Firebox でロールベースの管理を使用することで、組織内の複数の個人間で Firebox の構成やモニタリングの責任を共有することができます。これにより、監査レポートを実行して、デバイス構成ファイルに変更を加えた管理者と、変更内容を監視することができます。組み込みの Firebox ユーザー アカウントを使用するか、独自のアカウントを作成することもできます。
Firebox のロールおよびユーザーについて
| ロール | 説明 |
|---|---|
| デバイス管理者 | デバイス管理者ロールに割り当てられたユーザー アカウントは、読み取り書き込み権限を持つユーザーとしてデバイスに接続し、デバイス構成ファイルに変更を加えたり、デバイスをモニタすることができます。 |
| デバイス モニタ | デバイス モニタ ロールに割り当てられたユーザー アカウントは、読み取り専用権限を持つユーザーとしてデバイスに接続し、デバイスをモニタすることができます。 |
| ゲスト管理者 | ゲスト管理者ロールに割り当てられたユーザー アカウントにできることは、デバイスに接続し、そのデバイス上で有効に設定されたホットスポットへの接続に関連して、ゲスト ユーザー アカウントのリストを管理することだけです。 |
デバイス管理者、デバイス モニタ、またはゲスト管理者権限を持つ複数のユーザーが、Firebox に同時に接続することができます。この機能が有効で、Fireware Web UI でデバイス管理者の認証資格を使用して Firebox に接続した場合、Firebox デバイス構成ファイルの構成設定を変更する前にファイルをロック解除する必要があります。
詳細については、以下を参照してください:
- 複数の管理者権限を持つユーザーを同時に Firebox にログインできるようにするには、以下を参照してください: Firebox のグローバル設定を定義する。
- 構成ファイルをロック解除して変更を加える方法の詳細については、次のセクションを参照してください:構成ファイルをロックおよびロック解除する。
- Firebox で使用可能な事前定義ロールの詳細については、次を参照してください: 事前定義ロールについて。
- ゲスト管理者ユーザー アカウントを管理する方法の詳細については、次を参照してください: ホットスポット設定を構成する。
| 既定のユーザー アカウント | 説明 | 既定のパスフレーズ |
|---|---|---|
| admin | 読み取りと書き込み権限を持つ、既定のデバイス管理者ユーザー アカウント。 | readwrite |
| ステータス | 読み取りのみの権限を持つ、既定のデバイス モニタのユーザー アカウント。 | readonly |
| wg-support | お使いのデバイスに WatchGuard サポートがアクセスするためのユーザー アカウント既定では無効になっています。 | なし |
Fireware v12.0.1 以降では、サポート アクセス オプションを有効にして、Firebox で WatchGuard Support からの接続に使用できる一時的な読み取り専用のユーザー アカウントを作成できます。詳細については、サポート アクセスを有効化 を参照してください。
Firebox に新しいデバイス管理ユーザーを追加すると、そのユーザーのアカウント情報は、デバイス構成ファイルとは別のファイルに格納されます。これは、以前のバージョンの構成ファイルを Firebox に復元する必要が生じても、追加したユーザー アカウントがその影響を受けないことを意味します。ただし、Firebox の出荷時の既定設定を復元した場合は、追加したデバイス管理ユーザー アカウントはすべて削除され、既定のユーザー アカウントのみが使用可能になり、既定のパスフレーズが復元されます。
Firebox 上のデバイス管理ユーザー アカウントに、以下の認証サーバーを使用することができます:
- Firebox-DB
- Active Directory
- LDAP
- RADIUS
- AuthPoint
外部のサードパーティ認証サーバー (Firebox-DB 以外) の場合は、ユーザー アカウントを Firebox に追加する前に必ず認証サーバーに追加してください。Firebox でユーザー アカウントに指定するユーザー アカウント認証情報は、大文字と小文字が区別され、サードパーティ認証サーバーで指定した認証情報と同じでなければなりません。
ロールおよびユーザーを管理する
デバイス管理者 または デバイス モニタ ロールのユーザー アカウントを追加できます。外部のサードパーティ認証サーバー (Firebox-DB 以外) からユーザー アカウントを追加するには、Firebox でその認証サーバーの設定をあらかじめ構成しておく必要があります。また、認証サーバーにユーザー アカウントがすでに存在することを確認する必要があります。Firebox-DB 認証サーバーを使用するユーザー アカウントのパスフレーズのみ指定する必要があります。外部認証サーバー (Active Directory Server など) からユーザー アカウントを追加すると、ユーザーが Firebox にログインする際に、認証サーバーの設定でそのユーザー アカウントに指定されているパスワードが使用されます。
デバイス管理ユーザーがログインする際に多要素認証 (MFA) を要求するには、認証サーバーとして AuthPoint を指定します。これを行うには、Firebox で Fireware v12.7 以降が実行されており、AuthPoint で Firebox リソースを構成する必要があります。
- システム > ユーザーとロール の順に選択します。
ユーザーとロール ページが開きます。
- 追加 をクリックします。
ユーザーの追加 ダイアログ ボックスが開きます。
![[ユーザーの追加] ダイアログ ボックスのスクリーンショット](images/web_add-user.jpg)
- ユーザー名 テキスト ボックスに、ユーザー アカウントの名前を入力します。
- 認証サーバー ドロップダウン リストから、このユーザー アカウントの認証サーバーを選択します。
- ロール ドロップダウン リストから、このユーザー アカウントのロールを選択します。
- (Firebox-DB のみ) パスフレーズ と パスフレーズの確認 テキスト ボックスで、このユーザー アカウントのパスフレーズを入力します。
- OK をクリックします。
ユーザーとロール リストにユーザー アカウントが表示されます。 - 保存 をクリックします。
- ファイル > ユーザーおよびロールの管理 の順に選択します。
ログイン ダイアログ ボックスが開きます。
- 管理者ユーザー名 と 管理者パスフレーズ テキスト ボックスに、デバイス管理者権限を持つユーザー アカウントの認証情報を入力します。
- 認証サーバー ドロップダウン リストから、指定したユーザー アカウントが所属する認証サーバーを選択します。
- OK をクリックします。
ユーザーとロールの管理 ダイアログ ボックスが開きます。
- 追加 をクリックします。
ユーザーの追加 ダイアログ ボックスが開きます。
![[ユーザーの追加] ダイアログ ボックスのスクリーンショット](images/wsm_pm_add-user.jpg)
- ユーザー名 テキスト ボックスに、ユーザー アカウントの名前を入力します。
- 認証サーバー ドロップダウン リストから、このユーザー アカウントの認証サーバーを選択します。
- ロール ドロップダウン リストから、このユーザー アカウントのロールを選択します。
- (Firebox-DB のみ) パスフレーズ と パスフレーズの確認 テキスト ボックスで、このユーザー アカウントのパスフレーズを入力します。
- OK をクリックします。
ユーザーおよびロールの管理 リストにユーザー アカウントが表示されます。
- ツール > ユーザーとロールの管理 の順に選択します。
ユーザーおよびロールの管理 のログインダイアログ ボックスが表示されます。
- ユーザー名 と パスフレーズ テキスト ボックスに、デバイス管理者権限を持つユーザー アカウントの認証情報を入力します。
- 認証サーバー ドロップダウン リストから、指定したユーザー アカウントが所属する認証サーバーを選択します。
- Active Directory server を選択した場合、ドメイン テキスト ボックスに Active Directory server のドメイン名を入力してください。
- OK をクリックします。
ユーザーとロールの管理 ダイアログ ボックスが開きます。
- 追加 をクリックします。
ユーザーの追加 ダイアログ ボックスが開きます。
