Kerberos 認証をオンにする
Sophos Firewall で Kerberos 認証をオンにします。
目的
このセクションでは、以下について学びます。
- Sophos Firewall のホスト名を指定します。
- Active Directory サーバーを設定します。
- Active Directory サーバーが認証のプライマリサービスであることを確認します。
- Kerberos 認証を必要とするゾーンの AD SSO をオンにします。
- Web 認証の Kerberos 認証を有効にします。
ホスト名の設定
Kerberos などのサービスが正しく動作するには、完全修飾ホスト名が必要です。
- 「管理 > 管理の設定」に移動します
-
「ホスト名」に FQDN を入力します。例:
SFOS.customer.local
注
Sophos Firewall の初期設定時に特定の FQDN ホスト名を設定しなかった場合、デフォルトでシリアル番号がホスト名として使用されます。
-
「適用」をクリックします。
Active Directory サーバーの追加
まず、Active Directory サーバーを追加して、検索クエリを指定します。
このタスクを完了するためには、以下の情報が必要です。
- ドメイン名
- NetBIOS ドメイン
- Active Directory サーバーのパスワード
Active Directory サーバーのプロパティを確認します。たとえば、Microsoft Windows では、Windows 管理ツールに移動します。
検索クエリはドメイン名 (DN) に基づきます。この例では、ドメイン名は sophos.com
なので、検索クエリは次の通りです。dc=sophos,dc=com
- 「認証 > サーバー」の順に選択し、「追加」を選択します。
-
設定を指定します。
注
ここに記載されていない設定項目は、デフォルトの値を使用してください。
Active Directory サーバーで設定したパスワードを使用してください。
オプション 値 サーバーの種類 Active Directory サーバー名 My_AD_Server サーバー IP/ドメイン 192.168.1.100 NetBIOS ドメイン sophos ADS ユーザー名 administrator パスワード \ ドメイン名 sophos.com 検索クエリ dc=sophos,dc=com -
「接続のテスト」をクリックし、ユーザー認証情報を検証し、サーバーへの接続を確認します。
注
同期されたユーザー ID と STA の両方が設定されている場合、認証サーバは、最初にサインイン要求を受信するメカニズムを使用します。
-
「保存」をクリックします。
プライマリ認証方法の設定
Active Directory サーバーに対して最初にクエリするには、プライマリ認証方法として設定します。ユーザーが最初にファイアウォールにサインインしたときに、指定されたデフォルトグループのメンバーとして自動的に追加されます。
- 「認証 > サービス」に移動します。
- 「ファイアウォール認証手段」の認証サーバーリストから、「My_AD_Server」を選択します。
-
サーバーを、選択されたサーバーリストの一番上に移動します。
-
「適用」をクリックします。
「認証 > グループ」に移動し、インポートしたグループを確認します。
LAN ゾーンの AD SSO をオンにします
必要なゾーンの Active Directory 認証をオンにします。
Kerberos または NTLM を使用するには、 Active Directory 認証が必要です。
- 「管理 > デバイスのアクセス」の順に選択します。
- チェックボックスを使用して、LAN ゾーンの AD SSO をオンにします。必要に応じて、他のゾーンの AD SSO をオンにすることもできます。
- 「適用」をクリックします。
Web 認証の Kerberos 認証をオンにします
Kerberos を使用したブラウザ認証を許可します。
- 「認証 > Web 認証」に移動します。
- Kerberos & NTLMでが選択されていることを確認Active Directory (AD) SSO が設定されている場合します。
- 「適用」をクリックします。
Kerberos 接続を確認します
ログビューアを使用して、 Kerberos が動作していることを確認します。
Kerberos を設定したら、 Web 要求が正しく認証されていることを確認できます。
- ログビューアを開きます。
- ドロップダウンメニューを使用して、「認証」ログを選択します。
- ブラウザで Web ページを開きます。
- 「ログのコンポーネント」列を参照し、Web 要求の認証プロトコルとして Kerberos が使用されていることを確認します。
その他のリソース