第65章ユーザと認証設定の管理

第65章ユーザと認証設定の管理

ユーザ管理

この章では、ローカル認証およびリモート認証を可能にする、ＳｏｎｉｃＷＡＬＬセキュリティ装置のユーザ管理機能について説明します。この章は、次のセクションから構成されています。

･「ユーザ管理の概要」

･「「ユーザ＞状況」での状況の表示」

･「「ユーザ＞設定」の設定」

･「ローカルユーザの設定」

･「ローカルグループの設定」

･「ＲＡＤＩＵＳ認証の設定」

･「ＳｏｎｉｃＯＳでのＬＤＡＰ統合の設定」

･「シングルサインオンの設定」

･「複数管理者サポートの設定」

ユーザ管理の概要

詳細については、次の各セクションを参照してください。

･「ローカルユーザおよびローカルグループを使った認証」

･「ＲＡＤＩＵＳを使った認証」

･「ＬＤＡＰ／アクティブディレクトリ／イーディレクトリ認証」

･「ワンタイムパスワード」

･「シングルサインオンの概要」

･「複数管理者サポートの概要」

ＳｏｎｉｃＷＡＬＬセキュリティ装置には、ユーザレベルの認証メカニズムが用意されています。これにより、ユーザがインターネット上の離れた場所からＬＡＮにアクセスできるようにしたり、インターネットへのアクセスを試みるＬＡＮユーザに対して、コンテンツフィルタポリシーを適用またはバイパスすることが可能になります。また、認証されたユーザだけに、ＶＰＮトンネルにアクセスし、暗号化された接続を通してデータを送信することを許可することもできます。ユーザが異なるゾーン（ＷＡＮ、ＶＰＮ、ＷＬＡＮなど）のネットワークリソースにアクセスしようとすると、そのユーザは直ちにＳｏｎｉｃＷＡＬＬによって認証され、ネットワークトラフィックはそこで初めてＳｏｎｉｃＷＡＬＬを通過することになります。ユーザがＬＡＮ上のコンピュータにログインしたとしても、ローカルタスクしか実行しなければ、ＳｏｎｉｃＷＡＬＬによる認証は行われません。ユーザレベル認証は、ローカルユーザデータベース、ＬＤＡＰ、ＲＡＤＩＵＳを使って実行できるほか、ローカルデータベースにＬＤＡＰまたはＲＡＤＩＵＳを組み合わせて実行するることもできます。ＳｏｎｉｃＯＳは、さらに、シングルサインオン（ＳＳＯ）機能を備えています。ＳＳＯをＬＤＡＰと組み合わせて使用できます。ＳｏｎｉｃＷＡＬＬ上のローカルデータベースは、最大で１,０００ユーザをサポートできます。ユーザ数が１,０００人を超える場合は、認証にＬＤＡＰまたはＲＡＤＩＵＳを使用する必要があります。

ローカルユーザおよびローカルグループを使った認証

ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ユーザやグループの情報を格納するためのローカルデータベースを備えています。このローカルデータベースを使ってユーザを認証したり、ネットワークへのアクセスを制御したりするようにＳｏｎｉｃＷＡＬＬを設定できます。この目的において、ネットワークにアクセスするユーザ数が比較的少ない場合は、ＬＤＡＰまたはＲＡＤＩＵＳではなく、ローカルデータベースの使用をお勧めします。一度作成してしまえば管理はさほど難しくありませんが、多数のユーザやグループのエントリを作成するには時間がかかります。ユーザ数が多いネットワークでは、ＬＤＡＰサーバまたはＲＡＤＩＵＳサーバを使った認証の方が効率的です。

コンテンツフィルタサービス（ＣＦＳ）のポリシーをユーザに適用するには、そのユーザがローカルグループのメンバーであること、および、ＣＦＳポリシーがそのグループに適用されていることが必要です。ＣＦＳを使用する場合、ＬＤＡＰまたはＲＡＤＩＵＳを単独で使用することはできません。ＬＤＡＰまたはＲＡＤＩＵＳに、ローカル認証を組み合わせて使用する必要があります。ＣＦＳポリシーを使用するために認証方式を組み合わせる場合、ローカルのグループ名とＬＤＡＰまたはＲＡＤＩＵＳのグループ名とを完全に一致させる必要があります。「ＬＤＡＰ＋ローカルユーザ」の認証方式を使用した場合、ＬＤＡＰサーバからＳｏｎｉｃＷＡＬＬ上のローカルデータベースにグループをインポートできます。こうすることで、対応するグループを簡単に作成できます。対応するグループを作成すれば、ＣＦＳポリシーを適用できるようになります。

ローカルユーザとグループアカウントは、ＳｏｎｉｃＯＳのユーザインターフェースから作成できます。ユーザを追加できるほか、任意のユーザの設定を編集することも可能です。例えば、次のような設定を編集できます。

･グループメンバーシップ－ユーザは１つまたは複数のローカルグループに所属できます。既定では、すべてのユーザがＥｖｅｒｙｏｎｅグループおよびＴｒｕｓｔｅｄＵｓｅｒｓグループに所属します。ユーザからこれらのグループのメンバーシップを削除したり、他のグループのメンバーシップを追加したりできます。

･ＶＰＮアクセス－このユーザによって開始されたＶＰＮクライアントがアクセス可能なネットワークを設定できます。ＶＰＮアクセスを設定する際は、ネットワークのリストから選択できます。ネットワークは、対応するアドレスグループまたはアドレスオブジェクトの名前で指定します。
補足　ユーザとグループに対するVPNアクセス設定は、ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒおよびＳＳＬＶＰＮ仮想オフィスブックマークを使ってネットワークリソースにアクセスするリモートクライアントの能力に影響します。ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒ、または、仮想オフィスのユーザがネットワークリソースへアクセスすることを許可するには、ネットワークアドレスオブジェクトかグループを、「ＶＰＮアクセス」タブの ”許可” リストに追加する必要があります。

ローカルグループを追加したり編集したりすることもできます。グループでは、次のような設定を編集できます。

･グループ設定－管理者グループに対して、ログイン状況ポップアップウィンドウをアクティブにすることなく管理インターフェースへのログインを許可するよう、ＳｏｎｉｃＯＳを設定することができます。

･グループメンバー－グループのメンバーとして、ローカルユーザまたは他のローカルグループを追加できます。

･ＶＰＮアクセス－グループのＶＰＮアクセスは、ユーザのＶＰＮアクセスと同じ方法で設定できます。このグループのメンバーによって開始されたＶＰＮクライアントがアクセス可能なネットワークを設定できます。ＶＰＮアクセスを設定する際は、ネットワークのリストから選択できます。ネットワークは、対応するアドレスグループまたはアドレスオブジェクトの名前で指定します。

･ＣＦＳポリシー－グループのメンバーに対して、コンテンツフィルタ（ＣＦＳ）ポリシーを適用できます。ＣＦＳポリシー設定を利用するには、ＳｏｎｉｃＷＡＬＬでプレミアムコンテンツのフィルタサービスを利用するためのライセンスが必要です。

ＲＡＤＩＵＳを使った認証

ＲＡＤＩＵＳ（ＲｅｍｏｔｅＡｕｔｈｅｎｔｉｃａｔｉｏｎＤｉａｌＩｎＵｓｅｒＳｅｒｖｉｃｅ）は、ＳｏｎｉｃＷＡＬＬセキュリティ装置が、ネットワークへのアクセスを試みるユーザを認証するときに使用するプロトコルです。ＲＡＤＩＵＳサーバには、ユーザ情報を格納したデータベースが存在します。ＲＡＤＩＵＳサーバは、ＰＡＰ（パスワード認証プロトコル）、ＣＨＡＰ（チャレンジハンドシェーク認証プロトコル）、ＭＳＣＨＡＰ（ＭｉｃｒｏｓｏｆｔＣＨＡＰ）、ＭＳＣＨＡＰｖ２などの認証スキームを使ってユーザの資格情報をチェックします。

ＲＡＤＩＵＳはＬＤＡＰとは大きく異なり、主として安全な認証機能を実現するものですが、ユーザグループのメンバーシップを渡すのに使用できるさまざまな属性など、エントリごとに非常に多くの属性が用意されています。ＲＡＤＩＵＳでは、数千人規模のユーザ情報を格納できるため、ネットワークアクセスを必要とするユーザ数が多い場合のユーザ認証として最適です。

ＬＤＡＰ／アクティブディレクトリ／イーディレクトリ認証

ＬＤＡＰ（ＬｉｇｈｔｗｅｉｇｈｔＤｉｒｅｃｔｏｒｙＡｃｃｅｓｓＰｒｏｔｏｃｏｌ）は、例えばユーザアカウント、ユーザグループ、ホスト、サーバといったネットワーク上の要素についての情報を格納および管理するためのディレクトリサービス構造を定義します。ユーザアカウント、グループ、権限などを管理するためにＬＤＡＰを使用する標準はいくつか存在します。一部はＬＤＡＰによる管理が可能なマイクロソフトアクティブディレクトリのような独自システム、一部はＬＤＡＰ標準の実装であるサンバのようなオープン規格です。また、ユーザリポジトリ情報を管理するためのＬＤＡＰＡＰＩを提供するノベルイーディレクトリのような独自システムもあります。

ＳｏｎｉｃＯＳでは、ユーザ認証方式として、ＲＡＤＩＵＳとローカルユーザデータベースに加えて、ＬＤＡＰもサポートしています。また、マイクロソフトアクティブディレクトリ（ＡＤ）、およびノベルイーディレクトリのディレクトリサービスなど多数のスキーマや、あらゆるスキーマとのやりとりを許可する、完全に設定可能なユーザ定義のオプションもサポートしています。

マイクロソフトアクティブディレクトリは、ＳｏｎｉｃＷＡＬＬシングルサインオンおよびＳｏｎｉｃＷＡＬＬＳＳＯエージェントとも連携して動作します。詳細については、「シングルサインオンの概要」を参照してください。

ＳｏｎｉｃＯＳでサポートされるＬＤＡＰディレクトリサービス

企業のネットワークで使用される最も一般的なディレクトリサービスと統合するために、ＳｏｎｉｃＯＳでは、以下のＬＤＡＰスキーマとの統合をサポートしています。

･マイクロソフトアクティブディレクトリ

･ＲＦＣ２７９８ＩｎｅｔＯｒｇＰｅｒｓｏｎ

･ＲＦＣ２３０７ネットワークインフォメーションサービス

･サンバＳＭＢ

･ノベルイーディレクトリ

･ユーザ定義スキーマ

ＳｏｎｉｃＯＳは、以下のプロトコルが実行されるディレクトリサービスのサポートを提供します。

･ＬＤＡＰｖ２（ＲＦＣ３４９４）

･ＬＤＡＰｖ３（ＲＦＣ２２５１～２２５６、ＲＦＣ３３７７）

･ＬＤＡＰｖ３ｏｖｅｒＴＬＳ（ＲＦＣ２８３０）

･ＬＤＡＰｖ３ｗｉｔｈＳＴＡＲＴＴＬＳ（ＲＦＣ２８３０）

･ＬＤＡＰＲｅｆｅｒｒａｌｓ（ＲＦＣ２２５１）

ＬＤＡＰ用語

ＬＤＡＰおよびその変種に関連して使用される用語を以下に示します。

･スキーマ－スキーマは、ディレクトリに格納することができるデータのタイプやデータの格納方法を定義するルールのセットまたは構造です。データは、“エントリ”の形式で格納されます。

･アクティブディレクトリ（ＡＤ）－マイクロソフトのディレクトリサービスで、一般的にウィンドウズベースのネットワークで使用されます。マイクロソフトアクティブディレクトリはＬＤＡＰ互換です。

･イーディレクトリ－ノベルのディレクトリサービスで、ノベルネットウェアベースのネットワークで使用されます。ノベルイーディレクトリは、管理用に使用できるＬＤＡＰゲートウェイを持っています。

･エントリ－ＬＤＡＰディレクトリに格納されたデータ。エントリは、“属性”／値（または名前／値）の組で格納されます（属性は“オブジェクトクラス”により定義されます）。例えば、“ｃｎ＝ｊｏｈｎ”の場合、“ｃｎ” （一般名）が属性、“ｊｏｈｎ”が値となります。

･オブジェクトクラス－オブジェクトクラスは、ＬＤＡＰディレクトリに格納できるエントリのタイプを定義します。例えば、ＡＤで使用されるオブジェクトクラスとして、“ｕｓｅｒ”と“ｇｒｏｕｐ”があります。
マイクロソフトアクティブディレクトリのクラスは、〈
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/classes_all.asp〉で参照することができます。

･オブジェクト－ＬＤＡＰ用語では、ディレクトリ内のエントリはオブジェクトと呼ばれます。ＬＤＡＰクライアントのＳｏｎｉｃＯＳ実装の目的上、重要なオブジェクトは、“ユーザ”オブジェクトと“グループ”オブジェクトです。ＬＤＡＰの実装の違いにより、これらのオブジェクトクラスは異なる名前で呼ばれます。例えば、アクティブディレクトリでは、ユーザオブジェクトは“ｕｓｅｒ”、グループオブジェクトは“ｇｒｏｕｐ”と呼ばれます。また、ＲＦＣ２７９８では、ユーザオブジェクトは“ｉｎｅｔＯｒｇＰｅｒｓｏｎ”、グループオブジェクトは“ｇｒｏｕｐＯｆＮａｍｅｓ”と呼ばれます。

･属性－ＬＤＡＰディレクトリ内のオブジェクトに格納されたデータアイテム。オブジェクトは、必須の属性、または、任意の属性を持つことができます。例えば、“ｄｃ”属性は、“ｄｃＯｂｊｅｃｔ” （ドメイン構成要素）オブジェクトの必須の属性です。

･ｄｎ－ “ｄｉｓｔｉｎｇｕｉｓｈｅｄｎａｍｅ（識別名）”。ユーザまたは他のオブジェクトの全体で一意な名前。複数の構成要素から成り、通常は、ｃｎ（ｃｏｍｍｏｎｎａｍｅ＝一般名）構成要素で開始し、２つ以上のｄｃ（ｄｏｍａｉｎｃｏｍｐｏｎｅｎｔｓ＝ドメイン構成要素）として指定されたドメインで終了します。例えば、「ｃｎ＝ｊｏｈｎ，ｃｎ＝ｕｓｅｒｓ，ｄｃ＝ｄｏｍａｉｎ，ｄｃ＝ｃｏｍ」と表現されます。

･ｃｎ－ “ｃｏｍｍｏｎｎａｍｅ（一般名）”属性は、ＬＤＡＰでは多くのオブジェクトクラスの必須構成要素になっています。

･ｏｕ－ “ｏｒｇａｎｉｚａｔｉｏｎｕｎｉｔ（組織単位）”属性は、ほとんどのＬＤＡＰスキーマ実装の必須構成要素です。

･ｄｃ－ “ｄｏｍａｉｎｃｏｍｐｏｎｅｎｔ（ドメイン構成要素）”属性は、一般的に識別名のルートで見ることができます。また、多くの場合に必須の属性です。

･ＴＬＳ－ＴｒａｎｓｐｏｒｔＬａｙｅｒＳｅｃｕｒｉｔｙ（トランスポート層セキュリティ）は、ＳＳＬ（ＳｅｃｕｒｅＳｏｃｋｅｔｓＬａｙｅｒ）のＩＥＴＦで標準化されたバージョンです。ＴＬＳ１.０は、ＳＳＬ３.０の後継規格です。

ＬＤＡＰスキーマの関連情報

･マイクロソフトアクティブディレクトリ：スキーマ情報については、〈http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/active_directory_schema.asp〉および〈http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ldap/ldap/ldap_reference.asp〉を参照してください。

･ＲＦＣ２７９８ＩｎｅｔＯｒｇＰｅｒｓｏｎ：スキーマ定義および開発に関する情報については、〈http://rfc.net/rfc2798.html〉を参照してください。

･ＲＦＣ２３０７ネットワークインフォメーションサービス：スキーマ定義および開発に関する情報については、〈 http://rfc.net/rfc2307.html〉を参照してください。

･サンバＳＭＢ：開発に関する情報については、〈http://us5.samba.org/samba/〉を参照してください。

･ノベルイーディレクトリ：ＬＤＡＰ統合に関する情報については、〈http://www.novell.com/documentation/edir873/index.html?page=/documentation/edir873/edir873/data/h0000007.html〉を参照してください。

･ユーザ定義スキーマ：インストールされているＬＤＡＰシステムのドキュメントを参照してください。ＬＤＡＰに関する一般的な情報については、〈http://rfc.net/rfc1777.html〉を参照してください。

ワンタイムパスワード

ワンタイムパスワード（ＯＴＰ）は、ユーザ名とパスワードによる標準の資格情報と共にシステム生成のランダムなパスワードも利用する２ファクタ認証方式です。ユーザが正しい基本ログイン資格情報を提示すると、システムによってワンタイムパスワードが生成され、ユーザの定義済み電子メールアドレスに送信されます。ユーザは電子メールからワンタイムパスワードを取り出して、それをログイン画面に入力する必要があります。

ワンタイムパスワードはどれも使い捨てです。ユーザが有効なユーザ名とパスワードの入力に成功するたびに、そのアカウントの既存のワンタイムパスワードが削除されます。未使用のワンタイムパスワードは、「ユーザ＞設定＞ユーザセッション設定」インターフェースで設定されたタイムアウト値に従って失効します。管理者はローカルユーザまたはローカルグループベースでワンタイムパスワードを有効にすることができます。ローカルユーザに関してワンタイムパスワードを設定するには、「ローカルユーザの追加」を参照してください。ローカルグループに関してワンタイムパスワードを設定するには、「ローカルグループの作成」を参照してください。

ワンタイムパスワードを使用するには、正しく設定されたＳＭＴＰサーバに装置がアクセスできなければなりません。管理者に対してＯＴＰが有効になっている場合は、正しく設定されたＳＭＴＰサーバへのアクセスがないと、ＯＴＰを必要とするすべてのユーザがログインできるわけではありません。その場合、管理者がコマンドラインコンソールを通じてログインして、管理者自身のＯＴＰを無効にする必要があります。具体的には、シリアルコンソールで次のコマンドを入力します（ＳｏｎｉｃＷＡＬＬＮＳＡ３５００装置を使用するものと仮定しています）。

ＮＳＡ３５００> ｃｏｎｆｉｇｕｒｅ

（ｃｏｎｆｉｇ［ＮＳＡ３５００］）> ｎｏｗｅｂ-ｍａｎａｇｅｍｅｎｔｏｔｐｅｎａｂｌｅ

シングルサインオンの概要

このセクションでは、ＳｏｎｉｃＷＡＬＬＳｏｎｉｃＯＳのシングルサインオン機能の概要を説明します。このセクションは、次のサブセクションから構成されています。

･「シングルサインオンとは」

･「ＳｏｎｉｃＷＡＬＬＳＳＯのメリット」

･「プラットフォームおよびサポートされている標準」

･「ＳＳＯエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証」

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの動作」

･「ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントの動作」

･「ブラウザＮＴＬＭ認証の動作」

シングルサインオンとは

シングルサインオン（ＳＳＯ）とは、ワークステーションに１回ドメインログインするだけで、あるいはウィンドウズターミナルサービスまたはＣｉｔｒｉｘサーバを通じて、複数のネットワークリソースに特権的にアクセスできるようにする透過的なユーザ認証メカニズムです。ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＳｏｎｉｃＷＡＬＬシングルサインオンエージェント（ＳＳＯエージェント）とＳｏｎｉｃＷＡＬＬターミナルサービスエージェント（ＴＳＡ）を使用してＳＳＯ機能を提供し、ユーザのアクティビティを識別します。ＳｏｎｉｃＷＡＬＬシングルサインオンエージェント（ＳＳＯエージェント）は、ワークステーションのＩＰアドレスに基づいてユーザアクティビティを識別します。ＳｏｎｉｃＷＡＬＬＴＳＡは、サーバのＩＰアドレスとユーザ名とドメインの組み合わせによってユーザを識別します。

ＳｏｎｉｃＷＡＬＬＳＳＯはまた、ＭａｃおよびＳａｍｂａと共に使用しているＬｉｎｕｘユーザに対しても利用可能です。さらに、ブラウザＮＴＬＭ認証により、ＳｏｎｉｃＷＡＬＬＳＳＯはＳｏｎｉｃＷＡＬＬＳＳＯやＳａｍｂａを必要とせずに、ＨＴＴＰトラフィックを送るユーザを認証することが可能です。

ＳｏｎｉｃＷＡＬＬＳＳＯの設定は、ＳｏｎｉｃＯＳ管理インターフェースの「ユーザ＞設定」ページで行います。ＳＳＯは、ログイン認証方式設定とは独立しており、両者を同時に使用してＶＰＮ／Ｌ２ＴＰクライアントユーザまたは管理者ユーザの認証を行うことができます。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントおよびＴＳＡは、ＳｏｎｉｃＷＡＬＬＡＤコネクタおよびＮＤコネクタと互換性のあるプロトコルを使用し、ユーザがいつログアウトしたかを自動的に判別することで不正アクセスを防止します。ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントまたはＴＳＡからのデータに基づき、ＬＤＡＰまたはローカルデータベースに対してグループのメンバーシップを問い合わせます。必要に応じて、メンバーシップをファイアウォールポリシーと照合し、アクセス権を持つユーザを制御します。また、コンテンツフィルタおよびアプリケーション制御用のポリシーの選択に使用して、アクセスを許可する対象を制御することができます。ＳＳＯ経由で認識したユーザ名は、トラフィックのログとユーザおよびアプリケーションフロー監視からのイベントに報告されます。

無動作タイムアウトはＳＳＯにも適用されますが、セッション時間の制限は適用されません。ログアウトしたユーザから再びトラフィックが送信されると、そのユーザが自動的かつ透過的に再度ログインされます。

ドメインにログインせずに、ワークステーションまたはターミナルサービス／Ｃｉｔｒｉｘサーバに直接ログインしたユーザは、ブラウザＮＴＬＭ認証が有効でＨＴＴＰトラフィックを送信しない限り認証されません（必要に応じて、限定的なアクセスを認証することはできます）。ＳｏｎｉｃＷＡＬＬＳＳＯで認証されていない場合、以降の認証には手動での装置へのログインが必要があるという内容のメッセージが画面に表示されます。

ユーザとして識別されたとしても、設定されているポリシールールに必要なグループメンバーシップが不足している場合、アクセスが拒否されたことを示すページにリダイレクトされます。

ＳｏｎｉｃＷＡＬＬＳＳＯのメリット

ＳｏｎｉｃＷＡＬＬＳＳＯは、管理者によって設定されたグループメンバーシップとポリシー照合に基づき、ユーザが１回のログインで複数のネットワークリソースにアクセスできるようにする信頼性に優れた機能です。何度もログインする手間が省けるため、時間の節約にもつながります。エンドユーザがＳｏｎｉｃＷＡＬＬＳＳＯの存在を意識する必要はなく、また、管理者に要求される設定も最小限で済みます。

ＳｏｎｉｃＷＡＬＬＳＳＯでは、ユーザがいつログインし、いつログアウトしたかが、ワークステーションＩＰアドレスのトラフィック（ターミナルサービスまたはＣｉｔｒｉｘの場合は、サーバＩＰアドレスの特定のユーザからのトラフィック）に基づいて自動的に判別されるため、セキュリティに優れ、手間もかかりません。ＳＳＯ認証は、ＳｏｎｉｃＷＡＬＬＡＤコネクタ互換のプロトコルを使用することで、ワークステーションまたはターミナルサービス／ＣｉｔｒｉｘサーバのＩＰアドレスを持ったユーザのＩＤを返すことができるエージェントであれば、どのような外部エージェントとでも連携できるように設計されています。

ＳｏｎｉｃＷＡＬＬＳＳＯは、コンテンツフィルタサービス（ＣＦＳ）、ファイアウォールアクセスルール、グループのメンバーシップと継承、セキュリティサービス（アプリケーション制御、ＩＰＳ、ＧＡＶ、ＳＰＹ）の包含／除外リストを含め、ユーザレベル認証が使用されるＳｏｎｉｃＷＡＬＬセキュリティ装置上のあらゆるサービスに使用できます。

ＳｏｎｉｃＷＡＬＬＳＳＯのその他のメリット

･使いやすい－ユーザは１回サインインするだけで複数のリソースに自動的にアクセスできます。

･ユーザエクスペリエンスの向上－どのような種類のトラフィックを使用するユーザの場合でも、ウィンドウズドメインの資格情報を使用してユーザ認証が行われるため、ウェブブラウザを使って装置にログインする必要がありません。

･透過性－ユーザが認証のためにユーザ名やパスワードを何度も再入力する必要がなくなります。

･セキュアな通信－共有鍵暗号化によってデータ伝送を保護します。

･ＳｏｎｉｃＷＡＬＬＳＳＯエージェントはＬＡＮ上の任意のウィンドウズサーバにインストールでき、ＴＳＡは任意のターミナルサーバにインストールできます。

･複数のＳＳＯエージェント－最大８つのエージェントをサポートして、大規模インストールに適した容量を提供します。

･複数のＴＳＡ－複数のターミナルサービスエージェント（ターミナルサーバごとに１つ）をサポートします。サポートされる数は４～２５６で、ＳｏｎｉｃＷＡＬＬ装置のモデルによって異なります。

･ログインメカニズムは、ＨＴＴＰだけでなくあらゆるプロトコルに対応しています。

･ブラウザＮＴＬＭ認証－ＳｏｎｉｃＷＡＬＬＳＳＯは、ＳＳＯエージェントを使わずにＨＴＴＰトラフィックを送信するユーザを認証できます。

･ＭａｃおよびＬｉｎｕｘサポート－Ｓａｍｂａ３.５以降で、ＳｏｎｉｃＷＡＬＬＳＳＯはＭａｃおよびＬｉｎｕｘユーザに対してサポートされます。

･ゾーン単位の執行－ＳｏｎｉｃＷＡＬＬＳＳＯは、ファイアウォールアクセスルールかセキュリティーサービスポリシーによって自動的に開始されないときでも、どんなゾーンからのトラフィックに対しても開始できます。

プラットフォームおよびサポートされている標準

ＳｏｎｉｃＷＡＬＬＳＳＯは、ＳｏｎｉｃＯＳ５.０以降が動作しているＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置と、ＳｏｎｉｃＯＳ４.０以降が動作しているＳｏｎｉｃＷＡＬＬＰＲＯセキュリティ装置で利用できます。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、ＳｏｎｉｃＷＡＬＬＳＳＯをサポートしているＳｏｎｉｃＯＳの全バージョンと互換性があります。ＳｏｎｉｃＷＡＬＬＴＳＡは、ＳｏｎｉｃＯＳ５.６以降が動作しているＳｏｎｉｃＷＡＬＬＮＳＡシリーズ装置およびＴＺ２１０シリーズ装置でサポートされます。

ＳｏｎｉｃＷＡＬＬＳＳＯ機能は、ＬＤＡＰおよびローカルデータベースプロトコルをサポートします。ＳｏｎｉｃＷＡＬＬＳＳＯは、ＳｏｎｉｃＷＡＬＬディレクトリコネクタをサポートしています。ＳｏｎｉｃＷＡＬＬＳＳＯは、ＳｏｎｉｃＷＡＬＬＣＳＭを含むインストール内のＡＤコネクタとも相互に連携して動作させることができますが、ディレクトリコネクタをお勧めします。ＳｏｎｉｃＷＡＬＬＳＳＯの全機能を正しく動作させるには、ＳｏｎｉｃＯＳ５.５とディレクトリコネクタ３.１.７以降を使用してください。

ＳｏｎｉｃＷＡＬＬＳＳＯをウィンドウズターミナルサービスまたはＣｉｔｒｉｘで使用するには、ＳｏｎｉｃＯＳ５.６以降が必要であり、ＳｏｎｉｃＷＡＬＬＴＳＡをサーバにインストールする必要があります。

ＳｏｎｉｃＷＡＬＬＳＳＯをブラウザＮＴＬＭ認証で使用するには、ＳｏｎｉｃＯＳ５.８以降が必要です。ブラウザＮＴＬＭ認証に対しては、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは不要です。

ノベルユーザとの相互運用性を実現するため、ＳｏｎｉｃＯＳ５.５以降のＳｏｎｉｃＷＡＬＬＳＳＯは、ＳｏｎｉｃＷＡＬＬＮＤコネクタと互換性があります。ＮＤコネクタはディレクトリコネクタの一部としても利用できます。

ブラウザＮＴＬＭ認証のみを使うときを除いて、ＳｏｎｉｃＷＡＬＬＳＳＯを使用するには、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントがウィンドウズドメイン内のサーバ（そのサーバからクライアントに、そして装置からそのサーバに、直接またはＶＰＮパス経由で到達できなければならない）にインストールされているか、ＳｏｎｉｃＷＡＬＬＴＳＡがドメイン内のターミナルサーバにインストールされているか、あるいはその両方が必要です。

ＳｏｎｉｃＯＳＳＳＯ機能は、仮想マシン環境内で動作することが可能ですが、公式にはサポートされていません。これは、ＶＭ配備環境の潜在的なリソース消費の多様性により、有効な試験とすべての可能性のある組み合わせの確認が実行できないためです。

ＳＳＯエージェントを実行するには、次の要件が満たされている必要があります。

･ＵＤＰポート２２５８（既定）が開放されていること。既定では、ファイアウォールとＳｏｎｉｃＷＡＬＬＳＳＯエージェントとの通信にＵＤＰポート２２５８が使用されます。２２５８に代わって別のポートが設定されている場合は、そのポートにこの要件が適用されます。

･ウィンドウズサーバ（最新のサービスパック）

･ .ＮＥＴＦｒａｍｅｗｏｒｋ２.０

･ＮｅｔＡＰＩまたはＷＭＩ
補足　ＭａｃおよびＬｉｎｕｘのＰＣは、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントが使用するウィンドウズのネットワーク要求をサポートしていないので、ＳｏｎｉｃＷＡＬＬＳＳＯと動作するにはＳａｍｂａ３.５以降が必要です。Ｓａｍｂａ無しでもＭａｃおよびＬｉｎｕｘのユーザでもアクセスは可能ですが、それにはログインする必要があります。認証を要求するようポリシー規則が設定されている場合は、ログインプロンプトにリダイレクトされる可能性があります。詳細については、「ＭａｃユーザおよびＬｉｎｕｘユーザへの対応」を参照してください。

ＳｏｎｉｃＷＡＬＬＴＳＡを実行するには、次の要件が満たされている必要があります。

･ＴＳＡがインストールされているすべてのターミナルサーバでＵＤＰポート２２５９（既定）が開放されていること。既定では、ファイアウォールとＳｏｎｉｃＷＡＬＬＴＳＡとの通信にＵＤＰポート２２５９が使用されます。２２５９に代わって別のポートが設定されている場合は、そのポートにこの要件が適用されます。

･ウィンドウズサーバ（最新のサービスパック）

･ウィンドウズターミナルサービスまたはＣｉｔｒｉｘがウィンドウズターミナルサーバシステムにインストールされていること（ＣｉｔｒｉｘＸｅｎＡｐｐ５.０サポート）。

シングルサインオンの動作

エンドユーザがＳｏｎｉｃＷＡＬＬＳＳＯの存在を意識する必要はなく、また、管理者に要求される設定も最小限で済みます。

ＳＳＯは、以下の状況で開始されます。

･ユーザ認証を要求するファイアウォールアクセスルールが、ＷＡＮゾーンから着信するのではないトラフィックに適用される場合。

･アクセスルール内でユーザグループが指定されていないが、以下の状況のどれかが存在する場合に、ＳＳＯはゾーン上のすべてのトラフィック（補足 - これらの状況に影響されるトラフィックだけではありません）で開始されます。

･ゾーン上でＣＦＳが有効で、ＣＦＳポリシーが設定されている

･ゾーン上でＩＰＳが有効で、認証が必要なＩＰＳポリシーがある

･ゾーン上でアンチスパイウェアが有効で、認証が必要なアンチスパイウェアポリシーがある

･送信元ゾーンに対して、認証が必要なアプリケーション制御ポリシーが適用されている

･ゾーンに対してＳＳＯのゾーン単位の執行が設定されている

ＳＳＯユーザテーブルはまた、コンテンツフィルタ、侵入防御、アンチスパイウェア、およびアプリケーション制御を含むセキュリティサービスが必要とするユーザとグループの識別のために使用されます。

ＳＳＯエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証

個々のウィンドウズワークステーションのユーザについては、ＳＳＯワークステーション上のＳＳＯエージェントがＳｏｎｉｃＷＡＬＬ装置からの認証要求を処理します。次の図に示してあるように、ＳＳＯエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証は６つのステップで行われます。

ＳｏｎｉｃＷＡＬＬＳＳＯの認証プロセスは、ユーザトラフィックがＳｏｎｉｃＷＡＬＬセキュリティ装置を通過した時点（ユーザがインターネットにアクセスしたときなど）で開始されます。送信されたパケットは一時的に遮断され、ＳｏｎｉｃＷＡＬＬセキュリティ装置が、ＳＳＯエージェント（ＳＳＯワークステーション）を実行する認証エージェントに“ユーザ名”要求とワークステーションのＩＰアドレスを送信する間保存されます。

ＳＳＯエージェントを実行している認証エージェントは、ＳｏｎｉｃＷＡＬＬセキュリティ装置に対し、現在ワークステーションにログインしているユーザ名を提供します。ＲＡＤＩＵＳやＬＤＡＰと同様、ユーザＩＰテーブルには、ログインしたユーザのエントリが作成されます。

ターミナルサービスエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証

ターミナルサービスまたはＣｉｔｒｉｘサーバからログインするユーザについては、認証プロセスでＳｏｎｉｃＷＡＬＬＴＳＡがＳＳＯエージェントの代わりをします。このプロセスは以下の点が異なります。

･ＴＳＡはユーザのログイン先のサーバで実行され、ＳｏｎｉｃＷＡＬＬ装置への初期通知にユーザ名とドメインとサーバＩＰアドレスを含めます。

･ユーザはユーザ番号とＩＰアドレスによって識別されます（ただし、非ターミナルサービスユーザの場合は、どのＩＰアドレスにもユーザが１つしか存在しないので、ユーザ番号は使用されません）。ゼロ以外のユーザ番号は、ＳｏｎｉｃＯＳ管理インターフェースに「ｘ.ｘ.ｘ.ｘｕｓｅｒｎ」という形式で表示されます（ｘ.ｘ.ｘ.ｘはサーバＩＰアドレスで、ｎはユーザ番号です）。

･ユーザがログアウトすると、ＴＳＡはＳｏｎｉｃＷＡＬＬ装置に通知を送信します。したがって、ポーリングは行われません。

ユーザが識別されると、ＳｏｎｉｃＷＡＬＬセキュリティ装置がＬＤＡＰまたはローカルデータベース（管理者の設定による）に対して問い合わせを行い、ユーザグループのメンバーシップを検索して、そのメンバーシップとポリシーとを照合し、その結果に基づいて、ユーザにアクセスを許可または拒否します。ログインシーケンスが正常に完了した場合、保存されていたパケットが送信されます。ログインシーケンスが完了する前に、同じ送信元アドレスからパケットを受信した場合は、最新のパケットだけが保存されます。

ＳＳＯエージェントを実行する認証エージェントからは、ユーザ名が<ｄｏｍａｉｎ>／<ｕｓｅｒ-ｎａｍｅ>の形式で返されます。ローカルで設定したユーザグループについては、ＳＳＯエージェントを実行する認証エージェントから返されるユーザ名をフルネームとするか（その場合は、ＳｏｎｉｃＷＡＬＬセキュリティ装置のローカルユーザデータベース内の名前も一致するように設定する）、ドメイン要素を除去した簡易ユーザ名（既定）とするかを選択できます。

ＬＤＡＰプロトコルの場合、ドメイン名と一致する“ｄｃ” （ドメイン構成要素）属性を持った“ドメイン”クラスのオブジェクトを探すためのＬＤＡＰ検索を作成して、<ｄｏｍａｉｎ>／<ｕｓｅｒ-ｎａｍｅ>形式をＬＤＡＰ識別名に変換します。目的のオブジェクトが見つかった場合、その識別名をディレクトリのサブツリーとして使用し、ユーザのオブジェクトを検索します。例えば、ユーザ名が“ＳＶ／ｂｏｂ”として返された場合、“ｏｂｊｅｃｔＣｌａｓｓ＝ｄｏｍａｉｎ”および“ｄｃ＝ＳＶ”というオブジェクトが検索されます。ここで、“ｄｃ＝ｓｖ,ｄｃ＝ｕｓ,ｄｃ＝ｓｏｎｉｃｗａｌｌ,ｄｃ＝ｃｏｍ”という識別名を持つオブジェクトが返された場合は、そのディレクトリサブツリー下から、“ｏｂｊｅｃｔＣｌａｓｓ＝ｕｓｅｒ”および“ｓＡＭＡｃｃｏｕｎｔＮａｍｅ＝ｂｏｂ” （アクティブディレクトリの場合）というオブジェクトを探すための検索が作成されます。ドメインオブジェクトが見つからなかった場合は、ディレクトリツリーの最上位からユーザオブジェクトが検索されます。

ドメインオブジェクトが見つかると、同じオブジェクトを検索しなくても済むように、その情報が保存されます。保存されたドメインからユーザを特定できなかった場合、保存されていたドメイン情報が削除され、目的のドメインが再度検索されます。

ＳＳＯエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯでのユーザログアウトの処理は、ＴＳＡを使用したＳＳＯとは少し異なります。ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＳＳＯエージェントを実行している認証エージェントをポーリングすることによって、ユーザがログアウトしたタイミングを判別します。このポーリングの頻度は必要に応じて設定できます。ユーザがログアウトすると、ＳＳＯエージェントを実行する認証エージェントからＳｏｎｉｃＷＡＬＬセキュリティ装置にＵｓｅｒＬｏｇｇｅｄＯｕｔ応答が送信され、ユーザが既にログアウトしていることが確認されて、ＳＳＯセッションが終了します。ＴＳＡは、ＳｏｎｉｃＷＡＬＬ装置によるポーリングではなく、ＴＳＡ自体でターミナルサービス／Ｃｉｔｒｉｘサーバを監視することでログアウトイベントを調べ、ログアウトイベントが発生するとＳｏｎｉｃＷＡＬＬ装置に通知し、それによってＳＳＯセッションが終了します。どちらのエージェントについても、無動作タイマーを設定できます。ＳＳＯエージェントについては、ユーザ名要求ポーリング間隔を設定できます（ログアウトをすばやく検知するには、設定するポーリング時間を短くし、システムのオーバーヘッドを少なくするには、ポーリング時間を長くします）。

ブラウザＮＴＬＭ認証を使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証

Mozilla ベースのブラウザ (インターネットエクスプローラ、Firefox、Chrome、Safari を含む) を使ってブラウズするユーザのために、SonicWALL 装置は NTLM （NT LAN Maanager）認証を使った識別をサポートします。 NTLM は、“統合ウィンドウズセキュリティ” として知られるブラウザ認証スイートで、すべての Mozilla ベースのブラウザでサポートされます。これにより、SonicWALL 装置からブラウザに対して SSO エージェントの関与無しで直接認証要求ができます。 NTLM は、ユーザがウェブ上でリモートに認証されるような、ドメインコントローラが利用できない場合にたびたび使用されます。

NTLM 認証は現在 HTTP に対して利用可能で、HTTPS では利用できません。

ブラウザ NTLM 認証は、SonicWALL SSO エージェントがユーザ情報の入手を試みる前または後に試行できます。例えば、SonicWALL SSO エージェントを最初に試行してユーザの識別に失敗してから、トラフィックが HTTP の場合に NTLM が試行されます。

この方式を Linux または Mac クライアントでウィンドウズクライアントと同じように使うために、SSO をNetAPI または WMI （SSO エージェントがどちらに対して設定されているかに応じて）のどちらかに対してクライアントを調査するように有効にできます。これにより、SonicWALL 装置は、SSO エージェントにユーザ識別を要求する前に、NetAPI/WMI ポート上の応答を調査するようになります。応答が無い場合は、これらの機器は即時に SSO を失敗します。通常ウィンドウズ PC に対しては、調査は動作（パーソナルファイアウォールで遮断されない限り）して、SonicWALL SSO エージェントが使用されます。 Linux/Mac PC （Samba サーバが動作するように設定されていないと仮定）に対しては、調査は失敗して、SSO エージェントはバイパスされ、HTTP トラフィックが送信された際に NTLM 認証が使用されます。

NTLM は、ユーザが HTTP でブラウズするまではユーザを識別できないため、その前に送信されたどんなトラフィックも未確認として扱われます。既定の CFS ポリシーが適用されて、ユーザ認証が必要などのルールもトラフィックを通過させません。

NTLM が SonicWALL SSO エージェントの前に使われるように設定されている場合は、もし最初に HTTP トラフィックを受信したならば、ユーザは NTLM で認証されます。もし最初に非 HTTP トラフィックを受信したならば、SonicWALL SSO エージェントが認証に使われます。

NTLM ユーザログイン数は、SSO ログイン数と合わせられ、合計は常に装置モデルに対する最大 SSO ユーザ数の制限を越えられません。具体的な最大 SSO ユーザ数の値は、TSR 内に提供されます。 TSR に関する情報については、「ＴＳＲのシングルサインオン統計の利用」セクションを参照してください。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの動作

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、直接ＩＰアドレスを使って、または、ＶＰＮなどのパスを使ってクライアントおよびＳｏｎｉｃＷＡＬＬセキュリティ装置と通信できれば、ウィンドウズドメインに参加している任意のワークステーションにインストールできます。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのインストール手順については、「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのインストール」セクションを参照してください。

数千ユーザから成る大規模インストールに対応するため、複数のＳＳＯエージェントがサポートされています。最大８つのＳＳＯエージェントを設定して、それぞれをネットワーク内にある専用の高性能ＰＣ上で動作させることができます。高速ＰＣ上にある１つのＳＳＯエージェントで、最大２５００ユーザをサポートできることに注意してください。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、クライアントおよびＳｏｎｉｃＷＡＬＬセキュリティ装置とのみ通信します。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントとＳｏｎｉｃＷＡＬＬセキュリティ装置との間で交わされるメッセージは、共有鍵を使って暗号化されます。
補足　共有鍵はＳＳＯエージェントで生成されます。ＳＳＯの設定時、ＳｏｎｉｃＷＡＬＬセキュリティ装置に入力する鍵は、ＳＳＯエージェントによって生成された鍵と完全に一致している必要があります。

ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントに対し、既定のポート２２５８を使って問い合わせを行います。次に、ＳＳＯエージェントがクライアントとＳｏｎｉｃＷＡＬＬセキュリティ装置の間に入って通信し、クライアントのユーザＩＤを調べます。ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントを定期的に（管理者によって設定された頻度で）ポーリングして、絶えずユーザのログイン状況が確認されます。

ログ

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、管理者によって選択されたログレベルに基づいて、ウィンドウズイベントログにログイベントメッセージを送信します。

また、ＳｏｎｉｃＷＡＬＬセキュリティ装置も、そのイベントログにＳＳＯエージェント固有のイベントを記録します。ＳｏｎｉｃＷＡＬＬセキュリティ装置から送信されるＳＳＯエージェント固有のログイベントメッセージとしては、次のようなものがあります。

･ユーザログインが拒否されました－ポリシー規則で許可されていません－ユーザＩＤは確認されましたが、ポリシーによって許可されているいずれのユーザグループにも属していないため、ユーザのトラフィックが遮断されました。

･ユーザログインが拒否されました－ローカルには見つかりませんでした－ユーザがローカルに見つかりませんでした。ＳｏｎｉｃＷＡＬＬセキュリティ装置では、「ローカルに登録されたユーザのみ許可する」が選択されています。

･ユーザログインが拒否されました－ＳＳＯエージェントがタイムアウトしました－ＳｏｎｉｃＷＡＬＬＳＳＯエージェントへの接続を試みているときにタイムアウトが発生しました。

･ユーザログインが拒否されました。－ＳＳＯエージェントの設定エラー－このユーザのアクセスを許可するための適切な設定がＳＳＯエージェントに対してなされていません。

･ユーザログインが拒否されました－ＳＳＯエージェントに通信上の問題があります－ＳｏｎｉｃＷＡＬＬＳＳＯエージェントを実行しているワークステーションとの通信に問題があります。

･ユーザログインが拒否されました－ＳＳＯエージェントの名前解決に失敗しました－ＳｏｎｉｃＷＡＬＬＳＳＯエージェントがユーザ名を解決できません。

･ＳＳＯエージェントから返されたユーザ名が長すぎます－ユーザ名が長すぎます。

･ＳＳＯエージェントから返されたドメイン名が長すぎます－ドメイン名が長すぎます。
補足　ＳＳＯエージェントに固有のログメッセージの備考フィールドには、次のようなテキストが表示されます。
<ｄｏｍａｉｎ／ｕｓｅｒ-ｎａｍｅ> （ＳＳＯエージェントにより認証）.

管理ログ

SonicWALL シングルサインオンは、ドメインコントローラのウィンドウズセキュリティログ（WSL）を使用して、ログインしたユーザを識別できます。この機能は SonicWALL ディレクトリサービスコネクタ3.4.51 に追加され、リリースノートにディレクトリサービスコネクタの設定に関する説明があります。以前の DSC リリースでは、ユーザ識別のためのユーザワークステーションとの通信に SSO エージェントが WMI または NetAPI を使うように設定できましたが、ドメインコントローラセキュリティログは利用できませんでした。

ドメイン管理者はドメインコントローラにあるイベントビューア機能を使用してログオプションを設定可能です。ログイン情報を記録するように監査ポリシーを設定すると、ウィンドウズセキュリティログが SSO に必要な情報を追跡するようになります。詳細情報については、下記の SonicWALL　のウェブページからダウンロードできる『User Identification Using the Domain Controller Security Log』テックノートを参照してください。

http://www.sonicwall.com/app/projects/file_downloader/document_lib.php?t=TN&id=344

非管理ログ

ドメインコントローラセキュリティログはドメイン管理者アカウントを使用せずに利用可能な問い合わせの送信元オプションもあります。それでも、このオプションにはセキュリティログの読み取りアクセスが必要ですが、下記の SonicWALL　のウェブページからダウンロードできる『Configuring a Non-Admin Domain Account for SSO Agent to Read Domain Security Logs』テックノートで説明されている方法を使うことにより、非管理者アカウントで実行できます。

http://www.sonicwall.com/app/projects/file_downloader/document_lib.php?t=TN&id=333

ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントの動作

ＳｏｎｉｃＷＡＬＬＴＳＡは、ターミナルサービスまたはＣｉｔｒｉｘがインストールされている任意のウィンドウズサーバマシンにインストールできます。このサーバは、直接ＩＰアドレスを使用するかＶＰＮなどのパスを使用してＳｏｎｉｃＷＡＬＬセキュリティ装置と通信できるウィンドウズドメインに属していなければなりません。

ＳｏｎｉｃＷＡＬＬＴＳＡのインストール手順については、「ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのインストール」セクションを参照してください。

ＳｏｎｉｃＷＡＬＬＴＳＡについては、以下のセクションを参照してください。

･「複数のＴＳＡのサポート」

･「ＴＳＡメッセージの暗号化とセッションＩＤの使用」

･「ローカルサブネットへの接続」

･「ターミナルサーバからの非ドメインユーザトラフィック」

･「ターミナルサーバからの非ユーザトラフィック」

複数のＴＳＡのサポート

数千のユーザから成る大規模インストールに対応するため、ＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置は、複数のターミナルサービスエージェント（ターミナルサーバごとに１つ）と共に動作するように設定できます。サポートされるエージェントの数は、表 1に示すように、モデルによって異なります。
表 1
モデル別の複数ＴＳＡサポート

ＳｏｎｉｃＷＡＬＬ装置のモデル

サポートされるＴＳＡの数

ＮＳＡＥ８５１０ 256

ＮＳＡＥ７５００/Ｅ８５００ 256

ＮＳＡＥ６５００ 128

ＮＳＡＥ５５００ 64

ＮＳＡ５０００ 32

ＮＳＡ４５００ 16

ＮＳＡ３５００ 16

ＮＳＡ２４００ 8

ＮＳＡ２４０ 4

ＴＺ２１５シリーズ 4

ＴＺ２１０シリーズ 4

ＴＺ２０５シリーズサポートされない

ＴＺ２００シリーズサポートされない

ＴＺ１０５シリーズサポートされない

ＴＺ１００シリーズサポートされない

ＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置のどのモデルでも、ターミナルサーバごとに最高３２個のＩＰアドレスがサポートされます。

ＴＳＡメッセージの暗号化とセッションＩＤの使用

ＳｏｎｉｃＷＡＬＬＴＳＡは、ＴＳＡとＳｏｎｉｃＷＡＬＬ装置との間でやり取りされるメッセージにユーザ名とドメインが含まれていると、そのメッセージの暗号化に共有鍵を使用します。ユーザに対する最初のオープン通知は常に暗号化されます。ＴＳＡがユーザ名とドメインを含めるからです。
補足　共有鍵はＴＳＡで作成され、ＳＳＯ設定時にＳｏｎｉｃＷＡＬＬ装置に入力される鍵とＴＳＡの鍵は完全に一致していなくてはなりません。

装置とＴＳエージェント（およびＳＳＯエージェント）の間のメッセージは、ＤＥＳ暗号化（３ＤＥＳを使用）されていて、ＤＥＳは１６進文字列で表現可能な数値鍵を使います。この鍵の各オクテットには、値を表現する２つの１６進数字が必要なので、この鍵は１６進数の偶数になる必要があります。

１６進数鍵を使うことは、暗号化強度に貢献します。例えば、代わりにパスフレーズが使われていてから数値鍵に変換された場合、最終結果は直接数値鍵を使うことと違いがなくなり、そのパスフレーズは１６進表記の鍵よりも推測しやすかったはずです。

そして、私たちがここで ”保護”している情報は、実際はそれほど機密ではないことに注意します。これはユーザ名とＴＣＰ／ＵＤＰ接続（ＴＳＡ）またはユーザ名とＩＰアドレス（ＳＳＯ）の間の単なるマッピングです。パスワードのような機密データは送信されません。

ＴＳＡはユーザセッションＩＤをすべての通知に含めます。ユーザ名とドメインを毎回含めることはしません。これは効率的で安全であり、ＴＳＡが再起動後にターミナルサービスユーザと再同期することを可能にします。

ローカルサブネットへの接続

ＴＳＡは装置から返された情報に基づいてネットワークトポロジを動的に学習し、いったん学習すると、装置を通らないサブネットユーザ接続に関して通知を装置に送信しません。ＴＳＡがこれらのローカル送信先を“記憶から消し去る”メカニズムはないので、装置のインターフェース間でサブネットが移動された場合は、ＴＳＡを再起動する必要があります。

ターミナルサーバからの非ドメインユーザトラフィック

ＳｏｎｉｃＷＡＬＬ装置には、必要に応じて非ドメインユーザ（ドメインではなく、ローカルマシンにログインしたユーザ）に限定的なアクセスを許可するための「非ドメインユーザには限定的なアクセスのみを許可」設定があります。これはターミナルサービスユーザに対して、他のＳＳＯユーザに対してと同様に作用します。

パーソナルファイアウォールが動作しているウィンドウズコンピュータや非ウィンドウズ機器がネットワークに含まれている場合は、「ユーザ監視対象」の横のチェックボックスを選択し、ＳＳＯエージェントに対する設定に応じて「ＮｅｔＡＰＩ」または「ＷＭＩ」のラジオボタンを選択します。これにより、ＳｏｎｉｃＷＡＬＬ装置が、ＳＳＯエージェントに対してユーザを識別するように要求するのに先立って、ＮｅｔＡＰＩ／ＷＭＩポートで応答を監視するようになります。応答がなければ、これらの機器は直ちにＳＳＯを中止します。このような機器は、ＳＳＯエージェントがユーザの識別に使用するウィンドウズネットワークメッセージに応答しませんし、遮断することもあります。

ターミナルサーバからの非ユーザトラフィック

非ユーザ接続は、ウィンドウズの更新とアンチウィルスの更新のためにターミナルサーバから開かれます。ＴＳＡはログインサービスからの接続を非ユーザ接続であると認識することができ、装置への通知の中でこれを示します。

これらの非ユーザ接続の処理を制御するため、装置のＴＳＡ設定で「ターミナルサーバの非ユーザトラフィックにはアクセスルールでのユーザ認証を免除する」チェックボックスが用意されています。このチェックボックスを選択すると、これらの接続が許可されます。このチェックボックスを選択しないと、これらのサービスはローカルユーザとして扱われます。その場合、「非ドメインユーザには限定的なアクセスのみを許可」設定を選択し、対応するサービス名を使用して装置上でユーザアカウントを作成することにより、アクセスを許可することができます。

ブラウザＮＴＬＭ認証の動作

以下のセクションを参照してください。

･「ドメインユーザのＮＴＬＭ認証」

･「非ドメインユーザのＮＴＬＭ認証」

･「ブラウザでのＮＴＬＭ認証の資格情報」

ドメインユーザのＮＴＬＭ認証

ドメインユーザに対しては、NTLM 応答は MSCHAP メカニズムを介して RADIUS で認証されます。装置でRADIUS を有効にする必要があります。

NTLM 認証を設定する際には、SSO 設定の「ユーザ」タブの以下の設定が適用されます。

･ローカルに登録されたユーザのみ許可する

･ローカルデータベースでシンプルなユーザ名を使用する

･ユーザグループのメンバシップの設定方法（LDAP またはローカル）

･ LDAP ユーザ名を複製してユーザグループメンバーシップをローカルで設定可能にする（ユーザグループメンバーシップの方式が LDAP の場合に LDAP 設定で設定）

･ポーリング間隔

非ドメインユーザのＮＴＬＭ認証

NTLM を使うと、非ドメインユーザはドメインではなく PC にログインするユーザになることができ、または、ユーザ名とパスワードを要求されて、ドメインの資格情報ではない情報を入力するユーザになることができます。

ユーザ名が SonicWALL 装置上のローカルユーザアカウントと一致すると、NTLM 応答はそのアカウントのパスワードに対してローカルで確認されます。成功した場合は、ユーザはログインしてアカウントに基づいた権限が与えられます。ユーザグループメンバーシップは、LDAP からではなく、ローカルアカウントから設定され、そして（パスワードがローカルで確認されたため） Trusted Users グループのメンバーシップを含みます。

ユーザ名がローカルユーザアカウントと一致しないと、ユーザはログインされません。 NTLM を介して認証されたユーザに対しては、「非ドメインユーザには限定的なアクセスのみ許可する」オプションは適用されません。

ブラウザでのＮＴＬＭ認証の資格情報

NTLM 認証では、ブラウザはドメインの資格情報も使う（ユーザがドメインにログインする場合）ため、完全なシングルサインオン機能を提供する、または、アクセスするウェブサイト（この場合は SonicWALL 装置）のユーザ名とパスワードを入力するようユーザに要求します。ユーザがドメインにログインする場合は、種々の要因がドメインの資格情報を使うためのブラウザの機能に影響します。これらの要因は、使用するブラウザの種別に依存します。

･インターネットエクスプローラ 7 - インターネットエクスプローラは、ログインするウェブサイト（SonicWALL 装置）がローカルイントラネットの場合は、インターネットオプションのセキュリティタブに応じて、ユーザのドメイン資格情報を使用して透過的に認証します。これには、インターネットオプションのローカルイントラネットゾーンのウェブサイトのリストに、SonicWALL 装置を追加する必要があります。
これは、ドメイングループポリシーのコンピュータの構成￥管理用テンプレート￥Windows コンポーネント￥Internet Explorer￥インターネットコントロールパネル￥セキュリティページの下の、サイトとゾーンの割り当て一覧から実行できます。

補足　ウィンドウズ 7 および Vista マシンは、インターネットエクスプローラを通したブラウザ NTLM 認証を用いた RADIUS 認証を使うために追加の設定が必要です。「ウィンドウズ上で NTLMv2 セッションセキュリティを設定する」セクションを参照してください。

･ Google Chrome 7 - Chrome は、インターネットオプションのローカルイントラネットゾーンのウェブサイトのリストに、SonicWALL 装置を追加することが必要であることを含めて、インターネットエクスプローラと同じように振舞います。

･ Firefox 3.6 - Firefox は、ログインするウェブサイト（SonicWALL 装置）が、設定（Firefox のアドレスバーに about:config を入力することによりアクセスする）内の network.automatic-ntlm-auth.trusted-uris エントリにリストされている場合は、ユーザのドメイン資格情報を使用して透過的に認証します。

･ Safari 3.6 - Safari は NTLM をサポートしていますが、現状ユーザのドメイン資格情報を使った完全な透過的ログオンはサポートしていません。

･非 PC プラットフォーム上のブラウザ - Linux や Mac といった、非 PC プラットフォームは、Samba を通してウィンドウズドメイン内のリソースにアクセスできますが、ウィンドウズ PC が行うような、”PC がドメイン内にログインする” 概念がありません。ゆえに、これらのプラットフォーム上のブラウザは、ユーザのドメイン資格情報へのアクセスを持たず、それらを NTLM のために使えません。

ユーザがドメインにログインしていない、または、ブラウザがユーザのドメイン資格情報を使えない場合は、名前とパスワードを入力するように求められるか、事前にユーザが保存するように設定している場合は、キャッシュされた資格情報が使われます。

すべてのケースで、万一ユーザのドメイン資格情報の使用時に認証が失敗した場合は（ユーザがアクセスを得るために必要な権限を持たないために可能性がある）、ブラウザはユーザに名前とパスワードの入力を求めます。これにより、ユーザはドメイン資格情報とは別の資格情報を入力してアクセスを得ることが可能になります。

複数管理者サポートの概要

このセクションでは、複数管理者サポート機能の概要を説明します。このセクションは次のサブセクションから構成されています。

･「複数管理者サポートとは」セクション

･「メリット」セクション

･「複数管理者サポートの動作」セクション

複数管理者サポートとは

これまでのバージョンのＳｏｎｉｃＯＳは、完全な管理者権限でＳｏｎｉｃＷＡＬＬセキュリティ装置にログオンできる管理者は１人だけでした。他のユーザに“ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓ（制限付き管理者）”のアクセス権を付与することはできますが、ＳｏｎｉｃＯＳＧＵＩのあらゆる領域を変更できる完全なアクセス権を複数の管理者が同時に持つことはできません。

ＳｏｎｉｃＯＳリリース４.０以降では、複数管理者の同時アクセスがサポートされています。この機能により、複数のユーザが完全な管理者権限でログインできるようになりました。既定のａｄｍｉｎユーザ名に加え、他の管理者ユーザ名を作成できます。

複数の管理者が同時に設定を変更することによって競合が生じる可能性もあるため、設定の変更は１人の管理者にのみ許可されています。その他の管理者にはＧＵＩに対する完全なアクセス権が付与されますが、設定を変更することはできません。

メリット

複数管理者サポートには、次のようなメリットがあります。

･生産性の向上－ＳｏｎｉｃＷＡＬＬセキュリティ装置に対して複数の管理者が同時にアクセスできるため、装置に対して２人の管理者が同時にアクセスした場合に一方の管理者が自動的にシステムからログアウトされる“自動ログアウト”が不要になります。

･設定に伴うリスクの削減－新たに読み取り専用モードが追加されたため、意図しない設定変更を誤って実行してしまうリスクなしに、ＳｏｎｉｃＷＡＬＬセキュリティ装置の現在の設定と状況を確認することができます。

複数管理者サポートの動作

以下のセクションでは、複数管理者サポート機能の動作について説明します。

･「設定モード」セクション

･「ユーザグループ」セクション

･「管理者の先制時に適用される優先順位」セクション

･「ＧＭＳと複数管理者サポート」セクション

設定モード

複数の管理者による同時アクセスを実現しながらも、設定変更の競合を防ぐために、次の設定モードが定義されています。

･設定モード－管理者に設定を編集するための完全な権限が割り当てられます。装置にログインしている管理者がいない場合、完全な管理者権限および制限付き管理者権限を持った（読み取り専用管理者以外の）管理者には自動的に設定モードが適用されます。
補足　完全な設定権限を持つ管理者は、コマンドラインインターフェース（ＣＬＩ）を使ってログインすることもできます。

･読み取り専用モード－管理者は設定に変更を加えることは一切できませんが、管理ＵＩ全体を閲覧したり、監視操作を実行したりすることができます。

ＳｏｎｉｃＷＡＬＬＲｅａｄ-ＯｎｌｙＡｄｍｉｎｓユーザグループに属する管理者には読み取り専用アクセス権が付与され、他の設定モードにはアクセスできません。

･非設定モード－管理者は、読み取り専用グループと同じ情報を閲覧できるほか、設定の競合を引き起こすおそれのない管理操作を実行できます。
非設定モードにアクセスできるのは、
ＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓユーザグループに属する管理者だけです。既に設定モードを利用している管理者が存在するとき、新しい管理者が既存の管理者を先制しなかった場合は、このモードになります。既定では、設定モードを先制された管理者は、非設定モードに切り替わります。「システム＞管理」ページでこの動作を変更して、元の管理者がログアウトされるようにすることもできます。

次の表は、各種の設定モードで利用できるアクセス権をまとめたものです。なお、この表には制限付き管理者のアクセス権も記載されていますが、制限付き管理者が利用できる機能の一部が含まれていません。

機能

完全な管理者権限
（設定モード）

完全な管理者権限
（非設定モード）

読み取り専用管理者

制限付き管理者

証明書のインポート ○

証明書署名リクエストの生成 ○

証明書のエクスポート ○

装置の設定のエクスポート ○ ○ ○

ＴＳＲのダウンロード ○ ○ ○

その他の診断の使用 ○ ○ ○

ネットワーク設定 ○ ○

ＡＲＰキャッシュの消去 ○ ○ ○

ＤＨＣＰサーバの設定 ○

ＶＰＮトンネルの再ネゴシエート ○ ○

ユーザのログオフ ○ ○ ○

ゲストユーザのみ

ロックアウトされたユーザのロック解除 ○ ○

ログの消去 ○ ○ ○

ログのフィルタ ○ ○ ○ ○

ログのエクスポート ○ ○ ○ ○

ログの電子メール送信 ○ ○ ○

ログ種別の設定 ○ ○ ○

ログ設定 ○ ○

ログレポートの生成 ○ ○ ○

完全なＵＩの参照 ○ ○ ○

ログレポートの生成 ○ ○ ○

ユーザグループ

複数管理者サポート機能により、次の２つの既定ユーザグループが追加されました。

･ＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓ－このグループのメンバーには、設定を編集するための完全な管理者アクセス権が付与されます。

･ＳｏｎｉｃＷＡＬＬＲｅａｄ-ＯｎｌｙＡｄｍｉｎｓ－このグループのメンバーには、完全な管理インターフェースを閲覧できる読み取り専用アクセス権が付与されます。設定を編集したり、完全な設定モードに切り替えることはできません。

これらの複数のユーザグループにユーザを追加することはお勧めできません。ただし、そのようにした場合は、次の動作が適用されます。

･ＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓユーザグループのメンバーをＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓユーザグループまたはＳｏｎｉｃＷＡＬＬＲｅａｄ-ＯｎｌｙＡｄｍｉｎｓユーザグループにも追加した場合、メンバーには完全な管理者権限が付与されます。

･ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓユーザグループのメンバーをＳｏｎｉｃＷＡＬＬＲｅａｄ-ＯｎｌｙＡｄｍｉｎｓユーザグループに追加した場合、メンバーには制限付き管理者権限が付与されます。

管理者の先制時に適用される優先順位

既に装置にログインしている管理者を先制する場合、各種の管理者区分には、次の規則に従って優先順位が適用されます。
1.
ａｄｍｉｎユーザおよびＳｏｎｉｃＷＡＬＬグローバル管理システム（ＧＭＳ）には、どちらも最も高い優先順位が適用され、すべてのユーザを先制できます。
2.
ＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓユーザグループに所属するユーザは、ａｄｍｉｎとＳｏｎｉｃＷＡＬＬＧＭＳを除くすべてのユーザを先制できます。
3.
ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓユーザグループに所属するユーザは、ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓグループの他のメンバーを先制できます。

ＧＭＳと複数管理者サポート

ＳｏｎｉｃＷＡＬＬＧＭＳを使用してＳｏｎｉｃＷＡＬＬセキュリティ装置を管理している場合、ＧＭＳは各種のアクティビティ（ＧＭＳ管理のＩＰＳｅｃトンネルが正しく作成されたかどうかを確認するなど）を行う関係上、装置にログインする機会が多くなります。ＧＭＳはローカル管理者を先制できるため、このようにＧＭＳが頻繁にログインすることで、装置のローカル管理が困難になる場合があります。

「ユーザ＞状況」での状況の表示

「ユーザ＞状況」ページには、ＳｏｎｉｃＷＡＬＬ上の「現在のユーザ」の一覧が表示されます。このテーブルには、「ユーザ名」、「ＩＰアドレス」、「セッション時間」、「残り時間」、「残り無動作時間」、「設定」、および「ログアウト」が表示されます。ユーザをログアウトさせるには、目的のユーザエントリの削除アイコンを選択します。

「ユーザ＞設定」の設定

このページでは、必要な認証方式、グローバルユーザ設定、ユーザがネットワークにログインしたときに表示される規約の承諾画面を設定できます。

以下のセクションでは、このページの設定手順について説明します。

･「ユーザログイン設定」

･「ユーザセッション設定」

･「その他のグローバルユーザ設定」

･「規約の承諾」

･「ログインページのカスタマイズ」

ユーザログイン設定

「ログインの認証方法」ドロップダウンリストから、ネットワークで使用するユーザアカウント管理の種別を選択します。

･「ユーザ＞ローカルユーザ」、「ユーザ＞ローカルグループ」ページを使用してＳｏｎｉｃＷＡＬＬ装置のローカルデータベース内のユーザを設定するには、「ローカルユーザ」を選択します。
認証にローカルデータベースを使用する方法の詳細については、
「ローカルユーザおよびローカルグループを使った認証」を参照してください。
詳しい設定手順については、次のセクションを参照してください。

･「ローカルユーザの設定」

･「ローカルグループの設定」

･ユーザ数が１,０００人を超える場合、またはＳｏｎｉｃＷＡＬＬのユーザ認証にさらなるセキュリティを付加したい場合は、「ＲＡＤＩＵＳ」を選択します。ＲＡＤＩＵＳを選択した場合、ユーザはＳｏｎｉｃＷＡＬＬに送るパスワードを暗号化するためにＨＴＴＰＳを使用してＳｏｎｉｃＷＡＬＬにログインする必要があります。ユーザがＨＴＴＰを使用してＳｏｎｉｃＷＡＬＬへのログインを試みた場合、ブラウザは自動的にＨＴＴＰＳにリダイレクトされます。
認証にＲＡＤＩＵＳデータベースを使用する方法の詳細については、
「ＲＡＤＩＵＳを使った認証」を参照してください。
詳細な設定手順については、
「ＲＡＤＩＵＳ認証の設定」を参照してください。

･認証にＲＡＤＩＵＳとＳｏｎｉｃＷＡＬＬローカルユーザデータベースの両方を使用する場合は、「ＲＡＤＩＵＳ＋ローカルユーザ」を選択します。

･ＬｉｇｈｔｗｅｉｇｈｔＤｉｒｅｃｔｏｒｙＡｃｃｅｓｓＰｒｏｔｏｃｏｌ（ＬＤＡＰ）サーバ、マイクロソフトアクティブディレクトリ（ＡＤ）サーバ、またはノベルイーディレクトリを使用してアカウントデータを管理する場合は、「ＬＤＡＰ」を選択します。
認証にＬＤＡＰデータベースを使用する方法の詳細については、
「ＬＤＡＰ／アクティブディレクトリ／イーディレクトリ認証」を参照してください。
詳細な設定手順については、
「ＳｏｎｉｃＯＳでのＬＤＡＰ統合の設定」を参照してください。

･認証にＬＤＡＰとＳｏｎｉｃＷＡＬＬローカルユーザデータベースの両方を使用する場合は、「ＬＤＡＰ＋ローカルユーザ」を選択します。

「シングルサインオン方法」ドロップダウンリストで、以下から１つを選択します。

･認証にアクティブディレクトリを使用している場合で、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントが同じドメイン内のコンピュータにインストールされている場合は、「ＳｏｎｉｃＷＡＬＬＳＳＯエージェント」を選択します。

