Document
SonicOS 䈮䈍䈔䉎 2 ⷐ⚛⸽ | 1 補足、 注意、 お よ び警告 補足: 「補足」 は、 シ ス テムに関する理解を深める ために役立つ重要な情報です。 注意: 「注意」 は、 手順に従わない と ハー ド ウ ェ アの破損やデー タ の消失が生 じ る恐れがあ る こ と を示 し ています。 警告: 「警告」 は、 物的損害、 けが、 または死亡に至る可能性がある こ と を示 し ています。 © 2014 Dell Inc. 記載商標:Dell™、 DELL の ロ ゴ、 SonicWALL™、 ま たはその他すべ て の SonicWALL の製品名、 サー ビ ス 名、 およびス ローガ ンは、 Dell Inc. の商標です。 本ガ イ ド に記載 さ れたその他の製品名および会社名は、 それぞれの会社の商標あるいは登録商標である可能 性があ り 、 それぞれの製造者が所有する財産です。 2014 年 7 月 2 | SonicOS におけ る 2 要素認証 P/N 232-002592-00 Rev. A SonicOS における 2 要素認証 本書の範囲 本書では、 SonicOS 5.9 または SonicOS 6.2 が稼働する Dell SonicWALL ネ ッ ト ワー ク セキ ュ リ テ ィ 装置上で 2 要素認証を設定する方法を説明 し ます。 本書は以下のセ ク シ ョ ン で構成 さ れています。 • 機能の概要 (3 ページ) • SonicOS におけ る 2 要素認証の設定 (5 ページ) 機能の概要 こ のセ ク シ ョ ン では、 SonicOS の 2 要素認証の概要を説明 し ます。 こ のセ ク シ ョ ンは、 次のサブ セ ク シ ョ ン で構成 さ れています。 • 2 要素認証 と は (3 ページ) • 2 要素認証の仕組み (4 ページ) • メ リ ッ ト (4 ページ) • サポー ト 対象プ ラ ッ ト フ ォ ーム (4 ページ) 2 要素認証 と は 2 要素認証 と は、 SonicOS に直接ロ グ イ ン し よ う と する管理者またはユーザの身元を確認する た めの 2 つの段階か ら な る プ ロ セス です。 SonicOS の 2 要素認証は、 以下の要素で構成 さ れています。 • ク ラ イ ア ン ト 証明書の確認 — コ モ ン ア ク セス カ ー ド (CAC) と カ ー ド リ ーダーを使用 し て、 ユーザの身元を認証する こ と が求め ら れます。 コ モ ン ア ク セ ス カ ー ド (CAC) は、 米国国防 総省 (DoD) のス マー ト カ ー ド で、 イ ン タ ーネ ッ ト 上で非常に高度に保護 さ れたア ク セス を必 要 と する職員に よ っ て使用 さ れています。 • ユーザ ロ グ イ ン認証 — ユーザがユーザ名 と パスワー ド を入力で き る、 標準的な ロ グ イ ン画 面を表示 し ます。 SonicOS におけ る 2 要素認証 | 3 2 要素認証の仕組み 2 要素認証では、 2 つのス テ ッ プ を使用 し て ロ グ イ ン す る こ と を ユーザに求めます。 ユーザはま ず、 ク ラ イ ア ン ト 証明書の確認に よ る 検証 を 受け る 必要があ り ま す。 こ こ で は、 カ ー ド リ ー ダーで コ モ ン ア ク セス カ ー ド (CAC) を使用する こ と が求め ら れます。 続いて、 ロ グ イ ン プ ロ ン プ ト に対 し てユーザ名 と パスワー ド を入力する必要があ り ます。 Dell SonicWALL セキ ュ リ テ ィ 装置は、 ウ ェ ブ ブ ラ ウザを用いて HTTP または HTTPS を使用 し て管理で き ます。 SonicOS では、 HTTP 管理は既定で無効にな っ ています。 一般的には HTTPS が、 SonicOS 管理イ ン タ ー フ ェ ースへのロ グ イ ン方法 と し て推奨 さ れます。 「 ク ラ イ ア ン ト 証明 書の確認」 オプ シ ョ ン を使用する には、 HTTPS を使用する必要があ り ます。 