SSB 検索画面 |
螺子です。今回の記事は外部のLDAP(Microsoft Active Directory)データベースを使用してユーザーを認証する方法のについて紹介します。
SSBのユーザーアカウント制御は、既存のActive Directoryと連携してSSBへのアクセスを制御をすることができます。
今回は、Active Directoryと連携して、Active DirectoryのユーザーでSSBへのアクセス認証およびアクセス権の設定を行ってみます。
- syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
- syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
- syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
- syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- syslog-ng Store Box大活用連載企画第5回「ciscoスイッチ、fortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
LDAPユーザー認証の有効化
[AAA]>[Settings]ページに移動し、[Authentication settings]の[User database]セクションで[LDAP]を選択し、必要なフィールドを入力します。
ここでは、以下の値を入力し、選択しています。
- Address: 10.0.2.116 (Active DirectoryサーバーのIPアドレス)
- Port: 389 (デフォルトポート)
- Base DN: DC=jtc-i,DC=corp
- Bind DN: CN=Administrator,CN=Users,DC=jtc-i,DC=corp
- Type: [Active Directory]を選択
- Enable nested groups: ☑
- Encryption: [Disabled]を選択
図1 SSB LDAPサーバー設定 |
フィールド入力後、[Commit]をクリックして設定を保存してから、[Test]ボタンをクリックします。Active Directoryサーバーへの接続が成功すると以下のメッセージウィンドウが表示されます。
図2 SSB 接続成功メッセージ |
DN(Distinguished Name)の確認方法
[Base DN]および[Bind DN]を調べるには、Windowsのコマンドプロンプトでdsqueryコマンドなどを利用します。
dsqueryコマンド例:
C:Windowssystem32>dsquery user -name Administrator
"CN=Administrator,CN=Users,DC=jtc-i,DC=corp"
図3 Windowsコマンドプロンプト dsqueryコマンド実行例 |
ローカルユーザーの確認
LDAP認証を有効にすると、自動的に”admin”を除くすべてのローカルユーザーは無効になり、SSBのローカルユーザーでSSBにアクセスは出来なくなります。
以下のように、ローカルユーザー([AAA]>[Local Users]ページ)のリストが表示されなくなり、”NOTE: LDAP authentication backend selected, local users not shown.”のメッセージが表示されます。
LDAP認証を有効にする前:
図4 SSB LDAP認証を有効にする前のローカルユーザー画面 |
LDAP認証を有効にした後:
図5 SSB LDAP認証を有効にした後のローカルユーザー画面 |
権限の割り当て
次に、[AAA]>[Access Control]に移動して、SSBへのアクセスを許可するActive Directory用のユーザーグループを追加します。このユーザーグループ名はActive Directoryのグループ名と同じ名前にする必要があります。これにより、Active Directoryグループのメンバーに対してSSBへのアクセス権を設定できるようにします。
[AAA]>[Access Control]で、Active Directoryグループを追加するには、[+]ボタンをクリックします。
[Group]フィールドに追加するActive Directoryグループの名前を入力します。オートコンプリート機能により、文字を入力すると選択可能なグループのリストが表示されます。
図6 SSB [Access Control]のグループ設定 |
[Edit]ボタンをクリックして、グループのメンバーがアクセス可能なページ(メニュー)あるいは機能を選択します。ここでは、[Search]メニュー以下のページへのアクセスを許可しています。
図7 SSB [Access Control]の権限の割り当て |
[Type]フィールドから、アクセスタイプ(読み取りまたは読み取りと書き込み)を選択します。
図8 SSB [Access Control]のアクセスタイプ設定 |
[Commit]をクリックして設定を保存します。
図9 SSB [Access Control]設定 |
LDAPユーザーでのアクセス
Active Directoryのグループ”ssbsearch”のメンバーは、以下のユーザーが所属しています。
図10 Windows Active Directoryグループメンバー例 |
Active Directoryのグループ”ssbsearch”のメンバーユーザーでSSBにログインします。
図11 SSB Active Directoryユーザーでのログイン |
アクセス権で設定されたメニューのみが表示されます。
図12 SSB アクセス制御されたSSB Web I/F |
いかがでしたでしょうか?
意外と簡単にActive Directoryと連携して、Active Directoryのユーザーを使用してユーザー認証ができましたね。
それでは、次回の連載記事をお楽しみに!
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。