マスタサーバの管理サービスが定期的にLDAPサーバの状態を監視して、LDAPサーバが停止して いて応答がない場合に自動的に切り離したり、再接続したりする条件を設定します。
自動管理 マスターサーバの管理サービスが連携するLDAPサーバの状態監視 により、サーバの自動切り離し・自動再接続を行う場合に[有効]
チェックボックスをオンにします。
自動切り離し条件 接続が不可能になったLDAPサーバの自動切り離しを行う監視失敗 回数のしきい値を、1~100000回の範囲で設定します。
自動再接続条件 接続が可能になったLDAP サーバの自動再接続を行う監視成功回数 のしきい値を、1~100000 回の範囲で設定します。
5.
[保存]ボタンをクリックします。確認のダイアログが表示されます。
[保存]ボタンをクリックしないと、変更した内容は保存されません。設定を変更する場合 は、必ず[保存]ボタンをクリックしてください。
6.
[OK]ボタンをクリックします。以上で、LDAPサーバとの連携設定は完了です。
■LDAP サーバとの自動連携設定
LDAPサーバとの自動連携機能を使用することで、LDAPサーバに登録されたグループおよびユーザに 対して、適切なフィルタリングの設定を自動で適用します。
LDAPサーバとの自動連携を設定すると、LDAPサーバの組織構成をインポートし、WebFilterで利用す るグループを自動構築します。
LDAP側での組織構成
㫆㫌㪔㫄㪼㫄㪹㪼㫉㪃㪻㪺㪔㫅㪼㫋㫊㫋㪸㫉㪃㪻㪺㪔㫁㫇
㫆㫌㪔㫋㪾㫉㫆㫌㫇㪈 㫆㫌㪔㫊㪾㫉㫆㫌㫇㪈 㫆㫌㪔㫊㪾㫉㫆㫌㫇㪉 㫆㫌㪔㫋㪼㪺㪿 㫆㫌㪔㫊㪸㫃㪼
WebFilterで自動構築されるグループ
䊦䊷䊃䉫䊦䊷䊒
㫋㪾㫉㫆㫌㫇㪈 㫊㪾㫉㫆㫌㫇㪈 㫊㪾㫉㫆㫌㫇㪉 㫋㪼㪺㪿
㪣㪛㪘㪧䉫䊦䊷䊒 㫊㪸㫃㪼
このときWebFilter側でユーザ情報は作成されません。空のグループだけが作成されます。このグルー
プに対して適宜フィルタリングの設定を適用します。フィルタリングの設定については、「第4章 フィ ルタリングの設定」(103ページ)を参照してください。
LDAP連携を設定している場合、WebFilterにインターネットの接続要求があると、まずLDAPサーバで 認証をします。LDAPサーバに登録されているユーザの場合は、アカウント名とグループ名がWebFilter に通知されます。
䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛
䝸䜽䜶䝇䝖 䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛
ㄆド
䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛
ㄆドᡂຌ
䝴䞊䝄䠖㼔㼍㼚㼍㼗㼛䛾 䜾䝹䞊䝥ྡ䛸䜰䜹䜴䞁䝖ྡ
㼟㼍㼘㼑 㻌䡘 㻌䓒㻌㼟㼓㼞㼛㼡㼜㻌㻝 䚷䚷㻌䡘
䓒㻌㻌㼔㼍㼚㼍㼗㼛 㼟㼍㼘㼑
㻌䡘 㻌䓒㻌㼟㼓㼞㼛㼡㼜㻌㻝 䝣䜱䝹䝍䝸䞁䜾タᐃ
㼟㼓㼞㼛㼡㼜㻝䛷䜲䞁䝍䞊䝛䝑䝖᥋⥆
㼃㼑㼎㻲㼕㼘㼠㼑㼞 㻸㻰㻭㻼䝃䞊䝞
䜽䝷䜲䜰䞁䝖㻼㻯
ユーザhanakoはWebFilterに登録されていませんが、sgroup1グループのユーザとしてフィルタリングを
します。
WebFilterは、受け取ったアカウント名が登録されていれば、そのアカウントのフィルタリングルールを
参照します。アカウント名が登録されていない場合は、受け取ったグループ名のフィルタリングルール を参照します。グループも登録されていない場合は、認証エラーまたは未登録ユーザとしてフィルタリ ングをします。
LDAPサーバで新たにグループが追加された場合は、次回の自動更新時にWebFilterに追加されます。
追加されたグループのフィルタリングルールは、上位グループの設定がコピーされます。
第一階層のグループが追加された場合は、ルートグループのフィルタリングルールがコピーされます。
• [認証設定]画面のLDAPグループ特定方式で[グループ毎にユーザ抽出条件を設定する] を選
択している場合、自動連携設定は使用できません。
• LDAPサーバとの自動連携では、グループ単位でフィルタリングルールを設定します。アカ ウント単位では設定できません。ユーザにフィルタリングルールを設定したい場合や、グ ループ管理者を設定したい場合は、LDAPサーバとの同期を実行し、アカウント情報を
WebFilterにインポートしてください。インポート後にユーザなどの設定ができるようになり
ます。
• インポートしたアカウントを、別の任意のグループに移動することもできます。アカウント を移動した場合は、移動後のグループのフィルタリングルールが適用されます。
LDAP サーバと同期する
Basic認証(LDAP連携)、NTLM認証またはKerberos認証設定後、登録したLDAPサーバをWebFilterと 同期させます。LDAPサーバとの同期設定は、[認証設定] 画面で選択したLDAPグループ特定方式の設 定により異なります。
■ユーザの DN からグループ階層を特定する場合
[認証設定]画面で[LDAPグループ特定方式]に[ユーザのDNからグループ階層を特定する]を選択した場
合、次の手順でLDAPサーバとの同期設定をします。
LDAPサーバと自動連携する場合、同期設定をしなくても運用できます。この場合には、グルー プ情報だけを自動連携で同期してください。
1.
