コンテンツにスキップ

認証のトラブルシューティング

一般的な認証の問題を調査して解決する方法。

使用する認証方法については、トラブルシューティングのトピックを参照してください。認証のトラブルシューティングを行うには、通常、Sophos Firewall、認証サーバー、認証エラーが発生したクライアントデバイスへのアクセスが必要です。

シンクライアント (SATC) ユーザーはサインインできません

Citrix などのターミナルサーバーのユーザーは、シンクライアント (SATC) を使用してサインインする必要があります。 認証に失敗した場合は、次の手順に従って問題をトラブルシューティングします。

状況

ターミナルサーバユーザーは認証できません。

原因

ユーザーを認証できない理由はいくつか考えられます。次の手順に従って、システムが正しく設定されていることを確認し、見つかった問題を修正します。

修正

  1. Sophos Firewall のコマンドラインインターフェースにサインインします。
  2. 次のオプションを選択します「4.デバイスコンソール」。
  3. 次のコマンドを入力します。

    system auth thin-client show

    これにより、ターミナルサーバーの IP アドレスが一覧表示されます。予想されるすべての IP アドレスが表示されていることを確認します。

  4. 上記の手順でターミナルサーバーが表示されていない場合は、次のコマンドを使用して追加します。

    system auth thin-client add citrix-ip IPADDRESS

    ipaddress をサーバーの IP アドレスに置き換えます。

  5. SATC を実行しているすべてのターミナルサーバーで SATC を開き、「Sophos Settings」タブに移動して、「Sophos IP Address」で、Sophos Firewall の IP アドレスが正しく設定されているかどうかを確認します。また、Windows タスクマネージャでサービスが実行されていることを確認します。

  6. Sophos Firewall で、「認証サーバーの設定」を確認します。「認証 > サービス」の順に選択して、Active Directory サーバーが「ファイアウォール認証手段」のセクションで選択されていることを確認します。
  7. サーバーに、送信元ポートを変更する可能性のあるプロキシソフトウェアまたはセキュリティソフトウェアがインストールされているかどうかを確認します。インストールされている場合、Sophos Firewall でポートの不一致が発生し、トラフィックが未認証として扱われます。
  8. Internet Explorer を使用している場合は、ユーザーアカウント制御 (UAC) を最小化または無効化するために、次の操作を行います。

    ユーザーアカウント制御は、管理者が管理タスクを実行するために、管理者以外のセッションで資格情報を入力できるようにするセキュリティコンポーネントです。

    1. Windows AD サーバにログインします。「スタート」ボタンをクリックし、「コントロールパネル」をクリックします。
    2. コントロールパネル」で、「ユーザーアカウント」をクリックします。
    3. ユーザーアカウント」ウィンドウで、「ユーザーアカウント」をクリックします。
    4. ユーザーアカウント」タスクウィンドウで、「ユーザーアカウント制御のオン/オフ」をクリックします。
    5. ユーザーアカウント制御 (UAC)」を無効にしてコンピュータを保護し、「OK」をクリックします。
    6. 今すぐ再起動」をクリックして、すぐに変更を適用します。UAC が現在管理者承認モードで設定されている場合は、ユーザーアカウント制御メッセージが表示されます。「続行」をクリックします。

    UAC が有効になっている場合、SATC クライアントはトラフィックを Sophos Firewall に送信できません。SATC がポート 6060 を介してユーザ名を送信すると、ユーザはライブユーザリストに表示されません。これはシンクライアント、ユーザーが Internet Explorer を使用してインターネットにアクセスしたときに発生します。

    Sophos Firewall がユーザートラフィックを識別するには、SATC LSP が Winsock に登録される必要がありますが、UAC が有効になっている場合、 Internet Explorer は LSP 登録をバイパスします。

    Firefox Web ブラウザの UAC には問題はありません。

  9. Internet Explorer を使用している場合は、次の操作を実行して拡張保護モードを無効にします。

    1. Windows の「スタート」メニューから 「ファイル名を指定して実行」を起動します。
    2. ファイル名を指定して実行」ウィンドウで inetcpl.cpl と入力し、「OK」をクリックします。
    3. インターネットのプロパティ」ウィンドウで、「詳細設定」タブをクリックします。
    4. セキュリティ」まで下にスクロールし、「拡張保護モードを有効にする」をオフにします。
    5. 適用」をクリックして、「OK」をクリックします。
  10. Google Chrome を使用している場合は、次の操作を実行して、「ネットワークサービスの実行中」設定を更新します。

