STAS による透過的認証の設定

クライアントレス SSO は Sophos Transparent Authentication Suite (STAS) の形式で提供されます。STAS は、Active Directory サーバーが 1 台ある環境に導入できます。

目的

このセクションでは、以下について学びます。
  • STAS をインストールして、エージェントとコレクターを構成する。
  • STAS をファイアウォールに導入する。
  • ライブユーザーを確認する。

システムセキュリティの設定

監査ポリシーを設定し、ユーザー権利を割り当て、ファイアウォールの設定を変更します。

  1. Windows で、スタートボタンをクリックし、「Windows 管理ツール」 > 「ローカルセキュリティポリシー」に移動します。
  2. 「ローカルポリシー」 > 「監査ポリシー」に移動し、「監査アカウントのログオンイベント」を開きます。
  3. 「成功」オプションと「失敗」オプションを選択し、「OK」をクリックします。
  4. 「ローカルポリシー」 > 「ユーザー権利の割り当て」に移動し、「サービスとしてログオン」を開きます。
  5. STAS をインストールして実行する管理ユーザーがリストに含まれていない場合は、「ユーザーまたはグループの追加」をクリックし、ユーザーを追加し、「OK」をクリックします。
  6. ポートを開きます。
    Windows ファイアウォールとサードパーティのファイアウォールで、次のポート経由の通信が許可されるように設定します。
    • AD サーバー: 受信 UDP 6677、送信 UDP 6060、送信 TCP 135、445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、送信 ICMP (Logoff Detection Ping を使用する場合)、送受信 UDP 50001 (コレクターテスト)、送受信 TCP 27015 (構成の同期)。
    • ワークステーション: 受信 TCP 135 & 445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、受信 ICMP (Logoff Detection Ping を使用する場合)。
    注: ワークステーションで、RPC サービス、RPC ロケーターサービス、DCOM サービス、WMI サービスの WMI/Registry Read Access を有効にする必要があります。

STAS のインストール

STAS をダウンロードして、Active Directory サーバーにインストールします。

  1. ファイアウォールで、「認証」 > 「クライアントダウンロード」に移動して、「Sophos Transparent Authentication Suite (STAS)」をダウンロードします。
  2. インストーラを Active Directory サーバーに移動します。
  3. Active Directory サーバーでインストーラを起動して、「次へ」をクリックします。
  4. セットアップウイザードに従って、インストール先やその他のオプションを指定します。その後、「インストール」をクリックします。
  5. 「SSO Suite」を選択し、「次へ」をクリックします。
  6. 管理者の認証情報を入力して、「次へ」をクリックします。
  7. 「完了」をクリックします。

STAS の構成

コレクターとエージェントを構成し、全般設定を指定します。

  1. AD サーバーで STAS を開始し、「STA コレクター」タブをクリックし、設定を指定します。
    注: ここに記載されていない設定項目は、デフォルトの値を使用してください。
    オプション説明
    Sophos Appliances 192.168.1.251
    ワークステーションポーリング設定 WMI
  2. 「STA エージェント」タブをクリックし、設定を指定します。
    オプション説明
    監視対象ネットワーク 192.168.1.0/24
  3. 「全般」タブをクリックし、設定を指定します。
    オプション説明
    NetBIOS 名 TESTLAB
    完全修飾ドメイン名 testlab.com
  4. 適用」をクリックします。
  5. 「開始」をクリックして、STAS サービスを開始します。

ファイアウォールへの STAS の導入

STAS をファイアウォール上でアクティベートし、新規コレクターを追加します。その後、AD サーバーで STAS を開き、ファイアウォールの IP アドレスが表示されていることを確認します。最後に、ユーザー ID に基づいてトラフィックを制御するためのファイアウォールルールを作成します。

STAS を導入する前に、「認証」 > 「サービス」に移動し、AD サーバーをプライマリ認証方法として選択してください。

  1. ファイアウォールで、「認証」 > 「STAS」に移動します。
  2. 「Sophos Transparent Authentication Suite (STAS) を有効にする」をオンにして、「STAS をアクティベートする」をクリックします。
  3. 「新しいコレクターの追加」をクリックして、設定を指定します。
    オプション説明
    コレクター IP 192.168.1.10
  4. 保存」をクリックします。
    ファイアウォールが、AD サーバー上の STAS に UDP 6060 経由で接続を試行します。
  5. AD サーバーで STAS を開始し、「全般」タブをクリックします。
    Sophos アプライアンスのリストに、ファイアウォールの IP アドレスが表示されているはずです。これにより、STAS がファイアウォールに接続していることが分かります。
  6. ファイアウォールに移動し、「ファイアウォールルールの追加」 > 「ユーザー/ネットワークのルール」をクリックし、ユーザー ID に基づいてトラフィックを制御するルールを作成します。

ライブユーザーの確認

ドメインでのユーザー認証が正常に完了すると、STAS と ファイアウォールの両方にライブユーザーとして表示されます。

  1. STAS で「詳細設定」に移動して、「Live ユーザーを表示」を選択します。
  2. ファイアウォールで、「現在のアクティビティ」 > 「ライブユーザー」に移動します。