Integrity Advanced Server Administrator Guide...Integrity Advanced Server 管理者ガイド viii...

管理者ガイドIntegrity Advanced Server の使用

1-0275-0650-2005-09-30_jp

編集注 : (C)2005 Check Point Software Technologies Ltd. All rights reserved.

Check Point、Application Intelligence、Check Point Express、Check Point ロゴ、ClusterXL、Cooperative Enforcement、ConnectControl、Connectra、CoSa、Cooperative Security Alliance、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、IMsecure、INSPECT、INSPECT XL、Integrity、InterSpect、IQ Engine、Open Security Extension、OPSEC、Policy Lifecycle Management、Provider-1、Safe@Home、Safe@Office、SecureClient、SecureKnowledge、SecurePlatform、SecuRemote、SecurServer、SecureUpdate、SecureXL、SiteManager-1、SmartCenter、SmartCenter Pro、Smarter Security、SmartDashboard、SmartDefense、SmartDefense Advisor、SmartLSM、SmartMap、SmartUpdate、SmartView、SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SofaWare、SSL Network Extender、TrueVector、UAM、User-to-Address Mapping、UserAuthority、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 VSX、Web Intelligence、ZoneAlarm、Zone Alarm Pro、Zone Labs、および Zone Labs ロゴは、Check Point Software Technologies Ltd. またはその提携会社の商標または登録商標です。ここで言及されている他のすべての製品名は、各所有者の商標または登録商標です。本文書に記載されている製品は、U.S. Patent No. 5,606,668、5,835,726、および 6,496,935 で保護されており、米国のその他の特許またはその他の国の特許で保護されている場合や、特許を出願中のアプリケーションの場合が

あります。

Integrity Advanced Server 管理者ガイド iii

目次

1 章イントロダクション ........................................................ 1

本書の内容 ............................................................... 2グローバル管理者の方へ ..............................................2ドメイン管理者の方へ .................................................3

各種ドキュメントの概要 ........................................... 52 章ドメイン、カタログ、グループの設定と管理 .................... 6

ドメインの概念 ......................................................... 7システムドメインの概念 .............................................7システムドメインにアクセスできる管理者 .................... 8システムドメインとその他のドメイン .......................... 9システムドメインで実行されるタスク ........................ 11

エンティティおよび継承 ......................................... 12ドメイン管理者の継承のしくみ ..................................12ポリシーの継承機能のしくみ ......................................13

ドメインの確認 ....................................................... 14ドメインの切り替え ...................................................14

新規ドメインのセットアップ ................................... 15ドメインの新規作成 ...................................................15

エンティティのドメインへの追加 ............................ 16エンティティの使用 : 例 .............................................16ユーザの認証 .............................................................17

Proxy Login および Auto Add ........................................ 18カスタムカタログの追加 ...........................................18ゲートウェイカタログの追加 .....................................19IP カタログの追加 .....................................................19ユーザディレクトリカタログの追加 ..........................20

LDAP カタログの追加 ................................................. 21NT ドメインカタログの追加 ....................................... 23RADIUS カタログの追加 ............................................. 26

カスタム、IP、およびゲートウェイカタログへのグループの追加 .........................................................27

ドメインとエンティティの名前変更と削除 ............... 29ドメインの削除 .........................................................29ユーザカタログの削除 ..............................................30ユーザグループの削除 ..............................................30

ユーザカタログの同期 ............................................ 32RADIUS カタログの更新 ............................................. 33

同期のスケジューリング ............................................33

Integrity Advanced Server 管理者ガイド iv

手動同期 ...................................................................34管理者の追加 .......................................................... 35

3 章管理者の管理 ................................................................ 37

ロールベースの管理の概念 ..................................... 38ドメインアクセスの概念 ...........................................38グローバル管理者 ....................................................... 39ドメイン管理者 .......................................................... 40

ロール割り当ての概念 ...............................................41権限の概要 ................................................................. 42デフォルトロールとカスタマイズしたロール ............... 43

ロール詳細の表示 ......................................................43デフォルトロールの使用 ........................................ 45

管理者のデフォルトロール ........................................45カスタマイズしたロールの作成 ................................ 46

使用できる権限 .........................................................46カスタマイズしたロールの作成 ..................................47既存のロールのコピー ................................................ 48空のテンプレートからのロールの作成 ......................... 49

既存ロールの変更 ......................................................49ロールの削除 .......................................................... 50管理者アカウントの設定 ......................................... 51

管理者アカウントの新規作成 ......................................51グローバル管理者アカウントの作成 ............................. 52 ドメイン管理者アカウントの作成 ............................... 53

管理者アカウントの編集 ............................................53異なるロールへの管理者の割り当て ............................. 55異なるエンティティへの管理者の割り当て ................... 56

管理者アカウントの削除 ............................................56

4 章ポリシーテンプレートの発行 ........................................ 57

ポリシーテンプレートの概念 .................................. 58発行済みのポリシーテンプレートを識別する方法 .......58Integrity Advanced Server 設定済みポリシーテンプレート .................................58

ポリシーテンプレートの作成と発行 ........................ 60既存のポリシーからのポリシーテンプレートの作成 ....60既存のポリシーテンプレートの変更 ...........................61

ポリシーテンプレートの削除 .................................. 62ポリシーテンプレートの発行中止 ..............................62システムからのポリシーテンプレートの削除 ...............62前のバージョンへの復帰 ............................................63

Integrity Advanced Server 管理者ガイド v

5 章ポリシーの管理 ............................................................. 64

セキュリティポリシー ............................................ 65エンタープライズポリシー ........................................65エンタープライズポリシーパッケージ ....................... 66

パーソナルポリシー ..................................................67ポリシーの調停 .........................................................67

ポリシー規則の概要 ................................................ 69クラシックファイアウォール規則 ..............................69悪意のあるコードからの保護 ....................................... 70

ゾーン規則とプログラム規則 ......................................71MailSafe 規則 ............................................................71施行規則 ...................................................................71施行規則に関するユーザサポートの考慮事項 ............... 73

規則の評価と優先順 ................................................ 74通信が評価されるしくみ ............................................74ハードコーディングされた規則 ................................... 75ポリシー規則 .............................................................. 76

ポリシーの管理 ....................................................... 78新規セキュリティポリシーの作成 ..............................78セキュリティポリシーの編集 .....................................80セキュリティポリシーの削除 .....................................81

ポリシーパッケージの管理 ..................................... 83新規ポリシーパッケージの作成 .................................83ポリシーパッケージの編集 ........................................83ポリシーパッケージの削除 ........................................84

モデルポリシーライフサイクル .............................. 85ポリシー 1: Discovery Mode ......................................... 86ポリシー 2：既知のプログラム、トラストゾーン要素、および初期プログラム規則を定義する ......................... 87ポリシー 3 およびそれ以降 : トラストゾーンとプログラム規則を改善する ............................. 89

6 章ポリシー: クラシックファイアウォール規則 ................... 90

クラシックファイアウォール規則の概念 ................. 91発信元および送信先の場所の定義 ...............................91プロトコルとポートの定義 .........................................91セキュリティポリシー内のクラシックファイアウォールランク ..........................91

FTP アクセスの例 ....................................................... 92クラシックファイアウォール規則の管理 ................. 93

新規クラシックファイアウォール規則の作成 ..............93クラシックファイアウォール規則の編集 ....................94クラシックファイアウォール規則の削除 ....................95

