コンテンツにスキップ

認証のトラブルシューティング

一般的な認証の問題を調査して解決する方法。

使用する認証方法については、トラブルシューティングのトピックを参照してください。認証のトラブルシューティングを行うには、通常、Sophos Firewall、認証サーバー、認証エラーが発生したクライアントデバイスへのアクセスが必要です。

SATC トラブルシューティング

シンクライアントユーザーがサインインできません

レガシーの SATC クライアントはサポートされなくなりました。SATC ユーザーは、Sophos Central Server Protection に移行することをお勧めします。製品のサポート終了日: Sophos SG UTM、Sophos Firewall、Sophos Wireless、Sophos RED、その他のネットワーク製品をご覧ください。

Citrix などのターミナルサーバーのユーザーは、シンクライアントを使用してサインインする必要があります。認証に失敗した場合は、次の手順に従って問題をトラブルシューティングします。

状況

ターミナルサーバユーザーは認証できません。

原因

ユーザーを認証できない理由は多数考えられます。次の手順に従って、システムが正しく設定されていることを確認し、見つかった問題を修正します。

修正

  1. Sophos Firewall のコマンドラインインターフェースにサインインします。
  2. 次のオプションを選択します「4.デバイスコンソール」。
  3. 次のコマンドを入力します。

    system auth thin-client show

    これにより、ターミナルサーバーの IP アドレスが一覧表示されます。想定されるすべての IP アドレスが表示されていることを確認します。

  4. 上記の手順でターミナルサーバーが表示されない場合は、次のコマンドを使用してターミナルサーバーを追加します。

    system auth thin-client add citrix-ip IPADDRESS

    ipaddress をサーバーの IP アドレスに置き換えます。

  5. Sophos Firewall で、「認証サーバーの設定」を確認します。「認証 > サービス」の順に選択して、Active Directory サーバーが「ファイアウォール認証手段」のセクションで選択されていることを確認します。

  6. ターミナルサーバーが SATC イベントを Sophos Firewall に送信するように設定されていることを確認します。レジストリを使用して Windows Server に SATC をセットアップするを参照してください。
  7. サーバーに、送信元ポートを変更する可能性のあるプロキシまたはセキュリティソフトウェアがインストールされているかどうかを確認します。インストールされている場合、Sophos Firewall でポートの不一致が発生し、トラフィックが未認証として扱われます。

NTLM と Kerberos のトラブルシューティング

NTLM および Kerberos のトラブルシューティング

Kerberos と NTLM の一般的な問題のトラブルシューティングを行います。

状況

Kerberos と NTLM が設定されている場合、クライアントデバイスは認証に失敗します。

原因

認証失敗の一般的な問題は次のとおりです。設定エラー、ドメイン参加エラー。Kerberos の場合、鍵のバージョン番号 (KVNO) がエンドポイントと Sophos Firewall で一致していないという問題もあります。

修正

  1. 認証> サーバー」に移動します。
  2. AD サーバーをクリックし、「接続のテスト」をクリックします。

    接続に失敗した場合は、 AD 接続の問題を解決する必要があります。接続に成功した場合は、次の手順を続行します。

  3. ルールとポリシー > ファイアウォールルール」で、影響を受けるクライアントに対して Kerberos および NTLM トラフィックを許可するファイアウォールルールが設定されていることを確認します。

  4. 管理 > デバイスのアクセス」に移動し、クライアントが認証を行うゾーンで「AD SSO」が設定されていることを確認します。これは通常、 LAN ゾーンです。
  5. Sophos Firewall を明示的プロキシとして設定した場合は、ブラウザの設定でホスト名が使用されていることを確認します。IP アドレスを使用した場合、クライアントは NTLM 認証のみを許可します。
  6. Sophos Firewall のコマンドラインインターフェースにサインインします。
  7. 次のオプションを選択します「5.デバイス管理」。続いて次のオプションを選択します。「3.Advanced Shell」。
  8. 次のコマンドを使用して、nasm サービスが実行されていることを確認します。service -S | grep -i "nasm"
  9. クライアントと Sophos Firewall でプロキシ名が一致しない場合は、Sophos Firewall に対する AD 上のホストレコードが、以下で設定されているホスト名と一致することを確認します: 管理 > 管理の設定 > ホスト名
  10. KVNO が一致しない場合、ユーザーはサインアウトして再度サインインするか、Sophos Firewall のドメインへの参加をやり直す必要があります。この問題は通常、Sophos Firewall のホスト名が変更されたときに発生します。
リダイレクト URL が原因で、エンドポイントコンピュータを NTLM で認証できない

