ユーザー認証をトラブルシューティングする
Firebox でユーザーとグループの認証を構成した後、このトピックの手順に従って、認証の問題をトラブルシューティングすることができます。これらのトラブルシューティング手順は、以下のようなユーザー認証が必要な Firebox コンポーネントに適用されます。
- Mobile VPN 接続
- トラフィックの送信元を定義するためにグループ メンバーシップを使用するポリシー
- ユーザー名が含まれる Dimension レポート
- シングル サインオン (SSO)ユーザー側で SSO が機能しない場合は、手動認証 (入力ユーザーの認証のプロンプト) が Active Directory で機能するかどうかを確認することが重要です。
手動認証をテストする場合は、Firebox で保護されているネットワーク上のコンピュータを使用します。
開始する前に
認証をテストするためのポリシーを作成する前に、クライアント コンピュータで https://www.watchguard.com と https://www.watchguard.com を閲覧できることを確認することが重要です。クライアント コンピュータで、既定のゲートウェイとして Firebox が使用されていることを確認してください。
認証用のテスト ポリシーを作成する
認証および認証ユーザーに影響を与えるポリシーを構成する機能をテストするには、トラフィックを拒否するポリシーを構成することができます。そして、特定グループの認証ユーザーからの接続で期待通りにポリシーが機能することをテストすることができます。
たとえば、特定グループのユーザーからのすべての接続を拒否する HTTPS ポリシーを作成することができます。その後、グループの認証ユーザーからの HTTPS 接続をテストして、ポリシーがその認証ユーザーからの接続に適用されることを確認することができます。
ユーザー グループからの接続を拒否する HTTPS ポリシーを構成するには、以下の手順を実行します。
- Fireware Web UI で、ファイアウォール > ファイアウォール ポリシー の順に選択します。
ポリシーのページが表示されます。 - ポリシーを追加する をクリックします。
ファイアウォール ポリシーの追加 ページが表示されます。 - パケット フィルタ ドロップダウン リストから、HTTPS を選択します。
- ポリシーを追加する をクリックします。
追加 ページが表示されます。ポリシー名フィールドに HTTPS が挿入されます。 - ポリシー名 を HTTPS - Test Deny などのわかりやすい名前に変更します。
- 接続 ドロップダウン リストから、拒否 を選択します。
- 送信元 リストで Any-Trusted を選択します。削除 をクリックします。
- 送信元リストの下の 追加 をクリックします。
メンバーを追加する ダイアログ ボックスが表示されます。 - メンバーの種類 ドロップダウン リストから、ファイアウォール グループ を選択します。
または、グループではなく、特定のユーザーをテストする場合は、ファイアウォール ユーザー を選択します。
構成されたグループまたはユーザーのリストが表示されます。
Active Directory Server または他の外部認証サーバーからのグループまたはユーザーが表示されない場合は、Firebox 構成にグループ名を追加する必要があります。これを行うには、認証 > ユーザーおよびグループ の順に選択します。グループ名は大文字と小文字が区別され、外部認証サーバーのグループ名に完全一致している必要があります。
- グループを選択した場合は、グループ名を選択します。
- ユーザーを選択した場合は、ユーザーがメンバーになっているグループを選択します。
- OK をクリックします。
グループ名またはユーザー名が送信元リストに追加されます。
- 保存 をクリックして、Firebox 構成にポリシーを追加します。
新しいポリシーがポリシー ページに表示されます。WatchGuard 認証ポリシーも自動的に追加されます(以前に追加されていない場合)。 - このグループから Any-External への HTTPS 接続を許可する他のポリシーが、ポリシー リストでこれより上位に表示されていないことを確認します。
- Policy Manager で、Firebox 構成を開きます。
- 編集 > ポリシーの追加 の順に選択します。
- パケット フィルタのリストから、HTTPS を選択します。
- 追加 をクリックします。
- 名前 テキスト ボックスに、HTTPS-Test-Deny などのわかりやすい名前を入力します。
- HTTPS 接続 ドロップダウン リストから、拒否 を選択します。
- 送信元 リストで Any-Trusted を選択します。削除 をクリックします。
- 送信元リストの下の 追加 をクリックします。
アドレスを追加する ダイアログ ボックスが表示されます。 - ユーザーを追加する をクリックします。
メンバーを追加する ダイアログ ボックスが表示されます。 - 種類 ドロップダウン リストから ファイアウォール と グループ を選択します。
または、グループではなく、特定のユーザーをテストする場合は、ファイアウォール と ユーザー を選択します。
