SecurityGateway for Email Servers 11.0

ユーザ検証ソース編集画面は、既存のユーザ検証ソースを編集または新規のソースを作成するために使用します。ユーザ検証ソースページで新規をクリック、またはリストでエントリをクリックし編集を選択することで、この画面に表示することができます。この画面でソース、ロケーション、接続するポート、任意の必要な認証証明書およびユーザを確認のためのソースを使用するSecurityGatewayドメインのタイプを指定します。

プロパティ

タイプ:

SMTP Verification (転送), Active Directory/Exchange, MDaemon (Minger), MDaemon (XML API), LDAP、Microsoft 365の中から、ユーザ検証ソースを選択します。後述の、説明、ホストまたはIP、ポートオプションは、検証ソースの4つのタイプすべてに適用されます。残りのオプションは、選択した検証ソースにより異なります。すべての検証タイプについて、不明なローカルユーザが確認される場合、SecurityGatewayアカウントが、そのユーザのために作成され、SecurityGatewayのログインリンクを含んでいるようこそメッセージを新規アカウントにメールで送ります。ユーザのメールアドレスおよびパスワードは、メッセージログ、メッセージ隔離などを閲覧するために、SecurityGatewayアカウントにログインに使用することができます。LDAPがダイナミック認証をサポートしないので、その検証タイプが選択される場合、SecurityGatewayにログインを可能にする前に、SecurityGatewayパスワードをユーザに提供する必要があります。

説明:

検証ソースの説明(例えば、"example.comのサーバX")のために、このテキストボックスを使用します。ユーザ検証ソースページで説明カラムに対応します。

ホストまたはIP:

これは、検証ソースのホスト名またはIPアドレス用です。このソースを問い合わせると、SecurityGatewayは、このロケーションに接続します。このオプションは、ユーザ検証ソースページでホストカラムに対応します。

ポート:

これは検証ソースに接続する場合、SecurityGatewayが使用するポートで、ユーザ検証ソースページでポートカラムに対応します。

SMTP検証(転送)

受信メッセージの不明なローカル受信者および送信メッセージの不明なローカル差出人を確認するためにSMTPを使用する場合、このタイプを選択します。コールバック検証と同様で、SecurityGatewayはSMTPプロトコルを通してユーザを確認することを試みます。認証を試みる不明なローカル差出人について、SecurityGatewayでは認証のためにSMTP検証ソースにユーザの証明書を渡します。認証が成功する場合、メッセージはSecurityGatewayによって配信のために受け取られ、ユーザのためのアカウントが作成されます。すでに存在するアカウントについては、SecurityGatewayではローカルユーザデータベースに対してユーザのログイン証明書を最初にチェックします。一致がない場合、SMTP検証ソースをチェックします。

認証が必要

SMTP検証ソースが認証を必要とする場合、このチェックボックスをクリックします。下記のユーザ名およびパスワードを指定します。

ユーザ名:

SMTP検証ソースが認証を必要とする場合、ユーザ名をここに指定します。

パスワード:

SMTP検証ソースパスワードを、ここに入力します。

Active Directory/Exchange

不明なローカルユーザを確認するためにActive DirectoryまたはExchangeサーバを使用する場合、このタイプを選択します。前述であるSMTP検証と同様に、この検証タイプは、ダイナミック認証をサポートします。認証することを試みる不明なローカル差出人のために、SecurityGatewayは認証についてActive Directory/Exchangeサーバにユーザの証明書を渡します。認証が成功している場合、メッセージはSecurityGatewayによって配信のために受け取られ、ユーザのアカウントが作成されます。すでに存在するアカウントについては、SecurityGatewayはローカルユーザデータベースに対してユーザのログイン証明書を最初にチェックします。一致がない場合、SMTP検証ソースがチェックされます。

ユーザ名:

このテキスト入力ボックスは、検証ソースにログインに必要なActive Directory/Exchange/Windowsユーザ名です。

パスワード:

上記で指定されるActive Directory/Exchangeユーザ名に対応するパスワードを入力するために、このテキスト入力ボックスを使用します。

検索フィルタ:

これは、ユーザについてActive Directory/Exchangeサーバを問い合わせる時に使用する検索フィルタです。ほとんどの場合デフォルト検索フィルタで十分です。

MDaemon (Minger)

ユーザ検証ソースとしてMingerを使用しているMDaemonサーバを使用する場合、この検証タイプを選択します。これは、Mingerプロトコルの拡張したバージョンで、MDaemonサーバ専用です。従って、このオプションは、他のタイプのサーバで使用することができません。この検証タイプは、2つ前の検証タイプのようにダイナミック認証をサポートします。これは、ユーザがメールサーバログイン証明書を使用してSecurityGatewayアカウントを認証またはログインすることができることを意味します。

認証が必要

MDaemonサーバがMingerを使用する認証を必要とする場合、このチェックボックスをクリックします。

パスワード:

MDaemonサーバのMingerパスワードを、ここに入力します。

MDaemon (XML API)

ユーザ検証ソースタイプとしてMDaemon XML-APIを使用するには、このオプションを選択します。MDaemonのXML APIは、MDaemonが可逆暗号化を使用してパスワードのコピーを保存していないアカウントを認証することができるため、Mingerのより良い代替を提供します。また、単一の呼び出しでアカウントのすべてのエイリアスを返すことができます。注意:このオプションは、MDaemonバージョン23.0.2以降を必要とします。

MDaemon XML API URL：

MDaemonのインストールデフォルトXML-API URLは、"http://servername:RemoteAdminPort/MdMgmtWS/" しかし、MDaemonでHTTPSオプションを設定し、安全なHTTP（すなわち、https://servername:RemoteAdminPort/MdMgmtWS/）を使用することを強く推奨します。

MDaemon XML APIサービスアカウントの作成

SecurityGateway内でこのユーザ検証ソースを構成する場合、プロセスは "MDaemon XML APIサービスアカウント "を作成します。MDaemon XML APIを使用するためにユーザ検証ソースを構成する場合、SecurityGatewayは、ユーザアカウントを検証および認証するために使用される "XMINGER "オペレーションを実行するためにのみ許可されたパーミッションでサービスアカウントを作成するためにMDaemon XML APIを呼び出します。サービスアカウントを作成するには、MDaemonグローバル管理者の認証情報が必要です。SecurityGatewayは、サービスアカウントを作成した後、MDaemonグローバル管理者の資格情報を保持しません。返されたサービスアカウント資格情報は、ユーザ検証ソースに使用されます。

LDAP

ユーザを確認するためにLDAPサーバを使用する場合、この検証タイプを選択します。しかしながら、その他検証タイプとは異なり、ユーザのログイン証明書を認証するために、LDAPを使用することができません。結果的に、ダイナミック認証(または「オンザフライ」で認証すること)をサポートしません。そのために、認証するユーザを必要とする場合、LDAP検証ソースこと確認されるユーザは、ログインまたは、SecurityGatewayアカウントのパスワードを使用せずにSecurityGatewayを通してのメッセージを送信することができません。

Bind DN:

SecurityGatewayがユーザ名について問い合わせることができるように、LDAPサーバにアクセスを持つ識別名(DN)を入力します。これは、バインド操作で認証のために使用されるDNです。

パスワード:

このパスワードは、認証のためにバインドDN値とともにLDAPサーバに渡されます。

ベースエントリDN:

これは、SecurityGatewayがユーザのためのActive Directoryを検索するディレクトリ情報ツリー(DIT)のルートDNまたはスタートポイントです。

検索フィルタ:

これは、ユーザについてLDAPサーバを問い合わせる時に、使用されるLDAP検索フィルタです。ほとんどの場合、デフォルト検索フィルタで充分です。

検索範囲:

