InterSafe WebFilter(以下ISWF)のLDAP連携を行った認証方式(NTLM認証、BASIC認証) を行っている環境にて、クライアントPCにインストールされているアプリケーション (Webブラウザ以外も含む)のリクエストが、認証に対応していないため、リクエストに失敗するケースがあります。 ※NTLM認証はProxy版のみとなります。
リクエストの失敗により、クライアントPCのアプリケーションの動作に不具合が生じる場合があります。
不具合が生じた場合は、ユーザエージェント/ホストによる認証除外の設定を行うことで回避できる 場合があります。
※以下の認証除外の設定は、ローカルアカウントでの認証を行っている場合、 また、IPアドレスでの認証を行っている場合でも適用されます。 ※マスタ/スレーブサーバ構成の場合は、スレーブサーバへの同期が必要です。 添付URLをご参照ください。
ユーザエージェントによる認証除外
●設定箇所
<インストールディレクトリ>/conf/proxy.inf
[ACCESS_CTRL]
AUTHORIZED_USER_AGENT= ※記述した文字列を 部分一致で判定します。また、 大文字小文字を判別します。 例)AUTHORIZED_USER_AGENT=Test を設定した場合、 「Test」や「Test123」というユーザエージェントは認証除外の対象になりますが、 「test」や「test123」は対象にはなりません。 ※「*」は利用できません。記述すると「*」という文字列として認識します。 設定変更後は、<インストールディレクトリ>/bin/amsdata -reload の コマンドを実行して設定を反映させます。 ホストによる認証除外(Ver6.5以降)
●設定箇所
<インストールディレクトリ>/conf/proxy.inf
[ACCESS_CTRL]
AUTHORIZED_HOST= ※Ver8.5ではワイルドカード「*」を利用できるようになりました。 例)AUTHORIZED_HOST=*alsi.co.jp を設定した場合、 「http://alsi.co.jp」「http://www.alsi.co.jp」の両方が 認証除外の対象になります。 ※プロトコル及びポート番号を入力する必要はありません。 ※Ver8.0以前では記述した文字列を 完全一致で判定します。 例)AUTHORIZED_HOST=alsi.co.jp を設定した場合、 「http://alsi.co.jp」というホストは認証除外の対象になりますが、 「http://www.alsi.co.jp」は対象にはなりません。 ※プロトコル及びポート番号を入力する必要はありません。 設定変更後は、<インストールディレクトリ>/bin/amsdata -reload の コマンドを実行して設定を反映させます。
各設定の詳細については、添付資料をご参照ください。
※認証除外されたリクエストはルートグループのユーザとして認証され、 ルートグループにスケジュールされているフィルタリングルールが適用されます。 必要に応じてルートグループのカテゴリルールを変更してください。
※Ver5.0においては、「未登録ユーザ」を有効にしている環境では、アプリケーションの
リクエストが未登録ユーザとして判定され、その認証キャッシュにより、Webブラウザの
リクエストも未登録ユーザとして判定されるケースがあります。
この場合、認証キャッシュの時間を短縮するか、無効にすることで、
回避もしくは発生頻度の減少が可能です。 認証キャッシュの時間はVer5.0では
設定ファイルで設定します。隠しキーですので設定ファイルに下記キーを追記します。
認証キャッシュの時間変更
●設定箇所
<インストールディレクトリ>/conf/proxy.inf
[LDAP]
AUTHENTICATE_CACHE_TIME=
設定ファイル変更後は、ISWFの全サービスの再起動を行ってください。
※注意点※
・単位は分で、キー自体の記載がない初期値は、60(分)です。
・最小値が-1、最大値が10080(一週間)です。0に設定すると、キャッシュが無効になります。
-1に設定すると、時間無制限でキャッシュを行います。キャッシュを無効にすると、
LDAPサーバへの問い合わせが頻発するため、ISWFサーバ自体のパフォーマンスが
低下する場合があります。
Ver8.5SP1での認証失敗の確認と認証除外の設定方法
【認証失敗の確認】 Ver8.5SP1ではLDAP連携を行った認証方式でクライアントの通信が失敗した場合に ログとして出力されます。
出力されるログ:InterSafe_notice.log
ログ出力例 Failed to NTLM authenticate. (invalid NTLM parameter(2)) [client=192.168.1.1; method=GET; elapsedTime=91; Host=alsi.co.jp; User-Agent=alsitool; ]
上記ログの場合、クライアント(192.168.1.1)からUser-Agent(alsitool)でホスト(alsi.co.jp)宛に リクエストが送られていますが、User-AgentがNTLM認証に対応していないため、認証に 失敗しております。
この場合、User-Agent(alsitool)もしくはホスト(alsi.co.jp)を認証除外へ登録する必要があります。
【認証除外の設定】 管理画面[サーバ管理]-[認証設定]にて、「リクエスト別認証設定」に登録することで、 特定のホストおよびUser-Agentが認証の対象外となります。
登録方法は<proxy.inf>に記述する場合と異なり、改行区切りでの登録となります。
登録後は「保存」ボタンをクリックすることでマスタ/スレーブサーバ共即時反映されます。
|