･ターミナルサービスを使用していて、ＳｏｎｉｃＷＡＬＬターミナルサービスエージェント（ＴＳＡ）が同じドメイン内のターミナルサーバにインストールされている場合は、「ＳｏｎｉｃＷＡＬＬＳＳＯエージェント」を選択します。

･ＳｏｎｉｃＷＡＬＬＳＳＯエージェントまたはＴＳＡを使わずにウェブユーザを認証したい場合は、「ブラウザＮＴＬＭ認証のみ」を選択します。ユーザはＨＴＴＰトラフィックを送信すると即時に識別されます。ＮＴＬＭはＭＳＣＨＡＰ認証にアクセスするためにＲＡＤＩＵＳ（ＬＤＡＰを使う場合はＬＤＡＰ）が設定されている必要があります。上でＬＤＡＰが選択されている場合は、ＮＴＬＭを選択した際にＲＡＤＩＵＳのための独立した「設定」ボタンが現れます。

･ＳＳＯを使わない場合は、「なし」を選択します。

ＳＳＯの詳細な設定手順については、「シングルサインオンの設定」を参照してください。

ブラウザＮＴＬＭ認証の詳細な設定手順については、「ブラウザＮＴＬＭ認証のためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定」を参照してください。

「認証ページの表示時間（分）」フィールドには、ユーザがログインしなければならない制限時間、つまりログインページがタイムアウトするまでの分数を入力します。ログインページがタイムアウトすると、再度ログインを試みる前に選択するよう促すメッセージが表示されます。

ユーザアカウント名を照合する際に大文字と小文字を区別する場合は、「ユーザ名の大文字と小文字を区別する」を選択します。

複数の場所から同じユーザ名でネットワークにログインできないようにするには、「ログインの一意性を強制する」を選択します。この設定は、ローカルユーザとＲＡＤＩＵＳ／ＬＤＡＰユーザの両方に適用されます。ただし、多重ログインを禁止する設定は、ユーザ名がａｄｍｉｎの既定の管理者には適用されません。

ユーザがＨＴＴＰＳでログインした後のＳｏｎｉｃＷＡＬＬ装置経由のネットワーク接続にＨＴＴＰを使用したい場合には、「ログイン完了時にユーザをＨＴＴＰＳからＨＴＴＰにリダイレクトする」を選択します。ＨＴＴＰＳはＨＴＴＰよりも多くのシステムリソースを消費するので、ＨＴＴＰＳでのログインユーザ数が多い場合には、ＨＴＴＰへのリダイレクトを使用したほうがよいでしょう。このオプションを非選択にした場合、警告ダイアログが表示されます。

ＲＡＤＩＵＳユーザがＨＴＴＰでログインする際にＣＨＡＰチャレンジを発行する場合は、「ＲＡＤＩＵＳＣＨＡＰモードでのログインを許可する」を選択します。これは、ＨＴＴＰＳを使わずに保護された接続を可能にして、ブラウザがＨＴＴＰ上で平文テキストのパスワードを送信することを防ぎます。ＲＡＤＩＵＳサーバがこのオプションをサポートしていることを確認してください。
補足　この方式を使ってログインする管理者は、実行可能な管理操作が制限されます（いくつかの操作では、装置が管理者パスワードを知る必要があるためで、この認証方式では対応できません）。

ワンタイムパスワード認証を使う場合は、環境に応じて「ワンタイムパスワードの電子メール形式」に、「プレーンテキスト」か「ＨＴＭＬ」のどちらかを選択します。

ユーザセッション設定

以下の設定は、ＳｏｎｉｃＷＡＬＬを使用して認証されたすべてのユーザに適用されます。

･無動作時タイムアウト（分）：事前設定された無動作時間が経過した時点で、ユーザをＳｏｎｉｃＷＡＬＬからログアウトさせることができます。このフィールドに時間を分単位で入力します。既定値は5分です。

･ウェブ接続のログインセッション時間の制限を有効にする：チェックボックスを選択し、「ログインセッション時間の制限（分）」フィールドに時間を分単位で入力することにより、ユーザがＳｏｎｉｃＷＡＬＬにログインできる時間の長さを制限できます。既定値は３０分です。

･ユーザログイン状況ウィンドウを表示する：ユーザセッションが継続している間、「ログアウト」ボタンのある状況ウィンドウを表示します。ユーザは、「ログアウト」ボタンを選択することにより、セッションからログアウトすることができます。
「
ユーザログイン状況」ウィンドウには、ログインセッションの残りの分数が表示されます。ユーザは、数値を入力して「更新」ボタンを選択することで、残りの分数を短く設定し直すこともできます。
ユーザがＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓグループまたはＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓグループのメンバーである場合、「
ユーザログイン状況」ウィンドウには「管理」ボタンが表示されます。このボタンを選択すると、ＳｏｎｉｃＷＡＬＬ装置の管理インターフェースに自動的にログインできます。管理ユーザの「ユーザログイン状況」ウィンドウを無効にする方法の詳細については、「ユーザログイン状況ポップアップの無効化」を参照してください。グループの設定手順については、「ローカルグループの設定」を参照してください。

･ユーザログイン状況ウィンドウが、ハートビートを送信する間隔（秒）：ユーザが有効な接続を保持しているかどうかを確認するために使用されるハートビート信号の周期を設定します。

･切断されたユーザの検出を有効にする：接続が有効でなくなったユーザを検出すると、ＳｏｎｉｃＷＡＬＬはそのセッションを終了させます。

･ユーザログイン状況ウィンドウから、次の時間ハートビートがなかった場合に切断とみなす（分）：ハートビートからの応答がなかった場合に、ユーザセッションを終了するまでの時間を設定します。

その他のグローバルユーザ設定

下記のＨＴＴＰＵＲＬへは、ユーザ認証をバイパスしてアクセスを許可する：認証なしでユーザが接続できるＵＲＬのリストを定義します。リストにＵＲＬを追加するには、以下の手順に従います。

手順 1　ＵＲＬリストの下の「追加」を選択します。

手順 2　「ＵＲＬの入力」ウィンドウで、トップレベルのＵＲＬを入力します（例えば、ｗｗｗ.ｓｏｎｉｃｗａｌｌ.ｃｏｍ）。この場合、このＵＲＬ以下のすべてのサブディレクトリ（例えば、ｗｗｗ.ｓｏｎｉｃｗａｌｌ.ｃｏｍ／ｕｓ／Ｓｕｐｐｏｒｔ.ｈｔｍｌ）が含められます。「ＯＫ」を選択してリストにＵＲＬを追加します。

ワイルドカード一致は、接頭辞 '*.' かつ/または接尾辞 '...' を使います（例: *.windowsupdate.com...）。

どのホスト上のファイルへのアクセスも許可するには、接頭辞 '*/' を使います（例: */wpad.dat）。

ユーザ認証をバイパスさせる URL の自動設定

自動設定ユーティリティを使って、単一の特定の IP アドレスからのトラフィックを認証をバイパスして一時的に許可できます。トラフィックがアクセスする宛先は記録され、トラフィックがユーザ認証をバイパスすることを許可するために使われます。通常これはアンチウィルスの更新やウィンドウズアップデートのようなトラフィックを許可するために使われます。 URL バイパスリストを自動設定するには、以下の手順に従います。

手順 1　「ユーザ＞設定」ページの「その他のグローバルユーザ設定」セクション下の「自動設定」を選択します。

手順 2　トラフィックを許可したい送信元の「IP アドレス」を入力して、「開始」を選択します。

手順 3　認証をバイパスする必要があるトラフィックを流します。これをしなければ認証が必要なファイアウォールルールによって遮断されるはずのトラフィックの通過が許可され、宛先が記録されます。トラフィックが検出されたときに、その宛先アドレスがウィンドウ内に記録されます。

手順 4　特定のアドレスをより総称的なワイルドカードに変換するには、アドレスを選択して、「ワイルドカードに変換する」を選択します。

手順 5　特定のアドレスをより総称的なクラス B (16 ビット) またはクラス C (24 ビット) ネットワークに変換するには、アドレスを選択して、「クラス B」か「クラス C」を選択してから「ネットワークに変換する」を選択します。
ヒント　ウィンドウズアップデートはいくつかの宛先に HTTPS でアクセスし、それらは IP アドレスのみで追跡可能です。しかしながら、各回でアクセスされた実際の IP アドレスは変化することがあり、そのため、そのような IP アドレスそれぞれに対してバイパスの設定を試みるのではなく、「ネットワークに変換する」オプションを使って、対象ネットワーク内のすべての IP アドレスへの HTTPS に対してバイパスを許可する設定をするほうが良いでしょう。

手順 6　必要なアドレスすべてが検出されたら、「停止」を選択してから、「選択の保存」を選択します。
ヒント　アクセスされる宛先が変化する場合は、アップデートを複数回実行すると良いでしょう。
規約の承諾

規約承諾（ＡＵＰ）は、ネットワークやインターネットにアクセスするためにユーザが従う必要のあるポリシーです。多くの企業や教育施設では、社員や学生がＳｏｎｉｃＷＡＬＬを使用してネットワークやインターネットにアクセスする前に、規約の承諾に同意するよう求めるのが一般的です。

「規約の承諾」セクションでは、ユーザに表示されるＡＵＰメッセージウィンドウを作成できます。メッセージの本文にはＨＴＭＬフォーマットを使用できます。「サンプルテンプレート」ボタンを選択すると、ＡＵＰウィンドウ用に書式設定済みのＨＴＭＬテンプレートが挿入されます。

･規約の承諾を要求する－ユーザがログインしたときに規約承諾画面を表示するネットワークインターフェースを選択します。「保護ゾーン」、「ＷＡＮゾーン」、「公開ゾーン」、「無線ゾーン」、および「ＶＰＮゾーン」から任意の組み合わせを選択できます。

･ウィンドウサイズ（ピクセル）－ＡＵＰウィンドウのサイズをピクセル単位で指定できます。「ウィンドウでスクロールバーを有効にする」を選択すると、ＡＵＰウィンドウの内容をスクロールできるようになります。

･ウィンドウでスクロールバーを有効にする－ウィンドウの表示サイズに内容が収まりきらない場合、スクロールバーが表示されます。

規約承諾画面の内容－規約承諾のテキストをテキストボックスに入力します。ＨＴＭＬフォーマットを含めることができます。ユーザに表示されるページには、ユーザによる確認を行うための「承諾する」ボタンや「キャンセル」ボタンが含まれます。

「サンプルテンプレート」ボタンを選択すると、既定のＡＵＰテンプレートの内容が表示されます。この内容は自由に変更することができます。


<center>ＳｏｎｉｃＷＡＬＬへようこそ</center>



<table width="100%" border="1">

<tr><td>



 

<center>ここに規約を記述します。

 

</td></tr>

</table>

これらの規約を承諾して続行するには「承諾する」を選択してください。

そうでない場合は「キャンセル」を選択してください。

「画面の確認」ボタンを選択すると、作成したＡＵＰメッセージがどのようにユーザに表示されるかを確認できます。

ログインページのカスタマイズ

SonicOS は、ユーザに表示されるログイン認証ページのテキストをカスタマイズする機能を提供するようになりました。管理者は自身の表現でログイン関連ページを編集して、変更を適用して再起動することなく反映できます。

SonicOS インターフェース全体は異なる言語で利用可能ですが、管理者はユーザインターフェース全体の言語を特定の地域の言語に変更したくない場合があります。

しかしながら、ユーザが他のネットワークにアクセス可能になる、または外部アクセスサービス (例：VPN、SSL-VPN) を有効にする前に、ファイアウォールが認証を要求する場合に、それらのログイン関連ページを一般ユーザがより使いやすいようにローカライズすることができます。

ユーザ定義可能なログインページの機能は、下記の機能性を提供します。

･既定ではオリジナルログインのスタイルを保持する

･管理者はログイン関連ページをカスタマイズできる

･管理者は既定のログインページをテンプレートとして使用できる

･管理者はシステムプリファレンス内にカスタマイズしたページを保存できる

･管理者は変更をプリファレンスに保存する前にプレビューできる

･一般ユーザにカスタマイズしたログイン関連ページを公開する

以下のログイン関連ページがカスタマイズできます。

･管理の先制

･ログイン認証

･ログアウト

･ログイン数超過

･ログイン拒否

･ログインロックアウト

･ログイン状況

･ゲストログイン状況

･ポリシーアクセスブロック

･ポリシーアクセスダウン

･ポリシーアクセス利用不可

･ポリシーログインリダイレクト

･ポリシーシングルサインオン監視失敗

･ユーザパスワード更新

･ユーザログインメッセージ

これらのページの 1 つをカスタマイズするには、以下の手順に従います。
1. 「
ユーザ＞設定」ページで、「ログインページのユーザ定義」セクションにスクロールダウンします。
2. 「
ログインページの選択」プルダウンメニューから、カスタマイズするページを選択します。
3. ページ下部までスクロールして、ページのデフォルトの内容をロードするために、「
デフォルト」を選択します。
4. ページの内容を編集します。

補足　テンプレートページ内の “var strXXX =” の行は、カスタマイズされた JavaScript 文字列です。これらを好きな表現に変更できます。編集は JavaScript の文法に従っている必要があります。 HTML セクション内の表現も編集できます。
5. 「
プレビュー」を選択して、カスタマイズされたページがどのように見えるかプレビューします。
6. ページの編集を完了させて、「
適用」を選択します。

ユーザに見せるページを既定に戻すには、「ログインページの内容」フィールドを空白のままにして変更を適用します。
警告　個別ログインページのＨＴＭＬは、ＨＴＭＬエラーによってログインページが正しく機能しなくなることがあるので、配備する前に慎重に確認してください。

カスタマイズしたログインページに何か問題がある場合のために、管理者に対しては代わりのログインページが常に利用可能です。この代わりのログインページにアクセスするには、手動でブラウザのアドレスバーに、http://(device_ip)/defauth.html のURL を直接入力します (大文字小文字が区別されます)。すると、カスタマイズされていない既定のログインページが表示され、通常どおりログインしてカスタマイズしたログイン関連ページをリセットできます。

ローカルユーザの設定

ローカルユーザは、セキュリティ装置のローカルデータベースに格納され、管理されるユーザです。「ユーザ＞ローカルユーザ」ページでは、すべてのローカルユーザの表示、新しいローカルユーザの追加、既存ユーザの編集を行うことができます。 LDAP サーバからユーザをインポートすることもできます。

設定手順については、次の各セクションを参照してください。

･「ローカルユーザ設定の構成」

･「ローカルユーザの表示、編集、削除」

･「ローカルユーザの追加」

･「ローカルユーザの編集」

･「ローカルユーザを LDAP からインポートする」

ローカルユーザ設定の構成

「ユーザ＞ローカルユーザ」ページでは、すべてのユーザに対する以下のグローバル設定が構成できます。

･すべてのローカルユーザにパスワード制約を適用する - 「システム＞管理」ページで指定したパスワード制約をすべてのローカルユーザに適用します。パスワード制約の詳細については、「ログインセキュリティの設定」を参照してください。
補足　これは、既定の "ａｄｍｉｎ" ユーザアカウントには影響しません。

･期限切れユーザアカウントを削除する - 制限された有効期限を持つように設定されたユーザアカウントに対して、このチェックボックスは有効期限が切れた後にそのユーザアカウントが削除されるようにします。有効期限が切れた後に単にアカウントを無効にするには、このチェックボックスを無効にします。そうすると、管理者はそのアカウントの有効期限をリセットすることで再度有効にできます。

ローカルユーザの表示、編集、削除

「ユーザ＞ローカルユーザ」ページでは、ユーザが所属するすべてのグループを表示できます。ユーザの横の展開アイコンを選択すると、ユーザのグループメンバーシップが表示されます。

ユーザ名の右側に、ユーザに対する権限を示す３つの列があります。展開表示では、ユーザが各権限を得ている元のグループが表示されます。

･「ＶＰＮアクセス」列のコメントアイコンにマウスカーソルを重ねると、ユーザがＶＰＮアクセス可能なネットワークリソースが表示されます。

･展開表示で「設定」の下の削除アイコンを選択すると、該当するグループからユーザを削除できます。

･「設定」の下の編集アイコンを選択すると、ユーザを編集できます。

･「設定」の下のごみ箱アイコンを選択すると、その行のユーザまたはグループを削除できます。
ローカルユーザの追加

ＳｏｎｉｃＷＡＬＬセキュリティ装置の内部データベースにローカルユーザを追加するには、「ユーザ＞ローカルユーザ」ページを使用します。ここで説明するように、ユーザは手動で追加可能であり、また、「ローカルユーザを LDAP からインポートする」セクションで説明するように、LDAP からユーザをインポートすることも可能です。手動でデータベースにローカルユーザを追加するには、次の手順に従います。

手順 1　「ユーザの追加」を選択します。ユーザ追加のための設定ウィンドウが表示されます。

手順 2　「設定」タブの「名前」フィールドにユーザ名を入力します。

手順 3　「パスワード」フィールドに、ユーザのパスワードを入力します。パスワードでは大文字と小文字が区別されます。また、家族、友人、ペットなどの名前ではなく、文字と数字の組み合わせにする必要があります。

手順 4　確認のため、「パスワードの確認」フィールドにパスワードを再入力します。

手順 5　初回ログイン時にユーザにパスワードの変更を求める必要がある場合は、「ユーザはパスワードを変更する必要があります」チェックボックスを選択します。２ファクタ認証でシステムが生成したパスワードを送信するようＳＳＬＶＰＮユーザに要求する機能を有効にするには、「ワンタイムパスワードを要求する」チェックボックスを選択します。
ヒント　ローカルユーザがワンタイムパスワードを有効にしていないが、そのユーザが所属するグループは有効にしている場合には、そのユーザの電子メールアドレスが設定されていることを確認してください。電子メールアドレスが設定されていない場合、このユーザはログインできません。

手順 6　ユーザがワンタイムパスワードを受信できるよう、ユーザの電子メールアドレスを入力します。

手順 7　「アカウント存続期間」プルダウンメニューで、「期限無し」を選択すると、アカウントは恒久化されます。または、「分間」、「時間」、「日間」を選択して、ユーザアカウントが削除または無効化されるまでの有効期限を指定します。

･制限された有効期限を選択した場合は、有効期限が切れた後にユーザアカウントが削除されるようにするための、「有効期間が切れた場合に削除する」チェックボックスが選択できます。有効期限が切れた後に単にアカウントを無効にするには、このチェックボックスを無効にします。そうすると、管理者はそのアカウントの有効期限をリセットすることで再度有効にできます。

手順 8　必要に応じて、「コメント」フィールドにコメントを入力します。

手順 9　「グループ」タブの「ユーザグループ」で、ユーザの追加先となる１つまたは複数のグループを選択し、矢印ボタン（－＞）を選択して、これらのグループ名を「所属するグループ」リストに移動します。ユーザが、選択したグループのメンバーになります。ユーザをグループから削除するには、「所属するグループ」でそのグループを選択し、左矢印ボタン（＜－）を選択します。

手順 10　「ＶＰＮアクセス」タブでは、ＶＰＮユーザ（ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒ、仮想オフィスブックマークすべて）がどのネットワークリソースにアクセスできるかを設定します。「ＶＰＮアクセス」タブで、「アクセス不可」リストから１つ以上のネットワークアドレスオブジェクトを選択して、右矢印（->）ボタンを選択してこれらを「アクセス許可」リストに移動します。ネットワークアドレスオブジェクトまたはグループへのユーザアクセスを削除するには、「アクセス許可」リストからネットワークを選択して、左矢印（<-）ボタンを選択します。
補足　「ＶＰＮアクセス」タブは、ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒおよびＳＳＬＶＰＮ仮想オフィスブックマークを使ってネットワークリソースにアクセスするリモートクライアントの能力に影響します。ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒ、または、仮想オフィスのユーザがネットワークリソースへアクセスすることを許可するには、ネットワークアドレスオブジェクトかグループを、「ＶＰＮアクセス」タブの ”許可” リストに追加する必要があります。

手順 11　管理者は、「ブックマーク」タブで、関連するグループに所属する各ユーザについて、仮想オフィスのブックマークを追加、編集、または削除することができます。ＳＳＬＶＰＮブックマークの設定方法については、「ＳＳＬＶＰＮブックマークの設定」を参照してください。
補足　ユーザがブックマークを自ら設定するためには、ＳＳＬＶＰＮサービスグループのメンバーである必要があります。

手順 12　「ＯＫ」を選択してユーザ設定を完了します。

ローカルユーザの編集

「ユーザ＞ローカルユーザ」画面では、ローカルユーザを編集することができます。ローカルユーザを編集するには、次の手順に従います。

手順 1　ユーザリストで、編集対象のユーザと同じ行の「設定」の下にある編集アイコンを選択します。

手順 2　新しいユーザを追加する場合と同様に、「設定」、「グループ」、「ＶＰＮアクセス」」、「ブックマーク」タブを設定します。「ローカルユーザの追加」を参照してください。

ローカルユーザを LDAP からインポートする

LDAP サーバからユーザ名を取得することで SonicWALL 上のローカルユーザを設定できます。「LDAP からインポート」ボタンは、SonicWALL にインポートするために利用可能なユーザ名のリストを含むダイアログボックスを起動します。

SonicWALL 上に既存の LDAP/AD ユーザと同じ名前を持つユーザがある場合、LDAP 認証の成功によって SonicWALL ユーザ権限が与えられます。

LDAP サーバから読み込んだユーザのリストは、非常に長くなる場合があるため、それらのうち少数をインポートしたいことがあります。望まないユーザを選択するいくつかの方法と共に、「リストより削除」ボタンが提供されます。に、これらのオプションを使って、リストを管理可能なサイズに縮小してからインポートするユーザを選択できます。

LDAP サーバからユーザをインポートするには、次の手順に従います。

手順 1　「ユーザ＞設定」ページで、「ログインの認証方式」を「LDAP」または「LDAP + ローカルユーザ」に設定します。

手順 2　「ユーザ＞ローカルユーザ」ページで、「LDAP からインポート」を選択します。

手順 3　「LDAP ユーザのインポート」ダイアログボックで、個々のユーザ、または、すべてのユーザを選択できます。リスト内のすべてのユーザを選択するには、リストの最上部にある「すべて選択/非選択」チェックボックスを選択します。全選択をクリアするには、それを再度選択します。

手順 4　表示されたリストから 1 つ以上のユーザを削除するには、ページ下部にある以下のオプションのうち 1 つを選択してから、「リストより削除」を選択します。

･チェックボックスを選択したユーザを削除するには、「選択したすべてのユーザ」ラジオボタンを選択します。

･名前、説明、または場所に基づいて特定のユーザを削除するには、「次に一致するユーザ＜フィールド 1＞に次を含む＜フィールド 2＞」ラジオボタンを選択します。 1 つめのフィールドのドロップダウンリストから、「名前」、「説明」、または「場所」を選択して、2 つめのフィールドに一致させる値を入力します。
このオプションでは、「
名前」はリストの左列内に表示されるユーザ名を参照し、「説明」はその右に表示される説明 (全ユーザに対して表示されるわけではありません) を参照し、「場所」は LDAP ディレクトリ内のユーザオブジェクトの場所を参照します。完全なユーザ名を伴うこの場所は、上記画面に表示されているように、ユーザ名にマウスポインタを合わせることで表示されます。
例えば、説明に "Disabled" とマークされているアカウントを削除したいと仮定します。この場合、1 つめのフィールドで「
説明」を選択して、2 つめのフィールドに "Disabled" を入力します。 2 つめのフィールドは大文字と小文字を区別するので、"disabled" と入力した場合は異なる組のユーザを削除してしまいます。

･ LDAP ディレクトリ内の場所に基づいて特定のユーザをリストから削除するには、「すべてのユーザ＜フィールド 1＞＜フィールド 2＞」ラジオボタンを選択します。 1 つめのフィールドのドロップダウンリストから、「次の場所」または「次の場所とその配下」のどちらかを選択して、2 つめのフィールドに、ドロップダウンリストから LDAP ディレクトリの場所を選択します。
補足　インポートしないようにリストからユーザを削除することは必須ではありません。こうすると、簡単にリスト内に残すユーザを見ることができます。これをやらない選択をする場合は、直接手順 7 に進めます。

手順 5　前の手順を繰り返して、インポートするために選択する管理可能なリストになるまで、さらにユーザを削除します。

手順 6　ユーザのリストに行ったすべての変更を取り消すには、「元に戻す」を選択してから、確認のダイアログボックスで「OK」を選択します。

手順 7　「リストより削除」オプションを用いてできるだけ多くの望まないアカウントの削除を終了してから、リスト内のチェックボックスを使ってインポートするアカウントを選択して「選択の保存」を選択します。

ローカルグループの設定

ローカルグループは、「ローカルグループ」テーブルに表示されます。テーブルには「名前」、「コンテンツフィルタのバイパス」、「ゲストサービス」、「管理」、「ＶＰＮアクセス」、および「設定」が表示されます。

既定のグループ「Ｅｖｅｒｙｏｎｅ」がテーブルに表示されます。「設定」列にある編集アイコンを選択して、Ｅｖｅｒｙｏｎｅの設定を確認または変更します。

設定手順については、次の各セクションを参照してください。

･「ローカルグループの作成」

･「ＬＤＡＰからのローカルグループのインポート」

ローカルグループの作成

このセクションではローカルグループの作成方法を説明しますが、その内容は既存のローカルグループの編集にも当てはまります。ローカルグループを編集するには、編集対象のグループと同じ行にある編集アイコンを選択したうえで、次の手順に従います。

ローカルグループの追加または編集時に、他のローカルグループをグループのメンバーとして追加することができます。

ローカルグループを追加するには、次の手順に従います。

手順 1　「グループの追加」ボタンを選択して、「グループの追加」ウィンドウを表示します。

手順 2　「設定」タブの「名前」フィールドにユーザ名を入力します。必要に応じて、「メンバーはウェブログインで管理ＵＩにすぐにアクセスします」チェックボックスをオンにすることができます。この選択は、この新しいグループに対して別の管理グループのメンバーシップを後で付与した場合にのみ適用されます。「ワンタイムパスワードを要求する」チェックボックスを選択して、２ファクタ認証でシステムが生成したパスワードを送信するようＳＳＬＶＰＮユーザに要求することもできます。この機能を有効にする場合は、ユーザが電子メールアドレスを設定している必要があります。

補足　ワンタイムパスワード機能では、リモートユーザはグループレベルで制御できます。元の認証が完了したときに、ＬＤＡＰユーザの電子メールアドレスがサーバから取得されます。ＲＡＤＩＵＳによるリモートユーザの認証には、管理者が電子メールアドレスを管理インターフェースから手動で入力する必要があります。ただし、ＲＡＤＩＵＳユーザの設定で、「ユーザグループ情報の検索にＬＤＡＰを使用する」を設定している場合は除きます。

手順 3　このグループにユーザや他のグループを追加するには、「メンバー」タブの「所属していないユーザとグループ」リストからユーザまたはグループを選択し、右矢印ボタン（－＞）を選択します。

手順 4　「ＶＰＮアクセス」タブでは、ＶＰＮユーザ（ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒ、仮想オフィスブックマークすべて）がどのネットワークリソースにアクセスできるかを設定します。「ＶＰＮアクセス」タブで、「アクセス不可」リストから１つ以上のネットワークアドレスオブジェクトを選択して、右矢印（->）ボタンを選択してこれらを「アクセス許可」リストに移動します。ネットワークアドレスオブジェクトまたはグループへのユーザアクセスを削除するには、「アクセス許可」リストからネットワークを選択して、左矢印（<-）ボタンを選択します。
補足　「ＶＰＮアクセス」タブは、ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒおよびＳＳＬＶＰＮ仮想オフィスブックマークを使ってネットワークリソースにアクセスするリモートクライアントの能力に影響します。ＧＶＣ、ＮｅｔＥｘｔｅｎｄｅｒ、または、仮想オフィスのユーザがネットワークリソースへアクセスすることを許可するには、ネットワークアドレスオブジェクトかグループを、「ＶＰＮアクセス」タブの ”許可” リストに追加する必要があります。

補足　グループレベルで多数のユーザに対してＳＳＬＶＰＮのアクセス許可を設定できます。それには、「ネットワーク＞アドレスオブジェクト」の管理インターフェースでアドレスオブジェクトを作成します。たとえば、グループのすべてのユーザがアクセスする必要がある公開ファイルサーバに対して行います。こうして新規作成したオブジェクトは「ＶＰＮアクセス」タブの「ネットワーク」に表示されるため、「アクセス許可」に追加してグループを割り当てることができます。

手順 5　このグループに個別のコンテンツフィルタサービスポリシーを強制するには、「ＣＦＳポリシー」タブを選択し、「ポリシー」ドロップダウンリストからＣＦＳポリシーを選択します。

補足　個別のコンテンツフィルタサービスポリシーは、「セキュリティサービス＞コンテンツフィルタ」ページで作成します。「セキュリティサービス＞コンテンツフィルタ」を参照してください。

手順 6　管理者は、「ブックマーク」タブで、各グループに対して仮想オフィスのブックマークを追加、編集、または削除することができます。

手順 7　「ＯＫ」を選択します。

ＬＤＡＰからのローカルグループのインポート

ＬＤＡＰサーバからユーザグループ名を取得することにより、ＳｏｎｉｃＷＡＬＬ上でローカルユーザグループを設定できます。「ＬＤＡＰからインポート」ボタンを選択すると、ダイアログボックスが起動し、ＳｏｎｉｃＷＡＬＬにインポートできるユーザグループ名が一覧表示されます。

既存のＬＤＡＰ／ＡＤユーザグループと同じ名前のユーザグループがＳｏｎｉｃＷＡＬＬ上にあれば、ＬＤＡＰ認証に成功したときにＳｏｎｉｃＷＡＬＬのグループメンバーシップおよび権限が与えられます。

ＬＤＡＰサーバからグループをインポートするには、次の手順に従います。

手順 1　「ユーザ＞設定」ページの「認証方式」を「ＬＤＡＰ」に設定します。

手順 2　「ユーザ＞ローカルグループ」ページの「ＬＤＡＰからインポート」を選択します。

手順 3　「ＬＤＡＰのユーザグループのインポート」ダイアログボックスで、任意でインポートしたくないグループのチェックボックスを選択して、「リストより削除」を選択します。

手順 4　グループのリストに行ったすべての変更を取り消すには、「元に戻す」を選択してから、確認のダイアログボックスで「OK」を選択します。

手順 5　削除を終えてリストが管理可能なサイズになってから、ＳｏｎｉｃＷＡＬＬにインポートする各グループのチェックボックスを選択し「選択の保存」を選択します。

ＲＡＤＩＵＳ認証の設定

ＳｏｎｉｃＯＳでのＲＡＤＩＵＳ認証の概要は、「ＲＡＤＩＵＳを使った認証」を参照してください。「ユーザ＞設定」ページの「ログイン認証方式」ドロップダウンリストから「ＲＡＤＩＵＳ」または「ＲＡＤＩＵＳ＋ローカルユーザ」を選択した場合、「設定」ボタンが選択可能な状態になります。

「シングルサインオン方式」ドロップダウンリストで「ブラウザＮＴＬＭ認証のみ」を選択した場合、または、設定のどこかでＲＡＤＩＵＳの使用が必要なさまざまな場合に、ＲＡＤＩＵＳのための独立した「設定」ボタンが現れます。設定手順は同じです。

ＲＡＤＩＵＳを使用する場合、実際の認証方法は自動的に選択されるため、ＲＡＤＩＵＳ設定ウィンドウ内ではそれに対する設定オプションはありません。ＲＡＤＩＵＳは標準モード（よく誤ってＰＡＰモード¹ として呼ばれる）そしてＣＨＡＰ、ＭＳＡＨＣＰ、およびＭＳＣＨＡＰｖ２を含むどのモードでも完全に保護されるため、標準ＲＡＤＩＵＳに対してＲＡＤＩＵＳＣＨＡＰモードを強要する理由はありません。ＭＳＣＨＡＰ/ＭＳＣＨＡＰｖ２を選択する唯一の理由は、これらが提供するパスワード更新機能を利用することで、そしてこれは他の場所で設定できます。

･Ｌ２ＴＰに対して、使用されるＰＰＰプロトコルに応じて適切なＲＡＤＩＵＳプロトコルが自動的に選択されます。

･グローバルＶＰＮクライアントを含むＶＰＮに対しては、パスワード更新を許可するために、ＲＡＤＩＵＳＭＳＣＨＡＰ/ＭＳＣＨＡＰｖ２モードを強要できます。これは、「ＶＰＮ＞詳細」ページと「ＳＳＬＶＰＮ＞設定」ページで選択できます。

･他のシナリオはすべて、内部ユーザの認証を伴います、そして、パスワード更新の仕組みを提供する必要はありません (ユーザはＰＣ上でローカルで行えます)。この場合は標準ＲＡＤＩＵＳモードが使われます。

･「ユーザ＞設定」ページの「RADIUS CHAP モードでのログインを許可する」オプションにより、ユーザは認証にＲＡＤＩＵＳを使う場合、ＨＴＴＰＳではなくＨＴＴＰを介してログイン可能になります。ＣＨＡＰモードは、ブラウザがユーザのパスワードをＨＴＴＰ上で平文で送信しないように、認証に対してチャレンジプロトコルを提供します。

ＲＡＤＩＵＳを設定するには、次の手順に従います。

手順 1　ＳｏｎｉｃＷＡＬＬ上でＲＡＤＩＵＳサーバ設定を行うために、「設定」を選択します。「ＲＡＤＩＵＳの設定」ウィンドウが表示されます。

手順 2　「グローバルＲＡＤＩＵＳ設定」で、「ＲＡＤＩＵＳサーバタイムアウト（秒）」の値を入力します。許容範囲は１～６０秒で、既定値は５です。

手順 3　ＳｏｎｉｃＷＡＬＬがＲＡＤＩＵＳサーバに接続を試行する回数を「再試行」フィールドに入力します。ＲＡＤＩＵＳサーバが指定された試行回数内に応答しない場合、接続が破棄されます。このフィールドの範囲は０～１０ですが、３回のＲＡＤＩＵＳサーバ試行をお勧めします。

ＲＡＤＩＵＳサーバ

「ＲＡＤＩＵＳサーバ」セクションでは、プライマリＲＡＤＩＵＳサーバのほか、必要に応じてセカンダリＲＡＤＩＵＳサーバを指定することもできます。バックアップＲＡＤＩＵＳサーバがネットワーク上に存在する場合は、オプションのセカンダリＲＡＤＩＵＳサーバを定義できます。

手順 1　「プライマリサーバ」セクションの「名前またはＩＰアドレス」フィールドに、ＲＡＤＩＵＳサーバのホスト名またはＩＰアドレスを入力します。

手順 2　「事前共有鍵」フィールドに、ＲＡＤＩＵＳサーバの管理パスワードまたは“共有鍵”を入力します。英数字の共有鍵の長さは、１～３１文字の範囲です。共有鍵では大文字と小文字が区別されます。

手順 3　ＲＡＤＩＵＳサーバがＳｏｎｉｃＷＡＬＬとの通信に使用するポート番号を「ポート番号」に入力します。既定値は１８１２です。

手順 4　必要に応じて、「セカンダリサーバ」セクションの「名前またはＩＰアドレス」フィールドに、セカンダリＲＡＤＩＵＳサーバのホスト名またはＩＰアドレスを入力します。

手順 5　「事前共有鍵」フィールドに、ＲＡＤＩＵＳサーバの管理者パスワードまたは“共有鍵”を入力します。英数字の共有鍵の長さは、１～３１文字の範囲です。共有鍵では大文字と小文字が区別されます。

手順 6　セカンダリＲＡＤＩＵＳサーバがＳｏｎｉｃＷＡＬＬとの通信に使用するポート番号を「ポート番号」に入力します。既定値は1812です。

ＲＡＤＩＵＳユーザ

「ＲＡＤＩＵＳユーザ」タブでは、ＲＡＤＩＵＳ認証と組み合わせて使用するローカルまたはＬＤＡＰ情報の種類を指定できます。ＲＡＤＩＵＳユーザの既定のユーザグループを定義することもできます。

ＲＡＤＩＵＳユーザの設定

ＲＡＤＩＵＳユーザの設定を行うには、次の手順に従います。

手順 1　ＳｏｎｉｃＷＡＬＬデータベースに登録されているユーザのみをＲＡＤＩＵＳで認証できるようにするには、「ＲＡＤＩＵＳユーザ」タブの「ローカルに登録されたユーザのみ許可する」を選択します。

手順 2　ＲＡＤＩＵＳユーザのユーザグループメンバーシップの設定方式を以下から選択します。

･ＲＡＤＩＵＳサーバから設定済みのベンダー固有の属性を適用する場合は、「ＳｏｎｉｃＷＡＬＬベンダー固有の属性をＲＡＤＩＵＳサーバで使用する」を選択します。この属性には、ユーザが所属するユーザグループが指定されている必要があります。

･ＲＡＤＩＵＳサーバから設定済みのＦｉｌｔｅｒ-ＩＤ属性を適用する場合は、「Ｆｉｌｔｅｒ-Ｉｄ属性をＲＡＤＩＵＳサーバで使用する」を選択します。この属性には、ユーザが所属するユーザグループが指定されている必要があります。

･ＬＤＡＰサーバからユーザグループを取得する場合は、「ユーザグループ情報の検索にＬＤＡＰを使用する」を選択します。まだＬＤＡＰを設定していない場合、または、変更を加える必要がある場合は、「設定」ボタンを選択すると、ＬＤＡＰの設定を行うことができます。ＬＤＡＰの設定については、「ＬＤＡＰを使用するためのＳｏｎｉｃＷＡＬＬ装置の設定」を参照してください。

･ユーザグループ情報をＲＡＤＩＵＳからもＬＤＡＰからも取得しない場合は、「ローカル設定のみ」を選択します。

･ＲＡＤＩＵＳユーザグループの管理を簡単にするには、「重複したＲＡＤＩＵＳユーザ名によるメンバーシップ設定可能です」を選択します。セキュリティ装置上に同じ名前のユーザをローカルに作成し、そのグループメンバーシップを管理すると、その内容がＲＡＤＩＵＳデータベース内のメンバーシップの設定に自動的に反映されます。

手順 3　既にＳｏｎｉｃＷＡＬＬ上でユーザグループを設定している場合は、「すべてのＲＡＤＩＵＳユーザが初期状態で所属するグループ」ドロップダウンリストからグループを選択します。

ＲＡＤＩＵＳユーザ用の新しいユーザグループの作成

新しいグループを作成するには、ＲＡＤＩＵＳユーザ設定画面の「すべてのＲＡＤＩＵＳユーザが初期状態で所属するグループ」ドロップダウンリストから「ユーザグループの作成」を選択します。

手順 1　「ユーザグループの作成」を選択します。「グループの追加」ウィンドウが表示されます。

手順 2　「設定」タブで、グループの名前を入力します。グループの説明を入力することもできます。

手順 3　「メンバー」タブで、グループのメンバーを選択します。追加するユーザまたはグループを左の列から選択し、「－＞」ボタンを選択します。すべてのユーザとグループを追加するには、「すべて追加」を選択します。

補足　「Ｅｖｅｒｙｏｎｅ」と「すべてのＲＡＤＩＵＳユーザ」を除き、任意のグループを別のグループのメンバーとして追加できます。グループを他のグループに追加する場合は、メンバーシップに注意してください。

手順 4　「ＶＰＮアクセス」タブで、このグループに既定でＶＰＮアクセスを許可するネットワークリソースを選択します。
補足　ＧｒｏｕｐＶＰＮアクセス設定は、リモートクライアントおよびＳＳＬＶＰＮ仮想オフィスブックマークに影響します。

手順 5　セキュリティ装置でコンテンツフィルタサービス（ＣＦＳ）が有効になっている場合には、「ＣＦＳポリシー」タブで、このグループに適用するコンテンツフィルタポリシーを設定することができます。ＳｏｎｉｃＷＡＬＬコンテンツフィルタサービスの登録および管理については、「セキュリティサービス＞コンテンツフィルタ」を参照してください。

ユーザグループにＬＤＡＰを使用するＲＡＤＩＵＳ

ＲＡＤＩＵＳをユーザ認証に使用している場合、ＲＡＩＤＵＳユーザのユーザグループメンバーシップを設定するためのメカニズムとしてＬＤＡＰを選択できるようにするオプションが、ＲＡＤＩＵＳ設定内の「ＲＡＤＩＵＳユーザ」ページにあります。

「ユーザグループ情報の検索にＬＤＡＰを使用する」が選択されている場合、ＲＡＤＩＵＳを介してユーザ認証が行われた後、ユーザグループメンバーシップ情報が、ＬＤＡＰを介してＬＤＡＰ／ＡＤサーバ上のディレクトリ内で参照されます。
補足　この機能が選択されないで、ワンタイムパスワードが有効の場合、ＲＡＤＩＵＳユーザはＳＳＬＶＰＮを通してログインを試行した際に、ワンタイムパスワードの失敗メッセージを受け取ります。

「設定」ボタンを選択すると、「ＬＤＡＰ設定」ウィンドウが表示されます。

この場合、ＬＤＡＰはユーザパスワードを扱わず、ディレクトリから読み込まれる情報も通常は制限されるので、ＴＬＳを使用しない操作を選択することもできます。ＴＬＳが利用できない場合（証明書サービスがアクティブディレクトリにインストールされていない場合など）は警告を無視してください。その際、ＳｏｎｉｃＷＡＬＬは平文テキストを使用してＬＤＡＰサーバにログインするので、セキュリティが侵されないように注意してください。例えば、ＳｏｎｉｃＷＡＬＬで使用するディレクトリに対して読み取りアクセスしかないユーザアカウントを作成します。この場合は管理者アカウントを使用しないでください。

ＲＡＤＩＵＳクライアントのテスト

「ＲＡＤＩＵＳの設定」ダイアログボックスでは、有効なユーザ名とパスワードを入力し、「テスト」でいずれかの認証方式を選択することによって、ＲＡＤＩＵＳクライアントのユーザ名やパスワードなどの設定をテストできます。テストを実行すると、それまでに行ったすべての変更が適用されます。

ＲＡＤＩＵＳの設定をテストするには、次の手順に従います。

手順 1　「ユーザ名」フィールドに、有効なＲＡＤＩＵＳログイン名を入力します。

手順 2　「パスワード」フィールドにパスワードを入力します。

手順 3　「テスト」で、次のいずれかを選択します。

･パスワード認証：認証にパスワードを使用する場合に選択します。

･ＣＨＡＰ：チャレンジハンドシェーク認証プロトコルを使用する場合に選択します。ＣＨＡＰでは、初回検証後、３ウェイハンドシェークを使ってクライアントのＩＤが定期的に検証されます。

･ＭＳＣＨＡＰ：マイクロソフトの実装によるＣＨＡＰを使用する場合に選択します。ＭＳＣＨＡＰは、ウィンドウズＶｉｓｔａより前のすべてのバージョンのウィンドウズに対応しています。

･ＭＳＣＨＡＰｖ２：マイクロソフトによる実装のＣＨＡＰバージョン２を使用する場合に選択します。ＭＳＣＨＡＰｖ２は、ウィンドウズ２０００以降のバージョンのウィンドウズに対応しています。

手順 4　「テスト」ボタンを選択します。検証に成功した場合は、「状況」メッセージが「成功」に変わります。検証に失敗した場合は、「状況」メッセージが「失敗」に変わります。

ＲＡＤＩＵＳの設定を完了するには、「ＯＫ」を選択します。

ＳｏｎｉｃＷＡＬＬが設定されると、ＲＡＤＩＵＳ認証を必要とするＶＰＮＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎから、着信ＶＰＮクライアントがユーザ名とパスワードをダイアログボックスに入力するよう求められます。

ＳｏｎｉｃＯＳでのＬＤＡＰ統合の設定

ＳｏｎｉｃＷＡＬＬ装置をＬＤＡＰディレクトリサービスと統合するには、証明書管理のための設定がＬＤＡＰサーバに必要となります。さらに、ＳｏｎｉｃＷＡＬＬ装置に正しい証明書をインストールし、ＬＤＡＰサーバからの情報を使用できるように設定する必要があります。ＬＤＡＰの概要については、「ＬＤＡＰ／アクティブディレクトリ／イーディレクトリ認証」を参照してください。

以下のセクションを参照してください。

･「統合に向けてのＬＤＡＰサーバの準備」

･「ＬＤＡＰを使用するためのＳｏｎｉｃＷＡＬＬ装置の設定」

統合に向けてのＬＤＡＰサーバの準備

ＬＤＡＰの設定を行う前に、ＬＤＡＰｏｖｅｒＴＬＳをサポートするようにＬＤＡＰサーバとＳｏｎｉｃＷＡＬＬを準備する必要があります。これには次の操作が必要です。

･ＬＤＡＰサーバにサーバ証明書をインストールする。

･ＳｏｎｉｃＷＡＬＬ装置に発行元ＣＡのＣＡ（ＣｅｒｔｉｆｉｃａｔｅＡｕｔｈｏｒｉｔｙ）証明書をインストールする。

次の手順は、これらのタスクをアクティブディレクトリ環境で行う方法を示しています。

アクティブディレクトリサーバでのＣＡの設定

アクティブディレクトリサーバ上でＣＡを設定するには、次の手順に従います（証明書サービスが既にインストールされている場合、手順１から手順５はスキップしてください）。

手順 1　「スタート＞設定＞コントロールパネル＞プログラムの追加と削除」を選択します。

手順 2　「Ｗｉｎｄｏｗｓコンポーネントの追加と削除」を選択します。

手順 3　「証明書サービス」を選択します。

手順 4　要求されたら「エンタープライズのルートＣＡ」を選択します。

手順 5　必要な情報を入力します。ウィンドウズシステムにおける証明書については、次のウェブサイトを参照してください。

〈http://support.microsoft.com/kb/931125〉

手順 6　「ドメインセキュリティポリシー」アプリケーションを起動します。「スタート＞ファイル名を指定して実行」を選択し、ｄｏｍｐｏｌ.ｍｓｃコマンドを実行します。

手順 7　「セキュリティの設定＞公開キーのポリシー」を選択します。

手順 8　「自動証明書要求の設定」を右クリックします。

手順 9　「新規作成＞自動証明書要求」を選択します。

手順 10　ウィザードの指示に従い、リストから「ドメインコントローラ」を選択します。

アクティブディレクトリサーバからのＣＡ証明書のエクスポート

ＡＤサーバからＣＡ証明書をエクスポートするには、次の手順に従います。

手順 1　「証明機関」アプリケーションを起動します。「スタート＞ファイル名を指定して実行＞ｃｅｒｔｓｒｖ.ｍｓｃ」を選択します。

手順 2　作成したＣＡ上で右クリックし、「プロパティ」を選択します。

手順 3　「一般」タブで、「証明書の表示」ボタンを選択します。

手順 4　「詳細設定」タブで、「ファイルにコピー」を選択します。

手順 5　ウィザードの指示に従い、「Ｂａｓｅ６４ｅｎｃｏｄｅｄＸ.５０９（ＣＥＲ）」形式を選択します。

手順 6　証明書を保存するパスとファイル名を指定します。

ＳｏｎｉｃＷＡＬＬへのＣＡ証明書のインポート

ＳｏｎｉｃＷＡＬＬにＣＡ証明書をインポートするには、次の手順に従います。

手順 1　「システム＞ＣＡ証明書」を選択します。

手順 2　「新規ＣＡ証明書の追加」を選択します。エクスポートした証明書を参照して選択します。

手順 3　「証明書のインポート」ボタンを選択します。

ＬＤＡＰを使用するためのＳｏｎｉｃＷＡＬＬ装置の設定

管理インターフェースの「ユーザ＞設定」ページには、ＬＤＡＰ統合を管理するための設定が用意されています。

手順 1　ＳｏｎｉｃＯＳ管理インターフェースで、「ユーザ＞設定」ページを開きます。

手順 2　「ログインの認証方法」ドロップダウンリストで、「ＬＤＡＰ」または「ＬＤＡＰ＋ローカルユーザ」を選択します。

手順 3　「設定」を選択します。

手順 4　現在ＨＴＴＰＳではなくＨＴＴＰでＳｏｎｉｃＷＡＬＬ装置に接続している場合は、ディレクトリサービスに格納された情報の機密性について警告し、接続をＨＴＴＰＳに変更するように促すダイアログボックスが表示されます。接続しているインターフェースでＨＴＴＰＳ管理を有効にしている場合（推奨）は、「はい」を選択します。

手順 5　「ＬＤＡＰ設定」ウィンドウの「設定」タブで、以下のフィールドを設定します。

･名前またはＩＰアドレス－認証に使用するＬＤＡＰサーバのＦＱＤＮまたはＩＰアドレスを入力します。名前を使用する場合は、ＤＮＳサーバで名前が解決できることを確認してください。また、「サーバからの有効な証明書を要求する」オプションとともにＴＬＳを使用している場合、ここで指定した名前は、サーバ証明書の発行先の名前（すなわちＣＮ）と一致する必要があります。一致しない場合、ＴＬＳ交換は失敗します。

･ポート番号－既定のＬＤＡＰｏｖｅｒＴＬＳポート番号はＴＣＰ６３６です。既定のＬＤＡＰ（非暗号化）ポート番号は、ＴＣＰ３８９です。ＬＤＡＰサーバで個別のリッスンポートを使用している場合は、ここでポート番号を指定します。

･サーバタイムアウト－ＳｏｎｉｃＷＡＬＬがＬＤＡＰサーバからの応答を待つ秒数を入力します。この秒数が経過すると、タイムアウトが発生します。指定可能な値の範囲は１～９９９９９です（「９９９９９」の指定が必要なのは、月面上のＶＩＣ-２０上でＬＤＡＰサーバを実行しているような場合だけかもしれません）。既定値は１０秒です。

･総合操作のタイムアウト－自動動作に費やす時間を分単位で指定します。複数のＬＤＡＰサーバを使用している場合は特に、ディレクトリの設定やユーザグループのインポートなど、数分かかる動作もあります。既定の設定は５分です。

･次のいずれかのラジオボタンを選択します。

･匿名ログイン－ＬＤＡＰサーバによっては、匿名でツリーにアクセスできます。利用するサーバでこの機能がサポートされている場合（通常、アクティブディレクトリではサポートされません）、このオプションを選択することができます。

･ログイン名／ツリー内の位置を渡す－以下の規則に従って、ＬＤＡＰサーバへのバインドに使用する識別名（ｄｎ）を“ログインユーザ名”フィールドと“サーバログインに使用するユーザツリー”フィールドから作成するには、このオプションを選択します。

･最初の名前構成要素は“ｃｎ＝”で開始する

･ ‘ｌｏｃａｔｉｏｎｉｎｔｒｅｅ（ツリー内の場所）’構成要素はすべて“ｏｕ＝”を使用する（“ｃｎ＝”で始まる特定のアクティブディレクトリのビルトインとは別に）

･ドメイン構成要素はすべて“ｄｃ＝”を使用する
「サーバログインに使用するユーザツリー」フィールドがｄｎとして指定されている場合は、バインドｄｎが上記の１番目の項目に一致していれば、２番目、３番目の項目には一致していなくても、このオプションを選択することができます。

･識別名のバインドを渡す－バインドｄｎが上記の１番目の項目に一致していない場合（最初の名前構成要素が“ｃｎ＝”で始まらない場合）は、このオプションを選択します。ｄｎがわかっている場合は、常にこのオプションを選択することができます。バインドｄｎが上記の１番目の項目に一致しない場合は、バインドｄｎを明示的に指定する必要があります。

･ログインユーザ名－ＬＤＡＰディレクトリにログインする権限のあるユーザ名を指定します。ログイン名は、完全な“ｄｎ”表記法でＬＤＡＰサーバに自動的に提示されます。ＬＤＡＰの読み取り権限があるアカウント（実質的にすべてのユーザ）である必要があり、管理者権限は必要ありません。これは、ユーザの名前で、ログインＩＤでないことに注意してください（例えば、ｊｓｍｉｔｈではなく、ＪｏｎｅｓＳｍｉｔｈです）。

･ログインパスワード－上記で指定したユーザアカウントのパスワードを指定します。

･プロトコルバージョン－ＬＤＡＰバージョン３かＬＤＡＰバージョン２を選択します。現在のＬＤＡＰのほとんど（アクティブディレクトリを含む）の実装では、ＬＤＡＰバージョン３が採用されています。

･ＴＬＳ（ＳＳＬ）を使用する－ＬＤＡＰサーバへのログインにＴｒａｎｓｐｏｒｔＬａｙｅｒＳｅｃｕｒｉｔｙ（ＳＳＬ）を使用します。ネットワーク上に送信されるユーザ名とパスワード情報を保護するためにＴＬＳを使用することを強くお勧めします。現在のＬＤＡＰのほとんど（アクティブディレクトリを含む）の実装では、ＴＬＳがサポートされています。この既定の設定を変更して選択を解除した場合は、警告が表示されます。続行するには、この警告を受け入れる必要があります。

･ＬＤＡＰ‘ＳｔａｒｔＴＬＳ’要求を送信する－一部のＬＤＡＰサーバの実装では、ネイティブなＬＤＡＰｏｖｅｒＴＬＳを使用しないで、ＳｔａｒｔＴＬＳ指示をサポートしています。これにより、ＬＤＡＰサーバが、ＬＤＡＰ接続を１つのポート（通常３８９）でリッスンすること、および、クライアントによる指示でＴＬＳへ切り替えることが可能になります。アクティブディレクトリではこのオプションはサポートされません。このオプションは、ＬＤＡＰサーバによって要求された場合にのみ選択すべきです。

･サーバからの有効な証明書を要求する－ＴＬＳ交換時に、サーバによって提示された証明書の名前が上記で指定した名前と一致するかどうかを確認します。この既定のオプションを非選択にした場合、警告が表示されますが、ＳｏｎｉｃＷＡＬＬとＬＤＡＰサーバ間の交換にはＴＬＳが使われます（確認を行わないだけです）。

･ＴＬＳに用いるローカル証明書－オプション。ＬＤＡＰサーバが接続のためにクライアント証明書を要求する場合にのみ使用されます。ＬＤＡＰクライアントの識別を確実にするためにパスワードを返すＬＤＡＰサーバの実装では有用です（アクティブディレクトリではパスワードは返されません）。この設定はアクティブディレクトリでは必要ありません。
ネットワークで参照機能を使用して複数のＬＤＡＰ／ＡＤサーバを利用している場合は、１つのサーバ（通常、大量のユーザを保持しているサーバ）をプライマリサーバとして選択し、そのサーバに上記の設定を行う必要があります。プライマリサーバは、自分以外のドメインのユーザに対して、別のサーバを参照するようにＳｏｎｉｃＷＡＬＬに指示します。このような別のサーバにＳｏｎｉｃＷＡＬＬがログインするためには、それぞれのサーバにおいて、プライマリサーバへのログインと同じ資格情報（ユーザ名、パスワード、ディレクトリ内の場所）を使用してユーザを設定する必要があります。そのためには、ＳｏｎｉｃＷＡＬＬのログイン用に、ディレクトリ内に特別なユーザを作成する必要性が生じる場合があります。ディレクトリへの読み取りアクセスのみが必要とされていることに注意してください。

手順 6　「スキーマ」タブで、以下のフィールドを設定します。

･ＬＤＡＰスキーマ－次のいずれかを選択します。

･マイクロソフトアクティブディレクトリ

･ＲＦＣ２７９８ＩｎｅｔＯｒｇＰｅｒｓｏｎ

･ＲＦＣ２３０７ネットワークインフォメーションサービス

･サンバＳＭＢ

･ノベルイーディレクトリ

･ユーザ定義
定義済みのいずれかのスキーマを選択した場合、そのスキーマによって使用されるフィールドに適切な値が自動的に入力されます。「
ユーザ定義」を選択した場合は、値を指定することができます。この設定は、特定のまたは独自のＬＤＡＰスキーマ設定を利用する場合にのみ使用してください。

･オブジェクトクラス－次の２つのフィールドが適用される個々のユーザアカウントを表す属性を選択します。

･ログイン名属性－次のいずれかを選択して、ログイン認証に使用する属性を定義します。

･ｓＡＭＡｃｃｏｕｎｔＮａｍｅ：マイクロソフトアクティブディレクトリ用

･ｉｎｅｔＯｒｇＰｅｒｓｏｎ：ＲＦＣ２７９８ｉｎｅｔＯｒｇＰｅｒｓｏｎ用

･ｐｏｓｉｘＡｃｃｏｕｎｔ：ＲＦＣ２３０７ネットワークインフォメーションサービス用

･ｓａｍｂａＳＡＭＡｃｃｏｕｎｔ：サンバＳＭＢ用

･ｉｎｅｔＯｒｇＰｅｒｓｏｎ：ノベルイーディレクトリ用

･資格のあるログイン名属性－ユーザの代替ログイン名を「名前＠ドメイン」形式で設定するユーザオブジェクトの属性を、必要に応じて指定します。これは特に、単純なログイン名ではドメイン間で一意性を保てない可能性がある複数ドメインを持つ場合に必要になります。マイクロソフトアクティブディレクトリおよびＲＦＣ２７９８ｉｎｅｔＯｒｇＰｅｒｓｏｎの場合は、「ｍａｉｌ」に設定します。

･ユーザグループメンバーシップ属性－ユーザオブジェクトの所属先グループについての情報を表す属性を選択します。これに該当するのは、マイクロソフトアクティブディレクトリのｍｅｍｂｅｒＯｆ属性です。他の定義済みのスキーマでは、グループメンバーシップ情報がユーザオブジェクトではなくグループオブジェクト内に格納されるので、このフィールドは使用されません。

･構築されたＩＰアドレス属性－ディレクトリ内でユーザに割り当てられた静的ＩＰアドレスを取得するための属性を選択します。現在は、Ｌ２ＴＰを介してＳｏｎｉｃＷＡＬＬのＬ２ＴＰサーバと接続するユーザに対してのみ使用されます。将来的には、グローバルＶＰＮクライアントでもサポートされる予定です。アクティブディレクトリでは、ユーザプロパティの「ダイヤルイン」タブで静的ＩＰアドレスを設定します。

･ユーザグループオブジェクト－このセクションは、「ＬＤＡＰスキーマ」で「ユーザ定義」を選択しない場合は自動設定されます。

･オブジェクトクラス－属性のグループに関連付けられる名前を指定します。

･メンバー属性－メンバーに関連付けられる属性を指定します。

･識別名またはユーザＩＤのどちらかを選択します。

･サーバから読み込み－選択すると、ＬＤＡＰサーバからユーザグループオブジェクトの情報を読み込みます。

･スキーマ設定を自動的に更新またはスキーマの詳細をエクスポートのどちらかを選択します。

手順 7　「ディレクトリ」タブで、以下のフィールドを設定します。

･プライマリドメイン－ＬＤＡＰ実装により使用されているユーザドメイン。ＡＤの場合、これは、アクティブディレクトリのドメイン名です（例えば、ｙｏｕｒＡＤｄｏｍａｉｎ.ｃｏｍ）。オプションで、このフィールドを変更したときにページ内の残りのツリー情報を自動的に更新することもできます。既定では、ノベルイーディレクトリを除くすべてのスキーマでｍｙｄｏｍａｉｎ.ｃｏｍに設定されます（ノベルイーディレクトリの既定値はｏ＝ｍｙｄｏｍａｉｎです）。

･サーバログインに使用するユーザツリー－「設定」タブで指定したユーザが含まれるツリー。例えば、アクティブディレクトリにおける“ａｄｍｉｎｉｓｔｒａｔｏｒ”アカウントの既定のツリーはユーザツリーと同じです。

･ユーザを含むツリー－ＬＤＡＰディレクトリ内でユーザが一般に含まれるツリー。編集可能な１つの既定値が提供されます。合計６４個のＤＮ値を登録することができます。ＳｏｎｉｃＷＡＬＬは、これらすべてを使用して、一致するかリストの最後になるまで、ディレクトリを検索します。ＬＤＡＰまたはＡＤディレクトリ内に他のユーザコンテナを作成している場合は、ここにユーザコンテナを指定する必要があります。

･ユーザグループを含むツリー－ユーザグループコンテナに関連し、ＤＮ値の最大数が３２であること以外は、「ユーザを含むツリー」と同じです。スキーマのユーザオブジェクト内にユーザグループメンバーシップ属性がない場合にのみ適用できます。ＡＤでは使用されません。
上記のすべてのツリーは、通常ＵＲＬ形式で指定しますが、識別名で指定することもできます（例えば、“ｍｙＤｏｍ.ｃｏｍ／Ｓａｌｅｓ／Ｕｓｅｒｓ”は“
ｏｕ＝Ｕｓｅｒｓ，ｏｕ＝Ｓａｌｅｓ，ｄｃ＝ｍｙＤｏｍ，ｄｃ＝ｃｏｍ”というＤＮで指定することもできます）。後者の形式は、ＤＮがサンプルに示すような通常の書式ルールに従っていない場合に必要になります。アクティブディレクトリでは、ツリーの識別名に対応するＵＲＬが、ツリーの最上部にあるコンテナのプロパティの「オブジェクト」タブに表示されます。
補足　ＡＤには、通常の書式ルールに従っていないいくつかのビルトインコンテナがあります（例えば、最上位のユーザコンテナのＤＮは“ｃｎ＝Ｕｓｅｒｓ，ｄｃ＝．．．”というように、“ｏｕ”ではなく“ｃｎ”を使っています）。しかし、ＳｏｎｉｃＷＡＬＬはこれを認識して対処できるようになっているため、より簡易なＵＲＬ形式で入力することができます。
順序は重要ではありませんが、検索が特定の順序で行われることから、最も効率的な検索を行うためには頻繁に使用されるツリーを各リストの先頭に配置します。複数のＬＤＡＰサーバに渡った参照をする場合は、プライマリサーバのツリーを最初に配置し、残りのツリーはサーバを参照する順に並べるようにすると、ツリーを最適に並べ替えることができます。
補足　ＡＤを使用している場合、「サーバログインに使用するユーザツリー」フィールドで指定したディレクトリのどの位置にユーザが含まれているかを確認するために、サーバ上の管理ツール内の「ＡｃｔｉｖｅＤｉｒｅｃｔｏｒｙユーザとコンピュータ」コントロールパネルアプレットを使用して、ディレクトリを手動で検索することができます。また、ウィンドウズＮＴ／２０００／ＸＰリソースキットに含まれるｑｕｅｒｙａｄ.ｖｂｓのようなディレクトリ検索ユーティリティをドメイン内の任意のＰＣ上で実行することもできます。

･自動設定－ディレクトリをスキャンしてユーザオブジェクトが含まれるすべてのツリーを検出することにより、「ユーザを含むツリー」フィールドと「ユーザグループを含むツリー」フィールドを自動的に設定します。自動設定を使用するには、最初に「サーバログインに使用するユーザツリー」フィールドに値を入力し（匿名ログインが設定されていない場合）、「自動設定」ボタンを選択して、次のダイアログボックスを表示します。

「自動設定」ダイアログボックスの「
検索するドメイン」フィールドに目的のドメインを入力します。
次のいずれかを選択します。

･現在のツリーに追加する－新たに検出されたツリーを現在の設定に追加します。

･既存のツリーを置き換える－現在設定されているすべてのツリーを削除してから新規に作り直します。

･「ＯＫ」を選択します。
自動設定プロセスでは、ユーザログインには不要なツリーも検出されます。これらのエントリは手動で削除できます。

参照機能を使用して複数のＬＤＡＰ／ＡＤサーバを利用している場合は、「
検索するドメイン」の値を適切な情報で置き換え、「現在のツリーに追加する」オプションを選択して、それぞれのサーバに対してこの処理を繰り返します。

手順 8　「紹介」タブで、以下のフィールドを設定します。

･紹介を許可する－設定されたプライマリＬＤＡＰサーバ以外のＬＤＡＰサーバ上にユーザ情報がある場合は常にこのオプションを選択します。

･ユーザ認証時の継続参照を許可する－個々のディレクトリツリーを複数のＬＤＡＰサーバにわたって手動で設定した場合は常にこのオプションを選択します。

･ディレクトリ自動設定時の継続参照を許可する－１回の動作で複数のＬＤＡＰサーバからツリーを読み出せるようにするにはこのオプションを選択します。

･ドメイン検索の継続参照を許可する－別個のＬＤＡＰサーバを持つ複数サブドメイン内のユーザに対してシングルサインオンを使用する場合はこのオプションを選択します。

手順 9　「ＬＤＡＰユーザ」タブで、以下のフィールドを設定します。

･ローカルに登録されたユーザのみ許可する－ＬＤＡＰユーザがＳｏｎｉｃＷＡＬＬローカルユーザデータベースにも登録されている場合にのみ、そのユーザのログインを許可するようにします。

･ＬＤＡＰユーザ名を複製してユーザグループメンバーシップをローカルで設定可能にする－ローカルユーザとＬＤＡＰユーザ設定の共通部分に基づいてグループメンバーシップ（と権限）が決定されるようにします。

･既定のＬＤＡＰユーザグループ－ＬＤＡＰサーバ上で設定されたグループメンバーシップに加えて、ＬＤＡＰユーザが所属するＳｏｎｉｃＷＡＬＬ上の既定のグループ。

･ユーザのインポート－このボタンを選択すると、ＬＤＡＰサーバからユーザ名を取得することにより、ＳｏｎｉｃＷＡＬＬ上でローカルユーザを設定できます。「ユーザのインポート」ボタンを選択すると、ＳｏｎｉｃＷＡＬＬにインポートできるユーザ名の一覧を含むウィンドウが起動されます。

「ＬＤＡＰユーザのインポート」ウィンドウで、ＳｏｎｉｃＷＡＬＬにインポートする各ユーザのチェックボックスを選択し、「
選択の保存」を選択します。
ＬＤＡＰサーバから読み込んだユーザのリストは、非常に長くなる場合があるため、それらのうち少数をインポートしたいことがあります。望まないユーザを選択するいくつかの方法と共に、「
リストより削除」ボタンが提供されます。に、これらのオプションを使って、リストを管理可能なサイズに縮小してからインポートするユーザを選択できます。
既存のＬＤＡＰ／ＡＤユーザグループと同じ名前のユーザがＳｏｎｉｃＷＡＬＬ上にあれば、ＬＤＡＰ認証に成功したときにＳｏｎｉｃＷＡＬＬのユーザ権限が与えられます。

･ユーザグループのインポート－このボタンを選択すると、ＬＤＡＰサーバからユーザグループ名を取得することにより、ＳｏｎｉｃＷＡＬＬ上でユーザグループを設定できます。「ユーザグループのインポート」ボタンを選択すると、ＳｏｎｉｃＷＡＬＬにインポートできるユーザグループ名の一覧を含むウィンドウが起動されます。

「ＬＤＡＰのユーザグループのインポート」ウィンドウで、ＳｏｎｉｃＷＡＬＬにインポートする各グループのチェックボックスを選択し、「
選択の保存」を選択します。
既存のＬＤＡＰ／ＡＤユーザグループと同じ名前のユーザグループがＳｏｎｉｃＷＡＬＬ上にあれば、ＬＤＡＰ認証に成功したときにＳｏｎｉｃＷＡＬＬのグループメンバーシップおよび権限が与えられます。

代わりに、ＳｏｎｉｃＷＡＬＬのビルトイングループ（「ゲストサービス」、「ＣｏｎｔｅｎｔＦｉｌｔｅｒｉｎｇＢｙｐａｓｓ」、「ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓ」など）と同じ名前で、ＬＤＡＰ／ＡＤサーバ上にユーザグループを手動で作成し、ディレクトリ内のこれらのグループにユーザを割り当てることもできます。この場合も、ＬＤＡＰ認証が成功したときにＳｏｎｉｃＷＡＬＬのグループメンバーシップが与えられます。

アクティブディレクトリの場合、ＳｏｎｉｃＷＡＬＬ装置は、独自仕様である戻り値“ｍｅｍｂｅｒＯｆ”ユーザ属性を利用することにより、より効率的にグループメンバーシップを取得できます。

手順 10　「ＬＤＡＰリレー」タブで、以下のフィールドを設定します。

ＲＡＤＩＵＳからＬＤＡＰへのリレー機能は、ＬＤＡＰ／ＡＤサーバおよびセントラルＳｏｎｉｃＷＡＬＬを備えたセントラルサイトと、ＬＤＡＰをサポートしていないローエンドＳｏｎｉｃＷＡＬＬセキュリティ装置を経由して接続されたリモートサテライトサイトが存在するトポロジーで使用するために設計されました。この場合、セントラルＳｏｎｉｃＷＡＬＬは、リモートＳｏｎｉｃＷＡＬＬ用のＲＡＤＩＵＳサーバとして動作し、ＲＡＤＩＵＳとＬＤＡＰの間のゲートウェイとして、リモートサイトからの認証要求をＬＤＡＰサーバへ転送します。

さらに、拡張されていないファームウェアで実行されるリモートＳｏｎｉｃＷＡＬＬに対し、セントラルＳｏｎｉｃＷＡＬＬは、ＬＤＡＰを介して取得したユーザグループメンバーシップに基づいて従来のユーザ権限情報を返すことができます。これにより、ＩＡＳのような外部ＲＡＤＩＵＳサーバの非常に複雑な設定を回避することができます。

･ＲＡＤＩＵＳからＬＤＡＰへのリレーを有効にする－この機能を有効にします。

･以下のＲＡＤＩＵＳクライアントからの接続を許可する－適切なチェックボックスを選択します。着信ＲＡＤＩＵＳ要求を許可するためのポリシールールが追加されます。

･ＲＡＤＩＵＳ事前共有鍵－すべてのリモートＳｏｎｉｃＷＡＬＬに共通の事前共有鍵です。

･レガシーＶＰＮユーザに対するユーザグループ－従来の‘ＶＰＮへのアクセスを許可する’権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートのＳｏｎｉｃＷＡＬＬに通知が送られ、そのユーザに適切な権限が与えられます。

･レガシーＶＰＮクライアントユーザに対するユーザグループ－従来の‘ＸＡＵＴＨによるＶＰＮクライアントからのアクセスを許可する’権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートのＳｏｎｉｃＷＡＬＬに通知が送られ、そのユーザに適切な権限が与えられます。

･レガシーＬ２ＴＰユーザに対するユーザグループ－従来の‘Ｌ２ＴＰによるＶＰＮクライアントからのアクセスを許可する’権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートのＳｏｎｉｃＷＡＬＬに通知が送られ、そのユーザに適切な権限が与えられます。

･インターネットアクセスのあるレガシーユーザに対するユーザグループ－従来の‘インターネットアクセスを許可する（アクセス制限時）’権限に対応するユーザグループを定義します。このユーザグループに所属するユーザが認証された場合、リモートのＳｏｎｉｃＷＡＬＬに通知が送られ、そのユーザに適切な権限が与えられます。
補足　‘フィルタのバイパス’権限と‘制限された管理機能へのアクセスを許可する’権限は、「ＣｏｎｔｅｎｔＦｉｌｔｅｒｉｎｇＢｙｐａｓｓ」と「ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓ」のユーザグループのメンバーシップに基づいて返されます。これらを設定することはできません。

手順 11　設定したＬＤＡＰ設定をテストするには、「テスト」タブを選択します。

「
ＬＤＡＰ設定のテスト」ページでは、指定したユーザとパスワード資格情報を使用して認証を試みることにより、設定されたＬＤＡＰ設定をテストすることができます。ユーザに対してＬＤＡＰ／ＡＤサーバ上で設定されたユーザグループメンバーシップや構築されたＩＰアドレスが表示されます。

MacOS と iOS 接続に対して LDAP を使うための L2TP 設定

LDAP または RADIUS を使う L2TP 接続に対して MacOS または Apple iOS で稼動している機器 (iPad/iPhone/iPod touch) を設定する場合は、いくつか注意を払う必要がります。これは iOS 機器がサーバによって提供された最初にサポートされる認証プロトコルを受諾するためです。 SonicOS では、既定の認証プロトコルの順序が SonicOS 5.8.0.8 と 5.8.1.1 リリースから変更されました。以下は既定の認証プロトコル順序です。

･ 5.8.0.8 と 5.8.1.1 より前： CHAP、PAP、MS-CHAP、MS-CHAPv2

･ 5.8.0.8 と 5.8.1.1 および、それより後： MS-CHAPv2、CHAP、MS-CHAP、PAP
補足　以前のファームウェアバージョンからのアップグレードは、元の順序を保持します。この新しい順序は新規設定のみに適用されます。

最初にサポートされる認証プロトコルを受諾する iOS の振舞いに対応した、この既定の認証順序変更は、SonicOS および iOS 機器が既定で RADIUS 認証を使うようにします (アクティブディレクトリが CHAP、MS-CHAP、または MS-CHAPv2 をサポートしないため)。

iOS 機器からの L2TP 接続が RADIUS の代わりに LDAP を使うようにするには、以下の手順に従います。
1. 「VPN ＞ L2TP サーバ」ページに移動します。
2. 「設定」を選択します。

3. 「PPP」タブを選択します。

4. 「PAP」がリストの一番上に来るようにします。

5. 「OK」を選択します。

補足　この認証プロトコルの順序は、PAP をリストの一番下に移動することによって iOS 機器からの L2TP 接続が RADIUS を使うことを強制するように変更することも可能です。

シングルサインオンの設定

ＳＳＯを設定するには、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントおよび／または、ＳｏｎｉｃＷＡＬＬターミナルサービスエージェント（ＴＳＡ）のインストールと設定、さらに、ＳｏｎｉｃＯＳを実行するＳｏｎｉｃＷＡＬＬセキュリティ装置でこのＳＳＯエージェントまたはＴＳＡを使用するための設定が必要になります。ＳＳＯをＨＴＴＰトラフィックでＳＳＯエージェントを用いてまたは用いずに、ブラウザＮＴＬＭ認証を使うように設定することも可能です。ＳｏｎｉｃＷＡＬＬＳＳＯの概要については、「シングルサインオンの概要」セクションを参照してください。
補足　ＳｏｎｉｃＯＳＳＳＯ機能は、仮想マシン環境内で動作することが可能ですが、公式にはサポートされていません。これは、ＶＭ配備環境の潜在的なリソース消費の多様性により、有効な試験とすべての可能性のある組み合わせの確認が実行できないためです。
以下のセクションでは、ＳＳＯの設定方法について説明します。

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのインストール」

･「ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのインストール」

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの設定」

･「ＳｏｎｉｃＷＡＬＬセキュリティ装置の追加」

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの装置の編集」

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントからの装置の削除」

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのサービスに対する変更」

･「ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントの設定」

･「ＳｏｎｉｃＷＡＬＬＴＳＡの設定へのＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置の追加」

･「ＳｏｎｉｃＷＡＬＬＴＳＡトラブルシューティングレポートの作成」

･「ＳｏｎｉｃＷＡＬＬＴＳＡの状態とバージョンの表示」

･「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定」

･「ブラウザＮＴＬＭ認証のためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定」

･「ウィンドウズ上で NTLMv2 セッションセキュリティを設定する」

･「ＬＤＡＰの詳細設定」

･「シングルサインオンの詳細設定の調整」

･「概要」

･「詳細設定について」

･「マウスを移動したときに表示されるＳＳＯの統計とツールチップ」

･「ＴＳＲのシングルサインオン統計の利用」

･「エージェントの検査」

･「改善措置」

･「ファイアウォールアクセスルールの設定」

･「ＳｏｎｉｃＷＡＬＬＳＳＯの自動生成ルール」

･「ＭａｃユーザおよびＬｉｎｕｘユーザへの対応」

･「SSO と認証をバイパスするために IP アドレスをホワイトリストに載せる」

･「CFS、IPS、アプリケーション制御で SSO が失敗した場合にユーザにログインを強制する」

･「ターミナルサーバからのＩＣＭＰＰｉｎｇとＤＮＳを許可する」

･「ファイアウォールアクセスルールについて」

･「ターミナルサーバからのＨＴＴＰログインによるＳｏｎｉｃＯＳの管理」

･「ＳＳＯユーザセッションの表示および管理」

･「ＳＳＯユーザのログアウト」

･「追加のＳＳＯユーザ設定の構成」

･「パケット監視を使用したＳＳＯメッセージおよびＬＤＡＰメッセージの表示」

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのインストール

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、ＳｏｎｉｃＷＡＬＬディレクトリコネクタの一部です。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、ＶＰＮまたはＩＰを使ってアクセスできるアクティブディレクトリサーバへのアクセスがあるウィンドウズドメイン内のワークステーションまたはサーバに、最低１台から最大８台にインストールされている必要があります。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントには、ＳｏｎｉｃＷＡＬＬセキュリティ装置へのアクセス権が必要です。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントをインストールするには、次の手順を実行します。

手順 1　ＳｏｎｉｃＷＡＬＬディレクトリコネクタの実行可能ファイルを探してダブルクリックします。ＩｎｓｔａｌｌＳｈｉｅｌｄによるインストールの準備が整うまでに数秒かかる場合があります。

手順 2　起動ページの「次へ」を選択して続行します。

手順 3　ライセンス規約が表示されます。「ライセンス規約に承諾する」を選択し、「次へ」を選択して続行します。

手順 4　「お客様情報」ページの「ユーザ名」フィールドと「組織」フィールドに、自分のユーザ名と組織名を入力します。アプリケーションのインストール方法として、「このコンピュータを使用するユーザー全員（すべてのユーザー）」または「自分個人用」を選択します。「次へ」を選択して続行します。

手順 5　インストール先のフォルダを選択します。既定のフォルダ（Ｃ：￥ＰｒｏｇｒａｍＦｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＤＣＯＮ）を使用する場合は、「次へ」を選択します。別の場所を指定するには、「参照」を選択して目的のフォルダを選択し、「次へ」を選択します。

手順 6　「カスタムセットアップ」ページでは、ＳｏｎｉｃＷＡＬＬＳＳＯエージェント機能の横に既定でインストールアイコンが表示されます。「次へ」を選択します。

手順 7　「インストール」を選択してＳＳＯエージェントをインストールします。
オプションで、「
ＳｏｎｉｃＷＡＬＬＮＤＣ」を選択して、このサーバがｅＤｉｒｅｃｔｏｒｙサーバへのネットワークアクセスがある場合にＳｏｎｉｃＷＡＬＬＳＳＯがＮｏｖｅｌｌユーザで動作することを有効にします。ＳｏｎｉｃＷＡＬＬＮＤＣのインストールについての情報は、ＳｏｎｉｃＯＳ５．６ＳＳＯＦｅａｔｕｒｅＭｏｄｕｌｅ（http://www.sonicwall.com/us/Support.html から入手できます）を参照してください。
オプションで、このサーバがアクティブディレクトリに属していて、ＳｏｎｉｃＷＡＬＬＣＳＭ装置と通信するために使用する予定がある場合に「
ＳｏｎｉｃＷＡＬＬＡＤＣ」を選択できます。詳細については、ＳｏｎｉｃＯＳＣＦ２.６Ａｄｍｉｎｉｓｔｒａｔｏｒ’ｓＧｕｉｄｅ（http://www.sonicwall.com/us/Support.html から入手できます）を参照してください。

手順 8　ＳＳＯエージェントが指定されたウィンドウズドメインにログインする際に使用する共通のサービスアカウントを設定するには、管理者権限を持つアカウントのユーザ名、パスワード、およびドメイン名をそれぞれ「ユーザ名」、「パスワード」、「ドメイン名」の各フィールドに入力します。「次へ」を選択します。
補足　このセクションは後で設定できます。この手順をスキップして、後で設定する場合は、
「スキップ」を選択します。

手順 9　「ＳｏｎｉｃＷＡＬＬ装置ＩＰ」フィールドにＳｏｎｉｃＷＡＬＬセキュリティ装置のＩＰアドレスを入力します。同じ装置のポート番号を「ＳｏｎｉｃＷＡＬＬ装置ポート」フィールドに入力します。「共有鍵」フィールドに、共有鍵（１～１６桁の１６進数）を入力します。「次へ」を選択して続行します。
補足　この情報は後で設定できます。この手順をスキップして、後で設定する場合は、フィールドを空欄のままにして、「次へ」を選択します。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのインストールが開始され、状況バーが表示されます。

手順 10　インストールが完了したら、必要に応じて「ＳｏｎｉｃＷＡＬＬディレクトリコネクタを起動する」ボックスを選択してＳｏｎｉｃＷＡＬＬディレクトリコネクタを起動し、「終了」を選択します。

「ＳｏｎｉｃＷＡＬＬディレクトリコネクタを起動する」ボックスを選択した場合、ＳｏｎｉｃＷＡＬＬディレクトリコネクタが表示されます。

ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのインストール

ウィンドウズドメイン内のネットワークの１つ以上のターミナルサーバにＳｏｎｉｃＷＡＬＬＴＳＡをインストールします。ＳｏｎｉｃＷＡＬＬＴＳＡはＳｏｎｉｃＷＡＬＬセキュリティ装置へのアクセスが必要で、セキュリティ装置はＴＳＡへのアクセスが必要です。ターミナルサーバでソフトウェアファイアウォールが動作している場合には、装置からの受信メッセージ用のＵＤＰポート番号を開くことが必要な場合があります。
補足　ターミナルサーバのユーザが Ping と DNS を使うことを許可するために、追加のファイアウォールアクセスルールが必要になることがあります。

ＳｏｎｉｃＷＡＬＬＴＳＡはＭｙＳｏｎｉｃＷＡＬＬから無償でダウンロードできます。ＳｏｎｉｃＷＡＬＬＴＳＡをインストールするには、次の手順を実行します。

手順 1　ウィンドウズターミナルサーバシステムで、使用しているコンピュータに応じて次のインストールプログラムのいずれかをダウンロードします。

･ＳｏｎｉｃＷＡＬＬＴＳＡＩｎｓｔａｌｌｅｒ３２.ｍｓｉ（３２ビット、バージョン３.０.２８.１００１以降）

･ＳｏｎｉｃＷＡＬＬＴＳＡＩｎｓｔａｌｌｅｒ６４.ｍｓｉ（６４ビット、バージョン３.０.２８.１００１以降）
これらは〈
http://www.mysonicwall.com〉にあります。

手順 2　インストールプログラムをダブルクリックしてインストールを開始します。

手順 3　起動ページの「次へ」を選択して続行します。

手順 4　ライセンス規約が表示されます。「同意します」を選択し、「次へ」を選択して続行します。

手順 5　インストールフォルダの選択ウィンドウで、インストール先フォルダを選択します。既定のフォルダ（Ｃ：￥ＰｒｏｇｒａｍＦｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＳｏｎｉｃＷＡＬＬＴｅｒｍｉｎａｌＳｅｒｖｉｃｅｓＡｇｅｎｔ￥）を使用する場合は、「次へ」を選択します。別の場所を指定するには、「参照」を選択して目的のフォルダを選択し、「次へ」を選択します。

手順 6　インストールの確認ウィンドウで、「次へ」を選択してインストールを開始します。

手順 7　ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのインストールが完了するまで待ちます。進行状況はプログレスバーに表示されます。

手順 8　インストールが完了したら、「閉じる」を選択してインストーラを終了します。

手順 9　ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントを起動する前に、システムを再起動する必要があります。直ちに再起動するには、ダイアログボックスで「はい」を選択します。後で再起動するには、「いいえ」を選択します。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの設定

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントは、ＮｅｔＡＰＩまたはＷＭＩを使用してワークステーションと通信します。どちらも、ワークステーションにログインしているユーザに関する情報（ドメインユーザ、ローカルユーザ、ウィンドウズサービスなど）を提供するものです。ウィンドウズサーバ２００３、ウィンドウズＸＰ、ウィンドウズＭＥ、およびウィンドウズ２０００には、ＷＭＩがあらかじめインストールされています。その他のウィンドウズバージョンについては、ｗｗｗ.ｍｉｃｒｏｓｏｆｔ.ｃｏｍにアクセスして、ＷＭＩをダウンロードしてください。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの設定前に、ＷＭＩまたはＮｅｔＡＰＩがインストールされていることを確認します。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントを設定する前に、.ＮＥＴＦｒａｍｅｗｏｒｋ２.０がインストールされている必要があります。.ＮＥＴＦｒａｍｅｗｏｒｋは、マイクロソフトのウェブサイトｗｗｗ.ｍｉｃｒｏｓｏｆｔ.ｃｏｍからダウンロードできます。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの通信プロパティを設定するには、以下の手順に従います。

手順 1　ＳｏｎｉｃＷＡＬＬ設定ツールを起動します。デスクトップのショートカットをダブルクリックするか、「スタート＞すべてのプログラム＞ＳｏｎｉｃＷＡＬＬ＞ＳｏｎｉｃＷＡＬＬディレクトリコネクタ＞ＳｏｎｉｃＷＡＬＬ設定ツール」を選択してください。

補足　既定のＳｏｎｉｃＷＡＬＬセキュリティ装置のＩＰアドレスが設定されていなかった場合、または正しく設定されていなかった場合は、ポップアップが表示されます。既定のＩＰアドレス（１９２.１６８.１６８.１６８）を使用する場合は「はい」を、現在の設定を使用する場合は「いいえ」を選択してください。

「はい」を選択した場合は、「以前の設定を正常に復元しました」というメッセージが表示されます。「ＯＫ」を選択します。

「いいえ」を選択した場合、または、「はい」を選択したが既定の設定に誤りがある場合は、「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントサービスが実行されていません。設定を確認してサービスを開始してください」というメッセージが表示されます。「ＯＫ」を選択します。

「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントサービスが実行されていません。設定を確認してサービスを開始してください」というメッセージが表示された場合、ＳＳＯエージェントサービスは既定で無効になります。サービスを有効にするには、左側のナビゲーションパネルでＳｏｎｉｃＷＡＬＬディレクトリコネクタ設定ツールを展開（＋アイコンを選択）し、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントを強調表示して、ボタンを選択します。

手順 2　左側のナビゲーションパネルで＋アイコンを選択し、ＳｏｎｉｃＷＡＬＬディレクトリコネクタ設定ツールを展開します。「ＳｏｎｉｃＷＡＬＬＳＳＯエージェント」を右クリックして、「プロパティ」を選択します。

手順 3　「ログレベル」プルダウンメニューから、ウィンドウズイベントログに記録するイベントのレベルを選択します。既定のログレベルは１です。次のいずれかのレベルを選択してください。

･ログレベル０－重大なイベントのみ記録されます。

･ログレベル１－重大なイベントと深刻なイベントが記録されます。

･ログレベル２－デバッグレベルの重大度を使用し、装置からのすべての要求が記録されます。
補足　ログレベル２を選択した場合、ウィンドウズイベントログがその最大容量に達すると、ＳＳＯエージェントサービスが強制的に終了されます。

手順 4　「更新間隔」フィールドに、ＳＳＯエージェントがユーザログイン状況を更新する頻度（秒単位）を入力します。既定値は６０秒です。

手順 5　ＳＳＯエージェントがワークステーションとの通信に使用するプロトコルを選択します。「クエリソース」プルダウンメニューから「ＮＥＴＡＰＩ」または「ＷＭＩ」を選択してください。

補足　ＮｅｔＡＰＩは高速ですが、精度は若干ＷＭＩよりも劣ります。ＷＭＩは低速ですが、精度はＮｅｔＡＰＩよりも優れています。ＮｅｔＡＰＩを使って、ウィンドウズはワークステーションへの最終ログインと、ユーザがまだログインしているかどうかをレポートします。これは、ＮｅｔＡＰＩを使っている場合は、ユーザが自身のコンピュータからログアウトした後に、装置がユーザをログインしているとして表示することを意味します。別のユーザが同じコンピュータにログオンした場合は、以前のユーザはその時点でＳｏｎｉｃＷＡＬＬからログアウトされます。

ウィンドウズサーバ２００３、ウィンドウズＸＰ、ウィンドウズＭＥ、およびウィンドウズ２０００には、ＷＭＩがあらかじめインストールされています。ＮｅｔＡＰＩもＷＭＩも手動でダウンロードおよびインストールできます。ＮｅｔＡＰＩおよびＷＭＩは、ワークステーションにログインしているユーザに関する情報（ドメインユーザ、ローカルユーザ、ウィンドウズサービスなど）を提供するものです。

WMI に対して非管理者アカウントを用いて、ドメインコントローラのセキュリティログを介したユーザの識別を設定できます。このオプションはドメイン管理者アカウントの使用を要求しませんが、セキュリティログの読取りアクセスは必要であり、これは非管理者アカウントを構成することで付与できます。詳細については、sonicwall.com サイトの「Support > Product Documentation」ページから入手できる技術文書『Configuring a Non-Admin Domain Account for SSO Agent to Read Security Logs』を参照してください。

手順 6　「設定ファイル」フィールドに、設定ファイルのパスを入力します。既定のパスは
Ｃ：￥ＰｒｏｇｒａｍＦｉｌｅｓ￥ＳｏｎｉｃＷＡＬＬ￥ＤＣＯＮ￥ＳＳＯ￥ＣＩＡＣｏｎｆｉｇ.ｘｍｌです。

手順 7　「適用」を選択します。

手順 8　「ＯＫ」を選択します。

ＳｏｎｉｃＷＡＬＬセキュリティ装置の追加

インストール時にＳｏｎｉｃＷＡＬＬセキュリティ装置を追加しなかった場合、または、別のＳｏｎｉｃＷＡＬＬセキュリティ装置を追加する場合は、以下の手順に従って手動で追加してください。
ＳｏｎｉｃＷＡＬＬセキュリティ装置を追加するには、次の手順を実行します。

手順 1　ＳｏｎｉｃＷＡＬＬＳＳＯエージェント設定ツールを起動します。

手順 2　左側のカラムで＋ボタンを選択し、ＳｏｎｉｃＷＡＬＬディレクトリコネクタおよびＳｏｎｉｃＷＡＬＬＳＳＯエージェントのツリーを展開します。「ＳｏｎｉｃＷＡＬＬ装置」を右クリックし、「追加」を選択します。

手順 3　「装置ＩＰ」フィールドにＳｏｎｉｃＷＡＬＬセキュリティ装置のＩＰアドレスを入力します。同じ装置のポートを「装置ポート」フィールドに入力します。既定のポートは２２５８です。装置のニックネームを「ニックネーム」フィールドに入力します。「共有鍵」フィールドに共有鍵を入力するか、「鍵の生成」を選択して共有鍵を生成します。設定が終了したら、「ＯＫ」を選択します。

ご使用の装置が左側のナビゲーションパネルの「ＳｏｎｉｃＷＡＬＬ装置」ツリーに表示されます。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの装置の編集

過去にＳｏｎｉｃＷＡＬＬＳＳＯエージェントに追加したＳｏｎｉｃＷＡＬＬセキュリティ装置の設定は、ＩＰアドレス、ポート番号、ニックネーム、共有鍵を含め、すべて編集できます。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントに追加したＳｏｎｉｃＷＡＬＬセキュリティ装置を編集するには、該当する装置を左側のナビゲーションパネルで選択し、上にある編集アイコンを選択します。右側のウィンドウの下にある「編集」タブを選択してもかまいません。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントからの装置の削除

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントからＳｏｎｉｃＷＡＬＬセキュリティ装置を削除するには、該当する装置を左側のナビゲーションパネルで選択し、上にある削除アイコンを選択します。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのサービスに対する変更

ＳｏｎｉｃＷＡＬＬセキュリティ装置に対するＳｏｎｉｃＷＡＬＬＳＳＯエージェントのサービスを開始、停止、一時停止できます。装置に対するサービスを一時停止するには、左側のナビゲーションパネルで該当する装置を選択し、一時停止ボタンを選択します。装置に対するサービスを停止するには、左側のナビゲーションパネルで該当する装置を選択し、停止ボタンを選択します。サービスを再開するには、開始ボタンを選択します。
補足　ＳｏｎｉｃＷＡＬＬＳＳＯエージェントでＳｏｎｉｃＷＡＬＬセキュリティ装置の設定に変更を加えた場合、サービスを再起動するように求められる場合があります。サービスを再起動するには、停止ボタンを押してから開始ボタンを押します。

ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントの設定

ＳｏｎｉｃＷＡＬＬＴＳＡをインストールしてウィンドウズサーバシステムを再起動した後で、インストーラによってデスクトップ上に作成されたＳｏｎｉｃＷＡＬＬＴＳＡのアイコンをダブルクリックすると、ＳｏｎｉｃＷＡＬＬＴＳＡの起動と設定、トラブルシューティングレポート（ＴＳＲ）の生成、状態とバージョン情報の確認を行うことができます。

以下のセクションを参照してください。

･「ＳｏｎｉｃＷＡＬＬＴＳＡの設定へのＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置の追加」

･「ＳｏｎｉｃＷＡＬＬＴＳＡトラブルシューティングレポートの作成」

･「ＳｏｎｉｃＷＡＬＬＴＳＡの状態とバージョンの表示」

ＳｏｎｉｃＷＡＬＬＴＳＡの設定へのＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置の追加

以下の手順に従って、ＳｏｎｉｃＷＡＬＬ装置をＳｏｎｉｃＷＡＬＬＴＳＡに追加します。

手順 1　ＳｏｎｉｃＷＡＬＬＴＳＡのデスクトップアイコンをダブルクリックします。

手順 2　ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのウィンドウが表示されます。「設定」タブの「装置ＩＰ」フィールドに、ＳｏｎｉｃＷＡＬＬ装置のＩＰアドレスを入力します。

手順 3　「装置ポート」フィールドに通信ポートを入力します。既定のポートは２２５９ですが、個別のポートを代わりに使用することもできます。ウィンドウズサーバシステムでこのポートが開かれている必要があります。

手順 4　「共有鍵」フィールドに暗号化鍵を入力します。文字を表示して正しいかどうかを確認するには、「鍵の表示」チェックボックスをオンにします。ＳｏｎｉｃＷＡＬＬ装置でも同じ共有鍵が設定されている必要があります。

手順 5　「タイムアウト」ドロップダウンリストで、エージェントが装置からの返信を待つ秒数を選択します。この秒数の後で通知が再試行されます。範囲は５～１０秒で、既定値は５秒です。

手順 6　「再試行」ドロップダウンリストで、返信を受信しなかった場合にエージェントが装置に対する通知の送信を再試行する回数を選択します。範囲は３～１０回で、既定値は５回です。

手順 7　ログメッセージに詳細を完全に含めるには、「詳細ログの有効化」チェックボックスをオンにします。これは、トラブルシューティングレポートで追加的な詳細情報を含める場合にのみ行ってください。他の場合にこれを有効にしたままにするのは避けてください。パフォーマンスに影響が生じることがあります。

手順 8　「適用」を選択します。新しい設定でＳｏｎｉｃＷＡＬＬＴＳＡサービスが再起動されたことを示すダイアログボックスが表示されます。

ＳｏｎｉｃＷＡＬＬＴＳＡトラブルシューティングレポートの作成

現在のログメッセージおよびエージェント、ドライバ、システム設定についての情報をすべて含んだトラブルシューティングレポート（ＴＳＲ）を作成できます。これを使用して、内容を調べたり、ＳｏｎｉｃＷＡＬＬテクニカルサポートに送信して問い合わせたりできます。

以下の手順に従って、ＳｏｎｉｃＷＡＬＬＴＳＡのＴＳＲを作成します。

手順 1　ＳｏｎｉｃＷＡＬＬＴＳＡのデスクトップアイコンをダブルクリックします。

手順 2　ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのウィンドウが表示されます。「レポート」タブを選択します。

手順 3　ＴＳＲを生成して、ＳｏｎｉｃＷＡＬＬテクニカルサポートに電子メールで自動送信するには、「送信」を選択します。

手順 4　ＴＳＲを生成して、既定のテキストエディタで内容を調べるには、「表示」を選択します。

手順 5　ＴＳＲを生成して、テキストファイルとして保存するには、「名前を付けて保存」を選択します。

手順 6　終了したら、「閉じる」を選択します。

ＳｏｎｉｃＷＡＬＬＴＳＡの状態とバージョンの表示

ウィンドウズサーバシステムでのＳｏｎｉｃＷＡＬＬＴＳＡサービスの現在の状態、またはＳｏｎｉｃＷＡＬＬＴＳＡのバージョン番号を表示するには、以下の手順に従います。

手順 1　ＳｏｎｉｃＷＡＬＬＴＳＡのデスクトップアイコンをダブルクリックします。

手順 2　ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのウィンドウが表示されます。「バージョン情報」タブを選択します。

手順 3　「閉じる」を選択します。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定

ＳＳＯ方式としてＳｏｎｉｃＷＡＬＬＳＳＯエージェントまたはブラウザＮＴＬＭ認証のどちらかを使用するためには、ＳｏｎｉｃＷＡＬＬセキュリティ装置を設定する必要があります。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントはまた、装置がＳｏｎｉｃＷＡＬＬターミナルサービスエージェントを使用するように設定する場合にも選択する正しい手法です。

以下の手順では、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントを使うようにＳｏｎｉｃＷＡＬＬセキュリティ装置を設定する方法を説明します。以下の手順を実行します。

手順 1　ＳｏｎｉｃＷＡＬＬセキュリティ装置にログインして、「ユーザ＞設定」に移動します。

手順 2　「シングルサインオン方法」ドロップダウンメニューから「ＳｏｎｉｃＷＡＬＬＳＳＯエージェント」を選択します。ＴＳＡを追加して設定する場合も、ＳＳＯ方式としてのＳＳＯエージェントと同様に、この選択を使用します。

手順 3　「設定」を選択します。「認証エージェント設定」ページが表示され、既に設定されている認証エージェントがあれば表示されます。エージェントのＩＰアドレスの横の緑色のＬＥＤは、エージェントが現在稼働していることを示します。赤色のＬＥＤは、エージェントが停止していることを示します。灰色のＬＥＤは、エージェントが無効になっていることを示します。ＬＥＤは、ＡＪＡＸを使用して動的に更新されます。

手順 4　「認証エージェント設定」ページで、「追加」ボタンを選択してエージェントを追加します。ページが更新され、ページ上部のテーブルに新しい行が表示されます。また、ページの下半分に、２つの新しいタブとそれぞれの入力フィールドが表示されます。

手順 5　「ホスト名またはＩＰアドレス」フィールドに、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントがインストールされているワークステーションのホスト名またはＩＰアドレスを入力します。
フィールドに値を入力すると、ページ上部の行が赤色に更新され、新しい情報が強調表示されます。

手順 6　「ポート」フィールドに、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントがインストールされているワークステーションのポート番号を入力します。既定のポートは２２５８です。異なるＩＰアドレスを持つエージェントは、同じポート番号を使用できることに注意してください。

手順 7　「共有キー」フィールドに、作成した共有鍵またはＳｏｎｉｃＷＡＬＬＳＳＯエージェントで生成した共有鍵を入力します。共有鍵は完全に一致している必要があります。「共有キーの確認」フィールドにもう一度共有鍵を入力します。

手順 8　「タイムアウト（秒）」フィールドに、認証の試行がタイムアウトするまでの秒数を入力します。このフィールドには、既定の１０秒が自動的に設定されます。

手順 9　「再試行」フィールドに、認証の試行回数を入力します。

手順 10　ページの下半分にある「詳細」タブを選択します。

手順 11　「一度に送信できる最大要求数」フィールドに、装置からエージェントに一度に送信できる最大要求数を入力します。既定値は３２です。

エージェントは、各要求を処理する別個のスレッドをエージェントＰＣ内に生成し、複数の要求を同時に処理します。一度に送信する要求が多すぎると、ＰＣが過負荷になることがあります。その一方、装置から送信される要求数が最大値を超えると、一部の要求は内部の‘リングバッファ’キューで待機します。待機している要求が多すぎると、シングルサインオン認証の応答時間が遅くなることがあります。詳細については、「シングルサインオンの詳細設定の調整」を参照してください。

手順 12　「ユーザ」タブを選択します。「ユーザ設定」ページが表示されます。

手順 13　装置にローカルに登録されているユーザのみ認証する場合は、「ローカルで指定されているユーザのみ認める」の横にあるボックスにチェックマークを付けます。

手順 14　簡易ユーザ名を使用する場合は、「ローカルデータベースでシンプルなユーザ名を使用」の横にあるボックスにチェックマークを付けます。このオプションを選択した場合、ユーザ名のドメイン構成要素が無視されます。通常、認証エージェントから返されるユーザ名には、ｄｏｍａｉｎ１／ｕｓｅｒ１のようにドメイン構成要素が含まれます。このボックスの選択を解除した場合、ローカルデータベース内のユーザ名が、エージェントから返されるフルネーム（ドメイン構成要素を含む）とが完全に一致している必要があります。

手順 15　ドメインではなくコンピュータにログインしたユーザに対し、制限付きアクセスを許可する場合は、「非ドメインユーザには限定的なアクセスのみを許可」の横にあるボックスにチェックマークを付けます。ローカルで設定されている場合でも、これらのユーザには、ＴｒｕｓｔｅｄＵｓｅｒｓユーザグループのメンバーシップは付与されません。また、ＴｒｕｓｔｅｄＵｓｅｒｓに設定されているアクセス権も得られません。ログには、これらのユーザがｃｏｍｐｕｔｅｒ-ｎａｍｅ／ｕｓｅｒ-ｎａｍｅとして記録されます。ローカルユーザデータベースを使用してユーザを認証する場合で、かつ、「ローカルデータベースでシンプルなユーザ名を使用」オプションが無効になっている場合、ローカルデータベース内のユーザ名は、ｃｏｍｐｕｔｅｒ-ｎａｍｅ／ｕｓｅｒ-ｎａｍｅ形式の完全なＩＤで設定する必要があります。

手順 16　ネットワーク内に非ウィンドウズ機器やパーソナルファイアウォールが動作しているウィンドウズコンピュータがある場合は、「ユーザの監視を以下で行う」チェックボックスを選択して、ＳＳＯエージェントがどちらで設定されているかによって、「ＮｅｔＡＰＩ」または「ＷＭＩ」ラジオボタンを選択します。これにより、ＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置はＳＳＯエージェントがユーザを識別する要求の前に、ＮｅｔＡＰＩ／ＷＭＩポート上で装置が応答を監視するようになります。応答がない場合、これらの機器は即時にＳＳＯを失敗します。そのような機器は、ＳＳＯエージェントがユーザを識別するために使用するウィンドウズネットワーキングメッセージに応答しない、またはそれを遮断します。

手順 17　「監視タイムアウト」フィールドに、ファイアウォールがＮｅｔＡＰＩ/ＷＭＩポート上でエージェントからの応答を待つ秒数を入力します。監視はこの時間の経過後に失敗とみなされます。既定では５秒です。

