Active Directory SSO Agent を構成する

複数の Active Directory ドメインを使用する場合、シングル サインオン (SSO) で使用するドメインを指定する必要があります。コンピュータに SSO Agent をインストールした後、認証に使用するドメインを指定 し、SSO Agent にドメイン構成を同期化することができます。SSO Client 使用せずに SSO を使用するオプションを指定することもできます。この処理は クライアントレス SSO として知られています。SSO Agent を設定する際にクライアントレス SSO 設定を構成します。SSO Agent 設定を構成するには、SSO Agent をインストールするコンピュータの管理者権限がなければなりません。

SSO Agent を最初に起動すると、Users.xmlAdInfos.xml 構成ファイルが生成されます。これらの構成ファイルは、暗号化され、SSO Agent の構成時に指定するドメイン構成情報を保存します。

SSO Agent には 管理者ステータス の 2 つの既定のアカウントがあり、SSO Agent へのログインに使用できます。SSO Agent の構成を変更するには、管理者認証でログインする必要があります。最初にログインした後、デフォルトアカウントのパスワードを変更することをお勧めします。

このアカウントのデフォルト認証情報 (ユーザー名/パスワード):

  • 管理者 — admin/readwrite
  • ステータス — status/readonly

Active Directory の詳細については、次を参照してください:Active Directory Authentication を構成する

IPv6 サポート

IPv6 は Fireware v12.3 以降でサポートされています。ネットワーク上のユーザーのコンピュータに IPv4 と IPv6 の両方のアドレスがある場合は、Event Log Monitor または SSO Agent がインストールされているサーバーで IPv4 と IPv6 の両方のサポートを有効化することをお勧めします。

IPv4 と IPv6 のトラフィックは、両方を使用する環境では別々に処理されます。例えば、jsmith という名前のユーザーが、IPv4 と IPv6 の両方のアドレスを持つコンピュータを持っているとします。Firebox の認証済みユーザー リストには、そのユーザー jsmith に対して 2 つの異なるセッションが表示されます。

認証済みユーザーの IPv6 アドレスを表示するには以下の手順を実行します。

  • Fireware Web UI — システム ステータス > 認証リスト の順に選択します。
  • Firebox System Manager — 認証リスト タブを選択します。

SSO Agent 構成ツールへのログイン

  1. 開始 > WatchGuard > Authentication Gateway > WatchGuard SSO Agent 構成ツール の順に選択します。
    [SSO Agent 構成ツールのログイン] ダイアログ ボックスが表示さされます。
  2. ユーザー名 テキスト ボックス内に、ユーザー名: admin と入力します。
  3. パスワード テキスト ボックス内に、管理者パスワード:readwrite を入力します。
    SSO Agent 構成ツールのログイン ダイアログ ボックスが表示されます。

SSO エージェント構成ツール ダイアログ ボックスのスクリーンショット

  1. 次のセクションに記載されている通り、SSO Agent を構成します。
    構成の変更が自動的に保存されます。

ユーザー アカウントとパスワードの管理

最初にログインした後、デフォルトアカウントのパスワードを変更することができます。SSO Agent 設定を変更するには管理者認証情報でログインする必要があるため、管理者アカウントで指定されたパスワードを必ず覚えておいてください。新規ユーザー アカウントを追加し、既存のユーザー アカウントの設定を変更することもできます。管理者ステータス の両方のアカウントを使用してテルネット セッションを開始し、SSO Agent を構成することもできます。

SSO Agent に telnet を使用する方法については、次を参照してください:テルネットを使用して SSO Agent をデバッグ

ユーザー アカウントパスワードの変更

管理者ステータス のアカウントは、アカウントのパスワードのみ変更することができます。ユーザー名を変更することはできません。

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 編集 > ユーザー管理 の順に選択します。
    ユーザー管理フォーム ダイアログ ボックスが表示されます。

