ver.9 standard edition windows版ntlm認証説明資料
TRANSCRIPT
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
Ver.9 Standard Edition
Windows版NTLM認証説明資料
デジタルアーツ株式会社営業部
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
Active Directoryを全社規模で採用しており、クライアントPCは
Windows端末で、ドメインログオン前提利用の環境に適しています。
【 特徴】
■ ドメインログオンかつ対応Webブラウザーを使用の場合、
ID/パスワード入力不要でシングルサインオンを実現
■ セキュリティグループ名での一括管理が可能
■ 信頼関係のある複数ドメイン環境でも運用が可能
■ パスワードの盗聴は事実上不可能
クライアントPCに最も近いプロキシとして設置する必要あり。
ドメインコントローラー
ActiveDirectory
クライアントPC
Active Directoryと連携してシングルサインオンを実現
2
インターネット
※ 「i-FILTER」でNTLM認証を選択する場合には、ドメインコントローラーとActive Directoryは必須です(通常はこれらは同居ですが便宜上分かりやすくする為に別居の図としています)。
Copyright © 2014 Digital Arts Inc.PS002549-001
サービス起動アカウント設定(Active Directory サーバー作業)
認証設定2-1. NTLM 基本設定
1
2
3
Copyright © 2014 Digital Arts Inc.PS002549-001
1.Active Directory上の任意のアカウントを「i-FILTER」のサービス起動用アカウントに割り当てます。
2.「i-FILTER」のサービス起動アカウントにドメイン管理者権限を割り当てます。(推奨)
※アカウントは新規作成しても既存のアカウントに割り当てても構いません。
【 例:Administrator 】
4
Copyright © 2014 Digital Arts Inc.PS002549-001
3.「i-FILTER」サーバー側で稼働しているサービスの中から「i-FILTER」Ver.9を選択し、Active Directory上の任意のアカウントを「i-FILTER」のサービス起動用アカウントに割り当てます。
【 注:初期状態ではローカルシステムアカウント が選択されています】
5
Copyright © 2014 Digital Arts Inc.PS002549-001
1. メニュー >> システム設定 >> ユーザー認証 >> 「基本設定」をクリックします。
2. 「ユーザー認証方式」から「NTLM認証」を選択して[保存] します。
※設定の反映には「i-FILTER」の再起動が必要となります。
6
Copyright © 2014 Digital Arts Inc.PS002549-001
グループ作成・ユーザー登録
7
Copyright © 2014 Digital Arts Inc.PS002549-001
1.メニュー >> グループ設定 で[追加]をクリックし、グループを新規作成します。
2. グループ名に任意の名前を入力し、 [編集モード]から[認証ユーザー参照]を選択します。
8
Copyright © 2014 Digital Arts Inc.PS002549-001
1. 「ドメイン選択」から利用するドメインを選択します。
2. [ドメインから取得]をクリックすると 選択したActive Directoryからグループが引けます。
9
Copyright © 2014 Digital Arts Inc.PS002549-001
ユーザーが所属するグループを選択し、[ユーザーの取得]-[追加]-[保存]ボタンで登録します。
<ユーザー単位で登録する場合>
10
Copyright © 2014 Digital Arts Inc.PS002549-001
<セキュリティグループ (属性) 単位で登録する場合>
11
Copyright © 2014 Digital Arts Inc.PS002549-001
認証除外設定
12
Copyright © 2014 Digital Arts Inc.PS002549-001 13
i-FILTERを経由する通信がユーザー認証に対応していないアプリケーションやアドオン通信等の場合、認証除外設定を行う必要があります。認証除外対象の通信は、IPアドレスによるグルーピングが行われるため、IPアドレスによるグループ登録をしていない場合は、<<標準のグループ>>の設定によりフィルタリングが実施されます。
<<標準のグループ>>が「インターネットOFFモード」になっている場合には、認証除外した通信がブロックされます。この場合は<<標準のグループ>>でも認証除外した通信を[共通設定 / 優先フィルタリング設定]で許可する必要があります。
例えば以下のWindows Update通信で利用する宛先ホストなどは、認証除外ホストへの設定が必要です。----------------------------------c.microsoft.comupdate.microsoft.comdownload.windowsupdate.comwindowsupdate.microsoft.comstats.update.microsoft.comxmlrpc.rhn.redhat.com----------------------------------
Copyright © 2014 Digital Arts Inc.PS002549-001 14
1. メニュー >> システム設定 >> ユーザー認証 >> 除外設定で「基本設定」をクリックすると以下認証除外設定が可能。
除外URL除外ホスト(ホスト名)除外ホスト(ホストIP)除外クライアントIP除外User-Agent
Copyright © 2014 Digital Arts Inc.PS002549-001 15
