コンテンツにスキップ

Sophos Connect プロビジョニングファイル

Sophos Connect プロビジョニングファイルを使用して、Sophos Firewall への IPsec および SSL VPN 接続のプロビジョニングを行えます。

IPsec リモートアクセスを設定した場合、プロビジョニングファイルによって、Sophos Connect クライアントの全ユーザーに設定ファイル .scx が自動的にインポートされます。設定ファイル .ovpn は、SSL VPN リモートアクセスポリシーに割り当てられたユーザーに対してのみ、インポートされます。

後で設定に変更を加えた場合は、その変更点も自動的にインポートされます。ユーザーは、ユーザーポータルから設定ファイルをダウンロードする必要はありません。

プロビジョニングファイルを使用するメリットは以下のとおりです。

  • IPsec リモートアクセスの設定ファイル (.scx) および SSL VPN リモートアクセスの設定ファイル (.ovpn) が、ユーザーのエンドポイント上の Sophos Connect クライアントに自動的にインポートされます。管理者がユーザーに .scx ファイルを共有したり、ユーザーがユーザーポータルにサインインして .ovpn ファイルをダウンロードしたりする必要はありません。
  • 後で設定に変更を加えた場合は、その変更点も自動的にインポートされます。
  • 複数のゲートウェイを設定し、優先順位を指定できます。

リモートアクセス IPsec VPN でプロビジョニングファイルを使用できます。ただし、ユーザーが Sophos Connect クライアント 2.1 以降をインストールする必要があります。

プロビジョニングファイルの使用方法

プロビジョニングファイルを作成して送信するには、以下の手順に従います。

  1. このヘルプページのプロビジョニングファイルの設定セクションから、必要な設定項目をメモ帳などのテキストエディタにコピーします。プロビジョニングファイルは、ユーザーポータルからダウンロードすることはできません。
  2. ネットワークの要件に応じて、設定を編集します。ゲートウェイのアドレスは必ず指定してください。その他のフィールドは、必要に応じて指定します。
  3. .txt ファイルの拡張子を .pro に変更して、保存します。
  4. プロビジョニングファイルをユーザーにメールで送信するか、Active Directory グループポリシーオブジェクト (GPO) を使ってユーザーに共有します。
  5. Sophos Firewall で IPsec リモートアクセスの設定または SSL VPN ポリシーを指定しているかどうかによって、以下の設定ファイルが自動的にインポートされます。
    • IPsec リモートアクセスの設定: すべてのユーザーに .scx ファイルがインポートされます。
    • SSL VPN リモートアクセスポリシー: リモートアクセスポリシーで指定したユーザーに対してのみ、.ovpn ファイルがインポートされます。
    • IPsec リモートアクセスおよび SSL VPNリモートアクセスポリシー: SSL VPN リモートアクセスポリシーに加え、IPsec リモートアクセスの設定も指定した場合は、SSL VPN リモートアクセスポリシーで指定したユーザーに対して、.scx.ovpn がインポートされます。
  6. 設定ファイルのインポート時にユーザーに証明書エラー (allow unsigned certificate) が表示されないようにするには、新しいアプライアンス証明書を作成します。Sophos Firewall の Web 管理コンソールの新しい証明書を使用してください。そのためには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作 > 証明書」に移動します。その後、デフォルトの CA をユーザーにプッシュします。そのためには、Active Directory GPO を使うと便利です。

ユーザーは、次の手順に従う必要があります。

  1. .pro ファイルをダブルクリックします。これにより、リモートアクセス IPsec および SSL VPN の設定ファイルがエンドポイント上の Sophos Connect クライアントにインポートされます。
  2. 接続を有効にし、Sophos Connect クライアントのプロンプトに従って、IPSec および SSL VPN の設定ファイルを自動的にダウンロードします。プロビジョニングファイルを使用すると、クライアントはユーザーの認証情報および多要素認証 (設定した場合) を使って、ユーザーポータルから .scx および .ovpn を自動的にダウンロードできます。

プロビジョニングファイルの設定

名前 説明
gateway プロビジョニングを実行する Sophos Firewall の FQDN または IPv4 アドレス。
gateway_order 複数のゲートウェイが設定されている場合に、トラフィックの分散方法を指定します。

指定可能な値: distributedlatencyin_order。それぞれ、Sophos Firewall が以下のように動作します。
  • distributed: 接続の試行に対し、ゲートウェイをランダムに選択します。
  • latency: TCP 接続リクエストへの応答が速いゲートウェイを選択します。
  • in_order: リスト内の一番上のゲートウェイに対して、最初に接続を試行します。接続できない場合は、次のゲートウェイに対して接続を試行します。
user_portal_port プロビジョニング接続が行われるユーザポータルポート。

