WatchGuard シングル サインオン (SSO) ソリューションの一部として WatchGuard SSO Agent をネットワークのドメイン サーバーにインストールする必要があります。これは、ドメイン コントローラでも、別のドメイン メンバー サーバーでも問題ありません。
Event Log Monitor は SSO Agent と同じインストーラに含まれていますが、Event Log Monitor のインストールは任意です。
インストールの前に
OS の互換性に関する情報および SSO Agent と Event Log Monitor の仕組みの詳細な説明については、次を参照してください:Active Directory SSO の仕組み。
WatchGuard Authentication Gateway インストーラを起動して SSO Agent をインストールする前に、.NET Framework v4.0 以降が、WatchGuard Authentication Gateway をインストールするサーバーにインストールされていることを確認します。.NET Framework の正しいバージョンがインストールされていない場合、SSO Agent を正しく実行することはできません。
サービス アカウントとドメイン ポリシーを構成する
WatchGuard SSO Agent と WatchGuard 認証ゲートウェイは、サーバー上でサービスとして実行されます。以下の構成手順が必要です。
- サービスを Domain Users セキュリティ グループのメンバーであるユーザー アカウントとして実行します。次のセクションで説明されている通り、セキュリティ許可を構成する必要があります。
- Event Log Monitor が接続するすべてのドメイン コンピュータにドメイン ポリシーを適用します。
WatchGuard では、以下のベストプラクティスを推奨しています。
- この目的のために新しいユーザー アカウントを作成します。
- 有効期限のないアカウント パスワードを設定します。
ドメイン ユーザー アカウントを構成する
Domain Users セキュリティ グループのメンバーであるユーザー アカウントを選択する場合は、以下を確認します。
- ユーザー アカウントに、Active Directory Server でサービスを実行する権限、ディレクトリを検索する権限、および他のすべてのユーザーの監査情報を検索する権限が付与されている
- このセクションで説明されている必須のセキュリティ権限がユーザー アカウントに構成されている
Domain Users セキュリティ グループのメンバーであるユーザー アカウントに必要なセキュリティ権限を付与して追加するには、以下の手順を実行します。
- 新しい Active Directory ユーザー アカウントを追加します。
たとえば、[email protected] のように入力します。
ユーザー アカウントが、既定で Domain Users セキュリティ グループに追加されます。 - グループ ポリシー管理エディタで、そのユーザー アカウントに 監査およびセキュリティ ログの管理 権限を指定します。
- コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て > 監査およびセキュリティ ログの管理 の順に選択します。
- セキュリティ ポリシー設定 タブで、ステップ 1 で作成したユーザーを追加します。
- 新しいドメイン ポリシーをすべてのドメイン コンピュータに適用します。
これで、Event Log Monitor に、正しいユーザー認証を取得するため、ドメイン クライアント コンピュータで Windows セキュリティ イベント ログを読むための正しい権限が与えられました。
ログ メッセージ
SSO Agent と Event Log Monitor のデバッグ ログ メッセージを表示するには、各コンポーネントのインストール ディレクトリで wagsrvc.log と eventlogmonitor.log ファイルを探します。
ログ メッセージの詳細については、SSO ログ ファイルについて を参照してください。
SSO Agent ソフトウェアのダウンロード
- WatchGuard ソフトウェア ダウンロード ページ に移動します。
- Firebox のソフトウェア ダウンロード ページを見つけます。
- WatchGuard Authentication Gateway インストーラをダウンロードします。SSO Agent と Event Log Monitor はこのインストーラに含まれています。
SSO Agent と Event Log Monitor サービスのインストール
SSO Agent と Event Log Monitor をインストールする際は、以下のガイドラインに従ってください。
- (Fireware v12.1.1 以前) 2 つ以上のドメインがある場合、ネットワーク内の 1 つのドメイン コントローラのみに SSO Agent をインストールします。
- (Fireware v12.2 以降) SSO Agent をネットワーク内の最大 4 つのドメイン コントローラにインストールすることで、リダンダンシーを追加することができます。同時に複数の SSO Agent を有効にすることはできません。有効なエージェントが使用不可能になった場合、Firebox 構成内で指定された次の SSO Agent へとフェールオーバーされます。
- インストーラを実行して Event Log Monitor のみをインストールする場合は、SSO Agent コンポーネントのチェックボックスを解除します。
- 1 つのコンポーネントがインストール済みのコンピュータ上に WatchGuard 認証ゲートウェイ コンポーネントを新たにインストールするには、インストーラを再実行して、新しいコンポーネントとインストール済みコンポーネントの両方のチェックボックスを選択します。インストール済みコンポーネントのチェックボックスをオンにしなければ、そのコンポーネントがアンインストールされます。
たとえば、 SSO Agent をインストール済みで、Event Log Monitor を追加する場合、インストーラを再実行して、SSO Agent と Event Log Monitor のチェックボックスを選択します。SSO Agent のチェックボックスを解除すると、SSO Agent がアンインストールされます。
SSO Agent v12.5.4 は Fireware v12.5.4 以降のみをサポートします。SSO Agent v12.5.4 をインストールする前に、Firebox を Fireware v12.5.4 以降にアップグレードする必要があります。SSO Agent v12.5.4 をインストールする場合は、すべての SSO Client を v12.5.4 にアップグレードすることをお勧めします。SSO Client v12.5.4 は、v12.5.4 よりも前のバージョンの SSO Agent では使用できません。
SSO Agent と Event Log Monitor をインストールするには、以下の手順を実行します。
- WG-Authentication-Gateway.exe をダブルクリックします。
オペレーティング システムによっては、インストーラを実行する際にローカル管理者パスワードを入力するか、もしくは右クリックして 管理者として実行 を選択する必要があります。
Authentication Gateway Setup Wizard が起動します。 - ソフトウェアをインストールするには、各ページの説明に伴いウィザードを完了します。
- コンポーネントの選択 ページで、インストールする各コンポーネントのチェックボックスを選択します。
- シングル サインオン エージェント
- Event Log Monitor
- ドメイン ユーザー認証 ページで、 domain\username という形式でユーザー名を入力します。
ドメイン サフィックス (たとえば、.com または .net) は任意ですが、サフィックスを指定することをお勧めします。例:example.com\username。
ユーザー名は UPN 形式 ([email protected]) で指定することもできます。ユーザー名を UPN 形式で指定する場合は、ドメイン名に .com や .net を含める必要があります。 - 完了 をクリックしてウィザードを終了します。
ウィザードが完了すると、WatchGuard Authentication Gateway サービスが自動的に開始されます。コンピュータを再起動するたびに、サービスが自動的に開始されます。
Authentication Gateway のインストールを完了したら、SSO Agent と Event Log Monitor のドメイン設定を構成する必要があります。詳細については、次を参照してください:Active Directory SSO Agent を構成する
関連情報:
Active Directory シングル サインオン (SSO) について