アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
よく検索されるキーワード
FAQ
タイトル
LDAP連携を行った認証時に認証エラーになる、認証ポップアップが出る、異なるユーザで認証される。
No.1813  日付:2018-09-04 10:00:00
質問 LDAP連携を行った認証方式(NTLM認証、BASIC認証)を利用しているときに、
クライアントPCで利用しているアプリケーションが正常に動作しない場合があります。
また、シングルサインオンにも関わらず、認証ポップアップが表示される場合があります。
どういった場合にこのような現象になりますか。

回答
InterSafe WebFilterでLDAP連携を行う認証方式(NTLM認証、BASIC認証)を選択時、
クライアントPCにインストールされているアプリケーション(Webブラウザ以外も含む)の
リクエストが、InterSafe WebFilterの認証方式に対応しておらず、リクエストに失敗する
ケースがあります。

リクエストが失敗することで、クライアントPCのアプリケーションが正常に動作しない
場合は、回避策として「リクエスト別認証設定」による認証除外の設定をお試しください。

[リクエスト別認証設定とは]
ユーザが設定した「User-Agent名」または「宛先ホスト名」に合致した場合に、
認証を除外し、ルートグループのユーザとして認証し、フィルタリングを行う機能です。
Windows Update時やブラウザ以外のアプリケーションからの通信では認証処理が
原因で通信に失敗する場合は、ルートグループのユーザとして認証させることで認証
処理が省略され、正常に通信ができるようになります。

※リクエスト別認証設定に一致したリクエストは、「ルートグループ」にスケジュール
 されているフィルタリングルールが適用されます。必要に応じてルートグループの
 フィルタリングルールを変更してください。
※リクエスト別認証設定は、InterSafe WebFilterの管理画面上にユーザ登録を
 行っている場合(ローカルアカウントでの認証を行っている場合)でも適用されます。


■管理画面での設定手順 ※Ver.8.5 SP1(Build 0870)以降の製品
 該当項目
 [サーバ管理]-[認証設定]-リクエスト別認証設定

 User-Agent認証 <--ユーザエージェント情報を登録します(改行区切り)
 宛先ホスト認証 <--宛先ホスト情報を登録します(改行区切り)

 ※プロトコル及びポート番号を入力する必要はありません。
 ※登録後は画面右上の「保存」ボタンを押すことで、マスタサーバ/スレーブサーバ
  共に即時反映されます。


■設定ファイル編集による設定手順
 対象ファイル
 <インストールディレクトリ>/conf/proxy.inf
 該当項目
 [ACCESS_CTRL]
 AUTHORIZED_USER_AGENT= <--ユーザエージェント情報を登録します(カンマ区切り)
 AUTHORIZED_HOST= <--宛先ホスト情報を登録します(カンマ区切り)

 ※プロトコル及びポート番号を入力する必要はありません。
 ※設定変更後は、以下のコマンドを実行して設定を反映させます。
  <インストールディレクトリ>/bin/amsdata -reload
 
  マスタ/スレーブサーバ構成の場合は、設定変更後にスレーブサーバへの同期が
  必要です。スレーブサーバとの同期手順については、添付URLをご参照ください。


[製品バージョンによる判定仕様]
●Ver.8.5以降の製品
・記述した文字列を部分一致で判定します。また、大文字小文字を判別します。
 (例)AUTHORIZED_USER_AGENT=Test を設定した場合、
  「Test」や「Test123」というユーザエージェントは認証除外の対象になりますが、
  「test」や「test123」は対象にはなりません。
・アスタリスク(*)を利用できます。
 (例)AUTHORIZED_HOST=*alsi.co.jp を設定した場合、
  「http://alsi.co.jp」「http://www.alsi.co.jp」の両方が判定対象になります。
・(Build 0870以降)LDAP連携を行った認証方式でクライアントの通信が失敗した場合にログを出力します。
 出力先ログ名:InterSafe_notice.log
 出力例:
 Failed to NTLM authenticate. (invalid NTLM parameter(2)) [client=xx.xx.xx.xx; method=GET; elapsedTime=91; Host=alsi.co.jp; User-Agent=alsitool; ]

 上記ログの場合、クライアント(xx.xx.xx.xx)からUser-Agent(alsitool)でホスト(alsi.co.jp)宛に
 リクエストが送られていますが、User-AgentがNTLM認証に対応していないため、認証に失敗して
 いると判断できます。
 回避するには、以下いずれかをリクエスト別認証設定へ登録する必要があります。
 ・User-Agent(alsitool)
 ・ホスト(alsi.co.jp)

●Ver.8.0以前の製品
・記述した文字列を完全一致で判定します。
 (例)AUTHORIZED_HOST=alsi.co.jp を設定した場合、
  「http://alsi.co.jp」というホストは認証除外の対象になりますが、
  「http://www.alsi.co.jp」は対象にはなりません。
・アスタリスク(*)は利用できません。記述すると「*」という文字列として認識します。
対象製品 InterSafe WebFilter
対象バージョン 7.0 , 8.0 , 8.5 , 9.0 対象ビルド  
添付ファイル IS_Technical_Guide(NTLM)_20151202.pdf
添付URL マスタサーバとスレーブサーバの設定同期について
一般情報
アンケートにご協力ください