これはLDAP検索の対象と範囲です。

ベースDNのみ

検索を上記で提供されるベースエントリDNだけに制限したい場合、このオプションを選択します。検索は、ツリー(DIT)でそのポイントの下へ進みません。

ベースDNの1レベル下

DITでベースエントリDNの1レベル下を検索する場合、このオプションを使用します。

ベースDNと全チャイルド

このオプションは、ベースDNからDITで最下位のチャイルドエントリまでチルドレン全部を検索範囲にします。これは、デフォルトオプションです。

Microsoft 365

Microsoft 365をユーザー検証ソースとして使用するにはこのオプションを選択し、下記の手順に沿って設定してください。

Microsoft 365をユーザー検証ソースとして使用する場合は、SecurityGatewayはMicrosoft 365のテナントへのアクセス権を持つサービスプリンシパルである必要があります。また、Microsoft 365はAzure Active Directoryをディレクトリサービスとして指定している必要があります。以下の手順で、Microsoft 365をSecurityGatewayのユーザー検証ソースとして設定できます。

Microsoft Identity platform にアプリケーションを登録する：

1.Microsoft Entra 管理センターにログインします。

複数のテナントを持つアカウントの場合は、[設定] アイコンをクリックし、必要なテナントを選択します。

2.Admin Centerメニューで、「Identity」>「Applications」>「App registrations」を選択する。

3.新規登録を選択します。

4.名前のフィールドへアプリケーション名を入力します。

5.登録を選択します。

6.アプリケーションIDを確認します。

7.APIアクセス権を選択します。

8.+ を選択し、アクセス権を追加します。

9.Microsoftグラフを選択します。

10.アプリケーションのアクセス権を選択します。

11.Group.Read.AllとUser.Read.Allを選択します。

12.アクセス権の追加を選択します。

13.Grant admin consent for... ボタンを選択します。

14.はい、をクリックします。

15.証明書と秘密鍵を選択します。

16.+をクリックして新しいクライアント署名を作成します。

17.説明欄に説明を記入します。

18.選択ボタンでパスワードの有効期間を選択します。

19.このパスワードは二度と見ることができないので、Valueフィールドに生成されたパスワードを控えておいてください。

 

SecurityGatewayにて:

1.SecurityGatewayへグローバル管理者でログインします。

2.設定/ユーザーを選択します。

3.アカウントを選択します。

4.ユーザー検証ソースを選択します。

5.新規をクリックします。

6.Office 365を選択します。

7.説明を記入します。

8.ドメイン名へ Office 365 のドメイン名を入力します。

9.種類を選択します。

ほとんどの場合、オプションは「全体」になります。

10.サービスプリンシパル へAzure ADのアプリケーションIDを入力します。

Azure ADのアプリケーション登録の概要ページでアプリケーションＩＤが確認できます。

11.Azure ADで生成されたパスワードを入力します。

12.保存して閉じるをクリックします。

タイプ

このサーバをデフォルトのユーザ検証ソースにする

デフォルトユーザ検証ソースは、特に指定されるソースがなかったすべてのSecurityGatewayドメインのために使用されます。自動ドメイン生成機能により使用されます。

ユーザ検証ソースで使用するドメインを次から選択...

SecurityGatewayドメインの1つ以上の検証ソースを指定するために、下記のオプションを使用します。複数の検証ソースがドメインに指定される場合、ドメインのプロパティ画面の検証タブで問い合わせる順位を指定することができます。

有効なドメイン:

このボックスは、すべての利用可能なSecurityGatewayドメインを示します。この検証ソースを利用するドメインを指定するために、リストから選択して"--->"をクリックします。

選択したドメイン:

このボックスは、ユーザを確認するために、このソースを利用する構成をしたすべてのSecurityGatewayドメインを示します。このリストからドメインを削除するには、ドメインを選択して"<---" をクリックします。