関連トピック
シングル サインオン (SSO) をトラブルシューティングする
Firebox で SSO を有効化し、ネットワークに WatchGuard SSO コンポーネントをインストールして構成したら、SSO 配備に問題が発生した場合に、このトピックの情報を使用して、問題の原因となり得る配備の構成エラーをチェックすることができるようになります。
すべての SSO 方式
Active Directory
- Active Directory Server が信頼済みネットワークまたは任意ネットワークに構成されている。
- すべてのユーザーが Active Directory Server にユーザー アカウントを持っている。
Firebox
- Firebox が SSO において Active Directory 認証を使用するように構成されている。
- Firebox 構成で SSO Agent の IP アドレスが指定されている。
- ゲストネット ワークやルータなど、ドメインの一部ではないネットワークとデバイスにおける SSO 例外が指定されている。
SSO Agent
- SSO Agent がインストールされているサーバーの TCP ポート 4114 が開いている。
- SSO Agent がインストールされているサーバーに Microsoft .NET Framework v2.0 以降がインストールされている。
- SSO Agent が Domain Users または Domain Admins セキュリティ グループのユーザー アカウントとして実行されている。ヒントこの目的のためには、Active Directory Server にユーザー アカウントを追加すること、およびアカウントのパスワードの有効期限を無期限に設定することをお勧めします。
ユーザー アカウントが Domain Users セキュリティ グループに属している場合は、それに Active Directory Server でサービスを実行する権限、ディレクトリを検索する権限、および他のすべてのユーザーの監査情報を検索する権限が付与されている。 - SSO Agent が正しく構成されている。
SSO Agent が正しく構成されていることを確認するには、以下の手順を実行します。
- Windows スタート メニューで、すべてのプログラム > WatchGuard > 認証ゲートウェイ > SSO Agent の順に選択します。
- SSO Agent にログインします。既定のユーザー名とパスワードは、admin と readwrite です。
- 編集 > SSO Agent アクセス先の設定 の順に選択します。
- 優先 SSO 方式が有効化されており、優先度 1 に設定されていることを確認します。バックアップ SSO 方式が設定されている場合は、それが有効化されており、優先度 2 に設定されていることを確認します。
SSO Client の SSO
- SSO Client がインストールされているコンピュータの TCP ポート 4116 が開いている。
- SSO クライアントをインストールする前に、Mac OS X コンピュータを Active Directory ドメインに追加している。
- ユーザーが SSO を使用して認証を得るすべてのコンピュータが完全な信頼関係を持つ Active Directory ドメインのメンバーになっている。
- すべてのユーザーが、ローカル コンピュータのユーザー アカウントではなく、ドメイン ユーザー アカウントでログインするようになっている。ユーザーがローカル コンピュータにしか存在しないユーザー アカウントでログインした場合に、ユーザー認証情報が検証されず、そのユーザーがログインしたことが Firebox で認識されないようになっている。
- SSO Client が SSO Agent 設定で有効化されている。SSO Client がプライマリ SSO 方式として指定されており、優先度 1 に設定されている。
Event Log Monitor のクライアントレス SSO
- Event Log Monitor がインストールされているドメイン コントローラで TCP ポート 4135 が開いている。
- Event Log Monitor がネットワークの各 Active Directory ドメインの 1 つのドメイン コントローラにインストールされている。
- Event Log Monitor が Domain Users または Domain Admins セキュリティ グループのユーザー アカウントとして実行されている。ヒントこの目的のためには、Active Directory Server にユーザー アカウントを追加することをお勧めします。アカウントのパスワードの有効期限を無期限に設定することをお勧めします。
- アカウントが Domain Users セキュリティ グループに属している場合は、それに Active Directory Server でサービスを実行する権限、ディレクトリを検索する権限、および他のすべてのユーザーの監査情報を検索する権限が付与されていることを確認してください,
