LDAPサーバとの統合

Tanium as a Serviceは、SAMLのIDプロバイダ(IdP)と統合するように事前に構成されています。Active Directory(AD)またはLDAPサーバを使用した認証の設定およびIdPを使用したユーザアクセス権の管理は、IdP管理者が担当します。

LDAP概要

LDAPは、Internet Protocol(IP)ネットワーク上でActive Directory(AD)などのディレクトリサービスとやり取りする標準的なクロスプラットフォームのクライアントサーバプロトコルです。Tanium Core Platformは、ユーザを認証し、ユーザおよびユーザグループをインポートするためにLDAPをサポートします。Tanium Serverを構成して、複数のLDAPサーバに接続できます。

Tanium Serverは5分おきに各LDAPサーバと自動的に同期しますが、いつでも手動で同期できます。同期によってTanium Serverは、新しい、更新済みの、無効化された、あるいは削除されたユーザ、新しい、更新された、あるいは削除されたユーザグループ、ユーザグループのメンバーシップに対する変更を含め、LDAPサーバにおいて発生したすべての変更を用いて更新されます。個々のLDAPサーバ設定において、LDAPサーバ経由で同期されたユーザを認証するか否かを指定します。そうでない場合、Tanium Serverは、設定した他の認証方法を適用します(ユーザ認証を参照)。

他のRBAC設定タスクを実行する前に、LDAPサーバとの統合を設定します。

[Administration (運用管理)] > [Configuration (構成)] > [Authentication (認証)] > [LDAP/AD Sync Configurations (LDAP/AD同期)] ページを表示、使用するには、Administrator予約ロールが必要です。

図1は、次の展開環境例のLDAP同期と認証の様子を示しています。

  • Tanium ServerはTanium Applianceにインストールされており、LDAPサーバへの接続用にSecure LDAP(LDAPS)暗号化を使用しています。

    使用可能なEncryption (暗号化)オプションは、Tanium ServerおよびLDAPサーバのオペレーティングシステムによって異なります。

  • LDAP設定はすべて、LDAPサーバがインポート済みのユーザを認証することを指定します。
  • Administrator予約済みロールを持つひとつのアカウント(Tanium_Admin)はLDAPサーバからインポートされず、Tanium Applianceはそのユーザに対してローカルの認証サービスを使用します。この設定によって、LDAP接続が停止した場合でも1つ以上のユーザがTanium Consoleにアクセスできるようにします。
図1:LDAPの同期および認証

以下の手順は、この展開環境例でのLDAP同期プロセスをまとめたものです(手順は図1の番号に対応)。

A1 各LDAPサーバ設定は、どのユーザとユーザグループがどのLDAPサーバと同期するかを同定します。設定の詳細については、ユーザとユーザグループのフィルタリングおよびLDAPサーバの設定を参照してください。
2 Tanium ServerはLDAPサーバとの接続を開始し、ユーザとユーザグループの初期インポートを実行し、アップデートを定期的にクエリします。この例において、すべてのLDAPサーバ設定はLDAPS暗号化を指定します。そのため、Tanium ServerはLDAPサーバ上のポート636に接続します。

以下の手順は、この展開環境例でのLDAP認証プロセスをまとめたものです(手順は図1の文字に対応)。

A Tanium Consoleにサインインするため、同期されたユーザがドメイン(必要な場合)とユーザ名、パスワードを入力します。

B Tanium Serverは、Taniumデータベース内の対応する外部識別子(objectGUIDなど)を検索するために、指定されたユーザ名を使用します。(LDAPサーバ設定において、ユーザ固有のIDプロパティがこの識別子を指定します)。

C Tanium Serverは外部識別子を使用し、ユーザの一致する識別名(DN)のLDAPサーバをクエリします(例:cn=jdoe,ou=noc,dc=acme,dc=com)。(クエリは、同期に使用されたるものと同じ設定に基づく。「ユーザとユーザグループのフィルタリング」と「LDAPサーバの設定」を参照)。LDAPサーバが、DNとサインインパスワードに基づいてユーザを認証します。LDAPサーバが認証成功メッセージを返した後、Tanium ServerはTanium Consoleへのユーザアクセスを提供します。

