Document

SonicOS 䈮䈍䈔䉎
2 ⷐ⚛⹺⸽
| 1
補足、 注意、 お よ び警告
補足: 「補足」 は、 シ ス テムに関する理解を深める ために役立つ重要な情報です。
注意: 「注意」 は、 手順に従わない と ハー ド ウ ェ アの破損やデー タ の消失が生 じ る恐れがあ る こ
と を示 し ています。
警告: 「警告」 は、 物的損害、 けが、 または死亡に至る可能性がある こ と を示 し ています。
© 2014 Dell Inc.
記載商標:Dell™、 DELL の ロ ゴ、 SonicWALL™、 ま たはその他すべ て の SonicWALL の製品名、 サー ビ ス
名、 およびス ローガ ンは、 Dell Inc. の商標です。
本ガ イ ド に記載 さ れたその他の製品名および会社名は、 それぞれの会社の商標あるいは登録商標である可能
性があ り 、 それぞれの製造者が所有する財産です。
2014 年 7 月
2 | SonicOS におけ る 2 要素認証
P/N 232-002592-00
Rev. A
SonicOS における 2 要素認証
本書の範囲
本書では、 SonicOS 5.9 または SonicOS 6.2 が稼働する Dell SonicWALL ネ ッ ト ワー ク セキ ュ リ
テ ィ 装置上で 2 要素認証を設定する方法を説明 し ます。
本書は以下のセ ク シ ョ ン で構成 さ れています。
•
機能の概要 (3 ページ)
•
SonicOS におけ る 2 要素認証の設定 (5 ページ)
機能の概要
こ のセ ク シ ョ ン では、 SonicOS の 2 要素認証の概要を説明 し ます。 こ のセ ク シ ョ ンは、 次のサブ
セ ク シ ョ ン で構成 さ れています。
•
2 要素認証 と は (3 ページ)
•
2 要素認証の仕組み (4 ページ)
•
メ リ ッ ト (4 ページ)
•
サポー ト 対象プ ラ ッ ト フ ォ ーム (4 ページ)
2 要素認証 と は
2 要素認証 と は、 SonicOS に直接ロ グ イ ン し よ う と する管理者またはユーザの身元を確認する た
めの 2 つの段階か ら な る プ ロ セス です。
SonicOS の 2 要素認証は、 以下の要素で構成 さ れています。
•
ク ラ イ ア ン ト 証明書の確認 — コ モ ン ア ク セス カ ー ド (CAC) と カ ー ド リ ーダーを使用 し て、
ユーザの身元を認証する こ と が求め ら れます。 コ モ ン ア ク セ ス カ ー ド (CAC) は、 米国国防
総省 (DoD) のス マー ト カ ー ド で、 イ ン タ ーネ ッ ト 上で非常に高度に保護 さ れたア ク セス を必
要 と する職員に よ っ て使用 さ れています。
•
ユーザ ロ グ イ ン認証 — ユーザがユーザ名 と パスワー ド を入力で き る、 標準的な ロ グ イ ン画
面を表示 し ます。
SonicOS におけ る 2 要素認証 | 3
2 要素認証の仕組み
2 要素認証では、 2 つのス テ ッ プ を使用 し て ロ グ イ ン す る こ と を ユーザに求めます。 ユーザはま
ず、 ク ラ イ ア ン ト 証明書の確認に よ る 検証 を 受け る 必要があ り ま す。 こ こ で は、 カ ー ド リ ー
ダーで コ モ ン ア ク セス カ ー ド (CAC) を使用する こ と が求め ら れます。 続いて、 ロ グ イ ン プ ロ ン
プ ト に対 し てユーザ名 と パスワー ド を入力する必要があ り ます。
Dell SonicWALL セキ ュ リ テ ィ 装置は、 ウ ェ ブ ブ ラ ウザを用いて HTTP または HTTPS を使用 し
て管理で き ます。 SonicOS では、 HTTP 管理は既定で無効にな っ ています。 一般的には HTTPS
が、 SonicOS 管理イ ン タ ー フ ェ ースへのロ グ イ ン方法 と し て推奨 さ れます。 「 ク ラ イ ア ン ト 証明
書の確認」 オプ シ ョ ン を使用する には、 HTTPS を使用する必要があ り ます。
補足
