13. FRAポータルの操作方法について

-本ページは、管理者が行うFRAポータルの操作方法について書き表しています。
13.1.ACC
-レポート出力

13.2.Monitor
-ログのカラム追加、削除
-ログのCSV出力

13.3.Policies
-ポリシー追加、変更、削除

13.4.Objects
-サービス追加、変更、削除
-HIPオブジェクト/HIPプロファイル追加、変更、削除
-カスタムオブジェクト(URLカテゴリ)追加、変更、削除
-セキュリティプロファイル(URLフィルタリング)追加、変更、削除
-ログ転送追加、変更、削除

13.5.Network
-GlobalProtectポータル/ゲートウェイ
・クライアント認証変更
・認証プロファイル変更(LDAP/SAML)
・エージェントコンフィグ追加、変更、削除
・FRA接続ユーザーの確認、削除

13.6.Device
-管理者パスワード変更
-認証プロファイル作成(SAML)
-認証シーケンス作成
-ユーザID(グループマッピング)
-SSL復号化例外
-ログ設定(HIPマッチ/Global Protect)
-サーバープロファイル作成(Syslog)
-サーバープロファイル作成(LDAP)
-ローカルユーザー/ユーザーグループの登録
-Global Protectクライアントソフトウェアのダウンロード

以下に各操作の詳細について記載します。

警告

Policies/Objects/Network/Deviceの変更は0系と1系の両系で実行してください。また、設定変更後はコミットを必ず実施してください。
コミットを実施しない場合、設定が反映されません。コミット手順については こちら を参照してください。

13.1. ACC

アプリケーションコマンドセンター(ACC)は、FRAサービス内の通信の稼働状況を提供する分析ツールです。FRAポータルのログを使用してFRAサービス内の通信の使用パターン、トラフィックパターン、疑わしい通信、異常な通信を分析し各通信の関係性をグラフィカルに表示します。また、表示した結果はレポート出力する事が可能です。レポート出力手順を以下に記載します。

13.1.1. レポート出力

(1)ACCタブをクリックし、エクスポートをクリックします。

図13.1.1 ACCタブ

(2)レポート出力が開始されます。

図13.1.2 レポート出力中

(3)レポート出力が完了するとレポートを保存できます。

図13.1.3 レポート保存

13.2. Monitor

Monitorではロギング機能を提供します。FRAサービスでは、トラフィックログ、HIPマッチログ、GlobalProtectログが参照できます。ログの見方については FRAポータルで参照可能なログの見方について を参照してください。ログは、初期構築時のログにカラムを追加、削除する事ができます。また、CSVにログを出力できます。カラムの追加、削除の手順とログをCSVに出力する手順を以下に記載します。

13.2.1. カラム追加、削除

(1)Monitorタブをクリックしカラムを追加、削除したいログをクリックします。

図13.2.1 Monitorタブ

(2)任意のカラムにカーソルを合わせ、▽をクリックします。カラムと列の調整が表示されます。

図13.2.2 カラム選択

(3)カラムにカーソルを合わせます。追加、削除可能なカラムが表示されます。追加したい場合はチェックボックスにチェックを入れ、削除したい場合はチェックを外します。

図13.2.3 カラムの追加・削除

注釈

カラムの追加、削除の変更を行った場合、変更内容はコミットせずに即座に反映されます。

13.2.2. CSV出力

(1)MonitorタブをクリックしCSV出力したいログをクリックします。

図13.2.4 ログ選択

(2)画面右端のCSVアイコンをクリックします。

図13.2.5 CSVアイコン選択

(3)ログのエクスポートが開始されます。

図13.2.6 エクスポート開始

(4)エクスポートが完了するとファイルのダウンロードが表示されます。クリックしダウンロードを開始します。

図13.2.7 エクスポート完了

(5)ファイルのダウンロードが完了すると下記の画面が表示されます。ログをCSVファイルで参照頂く事ができます。

図13.2.8 CSVファイルのダウンロード

13.3. Policies

Policiesではポリシーの追加、変更、削除機能を提供します。ポリシーを設定すると設定に従った通信を実行します。ポリシーの追加、変更、削除の手順を以下に記載します。

注釈

ポリシーの変更はUSER-VPN-to-VPNFICまたはUSER-VPN-to-VPNINETのみ可能です。
追加する場合は、 変更可能なルールの間または直上直下に設定してください。
ポリシーは設定した上から順に優先して実行します。たとえば、本来許可したい通信の上に拒否ポリシーがある場合、
拒否ポリシーが優先されるため許可したい通信が実行されません。ポリシーの設定位置について注意してください。
ポリシーを追加、編集する際は必要な通信先のみ許可するなど最小限のポリシー設定を推奨します。

警告

初期構築で設定済みのポリシーは削除しないでください。既存の通信が失敗する恐れがあります。

13.3.1. ポリシー追加

(1)Policiesタブをクリックし追加にカーソルを合わせクリックします。クリックすると新規ポリシー画面が表示されます。

図13.3.1 Policiesタブ

(2)全般タブの以下の項目を入力します。

1.名前:任意の名前を入力します。名前は必須項目です。
2.ルールタイプ:universal(default)を選択します。
3.内容:作成したポリシーの説明を記載します。省略可能です。
4.監査コメント:ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です。

図13.3.2 セキュリティポリシールール(全般)

(3)送信元タブの以下の項目を入力します。

1.送信元ゾーン:通信の送信元ゾーンを指定します。すべてのゾーンを対象にする場合はいずれかにチェックをします。特定のゾーンを送信元に指定する場合は追加をクリックし対象のゾーンを選択します。

2.送信元アドレス:通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は追加をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

図13.3.3 セキュリティポリシールール(送信元)

注釈

FRAポータルで主に使用するゾーンとアドレスの概要について以下に記載します。
【ゾーン】
VPN:VPN接続ユーザに払い出されるIPアドレスが所属するインターフェイス
VPNINET:VPN接続後FRAから直接インターネットに通信する際に利用するインターフェイス
VPNFIC:VPN接続後FIC Connection向けに通信する際に利用するインターフェイス

