Microsoft Forefront Threat Management Gateway 2010とAccess Managerの統合

43 Microsoft Forefront Threat Management Gateway 2010とAccess Managerの統合

この章では、Access ManagerとMicrosoft Forefront Threat Management Gateway (TMG) 2010との間の通信を構成する方法について説明します。内容は次のとおりです。

43.1 このリリースの新機能

Access ManagerとMicrosoft Forefront Threat Management Gateway (TMG) 2010との統合をサポートするようになりました。

この章は、Access Managerのポリシーと操作に詳しいユーザーを対象としています。

43.2 TMG Server 2010との統合の概要

この項では、この統合を有効にするために実行するタスクの概要を示します。内容は次のとおりです。

43.2.1 この統合について

Microsoft Forefront Threat Management Gateway (TMG) 2010は、Internet Security and Acceleration (ISA) Server 2006の次世代サーバーです。

この章では、Forefront TMG WebサーバーとAccess Manager間のオープンな(保護されていない)接続を構成するステップについて説明します。この通信は、ISAPI対応10g Webgateの使用に基づいています。保護されている通信の詳細は、Forefront TMG Serverのドキュメントを参照してください。

IIS WebサーバーとForefront TMGは、同じコンピュータにインストールされていても、別々のコンピュータにインストールされていてもかまいません。この章の例では、両方が同じホストにインストールされています。

次の概要では、実行が必要なタスクと、ISAPI WebGateをTMG Serverに合せて設定するステップについて説明します。

タスクの概要: TMG ServerでのISAPI Webgateのインストールと構成

「動作保証要件の確認について」の説明に従った最新の動作保証マトリックスの取得。
「Forefront TMGのポリシーとルールの作成」

43.2.2 動作保証要件の確認について

この章で特定のバージョンおよびプラットフォームについて言及している場合、それらは例示のみの目的で記載されています。最新の動作保証情報は、次のOracle Technology Networkを参照してください。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

43.3 Forefront TMGのポリシーとルールの作成

Forefront TMG 2010をインストールした後、デフォルトのファイアウォール・ポリシーが、Forefrontをホストするコンピュータに対するすべてのトラフィックを拒否するため、そのホストに対して、他のコンピュータからpingを実行できなくなります。

この項では、次の操作に必要な情報を提供します。

43.3.1 Forefront TMG用カスタム・ポリシーの作成

カスタムForefrontファイアウォール・ポリシーを作成できます。

前提条件:

ベンダーのドキュメントに従ってForefront TMG 2010をインストールします。

デフォルトのファイアウォール・ポリシーをオーバーライドするカスタム・ポリシーを作成するには:

「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
左側のペインの「ファイアウォールポリシー」をクリックします。
右側のペインで、「アクセス規則の作成」をクリックして、カスタム・ポリシーを作成します。
次の属性と値を割り当てて、ルールを作成します。
- 名前: カスタム・ポリシーの名前
- アクション = 許可
- プロトコル = すべての出力方向
- マルウェア検出 = このルールに対してはマルウェア検出を有効にしない
- 出力元 = 外部、内部、ローカル・ホスト
- 出力先 = 外部、内部、ローカル・ホスト
- 条件 = すべてのユーザー
「次へ」をクリックして、アクセス規則を作成し、「適用」をクリックします。
Forefront TMGを再起動して、変更を有効にします。
- ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。
- ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。
「Forefront TMGファイアウォール・ポリシー・ルールの作成」に進みます。

43.3.2 Forefront TMGファイアウォール・ポリシー・ルールの作成

リソースを保護するため、Forefront TMGコンソールを使用してファイアウォール・ポリシーを作成する必要があります。

認証の基本設定に対してリスナーを作成する際、「HTTP 経由でのクライアントの認証を許可する」と「すべてのユーザーに認証を要求する」を選択してください。そのようにされていない場合、TMGプロキシを使用して公開済Webサイトにアクセスできなくなります。

TMGサーバーは、公開済Webサーバーへの認証を行う際、「認証の委任」を使用します。

ノート:

IISとForefront TMGは同じ(または別々の)コンピュータにインストールできます。ここでは、両方が同じホスト上にインストールされている状態としています。

デフォルトのファイアウォール・ポリシーをオーバーライドするカスタム・ポリシーを作成するには:

「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
左側のペインの「ファイアウォールポリシー」をクリックします。
「タスク」タブで「Webサイトの公開」をクリックします。
「Web公開ルールの名前」フィールドにわかりやすいルール名を入力し、「次へ」をクリックします。
「ルールの動作の選択」ページで、「許可」オプションが選択されていることを確認し、「次へ」をクリックします。
「公開の種類」で、「1つのWebサイトまたは負荷分散装置を公開する」オプションが選択されていることを確認し、「次へ」をクリックします。

ステップ7は、Webサーバーとのオープンな(保護されていない)接続のための構成を示しています。保護されている通信を使用する場合は、Forefront TMG Serverのドキュメントを参照してください。
「サーバー接続セキュリティ」ページで、「公開されたWebサーバーまたはサーバーファームへの接続に、セキュリティで保護されていない接続を使用する」をクリックし、「次へ」をクリックします。
内部公開の詳細を設定するには、次のステップを実行します。
- 「内部サイト名」フィールドに、IIS/apache Webサーバー・ホストの内部的にアクセス可能な名前(たとえばiis_host.us.example.com)を入力します。
- 「コンピュータ名またはIPアドレスを使用して、公開されたサーバーに接続する」チェック・ボックスを選択します(またはIIS Webサーバー・ホストのIPアドレスを入力します)。
- 「次へ」をクリックします。
リソースの保護: 次のステップにより、Webサイト内の特定のフォルダ内のリソース(または1つのリソース)を保護します。
ノート:

フォルダは、対応するWebサーバーのhtdocs/wwwroot内に存在している必要があります。
- リソースを含むフォルダ: 「パス」フィールドにフォルダ名を入力すると、「Webサイト」フィールドに公開済Webサイトの完全パスが表示されます(Res/*など)。
- 1つのリソース: リソース名(たとえばtest.html)を入力します。
- 「次へ」をクリックします。
「要求の許可」リストで、次の操作を実行します。
- ドメイン名(たとえばmyhost.example.com)をクリックしします。
- 「パブリック名」フィールドに、Forefront TMGがインストールされているホストの公開アクセス可能な完全修飾Webサイト・ドメイン名を入力します(たとえばmyhost.example.com)。
- 「次へ」をクリックします。
「Webリスナー」リストで、このWeb公開ルールに使用するWebリスナーをクリックするか、新しいWebリスナーを次のように作成します。
ノート:

リスナーは、必要に応じてSSLモードでも構成できます。Forefront TMGのドキュメントを参照してください。
- 「新規作成」をクリックし、新しいWebリスナーのわかりやすい名前を入力して、「次へ」をクリックします。
- 「Do not require SSL secured connections with clients」をクリックし、「Next」をクリックします。
- 「次のネットワークからの要求をリッスン」リストで、必要なネットワーク(外部、内部、Localhost)を選択し、「次へ」をクリックします。
- 表示されるメッセージに対して「いいえ」をクリックします。
- 「クライアントがForefront TMGに資格証明を提供する方法を選択してください」リストで、「認証なし」をクリックし、「次へ」をクリックします。
- 「シングルサインオンの設定」ページで、「次へ」をクリックし、「完了」をクリックします。
「Webリスナーの選択」ページ:
- 「編集」をクリックします。
- 「接続」タブをクリックします。
- ポート属性として、HTTP有効接続用の未使用ポートを指定します(これがForefront TMGポートになります)。
- 「適用」をクリックし、「OK」をクリックします。
- 「次へ」をクリックします。
- 「Single Sign On Settings」ページで、「Next」をクリックし、「Finish」をクリックします。
認証の委任: 次のステップにより、公開されたWebサーバーをForefront TMGが認証する方法を選択します。
- 「委任できません。クライアントは直接認証できません」をクリックします。
- 「次へ」をクリックします。
「User Sets」ページで、次の手順を実行します。
- 「ユーザーセット」フィールドから、「すべてのユーザー」(デフォルトのユーザー設定)を選択して、リクエストに適用するルールを設定します。
- 「次へ」をクリックして、「完了」をクリックします。
「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
新しく作成したファイアウォール・ポリシーをダブルクリックします。
ブリッジ:
- 「ブリッジ」タブを開きます。
- HTTPポート属性に対してリクエスト・リダイレクト用の適切な未使用ポートを指定します(これが、IISまたはApache Webサーバー・ポートになります)。
「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
IISまたはApache Webサーバー。
Forefront TMGを再起動して、変更を有効にします。
- ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。
- ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。
作成したばかりのルールをダブルクリックします。
- 「リンクの変換」タブを開きます。
- 「このルールにリンク変換を適用する」が選択されていることを確認します。
- 「マッピング」ボタンをクリックして、Forefront TMGとIISまたはApache間に作成されたマッピングを表示します。
「Forefront TMGプロキシ構成の確認」に進みます。

