]ボタンをクリックします。以上で、LDAPサーバとの連携設定は完了です。
■LDAP サーバとの自動連携設定
LDAPサーバとの自動連携機能を使用することで、LDAPサーバに登録されたグループおよびユーザに 対して、適切なフィルタリングの設定を自動で適用します。
LDAPサーバとの自動連携を設定すると、LDAPサーバの組織構成をインポートし、WebFilterで利用す るグループを自動構築します。
LDAP側での組織構成
㫆㫌㪔㫄㪼㫄㪹㪼㫉㪃㪻㪺㪔㫅㪼㫋㫊㫋㪸㫉㪃㪻㪺㪔㫁㫇
㫆㫌㪔㫋㪾㫉㫆㫌㫇㪈 㫆㫌㪔㫊㪾㫉㫆㫌㫇㪈 㫆㫌㪔㫊㪾㫉㫆㫌㫇㪉 㫆㫌㪔㫋㪼㪺㪿 㫆㫌㪔㫊㪸㫃㪼
WebFilterで自動構築されるグループ
䊦䊷䊃䉫䊦䊷䊒
㫋㪾㫉㫆㫌㫇㪈 㫊㪾㫉㫆㫌㫇㪈 㫊㪾㫉㫆㫌㫇㪉 㫋㪼㪺㪿
㪣㪛㪘㪧䉫䊦䊷䊒 㫊㪸㫃㪼
このときWebFilter側でユーザ情報は作成されません。空のグループだけが作成されます。このグルー
プに対して適宜フィルタリングの設定を適用します。フィルタリングの設定については、「第4章 フィ ルタリングの設定」(85ページ)を参照してください。
LDAP連携を設定している場合、WebFilterにインターネットの接続要求があると、まずLDAPサーバで 認証をします。LDAPサーバに登録されているユーザの場合は、アカウント名とグループ名がWebFilter に通知されます。
䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛
䝸䜽䜶䝇䝖 䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛
ㄆド
䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛
ㄆドᡂຌ
䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛䛾 䜾䝹䞊䝥ྡ䛸䜰䜹䜴䞁䝖ྡ
㼟㼍㼘㼑 㻌䡘 㻌䓒㻌㼟㼓㼞㼛㼡㼜㻌㻝 䚷䚷㻌䡘
䓒㻌㻌㼔㼍㼚㼍㼗㼛 㼟㼍㼘㼑
㻌䡘 㻌䓒㻌㼟㼓㼞㼛㼡㼜㻌㻝 䝣䜱䝹䝍䝸䞁䜾タᐃ
㼟㼓㼞㼛㼡㼜㻝䛷䜲䞁䝍䞊䝛䝑䝖᥋⥆
㼃㼑㼎㻲㼕㼘㼠㼑㼞 㻸㻰㻭㻼䝃䞊䝞
䜽䝷䜲䜰䞁䝖㻼㻯
ユーザhanakoはWebFilterに登録されていませんが、sgroup1グループのユーザとしてフィルタリングを
します。
WebFilterは、受け取ったアカウント名が登録されていれば、そのアカウントのフィルタリングルールを 参照します。アカウント名が登録されていない場合は、受け取ったグループ名のフィルタリングルール を参照します。グループも登録されていない場合は、認証エラーまたは未登録ユーザとしてフィルタリ ングをします。
LDAPサーバで新たにグループが追加された場合は、次回の自動更新時にWebFilterに追加されます。
追加されたグループのフィルタリングルールは、上位グループの設定がコピーされます。
第一階層のグループが追加された場合は、ルートグループのフィルタリングルールがコピーされます。
• [認証設定]画面のLDAPグループ特定方式で[グループ毎にユーザ抽出条件を設定する] を選
択している場合、自動連携設定は使用できません。
• LDAPサーバとの自動連携では、グループ単位でフィルタリングルールを設定します。アカ ウント単位では設定できません。ユーザにフィルタリングルールを設定したい場合や、グ ループ管理者を設定したい場合は、LDAPサーバとの同期を実行し、アカウント情報を
WebFilterにインポートしてください。インポート後にユーザなどの設定ができるようになり
ます。
• インポートしたアカウントを、別の任意のグループに移動することもできます。アカウント を移動した場合は、移動後のグループのフィルタリングルールが適用されます。
LDAP サーバと同期する
Basic認証(LDAP連携)またはNTLM認証設定後、登録したLDAPサーバをWebFilterと同期させます。
LDAPサーバとの同期設定は、[認証設定] 画面で選択したLDAPグループ特定方式の設定により異なり ます。
■ユーザの DN からグループ階層を特定する場合
[認証設定]画面で[LDAPグループ特定方式]に[ユーザのDNからグループ階層を特定する]を選択した場
合、次の手順でLDAPサーバとの同期設定をします。
LDAPサーバと自動連携する場合、同期設定をしなくても運用できます。この場合には、グルー プ情報だけを自動連携で同期してください。
1.
