ローカル ユーザーの認証の代わりに、SSL ゲートウェイにバインドされている外部認証サーバ(Active Directory、LDAP、Radius、または RSA)を追加できます。バインドされた認証サーバにアカウントがあるすべてのユーザーが認証されます。

SSL VPN 経由の認証の最大時間は 3 分です。これは、認証以外のタイムアウトが 3 分で、このプロパティは設定できないためです。そのため、設定されている Active Directory 認証のタイムアウトが 3 分を超えている場合や、認可のチェーンに複数の認証サーバがあり、ユーザー認証の時間が 3 分を超える場合は認証されません。

手順

  1. [SSL VPN-Plus] タブで、左側のパネルから [認証 (Authentication)] を選択します。
  2. [追加 (Add)][追加] アイコン)アイコンをクリックします。
  3. 認証サーバのタイプを選択します。
  4. 選択した認証サーバのタイプに応じて、次のフィールドを指定します。
    • Active Directory 認証サーバ
      表 1. Active Directory 認証サーバのオプション
      オプション 説明
      [SSL の有効化 (Enable SSL)] SSL を有効にすると、Web サーバとブラウザの間に、暗号化されたリンクを確立します。
      注: SSL を有効にせずに、[SSL VPN-Plus] タブを使用するか、後でクライアント マシンからパスワードの変更を試みると、問題が発生する可能性があります。
      [IP アドレス (IP Address)] 認証サーバの IP アドレス。
      [ポート (Port)] デフォルト ポートの名前を表示します。必要に応じて編集します。
      [タイムアウト (Timeout)] Active Directory サーバが応答しなければならない期間(秒)です。
      [ステータス (Status)] [有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定します。
      [検索ベース (Search base)] 検索対象とする外部のディレクトリ ツリーの一部です。検索ベースには、組織単位 (OU)、 ドメイン コントローラ (DC) あるいは外部ディレクトリのドメイン名 (AD) などを指定できます。

      例:

      • OU=Users,DC=aslan,DC=local
      • OU=VPN,DC=aslan,DC=local
      [バインド DN (Bind DN)] 定義された検索ベース内で Active Directory ディレクトリを検索することを許可された外部 Active Directory サーバ上のユーザーです。たいていの場合、バインド DN は、ディレクトリ全体の検索が許可されます。バインド DN のロールは、Active Directory ユーザーの認証に関する DN(識別名)について、クエリ フィルタおよび検索ベースを使用してディレクトリをクエリすることです。DN が返されると、Active Directory ユーザーの認証に DN とパスワードが使用されます。

      例:CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

      [バインド パスワード (Bind Password)] Active Directory ユーザーを認証するためのパスワードです。
      [バインド パスワードの再入力 (Retype Bind Password)] パスワードを再入力します。
      [ログイン属性名 (Login Attribute Name)] リモート ユーザーが入力したユーザー ID に一致する名前です。Active Directory の場合、ログイン属性名は sAMAccountName です。
      [検索フィルタ (Search Filter)] 検索を制限するフィルタの値です。検索フィルタ フォーマットは、attribute operator value です。

      検索ベースを Active Directory の特定のグループに限定し、組織単位 (OU) 全体での検索を許可しない場合

      • 検索ベースにグループ名を入れず、OU と DC のみを入れてください。
      • 同じ検索フィルタ文字列に objectClassmemberOf の両方を入れないでください。検索フィルタの正しいフォーマットの例:memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local
      [セカンダリ認証にこのサーバの使用 (Use this server for secondary authentication)] 選択すると、この Active Directory サーバが認証の第 2 レベルとして使用されます。
      [認証に失敗した場合はセッションを終了 (Terminate Session if authentication fails)] 選択すると、認証に失敗した場合にセッションを終了します。
    • LDAP 認証サーバ
      表 2. LDAP 認証サーバのオプション
      オプション 説明
      [SSL の有効化 (Enable SSL)] SSL を有効にすると、Web サーバとブラウザの間に、暗号化されたリンクを確立します。
      [IP アドレス (IP Address)] 外部サーバの IP アドレスです。
      [ポート (Port)] デフォルト ポートの名前を表示します。必要に応じて編集します。
      [タイムアウト (Timeout)] Active Directory サーバが応答しなければならない期間(秒)です。
      [ステータス (Status)] [有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定します。
      [検索ベース (Search base)] 検索対象とする外部のディレクトリ ツリーの一部です。検索ベースには、組織、グループ、あるいは外部ディレクトリのドメイン名 (Active Directory) などを指定できます。
      [バインド DN (Bind DN)] 定義された検索ベース内で Active Directory ディレクトリを検索することを許可された外部サーバ上のユーザーです。たいていの場合、バインド DN は、ディレクトリ全体の検索が許可されます。バインド DN のロールは、Active Directory ユーザーの認証に関する DN(識別名)について、クエリ フィルタおよび検索ベースを使用してディレクトリをクエリすることです。DN が返されると、Active Directory ユーザーの認証に DN とパスワードが使用されます。
      [バインド パスワード (Bind Password)] Active Directory ユーザーを認証するためのパスワードです。
      [バインド パスワードの再入力 (Retype Bind Password)] パスワードを再入力します。
      [ログイン属性名 (Login Attribute Name)] リモート ユーザーが入力したユーザー ID に一致する名前です。Active Directory の場合、ログイン属性名は sAMAccountName です。
      [検索フィルタ (Search Filter)] 検索を制限するフィルタの値です。検索フィルタ フォーマットは、attribute operator value です。
      [セカンダリ認証にこのサーバの使用 (Use this server for secondary authentication)] 選択すると、このサーバが認証の第 2 レベルとして使用されます。
      [認証に失敗した場合はセッションを終了 (Terminate Session if authentication fails)] 選択すると、認証に失敗した場合にセッションを終了します。
    • RADIUS 認証サーバ