セキュリティポリシー内の

Integrity Advanced Server 管理者ガイド vi

クラシックファイウォール規則の使用 ..................... 97セキュリティポリシーへのクラシックファイアウォール規則の追加 ....................97クラシックファイアウォール規則のランク付け ..........98クラシックファイアウォール規則の有効化と無効化 ....99セキュリティポリシーからのクラシックファイアウォール規則の削除 ..................100

7 章ポリシー: ゾーンベースのセキュリティ ........................ 101

アクセスゾーンとゾーン規則の概念 ...................... 102ゾーンについて .......................................................102ゾーン規則が機能するしくみ ....................................102ゾーンベースのセキュリティに関する作業フロー ......103

セキュリティポリシーにおけるアクセスゾーンの管理 ..................................................................... 104

トラストゾーンの設定 ............................................104トラストゾーンの内容の計画 ................................... 105信頼される要素の場所の作成 ..................................... 106トラストゾーンへの場所の追加 ................................ 107

新規ネットワーク検出オプションの設定 ...................107セキュリティポリシー内のゾーン規則の使用 ......... 109

グローバルパケット処理の設定 ...............................109セキュリティレベルの選択 ......................................110セキュリティレベル設定の改良 ...............................110デフォルトのセキュリティレベル設定 ...................... 111

8 章ポリシー: プログラムコントロール .............................. 112

プログラムコントロールの概念 ............................. 113プログラムコントロールのツールと機能 ..................116プログラムコントロールの作業フロー .....................118

プログラム情報の収集と整理 ................................. 120リファレンスソースの作成 ......................................120リファレンスソースファイルの作成 ......................... 121リファレンススキャンのインポート .......................... 123

プログラムアクティビティの観察 ............................123プログラム観察の有効化 ........................................... 125プログラム観察の間隔の設定 ..................................... 126新たに観察されるプログラムについてネットワークを

チェック .................................................................. 127プログラムを手動で追加 ..........................................127プログラムグループの作成 ......................................128

グローバルなプログラム許可の設定 ....................... 130プログラム規則の作成 ........................................... 131

プログラム規則の選択 .............................................131プログラム規則の種類 .............................................. 132

Integrity Advanced Server 管理者ガイド vii

プログラム許可 ........................................................ 134その他のすべてのプログラム規則の選択 .................... 136

ポリシーへのプログラム規則の追加 ..........................138プログラム警告の制御 .............................................140

9 章 Program Advisor ........................................................... 141

Program Advisor の概念 ......................................... 141Program Advisor サーバの概念 ................................ 142Program Advisor プロセスの概念 ............................ 143

Integrity クライアントの Program Advisor プロセスの図 ............................................................ 144Integrity Advanced Server Program Advisor プロセスの図 ............................................................ 147

Program Advisor の使用 ......................................... 149Program Advisor の有効化 .........................................149プロキシサーバを経由した Program Advisor の使用 ...150Integrity クライアントの Integrity サーバへの問い合わせの有効化 .................................................150Program Advisor の推奨設定を表示 ............................151Program Advisor の推奨設定を上書き .........................152認識されていないプログラムの管理 ..........................152

10 章ポリシー: 安全でないエンドポイントの制限 .................. 154

施行規則の概念 ..................................................... 155施行規則が作動するしくみ .......................................155制限されたユーザの操作 ..........................................157

サポート要求の最小化 ........................................... 160ユーザへの対策リソースの提供 ................................160観察または警告する規則の使用 ................................162

施行規則の管理 ..................................................... 164施行規則の作業フロー .............................................164新規施行規則の作成 .................................................164プログラム、ファイル、またはキー施行規則の作成 .... 165アンチウイルスプロバイダ規則 ................................ 168クライアント施行規則の作成 ..................................... 172

施行規則の編集 .......................................................173施行規則の削除 .......................................................174

セキュリティポリシー内の施行規則の使用 ............ 175施行規則の追加とグループ化 ....................................175施行規則およびアンチウイルスプロバイダ規則の追加 ......................................................................... 176施行規則およびアンチウイルスプロバイダ規則のグループ化 ............................................................... 177

準拠チェックの設定 .................................................178ポリシーへの制限ファイアウォール規則の追加 .........178

Integrity Advanced Server 管理者ガイド viii

施行規則警告とログの有効化 ....................................178ハートビート間隔の設定 ( オプション ) .....................179セキュリティポリシーの保存 ...................................180

11 章ポリシー: スパイウェアからの保護 ............................... 181

Integrity Anti-Spyware の概念 ................................. 182Anti-Spyware の設定 .............................................. 183

Anti-Spyware 保護をオンにする ................................183グローバル Anti-Spyware 設定 ................................... 184ポリシーレベルの Anti-Spyware 設定 ......................... 185

定期的な Anti-Spyware スキャンのセットアップ ........185スパイウェア処理の設定の変更 ................................186スパイウェアプログラムの実行を許可 .....................186Anti-Spyware のスキャンと処理の施行 ......................187

Anti-Spyware のアップデート ................................. 189Anti-Spyware 保護のモニタリング .......................... 190

Anti-Spyware スキャンの確認 ....................................190スパイウェアインシデントの確認 ............................190

12 章ポリシー: メール攻撃の阻止 ......................................... 192

インバウンドメール保護 ...................................... 193インバウンドメール保護の概念 ...............................193ユーザの操作 ............................................................ 194拡張子隔離表 ............................................................ 195MailSafe メール保護の制約 ....................................... 196

MailSafe 拡張子の管理 .............................................196MailSafe 拡張子の新規作成 ....................................... 197MailSafe 拡張子の編集 .............................................. 198MailSafe 拡張子の削除 .............................................. 199

セキュリティポリシーでのインバウンドメール保護の使用 ........................................................................199セキュリティポリシーへのメール保護の追加 ............. 200拡張子の隔離設定の有効化と無効化 ........................... 201セキュリティポリシーからの MailSafe 拡張子の削除 . 202

アウトバウンドメール保護 ................................... 203外部への保護の概念 .................................................203外部への保護の設定 .................................................203

13 章ポリシー: インスタントメッセージングの保護 ............. 205

IM セキュリティの基本 ......................................... 206IM セキュリティの設定 ......................................... 207IM セキュリティの設定 ......................................... 208IM セキュリティイベントのモニタリング .............. 209

14 章

Integrity Advanced Server 管理者ガイド ix

ゲートウェイと協調施行 .............................................. 210イントロダクション .............................................. 210

協調施行機能の概念 .................................................211サポート対象のゲートウェイおよびクライアント ......211協調施行の設定 .......................................................211

15 章ポリシーとポリシーパッケージのクライアントへの配布 ................................................. 213

ポリシー配布の概念 .............................................. 214ポリシー継承について .............................................214

ポリシーバージョンの管理 ................................... 216ポリシーの配備 ..................................................... 218割り当てのシナリオ .............................................. 219

ポリシーのエンティティへの割り当て ......................219ユーザへのポリシーの割り当て ( オプション ) ...........220セキュリティモデルの設定 ......................................220ポリシー割り当ての継承設定 ....................................221割り当てられたポリシーの削除 ................................221

16 章 Integrity クライアントインストールパッケージ ........... 222

Integrity クライアントインストールパッケージの概念 ..................................................................... 223

Integrity クライアント実行可能ファイル ...................223設定情報 .................................................................223

XML 設定ファイル .................................................... 225切断されたエンドポイントのセキュリティ ................225

