• 検索結果がありません。

ZJTM ADSelfService Plus をインターネットで 安全に利用するためのガイド 1

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "ZJTM ADSelfService Plus をインターネットで 安全に利用するためのガイド 1"

Copied!
8
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 8 ページ )

全文

(1)

1

ADSelfService Plus をインターネットで

安全に利用するためのガイド

(2)

1

目次

本ドキュメントの概要

... 2

ADSelfService Plus をインターネットで利用する

... 2

シナリオ 1: ADSelfService Plus を LAN にインストールした場合

... 2

シナリオ 2: ADSelfService Plus を DMZ にインストールした場合

... 3

リバースプロキシを設定してセキュリティを向上させる

... 4

リバースプロキシの概要と機能

... 4

(3)

2

本ドキュメントの概要

このガイドでは、インターネット経由で ADSelfService Plus をリモートユーザーに安全に利用する手順を紹介します。 また Apache HTTP Server をリバースプロキシとして使用して、ADSelfService Plus をリモートユーザーに安全に配 布する手順を説明します。

始める前に:

製品をインターネットでホストする前に、SSL を ADSelfService Plus で有効化してください。

ADSelfService Plus をインターネットで利用する

シナリオ 1: ADSelfService Plus を LAN にインストールした場合

ADSelfService Plus がローカルエリアネットワーク(LAN)内にインストールされており、サーバーの IP アドレスが

192.168.200.254 、ポート番号が9251、ホスト名がadselfserviceplus-lanである場合を想定します。

LAN 内のユーザーの場合は、ADSelfService Plus にアクセスする URL は

https://adselfserviceplus-lan:9251 、または https://192.168.200.254:9251となります。

ADSelfService Plus にインターネットからアクセスする場合、以下の手順が必要です:

ADSelfService Plus が生成したすべての通知は、パブリック URL で送信されますのでご注意ください。パブリック URL は LAN でも到達可能です。 ⚫ ネットワークサービスプロバイダーの IP アドレスとパブリックホスト名を登録します。 この場合、IP アドレス 64.12.13.11 と、パブリックホスト名 selfservice.yourdomain.com を使用します。 ⚫ selfservice.yourdomain.com の IP アドレスを 64.12.13.11 に解決します。 これは主にインターネットサービスプロバイダーによって処理されます。 ⚫ ファイアウォールのルール(またはルーターのアクセスリスト)を設定して、 IP アドレス 64.12.13.11 への HTTPS リクエストを LAN IP アドレス 192.168.200.254 に リダイレクトします。

⚫ ADSelfService Plus のアクセス URL 設定を新しいパブリック IP で更新します。 管理者 > 製品設定 > 設定に移動して、アクセス URL の設定をクリックします。

(4)

3

シナリオ 2: ADSelfService Plus を DMZ にインストールした場合

ADSelfService Plus が、DMZ にインストールされており、サーバーの IP アドレスが192.168.225.254 、ポート 番号が 9251 、ホスト名が adselfserviceplus-dmz となっている 場合を想定します。この場合においては、 ADSelfService Plus に組み込まれている PostgreSQL を使用することをお勧めします。この組み合わせであ れば、追加の設定が必要ありません。

MS SQL データベースを使用する場合は、以下の手順に従ってください:

データベース設定を終えた PostgreSQL のユーザーと MS SQL のユーザーの場合:

ADSelfService Plus が生成したすべての通知は、パブリック URL で送信されますのでご注意ください。 パブリック URL は LAN でも到達可能です。 以上より、リモートユーザーがインターネットから ADSelfService Plus にアクセスできるようになります。 ⚫ LAN 内の MS SQL データベース:アプリケーションが MS SQL ポート経由で LAN 内のデータ ベースサーバーに到達できるようにファイアウォールのルールを設定してください。 (既定のポートは 1433 です)。 ⚫ DMZ 内の MS SQL データベース:ポート 1433 が、DMZ 内の ADSelfService Plus サーバーから 到達可能になっている必要があります。

⚫ LAN 内のユーザーが ADSelfService Plus に https://adselfserviceplus-dmz:443 でアクセス することができるようにファイアウォールのルールを設定します。アプリケーションは 9251 に インストールされますが、ユーザーは 443 からアクセスする必要がありますので、ご注意ください。 IP アドレス 192.168.225.254、ポート 443 からポート 9251 への HTTPS リクエストが必要になります。 ⚫ ネットワークサービスプロバイダーの IP アドレスとパブリックホスト名を登録します。 この場合、IP アドレス 64.12.13.11 と、パブリックホスト名 selfservice.yourdomain.com を使用します。 ⚫ selfservice.yourdomain.com の IP アドレスを 64.12.13.11 に解決します。 これは主にインターネットサービスプロバイダーによって処理されます。 ⚫ ファイアウォールルール(またはルーターのアクセスリスト)を設定して、HTTPS リクエストを IP アドレス 64.12.13.11 ポート 443 から、LAN IP アドレス 192.168.225.254 ポート 9251 に リダイレクトします。