状況

透過モードの HTTP プロキシで、Active Directory SSO を使って NTLM 認証を試行すると、認証エラーになります。ブラウザに認証情報を求めるポップアップが表示されるか、またはキャプティブポータルに誘導されます。

原因

ブラウザは、ログイン認証情報 (シングルサインオン) を要求しているサイトがローカルであることが確実な場合にのみ、自動的にログイン情報を送信します。そのため、要求元のサイトがドメインを含まないホスト名であるか (myfirewall など)、または、ブラウザが要求元のサイトを信頼するように設定する必要があります。

Sophos Firewall のデフォルトの設定では、プロキシは IP を含む URL にリダイレクトされます。ドメインを含まないホスト名か、または FQDN を使用するように変更してください。

修正

  1. Sophos Firewall でホスト名を設定します。「管理 > 管理の設定 > ホスト名」に移動します。

    1. ホスト名」を入力します。組織ドメインに一致する完全修飾ドメイン名 (FQDN) を使用してください。たとえば、myfirewall.mycompany.com と入力します。
  2. ブラウザが信頼する証明書を選択します。

    Sophos Firewall にインストールされている自己署名証明書は、信頼された証明機関から発行されたものではなく、ここで設定したホスト名 (FQDN) には対応していません。証明書に関する警告メッセージが表示されないようにするには、トラフィックがリダイレクトされるホスト名 (FQDN) に対応させる必要があります。

    1. Sophos Firewall のホスト名に対応する新しい証明書をインストールする場合は、「証明書」メニューからインストールできます。詳しくは、HTTPS インスペクション用の下位 CA をインストールするを参照してください。
    2. 管理コンソールとエンドユーザー間の操作 > 証明書」で、ドロップダウンメニューから証明書を選択します。

      公共の証明機関 (CA) から購入した証明書を使用できます。この場合、すべてのクライアントから自動的に信頼されます。または、エンドポイントコンピュータが信頼するように設定済みの内部の証明機関 (CA) からの自己署名証明書を使用することもできます。

  3. プロキシのリダイレクト URL を設定します。

    1. 設定済みの FQDN を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「ファイアウォールに設定されたホスト名を使用する」を選択します。
    2. 別の FQDN か、またはドメインを含まないホスト名を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「別のホスト名を使用する」を選択して、ホスト名を入力します。

      選択した方法で、エンドポイントコンピュータが Sophos Firewall を解決できることを確認してください。DNS サーバーにエントリを追加する必要がある場合があります。

  4. ドメインを含まないホスト名を使用してリダイレクトしている場合、ブラウザには要求元がローカルであることが表示され、自動的に信頼されて SSO が実行されます。

  5. FQDN を使用してリダイレクトする場合は、AD グループポリシーを使って Sophos Firewall の FQDN を信頼するようにブラウザを設定してください。または、FQDN を手動でブラウザに追加するには、以下の手順に従います。

    Microsoft Edge、Google Chrome

    1. Windows のコントロールパネルを開きます。
    2. インターネットオプション > セキュリティ > ローカルインターネット」に移動します。
    3. サイト」、「詳細設定」の順にクリックします。
    4. この Web サイトをゾーンに追加する」フィールドに FQDN を入力し、「追加」をクリックします。

    Firefox

    1. Firefox のアドレスバーに about:config と入力して、「Enter」を押します。
    2. network.automatic-ntlm-auth.trusted-uris 」に FQDN を入力します。
リダイレクト URL が原因で、エンドポイントコンピュータを Kerberos で認証できない

状況

透過モードの HTTP プロキシで、Active Directory SSO を使って Kerberos 認証を試行すると、認証エラーになります。この場合、認証に NTLM またはキャプティブポータルが使用されます。

原因

ブラウザは、認証情報の要求元サイトが Kerberos ドメインの一部であることが確実な場合にのみ、Kerberos ログイン (シングルサインオン) を自動的に実行します。要求元サイト (この場合は Sophos Firewall) は、Active Directory (AD) サーバー上のファイアウォールのサービスプリンシパル名 (SPN) と一致するホスト名または FQDN をリダイレクト先として使用する必要があります。

修正

  1. Sophos Firewall でホスト名を設定します。「管理 > 管理の設定 > ホスト名」に移動します。

    ホスト名を入力します。会社のドメインに一致する完全修飾ドメイン名 (FQDN) を使用してください。たとえば、myfirewall.mycompany.com と入力します。

    Sophos Firewall が AD ドメインに参加すると、AD コンピュータ名が割り当てられ、2つの SPN エントリが自動的に作成されます。

    • 1つは、ドメインを含まないホスト名です。これは、「管理の設定 > ホスト名」 フィールドで設定した FQDN の最初の部分です。
    • もう 1つは、このホスト名の末尾に AD ドメインを付与したものです。