[サーバ管理]-[LDAP同期設定]をクリックします。[LDAP同期設定]が表示されます。
[サーバ管理]-[LDAP同期設定]は、[サーバ管理]-[認証設定]-[認証方式]で[BASIC
認証]-[LDAP連携を行う]または[NTLM認証]を設定した場合だけ、設定可能になります。 認証設
定方法については、「Basic認証(LDAP連携)を設定する」(35ページ) または「NTLM認証を 設定する」(36ページ)を参照してください。
2.
[ユーザ情報同期]-[未登録アカウント一覧]で、LDAPサーバと同期するアカウント、グループのチェックボックスをオンにして [登録]ボタンをクリックします。
[登録]ボタンをクリックすると、選択したアカウント情報およびグループ構造が、WebFilterにイン
ポートされます。
[全登録]ボタンをクリックすると、[未登録アカウント一覧]のすべてのアカウント情報およびグ ループ構造が、WebFilterにインポートされます。
LDAP 連携を設定すると、アカウントやパスワードの認証はLDAPサーバで実行されます。
WebFilterではパスワードなどの情報を持たないため、アカウントの登録/削除、パスワード
の変更はできません。IPアドレスをユーザ名として登録したユーザは、登録/削除できま す。
LDAPサーバから削除されたアカウントやグループは、[削除候補アカウント一覧]に表示されます。
WebFilterのグループ/ユーザ情報からも削除する場合、削除するアカウント、グループを選択して
[削除]ボタンをクリックしてください。
[全削除]ボタンをクリックすると、一覧に表示されているアカウント、グループをすべて削除しま す。
以上で、LDAPサーバ同期の設定は完了です。
LDAPサーバでの認証に失敗したアカウントは、[認証設定]-[未登録ユーザ設定]の設定によって、適用 されるフィルタリングルールが異なります。
設定 適用されるフィルタリングルール
未登録ユーザ設定が有効に設 定されている場合
未登録ユーザのフィルタリング設定が適用されます。
未登録ユーザ設定が無効に設 定されている場合
WebFilterでの認証は無効になり、エラー画面が表示されます。
■グループごとにユーザ抽出条件を指定する場合
[サーバ管理]-[認証設定]-[LDAPグループ特定方式]で[グループ毎にユーザ抽出条件を指定する]を選択
した場合のLDAPサーバとの同期設定について説明します。
●グループにユーザを取り込む条件を設定する
グループごとにユーザを取り込む条件、および、同一ユーザが複数のグループに所属する場合に取り込 むグループの優先順位を設定します。
ユーザを取り込む条件およびグループ登録の優先順位はシステム管理者(ADMINグループに所 属するユーザ)のみ設定できます。
1.
[グループ/ユーザ管理]-[グループ管理]をクリックします。[グループ管理]が表示されます。
2.
