SSO Event Log Monitor を構成する

Event Log Monitor をインストールしたら、ネットワークのポート、イベント ログ、およびグループ ポリシーの設定を構成する必要があります。また、Event Log Monitor を使用するように SSO Agent を構成する必要があります。

Event Log Monitor の仕組みの詳細については、次を参照してください:Active Directory SSO の仕組み

Event Log Monitor をインストールする方法については、WatchGuard SSO Exchange Monitor をインストールする を参照してください。

ベストプラクティス

最も信頼性の高い SSO 配備を行うために、SSO Client をプライマリ SSO 方式として、Event Log Monitor をバックアップ SSO 方式として使用することをお勧めします。これらの配備方法を構成する方法については、クイック起動 — Active Directory シングル サインオン (SSO) を設定するを参照してください。

SSO Client がユーザー コンピュータにインストールされていない場合、または使用できない場合は、Event Log Monitor を Windows ユーザーのプライマリ SSO 方式として使用することができます。これは、クライアントレス SSO と呼ばれるものです。クライアントレス SSO の場合は、ネットワークにインストールされている WatchGuard SSO Event Log Monitor からユーザー ログイン情報が取得されるように SSO Agent を構成します。Event Log Monitor では、5 秒ごとにネットワーク上のすべての IP アドレスがポーリングされ、新しい Windows ログオン イベントが検出されます。Event Log Monitor は、各ドメインの 1 つまたは複数のドメイン メンバー サーバーにインストールされます。

最高の VPN と SSO のパフォーマンスを実現するために、BOVPN トンネル経由で Event Log Monitor を使用しないことをお勧めします。

macOS、Linux、iOS、Android、または Windows モバイル オペレーティング システムのユーザーにクライアントレス SSO を構成する場合は、WatchGuard SSO Exchange Monitor を使用する必要があります。Exchange Monitor も Microsoft Exchange Server がインストールされているのと同じコンピュータにインストールされます。Exchange Monitor を構成する方法については、SSO Exchange Monitor を構成する を参照してください。

IPv6 サポート

IPv6 は Fireware v12.3 以降でサポートされています。ネットワーク上のユーザーのコンピュータに IPv4 と IPv6 の両方のアドレスがある場合は、Event Log Monitor または SSO Agent がインストールされているサーバーで IPv4 と IPv6 の両方のサポートを有効化することをお勧めします。

IPv4 と IPv6 のトラフィックは、両方を使用する環境では別々に処理されます。例えば、jsmith という名前のユーザーが、IPv4 と IPv6 の両方のアドレスを持つコンピュータを持っているとします。Firebox の認証済みユーザー リストには、そのユーザー jsmith に対して 2 つの異なるセッションが表示されます。

認証済みユーザーの IPv6 アドレスを表示するには以下の手順を実行します。

  • Fireware Web UI — システム ステータス > 認証リスト の順に選択します。
  • Firebox System Manager — 認証リスト タブを選択します。

前提条件

Event Log Monitor を構成する前に、ネットワーク構成が以下の要件をサポートしているかどうかを確認します。

設定する

クライアントレス SSO を構成して、設定を有効化する前に、ドメインのクライアント コンピュータで以下のいずれかのオプションがサポートされていることを確認してください。

  • TCP ポート 445 が開いている。
  • ファイルとプリンタの共有 が有効になっている。

TCP ポート 445 が閉じていると、Event Log Monitor でユーザー情報またはグループ情報が取得されないため、SSO が正常に機能しなくなります。ポート 445 が開いているかどうかをテストするには、SSO Port Tester ツールを使用できます。詳細については、SSO のトラブルシューティング を参照してください。

Windows イベント ログ

Event Log Monitor では、SSO において Windows ログオン イベントが使用されます。Event Log Monitor において、SSO で必要なユーザー認証をネットワーク上のすべての Windows コンピュータで取得できるようにするには、Windows イベント ログがアクティブ化されており、新しいイベント ログが生成できるようになっていることを確認する必要があります。また、これらのイベントのすべての Windows ドメイン コンピュータにおいて、監査ログ記録を有効化する必要があります。

  • 4624 および 4634
  • 4647、4778、4779 (お使いの Windows ネットワークが Fast User Switching で構成されている場合)

リモート デスクトップ プロトコル (RDP) ユーザーが SSO において Event Log Monitor を使用するには、クライアント コンピュータで Microsoft イベント 4624 と 4634 が生成され、ログオン タイプ属性が含まれている必要があります。これらの属性により、ログオン イベントまたはログオフ イベントがローカル ネットワークで発生するか、RDP 経由で発生するかが指定されます。属性 2 と 11 は、ローカル ログオンとログオフ イベントを指定するものです。属性 10 は、RDP ログオンまたはログオフ イベントを指定します。

グループ ポリシー

ドメイン コントローラでは、ログオン イベントを監査する Windows クライアントを要求するグループ ポリシーを構成する必要があります。

  1. グループ ポリシー オブジェクト エディタ を開き、既定のドメインポリシー を編集します。
  2. 監査ポリシー (コンピュータの構成 > Windows の設定 > セキュリティの設定 > ローカルポリシー > 監査ポリシー) で 監査 アカウント ログオン イベント監査ログオン イベント のポリシーが有効になっていることを確認します。
  3. コマンド プロンプトを開いて、コマンド gpupdate/force /boot を実行します。
    確認メッセージが表示されます。

SSO Agent のアクセス先の設定を構成する

Event Log Monitor からユーザー ログイン情報が SSO Agent に送信されるようにするには、SSO Agent のアクセス先の設定を構成して、SSO Agent が Event Log Monitor に接続できるようにする必要があります。以下のような場合は、アクセス先ドメイン (Event Log Monitor のドメイン名と IP アドレス) を追加する必要があります。

  • 1 つのドメインで、SSO Agent がドメイン コントローラにインストールされていない。
  • 複数のドメインで、Event Log Monitor が SSO Agent とは異なるドメインにインストールされている。

SSO Agent アクセス先の設定を構成するには、以下の手順を実行します。

  1. SSO Agent 構成ツールにログインします。
  2. 編集 > SSO Agent アクセス先の設定 の順に選択します。
    SSO Agent アクセス先の設定ダイアログ ボックスが表示されます。
  3. SSO Agent アクセス先 リストで、Event Log Monitor のチェックボックスを選択します。

SSO Agent アクセス先の設定 ダイアログ ボックスのスクリーンショット

  1. SSO Agent アクセス先 リストの Event Log Monitor の位置を変更するには、Event Log Monitor チェックボックスを選択して、Up または Down をクリックします。
    Exchange Monitor の位置は変更できません。SSO Client を使用する場合は、SSO Client が最初のエントリになっていることを確認してください。SSO Client が第一のアクセス先として指定されているにも関わらず SSO Client が使用できない場合は、SSO Agent は Event Log Monitor にアクセスしますが、これにより遅延が発生する可能性があります。
  2. 次のセクションの説明に従って、Event Log Monitor のアクセス先ドメインを 追加、編集、または 削除 します。
  3. OK をクリックします。

アクセス先ドメインの追加

ネットワークのドメインに Event Log Monitor をインストールして、ユーザーのログイン情報に関して SSO Agent が Event Log Monitor にアクセスするように設定する場合は、各 Event Log Monitor の IP アドレスで SSO Agent を構成します。こうすることで、SSO Agent がネットワークの各 Event Log Monitor からユーザーのログイン情報を取得できるようになります。

アクセス先ドメイン リストに複数の Event Log Monitor が指定されている場合は、ユーザーの認証情報とグループ情報に関して、リストの最初のエントリに対して SSO Agent からクエリが発せられます。最初の Event Log Monitor が使用できない場合は、SSO Agent はリストの次の Event Log Monitor にアクセスします。このプロセスは、使用可能な Event Log Monitor が SSO Agent により検出されるまで継続します。

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. 追加 をクリックします。
    ドメイン設定ダイアログ ボックスが表示されます。

Event Log Monitor の ドメイン設定 ダイアログ ボックスのスクリーン ショット

  1. タイプ オプションには、Event Log Monitor を選択します。
  2. ドメイン名 テキスト ボックスに、Event Log Monitor がユーザー情報を取得するためにアクセスするドメインの名前を入力します。
    domain.com というフォーマットで名前を入力する必要があります。
  3. Event Log Monitor の IPアドレス テキスト ボックスに、Event Log Monitor の IPv4 アドレスを入力します。Fireware v12.3 以降では IPv6 アドレスを入力できます。
    Event Log Monitor に複数の IP アドレスを指定する場合は、IP アドレスをスペースなしでセミコロンで区切ります。
  4. OK をクリックします。
    指定したドメイン情報がアクセス先ドメイン リストに表示されます。

アクセス先ドメインの編集

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. アクセス先ドメイン リストから、変更するドメインを選択します。
  2. 編集 をクリックします。
    ドメイン設定ダイアログ ボックスが表示されます。
  3. ドメインの設定をアップデートします。
  4. OK をクリックします。

ドメインの削除

SSO Agent アクセス先の設定 ダイアログ ボックスから、以下の手順を実行します:

  1. アクセス先ドメイン リストから、削除するドメインを選択します。
  2. 削除 をクリックします。

    リストからドメインが削除されます。
  3. OK をクリックします。

SSO Port 接続のテスト

SSO Agent が Event Log Monitor にアクセスできることを確認するには、SSO Port Tester ツールを使用します。詳細については、SSO のトラブルシューティング を参照してください。

関連情報:

Active Directory シングル サインオン (SSO) について

Active Directory SSO の仕組み

WatchGuard シングル サインオン (SSO) エージェントおよび Event Log Monitor をインストールする

Active Directory SSO をトラブルシューティングする