【アドレス】
VPN-POOL:VPN接続時に払い出されるIPアドレス

(4)ユーザータブの以下の項目を入力します。

1.送信元ユーザー:通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は追加をクリックし対象のユーザーを選択します。

2.HIPプロファイル:HIP機能を使用する場合に追加をクリックし対象のHIPプロファイルを選択します。HIPプロファイルを使用しない場合はanyを選択します。

図13.3.4 セキュリティポリシールール(ユーザー)

(5)宛先タブの以下の項目を入力します。

1.宛先ゾーン:通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は追加をクリックし対象のゾーンを選択します。

2.宛先アドレス:通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は追加をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

図13.3.5 セキュリティポリシールール(宛先)

(6)アプリケーションタブの以下の項目を入力します。

1.アプリケーション:通信で使用するアプリケーションを指定します。すべてのアプリケーションを対象にする場合はいずれかにチェックをします。特定のアプリケーションを対象に指定したい場合は追加をクリックし対象のアプリケーションを選択します。

2.次に依存:特定のアプリケーションを指定する場合、指定したアプリケーションに関連するアプリケーションを同時に指定する必要があります。依存関係にあるアプリケーションにチェックを入れます。

図13.3.6 セキュリティポリシールール(アプリケーション)

注釈

アプリケーションの依存関係は アプリケーション依存とは を参照してください。
Paloalto社のWebサイトに移動します。

(7)サービス/URLカテゴリタブの以下の項目を入力します。

1.サービス:通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は追加をクリックし対象のサービスを選択します。
2.URLカテゴリ:カスタムURLカテゴリを設定したい場合は作成したカスタムURLカテゴリを指定します。

図13.3.7 セキュリティポリシールール(サービス/URLカテゴリ)

注釈

サービスの説明は、Objectsのサービスの追加、変更、削除に記載しています。

(8)アクションタブの以下の項目を入力します。入力完了後に、OKボタンをクリックします。

1.アクション設定:通信を許可する場合はallowを選択します。通信を拒否する場合はdenyを選択します。その他のアクションは選択しないでください。
2.ログ設定:通信開始時のログを記録したい場合はセッション開始時にログにチェックをします。通信終了時のログを記録したい場合はセッション終了時にログにチェックをします。通信の開始/終了を記録したい場合は両方にチェックをします。Syslogサーバーにログを転送する場合はログ転送からログ転送プロファイルを選択します。
3.プロファイル設定:UTM機能(アンチウイルス/アンチスパイウェア/脆弱性防御(IDS/IPS))を使用する場合はプロファイルタイプから使用したいプロファイルを選択します。推奨設定を設定したい場合は セキュリティ機能(UTM機能)の推奨設定について を参照してください。

図13.3.8 セキュリティポリシールール(アクション)

(9)ポリシー追加後、追加したポリシーを変更可能なルールの間または直上直下に設定します。追加したポリシーを選択し画面下部の移動にカーソルを合わせクリックします。

図13.3.9 追加ポリシー選択

(10)上へをクリックし変更可能なルールの間または直上直下に移動します。

図13.3.10 ルール移動

(11)以下のように変更可能なルールの直上に移動しポリシーの移動が完了となります。

図13.3.11 ルール移動完了後の画面

13.3.2. ポリシー変更

(1)Policiesタブをクリックし変更対象のポリシーにカーソルを合わせポリシー名をクリックします。

図13.3.12 ポリシー選択

(2)変更対象のポリシーがポップアップされます。変更内容を入力しOKをクリックします。

図13.3.13 ポリシー変更

13.3.3. ポリシー削除

(1)Policiesタブをクリックし削除対象のポリシーにカーソルを合わせます。画面下部の削除にカーソルを合わせクリックします。

図13.3.14 ポリシー削除

(2)削除対象のポリシーを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.3.15 ポリシー削除確認

13.3.4. SSL復号(追加)

(1)Policiesタブをクリックし、復号をクリック後に追加にカーソルを合わせクリックします。クリックすると新規復号ポリシー画面が表示されます。

図13.3.16 Policiesタブ

(2)全般タブの以下の項目を入力します。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:作成した復号ポリシーの説明を記載します。省略可能です。
3.監査コメント:ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です

図13.3.17 復号ポリシールール(全般)

(3)送信元タブの以下の項目を入力します。

1.送信元ゾーン:通信の送信元ゾーン(VPN)を指定します。必ずVPNゾーンを指定します。

2.送信元アドレス:通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は追加をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

3.送信元ユーザー:通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は追加をクリックし対象のユーザーを選択します。

図13.3.18 復号ポリシールール(送信元)

(3)宛先タブの以下の項目を入力します。

1.宛先ゾーン:通信の宛先ゾーンを指定します。すべてのゾーンを対象にする場合はanyを選択します。特定のゾーンを宛先に指定したい場合は追加をクリックし対象のゾーンを選択します。

2.宛先アドレス:通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は追加をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)

図13.3.19 復号ポリシールール(宛先)

(4)サービス/URLカテゴリタブの以下の項目を入力します。

1.サービス:通信で使用するサービスを指定します。すべてのサービスを許可したい場合はapplication-defaultを選択します。特定のサービスを対象に指定したい場合は追加をクリックし対象のサービスを選択します。URLカテゴリの選択は、5.4.10. URLカテゴリ追加の設定を参照してください。

図13.3.20 復号ポリシールール(サービス/URLカテゴリ)

注釈

サービスの説明は、Objectsのサービスの追加、変更、削除に記載しています。

(5)オプションタブの以下の項目を入力します。

1.アクション:復号なし/復号のいずれかにチェックします。復号しない場合は復号なしにチェックし、復号する場合は復号にチェックします。

2.タイプ:SSLフォワードプロキシを選択します。SSLフォワードプロキシ以外は選択しないでください。

3.復号プロファイル:復号プロファイルを設定している場合は設定した復号プロファイルを選択します。復号プロファイルの設定はObjectの復号プロファイルの設定を参照してください。入力完了後に、OKボタンをクリックします。

