ユーザー認証をトラブルシューティングする

Firebox でユーザーとグループの認証を構成した後、このトピックの手順に従って、認証の問題をトラブルシューティングすることができます。これらのトラブルシューティング手順は、以下のようなユーザー認証が必要な Firebox コンポーネントに適用されます。

  • Mobile VPN 接続
  • トラフィックの送信元を定義するためにグループ メンバーシップを使用するポリシー
  • ユーザー名が含まれる Dimension レポート
  • シングル サインオン (SSO)ユーザー側で SSO が機能しない場合は、手動認証 (入力ユーザーの認証のプロンプト) が Active Directory で機能するかどうかを確認することが重要です。

手動認証をテストする場合は、Firebox で保護されているネットワーク上のコンピュータを使用します。

ユーザー認証のために Firebox が Active Directory または LDAP 認証サーバーに接続できることを確認するには、Fireware Web UI を使用して、Firebox と認証サーバー間の接続をテストすることができます。詳細については、サーバー接続 を参照してください。

開始する前に

認証をテストするためのポリシーを作成する前に、クライアント コンピュータで https://www.watchguard.comhttps://www.watchguard.com を閲覧できることを確認することが重要です。クライアント コンピュータで、既定のゲートウェイとして Firebox が使用されていることを確認してください。

認証用のテスト ポリシーを作成する

認証および認証ユーザーに影響を与えるポリシーを構成する機能をテストするには、トラフィックを拒否するポリシーを構成することができます。そして、特定グループの認証ユーザーからの接続で期待通りにポリシーが機能することをテストすることができます。

たとえば、特定グループのユーザーからのすべての接続を拒否する HTTPS ポリシーを作成することができます。その後、グループの認証ユーザーからの HTTPS 接続をテストして、ポリシーがその認証ユーザーからの接続に適用されることを確認することができます。

ユーザー グループからの接続を拒否する HTTPS ポリシーを構成するには、以下の手順を実行します。

ユーザー認証をテストする

HTTPS-Test-Deny ポリシーで指定したグループのメンバーとなっているユーザーとして Firebox で認証を行います。

  1. クライアント コンピュータから、https://Firebox interface IP address :4100 で Firebox 認証ポータルの Web ページを参照してください。
  2. 複数の種類の認証が有効になっている場合は、ドメイン ドロップダウン リストから、認証サーバーまたはドメインを選択します。
  3. グループのユーザーの ユーザー名パスワード を入力します。

認証に失敗した場合は、以下の問題のいずれかが原因で障害が発生したかどうかを調べてください。

認証が正常に行われたら、認証ユーザーの接続とポリシーをテストする準備が整ったことになります。

構成変更後に、ユーザーをログオフする

トラブルシューティングの一環としてユーザー アカウントまたはグループ メンバーシップに変更を加えた場合は、その変更により既に認証されているユーザーに影響が出ることはありません。変更をテストする場合は、ユーザーを Firebox からログオフしてから、再度ログインして、構成の変更をテストする必要があります。こうすることで、Firebox でグループ メンバーシップとユーザーが正しく関連付けられていることを確認できます。

認証ユーザーからの接続をテストする

HTTPS-Test-Deny ポリシーを作成し、ポリシーに指定されているグループのメンバーになっているユーザーとして正常に Firebox で認証されたら、ポリシーがユーザーのトラフィックを正常に拒否するかどうかをテストすることができます。これにより、グループ メンバーシップが期待通りに機能することを確認できます。

クライアント コンピュータの Web ブラウザで以下の手順を実行します:

  • HTTPS 接続をテストするには、https://www.watchguard.com を閲覧してみてください。
    HTTPS-Test-Deny ポリシーは HTTP トラフィックには適用されないため、この接続は許可されます。
  • HTTPS 接続をテストするには、https://www.watchguard.com を閲覧してみてください。
    ポリシーで指定されているグループのメンバーとなっているユーザーとしてクライアント コンピュータが認証されている場合は、これは HTTPS-Test-Deny ポリシーにより拒否されるはずです。

認証ユーザーからの HTTPS 要求がテスト ポリシーにより拒否されない場合は、以下の問題のいずれかが原因でこの結果が発生したかどうかを調べてください。

関連情報:

認証サーバーの種類

Active Directory Authentication を構成する