よくあるご質問

キーワードから探す

  • FAQ検索
  • ID検索

※スペースで区切って複数検索が可能です。

カテゴリで絞り込む

カテゴリから探す

ID:1813
作成日: 2018/09/04
LDAP連携を行った認証時に認証エラーになる、認証ポップアップが出る、異なるユーザで認証される。

LDAP連携を行った認証方式(NTLM認証、BASIC認証)を利用しているときに、
クライアントPCで利用しているアプリケーションが正常に動作しない場合があります。
また、シングルサインオンにも関わらず、認証ポップアップが表示される場合があります。
どういった場合にこのような現象になりますか。

InterSafe WebFilterでLDAP連携を行う認証方式(NTLM認証、BASIC認証)を選択時、
クライアントPCにインストールされているアプリケーション(Webブラウザ以外も含む)の
リクエストが、InterSafe WebFilterの認証方式に対応しておらず、リクエストに失敗する
ケースがあります。
リクエストが失敗することで、クライアントPCのアプリケーションが正常に動作しない
場合は、回避策として「リクエスト別認証設定」による認証除外の設定をお試しください。
[リクエスト別認証設定とは]
 ユーザが設定した「User-Agent名」または「宛先ホスト名」に合致した場合に、
 認証を除外し、ルートグループのユーザとして認証し、フィルタリングを行う機能です。
 Windows Update時やブラウザ以外のアプリケーションからの通信では認証処理が
 原因で通信に失敗する場合は、ルートグループのユーザとして認証させることで認証
 処理が省略され、正常に通信ができるようになります。
 ※リクエスト別認証設定に一致したリクエストは、「ルートグループ」にスケジュール
  されているフィルタリングルールが適用されます。必要に応じてルートグループの
  フィルタリングルールを変更してください。
 ※リクエスト別認証設定は、InterSafe WebFilterの管理画面上にユーザ登録を
  行っている場合(ローカルアカウントでの認証を行っている場合)でも適用されます。
■管理画面での設定手順 ※Ver.8.5 SP1(Build 0870)以降の製品
 該当項目
 [サーバ管理]-[認証設定]-リクエスト別認証設定
 User-Agent認証 <--ユーザエージェント情報を登録します(改行区切り)
 宛先ホスト認証 <--宛先ホスト情報を登録します(改行区切り)
 ※プロトコル及びポート番号を入力する必要はありません。
 ※登録後は画面右上の「保存」ボタンを押すことで、プライマリサーバ/レプリカサーバ
  共に即時反映されます。
■設定ファイル編集による設定手順
 対象ファイル
 <インストールディレクトリ>/conf/proxy.inf
 該当項目
 [ACCESS_CTRL]
 AUTHORIZED_USER_AGENT= <--ユーザエージェント情報を登録します(カンマ区切り)
 AUTHORIZED_HOST= <--宛先ホスト情報を登録します(カンマ区切り)
 ※プロトコル及びポート番号を入力する必要はありません。
 ※設定変更後は、以下のコマンドを実行して設定を反映させます。
  <インストールディレクトリ>/bin/amsdata -reload
 
  プライマリ/レプリカサーバ構成の場合は、設定変更後にレプリカサーバへの同期が
  必要です。レプリカサーバとの同期手順については、添付URLをご参照ください。

  ※プライマリ/レプリカという名称は、Ver9.1SP2以前ではマスタ/スレーブという名称です。
[製品バージョンによる判定仕様]
 
●Ver.8.5以降の製品
 ・記述した文字列を部分一致で判定します。また、大文字小文字を判別します。
  (例) AUTHORIZED_USER_AGENT=Test を設定した場合、
   「Test」や「Test123」というユーザエージェントは認証除外の対象になりますが、
   「test」や「test123」は対象にはなりません。
 ・宛先ホスト認証では、アスタリスク(*)を利用できます。
  (例) AUTHORIZED_HOST=*alsi.co.jp を設定した場合、
   「http://alsialsi.co.jp」「http://www.alsi.co.jp」の両方が判定対象になります。
 
 ・User-Agent認証では、アスタリスク(*)は利用できませんが、
  User-Agentは部分一致での判定が行われます。
  (例)AUTHORIZED_USER_AGENT=alsitool を設定した場合、
   「alsitool/1.2」などのUser-Agentが部分一致で判定対象となります。
 
 ※Build 0870以降の製品では、LDAP連携を行った認証方式でクライアントの通信が
  失敗した場合に、「InterSafe_notice.log」へログを出力します。
  出力例:
  Failed to NTLM authenticate. (invalid NTLM parameter(2)) [client=xx.xx.xx.xx; method=GET; elapsedTime=91; Host=alsi.co.jp; User-Agent=alsitool; ]
  上記ログの場合、クライアント(xx.xx.xx.xx)からUser-Agent(alsitool)でホスト(alsi.co.jp)宛に
  リクエストが送られていますが、User-AgentがNTLM認証に対応していないため、認証に失敗して
  いると判断できます。
  回避するには、以下いずれかをリクエスト別認証設定へ登録する必要があります。
  ・User-Agent(alsitool)
  ・ホスト(alsi.co.jp)
●Ver.8.0以前の製品
 ・記述した文字列を完全一致で判定します。
  (例)AUTHORIZED_HOST=alsi.co.jp を設定した場合、
   「http://alsi.co.jp」というホストは認証除外の対象になりますが、
   「http://www.alsi.co.jp」は対象にはなりません。
 ・アスタリスク(*)は利用できません。記述すると「*」という文字列として認識します。
対象バージョン
All
対象ビルド
 
一般情報
この内容は参考になりましたか?
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
Page Top