Synchronized User ID 認証
Synchronized User ID 認証では、セキュリティハートビートを使用して、エンドポイントユーザーの認証を行います。
Synchronized User ID は、Sophos Firewall で認証サーバーとして設定された Active Directory (AD) でのみ機能します。現時点では、Windows 7 および Windows 10 に対応しています。サーバーやクライアントにエージェントは不要です。また、パスワード情報も共有・使用しません。Synchronized User ID は他のディレクトリサービスでは機能せず、ローカルユーザーを認識しません。ユーザーがサインインしたエンドポイントデバイスから、セキュリティハートビート経由で Synchronized User ID (ドメインユーザーアカウント情報) が Sophos Firewall に共有されます。Sophos Firewall はそれを受け、設定済みの AD サーバーでユーザーアカウントを照合し、ユーザーを有効にします。
Sophos Endpoint Protection は、Windows サインイン情報を Sophos Firewall に渡します。Sophos Firewall は、この情報を使って、AD で認証を実行します。この認証に基づき、ファイアウォールのユーザーベースのポリシーが適用され、全般的なユーザー認証が行われます。
Sophos Firewall の Synchronized User ID 認証処理の流れは以下のとおりです。
- ユーザーが、ドメインのアカウント情報、ユーザー名、パスワード、ドメイン名を使用して、Windows にサインインします。
- Sophos Firewall のハートビートデーモンは、クライアントのハートビートステータスを、ドメイン名、ユーザー名とともに受信します。ドメイン名は、ユーザーの AD レコードの「ユーザープリンシパル名」(UPN) から、ユーザー名は、「sAMAccountName」から取得されます。
- 次に、Sophos Firewall は、ドメインに基づいてこのサインインリクエストに対応する AD サーバーをチェックし、Sophos Firewall ユーザーデータベースで正しいユーザー名を検索します。
- Sophos Firewall はハートビート経由で、ユーザーのサインインリクエストを Active Directory サーバーに転送します。
- サインインしたユーザーは、ライブユーザーページに表示されます。
エンドポイントのハートビートが途切れたり、欠落している場合、ハートビートデーモンは、その Synchronized User ID を持つユーザーをサインアウトします。ただし、他のエンドポイント認証メカニズムが適用される場合があります。
Synchronized User ID 認証が正しく動作するには、以下の条件を満たす必要があります。
- Sophos Central アカウントを、Sophos Firewall にリンクする。
- Sophos Firewall をドメインコントローラに接続して、AD 認証を行えるようにする。
- Sophos Central アカウントのユーザープロファイルに一致させる。たとえば、Sophos Firewall および AD で使用されているメールアドレスを、Sophos Central Admin のユーザープロファイルに含める必要があります。
- Sophos Central アカウントと、Sophos Firewall のローカルユーザーのメールアドレスを一致させる。
- AD の UPN のドメイン部分が、Sophos Firewall で AD サーバー用に設定したドメインと正確に一致する。
Synchronized User ID 認証は、デフォルトでオンになっています。オフに切り替えるには、以下の方法に従います。
- Advanced Shell にアクセスします。
- 以下のコマンドを入力して、オフにします:
touch /content/no_userid
- 以下のコマンドを使用して、access_server サービスを再起動します:
service access_server:restart -ds nosync
ヒント
以下のコマンドを使って、Synchronized User ID 認証を一時的にオフにすることができます: touch /tmp/no_userid
このコマンドは、デバイスを再起動するまでの間、有効です。
Synchronized User ID 認証を再びオンにするには、以下の手順に従います。
- Advanced Shell にアクセスします。
- 以下のコマンドを入力して、オンにします:
rm /content/no_userid
- 以下のコマンドを使用して、access_server サービスを再起動します:
service access_server:restart -ds nosync
注
HA クラスタを設定した場合は、両方のデバイスで Synchronized User ID 認証のオン/オフを揃える必要があります。