43.3.3 Forefront TMGプロキシ構成の確認

Forefront TMGプロキシ構成を確認するには、ただTMGポートを使用して保護対象リソースにアクセスします。

Forefront TMGプロキシ構成を確認するには::

1つの保護対象リソース: 保護対象リソースがあるTMGホストのURLとポートを入力します。たとえば:
```
	http://TMG_hostname:TMG_port/resource_name
```
保護対象フォルダ: リソースを含むフォルダがあるTMGホストのURLとポートを入力します。たとえば:
```
	http://TMG_hostname:TMG_port/folder-name/resource_name
```
保護されたリソースにアクセスしてみて、問題がないことを確認します。

43.4 Forefront TMG Server用の11g Webgateのインストールおよび構成

11g Webゲートを設定し、Webフィルタとしてプラグインを登録できます。

タスクの概要: TMG Server用にWebゲートとフィルタを構成する手順には、次のタスクが含まれます

43.4.1 TMG Server用の11g Webgateのインストール

Forefront TMG ServerとともにWebgateをインストールする場合、ISAPI Webgateのインストール先(Webgate_install_dir)を、Microsoft Forefront TMGのインストール先と同じにする必要があります。

たとえば、Forefront TMGをC:\Program Files\Microsoft Forefront Threat Management Gatewayにインストールする場合、ISAPI Webgateもここにインストールする必要があります。

タスクの概要: Forefront TMG Server用のISAPI Webgateのインストール

11g ISAPI WebゲートをAccess Managerに登録します。

ノート:

Webgateのインストール時にTMGオプションを選択します。
TMGのISAPI Webゲートをインストールします。
「webgateディレクトリの権限の変更」に進みます。

43.4.2 webgateディレクトリの権限の変更

Forefront TMG Serverに対応するISAPI Webゲートのインストールと構成が終了したら、webgateサブディレクトリへの権限を変更する必要があります。

このサブディレクトリは、Forefront TMG Server(およびWebgate)のインストール・ディレクトリ内に作成されています。ユーザーNETWORK SERVICEを作成し、SYSTEM ADMINISTRATORにフル・コントロールを付与する必要があります。これにより、Forefront TMG ServerがWebgateとアクセス・サーバー.との間の接続を確立できます。特定の構成ファイルをシステム管理者に対して読取り可能にする必要があります。SYSTEM ADMINISTRATORにフル・コントロールを付与するのはそのためです。

ノート:

Webゲート簡易モード: ユーザーNETWORK SERVICEを追加し、TMG_install_dir<TMG_WG_INSTANCE_DIR>/webgate/config/password.xml内のpassword.xmlファイルに対するフル・コントロールを付与します。

webgateインストールおよびインスタンス・サブディレクトリの権限を変更するには、次のようにします。

cacls <WG Instance Dir>\webgate /E/T/G NETWORK:f
cacls <WG Instance Dir>\webgate /E/T/G “NETWORK SERVICE”:f
cacls <WG Install Dir>\webgate /E/T/G NETWORK:f
cacls <WG Install Dir>\webgate /E/T/G “NETWORK SERVICE”:f
「ISAPI 11g Webゲートに対するTMG 2010 Serverの構成」に進みます。