D ローカルに設定されたユーザ(Tanium_Admin)によってサインイン資格情報が入力されると、Tanium Serverはローカル認証サービスを使用してユーザを認証し、Tanium Consoleへのアクセス権を提供します。

ユーザとユーザグループのフィルタリング

LDAPサーバ接続を設定する前に、以下の設定におけるやり取りを把握しているか、どのTanium Serverが同期するユーザおよびユーザグループのフィルタに使用されるのかを理解してください。たとえば、ベストプラクティスは、ユーザアクセス権限ではなくグループアクセス権限に基づいてTaniumユーザにRBACを設定することであるため、グループに割り当てられていないユーザを除外することができます。図2図3は、そのユースケースでサーバが実行する手順の例です。LDAPサーバとTanium Serverのそれぞれでユーザをフィルタリングするワークフローがあります。

  • Group Base (グループベース):Tanium Serverが同期リクエストを送信する時(両図のステップ1)、LDAPサーバは、このベースDNの下にあるユーザグループのみを検索します(例:cn=adm,ou=tanium,dc=acme,dc=com)。
  • Group Filter (グループフィルタ):LDAPサーバはこのフィールドを使用し、[Group Base (グループベース)]のユーザグループをフィルタリングします。この例では、LDAPサーバは、そのobjectClass属性がgroup(両図のステップ2)に設定されている場合、グループのみを返します。Tanium Serverはこれらのグループを同期します(両図のステップ3)。
  • Users Base (ユーザベース):LDAPサーバは、このベースDNの下にあるユーザのみを検索します(例:cn=adm,ou=tanium,dc=acme,dc=com)。
  • Users Filter (ユーザフィルタ): LDAPサーバはこのフィールドを使用し、[Users Base (ユーザベース)]のユーザをフィルタリングします。この例では、LDAPサーバは、そのobjectClass属性がuser(ステップ4)に設定されている場合、ユーザのみを返します。
  • Filter Users (ユーザのフィルタリング):Tanium Serverと同期されているユーザグループに割り当てられていないユーザを除外する場合、次のオプションの1つまたは両方を選択します。
    • LDAPサーバでのフィルタリング(図2):LDAPサーバは、グループ検索(ステップ4)からのグループの1つに一致する[User’s Group Membership Attribute (ユーザのグループメンバーシップ属性)](この例ではmemberOf属性)においてユーザが値(DN)を持つ場合に限り、ユーザを返します。このオプションを選択することがベストプラクティスです。なぜなら、LDAPサーバにおけるフィルタリングは高速であり、Tanium Serverにおいてネットワークトラフィックはフィルタリングの場合よりも少なくなるからです。ほとんどのLDAPサーバはこのオプションをサポートしています。フィルタリングされたユーザを受信すると、Tanium Serverはそれらを同期します(ステップ5)。
    • Tanium Serverでのフィルタリング(図3):LDAPサーバは、ユーザが[Users Filter (ユーザフィルタ)]に一致する場合、すべてのユーザをTanium Serverに返します(ステップ4)。LDAP サーバは[User’s Group Membership Attribute (ユーザのグループメンバーシップ属性)]でフィルタしません。同期されたユーザグループが[Group Membership Attribute (グループメンバーシップ属性)]にユーザDNを保有していない場合、Tanium Serverはその後、いずれのユーザも破棄します(ステップ5)(この例ではmember属性)。このオプションは、LDAPサーバが[User’s Group Membership Attribute (ユーザのグループメンバーシップ属性)]によるフィルタリングをサポートしていない場合のバックアップとなるよう意図されています。