補足 補足 補足 CAC は Microsoft Internet Explorer に対応 し ますが、 他のブ ラ ウザでは動作 し ない可能性があ り ます。 CAC を使用する には、 USB ポー ト に接続する外部カ ー ド リ ーダーが必要です。 Dell SonicWALL ネ ッ ト ワー ク セキ ュ リ テ ィ 装置上で 2 要素認証を設定する には、 管理者権限 が必要です。 メリット 2 要素認証は、 Dell SonicWALL ネ ッ ト ワー ク セキ ュ リ テ ィ 装置に ロ グ イ ンするユーザに対 し 、 2 つの異な る方法での認証を求める こ と に よ っ て、 セキ ュ リ テ ィ を強化 し ます。 サポー ト 対象プ ラ ッ ト フ ォ ーム 2 要素認証は、 SonicOS 5.9 ま たは SonicOS 6.2 が稼働す る Dell SonicW ALL ネ ッ ト ワー ク セ キ ュ リ テ ィ 装置でサポー ト さ れています。 4 | SonicOS におけ る 2 要素認証 SonicOS における 2 要素認証の設定 SonicOS において 2 要素認証を設定する には、 以下の手順に従います。 手順 1 「シ ス テム > 管理」 ページに移動 し ます。 手順 2 「ウ ェ ブ管理設定」 パネルま で下方向にス ク ロール し ます。 手順 3 「HTTPS ポー ト 」 ボ ッ ク スに、 使用するポー ト 番号を入力 し ます。 HTTPS 管理用の既定のポー ト は 443 ですが、 こ の既定のポー ト を変更する こ と に よ っ て、 フ ァ イ アウ ォ ールへのロ グ イ ン に対する セキ ュ リ テ ィ を さ ら に高める こ と がで き ます。 手順 4 「 ク ラ イ ア ン ト 証明書の確認を有効にする」 チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 「 ク ラ イ ア ン ト 証明書の確認を有効にする」 チ ェ ッ ク ボ ッ ク スに よ り 、 フ ァ イ アウ ォ ール上での ク ラ イ ア ン ト 証明書確認 と CAC サポー ト を有効/無効にで き ます。 手順 5 「ク ラ イ ア ン ト 証明書の発行者」 ド ロ ッ プダウン リ ス ト から、 ク ラ イ ア ン ト 証明書に署名する適 切な認証局 (CA) を選択 し ます。 「 ク ラ イ ア ン ト 証明書の発行者」 ド ロ ッ プ ダウ ン メ ニ ュ ーには、 認証局 (CA) 証明書の発行者一 覧が表示 さ れます。 こ の リ ス ト に適切な CA が無い場合は、 必要な CA を リ ス ト に イ ンポー ト す る こ と がで き ます。 手順 6 ク ラ イ ア ン ト 証明書に対する OCSP 確認を有効または無効にするには、 「OCSP 確認を有効にす る」 ボ ッ ク ス を オ ン またはオ フ に し ます。 「OCSP 確認を有効にする」 チ ェ ッ ク ボ ッ ク ス を使用する と 、 ク ラ イ ア ン ト 証明書が失効 し てい ない (まだ有効であ る) こ と を確認する OCSP (Online Certificate Status Protocol) 確認を有効また は無効にで き ます。 手順 7 「OCSP 確認用 URL」 フ ィ ール ド に、 証明書の状態を確認するサーバの URL を入力 し ます。 そ の URL は、 OCSP 確認を処理するサーバ側の CGI (Common Gateway Interface) を参照 し てい る 必要があ り ます。 例えば、 http://10.103.63.251/ocsp です。 SonicOS におけ る 2 要素認証 | 5 ク ラ イ ア ン ト 証明書の確認で CAC を使用する場合、 ク ラ イ ア ン ト 証明書はブ ラ ウザに自動的に イ ン ス ト ール さ れます。 HTTPS を介 し て管理セ ッ シ ョ ン を開始す る と 、 証明書の確認を求める 証明書選択ウ ィ ン ド ウが表示 さ れます。 手順 8 手順 9 補足 「OK」 を選択 し ます。 