アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
よく検索されるキーワード
FAQ
タイトル
LDAP連携を行った認証時に認証エラーになる、認証ポップアップが出る、異なるユーザで認証される。
No.1813  日付:2016-02-09 10:50:00
質問 LDAP連携を行った認証方式(NTLM認証、BASIC認証)を利用しているときに、
クライアントPCで利用しているアプリケーションが正常に動作しない場合があります。
また、シングルサインオンにも関わらず、認証ポップアップが表示される場合があります。
どういった場合にこのような現象になりますか。

回答 InterSafe WebFilter(以下ISWF)のLDAP連携を行った認証方式(NTLM認証、BASIC認証)
を行っている環境にて、クライアントPCにインストールされているアプリケーション
(Webブラウザ以外も含む)のリクエストが、認証に対応していないため、リクエストに失敗するケースがあります。
※NTLM認証はProxy版のみとなります。

リクエストの失敗により、クライアントPCのアプリケーションの動作に不具合が生じる場合があります。
不具合が生じた場合は、ユーザエージェント/ホストによる認証除外の設定を行うことで回避できる
場合があります。

※以下の認証除外の設定は、ローカルアカウントでの認証を行っている場合、
 また、IPアドレスでの認証を行っている場合でも適用されます。
※マスタ/スレーブサーバ構成の場合は、スレーブサーバへの同期が必要です。
   添付URLをご参照ください。
 
 ユーザエージェントによる認証除外
  ●設定箇所
  <インストールディレクトリ>/conf/proxy.inf
  [ACCESS_CTRL]
  AUTHORIZED_USER_AGENT=
  ※記述した文字列を部分一致で判定します。また、大文字小文字を判別します。
   例)AUTHORIZED_USER_AGENT=Test を設定した場合、
     「Test」や「Test123」というユーザエージェントは認証除外の対象になりますが、
     「test」や「test123」は対象にはなりません。

     ※「*」は利用できません。記述すると「*」という文字列として認識します。

  設定変更後は、<インストールディレクトリ>/bin/amsdata -reload の
  コマンドを実行して設定を反映させます。
  
 ホストによる認証除外(Ver6.5以降)
  ●設定箇所
  <インストールディレクトリ>/conf/proxy.inf
  [ACCESS_CTRL]
  AUTHORIZED_HOST=

     ※Ver8.5ではワイルドカード「*」を利用できるようになりました。
   例)AUTHORIZED_HOST=*alsi.co.jp を設定した場合、
     「http://alsi.co.jp」「http://www.alsi.co.jp」の両方が
              認証除外の対象になります。
      ※プロトコル及びポート番号を入力する必要はありません。

     ※Ver8.0以前では記述した文字列を完全一致で判定します。
   例)AUTHORIZED_HOST=alsi.co.jp を設定した場合、
     「http://alsi.co.jp」というホストは認証除外の対象になりますが、
     「http://www.alsi.co.jp」は対象にはなりません。
      ※プロトコル及びポート番号を入力する必要はありません。

  設定変更後は、<インストールディレクトリ>/bin/amsdata -reload の
  コマンドを実行して設定を反映させます。

各設定の詳細については、添付資料をご参照ください。

※認証除外されたリクエストはルートグループのユーザとして認証され、
  ルートグループにスケジュールされているフィルタリングルールが適用されます。
  必要に応じてルートグループのカテゴリルールを変更してください。

※Ver5.0においては、「未登録ユーザ」を有効にしている環境では、アプリケーションの
 リクエストが未登録ユーザとして判定され、その認証キャッシュにより、Webブラウザの
 リクエストも未登録ユーザとして判定されるケースがあります。

 この場合、認証キャッシュの時間を短縮するか、無効にすることで、
 回避もしくは発生頻度の減少が可能です。 認証キャッシュの時間はVer5.0では
 設定ファイルで設定します。隠しキーですので設定ファイルに下記キーを追記します。

 認証キャッシュの時間変更
  ●設定箇所
  <インストールディレクトリ>/conf/proxy.inf
  [LDAP]
  AUTHENTICATE_CACHE_TIME=

 設定ファイル変更後は、ISWFの全サービスの再起動を行ってください。

 ※注意点※
 ・単位は分で、キー自体の記載がない初期値は、60(分)です。
 ・最小値が-1、最大値が10080(一週間)です。0に設定すると、キャッシュが無効になります。
  -1に設定すると、時間無制限でキャッシュを行います。キャッシュを無効にすると、
  LDAPサーバへの問い合わせが頻発するため、ISWFサーバ自体のパフォーマンスが
  低下する場合があります。


Ver8.5SP1での認証失敗の確認と認証除外の設定方法

【認証失敗の確認】
Ver8.5SP1ではLDAP連携を行った認証方式でクライアントの通信が失敗した場合に
ログとして出力されます。

出力されるログ:InterSafe_notice.log

ログ出力例
Failed to NTLM authenticate. (invalid NTLM parameter(2)) [client=192.168.1.1; method=GET; elapsedTime=91; Host=alsi.co.jp; User-Agent=alsitool; ]

上記ログの場合、クライアント(192.168.1.1)からUser-Agent(alsitool)でホスト(alsi.co.jp)宛に
リクエストが送られていますが、User-AgentがNTLM認証に対応していないため、認証に
失敗しております。

この場合、User-Agent(alsitool)もしくはホスト(alsi.co.jp)を認証除外へ登録する必要があります。

【認証除外の設定】
管理画面[サーバ管理]-[認証設定]にて、「リクエスト別認証設定」に登録することで、
特定のホストおよびUser-Agentが認証の対象外となります。

登録方法は<proxy.inf>に記述する場合と異なり、改行区切りでの登録となります。

登録後は「保存」ボタンをクリックすることでマスタ/スレーブサーバ共即時反映されます。

対象製品 InterSafe WebFilter
対象バージョン 5.0 , 6.0 , 6.5 , 7.0 , 8.0 , 8.5 対象ビルド  
添付ファイル IS_Technical_Guide(NTLM)_20151202.pdf
添付URL マスタサーバとスレーブサーバの設定同期について
一般情報
アンケートにご協力ください