    同期されたユーザおよびグループに何らかの重複を統合すると、Tanium ServerはTaniumデータベースを更新します(両図のステップ6)。

次の図は、LDAPサーバ上のユーザフィルタリングを示しています。

図2:LDAPサーバにおけるフィルタリング

次の図は、Tanium Server上のユーザフィルタリングを示しています。

図3:LDAPユーザとグループのフィルタリング

使用を開始する前に

  • 同期する場合、Tanium ServerはLDAPサーバとの接続を開始します。LDAPの標準ポートは389 (ADグローバルカタログでは3268)です。LDAPSの標準ポートは636 (ADグローバルカタログでは3269)です。LDAPサーバの設定において、LDAPサーバが受信LDAPトラフィックを受信するポートを指定できます。ネットワーク管理者は、このトラフィックを許可するようにネットワークセキュリティを設定する必要があります。
  • インポートするユーザおよびユーザグループのベース識別名(DN)、ID、およびフィルタ式を把握しておかなければなりません。値は大文字と小文字が区別されます。
  • LDAP サーバは、設定済みフィルタ式を使用してクエリを許可する必要があります。
  • LDAPサーバとの統合についてLDAP統合のベストプラクティスを確認します。

LDAPサーバの設定

  1. メインメニューから、[Administration (運用管理)] > [Configuration (構成)] > [Authentication (認証)] > [LDAP/AD Sync(LDAP/AD同期)] に移動します。
  2. [Add Server (サーバの追加)]をクリックして新しいLDAPサーバ接続を作成するか、タイルの[Edit (編集)]をクリックして既存の接続の設定を修正します。
  3. 以下の設定を構成します。
     表1:LDAPサーバ設定
    設定ガイドライン
    設定LDAPサーバの構成を有効または無効にします。構成を有効にすると、構成を完全に無効にすることなく(引き続き認証が有効)、同期をPause (一時停止)して、後で同期を再開するオプションが提供されます。有効化された設定では、同期は5分おきに実行されます。

    絶対に、この設定を無効にしないでください。実行すると、次回の同期時間においてTanium Serverはユーザをロックアウトし、以前にインポートされたユーザグループを削除します。その後に構成を再度有効にすると、Tanium Serverはユーザのロックを解除し、ユーザグループを再度追加します。再度追加されたグループには、どのようなRBACまたはコンピュータ管理権限も設定されていません。再度追加されたグループには新しいTanium IDが付与されますが、削除されたグループと同じLDAP objectGUIDを使用することに注意してください。

    名前このLDAPサーバを識別する名前を入力します。
    Host (ホスト)LDAPサーバの完全修飾ドメイン名(FQDN)またはIPアドレス。LDAPSを使用して接続する場合の[Host (ホスト)]値は、LDAPサーバ証明書のホスト名値に一致する必要があります。IPv6アドレスは角カッコに囲んで入力する必要があります (例:[2001:db8::1])。
    ポートLDAPサーバがインバウンドLDAPトラフィックをリッスンするポート番号を指定します。標準ポートは以下のプロトコルに依存します。
    • LDAP:標準ポートは389 (ADグローバルカタログでは3268)です。LDAPサーバは、暗号化されていない接続、StartTLSを使用する接続、[Sign and encrypt (署名および暗号化)]オプションを使用するAD接続にこのポートを使用します。
    • LDAPS:標準ポートは636 (ADグローバルカタログでは3269)です。
    Referrals (紹介)紹介を無効にするには、このオプションを選択します。LDAP サーバがMicrosoft ADサーバである場合、照会の無効化が必須です。
    Encryption (暗号化)次のオプションのいずれかを選択します。
    • None (なし)。本番環境では使用しないでください。
    • Sign and encrypt (署名と暗号化)。 LDAPコネクタは、LDAP_OPT_SIGNおよびLDAP_OPT_ENCRYPTセッションオプションをオンにします。セッションは暗号化されますが、TLSは使用されません。このオプションは、Tanium ServerがWindows上で稼働し、外部LDAPサーバがADサーバの場合にのみ使用します。
    • StartTLS。LDAPコネクタはldap_start_tls_sを呼び出してTLS接続を設定します。このオプションは、Tanium ServerがWindows上で稼働している、Tanium Applianceで使用できます。
    • LDAPS。LDAPコネクタが、LDAPSサーバへのSSL 接続を開始します。ApplianceでのLDAPSの構成については、以下を参照してください。Tanium Appliance展開ガイド: LDAPSの構成設定をする
    NTLMLDAPサーバとの接続にMicrosoft NT LAN Manager(NTLM)を使用します。このオプションはデフォルトで有効化されています。NTLMの使用は、Tanium ServerがWindows Serverにインストールされ、接続がADサーバに対して行われる場合、ベストプラクティスです。NTLMを使用している場合、Tanium Serverサービスアカウントが使用されます。[LDAP User Name (LDAPユーザ名)][LDAP Password (LDAPパスワード)]を設定する必要はありません。LDAP サーバによって、このアカウントが設定済みのフィルタ式を用いてクエリを行えるようにしなければなりません。
    LDAP User Name / Password (LDAPユーザ名/パスワード)NTLMを使用できない場合、Tanium ServerがLDAPサーバのクエリに使用するサービスアカウントのユーザ名とパスワードを指定します。ベストプラクティスとして、この目的のための特別なアカウントをプロビジョニングし、LDAPサーバのクエリに向けて低くでも十分なアクセス権限を持たせます。
    グループ同期ユーザグループの同期を有効(はい)または無効(いいえ)にします。グループ同期機能が有効な場合、Tanium Serverは、[Groups (グループ)] セクションでの構成設定に基づいてLDAPサーバ上のグループとの同期をとります。