図13.3.21 復号ポリシールール(オプション)

13.3.5. SSL復号(変更)

(1)Policiesタブをクリックし復号をクリック後、変更対象の復号ポリシーにカーソルを合わせ復号ポリシー名をクリックします。

図13.3.22 Policiesタブ

(2)変更対象の復号ポリシーがポップアップされます。変更内容を入力しOKをクリックします。

図13.3.23 復号ポリシールール変更

13.3.6. SSL復号(削除)

(1)Policiesタブをクリックし削除対象の復号ポリシーにカーソルを合わせます。画面下部の削除にカーソルを合わせクリックします。

図13.3.24 復号ポリシールール削除

(2)削除対象の復号ポリシーを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.3.25 復号ポリシールール削除確認

13.4. Objects

Objectsでは以下の機能を提供します。

1.サービス
サービスは、ポリシーを作成する際に設定する項目です。サービスを設定する事で使用できるポート番号を制限します。デフォルトのサービス設定は、any(いずれか)で、すべてのTCPポートとUDPポートを許可します。

2.HIPオブジェクト/HIPプロファイル
HIPオブジェクト/HIPプロファイルは、ホスト情報プロファイル(HIP)の設定です。HIPを設定するとVPN接続を行った端末のホストIDをFRAポータルに送信します。ホストIDの情報をHIPプロファイルでチェックし、ポリシーにマッチした通信を行います。

3.カスタムオブジェクト(URLカテゴリ)
URLカテゴリはマルウェア、フィッシング、プロキシ回避など危険なカテゴリに分類されるサイトへのアクセス時に警告の表示または、アクセスをブロックします。

4.セキュリティプロファイル(URLフィルタリング)
URLフィルタリングはHTTP/HTTPSの通信を調べて、個々のURLまたはカテゴリに基づいて通信を許可またはブロックします。

5.ログ転送
ログ転送はトラフィックログ、Threatログ、URLフィルタリングログをSYSLOGサーバに送信する機能を提供します。ログ転送を設定し、設定したログ転送をポリシーに設定するとポリシーに一致した通信をSYSログサーバに送信します。

各機能の設定手順を以下に記載します。
サービス追加

(1)Objectsタブをクリックしサービスをクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.1 Objectsタブ

(2)新規サービスがポップアップされます。以下の項目を設定しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:作成したサービスの説明を記載します。省略可能です。
3.プロトコル:TCPかUDPのどちらかにチェックを入れます。
4.宛先ポート:通信先のポート番号を入力します。宛先ポートは必須項目です(※)。
5.送信元ポート:通信元のポート番号を入力します(※)。
※ポートは単一のポート番号、範囲(1~65535)またはカンマ区切りの値(80,443)を指定できます
6.セッションタイムアウト:アプリケーションから継承かオーバーライドのどちらかをチェックします。
7.タグ:FRAサービスでは使用しません。

:図13.4.2 新規サービス

13.4.1. サービス変更

(1)Objectsタブをクリックしサービスをクリックします。変更対象のサービスにカーソルを合わせサービス名をクリックします。

図13.4.3 サービス選択

(2)変更対象のサービスがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.4 サービス変更

13.4.2. サービス削除

(1)Objectsタブをクリックしサービスをクリックします。削除対象のサービスにチェックを入れます。

図13.4.5 サービス選択

(2)画面下部の削除にカーソルを合わせクリックします。

図13.4.6 サービス削除

(3)削除対象のサービスを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.7 サービス削除確認

13.4.3. HIPオブジェクト追加(全般)

(1)ObjectsタブをクリックしHIPオブジェクトをクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.4 HIPオブジェクト画面

(2)新規HIPオブジェクトがポップアップされます。以下の項目を設定しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.ホスト情報:ホスト情報にチェックを入れます。
3.OS:OSバージョンを指定したい場合は選択欄からOSバージョンを選択します。
4.クライアントバージョン:クライアント(端末)のバージョンを指定したい場合は選択欄にクライアントバージョンを指定します。
5.ホスト名:ホスト名を指定したい場合は、選択欄にホスト名を指定します。
6.ホストID:ホストIDを指定したい場合は選択欄から「である」を選択しホストIDを入力します。ホストIDを除外したい場合は選択欄から「除く」を選択しホストIDを入力します。

図13.4.5 新規HIPオブジェクト(全般)

注釈

HIPオブジェクトを追加する場合の変更可能な項目は FRAポータルで設定変更可能な項目についての 12.4.5. Objects>GlobalProtect>HIPオブジェクト を参照してください。こちらに記載の項目以外は設定を変更しないでください。
最終スキャン時間は「UTC時間のHIP情報の時間(クライアントのUTC時間)」と「JST時間のVM内の時間」で比較されます。
iPadOSはOS-Apple-iOSとして識別されます。
Android端末をOSで識別する場合「google」&「all」を指定する必要があります。OS Version毎の制御はできません。

(3)以下はWindowsのGUIDをホストIDに指定する場合の設定例です。

図13.4.6 WindowsのGUIDをホストIDに指定する場合の設定例

注釈

端末側のGUIDを確認する場合はコマンドプロンプトで以下のコマンドを実行する事で確認可能です。

図13.4.7 GUID確認

(4)以下はMacのMACアドレスをホストIDに指定する場合の設定例です。

図13.4.8 MacのMACアドレスをホストIDに指定する場合の設定例

13.4.4. HIPオブジェクト追加(パッチ管理)

(1)Windowsのパッチファイルを管理を行い場合は以下の設定を実施しOKをクリックします。

1.基準タブをクリックしパッチ管理にチェックを入れます。有効をyesに変更し追加をクリックします。
2.管理対象のファイル名を入力します。

図13.4.9 パッチ管理(基準)

図13.4.10 パッチ管理(管理対象のファイル追加)

(2)Windows Updateのパッチ管理を行いたい場合は以下の設定を実施しOKをクリックします。

1.ベンダータブをクリックし追加をクリックします。
2.ベンダーの編集画面に遷移した後、Microsoft Corporationを選択しOKをクリックします。

図13.4.11 パッチ管理(ベンダー)

