LDAP Management (v8.4.2 and up) (jp_LDAPの管理(v8.4.2以降))

Owned by David P (Deactivated)
Last updated: Nov 29, 2018
2 min read

LDAP(Lightweight Directory Access Protocol)はインターネットプロトコルです。Webアプリケーションは、このプロトコルを使用してLDAPサーバに登録されているユーやグループなどの情報を検索します。CxSASTアプリケーションでは、認証やユーザ/グループ管理を行うために、LDAPディレクトリにアクセスすることが可能です。CxSASTには、最も普及しているLDAPディレクトリサーバ(Active Directory、OpenLDAP、カスタマイズされたLDAPサーバ)に接続するためのコネクタが実装されています。ユーザグループがcompanyディレクトリに格納されている場合は、LDAPディレクトリサーバへの接続が効果的です。LDAPと同期することで、LDAPディレクトリでの変更に応じて、CxSASTにおけるユーザやグループの作成、更新、削除を自動的に実施することができます。

LDAPサーバの追加

新規LDAPサーバの追加方法は、以下のとおりです。

Management > Connection Settings > LDAP Serversの順に選択して、LDAP Server画面を表示します。

+ Add New Serverをクリックしてください。LDAP Server Authentication画面が表示されます(詳しくは、次のセクションで説明のLDAP認証の設定を参照)。

既存のLDAPサーバを削除するには、Deleteをクリックしてください。

LDAP認証の設定

LDAP認証の設定方法は、以下のとおりです。

+(アクティブディレクトリ)を選択して、既存LDAPサーバの設定を表示するか、+ Add New Serverをクリックしてください。LDAP Authentication画面が表示されます。

次の認証パラメータを定義してください。

パラメータ

説明

Name

サーバ名

Directory Type

デフォルト設定に基づき、サーバパラメータの自動設定を提供(ActiveDirectory、OpenLDAP、LDAP Server)

  • Enable SSO (Map LDAP to Directory Domain) - このオプションを選択すると、ログイン時にSSOユーザを自動的に作成して、LDAPユーザとして同期
  • Domain - このLDAP設定に関連付けるドメインを選択

SSOおよびDomainオプションは、ActiceDirectoryユーザのみ有効

Host Name

LDAPサーバのホスト名(例: ldap.company.com)

Port

LDAPサーバのポート番号(例:389、636(SSLを使用する場合))

  • Use SSL - このオプションを選択すると、サーバとクライアント間の通信をすべて暗号化
  • Verify SSL Certificate - このオプションを選択すると、SSLサーバ証明書による認証を有効化

User Name

LDAPサーバ接続時にアプリケーションが使用するユーザ名
(例: user@domain.nameまたはcn=user,dc=domain,dc=name)

検索結果のページングにおける、LDAP制御の拡張機能を有効/無効にすることが可能。ページングを有効(デフォルト)にして検索を実行すると、一度に検索結果をすべて取得するのではなく、一連のデータを取得。このため、特定のユーザを検索する場合には、User Nameフィールドに一意の情報を指定しなければならない(完全なユーザDNの使用例: dn=myuser,ou=people,dc=company,dc=com)

Password

上で設定したユーザのパスワード

Base DN

ユーザ検索に使用(例: cn=users, dc=example, dc=com)

Additional User DN

ユーザ検索を特定のDNに制限(例: ou=People)

User Object Schema

ユーザを読み込む際に使用するLDAPユーザオブジェクトクラスタイプ
(例: user、inetOrgPerson)

User Object Filter

ユーザオブジェクトの検索時に使用する検索フィルタの条件式(例: (objectCategory=Person))

User Name Attribute

ユーザオブジェクトで使用する属性フィールド(例: cn=sAMAccountName)

User RDN Attribute

ユーザの識別名を読み込む際に使用する属性フィールド(例: cn)

User First Name Attribute

ユーザの名前(ファーストネーム)を読み込む際に使用する属性フィールド(例: givenName)

User Last Name Attribute

ユーザの名字(ラストネーム)を読み込む際に使用する属性フィールド(例: sn)

User Email Attribute

ユーザのE-mailアドレスを読み込む際に使用する属性フィールド(例: mail)