手順 18　監視が失敗した際にＳＳＯの試行を中断せずにＮｅｔＡＰＩ/ＷＭＩポート上での監視を有効にするには、「監視テストモード」チェックボックスを選択します。監視テストモードは、ＳＳＯが動作していて使われていなかった場合に監視が失敗にならないことを確かにするために使われます。ＳＳＯの動作中に監視の失敗が報告された場合、監視タイムアウトが短すぎるか、ネットワーク内の何かが遮断している可能性があります。例えば、ネットワーク内のルータ上にエージェントのＩＰアドレスのみからのＮｅｔＡＰＩを許可するアクセス制御リストがある場合、そのＡＣＬは装置からＮｅｔＡＰＩポートへの監視を遮断します。

監視テストモードは、最初のＳＳＯ配備とトラブルシュートに役立ちます。監視テストモードが有効の場合、以下により振舞いを分析できます。

･監視失敗に対してエージェント統計を確認する

･ＳＳＯが動作していて監視が失敗したときの警告 (これらのメッセージはホストアドレスを示します) をコンソールポートで確認する。

統計が１００％の監視失敗を表示した場合は、ネットワーク上に何かしら問題があります。断続的な失敗を表示した場合は、「監視タイムアウト」設定の変更を試して改善するか見ると良いでしょう。

手順 19　ＬＤＡＰを使用してユーザ情報を取得するには、「ＬＤＡＰを使用してユーザグループ情報を取得する」ラジオボタンを選択します。ＬＤＡＰ設定を行うには、「設定」を選択して、「ＬＤＡＰ設定」ページを表示します。このページの設定情報については、「ＬＤＡＰの詳細設定」セクションを参照してください。

手順 20　ローカルで設定されたユーザグループ設定を使用するには、「ローカル設定」ラジオボタンを選択します。

手順 21　ポーリングを実行する間隔を「ポーリング間隔（分）」フィールドに分で入力します。セキュリティ装置は、ＳＳＯエージェントを実行するワークステーションをこの間隔毎にポーリングすることにより、ユーザがまだログイン中かどうかを確認します。この既定値は１です。

手順 22　トラフィックの識別時、セキュリティ装置は最初の試行に失敗した場合、一定時間待ってから再度トラフィックの識別を試みます。このときの待機時間（分単位）を「失敗後の保留時間 (分)」フィールドに入力します。この機能により、エージェントに要求が送信される頻度を制限できます。既定値は１です。

手順 23　「Ｗｉｎｄｏｗｓサービスにより使用されているユーザ名」リストを設定するには、「追加」ボタンを選択します。「サービスユーザ名」ダイアログボックスで、「Ｗｉｎｄｏｗｓサービスにより使用されているユーザアカウント名の入力」フィールドにサービスログイン名（ドメイン名やＰＣ名のないシンプルな名前のみ）を入力して、「ＯＫ」を選択します。

このリストは、ウィンドウズサービスが使用するログイン名を実際のユーザログインと区別するためのものです。ＳＳＯエージェントがコンピュータにログインしているユーザを探すようウィンドウズに問い合わせると、実際には、ウィンドウズはコンピュータにログインしている、またはログインしていたユーザアカウントのリストを返すので、ユーザログインとサービスログインは区別されません。したがって、ＳＳＯエージェントは、ログイン名がサービスに所属しているかどうか判断することができません。このため、ＳＳＯエージェントは、誤って実際のユーザ名ではなくサービス名を報告することがあります。

ここには、エンドユーザのコンピュータ上でサービスが使用する可能性のあるログイン名を最大６４個入力することができます。ＳＳＯエージェントは、これらの名前を使用したログインを無視します。

シングルサインオンの使用時に、「ユーザ＞状況」ページに予期せぬユーザ名や、予期せぬユーザ名によるユーザログインまたはユーザログイン失敗のログが表示された場合、ウィンドウズのサービスログインに起因することがあります。ＳＳＯエージェントが無視するユーザ名を識別できるよう、そのようなユーザ名をここで設定してください。

複数のＳｏｎｉｃＷＡＬＬ装置が１つのＳＳＯエージェントと通信している場合、サービスアカウント名のリストはいずれか１台の装置上でのみ設定してください。異なる装置上で複数のリストを設定した場合の影響は不明確です。

サービスアカウント名を編集するには、そのサービスアカウント名を選択し、「編集」を選択し、「サービスユーザ名」ダイアログボックスで必要な変更を行ってから、「ＯＫ」を選択します。

サービスアカウント名を削除するには、１つまたは複数のサービスアカウント名を選択してから、「削除」を選択します。

手順 24　特定のゾーンからのトラフィックでも SSO を開始したい、また、内部プロキシウェブサーバや IP 電話のような、非ユーザ機器からのトラフィックは SSO をバイパスさせたい場合は、「強制」タブを選択します。

手順 25　「ゾーン毎に SSO を強制する」下で、トラフィックが送信された際にユーザを識別するために SSO を開始したいゾーンのチェックボックスを選択します。アプリケーション制御やその他のポリシーによって SSO がゾーン上で既に必要な場合は、これらのチェックボックスは選択済みで、解除できません。ゾーン上でゲストサービスが有効な場合は、SSO は強制できず、チェックボックスは選択できません。

これらのゾーン毎の SSO 強制設定は、SSO が別の方法で、コンテンツフィルタ、IPS、またはアプリケーション制御ポリシーによって、またはユーザ認証が必要なファイアウォールアクセスルールによって開始されない場合でも、イベントログ取得とアプリケーションフロー監視の視覚化の際にユーザの識別と追跡に役立ちます。

ユーザ認証を要求するように設定されたセキュリティサービスポリシーやファイアウォールアクセスルールがあるゾーン上では、SSO は常に影響のあるトラフィックに対して開始されるので、さらに SSO の強制を有効にする必要はありません。

手順 26　特定の機器または場所からのトラフィックに対するＳＳＯをバイパスし、既定のコンテンツフィルタポリシーをトラフィックに適用する場合は、該当するアドレスオブジェクトまたはアドレスグループを「ＳＳＯバイパス」下の１つ目のプルダウンメニューから選択します。特定のサービスまたはトラフィック種別に対してＳＳＯをバイパスするには、２つ目のプルダウンメニューからサービスを選択します。

１つ目の設定は、セキュリティサービス保護の対象となるトラフィックが、ユーザのワークステーション以外の機器（内部プロキシウェブサーバやＩＰ電話など）から送出される可能性がある場合に使用します。適用するコンテンツフィルタポリシーをＳｏｎｉｃＷＡＬＬが選択する際、このような機器がネットワークユーザとして識別されないようにするための設定です。選択されたＩＰアドレスからのすべてのトラフィックに、既定のコンテンツフィルタポリシーが使用されます。

２つ目の設定は、認証される必要のないユーザトラフィックに対して適切で、ＳＳＯを開始することにより、サービスに対して望ましくない遅延を引き起こす可能性があります。

ＳＳＯのバイパス設定は、ユーザ認証を要求するファイアウォールアクセスルールによってＳＳＯが開始された場合には適用されません。この種のＳＳＯバイパスを設定するには、影響されるトラフィックに対してユーザ認証を要求しないアクセスルールを追加します。アクセスルール設定の詳細については、「アクセスルールの追加」を参照してください。
補足　既定では、ＳＳＯによって認証されないＬｉｎｕｘおよびＭａｃユーザには、既定のコンテンツフィルタポリシーが割り当てられます。そのような、ＳＳＯにより認証されないすべてのユーザを資格情報を手動で入力させるようリダイレクトするには、「ＨＴＴＰ」サービスに対して、「ＷＡＮ」ゾーンから「ＬＡＮ」ゾーンへのアクセスルールを「許可するユーザ」を「すべて」に設定して作成します。そして、ユーザまたはユーザグループに対して適切なＣＦＳポリシーを設定します。アクセスルール設定の詳細については、「アクセスルールの追加」を参照してください。

手順 27　「ターミナルサービス」タブを選択します。「ターミナルサービスエージェント設定のテスト」ページが表示されます。

手順 28　このページ内の「ターミナルサービスエージェント」タブで、「追加」ボタンを選択します。ページが更新され、ページ上部のテーブルに新しい行が表示されます。また、ページの下半分に新しい入力フィールドが表示されます。

既存のエージェントの横にある緑色のＬＥＤ形式のアイコンは、エージェントが稼働していることを示します。赤色のＬＥＤは、エージェントが停止していることを示します。黄色のＬＥＤは、ＴＳＡが無動作状態で、ＴＳＡから装置への通知が５分以上途絶えていることを示します。装置がエージェントに要求を送信するのではなく、ＴＳＡが装置に通知を送信する形であることから、通知がないときには問題が生じている可能性もあり得ますが、それより考えられるのは、単にターミナルサーバで現在どのユーザも何の処理も行っていないという可能性です。

手順 29　「ホスト名／ＩＰアドレス」フィールドに、ＳｏｎｉｃＷＡＬＬＴＳＡがインストールされているターミナルサーバのホスト名またはＩＰアドレスを入力します。ターミナルサーバがマルチホーム（複数のＩＰアドレスを持つ）で、ホストをＤＮＳ名ではなくＩＰアドレスで識別している場合には、すべてのＩＰアドレスをカンマ区切りのリストとして入力します。

フィールドに値を入力すると、ページ上部の行が赤色に更新され、新しい情報が強調表示されます。

手順 30　「ポート」フィールドに、ＳｏｎｉｃＷＡＬＬＴＳＡがインストールされているワークステーションのポート番号を入力します。既定のポートは２２５９です。異なるＩＰアドレスを持つエージェントは、同じポート番号を使用できることに注意してください。

手順 31　「共有キー」フィールドに、作成した共有鍵またはＳｏｎｉｃＷＡＬＬＴＳＡで生成した共有鍵を入力します。共有鍵は完全に一致している必要があります。「共有キーの確認」フィールドにもう一度共有鍵を入力します。

手順 32　「設定」タブを選択します。

手順 33　「ターミナルサーバのサービスからのトラフィックに対しアクセスルールでのユーザ認証のバイパスを許可」チェックボックスは既定でオンになっています。この設定の場合は、ウィンドウズアップデートやアンチウィルスの更新など、ユーザログインセッションと関連付けられていないトラフィックは認証なしで通過できます。このチェックボックスをオフにした場合、ファイアウォールのアクセスルールでユーザ認証が必要なときには、サービスからのトラフィックがブロックされることがあります。この場合、サービスのトラフィックの送信先に対して“すべて”のアクセスを許可するルールを追加するか、またはアクセスルールでユーザ認証をバイパスできるＨＴＴＰのＵＲＬに送信先を設定することで対応できます。

手順 34　「NTLM」タブを選択します。「NTLM ブラウザ認証」ページが表示されます。 NTLM 認証は Mozilla ベースのブラウザでサポートされ、SSO エージェントを介して、またはエージェントを使わずに自身でいくつかの制限付きで、ユーザを識別する補足として使うことができます。 SonicWALL 装置はユーザを認証するためにブラウザと直接情報交換します。ドメインの資格情報を使ってログインするユーザは透過的に認証され、その他の場合はユーザは装置にログインするための資格情報を入力する必要がありますが、資格情報を保存すれば１度だけそうすれば済むはずです。

詳細については、このタブ上のツールチップを調べるか、「ブラウザＮＴＬＭ認証の動作」を参照してください。

手順 35　以下の選択肢のうちの 1 つを、「HTTP トラフィックの認証に NTLM を使用する」プルダウンリストから選択します。

･無効 - NTLM 認証を使いません。

･エージェントによる SSO が使用される前 - SonicWALL SSO エージェントを使う前に NTLM を使ってユーザの認証を試行します。

･エージェントによる SSO が失敗した場合のみ - 最初に SSO エージェントを介したユーザの認証を試行てから、それが失敗した場合に、NTLM の使用を試行します。

手順 36　以下のうちの 1 つを、「認証ドメイン」に対して行います。

･ SonicWALL 装置のドメインの完全な DNS 名を、 "www.somedomain.com" の形式で入力します。

･ LDAP 設定内で使っているものと同じドメインを使うために、「LDAP 設定のドメインを使用する」チェックボックスを選択します。

ブラウザが装置のドメインをローカルドメインと見た場合にのみ、完全に透過的な認証が行われます。

手順 37　ユーザのブラウザを最初に SonicWALL 装置自身のウェブサーバにどのようにリダイレクトするを決めるために、「ブラウザをこの機器にリダイレクトする経路」に対して、以下のオプションのうちの 1 つを選択します。

･インターフェースの IP アドレス - ブラウザを装置のウェブサーバインターフェースの IP アドレスにリダイレクトする場合に選択します。

･インターフェース IP アドレスの逆引き DNS 調査 - ウィンドウ下部の「逆引き DNS キャッシュの表示」ボタンを有効にします。このボタンを選択すると、ポップアップが装置のウェブサーバのインターフェース、IP アドレス、DNS名、TTL の秒数を表示します。ユーザのブラウザをリダイレクトするために使われているドメイン名（DNS 名）を確認する場合にこのボタンを選択します。

･ドメイン名 - ユーザのブラウザがリダイレクトされる先のウェブサーバのドメイン名を入力します。

手順 38　「認証が失敗するまでの最大試行数」に再試行回数を入力します。

手順 39　ユーザのログオフを検出するには、ウィンドウズ、Linux、およびマッキントッシュユーザに対して装置で使用されるポーリング方式を、「ポーリングタイマーによって NTLM 認証されるユーザ」オプション内で選択します。それぞれの種別のコンピュータのユーザに対して、以下の方式のうち 1 つのラジオボタンを選択します。

･ SSO エージェントでポーリング - ネットワーク内で SSO エージェントを使っている場合は、それを使ってユーザをポーリングするにはこれを選択します。 NTLM を介して認証されるユーザに対しては、エージェントが記憶するユーザ名がNTLM 認証で使用される名前と一致する必要があるか、ログインセッションが終了されます。 Linux や Mac ユーザに対しては、それらのシステムが SSO エージェントによって使用されるウィンドウズネットワーキングの要求をサポートしないので、別のポーリング方式を選択します。

･ NTLM で再認証 - ブラウザがドメインの資格情報を保存するように設定されている、またはユーザがブラウザに資格情報を保存するように指示した場合は、この方式はユーザに透過的です。

･再認証しない - このオプションを選択した場合は、無動作タイムアウト以外ではログアウトは検出されません。

手順 40　旧形式の LAN Manager 構成要素が NTLM メッセージ内に含まれることを必要とする古い旧形式のサーバを使っている場合は、「NTLM に従来の LanMan を転送する」チェックボックスを選択します。これにより、安全でないために既定では NTLM 内 LanMan を許可しない、新しいウィンドウズサーバでは認証が失敗します。

手順 41　「テスト」タブを選択します。「認証エージェント設定のテスト」ページが表示されます。装置とＳＳＯエージェントまたはＴＳＡとの接続をテストできます。また、ワークステーションにログインしたユーザを識別するための設定がＳＳＯエージェントに対して適切に行われているかどうかもテストできます。
補足　このページでテストを実行すると、それまでに行ったすべての変更が適用されます。

手順 42　複数のエージェントを設定した場合は、テストするＳＳＯエージェントまたはＴＳＡを「テストするエージェントの選択」ドロップダウンリストから選択します。このドロップダウンリストでは、最初にＳＳＯエージェントが示され、ＴＳＡは「－－ターミナルサーバエージェント－－」の見出しの下で最後に示されます。

手順 43　「エージェントとの接続をチェック」ラジオボタンを選択し、「テスト」ボタンを選択します。認証エージェントとの通信がテストされます。ＳｏｎｉｃＷＡＬＬセキュリティ装置がＳＳＯエージェントに接続できた場合、「ＡＤエージェントは利用可能です」というメッセージが表示されます。ＴＳＡのテスト時には、「テスト状況」フィールドにメッセージが表示され、「エージェントから戻ってきた情報」フィールドにバージョンおよびサーバのＩＰアドレスが表示されます。

手順 44　ＳＳＯエージェントのみの場合は、「ユーザをチェック」ラジオボタンを選択し、ワークステーションのＩＰアドレスを「ワークステーションのＩＰアドレス」フィールドに入力して、「テスト」を選択します。これで、ワークステーションにログインしているユーザを識別するための設定が、ＳＳＯエージェントに対して適切に行われているかどうかがテストされます。
ヒント　「エージェントが応答しません」または「設定エラー」というメッセージが表示された場合は、設定内容を確認してから、これらのテストをもう一度実行します。

手順 45　認証エージェントの設定がすべて完了したら、「ＯＫ」を選択します。

ブラウザＮＴＬＭ認証のためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定

シングルサインオンを使うためには、SonicWALL セキュリティ装置が SSO 方式として「SonicWALL SSO エージェント」か「ブラウザ NTLM 認証のみ」のいずれかを使うように設定されている必要があります。

以下の手順では、SonicWALL セキュリティ装置が「ブラウザ NTLM 認証のみ」を使うように設定する方法を説明します。

手順 1　SonicWALL セキュリティ装置にログインして、「ユーザ＞設定」に移動します。

手順 2　「シングルサインオン方法」ドロップダウンメニューで、「ブラウザ NTLM 認証のみ」を選択します。

手順 3　「設定」を選択します。「SonicWALL SSO エージェント認証設定」ウィンドウが表示されます。

手順 4　「設定」タブを選択します。この「設定」タブ上の設定は、SonicWALL SSO エージェントをシングルサインオン方法として選択した場合の「NTLM」タブに対する設定と同じです。このページの詳細な設定手順については、「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定」の手順内の手順 34 を参照してください。

手順 5　「設定」タブを選択します。「ユーザ設定」ページが表示されます。

手順 6　装置のローカルにリストされたユーザのみ認証されることを許可するために、「ローカルに登録されたユーザのみ許可する」の隣のボックスを選択します。

手順 7　シンプルなユーザ名を使うために、「ローカルデータベースでシンプルなユーザ名を使用する」の隣のボックスを選択します。選択した場合は、ユーザ名のドメイン部分は無視されます。認証エージェントから返されるユーザ名は、例えば domain1/user1 のように、通常はドメイン部分を含みます。このボックスを選択しない場合は、ローカルデータベース内のユーザ名は、エージェントから返されるドメイン部分を含んだ完全な名前に完全一致する必要があります。

手順 8　ユーザ情報を取得するために LDAP を使うには、「ユーザグループ情報の検索に LDAP を使用する」ラジオボタンを選択します。 LDAP の設定を構成するために、「設定」を選択します。「LDAP 設定」ページが表示されます。このページの設定情報については、「ＬＤＡＰの詳細設定」を参照してください。

手順 9　ローカルで設定されたユーザグループ設定を使うには、「ローカル設定」ラジオボタンを選択します。

手順 10　「ポーリング間隔（分）」フィールドに、ポーリング間隔を分で入力します。セキュリティ装置は、ユーザがまだログオンしているかを確認するために、この間隔毎に SSO エージェントが動作しているワークステーションをポーリングします。既定値は 1 です。

手順 11　「強制」、「ターミナル」、および「テスト」タブの設定は、シングルサインオン方法として SonicWALL SSO エージェントを選択した場合の設定と同じです。これらのページの詳細な設定手順については、「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定」の手順を参照してください。

手順 12　すべてのタブの設定が完了したら、「ＯＫ」を選択します。

ＮＴＬＭで使用するＲＡＤＩＵＳの設定

「ログインの認証方法」フィールドで LDAP を選択した場合でも、NTLM 認証を使う場合は RADIUS 設定が必要です。 NTLM 認証は、 LDAP では提供されず RADIUS で提供される MSCHAP を必要とします。

「ユーザ＞設定」ページで LDAP 認証を選択した場合は、「RADIUS も CHAP/NTLM で必要とされる場合があります。」の隣の「設定」ボタンが有効になります。

LDAP が設定されていると、それは NTLM によって提供されたユーザの資格情報がRADIUS を通して認証された後でユーザグループメンバーシップの検索に使われます。こうして、NTLM を使用する場合はユーザグループメンバーシップ情報を返すために RADIUS を設定する必要はありません (ISA のような、いくつかの RADIUS サーバで行うことは非常に複雑になることがあります。
補足　ウィンドウズ 7 および Vista マシンでは、インターネットエクスプローラを介したブラウザ NTLM 認証を用いた RADIUS 認証を使うために追加の設定が必要です。「ＲＡＤＩＵＳ認証の設定」を参照してください。

RADIUS 設定を構成するには、「設定」ボタンを選択して、「ＲＡＤＩＵＳ認証の設定」の手順に従ってください。

ウィンドウズ上で NTLMv2 セッションセキュリティを設定する

マイクロソフトウィンドウズ 7 および Vista では、インターネットエクスプローラは既定では NTLM のNTLMv2 変化形を使います。 NTLM と同じ方法では、NTLMv2 変化形は RADIUS を通して認証できません。これらのバージョンのウィンドウズで SSO 方式としてブラウザ NTLM 認証を使用する場合は、NTLMv2 の代わりに NTLMv2 セッションセキュリティを使用するようにウィンドウズマシンを構成する必要があります。 NTLMv2 セッションセキュリティは、RADIUS/MSCHAPv2と互換性があるように設計されている変化形です。この設定は、ウィンドウズグループポリシーを使って行います。

ウィンドウズ 7 または Vista マシンをNTLMv2 セッションセキュリティを使うように設定するには、以下の手順に従います。

手順 1　ウィンドウズグループポリシーを開くために、コントロールパネルを開いて「管理ツール」を選択します。

手順 2　「ローカルセキュリティポリシー」を選択して、ローカルセキュリティポリシーのウィンドウを開きます。

手順 3　「ローカルポリシー」を展開して、「セキュリティオプション」を選択します。

手順 4　「ネットワークセキュリティ: LAN Manager 認証レベル」設定を編集して、以下から 1 つ選択します。

･ NTLM 応答のみ送信する

･ LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッションセキュリティを使う

手順 5　上記設定が NTLM をより全体的に有効にすることを防ぐ場合は、以下の 1 つまたは両方を行います。

･「ネットワークセキュリティ: NTLMを制限する: このドメイン内のNTLM認証」を「すべて拒否する」に設定します。

･「ネットワークセキュリティ: NTLMを制限する: リモートサーバーに対する送信 NTLM トラフィック」を「すべて拒否する」に設定します。

それから、以下の 1 つまたは両方を行います。

･「ネットワークセキュリティ: NTLMを制限する: NTLM 認証に対するリモートサーバーの例外を追加する」の設定に、SonicWALL 装置のドメイン名か IP アドレスを追加します。

･「ネットワークセキュリティ: NTLMを制限する: このドメインにサーバーの例外を追加する」の設定に、SonicWALL 装置のドメイン名か IP アドレスを追加します。

ＬＤＡＰの詳細設定

「ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定」の手順19で、「ユーザ」タブで「ＬＤＡＰを使用してユーザグループ情報を検索する」を選択した場合は、ＬＤＡＰの設定を行う必要があります。ＬＤＡＰの設定を行うには、以下の手順に従います。

手順 1　ＳＳＯ設定ウィンドウの「ユーザ」タブで、「ＬＤＡＰを使用してユーザグループ情報を取得する」オプションの横の「設定」ボタンを選択します。

手順 2　「設定」タブを表示します。「名前またはＩＰアドレス」フィールドに、ＬＤＡＰサーバの名前またはＩＰアドレスを入力します。

手順 3　「ポート番号」フィールドに、ＬＤＡＰサーバのポート番号を入力します。既定のＬＤＡＰポートは次のとおりです。

･既定のＬＤＡＰポート－３８９

･既定のＬＤＡＰｏｖｅｒＴＬＳポート－６３６

手順 4　「サーバタイムアウト（秒）」フィールドに、ＳｏｎｉｃＷＡＬＬセキュリティ装置がＬＤＡＰサーバからの応答を待つ秒数を入力します。この秒数が経過すると、タイムアウトが発生します。１～９９９９９の値を指定できます。既定値は１０秒です。

手順 5　「総合操作のタイムアウト（分）」フィールドに、ＳｏｎｉｃＷＡＬＬセキュリティ装置が自動動作に費やす時間を分単位で入力します。この時間が経過すると、タイムアウトが発生します。１～９９９９９の値を指定できます。既定値は５秒です。

手順 6　匿名でログインするには、「匿名ログイン」ラジオボタンを選択します。ＬＤＡＰサーバによっては、匿名でツリーにアクセスできます。利用するサーバでこの機能がサポートされている場合（通常、ＭＳＡＤではサポートされません）、このオプションを選択することができます。

ログイン名でツリーにアクセスするには、「ログイン名／ツリー内位置を渡す」を選択します。

識別名でツリーにアクセスするには、「識別名のバインドを渡す」を選択します。

手順 7　ユーザの名前とパスワードでログインする場合は、ユーザ名とパスワードをそれぞれ「ログインユーザ名」フィールドと「ログインパスワード」フィールドに入力します。ログイン名は、完全な“ｄｎ”表記法でＬＤＡＰサーバに自動的に提示されます。
補足　実際に使用するのは、ユーザ名やログインＩＤではなく、「ログインユーザ名」フィールドに入力したユーザの名前です。例えば、ＪｏｈｎＤｏｅという名前のユーザであれば、ｊｄｏｅではなく、ＪｏｈｎＤｏｅとしてログインする必要があります。

手順 8　「プロトコルバージョン」ドロップダウンメニューからＬＤＡＰバージョンを選択します。ＬＤＡＰバージョン２またはＬＤＡＰバージョン３を選択できます。ＬＤＡＰのほとんど（ＡＤを含む）の実装では、ＬＤＡＰバージョン３が採用されています。

手順 9　ＴｒａｎｓｐｏｒｔＬａｙｅｒＳｅｃｕｒｉｔｙ（ＳＳＬ）を使用してＬＤＡＰサーバにログインする場合は、「ＴＬＳ（ＳＳＬ）を使用する」チェックボックスを選択します。ネットワーク上に送信されるユーザ名とパスワード情報を保護するためにＴＬＳを使用することを強くお勧めします。ＬＤＡＰのほとんど（ＡＤを含む）の実装では、ＴＬＳがサポートされています。

手順 10　ＴＬＳモードで動作するか、非ＴＬＳモードで動作するかに関係なく、ＬＤＡＰサーバが同じＴＣＰポートを使用できるようにする場合は、「ＬＤＡＰ‘ＳｔａｒｔＴＬＳ’要求を送信する」を選択します。一部のＬＤＡＰサーバの実装では、ネイティブなＬＤＡＰｏｖｅｒＴＬＳを使用しないで、ＳｔａｒｔＴＬＳ指示をサポートしています。これにより、ＬＤＡＰサーバが、ＬＤＡＰ接続を１つのポート（通常３８９）でリッスンすること、および、クライアントによる指示でＴＬＳへ切り替えることが可能になります。ＡＤではこのオプションはサポートされません。このオプションは、ＬＤＡＰサーバによって要求された場合にのみ選択すべきです。
補足　「ＬＤＡＰ‘ＳｔａｒｔＴＬＳ’要求を送信する」ボックスは、ＴＬＳと非ＴＬＳとで同じポート番号が使用される場合にのみ選択してください。
手順 11　有効な証明書をサーバから取得するには、「サーバからの有効な証明書を要求する」を選択します。ＴＬＳ交換時に、サーバによって提示された証明書の名前が上記で指定した名前と一致するかどうかが確認されます。この既定のオプションを非選択にした場合、警告が表示されますが、ＳｏｎｉｃＷＡＬＬセキュリティ装置とＬＤＡＰサーバ間の交換にはＴＬＳが使われます（確認を行わないだけです）。

手順 12　「ＴＬＳに用いるローカル証明書」ドロップダウンメニューからローカル証明書を選択します。このオプションは省略可能です。ＬＤＡＰサーバが接続のためにクライアント証明書を要求する場合にのみ使用します。この機能は、ＬＤＡＰクライアントの識別を確実にするためにパスワードを返すＬＤＡＰサーバの実装では有用です（ＡＤではパスワードは返されません）。この設定はＡＤでは必要ありません。

手順 13　「適用」を選択します。

手順 14　「スキーマ」タブを選択します。

手順 15　「ＬＤＡＰスキーマ」ドロップダウンメニューから、次のいずれかのＬＤＡＰスキーマを選択します。定義済みのいずれかのスキーマを選択した場合、そのスキーマによって使用されるフィールドに適切な値が自動的に入力されます。「ユーザ定義」を選択した場合は、値を指定することができます。この設定は、特定のまたは独自のＬＤＡＰスキーマ設定を利用する場合にのみ使用してください。

･マイクロソフトアクティブディレクトリ

･ＲＦＣ２７９８ＩｎｅｔＯｒｇＰｅｒｓｏｎ

･ＲＦＣ２３０７ネットワークインフォメーションサービス

･サンバＳＭＢ

･ノベルイーディレクトリ

･ユーザ定義

手順 16　「オブジェクトクラス」フィールドは、次の２つのフィールドが適用される個々のユーザアカウントを表す属性を定義します。これは、「ユーザ定義」を選択しない限り変更できません。

手順 17　「ログイン名属性」フィールドは、ログイン認証に使用する属性を定義します。これは、「ユーザ定義」を選択しない限り変更できません。

手順 18　「資格のあるログイン名属性」フィールドが空欄でない場合、この属性は、ユーザの代替ログイン名を「名前＠ドメイン」形式で設定するユーザオブジェクトの属性を指定します。これは特に、単純なログイン名ではドメイン間で一意性を保てない可能性がある複数ドメインを持つ場合に必要になります。マイクロソフトアクティブディレクトリに対しては、これは「名前＠ドメイン」を使うログインに対しては、一般的に「ｕｓｅｒＰｒｉｎｃｉｐａｌＮａｍｅ」に設定されます。アクティブディレクトリおよびＲＦＣ２７９８ｉｎｅｔＯｒｇＰｅｒｓｏｎの場合は、「ｍａｉｌ」にも設定できます。

手順 19　「ユーザグループメンバーシップ属性」フィールドには、ユーザがどのグループに所属するかを示すユーザオブジェクト内の情報が含まれます。これに該当するのは、マイクロソフトアクティブディレクトリのｍｅｍｂｅｒＯｆ属性です。他の定義済みのスキーマでは、グループメンバーシップ情報がユーザオブジェクトではなくグループオブジェクト内に格納されるので、このフィールドは使用されません。

手順 20　「追加ユーザグループ ID 属性」フィールドに、ユーザのプライマリグループＩＤを含む属性を入力します。このフィールドは、ユーザアカウントに対するプライマリユーザグループ情報を得るために使われ、「追加ユーザグループ一致属性」オプションと協調して動作します。ユーザグループ情報に対するデータベース検索を有効にするには、「使用」チェックボックスを選択します。

ウィンドウズには各ユーザがプライマリユーザグループを持つというコンセプトがあり、これは通常ドメインのユーザに対してはＤｏｍａｉｎＵｓｅｒｓ、管理者に対してはＡｄｍｉｎＵｓｅｒｓです。しかしながら、ユーザのグループメンバーシップに対するＬＤＡＰ検索は、アクティブディレクトリから返されるリスト内に、このプライマリグループを含みません。その結果、ＤｏｍａｉｎＵｓｅｒｓまたはＡｄｍｉｎＵｓｅｒｓに対するルールとポリシーの設定を許可するためには、装置はまた、ユーザのプライマリユーザグループを独立したＬＤＡＰ検索を用いて取得する必要があります。

アクティブディレクトリ内ではユーザのプライマリグループは、他のユーザグループメンバーシップのように名前で設定されていないために、検索のために属性を使う必要があります。その代わり、これはユーザオブジェクト内にＩＤ番号を与えるｐｒｉｍａｒｉＧｒｏｕｐＩＤ属性を用いて設定されていて、このＩＤ番号はユーザグループオブジェクト内にｐｒｉｍａｒｙＧｒｏｕｐＴｏｋｅｎ属性を用いて与えられています。

これらのユーザグループが装置上でグループポリシーを適用するために使われることを許可するには、ＬＤＡＰからユーザオブジェクトをそのユーザグループメンバーシップと共に読み取った後で、装置はユーザグループに対してｐｒｉｍａｒｙＧｒｏｕｐＴｏｋｅｎ属性をユーザのｐｒｉｍａｒｉＧｒｏｕｐＩＤ属性と照合させる追加の検索を実行する必要があります。

これらの属性の使用はユーザグループ検索に追加の時間オーバーヘッドがかかるため、既定ではオフになっています。ユーザのプライマリユーザグループを検索するためには「使用」チェックボックスは有効にする必要があります。

これは本来アクティブディレクトリの属性用ですが、「追加ユーザグループ ID 属性」および「追加ユーザグループ一致属性」に適切な属性値を設定することによる１つの追加ユーザグループの検索を許可するために、どのようなスキーマでも動作できます。アクティブディレクトリが選択されている場合、これらのフィールドの既定はｐｒｉｍａｒｉＧｒｏｕｐＩＤおよびｐｒｉｍａｒｙＧｒｏｕｐＴｏｋｅｎです。

手順 21　「構築されたＩＰアドレス属性」フィールドは、ディレクトリ内でユーザに割り当てられた静的ＩＰアドレスを取得するために使用できます。現在は、Ｌ２ＴＰを介してＳｏｎｉｃＷＡＬＬセキュリティ装置のＬ２ＴＰサーバと接続するユーザに対してのみ使用されます。将来のリリースでは、ＳｏｎｉｃＷＡＬＬグローバルＶＰＮクライアント（ＧＶＣ）でもサポートされる予定です。アクティブディレクトリでは、ユーザプロパティの「ダイヤルイン」タブで静的ＩＰアドレスを設定します。

手順 22　「オブジェクトクラス」フィールドは、ＬＤＡＰディレクトリに格納できるエントリのタイプを定義します。例えば、ＡＤで使用されるオブジェクトクラスとして、“ｕｓｅｒ”と“ｇｒｏｕｐ”があります。

手順 23　「メンバー属性」フィールドは、ログイン認証に使用する属性を定義します。

手順 24　「追加ユーザグループ一致属性」フィールドは、ユーザに対するユーザグループＩＤを含む属性を定義します。「追加ユーザグループ一致属性」フィールドは「追加ユーザグループ ID 属性」フィールドと協調して動作します。これらのフィールドの詳細については、上記手順 20 を参照してください。

