ユーザ管理

ファイアウォール上のローカルデータベースでサポートされるユーザ数は、プラットフォームによって異なります。Table 148 にこれを示します。ユーザ総数の最大上限は SSO ユーザの最大数と同じで、ネイティブユーザの最大数は SSO ユーザの最大数と同じです。ウェブユーザの最大数は、ウェブからのユーザログインと、GVC、SSL-VP、および L2TP クライアントからのユーザログインの最大合計数です。

表 148. プラットフォームごとのサポートされる最大ユーザ数
プラットフォーム	SSO ユーザ数	ウェブユーザ数	ウェブサーバスレッド数
SM 9600	100,000	5,000	30
SM 9400	90,000	5,000	30
SM 9200	80,000	5,000	20
NSA 6600	70,000	5,000	20
NSA 5600	60,000	3,000	16
NSA 4600	50,000	2,000	10
NSA 3600	40,000	1,500	8
NSA 2600	30,000	1,000	8
TZ600	500	500	8
TZ500/TZ500W	500	500	8
TZ400/TZ400W	500	150	8
TZ300/TZ300W	500	150	8
SOHO W	250	150	8

重要：これらの数を処理する際の効率を最大にするための、Dell SonicWALL の推奨事項は以下のとおりです。

•

無線ユーザに対しては、可能な限り RADIUS アカウントを使用します。

•

SSO エージェントバージョン 4 以上を使用します。バージョン 3.6.10 よりも古い SSO エージェントを使用しないでください。

•

可能であれば、SSO エージェントを LogWatcher 付きの DC ログモードで使用します。

•

非ドメインユーザの識別に NetAPI または WMI が必要な場合は、個別のエージェントでそれを行ってください。

•

可能ならば、SSO によって識別できないものが SSO を開始することがないように、除外を設定します。

図 53. ユーザ管理:ローカルユーザおよびローカルグループを使った認証

コンテンツフィルタサービス (CFS) のポリシーをユーザに適用するには、そのユーザがローカルグループのメンバーであることが必要です。そうすれば、CFS ポリシーがそのグループに適用されます。CFS を使用する場合、LDAP または RADIUS を単独で使用することはできません。LDAP または RADIUS に、ローカル認証を組み合わせて使用する必要があります。CFS ポリシーを使用するために認証方式を組み合わせる場合、ローカルのグループ名と LDAP または RADIUS のグループ名とを完全に一致させる必要があります。「LDAP + ローカルユーザ」の認証方式を使用する場合、LDAP サーバからファイアウォール上のローカルデータベースにグループをインポートできます。こうすることで、対応するグループを簡単に作成できます。対応するグループを作成すれば、CFS ポリシーを適用できるようになります。

ローカルユーザとグループアカウントは、SonicOS のユーザインターフェースから作成できます。ユーザを追加できるほか、任意のユーザの設定を編集することも可能です。例えば、次のような設定を編集できます。

•

グループメンバーシップ－ユーザは 1 つまたは複数のローカルグループに所属できます。既定では、すべてのユーザが Everyone グループおよび Trusted Users グループに所属します。ユーザからこれらのグループメンバーシップを削除したり、他のグループのメンバーシップを追加したりできます。

•

VPN アクセス－ユーザによって開始された VPN クライアントがアクセス可能なネットワークを設定できます。VPN アクセスを設定する際は、ネットワークのリストから選択できます。ネットワークは、対応するアドレスグループまたはアドレスオブジェクトの名前で指定します。


	補足：ユーザとグループに対する VPN アクセス設定は、GVC、NetExtender および SSL VPN 仮想オフィスブックマークを使ってネットワークリソースにアクセスするリモートクライアントの能力に影響します。GVC、NetExtender、または、仮想オフィスのユーザがネットワークリソースへアクセスすることを許可するには、ネットワークアドレスオブジェクトかグループを、「VPN アクセス」タブの "許可" リストに追加する必要があります。

ローカルグループを追加したり編集したりすることもできます。グループでは、次のような設定を編集できます。

•

グループ設定－管理者グループに対して、ログイン状況ポップアップウィンドウをアクティブにすることなく管理インターフェースへのログインを許可するよう、SonicOS を設定することができます。

•

グループメンバー－グループのメンバーとして、ローカルユーザまたは他のローカルグループを追加できます。

•

VPN アクセス－グループの VPN アクセスは、ユーザの VPN アクセスと同じ方法で設定できます。このグループのメンバーによって開始された VPN クライアントがアクセス可能なネットワークを設定できます。VPN アクセスを設定する際は、ネットワークのリストから選択できます。ネットワークは、対応するアドレスグループまたはアドレスオブジェクトの名前で指定します。

•

CFS ポリシー - グループのメンバーに対して、コンテンツフィルタ (CFS) ポリシーを適用できます。CFS ポリシー設定を利用するには、SonicWALL でプレミアムコンテンツのフィルタサービスを利用するためのライセンスが必要です。

RADIUS を使った認証

RADIUS (Remote Authentication Dial In User Service) は、Dell SonicWALL ネットワークセキュリティ装置が、ネットワークへのアクセスを試みるユーザを認証するときに使用するプロトコルです。RADIUSサーバには、ユーザ情報を格納したデータベースが存在します。RADIUS サーバは、PAP (パスワード認証プロトコル)、CHAP (チャレンジハンドシェーク認証プロトコル)、MSCHAP (Microsoft CHAP)、MSCHAPv2 などの認証スキームを使ってユーザの資格情報をチェックします。

図 54. ユーザ管理:RADIUS を使った認証

RADIUS は LDAP とは大きく異なり、主として安全な認証機能を実現するものですが、ユーザグループのメンバーシップを渡すのに使用できるさまざまな属性など、エントリごとに非常に多くの属性が用意されています。RADIUS では、数千人規模のユーザ情報を格納できるため、ネットワークアクセスを必要とするユーザ数が多い場合のユーザ認証として最適です。

LDAP/アクティブディレクトリ/イーディレクトリ認証の使用

LDAP (Lightweight Directory Access Protocol) は、例えばユーザアカウント、ユーザグループ、ホスト、サーバといったネットワーク上の要素についての情報を格納および管理するためのディレクトリサービス構造を定義します。ユーザアカウント、グループ、権限などを管理するために LDAP を使用する標準はいくつか存在します。一部は独自システムで、LDAP による管理が可能なマイクロソフトアクティブディレクトリ (AD) や、ユーザリポジトリ情報を管理するための LDAP API を提供するノベルイーディレクトリなどがあります。また一部はオープン規格で、LDAP 標準の実装である SAMBA などがあります。

SonicOS は、RADIUS やローカルユーザデータベースに加えて、ユーザ認証用に LDAP をサポートします。マイクロソフトアクティブディレクトリやノベルイーディレクトリのディレクトリサービスを含む多数のスキーマをサポートするほか、完全に設定可能なユーザ定義のオプションによって、あらゆるスキーマとのやりとりが可能です。

Microsoft アクティブディレクトリは、Dell SonicWALL シングルサインオンおよび Dell SonicWALL SSO エージェントとも連携して動作します。詳細については、シングルサインオンの概要を参照してください。

トピック:

•

LDAP 用語

•

SonicOS でサポートされる LDAP ディレクトリサービス

•

LDAP ユーザグループミラーリング

LDAP 用語

LDAP およびその変種に関連して使用される用語を以下に示します。

•

スキーマ - スキーマは、ディレクトリに格納することができるデータのタイプやデータの格納方法を定義するルールのセットまたは構造です。データは、エントリの形式で格納されます。

•

アクティブディレクトリ (AD) - Microsoft のディレクトリサービスで、一般的に Windows ベースのネットワークで使用されます。マイクロソフトアクティブディレクトリは LDAP 互換です。

•

イーディレクトリ - ノベルのディレクトリサービスで、ノベルネットウェアベースのネットワークで使用されます。ノベルイーディレクトリは、管理用に使用できる LDAP ゲートウェイを持っています。

•

エントリ - LDAP ディレクトリに格納されたデータ。エントリは、属性/値 (または名前/値) の組で格納されます (属性はオブジェクトクラスにより定義されます)。例えば、cn=john の場合、cn (コモンネーム) が属性、john が値となります。

•

オブジェクトクラス - オブジェクトクラスは、LDAP ディレクトリに格納できるエントリのタイプを定義します。例えば、AD で使用されるオブジェクトクラスとして、user や group があります。

マイクロソフトアクティブディレクトリのクラスは、http://msdn.microsoft.com/library/ で参照することができます。

•

オブジェクト - LDAP 用語では、ディレクトリ内のエントリはオブジェクトと呼ばれます。LDAP クライアントの SonicOS 実装の目的上、重要なオブジェクトは、ユーザオブジェクトとグループオブジェクトです。LDAP の実装によって、これらのオブジェクトクラスは異なる名前で呼ばれる場合があります。例えば、アクティブディレクトリでは、ユーザオブジェクトは user、グループオブジェクトは group と呼ばれるのに対し、RFC2798 では、ユーザオブジェクトは inetOrgPerson、グループオブジェクトは groupOfNames と呼ばれます。

•

属性 - LDAP ディレクトリ内のオブジェクトに格納されたデータアイテム。オブジェクトは、必須の属性、または、任意の属性を持つことができます。例えば、dc 属性は、dcObject (ドメイン構成要素) オブジェクトの必須の属性です。

•

dn - "distinguished name (識別名)"。ユーザまたは他のオブジェクトのグローバルに一意な名前。複数の構成要素から成り、通常は、コモンネーム (cn: common name) 構成要素で開始し、2 つ以上のドメイン構成要素 (dc: domain component) として指定されたドメインで終了します。例えば、
cn=john,cn=users,dc=domain,dc=com となります。

•

cn - "common name (コモンネーム)" 属性は、LDAP 全体にわたって多くのオブジェクトクラスの必須構成要素です。

•

ou - "organization unit (組織単位)" 属性は、ほとんどの LDAP スキーマ実装の必須構成要素です。

•

dc - "domain component (ドメイン構成要素)" 属性は、一般的に識別名のルートで見ることができます。また、多くの場合に必須の属性です。

•

TLS - Transport Layer Security (トランスポート層セキュリティ) は、SSL (Secure Sockets Layer) の IETF で標準化されたバージョンです。TLS 1.1 と 1.2 がサポートされています。

SonicOS でサポートされる LDAP ディレクトリサービス

企業のネットワークで使用される最も一般的なディレクトリサービスと統合するために、SonicOS では、以下の LDAP スキーマとの統合をサポートしています。

•

マイクロソフトアクティブディレクトリ

•

RFC2798 InetOrgPerson

•

RFC2307 ネットワークインフォメーションサービス

•

サンバ SMB

•

ノベルイーディレクトリ

•

ユーザ定義スキーマ

SonicOS は、以下のプロトコルが実行されるディレクトリサービスのサポートを提供します。

•

LDAPv2 (RFC3494)

•

LDAPv3 (RFC2251 ～ 2256、RFC3377)

•

LDAPv3 over TLS (RFC2830)

•

LDAPv3 with STARTTLS (RFC2830)

•

LDAP Referrals (RFC2251)

LDAP ユーザグループミラーリング

LDAP ユーザグループミラーリングは、LDAP ユーザグループの設定を LDAP サーバから SonicWALL セキュリティ装置に自動的に複製する機能です。管理者は LDAP ユーザグループを LDAP サーバ上でだけ管理すればよく、それらの設定を SonicWALL セキュリティ装置に手動で複製する必要はありません。ユーザグループの設定は、LDAP サーバから定期的に読み取られて SonicWALL セキュリティ装置にコピーされます。

セキュリティ装置にコピーされる LDAP ユーザグループ名には、ドメイン名が次の形式で含まれます。name@domain.comしたがって、どのドメインからのユーザグループ名もすべて一意に識別されます。

ミラーされた LDAP ユーザグループには、以下の機能と制限が適用されます。

•

LDAP ユーザグループの削除は、LDAP サーバ上でのみ行えます。SonicWALL セキュリティ装置上のミラーされた LDAP ユーザグループを削除することはできません。LDAP サーバ上でユーザグループを削除すると、SonicWALL セキュリティ装置上のミラーされたグループも自動的に削除されます。

•

LDAP ユーザグループ名 (およびそのコメントボックス) の編集は、LDAP サーバ上でのみ行えます。SonicWALL セキュリティ装置上のミラーされた LDAP ユーザグループ名またはそのコメントボックスを編集することはできません。SonicWALL セキュリティ装置上のコメントボックスには "LDAP より転写" と表示されます。

•

SonicWALL セキュリティ装置上の LDAP ユーザグループのメンバーとしてユーザを追加できます。

•

SonicWALL セキュリティ装置上の他のグループにグループを追加することはできません。既定のユーザグループの設定は、LDAP サーバ上でのみ行えます。

•

「ファイアウォール > アクセスルール」や「ファイアウォール > アプリケーションルール」などの設定ページで、VPN、SSL VPN、CFS ポリシー、ISP ポリシーなどが設定可能である場合は、SonicWALL セキュリティ装置上の LDAP ユーザグループに対して、これらを設定できます。


	補足：LDAP ユーザグループは、アクセスルール、アプリケーションルール、またはポリシー内で設定されている場合には削除されません。

•

「LDAP ユーザグループミラーリング」を無効にすると、SonicWALL セキュリティ装置上のミラーされたユーザグループは削除されません。それらは管理者が手動で削除できるように変更されます。手動で削除されていない、ユーザグループのローカルの複製は、再度有効にできます。

•

SonicWALL セキュリティ装置上に作成するグループの複製の名前と、ユーザの作成した (非複製の) 既存のローカルグループの名前が同じでも、ローカルグループは置き換えられません。ローカルグループメンバーシップは、LDAP サーバ上で設定されているグループのネストを反映するように更新されます。

•

LDAP サーバ上のユーザグループの名前と、SonicWALL セキュリティ装置上の既定のユーザグループの名前が同じ場合、SonicWALL セキュリティ装置上にユーザグループのミラーは作成されません。既定のユーザグループのメンバーシップは、LDAP サーバ上で設定されているグループのネストを反映するように更新されます。

•

SonicOS 6.2 以前に作成されたグループについては、SonicWALL セキュリティ装置上にシンプルな名前のみを持つ (ドメインなし) ローカルユーザグループが存在し、その名前が LDAP サーバ上のユーザグループの名前 (ドメインを含む) と同じ場合、SonicWALL セキュリティ装置上に新しいローカルユーザグループが作成され、LDAP サーバ上の対応するユーザグループと同じドメインが割り当てられます。元のローカルユーザグループはドメインが無いまま保持されます。元のグループ内のユーザには、その LDAP グループ、新しくローカルにミラーされたグループ、そして元のローカルグループ (ドメイン名なし) のメンバーシップが与えられます。

SonicWALL 装置への LDAP の統合

SonicWALL を LDAP ディレクトリサービスと統合するには、証明書管理のための設定が LDAP サーバに必要となります。さらに、SonicWALL に正しい証明書をインストールし、LDAP サーバからの情報を使用できるように設定する必要があります。LDAP の概要については、LDAP/アクティブディレクトリ/イーディレクトリ認証の使用を参照してください。

トピック:

•

統合に向けての LDAP サーバの準備

•

LDAP を使用するための Dell SonicWALL 装置の設定

統合に向けての LDAP サーバの準備

LDAP の設定を行う前に、LDAP over TLS をサポートするように LDAP サーバと SonicWALL を準備する必要があります。これには次の操作が必要です。

•

LDAP サーバにサーバ証明書をインストールする。

•

SonicWALL に発行元 CA の CA (Certificate Authority) 証明書をインストールする。

次の手順は、これらのタスクをアクティブディレクトリ環境で行う方法を示しています。

アクティブディレクトリサーバでの CA の設定

アクティブディレクトリサーバ上で CA を設定するには、次の手順に従います (証明書サービスが既にインストールされている場合、手順 1 から手順 5 はスキップしてください)。

「スタート > 設定＞コントロールパネル＞プログラムの追加と削除」を選択します。

「Windows コンポーネントの追加と削除」を選択します。

「証明書サービス」を選択します。

要求されたら「エンタープライズのルート CA」を選択します。

必要な情報を入力します。Windows システムにおける証明書については、
http://support.microsoft.com/kb/931125. を参照してください。

「ドメインセキュリティポリシー」アプリケーションを起動します。「スタート> ファイル名を指定して実行」を選択し、dompol.msc コマンドを実行します。

「セキュリティの設定 > 公開キーのポリシー」を選択します。

「自動証明書要求の設定」を右クリックします。

「新規作成 > 自動証明書要求」を選択します。

ウィザードの指示に従い、リストから「ドメインコントローラ」を選択します。

アクティブディレクトリサーバからの CA 証明書のエクスポート

AD サーバから CA 証明書をエクスポートするには、次の手順に従います。

「証明機関」アプリケーションを起動します。「スタート > ファイル名を指定して実行 > certsrv.msc」を選択します。

作成した CA 上で右クリックし、「プロパティ」を選択します。

「一般」タブで、「証明書の表示」ボタンを選択します。

「詳細設定」タブで、「ファイルにコピー」を選択します。

ウィザードの指示に従い、「Base 64 encoded X.509 (CER)」形式を選択します。

証明書を保存するパスとファイル名を指定します。

SonicOS への CA 証明書のインポート

SonicOS に CA 証明書をインポートするには、次の手順に従います。

「システム > CA 証明書」を選択します。

「新規 CA 証明書の追加」を選択します。エクスポートした証明書を参照して選択します。

「証明書のインポート」ボタンを選択します。

組織単位別 LDAP グループメンバーシップ

組織単位毎の LDAP グループメンバーシップ機能は、LDAP サーバ上の組織単位 (OU) 内に配置されたユーザに対して LDAP ルールとポリシーを設定する機能を提供します。

ユーザがログインするときに、ユーザグループが LDAP 位置によるメンバーシップを許可するように設定されている場合、そのユーザは LDAP 位置に一致するすべてのグループのメンバーになります。

既定のローカルグループ (Everyone グループと Trusted Users グループを除く) を含むどのローカルグループも、LDAP ディレクトリツリー内の位置によって設定されるメンバーを持つグループとして設定可能です。

ユーザが、LDAP 位置に対して設定されているいずれかのローカルグループのメンバーである場合は:

•

LDAP ツリー内のそれらのローカルグループの位置が取得されます。

•

そのユーザのローカルグループの位置が、他のすべてのローカルグループに対してチェックされます。ユーザのメンバーシップグループと同じ LDAP 位置を持つ他のグループが存在する場合、ユーザはそのログインセッションにおいて、自動的にそれらのグループのメンバーとして設定されます。

ユーザがログインを試行するとき、成功失敗に関わらずユーザの識別名がイベントログに記録されます。このイベントログは、ユーザが期待されるグループのメンバーシップを取得できなかった場合のトラブルシューティングに役立ちます。

シングルサインオンの概要

トピック:

•

シングルサインオンとは

•

SonicWALL SSO のメリット

•

プラットフォームおよびサポートされている標準

•

•

•

•

•

RADIUS アカウントシングルサインオンの動作

シングルサインオンとは

シングルサインオン (SSO) とは、ワークステーションへのシングルドメインログインか、あるいは Windows ターミナルサービスまたは Citrix サーバを通じて、複数のネットワークリソースに特権的にアクセスできるようにする透過的なユーザ認証メカニズムです。

Dell SonicWALL ネットワークセキュリティ装置は、シングルサインオンエージェント (SSO エージェント) と SonicWALL ターミナルサービスエージェント (TSA) を使用して SSO 機能を提供し、ユーザのアクティビティを識別します。SSO エージェントは、ワークステーションの IP アドレスに基づいてユーザを識別します。TSA は、サーバの IP アドレスとユーザ名とドメインの組み合わせによってユーザを識別します。

SonicWALL SSO は、Samba と共に使用する場合は Mac および Linux ユーザに対しても利用可能です。さらに、ブラウザ NTLM 認証により SonicWALL SSO は、SSO エージェントや Samba を必要とせずに、HTTP トラフィックを送信するユーザを認証できます。

SonicWALL SSO の設定は、SonicOS 管理インターフェースの「ユーザ > 設定」ページで行います。SSO は、ログイン認証方式設定とは独立しており、両者を同時に使用して VPN/L2TP クライアントユーザまたは管理者ユーザの認証を行うことができます。

SonicWALL は、SonicWALL SSO エージェントまたは TSA からのデータに基づき、LDAP またはローカルデータベースに対してグループのメンバーシップを問い合わせます。必要に応じて、メンバーシップをファイアウォールポリシーと照合し、アクセス権を持つユーザを制御します。また、コンテンツフィルタおよびアプリケーション制御用のポリシーの選択に使用して、アクセスを許可する対象を制御することができます。SSO 経由で認識したユーザ名は、トラフィックのログとユーザおよび AppFlow 監視からのイベントに報告されます。

無動作タイムアウトは SSO にも適用されますが、セッション時間の制限は適用されません。ログアウトしたユーザから再びトラフィックが送信されると、そのユーザが自動的かつ透過的に再度ログインされます。

ドメインにログインせずに、ワークステーションまたはターミナルサービス/Citrix サーバに直接ログインしたユーザは、ブラウザ NTLM 認証が有効で HTTP トラフィックを送信しない限り認証されません (必要に応じて、限定的なアクセスを認証することはできます)。SonicWALL SSO で認証されていない場合、以降の認証には手動での装置へのログインが必要があるという内容のメッセージが画面に表示されます。

ユーザとして識別されたとしても、設定されているポリシールールに必要なグループメンバーシップが不足している場合、アクセスが拒否されたことを示すページにリダイレクトされます。

SonicWALL SSO のメリット

SonicWALL SSO は、管理者によって設定されたグループメンバーシップとポリシー照合に基づき、ユーザが 1 回のログインで複数のネットワークリソースにアクセスできるようにする信頼性に優れた機能です。何度もログインする手間が省けるため、時間の節約にもつながります。エンドユーザが SonicWALL SSO の存在を意識する必要はなく、また、管理者に要求される設定も最小限で済みます。

SonicWALL SSO では、ユーザがいつログインし、いつログアウトしたかが、ワークステーション IPアドレスのトラフィック (ターミナルサービスまたは Citrix の場合は、サーバ IP アドレスの特定のユーザからのトラフィック) に基づいて自動的に判別されるため、セキュリティに優れ、手間もかかりません。SSO 認証は、SonicWALL ディレクトリコネクタ互換のプロトコルを使用することで、ワークステーションまたはターミナルサービス/Citrix サーバの IP アドレスを持ったユーザの ID を返すことができるエージェントであれば、どのような外部エージェントとでも連携できるように設計されています。

SonicWALL SSO は、コンテンツフィルタサービス (CFS)、ファイアウォールアクセスルール、グループのメンバーシップと継承、セキュリティサービス (IPS、GAV、アンチスパイウェア) の包含/除外リストを含め、ユーザレベル認証が使用されるファイアウォール上のあらゆるサービスに使用できます。

SonicWALL SSO のその他のメリット

•

使いやすい－ユーザは 1 回サインインするだけで複数のリソースに自動的にアクセスできます。

•

ユーザエクスペリエンスの向上－どのような種類のトラフィックを使用するユーザでも、Windows ドメインの資格情報を使用して認証が可能であるため、ウェブブラウザを使って装置にログインする必要がありません。

•

透過性－ユーザが認証のためにユーザ名やパスワードを何度も再入力する必要がなくなります。

•

セキュアな通信－共有鍵暗号化によってデータ伝送を保護します。

•

SonicWALL SSO エージェントは LAN 上の任意のウィンドウズサーバにインストールでき、TSAは任意のターミナルサーバにインストールできます。

•

複数の SSO エージェント－最大 8 つのエージェントをサポートして、大規模インストールに適した容量を提供します。

•

複数の TSA －複数のターミナルサービスエージェント (ターミナルサーバごとに 1 つ) をサポートします。サポートされる数は 8 ～ 512 で、SonicWALL ネットワークセキュリティ装置のモデルによって異なります。

•

ログインメカニズムは、HTTP だけでなくあらゆるプロトコルに対応しています。

•

ブラウザ NTLM 認証－ SonicWALL SSO は、SSO エージェントを使わずに HTTP トラフィックを送信するユーザを認証できます。

•

Mac および Linux サポート－ Samba 3.5 以降で、SonicWALL SSO は Mac および Linux ユーザに対してサポートされます。

•

ゾーン単位の執行 - SonicWALL SSO は、ファイアウォールアクセスルールかセキュリティーサービスポリシーによって自動的に開始されない場合でも、任意のゾーンからのトラフィックに対して開始でき、イベントのログ記録や AppFlow 監視用にユーザを識別します。

プラットフォームおよびサポートされている標準

SSO エージェントは、SonicWALL SSO をサポートしている SonicOS の全バージョンと互換性があります。サポートされているのは、TSA プロキシのみです。

SSO 機能は、LDAP およびローカルデータベースプロトコルをサポートします。SonicWALL SSO は、SonicWALL ディレクトリコネクタをサポートしています。SonicWALL SSO の全機能を正しく動作させるには、SonicOS とディレクトリコネクタ 3.1.7 以降を使用してください。

SonicWALL SSO を Windows ターミナルサービスまたは Citrix で使用するには、SonicOS 6.0 以降が必要であり、SonicWALL TSA をサーバにインストールする必要があります。

SonicWALL SSO をブラウザ NTLM 認証で使用するには、SonicOS6.0 以降が必要です。ブラウザ NTLM 認証に対しては、SSO エージェントは不要です。

ブラウザ NTLM 認証のみを使うときを除いて、SonicWALL SSO を使用するには、SSO エージェントが Windows ドメイン内のサーバ (そのサーバからクライアントに、そして装置からそのサーバに、直接または VPN パス経由で到達できなければならない) にインストールされているか、TSA がドメイン内のターミナルサーバにインストールされているか、あるいはその両方が必要です。

SSO エージェントを実行するには、次の要件が満たされている必要があります。

•

UDP ポート 2258 (既定) が開放されていること。既定では、ファイアウォールと SonicWALL SSO エージェントとの通信に UDP ポート 2258 が使用されます。 2258 に代わって別のポートが設定されている場合は、そのポートにこの要件が適用されます。

•

ウィンドウズサーバ (最新のサービスパック)

•

.NET Framework 2.0

•

Net API または WMI


	補足：Mac および Linux の PC は、SSO エージェントが使用する Windows のネットワーク要求をサポートしていないので、SonicWALL SSO と動作するには Samba 3.5 以降が必要です。Samba 無しでも Mac および Linux のユーザでもアクセスは可能ですが、それにはログインする必要があります。認証を要求するようポリシー規則が設定されている場合は、ログインプロンプトにリダイレクトされる可能性があります。詳細については、Mac ユーザおよび Linux ユーザへの対応を参照してください。

TSA を実行するには、次の要件が満たされている必要があります。

•

TSA がインストールされているすべてのターミナルサーバで UDP ポート 2259 (既定) が開放されていること。既定では、ファイアウォールと SonicWALL TSA との通信に UDP ポート 2259 が使用されます。 2259 に代わって別のポートが設定されている場合は、そのポートにこの要件が適用されます。

•

ウィンドウズサーバ (最新のサービスパック)

•

Windows ターミナルサービスまたは Citrix が Windows ターミナルサーバシステムにインストールされていること

シングルサインオンの動作

エンドユーザが SonicWALL SSO の存在を意識する必要はなく、また、管理者に要求される設定も最小限で済みます。

SSO は、以下の状況で開始されます。

•

ユーザ認証を要求するファイアウォールアクセスルールが、WAN ゾーンから着信するのではないトラフィックに適用される場合。

•

アクセスルール内でユーザグループが指定されていないが、以下の状況のどれかが存在する場合に、SSO はゾーン上のすべてのトラフィック (補足 - これらの状況に影響されるトラフィックだけではありません) で開始されます。

•

ゾーン上で CFS が有効で、CFS ポリシーが設定されている

•

ゾーン上で IPS が有効で、認証が必要な IPS ポリシーがある

•

ゾーン上でアンチスパイウェアが有効で、認証が必要なアンチスパイウェアポリシーがある

•

送信元ゾーンに対して、認証が必要なアプリケーション制御ポリシーが適用されている

•

ゾーンに対して SSO のゾーン単位の執行が設定されている

SSO ユーザテーブルはまた、コンテンツフィルタ、侵入防御、アンチスパイウェア、およびアプリケーション制御を含むセキュリティサービスが必要とするユーザとグループの識別のために使用されます。

SSO エージェントを使用した SonicWALL SSO 認証

個々の Windows ワークステーションのユーザについては、SSO ワークステーション上の SSO エージェントが SonicWALL からの認証要求を処理します。次の図に示してあるように、SSO エージェントを使用した SonicWALL SSO 認証は 6 つの手順で行われます。

SSO 認証プロセスは、ユーザトラフィックが SonicWALL を通過した時点 (ユーザがインターネットにアクセスしたときなど) で開始されます。例えば、ユーザがインターネットにアクセスした場合などです。送信されたパケットは一時的に遮断され、SonicWALL が、SSO エージェント (SSO ワークステーション) を実行する認証エージェントに "ユーザ名" 要求とワークステーションの IP アドレスを送信する間保存されます。

SSO エージェントを実行している認証エージェントは、SonicWALL に対し、現在ワークステーションにログインしているユーザ名を提供します。RADIUS や LDAP と同様、ユーザ IPテーブルには、ログインしたユーザのエントリが作成されます。

ターミナルサービスエージェントを使用した SonicWALL SSO 認証

ターミナルサービスまたは Citrix サーバからログインするユーザについては、認証プロセスで TSA が SSO エージェントの代わりをします。このプロセスは以下の点が異なります。

•

TSA はユーザのログイン先のサーバで実行され、SonicWALL への初期通知にユーザ名とドメインとサーバ IP アドレスを含めます。

•

ユーザはユーザ番号と IP アドレスによって識別されます (ただし、非ターミナルサービスユーザの場合は、どの IP アドレスにもユーザが 1 つしか存在しないので、ユーザ番号は使用されません)。ゼロ以外のユーザ番号は、SonicOS 管理インターフェースに「x.x.x.x user n」という形式で表示されます (x.x.x.x はサーバ IP アドレスで、n はユーザ番号です)。

•

ユーザがログアウトすると、TSA は SonicOS に通知を送信します。したがって、ポーリングは行われません。

ユーザが識別されると、SonicWALL が LDAP またはローカルデータベース (管理者の設定による) に対して問い合わせを行い、ユーザグループのメンバーシップを検索して、そのメンバーシップとポリシーとを照合し、その結果に基づいて、ユーザにアクセスを許可または拒否します。ログインシーケンスが正常に完了した場合、保存されていたパケットが送信されます。ログインシーケンスが完了する前に、同じ送信元アドレスからパケットを受信した場合は、最新のパケットだけが保存されます。

SSO エージェントを実行する認証エージェントからは、ユーザ名が<domain>/<user-name>の形式で返されます。ローカルで設定したユーザグループについては、SSO エージェントを実行する認証エージェントから返されるユーザ名をフルネームとするか (その場合は、SonicWALL のローカルユーザデータベース内の名前も一致するように設定する)、ドメイン要素を除去した簡易ユーザ名 (既定) とするかを選択できます。

LDAP プロトコルの場合、ドメイン名と一致する“dc" (ドメイン構成要素) 属性を持った“ドメイン"クラスのオブジェクトを探すための LDAP 検索を作成して、<domain>/<user-name>形式をLDAP 識別名に変換します。目的のオブジェクトが見つかった場合、その識別名をディレクトリのサブツリーとして使用し、ユーザのオブジェクトを検索します。例えば、ユーザ名が“SV/bob"として返された場合、“objectClass=domain"および“dc=SV"というオブジェクトが検索されます。ここで、“dc=sv,dc=us,dc=sonicwall,dc=com"という識別名を持つオブジェクトが返された場合は、そのディレクトリサブツリー下から、“objectClass=user"および“sAMAccountName=bob" (アクティブディレクトリの場合) というオブジェクトを探すための検索が作成されます。ドメインオブジェクトが見つからなかった場合は、ディレクトリツリーの最上位からユーザオブジェクトが検索されます。

ドメインオブジェクトが見つかると、同じオブジェクトを検索しなくても済むように、その情報が保存されます。保存されたドメインからユーザを特定できなかった場合、保存されていたドメイン情報が削除され、目的のドメインが再度検索されます。

SSO エージェントを使用した SonicWALL SSO でのユーザログアウトの処理は、TSA を使用したSSO とは少し異なります。SonicWALL は、SSO エージェントを実行している認証エージェントをポーリングすることによって、ユーザがログアウトしたタイミングを判別します。ユーザがログアウトすると、SSO エージェントを実行する認証エージェントから SonicWALL に User Logged Out 応答が送信され、ユーザが既にログアウトしていることが確認されて、SSO セッションが終了します。TSA は、SonicWALL によるポーリングではなく、TSA 自体でターミナルサービス/Citrix サーバを監視することでログアウトイベントを調べ、ログアウトイベントが発生すると SonicWALL に通知し、それによって SSO セッションが終了します。どちらのエージェントについても、無動作タイマーを設定できます。 SSO エージェントについては、ユーザ名要求ポーリング間隔を設定できます (ログアウトをすばやく検知するには、設定するポーリング時間を短くし、システムのオーバーヘッドを少なくするには、ポーリング時間を長くします)。

ブラウザ NTLM 認証を使用した SonicWALL SSO 認証

Mozilla ベースのブラウザ (インターネットエクスプローラ、Firefox、Chrome、Safari を含む) を使って閲覧するユーザのために、SonicWALL は NTLM (NT LAN Maanager) 認証によるユーザの識別をサポートします。NTLM は、“統合ウィンドウズセキュリティ" として知られるブラウザ認証スイートで、すべての Mozilla ベースのブラウザでサポートされます。NTLM により、SSO エージェントを利用することなく、装置からブラウザに対して直接認証が要求できます。NTLM は、ユーザがウェブ上でリモートに認証されるような、ドメインコントローラが利用できない場合にたびたび使用されます。

NTLM 認証は現在 HTTP に対して利用可能で、HTTPS では利用できません。

ブラウザ NTLM 認証は、SSO エージェントがユーザ情報の入手を試みる前または後に試行できます。例えば、SSO エージェントを最初に試行してユーザの識別に失敗してから、トラフィックが HTTP の場合に NTLM が試行されます。

この方式を Linux または Mac クライアントや Windows クライアントで使用するために、SSO を有効にして、NetAPI または WMI (SSO エージェントがどちらに対して設定されているかに応じて) のいずれかに対してクライアントをプローブすることもできます。これにより、ファイアウォールは、ユーザの識別を SSO エージェントに要求する前に、NetAPI/WMI ポートで応答を監視するようになります。応答がない場合、これらの機器は即時に SSO を失敗します。クライアントによって、以下のように動作します。

•

Windows PC では、プローブがほとんどの場合機能 (パーソナルファイアウォールで遮断されない限り) して、SSO エージェントが使用されます。

•

Linux/Mac PC (Samba サーバを実行するように設定されていない場合) では、プローブは失敗して、SSO エージェントはバイパスされ、HTTP トラフィックが送信される際に NTLM 認証が使用されます。

NTLM は、ユーザが HTTP でブラウズするまではユーザを識別できないため、その前に送信されたどんなトラフィックも未確認として扱われます。既定の CFS ポリシーが適用されて、ユーザ認証が必要などのルールもトラフィックを通過させません。

NTLM が SSO エージェントの前に使われるように設定されている場合は、もし最初に HTTP トラフィックを受信したならば、ユーザは NTLM で認証されます。もし最初に非 HTTP トラフィックを受信したならば、SSO エージェントが認証に使われます。

SSO エージェントの動作

SSO エージェントは、直接 IP アドレスを使って、または、VPN などのパスを使ってクライアントおよび SonicWALL と通信できれば、Windows ドメインに参加している任意のワークステーションにインストールできます。SSO エージェントのインストール手順については、SonicWALL SSO エージェントのインストールを参照してください。

数千ユーザから成る大規模インストールに対応するため、複数の SSO エージェントがサポートされています。最大 8 つの SSO エージェントを設定して、それぞれをネットワーク内にある専用の高性能 PC 上で動作させることができます。高速 PC 上にある 1 つの SSO エージェントで、最大 2500ユーザをサポートできることに注意してください。

SSO エージェントは、クライアントおよび SonicWALL とのみ通信します。SSO エージェントと SonicWALL との間で交わされるメッセージは、共有鍵を使って暗号化されます。


	補足：共有鍵は SSO エージェントで生成されます。SSO の設定時、SonicWALL に入力する鍵は、SSO エージェントによって生成された鍵と完全に一致している必要があります。

SonicWALL は、SSO エージェントに対し、既定のポート 2258 を使って問い合わせを行います。次に、SSO エージェントがクライアントと SonicWALL の間に入って通信し、クライアントのユーザ ID を調べます。SonicWALL は、SSO エージェントを定期的に (管理者によって設定された頻度で) ポーリングして、絶えずユーザのログイン状況が確認されます。

ログ

SSO エージェントは、管理者によって選択されたログレベルに基づいて、Windows イベントログにログイベントメッセージを送信します。

また、SonicWALL も、そのイベントログに SSO エージェント固有のイベントを記録します。SonicWALL から送信される SSO エージェント固有のログイベントメッセージとしては、次のようなものがあります。

•

ユーザログインが拒否されました - ポリシー規則で許可されていません - ユーザ ID は確認されましたが、ポリシーによって許可されているいずれのユーザグループにも属していないため、ユーザのトラフィックが遮断されました。

•

ユーザログインが拒否されました - ローカルには見つかりませんでした - ユーザがローカルに見つかりませんでした。SonicWALL では、「ローカルに登録されたユーザのみ許可する」が選択されています。

•

ユーザログインが拒否されました - SSO エージェントがタイムアウトしました - SSO エージェントへの接続を試みているときにタイムアウトが発生しました。

•

ユーザログインが拒否されました - SSO エージェントの設定エラー - このユーザのアクセスを許可するための適切な設定が SSO エージェントに対してなされていません。

•

ユーザログインが拒否されました - SSO エージェントに通信上の問題があります - SSO エージェントを実行しているワークステーションとの通信に問題があります。

•

ユーザログインが拒否されました - SSO エージェントの名前解決に失敗しました - SSO エージェントがユーザ名を解決できません。

•

SSO エージェントから返されたユーザ名が長すぎます - ユーザ名が長すぎます。

•

SSO エージェントから返されたドメイン名が長すぎます - ドメイン名が長すぎます。


	補足：SSO エージェントに固有のログメッセージの補足フィールドには、<ドメイン/ユーザ名> (SSO エージェントにより認証) というテキストが表示されます。

ターミナルサービスエージェントの動作

TSA は、ターミナルサービスまたは Citrix がインストールされている任意の Windows サーバマシンにインストールできます。このサーバは、直接 IP アドレスを使用するか VPN などのパスを使用して SonicWALL と通信できる Windows ドメインに属していなければなりません。

TSA のインストール手順については、SonicWALL ターミナルサービスエージェントのインストールを参照してください。

TSA については、以下のセクションを参照してください。

•

複数の TSA のサポート

•

TSA メッセージの暗号化とセッション ID の使用

•

ローカルサブネットへの接続

•

ターミナルサーバからの非ドメインユーザトラフィック

•

ターミナルサーバからの非ユーザトラフィック

複数の TSA のサポート

数千のユーザから成る大規模インストールに対応するため、SonicWALL は、複数のターミナルサービスエージェント (ターミナルサーバごとに 1 つ) と共に動作するように設定できます。サポートされるエージェントの数は、Table 149に示すように、モデルによって異なります。

表 149. モデル別のサポートされるターミナルサービスエージェント
Dell SonicWALL ネットワークセキュリティ装置	サポートされる TSA の数
SM 9600	512
SM 9400	512
SM 9200	512
NSA 6600	256
NSA 5600	128
NSA 4600	64
NSA 3600	16
NSA 2600	8
TZ600	4
TZ500/TZ500 W	4
TZ400/TZ400 W	4
TZ300/TZ300 W	4
SOHO W	4

すべての Dell SonicWALL ネットワークセキュリティ装置において、ターミナルサーバあたり最大 32 個の IP アドレスがサポートされます。サーバは、複数の NIC (ネットワークインターフェースコントローラ) を装備する場合があります。ターミナルサーバあたりのユーザ数に制限はありません。

TSA メッセージの暗号化とセッション ID の使用

TSA は、TSA と SonicWALL との間でやり取りされるメッセージにユーザ名とドメインが含まれていると、そのメッセージの暗号化に共有鍵を使用します。ユーザに対する最初のオープン通知は常に暗号化されます。TSA がユーザ名とドメインを含めるからです。


	補足：共有鍵は TSA で作成され、SSO 設定時に SonicWALL に入力される鍵と TSA の鍵は完全に一致していなくてはなりません。

TSA はユーザセッション ID をすべての通知に含めます。ユーザ名とドメインを毎回含めることはしません。これは効率的で安全であり、TSA が再起動後にターミナルサービスユーザと再同期することを可能にします。

ローカルサブネットへの接続

TSA は装置から返された情報に基づいてネットワークトポロジを動的に学習し、いったん学習すると、装置を通らないサブネットユーザ接続に関して通知を装置に送信しません。TSA がこれらのローカル送信先を“記憶から消し去る"メカニズムはないので、装置のインターフェース間でサブネットが移動された場合は、TSA を再起動する必要があります。

ターミナルサーバからの非ドメインユーザトラフィック

SonicWALL には、必要に応じて非ドメインユーザ (ドメインではなく、ローカルマシンにログインしたユーザ) に限定的なアクセスを許可するための「非ドメインユーザには限定的なアクセスのみを許可」設定があります。これはターミナルサービスユーザに対して、他の SSO ユーザに対してと同様に作用します。

ネットワーク内に非 Windows 機器やパーソナルファイアウォールが動作している Windows コンピュータがある場合は、「ユーザの監視を右記で行う」チェックボックスを選択して、SSO エージェントがどちらで設定されているかによって、「NetAPI」または「WMI」ラジオボタンを選択します。これにより、SonicWALL が、SSO エージェントに対してユーザを識別するように要求するのに先立って、NetAPI/WMI ポートで応答を監視するようになります。応答がない場合、これらの機器は即時に SSO を失敗します。そのような機器は、SSO エージェントがユーザを識別するために使用するウィンドウズネットワーキングメッセージに応答しない、またはそれを遮断します。

ターミナルサーバからの非ユーザトラフィック

非ユーザ接続は、Windows の更新とアンチウイルスの更新のためにターミナルサーバから開かれます。TSA はログインサービスからの接続を非ユーザ接続であると認識することができ、装置への通知の中でこれを示します。

これらの非ユーザ接続の処理を制御するため、装置の TSA 設定で「ターミナルサーバの非ユーザトラフィックにはアクセスルールでのユーザ認証を免除する」チェックボックスが用意されています。このチェックボックスを選択すると、これらの接続が許可されます。このチェックボックスを選択しないと、これらのサービスはローカルユーザとして扱われます。その場合、「非ドメインユーザには限定的なアクセスのみを許可」設定を選択し、対応するサービス名を使用して装置上でユーザアカウントを作成することにより、アクセスを許可することができます。

ブラウザ NTLM 認証の動作

トピック:

•

ドメインユーザの NTLM 認証

•

非ドメインユーザの NTLM 認証

•

ブラウザでの NTLM 認証の資格情報

ドメインユーザの NTLM 認証

ドメインユーザに対しては、NTLM 応答は MSCHAP メカニズムを介して RADIUS で認証されます。装置で RADIUS を有効にする必要があります。

NTLM 認証を設定する際には、SSO 設定の「ユーザ」タブの以下の設定が適用されます。

•

ローカルに登録されたユーザのみ許可する

•

ローカルデータベースでシンプルなユーザ名を使用する

•

ユーザグループのメンバーシップの設定方法 (LDAP またはローカル)

•

LDAP ユーザ名を複製してユーザグループメンバーシップをローカルで設定可能にする (ユーザグループメンバーシップの方式が LDAP の場合に LDAP 設定で設定)

•

ポーリング間隔

非ドメインユーザの NTLM 認証

NTLM を使うと、非ドメインユーザはドメインではなく PC にログインするユーザになることができ、または、ユーザ名とパスワードを要求されて、ドメインの資格情報ではない情報を入力するユーザになることができます。どちらの場合も、NTML は、そうしたユーザとドメインユーザを区別します。

ユーザ名が SonicWALL 上のローカルユーザアカウントと一致すると、NTLM 応答はそのアカウントのパスワードに対してローカルで確認されます。成功した場合は、ユーザはログインしてアカウントに基づいた権限が与えられます。ユーザグループメンバーシップは、LDAP からではなく、ローカルアカウントから設定され、そして (パスワードがローカルで確認されたため) Trusted Users グループのメンバーシップを含みます。

ユーザ名がローカルユーザアカウントと一致しないと、ユーザはログインされません。NTLM を介して認証されたユーザに対しては、「非ドメインユーザには限定的なアクセスのみを許可」オプションは適用されません。

ブラウザでの NTLM 認証の資格情報

NTLM 認証では、ブラウザはドメインの資格情報も使う (ユーザがドメインにログインする場合) ため、完全なシングルサインオン機能を提供する、または、アクセスするウェブサイト (この場合は SonicWALL) のユーザ名とパスワードを入力するようユーザに要求します。ユーザがドメインにログインする場合は、種々の要因がドメインの資格情報を使うためのブラウザの機能に影響します。これらの要因は、使用するブラウザの種別に依存します。

•

インターネットエクスプローラ (9.0 以降) - ファイアウォール (Dell SonicWALL 装置) にログインするウェブサイトがローカルイントラネットにある場合は、インターネットオプションの「セキュリティ」タブに応じて、ユーザのドメイン資格情報を使用して透過的に認証します。これには、インターネットオプションのローカルイントラネットゾーンのウェブサイトのリストに、SonicWALL を追加する必要があります。

これは、ドメイングループポリシーのコンピュータの構成￥管理用テンプレート￥Windows コンポーネント￥Internet Explorer￥インターネットコントロールパネル￥セキュリティページの下の、サイトとゾーンの割り当て一覧から実行できます。

•

Google Chrome - インターネットオプションのローカルイントラネットゾーンのウェブサイトのリストに、ファイアウォールを追加することが必要であることを含めて、インターネットエクスプローラと同じように振舞います。

•

Firefox - ファイアウォールにログインするウェブサイトが、設定 (Firefox のアドレスバーに about:config を入力することによりアクセスする) 内の network.automatic-ntlm-auth.trusted-uris エントリにリストされている場合は、ユーザのドメイン資格情報を使用して透過的に認証します。

•

Safari - Safari は NTLM をサポートしていますが、現状ユーザのドメイン資格情報を使った完全な透過的ログオンはサポートしていません。


	補足：Safari は、Windows プラットフォーム上では動作しません。

•

非 PC プラットフォーム上のブラウザ - Linux や Mac などの非 PC プラットフォームは、Samba を通して Windows ドメイン内のリソースにアクセスできますが、Windows PC が行うような "PC がドメイン内にログインする" という概念がありません。したがって、そのようなプラットフォーム上のブラウザは、ユーザのドメイン資格情報にアクセスできず、それらを NTLM に使用できません。

ユーザがドメインにログインしていない、または、ブラウザがユーザのドメイン資格情報を使えない場合は、名前とパスワードを入力するように求められるか、事前にユーザが保存するように設定している場合は、キャッシュされた資格情報が使われます。

すべてのケースで、万一ユーザのドメイン資格情報の使用時に認証が失敗した場合は (ユーザがアクセスを得るために必要な権限を持たないために可能性がある) 、ブラウザはユーザに名前とパスワードの入力を求めます。これにより、ユーザはドメイン資格情報とは別の資格情報を入力してアクセスを得ることが可能になります。


	補足：シングルサインオンを適用するために NTLM が有効である場合は、「許可するユーザ」として Trusted Users が設定されている HTTP/HTTPS アクセスルールを、「ファイアウォール > アクセスルール」ページの「LAN から WAN」のルールに追加する必要があります。このルールは、ユーザに対する NTLM 認証要求をトリガします。このアクセスルールがない場合、アクセスを制限するコンテンツフィルタポリシーなどの他の設定によって、ユーザはインターネットアクセスを遮断され、認証要求ができない可能性があります。

RADIUS アカウントシングルサインオンの動作

RADIUS アカウントは、ネットワークアクセスサーバ (NAS) がアカウントサーバにユーザログインセッションアカウントメッセージを送信するためのメカニズムとして、RFC 2866 によって規定されています。このメッセージは、ユーザのログイン時およびログオフ時に送信されます。オプションで、ユーザのセッション中に定期的に送信することもできます。

ユーザが (一般にリモートアクセスや無線アクセス用に) サードパーティネットワークアクセス装置を使用してユーザ認証を行い、その装置が RADIUS アカウントをサポートしている場合、Dell SonicWALL 装置を RADIUS アカウントサーバとして使用でき、ユーザのネットワークアクセスサーバから送信された RADIUS アカウントメッセージをネットワークのシングルサインオン (SSO) に使用できます。

リモートユーザがサードパーティ装置を使用して接続すると、そのサードパーティ装置は (RADIUS アカウントサーバとして設定されている) Dell SonicWALL 装置へアカウントメッセージを送信します。Dell SonicWALL 装置は、アカウントメッセージの情報に基づいて、そのユーザをログインユーザの内部データベースに追加します。

ユーザがログアウトすると、サードパーティ装置は Dell SonicWALL 装置へまたアカウントメッセージを送信します。Dell SonicWALL 装置はそこでユーザをログアウトさせます。


	補足：ネットワークアクセスサーバ (NAS) が RADIUS アカウントメッセージを送信するとき、ユーザが RADIUS で認証されている必要はありません。サードパーティ装置がユーザの認証に LDAP、ローカルデータベース、またはその他のメカニズムを使用していても、NAS は RADIUS アカウントメッセージを送信できます。

RADIUS アカウントメッセージは暗号化されません。RADIUS アカウントは要求認証子と共有鍵を使用するので、本質的にスプーフィングから保護されます。RADIUS アカウントを使用するには、RADIUS アカウントメッセージを送信できるネットワークアクセスサーバ (NAS) のリストが装置に設定されている必要があります。この設定では、各 NAS の IP アドレスと共有鍵を指定します。

トピック:

•

RADIUS アカウントメッセージ

•

Dell SonicWALL とサードパーティネットワーク装置の互換性

•

•

•

•

RADIUS アカウントメッセージ

RADIUS アカウントには、以下の2 種類のアカウントメッセージが使用されます。

•

Accounting-Request

•

Accounting-Response

Accounting-Request では、Status-Type 属性で指定される以下の 3 種類の要求種別の 1 つを送信できます。

•

Start －ユーザのログイン時に送信されます。

•

Stop －ユーザのログアウト時に送信されます。

•

Interim-Update －ユーザのログインセッション中、定期的に送信されます。

アカウントメッセージは、RFC 2866 で規定されている RADIUS 標準に準じます。各メッセージには、一連の属性と、共有鍵で確認される 1 個の認証子が含まれます。

Accounting-Requests では、SSO に関連する次の属性が送信されます。

•

Status-Type －アカウント要求の種別 (Start、Stop、または Interim-Update)。

•

User-Name －ユーザのログイン名。形式は RFC で指定されていないので、単純なログイン名だけにすることも、ログイン名、ドメイン、識別名 (DN) など各種値の文字列にすることもできます。

•

Framed-IP-Address －ユーザの IP アドレス。NAT が使用される場合は、ユーザの内部 IP アドレスにする必要があります。

•

Calling-Station-Id － Aventail など一部の装置で使用される、ユーザの IP アドレスの文字列表現。

•

Proxy-State －要求を別の RADIUS アカウントサーバへ転送するために使用されるパススルー状態。

Dell SonicWALL とサードパーティネットワーク装置の互換性

RADIUS アカウントを介した SSO を使用するにあたり、Dell SonicWALL 装置とサードパーティネットワーク装置の互換性を確保するには、そのサードパーティ装置が次の要件を満たす必要があります。

•

RADIUS アカウントをサポートする。

•

Start および Stop メッセージの両方を送信する。Interim-Update メッセージの送信は必須ではありません。

•

ユーザの IP アドレスを Start および Stop メッセージの Framed-IP-Address 属性または Calling-Station-Id 属性のいずれかで送信する。


	補足：NAT を使用してユーザの外部パブリック IP アドレスを変換するリモートアクセスサーバの場合、内部ネットワークで使用される内部 IP アドレスがこの属性に指定され、その IP アドレスがユーザの一意の IP アドレスである必要があります。これらの属性の両方を使用する場合、Framed-IP-Address 属性は内部 IP アドレスを使用し、Calling-Station-Id 属性は外部 IP アドレスを使用する必要があります。

Start メッセージと Interim-Update メッセージの User-Name 属性でユーザのログイン名を送信する必要があります。Stop メッセージの User-Name 属性でもユーザのログイン名を送信できますが、これは必須ではありません。User-Name 属性には、ユーザのアカウント名を含める必要があり、同時にドメイン名も含めることができます。または、ユーザの識別名 (DN) を含める必要があります。

プロキシ転送

RADIUS アカウントサーバとして使用する Dell SonicWALL 装置は、ネットワークアクセスサーバ (NAS) ごとに最大 4 つの他の RADIUS アカウントサーバへ要求をプロキシ転送できます。各 RADIUS アカウントサーバは、NAS ごとに個別に設定できます。

NAS ごとに設定の詳細を再入力する手間を省くには、SonicOS を使用して、設定されているサーバのリストから各 NAS の転送を選択できます。

各 NAS クライアントのプロキシ転送設定には、タイムアウトと再試行回数が含まれます。2 つ以上のサーバへ要求を転送する方法は、以下のオプションを選択して設定できます。

•

タイムアウト時に次のサーバを試行する

•

すべてのサーバに転送する

非ドメインユーザ

RADIUS アカウントサーバに報告されたユーザは、以下の場合にローカル (非ドメイン) ユーザと認識されます。

•

ユーザ名がドメイン名なしで送信されており、LDAP でサーバのドメインを検索するように設定されていない。

•

ユーザ名がドメイン名なしで送信されており、LDAP でサーバのドメインを検索するように設定されているが、そのユーザ名が見つからなかった。

•

ユーザ名はドメイン名と一緒に送信されたが、LDAP データベース内でそのドメインが見つからなかった。

•

ユーザ名はドメイン名と一緒に送信されたが、LDAP データベース内でそのユーザ名が見つからなかった。

RADIUS アカウントで認証される非ドメインユーザは、他の SSO メカニズムで認証されるユーザと同じ制約を受け、さらに以下の制限が適用されます。

•

「非ドメインユーザには限定的なアクセスのみ許可する」がオンになっている場合のみ、ユーザはログインできます。

•

ユーザは「Trusted Users」グループのメンバーにはなりません。

IPv6 に関する考慮事項

RADIUS アカウントでは、ユーザの IPv6 アドレスを含めるために以下の属性が使用されます。

•

Framed-Interface-Id / Framed-IPv6-Prefix

•

Framed-IPv6-Address

現時点では、これらの IPv6 属性はすべて無視されます。

機器によっては、IPv6 アドレスを Calling-Station-ID 属性にテキストとして渡してくるものもあります。

有効な IPv4 アドレスが含まれていないと、Calling-Station-ID も無視されます。

IPv6 アドレス属性が含まれていて、IPv4 アドレス属性が含まれていない RADIUS アカウントメッセージは、プロキシサーバへ転送されます。プロキシサーバが設定されていない場合は、IPv6 属性は破棄されます。

RADIUS アカウントサーバポート

RADIUS アカウントは、通常、UDP ポート 1646 または 1813 を使用します。UDP ポート 1813 は、IANA 指定のポートです。UDP ポート 1646 は、以前の非公式標準ポートです。Dell SonicWALL 装置は、既定ではポート 1812 でリッスンします。RADIUS アカウントポートとして別のポート番号を設定することもできますが、リッスンできるのは 1 つのポートのみです。したがって、複数のネットワークアクセスサーバ (NAS) を使用する場合は、同じポート番号で通信するようにすべての NAS を設定する必要があります。

複数管理者サポートの概要

このセクションでは、複数管理者サポート機能の概要を説明します。

トピック:

•

複数管理者サポートとは

•

メリット

•

複数管理者サポートの動作

複数管理者サポートとは

これまでのバージョンの SonicOS は、完全な管理者権限で SonicWALL にログオンできる管理者は 1 人だけでした。他のユーザに "Limited Administrators (制限付き管理者)" のアクセス権を付与することはできますが、SonicOS GUI のあらゆる領域を変更できる完全なアクセス権を複数の管理者が同時に持つことはできません。

SonicOS では、複数管理者の同時アクセスがサポートされています。この機能により、複数のユーザが完全な管理者権限でログインできるようになりました。既定の admin ユーザ名に加え、他の管理者ユーザ名を作成できます。

複数の管理者が同時に設定を変更することによって競合が生じる可能性もあるため、設定の変更は 1人の管理者にのみ許可されています。その他の管理者には GUI に対する完全なアクセス権が付与されますが、設定を変更することはできません。

メリット

複数管理者サポートには、次のようなメリットがあります。

•

生産性の向上 - SonicWALL に対して複数の管理者が同時にアクセスできるため、装置に対して 2 人の管理者が同時にアクセスした場合に一方の管理者が自動的にシステムからログアウトされる "自動ログアウト" が不要になります。

•

設定に伴うリスクの削減 - 新たに読み取り専用モードが追加されたため、意図しない設定変更を誤って実行してしまうリスクなしに、SonicWALL の現在の設定と状況を確認することができます。

複数管理者サポートの動作

以下のセクションでは、複数管理者サポート機能の動作について説明します。

•

•

•

•

設定モード

複数の管理者による同時アクセスを許可しつつ、複数の管理者が同時に設定を変更することによって競合が生じることがないように、次の設定モードが定義されています。

•

設定モード - 管理者に設定を編集するための完全な権限が割り当てられます。装置にログインしている管理者がいない場合、完全な管理者権限および制限付き管理者権限を持った (読み取り専用管理者以外の) 管理者には自動的に設定モードが適用されます。


	補足：完全な設定権限を持つ管理者は、コマンドラインインターフェース (CLI) を使ってログインすることもできます。

•

読み取り専用モード - 管理者は設定に変更を加えることは一切できませんが、管理 UI 全体を閲覧したり、監視操作を実行したりすることができます。

SonicWALL Read-Only Admins ユーザグループに属する管理者には読み取り専用アクセス権が付与され、他の設定モードにはアクセスできません。

•

非設定モード - 管理者は、読み取り専用グループと同じ情報を閲覧できるほか、設定の競合を引き起こすおそれのない管理操作を実行できます。

非設定モードにアクセスできるのは、SonicWALL Administrators ユーザグループに属する管理者だけです。既に設定モードを利用している管理者が存在するとき、新しい管理者が既存の管理者を先制しなかった場合は、このモードになります。既定では、設定モードを先制された管理者は、非設定モードに切り替わります。「システム > 管理」ページでこの動作を変更して、元の管理者がログアウトされるようにすることもできます。

次の表は、各種の設定モードで利用できるアクセス権をまとめたものです。なお、この表には制限付き管理者のアクセス権も記載されていますが、制限付き管理者が利用できる機能の一部が含まれていません。

表 150. 各種設定モードにおいて利用可能なアクセス権
機能	設定モードでの完全な管理者権限	非設定モードでの完全な管理者権限	読み取り専用管理者	制限付き管理者
証明書のインポート	X
証明書署名リクエストの生成	X
証明書のエクスポート	X
装置の設定のエクスポート	X	X	X
TSR のダウンロード	X	X	X
その他の診断の使用	X	X		X
ネットワーク設定	X			X
ARP キャッシュの消去	X	X		X
DHCP サーバの設定	X
VPN トンネルの再ネゴシエート	X	X
ユーザのログオフ	X	X		X ゲストユーザのみ
ロックアウトされたユーザのロック解除	X	X
ログの消去	X	X		X
ログのフィルタ	X	X	X	X
ログのエクスポート	X	X	X	X
ログの電子メール送信	X	X		X
ログ種別の設定	X	X		X
ログ設定	X			X
ログレポートの生成	X	X		X
完全な UI の参照	X	X	X
ログレポートの生成	X	X		X

ユーザグループ

複数管理者サポート機能では、次の 2 つの既定ユーザグループをサポートしています。

•

SonicWALL Administrators - このグループのメンバーには、設定を編集するための完全な管理者アクセス権が付与されます。

•

SonicWALL Read-Only Admins - このグループのメンバーには、完全な管理インターフェースを閲覧できる読み取り専用アクセス権が付与されます。設定を編集したり、完全な設定モードに切り替えることはできません。

これらの複数のユーザグループにユーザを追加することはお勧めできません。ただし、そのようにした場合は、次の動作が適用されます。

•

SonicWALL Administrators ユーザグループのメンバーを Limited Administrators ユーザグループまたは SonicWALL Read-Only Admins ユーザグループにも追加した場合、メンバーには完全な管理者権限が付与されます。

•

Limited Administrators ユーザグループのメンバーを SonicWALL Read-Only Admins ユーザグループに追加した場合、メンバーには制限付き管理者権限が付与されます。

管理者の先制時に適用される優先順位

既に装置にログインしている管理者を先制する場合、各種の管理者区分には、次の規則に従って優先順位が適用されます。

admin ユーザおよび SonicWALL グローバル管理システム (GMS) には、どちらも最も高い優先順位が適用され、すべてのユーザを先制できます。

SonicWALL Administrators ユーザグループに所属するユーザは、admin と SonicWALL GMS を除くすべてのユーザを先制できます。

Limited Administrators ユーザグループに所属するユーザは、Limited Administrators グループの他のメンバーを先制できます。

GMS と複数管理者サポート

SonicWALL GMS を使用して SonicWALL を管理している場合、GMS は各種のアクティビティ (GMS 管理の IPSec トンネルが正しく作成されたかどうかを確認するなど) を行う関係上、装置にログインする機会が多くなります。GMS はローカル管理者を先制できるため、このような GMS ログインが頻繁に生じることで、装置のローカル管理が困難になる場合があります。