入力を求め ら れた ら、 PIN (個人識別番号) を入力 し ます。 PIN は CAC に格納 さ れる情報を保護す る ものです。 誤 っ た PIN を入力する と ロ グ イ ン に失敗 し ます。 再試行回数が上限 (3 回) に達する と 、 CAC はロ ッ ク アウ ト さ れます。 ユーザが証明書 を 確認 し た後、 フ ァ イ ア ウ ォ ールは ク ラ イ ア ン ト 証明書の発行者 を チ ェ ッ ク し て、 証明書が有効で あ り 、 CA に よ っ て署名 さ れ て い る こ と を 確認 し ま す。 確認 を 終え る と 、 ユーザ ロ グ イ ン ページが表示 さ れます。 6 | SonicOS におけ る 2 要素認証 手順 10 「ユーザ名」 と 「パスワー ド 」 の フ ィ ール ド に、 それぞれユーザ名 と パスワー ド を入力 し ます。 以下のよ う なウ ィ ン ド ウが表示 さ れ、 フ ァ イ アウ ォ ール と 権限のあ るサービ スへのア ク セ スが許 可 さ れた こ と が通知 さ れます。 SonicOS におけ る 2 要素認証 | 7 フ ァ イ アウ ォ ールが、 CA に よ る署名付きの証明書を確認で き ない場合は、 接続が失敗 し た こ と を示す次のよ う な標準的な メ ッ セージがブ ラ ウザに表示 さ れます。 ウ ェ ブ ページ を表示で き ません。 OCSP が有効な場合、 ブ ラ ウザに よ っ て OCSP 確認が行われ、 確認中、 次の メ ッ セージが表示 さ れます。 ク ラ イ ア ン ト 証明書 OCSP の確認中... OCSP 確認に成功す る と 、 ロ グ イ ン ペー ジ が表示 さ れ ま す。 OCSP 確認に失敗す る と 、 次の メ ッ セージが表示 さ れます。 OCSP 確認に失敗 し ま し た。 シ ス テム管理者に問い合わせて く だ さ い。 ク ラ イ ア ン ト 証明書機能を使 う 場合は、 以下の状況で フ ァ イ アウ ォ ールか ら ユーザがロ ッ ク アウ ト さ れる可能性があ り ます。 • 「 ク ラ イ ア ン ト 証明書の確認を有効にする」 オプ シ ョ ンが選択 さ れてい るが、 証明書が 1 つ も イ ンポー ト さ れていない。 • 「 ク ラ イ ア ン ト 証明書の確認を有効にす る」 オ プ シ ョ ンが選択 さ れ、 ブ ラ ウザに証明書が イ ン ス ト ール さ れてい るが、 「ク ラ イ ア ン ト 証明書の発行者」 が選択 さ れていないか、 ま たは 誤 っ た 「 ク ラ イ ア ン ト 証明書の発行者」 が選択 さ れている。 • 「OCSP 確認を有効にする」 オプ シ ョ ンが選択 さ れているが、 OCSP サーバが利用で き ない か、 ネ ッ ト ワー クの問題で フ ァ イ アウ ォ ールが OCSP サーバにア ク セスで き ない。 ロ ッ ク アウ ト さ れたユーザのア ク セス を回復する には、 次の CLI コ マ ン ド を実行 し ます。 補足 • web-management client-cert disable • web-management ocsp disable SonicOS のコ マン ド ラ イ ン イ ン タ ーフ ェ ース (CLI) を使用するには、 管理者権限が必要です。 証明書の詳細については、 次のいずれかの ド キ ュ メ ン ト の 「シ ス テム > 証明書」 の章を参照 し て く だ さ い。 • • 『SonicOS 5.9 管理者ガ イ ド 』 『SonicOS 6.2 管理者ガ イ ド 』 「シ ス テム > 証明書」 の章には、 次の情報が記載 さ れています。 • 証明書のイ ンポー ト • 証明書の削除 • 証明書署名 リ ク エ ス ト の生成 「証明書署名 リ ク エ ス ト の生成」 のセ ク シ ョ ン には、 SonicOS において RSA アルゴ リ ズムが証 明書 と 併用 さ れる方法に関する情報が記載 さ れています。 8 | SonicOS におけ る 2 要素認証
© Copyright 2024