| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.4 ユーザ認証機能(Solaris版/Windows版) | > 2.4.3 運用環境 |
本製品 では、以下の認証クライアント(端末)を利用してユーザ認証を行うことができます。
TELNET クライアント(IPv4環境のみ)
Web ブラウザ(IPv4環境、IPv6環境)
Safegate client(IPv4環境のみ)
上記の認証クライアントからユーザ認証を行い、認証が許可されたユーザの通信コネクションが切断されるまでの間、通信が可能になります。
TELNET クライアントおよび Web ブラウザを利用した場合、内部ネットワークへのアクセス権限、または外部ネットワークからのアクセス権限を認証することができます。
Safegate client を利用した場合、外部ネットワークからのアクセス権限を認証することができます。また、本製品 との間で暗号通信を行うことができます。
以下に、各認証クライアントにおける認証方法について説明します。
TELNET クライアントを利用した認証では、ユーザ/アプリケーションの通信に先立って、本製品 上の認証ゲートウェイと接続します。認証ゲートウェイで正当なユーザであることを認証した後、事前に設定されたアクセス環境(フィルタリング条件など)に基づいて各種サービスが利用できます。
以下に、TELNET クライアントによる認証処理の流れを示します。
認証クライアント側で 本製品のホスト名と認証ポートを指定し、本製品上の認証ゲートウェイに接続します。この場合、認証クライアントが存在するネットワーク側の I/F(ネットワークインタフェース)に対するホスト名を指定します。
認証ゲートウェイと認証クライアントが接続すると、認証ゲートウェイからユーザ名の入力を促すプロンプトが出力されます。
認証クライアントでは、プロンプトに従って、ユーザ名を入力します。
認証ゲートウェイでは、入力されたユーザ名に対応するパスワード要求メッセージと認証パスワードの入力を促すプロンプトを認証クライアントに出力します。
認証クライアントでは、プロンプトに従ってユーザ名に対応するパスワードを入力します。
認証ゲートウェイでは、入力されたパスワードから認証処理(パスワードは正しいか/認証可能期間内かなど)を行います。
正当なユーザであることを認証した場合、認証 OK のメッセージを出力します。以降、認証クライアントからの通信(telnet、http、ftp など)が可能となります。
認証用に使用したものとは別のクライアント側ソフトを起動し、ターゲットホストへ接続します。 認証ゲートウェイでは、内部で保持している認証情報(認証クライアントに対応した認証情報)をチェックし、ターゲットホストに接続可能かを判断します。接続可能な場合、ターゲットホストに接続要求を行います。
ターゲットホストから 本製品 に送信されたデータを該当するクライアントに送信します。以降、接続が切断されるまで認証クライアント/ターゲットホスト間の通信の中継を行います。
通信終了後、認証用に使用した TELNET クライアントの接続を TELNET 画面で" q "を入力すると切断されます。これ以降、再度TELNET 認証を行わない限り、新たな通信は行えません。
TELNET クライアントによる認証を行った場合、暗号通信(カプセル通信および暗号通信)は行えません。
本製品 では、Web ブラウザを利用したユーザ認証が行えます。これを "Web 認証"といいます。
Web 認証とは、クライアントの Web ブラウザから Web サーバへアクセスした際に、自動的にユーザ認証を行う画面が表示され、本製品 の認証ゲートウェイへ認証要求を行うことができる機能です。
TELNET および Safegate client を利用したユーザ認証では、ユーザ/アプリケーションの通信に先立って、あらかじめ本製品 上の認証ゲートウェイと認証処理を行っておく必要があるのに対し、Web 認証では、通信時に認証が必要になった場合にだけ自動的に認証処理が行われます。正当なユーザであることが認証されると、事前に設定されたアクセス環境に基づいて各種サービスが利用できます。
また、IPv6ネットワーク上での利用が可能です。
以下に、Web 認証の処理概要について説明します。
クライアントから Web ブラウザを使用して、直接ターゲットサーバに接続操作を行います。
本製品 では、 1) の通信を監視し、認証が必要かどうかをチェックします。
本製品 では、認証が必要な通信を検出すると、クライアントの Web ブラウザに Basic 認証画面(ユーザ名、パスワード入力)を表示します。