構成されたグループまたはユーザーのリストが表示されます。
Active Directory Server または他の外部認証サーバーからのグループまたはユーザーが表示されない場合は、Firebox 構成にグループ名を追加する必要があります。これを行うには、セットアップ > 認証 > ユーザーおよびグループ の順に選択します。グループ名は大文字と小文字が区別され、外部認証サーバーのグループ名に完全一致している必要があります。
- ユーザーがメンバーになっているグループを選択します。
- OK をクリックします。
グループ名が送信元リストに追加されます。
- 保存 をクリックして、Firebox 構成にポリシーを追加します。
新しいポリシーがポリシー ページに表示されます。WatchGuard 認証ポリシーも自動的に追加されます(以前に追加されていない場合)。 - このグループから Any-External への HTTPS 接続を許可する他のポリシーが、ポリシー リストでこれより上位に表示されていないことを確認します。
- 構成を Firebox に保存します。
ユーザー認証をテストする
HTTPS-Test-Deny ポリシーで指定したグループのメンバーとなっているユーザーとして Firebox で認証を行います。
- クライアント コンピュータから、https://Firebox interface IP address :4100 で Firebox 認証ポータルの Web ページを参照してください。
- 複数の種類の認証が有効になっている場合は、ドメイン ドロップダウン リストから、認証サーバーまたはドメインを選択します。
- グループのユーザーの ユーザー名 と パスワード を入力します。
認証に失敗した場合は、以下の問題のいずれかが原因で障害が発生したかどうかを調べてください。
Firebox のローカル ユーザー、グループ構成、外部認証サーバーのユーザーのユーザー名を確認します。大文字と小文字が正確に使用されているかどうか、および先頭と末尾に余計なスペースが入っていないかどうかをチェックします。
認証サーバーで、テストで使用したパスフレーズと一致するように、ユーザーのパスフレーズを変更します。認証に Firebox-DB を使用する場合は、Firebox 上でこれを変更します。外部認証サーバーを使用する場合は、外部認証サーバー上のユーザーのパスフレーズを変更します。
認証構成を注意深くチェックして、IP アドレスと認証サーバーのその他の必要な設定が一致していることを確認します。
- Fireware Web UI を使用してローカルの Firebox 認証のユーザーを構成している場合は、ユーザーが 認証 > サーバー にあり、認証 > ユーザーおよびグループ にはないことを確認します。
- Policy Manager を使用してローカルの Firebox 認証のユーザーを構成している場合は、ユーザーが セットアップ > 認証サーバー にあり、セットアップ > 認証 > 認証ユーザーおよびグループ には入っていないことを確認します。
- Active Directory を使用している場合は、Active Directory 検索ベースが正しく指定されていることを確認します。詳細については、Active Directory 検索ベースを探す を参照してください。
認証が正常に行われたら、認証ユーザーの接続とポリシーをテストする準備が整ったことになります。
構成変更後に、ユーザーをログオフする
トラブルシューティングの一環としてユーザー アカウントまたはグループ メンバーシップに変更を加えた場合は、その変更により既に認証されているユーザーに影響が出ることはありません。変更をテストする場合は、ユーザーを Firebox からログオフしてから、再度ログインして、構成の変更をテストする必要があります。こうすることで、Firebox でグループ メンバーシップとユーザーが正しく関連付けられていることを確認できます。
- システム ステータス > 認証リスト を選択します。
[認証リスト] ページが表示されます。 - リストのユーザー名の横にあるチェックボックスを選択します。
- ユーザーをログオフする をクリックします。
- 認証リスト タブを選択します。
- リストのユーザー名を右クリックして、ユーザーをログオフする を選択します。
認証ユーザーからの接続をテストする
HTTPS-Test-Deny ポリシーを作成し、ポリシーに指定されているグループのメンバーになっているユーザーとして正常に Firebox で認証されたら、ポリシーがユーザーのトラフィックを正常に拒否するかどうかをテストすることができます。これにより、グループ メンバーシップが期待通りに機能することを確認できます。
クライアント コンピュータの Web ブラウザで以下の手順を実行します:
- HTTPS 接続をテストするには、https://www.watchguard.com を閲覧してみてください。
HTTPS-Test-Deny ポリシーは HTTP トラフィックには適用されないため、この接続は許可されます。 - HTTPS 接続をテストするには、https://www.watchguard.com を閲覧してみてください。
