Firebox の認証に新規ユーザーを定義する

Firebox-DB 認証とも呼ばれる Firebox 認証を使うと、ユーザーにネットワークへのアクセス権を付与するため作成するユーザー アカウントを Firebox に保管できます。Firebox に保管された各ユーザー アカウントの認証情報がセキュリティで保護されていることを確認するため、各ユーザー アカウントに指定するパスフレーズは、デバイス構成ファイルで NT ハッシュにより暗号化されます。構成ファイルがクリア テキスト ファイルにエクスポートされると (Firebox と Fireware デバイス構成管理ツール間の通信など)、パスフレーズがさらに AES キー ラップで暗号化されます。

ユーザー アカウントを作成する

Firebox Authentication のユーザー アカウントを作成して、Firebox に対して認証できるユーザーを指定できます。また、Firebox 内部データベースで定義するユーザー名について大文字と小文字が区別されるようにするどうかも指定できます。大文字と小文字が区別されている場合、ユーザーはユーザー アカウントを定義したときと同じ大文字/小文字でユーザー名を入力する必要があります。

パスフレーズの最小長

Fireware v12.2.1 以降では、パスフレーズの最低文字数を指定する必要があります。8 〜 32 文字の値を指定できます。パスフレーズがより長いほど、よりセキュアになります。

パスフレーズの最小長の設定は以下に適用されます:

  • Firebox-DB サーバーで追加された新規の Firebox-DB アカウント、Access Portal および Mobile VPN with IKEv2 構成
  • 新規の Firebox 管理アカウント (管理者 および ステータス アカウント)
  • 新規サポート アクセス アカウント

この設定はパスフレーズの最小長の設定のみをコントロールします。パスフレーズの最大長は 32 文字で、これは変更できません。

現在の Firebox-DB ユーザーのパスフレーズは、Fireware v12.2.1 かそれ以降にアップグレードしても変更されませんが、現在のアカウントに選択された新しいパスフレーズは、パスフレーズの最小長の要件を満たしていなければなりません。たとえば、ユーザー アカウントのロックを解除してパスフレーズをリセットするオプションを選択した場合、新しいパスフレーズは最小長の条件を満たさなければなりません。

無制限同時ログイン セッションを許可する

既定では、同一アカウントが複数のファイアウォール認証ログインを同時に行うことを許可する オプションが選択されています。このオプションを選択すると、ユーザーは認証サーバーで同時に 2 回以上認証を受けることができなくなります。これは、ゲスト アカウントや実験環境で役立ちます。

同時ユーザー セッションのグローバル認証設定は、Mobile VPN セッションには適用されません。

ログイン セッションの制限

ユーザーを特定の数の認証済みセッションに制限するには、同時ユーザー セッションを制限する を選択します。このオプションを選択すると、異なった IP アドレスから 1 つの認証サーバーにログインするのに同じユーザー認証情報をユーザーが使う回数を指定できます。すでに認証されているユーザーが再度認証しようとした場合に、追加のセッションが認証された際に 1 人目のセッションを終了するか、または追加のセッションを拒否するかを選択します。

ログイン セッションの制限は、グローバル、グループおよびユーザー レベルで構成できます。

  • ユーザー設定はグループやグローバル設定よりも優先されます。
  • ユーザーのログイン セッション制限が構成されておらず、グループ設定が構成されている場合は、後者が優先されます。
  • ユーザーが複数のグループに属している場合、そのユーザーのグループ リストにおける最初のグループの設定が優先されます。
  • ユーザーまたはグループ ログイン セッション制限が構成されていない場合、グローバル設定が使用されます。
  1. 認証 > サーバー の順に選択します。
    認証サーバー ページが表示されます。
  2. 認証サーバー リストから、Firebox-DB を選択します。
    既定でユーザーおよびグループ タブが選択された状態で、Firebox ページが表示されます。

Firebox ユーザー ページのスクリーンショット

  1. 大文字と小文字の区別を有効化し、ユーザーが大文字と小文字を使用してユーザー名を入力しなければならないようにする場合は、Firebox-DB ユーザー名の大文字と小文字を区別する チェックボックスを選択します。
  2. (Fireware v12.2.1 またはそれ以降) 最小パスフレーズ長 テキスト ボックスに8 から 32 までの数字を1つ入力します。
  3. Firebox Users セクションで、追加 をクリックします。
    Firebox ユーザー ダイアログ ボックスが表示されます。

[Firebox ユーザーのセットアップ] ダイアログ ボックスのスクリーンショット

  1. 名前 テキスト ボックス内に、このユーザーのユーザー名を入力します。
  2. (任意) 説明 テキスト ボックスに、新しいユーザーの説明を入力します。
  3. ユーザーの パスフレーズ を入力して確認します。ヒント!
    パスフレーズには、文字、数字、特殊文字、スペースを使用できますが、スペースのみの文字は使用できません。
  4. セッション タイムアウト テキスト ボックスで、ユーザーが外部ネットワークにトラフィックを送信できる最長の時間を設定します。ヒント!
  5. アイドル タイムアウト テキスト ボックスで、アイドル状態 (一切のトラフィックを外部ネットワークに送信しない) のときにユーザーが認証された状態でいられる時間の長さを設定します。ヒント!
  6. 各ユーザーまたはグループのログイン制限を有効化 チェックボックスを選択します。
  7. オプションを選択してください。
    • 同一アカウントから無制限のファイアウォール認証ログインの同時実行を許可
    • 同時ユーザー セッションを以下に制限
      1. テキスト ボックスで、許可する同時ユーザー セッションの数を入力または選択します。
      2. ドロップダウン リストからオプションを選択します。
        • 後続のログイン試行を拒否
        • 後続のログイン試行を許可し、初回セッションをログオフ

      Mobile VPN ユーザーの同時ユーザー セッションを制限するには、Mobile VPN with IKEv2 と Firebox-DB ユーザー アカウントを使用する必要があります。サードパーティの認証サーバーのアカウントを持つ Mobile VPN with IKEv2 ユーザーに対しては、同時ユーザー セッションを制限することはできません。Firebox-DB アカウントまたはサードパーティの認証サーバーのアカウントを持つ Mobile VPN with L2TP、Mobile VPN with SSL、または Mobile VPN with IPSec ユーザーに対しては、同時ユーザー セッションを制限することはできません。

  1. このユーザーを認証グループに追加するには、Firebox Authentication Group リストで、このユーザーを追加する先の各グループについてチェックボックスを選択します。
    必要に応じて、このリストが表示されるまでスクロールダウンしてください。
  2. OK をクリックします。
    Firebox Users リストに新しいユーザーが表示されます。
  1. 設定 > 認証 > 認証サーバー の順に選択します。

    認証サーバー ダイアログ ボックスが表示されます。

Screen shot of the Authentication Servers dialog box, Firebox tab

  1. 大文字と小文字の区別を有効化し、ユーザーが大文字と小文字を使用してユーザー名を入力しなければならないようにする場合は、Firebox-DB ユーザー名の大文字と小文字を区別する チェックボックスを選択します。
  2. (Fireware v12.2.1 またはそれ以降) 最小パスフレーズ長 テキスト ボックスに8 から 32 までの数字を1つ入力します。
  3. Firebox タブの ユーザー セクションで、追加 をクリックします。

    Firebox ユーザーのセットアップ ダイアログ ボックスが表示されます。

Firebox ユーザーをセットアップする ダイアログ ボックスのスクリーンショット

  1. ユーザー名 テキスト ボックスに、このユーザー アカウントのユーザー名を入力します。
  2. (任意) 説明 テキスト ボックスに、新しいユーザーの説明を入力します。
  3. ユーザーの パスフレーズ を入力して確認します。ヒント!
    パスフレーズには、文字、数字、特殊文字、スペースを使用できますが、スペースのみの文字は使用できません。
  4. セッション タイムアウト テキスト ボックスで、ユーザーが外部ネットワークにトラフィックを送信できる最長の時間を設定します。ヒント!
  5. アイドル タイムアウト テキスト ボックスで、アイドル状態 (ユーザーがトラフィックを一切を外部ネットワークに送信しない) のときにユーザーの認証された状態が維持される時間の長さを入力または選択します。ヒント!
  6. 各ユーザーまたはグループのログイン制限を有効化 チェックボックスを選択します。
  7. オプションを選択してください。
    • 同一アカウントから無制限のファイアウォール認証ログインの同時実行を許可
    • 同時ユーザー セッションを以下に制限
      1. テキスト ボックスで、許可する同時ユーザー セッションの数を入力または選択します。
      2. ドロップダウン リストからオプションを選択します。
        • 後続のログイン試行を拒否
        • 後続のログイン試行を許可し、初回セッションをログオフ

      Mobile VPN ユーザーの同時ユーザー セッションを制限するには、Mobile VPN with IKEv2 と Firebox-DB ユーザー アカウントを使用する必要があります。サードパーティの認証サーバーのアカウントを持つ Mobile VPN with IKEv2 ユーザーに対しては、同時ユーザー セッションを制限することはできません。Firebox-DB アカウントまたはサードパーティの認証サーバーのアカウントを持つ Mobile VPN with L2TP、Mobile VPN with SSL、または Mobile VPN with IPSec ユーザーに対しては、同時ユーザー セッションを制限することはできません。

  8. Firebox Authentication Group にユーザーを追加するには、使用可能 リストでグループ名を選択します。
  9. 左矢印のアイコンをダブル クリックします。をクリックし、名前をメンバーリストに移動します。
    または、使用可能リスト内のグループ名をダブル クリックしてもかまいません。
    グループが メンバー リストに追加されます。次に、このユーザーにその他のグループを追加できます。
  10. OK をクリックします。
    Firebox Users リストに新しいユーザーが表示されます。

アカウントのロックアウト設定を構成する

総当たり攻撃によりユーザー アカウントのパスワードが推測されるのを防ぐために、アカウント ロックアウトを有効化することができます。アカウント ロックアウトが有効化されていると、連続してログイン試行失敗が指定回数に達すると Firebox で一時的にユーザー アカウントがロックされ、一時的なアカウント ロックアウトが指定回数に達するとユーザー アカウントが永続的にロックされます。

アカウント ロックアウト設定に関する手順の詳細については、次を参照してください:Firebox アカウントのロックアウト設定を構成する

関連情報:

Firebox を認証サーバーとして構成する

Firebox の認証に新規グループを定義する

ユーザーおよびグループをポリシーで使用する