よくあるご質問
キーワードから探す
- FAQ検索
- ID検索
カテゴリから探す
- よくあるご質問
- 詳細
LDAP連携、NTLM認証時の認証キャッシュの有効期間
LDAP連携(Basic認証)、NTLM認証時の認証キャッシュの有効期間を教えてください。
また、有効期間を変更する方法はありますか。
認証キャッシュの有効期間はデフォルト値が60分となっております。
■認証キャッシュの仕様について
一般的にHTTPリクエストにはドメイン名やユーザー名は含まれないため、
InterSafe Webfilter(以下ISWF)では、HTTPリクエスト時にLDAPサーバへ
問合せユーザ情報を取得しますが、取得時に大量のリクエストが発生すると
LDAPサーバの負荷が大きくなります。
ISWFではLDAPサーバへの問い合わせ負荷軽減を優先するため、
LDAP認証キャッシュを一定期間(デフォルト値:60分)保持します。
そのため、キャッシュ期間内のクライアント(同一IPアドレスを使用する
別の端末を含む)がリクエストを行ってもLDAPサーバへの問い合わせは
行いません。
このとき、キャッシュ期間内では異なるユーザのリクエストでも同じユーザ
としてログに記録されますが、こちらは仕様通りの動作となっております。
同じユーザとして出力されることを防ぐためには後述に記載の方法で、
有効期間を短く変更いただけますようお願いいたします。
また、キャッシュの有効期間内にアクセスがあっても、有効期間を延長する
ことはありません。有効期間が経過すると、再度LDAPサーバへの問い合わせを
行います。
■有効期間を変更する方法
1)管理画面での変更方法
(Ver8.0以降) サーバ管理 > 認証設定 > LDAP認証キャッシュ
(Ver7.0) システム管理 > 認証設定 > LDAP認証キャッシュ
2)設定ファイルでの変更方法
<インストールディレクトリ>/conf/proxy.inf
[LDAP]
AUTHENTICATE_CACHE_TIME
キーがない場合は60(分)に設定されています。
単位は分で、最小値が-1、最大値が10080(一週間)になります。
[0]に設定すると、キャッシュが無効になりますので、パフォーマンス低下に
繋がりますのでご注意下さい。
[-1]に設定すると、時間無制限でキャッシュを行います。
ただし、MAX_CACHE_SIZEの設定値を超えると、古いものから削除されます。
メモリの使用量が増大するため、[-1]に設定することは推奨いたしません。
(設定例:2時間の場合)
AUTHENTICATE_CACHE_TIME=120
なお、DHCPサーバなどで動的にIPアドレスを管理している場合は、
IPアドレスのリース期間をキャッシュの有効期間以上に設定いただきます
ようお願いします。
製品・認証方式による動作の違いは以下の通りです。
▼Proxy版の場合
【LDAP連携(Basic認証)】
入力されたアカウントとパスワードに紐付いたグループ情報をキャッシュします。
キャッシュ時間内であっても、ブラウザ再起動時には認証ポップアップが表示され、
ユーザ名、パスワードの入力が必要です。
(認証キャッシュにより、LDAPサーバへの問い合わせがスキップされます。)
【NTLM認証】
NTLM認証の場合、一旦認証が成功すると引き当てグループが確定されるため、
キャッシュ時間が有効な間はグループのサーチが行われません。
キャッシュ情報の中には IPアドレス、ユーザ、グループが含まれます。
キャッシュが無効となるとき再度問い合わせが行われます。
キャッシュ内容はIPアドレス情報とUser-Agent情報を関連付けてキャッシュ
しています。
▼ICAP版の場合
LDAP連携の場合はProxy版と同様に認証情報をキャッシュします。
ICAPクライアントにてNTLM認証をおこなうシングルサインオン環境に
おいては、InterSafe WebFilter上でNTLM認証フェーズ(NTLM type1,type2,
type3 などの認証ヘッダのやり取り)が発生せず、ICAPクライアント
(BluecoatやSquid) 側でNTLM認証済みの情報をICAPヘッダ経由で取得します。
InterSafe WebFilter側にユーザ登録されていない場合は、認証情報を
