よくあるご質問

キーワードから探す

  • FAQ検索
  • ID検索

※スペースで区切って複数検索が可能です。

カテゴリで絞り込む

カテゴリから探す

ID:1652
作成日: 2016/01/26
LDAP連携、NTLM認証時の認証キャッシュの有効期間

LDAP連携(Basic認証)、NTLM認証時の認証キャッシュの有効期間を教えてください。
また、有効期間を変更する方法はありますか。

認証キャッシュの有効期間はデフォルト値が60分です。
認証が成功して60分経過するまでは、キャッシュ中のクライアントが
リクエストを行ってもLDAPサーバへの問い合わせは行いません。

また、キャッシュの有効期間内にアクセスがあっても、有効期間を
延長することはありません。有効期間が経過すると、
再度LDAPサーバへの問い合わせを行います。

■管理画面での変更方法
   (Ver8.0以降) サーバ管理 > 認証設定 > LDAP認証キャッシュ
   (Ver7.0) システム管理 > 認証設定 > LDAP認証キャッシュ

■設定ファイルでの変更方法
   <インストールディレクトリ>/conf/proxy.inf
   [LDAP]
   AUTHENTICATE_CACHE_TIME

  キーがない場合は60(分)に設定されています。
  単位は分で、最小値が-1、最大値が10080(一週間)になります。
  0に設定すると、キャッシュが無効になります。-1に設定すると、
  時間無制限でキャッシュを行います。ただし、MAX_CACHE_SIZEの
  設定値を超えると、古いものから削除されます。メモリの使用量が増大するため、
  -1に設定することは推奨いたしません。

  また、0にするとキャッシュを行わないため、パフォーマンス低下に
  繋がりますのでご注意下さい。

  (設定例:2時間の場合)
   AUTHENTICATE_CACHE_TIME=120

 なお、キャッシュの有効期間内は、同一IPアドレスを使用する別の端末での
 アクセスに関しても認証を行いません。DHCPサーバなどで動的に
 IPアドレスを管理している場合は、IPアドレスのリース期間をキャッシュの
 有効期間以上に設定いただきますようお願いします。


製品・認証方式による動作の違いは以下の通りです。

▼Proxy版の場合

【LDAP連携(Basic認証)】
 入力されたアカウントとパスワードに紐付いたグループ情報をキャッシュします。
 キャッシュ時間内であっても、ブラウザ再起動時には認証ポップアップが表示され、
 ユーザ名、パスワードの入力が必要です。(認証キャッシュにより、LDAPサーバ
 への問い合わせがスキップされます。)

【NTLM認証】
 NTLM認証の場合、一旦認証が成功すると引き当てグループが確定されるため、
 キャッシュ時間が有効な間はグループのサーチが行われません。
 キャッシュ情報の中には IPアドレス、ユーザ、グループが含まれます。
 キャッシュが無効となるとき再度問い合わせが行われます。

 キャッシュ内容はIPアドレス情報とUser-Agent情報を関連付けてキャッシュ
  しています。

▼ICAP版の場合

 LDAP連携の場合はProxy版と同様に認証情報をキャッシュします。

 ICAPクライアントにてNTLM認証をおこなうシングルサインオン環境においては、
 InterSafe WebFilter上でNTLM認証フェーズ(NTLM type1,type2, type3 などの
 認証ヘッダのやり取り)が発生せず、ICAPクライアント(BluecoatやSquid) 側で
 NTLM認証済みの情報をICAPヘッダ経由で取得します。
 InterSafe WebFilter側にユーザ登録されていない場合は、認証情報をキャッシュ
 しますが、InterSafe WebFilter側に登録されているユーザであれば、認証のため
 のLDAPサーバへの通信は発生しません。
 
対象バージョン
All
対象ビルド
 
一般情報
この内容は参考になりましたか?
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
Page Top