コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=authentication-STAS-transparent

STAS による透過的認証を設定する

クライアントレス SSO 機能は、Sophos Transparent Authentication Suite (STAS) によって提供されます。STAS は、Active Directory サーバーが 1台ある環境に導入できます。

STAS は、「認証 > クライアントダウンロード」からダウンロードできます。STAS 2.5 以降は、Windows Server 2008R2、2012R2、2016、2019 をサポートしています。

STAS 2.5 以降は Windows Server 2022 で動作すると思われますが、まだテストされていません。

サポートされている導入方法:

  • ドメインコントローラ上の STAS
  • メンバーサーバー上の STAS 2.5 以降

目的

このセクションでは、以下について学びます。

  • STAS をインストールして、エージェントとコレクターを構成する。
  • STAS をファイアウォールに導入する。
  • ライブユーザーを確認する。

STAS ユーザーを設定する

STAS のインストールと設定を行うユーザーアカウントを設定します。このアカウントは管理者アカウントでなくても構いませんが、ドメインコントローラと全エンドポイントコンピュータに対する権限を設定する必要があります。

ドメインコントローラに対する権限

ドメインコントローラ上で STAS ユーザーの権限を設定するには、次の手順を実行します。

  1. コマンドプロンプトを開き、dsa.msc と入力して「Active Directory ユーザーとコンピューター」を開きます。
  2. STAS ユーザーを右クリックし、「プロパティ」をクリックします。
  3. メンバー」をクリックし、「追加」をクリックします。
  4. STAS ユーザーを Domain Users および Event Log Readers グループに追加します。

  5. 終了したら「OK」をクリックします。

    STAS ユーザーのプロパティとグループメンバーシップ。

  6. ファイルエクスプローラを開きます。

  7. C:\Program Files (x86)\Sophos\ を参照します。
  8. Sophos Transparent Authentication Suite を右クリックして、「プロパティ」をクリックします。
  9. セキュリティ」をクリックします。
  10. STAS ユーザーに読み取りおよび書き込み権限を与えます。

  11. OK」をクリックします。

    STAS フォルダのプロパティと権限。

すべてのエンドポイントコンピュータに対する権限

すべてのエンドポイントコンピュータで STAS ユーザーの権限を設定するには、次の手順を実行します。

ヒント

この設定は GPO でプッシュできます。WMI コントロールを変更するには、GPO に Powershell またはログオンスクリプトを含める必要があります。

  1. コマンドプロンプトを開き、lusrmgr.msc と入力して「ローカル ユーザーとグループ」を開きます。
  2. Remote Desktop Users」を右クリックし、「プロパティ」をクリックします。
  3. 追加」をクリックします。

  4. STAS ユーザーを追加し、「OK」をクリックします。

    Remote Desktop Users グループのプロパティとメンバー。

  5. Distributed COM Users」を右クリックし、「プロパティ」をクリックします。

  6. 追加」をクリックします。

  7. STAS ユーザーを追加し、「OK」をクリックします。

    Distributed COM Users グループのプロパティとメンバー。

  8. コマンドプロンプトを開き、wmimgmt.msc と入力します。

  9. WMI コントロール (ローカル)」を右クリックし、「プロパティ」をクリックします。
  10. セキュリティ」をクリックします。
  11. Root」を展開し、「CIMV2」を選択して「セキュリティ」をクリックします。
  12. STAS ユーザーを選択し、「メソッドの実行」および「リモートの有効化」権限があることを確認します。

  13. OK」をクリックします。

    セキュリティ権限を示す WMI 管理ウィンドウ。

システムセキュリティを設定する

監査ポリシーを設定し、ユーザー権利を割り当て、ファイアウォールの設定を変更します。

  1. Windows で、「スタート」ボタンをクリックし、「Windows 管理ツール > ローカルセキュリティポリシー」に移動します。
  2. ローカルポリシー > 監査ポリシー」に移動し、「アカウント サイン イベントの監査」を開きます。

  3. 成功」オプションと「失敗」オプションを選択し、「OK」をクリックします。

    Windows のローカルセキュリティ設定。

  4. ローカルポリシー > ユーザー権利の割り当て」に移動し、「サービスとしてログオン」を開きます。

  5. STAS をインストールして実行する管理ユーザーがリストに含まれていない場合は、「ユーザーまたはグループの追加」をクリックし、ユーザーを追加し、「OK」をクリックします。

  6. Windows Firewall とサードパーティのファイアウォールで、次のポート経由の通信が許可されるように設定します。

    • AD サーバー: 受信 UDP 6677、送信 UDP 6060、送信 TCP 135、445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、送信 ICMP (Logoff Detection Ping を使用する場合)、送受信 UDP 50001 (コレクターテスト)、送受信 TCP 27015 (構成の同期)。
    • ワークステーション: 受信 TCP 135 & 445 (ワークステーションポーリングメソッドとして WMI または Registry Read Access を使用する場合)、受信 ICMP (Logoff Detection Ping を使用する場合)。