    ユーザグループ同期を無効にすると、次回の同期時、Tanium Serverは以前にインポートされたグループを削除します。グループの同期が再度有効にされると、Tanium Serverはユーザグループを再追加しますが、グループにはRBACおよびコンピュータ管理グループ割り当てはありません。

    Group Base (グループベース)これはユーザグループコンテナの基本DNです。Tanium Serverは、このパスの下のすべての場所からグループを同期します。

    例:cn=Ops,ou=TaniumAdmins,dc=tam,dc=local

    : ドメインのルートに[Group Base (グループベース)]または[Users Base (ユーザベース)]を設定してエラーが発生する場合、[General (一般)]セクションにおいて[Disable referrals (照会を無効化)]を選択します。

    Group Filter (グループフィルタ)LDAPサーバはこのフィールドを使用し、[Group Base (グループベース)]のユーザグループをフィルタリングします。たとえば、objectClass=groupを入力すると、LDAPサーバは、そのobjectClass属性がgroupに設定されている場合、グループのみを返します。

    : 円記号(\)を使用して、グループ名の特殊文字をエスケープできます。Windowsでは、円記号を1つ使用します(例:name=\#myGroup)。Appliance(Linux)の場合は、円記号を2つ使用します(例:name=\\#myGroup)。

    Group Unique ID Property (グループ固有のIDプロパティ)各ユーザグループを一意に識別する属性(例:objectGUID)を入力します。

    : 値は大文字と小文字が区別されます。

    Group Name Property (グループ名プロパティ)ユーザグループの名前を識別する属性(例:cn)を入力します。

    : 値は大文字と小文字が区別されます。

    Group Membership Attribute (グループメンバーシップ属性)どのユーザがメンバーであるかを示すユーザグループ属性(例:member)を入力します。