43.5 ISAPI 11g Webgateに対するTMG 2010 Serverの構成

TMG ServerをAccess Manager用11g ISAPI Webゲートと連動するように構成できます。

タスクの概要: ISAPI 11g Webgateに対するTMG 2010 Serverの構成

43.5.1 Access ManagerプラグインのTMG Server Webフィルタとしての登録

ISAPI Webgate権限をリセットしたら、Access Managerのwebgate.dllおよびpostgate.dllプラグインをForefront TMG Server内にWebフィルタとして登録する必要があります。

Webフィルタは、TMG Serverホストを通過する全HTTPトラフィックをスクリーニングします。条件に適合するリクエストのみが、通過を許可されます。次の手順では、Access ManagerプラグインをTMG Serverに登録する方法を説明します。

ノート:

フィルタ登録を元に戻す必要がある場合、次の手順を使用し、regsvr32コマンドに/uオプションを指定します。たとえば、<TMG_WG_INSTALL_DIR>\webgate\iis\lib\webgate.dllのようになります

Access ManagerプラグインをTMG Server Webフィルタとして登録するには:

TMG Serverのインストール・ディレクトリを探し、そこから次のタスクを実行します。
net stop fwsrvを実行し、TMG Serverを停止します。
次のコマンドを実行してwebgate.dllをISAPI Webフィルタとして登録します。
regsvr32 <TMG_WG_INSTALL_DIR>\webgate\iis\lib\webgate.dll
net start fwsrvを実行し、TMG Serverを再起動します。

43.5.2 フォームベース認証の確認

公開済WebサイトにTMGプロキシを使用してアクセスでき、フォームベース認証が正しく機能していることを確認する必要があります。

TMGは、Basic over LDAPおよびフォームベースまたはBasic認証をサポートしています。目的の認証スキームを選択できます。TMGはlogin.htmlへのアクセスを必要とします。これをここで構成します。

フォームベース認証が正しく機能としていることを確認するには:

TMGサーバーがログイン・ページにアクセスできるように、リソースを保護するWebサーバーのdocrootにログイン・ページを格納します。
公開済WebサイトにTMGプロキシ経由でアクセスできることを確認します。
「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
左ペインで「ファイアウォールポリシー」を選択します。
右側に表示されるファイアウォール・ポリシー・ルールから、リソースを保護するために作成されているルールを選択します。
ポリシー・ルール・プロパティに移動して、「パス」タブを選択し、/login.htmlを追加して、「OK」をクリックします。
「適用」をクリックし、変更を保存して構成を更新します。
Forefront TMGを再起動して、変更を有効にします。
- ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。
- ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。

43.6 TMG Serverの起動、停止および再起動

Access Manager Webコンポーネントのインストールまたは設定中にTMG Serverの再起動を求められた場合は、画面に表示される指示に従ってください。

netコマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。TMG Serverの停止と開始に適している、次のコマンドを検討してください。

net stop fwsrv
net start fwsrv

詳細は、TMG Serverのドキュメントを参照してください。

43.7 TMG ServerのWebゲートをアンインストールする前のAccess Managerフィルタの削除

TMG Serverと連動するように構成されたWebgateのアンインストールを計画している場合、最初にAccess Managerフィルタの登録を手動で解除してから、Webgateをアンインストールする必要があります。

WebGateのアンインストールの前にフィルタの登録を解除するには:

TMG Serverを停止します。
次のコマンドを実行して、webgate.dllの登録を解除します。たとえば:
```
regsvr32 /u <TMG_WG_INSTALL_DIR>\webgate\iis\lib\webgate.dll
```

43.8 トラブルシューティング

Access Manager保護対象リソースへのアクセスについて、TMGログに「接続に失敗しました」のエラーが記録されてあっても、このエラーは機能に影響しないので、無視できます。