ユーザ検証ソース編集画面は、既存のユーザ検証ソースを編集または新規のソースを作成するために使用します。ユーザ検証ソースページで新規をクリック、またはリストでエントリをクリックし編集を選択することで、この画面に表示することができます。この画面でソース、ロケーション、接続するポート、任意の必要な認証証明書およびユーザを確認のためのソースを使用するSecurityGatewayドメインのタイプを指定します。
プロパティ
タイプ:
SMTP Verification (転送), Active Directory/Exchange, MDaemon (Minger)、 LDAP、Office 365の中から、ユーザ検証ソースを選択します。後述の、説明、ホストまたはIP、ポートオプションは、検証ソースの4つのタイプすべてに適用されます。残りのオプションは、選択した検証ソースにより異なります。すべての検証タイプについて、不明なローカルユーザが確認される場合、SecurityGatewayアカウントが、そのユーザのために作成され、SecurityGatewayのログインリンクを含んでいるようこそメッセージを新規アカウントにメールで送ります。ユーザのメールアドレスおよびパスワードは、メッセージログ、メッセージ隔離などを閲覧するために、SecurityGatewayアカウントにログインに使用することができます。LDAPがダイナミック認証をサポートしないので、その検証タイプが選択される場合、SecurityGatewayにログインを可能にする前に、SecurityGatewayパスワードをユーザに提供する必要があります。
LDAP以外のすべての検証タイプは、ダイナミック認証をサポートします。ユーザが認証またはSecurityGatewayにログインを試みる時に、ローカルSecurityGatewayログイン証明書は最初にチェックされますが、存在しない場合、証明書は認証のために検証ソースに渡されます。これは、特にSecurityGateway用の証明書で個別のセットを記憶する必要なくSecurityGatewayアカウントに認証するユーザまたはログインを可能にします。 認証のCRAM-MD5手順が使用される場合、AUTHパスワードは、動的に確認することができません。 |
説明:
検証ソースの説明(例えば、"example.comのサーバX")のために、このテキストボックスを使用します。ユーザ検証ソースページで説明カラムに対応します。
ホストまたはIP:
これは、検証ソースのホスト名またはIPアドレス用です。このソースを問い合わせると、SecurityGatewayは、このロケーションに接続します。このオプションは、ユーザ検証ソースページでホストカラムに対応します。
ポート:
これは検証ソースに接続する場合、SecurityGatewayが使用するポートで、ユーザ検証ソースページでポートカラムに対応します。
受信メッセージの不明なローカル受信者および送信メッセージの不明なローカル差出人を確認するためにSMTPを使用する場合、このタイプを選択します。コールバック検証と同様で、SecurityGatewayはSMTPプロトコルを通してユーザを確認することを試みます。認証を試みる不明なローカル差出人について、SecurityGatewayでは認証のためにSMTP検証ソースにユーザの証明書を渡します。認証が成功する場合、メッセージはSecurityGatewayによって配信のために受け取られ、ユーザのためのアカウントが作成されます。すでに存在するアカウントについては、SecurityGatewayではローカルユーザデータベースに対してユーザのログイン証明書を最初にチェックします。一致がない場合、SMTP検証ソースをチェックします。
認証が必要
SMTP検証ソースが認証を必要とする場合、このチェックボックスをクリックします。下記のユーザ名およびパスワードを指定します。
ユーザ名:
SMTP検証ソースが認証を必要とする場合、ユーザ名をここに指定します。
パスワード:
SMTP検証ソースパスワードを、ここに入力します。
不明なローカルユーザを確認するためにActive DirectoryまたはExchangeサーバを使用する場合、このタイプを選択します。前述であるSMTP検証と同様に、この検証タイプは、ダイナミック認証をサポートします。認証することを試みる不明なローカル差出人のために、SecurityGatewayは認証についてActive Directory/Exchangeサーバにユーザの証明書を渡します。認証が成功している場合、メッセージはSecurityGatewayによって配信のために受け取られ、ユーザのアカウントが作成されます。すでに存在するアカウントについては、SecurityGatewayはローカルユーザデータベースに対してユーザのログイン証明書を最初にチェックします。一致がない場合、SMTP検証ソースがチェックされます。
ユーザ名:
このテキスト入力ボックスは、検証ソースにログインに必要なActive Directory/Exchange/Windowsユーザ名です。
パスワード:
上記で指定されるActive Directory/Exchangeユーザ名に対応するパスワードを入力するために、このテキスト入力ボックスを使用します。
検索フィルタ:
これは、ユーザについてActive Directory/Exchangeサーバを問い合わせる時に使用する検索フィルタです。ほとんどの場合デフォルト検索フィルタで十分です。
ユーザ検証ソースとしてMingerを使用しているMDaemonサーバを使用する場合、この検証タイプを選択します。これは、Mingerプロトコルの拡張したバージョンで、MDaemonサーバ専用です。従って、このオプションは、他のタイプのサーバで使用することができません。この検証タイプは、2つ前の検証タイプのようにダイナミック認証をサポートします。これは、ユーザがメールサーバログイン証明書を使用してSecurityGatewayアカウントを認証またはログインすることができることを意味します。
認証が必要
MDaemonサーバがMingerを使用する認証を必要とする場合、このチェックボックスをクリックします。
パスワード:
MDaemonサーバのMingerパスワードを、ここに入力します。
