ビュー:

Windowsログオン認証情報を使用してオンプレミスのActive Directoryユーザを透過的に認証するように、NTLM v2またはKerberosベースのシングルサインオンを設定します。

注意
注意
NTLM v2およびKerberosベースのシングルサインオンは、 Active Directoryドメイン内のユーザデバイスにのみ適用されます。サービスを有効にする前に、必要なユーザデバイスがオンプレミスのActive Directoryドメインに参加していることを確認し、次の項目を確認してください。
NTLM v2またはKerberosベースのシングルサインオンを計画する場合は、次の制限事項を考慮してください。
  • Secure Access Moduleがインストールされていない場合、管理対象のインターネットアクセスクラウドゲートウェイによって識別される企業ネットワークの外部の場所から接続するユーザをインターネットアクセスで認証することはできません。
  • NTLM v2ベースのシングルサインオンの場合: Active Directoryグローバルカタログサーバを使用している場合、組織内の同じユーザ名を持つユーザに対してインターネットアクセスルールの不一致が発生することがあります。
  • Kerberosベースのシングルサインオンの場合: Kerberos認証ユーザのユーザプリンシパル名がActive Directoryで使用される名前と異なる場合、ユーザまたはグループベースのルールをユーザに適用できないことがあります。

手順

  1. [Zero Trust Secure Access][ Secure Access Configuration][ Internet Access and AI Service Access Configuration][グローバル設定] に移動し、[Active Directoryを使用したSingle Sign-On (オンプレミス)] をクリックします。
  2. シングルサインオンを有効にします。
  3. 単一のオンプレミスゲートウェイまたはロードバランサーの背後にある複数のオンプレミスゲートウェイを認証プロキシとして選択し、認証のためにActive Directoryと通信します。
    • 単一ゲートウェイ: すべてのオンプレミスのActive Directoryユーザは、指定されたオンプレミスのゲートウェイを介して、指定されたActive Directoryサーバーで認証されます。
      注意
      注意
      • オンプレミスゲートウェイは、認証トラフィックにポート8089を使用します。
      • 認証プロキシをサポートするオンプレミスゲートウェイのみがリストに表示されます。
    • 複数のゲートウェイ: 高いサービス可用性を確保するために、ユーザはロードバランサーを介して複数のオンプレミスゲートウェイで認証されます。構成されたロードバランサーのIPアドレスまたはFQDNを指定する必要があります。ロードバランサーの割り当てと構成方法については、ロードバランサーを構成して、複数のインターネットアクセスオンプレミスゲートウェイを認証プロキシとして使用するを参照してください。
  4. 組織の信頼できるサーバ証明書を選択してインポートします。
    注意
    注意
    • 初期設定では、インターネットアクセスはHTTPS検査用の組み込みのCA証明書を使用して、ユーザ認証用のサーバ証明書に署名します。カスタム証明書を使用するには、オプションを選択し、独自の証明書と秘密鍵をアップロードし、パスワードを入力して確認します。
    • 証明書の共通名 (CN) およびサブジェクト代替名 (SAN) は、指定されたオンプレミスゲートウェイまたはロードバランサーのホスト名と一致している必要があります。
  5. 必要に応じて、NTLM v2ベースのシングルサインオンを有効にするように選択します。
    1. Trend Vision One コンソールで、Active Directory サーバーの種類を選択します。
    2. [LDAPSを使用]を選択して、 Active Directoryとの通信中に認証データを保護します。
    3. 単一モードまたは高可用性モードを指定してください。
      • 単一モードの場合、Active DirectoryサーバーのIPアドレスまたはFQDNを指定してください。
      • 高可用性モードの場合、トラフィック分散方法を選択してください。
        • フェイルオーバーを選択する場合は、プライマリおよびセカンダリのActive DirectoryサーバーのIPアドレスまたはFQDNを指定してください。
        • ラウンドロビンを選択する場合、認証に使用するすべてのActive DirectoryサーバーのIPアドレスとFQDNを指定してください。
    4. 認証データを送信するためのポートを、選択したサーバータイプとプロトコルに基づいて指定します。
      プロトコル
      Microsoft Active Directory
      Microsoft Active Directoryグローバルカタログ
      LDAP
      389
      3268
      LDAPS
      636
      3269
    5. サインインするには、管理者権限を持つアカウントを使用して、プライマリのActive Directoryサーバーにアクセスしてください。
    6. に移動[開始][Server Manager][Tools][Group Policy Management]
      [Group Policy Management] 画面が表示されます。
    7. 左側のナビゲーションメニューから、フォレストとドメインを選択します。
    8. ドメインの下にある [Default Domain Policy] を右クリックし、 Edit...を選択します。
      [Group Policy Management Editor] が表示されます。