- ユーザー名 テキスト ボックスに、ユーザー アカウントの名前を入力します。
- 認証サーバー ドロップダウン リストから、このユーザー アカウントの認証サーバーを選択します。
- ロール ドロップダウン リストから、このユーザー アカウントのロールを選択します。
- (Firebox-DB のみ) パスフレーズ と パスフレーズの確認 テキスト ボックスで、このユーザー アカウントのパスフレーズを入力します。
- OK をクリックします。
ユーザーおよびロールの管理 リストにユーザー アカウントが表示されます。
Firebox で作成したユーザー アカウントを編集する場合、ユーザー名または認証サーバー設定を変更できません。変更できるその他の設定は、ユーザー アカウントで指定した認証サーバーによって異なります。外部の認証サーバーのユーザー アカウントの場合、ユーザー アカウントおよびパスフレーズに割り当てられたロールを変更できます。Firebox-DB 認証サーバーで定義したユーザーの場合、パスフレーズのみ変更できます。
ユーザー アカウントに指定されているユーザー名または認証サーバーを変更するには、そのユーザーを ユーザーおよびロールの管理 リストから削除して、適切な設定を使用してユーザー アカウントを再度追加する必要があります。
組み込みの admin および status ユーザー アカウントでは、パスフレーズのみ変更できます。wg-support ユーザー アカウントでは、ロールとパスフレーズを変更できます。
- ユーザーとロール リストから、ユーザー アカウントを選択します。
- 編集 をクリックします。
ユーザーを編集する ダイアログ ボックスが開きます。 - 別のロールを選択するか、新しいパスフレーズを指定します。
- OK をクリックします。
- 保存 をクリックします。
- ユーザーおよびロールの管理 リストから、ユーザー アカウントを選択します。
- 編集 をクリックします。
ユーザーを編集する ダイアログ ボックスが開きます。 - 別のロールを選択するか、新しいパスフレーズを指定します。
- OK をクリックします。
Firebox 上で作成したユーザー アカウントのみ削除できます。既定の埋め込みユーザー アカウント (admin、status、および wg-support) は削除できません。
- ユーザーとロール リストから、ユーザー アカウントを選択します。
- 削除 をクリックします。
確認メッセージが開きます。 - はい をクリックします。
ユーザーとロール リストからユーザーが削除されます。 - 保存 をクリックします。
- ユーザーおよびロールの管理 リストから、ユーザー アカウントを選択します。
- 削除 をクリックします。
確認メッセージが開きます。 - はい をクリックします。
ユーザーおよびロールの管理 リストからユーザーが削除されます。
総当たり攻撃によりユーザー アカウントのパスワードが推測されるのを防ぐために、アカウント ロックアウトを有効化することができます。アカウント ロックアウトが有効化されていると、連続してログイン試行失敗が指定回数に達すると Firebox で一時的にユーザー アカウントがロックされ、一時的なアカウント ロックアウトが指定回数に達するとユーザー アカウントが永続的にロックされます。ユーザー アカウントが永続的にロックされた場合は、デバイス管理者 の認証を持つユーザーのみがそのロックを解除することができます。
既定のadmin ユーザー アカウントは、一時的にはロックできますが、永続的にロックすることはできません。
- システム > ユーザーとロール の順に選択します。
ユーザーとロール ページが開きます。 - アカウント ロックアウト タブを選択します。
- アカウントのロックアウトを有効化する チェックボックスを選択します。
- ログイン試行の失敗 テキスト ボックスに、試行失敗の指定回数を入力します。この指定回数だけ連続してログイン試行失敗が発生すると、一時的にユーザー アカウントがロックされます。
- ユーザーがロックアウトされる期間 テキスト ボックスに、アカウントが一時的にロックされた状態に維持される時間を分単位で入力します。
- 一時的なロックアウト テキスト ボックスに、一時的なアカウントロックアウトの指定回数を入力します。一時的なアカウントロックアウトがこの指定回数に達すると、ユーザー アカウントが永続的にロックされます。ヒント!