- Event Log Monitor が SSO Agent 設定で有効化されている。Event Log Monitor がプライマリ SSO 方式として指定されており、優先度 1 に設定されている。バックアップ SSO 方式として設定されている場合は、優先度 2 に設定されている。
- アカウント ログオン イベントで監査ログ メッセージが生成されるように有効化した後、ログオンとログオフ アクション後に Windows コンピュータのセキュリティ イベント ログで Windows イベント 4624 と 4634 が生成されるようになっている。
- Windows コンピュータのセキュリティ イベント ログ ファイルが一杯になっていない。
アカウント ログオン イベントの監査ログを有効化するには、以下の手順を実行します。
- スタート > 管理ツール > グループ ポリシー管理 の順に選択します。
- 既定のドメイン ポリシー GPO を右クリックして、編集 をクリックします。
グループ ポリシー管理エディタが表示されます。 - コンピュータ構成 で、ポリシー > Windows 設定 > セキュリティ設定 > ローカル ポリシー > 監査ポリシー の順に選択します。
- 監査アカウント ログオン イベント を開きます。
- これらのポリシー設定を定義する チェックボックスを選択します。
- 成功 チェックボックスを選択します。
認証の問題のトラブルシューティングに役立つ追加のログ メッセージを生成するには、失敗 チェックボックスを選択します。
問題が解決したら、必ず 失敗 チェックボックスをクリアしてください。 - OK をクリックします。
- 以下のいずれかの方法で、ユーザーのコンピュータに更新済みグループ ポリシーを強制的に適用します。
- gpupdate をローカルにコンピュータで実行するか、または gpupdate /target コマンドを使用してリモートで実行する。
- ログオフしてから再度ログオンするようにユーザーに依頼する。
- ユーザーのコンピュータを再起動する。
Exchange Monitor のクライアントレス SSO
- Exchange Monitor がインストールされているサーバーの TCP ポート 4136 が開いている。
- Microsoft Exchange Server がインストールされているサーバーに Exchange Monitor がインストールされている。
- W3C 拡張ログ ファイル形式の IIS ログと RPC クライアント アクセス ログ メッセージが生成されるように Exchange Server が構成されている。
- Exchange Monitor が Domain Admins セキュリティ グループのユーザー アカウントとして実行されている。
- SSO Agent がドメイン コントローラにインストールされていない場合、または Exchange Monitor と SSO Agents が異なるドメインにインストールされている場合に、Exchange Monitor アクセス先ドメインが SSO Agent 設定で指定されている。
- Exchange Monitor が SSO Agent 設定で有効化されている。Exchange Monitor がプライマリ SSO 方式として指定されており、優先度 1 に設定されている。バックアップ SSO 方式として設定されている場合は、優先度 2 に設定されている。
- インターネットへのアクセスを試みる前に、ユーザーが電子メール プログラムを起動している。これにより、SSO において Exchange Monitor で必要となる IIS ログ メッセージが Exchange Server に生成される。
Active Directory モードのクライアントレス SSO
Active Directory (AD) モードはバックアップ SSO 方式です。状況によっては、AD モードが期待通りに機能しない場合があり、これによりセキュリティ リスクがもたらされる可能性があります。プライマリ SSO 方式として AD モードを使用することはお勧めしません。
すべてのユーザー コンピュータで TCP ポート 445 (Windows ファイルとプリンタ共有/SMB) が開いている。
ポート 445 が開いているかどうかをテストする場合は、以下を使用することができます。
- SSO Port Tester ツール
- Telnet クライアント
たとえば、Windows コマンド プロンプトで、telnet x.x.x.x 445 と入力します。x.x.x.x をユーザー コンピュータの IP アドレスに置き換えてください。
SSO Port 接続をテストする
SSO Agent が必要なポートを介して Event Log Monitor と Exchange Monitor にアクセスできることを検証するには、SSO Port Tester ツールを使用することができます。このツールを使用して、SSO Agent がインストールされているサーバーと以下のアイテムの間のポート接続をテストすることができます。
- IP アドレスの範囲
- 1 つの IP アドレス
- 特定のサブネット
- 特定の IP アドレスのリスト
テストする IP アドレスが含まれているテキスト ファイルをインポートする必要があります。