グループ一覧から、抽出条件を設定するグループ名をクリックします。設定画面にグループの設定内容が表示されます。グループ一覧で下の階層を開くには、グループ名 の[+]をクリックします。
3.
[LDAP設定]タブをクリックします。4.
[編集]ボタンをクリックします。[LDAP設定編集]が表示されます。
5.
[アカウント抽出条件を設定する]チェックボックスをオンにします。[アカウント抽出条件を設定する]チェックボックスをオンにしたグループに対してのみ、
ユーザの取り込みを行います。該当するグループがない場合、「LDAP」グループとして取 り込みを行います。
6.
グループに取り込むアカウントの条件と、優先順位を設定します。「グループごとにユーザ抽出条件を指定する場合」(43ページ)を参照して、属性名と属性値を設定 してください。
また、[↑]、[↓]ボタンをクリックすると、取り込む優先順位が高い順にグループを並び替えでき ます。
• Active Directoryのセキュリティグループからアカウントを抽出する場合、属性名は
「memberOf」に設定してください。
• アカウント抽出条件と優先順位はLDAPサーバと同期するときにも変更できます。
• グループを新規登録する場合、登録するグループは「/新規登録グループ/」として表示さ れます。
7.
[保存]ボタンをクリックします。確認のダイアログが表示されます。
[保存]ボタンをクリックしないと、変更した内容は保存されません。設定を変更する場合 は、必ず[保存]ボタンをクリックしてください。
8.
[OK]ボタンをクリックします。LDAPグループ特定条件の設定が有効になります。
以上で、LDAPサーバからユーザを抽出して、WebFilterのグループに取り込む条件の設定が完了しまし た。続いて、LDAPサーバと同期して、ユーザをWebFilterのグループに取り込みます。
●LDAP サーバと同期してユーザ情報を取り込む
LDAPサーバとの連携設定、グループユーザを取り込む条件の設定が完了したら、LDAPサーバと同期 してユーザ情報をWebFilterに取り込みます。
• [サーバ管理]-[認証設定]-[LDAPグループ特定方式]で[グループ毎にユーザ抽出条件を指定す
る]を選択した場合、LDAPサーバとの自動連携はできません。
LDAPサーバでアカウントの変更が発生した場合には、[LDAP同期設定]画面で再度ユーザ情 報を取り込んでください。
• 認証に成功していて、WebFilterに取り込まれていないユーザは、LDAPグループのフィルタ リング設定が適用されます。
1.
[サーバ管理]-[LDAP同期設定]をクリックします。[LDAP同期設定]画面が表示されます。
2.
[ユ ー ザ 情 報 同 期]でLDAPサ ー バ か ら 取 り 込 む ア カ ウ ン ト と 、 ア カ ウ ン ト が 取 り 込 ま れ るWebFilterのグループを確認します。
[グループ特定条件]でグループ名をクリックすると、抽出条件を変更できます。変更後、[保存]ボ タンをクリックすると、変更した条件でアカウント情報が抽出されます。
3.
[ユーザ情報同期]-[未登録アカウント一覧]でLDAPサーバと同期するアカウント、グループを選択して[登録]ボタンをクリックします。
[登録]ボタンをクリックすると、選択したアカウント情報が、設定したグループに取り込まれます。
[全登録]ボタンをクリックすると、すべてのアカウント情報が、設定したグループに取り込まれま す。
LDAP連携を設定すると、アカウントやパスワードの認証はLDAPサーバで実行されます。
WebFilterではパスワードなどの情報を持たないため、アカウントの登録/削除、パスワード
の変更はできません。IPアドレスをユーザ名として登録したユーザは、登録/削除できま す。
LDAPサーバから削除されたアカウントやグループは、[削除候補アカウント一覧]に表示されます。
WebFilterのグループ/ユーザ情報からも削除する場合、削除するアカウント、グループを選択して
[削除]ボタンをクリックしてください。