コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=central-security-heartbeat-synchronize-user-ID-authentication

Synchronized User ID 認証

Synchronized User ID 認証では、セキュリティハートビートを使用して、エンドポイントユーザーの認証を行います。

Synchronized User ID は、ファイアウォールで認証サーバーとして設定された Active Directory (AD) でのみ機能します。現時点では、Windows 7 および Windows 10 に対応しています。サーバーやクライアントにエージェントは不要です。また、パスワード情報も共有・使用しません。Synchronized User ID は他のディレクトリサービスでは機能せず、ローカルユーザーを認識しません。Synchronized User ID では、ユーザーがサインインしたエンドポイントデバイスのドメインユーザーアカウント情報が、セキュリティハートビート経由で Sophos Firewall と共有されます。Sophos Firewall 側では、設定された AD サーバーに対してユーザーアカウントを照合し、ユーザーを有効化します。

Sophos Endpoint Protection は、Windows サインイン情報をファイアウォールに渡します。ファイアウォールは、この情報を使って、AD で認証を実行します。この認証に基づき、ファイアウォールのユーザーベースのポリシーが適用され、全般的なユーザー認証が行われます。

プロセス

Synchronized User ID 認証プロセスは以下のとおりです。

  1. ユーザーが、ドメインのアカウント情報、ユーザー名、パスワード、ドメイン名を使用して、Windows にサインインします。
  2. ファイアウォールのハートビートデーモンは、クライアントのハートビートステータスを、ドメイン名、ユーザー名とともに受信します。ドメイン名は、ユーザーの AD レコードの「ユーザープリンシパル名」(UPN) から、ユーザー名は、「sAMAccountName」から取得されます。
  3. ファイアウォール側では、ドメインに基づいてこのサインイン要求に対応する正しい AD サーバーをチェックし、ファイアウォールユーザーデータベースで正しいユーザー名を検索します。
  4. ハートビートデーモンは、ユーザーのサインイン要求を Active Directory サーバーに転送します。
  5. サインインしたユーザーは、ライブユーザーページに表示されます。

エンドポイントのハートビートが途切れたり、欠落している場合、ハートビートデーモンは、その Synchronized User ID を持つユーザーをサインアウトします。ただし、他のエンドポイント認証メカニズムが適用される場合があります。

要件

Synchronized User ID 認証が正しく動作するには、以下の条件を満たす必要があります。

  • Sophos Central アカウントをファイアウォールと連携する。
  • ファイアウォールをドメインコントローラに接続し、AD 認証を行えるようにする。
  • Sophos Central アカウントのユーザープロファイルに一致させる。たとえば、Sophos Central Admin では、ファイアウォールおよび AD で使用されているメールアドレスを、ユーザープロファイルに含める必要があります。
  • ファイアウォールのローカルユーザーの場合は、Sophos Central アカウントで定義されているのと同じメールアドレスを使用する。
  • AD では、UPN のドメイン部分が、ファイアウォールで AD サーバー用に設定したドメインと正確に一致する。

Synchronized User ID 認証をオフにする

Synchronized User ID 認証は、デフォルトでオンになっています。オフにするには、次の手順を実行します。

  1. Advanced Shell にアクセスします。

  2. 以下のいずれかのコマンドを実行します:

    • ファイアウォールの再起動後もオフにする:touch /content/no_userid
    • ファイアウォールが再起動するまでオフにする:touch /tmp/no_userid

  3. アクセスサーバーサービスを再起動するには、コマンド service access_server:restart -ds nosync を実行します。

警告

ステータスの変更はバックアップされません。バックアップを復元する場合は、再度オフにする必要があります。

Synchronized User ID 認証をオンにする

Synchronized User ID 認証をオンにするには、次の手順を実行します。

  1. Advanced Shell にアクセスします。
  2. この機能をオンにするには、コマンド rm /content/no_userid を実行します。
  3. アクセスサーバーサービスを再起動するには、コマンド service access_server:restart -ds nosync を実行します。

HA クラスタが設定されている場合は、HA クラスタの両方のデバイスで Synchronized User ID 認証のオン/オフを揃える必要があります。