Sophos USMゲートウェイを構成する

このタスクでは、Sophos UTM RADIUS OINアプリを使用するようにSophos USMを構成します。

手順

この構成には4つのパートがあります。

  1. ユーザーの自動作成を有効にする
  2. 新しい認証サーバーを構成する
  3. RADIUSバックエンドグループを作成する
  4. リソースへのグループのアクセスを許可する

はじめに

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

ユーザーの自動作成を有効にする

  1. 十分な権限でSophos UTM Web Admin Consoleにサインインします。
  2. [Definitions & Users(定義およびユーザー)]>[Authentication Services(認証サービス)]に移動し、[Add(追加)]をクリックして新規RADIUSサーバーを定義します。
  3. [Global Settings(グローバル設定)]タブで、下図のように[Create users automatically(ユーザーを自動生成する)]チェックボックスをオンにします。

  4. [Automatic User Creation for Facilities(設備向けにユーザーを自動生成)]で、下図のようにご使用の環境に適した設備を選択します。

    推奨[Client Authentication(クライアント認証)]および[End-User Portal(エンドユーザーポータル)]を選択します。

新しい認証サーバーを構成する

  1. Sophos UTM Web Admin Consoleで、[Definitions & Users(定義およびユーザー)]>[Authentication Services(認証サービス)]に移動し、[Servers(サーバー)]タブを選択します。以下の画面が開きます。

  2. [New Authentication Server...(新規認証サーバー...)]ボタンをクリックします。

  3. 以下の情報を入力します。
    • [Backend(バックエンド)]:[RADIUS]
    • [Postion(位置)]:[Top(トップ)]

    サーバー

    • [Name(名前)]:一意で適切な名前(OktaMFAなど)
    • [Type(タイプ)]:[Host(ホスト)]
    • [IPv4 address(IPv4アドレス)]:Okta RADIUS Server AgentのIPアドレス

    詳細設定

    • [Interface(インターフェイス)]:環境に適したインターフェイス
    • [Port(ポート)]:上記のパート2、手順3で定義したUDPポート(1815など)
    • [Shared Secret(共有シークレット)]:上記のパート2、手順3で定義した秘密鍵

    詳細設定

    • [Authentication timeout (sec)(認証タイムアウト(秒))]:60
  4. 完了したら、[保存]をクリックします。

RADIUSバックエンドグループを作成する

  1. Sophos UTM Web Admin Consoleで、[Definitions & Users(定義およびユーザー)]>[Users & Groups(ユーザーおよびグループ)]に移動し、[Groups(グループ)]タブを選択します。以下の画面が開きます。

  2. [New Group...(新規グループ...)]をクリックします。
  3. [Add Group(グループの追加)]セクションに以下の情報を入力します。
    • Group Name(グループ名)]:適切かつ一意な名前。Okta RADIUS Usersなど。
    • [Group Type(グループタイプ)]:[Backend Membership(バックエンドメンバーシップ)]
    • [Backend(バックエンド)]:[RADIUS]
  4. [保存]をクリックして設定を保存します。

リソースへのグループのアクセスを許可する

  1. Sophos UTM Web Admin Consoleで、[Remote Access(リモートアクセス)]に進み、希望する接続方式を選択します。以下の画面が開きます。

  2. [New HTML5 VPN Portal Connection...(新規HTML5 VPNポータル接続...)]をクリックするか、既存の接続を使用します。
  3. ステップ3で作成したグループを[Users and Groups(ユーザーおよびグループ)]または[Allowed Users (Userportal)(許容されたユーザー(ユーザーポータル))]リストに追加します。