Saveを選択し、変更を保存します。

Test Connectionをクリックして、接続確認を行ってください。

LDAP同期の設定

同期を有効にすることで、ログイン時にLDAPユーザを自動的に作成/更新することが可能となります。無効の場合には、LDAPの使用はユーザ認証に限定されます。

LDAP同期の設定方法は、次のとおりです。

Enable Synchronizationにチェックを付けて、LDAP Synchronization画面を表示します。

次の同期パラメータを設定してください。

パラメータ

説明

Additional Group DN

グループ検索を特定のDNに限定(例:ou=Groups)

Group Object Schema

LDAPグループオブジェクトタイプ(例:group )

Group Object Filter

グループの検索時に使用するLDAP検索フィルタの条件式(例:(objectCategory=Person))

Group ID Attribute (CN)

グループのIDを定義するLDAP属性(例: cn)

Group Name Attribute

グループの名前を定義するLDAP属性(例: name)

Group Members Attribute (member)

LDAPのmember属性は、2つ以上の属性値を定義することが可能。各属性には、ユーザ、グループ、グループメンバーの連絡先オブジェクトなどから構成される識別名のリストを指定(例:member)

User Membership Attribute (memberof)

LDAPのmemberof属性は、2つ以上の属性値を定義することが可能。ユーザが直接所属しているグループを指定(例:memberOf)

ユーザ管理の定義(同期)

ユーザ管理(同期)では、LDAPに登録されているユーザ情報の取得や、それらのユーザ情報をCxSASTで定義することができます。同期のデフォルトパラメータは、同期オプションが有効な場合に限り、適用されます(詳しくは、上のセクションで説明の「LDAP同期の設定」を参照)。

適切な同期のデフォルトパラメータを選択してください。

パラメータ

説明

Manual Role Authorization

ユーザの作成はLDAPを活用し、権限付与はCxSASTのユーザ管理を利用して手動で実行。デフォルトで、LDAPユーザは1つのチームに所属し、ログイン時にScannerあるいはReviewerのいずれかとして定義される。ログインしたユーザのCxSASTのチームとロールは、手動による変更が可能(詳しくはこちらを参照)。

LDAP Role Authorization

ロールの権限はLDAPで管理され、CxSASTのログイン時に自動的に更新される。ロールの権限/管理における定義は、LDAPでユーザ属性の作成時やマッピング時に定義。

Saveをクリックして、変更を保存してください。

ロールマッピングの設定

ロールマッピング設定では、LDAPに作成されたユーザのロール(例: Scanner、Reviewer)を指定します。設定されていない場合、CxSASTでロールが割り当てられません。ロールマッピングのパラメータは、Manual Role Authorizationオプションが有効な場合に限り、適用することが可能です(詳しくは、上のセクションで説明の「ユーザ管理の定義(同期)」を参照)。

次のロールマッピングパラメータを定義してください。

パラメータ

説明

Default Role ID

ロールが割り当てられていないユーザにCxSASTのロールを指定。設定しない場合はCxSASTでロールが割り当てられない(例: Scanner、Reviewer)。

  • Scanner - 「Allow to delete Projects\Scans」にチェクを付けるとprojects\scansの削除が可能。「Allow to apply not  exploitable state」にチェクを付けると、インスタンスに対してnot exploitableステータスを適用するための権限が付与
  • Reviewer - チェックボックスにチェックを付けると、検出されたインスタンスのステータスや重要度の変更が可能(Reviewer選択時には、チェックボックスが1つだけ表示)

Advanced Role Mapping

CxSASTのロールマッピングは、Advanced Role Mappingチェックボックスにチェックをつけて、その下のパラメータを定義することで管理可能

LDAPで管理されるロールは、CxSASTのログイン時に自動的に更新される

Scanner without authorities Group DN

LDAP Group DNのリストを定義。これらのグループに所属するメンバーは、「Apply Not Exploitable State」および「Delete Projects\Scan」オプションが無効のScannerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org)

Scanner with only Allow to apply not exploitable state option Group DN

LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Apply Not Exploitable State」オプションのみが有効のScannerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org)

Scanner with only Allow to delete Project\Scans option Group DN

LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Delete Project\Scans」オプションのみが有効のScannerロールが割り当てられる(例:cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org )

Scanner with all authorities Group DN

LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Apply Not Exploitable State」および「Delete Projects\Scan」オプションが有効のScannerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org)

Reviewer without authorities Group DN

LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Allow Severity/Status Change」オプションが無効のReviewerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org)

Reviewer with all authorities Group DN

LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Allow Severity/Status Change」オプションが有効のReviewerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org)

Saveをクリックして、変更を保存します。

同期を活用して自動的にログインするには、こちらで説明の手順も実施してください。



Read more: