Windowsログオン認証情報を使用してオンプレミスのActive Directoryユーザを透過的に認証するように、NTLM v2またはKerberosベースのシングルサインオンを設定します。
注意NTLM v2およびKerberosベースのシングルサインオンは、 Active Directoryドメイン内のユーザデバイスにのみ適用されます。サービスを有効にする前に、必要なユーザデバイスがオンプレミスのActive
Directoryドメインに参加していることを確認し、次の項目を確認してください。
|
NTLM v2またはKerberosベースのシングルサインオンを計画する場合は、次の制限事項を考慮してください。
-
Secure Access Moduleがインストールされていない場合、管理対象のインターネットアクセスクラウドゲートウェイによって識別される企業ネットワークの外部の場所から接続するユーザをインターネットアクセスで認証することはできません。
-
NTLM v2ベースのシングルサインオンの場合: Active Directoryグローバルカタログサーバを使用している場合、組織内の同じユーザ名を持つユーザに対してインターネットアクセスルールの不一致が発生することがあります。
-
Kerberosベースのシングルサインオンの場合: Kerberos認証ユーザのユーザプリンシパル名がActive Directoryで使用される名前と異なる場合、ユーザまたはグループベースのルールをユーザに適用できないことがあります。
手順
- に移動し、 [Active Directoryを使用したSingle Sign-On (オンプレミス)]をクリックします。
- シングルサインオンを有効にします。
- 認証のためにActive Directoryと通信するための認証プロキシとして割り当てるオンプレミスゲートウェイを選択します。すべてのオンプレミスActive Directoryユーザは、指定されたゲートウェイを介して、指定されたActive Directoryサーバで認証されます。
注意
オンプレミスゲートウェイは、認証トラフィックにポート8089を使用します。 - 組織の信頼できるサーバ証明書を選択してインポートします。
注意
-
初期設定では、インターネットアクセスはHTTPS検査用の組み込みのCA証明書を使用して、ユーザ認証用のサーバ証明書に署名します。カスタム証明書を使用するには、オプションを選択し、独自の証明書と秘密鍵をアップロードし、パスワードを入力して確認します。
-
証明書の共通名 (CN) とサブジェクトの別名 (SAN) は、指定されたオンプレミスゲートウェイのホスト名と一致する必要があります。
-
- 必要に応じて、NTLM v2ベースのシングルサインオンを有効にするように選択します。
- Trend Vision One コンソールで、 Active Directoryサーバの種類を選択し、Active DirectoryサーバのIPアドレスまたはFQDNを指定します。
- [LDAPSを使用]を選択して、 Active Directoryとの通信中に認証データを保護します。
- 選択したサーバの種類とプロトコルに基づいて、認証データを送信するポートを指定します。プロトコルMicrosoft Active DirectoryMicrosoft Active DirectoryグローバルカタログLDAP3893268LDAPS6363269
- 管理者権限を持つアカウントを使用して、 Active Directoryサーバにサインインします。
- に移動 。[Group Policy Management] 画面が表示されます。
- 左側のナビゲーションメニューから、フォレストとドメインを選択します。
- ドメインの下にある [Default Domain Policy] を右クリックし、 Edit...を選択します。[Group Policy Management Editor] が表示されます。
- [Computer Configuration]で、次の場所に移動します。 。
- LDAPを使用している場合:
-
[Domain controller: LDAP server signing requirements]をダブルクリックします。
-
[Define this policy setting]をクリックします。
-
[なし]を選択します。
-
[適用]→[OK] の順にクリックします。
-
- LDAPSを使用している場合:
-
[Domain controller: LDAP server channel binding token requirements]をダブルクリックします。
-
[Define this policy setting]をクリックします。
-
[Never]を選択します。
-
[適用]→[OK] の順にクリックします。
グループポリシーの変更が有効になると、NTLM v2認証が正常に有効になります。この処理には、最大2時間かかることがあります。 -
- 必要に応じて、Kerberosベースのシングルサインオンを有効にして、必要なkeytabファイルをアップロードします。
- 管理者権限を持つアカウントを使用して、 Active Directoryドメインコントローラにサインインします。
- Kerberos認証のサービスプリンシパル名 (SPN) として機能する新しいActive Directoryユーザを作成します。
-
アカウントのユーザ名とパスワードを指定します。
-
キータブファイルが有効なままであることを確認するには、オプション [Password never expires] を選択します。
-
アカウントを認証に使用できるようにするには、 [This account supports Kerberos AES 256 bit encryption] オプションを選択します。
注意
認証アカウントの設定は、 Active Directoryで該当するユーザを選択し、。
-
- コマンドラインから次のコマンドを実行して、新しいユーザをSPNとして設定します。
setspn -a HTTP/<auth proxy fqdn> <user name>
注意
の<認証プロキシ FQDN>
インターネットアクセスオンプレミスゲートウェイをホストするサービスゲートウェイのFQDNです。FQDNは、 Active Directory サーバーの構成。 - 次のコマンドを実行して、新しいSPNをKerberosサービスに関連付けるキータブファイルを生成します。
ktpass -princ HTTP/<auth proxy fqdn>@<DOMAIN> -mapuser <user name>@<domain> -pass <user password> -out swg.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -crypto all
という名前のkeytabファイルswg.keytab
次の場所に生成および保存されます。C:¥¥Users¥¥Administrator
。注意
-
Kerberosコマンドでは大文字と小文字が区別されます。 keytab生成コマンドで、オンプレミスゲートウェイに基づくサーバのFQDN (<auth proxy fqdn> ) はすべて小文字ですが、Kerberosレルム ( Active Directoryドメイン、@<DOMAIN> ) はすべて大文字にする必要があります。
-
keytabファイルが変更された場合、認証の失敗を避けるために、ユーザはKerberosキャッシュをクリアする必要がある場合があります。
-
- 生成されたkeytabファイルを、 Trend Vision One コンソールの Single Sign-On with Active Directory (On-Premises) のKerberos設定にアップロードします。
- [保存] をクリックします。設定が有効になるまでに数分かかることがあります。
- [ゲートウェイ] 画面でオンプレミスゲートウェイのステータスを表示します。
-
[認証プロキシの設定]: インターネットアクセスは、NTLM v2またはKerberosベースのシングルサインオン設定をオンプレミスゲートウェイに適用しています。
-
[認証プロキシとして使用]: オンプレミスゲートウェイが認証プロキシとして正常に設定されました。
-
[認証プロキシエラー]: 次のいずれかの問題が原因でエラーが発生しました:
-
オンプレミスゲートウェイは、 Service GatewayアプライアンスでZero Trust Secure Accessオンプレミスゲートウェイサービスが無効になっているかアンインストールされているときに、 Active Directoryサーバまたは Trend Vision One との通信を試行しました。
-
Service Gatewayアプライアンスが切断されました。
-
オンプレミスゲートウェイのホスト名がKerberosキータブファイル内のSPNに関連付けられていません。
-
-