図13.4.12 パッチ管理(ベンダー編集)

13.4.5. HIPオブジェクト追加(アンチマルウェア)

(1)以下の項目を入力しOKボタンをクリックします

1.ウイルス定義バージョン:ウイルス定義バージョンの管理を行いたい場合は選択欄に対象バージョンを指定します。
2.製品バージョン:製品バージョンの管理を行いたい場合は選択欄に対象バージョンを指定します。
3.最終スキャン時間:最終スキャン時間の管理を行いたい場合は選択欄に更新間隔を指定します。

図13.4.13 HIPオブジェクト追加(アンチマルウェア)

13.4.6. HIPオブジェクト追加(カスタムチェック)

(1)管理対象にしたいプロセスリスト/レジストリキー/Plistのいずれかのタブをクリックし、管理対象のプロセス等を入力しOKをクリックします。

図13.4.14 HIPオブジェクト追加(カスタムチェック)

13.4.7. HIPオブジェクト変更

(1)ObjectsタブをクリックしHIPオブジェクトをクリックします。変更対象のHIPオブジェクトにカーソルを合わせHIPオブジェクト名をクリックします。

図13.4.15 HIPオブジェクト選択

(2)変更対象のHIPオブジェクトがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.16 HIPオブジェクト変更

13.4.8. HIPオブジェクト削除

(1)ObjectsタブをクリックしHIPオブジェクトをクリックします。削除対象のHIPオブジェクトにチェックを入れます。画面下部の削除にカーソルを合わせクリックします。

図13.4.17 HIPオブジェクト削除

(2)削除対象のHIPオブジェクトを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.18 HIPオブジェクト削除確認

13.4.9. HIPプロファイル追加

(1)ObjectsタブをクリックしHIPプロファイルをクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.19 HIPプロファイル画面

(2)新規HIPプロファイルがポップアップされます。以下の項目を設定しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:HIPプロファイルの説明を記載します。省略可能です。
3.一致(条件の追加):作成するHIPプロファイルに一致するHIPオブジェクトを追加します。HIPオブジェクトを追加する場合は条件の追加をクリックします。
4.HIPオブジェクト/プロファイルビルダー:HIPプロファイルに追加したいHIPオブジェクトの+をクリックします。HIPプロファイルの一致欄にHIPオブジェクトが追加されます。

図13.4.20 新規HIPプロファイル

13.4.10. HIPプロファイル変更

(1)ObjectsタブをクリックしHIPプロファイルをクリックします。変更対象のHIPプロファイルにカーソルを合わせHIPプロファイル名をクリックします。

図13.4.21 HIPプロファイル選択

(2)変更対象のHIPプロファイルがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.22 HIPプロファイル変更

13.4.11. HIPプロファイル削除

(1)ObjectsタブをクリックしHIPプロファイルをクリックします。削除対象のHIPプロファイルにチェックを入れます。画面下部の削除にカーソルを合わせクリックします。

図13.4.23 HIPプロファイル削除

(2)削除対象のHIPプロファイルを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.24 HIPプロファイル削除確認

13.4.12. URLカテゴリ追加

(1)ObjectsタブをクリックしURLカテゴリをクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.22 URLカテゴリ画面

(2)以下の項目を設定しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:URLカテゴリの説明を記載します。省略可能です。
3.タイプ:URLリストを選択します。
4.サイト:追加ボタンをクリックし追加したいカテゴリを入力します。

図13.4.23 カスタムURLカテゴリ

13.4.13. URLカテゴリ変更

(1)ObjectsタブをクリックしURLカテゴリをクリックします。変更対象のURLカテゴリにカーソルを合わせURLカテゴリ名をクリックします。

図13.4.24 URLカテゴリ選択

(2)変更対象のURLカテゴリがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.25 URLカテゴリ変更

13.4.14. URLカテゴリ削除

(1)ObjectsタブをクリックしURLカテゴリをクリックします。削除対象のURLカテゴリにチェックを入れます。画面下部の削除にカーソルを合わせクリックします。

図13.4.26 URLカテゴリ削除

(2)削除対象のURLカテゴリを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.27 URLカテゴリ削除確認

13.4.15. URLフィルタリング追加

(1)ObjectsタブをクリックしURLフィルタリングをクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.28 URLフィルタリング画面

(2)以下の項目を設定しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:URLフィルタリングの説明を記載します。省略可能です。
3.カテゴリ:変更対象のカテゴリのサイトアクセスの設定をallow(許可)、alert(監視)、block(拒否)、continue(継続)のいずれかに設定します。

図13.4.29 URLフィルタリングプロファイル

13.4.16. URLフィルタリング変更

(1)ObjectsタブをクリックしURLフィルタリングをクリックします。変更対象のURLフィルタリングにカーソルを合わせURLフィルタリング名をクリックします。

図13.4.30 URLフィルタリング選択

(2)変更対象のURLフィルタリングがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.31 URLフィルタリング変更

13.4.17. URLフィルタリング削除

(1)ObjectsタブをクリックしURLフィルタリングをクリックします。削除対象のURLフィルタリングにチェックを入れます。画面下部の削除にカーソルを合わせクリックします。

図13.4.32 URLフィルタリング削除

(2)削除対象のURLフィルタリングを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.33 URLフィルタリング削除確認

13.4.18. ログ転送追加

(1)Objectsタブをクリックしログ転送をクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.34 ログ転送画面

(2)ログ転送プロファイルで名前、内容(省略可能)を入力後、追加をクリックします。

図13.4.35 ログ転送プロファイル

(3)ログ転送プロファイルのマッチリストで以下の項目を入力しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:ログ転送プロファイルのマッチリストの説明を記載します。省略可能です。
3.ログタイプ:traffic、threat、urlのいずれかを選択します。
4.転送方式(syslog):追加をクリックしsyslogサーバープロファイル選択します。syslogサーバープロファイルの作成はサーバープロファイル(syslog)を参照してください。

