Deep Securityは、Microsoft Active DirectoryなどのLDAPサーバを使用してコンピュータを検出し、ユーザアカウントとその連絡先を作成できます。Deep Security Managerはサーバにクエリを実行し、ディレクトリの構造に従ってコンピュータグループを表示します。
Deep SecurityをFIPSモードで使用している場合は、マネージャをDirectoryと接続する前にActive DirectoryのSSL証明書をDeep Security Managerにインポートする必要があります。信頼された証明書の管理を参照してください。
  1. Deep Security Managerで、[コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[Active Directoryを追加する]をクリックします。
  3. Active Directoryサーバのホスト名またはIPアドレス、名前、説明、およびポート番号を入力します。アクセス方法と資格情報も入力します。次のガイドラインに従います。
    • [サーバのアドレス]は、アクセス方法がLDAPSの場合、Active DirectoryのSSL証明書の共通名 (CN) と同じでなければなりません。
    • [名前]はActive Directoryのディレクトリ名と一致する必要はありません。
    • [サーバのポート]Active DirectoryのLDAPまたはLDAPSポートです。デフォルトは389 (LDAPおよびStartTLS) および636 (LDAPS) です。
    • [ユーザ名]にはドメイン名を含める必要があります。例えば、EXAMPLE/Administrator
    • Deep SecurityをFIPSモードで使用している場合は、Trusted Certificateセクションで[接続テスト]をクリックして、Active DirectoryのSSL証明書がDeep Security Managerに正常にインポートされたかどうかを確認してください。
    [次へ] をクリックして続行します。
  4. ディレクトリのスキーマを指定します。スキーマをカスタマイズしていない場合は、Microsoft Active Directoryサーバの初期設定値を使用できます。
    Deep Security Managerの各コンピュータの[詳細]ウィンドウには、[説明]フィールドがあります。Active Directoryの「コンピュータ」オブジェクトクラスの属性を使用して「説明」フィールドに入力するには、[コンピュータの詳細の属性]テキストボックスに属性名を入力します。
    この構造をDeep Security ManagerでActive Directoryサーバと自動的に同期させたい場合は、[このディレクトリとの同期をとる予約タスクの作成]を選択してください。ディレクトリの追加が完了すると、[予約タスク]ウィザードが表示されます。後で[予約タスク]ウィザードを使用して設定することもできます: [管理]→[予約タスク]
  5. [次へ] をクリックして続行します。
  6. Managerによるディレクトリのインポートが完了すると、追加されたコンピュータのリストが表示されます。[完了]をクリックします。
    [コンピュータ] 画面にディレクトリ構造が表示されます。

Active Directoryのその他のオプション

Active Directory構造を右クリックすると、次のオプションが表示されます。これらのオプションは、ディレクトリ以外のコンピュータグループには使用できません。
  • ディレクトリの削除
  • 今すぐ同期

ディレクトリの削除

Deep Security Managerからディレクトリを削除するときは、次のオプションを使用できます。
  • ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します: ディレクトリのトレースをすべて削除します。
  • ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: インポートされたディレクトリ構造を、同じ構成の通常のコンピュータグループに変換します。Active Directoryサーバとのリンクは解除されます。
  • ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: Active Directoryサーバへのリンクを削除し、ディレクトリ構造を破棄し、すべてのコンピュータを同じコンピュータグループに配置します。

今すぐ同期

Deep Security ManagerとActive Directoryサーバとの同期を手動で開始して、コンピュータグループの情報を更新することができます。
ヒント
ヒント
この処理は、予約タスクを作成して自動化できます。

サーバ証明書を使用する

Active DirectoryサーバでSSLを有効にしていない場合は有効にします。
コンピュータの検出にはSSLまたはTLSまたは暗号化されていないクリアテキストを使用できますが、ユーザアカウント (パスワードや連絡先を含む) のインポートには認証とSSLまたはTLSが必要です。
SSLまたはTLS接続には、Active Directoryサーバ上のサーバ証明書が必要です。SSLまたはTLSハンドシェイク中に、サーバはこの証明書をクライアントに提示してその身元を証明します。この証明書は自己署名されたものか、証明機関 (CA) によって署名されたもののいずれかです。サーバに証明書があるかどうかわからない場合は、Active DirectoryサーバでInternet Information Services (IIS) マネージャを開き、[サーバ証明書]を選択します。サーバに署名されたサーバ証明書がない場合は、インストールする必要があります。