ユーザー管理フォーム ダイアログ ボックスのスクリーンショット

  1. 変更するアカウントを選択します。
    たとえば、admin を選択します。
  2. パスワードの変更 をクリックします。
    パスフレーズの変更 ダイアログ ボックスが表示されます。
  3. パスワードパスワードの確認 テキスト ボックスで、このユーザー アカウントの新規パスワードを入力します。
  4. OK をクリックします。

新規ユーザー アカウントの追加

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 編集 > ユーザー管理 の順に選択します。
    ユーザー管理フォームが表示されます。
  2. ユーザーを追加する をクリックします。
    ユーザーの追加 ダイアログ ボックスが表示されます。
  3. ユーザー名 テキスト ボックス内に、このユーザー アカウント名を入力します。
  4. パスワードパスワードの確認 テキスト ボックスで、このユーザー アカウントのパスワードを入力します。
  5. このアカウントのアクセスオプションを選択します。
    • 読み取り専用
    • 読み取り/書き込み
  6. OK をクリックします。

ユーザー アカウントの編集

ユーザー アカウントを編集する場合、アクセスオプションのみ変更することができます。このアカウントのユーザー名またはパスワードを変更することができません。ユーザー名を変更するには、新規ユーザー アカウントを追加し、古いユーザー アカウントを削除する必要があります。

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 編集 > ユーザー管理 の順に選択します。
    ユーザー管理フォームが表示されます。
  2. 変更するアカウントを選択します。
  3. ユーザーの編集 をクリックします。
    ユーザーの編集 ダイアログ ボックスが表示されます。
  4. このアカウントの新規アクセスオプションを選択します。
    • 読み取り専用
    • 読み取り/書き込み
  5. OK をクリックします。

ユーザー アカウントの削除

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 編集 > ユーザー管理 の順に選択します。
    ユーザー管理フォームが表示されます。
  2. 削除するアカウントを選択します。
  3. ユーザーの削除 をクリックします。
    サイトの削除 ダイアログ ボックスが表示されます。
  4. ユーザー名 が削除したいアカウントであることを確認します。
  5. OK をクリックします。

SSO Agent のドメインを構成する

SSO Agent を構成するには、Active Directory ドメインについての情報を追加、編集、削除することができます。ドメインを追加または編集するには、Active Directory Server の検索に使用するユーザー アカウントを指定する必要があります。ディレクトリ検索の権限を持ち、有効期限のないパスワードのある指定ユーザー アカウントをサーバー上に作成することをお勧めします。

ドメインの追加

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 編集 > ドメインの追加 の順に選択します。
    ドメインの追加 ダイアログ ボックスが表示されます。
  2. ドメイン名 テキスト ボックス内で、ドメイン名を入力します。
    たとえば、my-example.com と入力します。
    Active Directory Server のドメイン名では、大文字と小文字が区別されます。Active Directory タブで、Firebox 認証サーバーの設定に表示されるドメイン名と同じ名称を正確に入力してください。詳細については、Active Directory Authentication を構成する を参照してください。
  3. NetBIOS ドメイン名 テキスト ボックスに、ドメインの NetBios ドメイン名を入力します。
  1. ドメインの Active Directory Server で、開始 > 管理ツール > Active Directory ドメインおよび信頼 の順に選択します。
  2. ドメインのリストで、ドメインを右クリックして プロパティ を選択します。
  3. ドメイン名 (Windows 2000 より前) の値を見つけます。これは、ドメインの NetBios ドメイン名です。
  1. ドメイン コントローラの IP アドレス テキスト ボックス内で、このドメインの Active Directory Server の IPv4 アドレスを入力します。v12.3 以降では IPv6 アドレスを入力できます。
    ドメイン コントローラに複数の IP アドレスを指定するには、IP アドレスをスペースなしでセミコロンで区切ります。
  2. ポート テキスト ボックス内で、このサーバーへの接続に使用するポートを入力します。
    既定のポートは 389 です。
  3. 検索対象ユーザー セクション内で、オプションを選択します。
    • 識別名 (DN) (cn=ssouser,cn=users,dc=domain,dc=com)
    • ユーザー プリンシパル名 (UPN) ([email protected]
    • Pre-Windows 2000 (netbiosDomain\ssouser)
  4. テキスト ボックスに、選択したオプションのユーザー情報を入力します。
    Active Directory Server のディレクトリの検索権限があるユーザーを必ず指定してください。
  5. 検索対象ユーザーのパスワードパスワードの確認 テキスト ボックスで、指定したユーザーのパスワードを入力します。
    このパスワードは、Active Directory Server のこのユーザー アカウントのパスワードと一致しなければなりません。
  6. 別のドメインを追加するには、OK、次を追加 の順にクリックします。ステップ 2 ~ 8 を繰り返します。
  7. OK をクリックします。
    ドメイン名が SSO Agent 構成ツール リストに表示されます。

ドメインの編集

SSOドメインを編集する場合、ドメイン名を除く全ての設定を変更することができますドメイン名を変更したい場合、ドメインを削除し、正しい名前の新しいドメインを追加する必要があります。

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. ドメインを選択し変更します。
  2. 編集 > ドメインの編集 の順に選択します。
    ドメインの追加 ダイアログ ボックスが表示されます。
  3. ドメインの設定をアップデートします。
  4. OK をクリックします。

ドメインの削除

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 削除するドメインを選択します。
  2. 編集 > ドメインの削除 の順に選択します。
    確認メッセージが表示されます。
  3. はい をクリックします。

クライアントレス SSO の構成

SSO Client がインストールされていないか、あるいは使用できない場合は、クライアントレス SSO を使用して、ネットワークにインストール済みの Event Log Monitor または Exchange Monitors からユーザーのログイン情報を取得するように、SSO Agent を構成することができます。Event Log Monitors も、各ドメインの 1 つ以上のドメイン メンバー サーバーにインストールされます。Exchange Monitor も Microsoft Exchange Server がインストールされているのと同じコンピュータにインストールされます。

Event Log Monitor を使用している場合、ユーザーが認証を試みると、SSO Agent はクライアント コンピュータの IP アドレスを EventLog Monitor に送信します。その後、Event Log Monitor はこの情報を使用して TCP ポート 445 からクライアント コンピュータにクエリを実行し、クライアント コンピュータの Windows セキュリティ イベント ログ ファイルからユーザー認証情報を取得します。Event Log Monitor はクライアント コンピュータからユーザー認証情報を取得し、ドメイン コントローラにアクセスしてユーザーのユーザー セキュリティ グループ情報を取得します。複数の Event Log Monitor をインストール済みのときに、SSO Agent がクエリする最初の Event Log Monitor に正しいユーザー認証情報がない場合、SSO Agent はアクセス先ドメイン リストの次の Event Log Monitor をクエリします。SSO Agent は、正しいユーザー認証情報が見つかるまでリストの各 Event Log Monitor にアクセスし続けます。その後、Event Log Monitor はこの情報を SSO Agent に提供します。

ユーザーのコンピュータに SSO Client をインストールしない場合、Event Log Monitor が SSO Agent 連絡先リストにあることを確認してください。SSO Client を主要連絡先として指定する際に SSO Client を使用できない場合、SSO Agent が Event Log Monitor に照会を行いますが、遅延の発生する可能性があります。

macOS10.6 以上、iOS、または Android プラットフォームを実行するデバイスのユーザーについては、Exchange Monitor を使用してそれらのユーザーのログイン情報を取得できます。Exchange Monitor は Microsoft Exchange Server がインストールされているのと同じコンピュータにインストールされるため、Exchange Monitor は各ユーザーのドメイン アカウントのログオン/ログオフ アクションをトラッキングして、これらのイベントについてリアルタイムで SSO Agent に通知します。

SSO Agent をインストールした後、Event Log Monitor と Exchange Monitor がインストールされるドメインのドメイン情報を Event Log Monitor アクセス先ドメインリスト内の SSO Agent 構成に追加する必要があります。ドメインが 1 つしかない場合、ドメイン コントローラに SSO Agent をインストールするには、もしくは複数のドメインがあり、Event Log Monitor と Exchange Monitor が SSO Agent と同じドメインにある場合、アクセス先ドメインリストの SSO Agent 構成で ドメイン コントローラにドメイン情報を指定する必要はありません。アクセス先ドメイン リストに複数の Event Log Monitor または Exchange Monitor がある場合、SSO Agent はユーザーの認証とグループ情報を取得するためリストの最初のエントリをクエリします。最初の Event Log Monitor または Exchange Monitor が使用できない場合、SSO Agent はリストの次のモニターにアクセスします。このプロセスは、SSO Agent が使用可能なモニターを見つけるまで継続します。

Event Log Monitor と Exchange Monitor のインストール方法については、次を参照してください:WatchGuard シングル サインオン (SSO) エージェントおよび Event Log Monitor をインストールする

Event Log Monitor の負荷分散とフェールオーバーの詳細については、次の Event Log Monitor セクションを参照してください:Active Directory SSO の仕組み

クライアントレス SSO の設定を構成して有効にする前に、ドメインのクライアント コンピュータで、TCP 445 ポートが開いているか、または ファイルおよびプリンタ共有 が有効になっていること、および、Event Log Monitor がユーザーのログイン イベントに関する情報を取得するように正しいグループポリシーが設定されていることを確認する必要があります。このポートが閉じていて正しいポリシーが設定されていない場合、Event Log Monitor はグループ情報を取得できず、SSO は正常に動作しません。

ドメイン コントローラ コンピュータ上で以下の手順に従います。

  1. グループ ポリシー オブジェクト エディタ を開き、既定のドメインポリシー を編集します。
  2. 監査ポリシー (コンピュータの構成 > Windows の設定 > セキュリティの設定 > ローカルポリシー > 監査ポリシー) で 監査 アカウント ログオン イベント監査ログオン イベント のポリシーが有効になっていることを確認します。
  3. コマンド行で、gpupdate /force /boot のコマンドを実行します。
    コマンドが実行されると、次のメッセージが表示されます:
    ポリシーを更新しています… ユーザー ポリシーの更新が正常に完了しました。コンピュータ ポリシーの更新が正常に完了しました。

クライアントレス SSO のドメイン情報を追加、編集、そして削除することができます。追加する各ドメイン名には、ドメイン コントローラの複数の IP アドレスを指定することができます。Event Log Monitor が、最初の IP アドレスのドメイン コントローラにコンタクトできない場合、リスト内の次の IP アドレスのドメイン コントローラにコンタクトを試みます。

SSO Agent 構成ツール ダイアログ ボックスが表示されます。

  1. 編集 > SSO Agent アクセス先の設定 の順に選択します。
    SSO Agent アクセス先の設定ダイアログ ボックスが表示されます。

SSO Agent アクセス先の設定 ダイアログ ボックスのスクリーンショット

  1. SSO Agent アクセス先 リストで、SSO Agent の各アクセス先のチェックボックスをオンにします。
    • SSO Client
    • Event Log Monitor
    • Exchange Monitor
  2. SSO Agent 連絡先 の順序を変更するには、連絡先を選択して、上へ または 下へ をクリックします。
    Exchange Monitor の位置は変更できません。
  3. 次のセクションの説明に従って、アクセス先ドメインを 追加、編集、または 削除 します。
  4. OK をクリックして設定を保存します。

アクセス先ドメインの追加

ユーザーのログイン情報を取得するために Event Log Monitor または Exchange Monitor がアクセスする、1 つまたは複数のドメインを指定することができます。

Exchange Monitor のドメインを追加する際、Microsoft Exchange サーバーの IP アドレスとセッション確認間隔を指定する必要があります。セッション確認間隔 は、Exchange Monitor が Exchange サーバーの IIS ログ メッセージでアクティブと表示されないユーザーをログオフするまでの時間を指定します。既定設定値は 40 分です。間隔は最低 5 分を指定する必要があります。

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. 追加 をクリックします。
    ドメイン設定ダイアログ ボックスが表示されます。

Event Log Monitor の ドメイン設定 ダイアログ ボックスのスクリーン ショット

  1. タイプ オプションには、Event Log Monitor を選択します。
  2. ドメイン名 テキスト ボックスに、Event Log Monitor がユーザー情報を取得するためにアクセスするドメインの名前を入力します。
    domain.com というフォーマットで名前を入力する必要があります。
  3. ドメイン コントローラの IP アドレス テキスト ボックスに、このドメインの IPv4 アドレスを入力します。Fireware v12.3 以降では IPv6 アドレスを入力できます。
    ドメイン コントローラに複数の IP アドレスを指定するには、IP アドレスをスペースなしでセミコロンで区切ります。
  4. OK をクリックします。
    指定したドメイン情報がアクセス先ドメイン リストに表示されます。

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. 追加 をクリックします。
    ドメイン設定ダイアログ ボックスが表示されます。
  2. タイプ オプションは、Exchange Monitor を選択します。

Exchange Monitor の ドメイン設定 ダイアログ ボックスのスクリーン ショット

  1. ドメイン名テキスト ボックスに、Exchange Monitor がユーザー情報を取得するドメインの名前を入力します。
    domain.com というフォーマットで名前を入力する必要があります。
  2. Microsoft Exchange Server の IP アドレス テキスト ボックスに、ドメインの IPv4 アドレスを入力します。
    Exchange サーバーに複数の IP アドレスを指定するには、IP アドレスをスペースなしでセミコロンで区切ります。
  3. セッション確認間隔 の設定を既定の 40 分から変更するには、新しい間隔を入力または選択します。
  4. OK をクリックします。
    指定したドメイン情報がアクセス先ドメイン リストに表示されます。

アクセス先ドメインの編集

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. アクセス先ドメイン リストから、変更するドメインを選択します。
  2. 編集 をクリックします。
    Event Log Monitor の設定ダイアログ ボックスが表示されます。
  3. ドメインの設定をアップデートします。
  4. OK をクリックします。

ドメインの削除

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. アクセス先ドメイン リストから、削除するドメインを選択します。
  2. 削除 をクリックします。
    リストからドメインが削除されます。

SSO Port 接続のテスト

SSO Agent が Event Log Monitor と Exchange Monitor にアクセスできることを検証するには、SSO Port Tester ツールを使用できます。SSO Port Tester ツールを使うと、SSO Agent が単一の IP アドレスでサーバーと、複数の IP アドレスまたは IP アドレスの範囲でサーバーにアクセスできるかどうかを検証できます。

アドレス範囲ではなく、単一 IP アドレスまたは複数 IP アドレスへの接続を検証するには、テストする IP アドレスを含むプレーン テキスト ファイルをインポートします。また、テストするポートと接続タイムアウト間隔も指定できます。

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. SSO Port のテスト をクリックします。
    SSO Port Tester ダイアログ ボックスが表示されます。

Screen shot of the SSO Port Tester dialog box

  1. IP アドレスの指定 セクションで、次のオプションを選択します:
    • IPv4 ホスト アドレス範囲
    • IPv6 ホスト アドレス範囲 (Fireware v12.3 以降)
    • IPv4 ネットワーク IP アドレス
    • IPv6 ネットワーク IP アドレス (Fireware v12.3 以降)
    • IP アドレスのインポート
  2. IPv4 ホスト IP アドレス範囲 または IPv6 ホスト アドレス範囲 を選択した場合、横のテキスト ボックスに、テストする IP アドレス範囲を入力します。
    IPv4 ネットワーク IP アドレス または IPv6 ネットワーク IP アドレス を選択した場合、横のテキスト ボックスに、テストするネットワーク IP アドレスを入力します。
    IP アドレスのインポート を選択した場合は、ファイルの選択 アイコン をクリックして、テストする IP アドレスのリスト付きのプレーン テキスト ファイルを選択します。
  3. ポート テキスト ボックスに、テストするポート番号を入力します。
    複数のポートをテストするには、各ポート番号をスペースを使わずにカンマで区切って入力します。
  4. テスト をクリックします。
    ポート テストの結果が [SSO Port Tester] ウィンドウに表示されます。
  5. ログ ファイルにテスト結果を保存するには、ログの保存 をクリックして、ファイル名とログ ファイルを保存する場所を指定します。
  6. Port Tester Tool プロセスを停止するには、終了 をクリックします。