    ワークステーションで、RPC サービス、RPC ロケーターサービス、DCOM サービス、WMI サービスの WMI/Registry Read Access を有効にする必要があります。

STAS のインストール

STAS をダウンロードして、ドメインコントローラまたはメンバーサーバーにインストールします。

  1. ファイアウォールで、「認証 > クライアントダウンロード」に移動し、「Sophos Transparent Authentication Suite (STAS)」をダウンロードします。
  2. インストーラをドメインコントローラまたはメンバーサーバーに移します。

  3. インストーラを起動し、「次へ」をクリックします。

    STAS のセットアップアシスタント。

  4. セットアップウイザードに従って、インストール先やその他のオプションを指定します。その後、「インストール」をクリックします。

  5. SSO Suite」を選択し、「次へ」をクリックします。

    このマシンに Sophos SSO Suite の全コンポーネントをインストールする。

  6. 管理者の認証情報を入力し、「次へ」をクリックします。

  7. 完了」をクリックします。

STAS の構成

コレクターとエージェントを構成し、全般設定を指定します。

ここに記載されていない設定項目は、デフォルトの値を使用してください。

  1. サーバーで STAS を開始し、「全般」タブをクリックし、以下の設定を指定します。

    オプション
    NetBIOS 名 監視するドメインの NetBIOS 名
    完全修飾ドメイン名 監視するドメインの FQDN

    STAS では、NetBIOS 名を大文字で入力する必要があります。

  2. STA Agent」タブをクリックし、以下の設定を指定します。

    オプション
    ドメインコントローラ IP ドメインコントローラの IP アドレス。ドメインコントローラに STAS をインストールする場合は、空白のままにします。
    監視対象ネットワーク 監視対象のネットワーク。CIDR 記法を使用します。

    ドメインコントローラと監視対象のネットワークを指定する。

  3. STA Collector」タブをクリックし、以下の設定を指定します。

    オプション
    ソフォスのアプライアンス ネットワーク内の Sophos Firewall アプライアンスの IP アドレス
    ワークステーションポーリング設定 WMI」(デフォルト) または「Registry Read Access」を選択します

    IP アドレスと WMI を指定する。

  4. 適用」をクリックします。

  5. 開始」をクリックして、STAS サービスを開始します。

ファイアウォールへの STAS の導入

STAS をファイアウォール上でアクティベートし、新規コレクターを追加します。その後、サーバーで STAS を開き、ファイアウォールの IP アドレスが表示されていることを確認します。最後に、ユーザー ID に基づいてトラフィックを制御するためのファイアウォールルールを作成します。

STAS を導入する前に、「認証 > サービス」に移動し、AD サーバーをプライマリ認証方法として選択してください。

AD サーバーをプライマリ認証サーバーにする。

  1. ファイアウォールで、「認証 > STAS」に移動します。

  2. Sophos Transparent Authentication Suite (STAS) を有効にする」をオンにして、「STAS をアクティベートする」をクリックします。

    STAS をオンにします。

  3. 新しいコレクターの追加」をクリックして、以下の設定を指定します。

    オプション
    コレクター IP コレクターの IP アドレス

  4. 保存」をクリックします。ファイアウォールが、サーバー上の STAS に UDP 6060 経由で接続を試行します。

  5. サーバーで STAS を開始し、「全般」タブをクリックします。Sophos アプライアンスのリストに、ファイアウォールの IP アドレスが表示されているはずです。これにより、STAS がファイアウォールに接続していることが分かります。

    STAS 上のファイアウォールの IP アドレス。

  6. ルールとポリシー > ファイアウォールルール」に移動します。

  7. IPv4」プロトコルを選択します。

  8. ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックし、ファイアウォールルールを作成します。ユーザー設定を指定してください。

    ファイアウォールルールでユーザーを選択する。

  9. 管理 > デバイスのアクセス」に移動します。

  10. 認証サービス > クライアント」で、必要なゾーンのチェックボックスを選択します。

    クライアント認証のゾーンを選択する。

  11. 適用」をクリックします。

ライブユーザーの確認

ドメインでのユーザー認証が正常に完了すると、STAS と ファイアウォールの両方にライブユーザーとして表示されます。

  1. STAS で「詳細設定」に移動して、「ライブユーザーを表示」を選択します。

    ライブユーザーを表示する。

    ライブユーザー。

  2. ファイアウォールで、「現在のアクティビティ > ライブユーザー」に移動します。

    現在のアクティビティのライブユーザー。

    一部またはすべての STAS ユーザーがライブユーザーに表示されない場合は、STAS のトラブルシューティングを参照してください。

その他のリソース