手順 25　「ディレクトリ」タブを選択します。

手順 26　「プライマリドメイン」フィールドには、ＬＤＡＰ実装により使用されているユーザドメインを指定します。ＡＤの場合、これは、アクティブディレクトリのドメイン名です（例えば、ｙｏｕｒＡＤｄｏｍａｉｎ.ｃｏｍ）。オプションで、このフィールドを変更したときにページ内の残りのツリー情報を自動的に更新することもできます。既定では、ノベルイーディレクトリを除くすべてのスキーマでｍｙｄｏｍａｉｎ.ｃｏｍに設定されます（ノベルイーディレクトリの既定値はｏ＝ｍｙｄｏｍａｉｎ）です。

手順 27　「設定」タブで指定したユーザが含まれるツリーを「サーバログインに使用するユーザツリー」フィールドに指定します。例えば、ＡＤにおける“ａｄｍｉｎｉｓｔｒａｔｏｒ”アカウントの既定のツリーはユーザツリーと同じです。

手順 28　ＬＤＡＰディレクトリ内でユーザが一般に含まれるツリーを「ユーザを含むツリー」フィールドに指定します。既定値が１つだけ指定されていますが、これは編集できます。ＤＮ値を合計６４個まで登録でき、ＳｏｎｉｃＷＡＬＬセキュリティ装置は、一致が見つかるかリストの最後に到達するまで、ディレクトリを検索します。ＬＤＡＰまたはＡＤディレクトリ内に他のユーザコンテナを作成している場合は、ここにユーザコンテナを指定する必要があります。

手順 29　ＬＤＡＰディレクトリ内でユーザグループが一般に含まれるツリーを「ユーザグループを含むツリー」に指定します。最大３２個のＤＮ値を指定できます。スキーマのユーザオブジェクト内にユーザグループメンバーシップ属性がない場合にのみ適用できます。ＡＤでは使用されません。

上記のすべてのツリーは、通常ＵＲＬ形式で指定しますが、識別名で指定することもできます（例えば、“ｍｙＤｏｍ.ｃｏｍ／Ｓａｌｅｓ／Ｕｓｅｒｓ”は“ｏｕ＝Ｕｓｅｒｓ，ｏｕ＝Ｓａｌｅｓ，ｄｃ＝ｍｙＤｏｍ，ｄｃ＝ｃｏｍ”というＤＮで指定することもできます）。後者の形式は、ＤＮがサンプルに示すような通常の書式ルールに従っていない場合に必要になります。アクティブディレクトリでは、ツリーの識別名に対応するＵＲＬが、ツリーの最上部にあるコンテナのプロパティの「オブジェクト」タブに表示されます。
補足　ＡＤには、通常の書式ルールに従っていないいくつかのビルトインコンテナがあります（例えば、最上位のユーザコンテナのＤＮは“ｃｎ＝Ｕｓｅｒｓ，ｄｃ＝．．．”というように、“ｏｕ”ではなく“ｃｎ”を使っています）。しかし、ＳｏｎｉｃＷＡＬＬはこれを認識して対処できるようになっているため、より簡易なＵＲＬ形式で入力することができます。

順序は重要ではありませんが、検索が特定の順序で行われることから、最も効率的な検索を行うためには頻繁に使用されるツリーを各リストの先頭に配置します。複数のＬＤＡＰサーバに渡った参照をする場合は、プライマリサーバのツリーを最初に配置し、残りのツリーはサーバを参照する順に並べるようにすると、ツリーを最適に並べ替えることができます。
補足　ＡＤを使用している場合、「サーバログインに使用するユーザツリー」フィールドで指定したディレクトリのどの位置にユーザが含まれているかを確認するために、サーバ上の管理ツール内の「ＡｃｔｉｖｅＤｉｒｅｃｔｏｒｙユーザとコンピュータ」コントロールパネルアプレットを使用して、ディレクトリを手動で検索することができます。また、ウィンドウズＮＴ／２０００／ＸＰリソースキットに含まれるｑｕｅｒｙａｄ.ｖｂｓのようなディレクトリ検索ユーティリティをドメイン内の任意のＰＣ上で実行することもできます。
手順 30　「自動設定」ボタンを選択すると、ＳｏｎｉｃＷＡＬＬセキュリティ装置がディレクトリをスキャンしてユーザオブジェクトが含まれるすべてのツリーを検出することにより、「ユーザを含むツリー」フィールドと「ユーザグループを含むツリー」フィールドを自動的に設定します。最初に‘サーバログインに使用するユーザツリー’を設定しておく必要があります。

新しく検出されたツリーを現在の設定に追加するか、または現在設定されているすべてのツリーを削除してから新規に作り直すかを選択し、「ＯＫ」を選択します。ユーザログインには不必要なツリーが検出される場合もあるので、そのようなエントリは手動で削除することをお勧めします。

参照機能を使用して複数のＬＤＡＰ／ＡＤサーバを利用している場合は、「検索するドメイン」を適切な情報で置き換え、「現在のツリーに追加する」オプションを選択して、それぞれのサーバに対してこの処理を繰り返します。

手順 31　「紹介」タブを選択します。

手順 32　ネットワークで複数のＬＤＡＰサーバを使用している場合には、ＬＤＡＰ参照が必要なことがあります。以下のチェックボックスの１つまたは複数を選択します。

･紹介を許可する－プライマリＬＤＡＰサーバ以外のＬＤＡＰサーバ上にユーザ情報がある場合に選択します。

･ユーザ認証時の継続参照を許可する－個々のディレクトリツリーが複数のＬＤＡＰサーバにまたがる場合に選択します。

･ディレクトリの自動設定時の継続参照を許可する－１つの動作で複数のＬＤＡＰサーバからディレクトリツリーを読み出す場合に選択します。

･ドメイン検索に継続参照を許可する－複数のＬＤＡＰサーバでサブドメインを検索する場合に選択します。

手順 33　「ＬＤＡＰユーザ」タブを選択します。

手順 34　「ローカルに登録されたユーザのみ許可する」を選択すると、ＬＤＡＰユーザがＳｏｎｉｃＷＡＬＬローカルユーザデータベースにも登録されている場合にのみ、そのユーザのログインが許可されます。

手順 35　「ＬＤＡＰユーザ名を複製してユーザグループメンバーシップをローカルで設定可能にする」ボックスを選択すると、ローカルユーザとＬＤＡＰユーザ設定の共通部分に基づいてグループメンバーシップ（と権限）が決定されます。

手順 36　ＬＤＡＰサーバ上で設定されたグループメンバーシップに加えて、ＬＤＡＰユーザが所属するＳｏｎｉｃＷＡＬＬセキュリティ装置上の既定のグループを、「既定のＬＤＡＰユーザグループ」ドロップダウンメニューから選択します。
ヒント　単にＬＤＡＰを使用してグループメンバーシップ（と権限）を割り当てることもできます。ＳｏｎｉｃＷＡＬＬセキュリティ装置のビルトイングループ（「ゲストサービス」、「ＣｏｎｔｅｎｔＦｉｌｔｅｒｉｎｇＢｙｐａｓｓ」、「ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓ」など）と同じ名前のユーザグループをＬＤＡＰ／ＡＤサーバ上で作成し、ユーザをディレクトリ内のこれらのグループに割り当てることにより、または、既存のＬＤＡＰ／ＡＤユーザグループと同じ名前のユーザグループをＳｏｎｉｃＷＡＬＬセキュリティ装置上で作成することにより、ＬＤＡＰ認証が成功したときにＳｏｎｉｃＷＡＬＬグループメンバーシップが与えられます。

アクティブディレクトリの場合、ＳｏｎｉｃＷＡＬＬセキュリティ装置は、独自仕様である戻り値‘ｍｅｍｂｅｒＯｆ’ユーザ属性を利用することにより、より効率的にグループメンバーシップを取得できます。

手順 37　「ユーザグループのインポート」ボタンを選択して、ＬＤＡＰサーバからユーザグループをインポートします。ＬＤＡＰサーバ上のユーザグループ名をポリシー規則やＣＦＳポリシーなどで使用する場合は、ＳｏｎｉｃＷＡＬＬ上でも同じ名前のグループを作成する必要があります。

手順 38　「ＬＤＡＰリレー」タブを選択します。

手順 39　ＲＡＤＩＵＳからＬＤＡＰへのリレーを有効にするには、「ＲＡＤＩＵＳからＬＤＡＰへのリレーを有効にする」チェックボックスを選択します。ＲＡＤＩＵＳからＬＤＡＰへのリレー機能は、ＬＤＡＰ／ＡＤサーバおよびセントラルＳｏｎｉｃＷＡＬＬセキュリティ装置を備えたセントラルサイトと、ＬＤＡＰをサポートしていないＳｏｎｉｃＷＡＬＬセキュリティ装置を使用して接続されたリモートサテライトサイトが存在するトポロジーで使用するために設計されました。この場合、セントラルＳｏｎｉｃＷＡＬＬセキュリティ装置は、リモートＳｏｎｉｃＷＡＬＬセキュリティ装置用のＲＡＤＩＵＳサーバとして動作し、ＲＡＤＩＵＳとＬＤＡＰの間のゲートウェイとして、リモートサイトからの認証要求をＬＤＡＰサーバへ転送します。

さらに、拡張されていないファームウェアで実行されるリモートＳｏｎｉｃＷＡＬＬセキュリティ装置に対し、セントラルＳｏｎｉｃＷＡＬＬセキュリティ装置は、ＬＤＡＰを使用して取得したユーザグループメンバーシップに基づいて従来のユーザ権限情報を返すことができます。これにより、ＩＡＳのような外部ＲＡＤＩＵＳサーバの非常に複雑な設定を回避することができます。

手順 40　「以下のＲＡＤＩＵＳクライアントからの接続を許可する」から適切なチェックボックスを選択します。選択に応じて、着信ＲＡＤＩＵＳ要求を許可するための適切なポリシールールが追加されます。以下のオプションがあります。

･保護ゾーン

･ＷＡＮゾーン

･公開ゾーン

･無線ゾーン

･ＶＰＮゾーン

手順 41　「ＲＡＤＩＵＳ事前共有鍵」フィールドに、すべてのリモートＳｏｎｉｃＷＡＬＬセキュリティ装置に共通の共有鍵を入力します。

手順 42　「レガシーユーザに対するユーザグループ」の各フィールドで、‘ＶＰＮユーザ’、‘ＶＰＮクライアントユーザ’、‘Ｌ２ＴＰユーザ’、‘インターネットアクセスのあるユーザ’など、従来の権限に対応するユーザグループを定義します。指定された、いずれかのユーザグループに所属するユーザが認証された場合、リモートのＳｏｎｉｃＷＡＬＬセキュリティ装置に通知が送られ、そのユーザに適切な権限が与えられます。
補足　「フィルタのバイパス」と「制限された管理機能へのアクセスを許可する」権限は、「ＣｏｎｔｅｎｔＦｉｌｔｅｒｉｎｇＢｙｐａｓｓ」と「ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓ」のユーザグループのメンバーシップに基づいて返されます。これらを設定することはできません。

手順 43　「テスト」タブを選択します。

「テスト」ページでは、指定したユーザとパスワード資格情報を使用して認証を試みることにより、設定されたＬＤＡＰ設定をテストすることができます。ユーザに対してＬＤＡＰ／ＡＤサーバ上で設定されたユーザグループメンバーシップや構築されたＩＰアドレスが表示されます。

手順 44　「ユーザ名」フィールドと「パスワード」フィールドに、設定したＬＤＡＰサーバに対する有効なＬＤＡＰログイン名を入力します。

手順 45　「パスワード認証」または「ＣＨＡＰ」（チャレンジハンドシェーク認証プロトコル）を選択します。
補足　ＣＨＡＰは、ＬＤＡＰを使ってユーザパスワードを取得できるサーバでのみ使用できます。場合によっては、パスワードを可逆的に保存するための設定をＬＤＡＰサーバに対して行う必要があります。ＣＨＡＰをアクティブディレクトリで使用することはできません。

手順 46　「テスト」を選択します。ＬＤＡＰサーバから応答された状況と情報が、「テスト状況」、「ＬＤＡＰからのメッセージ」、「返されたユーザ属性」フィールドに表示されます。

シングルサインオンの詳細設定の調整

このセクションでは、ＳｏｎｉｃＷＡＬＬ装置のＳＳＯの詳細設定の調整について説明します。以下のセクションを参照してください。

･「概要」

･「詳細設定について」

･「マウスを移動したときに表示されるＳＳＯの統計とツールチップ」

･「ＴＳＲのシングルサインオン統計の利用」

･「エージェントの検査」

･「改善措置」

概要

ＳＳＯを使用しているＳｏｎｉｃＷＡＬＬを介して、ユーザが初めてトラフィックを送信しようとするとき、ＳｏｎｉｃＷＡＬＬ装置はＳｏｎｉｃＷＡＬＬＳＳＯエージェントに“ｗｈｏｉｓｔｈｉｓ”要求を送信します。エージェントは、ウィンドウズネットワークを介してユーザのＰＣに問い合わせを行い、ＳｏｎｉｃＷＡＬＬ装置にユーザ名を返します。ユーザ名がポリシーに設定されているいずれかの条件に一致した場合、ＳｏｎｉｃＷＡＬＬはユーザが“ログオンしている”と見なします。ユーザがＳＳＯを使用してＳｏｎｉｃＷＡＬＬにログインしている場合、ＳＳＯ機能によってログアウトも検出されます。ログアウトを検出するため、ＳｏｎｉｃＷＡＬＬ装置はエージェントに繰り返しポーリングを行い、各ユーザがまだログインしているかどうか確認します。特に、非常に数多くのユーザが接続している場合、このポーリングと内部の識別要求によって、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントアプリケーション、およびこのアプリケーションが動作しているＰＣに大きな負荷がかかることがあります。

ＳｏｎｉｃＷＡＬＬＳＳＯ機能は、速度制限メカニズムを利用して、ＳｏｎｉｃＷＡＬＬ装置がこのようなユーザ要求をＳＳＯエージェントに大量に送信しないようにします。自動計算と装置に設定できる項目の両方で、この速度制限の動作を制御します。ＳｏｎｉｃＷＡＬＬＳＳＯ機能は、最新のポーリング応答時間に基づいて、エージェントへの各メッセージに格納され、ポーリング期間中に処理できるユーザ要求の最大数を自動的に計算します。また、複数ユーザ要求時のタイムアウトは、ポーリング中にたまにタイムアウトが長くなる可能性を低減できるだけの値に自動的に設定されます。設定可能な項目で、一度にエージェントに送信する要求数を制御します。また、この項目を調整して、ＳＳＯのパフォーマンスを最適化し、潜在的な問題を防ぐことができます。このセクションは、適切な設定値を選択するための指針となります。

エージェントの過負荷によって問題が生じる可能性は、エージェントを専用の高性能ＰＣ上で動作させたり、複数エージェントを別個のＰＣ上で使用してＰＣ間で負荷を共有することによって、低減することができます。後者の方法では、エージェントＰＣのいずれかが故障した場合の冗長性も実現されます。エージェントは、ウィンドウズサーバＰＣ上で動作させなければなりません（古いワークステーションの中には使用可能なものもありますが、ウィンドウズ２０００／ＸＰ／Ｖｉｓｔａワークステーションの新しいリリースや、古いバージョン用のサービスパックにおける変更によって、ＳＳＯエージェントの動作を妨げるＴＣＰ接続速度制限機能が追加されました）。

詳細設定について

「一度に送信できる最大要求数」項目がＳＳＯエージェント設定の「詳細設定」タブに表示されます。

この項目は、ＳｏｎｉｃＷＡＬＬ装置からエージェントに一度に送信できる要求の最大数を制御します。エージェントは、各要求を処理する別個のスレッドをＰＣ内に生成し、複数の要求を同時に処理します。一度に送信する要求が多すぎると、エージェントが動作しているＰＣが過負荷になることがあります。送信する要求数が最大値を超えた場合、一部の要求は内部の“リングバッファ”キューに配置されます（「ＴＳＲのシングルサインオン統計の利用」および「マウスを移動したときに表示されるＳＳＯの統計とツールチップ」を参照してください）。リングバッファでの要求の待機が長くなりすぎると、ＳＳＯ認証の応答時間が遅くなることがあります。

この項目は、ログインしているユーザの状況を確認するためのポーリング時に自動計算される、エージェントへのメッセージごとのユーザ要求数とともに機能します。メッセージごとのユーザ要求数は、最新のポーリング応答時間に基づいて計算されます。送信する必要があるメッセージ数が最小になるよう、ＳｏｎｉｃＯＳはこのユーザ要求数をできる限り大きく調整して、エージェントにかかる負荷を低減し、ＳｏｎｉｃＷＡＬＬ装置とエージェント間のネットワークトラフィックを減らせるようにします。ただし、ユーザ要求数は、エージェントがメッセージに含まれる全ユーザ要求をポーリング期間内に処理できる値に保たれます。これによって、タイムアウトや、ログアウトしたユーザを迅速に検出できないなどの潜在的な問題を回避します。

マウスを移動したときに表示されるＳＳＯの統計とツールチップ

「ＳＳＯの設定」ページでは、各エージェントの上にマウスを移動すると、そのエージェントに関する統計が表示されます。また、多くのフィールド上にマウスを移動すると、そのフィールドに関するツールチップが表示されます。「設定」タブで、エージェントの横にある緑色のＬＥＤ形式のアイコンは、エージェントが稼働していることを示します。赤色のＬＥＤは、エージェントが停止していることを示します。

特定のエージェントの統計を表示するには、ＳＳＯエージェントの右にある統計アイコンの上にマウスポインタを置きます。これは、ターミナルサービスタブの個々のＴＳＡに対しても動作します。

装置上のすべてのＳＳＯアクティビティの統計を表示するには、テーブル一番下の「追加」ボタンと同じ行にある統計アイコンの上にマウスポインタを置きます。

統計の表示を閉じるには、「閉じる」を選択します。

表示されている値をすべてクリアするには、「リセットのために選択する」を選択します。

ＳＳＯの設定画面の多くのフィールドに対して、利用可能なツールチップを表示するには、そのフィールドの右側にある三角形のアイコンの上にマウスポインタを置きます。ツールチップは、マウスポインタをアイコン上から移動するまで表示されます。

ＴＳＲのシングルサインオン統計の利用

トラブルシューティングレポート（ＴＳＲ）には、ＳＳＯのパフォーマンスとエラーに関する豊富な統計が含まれています。これらを利用して、インストールされているＳＳＯのパフォーマンスを測定することができます。「システム＞診断」ページでＴＳＲをダウンロードして、“SSO operation statistics”というタイトルを検索してください。特に注意すべきカウンタは以下のとおりです。
1. 「
Users currently connected」の下で、TSR はどのように認証されたかに関わらず、現在ログイン中のローカルおよびリモートユーザすべてのリストを含むことができます。 TSR の生成前に「システム＞診断」ページの「現在のユーザ」と「ユーザ詳細」オプションを選択することで、それぞれのユーザに対して 8 から 9 行の詳細情報が TSR 内に提供されます。または、「現在のユーザ」を選択して「ユーザ詳細」を非選択することによって、それぞれのユーザに対して 1 行の要約だけを選ぶこともできます。
「
ユーザ詳細」が選択されていると、ユーザの種別で変化する多くの詳細が提供されます。それには、タイマー、権限、管理中の場合は管理モード、グループメンバーシップ、CFS ポリシー、VPN クライアントネットワーク、そしてその他の情報が含まれます。数千のユーザがログインしている場合にこのオプションを無効にすると、作成する TSR ファイルのサイズを、詳細なユーザリストを含むものと比べて大幅に縮小できます。
「
ユーザ詳細」が選択されていないと、ユーザ要約は、IP アドレス、ユーザ名、ユーザの種別、現在管理中の管理者ユーザに対しては管理モードを含みます。以下は例です。
Users currently connected:

192.168.168.1: Web user admin logged in (managing in Config mode)

192.168.168.9: Auto user Administrator (SD80\Administrator) auto logged in

2. 「
SSO ring buffer statistics 」の「Ring buffer overflows 」と「Maximum time spent on ring」を調べます。後者がポーリング間隔に接近、または越えている場合、あるいはいずれかのリングバッファのオーバーフローが示されている場合、要求は十分な速さでエージェントに送信されていません。「Current requests waiting on ring」が絶えず増加している場合も、同じ状況を示しています。これは、要求の送信速度を速めるには、「Maximum requests to send at a time」の値を大きくしなければならないということを意味します。ただし、それによってエージェントにかかる負荷も増加します。また、増加した負荷をエージェントが処理できない場合は、結果として問題が生じます。このような場合、エージェントをより強力なＰＣに移動したり、エージェントの追加を検討する必要があるかもしれません。
3. 「
SSO operation statistics」の「Failed user id attempts with time outs」と「Failed user id attempts with other errors」を調べます。これらの値は、ゼロかそれに近い値でなければなりません。ここに多数の失敗が表示される場合は、エージェントに問題があることを示します。その原因としては、試みられているユーザ認証の数にエージェントが対応できないことが考えられます。
4. 「
SSO operation statistics」の「Total users polled in periodic polling」、「User polling failures with time outs」、および「User polling failures with other errors」を調べます。いくつかのタイムアウトとエラーは許容範囲であり、予想されています。また、たまにポーリングが失敗しても問題は発生しません。ただし、エラー率は低くなければなりません（許容できるエラー率は約０.１％未満です）。繰り返しになりますが、ここでの失敗率が高い場合は、前述のとおり、エージェントに問題があることを示しています。
5. 「
SSO agent statistics」の「Avg user ID request time」と「Avg poll per-user resp time」を調べます。これらの値は数秒未満の範囲になければなりません。それより長い場合は、ネットワークに問題がある可能性を示しています。ただし、非ウィンドウズＰＣからのＳＳＯを介したトラフィック認証（非常に長い時間がかかることがあります）が原因のエラーによって、「Avg user ID request time」の値に誤差が生じる可能性があるので、この値が高くても「Avg poll per-user resp time」が正しいと思われる場合は、おそらく非ウィンドウズの機器の認証によって、エージェントに非常に多くのエラーが発生していることを示しているということに注意してください。以下の＃ 6 を参照してください。
6. 複数のエージェントを使用している場合は、「
SSO agent statistics」のさまざまなエージェントに対して報告されたエラー率とタイムアウト率、およびその応答時間も調べます。エージェント間で大きな差がある場合は、あるエージェントに固有の問題を示していることがあります。このような問題は、その特定のエージェントの設定をアップグレードまたは変更することによって対処できます。
7. ＰＣ以外の機器からのトラフィックによって、ＳＳＯ識別が開始されることがあります。また、これらの統計にエラーやタイムアウトが報告されることもあります。そのような機器のＩＰアドレスをアドレスオブジェクトグループに設定し、以下のいずれか、または両方を実行することによって、このような動作を回避することができます。

･コンテンツフィルタを使用している場合は、ＳＳＯ設定の「強制」タブで、「次からのトラフィックに対してシングルサインオン処理をバイパスする」設定にそのアドレスオブジェクトを選択します。

･認証済みのユーザのみを許可するようアクセスルールが設定されている場合は、「許可するユーザ」を「すべて」にして、そのアドレスオブジェクト用の別個のルールを設定します。
関連する情報については、
「SSO と認証をバイパスするために IP アドレスをホワイトリストに載せる」セクションを参照してください。
関係するＩＰアドレスを識別するには、ＴＳＲを調べて、“ＳＳＯによって保持されるＩＰアドレス”を検索します。すると、「
失敗後の保留時間」項目で設定された、前の期間中のＳＳＯの失敗が一覧表示されます。
補足　Ｍａｃ／ＬｉｎｕｘＰＣのＩＰアドレスが表示されている場合は、「ＭａｃユーザおよびＬｉｎｕｘユーザへの対応」セクションを参照してください。
「ユーザ」タブの「
失敗後の保留時間」項目の値を大きくすることによっても、この原因によるエラー率を制限できます。

「ＳＳＯの設定」ページでのＳＳＯ統計の表示については、「マウスを移動したときに表示されるＳＳＯの統計とツールチップ」を参照してください。

エージェントの検査

前述の統計が、エージェントに関して問題がある可能性を示している場合、次の手順としては、エージェントが動作しているＰＣ上でウィンドウズタスクマネージャを実行し、「パフォーマンス」タブのＣＰＵ使用率と、「プロセス」タブの“ＣＩＡＳｅｒｖｉｃｅ.ｅｘｅ”プロセスのＣＰＵ使用率を調べることをお勧めします。後者はＣＰＵ時間の大部分を消費しており、ＣＰＵ使用率はほぼ１００％に急増しています。これは、エージェントが過負荷になっていることを示すものです。「一度に送信できる最大要求数」の値を小さくすることで、負荷を減らすことができます。前述の"ＴＳＲのシングルサインオン統計の利用"の＃1を参照してください。

改善措置

設定でバランスを取ってエージェントのＰＣが過負荷にならないようにすることはできないが、まだ十分な速さでエージェントに要求を送信できている場合は、以下のアクションのいずれかを実行してください。

･ポーリング時間を増やすことによって、「ユーザ」タブで設定されているポーリング間隔を低下させることを検討する。これを実行すると、エージェントにかかる負荷は減少しますが、ログアウトの検出は遅くなります。共有ＰＣ環境では、ポーリング間隔をできる限り短く保ち、異なるユーザが同じＰＣを使用する場合にログアウトを検出できないことから生じる可能性のある問題（あるＰＣの２番目のユーザからの最初のトラフィックが、前のユーザが送信したものと記録される可能性があるなど）を回避することが最善の策かもしれないことに注意してください。

･エージェントをより高性能な専用ＰＣに移動する。

･１つまたは複数のエージェントを追加して設定する。

ファイアウォールアクセスルールの設定

ＳｏｎｉｃＷＡＬＬＳＳＯを有効にすると、ＳｏｎｉｃＯＳ管理インターフェースの「ファイアウォール＞アクセスルール」ページのポリシーに影響を与えます。「ファイアウォール＞アクセスルール」に指定されたルールは、ＳＳＯＬＤＡＰ問い合わせで返されたユーザグループメンバーシップに照らしてチェックされ、自動的に適用されます。

詳細については、次の各セクションを参照してください。

･「ＳｏｎｉｃＷＡＬＬＳＳＯの自動生成ルール」

･「ＭａｃユーザおよびＬｉｎｕｘユーザへの対応」

･「SSO と認証をバイパスするために IP アドレスをホワイトリストに載せる」

･「CFS、IPS、アプリケーション制御で SSO が失敗した場合にユーザにログインを強制する」

･「ターミナルサーバからのＩＣＭＰＰｉｎｇとＤＮＳを許可する」

･「ファイアウォールアクセスルールについて」

ＳｏｎｉｃＷＡＬＬＳＳＯの自動生成ルール

ＳｏｎｉｃＯＳ管理インターフェースでＳｏｎｉｃＷＡＬＬＳＳＯエージェントまたはＴＳＡを設定すると、エージェントからＬＡＮへの応答を許可するためのファイアウォールアクセスルールと、対応するＮＡＴポリシーが作成されます。これらのルールは、ＳｏｎｉｃＷＡＬＬＳＳＯＡｇｅｎｔｓまたはＳｏｎｉｃＷＡＬＬＴｅｒｍｉｎａｌＳｅｒｖｉｃｅｓＡｇｅｎｔｓアドレスグループオブジェクトのどちらかを使用します。このアドレスグループオブジェクトは、設定されたエージェントごとにメンバーアドレスオブジェクトを持ちます。エージェントが追加または削除されると、メンバーアドレスオブジェクトも自動的にグループオブジェクトに追加、またはグループオブジェクトから削除されます。ＩＰアドレスがＤＮＳによって解決された（エージェントがＤＮＳ名で指定されている場合）ときなど、エージェントのＩＰアドレスが変更されると、メンバーアドレスオブジェクトも自動的に更新されます。

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントまたはＴＳＡをさまざまなゾーンで設定すると、ファイアウォールアクセスルールとＮＡＴポリシーが該当する各ゾーンに追加されます。各ゾーンで、同じＳｏｎｉｃＷＡＬＬＳＳＯＡｇｅｎｔｓまたはＳｏｎｉｃＷＡＬＬＴｅｒｍｉｎａｌＳｅｒｖｉｃｅｓＡｇｅｎｔｓアドレスグループが使用されます。
補足　ＳｏｎｉｃＷＡＬＬＳＳＯが使用されているゾーンではゲストサービスを有効にしないでください。ゲストサービスを有効にすると、そのゾーンでのＳＳＯが無効化され、それによりＳＳＯを介して認証されるユーザがアクセスを失うことになります。ゲストサービスには個別のゾーンを作成してください。
ＭａｃユーザおよびＬｉｎｕｘユーザへの対応

ＭａｃおよびＬｉｎｕｘのシステムは、ＳｏｎｉｃＷＡＬＬＳＳＯエージェントが使用するウィンドウズのネットワーク要求をサポートせず、そのため、ＳｏｎｉｃＷＡＬＬＳＳＯが動作するためにはＳａｍｂａ３.５以降が必要です。
Mac および Linux 上で Samba を用いて SSO を使用する

ウィンドウズユーザに対しては、SonicWALL SSO はSonicWALL セキュリティ装置によってウィンドウズドメイン内のユーザを自動的に認証するために使用されます。これによりユーザは、ウィンドウズドメインへのログイン後に追加のログイン処理をして自身を識別する必要無しに、適切なフィルタとポリシー承諾を使って装置を通したアクセスを得ることが可能になります。

Samba は、Linux/Unix または Mac マシンで、ユーザにウィンドウズドメイン内のリソースへのアクセスを与える（Samba の smbclient ユーティリティを介して）ため、および／または、ウィンドウズドメインユーザにLinux や Mac マシン上のリソースへのアクセスを与える（Samba サーバを介して）ために使われる、ソフトウェアパッケージです。

ウィンドウズドメイン内で Samba を用いて Linux PC または Mac 上で動作するユーザは、SonicWALL SSO によって識別可能ですが、それには、Linux/Mac マシンと SSO エージェントの適切な設定と、恐らく装置のいくつかの再設定が必要です。例えば、以下の設定が必要です。

･ Linux/Mac ユーザで SonicWALL SSL を使うには、SonicWALL SSO エージェントがユーザのマシンからユーザのログイン情報を得るために、WMI ではなく NetAPI を使うように設定されている必要があります。

･ Samba がSonicWALL SSO エージェントからの要求を受信して応答するためには、ドメインのメンバーとして設定され、Samba サーバが動作してドメイン認証を使うように正しく設定されている必要があります。

これらの、およびその他の設定の詳細は、次のテックノートで説明されています。
http://www.sonicwall.com/downloads/Using_SSO_with_Samba_TechNote.pdf

SonicWALL SSO は、Samba 3.5 以降でサポートされます。
補足　Linux PC に複数のユーザがログインする場合は、その PC からのトラフィックへのアクセスは、最新のログインに基づいて与えられます。
Mac および Linux 上で Samba を用いずに SSO を使用する

Samba 無しでも、Mac および Linux ユーザはアクセスを得ることができますが、そのためには SonicWALL 装置にログインする必要があります。これにより、以下の問題が発生することがあります。

･ユーザがログインするまで、ＭａｃまたはＬｉｎｕｘのシステムからのトラフィックによって、ＳＳＯ識別が開始され続けることがあります。そのようなシステムが多数ある場合は、これがＳＳＯシステムに対するパフォーマンスのオーバーヘッドとなる可能性がありますが、“失敗後の保留”タイムアウトによって影響は幾分緩和されます。

･ユーザレベル認証を要求するポリシールールがない状態で、ユーザごとのコンテンツフィルタ（ＣＦＳ）ポリシーを使用する場合、最初に手動でログインするまで、ＭａｃおよびＬｉｎｕｘのシステムのユーザには既定のＣＦＳポリシーが適用されます。

･ユーザレベル認証を要求するようポリシールールが設定されている場合、ＭａｃおよびＬｉｎｕｘのシステムのユーザからのウェブブラウザ接続は、ＳＳＯの失敗後にログインページにリダイレクトされますが、失敗によってタイムアウトが発生し、ユーザに対して遅延が生じることがあります。

これらの問題を回避するため、「ファイアウォール＞アクセスルール」ページで「追加」を選択してファイアウォールアクセスルールを設定する（「表示形式」を「すべてのルールを表示」に設定）際に、「ユーザ認証するためにシングルサインオンを起動しない」チェックボックスを使用できます。このチェックボックスは、ＳｏｎｉｃＷＡＬＬＳＳＯが有効で、かつ「ルールの追加」ページの「許可するユーザ」フィールドが「すべて」に設定されていない場合にのみ表示されます。このチェックボックスをオンにすると、ルールに一致するトラフィックに対してＳＳＯが試みられなくなります。また、ルールに一致し、認証されていないＨＴＴＰ接続は、ログインページに直接リダイレクトされます。通常、「送信元」フィールドには、ＭａｃおよびＬｉｎｕｘのシステムのＩＰアドレスを含むアドレスオブジェクトが設定されます。

ＣＦＳの場合は、ＭａｃおよびＬｉｎｕｘのシステムからのＨＴＴＰセッションがログインページに自動的にリダイレクトされ、これらのシステムのユーザが手動でログインする必要がなくなるよう、ＣＦＳの“前”にこのチェックボックスをオンにしたルールを追加することができます。
補足　ユーザ認証プロセス全体のバイパスが許可されている機器に対しては、「ユーザ認証するためにシングルサインオンを起動しない」オプションを選択しないでください。このオプションが有効になっているとき、アクセスルールによって影響を受ける可能性がある機器は、手動ログイン可能でなければなりません。そのような機器に対しては、「許可するユーザ」を「すべて」に設定して、別個のアクセスルールを追加してください。

SSO と認証をバイパスするために IP アドレスをホワイトリストに載せる

ユーザ認証を必要とせずに常にアクセスを許可すべき IP アドレスがある場合に、それらをホワイトリストに載せることができます。

IP アドレスをホワイトリストに載せ、認証を不要にして SSO をバイパスできるようにするには、以下の手順に従います。

手順 1　「ネットワーク＞アドレスオブジェクト」ページで、ホワイトリストに載せる IP アドレスを含む「アドレスグループ」を作成します。

手順 2　特定のサービスに対してユーザ認証が必要なアクセスルールがある場合は、「ファイアウォール＞アクセスルール」ページで同じサービスに対する追加のルールを作成します。「送信元」に、たった今作成したアドレスグループを設定して、「許可するユーザ」に「すべて」を設定します。

