コンテンツにスキップ

Synchronized User ID 認証

Synchronized User ID 認証では、セキュリティハートビートを使用して、エンドポイントユーザーの認証を行います。

Synchronized User ID は、Sophos Firewall で認証サーバーとして設定された Active Directory (AD) でのみ機能します。現時点では、Windows 7 および Windows 10 に対応しています。サーバーやクライアントにエージェントは不要です。また、パスワード情報も共有・使用しません。Synchronized User ID は他のディレクトリサービスでは機能せず、ローカルユーザーを認識しません。ユーザーがサインインしたエンドポイントデバイスから、セキュリティハートビート経由で Synchronized User ID (ドメインユーザーアカウント情報) が Sophos Firewall に共有されます。Sophos Firewall はそれを受け、設定済みの AD サーバーでユーザーアカウントを照合し、ユーザーを有効にします。

Sophos Endpoint Protection は、Windows サインイン情報を Sophos Firewall に渡します。Sophos Firewall は、この情報を使って、AD で認証を実行します。この認証に基づき、ファイアウォールのユーザーベースのポリシーが適用され、全般的なユーザー認証が行われます。

Sophos Firewall の Synchronized User ID 認証処理の流れは以下のとおりです。

  1. ユーザーが、ドメインのアカウント情報、ユーザー名、パスワード、ドメイン名を使用して、Windows にサインインします。
  2. Sophos Firewall のハートビートデーモンは、クライアントのハートビートステータスを、ドメイン名、ユーザー名とともに受信します。ドメイン名は、ユーザーの AD レコードの「ユーザープリンシパル名」(UPN) から、ユーザー名は、「sAMAccountName」から取得されます。
  3. 次に、Sophos Firewall は、ドメインに基づいてこのサインインリクエストに対応する AD サーバーをチェックし、Sophos Firewall ユーザーデータベースで正しいユーザー名を検索します。
  4. Sophos Firewall はハートビート経由で、ユーザーのサインインリクエストを Active Directory サーバーに転送します。
  5. サインインしたユーザーは、ライブユーザーページに表示されます。

エンドポイントのハートビートが途切れたり、欠落している場合、ハートビートデーモンは、その Synchronized User ID を持つユーザーをサインアウトします。ただし、他のエンドポイント認証メカニズムが適用される場合があります。

Synchronized User ID 認証が正しく動作するには、以下の条件を満たす必要があります。

  • Sophos Central アカウントを、Sophos Firewall にリンクする。
  • Sophos Firewall をドメインコントローラに接続して、AD 認証を行えるようにする。
  • Sophos Central アカウントのユーザープロファイルに一致させる。たとえば、Sophos Firewall および AD で使用されているメールアドレスを、Sophos Central Admin のユーザープロファイルに含める必要があります。
  • Sophos Central アカウントと、Sophos Firewall のローカルユーザーのメールアドレスを一致させる。
  • AD の UPN のドメイン部分が、Sophos Firewall で AD サーバー用に設定したドメインと正確に一致する。

Synchronized User ID 認証は、デフォルトでオンになっています。オフに切り替えるには、以下の方法に従います。

  1. Advanced Shell にアクセスします。
  2. 以下のコマンドを入力して、オフにします: touch /content/no_userid
  3. 以下のコマンドを使用して、access_server サービスを再起動します: service access_server:restart -ds nosync

ヒント

以下のコマンドを使って、Synchronized User ID 認証を一時的にオフにすることができます: touch /tmp/no_useridこのコマンドは、デバイスを再起動するまでの間、有効です。

Synchronized User ID 認証を再びオンにするには、以下の手順に従います。

  1. Advanced Shell にアクセスします。
  2. 以下のコマンドを入力して、オンにします: rm /content/no_userid
  3. 以下のコマンドを使用して、access_server サービスを再起動します: service access_server:restart -ds nosync

HA クラスタを設定した場合は、両方のデバイスで Synchronized User ID 認証のオン/オフを揃える必要があります。