    9. [Computer Configuration]で、次の場所に移動します。[ポリシー][Windows Settings][セキュリティ設定][Local Policies][Security Options]
    10. LDAPを使用している場合:
      1. [Domain controller: LDAP server signing requirements]をダブルクリックします。
      2. [Define this policy setting]をクリックします。
      3. [なし]を選択します。
      4. [適用][OK] の順にクリックします。
      5. すべての認証に使用する他のActive Directoryサーバーに対して、設定手順を繰り返してください。
    11. LDAPSを使用している場合:
      1. [Domain controller: LDAP server channel binding token requirements]をダブルクリックします。
      2. [Define this policy setting]をクリックします。
      3. [Never]を選択します。
      4. [適用][OK] の順にクリックします。
      5. すべての認証に使用する他のActive Directoryサーバーに対して、設定手順を繰り返してください。
      グループポリシーの変更が有効になると、NTLM v2認証が正常に有効になります。この処理には、最大2時間かかることがあります。
  6. 必要に応じて、Kerberosベースのシングルサインオンを有効にして、必要なkeytabファイルをアップロードします。
    1. 管理者権限を持つアカウントを使用して、 Active Directoryドメインコントローラにサインインします。
    2. Kerberos認証のサービスプリンシパル名 (SPN) として機能する新しいActive Directoryユーザを作成します。
      1. アカウントのユーザ名とパスワードを指定します。
      2. キータブファイルが有効なままであることを確認するには、オプション [Password never expires] を選択します。
      3. アカウントを認証に使用できるようにするには、 [This account supports Kerberos AES 256 bit encryption] オプションを選択します。
        注意
        注意
        認証アカウントの設定は、 Active Directoryで該当するユーザを選択し、[プロパティ][アカウント][Account options]
    3. コマンドラインから次のコマンドを実行して、新しいユーザをSPNとして設定します。
      setspn -a HTTP/<auth proxy fqdn> <user name>
      注意
      注意
      <認証プロキシ FQDN>インターネットアクセスオンプレミスゲートウェイをホストするサービスゲートウェイのFQDNです。FQDNは、 Active Directory サーバーの構成
    4. 次のコマンドを実行して、新しいSPNをKerberosサービスに関連付けるキータブファイルを生成します。
      ktpass -princ HTTP/<auth proxy fqdn>@<DOMAIN> -mapuser <user name>@<domain> -pass <user password> -out swg.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -crypto all
      という名前のkeytabファイルswg.keytab次の場所に生成および保存されます。 C:¥¥Users¥¥Administrator
      注意
      注意
      • Kerberosコマンドでは大文字と小文字が区別されます。 keytab生成コマンドで、オンプレミスゲートウェイに基づくサーバのFQDN (<auth proxy fqdn> ) はすべて小文字ですが、Kerberosレルム ( Active Directoryドメイン、@<DOMAIN> ) はすべて大文字にする必要があります。
      • keytabファイルが変更された場合、認証の失敗を避けるために、ユーザはKerberosキャッシュをクリアする必要がある場合があります。
    5. 生成されたkeytabファイルを、 Trend Vision One コンソールの Single Sign-On with Active Directory (On-Premises) のKerberos設定にアップロードします。
  7. [保存] をクリックします。
    設定が有効になるまでに数分かかることがあります。
  8. [ゲートウェイ] 画面でオンプレミスゲートウェイのステータスを表示します。
    • [認証プロキシの設定]: インターネットアクセスは、NTLM v2またはKerberosベースのシングルサインオン設定をオンプレミスゲートウェイに適用しています。
    • [認証プロキシとして使用]: オンプレミスゲートウェイが認証プロキシとして正常に設定されました。
    • [認証プロキシエラー]: 次のいずれかの問題が原因でエラーが発生しました:
      • オンプレミスゲートウェイは、 Service GatewayアプライアンスでZero Trust Secure Accessオンプレミスゲートウェイサービスが無効になっているかアンインストールされているときに、 Active Directoryサーバまたは Trend Vision One との通信を試行しました。
      • Service Gatewayアプライアンスが切断されました。
      • オンプレミスゲートウェイのホスト名がKerberosキータブファイル内のSPNに関連付けられていません。