コンテンツにスキップ

Active Directory を使用したグループメンバーシップの動作

ここでは、Active Directory と Sophos Firewall を連携し、Active Directory グループを Sophos Firewall にインポートしたときの Sophos Firewall のグループメンバーシップの動作について説明します。

概要

このセクションでは、Active Directory と Sophos Firewall を連携してグループをインポートしたときに、グループメンバーシップがどのように動作するかについて説明します。

ユーザーが Active Directory 内の複数のグループに属している場合、Sophos Firewall ではグループリストを上から順に検索して、1つのグループにのみマッピングします。一致した最初のグループがユーザーに割り当てられ、そのポリシーが適用されます。このグループが、そのユーザーの Sophos Firewall でのプライマリグループになります。

Sophos Firewall では、ユーザーは必ずグループに属します。ユーザーにグループがない場合、デフォルトのグループに割り当てられます。デフォルトのグループは、「認証 > サービス」の「ファイアウォールの認証手段」セクションで確認できます。

Active Directory では、ユーザーのデフォルトのプライマリグループは Domain Users です。Active Directory のプライマリグループは Sophos Firewall に送信されず、同期されません。ユーザーのプライマリグループを別のグループに変更すると、Sophos Firewall でのメンバーシップの動作に影響します。

Sophos Firewall に Active Directory のグループをインポートしたときの動作

Sophos Firewall では、インポートされたすべてのグループとユーザーの関連付けが保持されますが、管理者は、このユーザーとグループの関連付けを表示することはできません。Web 管理コンソールでグループは空に見えますが、この関連付けはバックグラウンドでデータベースに保持されています。

モジュールによって、Sophos Firewall のプライマリグループでのみ動作するものと、すべてのバックエンドグループで動作するものがあります。

すべてのバックエンドグループをサポートする共通モジュールは、以下のとおりです。

  • ファイアウォールポリシー
  • TLS ポリシー
  • Web フィルタ: ポリシー
  • SSL リモートアクセス VPN
  • ポリシーテスター

Sophos Firewall のプライマリグループのみをサポートする共通モジュールは、以下のとおりです。

  • ホットスポット
  • WAF
  • IPsec リモートアクセス

Active Directory と Sophos Firewall が連携するように設定する

Active Directory と Sophos Firewall が連携するように設定するには、以下の手順に従います。

  1. Sophos Firewall を Active Directory と連携させる詳細は、Active Directory 認証を設定するを参照してください。
  2. Active Directory グループを Sophos Firewall にインポートします。詳細は、Active Directory 認証を設定するを参照してください。

    この例では、Group A、Group B、Group C の 3つのグループをインポートしました。以下に示すように、インポートしたグループのうち、Group A が一番上に表示されています。

    Sophos Firewall にインポートした Active Directory グループ

    グループを Sophos Firewall にインポートしたときに、グループに属するユーザーは同時にインポートされません。ユーザーは、Sophos Firewall での初回認証時にインポートされます。

  3. 最近インポートしたグループ (Group A、Group B、Group C) のインターネットアクセスを制御するファイアウォールルールを作成します。詳細は、ファイアウォールルールを追加するを参照してください。

    以下のファイアウォールルールの例をご覧ください。

    最近インポートしたグループのファイアウォールルール

プライマリグループが Domain Users である場合に、ユーザーがマッピングされたグループを確認する

Active Directory サーバーでユーザーのグループ設定を確認してから、Sophos Firewall でユーザーのグループを確認します。

実行する手順は、オペレーティングシステムやそのバージョンによって異なります。

  1. Windows で、「管理ツール」を開きます。
  2. ユーザーを右クリックし、「プロパティ」を選択して「メンバー」に移動します。

    このユーザーは Group A、Group B、Group C に属しており、プライマリグループは Domain Users です。

    Active Directory のユーザーのプロパティタブ

  3. キャプティブポータルにサインインするようにユーザーに依頼します。

    キャプティブポータルのサインインページ

    ユーザーの認証が完了すると、ユーザーは Sophos Firewall にインポートされ、リストの最初のグループ (Group A) にマッピングされます。

  4. Sophos Firewall で「認証 > ユーザー」に移動し、ユーザーのグループを確認します。

    Sophos Firewall の認証グループ

プライマリグループが Domain Users でない場合に、ユーザーがマッピングされたグループを確認する

プライマリグループが Active Directory 内の名前付きグループ (Group A など) の場合、Sophos Firewall ではそのグループではなく、リスト内で一致する次のグループ (Group B など) に属すようになります。

この例では、Active Directory サーバーでユーザーのプライマリグループを変更し、Sophos Firewall でユーザーのグループを確認します。

実行する手順は、オペレーティングシステムによって異なります。

  1. Windows で、「管理ツール」を開きます。
  2. ユーザーを右クリックし、「プロパティ」を選択して「メンバー」に移動します。
  3. プライマリグループをグループ A に変更します

    ユーザーのプライマリグループが A になっています。

    Active Directory のユーザーのプロパティタブ

  4. キャプティブポータルにサインインするようにユーザーに依頼します。

    キャプティブポータルのサインインページ

    ユーザーの認証が完了すると、ユーザーは Sophos Firewall にインポートされ、Group B にマッピングされます。Active Directory は、ユーザーのプライマリグループ (Group A) に関する情報を Sophos Firewall に送信しません。ユーザーは、Sophos Firewall のグループリスト内で次に一致する Group B にマッピングされます。

  5. Sophos Firewall で「認証 > ユーザー」に移動し、ユーザーのグループを確認します。

    Sophos Firewall の認証グループ