Kerberos 認証を有効にする方法

XG Firewall で Kerberos 認証を設定します。

目的

このセクションでは、以下について学びます。
  • XG Firewall のホスト名を指定します。
  • Active Directory サーバーを設定します。
  • Active Directory サーバーが認証のプライマリサービスであることを確認します。
  • Kerberos 認証が必要なゾーンの AD SSO を有効にします。
  • Web 認証 の Kerberos 認証を有効にします。

ホスト名 の設定

Kerberos などのサービスを正しく動作させるには、完全修飾ホスト名が必要です。

  1. 管理 > 管理の設定にアクセスします。
  2. ホスト名に FQDN を入力します。例: SFOS.customer.local
    XG Firewall の初期設定時に特定の FQDN ホスト名を設定しなかった場合、デフォルトでシリアル番号がホスト名として使用されます。
  3. 適用」をクリックします。

Active Directory サーバーの追加

まず、Active Directory サーバーを追加して、検索クエリを指定します。

このタスクを完了するためには、以下の情報が必要です。
  • ドメイン名
  • NetBIOS ドメイン
  • Active Directory サーバーのパスワード

Active Directory サーバーのプロパティを確認します。たとえば、Microsoft Windows では、Windows 管理ツールに移動します。

検索クエリはドメイン名 (DN) に基づきます。この例では、ドメイン名は sophos.com なので、検索クエリは次の通りです。dc=sophos,dc=com

  1. 認証 > サーバーに移動して、追加をクリックします。
  2. 設定を指定します。
    ここに記載されていない設定項目は、デフォルトの値を使用してください。
    Active Directory サーバーで設定したパスワードを使用してください。
    オプション説明
    サーバーの種類 Active Directory
    サーバー名 My_AD_Server
    サーバー IP/ドメイン 192.168.1.100
    NetBIOS ドメイン sophos
    ADS ユーザー名 administrator
    パスワード <AD サーバーのパスワード>
    ドメイン名 sophos.com
    検索クエリ dc=sophos,dc=com
  3. 接続のテストをクリックし、ユーザー認証情報を検証し、サーバーへの接続を確認します。
    Synchronized User ID と STAS の両方が設定されている場合、認証サーバーに先にサインイン要求が届いたほうのメカニズムが使用されます。
  4. 保存」をクリックします。

プライマリ認証方法の設定

Active Directory サーバーに対して最初にクエリするには、プライマリ認証方法として設定します。 ユーザーが最初にファイアウォールにサインインしたときに、指定されたデフォルトグループのメンバーとして自動的に追加されます。

  1. 認証 > サービスに進んでください。
  2. ファイアウォール認証手段の認証サーバーの一覧で、「My_AD_Server」を選択します。
  3. サーバーを、選択されたサーバーリストの一番上に移動します。
    プライマリ認証方法: Active Directory サーバー
  4. 適用」をクリックします。

認証 > グループに移動し、インポートしたグループを確認します。

LAN ゾーンの AD SSO を有効にする

特定のゾーンの Active Directory 認証を有効にします。

Kerberos または NTLM を使用するには、Active Directory 認証が必要です。

  1. 管理 > デバイスのアクセスに進んでください。
  2. LAN ゾーンの AD SSO のチェックボックスをオンにします。必要に応じて、その他のゾーンの AD SSO をオンにすることもできます。
  3. 適用」をクリックします。

Web 認証 の Kerberos 認証を有効にする

ブラウザで Kerberos 認証をできるようにします。

  1. 認証 > Web 認証に進んでください。
  2. Active Directory (AD) SSO が設定されている場合」で「Kerberos & NTLM」が選択されていることを確認します。
  3. 適用」をクリックします。

Kerberos 接続の確認

ログビューア を使用して、Kerberos が動作していることを確認します。

Kerberos の設定後、Web 要求が正しく認証されているかどうかを確認できます。

  1. ログビューアを開きます。
  2. ドロップダウンメニューを使用して、認証ログを選択します。
  3. ブラウザで Web ページを開きます。
  4. ログのコンポーネント列を参照し、Web 要求の認証プロトコルとして Kerberos が使用されていることを確認します。