[グループ/ユーザ管理]-[LDAPユーザ同期]をクリックします。[LDAPユーザ同期]が表示されます。
[グループ/ユーザ管理]-[LDAPユーザ同期]は、[サーバ管理]-[認証設定]-[認証方式]で[BASIC 認証]-[LDAP連携を行う]または[NTLM認証]または[Kerberos認証]を設定した場合だけ、設 定可能になります。 認証設定方法については、「Basic認証(LDAP連携)を設定する」(37ペー ジ) または「NTLM認証を設定する」(38ページ)または「Kerberos認証を設定する」(40ペー ジ)を参照してください。
2.
[ユーザ情報同期]-[未登録アカウント一覧]で、LDAPサーバと同期するアカウント、グループのチェックボックスをオンにして [登録]ボタンをクリックします。
[登録]ボタンをクリックすると、選択したアカウント情報およびグループ構造が、WebFilterにイン
ポートされます。
[全登録]ボタンをクリックすると、[未登録アカウント一覧]のすべてのアカウント情報およびグ ループ構造が、WebFilterにインポートされます。
LDAP 連携を設定すると、アカウントやパスワードの認証はLDAPサーバで実行されます。
WebFilterではパスワードなどの情報を持たないため、アカウントの登録/削除、パスワード
の変更はできません。IPアドレスをユーザ名として登録したユーザは、登録/削除できま す。
LDAPサーバから削除されたアカウントやグループは、[削除候補アカウント一覧]に表示されます。
WebFilterのグループ/ユーザ情報からも削除する場合、削除するアカウント、グループを選択して
[削除]ボタンをクリックしてください。
[全削除]ボタンをクリックすると、一覧に表示されているアカウント、グループをすべて削除しま す。
以上で、LDAPサーバ同期の設定は完了です。
LDAPサーバでの認証に失敗したアカウントは、[認証設定]-[未登録ユーザ設定]の設定によって、適用 されるフィルタリングルールが異なります。
設定 適用されるフィルタリングルール
未登録ユーザ設定が有効に設 定されている場合
未登録ユーザのフィルタリング設定が適用されます。
未登録ユーザ設定が無効に設 定されている場合
WebFilterでの認証は無効になり、エラー画面が表示されます。
■グループごとにユーザ抽出条件を指定する場合
[サーバ管理]-[認証設定]-[LDAPグループ特定方式]で[グループ毎にユーザ抽出条件を指定する]を選択
した場合のLDAPサーバとの同期設定について説明します。
●グループにユーザを取り込む条件を設定する
グループごとにユーザを取り込む条件、および、同一ユーザが複数のグループに所属する場合に取り込 むグループの優先順位を設定します。
ユーザを取り込む条件およびグループ登録の優先順位はシステム管理者(ADMINグループに所 属するユーザ)のみ設定できます。
1.
[グループ/ユーザ管理]-[グループ管理]をクリックします。[グループ管理]が表示されます。
2.
グループ一覧から、抽出条件を設定するグループ名をクリックします。設定画面にグループの設定内容が表示されます。グループ一覧で下の階層を開くには、グループ名 の[+]をクリックします。
3.
[LDAP設定]タブをクリックします。4.
[編集]ボタンをクリックします。[LDAP設定編集]が表示されます。
5.
[アカウント抽出条件を設定する]チェックボックスをオンにします。[アカウント抽出条件を設定する]チェックボックスをオンにしたグループに対してのみ、
ユーザの取り込みを行います。該当するグループがない場合、「LDAP」グループとして取 り込みを行います。
6.
