マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下におけるグループ マッピングの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure Group-Mapping in a Multi-Domain Active Directory Domain Services (AD DS) Forest

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-in-a-Mult...

 

 

PAN-OS 6.1にまで対応していますが、以降のバージョンについては、以下をご参照ください。

 

概要

この資料は、マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下で、クロス ドメイン ユーザーのユーザー名のフォーマットが矛盾しないように、グループ マッピングを正しく設定する方法について記載します。そのフォレストにおいて、他のドメインからすべてのオブジェクト (ユーザーあるいはグループ) を取得する場合、グループ マッピングに際して、「グローバル カタログ」として定義されたADサーバーを使用します。グローバル カタログは分散型のデータの貯蔵庫であり、そのフォレストの各ドメイン メンバーの中の各オブジェクトの検索可能な部分的な属性を保持します。

 

重要!適切に設定されていない場合、グループ マッピングの中の一部ユーザーが、netbios/domain-name (dummydomain/username) となる代わりに fqdn-domain-name/username (dummy.example.com/username) としてフォーマットされてしまい、User-IDエージェント、あるいはエージェト レスなUser-IDサービスから取得されたIPアドレスとユーザーのマッピングに矛盾を生んでしまう問題を起こす可能性があります。

 

手順

  1. グローバル カタログ(通常はルート ドメイン)として設定されているADサーバーは、LDAPサーバーのプロファイル内に設定される必要があります。このサーバーの3268(あるいはSSL用の3269)ポートに接続します。
    ad-screen-1.png
  2. 通常、PAN-OSにドメイン名を置き換えさせるために、ドメイン欄を設定します。そうしたくない場合は、空欄のままにします。
    注:グローバル カタログに対してこの設定を行うことで、他のドメイン(フォレストのメンバー)も含め、このサーバーから取得されるすべてのユーザーとグループのドメイン名を置き換えてしまいますので、ご注意ください。空欄にしておくことで問題が起きる場合、ドメイン名(訳注:フルFQDNでないNetBIOS名の意)のみをこの欄に入力します。例えばドメインは"acme.local"の場合、"acme"が必要なので、"acme"とドメイン欄に入力します。

  3. グループ マッピングの設定に、このプロファイルを使用します(また必要に応じて、設定済みのリストを使用します)。

  4. ドメイン名が手順2にて手動で設定していない場合、別のLDAPサーバー プロファイルを使用するグループ マッピングの追加が必須であり、同じADサーバーに通常の389(あるいはSSL用の636)ポートの同じADサーバーにクエリを行います。この操作は、ユーザーのフォーマットを netbios_domain_name/username として正規化するためのドメイン マップを正しく生成するために必要です。
    ad-screen-2.png
    このプロファイルは、ドメイン マップを取得するために使用するため、ドメイン欄を設定する必要はありませんが、空欄のままにしておくこともできます。ここで使用されているADサーバーは、フォレストの別のドメイン コントローラーになることができ、ドメイン マップにクエリするパーティション コンテナは、すべてのドメイン コントローラーで複製されます。手順2の注をご覧ください。
    Screen Shot 2013-07-24 at 10.42.05.png
    Active Directoryが多数のユーザーやグループを保持している場合、GM-AD設定の中で、それらのためにいくつかの検索フィルタを設定すると良いでしょう。これはこのグループ マッピングでのLDAPのクエリ結果による、管理プレーンのリソース影響を抑えるためです。

  5. このグループ マッピングは、ドメイン マップを決めるためにだけ使用されているので、ユーザーやグループのために結果を取得したり操作したりする必要はありません。
    Screen Shot 2013-07-05 at 09.46.52.png

 

この例では、検索フィルタは"Dummy"という文字列で設定していますが、LDAPのクエリ結果を確実に 0 とするために、ユーザーとグループのDescriptionフィールドにはその文字列"Dummy"が含まれなければいけません。

 

参照:

LDAP Group Mappings in a Mixed 6.x and 7.x Environment with Panorama  

 

 

著者:nbilly