ユーザを確認するためにLDAPサーバを使用する場合、この検証タイプを選択します。しかしながら、その他検証タイプとは異なり、ユーザのログイン証明書を認証するために、LDAPを使用することができません。結果的に、ダイナミック認証(または「オンザフライ」で認証すること)をサポートしません。そのために、認証するユーザを必要とする場合、LDAP検証ソースこと確認されるユーザは、ログインまたは、SecurityGatewayアカウントのパスワードを使用せずにSecurityGatewayを通してのメッセージを送信することができません。
Bind DN:
SecurityGatewayがユーザ名について問い合わせることができるように、LDAPサーバにアクセスを持つ識別名(DN)を入力します。これは、バインド操作で認証のために使用されるDNです。
パスワード:
このパスワードは、認証のためにバインドDN値とともにLDAPサーバに渡されます。
ベースエントリDN:
これは、SecurityGatewayがユーザのためのActive Directoryを検索するディレクトリ情報ツリー(DIT)のルートDNまたはスタートポイントです。
検索フィルタ:
これは、ユーザについてLDAPサーバを問い合わせる時に、使用されるLDAP検索フィルタです。ほとんどの場合、デフォルト検索フィルタで充分です。
検索範囲:
これはLDAP検索の対象と範囲です。
ベースDNのみ
検索を上記で提供されるベースエントリDNだけに制限したい場合、このオプションを選択します。検索は、ツリー(DIT)でそのポイントの下へ進みません。
ベースDNの1レベル下
DITでベースエントリDNの1レベル下を検索する場合、このオプションを使用します。
ベースDNと全チャイルド
このオプションは、ベースDNからDITで最下位のチャイルドエントリまでチルドレン全部を検索範囲にします。これは、デフォルトオプションです。
Office 365をユーザー検証ソースとして使用するにはこのオプションを選択し、下記の手順に沿って設定してください。
SecurityGatewayがOffice 365テナントへアクセスするため、Office 365のサービスはExchange Onlineである必要があります。お使いのOffice 365サービスにこの機能が含まれているかどうかを確認してください。 |
Office 365をユーザー検証ソースとして使用するため、SecurityGatewayはOffice 365へアクセスするための権限を持つサービスプリンシパルを必要とします。また、Office 365がAzure Active Directoryをディレクトリサービスとして指定している場合は、PowerShellモジュールが必要です。64ビットOSにはPowerShell 5.1以上が必要です。PowerShell 5.1はWindows 10とWindows Server 2016へ標準搭載されています。古いOSを使用している場合はWindows Management Frameworkから別途インストールが必要です。
Windows Management Framework (WMF) 5.1のインストールと設定
PowerShellモジュールをインストールしたら、次の手順でSecurityGateway用のサービスプリンシパルを作成します。
1.PowerShellを起動します。
2.AD Azureテナントへ接続するため次のコマンドを使用します:
Office 365 Worldwide (+GCC)
Connect-MsolService -AzureEnvironment AzureCloud
Office 365 Germany
Connect-MsolService -AzureEnvironment AzureGermanyCloud
Azure China Cloud
Connect-MsolService -AzureEnvironment AzureChinaCloud
3.Office 365管理権限を持つ認証用のパスワードを入力します。
4.(オプション) サービスプリンシパルの確認には次のコマンドを使用します:
Get-MsolServicePrincipal
5.以下のコマンドでサービスプリンシパルを作成します:
$principal = New-MsolServicePrincipal -DisplayName 'SecurityGatewaySP' -ServicePrincipalNames @("SecurityGatewaySP") -Type Password -Value 'use_a_password_of_your_choice_here' -StartDate (Get-Date) -EndDate (Get-Date).AddYears(1)
サービスプリンシパルオブジェクトが生成され、$principal 変数へ格納されます。
サービスプリンシパル用パスワードはデフォルトで作成から1年間有効です。
6. ディレクトリリーダーの役割はAzure ADテナントからの情報を読み取るためにサービスプリンシパルへアサインされている必要があります。次のコマンドを実行してください:
Add-MsolRoleMember -RoleName "Directory Readers" -RoleMemberType ServicePrincipal -RoleMemberObjectId $principal.ObjectId
タイプ
このサーバをデフォルトのユーザ検証ソースにする
デフォルトユーザ検証ソースは、特に指定されるソースがなかったすべてのSecurityGatewayドメインのために使用されます。自動ドメイン生成機能により使用されます。
ユーザ検証ソースで使用するドメインを次から選択...
SecurityGatewayドメインの1つ以上の検証ソースを指定するために、下記のオプションを使用します。複数の検証ソースがドメインに指定される場合、ドメインのプロパティ画面の検証タブで問い合わせる順位を指定することができます。
有効なドメイン:
このボックスは、すべての利用可能なSecurityGatewayドメインを示します。この検証ソースを利用するドメインを指定するために、リストから選択して"--->"をクリックします。
選択したドメイン:
このボックスは、ユーザを確認するために、このソースを利用する構成をしたすべてのSecurityGatewayドメインを示します。このリストからドメインを削除するには、ドメインを選択して"<---" をクリックします。