Integrity クライアントパッケージの作成 ................ 226クライアントの設定方法と設定の選択 ......................226セキュリティポリシーの作成 ...................................226クライアントパッケージの作成とクライアントパッケージ情報の追加 ...............227クライアントパッケージの設定 ...............................228クライアントインストールパラメータの設定 ...........231

Integrity クライアントパッケージの編集 ............... 233Integrity クライアントパッケージのコピー ............ 234Integrity クライアントパッケージの配備 ................ 235

クライアントパッケージファイルの配布 .................235クライアントパッケージの自動更新 ...................... 237

17 章クライアントセキュリティのモニタリング ................... 238

ログアップロードパラメータの設定 ..................... 239エンドポイントの概要の入手 ................................. 240

クライアント接続レポート .......................................240

Integrity Advanced Server 管理者ガイド x

クライアントバージョンレポート ...........................241ポリシー割り当てレポート .......................................241

個別のエンドポイントの詳細情報の検索 ................ 242施行規則への準拠の追跡 ....................................... 243

現在の準拠の表示 ....................................................243準拠の履歴の表示 ....................................................244

クライアントセキュリティイベントの追跡 ........... 246ネットワーク上のプログラムのモニタリング .......... 248

プログラムイベントの追跡 ......................................248プログラムの観察 ....................................................249

Integrity Advanced Server 管理者ガイド 1

1 章イントロダクション

この章では、この『Integrity Advanced Server 管理者ガイド』、および Integrity Advanced Server のドキュメントについて、概要を説明します。


本書の内容

この管理者ガイドは、Integrity Advanced Server のグローバル管理またはドメインのセットアップについて責任を負うグローバル管理者と、ポリシー管理やユーザサポートなど、単一エンタープライズドメインの日常のセキュリティ管理タスクに責任を負うドメイン管理者という、Integrity Advanced Server の 2 種類の管理者向けに作成されています。

グローバル管理者の方へ

このガイドの以下の章には、グローバル管理者向けの情報が記載されています。

システムレベルで Integrity Advanced Server をインストールして構成する方法、およびシステムの健全性を監視する方法の詳細については、『Integrity Advanced Server インストールガイド』を参照してください。

章タイトル説明

2 ドメイン、カタログ、グループの設

定と管理

システムドメインとその他のドメイン間の関係の概要

新規ドメインをセットアップする方法

ユーザカタログとグループをドメインに追加する方法

3 管理者の管理ロールベースの管理、権限、および許可の概要

システムドメインおよびその他のドメインの管理者アカウントを設定する方法

ロールの割り当て方法、デフォルトロールの使用方法、およびカスタマイズしたロールの作成方

法

4 ポリシーテンプレートの発行

ポリシーテンプレートがドメインに配布されるしくみ

ポリシーテンプレートを作成および変更する方法

表 1-1: グローバル管理者向けの章


ドメイン管理者の方へ

このガイドの以下の章には、ドメイン管理者向けの情報が記載されています。


5 ポリシーの管理エンタープライズポリシーとパーソナルポリシーの概要

規則の評価と優先順

効果的なポリシーを作成するためのヒント

モデルポリシーライフサイクル

6 ポリシー: クラシックファイアウォール規則

クラシックファイアウォール規則の概要

ファイアウォール規則で使用する再利用可能

なポートとプロトコルの定義、および発信元

と送信先の場所の作成

再利用可能なファイアウォール規則の作成

ファイアウォール規則のポリシーへの追加

7 ポリシー: ゾーンベースのセキュリ

ティ

ゾーンおよびゾーン規則の概要

トラストゾーンおよびブロックゾーンへのコンピュータとネットワークの追加

各ゾーンに適用されるセキュリティレベルの設定 / 変更

8 ポリシー: プログラムコントロール

ネットワーク上のプログラムの “ 観察 ”

リファレンスソースの作成と使用

プログラムグループの作成と管理

プログラム規則の作成

9 Program Advisor Program Advisor が動作するしくみ

Program Advisor のセットアップと管理

10 ポリシー: 安全でないエンドポイン

トの制限

施行規則の概要

制限を受けた場合のユーザの操作

施行規則によるユーザサポートへの影響の最小化

再利用可能な施行規則の作成

施行規則のポリシーへの追加

表 1-2: ドメイン管理者向けの章


11 ポリシー: スパイウェアからの保護

Anti-Spyware の概要

Anti-Spyware 保護の設定

Anti-Spyware 保護のモニタリング

12 ポリシー: メール攻撃の阻止

MailSafe が作動するしくみ

拡張子の管理 ( 添付ファイルの種類の定義 )

13 ポリシー: インスタントメッセージングの保護

IM セキュリティの概要

IM セキュリティの設定

IM セキュリティのモニタリング

14 ゲートウェイと協調施行

ゲートウェイの設定方法

協調施行の設定方法

15 ポリシーとポリシーパッケージのクライアントへ

の配布

ポリシーの割り当てと配備

ポリシーの継承、直接割り当てと間接割り当

て

バージョンの管理と前バージョンへのロール

バック

16 Integrity クライアントインストールパッケージ

Integrity クライアントパッケージの作成および設定の方法

17 Monitoring Client Security

ログアップロードパラメータの設定

エンドポイントの概要の確認

個別のエンドポイントの詳細情報の検索

施行規則への準拠状況の追跡

クライアントセキュリティイベントの追跡

ネットワーク上のプログラムのモニタリング


表 1-2: ドメイン管理者向けの章


各種ドキュメントの概要

Integrity Advanced Server には、以下のドキュメントが付属しています。

タイトル説明

Integrity Advanced Server インストールガイド

Integrity Advanced Server のインストール、設定、および保守のための詳細な操作手順が記

載されています。このドキュメントはグロー

バル管理者向けです。

Integrity Advanced Server 管理者コンソールリファレンス

ユーザインターフェイスについて画面別に説明しており、管理者ガイドの関連する章への

クロスリファレンスがあります。このドキュ

メントには、ヘルプシステムの使用方法など、管理コンソールナビゲーションの概要が記載されています。

Integrity Advanced Server 管理者ガイド

Integrity Advanced Server によるドメイン、管理者、およびエンドポイントセキュリティの管理に関する詳細が記載されています。この

ドキュメントはグローバル管理者およびドメ

イン管理者向けです。

Integrity Advanced Server ゲートウェイインテグレーションガイド

仮想プライベートネットワークゲートウェイ装置を Integrity Advanced Server に統合するための情報が記載されています。統合された

SecureClient/Integrity クライアントパッケージの配備に関する情報も記載されています。

Integrity Advanced Server システム要件

クライアントとサーバの要件に関する情報が

記載されています。

Integrity Agent for Linux インストールおよび設定ガイド

Integrity Agent for Linux のインストールおよび設定の方法が記載されています。

Integrity XML ポリシーリファレンスガイド

Integrity クライアント XML ポリシーファイルの内容に関する情報が記載されています。

Integrity クライアント管理ガイド Integrity クライアントインストーラの動作とインストール後の動作を制御するコマンドラインパラメータの詳細情報が記載されています。

Integrity クライアントサポートユーティリティガイド

クライアントログアップロードユーティリティを使用すると、ユーザが既定の場所に

Integrity クライアントの診断情報をアップロードすることで、テクニカルサポート担当者の作業に役立てることができます。

表 1-3: Integrity Advanced Server のドキュメント


2 章ドメイン、カタログ、グループの設定と管理

この章では、新規ドメインのセットアップと設定、カタログとグループのドメイン

への追加、およびドメイン、カタログ、またはグループへの管理者の割り当ての各

手順について説明します。

これらの説明は、ドメインのセットアップや保守を担当するグローバル管理者を主

な対象にしています。


ドメインの概念

Integrity Advanced Server は、ネットワークユーザやポリシーのほか、それらに関連するデータをドメインにまとめます。ドメインには、特別なシステムドメインとそれ以外のドメインの2種類があります。Administrator Consoleにログオンしているときは、常にある特定のドメイン内の操作しか実行できません。そして、管理のため

にどの操作を実行できるかは、どのドメイン内にいるかによって異なります。一般

に、Integrity Advanced Server のシステム全体、またはシステム内の複数のドメインに影響を与える操作を実行するには、システムドメインの中にいる必要があります。

システムドメインの概念システムドメインは、Integrity Advanced Server 内に 1 つしかありません。システムドメインは、次の目的のために使用します。

グローバル管理者用のマスタードメイン。グローバル管理者は、システムドメインを使用して、Integrity Advanced Server 内に新規ドメインをセットアップするほか、Integrity Advanced Server システム全体に影響を与えるグローバルな設定を管理します。

エンドポイントユーザ用のデフォルトドメイン。ネットワーク上で認証されたエンドポイントユーザが、ドメイン内のユーザカタログのメンバではない場合、そのエンドポイントユーザには、システムドメインのデフォルトポリシーが適用されます。そのエンドポイントユーザが非準拠の場合は、システムドメインの対策エリア ( サンドボックス ) に限定されます。こうすることで、認証を受けたすべてのエンドポイントユーザが保護されます。

初期のセットアップ中に、システムドメインを未承認エンドポイントユーザのデフォルトドメインとして設定する場合と、Integrity Advanced Server が未承認ユーザのセッションを終了するように設定する場合とがあります。一般には、

Integrity Advanced Server が未承認ユーザのセッションを終了するように設定されます。


システムドメインにアクセスできる管理者

システムドメインで作成されたアカウントを持つ管理者は、システムドメインのほか、Integrity Advanced Server 上のすべてのドメインにアクセスできます。このような管理者を、グローバル管理者と呼びます。

詳細については、第 3 章「管理者の管理」を参照してください。


システムドメインとその他のドメイン

システムドメインとその他のすべてのドメインは、一方向の信頼関係にあります。その他のドメインは、デフォルトポリシー、ポリシーテンプレート、対策 ( サンドボックス ) テンプレートなど、システムドメインの特定のアイテムをコピーして使用します。

システムドメインのデフォルトポリシー

システムドメインのデフォルトポリシーは、Integrity Advanced Server 全体のセキュリティベースラインの役目を果たします。デフォルトポリシーでは、ユーザの作業の中断を最小限に抑えつつ、セキュリティを実現します。デフォルトポリシーには次の 2 つの目的があります。

新規ドメイン用の初期のデフォルトポリシー。ドメインを新規作成すると、システムドメインのデフォルトポリシーがその新規ドメインにコピーされ、“ デフォルトドメイン名ポリシー” という名前が付けられます。これにより、その新規ドメインにそれ以上のポリシーが割り当てられない場合でも、セキュリティ

ベースラインが確保されます。デフォルトポリシーは継承ではなくコピーされるので、システムドメインのデフォルトポリシーを変更しても、すでに作成したドメインのデフォルトポリシーは変更されないことに注意してください。

未承認ユーザのポリシー。認証サービスにより認証されても、IntegrityAdvanced Server 上のドメインで定義されていないユーザには、システムドメインのデフォルトポリシーが適用されます。

システムドメインのポリシーテンプレート

ポリシーテンプレートには新規ポリシー用のベースラインがあらかじめ設定されているため、ドメイン管理者がポリシーをすばやく簡単に作成するのに役立ちます。

ポリシーテンプレートはすべてのドメインで利用できます。ポリシーテンプレートの設定は、システムドメインで管理されます。デフォルトポリシーとは異なり、システムドメインでポリシーテンプレートを更新すると、その変更はすべてのドメイン内のテンプレートに影響を与えます。グローバル管理者は、システムドメインで新たなポリシーテンプレートを作成し、既存のテンプレートを変更または削除できます。

手順の詳細については、第 4 章「ポリシーテンプレートの発行」を参照してください。

システムドメインおよび対策リソース ( サンドボックス )

ドメインを新規作成すると、Integrity Advanced Server に格納されているテンプレートに基づいて、あらかじめ設定された対策リソースが自動的にそのドメインに設定

されます。デフォルトポリシーと同様に、サンドボックステンプレートを更新した

システムドメインのデフォルトポリシーは変更しないことをお勧めします。


場合、新規ドメインだけが影響を受けます。テンプレートを変更しても、既存のド

メインのサンドボックス対策リソースは影響を受けません。


システムドメインで実行されるタスク

管理者は、システムドメインで以下のタスクを実行します。

他のグローバル管理者のアカウントを作成します。詳細については、第 3 章「管理者の管理」の「管理者アカウントの新規作成」 (51 ページ ) を参照してください。

Integrity Advanced Server に新規ドメインをセットアップします。この章の 15 ページの「新規ドメインのセットアップ」を参照してください。

ポリシーテンプレートを作成して、すべてのドメインに発行します。60 ページの「ポリシーテンプレートの作成と発行」を参照してください。

対策リソース ( サンドボックス ) テンプレートを作成して発行します。

Data Manager でグローバル定義を作成して発行します。たとえば、システムドメインで Location Manager に追加された場所の定義は、すべてのドメインで利用できます。

システムドメインのデフォルトポリシーを編集します。

システムドメインの対策リソース ( サンドボックス ) を編集します。

上記のタスクはすべて、IAS 管理コンソールで実行されます。


エンティティおよび継承

Integrity Advanced Server の各ドメインには、任意の数のユーザカタログを含めることができます。そして、各ユーザカタログに含めることのできるユーザグループの数にも制限はありません。カタログおよびグループは、まとめてエンティティと呼

ばれます。

継承構造のトップレベルはドメインです。デフォルトでは、エンティティはその親エンティティのセキュリティポリシーおよび管理者を継承します。

ドメイン管理者の継承のしくみ

いつでも、任意の数のドメイン管理者をエンティティに割り当てることができま

す。したがって、あるエンティティに管理者を割り当てても、そのエンティティへ

の別の管理者の割り当ては上書きされません。

以下のように管理者を割り当てます。

ドメインに割り当てると、その管理者はそのドメインのすべてのエンティティに

アクセスできます。

ユーザカタログに割り当てると、その管理者はそのユーザカタログ、およびそのユーザカタログに含まれるすべてのユーザグループにアクセスできます。

ユーザグループに割り当てると、その管理者はそのユーザグループのみにアクセスできます。

管理者に関するドメインとエンティティの継承構造を下の図に示します。

.

