Active Directory Authentication を構成する

Active Directory は、LDAP ディレクトリ構造の Microsoft® Windows ベースのアプリケーションです。Active Directory により、DNS で使用されているドメインの階層の概念を組織レベルに拡大できます。この機能では、アクセスしやすい集中管理データベースに組織の情報と設定が保存されます。Active Directory Authentication サーバーを使用すると、ユーザーが既存のネットワーク認証情報で Firebox への認証を行うことが可能となります。Active Directory Authentication が正確に行われるよう、Firebox と Active Directory Server の両方を構成する必要があります。

Active Directory Authentication を構成すると、認証時にユーザーが選択できる 1 つまたは複数の Active Directory ドメインを指定することができます。無制限の数のドメインを追加できます。

各ドメインには、プライマリーサーバーとバックアップサーバーという 2 つの Active Directory Server を追加することができます。3 回試行しても Firebox がプライマリ認証サーバーに接続できない場合は、認証リクエストを完了するために 2 つ目のサーバーが使用されます。Active Directory Server を追加するときに、各サーバーの IP アドレスまたは DNS 名を指定するかを選択することができます。

複数の Active Directory ドメインを構成し、Single Sign-On (SSO) を使用する場合、使用可能な Active Directory ドメインの中からユーザーがドメインを選択して認証できるようにするには、ユーザーは SSO Client をインストールするか、または Event Log Monitor または Exchange Monitor を使用する必要があります。詳細については、Active Directory SSO の仕組み および WatchGuard Active Directory SSO Client をインストールする を参照してください。

Active Directory Authentication 方法でユーザーが認証する場合、識別名 (DN) とパスワードはハッシュされますが暗号化はされません。Active Directory Authentication を使用して、ユーザー認証情報を暗号化するために、LDAPS (SSL 上の LDAP) オプションを選択することができます。LDAPS を使用する場合、Firebox の LDAPSクライアントと Active Directory Server 間のトラフィックは SSL トンネルにより保護されます。このオプションを有効にするときに、LDAPS クライアントが Active Directory Server の認証情報を検証するかを選択することもできます。LDAPS の使用を選択し、サーバーの DNS 名を指定する場合に、指定する検索ベースにサーバーの DNS 名が含まれていることを確認してください。

Active Directory Server は任意の Firebox インターフェイスに配置できます。また、VPN トンネルを経由して接続可能な Active Directory Server を使用するようにデバイスを構成できます。詳細については、次を参照してください:BOVPN トンネル経由の Active Directory Authentication

PhoneFactor 認証は、通話を使ってユーザーの ID を特定する多因子認証システムです。複数の帯域外方法 (電話、テキストメッセージ、およびプッシュ通知) および OATH パスコードを使用するため、PhoneFactor はユーザー向けに柔軟なオプションと、管理用に 1 つの多因子プラットフォームを提供します。

Active Directory Server に PhoneFactor 認証を使用する場合、Active Directory Authentication サーバーの設定でタイムアウト値を構成して、帯域外 PhoneFactor 認証が発生する時点を指定できます。PhoneFactor 認証のタイムアウト値は 10 秒以上に設定する必要があります。

開始する前に、ユーザーが正常に Active Directory Server に認証されることを確認してください。Firebox 構成で定義した Active Directory ドメインとサーバーは、追加、編集、または削除できます。

Active Directory Authentication ドメインとサーバーの追加

Fireware v12.3 以降では、ウィザードを使って新しい Active Directory Server を構成することができます。ウィザードはプライマリ サーバーを自動的に構成し、指定したドメイン名に基づいてベース設定を検索します。

ウィザードをスキップしてサーバーを手動で構成することもできます。

Fireware v12.2.1 以前では、Active Directory Server の設定を手動で構成する必要があります。Fireware v12.2.1 以前の構成に関する指示については、WatchGuard ナレッジ ベースで Fireware v12.2.1 以前で Active Directory Authentication を構成する を参照してください。

  1. 認証 > サーバー > Active Directory の順に選択します。
  2. 追加 をクリックします。
    Active Directory ウィザードが表示されます。
  3. 次へ をクリックします。
    ドメイン名ページが表示されます。
  4. ドメイン名 テキスト ボックス内で、Active Directory ドメインの名前を指定します。
    ドメイン名には、ドメイン サフィックスが含まれている必要があります。たとえば、exampleではなく、example.comと入力します。

Screen shot of the Domain Name dialog box

  1. 次へ をクリックします。
    Active Directory Server ページが表示されます。
  2. サーバー アドレス テキスト ボックスに、Active Directory Server のドメイン名または IP アドレスを入力します。
  3. (任意) Active Directory Server へのセキュアな SSL 接続を有効化するには、Active Directory Server へのセキュアな SSL 接続を有効化する (LDAPS) を選択します。

Screen shot of the Server page in the wizard

  1. 次へ をクリックします。
    最後のウィザード ページが表示されます。
  2. (任意) Active Directory 構成を編集するには、終了のクリック後に Active Directory ドメイン設定を編集する チェックボックスを選択します。

Screen shot of the last Active Directory wizard page

  1. 完了 をクリックします。
    Active Directory ドメイン設定を編集する選択をした場合、Active Directory 構成ページが表示されます。そうでない場合は Active Directory Server のリストが表示されます。
  1. 認証 > サーバー > Active Directory の順に選択します。

    Active Directory Server のリストが表示されます。
  2. 新しいサーバーを追加するには、追加 をクリックします。

    Active Directory ウィザードが表示されます。

Active Directory タブが選択された認証サーバー ページのスクリーンショット

  1. サーバーを手動で構成するには スキップ をクリックします。

    Active Directory の構成が表示されます。

Active Directory ドメインの追加ページのスクリーンショット

  1. ドメイン名または IPSS-R アドレス テキスト ボックスに、この Active Directory Server で使用するドメイン名か IP アドレスを入力します。

    ドメイン名には、ドメイン サフィックスが含まれている必要があります。たとえば、exampleではなく、example.comと入力します。
  2. ポート テキスト ボックスにポートを入力します。

    Active Directory Server がグローバル カタログ サーバーの場合、既定のポートを変更した方がよい可能性があります。詳細については、Active Directory Server の既定のポートを変更する を参照してください。
  3. (任意) バックアップ サーバー セクションでバックアップ サーバーのドメイン名か IP アドレスを入力し、続いてポートを入力します。
  4. (任意) Active Directory Server へのセキュアな SSL 接続を有効にするには、LDAPS を有効化する チェックボックスを選択します。

    LDAPS を有効にする を選択した場合は、既定のポート 636 を使用するかどうかを尋ねるダイアログ ボックスが表示されます。はい または いいえ を選択します。
  5. (任意) Active Directory Server の認証が有効になっていることを確認するには、サーバー認証の有効化 チェックボックスを選択します。
  6. タイムアウト テキスト ボックスで、デバイスが接続を切断して再接続するまで Active Directory Server からの応答を待機する秒数を入力または選択します。
  7. 非アクティブ時間 テキスト ボックスに、非アクティブ状態のサーバーが再度アクティブであるとマークされるまでの経過時間を入力します。

    既定値は 3 分です。Fireware v12.1.1 以前では、規定値は 10 分です。
  8. 非アクティブ時間 ドロップダウン リストで、または時間を選択して時間を設定します。

    認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーに対して認証は試行されません。
  9. 検索ベース テキスト ボックスに、検索を開始するディレクトリ内の場所を入力します。ヒント!

    デバイスが認証一致を検索できる認証サーバーのディレクトリを限定するのに検索ベースを使用する詳しい方法については、Active Directory 検索ベースの検索 を参照してください。
  10. Active Directory スキーマを変更していない場合は、読み取り専用のセキュリティ グループ設定 は常に tokenGroups です。スキーマを変更した場合は、Active Directory Server でユーザー セキュリティ グループ情報を保持するために使用される属性文字列を入力します。
  11. ログイン属性 ドロップダウン リストで、認証に使用する Active Directory ログイン属性を入力または選択してください。ログイン属性は、Active Directory データベースへのバインドに使用する名前です。既定のログイン属性は sAMAccountName です。sAMAccountName を使用する場合、検索対象ユーザーの DN および 検索対象ユーザーのパスワード の設定に値を指定する必要はありません。
    1. 検索対象ユーザーのDN テキスト ボックスに、検索操作用の識別名 (DN) を入力します。

      sAMAccountName のログイン属性を維持する場合、このテキスト ボックスへ入力する必要はありません。

      ログイン属性を変更する場合、構成で 検索対象ユーザーの DN テキスト ボックスに値を追加する必要があります。管理者 など、LDAP および Active Directory の検索権限のある任意のユーザーの DN を使用できます。ただし、検索権限だけを持つ、より権限の低いユーザーの DN で通常は十分です。

      例:cn=Administrator,cn=Users,dc=example,dc=com
    2. 検索対象ユーザーのパスワード テキスト ボックスに、検索操作で使用する識別名に関連付けられたパスワードを入力します。
  12. プライマリ LDAP サーバーのオプション属性を指定するには、オプション設定 を選択します。

    オプション設定の構成方法についての詳細は、次を参照してください:Active Directory のオプション設定について

  13. 保存 をクリックします。
  1. 認証サーバー アイコン をクリックします。
    または、設定 > 認証 > 認証サーバー の順に選択します。
    認証サーバー ダイアログ ボックスが表示されます。
  2. Active Directory タブを選択します。
    Active Directory 設定が表示されます。

認証サーバーの Active Directory タブのスクリーンショット

  1. 追加 をクリックします。
    Active Directory ドメイン ウィザードが表示されます。

Screen shot of the Active Directory Domain Wizard

  1. 次へ をクリックします。
    ドメイン名 ダイアログ ボックスが表示されます。

Screen shot of the Domain Name box in the wizard

  1. ドメイン名 テキスト ボックス内で、Active Directory ドメインの名前を指定します。
  2. 次へ をクリックします。
    Active Directory Server ページが表示されます。
  3. サーバー アドレス テキスト ボックスに、Active Directory Server のドメイン名または IP アドレスを入力します。
  4. (任意) Active Directory Server へのセキュアな SSL 接続を有効化するには、Active Directory Server へのセキュアな SSL 接続を有効化する (LDAPS) を選択します。

Screen shot of the Active Directory Server page of the wizard

  1. 次へ をクリックします。
    ウィザードの最後のページが表示されます。

Screen shot of the last wizard page

  1. (任意) Active Directory 構成を編集するには、Active Directory ドメイン設定を編集する チェックボックスを選択します。
  2. 完了 をクリックします。
    Active Directory ドメイン設定を編集する選択をした場合、Active Directory 構成が表示されます。そうでない場合は Active Directory Server のリストが表示されます。

Screen shot of the Active Directory Domain configuration

  1. 設定 > 認証 > 認証サーバー > Active Directory の順に選択します。
    Active Directory Server のリストが表示されます。
  2. 追加 をクリックします。

Screen shot of an empty server list

  1. 表示されるウィザードで スキップ をクリックしてサーバーを手動で構成します。
    Active Directory ドメイン ダイアログ ボックスが表示されます。
  2. ドメイン名 テキスト ボックスに、この Active Directory Server で使用するドメイン名を入力します。
    ドメイン名には、ドメイン サフィックスが含まれている必要があります。たとえば、exampleではなく、example.comと入力します。
  3. 追加 をクリックします。
    IP/DNS 名の追加 ダイアログ ボックスが 表示されます。

  1. 種類の選択 ドロップダウン リストから、IP アドレス または DNS 名 を選択します。
  2. テキスト ボックスに、Active Directory Server の IP アドレスまたは DNS 名を入力します。
  3. ポート テキスト ボックスに、Active Directory Server への接続に使用するデバイスの TCP ポート番号を入力または選択します。
    既定のポート番号は 389 です。LDAPS を実行するには、ポート 636 を選択してください。

    Active Directory Server がグローバル カタログ サーバーの場合、既定のポートを変更した方がよい可能性があります。詳細については、次を参照してください:Active Directory Server の既定のポートを変更する

