エンドユーザー認証を設定する

エンドユーザーが EUWI (End User Web Interface) にアクセスしてメールフィルタリングの一部の機能を管理できるように許可している場合、エンドユーザーがログインする際に使用する認証方法を設定する必要があります。 「Quarantine:End User Authentication」(隔離: エンドユーザー認証) ページによって、エンドユーザー認証に使用する方法を設定できます。

エンドユーザーの認証方法を設定するには

また、PureMessage を設定して複数の認証形式を使用できます。たとえば、組織で複数のタイプの LDAP を使用してユーザーを認証できます。詳細については、ソフォスのサポートデータベースの「複数の認証方法を設定する」をご覧ください。
  1. Quarantine」(隔離) タブのサイドバーにある「Enduser」(エンドユーザー) セクションで「End User Authentication」(エンドユーザー認証) をクリックします。

    End User Authentication」(エンドユーザー認証) ページが表示されます。

  2. 使用するエンドユーザーの認証方法に対応する以下のオプションボタンを選択します。
    • SessionID is emailed to user」(セッション ID をユーザーにメールで送信):このオプションでは、エンドユーザーにメール送信され、一定の期間有効なセッション ID が生成されます。この方法に対しては、以下のオプションを設定する必要があります。
      • Email template」(メールテンプレート):ユーザーのパスワードとなる生成されたセッション ID を送信するためのメールテンプレートのパスとファイル名を指定します。
      • Session expiry time」(セッションの有効期限):エンドユーザーのログインセッションに許可する時間の長さを指定します。
      時間単位の指定には、以下の接頭辞を使用します。「s」(秒)、「m」(分)、「h」(時間)、および「w」(週) です。たとえば、20分を指定するには「20m」と入力し、1時間半を指定するには「1h30m」を指定します。
    • Password database is kept in a plain text file」(パスワードデータベースはテキストファイルで保存):このオプションによって、ユーザー名と 1つのパスワードを 1行ごとに含むカンマ区切り形式のリストであるプレーンテキストのパスワードファイルを使用できるようになります。このファイルは暗号化できます。この方法に対しては、以下のオプションを設定する必要があります。
      • File path」(ファイルのパス):パスワードのテキストファイルのパスとファイル名を指定します。デフォルトは、enduser/enduser_ui_user_passwords です。
      • Encryption」(暗号化):ファイルに適用する暗号化を指定します。指定可能なオプションは nonecrypt または md5 です。
    • LDAP based authentication」(LDAP ベース認証):このオプションでは、既存の LDAP サーバーをエンドユーザーのリストと認証用のソースとして使用します。この方法に対しては、以下のオプションを設定する必要があります。
      • LDAP Server」(LDAP サーバー):ユーザーを LDAP 経由で認証するときに接続先となるサーバーの「ホスト名:ポート番号」を指定します。フェールオーバー用の LDAP ホストを複数指定することを強くお勧めしますが、これを行うには複数のホストをセミコロンで区切ったリストを入力します。ポートが指定されていない場合、デフォルトで 389 が使用されます。

        暗号化された LDAPS 接続を使用するには、「ホスト名:ポート番号」の前に「ldaps://」を付けます。LDAPS 接続の場合、ポート番号を指定しない場合にはポート 636 が使用されます。下記に例を示します。

        localhost:389 ldaps://ldap.mycompany.com
      • DN for binding to LDAP server」(LDAP サーバーにバインドするための識別名):LDAP サーバーに接続するための識別名 (DN) を指定します。これによって、システムが認証しようとしているユーザーの識別名を照会できるようになります。このテキストボックスでは、変数置換がサポートされます (下記で説明)。
      • Password for binding to LDAP server」(LDAP サーバーにバインドするためのパスワード):LDAP サーバーに接続するためのパスワードを指定します。それは、システムが認証しようとしているユーザーの識別名 (DN) を照会するためです。この DN とパスワードに許可する権限は最小限にとどめる必要がありますが、ユーザーが入力したユーザー名と ID に基づいて照会を実行して、ユーザーの DN を取得できるようにする必要はあります。
      • Base DN for user accounts」(ユーザーアカウント用の基本識別名):最上位にある LDAP ディレクトリノードを指定します。この下で検索が実行され、ユーザーの認証に使用する DN が取得されます。このテキストボックスでは、変数置換がサポートされます (下記で説明)。
      • Filter to find user account」(ユーザーアカウントを検出するフィルタ):ユーザー認証に使用する DN を取得するために実行される LDAP 照会を指定します。このフィルタでは単一の結果レコードが返されるようにする必要があります。フィルタで複数の結果が返される場合、不測の動作が発生する可能性があります。このテキストボックスでは、変数置換がサポートされます ( ldap.conf の man ページで説明)。
        LDAP に関しては、ユーザーアカウントの設定は (uid=%%username%%) ではなく、(sAMAccountName=%%username%%) である必要があります。
    変数置換は「DN for binding to LDAP server」(LDAP サーバーにバインドするための識別名)、「Base DN for user accounts」(ユーザーアカウント用の基本識別名)、および「Filter to find user account」(ユーザーアカウントを検出するフィルタ) LDAP で使用できます。変数置換では、事前定義された構文を使用して変数として情報を挿入できます。以下の変数を置換できます。
    • %%username%% - ログインページでユーザーが入力するフルユーザー名。
    • %%password%% - ログインページでユーザーが入力するフルパスワード。
    • %%bind_dn%% - 設定で指定されている「バインド DN]。
    • %%bind_dn%% - 設定で指定されている「ベース DN]。
    LDAP の上級設定オプションは ldap.conf から使用可能で、デフォルトでは /pmx/etc/enduser/auth.d にあります。上級オプションについては、ldap.conf の man ページで説明されています。これらのオプションの設定は、上級管理者のみが実行することをお勧めします。
  3. Save」(保存) をクリックします。

認証をテストする

セッション ID、プレーンテキストファイル、または LDAP に基づく 3つの認証方法をテストできます。

認証をテストするには

  1. End User Authentication」(エンドユーザー認証) ページで、適切なテキストボックスに既存および既知のユーザー名とパスワードを入力してください。
    LDAP 認証をテストする場合、ユーザーのメールアドレスはユーザーの LDAP プロファイルに含まれている必要があり、含まれていない場合にはテストが失敗します。
  2. Test」(テスト) をクリックします。