    1. chrome://flags に移動します。
    2. 検索対象」は、処理中のネットワークサービスを実行します。
    3. 設定を「有効」に切り替えます。

    ユーザーは、期待どおりに SATC を介して認証できます。*

NTLM および Kerberos のトラブルシューティング

Kerberos と NTLM の一般的な問題のトラブルシューティングを行います。

状況

Kerberos と NTLM が設定されている場合、クライアントデバイスは認証に失敗します。

原因

認証失敗の一般的な問題は次のとおりです。設定エラー、ドメイン参加エラー。Kerberos の場合、鍵のバージョン番号 (KVNO) がエンドポイントと Sophos Firewall で一致していないという問題もあります。

修正

  1. 認証> サーバー」に移動します。
  2. AD サーバーをクリックし、「接続のテスト」をクリックします。

    接続に失敗した場合は、 AD 接続の問題を解決する必要があります。接続に成功した場合は、次の手順を続行します。

  3. ルールとポリシー > ファイアウォールルール」で、影響を受けるクライアントに対して Kerberos および NTLM トラフィックを許可するファイアウォールルールが設定されていることを確認します。

  4. 管理 > デバイスのアクセス」に移動し、クライアントが認証を行うゾーンで「AD SSO」が設定されていることを確認します。これは通常、 LAN ゾーンです。
  5. Sophos Firewall を明示的プロキシとして設定した場合は、ブラウザの設定でホスト名が使用されていることを確認します。IP アドレスを使用した場合、クライアントは NTLM 認証のみを許可します。
  6. Sophos Firewall のコマンドラインインターフェースにサインインします。
  7. 次のオプションを選択します「5.デバイス管理」。続いて次のオプションを選択します。「3.Advanced Shell」。
  8. 次のコマンドを使用して、nasm サービスが実行されていることを確認します。service -S | grep -i "nasm"
  9. クライアントと Sophos Firewall でプロキシ名が一致しない場合は、Sophos Firewall に対する AD 上のホストレコードが、以下で設定されているホスト名と一致することを確認します: 管理 > 管理の設定 > ホスト名
  10. KVNO が一致しない場合、ユーザーはサインアウトして再度サインインするか、Sophos Firewall のドメインへの参加をやり直す必要があります。この問題は通常、Sophos Firewall のホスト名が変更されたときに発生します。
リダイレクト URL が原因で、エンドポイントコンピュータを NTLM で認証できない

状況

透過モードの HTTP プロキシで、Active Directory SSO を使って NTLM 認証を試行すると、認証エラーになります。ブラウザに認証情報を求めるポップアップが表示されるか、またはキャプティブポータルに誘導されます。

原因

ブラウザは、ログイン認証情報 (シングルサインオン) を要求しているサイトがローカルであることが確実な場合にのみ、自動的にログイン情報を送信します。そのため、要求元のサイトがドメインを含まないホスト名であるか (myfirewall など)、または、ブラウザが要求元のサイトを信頼するように設定する必要があります。

Sophos Firewall のデフォルトの設定では、プロキシは IP を含む URL にリダイレクトされます。ドメインを含まないホスト名か、または FQDN を使用するように変更してください。

修正

  1. Sophos Firewall でホスト名を設定します。「管理 > 管理の設定 > ホスト名」に移動します。
    1. ホスト名」を入力します。組織ドメインに一致する完全修飾ドメイン名 (FQDN) を使用してください。たとえば、myfirewall.mycompany.com と入力します。
  2. ブラウザが信頼する証明書を選択します。

    Sophos Firewall にインストールされている自己署名証明書は、信頼された証明機関から発行されたものではなく、ここで設定したホスト名 (FQDN) には対応していません。証明書に関する警告メッセージが表示されないようにするには、トラフィックがリダイレクトされるホスト名 (FQDN) に対応させる必要があります。

    1. Sophos Firewall のホスト名に対応する新しい証明書をインストールする場合は、「証明書」メニューからインストールできます。詳しくは、HTTPS インスペクション用の下位 CA をインストールするを参照してください。
    2. 管理コンソールとエンドユーザー間の操作 > 証明書」で、ドロップダウンメニューから証明書を選択します。

      公共の証明機関 (CA) から購入した証明書を使用できます。この場合、すべてのクライアントから自動的に信頼されます。または、エンドポイントコンピュータが信頼するように設定済みの内部の証明機関 (CA) からの自己署名証明書を使用することもできます。

