コンテンツにスキップ

STAS による透過的認証を設定する

クライアントレス SSO 機能は、Sophos Transparent Authentication Suite (STAS) によって提供されます。STAS は、Active Directory サーバーが 1台ある環境に導入できます。

STAS は、「認証 > クライアントダウンロード」からダウンロードできます。STAS 2.5 以降は、Windows Server 2008R2、2012R2、2016、2019 をサポートしています。

STAS 2.5 以降は Windows Server 2022 で動作すると思われますが、まだテストされていません。

サポートされている導入方法:

  • ドメインコントローラ上の STAS
  • メンバーサーバー上の STAS 2.5 以降

目的

このセクションでは、以下について学びます。

  • STAS をインストールして、エージェントとコレクターを構成する。
  • STAS をファイアウォールに導入する。
  • ライブユーザーを確認する。

システムセキュリティの設定

監査ポリシーを設定し、ユーザー権利を割り当て、ファイアウォールの設定を変更します。

  1. Windows で、「スタート」ボタンをクリックし、「Windows 管理ツール > ローカルセキュリティポリシー」に移動します。
  2. ローカルポリシー > 監査ポリシー」に移動し、「アカウント サイン イベントの監査」を開きます。
  3. 成功」オプションと「失敗」オプションを選択し、「OK」をクリックします。

    Windows のローカルセキュリティ設定。

  4. ローカルポリシー > ユーザー権利の割り当て」に移動し、「サービスとしてログオン」を開きます。

  5. STAS をインストールして実行する管理ユーザーがリストに含まれていない場合は、「ユーザーまたはグループの追加」をクリックし、ユーザーを追加し、「OK」をクリックします。

    要件

    STAS をインストールして実行するユーザーには、次の権限が必要です。

    • Domain Users および Event Log Readers グループのメンバー。
    • STAS フォルダの読み取りおよび書き込み権限。デフォルトの場所は次のとおりです。C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite.
  6. ポートを開きます。

    Windows ファイアウォールとサードパーティのファイアウォールで、次のポート経由の通信が許可されるように設定します。

    • AD サーバー: 受信 UDP 6677、送信 UDP 6060、送信 TCP 135、445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、送信 ICMP (Logoff Detection Ping を使用する場合)、送受信 UDP 50001 (コレクターテスト)、送受信 TCP 27015 (構成の同期)。
    • ワークステーション: 受信 TCP 135 & 445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、受信 ICMP (Logoff Detection Ping を使用する場合)。

    ワークステーションで、RPC サービス、RPC ロケーターサービス、DCOM サービス、WMI サービスの WMI/Registry Read Access を有効にする必要があります。

STAS のインストール

STAS をダウンロードして、ドメインコントローラまたはメンバーサーバーにインストールします。

  1. ファイアウォールで、「認証 > クライアントダウンロード」に移動し、「Sophos Transparent Authentication Suite (STAS)」をダウンロードします。
  2. インストーラをドメインコントローラまたはメンバーサーバーに移します。
  3. インストーラを起動し、「次へ」をクリックします。

    STAS のセットアップアシスタント。

  4. セットアップウイザードに従って、インストール先やその他のオプションを指定します。その後、「インストール」をクリックします。

  5. SSO Suite」を選択し、「次へ」をクリックします。

    このマシンに Sophos SSO Suite の全コンポーネントをインストールします。

  6. 管理者の認証情報を入力し、「次へ」をクリックします。

  7. 完了」をクリックします。

STAS の構成

コレクターとエージェントを構成し、全般設定を指定します。

ここに記載されていない設定項目は、デフォルトの値を使用してください。

  1. サーバーで STAS を開始し、「全般」タブをクリックし、以下の設定を指定します。

    オプション
    NetBIOS 名 監視するドメインの NetBIOS 名
    完全修飾ドメイン名 監視するドメインの FQDN

    STAS では、NetBIOS 名を大文字で入力する必要があります。

  2. STA Agent」タブをクリックし、以下の設定を指定します。

    オプション
    ドメインコントローラ IP ドメインコントローラの IP アドレス。ドメインコントローラに STAS をインストールする場合は、空白のままにします。
    監視対象ネットワーク 監視対象のネットワーク。CIDR 記法を使用します。

    ドメインコントローラと監視対象のネットワークを指定します。

  3. STA Collector」タブをクリックし、以下の設定を指定します。

    オプション
    ソフォスのアプライアンス ネットワーク内の Sophos Firewall アプライアンスの IP アドレス
    ワークステーションポーリング設定 WMI」(デフォルト) または「Registry Read Access」を選択します

    IP アドレスと WMI を指定します。

  4. 適用」をクリックします。

  5. 開始」をクリックして、STAS サービスを開始します。

ファイアウォールへの STAS の導入

STAS をファイアウォール上でアクティベートし、新規コレクターを追加します。その後、サーバーで STAS を開き、ファイアウォールの IP アドレスが表示されていることを確認します。最後に、ユーザー ID に基づいてトラフィックを制御するためのファイアウォールルールを作成します。

STAS を導入する前に、「認証 > サービス」に移動し、AD サーバーをプライマリ認証方法として選択してください。

AD サーバーをプライマリ認証サーバーにします。

  1. ファイアウォールで、「認証 > STAS」に移動します。
  2. Sophos Transparent Authentication Suite (STAS) を有効にする」をオンにして、「STAS をアクティベートする」をクリックします。

    STAS をオン。

  3. 新しいコレクターの追加」をクリックして、以下の設定を指定します。

    オプション
    コレクター IP コレクターの IP アドレス
  4. 保存」をクリックします。ファイアウォールが、サーバー上の STAS に UDP 6060 経由で接続を試行します。

  5. サーバーで STAS を開始し、「全般」タブをクリックします。Sophos アプライアンスのリストに、ファイアウォールの IP アドレスが表示されているはずです。これにより、STAS がファイアウォールに接続していることが分かります。

    STAS 上のファイアウォールの IP アドレス。

  6. ファイアウォール」に移動し、「ファイアウォールルールの追加 > ユーザー/ネットワークのルール」をクリックして、ユーザーの ID に基づいてトラフィックを制御するルールを作成します。

    ファイアウォールルールでユーザーを選択する。

ライブユーザーの確認

ドメインでのユーザー認証が正常に完了すると、STAS と ファイアウォールの両方にライブユーザーとして表示されます。

  1. STAS で「詳細設定」に移動して、「ライブユーザーを表示」を選択します。

    ライブユーザーを表示する。

    ライブユーザー。

  2. ファイアウォールで、「現在のアクティビティ > ライブユーザー」に移動します。

    現在のアクティビティのライブユーザー。

    一部またはすべての STAS ユーザーがライブユーザーに表示されない場合は、STAS のトラブルシューティングを参照してください。

その他のリソース