認証方法
Sophos Firewall で使用可能な認証方法の詳細を示します。
Sophos Firewall は、NTLM (NT LAN Manager) および Kerberos の両方の認証方法をサポートしています。主な違いは、 2 つのプロトコルがクライアント認証をどのように処理するかです。
NTLM では、認証情報がクライアントから Sophos Firewall 経由で AD サーバーに送信されます。この認証プロセスでは、 3 つのメッセージを交換する必要があります。
Kerberos では、クライアントは Sophos Firewall にチケットを送信します。この場合、AD サーバーとの通信は行われません。この認証プロセスでは、 1 つのメッセージだけを交換する必要があります。
そのため、 Kerberos は高速で、使用するリソースも少なくなります。これは、同時に数百人のユーザーが利用する環境では特に重要です。「認証 > Web 認証」で「マルチユーザーホストに、接続ごとの AD SSO 認証を使用する」をオンにした場合、認証リクエストの数が 1000倍に増える可能性もあります。NTLM は技術的にサポートされていますが、ほとんどの環境では Kerberos が必要です。
Sophos Firewall では、クライアントに NTLM のみを提供するか、または Kerberos と NTLM の両方を提供するように設定できます。Kerberos のみを提供することは HTTP の仕様でサポートされていないため、Sophos Firewall をそのように設定することはできません。クライアントは、 Kerberos と NTLM のどちらを使用するかを決定します。Kerberos をサポートしているクライアントは、 NTLM で使用することを好みますが、 AD サーバから通知されたシステムに接続している場合に限り、クライアントは Kerberos を使用します。
注
NTLM または Kerberos を使用している場合、認証のためのトラフィックはポート 8091 にリダイレクトされます。
NTLM
NTLM は Windows チャレンジ / レスポンスとも呼ばれる、認証、整合性、機密性をユーザーに提供する一連のセキュリティプロトコルです。これは、Windows オペレーティングシステムやスタンドアロンシステムを実行するネットワークで使用されている認証プロトコルです。
NTLM は、暗号化されたチャレンジ / レスポンスメカニズムを使用して、パスワードを送信せずにクライアントを認証します。認証情報は、ドメイン名、ユーザー名、およびユーザーパスワードの一方向ハッシュで構成され、インタラクティブ認証プロセスによって取得されます。認証を要求するシステムは、セキュリティ保護された NTLM 認証情報にアクセスできることを証明する計算を実行する必要があります。
クライアントの認証には、次の 3つのメッセージを使用します。
- クライアントはサーバーへのネットワークパスを確立し、NEGOTIATE_MESSAGE を送信して対応機能を告知します。
- サーバーは、クライアントを識別するために CHALLENGE_MESSAGE で応答します。
- クライアントはそのチャレンジを受け、AUTHENTICATE_MESSAGE で応答します。
Sophos Firewall は、NTLM ユーザーのシングルサインオン (SSO) 認証をサポートしています。ただし、NTLM はブラウザから開始される認証方式であるため、次のような他の認証方式よりも優先度が低くなります。
- 一般認証クライアント
- クライアントレスの SSO
- クライアントベースの SSO
NTLM は、上記の認証方式のいずれかが失敗した場合のフォールバックとして使用されます。NTLM でもエラーが発生した場合は、ユーザー認証用のキャプティブポータルが表示されます。
Kerberos
Windows 2000 以降のバージョンでは、デフォルトの認証方式として Kerberos が使用されます。Kerberos は対称キー暗号化に基づいて構築されており、信頼できるサードパーティが必要です。オプションで、認証の特定のフェーズで公開キー暗号化を使用できます。
Kerberos は、キー配布センターと呼ばれるチケット認可サービスを使用して双方向ハンドシェイクを使用します。認証のステップは以下のとおりです。
- クライアントは認証サーバー (AS) に対して自身を認証します。認証サーバーはこれを受け、鍵配布センター (KDC) にユーザー名を転送します。
- KDC は TGT (チケット認可チケット) を発行し、タイムスタンプを追加し、TGS (チケット認可サービス) 秘密キーを使用して暗号化し、暗号化された結果をユーザーのワークステーションに返します。これはまれに行われますが、通常はユーザーのサインイン時に行われます。
TGT は、ユーザーのセッションマネージャがサインインしている間に透過的に更新される場合がありますが、一定の時点で期限切れになります。
Kerberos には厳密な時間要件があります。つまり、関連するホストのクロックは、設定された制限内で同期する必要があります。チケットには有効期限があり、ホストのクロックが Kerberos サーバーのクロックと同期していない場合、認証は失敗します。デフォルトの設定では、クロック時間は 5 分以内にする必要があります。
その他のリソース