- 保存 をクリックします。
- 設定 > 認証 > 認証設定 の順に選択します。
- 管理セッション セクションで アカウント ロックアウト をクリックします。
アカウント ロックアウトのダイアログ ボックスが開きます。
- アカウントのロックアウトを有効化する チェックボックスを選択します。
- ログイン試行の失敗 テキスト ボックスに、試行失敗の指定回数を入力します。この指定回数だけ連続してログイン試行失敗が発生すると、一時的にユーザー アカウントがロックされます。
- ユーザーがロックアウトされる期間 テキスト ボックスに、アカウントが一時的にロックされた状態に維持される時間を分単位で入力します。
- 一時的なロックアウト テキスト ボックスに、一時的なアカウントロックアウトの指定回数を入力します。一時的なアカウントロックアウトがこの指定回数に達すると、ユーザー アカウントが永続的にロックされます。ヒント!
- OK をクリックします。
デバイス管理ユーザー アカウントでアカウントのロックアウトが有効化されている場合、指定数の失敗ログイン試行回数を超えるとデバイス管理ユーザー アカウントが一時的または永続的にロックされることがあります。デバイス管理者認証を持つユーザーがロックを解除できます。
- システム > ユーザーとロール の順に選択します。
ユーザーとロール タブが選択された状態で、ユーザーとロール ページが開きます。ロックアウト ステータス列に、アカウントがロックされているかが表示されます。 - ロックされているアカウントを選択します。
- ロック解除 をクリックします。
確認メッセージが開きます。 - はい をクリックします。
- ユーザーとロール ページから、ロックされたアカウントを選択します。
ユーザーとロールタブのロックアウト ステータス 列には、アカウントがロックされているかどうかを示します。 - ロック解除 をクリックします。
確認メッセージが開きます。 - はい をクリックします。
また、Firebox System Manager の 認証リスト タブからもユーザー アカウントのロック解除ができます。詳細については、認証済みユーザー (認証リスト) を参照してください。
(Fireware Web UI のみ)
複数のデバイス管理者が同時に Fireware Web UI から Firebox に接続できるようにした場合、デバイス管理者ユーザーが Firebox デバイス上の構成ファイルの構成設定に変更を加える前に、そのユーザーは構成ファイルをロック解除する必要があります。構成ファイルに変更を加えるためにデバイス管理者が構成ファイルをロック解除した場合、そのデバイス管理者が同じ構成ファイルを再度ロックするか、またはログアウトするまで、デバイス管理者権限を持つその他のユーザーに対してその構成ファイルはロック状態になります。
複数のデバイス管理者が同時に Firebox にログインできるようにする方法の詳細については、次を参照してください:Firebox のグローバル設定を定義する。
構成ファイルをロック解除するには、Fireware Web UI から以下の手順を実行します:
ページの上にある 
をクリックします。
構成ファイルをロックするには、Fireware Web UI から以下の手順を実行します:
ページの上にある 
をクリックします。
どのデバイス管理ユーザーが Firebox に変更を行ったかを調べるには、監査証跡 レポートを確認します。このレポートには、監査対象の Firebox 構成の変更に関する詳細リストが含まれます。
レポートで監査証跡の詳細を確認する前に、監査証跡ログ メッセージが WSM Log Server または Dimension のインスタンスに送信されるように Firebox を構成する必要があります。Firebox の ログ記録設定で、この Firebox の構成が変更された場合にログ メッセージを送信する チェックボックスをオンにします。
詳細については、以下を参照してください:
- Firebox が監査証跡ログ メッセージを生成するように Policy Manager から構成する方法の詳細については、次を参照してください: Firebox がログ メッセージを送信する場所を定義する。
- Firebox が監査証跡ログ メッセージを生成するように Fireware Web UI から構成する方法の詳細については、次を参照してください: ログ記録の設定とパフォーマンス統計を構成する (Web UI)。
- Report Manager で監査証跡レポートを生成する方法の詳細については、次を参照してください: レポートを Report Manager で表示する。
- Dimension で監査証跡レポートを表示する方法の詳細については、次を参照してください: レポートを表示する。