適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
AuthPoint Gateway は、AuthPoint が RADIUS クライアントや AuthPoint Agent for ADFS、Active Directory や LDAP データベースと通信できるようにネットワークにインストールするアプリケーションです。Gateway は RADIUS サーバーとして機能し、RADIUS 認証で必要となるほか、LDAP に同期されたユーザーが SAML リソースで認証できるようにするために必要です。
Gateway は、次の 4 つのサービスとして機能します: Gateway、RADIUS、LDAP、ADFS。Gateway は、以下の TCP サービス ポートを使用して、異なる Gateway サービス間の内部通信を行っています。
- WatchGuard AuthPoint Gateway サービス — TCP ポート 9000
- WatchGuard AuthPoint RADIUS サービス — TCP ポート 9001
- WatchGuard AuthPoint LDAP サービス — TCP ポート 9002
- WatchGuard AuthPoint ADFS サービス — TCP ポート 9003
他のアプリケーションによってこれらの TCP サービス ポートが使用されていると、Gateway が起動できなかったり、オフラインと表示されたりする場合があります。
Gateway ページで構成した Gateway を確認することができます。各 Gateway には、インストールされているバージョン、IP アドレス、および Gateway の現在のステータスを示すタイルがあります。
-
— Gateway がインストールされており、WatchGuard Cloud と通信できます -
— Gateway がインストールされていません -
— Gateway が接続されておらず、WatchGuard Cloud と通信できません
要件
AuthPoint Gateway は、以下の対応しているオペレーティング システムにインストールすることができます。
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
AuthPoint Gateway には Java が必要です。Amazon Corretto 11 または 15 をインストールする必要があります。Corretto をダウンロードするには、aws.amazon.com/corretto/ にアクセスします。
Java は、1 人のユーザーに対してではなくシステムに対して構成されている必要があります。1 人のユーザーに対して Java を構成した場合、Gateway のインストールは失敗します。
AuthPoint Gateway は、FIPS モードが有効化されている Windows サーバーにはインストールできません。
プライマリおよびセカンダリ Gateway
ネットワーク上では 1 つ以上の Gateway を構成することができます。構成する 1 つの プライマリ Gateway ごとに 5 つまでの セカンダリ Gateway を構成することができます。
プライマリ Gateway
プライマリ Gateway は LDAP ユーザーを同期し、RADIUS 認証と LDAP ユーザー認証を有効にします。この Gateway は AuthPoint と RADIUS クライアント、AuthPoint Agent for ADFS、および Active Directory または LDAP データベースとの主要な通信ポイントです。
セカンダリ Gateway
セカンダリ Gateway は LDAP ユーザー認証のフェール オーバーとして構成することができます。プライマリ Gateway が使用できない場合、AuthPoint は、プライマリ Gateway が再び使用可能になるまでセカンダリ Gateway を通じて自動的に LDAP ユーザー認証を送信します。
セカンダリ Gateway をバックアップ RADIUS サーバーとして使用することもできます。唯一の制限は、Gateway への認証要求を送信するサードパーティ ソフトウェアまたはデバイスは、追加の RADIUS サーバーの使用に対応していなければならないことです。
負荷分散または LDAP ユーザー同期のためにセカンダリ Gateway を使用することはできません。
プライマリ Gateway を構成する
Gateway をインストールする前に、AuthPoint management UI でその構成を行う必要があります。
- ナビゲーション メニューから Gateway を選択します。
- Gateway の追加 をクリックします。
- 名前 テキスト ボックスに、Gateway の記述的な名前を入力します。
- RADIUS セクションの ポート テキスト ボックスに、Gateway (RADIUS サーバー) と通信するのに使用する RADIUS クライアントのポート番号を入力します。既定の Gateway ポートは 1812 と 1645 です。
ネットワーク ポリシー サーバーの役割など、既にポート 1812 か 1645 を使用する RADIUS サーバーをインストール済みの場合は、AuthPoint Gateway に異なるポートを使用する必要があります。
Gateway が RADIUS クライアント リソースで動作するには、構成した UDP RADIUS ポート用に新しい受信ファイアウォール ルールを作成するか、Windows ファイアウォールを無効にしなければならない場合があります。
- RADIUS リソースの選択 リストから RADIUS クライアント リソースを選択します。
- ADFS セクションの ADFS リソースの選択 リストで ADFS リソースを選択します。
-
LDAP セクションの LDAP プロバイダの選択 リストで LDAP か Active Directory サーバーを選択します。
同一のネットワーク上に複数の外部アイデンティティがある場合は、すべての外部アイデンティティからのユーザーを同期するように 1 つのプライマリ Gateway を構成するか、各外部アイデンティティからユーザーを同期するように複数のプライマリ Gateway を構成することができます。
- 保存 をクリックします。
- Gateway のタイルの下で 登録キー をクリックします。
- 登録キー ウィンドウで登録キーをコピーします。Gateway をインストールするにはこの値が必要です。
Gateway 登録キーは 1 回しか使用できません。Gateway のインストールが失敗した場合は、インストールに使用する新たなキーを生成する必要があります。