図13.4.36 ログ転送プロファイルのマッチリスト

(4)ログ転送プロファイルの画面に戻ります。OKをクリックします。

図13.4.37 ログ転送プロファイルの追加

13.4.19. ログ転送変更

(1)Objectsタブをクリックしログ転送をクリックします。変更対象のログ転送プロファイルにカーソルを合わせログ転送プロファイル名をクリックします。

図13.4.38 ログ転送プロファイルの選択

(2)変更対象のログ転送プロファイルがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.39 ログ転送プロファイル変更

13.4.20. ログ転送削除

(1)Objectsタブをクリックしログ転送をクリックします。削除対象のログ転送プロファイルにチェックを入れます。画面下部の削除にカーソルを合わせクリックします。

図13.4.40 ログ転送プロファイル削除

(2)削除対象のログ転送プロファイルを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.41 ログ転送プロファイル削除確認

13.4.21. 復号プロファイル追加

(1)Objectsタブをクリックし復号プロファイルをクリックします。画面下部の追加にカーソルを合わせクリックします。

図13.4.42 復号プロファイル画面

(2)SSL復号化を詳細に設定したい場合は必要な設定をSSLフォワードプロキシタブ、SSLプロトコル設定の各項目にチェックを入れOKをクリックします。

図13.4.43 復号プロファイル(SSLフォワードプロキシ)

図13.4.44 復号プロファイル(SSLプロトコル設定)

(3)SSHプロキシを詳細に設定したい場合はSSHプロキシタブをクリックし各項目にチェックを入れOKをクリックします。

図13.4.45 復号プロファイル(SSLぷろき)

注釈

SSL復号化タブで設定可能な項目はSSLフォワードプロキシとSSLプロトコル設定です。SSLインバウンドインスペクションは設定しないでください。
復号化なしタブは設定できません。

13.4.22. 復号プロファイル変更

(1)Objectsタブをクリックし復号プロファイルをクリックします。変更対象の復号プロファイルにカーソルを合わせ復号プロファイル名をクリックします。

図13.4.46 復号プロファイル選択

(2)変更対象の復号プロファイルがポップアップされます。変更内容を入力しOKをクリックします。

図13.4.47 復号プロファイル変更

13.4.23. 復号プロファイル削除

(1)Objectsタブをクリックし復号プロファイルをクリックします。削除対象の復号プロファイルにチェックを入れます。画面下部の削除にカーソルを合わせクリックします。

図13.4.48 復号プロファイル削除

(2)削除対象の復号プロファイルを削除しても良いかの確認画面が表示されます。はいをクリックします。

図13.4.49 復号プロファイル削除確認

13.5. Network

NetworkではGlobalProtectポータル/ゲートウェイ機能を提供します。FRAサービスを利用する際のVPN接続の設定をGlobalProtectポータル/ゲートウェイで行います。GlobalProtectポータル/ゲートウェイのクライアント認証の変更と認証プロファイルの変更、エージェントコンフィグの追加、変更、削除の手順を以下に記載します。

注釈

エージェントコンフィグの設定をする際に、既存の設定を変更する場合はGP-client-profileの名前は変更しないでください。

13.5.1. GlobalProtectポータル クライアント認証の変更

(1)Networkタブをクリックしポータルをクリックします。GP-Portalをクリックします。

図13.5.1 ポータル画面

(2)認証タブをクリックし変更対象のクライアント認証をクリックします。

図13.5.2 GlobalProtectポータルの設定(認証)

(3)クライアント認証の設定が表示されます。変更内容を入力しOKをクリックします。

図13.5.3 クライアント認証

注釈

クライアント認証の変更は、認証プロファイルとユーザー資格情報またはクライアント証明書を使用した認証を許可の変更のみが可能です。その他の項目は変更しないでください。

13.5.2. GlobalProtectポータル 認証プロファイルの変更(LDAP/SAML)

(1)Networkタブをクリックしポータルをクリックします。GP-Portalをクリックします。

図13.5.4 ポータル画面

(2)認証タブをクリックし変更対象のクライアント認証をクリックします。

図13.5.5 GlobalProtectポータルの設定(認証)

(3)認証プロファイルの一覧から変更対象の認証プロファイルを選択しOKをクリックします。

図13.5.6 クライアント認証

注釈

認証シーケンスを使用する場合は認証プロファイルの一覧に作成した認証シーケンスが表示されます。認証プロファイルの一覧から作成した認証シーケンスを指定します。

13.5.3. GlobalProtectポータル エージェントコンフィグの追加

(1)Networkタブをクリックしポータルをクリックします。GP-Portalをクリックします。

図13.5.7 ポータル画面

(2)エージェントタブをクリックし追加をクリックします。

図13.5.8 GlobalProtectポータルの設定(エージェント)

(3)認証タブをクリックし、エージェントの名前を入力します。その後使用するクライアント証明書をドロップダウンリストから選択し、ユーザ認証情報を保存するかどうかを設定します。

図13.5.9 エージェント設定(認証)

(4)設定の選択条件タブをクリックし、ユーザ/ユーザグループタブをクリックします。エージェント設定の適用範囲を設定します。選択またはpre-logonを設定した場合、追加をクリックしドロップダウンリストから適用対象にするユーザまたはユーザグループを設定します。

注釈

pre-logonを選択した場合、さらにアプリケーションタブのアプリケーション設定でpre-logonを有効化する必要があります。

図13.5.10 エージェント設定(設定の選択条件)

(5)内部ホストを検出したい場合は内部タブをクリックし、内部ホスト検出 IPv4にチェックを入れIPアドレスとホスト名を入力します。

図13.5.11 エージェント設定(内部)

注釈

指定するIPアドレスとホスト名は逆引きが可能な値を設定する必要があります。
内部ホスト検出機能を使用する場合はアプリケーションタブの接続手段でUser-logon(Always on)を指定する必要があります。

(6)アプリケーションタブをクリックし、アプリケーション設定で変更したい項目をクリックします。(4)で対象範囲をpre-logonに設定している場合、接続手段の項目をpre-logonにします。