クライアントの Web ブラウザから ユーザ名、パスワードを入力します。
本製品 では、入力されたユーザ名、パスワードの正当性をチェックします。リモート認証の場合は、RADIUSサーバに認証依頼を行います。
ユーザ名、パスワードが不正な場合、クライアントの Webブラウザに認証拒否のメッセージを送信します。クライアントのWeb ブラウザでは、本製品 から通知された認証拒否のメッセージが表示されます。正当なユーザであることを認証した場合、本製品からターゲットサーバに接続し、クライアントの Webブラウザと、ターゲットサーバ間の通信を中継します。
Web 認証による認証を行った場合、暗号通信(カプセル通信および暗号通信)は行えません。
認証クライアント側で別売りのソフトウェアである"Safegate client" を利用した認証方式です。Safegate client を利用すると、認証後の通信を暗号化することができます。
認証クライアントに仮想アドレスを設定することにより、内部ネットワーク上のサーバは、認証クライアントが内部ネットワークの固定 IP アドレスとして接続されているように見えるため、内部ネットワーク上のサーバは、認証クライアントとの接続環境を事前に固定的に設定することができます。
サーバ上で、接続可能なクライアント IP アドレスを定義するような場合、仮想アドレスを設定しておくことで、認証クライアントが外部ネットワークから接続する場合でも、サーバ環境を変更することなく接続が可能となります。
機能や操作の詳細は、Safegate client のマニュアル(Safegate client 利用者ガイド)およびSafegate client ヘルプを参照してください。
Safegate client からの接続に対してユーザ認証を行い、認証された Safegate client との間で自動鍵交換を行います。認証方法としては、共有鍵認証、および証明書認証をサポートします。Safegate client における自動鍵交換による認証( IKE ゲートウェイを利用した通信)は、対象となるSafegate client が、Safegate client V2.0L20 以降の場合にサポートされます。
Safegate client の仮想アドレスへの経路情報は、Safegate client の実アドレスと同一経路に設定する必要があります。
telnetクライアント、Safegate clientを使用した認証では、ユーザ/アプリケーションの通信に先立って、認証ゲートウェイとの独自の通信コネクションを使用して認証処理を行います。
この認証用の通信コネクションを、"認証コネクション"と呼びます。認証コネクションは、ユーザ/アプリケーションの通信が終了するまで保持しておく必要があります。また、ユーザ/アプリケーションの通信終了後、認証コネクションを切断します。
Webブラウザを使用した認証では、WebブラウザからWebサーバへアクセスした際に、自動的にユーザ認証を行なう画面が表示され、本製品の認証ゲートウェイとの認証処理を行います。
認証時に入力したユーザ名/パスワードは、そのWebブラウザが起動している間は、Webブラウザが内部的に保持している場合があります。この場合、無通信監視時間超過後、Webブラウザからアクセスした場合、ユーザ認証画面が表示されず、Webブラウザが内部的に保持しているユーザ名/パスワード情報を使用して、自動的に認証処理が行なわれます。
認証ゲートウェイでは、認証クライアントの IP アドレスに基づいて、認証情報を一意に識別しています。
認証クライアントの種別ごとに、認証クライアントの IP アドレスとして、以下のアドレスを利用します。
|
認証クライアント |
認証クライアントの識別情報 |
|---|---|
|
TELNETクライアント |
認証コネクションのクライアント側実 IP アドレス |
|
Webブラウザ |
検出した認証パケットの送信元 IP アドレス |
|
Safegate client |
Safegate client から通知された仮想 IP アドレス |
Safegate client を利用した場合、認証クライアントと本製品 の間にプロキシや SOCKS などの NAT 装置が介在している場合でも、認証クライアントを一意に識別することができます。
逆に、TELNET クライアントまたは Web ブラウザを利用した場合、NAT 装置が介在する環境では認証クライアントを一意に識別することはできません。この場合、プロキシや SOCKS サーバなどのNAT 装置を、認証クライアントの識別情報として管理することになります。
|
目次
索引
|