キャッシュしますが、InterSafe WebFilter側に登録されているユーザであれば、
認証のためのLDAPサーバへの通信は発生しません。
■認証キャッシュの仕様について
一般的にHTTPリクエストにはドメイン名やユーザー名は含まれないため、
InterSafe Webfilter(以下ISWF)では、HTTPリクエスト時にLDAPサーバへ
問合せユーザ情報を取得しますが、取得時に大量のリクエストが発生すると
LDAPサーバの負荷が大きくなります。
ISWFではLDAPサーバへの問い合わせ負荷軽減を優先するため、
LDAP認証キャッシュを一定期間(デフォルト値:60分)保持します。
そのため、キャッシュ期間内のクライアント(同一IPアドレスを使用する
別の端末を含む)がリクエストを行ってもLDAPサーバへの問い合わせは
行いません。
このとき、キャッシュ期間内では異なるユーザのリクエストでも同じユーザ
としてログに記録されますが、こちらは仕様通りの動作となっております。
同じユーザとして出力されることを防ぐためには後述に記載の方法で、
有効期間を短く変更いただけますようお願いいたします。
また、キャッシュの有効期間内にアクセスがあっても、有効期間を延長する
ことはありません。有効期間が経過すると、再度LDAPサーバへの問い合わせを
行います。
■有効期間を変更する方法
1)管理画面での変更方法
(Ver8.0以降) サーバ管理 > 認証設定 > LDAP認証キャッシュ
(Ver7.0) システム管理 > 認証設定 > LDAP認証キャッシュ
2)設定ファイルでの変更方法
<インストールディレクトリ>/conf/proxy.inf
[LDAP]
AUTHENTICATE_CACHE_TIME
キーがない場合は60(分)に設定されています。
単位は分で、最小値が-1、最大値が10080(一週間)になります。
[0]に設定すると、キャッシュが無効になりますので、パフォーマンス低下に
繋がりますのでご注意下さい。
[-1]に設定すると、時間無制限でキャッシュを行います。
ただし、MAX_CACHE_SIZEの設定値を超えると、古いものから削除されます。
メモリの使用量が増大するため、[-1]に設定することは推奨いたしません。
(設定例:2時間の場合)
AUTHENTICATE_CACHE_TIME=120
なお、DHCPサーバなどで動的にIPアドレスを管理している場合は、
IPアドレスのリース期間をキャッシュの有効期間以上に設定いただきます
ようお願いします。
製品・認証方式による動作の違いは以下の通りです。
▼Proxy版の場合
【LDAP連携(Basic認証)】
入力されたアカウントとパスワードに紐付いたグループ情報をキャッシュします。
キャッシュ時間内であっても、ブラウザ再起動時には認証ポップアップが表示され、
ユーザ名、パスワードの入力が必要です。
(認証キャッシュにより、LDAPサーバへの問い合わせがスキップされます。)
【NTLM認証】
NTLM認証の場合、一旦認証が成功すると引き当てグループが確定されるため、
キャッシュ時間が有効な間はグループのサーチが行われません。
キャッシュ情報の中には IPアドレス、ユーザ、グループが含まれます。
キャッシュが無効となるとき再度問い合わせが行われます。
キャッシュ内容はIPアドレス情報とUser-Agent情報を関連付けてキャッシュ
しています。
▼ICAP版の場合
LDAP連携の場合はProxy版と同様に認証情報をキャッシュします。
ICAPクライアントにてNTLM認証をおこなうシングルサインオン環境に
おいては、InterSafe WebFilter上でNTLM認証フェーズ(NTLM type1,type2,
type3 などの認証ヘッダのやり取り)が発生せず、ICAPクライアント
(BluecoatやSquid) 側でNTLM認証済みの情報をICAPヘッダ経由で取得します。
InterSafe WebFilter側にユーザ登録されていない場合は、認証情報を
キャッシュしますが、InterSafe WebFilter側に登録されているユーザであれば、
認証のためのLDAPサーバへの通信は発生しません。
対象バージョン
All
対象ビルド
一般情報
関連するご質問
- よくあるご質問
- 詳細