  3. プロキシのリダイレクト URL を設定します。

    1. 設定済みの FQDN を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「ファイアウォールに設定されたホスト名を使用する」を選択します。
    2. 別の FQDN か、またはドメインを含まないホスト名を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「別のホスト名を使用する」を選択して、ホスト名を入力します。

      選択した方法で、エンドポイントコンピュータが Sophos Firewall を解決できることを確認してください。DNS サーバーにエントリを追加する必要がある場合があります。

  4. ドメインを含まないホスト名を使用してリダイレクトしている場合、ブラウザには要求元がローカルであることが表示され、自動的に信頼されて SSO が実行されます。

  5. FQDN を使用してリダイレクトする場合は、AD グループポリシーを使って Sophos Firewall の FQDN を信頼するようにブラウザを設定してください。または、FQDN を手動でブラウザに追加するには、以下の手順に従います。

    Microsoft Edge、Google Chrome

    1. Windows のコントロールパネルを開きます。
    2. インターネットオプション > セキュリティ > ローカルインターネット」に移動します。
    3. サイト」、「詳細設定」の順にクリックします。
    4. この Web サイトをゾーンに追加する」フィールドに FQDN を入力し、「追加」をクリックします。

    Firefox

    1. Firefox のアドレスバーに about:config と入力して、「Enter」を押します。
    2. network.automatic-ntlm-auth.trusted-uris 」に FQDN を入力します。
リダイレクト URL が原因で、エンドポイントコンピュータを Kerberos で認証できない

状況

透過モードの HTTP プロキシで、Active Directory SSO を使って Kerberos 認証を試行すると、認証エラーになります。この場合、認証に NTLM またはキャプティブポータルが使用されます。

原因

ブラウザは、認証情報の要求元サイトが Kerberos ドメインの一部であることが確実な場合にのみ、Kerberos ログイン (シングルサインオン) を自動的に実行します。要求元サイト (この場合は Sophos Firewall) は、Active Directory (AD) サーバー上のファイアウォールのサービスプリンシパル名 (SPN) と一致するホスト名または FQDN をリダイレクト先として使用する必要があります。

修正

  1. Sophos Firewall でホスト名を設定します。「管理 > 管理の設定 > ホスト名」に移動します。

    ホスト名を入力します。会社のドメインに一致する完全修飾ドメイン名 (FQDN) を使用してください。たとえば、myfirewall.mycompany.com と入力します。

    Sophos Firewall が AD ドメインに参加すると、AD コンピュータ名が割り当てられ、2つの SPN エントリが自動的に作成されます。

    • 1つは、ドメインを含まないホスト名です。これは、「管理の設定 > ホスト名」 フィールドで設定した FQDN の最初の部分です。
    • もう 1つは、このホスト名の末尾に AD ドメインを付与したものです。たとえば、Sophos Firewall の「ホスト名」フィールドに myfirewall.mycompany.com と設定し、ADドメイン mycompany.local に参加している場合は、myfirewall と myfirewall.mycompany.local という 2つの SPN が作成されます。

    警告

    通常、DNS と Active Directory で使用するドメイン名は同じです。つまり、DNS FQDN とActive Directory のコンピュータ名は同じです。自動的に作成された SPN は、「管理の設定 > ホスト名」フィールドと一致します。DNS と Active Directory で異なるドメイン名 (mycompany.com と mycompany.local など) を使用しており、DNS 名をリダイレクトに使用したい場合は、AD ドメインコントローラで SPN を手動で作成する必要があります。

  2. プロキシのリダイレクト URL を設定します。設定済みの FQDN か、別の FQDN (AD コンピュータ名など) か、またはドメイン名を含まないホスト名を設定します。どれを使用する場合でも、必ず SPN と一致させてください。

    1. 設定済みの FQDN を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「ファイアウォールに設定されたホスト名を使用する」を選択します。
    2. 別の FQDN か、またはドメインを含まないホスト名を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「別のホスト名を使用する」を選択して、ホスト名を入力します。

      選択した方法で、エンドポイントコンピュータが Sophos Firewall を解決できることを確認してください。DNS サーバーにエントリを追加する必要がある場合があります。

      AD SSO にリダイレクトされると、SPN と照合されます。信頼できない場合、Kerberos 認証が実行されません。

      • ドメインを含まないホスト名の場合は、そのホスト名に対して自動作成された SPN と一致する必要があります。
      • AD FQDN の場合、AD コンピュータ名の FQDN に対して自動作成された SPN と一致する必要があります。
      • DNS FQDN の場合、手動で作成した DNS SPN と一致する必要があります。