手順 3　また、それらの IP アドレスを CFS、IPS、アプリケーションルール、DPI-SSL、またはアンチスパイウェアといったサービスに対して SSO をバイパスさせたい場合は、「ユーザ＞設定」ページに移動して、「シングルサインオン方法」として「SSO エージェント」を選択してから「設定」を選択します。「強制」タブの「次からのトラフィックに対してシングルサインオン処理をバイパスする」フィールドで、作成したアドレスグループを選択します。

既定の CFS ポリシーがこれらの IP アドレスのユーザに適用され、また、特定のユーザを含む IPS ポリシーやアプリケーション制御ポリシーは、彼らに適用されません。

この方法は少数の IP アドレスや、サブネットまたは IP アドレス範囲をホワイトリストに載せるために適しています。多数の独立した IP アドレスに対しても動作しますが、むしろ効率が悪くなるでしょう。

CFS、IPS、アプリケーション制御で SSO が失敗した場合にユーザにログインを強制する

シングルサインオン (SSO) を介してユーザを識別できなかった場合に、ウェブ UI を介したログインを強制するアクセスルールを使用できます。ユーザは CFS、IPS、アプリケーションルール、その他のポリシーが正しく適用されるように識別される必要があります。アクセスルールにより、SonicWALL がユーザに対してユーザ名とパスワードの入力を求めるようにできます。

特定のユーザ/ユーザグループを含む/除外するように設定されている複数の CFS ポリシー、またはポリシーを持つ IPS、アプリケーションルール、アプリケーション制御、アンチスパイウェア、DPI-SSLがある場合、SSO はユーザを識別するために開始されます。既定では、SSO がユーザの識別に失敗すると、ユーザはファイアウォールを通したアクセスを与えられる一方、既定の CFS ポリシーにより抑制される、または IPS ポリシー、アプリケーションルール、その他のポリシーが適用されずに抑制されます。

すべてのユーザに SSO が失敗した際に、ファイアウォールを通したアクセスを許可する前に、ユーザ名/パスワードを使うウェブ UI を介したログインを強制するために、上記のサービスとともに、アクセスルールを使うことができます。ユーザが認証されることを要求するアクセスルールを設定して、そのルールはSSO を開始します。この場合、SSO がユーザの識別に失敗しすると彼らは遮断され、HTTP の場合はログインページにリダイレクトされます。

2 つのうちの 1 つの方法でこれを実行できます。ここでは送信元ゾーンは LAN として示されていますが、適用可能なゾーンどれでも可能です。
1. 既定の LAN -> WAN ルール内の「
許可するユーザ」を「Everyone」か「Trusted Users」に変更します。これらは認証されるユーザです。それから、識別されないユーザに対して遮断したくないトラフィック (例えば DNS、電子メール等) を許可するためのルールを「許可するユーザ」を「すべて」に設定して追加します。

2. 既定の LAN -> WAN ルールは「
すべて」のユーザを許可するままにして、すべてからすべてのアドレスへの HTTP と HTTPS を許可するルールを、「許可するユーザ」を「Everyone」か「Trusted Users」にして追加します。その他のサービスも認証されないユーザによって使われたくない場合は、HTTP/HTTPS と共にそれらのサービスを含めることもできます。

これら 2 つでは、オプション 1 はより安全なオプションですが、認証なしでアクセスが許可されるべき予期しない物を遮断することによって問題を起こす可能性はより高いです。

ターミナルサーバからのＩＣＭＰＰｉｎｇとＤＮＳを許可する

ウィンドウズでは、ターミナルサーバ上のユーザからの発信ＩＣＭＰＰｉｎｇはソケットを介して送信されないためにＴＳＡから見えず、それゆえに装置はそれらに対しての通知を受け取りません。その結果、ファイアウォールルールがユーザレベルの認証を使用していて、Ｐｉｎｇの通過を許可したい場合、それらを ”すべて”から許可するための個別のアクセスルールを作成する必要があります。

同様に、ＩＰアドレスではなく完全修飾ドメイン名（ＦＱＤＮ）を用いた発信ユーザ要求には、ＤＮＳトラフィックの通過が許可されている必要があります。ターミナルサーバのユーザにＦＱＤＮの使用を許可するには、"すべて"からのＤＮＳトラフィックを許可するファイアウォールアクセスルールを作成する必要があります。

ファイアウォールアクセスルールについて

管理者は、ファイアウォールアクセスルールを使ってユーザアクセスを制御できます。「ファイアウォール＞アクセスルール」に指定されたルールは、ＳＳＯＬＤＡＰ問い合わせで返されたユーザグループメンバーシップに照らしてチェックされ、自動的に適用されます。アクセスルールは、着信および発信アクセスポリシーの定義、ユーザ認証の設定、およびＳｏｎｉｃＷＡＬＬセキュリティ装置のリモート管理を可能にするネットワーク管理ツールです。ＳｏｎｉｃＯＳの「ファイアウォール＞アクセスルール」ページには、並べ替え可能なアクセスルール管理インターフェースが用意されています。
補足　限定的なポリシー規則には、汎用的なポリシー規則よりも高い優先順位を割り当てる必要があります。特性階層としては、一般に送信元、送信先、サービスが使用されます。ポリシー規則の特性定義に、ユーザ名や対応するグループ権限などのユーザＩＤ要素は含まれません。

既定では、ＳｏｎｉｃＷＡＬＬセキュリティ装置のステートフルパケット検査によって、ＬＡＮからインターネットへの通信をすべて許可し、インターネットからＬＡＮへのトラフィックをすべて遮断できます。

既定のアクセスルールを拡張または指定変更する、追加のネットワークアクセスルールを定義することもできます。例えば、アクセスルールを作成することによって、特定の種類のトラフィック（ＬＡＮからＷＡＮへのＩＲＣなど）を遮断したり、特定の種類のトラフィック（インターネット上の特定のホストからＬＡＮ上の特定のホストへのＬｏｔｕｓＮｏｔｅｓデータベースの同期など）を許可したり、特定のプロトコル（Ｔｅｌｎｅｔなど）の使用をＬＡＮ上の承認されたユーザのみに制限したりすることができます。
補足　ネットワークアクセスルールを定義する機能は強力なツールです。個別アクセスルールを使用して、ファイアウォールの保護を無効にしたり、インターネットへのアクセスをすべて遮断したりすることができます。ネットワークアクセスルールを作成または削除するときには注意が必要です。
アクセスルールの詳細については、「ファイアウォール＞アクセスルール」を参照してください。

ターミナルサーバからのＨＴＴＰログインによるＳｏｎｉｃＯＳの管理

通常、ＳｏｎｉｃＷＡＬＬ装置は、ＨＴＴＰログインで指定された認証資格情報に基づくポリシーにより、１つのＩＰアドレスの１人のユーザに対してアクセス権を付与します。ターミナルサーバを使用するユーザについては、ＩＰアドレスごとに１人のユーザというこの方法による認証は不可能です。しかし、装置を管理する目的に限り、ターミナルサーバからのＨＴＴＰログインが認められています。このとき、以下の制限および要件が適用されます。

･ターミナルサーバからのインターネットアクセスはＴＳＡから制御され、ＨＴＴＰログインによるオーバーライドは行われません。ターミナルサーバのユーザには、ＨＴＴＰログインで指定された資格情報に基づく装置へのアクセス権は付与されません。

･ターミナルサーバからのＨＴＴＰログインは、組み込みのａｄｍｉｎアカウントおよび管理者権限を持つその他のユーザアカウントに対してのみ許可されます。管理者以外のアカウントからログインしようとすると、“この場所からは不許可”のエラーにより失敗します。

･管理者ユーザがＨＴＴＰログインに成功すると、直ちに管理インターフェースが表示されます。小さな「ユーザログイン状況」ページは表示されません。

･ターミナルサーバからのＨＴＴＰログインに使用する管理者ユーザアカウントは、ターミナルサーバへのログインに使用したユーザアカウントと同じである必要はありません。装置上には、完全に別個のログインセッションとして表示されます。

･１つのターミナルサーバで装置を管理できるのは、１度に１人のユーザのみです。２人のユーザが同時に管理しようとすると、最後にログインしたユーザが優先され、もう１人のユーザには、“最後のログインに使用されたブラウザではありません”のエラーが表示されます。

･ＴＳＡとの通信の問題によりユーザを識別できなかった場合、ＳＳＯの場合とは異なり、ＨＴＴＰブラウザセッションはウェブログインページにリダイレクトされません。代わりに、“ネットワーク問題により目的のページは一時的に利用不可になっています”というメッセージを示す新規ページが表示されます。

ＳＳＯユーザセッションの表示および管理

このセクションでは、ＳｏｎｉｃＷＡＬＬ装置でのＳＳＯの管理について説明します。以下のセクションを参照してください。

･「ＳＳＯユーザのログアウト」

･「追加のＳＳＯユーザ設定の構成」

･「パケット監視を使用したＳＳＯメッセージおよびＬＤＡＰメッセージの表示」

･「ＳＳＯメッセージのキャプチャ」

･「ＬＤＡＰｏｖｅｒＴＳＬメッセージのキャプチャ」

ＳＳＯユーザのログアウト

「ユーザ＞状況」ページには、ＳｏｎｉｃＷＡＬＬセキュリティ装置上の「現在のユーザ」の一覧が表示されます。このテーブルには、「ユーザ名」、「ＩＰアドレス」、「セッション時間」、「残り時間」、「残り無動作時間」、「設定」、および「ログアウト」が表示されます。ＳｏｎｉｃＷＡＬＬＳＳＯエージェントを使って認証されたユーザについては、ＳＳＯエージェントにより認証されたことを示すメッセージが表示されます。ユーザをログアウトさせるには、目的のユーザエントリの横にある削除アイコンを選択します。
補足　「ユーザ＞設定」で行ったユーザ設定の変更は、そのユーザのセッションが続いている間は反映されません。変更を反映するには、ユーザを手動でログアウトさせる必要があります。その後、変更が反映された状態で、ユーザが透過的に再度ログインされます。
追加のＳＳＯユーザ設定の構成

「ユーザ＞設定」ページでは、管理者が、ＳＳＯなどのユーザログイン設定、ユーザセッション設定、グローバルユーザ設定、規約の承諾設定に関連した設定オプションを選択できるようになっています。

「ユーザセッション設定」の「ウェブ接続のログインセッション時間の制限を有効にする」および対応する「ログインセッション時間の制限（分）」設定は、ＳＳＯを使ってログインしたユーザに適用されます。ＳＳＯユーザはセッション時間の制限設定に従ってログアウトされますが、その後、トラフィックを送信すれば自動的にかつ透過的に再度ログインされます。
補足　ログインセッション時間の制限の設定を小さくしすぎないように注意してください。特にユーザ数が多い環境では、パフォーマンス上の問題を引き起こす可能性があります。
ＳＳＯセッションがアクティブのときに「ユーザ＞設定」ページで適用した変更は、そのセッション中は反映されません。
ヒント　変更を反映するには、ユーザをログアウトさせる必要があります。その直後、変更が反映された状態で、ユーザが自動的に再度ログインされます。
パケット監視を使用したＳＳＯメッセージおよびＬＤＡＰメッセージの表示

ＳｏｎｉｃＯＳ５.６以降では、「システム＞パケット監視」で利用できるパケットキャプチャ機能によって、ＳＳＯエージェントとの間の復号化されたメッセージと、復号化されたＬＤＡＰｏｖｅｒＴＬＳ（ＬＤＡＰＳ）メッセージのキャプチャを有効にするための２つのチェックボックスが提供されます。

ＳｏｎｉｃＯＳ５.５では、「システム＞パケットキャプチャ」で使用できるパケットキャプチャ機能でこの機能が導入されました。

ＳＳＯメッセージのキャプチャ

ＳＳＯ認証エージェントとの間の復号化されたメッセージをキャプチャするには、以下の手順に従います。

手順 1　「システム＞パケット監視」ページの「設定」ボタンを選択します。

手順 2　「詳細監視フィルタ」タブを選択します。

手順 3　「中間パケットを監視する」チェックボックスをオンにします。

手順 4　「中間復号化されたシングルサインオンエージェントメッセージを監視する。」チェックボックスをオンにします。

手順 5　「ＯＫ」を選択します。

パケットには、受信／送信インターフェースフィールドで（ＳＳＯ）というマークが付きます。パケットにはダミーのイーサネット、ＴＣＰ、およびＩＰヘッダーがあるため、これらのフィールドの値は正しくないことがあります。

これによって、復号化されたＳＳＯパケットをパケット監視にフィードできますが、監視フィルタは引き続き適用されます。

キャプチャされたＳＳＯメッセージは、完全に復号化されて「システム＞パケット監視」画面に表示されます。

ＬＤＡＰｏｖｅｒＴＳＬメッセージのキャプチャ

復号化されたＬＤＡＰｏｖｅｒＴＬＳ（ＬＤＡＰＳ）パケットをキャプチャするには、以下の手順に従います。

手順 1　「システム＞パケット監視」ページの「設定」ボタンを選択します。

手順 2　「詳細監視フィルタ」タブを選択します。

手順 3　「中間パケットを監視する」チェックボックスをオンにします。

手順 4　「中間復号化されたシングルサインオンエージェントメッセージを監視する。」チェックボックスをオンにします。

手順 5　「ＯＫ」を選択します。

パケットには、受信／送信インターフェースフィールドで（ｌｄｐ）というマークが付きます。パケットにはダミーのイーサネット、ＴＣＰ、およびＩＰヘッダーがあるため、これらのフィールドの値は正しくないことがあります。外部のキャプチャ解析プログラム（Ｗｉｒｅｓｈａｒｋなど）がこれらのパケットをＬＤＡＰとして復号化することを認識できるよう、ＬＤＡＰサーバポートは３８９に設定されます。キャプチャされたＬＤＡＰバインド要求内のパスワードは、難読化されます。ＬＤＡＰメッセージは、「パケットキャプチャ」画面では復号化されませんが、キャプチャをＷｉｒｅｓｈａｒｋにエクスポートして、復号化された状態で表示することができます。

これによって、復号化されたＬＤＡＰＳパケットをパケット監視にフィードできますが、監視フィルタは引き続き適用されます。パケットキャプチャを機能させるには、「中間パケットをキャプチャする」チェックボックスも選択する必要があります。
補足　ＬＤＡＰＳキャプチャは、ＳｏｎｉｃＷＡＬＬ装置のＬＤＡＰクライアントからの接続に対してのみ機能します。ＳｏｎｉｃＷＡＬＬ装置を通過した外部ＬＤＡＰクライアントからのＬＤＡＰｏｖｅｒＴＬＳ接続は表示されません。

複数管理者サポートの設定

このセクションは次のサブセクションから構成されています。

･「管理者ユーザプロファイルの追加設定」セクション

･「ＬＤＡＰまたはＲＡＤＩＵＳ使用時の管理者のローカル設定」セクション

･「管理者の先制」セクション

･「設定モードの有効化」セクション

･「複数管理者サポートの設定の確認」セクション

･「複数管理者関連のログメッセージの表示」セクション

管理者ユーザプロファイルの追加設定

管理者ユーザプロファイルを追加設定するには、次の手順を実行します。

手順 1　ａｄｍｉｎとしてログインし、「ユーザ＞ローカルユーザ」ページを選択します。

手順 2　「ユーザの追加」ボタンを選択します。

手順 3　追加するユーザのユーザ名とパスワードを、それぞれ「名前」フィールドと「パスワード」フィールドに入力します。

手順 4　「グループ」タブを選択します。

手順 5　管理者権限を付与する適切なグループを選択します。

･ＬｉｍｉｔｅｄＡｄｍｉｎｉｓｔｒａｔｏｒｓ－ユーザには、制限付きの管理者設定権限が付与されます。

･ＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓ－ユーザには、完全な管理者設定権限が付与されます。

･ＳｏｎｉｃＷＡＬＬＲｅａｄ-ＯｎｌｙＡｄｍｉｎｓ－ユーザは、管理インターフェース全体を閲覧できますが、設定に変更を加えることは一切できません。

手順 6　右矢印ボタンを選択し、「ＯＫ」を選択します。

手順 7　先制された管理者をログアウトさせるように複数管理者機能を設定するには、「システム＞管理」ページを選択し

手順 8　ページを表示します。

手順 9　「他の管理者が優先される場合の動作」オプションの「ログアウト」ラジオボタンを選択し、「適用」を選択します。

ＬＤＡＰまたはＲＡＤＩＵＳ使用時の管理者のローカル設定

ＲＡＤＩＵＳまたはＬＤＡＰ認証を使用しているとき、ＲＡＤＩＵＳまたはＬＤＡＰサーバが到達不能であっても管理者ユーザの一部または全員が常に装置を管理できるようにしたい場合は、「ＲＡＤＩＵＳ＋ローカルユーザ」または「ＬＤＡＰ＋ローカルユーザ」オプションを選択し、これらの特定のユーザのアカウントをローカルで設定します。

ＲＡＤＩＵＳまたはＬＤＡＰによって認証されるユーザについて、「ＳｏｎｉｃＷＡＬＬＡｄｍｉｎｉｓｔｒａｔｏｒｓ」または「ＳｏｎｉｃＷＡＬＬＲｅａｄ-ＯｎｌｙＡｄｍｉｎｓ」という名前のユーザグループをＲＡＤＩＵＳサーバまたはＬＤＡＰサーバ（またはそのバックエンド）上に作成し、これらのグループに適切なユーザを割り当てます。ＲＡＤＩＵＳの場合、ユーザグループ情報を返すための特別な設定がＲＡＤＩＵＳサーバに必要となります。詳細については、ＳｏｎｉｃＷＡＬＬＲＡＤＩＵＳのドキュメントを参照してください。

ＲＡＤＩＵＳまたはＬＤＡＰ認証を使用しているとき、管理者ユーザをＲＡＤＩＵＳ／ＬＤＡＰで認証すると共に、管理者ユーザの設定を装置上でローカルに管理したい場合は、次の手順を実行します。

手順 1　「ユーザ＞設定」ページを開きます。

手順 2　「ＲＡＤＩＵＳ＋ローカルユーザ」または「ＬＤＡＰ＋ローカルユーザ」のどちらかの認証方式を選択します。

手順 3　「設定」ボタンを選択します。

手順 4　ＲＡＤＩＵＳの場合は、「ＲＡＤＩＵＳユーザ」タブを選択し、「ローカル設定のみ」ラジオボタンを選択します。また、必ず「重複したＲＡＤＩＵＳユーザ名によるメンバーシップ設定可能です」チェックボックスにチェックマークが付いていること確認してください。

手順 5　ＬＤＡＰの場合は、「ＬＤＡＰユーザ」タブを選択し、「ＬＤＡＰユーザ名を複製してユーザグループメンバーシップをローカルで設定可能にする」チェックボックスを選択します。

手順 6　管理者ユーザのユーザ名でローカルユーザアカウントを作成し（ここでは必ずしもパスワードを設定する必要はありません）、これらを適切な管理者ユーザグループに追加します。

管理者の先制

ある管理者が既にログインしているときに、別の管理者がログインを試みると、次のメッセージが表示されます。このメッセージには、現在の管理者のユーザ名、ＩＰアドレス、電話番号（ＬＤＡＰから取得できた場合）のほか、その管理者がＧＵＩでログインしたのか、ＣＬＩでログインしたのかが表示されます。

このウィンドウでは、次の３つのオプションを選択できます。

･続行－現在の管理者を先制します。現在の管理者は非設定モードに降格され、新しい管理者に完全な管理者アクセス権が付与されます。

･非設定モード－装置に非設定モードでログインします。現在の管理者のセッションはそのまま維持されます。

･キャンセル－認証画面に戻ります。

設定モードの有効化

完全な管理者権限を持つユーザ（つまりａｄｍｉｎ以外のユーザ）としてログインしている場合、「ユーザログインの状態」ウィンドウが表示されます。

ＳｏｎｉｃＷＡＬＬのユーザインターフェースにアクセスし、「管理」ボタンを選択します。パスワードの再入力を求められます。これは、管理者がセッションをログアウトせずに自分のコンピュータから離れている隙に不正アクセスされるのを防ぐための措置です。

ユーザログイン状況ポップアップの無効化

装置への特権的なアクセスのためではなく、装置の管理のためだけに特定のユーザにログインを許可する場合は、「ユーザログイン状況」ポップアップウィンドウを無効にするとよいでしょう。このポップアップウィンドウを無効にするには、ローカルグループの追加または編集の際に「メンバーはウェブログイン時に管理ＵＩに直接進む」チェックボックスをオンにします。

一部のユーザアカウントを管理専用にして、他のユーザが装置への特権的なアクセスとその管理を行う場合にはログインを要求する（つまり、一部のユーザにはログイン時に管理インターフェースを直接表示し、他のユーザには「管理」ボタンが付いた「ユーザログイン状況」ポップアップウィンドウを表示する）には、次の手順に従います。

手順 1　ローカルグループを作成し、「メンバーはウェブログイン時に管理ＵＩに直接進む」チェックボックスをオンにします。

手順 2　このグループを適切な管理グループに追加します。ただし、その管理グループでは上記のチェックボックスをオンにしないでください。

手順 3　管理専用にするユーザアカウントをこの新しいユーザグループに追加します。これらのユーザについては、「ユーザログイン状況」ポップアップウィンドウが無効になります。

手順 4　特権的な管理アクセス権を持たせるユーザアカウントは、トップレベルの管理グループに直接追加します。

非設定モードから完全設定モードに切り替えるには、次の手順を実行します。

手順 1　「システム＞管理」ページにナビゲートします。

手順 2　「ウェブ管理設定」セクションの「設定モード」ボタンを選択します。現在、設定モードになっている管理者がいない場合は、自動的に設定モードに移行します。

手順 3　別の管理者が設定モードになっている場合は、次のメッセージが表示されます。

手順 4　「継続」ボタンを選択して、設定モードに移行します。現在の管理者は読み取り専用モードに移行し、新しい管理者に完全な管理者アクセス権が付与されます。

複数管理者サポートの設定の確認

管理者および読み取り専用管理者のユーザアカウントは、「ユーザ＞ローカルグループ」ページで確認できます。

管理者は、管理インターフェースの右上隅またはブラウザのステータスバーで現在の設定モードを確認できます。

Ｆｉｒｅｆｏｘおよびインターネットエクスプローラでステータスバーを表示するには、「表示」メニューを選択し、「ステータスバー」を有効にします。インターネットエクスプローラ７.０およびＦｉｒｅｆｏｘ２.０の場合、既定ではウェブページがステータスバーにテキストを表示することは許可されません。インターネットエクスプローラでステータスバーメッセージを許可するには、「ツール＞インターネットオプション」を選択し、「セキュリティ」タブを選択します。次に、「レベルのカスタマイズ」ボタンを選択し、リストの一番下までスクロールして、「スクリプトでのステータスバーの更新を許可する」に「有効にする」を選択します。

Ｆｉｒｅｆｏｘでステータスバーメッセージを許可するには、「ツール＞オプション」にアクセスし、「コンテンツ」タブを選択します。「詳細設定」ボタンを選択すると、ポップアップウィンドウが表示されるので、「ステータスバーのテキストを変更する」のチェックボックスを選択します。

管理者が完全設定モードの場合、右上隅にメッセージは表示されず、ステータスバーに「終了」と表示されます。

管理者が読み取り専用モードの場合、インターフェースの右上隅に「読み取り専用モード」と表示されます。

ステータスバーには、「読み取り専用モード－変更を加えることはできません」と表示されます。

管理者が非設定モードの場合、インターフェースの右上隅に「非設定モード」と表示されます。このテキストを選択すると、「システム＞管理」ページが表示されるので、そこから完全設定モードに移行できます。

ステータスバーには、「非設定モード－設定を変更することはできません」と表示されます。

複数管理者関連のログメッセージの表示

次のイベントが発生した場合、ログメッセージが生成されます。

･ＧＵＩまたはＣＬＩユーザが設定モードを開始した（ａｄｍｉｎログイン時など）。

･ＧＵＩまたはＣＬＩユーザが設定モードを終了した（ａｄｍｉｎログアウト時など）。

･ＧＵＩユーザが非設定モードでの管理を開始した（ａｄｍｉｎログイン時や、設定モードのユーザが先制されて読み取り専用モードに降格された時など）。

･ＧＵＩユーザが読み取り専用モードで管理を開始した。

ＧＵＩユーザが上記のいずれかの管理セッションを終了した（ａｄｍｉｎログアウト時など）。

¹標準モードのＲＡＤＩＵＳは保護されたバックエンドで、保護されていないＰＰＰＰＡＰプロトコルを含む多種のフロントエンドと共に使用できます。ＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置はこれをＨＴＴＰＳ／ＳＳＬまたはＩＰＳｅｃ上で保護されたフロントエンドと共に使用するため、ユーザからＲＡＤＩＵＳサーバへのすべての認証チャンネルが保護されます（ＰＰＰＰＡＰがＬ２ＴＰで使われていたとしても、ＩＰＳｅｃ上で動作するので保護されます）。

ＳｏｎｉｃＷＡＬＬ装置のモデル	サポートされるＴＳＡの数
ＮＳＡＥ８５１０	256
ＮＳＡＥ７５００/Ｅ８５００	256
ＮＳＡＥ６５００	128
ＮＳＡＥ５５００	64
ＮＳＡ５０００	32
ＮＳＡ４５００	16
ＮＳＡ３５００	16
ＮＳＡ２４００	8
ＮＳＡ２４０	4
ＴＺ２１５シリーズ	4
ＴＺ２１０シリーズ	4
ＴＺ２０５シリーズ	サポートされない
ＴＺ２００シリーズ	サポートされない
ＴＺ１０５シリーズ	サポートされない
ＴＺ１００シリーズ	サポートされない

機能	完全な管理者権限（設定モード）	完全な管理者権限（非設定モード）	読み取り専用管理者	制限付き管理者
証明書のインポート	○
証明書署名リクエストの生成	○
証明書のエクスポート	○
装置の設定のエクスポート	○	○	○
ＴＳＲのダウンロード	○	○	○
その他の診断の使用	○	○		○
ネットワーク設定	○			○
ＡＲＰキャッシュの消去	○	○		○
ＤＨＣＰサーバの設定	○
ＶＰＮトンネルの再ネゴシエート	○	○
ユーザのログオフ	○	○		○ ゲストユーザのみ
ロックアウトされたユーザのロック解除	○	○
ログの消去	○	○		○
ログのフィルタ	○	○	○	○
ログのエクスポート	○	○	○	○
ログの電子メール送信	○	○		○
ログ種別の設定	○	○		○
ログ設定	○			○
ログレポートの生成	○	○		○
完全なＵＩの参照	○	○	○
ログレポートの生成	○	○		○

第65章 ユーザと認証設定の管理

ユーザ管理

ユーザ管理の概要

ローカル ユーザおよびローカル グループを使った認証

ＲＡＤＩＵＳを使った認証

ＬＤＡＰ／アクティブ ディレクトリ／イーディレクトリ認証

ＳｏｎｉｃＯＳでサポートされるＬＤＡＰディレクトリ サービス

ＬＤＡＰ用語

ＬＤＡＰスキーマの関連情報

ワンタイム パスワード

シングル サイン オンの概要

シングル サイン オンとは

ＳｏｎｉｃＷＡＬＬ ＳＳＯのメリット

プラットフォームおよびサポートされている標準

シングル サイン オンの動作

ＳＳＯエージェントを使用したＳｏｎｉｃＷＡＬＬ ＳＳＯ認証

ターミナル サービス エージェントを使用したＳｏｎｉｃＷＡＬＬ ＳＳＯ認証

ブラウザＮＴＬＭ認証を使用したＳｏｎｉｃＷＡＬＬ ＳＳＯ認証

ＳｏｎｉｃＷＡＬＬ ＳＳＯエージェントの動作

ログ

ＳｏｎｉｃＷＡＬＬターミナル サービス エージェントの動作

複数のＴＳＡのサポート

ＴＳＡメッセージの暗号化とセッションＩＤの使用

ローカル サブネットへの接続

ターミナル サーバからの非ドメイン ユーザ トラフィック

ターミナル サーバからの非ユーザ トラフィック

ブラウザＮＴＬＭ認証の動作

ドメイン ユーザのＮＴＬＭ認証

非ドメイン ユーザのＮＴＬＭ認証

ブラウザでのＮＴＬＭ認証の資格情報

複数管理者サポートの概要

複数管理者サポートとは

メリット

複数管理者サポートの動作

設定モード

ユーザ グループ

管理者の先制時に適用される優先順位

ＧＭＳと複数管理者サポート

「ユーザ ＞ 状況」での状況の表示

「ユーザ ＞ 設定」の設定

ユーザ ログイン設定

ユーザ セッション設定

その他のグローバル ユーザ設定

ユーザ認証をバイパスさせる URL の自動設定

規約の承諾

ログイン ページのカスタマイズ

ローカル ユーザの設定

ローカル ユーザ設定の構成

ローカル ユーザの表示、編集、削除

ローカル ユーザの追加

ローカル ユーザの編集

ローカル ユーザを LDAP からインポートする

ローカル グループの設定

ローカル グループの作成

ＬＤＡＰからのローカル グループのインポート

ＲＡＤＩＵＳ認証の設定

ＲＡＤＩＵＳサーバ

ＲＡＤＩＵＳユーザ

ＲＡＤＩＵＳユーザの設定

ＲＡＤＩＵＳユーザ用の新しいユーザ グループの作成

ユーザ グループにＬＤＡＰを使用するＲＡＤＩＵＳ

ＲＡＤＩＵＳクライアントのテスト

ＳｏｎｉｃＯＳでのＬＤＡＰ統合の設定

統合に向けてのＬＤＡＰサーバの準備

アクティブ ディレクトリ サーバでのＣＡの設定

アクティブ ディレクトリ サーバからのＣＡ証明書のエクスポート

ＳｏｎｉｃＷＡＬＬへのＣＡ証明書のインポート

ＬＤＡＰを使用するためのＳｏｎｉｃＷＡＬＬ装置の設定

MacOS と iOS 接続に対して LDAP を使うための L2TP 設定

シングル サイン オンの設定

ＳｏｎｉｃＷＡＬＬ ＳＳＯエージェントのインストール

ＳｏｎｉｃＷＡＬＬターミナル サービス エージェントのインストール

ＳｏｎｉｃＷＡＬＬ ＳＳＯエージェントの設定

ＳｏｎｉｃＷＡＬＬセキュリティ装置の追加

ＳｏｎｉｃＷＡＬＬ ＳＳＯエージェントの装置の編集

ＳｏｎｉｃＷＡＬＬ ＳＳＯエージェントからの装置の削除

ＳｏｎｉｃＷＡＬＬ ＳＳＯエージェントのサービスに対する変更

ＳｏｎｉｃＷＡＬＬターミナル サービス エージェントの設定

ＳｏｎｉｃＷＡＬＬ ＴＳＡの設定へのＳｏｎｉｃＷＡＬＬネットワーク セキュリティ装置の追加

ＳｏｎｉｃＷＡＬＬ ＴＳＡトラブル シューティング レポートの作成

第65章ユーザと認証設定の管理

ローカルユーザおよびローカルグループを使った認証

ＬＤＡＰ／アクティブディレクトリ／イーディレクトリ認証

ＳｏｎｉｃＯＳでサポートされるＬＤＡＰディレクトリサービス

ワンタイムパスワード

シングルサインオンの概要

シングルサインオンとは

ＳｏｎｉｃＷＡＬＬＳＳＯのメリット

シングルサインオンの動作

ＳＳＯエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証

ターミナルサービスエージェントを使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証

ブラウザＮＴＬＭ認証を使用したＳｏｎｉｃＷＡＬＬＳＳＯ認証

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの動作

ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントの動作

ローカルサブネットへの接続

ターミナルサーバからの非ドメインユーザトラフィック

ターミナルサーバからの非ユーザトラフィック

ドメインユーザのＮＴＬＭ認証

非ドメインユーザのＮＴＬＭ認証

ユーザグループ

「ユーザ＞状況」での状況の表示

「ユーザ＞設定」の設定

ユーザログイン設定

ユーザセッション設定

その他のグローバルユーザ設定

ログインページのカスタマイズ

ローカルユーザの設定

ローカルユーザ設定の構成

ローカルユーザの表示、編集、削除

ローカルユーザの追加

ローカルユーザの編集

ローカルユーザを LDAP からインポートする

ローカルグループの設定

ローカルグループの作成

ＬＤＡＰからのローカルグループのインポート

ＲＡＤＩＵＳユーザ用の新しいユーザグループの作成

ユーザグループにＬＤＡＰを使用するＲＡＤＩＵＳ

アクティブディレクトリサーバでのＣＡの設定

アクティブディレクトリサーバからのＣＡ証明書のエクスポート

シングルサインオンの設定

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのインストール

ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントのインストール

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの設定

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントの装置の編集

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントからの装置の削除

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのサービスに対する変更

ＳｏｎｉｃＷＡＬＬターミナルサービスエージェントの設定

ＳｏｎｉｃＷＡＬＬＴＳＡの設定へのＳｏｎｉｃＷＡＬＬネットワークセキュリティ装置の追加

ＳｏｎｉｃＷＡＬＬＴＳＡトラブルシューティングレポートの作成

ＳｏｎｉｃＷＡＬＬＴＳＡの状態とバージョンの表示

ＳｏｎｉｃＷＡＬＬＳＳＯエージェントのためのＳｏｎｉｃＷＡＬＬセキュリティ装置の設定

ウィンドウズ上で NTLMv2 セッションセキュリティを設定する

シングルサインオンの詳細設定の調整

マウスを移動したときに表示されるＳＳＯの統計とツールチップ

ＴＳＲのシングルサインオン統計の利用

ファイアウォールアクセスルールの設定

ＳｏｎｉｃＷＡＬＬＳＳＯの自動生成ルール

SSO と認証をバイパスするために IP アドレスをホワイトリストに載せる

ターミナルサーバからのＩＣＭＰＰｉｎｇとＤＮＳを許可する

ファイアウォールアクセスルールについて

ターミナルサーバからのＨＴＴＰログインによるＳｏｎｉｃＯＳの管理

ＳＳＯユーザセッションの表示および管理

ＬＤＡＰｏｖｅｒＴＳＬメッセージのキャプチャ

管理者ユーザプロファイルの追加設定

ユーザログイン状況ポップアップの無効化

複数管理者関連のログメッセージの表示