  4. OK をクリックします。
    追加した IP アドレスまたは DNS 名が、Active Directory ドメインの追加 ダイアログ ボックスに表示されます。

Active Directory Server の IP アドレスを含む Active Directory ドメインの追加 ダイアログ ボックスのスクリーンショット

  1. 別の Active Directory Server をこのドメインへ追加するには、ステップ 5~9 を繰り返します。最大で 2 つのサーバーを追加することができます。

    指定する全ての Active Directory Server 上で共有シークレットを同一にします。

  2. タイムアウト テキスト ボックスで、デバイスが接続を切断して再接続するまで Active Directory Server からの応答を待機する秒数を入力または選択します。
  3. 非アクティブ時間 テキスト ボックスで、非アクティブ状態のサーバーが再度アクティブとしてマークされるまでの時間を入力または選択します。
    既定値は 3 分です。Fireware v12.1.1 以前では、規定値は 10 分です。
  4. 非アクティブ時間 ドロップダウン リストで、または時間を選択して時間を設定します。認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーに対して認証は試行されません。
  5. 検索ベース テキスト ボックスに、検索を開始するディレクトリ内の場所を入力します。

    検索ベース設定の標準フォーマットは以下の通りです:ou=<組織単体の名称>,dc=<サーバー識別名の最初の部分>,dc=<ドットの後に表示されるサーバー識別名の任意の部分>

    デバイスが認証の一致を検索できる認証サーバーのディレクトリを制限するように、検索ベースを設定することができます。検索ベースをドメインのルートに設定することをお勧めします。これにより、すべてのユーザーおよびそれらのユーザーが属しているすべてのグループを検索することができます。

    詳細については、次を参照してください:Active Directory 検索ベースを探す

  6. グループ文字列テキスト ボックスに、Active Directory Server でユーザー セキュリティ グループ情報を保持するために使用される属性文字列を入力します。Active Directory スキーマを変更していない場合、セキュリティ グループの文字列は常に tokenGroups になります。
  7. ログイン属性テキスト ボックスで、認証に使用する Active Directory ログイン属性を入力または選択します。

    ログイン属性は、Active Directory データベースへのバインドに使用する名前です。既定のログイン属性は sAMAccountName です。sAMAccountName を使用する場合、検索対象ユーザーの DN および 検索対象ユーザーのパスワード の設定に値を指定する必要はありません。

  8. 検索対象ユーザーのDN テキスト ボックスに、検索操作用の識別名 (DN) を入力します。

    sAMAccountName のログイン属性を維持する場合、このテキスト ボックスへ入力する必要はありません。

    ログイン属性を変更する場合、構成で 検索対象ユーザーの DN テキスト ボックスに値を追加する必要があります。管理者 など、LDAP および Active Directory の検索権限のある任意のユーザーの DN を使用できます。ただし、検索権限だけを持つ、より権限の低いユーザーの DN で通常は十分です。
    例:cn=Administrator,cn=Users,dc=example,dc=com

  9. 検索対象ユーザーのパスワード テキスト ボックスに、検索操作で使用する識別名に関連付けられたパスワードを入力します。
  10. Active Directory Server へのセキュアな SSL 接続を有効にするには、LDAPS を有効化する チェックボックスを選択します。
  11. LDAPS を有効化にしたものの、ポート の値を LDAPS の既定のポートに設定しなかった場合、ポート メッセージのダイアログ ボックスが表示されます。既定のポートを使用するには、はい をクリックします。指定したポートを使用するには、いいえ をクリックします。
  12. Active Directory Server の認証が有効になっているかを確認するには、サーバー認証の有効化 チェックボックスを選択します。
  13. プライマリ LDAP サーバーのオプション属性を指定するには、オプション設定 をクリックしてください。

    オプション設定の構成方法についての詳細は、このトピックの次のセクションを参照してください。

  14. 別の Active Directory ドメインを追加するには、ステップ 2~22 を繰り返します。指定する全ての Active Directory ドメインで共有シークレットを同一にします。
  15. OK をクリックします。
  16. 構成ファイルを保存する.