図13.5.12 エージェント設定(アプリケーション)

アプリケーションで設定可能な項目は こちら を参照してください。

(7)GlobalProtectアプリの無効化を行う際のパスコードと無効化できる最大回数、時間を設定します。数値を0に設定した場合は制限なく無効化を行うことができます。

図13.5.13 GlobalProtectアプリの無効化

(8)GlobalProtectアプリのアンインストール時のパスコードを設定します。

図13.5.14 GlobalProtectアプリのアンインストール

(9)HIPデータ収集タブをクリックし、HIPデータの収集のチェックボックスをクリックします。その後HIPデータの検索を行う時間を指定し、使用する証明書プロファイルをドロップダウンリストから選択します。入力後、OKをクリックします。

図13.5.15 エージェント設定(HIPデータ収集)

13.5.4. GlobalProtectポータル エージェントコンフィグの変更

(1)Networkタブをクリックしポータルをクリックします。GP-Portalをクリックします。

図13.5.16 ポータル画面

(2)エージェントタブをクリックし変更対象のエージェントをクリックします。

図13.5.17 エージェント選択

(3)変更内容を入力しOKをクリックします。

注釈

既存の設定を変更する場合は名前の変更は行わないでください。

図13.5.18 エージェント変更

13.5.5. GlobalProtectポータル エージェントコンフィグの削除

(1)Networkタブをクリックしポータルをクリックします。GP-Portalをクリックします。

図13.5.19 ポータル画面

(2)エージェントタブをクリックし削除対象のエージェントにチェックを入れます。削除にカーソルを合わせクリックします。

図13.5.20 エージェント削除

(3)削除が完了すると削除対象のエージェントがエージェントの一覧から消えます。

図13.5.21 エージェント削除確認

13.5.6. GlobalProtectゲートウェイ クライアント認証の変更

(1)Networkタブをクリックしゲートウェイをクリックします。GP-GWをクリックします。

図13.5.22 ゲートウェイ画面

(2)認証タブをクリックし変更対象のクライアント認証をクリックします。

図13.5.23 GlobalProtectゲートウェイの設定(認証)

(3)クライアント認証の設定が表示されます。変更内容を入力しOKをクリックします。

図13.5.24 クライアント認証の設定

注釈

クライアント認証の変更は、ユーザー資格情報またはクライアント証明書を使用した認証を許可の変更のみが可能です。その他の項目は変更しないでください。

13.5.7. GlobalProtectゲートウェイ 認証プロファイルの変更(LDAP/SAML)

(1)Networkタブをクリックしゲートウェイをクリックします。GP-GWをクリックします。

図13.5.25 ゲートウェイ画面

(2)認証タブをクリックし変更対象のクライアント認証をクリックします。

図13.5.26 クライアント認証選択

(3)認証プロファイルの一覧から変更対象の認証プロファイルを選択しOKをクリックします。

図13.5.27 クライアント認証変更

注釈

認証シーケンスを使用する場合は認証プロファイルの一覧に作成した認証シーケンスが表示されます。認証プロファイルの一覧から作成した認証シーケンスを指定します。

13.5.8. GlobalProtectゲートウェイ エージェントコンフィグの追加

(1)Networkタブをクリックしゲートウェイをクリックします。GP-GWをクリックします。

図13.5.28 ゲートウェイ画面

(2)エージェントタブをクリックしクライアントの設定タブをクリックします。追加をクリックします。

図13.5.29 GlobalProtectゲートウェイの設定(エージェント)

(3)設定画面がポップアップされるので、設定の選択条件タブをクリックします。名前を入力し設定を適用する範囲を選択します。選択またはpre-logonを設定した場合、追加をクリックしドロップダウンリストから適用対象を選択します。

図13.5.30 クライアントの設定(設定の選択条件)

注釈

pre-logonを選択した場合、さらにポータルのアプリケーションタブでpre-logonを有効化する必要があります。
認証連携時、ユーザID(送信元ユーザ)に@マークを利用している場合、Global Protectゲートウェイ設定にてユーザIDを指定した振り分け設定をする事はできません。
(4)-1 IPアドレスを指定する場合
トンネルの分割タブをクリックし、アクセスルートタブをクリックします。ローカルネットワークへの直接アクセスなしにチェックを入れ、アクセスルートに包含する場合は左、除外する場合は右の追加をクリックします。

図13.5.31 クライアントの設定(トンネルの分割/アクセスルート)

(4)-2 FQDNを指定する場合
ドメインおよびアプリケーションタブをクリックします。アクセスルートに包含する場合はドメインのインクルード、除外する場合はドメインを除外の追加をクリックします。

図13.5.32 クライアントの設定(トンネルの分割/ドメインおよびアプリケーション/ドメイン)

(4)-3 アプリケーションを指定する場合
ドメインおよびアプリケーションタブをクリックします。アクセスルートに包含する場合はクライアントアプリケーションのプロセス名をインクルード、除外する場合はクライアントアプリケーションのプロセス名を除外の追加をクリックします。

図13.5.33 クライアントの設定(トンネルの分割/ドメインおよびアプリケーション/クライアントアプリケーションのプロセス名)

注釈

ドメインおよびアプリケーションの設定がアクセスルートの設定よりも優先されます。
クライアントアプリケーションのプロセス名の設定がドメインの設定よりも優先されます。

(5)FRA接続時の端末に払い出すIPを指定する場合は、IPプールタブをクリックしIPプールの追加をクリックし払い出す対象のIPアドレスを設定しOKをクリックします。

図13.5.34 クライアントの設定(IPプール)

注釈

指定するIPアドレスはお申込み時に記載頂いたSOシートに記載のIPアドレス帯の範囲で指定してください。
指定するIPアドレスのサブネットマスクは/30ビットから指定が可能です。
この設定でFRA接続時の端末に払い出すIPを指定する場合、既存のIPプール設定を削除してから設定する必要があります。

(6)ネットワークサービスタブをクリックし、DNSサーバとDNSサフィックスを設定します(※)

図13.5.35 クライアントの設定(ネットワークサービス)

注釈

端末に設定しているDNSサーバを優先して参照したい場合にのみこのDNSサーバを設定します。全端末で共通のDNSサーバを設定する場合は設定不要です。

(7)ネットワークサービスタブをクリックし、端末ソースやDNS、WINSなどを設定します。

図13.5.36 エージェント設定(ネットワークサービス)

(8)Connection Settingsタブをクリックし、ログイン状態を保持する期間や自動ログアウト時間を設定します。入力完了後、OKをクリックします。

図13.5.37 エージェント設定(Connection Settings)

13.5.9. GlobalProtectゲートウェイ エージェントコンフィグの変更

(1)Networkタブをクリックしゲートウェイをクリックします。GP-GWをクリックします。

図13.5.38 ゲートウェイ画面

(2)エージェントタブをクリックしクライアントの設定タブをクリックします。変更対象のエージェントクリックします。

図13.5.39 エージェント選択

(3)変更内容を入力します。入力完了後、OKをクリックします。

図13.5.40 エージェント変更

13.5.10. GlobalProtectゲートウェイ エージェントコンフィグの削除

(1)Networkタブをクリックしゲートウェイをクリックします。GP-GWをクリックします。

図13.5.41 ゲートウェイ画面

(2)エージェントタブをクリックしクライアントの設定タブをクリックします。削除対象のエージェントにチェックを入れます。削除にカーソルを合わせクリックします。

図13.5.42 エージェント削除

(3)削除が完了すると削除対象のエージェントがエージェントの一覧から消えます。

図13.5.43 エージェント削除確認

13.5.11. FRA接続ユーザーの確認

(1)Networkタブをクリックしゲートウェイをクリックします。画面右端のリモートユーザーをクリックします。

図13.5.44 ゲートウェイ画面

(2)FRA接続ユーザーの一覧が表示されます。

図13.5.45 FRA接続ユーザーの一覧

13.5.12. FRA接続ユーザーの削除

(1)Networkタブをクリックしゲートウェイをクリックします。画面右端のリモートユーザーをクリックします。

図13.5.46 ゲートウェイ画面

(2)FRA接続ユーザーの一覧が表示されます。削除したいユーザーのログアウトのアイコンをクリックします。コミットは不要でFRA接続しているユーザーが削除されます。

図13.5.47 FRA接続ユーザーの削除

13.6. Device

DeviceではFRAポータルの以下の管理機能を提供します。

-管理者パスワード変更
-認証プロファイル作成(SAML)
-認証プロファイル作成(LDAP)
-認証シーケンス
-ユーザID(グループマッピング)
-SSL復号例外
-ログ設定(HIPマッチ/Global Protect)
-サーバープロファイル作成(Syslog)
-サーバープロファイル作成(LDAP)
-ローカルユーザー/ユーザーグループの登録(※)
-Global Protectクライアントソフトウェアのダウンロード
各管理機能の設定手順を以下に記載します。

注釈

ローカルユーザー/ユーザーグループの登録手順は サービス利用開始時に必要な作業(管理者)のユーザ登録 を参照してください

13.6.1. 管理者パスワード変更

警告

管理者パスワード変更の操作は、Fsecコンソールから実施してください。

(1)Deviceタブをクリックし管理者をクリックします。管理者アカウントにカーソルを合わせ管理者アカウントをクリックします。

図13.6.1 管理者画面

(2)管理者のパスワード設定が表示されます。現在のパスワードと新しいパスワードを入力しOKをクリックします。

図13.6.2 管理者のパスワード設定変更

13.6.2. 認証プロファイル作成(SAML)

注釈

SAML用のサーバープロファイルは事前に弊社側で作成します。作成にあたりIdpメタデータファイルが必要となるため事前に送付してください。
SAML用の認証プロファイルを使用しID Federationと連携する場合は 認証連携の設定について

を参照してください。 | FRAサービスにおいてSAML認証連携をする場合、連携先サービスがAzureADの場合、SAML連携時に使うユーザ属性でソースを「変換」にして | 認証をすることはできません。 | ユーザ属性のソースは「属性」を指定して任意の値を設定してください。

(1)Deviceタブをクリックし認証プロファイルクリックします。追加にカーソルを合わせクリックします。

図13.6.3 認証プロファイル画面

(2)認証プロファイルの作成画面が表示されます。認証タブの以下の項目を入力します。

1.名前:任意の名前を入力します。名前は必須項目です。
2.タイプ:SAMLを選択します。
3.Idpサーバープロファイル:作成済みのSAML用のサーバープロファイルを選択します(※)。
4.ユーザー名属性:初期構築時はusernameが設定されています。環境に合わせたユーザー名属性に変更します。

図13.6.4 認証プロファイル作成画面(認証)

注釈

SAML用のサーバープロファイルは事前に弊社側で作成します。作成にあたりldpメタデータファイルが必要となるため事前に送付してください。

(3)詳細タブをクリックし許可リストの追加にカーソルを合わせクリックします。

図13.6.5 認証プロファイル作成画面(詳細)

(4)追加を押した後、許可対象のユーザーを選択します。

図13.6.6 認証プロファイル作成画面(許可リスト)

(5)許可対象のユーザーが許可リストに追加された事を確認しOKをクリックします。

図13.6.7 認証プロファイル作成確認

13.6.3. 認証プロファイル作成(LDAP)

(1)Deviceタブをクリックし認証プロファイルクリックします。追加にカーソルを合わせクリックします。

図13.6.8 認証プロファイル画面

(2)認証プロファイルの作成画面が表示されます。認証タブの以下の項目を入力します。

1.名前:任意の名前を入力します。名前は必須項目です。
2.タイプ:LDAPを選択します。
3.サーバープロファイル:作成済みのLDAP用のサーバープロファイルを選択します。
4.ユーザードメイン:環境に合わせたユーザードメインに変更します。

図13.6.9 認証プロファイル作成画面(認証)

