Gateway について

AuthPoint Gateway は、AuthPoint が RADIUS クライアントや AuthPoint agent for ADFS、Active Directory や LDAP データベースと通信できるようにネットワークにインストールする、軽量のソフトウェア アプリケーションです。Gateway は RADIUS サーバーとして機能し、RADIUS 認証で必要となるほか、LDAP に同期されたユーザーが SAML リソースで認証できるようにするために必要です。

Gateway は、Gateway、RADIUS、LDAP、および ADFS の 4 つのサービスとして機能します。Gateway は、以下の TCP サービス ポートを使用して、異なる Gateway サービス間の内部通信を行っています。

  • WatchGuard AuthPoint Gateway サービス — TCP ポート 9000
  • WatchGuard AuthPoint LDAP サービス — TCP ポート 9001
  • WatchGuard AuthPoint RADIUS サービス — TCP ポート 9002
  • WatchGuard AuthPoint ADFS サービス — TCP ポート 9003

他のアプリケーションによってこれらの TCP サービス ポートが使用されていると、Gateway が起動できなかったり、オフラインと表示されたりする場合があります。Gateway サービスで使用するポートを変更するには、次を参照してください: AuthPoint Gateway のサービス ポートを変更する

Gateway ページで構成した Gateway を確認することができます。各 Gateway には、インストールされているバージョン、IP アドレス、および Gateway の現在のステータスを示すタイルがあります。

  • — Gateway がインストールされており、WatchGuard Cloud と通信できます
  • — Gateway がインストールされていません
  • — Gateway が接続されておらず、WatchGuard Cloud と通信できません

要件

AuthPoint Gateway は、以下の対応しているオペレーティング システムにインストールすることができます。

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

AuthPoint Gateway には Java が必要です。Amazon Coretto 8 以降、または Java Runtime Environment 8u162 以降をインストールする必要があります。推奨されるのは、Corretto です。Corretto をダウンロードするには、aws.amazon.com/corretto/ にアクセスします。

Java は、1 人のユーザーに対してではなくシステムに対して構成されている必要があります。1 人のユーザーに対して Java を構成した場合、Gateway のインストールは失敗します。

AuthPoint Gateway は、FIPS モードが有効化されている Windows サーバーにはインストールできません。

プライマリおよびセカンダリ Gateway

ネットワーク上では 1 つ以上の Gateway を構成することができます。構成する 1 つの プライマリ Gateway ごとに 5 つまでの セカンダリ Gateways を構成することができます。

プライマリ Gateway

プライマリ Gateway は LDAP ユーザーを同期し、RADIUS 認証と LDAP ユーザー認証を有効にします。この Gateway は AuthPoint と RADIUS クライアント、AuthPoint agent for ADFS、および Active Directory または LDAP データベースとの主要な通信ポイントです。

セカンダリ Gateway

セカンダリ Gateway は LDAP ユーザー認証のフェール オーバーとして構成することができます。プライマリ Gateway が使用できない場合、AuthPoint は、プライマリ Gateway が再び使用可能になるまでセカンダリ Gateway を通じて自動的に LDAP ユーザー認証を送信します。

セカンダリ Gateway をバックアップ RADIUS サーバーとして使用することもできます。唯一の制限は、Gateway への認証要求を送信するサードパーティ ソフトウェアまたはデバイスは、追加の RADIUS サーバーの使用に対応していなければならないことです。

負荷分散または LDAP ユーザー同期のためにセカンダリ Gateway を使用することはできません。

プライマリ Gateway を構成する

Gateway をインストールする前に、AuthPoint management UI でその構成を行う必要があります。

  1. ナビゲーション メニューから Gateway を選択します。
  2. Gateway の追加 をクリックします。

  1. 名前 テキスト ボックスに、Gateway の記述的な名前を入力します。
  2. RADIUS セクションの ポート テキスト ボックスに、Gateway (RADIUS サーバー) と通信するのに使用する RADIUS クライアントのポート番号を入力します。既定の Gateway ポートは 1812 と 1645 です。

    既にポート 1812 か 1645 を使用する RADIUS サーバーをインストール済みの場合は、AuthPoint Gateway に異なるポートを使用する必要があります。

  1. RADIUS リソースの選択 リストから RADIUS クライアント リソースを選択します。

  1. ADFS セクションの ADFS リソースの選択 リストで ADFS リソースを選択します。

  1. LDAP セクションの LDAP プロバイダの選択 リストで LDAP か Active Directory Server を選択します。

    同一のネットワーク上に複数の外部アイデンティティがある場合は、すべての外部アイデンティティからのユーザーを同期するように 1 つのプライマリ Gateway を構成するか、各外部アイデンティティからユーザーを同期するように複数のプライマリ Gateway を構成することができます。

