STAS による透過的認証の設定

クライアントレス SSO は Sophos Transparent Authentication Suite (STAS) の形式で提供されます。STAS は、Active Directory サーバーが 1 台ある環境に導入できます。

目的

このセクションでは、以下について学びます。
  • STAS をインストールして、エージェントとコレクターを構成する。
  • STAS をファイアウォールに導入する。
  • ライブユーザーを確認する。

システムセキュリティの設定

監査ポリシーを設定し、ユーザー権利を割り当て、ファイアウォールの設定を変更します。

  1. Windows で、スタートボタンをクリックし、「Windows 管理ツール」 > 「ローカルセキュリティポリシー」に移動します。
  2. 「ローカルポリシー」 > 「監査ポリシー」に移動し、「アカウント ログオン イベントの監査」を開きます。
  3. 「成功」オプションと「失敗」オプションを選択し、「OK」をクリックします。
    Windows セキュリティのアカウントサインイン
  4. 「ローカルポリシー」 > 「ユーザー権利の割り当て」に移動し、「サービスとしてログオン」を開きます。
  5. STAS をインストールして実行する管理ユーザーがリストに含まれていない場合は、「ユーザーまたはグループの追加」をクリックし、ユーザーを追加し、「OK」をクリックします。
  6. ポートを開きます。
    Windows ファイアウォールとサードパーティのファイアウォールで、次のポート経由の通信が許可されるように設定します。
    • AD サーバー: 受信 UDP 6677、送信 UDP 6060、送信 TCP 135、445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、送信 ICMP (Logoff Detection Ping を使用する場合)、送受信 UDP 50001 (コレクターテスト)、送受信 TCP 27015 (構成の同期)。
    • ワークステーション: 受信 TCP 135 & 445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、受信 ICMP (Logoff Detection Ping を使用する場合)。
    ワークステーションで、RPC サービス、RPC ロケーターサービス、DCOM サービス、WMI サービスの WMI/Registry Read Access を有効にする必要があります。

STAS のインストール

STAS をダウンロードして、Active Directory サーバーにインストールします。

  1. ファイアウォールで、認証 > クライアントダウンロードに移動して、Sophos Transparent Authentication Suite (STAS)をダウンロードします。
  2. インストーラを Active Directory サーバーに移動します。
  3. Active Directory サーバーでインストーラを起動して、「次へ」をクリックします。
    STAS セットアップ: ウィザード
  4. セットアップウイザードに従って、インストール先やその他のオプションを指定します。その後、「インストール」をクリックします。
  5. 「SSO Suite」を選択し、「次へ」をクリックします。
    STAS セットアップ: SSO の選択
  6. 管理者の認証情報を入力して、「次へ」をクリックします。
  7. 「完了」をクリックします。

STAS の構成

コレクターとエージェントを構成し、全般設定を指定します。

  1. AD サーバーで STAS を開始し、「STA コレクター」タブをクリックし、設定を指定します。
    ここに記載されていない設定項目は、デフォルトの値を使用してください。
    オプション説明
    Sophos Appliances 192.168.1.251
    ワークステーションポーリング設定 WMI
    STAS STA コレクター
  2. 「STA エージェント」タブをクリックし、設定を指定します。
    オプション説明
    監視対象ネットワーク 192.168.1.0/24
  3. 「全般」タブをクリックし、設定を指定します。
    オプション説明
    NetBIOS 名 TESTLAB
    完全修飾ドメイン名 testlab.com
  4. 適用」をクリックします。
  5. 「開始」をクリックして、STAS サービスを開始します。

ファイアウォールへの STAS の導入

STAS をファイアウォール上でアクティベートし、新規コレクターを追加します。その後、AD サーバーで STAS を開き、ファイアウォールの IP アドレスが表示されていることを確認します。最後に、ユーザー ID に基づいてトラフィックを制御するためのファイアウォールルールを作成します。

STAS を導入する前に、認証 > サービスに移動し、AD サーバーをプライマリ認証方法として選択してください。

プライマリ認証方法: Active Directory サーバー
  1. ファイアウォールで、認証 > STASに移動します。
  2. Sophos Transparent Authentication Suite (STAS) を有効にするをオンにして、STAS をアクティベートするをクリックします。
    STAS をアクティベートする
  3. 新しいコレクターの追加をクリックして、設定を指定します。
    オプション説明
    コレクター IP 192.168.1.10
  4. 保存」をクリックします。
    ファイアウォールが、AD サーバー上の STAS に UDP 6060 経由で接続を試行します。
  5. AD サーバーで STAS を開始し、「全般」タブをクリックします。
    Sophos アプライアンスのリストに、ファイアウォールの IP アドレスが表示されているはずです。これにより、STAS がファイアウォールに接続していることが分かります。
    STAS 全般設定
  6. ファイアウォールに移動し、ファイアウォールルールの追加 > ユーザー/ネットワークのルールをクリックし、ユーザー ID に基づいてトラフィックを制御するルールを作成します。
    STAS ルール

ライブユーザーの確認

ドメインでのユーザー認証が正常に完了すると、STAS と ファイアウォールの両方にライブユーザーとして表示されます。

  1. STAS で「詳細設定」に移動して、「Live ユーザーを表示」を選択します。
    STAS 詳細設定
    STAS ライブユーザー
  2. ファイアウォールで、現在のアクティビティ > ライブユーザーに移動します。
    ライブユーザー