Active Directory を使用したグループメンバーシップの動作
ここでは、Active Directory と Sophos Firewall を連携し、Active Directory グループを Sophos Firewall にインポートしたときの Sophos Firewall のグループメンバーシップの動作について説明します。
概要
このセクションでは、Active Directory と Sophos Firewall を連携してグループをインポートしたときに、グループメンバーシップがどのように動作するかについて説明します。
ユーザーが Active Directory 内の複数のグループに属している場合、Sophos Firewall ではグループリストを上から順に検索して、1つのグループにのみマッピングします。一致した最初のグループがユーザーに割り当てられ、そのポリシーが適用されます。このグループが、そのユーザーの Sophos Firewall でのプライマリグループになります。
Sophos Firewall では、ユーザーは必ずグループに属します。ユーザーにグループがない場合、デフォルトのグループに割り当てられます。デフォルトのグループは、「認証 > サービス」の「ファイアウォールの認証手段」セクションで確認できます。
Active Directory では、ユーザーのデフォルトのプライマリグループは Domain Users です。Active Directory のプライマリグループは Sophos Firewall に送信されず、同期されません。ユーザーのプライマリグループを別のグループに変更すると、Sophos Firewall でのメンバーシップの動作に影響します。
Sophos Firewall に Active Directory のグループをインポートしたときの動作
Sophos Firewall では、インポートされたすべてのグループとユーザーの関連付けが保持されますが、管理者は、このユーザーとグループの関連付けを表示することはできません。Web 管理コンソールでグループは空に見えますが、この関連付けはバックグラウンドでデータベースに保持されています。
モジュールによって、Sophos Firewall のプライマリグループでのみ動作するものと、すべてのバックエンドグループで動作するものがあります。
すべてのバックエンドグループをサポートする共通モジュールは、以下のとおりです。
- ファイアウォールポリシー
- TLS ポリシー
- Web フィルタ: ポリシー
- SSL リモートアクセス VPN
- ポリシーテスター
Sophos Firewall のプライマリグループのみをサポートする共通モジュールは、以下のとおりです。
- ホットスポット
- WAF
- IPsec リモートアクセス
Active Directory と Sophos Firewall が連携するように設定する
Active Directory と Sophos Firewall が連携するように設定するには、以下の手順に従います。
- Sophos Firewall を Active Directory と連携させる詳細は、Active Directory 認証を設定するを参照してください。
-
Active Directory グループを Sophos Firewall にインポートします。詳細は、Active Directory 認証を設定するを参照してください。
この例では、Group A、Group B、Group C の 3つのグループをインポートしました。以下に示すように、インポートしたグループのうち、Group A が一番上に表示されています。
グループを Sophos Firewall にインポートしたときに、グループに属するユーザーは同時にインポートされません。ユーザーは、Sophos Firewall での初回認証時にインポートされます。
-
最近インポートしたグループ (Group A、Group B、Group C) のインターネットアクセスを制御するファイアウォールルールを作成します。詳細は、ファイアウォールルールを追加するを参照してください。
以下のファイアウォールルールの例をご覧ください。
プライマリグループが Domain Users である場合に、ユーザーがマッピングされたグループを確認する
Active Directory サーバーでユーザーのグループ設定を確認してから、Sophos Firewall でユーザーのグループを確認します。
注
実行する手順は、オペレーティングシステムやそのバージョンによって異なります。
- Windows で、「管理ツール」を開きます。
-
ユーザーを右クリックし、「プロパティ」を選択して「メンバー」に移動します。
このユーザーは Group A、Group B、Group C に属しており、プライマリグループは Domain Users です。
-
キャプティブポータルにサインインするようにユーザーに依頼します。
ユーザーの認証が完了すると、ユーザーは Sophos Firewall にインポートされ、リストの最初のグループ (Group A) にマッピングされます。
-
Sophos Firewall で「認証 > ユーザー」に移動し、ユーザーのグループを確認します。
プライマリグループが Domain Users でない場合に、ユーザーがマッピングされたグループを確認する
プライマリグループが Active Directory 内の名前付きグループ (Group A など) の場合、Sophos Firewall ではそのグループではなく、リスト内で一致する次のグループ (Group B など) に属すようになります。
この例では、Active Directory サーバーでユーザーのプライマリグループを変更し、Sophos Firewall でユーザーのグループを確認します。
注
実行する手順は、オペレーティングシステムによって異なります。
- Windows で、「管理ツール」を開きます。
- ユーザーを右クリックし、「プロパティ」を選択して「メンバー」に移動します。
-
プライマリグループをグループ A に変更します
ユーザーのプライマリグループが A になっています。
-
キャプティブポータルにサインインするようにユーザーに依頼します。
ユーザーの認証が完了すると、ユーザーは Sophos Firewall にインポートされ、Group B にマッピングされます。Active Directory は、ユーザーのプライマリグループ (Group A) に関する情報を Sophos Firewall に送信しません。ユーザーは、Sophos Firewall のグループリスト内で次に一致する Group B にマッピングされます。
-
Sophos Firewall で「認証 > ユーザー」に移動し、ユーザーのグループを確認します。