アプリケーションの認証、認可、監査を構成する
アプライアンスに設定するアプリケーションの認証,承認,監査(AAA)を設定できます。アプリケーションに対して構成された認証ポリシーは、ユーザーまたはグループがアプリケーションにアクセスしようとしたときに適用する認証の種類を定義します。外部認証を使用する場合、ポリシーは外部認証サーバも指定します。アプリケーションに設定された承認ポリシーは、特定のユーザーまたはグループがアプリケーションにアクセスできるかどうかを指定します。監査ポリシーは、監査ログの種類、ログ記録が実行されるレベル、およびその他の監査サーバー設定を定義します。認証ポリシーと監査ポリシーは、従来のポリシー形式を使用します。
認証ポリシー、承認ポリシー、および監査ポリシーは、任意の順序で構成できます。ただし、アプリケーションに AAA を設定する前に、アプリケーションのパブリックエンドポイントを設定する必要があります。
アプリケーションの認証を構成するには、認証 FQDN、認証仮想サーバー、サーバー証明書、および認証ポリシーとセッションポリシーを指定します。認証ポリシーは、アプリケーションに対して指定された認証仮想サーバーに自動的にバインドされます。
AppExpert アプリケーションの認証を設定するには、次の手順を実行します。
- [AppExpert] > [アプリケーション] に移動します。
- 詳細ウィンドウで、次のいずれかの操作を行います。
- [追加] をクリックして、新しいアプリケーションの認証を追加します。
- 既存のアプリケーションを変更するには、[編集] をクリックします。
- [アプリケーション] ページで、アプリケーションユニットを選択します。
- [アプリケーションユニット] スライダページで、[詳細設定] セクションから [認証] をクリックします。
- [認証] セクションで、次のように認証タイプを選択します。
- フォームベース認証
- 401 ベースの認証
- なし
- 「OK」をクリックし、「完了」をクリックします。
アプリケーション認証を構成する
ユーザーとグループの承認を構成して,AppExpertアプリケーションへのアクセスを有効にすることができます。権限を設定する AAA ユーザまたはグループがまだ作成されていない場合は、AppExpert から作成し、アプリケーションアクセスの権限を設定できます。
AAA ユーザまたはグループが AppExpert アプリケーションにアクセスするための権限を設定するには、次の手順を実行します。
- [AppExpert] > [アプリケーション] に移動します。
- 詳細ウィンドウで、ユーザーまたはグループのアクセスを構成する AppExpert アプリケーションをクリックします。
- [アプリケーション] ページで、[詳細設定] セクションから [承認] をクリックします。
- 次のいずれかを行います:
権限を設定する AAA ユーザまたはグループがすでに [グループ/ユーザ] ツリーにある場合は、ユーザまたはグループを [グループ/ユーザ] ツリーからアプリケーションツリーの [ユーザ] ノードまたは [グループ] ノードにドラッグします。次に、ユーザーまたはグループを右クリックし、[許可] をクリックします。
権限を設定する AAA ユーザまたはグループがアプライアンスで設定されていない場合は、アプリケーションツリーで [ユーザ] または [グループ] を右クリックし、[追加] をクリックします。[AAA グループの作成] または [AAA ユーザの作成] ダイアログボックスで、値を入力し、[作成] をクリックし、[閉じる] をクリックします。
ユーザーまたはグループは、許可に設定された権限で作成されます。権限設定を変更するには、グループまたはユーザーを右クリックし、権限設定をクリックします。
- [完了] をクリックし、[閉じる] をクリックします。
アプリケーション監査を構成する
アプリケーションの監査ポリシーを構成するときは、ログメッセージの送信先となるサーバー、ログに記録されるメッセージの形式、およびログレベルを指定する必要があります。オプションで、ログ機能や日付形式など、他の設定を構成できます。監査ポリシーは、すべての AppExpert アプリケーションのパブリックエンドポイントに自動的にバインドされます。
アプリケーションの監査ポリシーを構成するには、次の手順を実行します。
- [AppExpert] > [アプリケーション] に移動します。
- 詳細ウィンドウで、監査ポリシーを構成するアプリケーションをクリックします。
- [アプリケーションユニット] スライダページで、[ポリシー] セクションの [+] アイコンをクリックして、監査ポリシーを設定します。
- [ポリシー] スライダページで、ポリシータイプとして [ Syslog 監査] または [NSLOG 監査] を選択し、[続行] をクリックします。
- [ポリシーバインディング] セクションで、次のパラメーターを設定します。
バインドするポリシーを選択します。バインドするポリシーがない場合は、[+] をクリックして新しいポリシーを作成します。
新しい監査ポリシーを作成するには,[ポリシー名)で [新しいポリシー] をクリックし、[ポリシー] ページで次の操作を行います。
- [名前] ボックスに、ポリシーの名前を入力します。
- [名前] ボックスには、サーバー名の先頭に必要な文字列が既に含まれています。文字列は変更できません。
- [監査タイプ] リストから、監査タイプ (SYSLOG または NSLOG) を選択します。
- 指定する監査サーバーが既に [サーバー] ボックスの一覧に表示されている場合は、一覧からサーバーを選択し、サーバー設定を変更する場合は [変更] をクリックします。[監査サーバーの構成] ダイアログボックスで、必要に応じて設定を変更し、[OK] をクリックします。[監査サーバーの構成] ダイアログボックスの設定の詳細については、「認証されたセッションの監査」を参照してください。
- 新しい監査サーバーを構成する場合は、[新規] をクリックし、[監査サーバーの作成] ダイアログボックスでサーバーの名前を入力し、サーバーの IP アドレス、ポート番号、およびその他の設定を必要に応じて指定します。終了したら、「OK」をクリックします。
- [Create]をクリックします。
作成した新しい監査ポリシーの優先順位を変更するには、[優先度] で、優先度を変更するポリシーごとに、優先順位の値をダブルクリックし、新しい優先度の値を入力します。
優先度を再生成するには、[優先度を再生成する] をクリックします。
ポリシーのバインドを解除するには、ポリシーをクリックし、[ポリシーのバインド解除] をクリックします。
ポリシーを変更するには、ポリシーをクリックし、[ポリシーの変更] をクリックします。
- [変更を適用] をクリックし、[閉じる] をクリックします。
アプリケーションの AAA の無効化
アプリケーションに AAA を設定したら、そのアプリケーションの AAA 設定を無効にできます。アプリケーションの AAA を無効にしても、設定は失われません。設定を再適用する場合は、アプリケーションの AAA を有効にできます。
アプリケーションの AAA を有効または無効にするには、次の手順を実行します。
- [AppExpert] > [アプリケーション] に移動します。
- 詳細ウィンドウで、AAA を有効または無効にするアプリケーションをクリックし、次のいずれかを実行します。
- アプリケーションの AAA を無効にするには、[AAA をオフにする] をクリックします。
- アプリケーションで AAA を有効にするには、[AAA をオンにする] をクリックします。