グループに取り込むアカウントの条件と、優先順位を設定します。「グループごとにユーザ抽出条件を指定する場合」(50ページ)を参照して、属性名と属性値を設定 してください。
また、[↑]、[↓]ボタンをクリックすると、取り込む優先順位が高い順にグループを並び替えでき ます。
• Active Directoryのセキュリティグループからアカウントを抽出する場合、属性名は
「memberOf」に設定してください。
• アカウント抽出条件と優先順位はLDAPサーバと同期するときにも変更できます。
• グループを新規登録する場合、登録するグループは「/新規登録グループ/」として表示さ れます。
7.
[保存]ボタンをクリックします。確認のダイアログが表示されます。
[保存]ボタンをクリックしないと、変更した内容は保存されません。設定を変更する場合 は、必ず[保存]ボタンをクリックしてください。
8.
[OK]ボタンをクリックします。LDAPグループ特定条件の設定が有効になります。
以上で、LDAPサーバからユーザを抽出して、WebFilterのグループに取り込む条件の設定が完了しまし た。続いて、LDAPサーバと同期して、ユーザをWebFilterのグループに取り込みます。
●LDAP サーバと同期してユーザ情報を取り込む
LDAPサーバとの連携設定、グループユーザを取り込む条件の設定が完了したら、LDAPサーバと同期 してユーザ情報をWebFilterに取り込みます。
• [サーバ管理]-[認証設定]-[LDAPグループ特定方式]で[グループ毎にユーザ抽出条件を指定す
る]を選択した場合、LDAPサーバとの自動連携はできません。
LDAPサーバでアカウントの変更が発生した場合には、[LDAPユーザ同期]画面で再度ユーザ 情報を取り込んでください。
• 認証に成功していて、WebFilterに取り込まれていないユーザは、LDAPグループのフィルタ リング設定が適用されます。
1.
[グループ/ユーザ管理]-[LDAPユーザ同期]をクリックします。[LDAPユーザ同期]画面が表示されます。
2.
[グループ特定条件]でグループ名をクリックすると、抽出条件を変更できます。変更後、[保存]ボ タンをクリックすると、変更した条件でアカウント情報が抽出されます。
3.
[ユーザ情報同期]-[未登録アカウント一覧]でLDAPサーバと同期するアカウント、グループを選択して[登録]ボタンをクリックします。
[登録]ボタンをクリックすると、選択したアカウント情報が、設定したグループに取り込まれます。
[全登録]ボタンをクリックすると、すべてのアカウント情報が、設定したグループに取り込まれま す。
LDAP連携を設定すると、アカウントやパスワードの認証はLDAPサーバで実行されます。
WebFilterではパスワードなどの情報を持たないため、アカウントの登録/削除、パスワード
の変更はできません。IPアドレスをユーザ名として登録したユーザは、登録/削除できま す。
LDAPサーバから削除されたアカウントやグループは、[削除候補アカウント一覧]に表示されます。
WebFilterのグループ/ユーザ情報からも削除する場合、削除するアカウント、グループを選択して
[削除]ボタンをクリックしてください。
[全削除]ボタンをクリックすると、一覧に表示されているアカウント、グループをすべて削除しま す。
以上で、LDAPサーバの同期設定は完了です。
未登録アカウントは、設定したアカウント抽出条件に一致するグループの有無によって、適用される フィルタリングルールが異なります。
設定 適用されるフィルタリングルール
一致するグループがある場 合
抽出条件に一致するグループのフィルタリング設定が適用されます。
一致するグループが複数ある場合、優先順位の高いグループの設定が適 用されます。
一致するグループがない場 合
LDAPグループのフィルタリング設定が適用されます。
Active Directory 連携時の LDAP サーバ設定
ユーザ認証方式としてNTLM認証またはKerberos認証を選択した場合、LDAPグループ特定方式によっ て「検索ベース」、「管理アカウント」、「検索条件」の設定が異なります。
それぞれの特定方式にあわせて設定してください。
■ユーザの DN からグループ階層を特定する場合
WindowsのAcitvie Directoryと連携する場合、[サーバ管理]-[LDAPサーバ設定]-[サーバを登録]で、Active
Directoryの設定にあわせてWebFilterの「検索ベース」と「管理者アカウント」を設定してください。
Active Directory での設定例
ドメインの名前空間 tsr_test.netstar.jp すべてのユーザが所属する
ルートグループ
root_group 管理者アカウント yamada
管理者アカウントは、usersディレクトリの「Domain Users」に所属するメンバーです。
WebFilter での設定例
検索ベース ou=root_group,dc=tsr_test,dc=netstar,dc=jp