グローバル管理者は、Integrity Advanced Server のすべてのドメインおよびエンティティにアクセスできます。

図 2-1: 管理者の継承

ドメイン 1

ユーザカタログユーザカタログ

グループ

グループ

グループ

A B

( エンティティ)

ドメイン 1 管理者

カタログ A 管理者

グループ 1 管理者 1

2

3

1

グループ


例 : 管理者の継承

図 2-1 の例では、以下のようになります。

ドメイン 1 管理者は、ドメイン 1 に割り当てられています。この管理者はドメイン 1 のすべてのエンティティ ( ユーザカタログ A、ユーザカタログ B、およびすべてのグループ ) にアクセスできます。

カタログ A 管理者は、ユーザカタログ A に割り当てられています。この管理者は、ユーザカタログ A およびユーザカタログ A のグループ 1 ～ 3 にアクセスできます。

グループ 1 管理者は、ユーザカタログ A のグループ 1 に割り当てられています。この管理者がアクセスできるのは、ユーザカタログ A のグループ 1 だけです。

ポリシーの継承機能のしくみ

ドメインまたはエンティティに同時に割り当てることができるポリシーは 1 つだけです。トップレベルであるドメインには、常に特定のポリシーが割り当てられています。ユーザカタログおよびユーザグループには、親からポリシーを継承させることもできますし、固有のポリシーを割り当てることもできます。エンティティに固

有のポリシーを割り当てると、そのエンティティの子はそのポリシーを継承しま

す。エンティティにポリシーを割り当てると、その親から継承されたポリシーは上

書きされます。

ドメインとポリシーに関するエンティティの継承構造を下の図に示します。.

図 2-2: ポリシーの継承

ドメイン 1

ユーザユーザカタログ A カタログ B

( エンティティ)

デフォルトドメイン 1 ポリシー

継承

ポリシー Z

ポリシー Y

継承

継承

( ポリシー Y)

グル1ープ

グル1ープ

グル2ープ

グル3ープ

( デフォルトドメイン 1 ポリシー)



継承


ドメインの確認

ドメインで何か変更 ( 管理者やエンティティの追加など ) をする前に、自分が正しいドメインにいることを確認してください。

ドメインを確認するには、次のようにします。

[Session Status (セッションステータス )] エリアの [Domain (ドメイン )] の下にドメイン名が表示されます。

この例では、管理者はシステムドメイン内で操作しています。

ドメインの切り替え

グローバル管理者が Administrator Consoleにログインすると、[Domain Selection (ドメイン選択 )] ページが表示されます。操作するドメインを一覧から選択します。選択したドメインのホームページが表示されます。

ドメイン管理者は、アカウントが作成されたドメインにしかアクセスできず、ドメ

インを切り替えることはできません。ドメイン管理者が Integrity Advanced Server にログインすると、そのドメインのホームページが自動的に表示されます。

ドメインを切り替えるには、次のようにします。

上部のメニューバーで [Domain Selection ( ドメイン選択 )] をクリックし、ドメインの名前をクリックします。

そのドメインのホームページが表示されます。[Session Status ( セッションステータス )] エリアにドメイン名が表示されます。

図 2-1: [Session Status ( セッションステータス )] エリア

図 2-2: [Domain Selection ( ドメイン選択 )] ページ


新規ドメインのセットアップ

Integrity Advanced Server で新規ドメインをセットアップするには、次の 3 つのタスクが必要です。

1. 15 ページの「ドメインの新規作成」

2. 16 ページの「エンティティのドメインへの追加」

3. 35 ページの「管理者の追加」

ドメインの新規作成

作成した新規ドメインには、あらかじめ設定された管理者ロール、そのドメインに

割り当てられたデフォルトのドメインポリシー、ポリシーテンプレート、およびカスタマイズ可能なドメインサンドボックスページが存在します。新規ドメインを作成するには、システムドメイン内で作業する必要があります。

ドメインを新規作成するには、次のようにします。

1. [Domains ( ドメイン )] に移動します。

[Domain Manager (Domain Manager)] ページが表示されます。

2. [New Domain ( 新規ドメイン )] をクリックします。

[New Domain ( 新規ドメイン )] ページが表示されます。

3. 必要なドメイン情報を入力します。

a. [Domain Name (ドメイン名 )] ボックスに、ドメインの固有の名前を入力します。

名前は 128 文字までで、大文字小文字を区別しません。

b. [Description ( 説明 )] ボックスに、ドメインの説明を入力します。

この説明は、ページにのみ表示されます。説明は 250 文字までです。

4. [Save ( 保存 )] または [Save and Create Entities ( 保存してエンティティを作成 )] をクリックします。

これで、ドメインが作成されます。次のセクションに進んで、ドメインにエンティ

ティ ( ユーザカタログとグループ ) を追加する方法を参照してください。


エンティティのドメインへの追加

Integrity Advanced Server 内の各ドメインには、任意の数のユーザカタログを含めることができます。各ユーザカタログに含めることのできるユーザグループの数にも制限はありません。カタログおよびグループは、まとめて “エンティティ” と呼ばれます。

ドメインをエンティティに区分することで、ユーザのグループごとに異なるポリ

シーや管理者を割り当てることができます。( ユーザとは、Integrity クライアントがインストールされているエンドポイントコンピュータの 1 人ののユーザのことで、 ID が Integrity Advanced Server に登録されています。) エンティティの定義には、IP アドレス範囲、VPN ゲートウェイ、ユーザディレクトリ、またはカスタム設定を使用できます。

Integrity Advanced Server は、エンドポイントをその認証情報によって識別します。 Integrity Advanced Server 上の各カタログは一意でなければなりません。異なるドメイン上にある場合でも、複数のカタログに同じ名前を付けることはできません。

ドメイン構造の詳細については、12 ページの「エンティティおよび継承」を参照してください。

エンティティの使用 : 例このセクションでは、ネットワーク内の IP アドレス範囲に基づいて異なるポリシーを割り当てるためにエンティティを使用する方法の例を示します。この例では IP カタログ (IP アドレスに基づくカタログ ) を取り上げますが、ここで説明するステップは、カスタムカタログやゲートウェイカタログにも同様に妥当します。

多数のプリンタを使用するデスクトップパブリッシング会社を念頭に置いてください。この会社では、ある部門のホスト IP ごとに異なるポリシーを割り当てたいと考えています。エンドポイントデスクトップ用のポリシーと、プリンタ用のポリシーです。このために、管理者は以下の作業を行います。

1. 該当する IP アドレス範囲 ( たとえば 172.00.00.00 ～ 172.00.00.250) の IP カタログを作成します。(IP カタログ作成の詳細については、19 ページの「IP カタログの追加」を参照してください。)

2. このカタログに、デスクトップ専用のポリシーを割り当てます。( 詳細については、219 ページの「ポリシーのエンティティへの割り当て」を参照してください。)

3. 新しい IP カタログ下に、プリンタの IP グループを作成します。このグループは、コンマ区切りのプリンタ IP アドレスまたはホスト名で構成します ( たとえば 172.00.00.47, 172.00.00.63, 以下同様)。(グループ作成の詳細については、

ユーザカタログおよびグループを設定するときは、そのカタログまたはグループの名前が、認証サーバ上のカタログまたはグループの名前と正確に一致する必要

があります。


27 ページの「カスタム、IP、およびゲートウェイカタログへのグループの追加」を参照してください。)

4. このプリンタグループに、プリンタ専用のポリシーを割り当てます。

プリンタとエンドポイントコンピュータがそれぞれ異なるポリシーで保護され、これによりプリンタをデスクトップのポリシーから隔離できます。

ユーザの認証

Integrity Advanced Server は、LDAP、NT ドメイン、および RADIUS サーバからユーザディレクトリ情報をインポートして、ユーザがこれらのディレクトリに対して認証されるようにします。Integrity はネイティブ認証システムとして NT ドメインまたは特定の LDAP ディレクトリ ( 下記参照 ) を使用するので、これらのディレクトリを通して認証されたユーザは Integrity によって自動的に認識されます。組織でこれ以外の認証システム (RADIUS など ) を使用している場合、そのシステムをプロキシログインに使用するように Integrity を設定できます。Integrity のプロキシログインでは、ユーザに対して認証用のログインウィンドウが表示されます。

