ディレクトリサービス設定セクションでは、アカウントとActive Directory(AD)などのLDAPドメイン間でユーザーを同期するための設定を構成できます。
注
注意: Cato LDAPサービスの送信元IPであるCato管理画面のIPアドレスを許可リストに追加する必要があります。詳細についてはCato IPアドレスの使用例(この記事を表示するにはサインインする必要があります)。
ディレクトリサービスを使用してLDAPドメインをCatoアカウントと統合するためのワークフロー:
アカウントにLDAPドメインを追加すると、Cato管理画面にディレクトリサービス接続を追加する必要があります。 ディレクトリサービス設定 ウィンドウでは、組織内の各ドメインおよびサブドメインに個別の接続が必要です。 例えば、アカウントにsample.com、alpha.sample.com、example.com ドメインがある場合、ディレクトリサービス設定 で3つの接続を作成する必要があります。
ドメインパスワード、パスワードの最大長は48文字です。
ドメインの識別名(DN)を入力する際:
-
ログインDNはLDAPディレクトリ階層内の管理者のオブジェクトを指します
-
ベースDNは、管理者がCatoと同期しているユーザーおよびグループのLDAPディレクトリ階層内のオブジェクトを指します
ドメインコントローラー上のLDAPユーザーへの変更は、Cato管理画面で多数のユーザー変更をトリガーする可能性があります。 エラーのリスクを減らすために、次の方法で各同期で行われる変更の数を制限することができます:
-
ユーザーの削除や無効化を防ぐ: 削除または無効化されるユーザーの数を制限できます。
-
グループメンバーシップの更新を防止: LDAP同期が1500人以上のユーザーのグループメンバーシップを変更した場合、MicrosoftオンプレミスActive Directoryはユーザーをグループから削除することがあります。 これを防ぐには、単一の同期でユーザーグループのメンバーシップを変更できるユーザーの最大数をカスタマイズできます。 詳細については、ディレクトリサービスとユーザーアウェアネスのエラートラブルシューティングを参照してください
-
ユーザーのメールを更新: 更新されるユーザーのメールアドレスの数を制限できます。
制限を超えると、次のLDAP同期が失敗し、ディレクトリサービスのサブタイプのイベントが作成されます。
注
注意: ユーザーがADで無効化されてから再有効化されると、ネットワークに接続するにはCatoクライアントをアンインストールして再インストールする必要があります。
ドメインコントローラー内のグループへのパスを変更した場合は、Cato管理画面内のベースDNも更新する必要があります。
CMAを新しいパスに更新しないと、移動されたユーザーグループが同期に含まれなくなり、削除されます。 これらのユーザーグループはユーザーグループページには表示されなくなります。 削除されたユーザーグループはポリシー内で引き続き表示され、削除としてマークされ、ポリシーはユーザーグループに適用されません。 SDPライセンスは削除されたLDAP提供ユーザーグループ内のユーザーから削除され、ネットワークに接続できなくなります。 ユーザーがネットワークに接続する必要がある場合、SDPライセンスを再割り当てする必要があります。
Cato管理画面にドメインを追加するには:
-
ナビゲーションメニューから、アクセス > ディレクトリサービスをクリックします。
-
LDAPセクションまたはタブから、新規をクリックします。
新しいディレクトリサービスパネルが開きます。
-
LDAPプロバイダを選択します。
1つのLDAPプロバイダーしか選択できません。
-
LDAP認証説明セクションで、ログインDNを設定します:
-
オンプレミスADの場合は、ADアカウント名(DN)を使用します
-
Azure ADの場合は、ADアカウントのユーザープリンシパル名(UPN)を使用します
-
-
ログインDNとベースDNを入力します。
-
ディレクトリサービス接続のために作成したCNユーザーのパスワードを入力します。
-
SSL接続を使用するLDAPドメインの場合、暗号化を選択します。
ドメインがCato管理画面に追加されました。 ドメインのためのドメインコントローラーを設定します。
-
SDPユーザ同期設定を選択します。
LDAPサーバーに関連付けられたドメインコントローラー(DC)をディレクトリサービスドメインに追加します。
サイトの背後にあるLDAPサーバーの場合、DCをIPアドレスで追加するか、サイトに定義されたホストとして追加できます (ネットワーク > サイト > {サイト名} > サイト設定 > ホスト)。
外部にあり、パブリックIPアドレスを使用するサーバーの場合、IPアドレスまたはドメインを使用してDCを定義できます。
Cato IPアドレスの許可リストに追加
トラフィックがADサービスに到達できるようにするために、Cato IPアドレスの使用例にリストされているIPアドレスを許可リストに追加します(この記事を表示するにはログインする必要があります)。 これらのIPアドレスへのトラフィックは、Catoトンネル内でルーティングされます。
以下のデプロイメントのためにファイアウォールまたはルーティングデバイスが正しく設定されていることを確認してください:
-
DCはIPsecサイトの背後にあります(ソケットではなく)
-
すべてのトラフィックはソケットにルーティングされません
ドメインコントローラーを追加するには:
-
ディレクトリサービスを追加パネルのナビゲーションメニューで、ドメインコントローラーをクリックします。
-
DCのロケーションに応じて接続設定を定義します:
-
サイトの背後に定義されたホスト上のDCの場合、内部ホストを選択し、その後、LDAPサーバーの静的ホストを選択します
-
内部IPを使用するDCの場合、内部IPを選択し、DCのIPアドレスを入力します
-
サイトにないDCの場合、外部IPまたはドメインを選択し、DCのIPアドレスまたはドメインを入力します
-
-
追加をクリックします。
-
複数のDCを持つデプロイメントの場合、各DCを追加するために前の手順を繰り返します。
-
保存して閉じるをクリックします。
ドメインを定義し、ドメインコントローラを追加した後、ドメインとCato管理画面間の接続性をテストすることをお勧めします。
Cato管理画面は、自動的にドメインのすべてのドメインコントローラへの接続性をテストし、各ドメインコントローラの結果を表示します。
接続テストが失敗した場合、トラブルシューティングの推奨事項はディレクトリサービスとユーザーアウェアネスのエラーと問題のトラブルシューティングを参照してください。
ドメインへの接続をテストするには:
-
ドメインの接続列から、接続テストをクリックします。 Cato管理画面は接続テストの結果を表示します。
DCを追加した後、LDAPグループ内のユーザーを同期する方法を定義する設定を構成します。
-
ディレクトリサービスを使用していて、MFAのためにユーザーの携帯電話番号を変更する必要がある場合は、LDAPディレクトリでのみ電話番号を変更してください
-
アカウントと同期されるLDAPグループを選択します。
-
毎日ユーザーを自動的に同期するかどうかを有効化または無効化します。
-
LDAPグループから削除されたユーザーの動作を定義するには、彼らを無効化またはCato管理画面から削除します。
アカウントに同期するLDAPグループを選択します。
ユーザーがアカウントに同期されると、SDPライセンスを割り当て、ユーザーがどこに接続しても適用されるポリシーを適用できます。 SDPライセンスの割り当て詳細は、ユーザーへのZTNAライセンスの割り当てをご覧ください。
アカウントを有効にするとLDAPディレクトリと毎日自動的に同期し、CMAのグループとユーザーがドメインのものと一致するように更新されます。
ディレクトリ名列でどのユーザーがインポートされたか、また手動で作成されたかが確認できます - インポートされたユーザーはLDAPディレクトリ名で表示され、手動作成は手動として表示されます。 また、ディレクトリ名でフィルタリングするか、システムに手動で追加されたすべてのユーザーを見ることができます。
Catoは午前12時(UTC)にすべてのアカウントに対して毎日の自動LDAP同期を開始します。 Catoは1アカウントずつ同期を実行し、すべてのアカウントの毎日の同期を完了するには数時間かかることがあります。 もし午前12時以降、CatoがLDAP同期を開始する前にSDPユーザーグループの毎日の同期オプションが無効化されると、自動同期はオプションが有効になる次の時間枠までスキップされます。
注
注意: 複数のドメインを持つアカウントの場合、アカウント内のすべてのドメインにわたって同期設定は同じでなければなりません。 さもなければ、異なるドメイン間での可能な信頼依存関係に関連する問題が発生する可能性があります。
ディレクトリサービスグループに存在しなくなったユーザー
ユーザーがインポートされたディレクトリサービスグループに存在しなくなった場合設定は、LDAPサーバーからユーザーやグループが削除されたり、期限切れになったり、無効になった場合の同期挙動を定義できます。 以下のオプションから選択できます:
-
無効にする - ユーザーが無効になり、Catoクラウドに接続できません。 ユーザーは、自分がメンバーであったユーザーグループに残ります
-
削除 - ユーザーアカウントはCato管理画面から削除され、彼らがメンバーであったユーザーグループも含まれます
グループまたはユーザーがLDAPサーバーから削除されたが、Cato管理画面でオブジェクトまたはルールに使用されている場合、これは同期の動作です:
-
ユーザーは削除される代わりに無効化されます
-
グループはもはや同期されないとしてマークされます
-
グループまたはユーザーは手動としてラベル付けされ、LDAPではありません
-
デフォルトで、CMAはLDAP同期の一環として100以上ユーザーを削除または無効化することを防ぎます。 LDAP同期の開始時に、同期が100以上のユーザーを削除または無効化する場合(デフォルト設定の場合)、同期はキャンセルされ、メール通知が送信されます。 ユーザーの削除や無効化を防ぐ設定を無効にするか、LDAP同期ごとの削除ユーザーの最大数を変更できます。
ドメインとあなたのCatoアカウント間の同期のために設定を設定してください。 ディレクトリサービスグループからユーザーが削除されたときの動作と、日次自動同期を有効にするかどうかを選択します。
ドメインの同期設定を構成するには:
-
自動同期設定を管理します:
-
新規ディレクトリサービスパネルで、ユーザグループを選択します。
-
ユーザーグループセクションで、毎日同期ユーザーグループを有効または無効にする選択をします。
トグルが有効化されると緑になります。
-
-
ADドメインでユーザーが輸入されたディレクトリサービスグループに存在しない場合の動作を定義します:
-
無効化する - ユーザーをCato管理画面で無効にします
-
削除 - ユーザーをCato管理画面から削除します
-
-
(オプション) LDAP同期中に削除予防のユーザー最大数の設定をカスタマイズします:
-
LDAP同期中に削除できるユーザー数を変えるには、ユーザーで削除するユーザーの最大数を入力します。
-
LDAP同期中に削除されるユーザー数の制限を解除するには、この設定を
無効にします。
-
-
適用をクリックし、その後保存をクリックします。
ドメインはあなたのアカウントとユーザー、グループを同期するように設定されています。
ADサーバーとCato管理画面の間でグループとユーザーを手動で同期するには、今すぐ同期する機能を使用します。 複数のドメインを持つアカウントの場合、Cato管理画面はすべてのドメインを同時に同期します(ドメイン間に信頼依存関係が存在する可能性があるため)。
0件のコメント
記事コメントは受け付けていません。