    : 値は大文字と小文字が区別されます。

    Filter Users (ユーザのフィルタリング)Tanium Serverと同期されているユーザグループに割り当てられていないユーザを除外する場合、次のオプションの1つまたは両方を選択します。
    • Filter on LDAP Server (LDAPサーバでフィルタ)[User's Group Membership Attribute (ユーザのグループメンバーシップ属性)]テキストボックスに属性を指定します。LDAP属性memberOfが最も一般的に使用されます。式ではなく、属性名を入力する必要があります。LDAPサーバは、グループ検索からグループの1つに一致する属性の値(DN)がある場合にのみユーザを返します。このオプションを選択することがベストプラクティスです。なぜなら、LDAPサーバにおけるフィルタリングは高速であり、Tanium Serverにおいてネットワークトラフィックはフィルタリングの場合よりも少なくなるからです。ほとんどのLDAPサーバはこのオプションをサポートしています。
    • Filter on Tanium Server (Tanium Serverでフィルタ)。LDAPサーバは、ユーザが[Users Filter (ユーザフィルタ)]に一致する場合、Tanium Serverにすべてのユーザを返します。LDAPサーバは[User's Group Membership Attribute (ユーザのグループメンバーシップ属性)]によるフィルタを行いません。Tanium Serverは、ユーザが[Group Membership Attribute (グループメンバーシップ属性)]にユーザDNを保有していない場合、ユーザを破棄します。このオプションは、LDAPサーバが[User’s Group Membership Attribute (ユーザのグループメンバーシップ属性)]によるフィルタリングをサポートしていない場合のバックアップとなるよう意図されています。
    User Domain (ユーザドメイン)Taniumデータベース内のユーザに一致させるためにTanium Serverが使用するドメインを入力します。サインインに<domain>\<username>形式(example-corp\user1など)を使用するユーザを一致検索する場合はNetBIOS名、サインインに<username>@<domain.top-level_domain>形式([email protected]んど)を使用するユーザを一致検索する場合は<domain>.<top-level_domain>名を指定します。どちらのドメイン形式でも、サインインにユーザ名のみを使用するユーザが一致検索されます。
    グループメンバーを個別に同期するデフォルトでは、LDAPサーバは[Users Base (ユーザベース)]の値に基づき、同期するユーザを検索します。ただし、すべてのユーザをリストするベースユーザグループにおいてLDAP実装が許容されていない場合、[Sync group members individually (グループメンバーを個々に同期)]を選択して[Users Base (ユーザベース)]検索を省略します・ その代わり、このオプションはLDAPサーバを指定し、[Group Membership Attribute (グループメンバーシップ属性)]に基づいて各ユーザグループメンバーのDNを検索します。ユーザは[Users Filter (ユーザフィルタ)]にやはり一致していなければならず、コンピュータやその他のグループであるグループメンバーを除外する可能性があります。

    [Users Base (ユーザベース)]検索と比較すると、ユーザが多い場合、[Group Membership Attribute (グループメンバーシップ属性)]に基づく検索は処理が増え、かなり多くの時間がかかる可能性があります。

    Users Base (ユーザベース)これはユーザコンテナの基本DNです。Tanium Serverは、このパスの下のすべての場所からユーザを同期します。

    例:cn=Users,dc=tam,dc=local

    : ドメインのルートに[Group Base (グループベース)]または[Users Base (ユーザベース)]を設定してエラーが発生する場合、[General (一般)]セクションにおいて[Disable referrals (照会を無効化)]を選択します。

    Users Filter (ユーザフィルタ) LDAPサーバはこのフィールドを使用し、[Users Base (ユーザベース)]のユーザをフィルタリングします。たとえば、objectClass=userを入力すると、LDAPサーバは、そのobjectClass属性がuserに設定されている場合、ユーザのみを返します。

    同期からアカウントを除外するには、以下のフィルタを使用します。 <account_name>はユーザ名です。

    ((&(objectClass=user)(!(sAMAccountName=<account_name>))))

    : Tanium Applianceで実行しているTanium Serverのローカル認証サービスにLDAPサーバを追加する場合は、次のユーザフィルタを使用する必要があります。

    (&(objectClass=person)(uidNumber>=20000))

    User Unique ID Property (ユーザ固有のIDプロパティ)各ユーザを一意に識別する属性(例:objectGUID)を入力します。

    : 値は大文字と小文字が区別されます。

    User Name Property (ユーザ名プロパティ)ユーザの名前を識別する属性を入力します。このフィールドに対してTanium Serverがインポートする値は、ユーザがTanium Consoleへのサインインに入力するユーザ名になります。必ず、この目的に適した属性を指定し、予想されるフォームをユーザに伝えてください。ADプロバイダの場合はsAMAccountName、その他のLDAPプロバイダの場合はcnを使用します。

    : 値は大文字と小文字が区別されます。

    User Display Name Property (ユーザ表示名プロパティ)ユーザの表示名を識別する属性を入力します(通常、displayName)。
    認証[Use LDAP for user authentication (ユーザ認証にLDAPを使用)]を選択して、認証ソースとして構成したサーバを使用します。そうでない場合、Tanium ServerはLDAPサーバを使用してユーザとグループの同期のみを行い、認証では、設定するその他の方法を使用します(ユーザ認証を参照)。
  4. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、インポートするユーザとグループを確認し、[Save (保存)] をクリックします。