ポリシーで指定されているグループのメンバーとなっているユーザーとしてクライアント コンピュータが認証されている場合は、これは HTTPS-Test-Deny ポリシーにより拒否されるはずです。
認証ユーザーからの HTTPS 要求がテスト ポリシーにより拒否されない場合は、以下の問題のいずれかが原因でこの結果が発生したかどうかを調べてください。
HTTPS トラフィックを拒否するようにポリシーが正しく構成されているかどうかをテストするには、HTTPS-Test-Deny ポリシーを編集して、ユーザー名を送信元リストに追加します。そして、再度 HTTPS 接続をテストします。
ポリシーにユーザー名を追加した後にこのユーザーからの HTTPS トラフィックがポリシーにより拒否された場合は、ポリシーは正しく構成されており、グループ メンバーシップに問題があります。ポリシーを使用してグループ メンバーシップのトラブルシューティングを行うことができるように、このテストの後にポリシーからユーザー名を削除します。
ポリシーにユーザー名を追加した後もこのユーザーからの HTTPS トラフィックがポリシーにより拒否されない場合は、このトラフィックを拒否するようにポリシーが正しく構成されていないか、または優先順位の高い別のポリシーによりこのユーザーからの HTTPS 接続が許可されている可能性があります。接続を拒否するようにポリシーが設定されていること、およびこのユーザーからの HTTPS 接続またはこのユーザーがメンバーとなっているグループへの HTTPS 接続に優先順位の高い他のポリシーが適用されていないことを確認してください。
Firebox の LDAP または Active Directory Authentication の設定で指定されている検索ベースが具体的すぎると、それにグループ名が含まれていない可能性があります。認証サーバーのグループをチェックして、これが原因かどうかを確認することができます。
ベストプラクティスとして、Firebox の LDAP または Active Directory Authentication の設定の検索ベースを変更して、検索ベースを簡素かつ広範にすることで、そのベースが認証サーバーで機能するようにすることが勧められます。たとえば、検索ベースが ou=users,dc=example,dc=com となっている場合は、簡素化して dc=example,dc=com としてください。
Active Directory Authentication 設定の詳細については、次を参照してください:Active Directory Authentication を構成する。
LDAP 認証設定の詳細については、次を参照してください:LDAP 認証を構成する。
Firebox で構成され、ポリシーで使用されるグループ名は、外部認証サーバーのグループ名と完全に一致している必要があります。Firebox のグループ名と外部認証サーバーのグループ名を比較してください。スペルをチェックして、大文字と小文字が正確に使用されているかどうか、および先頭と末尾に余計なスペースが入っていないかどうかをチェックします。
ユーザーがグループのメンバーでない場合は、そのユーザーからの接続にはポリシーが適用されません。外部認証サーバーを使用している場合は、外部認証サーバーのユーザー アカウントがそのグループのメンバーになっていることを確認してください。Firebox 認証を使用している場合は、ユーザーが Firebox のグループのメンバーになっていることを確認してください。ユーザー アカウントは、ポリシーで指定されているグループ名と正確に一致するグループ名のグループのメンバーになっている必要があります。スペルをチェックして、大文字と小文字が正確に使用されているかどうか、および先頭と末尾に余計なスペースが入っていないかどうかをチェックします。
RADIUS や SecurID など、RADIUS 認証サーバーの場合は、グループ メンバーシップは Filter-ID 属性によって識別されます。
ポリシーにおけるグループの使用方法の詳細については、次を参照してください:ユーザーおよびグループをポリシーで使用する。
クライアントの IP アドレスからの要求のログ メッセージを検索することで、クライアント コンピュータが期待通りのユーザー名でログインされているかどうかを確認することができます。認証ユーザーからのトラフィックの各ログ メッセージの終わりに、IP アドレスに関連付けられているユーザー名が表示されています(例:src_user="TestUser@Firebox-DB")。
IP アドレスが期待とは別のユーザーに関連付けられていた場合は、SSO Agent、SSO Client、または Mobile VPN クライアントなど、何か他のものがそのクライアント コンピュータのユーザー認証を行うように構成されていないかどうかを調べます。
シングル サインオンの詳細については、次を参照してください:Active Directory SSO の仕組み。
Mobile VPN クライアント経由でのインターネット トラフィックのルーティングの詳細については、次を参照してください:Mobile VPN ユーザーのインターネット アクセス オプション。