補足
補足
CAC は Microsoft Internet Explorer に対応 し ますが、 他のブ ラ ウザでは動作 し ない可能性があ
り ます。
CAC を使用する には、 USB ポー ト に接続する外部カ ー ド リ ーダーが必要です。
Dell SonicWALL ネ ッ ト ワー ク セキ ュ リ テ ィ 装置上で 2 要素認証を設定する には、 管理者権限
が必要です。
メリット
2 要素認証は、 Dell SonicWALL ネ ッ ト ワー ク セキ ュ リ テ ィ 装置に ロ グ イ ンするユーザに対 し 、 2
つの異な る方法での認証を求める こ と に よ っ て、 セキ ュ リ テ ィ を強化 し ます。
サポー ト 対象プ ラ ッ ト フ ォ ーム
2 要素認証は、 SonicOS 5.9 ま たは SonicOS 6.2 が稼働す る Dell SonicW ALL ネ ッ ト ワー ク セ
キ ュ リ テ ィ 装置でサポー ト さ れています。
4 | SonicOS におけ る 2 要素認証
SonicOS における 2 要素認証の設定
SonicOS において 2 要素認証を設定する には、 以下の手順に従います。
手順 1
「シ ス テム > 管理」 ページに移動 し ます。
手順 2
「ウ ェ ブ管理設定」 パネルま で下方向にス ク ロール し ます。
手順 3
「HTTPS ポー ト 」 ボ ッ ク スに、 使用するポー ト 番号を入力 し ます。
HTTPS 管理用の既定のポー ト は 443 ですが、 こ の既定のポー ト を変更する こ と に よ っ て、 フ ァ
イ アウ ォ ールへのロ グ イ ン に対する セキ ュ リ テ ィ を さ ら に高める こ と がで き ます。
手順 4
「 ク ラ イ ア ン ト 証明書の確認を有効にする」 チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。
「 ク ラ イ ア ン ト 証明書の確認を有効にする」 チ ェ ッ ク ボ ッ ク スに よ り 、 フ ァ イ アウ ォ ール上での
ク ラ イ ア ン ト 証明書確認 と CAC サポー ト を有効/無効にで き ます。
手順 5
「ク ラ イ ア ン ト 証明書の発行者」 ド ロ ッ プダウン リ ス ト から、 ク ラ イ ア ン ト 証明書に署名する適
切な認証局 (CA) を選択 し ます。
「 ク ラ イ ア ン ト 証明書の発行者」 ド ロ ッ プ ダウ ン メ ニ ュ ーには、 認証局 (CA) 証明書の発行者一
覧が表示 さ れます。 こ の リ ス ト に適切な CA が無い場合は、 必要な CA を リ ス ト に イ ンポー ト す
る こ と がで き ます。
手順 6
ク ラ イ ア ン ト 証明書に対する OCSP 確認を有効または無効にするには、 「OCSP 確認を有効にす
る」 ボ ッ ク ス を オ ン またはオ フ に し ます。
「OCSP 確認を有効にする」 チ ェ ッ ク ボ ッ ク ス を使用する と 、 ク ラ イ ア ン ト 証明書が失効 し てい
ない (まだ有効であ る) こ と を確認する OCSP (Online Certificate Status Protocol) 確認を有効また
は無効にで き ます。
手順 7
「OCSP 確認用 URL」 フ ィ ール ド に、 証明書の状態を確認するサーバの URL を入力 し ます。 そ
の URL は、 OCSP 確認を処理するサーバ側の CGI (Common Gateway Interface) を参照 し てい る
必要があ り ます。 例えば、 http://10.103.63.251/ocsp です。
SonicOS におけ る 2 要素認証 | 5
ク ラ イ ア ン ト 証明書の確認で CAC を使用する場合、 ク ラ イ ア ン ト 証明書はブ ラ ウザに自動的に
イ ン ス ト ール さ れます。 HTTPS を介 し て管理セ ッ シ ョ ン を開始す る と 、 証明書の確認を求める
証明書選択ウ ィ ン ド ウが表示 さ れます。
手順 8
手順 9
補足