LDAPサーバのクローン

LDAP サーバ設定のクローンによって、複数のドメインに迅速に接続を追加できます。

  1. メインメニューから、[Administration (運用管理)] > [Configuration (構成)] > [Authentication (認証)] に移動して、[LDAP / AD Sync (LDAP/AD同期)] をクリックします。
  2. クローンしたいLDAPサーバの名前を持つパネルで[Clone (クローン)]をクリックします。
  3. クローンされた設定のパネルで[Edit (編集)]編集をクリックします。
  4. 表1の説明を参考に、必要に応じて、User Domain (ユーザドメイン)などの設定を編集します。
  5. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、インポートするユーザとグループを確認し、[Save (保存)] をクリックします。

LDAPサーバと手動で同期する

Tanium ServerはLDAPサーバと5分おきに自動で同期します。Tanium ConsoleにおいてLDAP サーバに対する変更(例:ユーザグループのメンバーシップの更新)をすぐに表示するには、以下の手順で手動で同期します。

  1. メインメニューから、[Administration (運用管理)] > [Configuration (構成)] > [Authentication (認証)] に移動して、[LDAP / AD Sync (LDAP/AD同期)] をクリックします。
  2. [Sync Now (今すぐ同期)]をクリックします。

LDAPサーバを一時停止するか再開する

LDAPサーバをアップグレードするか、予期しない同期結果をトラブルシューティングする場合、その構成を完全に無効化しなくても特定のLDAPサーバの同期を一時停止することができます(認証は引き続き機能します)。アップグレードまたはトラブルシューティングを終了したら、同期を再開できます。

  1. メインメニューから、[Administration (運用管理)] > [Configuration (構成)] > [Authentication (認証)] に移動して、[LDAP / AD Sync (LDAP/AD同期)] をクリックします。
  2. LDAPサーバのパネルにある[Edit (編集)]をクリックします。
  3. LDAP同期を一時停止する [Pause (一時停止)] チェックボックスを選択するか、同期を再開するチェックボックスを選択解除して、[Save (保存)] をクリックを再開します。

LDAPサーバを削除する

LDAPサーバ設定を削除すると、Tanium Serverは、そのLDAPサーバから以前インポートしたユーザとユーザグループの更新を停止します。Tanium Serverが残りのLDAPサーバの同期を次回実行する時、削除された設定に関連付けられているユーザとグループが削除されます。Tanium Serverに保存した構成情報が不要になった場合は、以下の手順で構成を削除します。

  1. メインメニューから、[Administration (運用管理)] > [Configuration (構成)] > [Authentication (認証)] に移動して、[LDAP / AD Sync (LDAP/AD同期)] をクリックします。
  2. LDAPサーバ設定のパネルで[Delete (削除)]をクリックします。

LDAP サーバ設定の無効化は、それを削除する場合と同じ効果を持っています。構成の無効化についての詳細は、「設定」を参照してください。

LDAPサーバ構成をインポート/エクスポートする

LDAPサーバ構成をJSONファイルにエクスポートしたり、署名付きのJSONまたはXMLファイルを同じまたは別のTanium Serverにインポートしたりすることができます。これはたとえば、LDAP管理者との間でLDAPクエリのトラブルシューティングを行う際、接続情報を共有する場合に行います。

エクスポート

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  2. [Content (コンテンツ)] セクションまでスクロールして、 [Export Content (コンテンツのエクスポート)] をクリックします。
  3. [LDAP Synchronization Connectors (LDAP同期コネクタ)]を選択し、[Export Format (エクスポート形式)](JSONまたはXML)を選択して、[Export (エクスポート)] をクリックします。
  4. [File Name (ファイル名)]を入力するか、デフォルト名を受け入れて、[OK]をクリックします。

    Tanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

インポート

JSONまたはXML形式のファイルをインポートすることができます。

  1. コンテンツファイルにデジタル署名して、署名を検証するための公開鍵があることを確認します。コンテンツファイルの認証を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  3. [Content (コンテンツ)] セクションまでスクロールし、インポート [Import Content (コンテンツのインポート)] をクリックします。
  4. [Choose File (ファイルを選択)] をクリックして、コンテンツファイルを選択し、[Open (開く)]をクリックします。
  5. [Import (インポート)]をクリックします。