Gateway をダウンロードしてインストールする
- ナビゲーション メニューから ダウンロード を選択します。
- Gateway インストーラ セクションで インストーラをダウンロードする をクリックします。
-
Gateway インストーラをインターネット アクセスがあり、RADIUS クライアントおよび LDAP サーバーに接続可能なネットワーク上の任意の場所で実行します。
WatchGuard AuthPoint Gateway セットアップ ダイアログが開きます。ウイルス対策ソフトの影響で、Gateway インストールに失敗する場合があります。Gateway のインストール中は、ウイルス対策ソフトウェアを無効化することをお勧めします。
- Gateway 登録キー テキスト ボックスに AuthPoint からの Gateway 登録キーを入力するか貼り付けます。
- インストール をクリックします。
- 完了 をクリックします。
- Gateway がインストールされているサーバーの RADIUS ポート (既定のポートは 1812 または 1645 です) が開いていることを確認します。ポートは、既定では開いていません。ポートが開いている場合は、そのポートがサーバー上の他の何かに使用されていないことを確認してください。これは、使用されていると Gateway と競合するためです。
Gateway が RADIUS クライアント リソースで動作するには、構成した UDP RADIUS ポート用に新しい受信ファイアウォール ルールを作成するか、Windows ファイアウォールを無効にしなければならない場合があります。
- Gateway ページの AuthPoint management UI で、Gateway 名の横にある円形のアイコンにチェックを入れます。緑色のアイコンは、Gateway が正常にインストールされており、AuthPoint と通信できることを示します。
Gateway のインストールが失敗した場合は、インストールに使用する新たなキーを生成する必要があります。
セカンダリ Gateway を構成しインストールする
それぞれのプライマリ Gateway に 5 つまでのセカンダリ Gateway を追加できます。セカンダリ Gateway を追加すると、プライマリ Gateway のプロパティと関連付けを継承します。プライマリ Gateway を編集すると、それらの変更内容はすべてのセカンダリ Gateway にも反映されます。
セカンダリ Gateway を追加するには、バージョン 5 以降のプライマリ Gateway をインストールする必要があります。
セカンダリ Gateway を追加するには、以下の手順を実行します。
- プライマリ Gateway のタイルで セカンダリを追加する をクリックします。
- セカンダリ Gateway の名前を入力します。
- 保存 をクリックします。
セカンダリ Gateway が作成されます。 - 追加したセカンダリ Gateway の横で
をクリックし、登録キー を選択します。
登録キー ウィンドウが開きます。 - セカンダリ Gateway の登録キーをコピーします。Gateway をインストールするにはこの値が必要です。
セカンダリ Gateway を追加したら、別の Gateway (バージョン 5 以降) をダウンロードしてネットワークのプライマリ Gateway とは異なる場所にインストールする必要があります。セカンダリ Gateway をインストールする手順は、プライマリ Gateway をインストールする手順と同じです。Gateway をインストールするには、次を参照してください:Gateway をダウンロードしてインストールする。
セカンダリ Gateway にはインストールに使用される独自の登録キーがあります。セカンダリ Gateway をインストールする際には、必ず正しい登録キーを使用してください。
プライマリ Gateway を変更する
1 つ以上のセカンダリ Gateway を構成してある場合は、セカンダリ Gateway を LDAP ユーザーの同期に使用する新しいプライマリ Gateway にするよう選択できます。現在のプライマリ Gateway はセカンダリ Gateway になります。
セカンダリ Gateway をプライマリ Gateway に変更しても、それは RADIUS サーバーと RADIUS クライアント (Firebox) 間の認証プロセスには影響しません。Firebox は、必ず Firebox でプライマリとして構成された RADIUS サーバーに最初に認証要求を送信します。Firebox がプライマリ RADIUS サーバーから応答を受信せず、認証の試行に 3 回失敗すると、Firebox はセカンダリ RADIUS サーバーに認証要求を送信します。Firebox が認証に使用する RADIUS サーバーを変更したい場合は、Firebox の設定でその変更を行う必要があります。認証用の RADIUS サーバーを変更する方法の詳細については、バックアップ認証サーバーを使用する を参照してください。
プライマリ Gateway を変更するには、セカンダリ Gateway が WatchGuard Cloud にインストールされ、接続済みでなければなりません。
プライマリ Gateway を変更するには、以下の手順を実行します。
- セカンダリ Gateway の横で をクリックし、プライマリにする を選択します。
プライマリ Gateway にするウィンドウが開きます。 - プライマリにする をクリックします。
セカンダリ Gateway がプライマリ Gateway になり、Active Directory または LDAP データベースからユーザーを同期するのに使用されます。
Gateway を移行する、または Gateway サーバーをアップグレードする
プライマリ Gateway サーバーのオペレーティング システムをアップグレードする場合、またはプライマリ Gateway を新しいサーバーに移行するだけの場合は、新しいサーバーに AuthPoint Gateway の新しいインスタンスをセカンダリ Gateway としてインストールします。新しい Gateway のインストール後、プライマリ Gateway をアンインストールできます。
- 新しいサーバーでセカンダリ Gateway を構成し、インストールします。セカンダリ Gateway はプライマリ Gateway のプロパティと関連付けを継承します。
- 新しいセカンダリ Gateway をプライマリ Gateway に変更します。詳細については、プライマリ Gateway を変更する を参照してください。
- 古いプライマリ Gateway をアンインストールします。