コンテンツにスキップ

マルチユーザーホストに、接続ごとの AD SSO 認証を設定する

ファイアウォールを直接プロキシとして使用するように設定されたマルチユーザーホストに対し、接続ごとの AD SSO 認証を使用することができます。

概要

ここでは、マルチユーザーホストに対して、認証を接続ごとに行うように設定する方法を説明します。マルチユーザーホストとは、複数のユーザーが同時にサインインできるエンドポイントやサーバーを指します。たとえば、複数のユーザーが利用する Linux サーバーや、Windows サーバーでリモートデスクトップサービスやダイレクトアクセスを実行する場合がこれにあたります。

接続ごとの認証をオンにすると、Web プロキシは NTLM または Kerberos 認証チャレンジを使用して、マルチユーザーホストからの個々の HTTP または HTTPS 接続を認証します。マルチユーザーホストからの他のすべてのネットワークトラフィックは、認証されていないものとして扱われます。既知のユーザー ID はありません。

制限

  • 接続ごとの認証は、直接プロキシモードを使用する接続にのみ適用されます。マルチユーザーホストのブラウザや他のクライアントが、ファイアウォールの Web プロキシリスニングポートを使用して接続するように設定する必要があります。デフォルトのポートは 3128 です。

  • 接続ごとの認証が設定されたマルチユーザーホストでは、接続ごとの認証しか使用できません。そのホストの IP アドレスから送信されるトラフィックに対し、他の認証方式はすべて無効になります。

  • Kerberos SSO を機能させるには、エンドポイントコンピュータのプロキシ設定で Sophos Firewall の FQDN を使用する必要があります。IP アドレスは使用できません。NTLMv2 モードはこの制限の影響を受けないため、エンドポイントコンピュータが正しく設定されていない場合や、ブラウザが Kerberos 認証をサポートしていない場合は、このモードが自動的に使用されます。

Sophos Authentication for Thin Client (SATC) でも、サーバーやリモートデスクトップを利用するユーザーを認証できます。SATC は、Sophos Central の Sophos Server Protection に含まれています。SATC では、直接プロキシを設定しなくても、エンドユーザーのデスクトップセッションからのすべての接続を認証できます。詳細は、Sophos Authentication for Thin Client を参照してください。

はじめに

ここでは、sophos.com ドメイン内にある My_Terminal_Server にサインインするユーザーに対して、接続ごとの AD SSO 認証をオンにする例を取り上げます。ネットワークスキーマは以下のとおりです。

接続ごとの認証を設定するネットワークスキーマ。

設定

マルチユーザーホストで接続ごとの認証を行うには、以下の手順に従います。

  1. 認証用の Active Directory (AD) サーバーを追加します。
  2. AD グループをインポートします。
  3. ファイアウォール認証手段を設定します。
  4. マルチユーザーホストの IP ホストを作成します。
  5. マルチユーザーホストの受信および送信トラフィックに対するファイアウォールルールを作成します。

Sophos Firewall にサインインしたユーザーは、AD との統合時に自動作成されたユーザーリストと照合されて、認証されます。ユーザーが認証されると、Sophos Firewall は AD と通信し、アクセス制御用の追加の認証データを取得します。

AD サーバーを追加するには、以下の手順に従います。

  1. 認証 > サーバー」の順に選択し、「追加」を選択します。
  2. サーバーの種類として「Active Directory」を選択します。
  3. サーバーの設定を指定します。

    ここに記載されていない設定項目は、デフォルトの値を使用してください。

    設定
    名前 My_AD_Server
    サーバー IP/ドメイン 192.168.1.100
    接続のセキュリティ SSL/TLS

    デフォルトのポートが使用されます。
    NetBIOS ドメイン ソフォスの
    ADS ユーザー名 administrator
    パスワード サーバーの管理ユーザーのパスワード。
    ドメイン名 sophos.com
    検索クエリ 追加」をクリックし、dc=Sophos, dc=com と入力します。

    次に例を示します。

    AD サーバーの設定例。

    ヒント

    検索クエリはドメイン名 (DN) に基づきます。この例では、ドメイン名は sophos.com なので、検索クエリは次の通りです。dc=sophos,dc=com

    AD の検索を参照してください。

    LDAP クエリの例を参照してください。

  4. 接続のテスト」をクリックし、ユーザー認証情報を検証し、サーバーへの接続を確認します。

  5. 保存」をクリックします。

ユーザーは、ファイアウォールに初めてサインインしたときに、デフォルトのグループのメンバーとして追加されます。ユーザーのグループが Sophos Firewall に存在する場合は、そのグループに追加されます。

AD グループをファイアウォールにインポートし、ポリシーを指定するには、以下の手順に従います。

  1. 認証 > サーバー > 管理」に移動し、My_AD_Server のインポート 「インポート」ボタン。 をクリックします。

    AD グループをインポートします。

  2. グループのインポートウィザードで、「開始」をクリックします。

  3. ベース DN」として dc=sophos,dc=com を選択します。

    グループのインポートウィザードでベース DN をインポートする。

  4. インポートする AD グループを選択します。この例では、Marketing と KBTeam の組織単位 (OU) を選択します。

    ヒント

    OU を選択すると、その OU 内のすべてのグループが選択されます。

    インポートする AD グループを選択する。

  5. グループに対して共通のポリシーを選択します。インポートするすべてのグループにポリシーを適用するには、「すべてのグループに適用」を選択します。

    グループに共通ポリシーを選択する。

  6. 選択内容を確認します。

  7. 結果を確認し、「閉じる」をクリックします。
  8. 認証 > グループ」に移動し、最近インポートしたグループを確認します。

プライマリ認証方法を設定する

複数の ADサーバーが設定されている場合は、Sophos Firewall の Web 管理コンソールで設定された順番でチェックされます。

AD サーバーをプライマリ認証方法として設定するには、以下の手順に従います。

  1. 認証 > サービス」に移動します。
  2. ファイアウォール認証手段」の認証サーバーリストから、「My_AD_Server」を選択します。
  3. サーバーを、選択されたサーバーリストの一番上に移動します。

