Active Directory 認証を設定する
既存の Active Directory ユーザーを Sophos Firewall に追加できます。そのためには、Active Directory サーバーを追加し、グループをインポートして、プライマリ認証方法を設定します。
はじめに
次の手順を実行する必要があります。
- Active Directory サーバーをファイアウォールに追加し、設定する。
- グループのインポートウィザードで AD グループをインポートする。
- プライマリ認証方法を設定し、最初に Active Directory サーバーに対してクエリが実行されるようにする。
概要
ここでは、Sophos Firewall のユーザー認証に Active Directory を使用し、アクセスを制御する方法について説明します。
Active Directory ユーザーは、ファイアウォールに初めてサインインしたときに、デフォルトグループのメンバーとして追加されます。そのユーザーの Active Directory グループが Sophos Firewall に存在する場合は、そのグループに追加されます。
Sophos Firewall にサインインしたユーザーは、Active Directory との統合時に自動作成されたユーザーリストと照合されて、認証されます。ユーザーが認証されると、Sophos Firewall は Active Directory と通信し、アクセス制御用の追加の認証データを取得します。
Active Directory サーバーがダウンしている場合、認証リクエストに対して Wrong username/password
メッセージが返されます。
複数の Active Directory サーバーが設定されている場合は、Sophos Firewall の Web 管理コンソールで設定された順番でチェックされます。
Active Directory サーバーの追加
まず、Active Directory サーバーを追加して、検索クエリを指定します。
このタスクを完了するためには、以下の情報が必要です。
- ドメイン名
- NetBIOS ドメイン
- Active Directory サーバーのパスワード
Active Directory サーバーのプロパティを確認します。たとえば、Microsoft Windows では、Windows 管理ツールに移動します。
検索クエリはドメイン名 (DN) に基づきます。この例では、ドメイン名は sophos.com
なので、検索クエリは次の通りです。dc=sophos,dc=com
- 「認証 > サーバー」の順に選択し、「追加」を選択します。
-
設定を指定します。
注
ここに記載されていない設定項目は、デフォルトの値を使用してください。
Active Directory サーバーで設定したパスワードを使用してください。
オプション 値 サーバーの種類 Active Directory サーバー名 My_AD_Server サーバー IP/ドメイン 192.168.1.100 NetBIOS ドメイン sophos ADS ユーザー名 administrator パスワード \ ドメイン名 sophos.com 検索クエリ dc=sophos,dc=com -
「接続のテスト」をクリックし、ユーザー認証情報を検証し、サーバーへの接続を確認します。
注
同期されたユーザー ID と STA の両方が設定されている場合、認証サーバは、最初にサインイン要求を受信するメカニズムを使用します。
-
「保存」をクリックします。
Active Directory グループのインポート
Active Directory グループをファイアウォールにインポートし、ポリシーを指定します。
-
「認証 > サーバー」の順に選択し、「インポート」 を選択します。
-
グループのインポートウィザードで、「開始」をクリックします。
-
グループのベース DN を選択します。
-
インポートする AD グループを選択します。
-
グループに対して共通のポリシーを選択します。
-
選択内容を確認します。
- 結果を表示します。
- 「認証 > グループ」に移動し、最近インポートしたグループを確認します。
プライマリ認証方法の設定
Active Directory サーバーに対して最初にクエリするには、プライマリ認証方法として設定します。ユーザーが最初にファイアウォールにサインインしたときに、指定されたデフォルトグループのメンバーとして自動的に追加されます。
- 「認証 > サービス」に移動します。
- 「ファイアウォール認証手段」の認証サーバーリストから、「My_AD_Server」を選択します。
-
サーバーを、選択されたサーバーリストの一番上に移動します。
-
「適用」をクリックします。
「認証 > グループ」に移動し、インポートしたグループを確認します。