ユーザー認証について
Firebox を認証サーバーとして構成すると、Firebox は、ネットワークへのアクセスをユーザーに提供するために作成されたユーザー アカウントを保存します。
Firebox 認証は通常、サードパーティの認証サーバーを持たず、複数のアプリケーションのユーザー アカウントを一括管理する必要がない組織によって使用されます。Firebox にはポリシー、あらゆる VPN の種類、管理アクセスおよび、ユーザーの認証を行う他のすべての Firebox 機能を使用することができます。
ユーザー認証のしくみ
ユーザー認証は、ユーザーが本人であるかどうかを見極めてそのユーザーに割り当てられている権限を検証するプロセスです。Firebox では、ユーザー アカウントはユーザー名およびパスフレーズの 2 つの部分で構成されます。各認証ユーザーは 1 つの IP アドレスに関連付けられています。ユーザー名、パスフレーズおよび IP アドレスの組み合わせにより、デバイス管理者はデバイスを通過する接続を監視することができます。認証により、ユーザーは任意のコンピュータからネットワークにログインできますが、アクセスできるのはユーザーが認証されているネットワーク ポートおよびプロトコルのみです。これにより、Firebox は、ユーザーが認証されている間、特定の IP アドレスより開始されるすべての接続をマップしてセッション名を送信します。
ファイアウォール ポリシーとユーザー / グループによる認証を使用する
指定したネットワーク リソースへのアクセス権をユーザーやグループに付与するには、ファイアウォール ポリシーを作成できます。これは異なるユーザーが 1 つのコンピュータまたは 1 つの IP アドレスを共有しているネットワーク環境で有用です。
Firebox を認証サーバーとして構成するには、以下の手順を実行します。
- 人々が行う業務とそれに必要な情報に基づいて会社をグループに分割します
- それらのグループのユーザーを作成します
- グループとユーザーをポリシーに割り当てます
認証サーバーについて
Firebox をローカル認証サーバーとして構成できます。または、既存の Active Directory や LDAP 認証サーバー、RADIUS 認証サーバーを使用できます。Firebox で Fireware v12.7 以降が実行されている場合は、AuthPoint 認証サーバーを有効にして使用し、ユーザーの認証時に多要素認証 (MFA) を要求することもできます。
ポート 4100 上で Firebox 認証を使用すると、アカウント権限をユーザー名に基づいて設定できます。サードパーティ認証を使用する場合、サードパーティ認証サーバーで認証されるユーザーのアカウント権限はユーザーのセキュリティ グループ メンバーシップに基づきます。
AuthPoint MFA を使用したユーザー認証について
Fireware v12.7 以降が実行されている Firebox には AuthPoint 認証サーバーが含まれています。AuthPoint を使用する場合は、AuthPoint 認証サーバーを有効にして使用し、ユーザーの認証時に多要素認証 (MFA) を要求することができます。
こうすることで、以下において AuthPoint MFA の構成が容易になります。
- Mobile VPN with SSL
- Mobile VPN with IKEv2
- Firebox Web UI
- Firebox 認証ポータル
既定では、Firebox の AuthPoint 認証サーバーは、無効になっています。Firebox で AuthPoint 認証サーバーを有効化するには、AuthPoint で Firebox を Firebox リソースとして追加する必要があります。AuthPoint で Firebox リソースを追加する手順の詳細については、次を参照してください:Firebox の MFA を構成する。
Firebox で AuthPoint 認証サーバーを有効化するには、Firebox をローカル管理の Firebox として WatchGuard Cloud に登録して接続する必要があります。Firebox を WatchGuard Cloud に登録して接続する手順の詳細については、次を参照してください:ローカル管理の Firebox を WatchGuard Cloud に追加する。
AuthPoint に Firebox リソースを追加すると、Firebox の AuthPoint 認証サーバーが有効になります。MFA を追加するには、AuthPoint 認証サーバーを使用するよう Firebox を構成する必要があります。