SSO コンポーネントについてのステータス情報を参照する

v12.2 以降の SSO Agent では、ネットワーク上の SSO コンポーネントの接続状況を参照することができます。たとえば、Event Log Manager (ELM) をインストールしてある場合、SSO Agent と Event Log Monitor が接続されているかどうかを参照することができます。この情報は 3 秒毎に更新されます。

SSO Agent v12.3 以降では、SSO Agent のバージョン番号および各 SSO コンポーネントのバージョンとビルド番号を参照することもできます。

SSO Agent v12.4 以降では、認証要求のステータスを表示することができます:

  • 認証情報 — ドメイン名、IP アドレス、種類、ユーザー名および各要求の認証時間を含む、現在認証済みのユーザーに関する情報
  • 保留中の IP リスト — SSO Agent に送信されたもののまだ未処理の要求
  • 処理 IP リスト — イベント Log Manager、Exchange Monitor、SSO Client または Active Directory で処理中の要求

認証要求は通常、更新間隔よりも速く保留中および処理中の状態から移行してしまうため、ほとんどの場合、保留中 IP および 処理中 IP リストは空です。

(SSO Agent v12.4 以降) 更新間隔を構成するには、更新間隔 ドロップダウン メニューから 5 秒10 秒30 秒60 秒2 分、または 5 分 を選択します。

SSO Agent でこの情報を表示するには、情報 > ステータス の順に選択します。
SSO Agent ステータス ページのスクリーンショット

Event Log Monitor との通信に使用される API を構成する

SSO Agent の v12.5.4 以降では、Event Log Monitor との通信に、より新しい Microsoft API (Microsoft Windows Event Log API) を使用する選択が可能です。この新しい API は、追加のイベント タイプを解釈することができ、エージェントとサーバー間のトラフィックを削減するためにログオンとログオフ イベントのみをフィルタリングすることができます。

既定では、SSO Agent は引き続き Microsoft Event Logging API を使用します。より新しい Microsoft Windows Event Log API を使用するには、SSO Agent 構成ツールでそれを選択する必要があります。

Event Log Monitor が通信にどの Microsoft API を使用するかを選択するには、以下の手順を実行します。

  1. 開始 > WatchGuard > Authentication Gateway > WatchGuard SSO Agent 構成ツール の順に選択します。
    [SSO Agent 構成ツールのログイン] ダイアログ ボックスが表示さされます。
  2. ユーザー名 テキスト ボックス内に、管理者のユーザー名を入力します。
  3. パスワード テキスト ボックス内に、管理者のパスワードを入力します。
    SSO Agent 構成ツールのログイン ダイアログ ボックスが表示されます。

SSO エージェント構成ツール ダイアログ ボックスのスクリーンショット

  1. 編集 > SSO Agent 情報 の順に選択します。
  2. 使用する API を選択します。Microsoft Windows Event Log API はより新しい API です。
    • Windows Vista
    • Windows 7
    • Windows 8
    • Windows 10
    • Windows XP
    • Windows 2003 Server
    • Windows Vista
    • Windows 7
    • Windows 8
    • Windows 10

SSO Agent の各インスタンスで異なる Event Log Monitor を使用することを推奨します。複数の SSO Agent が同じ Event Log Monitor を使用する場合、各 SSO Agent は通信に同じ API を使用する必要があります。

関連情報:

Active Directory シングル サインオン (SSO) について

Active Directory SSO の仕組み

WatchGuard シングル サインオン (SSO) エージェントおよび Event Log Monitor をインストールする

WatchGuard Active Directory SSO Client をインストールする

WatchGuard Active Directory SSO Exchange Monitor をインストールする

Active Directory SSO をトラブルシューティングする