Integrity Advanced Server の認証は、以下の手順で行われます。

NT ドメイン、Microsoft Active Directory および Novell NDS LDAP のネイティブ認証。ユーザが NT ドメイン、Novell NDS、または Microsoft Active Directory 経由で認証されると、Integrity は自動的にそのユーザを認識します。

NT ドメイン、RADIUS、および LDAP ディレクトリユーザのプロキシログイン。認証システムとして RADIUS または LDAP (Novell NDS および Microsoft Active Directory 以外) を使用している場合は、プロキシログインを使用してください。( プロキシログインを設定するには、関連するカタログを追加する際に [Proxy Login Server (Proxy Login Server)] チェックボックスをオンにします。)

プロキシログインを使用すると、エンドポイントがエンタープライズネットワークに接続するときに Integrity が以下のことを行います。

a. プロキシログインウィンドウを表示して、ユーザに認証を要求します。

b. 入力されたユーザ ID とパスワードを使用して外部ユーザディレクトリ (NT ドメイン、RADIUS、または LDAP) に対する認証を行い、成功した場合は適切なセキュリティポリシーを割り当てます。

Integrity がサポートするゲートウェイを利用して企業ネットワークに接続しているユーザが、関連するグループ内にはまだ存在していない場合の協調施行。この

方法で追加されたユーザはゲートウェイカタログに入れられます。

プロキシログインに指定できるカタログ (NT ドメイン、RADIUS、または LDAP) は 1 つだけです。


Proxy Login および Auto Add

Integrity Advanced Server の Auto Add 機能では、プロキシログインで認証されたユーザがユーザディレクトリに追加されます。ユーザディレクトリのインポートプロセス中に Auto Add オプションが選択されていて、ユーザがプロキシログイン経由でネットワークにアクセスする必要がある場合、そのユーザは適切なグループ

に入れられます。ユーザが自動的に追加されるためには、あらかじめ LAN 上で認証されていなければいけません。ユーザの自動追加に際し、Integrity Advanced Server はエンドポイントに対して最新のポリシーを配備します。

ドメイン構造の詳細については、12 ページの「エンティティおよび継承」を参照してください。

カスタムカタログの追加Administrator Console を使用して、Integrity Advanced Server にカスタムカタログを追加します。

新規カスタムカタログを追加するには、次のようにします。

1. [Domain Selection ( ドメイン選択 )] をクリックします。

2. カタログを作成するドメインを選択します。

そのドメインのホームページが表示され、[Session Status (セッションステータス )] にドメイン名が表示されます。

3. [Entities ( エンティティ)] に移動します。

4. [New Entity ( 新規エンティティ)] をクリックして、[Custom ( カスタム )] を選択します。

5. 必要なカタログ情報を入力します。

a. [Catalog Name ( カタログ名 )] ボックスに、カタログの名前を入力します。

カタログ名は 128 文字までで、大文字小文字を区別しません。

b. [Catalog Description ( カタログの説明 )] ボックスに、カタログの説明を入力します。

この説明は、[View Domain ( ドメインの表示 )] ページおよび [Edit Domain ( ドメインの編集 )] ページにのみ表示され、入力できる説明は 250 文字以内です。

6. [Save ( 保存 )] をクリックします。

カタログがドメインに追加されます。

ユーザカタログおよびグループを設定するときは、そのカタログまたはグループの名前が、認証サーバ上のカタログまたはグループの名前と正確に一致する必要

があります。


カタログを追加したら、そのカタログにグループを追加できます。27 ページの「カスタム、IP、およびゲートウェイカタログへのグループの追加」を参照してください。

ゲートウェイカタログの追加管理コンソールを使用して、Integrity Advanced Server にゲートウェイカタログを追加します。協調施行機能を使用することで、Integrity はサポートされているゲートウェイとともに作動します。これにより、リモートのエンドポイントコンピュータでエンドポイントのセキュリティを確保できます。新規ユーザが Integrity Advanced Server に最初にアクセスしたとき、そのユーザは動的にゲートウェイカタログまたはグループに追加されます。

新規ゲートウェイカタログを追加するには、次のようにします。





4. [New Entity ( 新規エンティティ)] をクリックして、[Gateway ( ゲートウェイ )] を選択します。

5. [Catalog SubTypes ( カタログのサブタイプ )] フィールドで、使用するゲートウェイの種類を選択します。

6. 使用するゲートウェイについて、適切な情報をフィールドに記入します。

各フィールドの説明については、オンラインヘルプを参照してください。詳細については、210 ページの「ゲートウェイと協調施行」および『Integrity Advanced Server ゲートウェイインテグレーションガイド』を参照してください。



カタログを追加したら、そのカタログにグループを追加できます。27 ページの「カスタム、IP、およびゲートウェイカタログへのグループの追加」を参照してください。Check Point InterSpect ゲートウェイカタログにはグループを追加できません。

IP カタログの追加管理コンソールを使用して、Integrity Advanced Server に IP カタログを追加します。エンドポイントユーザではなく IP アドレス範囲に基づいてポリシーを割り当てることができます。


IP カタログを追加するには、次のようにします。





4. [New Entity ( 新規エンティティ)] をクリックして、[IP Catalog (IP カタログ )] を選択します。

5. 必要なカタログ情報を入力します。

a. [IP Catalog Name (IP カタログ名 )] ボックスに、カタログの名前を入力します。

カタログ名は 128 文字までで、大文字小文字を区別しません。

b. [Address Range ( アドレス範囲 )] ボックスに、このカタログの IP アドレスの範囲を入力します。

c. [Subnet Mask ( サブネットマスク )] ボックスに、このカタログのサブネットを入力します ( ある場合 )。



カタログを追加したら、そのカタログにグループを追加できます。27 ページの「カスタム、IP、およびゲートウェイカタログへのグループの追加」を参照してください。IP カタログとグループを組み合わせて使用する方法の例については、16 ページの「エンティティの使用 : 例」を参照してください。

ユーザディレクトリカタログの追加管理コンソールを使用して、Integrity Advanced Server に LDAP、NT ドメイン、または RADIUS カタログを追加します。後で、カタログとユーザディレクトリを同期して更新できます。

RADIUS ディレクトリについては、子ディレクトリは使用できません。すべてのユーザが、ディレクトリサーバの名前が付いたグループに配置されます。

LDAP または NT ドメインのディレクトリの場合は、ディレクトリ内のすべてのユーザを 1 つのカタログ内にインポートするか、特定のディレクトリグループのみをカタログにインポートできます。


LDAP カタログの追加

RFC 1777 準拠の LDAP (Lightweight Directory Access Protocol) サーババージョン 2 および 3 がサポートされます。Integrity には、Novell eDirectory for Windows、 Netscape Directory Server for Windows 2000、および Windows Active Directory サービス ( ネイティブ / ミックスモード ) 用の設定フィルタが用意されています。その他の LDAP サーバを使用している場合、Integrity のデータベースにディレクトリをインポートするためのユーザおよびグループフィルタ情報が必要になります。この情報は、通常は LDAP プロバイダのドキュメントに記載されています。