- Mobile VPN with SSL — Fireware で、AuthPoint を Mobile VPN with SSL 構成のプライマリ認証サーバーとして構成します
AuthPoint 認証サーバーを Mobile VPN with SSL の構成に追加した場合、ユーザーは WatchGuard Mobile VPN with SSL クライアント v12.7 以降または OpenVPN SSL クライアントをダウンロードして使用する必要があります。
- Mobile VPN with IKEv2 — Fireware で、AuthPoint を Mobile VPN with IKEv2 構成のプライマリ認証サーバーとして構成します
- Firebox 認証ポータル — Fireware で、AuthPoint をユーザーとグループの認証サーバーとして指定します。
- Fireware Web UI — Fireware で システム > ユーザーとロール の順に移動し、AuthPoint を認証サーバーとするデバイス管理ユーザーを追加します。
AuthPoint という名前の既存の認証サーバーがある場合、その認証サーバーは、以下が行われた際に自動的に AuthPoint.1 に名前が変更されます。
- Firebox を Fireware v12.7 にアップグレードした場合
- WSM または Policy Manager v12.7 以降を使用して、Fireware 12.6.x 以降を実行する Firebox を管理した場合
既定の認証サーバーではない既存の AuthPoint RADIUS 認証サーバーの名前が変更された場合、ユーザーはログインしてその認証サーバーを使用する際に、新しい認証サーバー名 (AuthPoint.1) を入力する必要があります。
認証済みユーザーの追跡方法
WatchGuard のユーザー認証機能では、ユーザー名を特定の IP アドレスに関連付け、デバイスを通過するユーザーの接続を認証し追跡できるようにします。デバイスについて、接続のたびに行われる基本的な応答は、送信元 X から送信先 Y に向かうトラフィックを許可するかどうかです。WatchGuard 認証機能が正しく動作するようにするには、ユーザーが認証されている間、ユーザーのコンピュータの IP アドレスが変更されないようにしなくてはなりません。
認証、会計、およびアクセス制御 (AAA) は、IP アドレスとユーザー間の安定したアソシエーションに基づいて、 Firebox でサポートされます。多くの環境では、IP アドレスとその IP アドレスを使用するユーザー コンピュータの関係は充分に安定しているため、そのユーザーの認証に使用できます。アプリケーションがターミナルサーバーから実行されるキオスク端末やネットワークなどのように、ユーザーと IP アドレスの間の関連付けが一貫していない環境では、セキュアな認証のために、Terminal Services Agent を使用することをお勧めします。詳細については、Terminal Services Agent をインストールおよび構成する を参照してください。
シングル サインオン (SSO) について
WatchGuard では、シングル サインオン (SSO) を介した Active Directory ドメインに対する認証がサポートされており、よく使用される他の認証サーバーもサポートされています。加えて、非アクティブ設定およびセッション時間制限がサポートされています。これらの制御により、1 つの IP アドレスがデバイスを介したトラフィックの通過を許可される時間が制限され、その時間に達するとユーザーはパスワードを再び入力する必要があります(再認証)。
許可リストで SSO アクセスを制御し、非アクティブ タイムアウト、セッション タイムアウト、および認証が許可されているユーザーを管理すると、認証、アカウンティング、アクセス制御の管理を強化できます。ユーザーが認証できないようにするため、認証サーバー上のそのユーザーのアカウントを無効にする必要があります。
認証と IPv6 サポート
IPv6 アドレスでデバイスを構成した場合、ポート 4100 上の Firebox 認証に IPv6 アドレスを使用できます。また、IPv4 アドレスに RADIUS サーバーなどのサードパーティの認証サーバーを使用すると、デバイスを使って IPv6 アドレスを持つクライアントに IPv6 接続を行うことができます。
ユーザー認証のトラブルシューティングを行うには、テスト ポリシーを作成することをお勧めします。次に、テスト ポリシーで指定されているグループのメンバーとなっているユーザーとして、Firebox での認証を試みます。