コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=authentication-AD-configure

Active Directory 認証を設定する

既存の Active Directory (AD) ユーザーを Sophos Firewall に追加できます。そのためには、Active Directory サーバーを追加し、グループをインポートして、プライマリ認証方法を設定します。

はじめに

次の手順を実行する必要があります。

  • Active Directory サーバーをファイアウォールに追加し、設定する。
  • グループのインポートウィザードで AD グループをインポートする。
  • プライマリ認証方法を設定し、最初に Active Directory サーバーに対してクエリが実行されるようにする。

概要

ここでは、Sophos Firewall のユーザー認証に Active Directory を使用し、アクセスを制御する方法について説明します。

Active Directory ユーザーは、ファイアウォールに初めてサインインしたときに、デフォルトグループのメンバーとして追加されます。そのユーザーの Active Directory グループが Sophos Firewall に存在する場合は、そのグループに追加されます。

Sophos Firewall にサインインしたユーザーは、Active Directory との統合時に自動作成されたユーザーリストと照合されて、認証されます。ユーザーが認証されると、Sophos Firewall は Active Directory と通信し、アクセス制御用の追加の認証データを取得します。

Active Directory サーバーがダウンしている場合、認証リクエストに対して Wrong username/password メッセージが返されます。

複数の Active Directory サーバーが設定されている場合は、Sophos Firewall の Web 管理コンソールで設定された順番でチェックされます。

動画: Active Directory の統合

次の動画は、AD サーバーの統合方法を示します。

Active Directory サーバーの追加

まず、Active Directory サーバーを追加して、検索クエリを指定します。

このタスクを完了するためには、以下の情報が必要です。

  • ドメイン名
  • NetBIOS ドメイン
  • Active Directory サーバーのパスワード

Active Directory サーバーのプロパティを確認します。たとえば、Microsoft Windows では、Windows 管理ツールに移動します。

検索クエリはドメイン名 (DN) に基づきます。この例では、ドメイン名は sophos.com なので、検索クエリは次の通りです。dc=sophos,dc=com

  1. 認証 > サーバー」の順に選択し、「追加」を選択します。

  2. 設定を指定します。

    ここに記載されていない設定項目は、デフォルトの値を使用してください。

    Active Directory サーバーで設定したパスワードを使用してください。

    設定
    サーバーの種類 Active Directory
    サーバー名 My_AD_Server
    サーバー IP/ドメイン 192.168.1.100
    NetBIOS ドメイン sophos
    ADS ユーザー名 administrator
    パスワード <AD サーバーのパスワード>
    ドメイン名 sophos.com
    検索クエリ dc=sophos,dc=com

    ヒント

    ドメインに参加しているユーザーアカウントはすべて、AD グループメンバーシップのクエリ、検索、読み取りを実行できます。これらの権限は、AD サーバーからグループをインポートするのに十分です。

  3. 接続のテスト」をクリックし、ユーザー認証情報を検証し、サーバーへの接続を確認します。

    同期されたユーザー ID と STA の両方が設定されている場合、認証サーバは、最初にサインイン要求を受信するメカニズムを使用します。

  4. 保存」をクリックします。

Active Directory グループをインポートする

Active Directory グループをファイアウォールにインポートし、ポリシーを指定します。

  1. 認証 > サーバー」の順に選択し、「インポート」 「インポート」ボタン。 を選択します。

    AD グループのインポート。

  2. グループのインポートウィザードで、「開始」をクリックします。

  3. グループのベース DN を選択します。

    グループのインポートウィザードでベース DN をインポート。

  4. インポートする AD グループを選択します。

    インポートする AD グループを選択。

  5. グループに対して共通のポリシーを選択します。

    グループに対して共通のポリシーを選択します。

  6. 選択内容を確認します。

  7. 結果を表示します。
  8. 認証 > グループ」に移動し、最近インポートしたグループを確認します。

(オプション) インターネットアクセスを許可するようにファイアウォールルールを設定する

この例では、3つのグループをインポートしました: グループ A、グループ B、グループ C

Sophos Firewall にインポートした Active Directory グループ。

  1. 最近インポートしたグループ (Group A、Group B、Group C) のインターネットアクセスを制御するファイアウォールルールを作成します。詳細は、ファイアウォールルールの追加を参照してください。
  2. 既知のユーザーを一致」を選択します。
  3. 不明なユーザーに Web 認証を使用する」を選択します。
  4. インポートしたサンプルグループ (グループ A、グループ B、グループ C) を選択します。

  5. 保存」をクリックします。

    以下のファイアウォールルールの例をご覧ください。

    最近インポートしたグループのファイアウォールルール。

プライマリ認証方法の設定

Active Directory サーバーに対して最初にクエリするには、プライマリ認証方法として設定します。ユーザーが最初にファイアウォールにサインインしたときに、指定されたデフォルトグループのメンバーとして自動的に追加されます。

AD ユーザーは、ファイアウォールに一度サインインすると、グループに表示されるようになります。

  1. 認証 > サービス」に移動します。
  2. ファイアウォール認証手段」の認証サーバーリストから、「My_AD_Server」を選択します。

  3. サーバーを、選択されたサーバーリストの一番上に移動します。

    認証サーバー。

  4. 適用」をクリックします。

認証 > グループ」に移動し、インポートしたグループを確認します。