      RADIUS 認証は FIPS モードでは無効になります。

      表 3. RADIUS 認証サーバのオプション
      オプション 説明
      [IP アドレス (IP Address)] 外部サーバの IP アドレスです。
      [ポート (Port)] デフォルト ポートの名前を表示します。必要に応じて編集します。
      [タイムアウト (Timeout)] Active Directory サーバが応答しなければならない期間(秒)です。
      [ステータス (Status)] [有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定します。
      [シークレット (Secret)] RSA セキュリティ コンソールに認証エージェントを追加するときに指定した共有シークレットです。
      [シークレットの再入力 (Retype secret)] 共有シークレットを再入力します。
      [NAS IP アドレス (NAS IP Address)] RADIUS 属性番号 4 として設定および使用される IP アドレス (NAS-IP-Address) です。RADIUS パケットの IP アドレス ヘッダ内の送信元 IP アドレスは変更されません。
      [再試行回数 (Retry Count)] RADIUS サーバが応答しない場合に、認証が失敗する前に RADIUS サーバと通信する回数です。
      [セカンダリ認証にこのサーバの使用 (Use this server for secondary authentication)] 選択すると、このサーバが認証の第 2 レベルとして使用されます。
      [認証に失敗した場合はセッションを終了 (Terminate Session if authentication fails)] 選択すると、認証に失敗した場合にセッションを終了します。
    • RSA-ACE 認証サーバ

      RSA 認証は FIPS モードでは無効になります。

      表 4. RSA-ACE 認証サーバのオプション
      オプション 説明
      [タイムアウト (Timeout)] Active Directory サーバが応答しなければならない期間(秒)です。
      [構成ファイル (Configuration File)] [参照 (Browse)] をクリックして RSA Authentication Manager からダウンロードした sdconf.rec ファイルを選択します。
      [ステータス (Status)] [有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定します。
      [送信元 IP アドレス (Source IP Address)] RSA サーバへのアクセスが可能な NSX Edge インターフェイスの IP アドレスです。
      [セカンダリ認証にこのサーバの使用 (Use this server for secondary authentication)] 選択すると、このサーバが認証の第 2 レベルとして使用されます。
      [認証に失敗した場合はセッションを終了 (Terminate Session if authentication fails)] 選択すると、認証に失敗した場合にセッションを終了します。
    • ローカル認証サーバ
      表 5. ローカル認証サーバのオプション
      オプション 説明
      [パスワード ポリシーの有効化 (Enable password policy)] 選択すると、パスワード ポリシーを定義します。必要な値を指定します。
      [パスワード ポリシーの有効化 (Enable password policy)] 選択すると、アカウント ロックアウト ポリシーを定義します。必要な値を指定します。

      1. [再試行回数] には、リモート ユーザーが誤ったパスワードを入力した後、そのアカウントへのアクセスを試みることができる回数を入力します。

      2. [再試行期間] には、この期間中にログインが成功しなかった場合にリモート ユーザーのアカウントがロックされる期間を入力します。

        たとえば、[再試行回数] を 5 に、[再試行期間] を 1 分間に設定すると、1 分間のうちにログインに 5 回失敗すると、そのリモート ユーザーのアカウントがロックされることになります。

      3. [ロックアウト期間] には、ユーザー アカウントがロック状態となっている期間を入力します。この期間が過ぎると、アカウントのロックは自動的に解除されます。

      [ステータス (Status)] [有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定します。
      [セカンダリ認証にこのサーバの使用 (Use this server for secondary authentication)] 選択すると、このサーバが認証の第 2 レベルとして使用されます。
      [認証に失敗した場合はセッションを終了 (Terminate Session if authentication fails)] 選択すると、認証に失敗した場合にセッションを終了します。
  5. (オプション) クライアント証明書認証の追加
    1. [証明書認証 (Certificate Authentication)] の横の [変更 (Change)] をクリックします。
    2. [クライアント証明書認証の有効化 (Enable client certificate authentication)] チェック ボックスを選択します。
    3. ルート認証局 (CA) から発行されたクライアント証明書を選択して、[OK] をクリックします。
      制限:
      • SSL VPN-Plus Web ポータルと SSL VPN-Plus Full Access Client(PHAT クライアント)では、、ルート認証局 (CA) によって署名されたクライアント証明書またはユーザー証明書のみがサポートされます。中間認証局 (CA) に署名されたクライアント証明書はサポートされません。
      • クライアント証明書認証は、Windows コンピュータにインストールされている SSL VPN-Plus Client でのみサポートされます。Linux および Mac コンピュータにインストールされている SSL VPN-Plus Client では、この認証はサポートされていません。