LDAP を使用した認証

Tenable Identity Exposure のユーザーは、Lightweight Directory Access Protocol (LDAP) を使用して認証できます。

LDAP 認証を有効にするには、以下が必要です。

  • Active Directory にアクセスするためのユーザーとパスワードが事前設定されたサービスアカウント

  • 事前設定された Active Directory グループ

LDAP 認証を設定した後、LDAP オプションがログインページのタブに表示されます。

LDAP 認証を設定するには

  1. Tenable Identity Exposure で、[システム] > [設定] をクリックします。

    設定ペインが表示されます。

  2. [認証] セクションで [LDAP] をクリックします。

  3. [LDAP 認証の有効化] トグルをクリックして有効にします。

    LDAP 情報フォームが表示されます。

  4. 以下の情報を入力します。

  • [LDAP サーバーのアドレス] ボックスに、ldap:// で始まりドメイン名とポート番号で終わる、LDAP サーバーの IP アドレスを入力します。

    注意: LDAPS サーバーを使用する場合は、ldaps:// で始まりドメイン名とポート番号で終わるアドレスを入力してください。LDAPS のカスタムの信頼できる認証局 (CA) の証明書を追加するには の手順を参照して、LDAPS の設定を完了してください。
  • [LDAP サーバーをクエリするために使用されるサービスアカウント] ボックスに、LDAP サーバーへのアクセスに使用する識別名 (DN)、SamAccountName、UserPrincipalName のいずれかを入力します。

  • [サービスアカウントのパスワード] ボックスに、このサービスアカウントのパスワードを入力します。

  • [LDAP 検索ベース]ボックスに、DC= または OU= で始まる LDAP ディレクトリを入力します。Tenable Identity Exposure はこのディレクトリを使用して、接続を試みるユーザーを検索します。これは、ルートディレクトリまたは特定の組織単位にすることができます。

  • [LDAP 検索フィルター] ボックスに、Tenable Identity Exposure がユーザーにフィルターを掛けるのに使用する属性を入力します。Active Directory の認証の標準属性は sAMAccountname={{login}} です。login の値は、ユーザーが認証時に入力する値です。

  1. [SASL バインディングの有効化] で、次のいずれかを実行します。

    • サービスアカウントに SamAccountName を使用している場合は、[SASL バインディングの有効化] トグルをクリックして有効にします。

    • サービスアカウントに識別名か UserPrincipalName を使用している場合は、[SASL バインディングの有効化] を無効のままにしておきます。

  1. [デフォルトのプロファイルとロール] セクションで、[LDAP グループの追加] をクリックして、認証を許可するグループを指定します。

    LDAP グループ情報フォームが表示されます。

    • [LDAP グループ名] ボックスに、グループの識別名を入力します (例: CN=TAD_UserOU=GroupsDC=Tenable、DC=ad)。

    • [デフォルトのプロファイル] ドロップダウンボックスで、許可するグループのプロファイルを選択します。

    • [デフォルトのロール] ボックスで、許可するグループのロールを選択します。

  1. 必要に応じて、 アイコンをクリックし、新しい許可グループを追加します。

  2. [保存] をクリックします。

LDAPS のカスタムの信頼できる認証局 (CA) の証明書を追加するには

  1. Tenable Identity Exposure で、[システム] をクリックします。

  2. [設定] タブをクリックして、設定ペインを表示します。

  3. [アプリケーションサービス] セクションで、[信頼できる認証局] をクリックします。

  4. [追加の CA 証明書] ボックスに、会社の信頼できるCA証明書を PEM エンコードして貼り付けて、Tenable Identity Exposure が使用できるようにします。

  5. [保存] をクリックします。

セキュリティプロファイルとロールの詳細については、以下を参照してください。