    次に例を示します。

    認証サーバー。

  4. デフォルトのグループを選択します。ローカルグループに属していないユーザーは、このデフォルトのグループに追加されます。

  5. 適用」をクリックします。

IP ホストを作成する

マルチユーザーホスト用の IP ホストを作成する必要があります。そうすることによって、接続ごとの認証を設定する際、マルチユーザーホストを選択できるようになります。

マルチユーザーホスト用の IP ホストを作成するには、以下の手順に従います。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. 設定を指定します。

    設定
    名前 My_Terminal_Server
    IP バージョン IPv4
    種類 IP
    IP アドレス 192.168.1.101

    次に例を示します。

    IP ホストの設定の例。

  3. 保存」をクリックします。

ヒント

マルチユーザーホストが複数ある場合は、IP ホストグループを作成できます。詳細は、IP ホストグループの追加を参照してください。

マルチユーザーホストに対して、接続ごとの AD SSO 認証を有効にする

単一の IP アドレスからアクセスする複数のユーザーを AD SSO で認証するには、マルチユーザーホストの接続ごとの認証をオンにする必要があります。他のすべてのホストに対しては、引き続き IP ごとの認証が使用されます。

マルチユーザーホストの接続ごとの認証をオンにするには、以下の手順に従います。

  1. 認証 > Web 認証 > 直接 Web プロキシの認証設定」に移動します。
  2. マルチユーザーホストに、接続ごとの AD SSO 認証を使用する」を選択します。
  3. 新規項目の追加」をクリックして、「My_Terminal_Server」を選択します。
  4. 適用」をクリックします。

    次に例を示します。

    接続ごとの認証をオンにします。

マルチユーザーホストのトラフィックに対するファイアウォールルールを作成する

接続ごとの認証がオンになっているマルチユーザーホストには、専用のファイアウォールルールを作成して、「既知のユーザーを一致」をオフにする必要があります。

マルチユーザーホストの送信トラフィックに対するファイアウォールルールを作成するには、以下の手順に従います。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択して、「新しいファイアウォールルール」を選択します。
  3. ルールの詳細を以下のように入力します。

    設定
    ルール名: TS_Outbound
    ルールの位置 最上位
    アクション 許可
    ファイアウォールトラフィックのログ 選択すると、このルールに一致するすべてのトラフィックがログに記録されます。

    警告

    Sophos Firewall では、上から下に向かってルールを評価し、一致するものを見つけます。接続ごとの認証のルールは、「既知のユーザーを一致」がオンになっているマルチユーザーホストに影響する他のルール (たとえば、マルチユーザーホストが属するグループに影響するルールなど) よりも上に設定する必要があります。マルチユーザーホストに対して「既知のユーザーを一致」がオンになっている場合、ファイアウォールはログインしているユーザー (通常は管理者) に基づいてそのホストからのすべてのトラフィックを処理し、そのホストに対する他のルールを処理しません。

  4. 設定を指定します。

    設定
    送信元ゾーン LAN
    送信元ネットワークとデバイス My_Terminal_Server
    宛先ゾーン WAN
    宛先ネットワーク 任意
    サービス 許可するサービスを選択します。
    既知のユーザーを一致 オフにします。
  5. ご利用の環境に必要なその他の設定を入力します。詳細は、ファイアウォールルールを追加するを参照してください。

  6. 保存」をクリックします。

マルチユーザーホストの受信トラフィックに対するファイアウォールルールを作成するには、以下の手順に従います。

  1. IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択して、「新しいファイアウォールルール」を選択します。
  2. ルールの詳細を以下のように入力します。

    設定
    ルール名: TS_Inbound
    ルールの位置 最上位
    アクション 許可
    ファイアウォールトラフィックのログ 選択すると、このルールに一致するすべてのトラフィックがログに記録されます。

    警告

    Sophos Firewall では、上から下に向かってルールを評価し、一致するものを見つけます。接続ごとの認証のルールは、「既知のユーザーを一致」がオンになっているマルチユーザーホストに影響する他のルール (たとえば、マルチユーザーホストが属するグループに影響するルールなど) よりも上に設定する必要があります。マルチユーザーホストに対して「既知のユーザーを一致」がオンになっている場合、ファイアウォールはログインしているユーザー (通常は管理者) に基づいてそのホストからのすべてのトラフィックを処理し、そのホストに対する他のルールを処理しません。

  3. 設定を指定します。

    設定
    送信元ゾーン WAN
    送信元ネットワークとデバイス 任意
    宛先ゾーン LAN
    宛先ネットワーク My_Terminal_Server
    サービス 許可するサービスを選択します。
    既知のユーザーを一致 オフにします。
  4. ご利用の環境に必要なその他の設定を入力します。詳細は、ファイアウォールルールを追加するを参照してください。

  5. 保存」をクリックします。

詳細情報