⚫ ADSelfService Plus のアクセス URL 設定を新しいパブリック IP で更新します。 管理者 > 製品設定 > 設定 に移動して、アクセス URL の設定をクリックします。

(5)

4

リバースプロキシを設定してセキュリティを向上させる

リバースプロキシの概要と機能

始めに、リバースプロキシについてご説明します。コンピューターネットワークにおいて、リバースプロキシは プロキシサーバーの一種であり、1 つ以上のサーバー(ADSelfService Plus)からクライアント(ユーザー)の 代わりにリソースを取得します。これらのリソースはリバースプロキシ自体から取得されたかのようにクライ アントに送信されます。リバースプロキシはウェブアプリケーションのセキュリティを補強し、ネットワークにお ける戦略拠点として活用できます。 図 1:ADSelfService Plus がインターネットでホストされている場合の、DMZ のリバースプロキシサーバー。 上の図で示されているように、ADSelfService Plus はリバースプロキシサーバーに対応しています。上図で は、クライアント(ユーザー)からのリクエストは DMZ のリバースプロキシサーバー(Apache サーバー)から 受信します。そして、リバースプロキシサーバーが、これらのリクエストを LAN 内の ADSelfService Plus のサ ーバーに転送します。必要に応じて、ADSelfService Plus のサーバーは DMZ に配置することもできます。い ずれの場合も、外部の端末が ADSelfService Plus のサーバーに直接接続することはありません。

ファイアウォールは ADSelfService Plus のサーバーへのアクセスを、プロキシサーバーの必要なポートへ のアクセスのみ許可します。

重要:リバースプロキシを有効化した場合、管理者 > 製品設定 > 接続に移動して、アクセス URL の設定をクリックし て、ADSelfService Plus のアクセス URL 設定を更新してください。

(6)

5

Apache HTTP Server を ADSelfService Plus のリバースプロキシ

として設定する手順

それでは、Apache サーバーを使用して、ADSelfService Plus のリバースプロキシを設定する方法を説明い たします。この設定では、Apache HTTP Server のバージョン 2.2 を使用します。

重要:

ステップ 1:Apache サーバーで変更を適用する

A) C:\Program Files\Apache Software Foundation\Apache2.2\conf に移動します。

B) httpd.conf のファイルをテキストエディターで開きます。

C) 以下の行をコメントアウトします:

LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_ajp_module modules/mod_proxy_ajp.so LoadModule

proxy_balancer_module modules/mod_proxy_balancer.so LoadModule proxy_connect_module modules/mod_proxy_connect.so LoadModule proxy_ftp_module modules/mod_proxy_ftp.so LoadModule

proxy_http_module modules/mod_proxy_http.so LoadModule proxy_scgi_module modules/mod_proxy_scgi.so Include conf/extra/httpd-vhosts.conf

D) C:\Program Files\Apache Software

oundation\Apache2.2\conf\extra へ移動します。 E) http-vhost.conf のファイルをテキストエディターで開きます。 F) 以下のエントリーを追加します: NameVirtualHost *:443 <VirtualHost *:443> ServerAdmin ⚫ この設定は、リバースプロキシサーバーが DMZ に配置されており、ADSelfService Plus サーバーとドメインコントローラーが内部 LAN に配置されていることを想定しています。 ⚫ 各ステップでは、既定の IP アドレス、ポート番号、ファイルの場所などを使用しています。 ADSelfService Plus、または Apache サーバーの既定の設定を変更している場合は、 それらの変更を各ステップに反映させてください。

⚫ Windows ファイアウォールにおける Apache サーバーの TCP アクセス設定で使用する

(7)

6 [email protected] ServerName adselfserviceplus.yourdomain.com SSLEngine on SSLProxyEngine on

SSLCertificateFile "C:\Program Files\Apache Software Foundation\Apache2.2\conf\server.crt" SSLCertificateKeyFile "C:\Program Files\Apache Software Foundation\Apache2.2\conf\server.key" <Location /> ProxyPass https://192.168.200.254:9251/ ProxyPassReverse https://192.168.200.254:9251/ </Location> ErrorLog "logs/ADSelfServicePlus.log" CustomLog "logs/ADSelfServicePlus.log" common </VirtualHost> G) Apache サーバーを再起動して、変更を適用します。