ユーザおよび連絡先をインポートする

Deep SecurityはActive Directoryからユーザアカウント情報をインポートし、対応するDeep Securityユーザまたは連絡先を作成できます。これには次の利点があります。
  • ユーザはActive Directoryで定義されたネットワークパスワードを使用できる。
  • 管理者はActive Directoryからアカウントを一元的に削除できる。
  • Active Directory内の既存情報を利用できるため、連絡先情報 (メール、電話番号など) の保守が簡単になる。
ユーザと連絡先の両方をActive Directoryからインポートできます。ユーザはDeep Security Managerの構成権限を持っています。連絡先はDeep Security Managerの通知を受け取ることしかできません。同期ウィザードでは、Active Directoryオブジェクトをユーザとしてインポートするか、連絡先としてインポートするかを選択できます。
Active DirectoryユーザアカウントをDeep Securityのユーザまたは連絡先として正常にインポートするには、Active Directoryユーザアカウントに[userPrincipalName]属性値が必要です。[userPrincipalName]属性はActive Directoryアカウント保有者の「ユーザログオン名」に対応します。
  1. [管理→[ユーザ管理]をクリックしてから、[ユーザ]または[連絡先]をクリックしてください。
  2. [ディレクトリとの同期] をクリックします。ユーザまたは連絡先情報をはじめてインポートする場合は、サーバ情報の画面が表示されます。それ以外の場合は、ディレクトリ同期ウィザードが表示されます。
  3. 適切なアクセスオプションを選択し、ログオン資格情報を入力して、[次へ] をクリックします。
  4. 同期するグループを左の列から選択し、[>>] をクリックして右の列に追加し、[次へ] をクリックします。
    ヒント
    ヒント
    複数のグループを選択するには、<Shift> または <Ctrl> キーを押しながらグループをクリックします。
  5. ディレクトリグループのすべてのメンバーにDeep Securityの同じ役割を割り当てるかディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てるかを選択し、初期設定の役割をリストから選択して、[次へ] をクリックします。
  6. ディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てた場合は、各グループの同期オプションを指定し、[次へ] をクリックします。
    同期後、インポートしたオブジェクト数を示すレポートが生成されます。
    同期が完了する前に、ユーザおよび連絡先を定期的に同期する予約タスクを作成することもできます。
  7. [完了]をクリックします。
インポートしたアカウントは一般情報を変更できないため、本来の (インポートしていない) Deep Securityアカウントと簡単に区別することができます。

Active Directoryオブジェクトの同期を維持する

一度インポートされると、Active Directoryオブジェクトは最新の更新を反映するためにActive Directoryサーバーと継続的に同期される必要があります。これにより、例えばActive Directoryで削除されたコンピュータがDeep Security Managerでも削除されることが保証されます。Deep Security ManagerにインポートされたActive DirectoryオブジェクトをActive Directoryと同期させ続けるためには、ディレクトリデータを同期する予約タスクを設定することが不可欠です。コンピュータをインポートするウィザードには、これらの予約タスクを作成するオプションが含まれています。
また、予約タスクウィザードを使用してこのタスクを作成することもできます。オンデマンド同期は、コンピュータの場合は[今すぐ同期]オプションを、ユーザおよび連絡先の場合は[ディレクトリとの同期]ボタンを使用して実行できます。
ユーザと連絡先を同期させるために予約タスクを作成する必要はありません。ログイン時に、Deep Security ManagerはユーザがActive Directoryに存在するかどうかを確認します。ユーザ名とパスワードが有効で、ユーザが同期が有効になっているグループに属している場合、そのユーザはDeep Security Managerに追加され、ログインが許可されます。
Active Directoryでアカウントを無効にしても削除しない場合、ユーザはDeep Security Managerで表示され、アクティブなままです。

Active Directoryとの同期を無効にする

コンピュータグループとユーザアカウントの両方について、Deep Security ManagerとActive Directoryとの同期を中止できます。

Active Directoryとの同期からコンピュータグループを削除する

  1. [コンピュータ] に移動します。
  2. ディレクトリを右クリックし、[ディレクトリの削除] を選択します。
  3. Deep Security Managerがこのディレクトリとの同期を停止したときに、コンピュータのリストに対して行う操作を選択してください:
    • [ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します]: このディレクトリの構造を削除します。
    • [ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します]: 既存の構造を維持し、フォルダおよびコンピュータへのユーザと役割のアクセスを含めます。
    • [ディレクトリを削除し、コンピュータのデータを維持しますが、階層は削除します]: ディレクトリの構造を、ディレクトリにちなんで名付けられたグループ内のコンピュータのフラットリストに変換します。新しいコンピュータグループは、古い構造と同じユーザおよびロールアクセスを持ちます。
  4. 確認して処理を開始します。

Active Directoryのユーザおよび連絡先を削除

ディレクトリクエリをコンピュータグループから削除する場合とは異なり、ユーザおよび連絡先のクエリを削除すると、それらのアカウントはすべてDeep Security Managerから削除されます。その結果、ディレクトリサーバからインポートされたユーザアカウントでDeep Security Managerにログインしている場合は削除できません。これを行うとエラーが発生します。
  1. [ユーザ]または[連絡先]のいずれかをクリックし、[ディレクトリとの同期]をクリックします。
  2. [同期を中止する]を選択して、[OK]をクリックします。
  3. [完了]をクリックします。