Active Directory のオプション設定について

Fireware は、サーバーの検索応答で属性のリストを読み取るときに、ディレクトリ サーバー (LDAP または Active Directory) から追加情報を取得できます。このしくみにより、ディレクトリ サーバーを使用して、タイムアウトや Mobile VPN with IPSec アドレス割り当てなどの追加パラメータを、認証されたユーザー セッションに割り当てることができます。データは個別のユーザーオブジェクトに関連付けられる LDAP 属性から取得されるため、デバイス構成ファイルで指定されたグローバル設定に限定されません。各ユーザーにこれらの追加パラメータを設定できます。

詳細については、Active Directory または LDAP のオプション設定を使用する を参照してください。

サーバーへの接続をテストする

Firebox が Active Directory Server に接続してユーザーの認証を正常に行うことができることを確認するには、Fireware Web UI から認証サーバーへの接続をテストします。また、この機能を使用して、特定のユーザーが認証されたかどうかを判定し、そのユーザーの認証グループ情報を取得することができます。

次のいずれかの方法で認証サーバーへの接続をテストすることができます。

  • サーバーの 認証サーバー ページに移動します。
  • サーバー接続 ページに直接進むには、Fireware Web UI で以下の手順を実行します。
  • ポート 4100 で認証ポータルに接続します。

認証サーバー ページから サーバー接続 ページに移動するには:

  1. LDAP または Active Directory への接続をテストする をクリックします。
    サーバー接続 ページが表示されます。
  2. サーバー接続 トピックの指示に従ってサーバーへの接続をテストします。

Fireware Web UI で直接 サーバー接続 ページに移動する方法については、次を参照してください:サーバー接続

認証ポータルに接続して、認証が機能していることを確認するには、https://Firebox IP アドレス:4100 にアクセスします。

既存の Active Directory ドメインの編集

Active Directory ドメインの設定を編集する際、ドメインで構成された Active Directory Server のドメイン名以外のドメインの詳細すべてを変更することができます。ドメイン名を変更するには、名前が正しくないサーバーを削除してから、新たにサーバーを追加する必要があります。

  1. Active Directory ドメインリスト内で、変更するサーバーを選択します。

ドメインを選択した状態の認証サーバーの Active Directory ページのスクリーンショット

  1. 編集 をクリックします。
    Active Directory/編集 ページが表示されます。

Active Directory Server の編集ページのスクリーンショット

  1. IP アドレスまたは DNS 名をこのドメインのサーバーに追加するには、前のセクションの指示に従ってください。
  2. Active Directory Server の設定を更新します。
  1. Active Directory ドメインリスト内で、変更するサーバーを選択します。

認証サーバー ダイアログ ボックスの Active Directory タブのスクリーンショット

  1. 編集 をクリックします。
    Active Directory ドメインの編集 ダイアログ ボックスが表示されます。

  1. IP アドレスまたはDNS名をこのドメインのサーバーに追加するには、追加 をクリックし、前セクションの指示に従ってください。
  2. このドメインのサーバーから IP アドレスまたは DNS 名を削除するには、IP アドレス / DNS 名 リストのエントリーを選択し、削除 をクリックします。
  3. Active Directory Server の設定を更新します。

Active Directory ドメインの削除

Fireware Web UI 認証サーバー ページから直接 Active Directory ドメインを削除するには:

  1. サーバー ドロップダウン リストから、Active Directory を選択します。
    [Active Directory] ページが表示されます。
  2. Active Directory ドメイン リスト内で削除するドメインを選択します。
  3. 削除 をクリックします。
    確認メッセージが表示されます。
  4. はい をクリックします。
    サーバーが一覧から削除されます。

Policy Manager 認証サーバー ダイアログ ボックスから Active Directory ドメインを削除するには:

  1. Active Directory ドメイン リスト内で削除するドメインを選択します。
  2. 削除 をクリックします。
    確認メッセージが表示されます。
  3. はい をクリックします。
    サーバーが一覧から削除されます。

関連情報:

サードパーティの認証サーバーについて

Active Directory Server の既定のポートを変更する