アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
よく検索されるキーワード
FAQ
タイトル
複数台AD連携時、デフォルトドメイン以外のユーザで認証に失敗する
No.3532  日付:2010-11-26 09:30:00

回答 ActiveDirectoryを複数台でご利用で、且つ、それぞれのADに登録されている
ユーザが異なる場合(負荷分散目的ではない場合)、以下の問題に該当いたします。

2008年11月公開のマイクロソフトのパッチが適用されたクライアントPCでは、
そのパッチの影響によりNTLM認証時、デフォルトドメイン以外のADに登録
されているユーザでは認証に失敗するという問題が発生いたします。
   
InterSafe WebFilterのNTLM認証時では、クライアントからInterSafeに対する
Type1 の通信で含まれる"Calling workstation domain:" というヘッダからドメ
イン名を取得します。取得したドメイン名と合致するNetBIOSドメイン名のADが
InterSafe WebFilterに登録されている場合、そのADにて認証を行います。

問題発生時には、上記ヘッダのドメイン名が "NULL" となっており、この結果、
デフォルトドメインのADでのみ認証を行い、デフォルトドメインに存在しない
場合は、認証要求画面が表示されます。

この問題は、以下のマイクロソフトのパッチが適用されたクライアントPCにて、
Type1のパケット中にドメイン名が含まれなくなることにより発生いたします。

   ■参考文献
   [MS08-068] SMB の脆弱性により、リモートでコードが実行される
   1.http://support.microsoft.com/kb/957097/ja
   2.http://www.microsoft.com/japan/technet/security/bulletin/MS08-068.mspx

この問題に対する対応策は以下の2点です。
(いずれか一方の対応で問題の回避が可能です)

<対応策1>
上記参考文献1に紹介されている、レジストリキーの追加(下記)により、
Type1のヘッダにドメイン名が含まれるようになり、正しく認証できる
ようになります。

   ■レジストリキー
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck

ただし、レジストリキーを追加することによって脆弱性が逆に修正されない
ことになりますので、Type1のドメイン名取得の対策につきましては、
InterSafe WebFilterの今後の課題として検討して参ります。

<対応策2>
AD側の設定になりますが、デフォルトドメインとその他のADが信頼関係を
結んでいれば、デフォルトドメイン以外のユーザでもデフォルトドメイン側で
認証に成功するため、Type1のドメイン名が"NULL" の状態でも影響を受けずに
NTLM認証が可能となります。
対象製品 InterSafe WebFilter
対象バージョン ALL 対象ビルド  
一般情報
アンケートにご協力ください