「OK」 を選択 し ます。
入力を求め ら れた ら、 PIN (個人識別番号) を入力 し ます。 PIN は CAC に格納 さ れる情報を保護す
る ものです。
誤 っ た PIN を入力する と ロ グ イ ン に失敗 し ます。 再試行回数が上限 (3 回) に達する と 、 CAC
はロ ッ ク アウ ト さ れます。
ユーザが証明書 を 確認 し た後、 フ ァ イ ア ウ ォ ールは ク ラ イ ア ン ト 証明書の発行者 を チ ェ ッ ク し
て、 証明書が有効で あ り 、 CA に よ っ て署名 さ れ て い る こ と を 確認 し ま す。 確認 を 終え る と 、
ユーザ ロ グ イ ン ページが表示 さ れます。
6 | SonicOS におけ る 2 要素認証
手順 10
「ユーザ名」 と 「パスワー ド 」 の フ ィ ール ド に、 それぞれユーザ名 と パスワー ド を入力 し ます。
以下のよ う なウ ィ ン ド ウが表示 さ れ、 フ ァ イ アウ ォ ール と 権限のあ るサービ スへのア ク セ スが許
可 さ れた こ と が通知 さ れます。
SonicOS におけ る 2 要素認証 | 7
フ ァ イ アウ ォ ールが、 CA に よ る署名付きの証明書を確認で き ない場合は、 接続が失敗 し た こ と
を示す次のよ う な標準的な メ ッ セージがブ ラ ウザに表示 さ れます。
ウ ェ ブ ページ を表示で き ません。
OCSP が有効な場合、 ブ ラ ウザに よ っ て OCSP 確認が行われ、 確認中、 次の メ ッ セージが表示
さ れます。
ク ラ イ ア ン ト 証明書 OCSP の確認中...
OCSP 確認に成功す る と 、 ロ グ イ ン ペー ジ が表示 さ れ ま す。 OCSP 確認に失敗す る と 、 次の
メ ッ セージが表示 さ れます。
OCSP 確認に失敗 し ま し た。 シ ス テム管理者に問い合わせて く だ さ い。
ク ラ イ ア ン ト 証明書機能を使 う 場合は、 以下の状況で フ ァ イ アウ ォ ールか ら ユーザがロ ッ ク アウ
ト さ れる可能性があ り ます。
•
「 ク ラ イ ア ン ト 証明書の確認を有効にする」 オプ シ ョ ンが選択 さ れてい るが、 証明書が 1 つ
も イ ンポー ト さ れていない。
•
「 ク ラ イ ア ン ト 証明書の確認を有効にす る」 オ プ シ ョ ンが選択 さ れ、 ブ ラ ウザに証明書が イ
ン ス ト ール さ れてい るが、 「ク ラ イ ア ン ト 証明書の発行者」 が選択 さ れていないか、 ま たは
誤 っ た 「 ク ラ イ ア ン ト 証明書の発行者」 が選択 さ れている。
•
「OCSP 確認を有効にする」 オプ シ ョ ンが選択 さ れているが、 OCSP サーバが利用で き ない
か、 ネ ッ ト ワー クの問題で フ ァ イ アウ ォ ールが OCSP サーバにア ク セスで き ない。
ロ ッ ク アウ ト さ れたユーザのア ク セス を回復する には、 次の CLI コ マ ン ド を実行 し ます。
補足
•
web-management client-cert disable
•
web-management ocsp disable
SonicOS のコ マン ド ラ イ ン イ ン タ ーフ ェ ース (CLI) を使用するには、 管理者権限が必要です。
証明書の詳細については、 次のいずれかの ド キ ュ メ ン ト の 「シ ス テム > 証明書」 の章を参照 し て
く だ さ い。
•
•
『SonicOS 5.9 管理者ガ イ ド 』
『SonicOS 6.2 管理者ガ イ ド 』
「シ ス テム > 証明書」 の章には、 次の情報が記載 さ れています。
•
証明書のイ ンポー ト
•
証明書の削除
•
証明書署名 リ ク エ ス ト の生成
「証明書署名 リ ク エ ス ト の生成」 のセ ク シ ョ ン には、 SonicOS において RSA アルゴ リ ズムが証
明書 と 併用 さ れる方法に関する情報が記載 さ れています。
8 | SonicOS におけ る 2 要素認証