Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Table of Contents

LDAP

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 5, 2026
  • 8 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

補足:

LDAPとテナント

現バージョンでは、LDAPとTACACS+からのユーザは、ベーステナントのみに作成されます。

補足:

適切に機能するためには、LDAPサーバがLDAP MemberOf関数に対応している必要があります。

OpenLDAPをLDAPサーバとして使用している場合は、グループエントリに含まれる属性「objectClass」の値が「groupofuniquenames」または「groupofnames」に設定され、すべてのアカウントエントリに含まれる属性「objectClass」の値が「person」に設定されていることを確認してください。

ローカルデータベースまたはディレクトリサービス(LDAPサーバなど)に従って、ユーザ認証を実行できます。

LDAP設定に関する情報:

  • [サーバ]: LDAPサーバのIPアドレスまたはドメイン名を入力します。

  • [ポート]: ポート番号を入力します。デフォルトは389、暗号化接続(SSL)の場合は636です。

  • タイムアウト(秒単位): LDAP応答を待機する時間。2要素認証を使用している場合は、この値を高く設定します。

  • [サーバのタイプ]: [自動検出]が正しく機能しない場合は、[サーバのタイプ]として[Active Directory]または[OpenLDAP]を選択します。

  • [User Bind DN]: LDAP接続に使用されるユーザのフルパスです

補足:

注意: Active Directoryでは、姓と名の両方を使用する必要があります(cn値)。Flowmonのログイン情報はsAMAccountName値に保存されます。

表: LDAP設定例
LDAPサービス ユーザバインドDN
Active Directory / LDAP CN=Administrator Name、CN=Users、DC=invea、DC=cz
ディレクトリサーバ / OpenLDAP uid=administrator、ou=People、dc=invea、dc=cz

  • [パスワード]: [User Bind DN]でのアカウント用のパスワードを指定します。

  • [ベースDN]: デフォルトの検索ポイントです。ノードおよびそのサブノードのユーザだけが、Flowmonにアクセスできます。[ベースDN]の値は、多くの場合すべてDCパラメータです(例: DC=invea、DC=cz)

  • [カスタムUIDを使用する]: Flowmonログイン情報と比較するLDAP属性を設定します。デフォルト値は、uid (openLDAPの場合)またはsAMAccountName (Active Directoryの場合)です。

  • [カスタムグループDNを使用する]: グループのさまざまなデフォルト検索ポイントを設定できます。選択すると、このノードおよびそのサブノードのグループだけが、Flowmonにアクセスできます。

  • [ユーザ定義のグループプレフィックス]: LDAPでのグループプレフィックスを設定します(下記参照)。

  • [グループデリミタ]: グループプレフィックスと役割名との間のデリミタ文字を設定します。

  • [グループネスティングを使用する]: LDAPディレクトリでは、ネストされたグループは子グループエントリとして定義され、親グループエントリ内に含まれている属性によってそのDN (識別名)が参照されます。Flowmonでは、このネスティングを使用したアクセス権の継承を許可しています。

  • グループネスティングのタイプ:

    • [親から継承]: グループは、親グループからアクセス権を引き継ぎます。

    • [子から取得]: グループは、子グループからアクセス権を引き継ぎます。

  • [マッピングの有効化]: 有効にすると、既存のLDAPグループをFlowmonの1つ以上の役割にマッピングできます。マッピングされたグループに属するすべてのユーザが、マッピングされた役割からアクセス権を取得します。

    • [マッピング用にグループをフィルタ]: 1つまたは複数の言葉をカンマで区切って指定します。システムは、これらの言葉をCN属性の部分文字列として使用して、マッピング用にLDAPグループをフィルタします。
LDAP設定のページ

LDAP設定のページ
LDAP設定のページ

接続エラー

  • [LDAP接続]: サーバ、ポート、SSL暗号化の使用に関する不具合

  • [LDAPバインド]: User Bind DNまたはユーザパスワードが不適切

  • [LDAP検索]: ベースDNが不適切。LDAPからグループをロードできない

LDAPサーバに接続できる場合は、[保存]をクリックして設定を保存します。

LDAPサポートが有効な場合のシステムの動作を以下に示します。

  1. ユーザログイン時に、FlowmonサーバがLDAPサーバへの接続を試みます。

    • [成功] - ユーザ認証に成功しました。初回ログイン時、LDAPアカウントに従ってローカルデータベースにユーザアカウントが作成されます。その後、ログインするたびに、ローカルアカウントデータがLDAPアカウントデータと比較されます。差異が見つかった場合、LDAPから現在のデータが取得されます。ローカルユーザアカウントで行われた変更はすべて、情報メッセージによって報告されます。

    • [失敗] - 接続に失敗しました。エラーメッセージが表示されます。この場合、LDAP認証を使用しないadminユーザはシステムにログインできます。ローカルデータベースに保存されているその他のユーザ(LDAPを使用しない)もログインできます。

  2. クレデンシャルのチェックが実行されます。

    • [成功] - ユーザ認証に成功しました。初回ログイン時、LDAPアカウントに従ってローカルデータベースにユーザアカウントが作成されます。その後、ログインするたびに、ローカルアカウントデータがLDAPアカウントデータと比較されます。差異が見つかった場合、LDAPから現在のデータが取得されます。ローカルユーザアカウントで行われた変更はすべて、情報メッセージによって報告されます。

    • [失敗] - 認証に失敗しました。ユーザは新しいクレデンシャルを入力するよう求められます。

ユーザadminは特別な方法で管理されます。このアカウントの場合、データは常にローカルデータベースから取得され、LDAPアカウントは使用されません。

LDAPユーザの役割とアクセス権の設定

LDAPユーザには、LDAPでの所属グループに従って自動的に役割が割り当てられます。ユーザに役割を割り当てるには、グループ名が <役割名>というフォーマットである必要があります。ここで、 プレフィックスflowmoninveaos、または ユーザ定義のグループプレフィックスのいずれかです。役割名の詳細については、「 ユーザ設定」の章を参照してください。

グループデリミタは、ダッシュまたはアンダースコアです。

admin グループに割り当てられたユーザーは、管理者権限を持ち、すべてのモジュールにアクセスすることができます。

役割のマッピングとネスティングの例

1. 親から継承するオプション

A、A1、およびA2というLDAPグループがあり、LDAPグループA1とA2はグループAの子です。
FlowmonにはAという役割があります。
役割AにはFlowソース1への権限とアクセスが定義されています。
グループAは役割Aにマッピングされています。
グループA1とA2はグループAの子であるので、どちらも役割Aのアクセス権を継承し、Flowソース1へのアクセス権を取得します。

2. 子から取得するオプション

A、A1、およびA2というLDAPグループがあり、LDAPグループA1とA2はグループAの子です。
FlowmonにはAとBという役割があります。
役割AにはFlowソース1への権限とアクセスが定義されています。
役割BにはFlowソース2への権限とアクセスが定義されています。
グループA1は役割Aにマッピングされています。
グループA2は役割Bにマッピングされています。
グループAはグループA1とA2の親であるため、役割AとBが持つ、Flowソース1とFlowソース2の両方へのアクセス権を継承します。

TitleResults for “How to create a CRG?”Also Available inAlert