  2. 保存 をクリックします。

  1. Gateway のタイルの下で 登録キー をクリックします。

  1. 登録キー ウィンドウで登録キーをコピーします。Gateway をインストールするにはこの値が必要です。

    Gateway 登録キーは 1 回しか使用できません。Gateway のインストールが失敗した場合は、インストールに使用する新たなキーを生成する必要があります。

Gateway をダウンロードしてインストールする

  1. ナビゲーション メニューから ダウンロード を選択します。
  2. Gateway インストーラ セクションで インストーラをダウンロードする をクリックします。

  1. Gateway インストーラをインターネット アクセスがあり、RADIUS クライアントおよび LDAP サーバーに接続可能なネットワーク上の任意の場所で実行します。
    WatchGuard AuthPoint Gateway セットアップ ダイアログが開きます。
  2. Gateway 登録キー テキスト ボックスに AuthPoint からの Gateway 登録キーを入力するか貼り付けます。
  3. インストール をクリックします。

  1. 完了 をクリックします。

  1. Gateway がインストールされているサーバーの RADIUS ポート (既定のポートは 1812 または 1645 です) が開いていることを確認します。ポートは、既定では開いていません。ポートが開いている場合は、そのポートがサーバー上の他の何かに使用されていないことを確認してください。これは、使用されていると Gateway と競合するためです。

    Gateway が動作するには、構成した UDP RADIUS ポート用に新しい受信ファイアウォール ルールを作成するか、Windows ファイアウォールを無効にしなければならない場合があります。

  2. Gateway ページの AuthPoint management UI で、Gateway 名の横にある円形のアイコンにチェックを入れます。緑色のアイコンは、Gateway が正常にインストールされており、AuthPoint と通信できることを示します。

    Gateway のインストールが失敗した場合は、インストールに使用する新たなキーを生成する必要があります。

セカンダリ Gateway を構成しインストールする

それぞれのプライマリ Gateway に 5 つまでのセカンダリ Gateway を追加できます。セカンダリ Gateway を追加すると、プライマリ Gateway のプロパティと関連付けを継承します。プライマリ Gateway を編集すると、それらの変更内容はすべてのセカンダリ Gateway にも反映されます。

セカンダリ Gateway を追加するには、バージョン 5 以降のプライマリ Gateway をインストールする必要があります。

セカンダリ Gateway を追加するには、以下の手順を実行します。

  1. プライマリ Gateway のタイルで セカンダリを追加する をクリックします。
  2. セカンダリ Gateway の名前を入力します。
  3. 保存 をクリックします。
    セカンダリ Gateway が作成されます。
  4. 追加したセカンダリ Gateway の横で をクリックし、登録キー を選択します。
    登録キー ウィンドウが開きます。
  5. セカンダリ Gateway の登録キーをコピーします。Gateway をインストールするにはこの値が必要です。

セカンダリ Gateway を追加したら、別の Gateway (バージョン 5 以降) をダウンロードしてネットワークのプライマリ Gateway とは異なる場所にインストールする必要があります。セカンダリ Gateway をインストールする手順は、プライマリ Gateway をインストールする手順と同じです。Gateway をインストールするには、以下を参照してください:Gateway をダウンロードしてインストールする

セカンダリ Gateway にはインストールに使用される独自の登録キーがあります。セカンダリ Gateway をインストールする際には、必ず正しい登録キーを使用してください。

プライマリ Gateway を変更する

1 つ以上のセカンダリ Gateway を構成してある場合は、セカンダリ Gateway を LDAP ユーザーの同期に使用する新しいプライマリ Gateway にするよう選択できます。現在のプライマリ Gateway はセカンダリ Gateway になります。

プライマリ Gateway を変更するには、セカンダリ Gateway が WatchGuard Cloud にインストールされ、接続済みでなければなりません。

プライマリ Gateway を変更するには、以下の手順を実行します。

  1. セカンダリ Gateway の横で をクリックし、プライマリにする を選択します。
    プライマリ Gateway にするウィンドウが開きます。
  2. プライマリにする をクリックします。

セカンダリ Gateway がプライマリ Gateway になり、Active Directory または LDAP データベースからユーザーを同期するのに使用されます。

関連情報:

インストールされた Gateway 更新する

Gateway 登録キー

Active Directory または LDAP からユーザーを同期する

RADIUS クライアントで MFA を構成する

AuthPoint Gateway のサービス ポートを変更する

検疫済みユーザー