    ファイル内のオブジェクト名が既存のオブジェクトと同じである場合、Tanium Consoleは競合項目を箇条書きして、各項目の解決オプションを提供します。

  6. 競合項目の解決策を選択する 競合およびベストプラクティスのガイダンスを参照してください。
  7. もう一度[Import (インポート)]をクリックして、インポートが終了したら[Close (閉じる)]をクリックします。

LDAP統合のベストプラクティス

手動で作成したユーザからLDAP同期ユーザへ移行する場合、単一のリアルユーザに対して複数の設定オブジェクトを誤って作成する可能性があります。たとえば、Tanium Consoleを使用してjohn.doeという名前のユーザを手動で作成し、同じユーザ名を返すLDAPサーバと同期するとします。この場合、Tanium Serverには、john.doe用の2つのユーザ設定があり、それぞれに独自のオブジェクトIDを自動的に割り当てます(この例では、オブジェクトIDは2と3)。

図4:冗長ユーザ設定

このような冗長性を修正する前に、ユーザをさまざまな方法で削除することの悪影響について理解することが重要です。

  • Tanium Server上でローカルに定義されたユーザの設定を削除するものの、ユーザがLDAPサーバで定義されているフィルタにまだ一致している場合、Tanium Serverはユーザの設定を保持します。
  • LDAPサーバ経由でインポートされたユーザアカウントをTanium Consoleを使用して削除すると、そのユーザは次回の同期後でも削除されたままです。
  • バックエンドのLDAP サーバ設定からユーザを削除すると、Tanium Serverは、次回の同期後にそのユーザをロックアウトするものとしてマークします。この場合、ユーザはサインインできませんが、Tanium Serverがこのユーザアカウントを自動的に削除することはありません。ユーザが構成していた予定済みQuestionおよびアクションは、引き続き実行されます。これにより、他のTanium管理者は、必要に応じて予定済みQuestionおよびアクションを別のユーザアカウントで再作成する機会が得られます。

Tanium ServerとLDAPサーバ間の統合を設定および管理する場合、予期せぬ問題を避けるためのベストプラクティスは次のとおりです。

  • ユーザ設定を削除して冗長を是正する場合、スケジュール済みアクション、保存済みQuestion、Tanium Connectオブジェクト、ソリューションのプラグイン、ソリューションモジュールサービスなど、関連する設定オブジェクトに対する影響を必ず理解しておいてください。図4の例のjohn.doe - ID 2が作成したオブジェクトは、john.doe - ID 3にも属していません。john.doe - ID 2構成を削除する場合は、そのIDで実行される構成オブジェクトを再作成したり、所有権を転送したりできるようにしておく必要があります。 詳しくはユーザを削除、復元、ロックアウトするを参照してください。
  • バックエンドLDAPサーバで、Taniumユーザグループに対応するLDAP ユーザグループを作成し、Taniumシステムへのアクセスを要求するユーザのユーザアカウントを作成します。
  • フロントエンドのTanium Console設定ではなくバックエンドのLDAPサーバ設定を介してTaniumアクセスを管理します。たとえば、ユーザをオンボードおよびオフボードする最良の方法は、同期されたユーザグループのメンバーシップを変更することです。
  • Taniumの展開に慣れていないLDAP 管理者が設定に影響する変更を加えられないよう、バックエンドのLDAPサーバ設定へのアクセスを制御します。
  • Tanium Serverにおいて、Tanium ServerがLDAPサーバからインポートしないユーザ設定で1つ以上のアカウントを保持します。このアカウントを使ってTanium Consoleにサインインし、LDAPサーバ接続が失敗した場合はその接続を再構成できるよう、このローカルユーザにAdministrator予約ロールを割り当てます。一部の組織では、このためにLDAPサーバの外部に複数の管理者ユーザをプロビジョニングしています。LDAPサーバ上にアカウント名も存在する場合にユーザ構成を重複して作成しないよう、LDAPサーバでUsers Filter (ユーザフィルタ)を設定してそのアカウントに対して同期が行われないようにすることができます(表1を参照)。