デフォルトポート: 443.Sophos Firewall のユーザポータルのポートを変更した場合は、プロビジョニングファイルでも変更する必要があります。
auto_connect_host Sophos Connect クライアントがすでに社内ネットワーク上にあるかどうかを判断するために使用するターゲットホスト。値が指定されている場合、Sophos Connect クライアントは、ネットワークインターフェースの IP アドレスが取得または変更されるたびに、そのホストに到達可能かどうかをチェックします。ホストに到達できない場合、自動的に接続が有効にされ、VPN トンネルが確立されます (認証情報が保存されている場合)。

デフォルト: 空の文字列 "" (自動接続が無効)

自動接続を有効にするには、リモート LAN ネットワーク上に存在する IP アドレスまたはホスト名を設定します。
otp 接続時に認証にワンタイムパスワードが必要かどうかを指定します。

ワンタイムパスワードを義務付けた場合は、Sophos Connect クライアントに OTP コード入力用の 3つ目のボックスが表示されます。

指定可能な値: 「true」または「false」。

デフォルト値: false。
2fa 使用する 2要素認証の方法を指定します。

指定可能な値: 01、または 2

変更前 (デフォルトの値): 1.
  • 0: 2要素認証を使用しません。
  • 1: 2要素認証に Sophos Firewall を使用します。OTP トークンは、パスワードの末尾に追加されます。Sophos Authenticator または Google Authenticator を使用できます。
  • 2: 外部の OTP サーバーを使用します。パスワードと OTP トークンはカンマで区切られます。Duo などの認証アプリケーションで使用できます。

すべてのユーザーの 2要素認証に Duo のプッシュのみを使用する場合は、OTP をオンにする必要はありません。また、2FA を 0 に設定します。この場合、認証処理はすべて Duo が行います。2FA の混合モード (DUO プッシュ、DUO OTP、DUO SMS) を使用する場合は、OTP をオンにしてください。認証ページの 3つ目の入力ボックスに、ユーザーが実行する操作 (pushphonesms) または Duo トークンを入力する必要があります。
can_save_credentials ユーザーが接続用のユーザー名とパスワードを保存できるようにします。true と入力すると、ユーザー認証ページにチェックボックスが表示されます。このチェックボックスはデフォルトでオンになっていますが、ユーザーは認証情報を保存しないことを決定できます。

指定可能な値: 「true」または「false」。

デフォルト値: true。
check_remote_availability 接続の起動時にリモートの可用性チェックを実行して、応答しないクライアントを排除します。

指定可能な値: 「true」または「false」。

デフォルト値: false。
run_logon_script VPN トンネルが確立された後、ドメインコントローラによって提供されるログオンスクリプトを実行します。

指定可能な値: 「true」または「false」。

デフォルト値: false。

プロビジョニングファイルのテンプレート

社内組織用のプロビジョニングファイルを作成するために、以下のプロビジョニングファイルのテンプレートを使用できます。テンプレートの設定は変更できます。

このスクリプトをコピーしてメモ帳などのテキストエディタに貼り付け、必要に応じて設定を編集し、.pro という拡張子で保存してください。

単一の接続
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "user_portal_port": 443,
        "otp": false,
        "auto_connect_host": "<内部ホストの名前または IP アドレスを入力します>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]
複数の接続
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "user_portal_port": 443,
        "otp": false,
        "auto_connect_host": "<内部ホストの名前または IP アドレスを入力します>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    },
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "otp": false,
        "auto_connect_host": "<内部ホストの名前または IP アドレスを入力します>",
        "check_remote_availability": false,
        "run_logon_script": false
    },
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "user_portal_port": 9443,
        "can_save": false
    }
]

フィールドを指定しない場合は、デフォルト値が使用されます。上記の例では、2番目の接続はユーザーポータルのポートに 443 を使用します。また、ユーザーは認証情報を保存できます。

複数の接続を追加する場合は、カンマで区切る必要があります。

1つの接続に複数のゲートウェイを追加できます。

複数のゲートウェイ
[
    {
    "display_name": "XG_SSL-VPN",
    "gateway_order": "in_order",
    "gateway": [ "xg1.some.company.com", "xg2.some.other.com", "xg3.yet.another.com" ],
    "user_portal_port": 433,
    "otp": false,
    "auto_connect_host": "inside.ad.local",
    "can_save_credentials": true,
    "check_remote_availability": true,
    "run_logon_script": true
    }
]
Sophos Firewall の 2要素認証と OTP
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "user_portal_port": 443,
        "otp": true,
        "2fa": 1,
        "auto_connect_host": "<内部ホストの名前または IP アドレスを入力します>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]
DUO の 2要素認証で PUSH のみを使用
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "user_portal_port": 443,
        "otp": false,
        "2fa": 0,
        "auto_connect_host": "<内部ホストの名前または IP アドレスを入力します>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]
DUO の 2要素認証で、PUSH、SMS、PHONE、DUO トークンなどの複数の設定を使用
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレスを入力します>",
        "user_portal_port": 443,
        "otp": true,
        "2fa": 2,
        "auto_connect_host": "<内部ホストの名前または IP アドレスを入力します>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]

その他のリソース