ステップ 2:ADSelfService Plus で変更を適用する

HTTPS の有効化により、ADSelfService Plus で変更を適用するステップが異なる場合があります。

ADSelfService Plus が HTTPS モードの場合

A) <install_dir>\conf に移動します。既定では、このフォルダーは、 C:\ManageEngine\ ADSelfService Plus\conf にあります。

B) server.xml のファイルをテキストエディターで開きます。

C) SSLEnabled="true"のエレメントを含むコネクタータグを検索します。 (i.e. <Connector SSLEnabled="true")

D) 以下のエントリーを追加します: proxyName="<apache-server-ip-address>” proxyPort=”443” E) 変更を保存します。 F) ADSelfService Plus を再起動して、変更を適用します。

HTTP モードにおける ADSelfService Plus

A) <install_dir>\conf に移動します。既定では、このフォルダーは、 C:\ManageEngine\ ADSelfService Plus\conf にあります。

(8)

7 B) server.xml のファイルをテキストエディターで開きます。

C) name="WebServer" element の要素を含むコネクタータグを検索します。 (i.e. <Connector name="WebServer")

D) 以下のエントリーを追加します:

scheme="https" proxyName="<apache-server-ip-address>” proxyPort=”443”

E) 変更を保存します。

F) ADSelfService Plus を再起動して、変更を適用します。

以上より、Apache HTTP Server を使用して、ADSelfService Plus のリバースプロキシの設定が完了しました。

ManageEngine ADSelfService Plus について

ADSelfService Plus は、 Active Directory 用のセルフサービスパスワード管理およびシングルサインオンソリューションです。これは、 パスワードのセルフサービス、パスワードの失効リマインダー、セルフサービスでのディレクトリアップデーター、マルチプラットフォーム のパスワード同期、クラウドアプリケーションのシングルサインオン機能を提供します。ADSelfService Plus は、パスワードリセットチケ ットを減らし、コンピューターのダウンタイムに起因するエンドユーザーのフラストレーションを緩和することで、IT ヘルプデスクをサポー トします。詳細については、www.manageengine.jp/products/ADSelfService_Plus/.をご覧ください。

参照

今ダウンロードする ( PDF - 8 ページ - 366.72 KB )

関連したドキュメント

HUAWEI MateBook E DRC-W38 DRC-W58 DRC-W56 ユーザーガイド

• HUAWEI PC Manager を開き、設定 &gt; システム設定 に移動して、ファンクションキーを優先

FS-2500 FS-2500EP FS-2500EP FS-2500 Manager FS-2500 Manager TOA FS-2500 SD FS-2500EP SD FS-2500EP TOA

設定支援ソフトウェアで設定したときは、データを付属の SD カードに保存した後、 FS-2500EP の設定操 作部を使って SD カードから

SVF Ver マイグレーション手順書

SVF Migration Tool の動作を制御するための設定を設定ファイルに記述します。Windows 環境 の場合は「SVF Migration Tool の動作設定 (p. 20)」を、UNIX/Linux

Dr.Web Enterprise Security Suite Ver.12 簡易構築ガイド -Windows 用 - 株式会社 Doctor Web Pacific 初版 : 2019/11/15 改訂 : 2021/10/20 Copyright Doctor Web Pacific Inc.

この設定では、管理サーバ(Control Center)自体に更新された Windows 用の Dr.Web Agent のコンポ ーネントがダウンロードされませんので、当該 Control Center で管理される全ての Dr.Web

ESET PROTECT V9.1 リリースノート

 ESET PROTECT から iOS 端末にポリシーを配布しても Safari の Cookie の設定 を正しく変更できない現象について. 本製品で iOS

ご使用前の確認と設定 004

タップします。 6通知設定が「ON」になっ ているのを確認して「た めしに実行する」ボタン をタップします。.

(00/00)

パスワード 設定変更時にパスワードを要求するよう設定する 設定なし 電波時計 電波受信ユニットを取り外したときの動作を設定する 通常

(Z690 ) BIOS Q-Flash BIOS...2 BIOS Q-Flash Plus...6 APP Center EasyTune Fast Boot RGB Fusion...11

Q-Flash Plus では、システムの電源が切れているとき(S5シャットダウン状態)に BIOS を更新する ことができます。最新の BIOS を USB