Enterprise Server に接続する為に、以下の方法で管理者の認証を行うことができます。
1.サーバー DBに管理者アカウント情報を保存する。
2.Active Directory経由で(Windows環境での サーバー の場合)。
3.LDAP プロトコル経由で。
4.RADIUS プロトコル経由で。
認証方法は以下のルールに従って順番に試されます。
1.認証の順序はコントロールセンターで指定された以下の設定の順序によって決定されます。
2.サーバー DBからの管理者認証が常に最初に試行されます。
3.デフォルトではLDAP認証が2番目に、Active Directoryが3番目に、RADIUS認証が4番目に試されます。
4.LDAP、Active Directory、RADIUS 経由での認証方法は サーバー 設定で順番を入れ替えることが可能ですが、サーバー DBからの管理者認証は常に最初になります。
5.LDAP、Active Directory、RADIUS 経由での認証方法はデフォルトで無効になっています。
認証方法の順番を入れ替えるには
1.Control Center のメインメニュー内で 管理 を選択します。
2.コントロールメニュー内で 認証 を選択してください。
3.開いたウィンドウ内で、認証方法が使用される順番で表示されます。順番を変更するには、認証方法名の左にある矢印をクリックしてください。該当する項目が入れ替わります。
サーバーDBからの管理者認証
デフォルトでは、サーバー DBに管理者アカウント情報を保存する認証方法が使用されます。
管理者リストを管理するには
1.Control Center のメインメニュー内で 管理 を選択します。
2.コントロールメニュー内で 管理者アカウント を選択してください。DB内に登録されている全ての管理者のリストが表示されます。
詳細は 管理者アカウントの管理 を参照してください。
Active Directory 認証
Active Directory 認証を有効にするには
1.Control Center のメインメニュー内で 管理 を選択します。
2.コントロールメニュー内で 認証 を選択してください。
3.開いたウィンドウ内で、Microsoft Active Directory セクションを選択します。
4.Microsoft Active Directory の認証の使用 フラグをセットしてください。
5.保存 をクリックします。
Control Center 内で可能な設定は、Active Directory 認証の有効化のみになります。
Active DirectoryサーバーでActive Directory管理者設定を手動で編集する必要があります。
Active Directory 管理者を編集するには
|
以下の操作はActive Directory Serviceスナップインを持つコンピューターから実行してください。 |
1.管理者パラメータの編集を有効にするには以下の操作を実行してください。
a) drwschema-modify.exe ユーティリティ(Enterprise Server ディストリビューションキットに含まれています)でActive Directoryスキーマを変更します。変更には時間がかかることがあり、ドメイン設定によっては、変更されたスキーマの同期および適用に5分以上かかる場合もあります。
b)Active Directoryスキーマスナップインを登録し、regsvr32 schmmgmt.dllコマンドを管理者権限で実行し、mmcを実行して Active Directoryスキーマ スナップインを追加します。
c)Active Directoryスキーマスナップインを使用して DrWebEnterpriseUser 補助型クラスを user クラスおよび group クラス(必要な場合)に加えてください。
|
スキーマの変更およびアプリケーションの処理が完了していない場合、DrWebEnterpriseUser クラスが見つからない場合があります。その場合、数分後にステップ c) の方法で再度クラスを追加してください。 |
d)drweb-esuite-aduac-600-xxxxxxxxx-windows-nt-xYY.msi ファイル( Enterprise Security Suite 6.0.4 ディストリビューションキットに含まれています) を管理者権限で実行し、インストールが完了するまで待ちます。
2.属性の表示方法の編集は Active Directory ユーザーとコンピュータ コントロールパネル → Users セクション → 選択したユーザーの設定を編集する Administrator プロパティ ウィンドウ → Dr.Web Authentication タブで行うことが出来ます。
3.編集には以下のパラメータを使用することが出来ます(それぞれの属性に対して yes、no、not set の値を設定することが出来ます)。
◆User is administrator -ユーザーは全権管理者です。
◆User is read-only administrator -ユーザーは読み取り権限のみの管理者です。
User is administrator パラメータのみに yes が設定されている場合、ユーザーは全権管理者です。
User is administrator と User is read-only administrator パラメータの両方に yes が設定されている場合、ユーザーは読み取り権限のみの管理者です。
◆Inherit permissions from groups -残りのパラメータ値をユーザーグループから継承します。not set 値が設定されたパラメータがあり、Inherit permissions from groups パラメータに yes が設定されている場合、指定されていないパラメータの値はユーザーグループから継承されます。
|
認証を行う際の動作原理および属性処理のアルゴリズムに関する詳細は 付録 O を参照してください。 |
LDAP認証
LDAP 認証を有効にするには
1.Control Center のメインメニュー内で 管理 を選択します。
2.コントロールメニュー内で 認証 を選択してください。
3.開いたウィンドウ内で、LDAP認証 セクションを選択します。
4.LDAP認証の使用 フラグをセットしてください。
5.保存 をクリックします。
あらゆるLDAPサーバーで、LDAPプロトコルを使用した認証設定を行うことが出来ます。またUNIX系OSの サーバー を、ドメインコントローラ上のActive Directory内での認証のために設定する際にもこのメカニズムを使用することが可能です。
|
LDAP認証の設定はauth-ldap.xml設定ファイル内にあります。 一般的なxml 属性についての詳細は 付録 O を参照してください。 |
Active Directoryの場合とは異なり、このメカニズムはどのLDAPスキーマに対しても設定することが出来ます。デフォルトでは、サーバー 属性はActive Directoryに対して定義されたものが使用されます。
LDAP認証は以下の方法で実行されます。
1.Control Center またはxml設定ファイル経由でLDAPサーバーアドレスが指定されます。
2.指定されたユーザー名に対して以下のアクションが実行されます。
◆ルールが指定されている場合、DOS-likeマスク(* 記号を使用した)を使用して名前をDN(Distinguished Name)に変換します。
◆ルールが指定されている場合、正規表現を使用して名前をDNに変換します。
◆設定でそのように指定されている場合、カスタムスクリプトを使用して名前をDNに変換します。
◆マッチする変換ルールが見つからなかった場合、指定された名前がそのまま使用されます。
|
ユーザー名指定のフォーマットは予め定義されておらず、また決まっているわけでもありません。企業内で認められるいかなる形でも可能です(LDAPスキーマの強制的な変更は必要ありません)。指定されたスキーマによる変換は、LDAP DNへの名前の変換ルールを使用して実行されます。 |
3.変換後、Active Directoryの場合と同様、定義されたDNおよび指定されたパスワードを使用したユーザー登録が指定されたLDAPサーバーにおいて試行されます。
4.その後もActive Directoryの場合と同様、LDAPオブジェクト属性が定義されたDNに対して読み込まれます。属性およびその可能な値は、設定ファイル内で再定義することが可能です。
5.管理者属性の未定義な値があり、継承が指定されていた場合(設定ファイル内で)、ユーザーグループ内で行われる必要な属性の検索はActive Directory内の場合と同様です。