認証方法
Sophos Firewall で使用可能な認証方法の詳細を示します。
Sophos Firewall は、NTLM および Kerberos の両方の認証方法をサポートしています。主な違いは、 2 つのプロトコルがクライアント認証をどのように処理するかです。
NTLM では、認証情報がクライアントから Sophos Firewall 経由で AD サーバーに送信されます。この認証プロセスでは、 3 つのメッセージを交換する必要があります。
Kerberos では、クライアントは Sophos Firewall にチケットを送信します。この場合、AD サーバーとの通信は行われません。この認証プロセスでは、 1 つのメッセージだけを交換する必要があります。
そのため、 Kerberos は高速で、使用するリソースも少なくなります。ただし、これは負荷の高い環境でのみ確認できます。
Sophos Firewall では、クライアントに NTLM のみを提供するか、または Kerberos と NTLM の両方を提供するように設定できます。Kerberos のみを提供することは HTTP の仕様でサポートされていないため、Sophos Firewall をそのように設定することはできません。クライアントは、 Kerberos と NTLM のどちらを使用するかを決定します。Kerberos をサポートしているクライアントは、 NTLM で使用することを好みますが、 AD サーバから通知されたシステムに接続している場合に限り、クライアントは Kerberos を使用します。
注
NTLM または Kerberos を使用している場合、認証のためのトラフィックはポート 8091 にリダイレクトされます。
NTLM
NTLM は、 3 つのメッセージを使用してクライアントを認証するチャレンジ / レスポンス認証プロトコルです。
- クライアントはサーバーへのネットワークパスを確立し、NEGOTIATE_MESSAGE を送信して対応機能を告知します。
- サーバーは、クライアントを識別するために CHALLENGE_MESSAGE で応答します。
- クライアントはそのチャレンジを受け、AUTHENTICATE_MESSAGE で応答します。
Kerberos
Windows 2000 以降のバージョンでは、デフォルトの認証方式として Kerberos が使用されます。Kerberos は対称キー暗号化に基づいて構築されており、信頼できるサードパーティが必要です。オプションで、認証の特定のフェーズで公開キー暗号化を使用できます。
Kerberos は、キー配布センターと呼ばれるチケット認可サービスを使用して双方向ハンドシェイクを使用します。認証のステップは以下のとおりです。
- クライアントは認証サーバー (AS) に対して自身を認証します。認証サーバーはこれを受け、鍵配布センター (KDC) にユーザー名を転送します。
- KDC は TGT (チケット認可チケット) を発行し、タイムスタンプを追加し、TGS (チケット認可サービス) 秘密キーを使用して暗号化し、暗号化された結果をユーザーのワークステーションに返します。これはまれに行われますが、通常はユーザーのサインイン時に行われます。
TGT は、ユーザーのセッションマネージャがサインインしている間に透過的に更新される場合がありますが、一定の時点で期限切れになります。
Kerberos には厳密な時間要件があります。つまり、関連するホストのクロックは、設定された制限内で同期する必要があります。チケットには有効期限があり、ホストのクロックが Kerberos サーバーのクロックと同期していない場合、認証は失敗します。デフォルトの設定では、クロック時間は 5 分以内にする必要があります。
その他のリソース