新規 LDAP カタログを追加するには、次のようにします。





4. [New Entity ( 新規エンティティ)] をクリックして、[LDAP (LDAP)] を選択します。

5. [Catalog Subtypes ( カタログサブタイプ )] フィールドで、LDAP の種類を [Custom ( カスタム )]、[Microsoft ActiveDirectory (Microsoft ActiveDirectory)]、 [Novell eDirectory (Novell eDirectory)]、または [Netscape iPlanet (Netscape iPlanet)] の中から選択します。

組み込みタイプではない LDAP ディレクトリを使用する場合は、[Custom ( カスタム )] を選択して、[User Filter ( ユーザフィルタ )] および [Group Filter ( グループフィルタ )] に適切な値を入力します。LDAP 2.0 以降の仕様を満たしているサーバは、[Custom ( カスタム )] カタログサブタイプを使用してインポートできます。フィルタリング構文の詳細については、通常は LDAP プロバイダのドキュメントに記載されています。

6. プロキシログインや Auto Add の選択など、使用する LDAP ディレクトリについて適切な情報をフィールドに記入します。( フィールドの説明については、関連するオンラインヘルプを参照してください。)

7. [Import Groups (グループのインポート)] をクリックして、インポートする LDAP グループのリストを表示します。

LDAP グループをインポートするには、左側のパネルからグループを選択し、右向きの矢印を使用して LDAP ユーザグループを右側のパネルに移動します。上下のボタンを使用して、追加するグループの順序と優先順位を設定します。



終了したら 35 ページの「管理者の追加」に進んで、ドメインまたはカタログに管理者を割り当てます。


LDAP インポート問題のトラブルシューティング

LDAP ディレクトリサーバでは、クエリから返される結果のサイズを制限することができます。アクティブディレクトリの LDAP インプリメンテーションでは、デフォルトで 1000 ユーザに制限されます。現在、制限よりも多くのユーザを LDAP ディレクトリにインポートすると、ユーザディレクトリのインポートに失敗します。制限の値を大きくすることで、この問題を回避できます。

クエリ結果のサイズ制限を変更するには、次のようにします。

1. ntdsutil.exe を実行します (WINNT\SYSTEM32 にあります )。

2. プロンプトで、「LDAP policies」と入力します。

3. “ldap policy:” プロンプトで、「connection」と入力します。

4. “server connections:” プロンプトで、「connect to server [ サーバ名 ]」と入力します ([ サーバ名 ] は LDAP サーバの名前です )。

ローカルにログインしているユーザの認証情報を使用して、アクセスが許可また

はブロックされます。

5. 「q」と入力して、メニューに戻ります。

6. “ldap policy:” メニューで「show values」と入力して、ポリシー設定を確認します。

7. 「set [属性 ] to [値 ]」と入力して、これらの値を設定することができます。たとえば、ここで設定が必要なのは “MaxPageSize” なので、「set MaxPageSize to 5000」と入力して、一度に 5000 ユーザをインポートできるようにします。

8. 「show values」と再度入力して、変更を確認します。

未決定の変更は、カッコの中に表示されます。

9. 終了したら、「commit changes」と入力します。


NT ドメインカタログの追加

Integrity Advanced Server は、TCP ポート 137-139 を使用して、NetBIOS プロトコル経由でドメインコントローラと通信します。NT または Active Directory ドメインから Integrity Advanced Server にカタログをインポートするには、NetBIOS over TCP を有効にした WINS サーバが必要です。Integrity Advanced Server を実行している Windows 2000 Server プラットフォーム上では、以下のステップでこの設定を確認できます。

サーバ設定を確認するには、次のようにします。

1. [Network Neighborhood ( マイネットワーク )] を右クリックします。

2. [Properties ( プロパティ)] を選択します。

3. [Local Area Connection ( ローカルエリア接続 )] を右クリックします。


5. [Internet Protocol (TCP/IP) ( インターネットプロトコル (TCP/IP))] を選択します。


7. [Advanced ( 詳細設定 )] をクリックします。

8. [WINS (WINS)] タブを選択します。

9. [Enable NetBIOS over TCP/IP (NetBIOS over TCP/IP を有効にする )] ラジオボタンが選択されていることを確認します。

10. [OK (OK)] をクリックします。

アクティブディレクトリの互換性

Integrity では、アクティブディレクトリがネイティブおよびミックスモードでサポートされます。

プライマリドメインコントローラまたはバックアップドメインコントローラに Windows NT Server 4.0 (SP6a) を使用している場合、Integrity Advanced Server がドメインをインポートおよび同期できるようにするために、これらのマシン上に

Microsoft の ADSI (Active Directory(TM) サービスインターフェイス ) ライブラリをインストールする必要があります。ADSI エクステンションは、次の Microsoft サイト (http：//www.microsoft.com/ntworkstation/downloads/Other/adclient.asp) からダウンロードできます。Integrity Advanced Server 上に ADSI ライブラリをインストールして設定する方法の詳細については、Microsoft の各種ドキュメントを参照してください。

Integrity Server とドメインコントローラが通信するときに転送されるのは、ユーザ ID のみです。パスワードは送信されません。


NT ドメインインポート前の考察

Integrity Advanced Server に NT ドメインをインポートするプロセスには、すべての NT ドメインユーザを 1 つのグループにインポートする方法と、インポート先の個々の NT グループを選択してインポートする方法があります。 NT ドメインカタログをインポートするには、NT ドメインの管理権限が必要です。

Integrity Advanced Server のログイン認証情報を変更するには、次のようにします。

1. [Administrative Tools (管理ツール)] の [Services (サービス)] から、サービスツールを開きます。

2. Integrity サービスを右クリックして、[Properties ( プロパティ)] を選択します。

3. [Log On ( ログオン )] タブを開きます。

4. “ログオン” のデフォルト認証情報がローカルシステムアカウントになります。 [This account ( アカウント )] ラジオボタンをクリックします。

5. [Browse... ( 参照 ...)] ボタンをクリックします。ホスト上の Windows Server インストールの [Local Users and Groups (Local Users and Groups)] が開きます。

6. 複数のドメインがある環境では、ドメイン間で信頼される関係を確立する必要があります。Integrity Advanced Server を実行しているコンピュータにログインしている管理者が各ドメインにアクセスするには、適切な権限が必要です。信頼さ

れた関係を作成することはお勧めしません。

7. [Integrity service properties/Log On (Integrity サービスのプロパティ/ ログオン )] ウィンドウにドメイン用の適切な認証情報とパスワードを入力して、[OK (OK)] をクリックします。

新規 NT カタログを追加するには、次のようにします。





4. [New Entity (新規エンティティ)] をクリックして、[NTDomain (NT ドメイン )] を選択します。

5. [Catalog SubTypes ( カタログサブタイプ )] フィールドで、NT ドメインを構成する方法として [Import all users into one group ( すべてのユーザを 1 つのグループ


にインポート )] または [Select groups to import ( インポートするグループを選択 )] を選択します。

[Import all users into one group ( すべてのユーザを 1 つのグループにインポート )] を選択した場合、[Domain Name (ドメイン名)] フィールドに入力した NT ドメイン全体が新しいカタログにインポートされます。

a. プロキシログインや Auto Add の選択など、使用する NT ドメインについて適切な情報をフィールドに記入します。( フィールドの説明については、関連するオンラインヘルプを参照してください。)

