LDAP でユーザーを同期する

この記事では、Active Directory(LDAP インテグレーション)と連携するように Cato アカウントを設定する方法を説明し、デモンストレーションします。 この機能により、ユーザを取り込み、Cato管理画面に自動的に追加することができます。 AD サーバーに対しての認証は行いません。

sAMAccountName 属性は、Cato管理アプリケーションでユーザーグループの名前に使用されます。

同期には主に2つのオプションがあります:

1. ローカル AD サーバーとの同期

2. 外部 AD サーバーとの同期

ユーザー同期設定の理解

ドメイン コントローラー上での LDAP ユーザーの変更は、Cato 管理アプリケーション内で多くのユーザー変更を引き起こす可能性があります。 エラーのリスクを減らすために、次の方法で各同期での変更数を制限することを選択できます:

  • ユーザーの削除または無効化を防ぐ: 削除または無効化されるユーザーの数を制限できます。
  • グループメンバーシップの更新を防ぐ: LDAP同期が1500以上のユーザーのグループメンバーシップを変更した場合、MicrosoftのオンプレミスActive Directoryはそれらのユーザーをグループから削除する可能性があります。 これを防ぐため、1回の同期でユーザーグループのメンバーシップを変更できる最大ユーザー数をカスタマイズできます。 詳細については、ディレクトリサービスとユーザーアウェアネスのエラートラブルシューティングを参照してください
  • ユーザーのメールの更新: 更新されるユーザーメールアドレスの数を制限できます。

制限を超えた場合、次の LDAP 同期は失敗し、ディレクトリサービス サブタイプのイベントが作成されます。

注意

注: 1万以上のメンバーを持つ単一のグループは同期できません。 

ローカルADサーバーの同期

LDAP 同期が正しく機能していない場合は、LDAP 同期とプロビジョニングのトラブルシューティング を参照してください。

ローカルADサーバーを同期する方法(Catoサイトの背後にあるサーバー):

  1. ADサーバーをサイトのホストページに追加。

    1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
    2. ナビゲーションメニューから サイト設定 > ホスト を選択します。
    3. 新規作成をクリックし、AD サーバーのための設定を入力してください。
    4. 適用をクリックし、その後保存をクリックします。
    Hosts.png
  2. アカウントのLDAPサービスに新しいドメインを追加します。
    1. ナビゲーションメニューから、アクセス > ディレクトリサービスをクリックし、LDAPタブまたはセクションを選択します。

    2. 新規作成をクリックし、ADドメインの設定を構成します。

      New_DirectorySevice.png

      • ログインDNおよびベースDN - AD(取得したユーザの認証)のためのユニークな文字列
      • パスワード - Active Directory DNにアクセスするためのパスワード
      • Encryption - Select Use SSL to secure the connection, not supported by all servers
      • SDPユーザ同期設定 - LDAP同期に追加する制限を選択してください
    3. 保存をクリックしてください。
  3. Add the AD server (from step 1) as a domain controller (DC) to the domain.
    1. パネルナビゲーションセクションで、ドメインコントローラーをクリックします。

    2. In the top drop-down menu, select Host, and in the next drop-down menu, select the host from step 1.

      AD_host.png
    3. 保存をクリックしてください。

  4. カトアカウントに同期しているSDPユーザのADグループを選択します。

    注意

    Note:

    • グループが選択されていない場合、ユーザ認識のためにすべてのADグループがインポートされます。
    • Nested groups are synced if you select the parent group
    • The User Principal Name (UPN) AD parameter must be configured for a user to be identified by User Awareness
    1. パネルナビゲーションセクションで、ユーザグループをクリックします。

    2. 同期しているADグループを選択します。

      Edit_User_Groups.png

      注意

      注意: Active Directoryから組織単位をインポートする際、大文字小文字の区別が重要です。 ExampleGroupEXAMPLEGROUPとは異なる扱いになります。

      Active DirectoryのOUの名前を変更した場合は、CMA内で選択されたOUも変更してください。

    3. SDPユーザーグループの毎日の同期を選択して、毎日自動的にグループとユーザーを同期するように有効化します。
    4. 保存して閉じるをクリックします。
  5. ディレクトリサービス画面で、今すぐ同期するをクリックします。

ユーザーが同期された後、SDPライセンスを割り当てることができます。

User Awarenessでは、ユーザーはADクエリまたはアイデンティティ・エージェントによって識別できます。

外部ADサーバーの同期

外部ADサーバーを同期する必要がある場合は、上記と同じ手順を実行できます。

  • ADでLDAPユーザーのUPNおよび/またはメールアドレスが変更された場合、影響を受けたLDAPユーザーの状態はCMAで変更されません。
  • Azure ADを同期する際には、メンバーゲストの種類の両方が同期されます。
  • ADユーザーに対して名と姓が設定されていることを確認してください。 そうでない場合、名または姓の欠落しているユーザーは、Catoアカウントに同期されません。

ローカルADサーバーの同期

ドメインコントローラーがIPsec接続の背後にある場合、または一部のサブネットのみをソケットにルーティングしている場合は、VPNトンネルルーティング構成にCMAのIPアドレスを含めるようにしてください。 このIPへのトラフィックはCatoトンネルを経由してルーティングされるべきです。

CMAのIPアドレスに関する詳細は、LDAP同期の問題を解決するを参照してください(この記事を見るには、Catoナレッジベースアカウントにログインする必要があります)。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント