ユーザ > 設定

RADIUS －ユーザ数が 1,000 人を超える場合、または SonicWALL のユーザ認証にさらなるセキュリティを付加したい場合に選択します。RADIUS を選択した場合、ユーザは SonicWALL に送るパスワードを暗号化するために HTTPS を使用して SonicWALL にログインする必要があります。ユーザが HTTP を使用して SonicWALL へのログインを試みた場合、ブラウザは自動的に HTTPS にリダイレクトされます。

LDAP に加えて RADIUS が必要とされることがあります。

•

LDAP は通常 CHAP/MSCHAP 認証をサポートしないため (Microsoft アクティブディレクトリと Novell eDirectory で不可)、 RADIUS が設定されている場合、Dell SonicWALL は RADIUS を介して CHAP/MSCHAP を認証します。

•

SSO に NTLM が使用されている場合は、RADIUS を介した MSCHAP モードでのみ認証できます。

•

CHAP/MSCHAP で RADIUS が必要とされるのは、L2TP サーバや VPN または SSL VPN クライアント (NetExtender、ポータルなど) で使用する場合です。NTLM でも必要とされることがあります。


	補足：RADIUS を CHAP 認証に使用するとき、CHAP 以外の認証には一般に LDAP がまだ使われます。

認証に RADIUS データベースを使用する方法の詳細については、RADIUS を使った認証を参照してください。

詳細な設定手順については、RADIUS 認証の設定以下を参照してください。

•

RADIUS + ローカルユーザ－認証に RADIUS とファイアウォールローカルユーザデータベースの両方を使用する場合に選択します。

•

LDAP － Lightweight Directory Access Protocol (LDAP) サーバ、Microsoft アクティブディレクトリ (AD) サーバ、または Novell eDirectory を使用してユーザアカウントデータを管理する場合に選択します。

認証に LDAP データベースを使用する方法の詳細については、LDAP/アクティブディレクトリ/イーディレクトリ認証の使用を参照してください。

詳細な設定手順については、SonicWALL 装置への LDAP の統合以下を参照してください。

•

LDAP + ローカルユーザ－認証に LDAP とファイアウォールローカルユーザデータベースの両方を使用する場合に選択します。

「シングルサインオン方式」は、以下から 1 つを選択します。


	補足：ユーザ認証にシングルサインオンを使用していない場合、以上のオプションをいずれも選択しないでください。

•

SSO エージェント－認証にアクティブディレクトリを使用していて、SonicWALL SSO エージェントが同じドメイン内のコンピュータにインストールされている場合に選択します。SSO の詳細な設定手順については、シングルサインオンの概要を参照してください。

•

ターミナルサービスエージェント－ターミナルサービスを使用していて、ターミナルサービスエージェント (TSA) が同じドメイン内のターミナルサーバにインストールされている場合に選択します。

•

ブラウザ NTLM 認証－ SSO エージェントまたは TSA を使わずにウェブユーザを認証したい場合に選択します。ユーザは HTTP トラフィックを送信すると即時に識別されます。NTLM は MSCHAP 認証にアクセスするために RADIUS (LDAP を使う場合は LDAP) が設定されている必要があります。上で LDAP が選択されている場合は、NTLM を選択した際に RADIUS のための独立した「設定」ボタンが現れます。

•

RADIUS アカウント－ネットワークアクセスサーバ (NAS) からアカウントサーバにユーザログインセッションアカウントメッセージを送信する場合に選択します。

ユーザアカウント名を照合する際に大文字と小文字を区別する場合は、「ユーザ名の大文字と小文字を区別する」を選択します。

複数の場所から同じユーザ名でネットワークに同時にログインできないようにするには、「多重ログインを禁止する」を選択します。この設定は、ローカルユーザと RADIUS/LDAP ユーザの両方に適用されますが、ユーザ名 admin の既定の管理者には適用されません。このオプションは、既定では選択されていません。

パスワードの変更後にユーザをログインさせるには、「パスワードが変更された後に再ログインを強制する」チェックボックスをオンにします。このオプションは、既定では選択されていません。

以下の「ワンタイムパスワード」のオプションを設定します。

•

ワンタイムパスワードの電子メール形式－「プレーンテキスト」または「HTML」を選択します。

•

ワンタイムパスワード形式－「英字」(既定値)、「英数字」、または「数字」をドロップダウンメニューから選択します。


	ヒント：パスワードの 2 つの値と共に形式を選択することで、パスワードの強度は「脆弱」、「良」、または「優秀」とされます。特に強力なパスワードは、「英字」または「英数字」を用いた長いパスワードです。特に脆弱なパスワードは、長さに関係なく「数字」を用いたパスワードです。

•

「ワンタイムパスワード長」では、最初のフィールドに最小の長さを、次のフィールドに最大の長さを入力します。最小と最大の長さは 4 ～ 14 文字の範囲で指定し、各フィールドの既定値は 10 です。最小の長さを最大の長さより大きくすることはできません。

ユーザウェブログインの設定

「認証ページの表示時間 (分)」フィールドには、ユーザがユーザ名とパスワードを使ってログインするまでの制限時間、つまりログインページがタイムアウトするまでの分数を入力します。ログインページがタイムアウトすると、再度ログインを試みる前に行うべきことを知らせるメッセージが表示されます。既定値は 1 分です。

ログイン認証ページが表示されている間はシステムリソースが消費されます。時間制限を設けてその間にログインしなければログインページを閉じるようにすることで、それらのリソースを解放します。

Dell SonicWALL 装置のウェブサーバにユーザのブラウザを最初にリダイレクトするときの方法を決めるために、「ブラウザをこの機器にリダイレクトする経路」ラジオボタンの中から、以下のオプションの 1 つを選択します。

•

インターフェースの IP アドレス - ブラウザを装置のウェブサーバインターフェースの IP アドレスにリダイレクトする場合に選択します。

•

インターフェース IP アドレスの逆引き DNS 調査によるドメイン名－「キャッシュの表示」ボタンが有効になります。このボタンを選択すると、装置のウェブサーバのインターフェース、IP アドレス、DNS 名、および TTL (秒) が表示されます。ユーザのブラウザをリダイレクトするために使われているドメイン名 (DNS 名) を確認する場合にこのボタンを選択します。「閉じる」を選択してダイアログを閉じます。

•

設定されたドメイン名－これを選択すると、「システム > 管理」ページで設定したドメイン名へのリダイレクトが有効化されます。


	補足：このオプションは、「システム > 管理」ページでドメイン名を指定した場合にのみ使用できます。指定していない場合、このオプションはグレーアウトされます。

•

管理証明書の名前－これを選択すると、設定されたドメイン名へのリダイレクトが適切な署名済み証明書により有効化されます。この管理証明書の名前へのリダイレクトが許可されるのは、インポートした証明書がそのページで HTTPS ウェブ管理用として選択してある場合です。


	補足：このオプションは、「システム > 管理」ページの「ウェブ管理設定」セクションで証明書を HTTPS 管理用としてインポートした場合にのみ使用できます。ウェブ管理設定を参照してください。


	ヒント：インポートした管理証明書を使用する場合は、このオプションを使います。管理証明書を使用するつもりがなければ、「設定されたドメイン名」オプションを選択します。

HTTPS 管理を行うときブラウザで無効な証明書の警告が表示されないようにするには、証明機関によって適切に署名された証明書 (管理証明書) をインポートする必要があります。内部的に生成された自己署名証明書はこの目的に合いません。この証明書は、当該装置およびそのホストドメイン名を対象として生成されたものでなければなりません。適切に署名された証明書は、装置のドメイン名を取得する最善の方法です。

管理証明書を使用する場合、証明書に関する警告が表示されないようにするには、ブラウザを IP アドレスではなく、そのドメイン名へリダイレクトする必要があります。例えば、インターネットをブラウズするとき、https://gateway.sonicwall.com/auth.html のログインにリダイレクトされる場合は、装置上の管理証明書が示すとおり装置は実際に gateway.sonicall.com なので、ブラウザはログインページを表示します。しかし、リダイレクト先が
https://10.0.02/auth.html の場合は、証明書の示す装置が gateway.sonicall.com であってもブラウザはそれが正しいか判断できないので、代わりに証明書に関する警告を表示します。

ログインページへのリダイレクトを制限するには、「ユーザのリダイレクトを制限する: 回 (1 分間のユーザ 1 人あたりの回数)」フィールドに回数を入力します。既定値は 10 回です。

リダイレクトを制限することで、Dell SonicWALL 装置のウェブサーバに過剰な負荷がかかる可能性が回避されます。ログインページへのリダイレクトを制限しないと、HTTP/HTTPS 接続がリダイレクトされる場合に、一部の不正ユーザが高い比率で何回も繰り返しページを開く可能性があるからです。

同じページへのリダイレクトをさらに制限するには、「同じページの反復的な取得をリダイレクトしない」チェックボックスをオンにします。このオプションは、既定では選択されています。

ユーザが HTTPS でログインした後の SonicWALL 経由のネットワーク接続に HTTP を使用したい場合には、「ログイン完了時にユーザを HTTPS から HTTP にリダイレクトする」を選択します。HTTPS は HTTP よりも多くのシステムリソースを消費するので、HTTPS でのログインユーザ数が多い場合には、HTTP へのリダイレクトを使用したほうがよいでしょう。このオプションは、既定では選択されています。このオプションを非選択にした場合、警告ダイアログが表示されます。

RADIUS ユーザが HTTP でログインする際に CHAP チャレンジを発行する場合は、「RADIUS CHAP モードでのログインを許可する」を選択します。これは、HTTPS を使わずに保護された接続を可能にします。RADIUS サーバがこのオプションをサポートしていることを確認してください。このオプションは、既定では選択されていません。


	補足：この方式を使用してログインする場合は、実行できる管理操作が制限されます。一部の操作で、装置が管理者のパスワードを知る必要があるからです。リモート認証サーバによる CHAP 認証では、装置がパスワードを知る必要はありません。したがって、この設定を有効化すると、管理ユーザグループに所属するユーザは管理目的でログインする場合に HTTPS を通して手動でログインしなければならないことがあります。この制限は組み込みの admin アカウントには適用されません。


	補足：LDAP を使用するとき、このメカニズムを標準的に利用するには、「ログインのための認証方法」を RADIUS に設定し、RADIUS に関する設定を行う際にユーザグループメンバーシップの設定メカニズムとして LDAP を選択します。

ユーザセッション設定

ファイアウォールを通して認証されるすべてのユーザに適用される設定を構成するには、次の手順に従います。

無動作状態が一定期間続いたらユーザをファイアウォールからログアウトさせる時間の長さを「無動作時タイムアウト (分)」フィールドで指定します。既定値は 15 分です。

「無動作時のユーザログアウトを防ぐために次のサービスからのトラフィックを許可しない」ドロップダウンメニューから、無動作ユーザのログアウトを阻止するサービスまたはサービスグループオプションを選択します。このオプションを有効化すると、ユーザはログアウトではなく非アクティブ化されるので、システムのオーバーヘッドが減り、寿命が超過した認証済みユーザを再度識別する場合に生じる遅延が回避されます。無動作ユーザはシステムリソースを消費しませんが、「ユーザ > 状況」ページには表示されます。既定は「なし」です。

以下の「ユーザが識別されていない接続のログ記録」オプションで、実行するログ記録の種類 (「ユーザ名をログに記録しない」または「ユーザ名をログに記録する」) を選択し、必要に応じてログユーザ名も選択します。

•

SSO がユーザの識別に失敗した場合:ユーザ名をログに記録する－不明 SSO 失敗 (既定値)

•

SSO をバイパスする接続の場合:ユーザ名をログに記録する－ SSO バイパス (既定値)


	補足：このオプションは、「シングルサインオン認証設定」ダイアログの「強制」タブの「SSO バイパス」セクションで設定できます。

•

発信元が外部である接続の場合:ユーザ名をログに記録しない (既定値);「ユーザ名をログに記録する」を選択した場合、既定のユーザ名は不明 (外部)

•

その他の識別できない接続の場合:ユーザ名をログに記録しない (既定値);「ユーザ名をログに記録する」を選択した場合、既定のユーザ名は不明

ユーザが Dell SonicWALL 装置からログアウトした後も残るユーザの接続をどう処置するかを「ログアウト時の残りのユーザ接続に対する動作」オプションで指定します。


ログアウトの種類	アクション
ログアウトの種類	ユーザ認証を必要とする接続の場合 ¹	その他の接続の場合 ²
無動作によるログアウト時の動作	接続を維持 (既定値) 接続を終了次の時間経過後に終了: ... 分	接続を維持 (既定値) 接続を終了次の時間経過後に終了: ... 分
能動的/報告対象ログアウト時の動作	接続を維持接続を終了 (既定値) 次の時間経過後に終了: ... 分	接続を維持接続を終了次の時間経過後に終了: 15 分 (既定値)

特定のユーザのみを許可するアクセスルールによる接続に対して適用されます。

特定のユーザ認証要件を備えていないその他の接続に対して適用されます。

以下に対しては、別の動作を設定できます。

•

無動作によるログアウト (ユーザがドメイン/コンピュータにそのままログインし続ける場合とそうでない場合がある)

•

ユーザによる能動的なログアウト、または Dell SonicWALL 装置へのユーザログアウトの報告 (後者は通常、ユーザがドメイン/コンピュータからログアウトしたことを意味する)

SSO で認証されたユーザのユーザセッション設定

SSO で認証された無動作ユーザの処置を指定するには、次の手順に従います。

Dell SonicWALL 装置から SSO メカニズムを通して識別されたユーザを、そのユーザからのトラフィックをまだ受け入れていない段階で、無動作状態にしてリソースが消費されないようにするには、「ログインの通知時にトラフィックを送信するまではユーザを無動作状態にする」チェックボックスをオンにします。ユーザの無動作状態はトラフィックを受け取るまで続きます。このオプションは、既定では選択されています。

SSO メカニズムによっては、Dell SonicWALL 装置がユーザを能動的に再識別する仕組みを提供していない場合があり、そのようなメカニズムで識別されたユーザからトラフィックが送られてこないと、装置が最終的にユーザのログアウト通知を受け取るまで、ユーザは無動作状態のままになります。それ以外の再識別可能なユーザは、無動作状態のままトラフィックを送信しないと、Step 3 で設定できる期間を超過したときに寿命超過で削除されます。

能動的にログインして SSO で識別されたユーザが無動作によりタイムアウトした場合、再識別されなければユーザは無動作状態に戻ります。何も処置しなければ無動作によりログアウトするところのユーザを無動作状態に戻すには、「無動作タイムアウト時にユーザをログアウトさせるのではなく無動作にする」チェックボックスをオンにします。これを行うと、オーバーヘッドが減り、動作状態に復帰するユーザを再識別する場合に生じる遅延が回避されます。このオプションは、既定で選択されています。

無動作ユーザが寿命超過処置の対象となる場合、無動作状態のままトラフィックを送信しなかったとき寿命超過で削除されるまでのタイムアウト時間 (分) を設定できます。具体的には、「無動作ユーザを寿命超過させる時間 (分)」チェックボックスをオンにし、フィールドにタイムアウト時間を入力します。この設定は既定で選択されています。最小タイムアウト値は 10 分、最大値は 10000 分、デフォルト値は 60 分です。


	補足：無動作ユーザと動作中のユーザを区別する理由はユーザの管理に使われるリソースの消費を抑えるためであり、寿命超過タイマーは 10 分間隔で更新されます。そのため、無動作ユーザが実際に削除されるまでの時間は、ここで設定した時間よりも最大 10 分長くなります。

ウェブログインのユーザセッションの設定

ウェブ接続のログインセッション時間の制限を有効にする:ウェブログインからファイアウォールにログインするユーザのログイン時間を制限するには、このチェックボックスをオンにし、「ログインセッション時間の制限 (分)」フィールドに時間を分単位で入力します。この設定は既定で選択されています。既定値は 30 分です。

ユーザログイン状況ウィンドウを表示する－ウェブログインからログインするユーザについて、ユーザのセッション中に「ログアウト」ボタン付きの状況ウィンドウが表示されます。ユーザは、「ログアウト」ボタンを選択することにより、セッションからログアウトすることができます。


	補足：ユーザのセッション中は、このウィンドウをずっと開いておかなければなりません。ウィンドウを閉じると、ユーザはログアウトします。


	重要：このオプションを有効化しないと、状況ウィンドウは表示されず、ユーザがログアウトできないことがあります。その場合は、ログインセッション時間の制限を設けてユーザを最終的にログアウトさせなければなりません。

「ユーザログイン状況」ウィンドウには、ログインセッションの残りの分数が表示されます。ユーザは、数値を入力して「更新」ボタンを選択することで、残りの分数を短く設定し直すこともできます。

このオプションを有効化すると、そのウィンドウから送られてくるハートビートを監視するメカニズムも有効化し、ログアウトせずに切断されたユーザを検知してログアウトさせることができます。

ユーザが SonicWALL Administrators グループまたは Limited Administrators グループのメンバーである場合、「ユーザログイン状況」ウィンドウには「管理」ボタンが表示されます。このボタンを選択すると、SonicWALL の管理インターフェースに自動的にログインできます。管理ユーザの「ユーザログイン状況」ウィンドウを無効にする方法の詳細については、ユーザログイン状況ポップアップの無効化を参照してください。グループの設定手順については、ローカルグループの設定を参照してください。

•

ユーザログイン状況ウィンドウが、ハートビートを送信する間隔 (秒) －ユーザの有効な接続が保持されているかどうかを確認するためのハートビート信号の周期を設定します。ハートビート信号の周期は、最小 10 秒、最大 65530 秒で、既定値は 120 秒です。

切断されたユーザの検出を有効にする－接続が有効でなくなったユーザを検出すると、ファイアウォールはそのセッションを終了させます。このオプションは、既定で選択されています。

•

ユーザログイン状況ウィンドウから、次の時間ハートビートがなかった場合に切断とみなす (分): ハートビートからの応答がなかった場合に、ユーザセッションを終了するまでの時間を設定します。ユーザセッションを終了するまでの遅延時間は、最小 1 分、最大 65535 分で、既定値は 10 分です。

ユーザのログイン状況ウィンドウを、ポップアップウィンドウではなく、同じウィンドウ内に表示する場合は、「ポップアップではなく、同一ウィンドウ内にユーザのログイン状況ウィンドウを開く」チェックボックスをオンにします。

その他のグローバルユーザ設定

ここで指定する HTTP URL では、ユーザ認証のアクセスルールがバイパスされます。このセクションでは、ユーザが認証なしで接続できる URL のリストを定義します。

リストに URL を追加するには、以下の手順に従います。

URL リストの下の「追加」を選択します。「URL の追加」ダイアログが表示されます。

「URL の入力」フィールドに、追加したいトップレベルの URL (例えば、www.sonicwall.com) を入力します。この URL の配下のすべてのサブディレクトリ (例えば、
www.sonicwall.com/us/Support.html) が含められます。

「OK」を選択してリストに URL を追加します。メッセージが表示されます。

「適用」を選択します。

規約の承諾

規約承諾 (AUP) は、ネットワークやインターネットにアクセスするためにユーザが従う必要のあるポリシーです。多くの企業や教育施設では、社員や学生が SonicWALL を使用してネットワークやインターネットにアクセスする前に、規約の承諾に同意するよう求めるのが一般的です。

「規約の承諾」セクションでは、ユーザのために表示する AUP メッセージウィンドウを作成できます。メッセージの本文には HTML フォーマットを使用できます。「サンプルテンプレート」ボタンを選択すると、AUP ウィンドウ用に書式設定済みの HTML テンプレートが挿入されます (サンプルテンプレートを参照)。

•

規約の承諾を要求する - ユーザがログインしたときに規約承諾画面を表示するネットワークインターフェースを選択します。「保護ゾーン」(既定値)、「WAN ゾーン」、「公開ゾーン」(既定値)、「無線ゾーン」、「VPN ゾーン」を任意に組み合わせて選択できます。

•

ウィンドウサイズ (ピクセル) － AUP ウィンドウのサイズをピクセル単位で指定できます。

•

「ウィンドウでスクロールバーを有効にする」を選択すると、AUP ウィンドウの内容をスクロールできるようになります。次の両方を指定します。

•

幅:最小 400 ピクセル、最大 1280 ピクセルで、既定値は 460 ピクセルです。

•

高さ:最小 200 ピクセル、最大 1024 ピクセルで、既定値は 310 ピクセルです。

•

ウィンドウでスクロールバーを有効にする - ウィンドウの表示サイズに内容が収まりきらない場合、スクロールバーが表示されます。この設定はデフォルトで有効になっています。

•

規約承諾画面の内容 - 規約承諾のテキストを、このフィールドに入力します。HTML フォーマットを含めることができます。ユーザに対して表示するページには、ユーザによる確認のための「承諾する」ボタンと「キャンセル」ボタンが含まれます。

トピック:

•

サンプルテンプレート

•

プレビューメッセージ

サンプルテンプレート

「サンプルテンプレート」ボタンを選択すると、既定の AUP テンプレートの内容が表示されます。この内容は自由に変更することができます。

<center>SonicWALL へようこそ</center>

<center>ここに規約を記述します。

</td></tr>

</table>

これらの規約を承諾して続行するには「承諾する」を選択してください。

そうでない場合は「キャンセル」を選択してください。

プレビューメッセージ

「画面の確認」ボタンを選択すると、作成した AUP メッセージがどのようにユーザに表示されるかを確認できます。

ログインページのユーザ定義

SonicOS では、ユーザに表示されるログイン認証ページのテキストをユーザ定義する機能を提供します。管理者は自身の言語にログイン関連ページを翻訳して、変更を適用して再起動することなく反映できます。

SonicOS インターフェース全体は異なる言語で利用可能ですが、管理者はユーザインターフェース全体の言語を特定の地域の言語に変更したくない場合があります。

しかしながら、ユーザが他のネットワークにアクセス可能になる、または外部アクセスサービス (例:VPN、SSL-VPN) を有効にする前に、ファイアウォールが認証を要求する場合に、それらのログイン関連ページを一般的なユーザがより使いやすいようにローカライズすることができます。

「ログインページのユーザ定義」には次の機能があります。

•

既定では元のログインのスタイルを維持する

•

ログイン関連ページをカスタマイズする

•

既定のログイン関連ページをテンプレートして使用する

•

カスタマイズしたページをシステムプリファレンスに保存する

•

変更内容をプリファレンスに保存する前に確認する

•

カスタマイズしたログイン関連ページを一般的なユーザに提示する

以下のログイン関連ページをユーザ定義できます。

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

このいずれかのページをユーザ定義するには、以下の手順を実行します。

「ユーザ > 設定」ページで、「ログインページのユーザ定義」セクションまで下にスクロールします。

カスタマイズするページを「ログインページの選択」ドロップダウンメニューから選択します。

ページの下部までスクロールし、「既定」を選択して既定のページ内容をロードします。

ページ内容を編集します。


	補足：テンプレートページにある "var strXXX =" という行は、ユーザ定義の JavaScript 文字列です。これらは好きな語句に変更できます。変更する場合は、JavaScript の構文に従ってください。HTML セクションの語句も編集できます。

「プレビュー」を選択して、ユーザ定義したページがどのように表示されるか確認します。

ページの編集が完了したら、「適用」を選択します。

表示するページを既定のページに戻すには、「ログインページの内容」フィールドを空白のまま変更を適用します。


	注意：ユーザ定義ログインページを配備する前にそのページの HTML をよく確認してください。HTML エラーがあると、ログインページが正しく機能しなくなる場合があります。ユーザ定義ログインページに問題が発生した場合に備えて、管理者は常に代替ログインページを使用できます。代替ログインページにアクセスするには、https://(device_ip)/defauth.html という URL をブラウザのアドレス行に直接手動で入力します (大文字と小文字は区別されます)。これによって、ユーザ定義の加えられていない既定のログインページが表示されるので、ここから通常どおりにログインし、ユーザ定義のログイン関連ページをリセットできます。