[Select groups to import ( インポートするグループを選択 )] を選択すると、 [Import Groups ( インポートするグループ )] ボタンが表示されます。

a. プロキシログインや Auto Add の選択など、使用する NT ドメインについて適切な情報をフィールドに記入します。( フィールドの説明については、関連するオンラインヘルプを参照してください。)

b. [Import Groups ( グループのインポート )] をクリックして、インポートする NT ドメインのリストを表示します。

c. NT ドメイングループをインポートするには、左側のパネルからグループを選択し、右向きの矢印を使用して NT ドメインユーザグループを右側のパネルに移動します。上下のボタンを使用して、追加するグループの順序と優

先順位を設定します。

ユーザは NT ドメイン内の複数のグループ内に存在することができますが、複数の Integrity Advanced Server グループ内に存在することはできません。したがって、Integrity Advanced Server は、NT ドメインから特定のグループをインポートするときに優先順位を設定します。あるユーザが複数の NT グループ内に存在する場合、Integrity Advanced Server はそのユーザを優先順位が最も高いグループにのみ入れます。ユーザ名がいずれの NT グループにも存在しない場合、そのユーザはインポート時にトップレベルドメイングループに追加されます。



終了したら 35 ページの「管理者の追加」に進んで、ドメインまたはカタログに管理者を割り当てます。


RADIUS カタログの追加

Integrity Advanced Server では、RADIUS ユーザをインポートして、ユーザレベルで適切なポリシーを割り当てることができます。個々のユーザレベルではなく RADIUS ディレクトリレベルにのみポリシーを割り当てるのであれば、RADIUS カタログをインポートする必要はありません。ユーザがプロキシログインで正常に認証されると、Integrity Advanced Server はそのユーザをデータベースに追加します。そして、[Auto Add (Auto Add)] ボックスがオンになっていれば、RADIUS カタログレベルポリシーを自動的に割り当てます。Integrity Advanced Server では、RFC 2865 準拠の RADIUS ソフトウェアがすべてサポートされます。

RADIUS カタログを Integrity Advanced Server にインポートするには、RADIUS ユーザファイルを Integrity Advanced Server にコピーする必要があります。このユーザデータファイルは、フォーマットして使いやすい場所に配置しておきます。 RADIUS カタログのエンコード方法は、ASCII フォーマットにする必要があります。

ユーザデータファイルをフォーマットするには、次のようにします。

1. RADIUS サーバからエクスポートした RADIUS カタログをメモ帳で開きます。

エンコーディングドロップダウンメニューから適切なフォーマットを選択して、ASCII フォーマットでファイルを保存します。保存されたファイルがユーザデータファイルになります。

2. ユーザデータファイルを開いて、最初のカラムで始まる文字列にユーザ ID が含まれていることを確認してください。ユーザデータファイルに唯一要求されることは、各ユーザ名がキャリッジリターン、スペースまたはコンマで終了する

ということです。このため、各行はユーザ ID で開始され、最小 1 スペース文字で終了します。Integrity Advanced Server は、“コメント ” 文字を一切認識しません。

正しいフォーマットが要求されるのは最初のカラムだけなので、残りのカラムは

Integrity Advanced Server によって利用されません。

3. ユーザデータファイルを RADIUS サーバから Integrity Advanced Server に移動します。次のセクションでこのユーザデータファイルを Integrity Advanced Server にインポートする必要がありますので、FTP やフロッピーディスク等、都合の良い方法で行ってください。

新規 RADIUS カタログを追加するには、次のようにします。


新規 RADIUS カタログを追加する際に、RADIUS サーバが Integrity Advanced Server と同じコンピュータ上に存在する場合は、“localhost” ではなく IP アドレスを使用して Integrity にログインしてください。このためには、ブラウザを開き、( 文字列 “localhost” ではなく ) IP アドレスを使用して Integrity Advanced Server のログインページにアクセスし、そこで通常どおりにログインします。





4. [New Entity ( 新規エンティティ)] をクリックして、[RADIUS (RADIUS)] を選択します。

5. RADIUS ユーザディレクトリについて、適切な情報をフィールドに記入します。( フィールドの説明については、関連するオンラインヘルプを参照してください。)



終了したら 35 ページの「管理者の追加」に進んで、ドメイン、カタログ、またはグループに管理者を割り当てます。

カスタム、IP、およびゲートウェイカタログへのグループの追加カスタム、IP、およびゲートウェイの各カタログにユーザグループを追加できます (Check Point InterSpect ゲートウェイカタログを除く )。グループを追加すると、カタログ内のユーザのサブセットごとに異なるポリシーや管理者を割り当てることが

できます。カタログ内のすべてのユーザに同じポリシーを適用し、同じ管理者に管

理させる場合、この時点でグループを追加しなくてもかまいません。( カタログとグループを組み合わせて使用する方法の例については、16 ページの「エンティティの使用 : 例」を参照してください。)

ユーザグループを追加するには、次のようにします。

1. システムドメイン内で作業している場合は、[Domain Manager (Domain Manager)] を選択します。適切なドメインのチェックボックスをオンにして、 [Entities ( エンティティ)] をクリックします。

システムドメイン以外のドメインで作業している場合は、[Entities ( エンティティ)] を選択します。

まず、RADIUS ユーザをテキストファイルにエクスポートします。[User Data File ( ユーザデータファイル )] フィールドに、エクスポートする RADIUS ユーザを含むテキストファイルの場所と名前を入力します。

[Shared Secret ( 共有シークレット )] フィールドで、PAP (Password Authentication Protocol) 共有シークレットアカウントのパスワードを使用します。

複数の Integrity Advanced Server をクラスタリングしている場合、各サーバにローカルで RADIUS カタログを保存する必要があります。


2. エンティティのリンクをクリックするか、または検索機能を使用して、適切なカタログを見つけます。関連するカタログがこのページの [Current Entity ( 現在のエンティティ)] エリア内にある場合は、[New Group ( 新規グループ )] をクリックします。

[New Group ( 新規グループ )] ページが表示されます。

3. [Group Name ( グループ名 )] ボックスに、グループの名前を入力します。同一のカタログ内では、すべてのグループが一意の名前を持っている必要があります。

ただし、同じドメイン内の別のカタログ内にあるユーザグループ同士は同じ名前でもかまいません。

4. IP グループを作成する場合、関連する IP アドレスまたはホスト名 ( コンマ区切り ) を [Hosts ( ホスト )] フィールドに入力します。グループ内の各 IP アドレスは、対応するカタログの IP アドレス範囲内に収まっている必要があります。(ホスト名を解決するには、Integrity Advanced Server が DNS サーバにアクセスできる必要があります。)


終了したら 35 ページの「管理者の追加」に進んで、ドメイン、カタログ、またはグループに管理者を割り当てます。

ゲートウェイカタログのユーザグループに名前を付ける場合、以下の規則に従ってください ( すべての名前で大文字小文字が区別されます ):

Check Point Firewall-1 および VPN-1 SecureClient については、グループ名を “checkpoint” とする必要があります。

Cisco VPN 3000 シリーズコンセントレータについては、コンセントレータに定義された名前とグループの名前とが一致する必要があります。

Nortel Contivity VPN スイッチについては、グループ名を “nortel” とする必要があります。


ドメインとエンティティの名前変更と削除

このセクションでは、Integrity Advanced Server からドメインとエンティテ�

Integrity Advanced Server Administrator Guide...Integrity Advanced Server 管理者ガイド viii...

Documents

Transcript of Integrity Advanced Server Administrator Guide...Integrity Advanced Server 管理者ガイド viii...