none
ForeFront TMG 2010で、すべてのユーザー以外へのプロトコル許可の方法 RRS feed

  • 質問

  • a-kiと申します。

    お世話になります。


    ForeFront TMGのファイヤーウォールポリシーで、内部から外部へ、NTPやDNSを許可したく、試したところ、

    条件に「すべてのユーザー」を設定すれば、通るのですが、ユーザーもしくはコンピュータに制限をかけたいです。

    しかし、設定方法がわかりません。


    試した事

    条件から「すべてのユーザー」を削除し、「認証されたすべてのユーザー」と「システムおよびネットワークサービス」を追加し、試したところ、

    • ログ&レポートで、「セッションが認証されていないため、操作を実行できません」とブロックされた。
    • 監視ノードのセッションを見ると、セッションの種類がSecureNatで表示されている。

    クライアントに、ForeFront TMG クライアントソフトウェアをインストールしたが、変わらない。(ForefrontTMGクライアントのセッションは増えた)


    NTPやDNSで試していますが、POP3やSMTPも許可する予定なので、ユーザーを制限する方法を知りたいです。


    なお、ForeFront TMGのバージョンは、7.0.7734.100で、OSはWindowsServer 2008R2で、

    ForeFrontTMGのネットワークトロボジはエッジファイヤーウォールです。


    ご教授お願い致します。

    • 編集済み a-ki 2012年10月3日 2:50
    • 移動 Yuanli Guo 郭远丽 2012年10月9日 9:55 (移動元:Forefront Server 全般)
    2012年10月3日 2:47

回答

  • ForeFront TMG のネットワークトロボジがエッジ ファイアウォールということは、おそらく TMG は Active Directory に参加せず、WORKGROUP ということだと思います。
    その場合、Web リスナーのプロパティで、LDAP サーバーや RADIUS サーバーなどの認証プロバイダを設定する必要があります。
    さらに、認証に使われるプロトコル通信を認証サーバーと TMG の間で許可してやる必要があります。
    これにより、ユーザー セットを作成する際に認証サーバー上のグループなどを指定することが可能になります。

    なお、FW ルールの委任の方法と認証プロバイダの組み合わせによっては使用できない組み合わせもあります。
    http://technet.microsoft.com/ja-jp/library/cc441671.aspx

    難しいようであれば、FW の内側に入れた上でトポロジをバック ファイアウォールにして Active Directory に参加させるのが簡単かもしれません。

    • 回答としてマーク a-ki 2012年10月5日 2:49
    • 回答としてマークされていない a-ki 2012年10月5日 2:49
    • 回答としてマーク a-ki 2012年10月5日 2:52
    2012年10月4日 11:01

すべての返信

  • ForeFront TMG のネットワークトロボジがエッジ ファイアウォールということは、おそらく TMG は Active Directory に参加せず、WORKGROUP ということだと思います。
    その場合、Web リスナーのプロパティで、LDAP サーバーや RADIUS サーバーなどの認証プロバイダを設定する必要があります。
    さらに、認証に使われるプロトコル通信を認証サーバーと TMG の間で許可してやる必要があります。
    これにより、ユーザー セットを作成する際に認証サーバー上のグループなどを指定することが可能になります。

    なお、FW ルールの委任の方法と認証プロバイダの組み合わせによっては使用できない組み合わせもあります。
    http://technet.microsoft.com/ja-jp/library/cc441671.aspx

    難しいようであれば、FW の内側に入れた上でトポロジをバック ファイアウォールにして Active Directory に参加させるのが簡単かもしれません。

    • 回答としてマーク a-ki 2012年10月5日 2:49
    • 回答としてマークされていない a-ki 2012年10月5日 2:49
    • 回答としてマーク a-ki 2012年10月5日 2:52
    2012年10月4日 11:01
  • a_pierrot 様

    お返事ありがとうございます。


    すいません。情報が足りなかったです。

    エッジファイヤーウォールですが、Windows認証を行いたかったので、Active Directoryに参加しております。


    また、情報の更新です。

    ファイヤーウォールポリシーで、DNSを許可し、条件を「システムおよびネットワークサービス」と「認証されたすべてのユーザー」を設定します。

    ForeFront TMG クライアントソフトウェアをインストール/設定をしたマシンで、nslookupを起動し、Google Public DNSなどにサーバーを切り替えると、正しくアクセス/名前解決ができました。

    ログを見ると、ForeFront TMG クライアントで認証しているのと確認しました。

    情報にまとまりがなく、申し訳ございません。


    a-ki






    • 編集済み a-ki 2012年10月5日 2:48
    2012年10月5日 2:34
  • a_pierrot様

    お返事ありがとうございます。

    先ほど投稿しましたが、ForeFront TMG クライアントでの認証が確認できたので、問題は解決しました。

    認証の情報ありがとうございました。

    大変参考になりました。

    a-ki

    2012年10月5日 2:52