(3)詳細タブをクリックし許可リストの追加にカーソルを合わせクリックします。

図13.6.10 認証プロファイル作成画面(詳細)

(4)追加を押した後、許可対象のユーザーを選択します。

図13.6.11 認証プロファイル作成画面(許可リスト)

(5)許可対象のユーザーが許可リストに追加された事を確認しOKをクリックします。

図13.6.12 認証プロファイル作成確認

13.6.4. ユーザID(グループマッピング)作成

(1)DeviceタブをクリックしユーザIDをクリックします。グループマッピングタブをクリックし追加をクリックします。

図13.6.13 ユーザID画面

(2)名前に任意の名前を入力します。サーバプロファイルに作成済みのLDAPサーバプロファイルを選択します。ドメインに対象のドメイン名を入力しOKをクリックします。

図13.6.14 グループマッピング追加

13.6.5. 認証シーケンス作成

(1)Deviceタブをクリックし認証シーケンスをクリックします。追加にカーソルを合わせクリックします。

図13.6.15 認証シーケンス画面

(2)名前に任意の名前を入力し追加をクリックします。

図13.6.16 認証シーケンス追加

(3)対象の認証プロファイルを選択した後、OKをクリックします。

図13.6.17 認証シーケンス追加(認証プロファイル選択)

注釈

ドメインを使用して認証プロファイルを決定しますのチェックを入れておくと、認証プロファイルで指定されているドメインのLDAPサーバへ認証を行います。
認証シーケンスを複数設定した場合は一番上に設定されたものから順番に評価します。
LDAP連携でマルチドメインに対応したい場合は認証シーケンスを複数作成する必要があります。
認証プロファイルは最大10個まで作成可能です。
認証シーケンスはLDAP認証とローカルDB認証の組み合わせ設定が可能です。 LDAP認証とローカルDB認証を組み合わせた場合、ローカルDB認証は認証プロファイル指定時、一番下に設定してください。

13.6.6. SSL復号例外の設定

(1)DeviceタブをクリックしSSL復号例外をクリックします。追加にカーソルを合わせクリックします。

図13.6.18 SSL復号例外画面

(2)例外対象にしたいホスト情報をホスト名に入力しOKをクリックします。

図13.6.19 SSL復号例外追加

注釈

例外対象の設定はワイルドカード(*)を使用する事も可能です。
例外対象に設定可能な登録上限数は事前定義済みの設定も含めて1024個までです。

13.6.7. ログ設定(HIPマッチ/Global Protect)

(1)Deviceタブをクリックしログ設定をクリックします。HIPマッチまたはGlobal Protectの追加をクリックします。

図13.6.20 ログ設定画面

(2)ログ設定の作成画面が表示されます。以下の項目を入力しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:ログ設定のの説明を記載します。省略可能です。
3.転送方式(syslog):追加をクリックしsyslogサーバープロファイル選択します。syslogサーバープロファイルの作成はサーバープロファイル(syslog)を参照してください。

図13.6.21 ログ設定の作成画面

13.6.8. サーバープロファイル(Syslog)

(1)DeviceタブをクリックしサーバープロファイルのSyslogをクリックします。追加にカーソルを合わせクリックします。

図13.6.22 サーバープロファイルのSyslog画面

(2)Syslogサーバープロファイルの設定画面が表示されます。名前を入力し追加をクリックします。以下の項目を入力しOKをクリックします。

1.名前:任意の名前を入力します。名前は必須項目です。
2.Syslogサーバー:SyslogサーバーのIPアドレスを指定します。Syslogサーバーは必須項目です。
3.転送:ログの転送方式を指定します。TCPまたはUDPを指定します。
4.ポート:ログ転送時のポート番号を指定します。デフォルトは514番です。
5.フォーマット:BSD(デフォルト)を指定します。
6.ファシリティ:LOG_USER(デフォルト)を指定します。

図13.6.23 Syslogサーバープロファイルの設定画面

13.6.9. サーバープロファイル(LDAP)

(1)DeviceタブをクリックしサーバープロファイルのLDAPをクリックします。追加にカーソルを合わせクリックします。

図13.6.24 サーバープロファイルのLDAP画面

(2)LDAPサーバープロファイルの設定画面が表示されます。以下の項目を入力しOKをクリックします。

1.プロファイル名:任意のプロファイル名を入力します。プロファイル名は必須項目です。
2.サーバリスト:名前には任意の名前を入力します。LDAPサーバーにLDAPサーバのアドレス情報を入力します。ポートにはLDAPサーバと通信可能なポート番号を入力します。
3.タイプ:ドロップダウンリストからサーバータイプを選択します。
4.ベースDN:ユーザーまたはグループ情報の検索を絞り込むためのLDAPサーバのルートコンテクストを指定します。
5.バインドDN:LDAPサーバのログイン名を指定します。
6.パスワード/パスワード再入力:バインドアカウントのパスワードを指定します。エージェントは暗号化したパスワードを設定ファイルに保存します。
7.バインドのタイムアウト:LDAPサーバに接続する際の時間制限を指定します。
8.検索のタイムアウト:LDAPサーバのディレクトリ検索を実行する時の時間制限を指定します。
9.再試行間隔:FRAがLDAPサーバへの接続施行に失敗してから次に接続を試みるまでの間隔を秒単位で指定します。
10.SSL/TLSで保護された接続を要求:LDAPS認証で動作したい場合はこのチェックを有効にします(デフォルトでは有効)。
11.SSLセッションのサーバ証明書の確認:こちらの項目はチェックを付けないでください(デフォルトではチェックが外れている状態)

図13.6.25 LDAPサーバープロファイルの設定画面

注釈

LDAPサーバ複数台利用する場合、バインドのタイムアウト、検索のタイムアウトのタイムアウトの推奨値は5秒です。
LDAPSではなくLDAPで認証連携を行いたい場合はSSL/TLSで保護された接続を要求のチェックを外してください。デフォルトはチェックが入った状態です。
12. FRAサービスでサポート対象の設定項目について
14. FRAポータルで参照可能なログの見方について