適切なポートとサービスを設定して、エンドユーザがパブリックネットワークまたは企業イントラネットの場所からオンプレミスのActive Directoryサーバを介してSSOを使用して認証できるようにします。
Zero Trust Secure Access On-Premises Gatewayの認証プロキシサービスを使用すると、次のことが容易になります。 NTLM v2またはKerberosでサポートされるシングルサインオン (SSO) 認証オンプレミスのActive Directoryサーバと連携します。このサービスは、ファイアウォール間のDMZ内で実行されます。これにより、ユーザは、企業イントラネット
(上の図のユーザA) から接続する場合でも、パブリックネットワークまたはホームネットワーク (上の図のユーザB) から接続する場合でも、認証のためにアクセスできます。このサービスは、ファイアウォールAのポート443を介してHTTPS経由でTrend Vision Oneから設定とデータを取得します。
設定が完了すると、次のような場合に、エンドユーザがエンドポイントからActive Directoryサーバにアクセスできるようになります。
|
Secure Access Moduleのステータス
|
場所 |
接続方法
|
|
インストール済み
|
任意の場所
|
任意の方法
|
|
インストールされていません
|
企業ネットワーク
|
|
|
インストールされていません
|
パブリックネットワークまたはホームネットワーク
|
インターネットアクセスクラウドゲートウェイ経由定義されたIPアドレス
|
|
インストールされていません
|
パブリックネットワークまたはホームネットワーク
|
オンプレミスのインターネットアクセスゲートウェイ経由 (ファイアウォール経由)
|
認証プロキシサービスを設定する前に、 Service Gateway仮想アプライアンスZero Trust Secure Accessインターネットアクセスオンプレミスゲートウェイサービスを有効にしてインストールします。
手順
- で 、 Single Sign-On with Active Directory (On-Premises) を有効にし、設定手順を完了する。
重要
Kerberosベースの認証を選択した場合、一部のエンドポイントはパブリックネットワーク上ではKerberosサーバに接続できないことがあります。 Kerberos認証が失敗した場合、認証プロキシサービスはNTLM v2ベースの認証を使用します。 - ファイアウォールAのファイアウォール設定で、ユーザが計画している認可プロキシサービスへのアクセス方法に応じて、次のポートを開きます。
-
[TCP 8089]: クラウドゲートウェイを介してパブリックネットワーク上のサービスにアクセスするユーザ向け
重要
認証プロキシサービスでは、待機ポートとしてTCPポート8089も必要です。 -
[TCP 8088]: オンプレミスゲートウェイを介してパブリックネットワーク上のサービスにアクセスするユーザ向け
-
- ファイアウォールBのファイアウォール設定で、オンプレミスゲートウェイを実行しているService GatewayアプライアンスのIPアドレスを許可していることを確認します。
ヒント
[Service Gateway Management]でService GatewayアプライアンスのIPアドレスを確認します。 - サーバの種類とプロトコルに応じて、ファイアウォールBでActive Directoryサーバのポートを開きます。プロトコルMicrosoft Active DirectoryMicrosoft Active DirectoryグローバルカタログLDAP3893268LDAPS6363269