「Active Directoryと連携して、Active Directoryユーザー認証!」syslog-ng Store Box活用連載企画vol.7

SSB 検索画面

螺子です。今回の記事は外部のLDAP(Microsoft Active Directory)データベースを使用してユーザーを認証する方法のについて紹介します。

SSBのユーザーアカウント制御は、既存のActive Directoryと連携してSSBへのアクセスを制御をすることができます。

今回は、Active Directoryと連携して、Active DirectoryのユーザーでSSBへのアクセス認証およびアクセス権の設定を行ってみます。

LDAPユーザー認証の有効化

[AAA]>[Settings]ページに移動し、[Authentication settings]の[User database]セクションで[LDAP]を選択し、必要なフィールドを入力します。

ここでは、以下の値を入力し、選択しています。

  • Address: 10.0.2.116 (Active DirectoryサーバーのIPアドレス)
  • Port: 389 (デフォルトポート)
  • Base DN: DC=jtc-i,DC=corp
  • Bind DN: CN=Administrator,CN=Users,DC=jtc-i,DC=corp
  • Type: [Active Directory]を選択
  • Enable nested groups: ☑
  • Encryption: [Disabled]を選択
図1 SSB LDAPサーバー設定

フィールド入力後、[Commit]をクリックして設定を保存してから、[Test]ボタンをクリックします。Active Directoryサーバーへの接続が成功すると以下のメッセージウィンドウが表示されます。

図2 SSB 接続成功メッセージ

DN(Distinguished Name)の確認方法

[Base DN]および[Bind DN]を調べるには、Windowsのコマンドプロンプトでdsqueryコマンドなどを利用します。

dsqueryコマンド例:

C:Windowssystem32>dsquery user -name Administrator
"CN=Administrator,CN=Users,DC=jtc-i,DC=corp"
図3 Windowsコマンドプロンプト dsqueryコマンド実行例

ローカルユーザーの確認

LDAP認証を有効にすると、自動的に”admin”を除くすべてのローカルユーザーは無効になり、SSBのローカルユーザーでSSBにアクセスは出来なくなります。

以下のように、ローカルユーザー([AAA]>[Local Users]ページ)のリストが表示されなくなり、”NOTE: LDAP authentication backend selected, local users not shown.”のメッセージが表示されます。

LDAP認証を有効にする前:

図4 SSB LDAP認証を有効にする前のローカルユーザー画面

LDAP認証を有効にした後:

図5 SSB LDAP認証を有効にした後のローカルユーザー画面

権限の割り当て

次に、[AAA]>[Access Control]に移動して、SSBへのアクセスを許可するActive Directory用のユーザーグループを追加します。このユーザーグループ名はActive Directoryのグループ名と同じ名前にする必要があります。これにより、Active Directoryグループのメンバーに対してSSBへのアクセス権を設定できるようにします。

[AAA]>[Access Control]で、Active Directoryグループを追加するには、[+]ボタンをクリックします。
[Group]フィールドに追加するActive Directoryグループの名前を入力します。オートコンプリート機能により、文字を入力すると選択可能なグループのリストが表示されます。

図6 SSB [Access Control]のグループ設定

[Edit]ボタンをクリックして、グループのメンバーがアクセス可能なページ(メニュー)あるいは機能を選択します。ここでは、[Search]メニュー以下のページへのアクセスを許可しています。

図7 SSB [Access Control]の権限の割り当て

[Type]フィールドから、アクセスタイプ(読み取りまたは読み取りと書き込み)を選択します。

図8 SSB [Access Control]のアクセスタイプ設定

[Commit]をクリックして設定を保存します。

図9 SSB [Access Control]設定

LDAPユーザーでのアクセス

Active Directoryのグループ”ssbsearch”のメンバーは、以下のユーザーが所属しています。

図10 Windows Active Directoryグループメンバー例

Active Directoryのグループ”ssbsearch”のメンバーユーザーでSSBにログインします。

図11 SSB Active Directoryユーザーでのログイン

アクセス権で設定されたメニューのみが表示されます。

図12 SSB アクセス制御されたSSB Web I/F

いかがでしたでしょうか?
意外と簡単にActive Directoryと連携して、Active Directoryのユーザーを使用してユーザー認証ができましたね。

それでは、次回の連載記事をお楽しみに!


SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

評価版のダウンロード

問合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【Syslog監視】Syslogサーバーとネットワーク監視を連携。PRTGで重要なSyslogだけを監視する。

  2. システム管理者の特権アカウントを保護するための7つの方法

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

JTC IT用語集
TOP