VASCO サーバー認証を構成する

VASCO サーバー認証は IDENTIKEY 認証サーバー(IAS)を使用して、RADIUS または Web サーバー環境を介して企業ネットワーク上のリモートユーザーを認証します。また、VASCO では複数の認証サーバー環境がサポートされています。VASCO のワンタイム パスワード トークン システムにより、静的なパスワードの使用という、セキュリティ インフラストラクチャの最も弱い部分を排除することができます。

VASCO サーバー認証は RADIUS サーバー設定を使用して構成されます。認証サーバー ページには別の VASCO 構成がありません。

Firebox で VASCO サーバー認証を使用するために必要な手順は、以下のとおりです。

  • VASCO ベンダーのマニュアルに説明されているように、Firebox の IP アドレスを VASCO IDENTIKEY 認証サーバー構成に追加します。
  • Firebox 構成で VASCO IDENTIKEY 認証サーバーを有効化して指定します。
  • ユーザー名またはグループ名をポリシーに追加します。

Firebox を VASCO IDENTIKEY 認証サーバーと統合する方法については、VASCO IDENTIKEY 認証サーバー統合ガイド を参照してください。

  1. 認証 > サーバー の順に選択します。

    認証サーバー ページが表示されます。
  2. サーバー リストから、RADIUS を選択します。

    RADIUS サーバー設定が表示されます。

RADIUS サーバー設定のスクリーンショット

  1. DENTIKEY 認証サーバーを有効化するには、RADIUS サーバーの有効化 チェックボックスを選択します。
  2. IP アドレス テキスト ボックスに、IDENTIKEY 認証サーバーの IP アドレスを入力します。
  3. IAS が認証に使用するポート番号が、ポート テキスト ボックスに表示されていることを確認します。既定のポート番号は 1812 です。
  4. 共有シークレット テキスト ボックスに、デバイスと IDENTIKEY 認証サーバー との間の共有シークレットを入力します。
    共有シークレットは大文字と小文字が区別され、Firebox および IDENTIKEY 認証サーバー上と同じものである必要があります。共有シークレットにスペース文字のみを使用することはできません。
  5. シークレットの確認 テキスト ボックス内に、共有シークレットを再び入力します。
  6. タイムアウト テキスト ボックスに、再接続を試みるまでにデバイスが認証サーバーからの応答を待機する時間を入力します。
  7. 再試行 テキスト ボックスに、デバイスが 1 回の認証試行に対して接続に失敗したことを報告する前に、認証サーバーへの接続を試行する回数をを入力します。
  8. 非アクティブ時間 テキスト ボックスに、非アクティブ状態のサーバーが再度アクティブとしてマークされるまでの時間を入力します。
    既定値は 3 分です。Fireware v12.1.1 以前では、規定値は 10 分です。
  9. 非アクティブ時間 ドロップダウン リストで、または時間を選択して時間を設定します。
    認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーへの接続は試行されません。
  10. グループ属性 値を入力または選択します。既定のグループ属性は FilterID で、これは VASCO 属性 11 です。
    User Group 情報を伝達する属性を設定するには、グループ属性値が使用されます。IDENTIKEY 認証サーバーは、Filter ID 文字列およびそれがデバイスに送信するユーザー認証メッセージを含めて構成する必要があります。たとえば、engineerGroup または financeGroup など。この情報はその後、アクセス制御に使用されます。デバイスは、FilterID 文字列をデバイス ポリシーで構成したグループ名に突き合わせます。
  11. バックアップ IDENTIKEY 認証サーバーを追加するには、セカンダリ サーバー設定 セクションで、セカンダリ RADIUS サーバーの有効化 チェックボックスを選択します。
  12. バックアップ サーバーを構成するには、ステップ 4~11 を繰り返します。プライマリとセカンダリの IDENTIKEY 認証サーバーの共有シークレットは必ず同じになるようにしてください。
    詳細については、バックアップ認証サーバーを使用する を参照してください。
  13. 保存 をクリックします。
  1. 認証サーバー アイコン をクリックします。
    または、設定 > 認証 > 認証サーバー の順に選択します。
    認証サーバー ダイアログ ボックスが表示されます。
  2. RADIUS タブを選択します。

Screen shot of the Authentication Servers dialog box, RADIUS tab

  1. DENTIKEY 認証サーバーを有効化するには、RADIUS サーバーの有効化 チェックボックスを選択します。
  2. IP アドレス テキスト ボックスに、IDENTIKEY 認証サーバーの IP アドレスを入力します。
  3. ポート テキスト ボックスに、VASCO が認証に使用するポート番号が表示されていることを確認します。既定のポート番号は 1812 です。
  4. シークレット テキスト ボックスに、デバイスと IDENTIKEY 認証サーバー間の共有シークレットを入力します。
    共有シークレットは大文字と小文字が区別され、デバイスおよび IDENTIKEY 認証サーバー上と同じものである必要があります。共有シークレットにスペース文字のみを使用することはできません。
  5. シークレットの確認 テキスト ボックス内に、共有シークレットを再び入力します。
  6. タイムアウト テキスト ボックスに、再接続を試みるまでにデバイスが認証サーバーからの応答を待機する時間を入力または設定します。
  7. 再試行 テキスト ボックスに、デバイスが 1 回の認証試行に対して接続に失敗したことを報告する前に、認証サーバーへの接続を試行する回数をを入力または選択します。
  8. 非アクティブ時間 テキスト ボックスに、非アクティブ状態のサーバーが再度アクティブとしてマークされるまでの時間を入力または設定します。
    既定値は 3 分です。Fireware v12.1.1 以前では、規定値は 10 分です。
  9. 非アクティブ時間 ドロップダウン リストで、または時間を選択して時間を設定します。
    認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーへの接続は試行されません。
  10. グループ属性 値を入力または選択します。既定のグループ属性は FilterID で、これは VASCO 属性 11 です。
    User Group 情報を伝達する属性を設定するには、グループ属性値が使用されます。VASCO サーバーの設定では、デバイスにユーザー メッセージを送信するときに、FilterID 文字列も送信されるように設定する必要があります。たとえば、engineerGroup または financeGroup など。この情報はその後、アクセス制御に使用されます。デバイスは、FilterID 文字列をデバイス ポリシーで構成したグループ名に突き合わせます。
  11. 非アクティブ時間 テキスト ボックスに、非アクティブ状態のサーバーが再度アクティブとしてマークされるまでの時間を入力または設定します。時間を変更するには、ドロップダウン リストから または 時間 を選択します。
    認証サーバーが一定時間応答しなかった場合、そのサーバーは停止としてマークされます。追加の認証では、再びこのサーバーがアクティブとマークされるまで、このサーバーへの接続は試行されません。
  12. バックアップ IDENTIKEY 認証サーバーを追加するには、バックアップ サーバー設定 タブを選択して、バックアップ RADIUS サーバーの有効化 チェックボックスを選択します。
  13. バックアップ サーバーを構成するには、ステップ 4~11 を繰り返します。プライマリとセカンダリの IDENTIKEY 認証サーバーの共有シークレットは必ず同じになるようにしてください。
    詳細については、バックアップ認証サーバーを使用する を参照してください。
  14. OK をクリックします。
  15. 構成ファイルを保存する.

関連情報:

サードパーティの認証サーバーについて

ユーザーおよびグループをポリシーで使用する