LoginSignup
2
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@hashi156(Haruyuki Hashimoto)

Sophos UTM9+AD認証連携

Last updated at Posted at 2014-09-29

概要

(投稿テストを兼ねて…)
Sophos UTM9のSSL-VPNリモートアクセスを行う際、ユーザ認証にAD認証を使用する方法をまとめました

事前準備

◆Windowsサーバ側設定
・ADのドメイン名:utm9-test.local とする
・Domain Usersグループのメンバーを認証対象とする
 (Domain Users -> CN=Users)

◆AWS側設定(EC2 -> Security Groups)
・Windowsサーバに対するLDAP389/tcpの通信を許可する

設定内容

◆Sophos UTM9側

  1. WindowsサーバのNWオブジェクト登録
     - [定義とユーザ]->[ネットワーク定義]
     - 「新規ネットワークオブジェクト」ボタンをクリック
      + 名前:任意の名称(例:"WinSV")
      + タイプ:「ホスト」を選択
      + IPv4アドレス:WindowsサーバのIPアドレスを入力(例:172.31.30.159)
     - 「保存」ボタンをクリックし、保存する

  2. ユーザ認証方法の設定
     - [定義とユーザ]->[認証サービス]->「サーバ」タグ
     - 「新規認証サーバ」ボタンをクリック
      + バックエンド:「Active Directory」を選択
      + 優先順位:デフォルト(最上位)
      + サーバ:1.で定義したオブジェクトを選択(例:"WinSV")
      + ポート:デフォルト(389)
      + Bind DN:AdminitsratorのDNを入力
        (例:CN=Administrator,CN=Users,DC=utm9-test,DC=local)
      + パスワード:AdministratorのPWを入力
      + サーバ設定のテスト:ボタンをクリックし、成功することを確認
      + Base DN:認証対象となるDNを入力
        (例:CN=Users,DC=utm9-test,DC=local)
     - 「保存」ボタンをクリックし、保存する
     - 認証サーバ一覧より、作成されたエントリの「編集」ボタンをクリック
      + ユーザ名:Domain Usersグループのメンバーのアカウントを入力
      + パスワード:アカウントのPWを入力
      + テストユーザで認証を行う:ボタンをクリックし、成功することを確認
       (Authentication test passed.のメッセージが表示される)

  3. ユーザ自動登録の設定
     - [定義とユーザ]->[認証サービス]->「グローバル設定」タグ->「自動ユーザ作成」
      + 自動的にユーザを作成:チェック
      + 「適用」ボタンをクリック
     - 同「グローバル設定」タグ->「機能別自動ユーザ作成」
      + AD認証の連携のみであれば、デフォルト設定のままでよい
       (エンドユーザポータルにチェック)

  4. 認証用グループの作成
     - [定義とユーザ]->[ユーザとグループ]->「グループ」タグ
     - 「新規グループ」ボタンを選択
      + グループ名:任意の名称(例:"Active Directory Users")
      + グループタイプ:「バックエンドメンバーシップ」を選択
      + バックエンド:「Active Directory」を選択
      + 「バックエンドグループメンバーシップに制限」にはチェックを入れないこと
     - 「保存」ボタンをクリックし、保存する

  5. SSL-VPNの認証方法の変更
     - [リモートアクセス]->[SSL]
     - 既存のSSL-VPN用エントリの「編集」ボタンをクリック
      + ユーザとグループ:4.で定義したオブジェクトを選択
       (例:"Active Directory Users")
      + AD認証のみにする場合、既存のユーザのオブジェクトを除外しておく
     - 「保存」ボタンをクリックし、保存する

備考

・認証ログの確認
 - [ログとレポート]->[ログファイルの閲覧]->「ユーザ認証デーモン」で確認可能

・Sophos側に「シングルサインオン」の機能があるが、Webポータル・SSL-VPNでは使用しない(HTTP,HTTPS proxyのみ使用可能)

・新規ユーザは、自動的にUTM-9にも登録される
  当然ながら、リモート認証としてX509証明書も自動作成される模様

・Sophos側で、以下のパターンのいづれかの設定を行うと、認証エラーとなる(組み合わせまでは検証していない)
 ⇒Webポータルにログオンできないことを確認

 - [定義とユーザ]->[ユーザとグループ]->「ユーザ」タグ
  作成されたユーザの「バックエンド同期」を有効にする
 - [マネジメント]->[ユーザポータル]->[グローバル]タブ
  「すべてのユーザを許可」のチェックボックスを外し、許可ユーザにAD連携認証用グループ(例:Active Directory Users)を追加

・AD認証連携用グループ
   「バックエンドグループメンバーシップに制限」のチェックはあってもなくても変わらない??
 ⇒チェックがない方が良い
  チェックありだと、新規(ADで作成したが、UTM-9に未ログイン)のユーザがログインできない

まとめ

・Sophos側で余計な設定を行わなければ、参考URL+αの設定で容易に連携可能
・AD側も、認証用のユーザを作成し、認証を許可するための適切なグループに登録するだけでよい
・AD側で認証を行うが、Sophosに初めてログインできると、Sophos側ローカルにも自動的にユーザが登録される

参考URL

・Sophos側設定
http://www.sophos.com/en-us/support/knowledgebase/115659.aspx

・AD側設定
http://ascii.jp/elem/000/000/492/492317/

2
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?