認証サーバー

認証サーバーページには、認証サーバーとの既存の統合が表示されます。[サーバーの追加] ボタンをクリックして、サーバーを追加できます。

Active Directory

OT Security を所属組織の Active Directory (AD) と統合できます。これにより、ユーザーは自分の Active Directory 認証情報を使用して OT Security にログインできるようになります。設定には、統合のセットアップと、AD のグループを OT Security のユーザーグループにマッピングすることが含まれます。

注意: システムには、利用可能な各ロール (管理者ユーザーグループ > 管理者ロールサイトオペレーターユーザーグループ > サイトオペレーターロールなど) に対応する一連の事前定義されたユーザーグループが用意されています。利用可能なロールの説明については、認証サーバーを参照してください。

Active Directory の設定手順

  1. オプションで、所属組織の CA またはネットワーク管理者から CA 証明書を取得し、ローカルマシンに読み込むこともできます。

  2. [ローカル設定] > [ユーザー管理] > [認証サーバー] に移動します。

    [認証サーバー] ウィンドウが表示されます。

  3. [サーバーの追加] をクリックします。

    [認証サーバーの作成] パネルが開き、[サーバータイプ] が表示されます。

  4. [Active Directory] をクリックしてから [次へ] をクリックします。

    [Active Directory] 設定ペインが表示されます。

  5. [名前] ボックスに、ログイン画面で使用する名前を入力します。

  6. [ドメイン] ボックスに、組織ドメインの FQDN (例: company.com) を入力します。

    注意: ドメインがわからない場合は、Windows CMD またはコマンドラインで「set」コマンドを入力すると確認できます。「USERDNSDOMAIN」属性に付与されている値がドメイン名です。
  7. [ベース DN] ボックスに、ドメインの識別名を入力します。この値の形式は、「DC={セカンドレベルドメイン},DC={トップレベルドメイン}」です (例: DC=company,DC=com)。

  8. AD グループから OT Security ユーザーグループにマップする各グループについて、適切なボックスに AD グループの DN を入力します。

    たとえば、ユーザーのグループを管理者ユーザーグループに割り当てるには、管理者権限の割り当て先となる Active Directory グループの DN を [管理者グループ DN] ボックスに入力します。

    注意: OT Security 権限を割り当てたいグループの DN がわからない場合は、Windows CMD またはコマンドラインにコマンド dsquery group -name Users を入力すれば、ユーザーを含む Active Directory で設定されているすべてのグループのリストが表示されます。割り当てるグループの名前は、表示されている名前と同じ形式で入力する必要があります (例: 「CN=IT_Admins,OU=Groups,DC=Company,DC=Com」)。ベース DN も、各 DN の末尾に含める必要があります。
    注意: これらのフィールドはオプションです。フィールドが入力されていない場合、AD ユーザーはそのユーザーグループに割り当てられません。マッピングされたグループなしでも統合を設定できますが、その場合、少なくとも 1 つのグループマップの ping を追加するまで、ユーザーはシステムにアクセスできません。
  9. (オプション) [信頼されている CA] セクションで、[参照] をクリックし、所属組織の CA 証明書 (CA またはネットワーク管理者から入手したもの) を含むファイルに移動します。

  10. [Active Directory の有効化] チェックボックスを選択します。

  11. [保存] をクリックします。

    メッセージが表示され、Active Directory をアクティブ化するためにユニットを再起動するように求められます。

  12. [再起動] をクリックします。

    ユニットが再起動します。再起動すると、OT Security により Active Directory の設定が有効になります。指定されたグループに割り当てられたユーザーは、自分の所属組織の認証情報を使用して OT Security プラットフォームにアクセスできます。

    注意: Active Directory を使用してログインするには、ログインページでユーザープリンシパル名 (UPN) を使用する必要があります。ユーザー名に @<domain>.com を追加するだけでよい場合もあります。

LDAP

OT Security を所属組織の LDAP と統合できます。これにより、ユーザーは自分の LDAP 認証情報を使用して OT Security にログインできるようになります。設定には、統合のセットアップと、AD のグループを OT Security のユーザーグループにマッピングすることが含まれます。

LDAP を設定するには

  1. [ローカル設定] > [ユーザー管理] > [認証サーバー] に移動します。

  2. [サーバーの追加] をクリックします。

    [認証サーバーの追加] パネルが開き、[サーバータイプ] が表示されます。

  3. [LDAP] を選択してから、[次へ] をクリックします。

    [LDAP 設定] ペインが表示されます。

  4. [名前] ボックスに、ログイン画面で使用する名前を入力します。

    注意: ログイン名は区別でき、LDAP に使用されていることが分かるようにする必要があります。LDAP と Active Directory の両方が設定されている場合、ログイン画面の異なる設定を区別するのはログイン名のみです。
  5. [サーバー] ボックスに、FQDN またはログインアドレスを入力します。

    注意: 安全な接続を使用している場合、Tenable は IP アドレスではなく FQDN を使用して、提供された安全な証明書が検証されるようにすることをお勧めします。
    注意: ホスト名を使用している場合、OT Security システムの DNS サーバーのリストに含まれている必要があります。[システム設定] > [デバイス] で確認してください。
  6. [ポート] ボックスに、安全ではない接続を使用する場合は 389、安全な SSL 接続を使用する場合は 636 を入力します。

    注意: ポート 636 を選択した場合、統合を完了するには証明書が必要です。
  7. [ユーザー DN] ボックスに、DN を DN 形式のパラメーターを使って入力します。たとえば、adsrv1.tenable.com というサーバー名の場合、ユーザー DN は CN=Administrator,CN=Users,DC=adsrv1,DC=tenable,DC=com となります。

  8. [パスワード] ボックスに、ユーザー DN のパスワードを入力します。

    注意: LDAP を使用した OT Security 設定は、ユーザー DN パスワードが現在も有効である場合に限り使用できます。したがって、ユーザー DN のパスワードが変更または期限切れになった場合は、OT Security 設定も更新する必要があります。
  9. [ユーザーベース DN] ボックスに、ベースドメイン名を DN 形式で入力します。たとえば、adsrv1.tenable.com というサーバー名の場合、ユーザーベース DN は OU=Users,DC=adsrv1,DC=tenable,DC=com となります。

  10. [グループベース DN] ボックスに、グループベースドメイン名を DN 形式で入力します。たとえば、adsrv1.tenable.com というサーバー名の場合、グループベース DN は OU=Groups,DC=adsrv1,DC=tenable,DC=com となります。

  11. [ドメイン追加] ボックスに、ユーザーが自分がメンバーとして所属しているドメインを適用しなかった場合に、認証リクエストに追加されるデフォルトのドメインを入力します。

  12. 関連するグループ名のボックスに、ユーザーが LDAP 設定で使用する Tenable グループ名を入力します。

  13. 設定にポート 636 を使用する場合は、[信頼できる CA][参照] をクリックし、有効な PEM 証明書ファイルに移動します。

  14. [保存] をクリックします。

    OT Security によりサーバーが無効モードで起動されます。

  15. 構成を適用するには、トグルスイッチをクリックしてオンにします。

    [システム再起動] ダイアログが表示されます。

  16. [今すぐ再起動] をクリックしてすぐに再起動して設定を適用するか、[後で再起動] をクリックして新しい設定なしでシステムの使用を一時的に続行します。

    注意: LDAP 設定の有効化 / 無効化は、システムが再起動されるまで完了しません。システムをすぐに再起動しない場合は、再起動する準備ができたときに画面上部にあるバナーの [再起動] ボタンをクリックしてください。