- SSO Agent 構成ツールにログインします。
- 編集 > SSO Agent アクセス先の設定 の順に選択します。
- SSO Port のテスト をクリックします。
SSO Port Tester ダイアログ ボックスが表示されます。
- IP アドレスの指定 セクションで、次のオプションを選択します:
- ホスト IP アドレス範囲
- ネットワーク IP アドレス
- IP アドレスのインポート
- ホスト IP アドレス範囲を選択した場合、ホスト IP アドレス範囲 に、テストする IP アドレス範囲を入力します。1 つの IP アドレスをテストする場合は、両方のテキスト ボックスに同じ IP アドレスを入力します。
ネットワーク IP アドレス を選択した場合、ネットワーク IP アドレス テキスト ボックスに、テストするネットワーク IP アドレスを入力します。
IP アドレスのインポート を選択した場合は、 をクリックして、テストする IP アドレスのリスト付きのプレーン テキスト ファイルを選択します。 - ポート テキスト ボックスに、テストするポート番号を入力します。
複数のポートをテストするには、各ポート番号をスペースを入れずにカンマで区切って入力します。 - テスト をクリックします。
ポート テストの結果が [SSO Port Tester] ウィンドウに表示されます。 - ログ ファイルにテスト結果を保存するには、ログの保存 をクリックして、ファイル名とログ ファイルを保存する場所を指定します。
- Port Tester Tool プロセスを停止するには、終了 をクリックします。
SSO ソフトウェア バージョンを確認する
SSO コンポーネント ソフトウェア v11.10 以降がインストールされていることを確認してください。
v11.10 以前の SSO ソフトウェア バージョンでは、以下がサポートされていません。
- Windows Fast User Switching
- クライアントレス SSO の RDP
- BOVPN 経由の SSO 認証
v11.9.3 以前の SSO ソフトウェア バージョンでは、SSO Client の RDP がサポートされていません。
SSO ソリューションにおける SSO コンポーネントのバージョンは同じである必要はなく、Firebox の Fireware バージョンと異なっていても問題ありません。Firebox で Fireware OS の旧バージョンが実行されている場合でも、SSO Agent の最新バージョンをインストールすることをお勧めします。
一般的なエラーメッセージ
アクセスが拒否されました
以下の場合に、このエラーメッセージが表示されます。
- ネットワークに、コンピュータではないデバイス (プリンタやルータなど) が存在している。
- ネットワークに、ドメイン メンバーではないコンピュータまたは他のデバイスが存在している。
- SSO において、ユーザーから無効なドメイン認証が提供された。
- サーバーまたはコンピュータの SSO サービスに管理者権限が付与されていない。
このエラーメッセージのトラブルシューティングを行うには、以下を実行します。
- ドメイン コンピュータとドメイン コントローラの間の信頼関係が正しいことを確認します。ドメイン メンバーシップに問題がある場合は、ドメインからコンピュータを一旦削除してから、再度ドメインに追加します。
- ドメイン メンバーシップの問題が解決されたことを確認するには、UNC パスを使用して、ネットワークのドメイン メンバー サーバーへの接続を試みます。
たとえば、ファイル サーバーの名前が CompanyShare である場合は、Windows コマンド プロンプトで \\CompanyShare と入力します。このフォルダにアクセスできない場合で、Windows の権限エラーメッセージが表示された場合は、Active Directory Server でコンピュータの設定、ユーザー アカウントの設定、および信頼関係の設定を確認します。
不明なエラー
このエラーが発生する理由として、以下のような原因が挙げられます。
- イベント ログ ファイルが存在しない、または一杯になっている。
- コンピュータがドメイン メンバーではない。
- SSO コンポーネント ソフトウェアのアップグレードが必要な場合に、RDP ユーザーが SSO 接続を試みた。
ユーザーが SSO で RDP 接続を行うには、run v11.10 以降が実行されている必要がある。 - Windows イベント ID が WatchGuard SSO コンポーネントでサポートされていない。
- ユーザーがログインしていない。
リモート サーバーで TCP ポート 445 経由の SMB が開かれていません。ファイアウォールをチェックしてください。
ユーザーのコンピュータで TCP ポート 445 が開かれていないか、または TCP ポート 445 でリスンするサービスが応答しなかった。
リモート ホスト「x.x.x.x」がログオフの状態にあります
ユーザーがログインしていないか、またはログインしていたユーザーがログオフ プロセスを開始している。
ネットワーク パスが見つかりませんでした
ホストへのルートが存在しない。