    たとえば、Sophos Firewall の「ホスト名」フィールドに myfirewall.mycompany.com と設定し、ADドメイン mycompany.local に参加している場合は、myfirewall と myfirewall.mycompany.local という 2つの SPN が作成されます。

    警告

    通常、DNS と Active Directory で使用するドメイン名は同じです。つまり、DNS FQDN とActive Directory のコンピュータ名は同じです。自動的に作成された SPN は、「管理の設定 > ホスト名」フィールドと一致します。DNS と Active Directory で異なるドメイン名 (mycompany.com と mycompany.local など) を使用しており、DNS 名をリダイレクトに使用したい場合は、AD ドメインコントローラで SPN を手動で作成する必要があります。

  2. プロキシのリダイレクト URL を設定します。設定済みの FQDN か、別の FQDN (AD コンピュータ名など) か、またはドメイン名を含まないホスト名を設定します。どれを使用する場合でも、必ず SPN と一致させてください。

    1. 設定済みの FQDN を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「ファイアウォールに設定されたホスト名を使用する」を選択します。
    2. 別の FQDN か、またはドメインを含まないホスト名を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「別のホスト名を使用する」を選択して、ホスト名を入力します。

      選択した方法で、エンドポイントコンピュータが Sophos Firewall を解決できることを確認してください。DNS サーバーにエントリを追加する必要がある場合があります。

      AD SSO にリダイレクトされると、SPN と照合されます。信頼できない場合、Kerberos 認証が実行されません。

      • ドメインを含まないホスト名の場合は、そのホスト名に対して自動作成された SPN と一致する必要があります。
      • AD FQDN の場合、AD コンピュータ名の FQDN に対して自動作成された SPN と一致する必要があります。
      • DNS FQDN の場合、手動で作成した DNS SPN と一致する必要があります。
NTLM サインインで、ユーザー名の代わりにエンドポイントデバイス名が表示される

条件

Live ユーザーに、エンドポイントデバイス名がユーザー名として表示されます。

原因

エンドポイントデバイスにユーザーがサインインしていないときに、オペレーティングシステムの Web リクエスト (Windows Update など) が行われると、SSO 認証でユーザー名ではなくエンドポイントデバイス名が送信されることがあります。

修正

ユーザーにエンドポイントデバイスにサインインしてもらいます。

STAS のトラブルシューティング

STAS コレクターに到達できない

条件

ファイアウォール上で、IP アドレスからのトラフィックが検出されれると、STAS コレクターにユーザー情報リクエストが送信されます。返信を待機している間、そのアドレスから生成されるトラフィックはファイアウォールで破棄されます。

原因

ファイアウォールと STAS コレクター間の通信がタイムアウトすることがあります。

修正

STAS コレクターがあるエンドポイントコンピュータで、次を確認します。

  • エンドポイントコンピュータの電源が入っていることを確認します。
  • STAS サービスが稼働中であることを確認します。
  • Windows Firewall で UDP ポート 6060 および 6677 が開いている必要があります。
  • エンドポイントコンピュータ上のウイルス対策プログラムが通信を妨害していないことを確認します。
  • エンドポイントコンピュータに複数の NIC がある場合は、STAS が別のインターフェースにバインドされていないかどうかを確認します。

ファイアウォールで次を確認します。

  • STAS コレクターが IPsec トンネルのリモート側にある場合は、システム生成トラフィックの SNAT IP アドレスを設定してください。
STAS ユーザーが Live ユーザーに表示されない

条件

STAS ユーザーが STAS からサインインできないか、または、サインインはできても Live ユーザーに表示されません。

原因

Live ユーザーに一部の STAS ユーザーが表示されない理由は多数考えられます。以下の手順に従って、環境が正しく設定されていることを確認し、問題が見つかった場合は修正してください。

修正

次の事柄を確認してください。

  • Sophos Firewall で、外部認証サーバーの認証情報を正しく入力している。
  • ファイアウォールとサーバーが通信できている。
  • ユーザーが、アクセス時間のポリシーで設定された時間の範囲内で、インターネットにアクセスしようとしている。
  • サインインしているユーザーの数が、指定した上限に達していないかどうか。
  • IP アドレスに基づいてユーザーのサインインを制限するように設定した場合は、ユーザーがそれ以外の IP アドレスからサインインすることはできません。
  • ユーザーのネットワーク利用量が、指定したネット閲覧クォータまたはネットワークトラフィッククォータを上回っていないかどうか。
  • 認証 > サーバー」に移動し、AD サーバーを選択して、検索クエリが正しいことを確認する。