- ベストアンサー
LDAP認証の仕方
VPN-1/fw-1を使用しています。 LDAPを通すことになりました。 checkpoint でポリシーをインストール際、 これまでhttp-proxyで使用している destinationと同じ(ipアドレス)で設定しているのですが、ldapがdropになってしまいます。 はっきりいってよく分かっていないので、 どなたか解説お願い致します。
- tayamasan
- お礼率78% (127/161)
- その他(インターネット接続・通信)
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
#1補足から 今件とは関係なかったようですが、 >まずserviceなのですが、anyが選べず > anyにするには、指定したServiceを全て削除すればいいです。 で、 >destinationのほうでanyにしてldapを試してみました。 >そうすると、ldap認証が指定クライアントで出来ました。 > 通常webサーバと認証サーバは別なので、 http等のサーバに対してldapを通してもたぶんだめでしょうね。 たぶんldapを通す先のサーバIPアドレスがどこかに記載されているのではないでしょうか? destinationをAnyとして運用するか、個別に指定するかは、 tayamasanさんのところのセキュリティポリシーに基づいて決定してください。 >先程出ていたfwのログには、なにもでてこなくなったので、 >fwを通ってないということなのでしょうか。 > 相手サーバと通信しているので、確実にfwは通っています。 ldapを許可しているルールにログ収集を指定していないのでしょう。 今回のldapルールのTrack部分にShotrかLongのログ指定をしてください。 通過したものがログとしてとれます。 ログがいっぱいになってディスクが無くならないように気を付けてください。 ログの採取に関してもセキュリティポリシーで変わってきます。 #ちなみに自分の所は全てLongで採取し、Firewall Suiteというツールで毎月解析しています。
その他の回答 (1)
前の質問で回答していたものです。 まず、そのdestinationに対してサービスanyでacceptして、(ログはLong) そのaccept内容を確認してみてはいかがですか? もしかするとldap以外に接続していたりとかは? このanyのルールが通らないようであれば、 実はldapのサーバがdestinationの指定と違うサーバだったり、 Sourceが違っていたり、 ルールの順番によってこれより前にDropされていたり 実は今回のルールにエラーがあってインストールされていなかったり といった感じではないでしょうか。
お礼
ご回答ありがとうございます。まずserviceなのですが、anyが選べずdestinationのほうでanyにしてldapを試してみました。 そうすると、ldap認証が指定クライアントで出来ました。 しかし、先程出ていたfwのログには、なにもでてこなくなったので、fwを通ってないということなのでしょうか。 知識が無く説明が難しいです。申し訳ありません。 ちなみにhttpsはppiで通しております。smtpはanyのdistinationです。 http-proxyサービスは、先程ldapを通せなかった内部と外部のFWサーバーに割当てています。
補足
ありがとうございます。いまちょっと建てこんでてログ見れないのですが、any だと認証できました。 確認できてから、またお礼を書かせていただきます。
お礼
何度もご回答いただきありがとうございました。 本当にありがとうございます。
補足
詳しい回答ありがとうございます。 突然出張になってしまったのでサーバに触れないのですが、帰ってからやってみようと思います。 何回も回答いただき、感激です。