2. メニュー >> システム設定 >> ユーザー認証 >> 除外設定で「高度な設定」をクリックするとルールパーツを複数組み合わせて(AND判定かOR条件を指定)認証除外設定が可能。例えばアクセス先識別名(ホスト名)とUser-AgentをAND条件で認証除外する際に使用します。
Copyright © 2014 Digital Arts Inc.PS002549-001
フィルター設定・結果確認
16
Copyright © 2014 Digital Arts Inc.PS002549-001
1. グループを新規作成し、任意のグループ名・ユーザー登録を行います。
2. 「モード」から「ブラックリストモード」を選択します。
※ここでは、「i-FILTER」Ver.9.の「基本モード」を利用し、”URLカテゴリ” を規制対象にした設定例を説明します。
17
Copyright © 2014 Digital Arts Inc.PS002549-001
3. 「URLフィルター」から任意のカテゴリにチェックを入れ「保存」します。
18
Copyright © 2014 Digital Arts Inc.PS002549-001
4. ドメインユーザーでドメインにログオンし、ブラウザーから規制対象カテゴリサイトにアクセスします。(この時認証画面は表示されず、シングルサインオンが行われています。)正しい認証ユーザー名でブロックされることを確認します。
ブラウザ起動
19
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
200 OK
407 Proxy Access Denied
http://www.daj.jp/Proxy Authorization : NTLM xxxxxNTLM認証
情報を入力
(SMB通信)
http://www.daj.jp/リクエスト
(SMB通信)
コンテンツ返送
閲覧完了
ADサーバー Webサーバー
407 Proxy Authentication Required
http://www.daj.jp/Proxy Authorization : NTLM xxxxx
IPアドレス
IPアドレス+
アカウント
※ 「i-FILTER」のNTLM認証情報のキャッシュ機能によりIPアドレス情報はキャッシュされます。これにより赤点線枠内の処理は省略されます。
情報
192.168.xx.oo
IPアドレス:192.168.xx.ooに対して、プロキシ認証を要求
クライアントPC
チャレンジを生成し、送り返すと同時にNTLM認証を要求
20
ADサーバーへ問い合わせ
ユーザー情報認識
200 OK
Webブラウザー起動
IPアドレスとWeb閲覧要求を送信
http://www.daj.jp/
IPアドレス:192.168.xx.oo
チャレンジとパスワード情報を元に生成したレスポンスを送信
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
多段プロキシ構成での注意点
NTLM認証はチャレンジレスポンス方式のため、多段プロキシ構成において 「i-FILTER」で
NTLM認証を行う場合は、「i-FILTER」は必ずクライアントの要求を直接受け取る最下層に
位置していなければなりません。
アクセス元のIPアドレスを特定できない場合、正確なフィルタリング
が不可能
下記のような環境で使用する場合は、別途設定及び構成の変更が必要となります。
また、ネットワーク負荷の増加等についても、環境ごとに慎重に検討が必要となるため、下記の
ような環境下でのNTLM認証設定は弊社非推奨です。
「i-FILTER」とクライアントPCの間にNAT装置・他のプロキシなどがあり、アクセス元のIPアドレスが「i-FILTER」で特定できない環境
Terminal ServiceやMetaFrameなどのシンクライアント環境にて仮想IPアドレスを使用せず、各ユーザーの使用Webブラウザーが親サーバー上で動作している環境
パススルー認証テスト環境などでユーザー名・パスワードが完全に共通のユーザーが存在する場合、本来の権限がないユーザーが認証を通過する場合があります。
21
Copyright © 2014 Digital Arts Inc.PS002549-001 22
サーバーのドメイン参加と信頼関係
認証に使用するドメインに「i-FILTER」がインストールされているサーバーを参加させる(複数ドメイン内のアカウント情報を認証に使用する場合、そのいずれかに参加し、全ドメイン間に信頼関係が結ばれている事)必要があります。
DNS名前解決
「i-FILTER」がインストールされているサーバーで、DNSのSRVレコードを参照しドメイン名からドメインコントローラーのホスト名を参照できる必要があります。
複数ドメイン間でネットワークセグメントが異なる場合
信頼関係やDNS名前解決が正常であっても、「i-FILTER」はユーザー登録のグループ引きの時に、信頼先ドメインコントローラサーバーの名前解決を「NetBIOS」で行う為、解決手段が無い場合ブロードキャストで名前解決を行おうとします。その場合ルーターを超えられない為、結果的に名前解決が出来ずグループ引きが行えないためにNTLM認証に失敗いたします。
以下2つのいずれかの方法で対応する必要があります。
[1]「i-FILTER」と同一セグメント上に「WINSサーバー」を立て、相手先ドメインコントローラサーバーのIPアドレスを登録する方法。
[2]「i-FILTER」サーバー内の「LMHOSTファイル」に相手先ドメインコントローラーサーバーのIPアドレスを直接記述する方法。
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
Q
A
QA
一度ドメイン認証が通っているにもかかわらず、再度ドメイン認証を要求される現象が発生する場合があるのはなぜですか?
「i-FILTER」には “Cache Time to Live” で設定した時間は認証情報をキャッシュする機能が実装されており、
NTLM認証の“Cache Time to Live”時間は初期値では「600秒」 (10分) 間に設定されています。
Webブラウザーを起動して「i-FILTER」に認証されてから 600 秒 、認証情報がキャッシュされます。
このキャッシュ時間内に別アカウントでログオンした可能性があります。
恒久対応策としては、「i-FILTER」管理GUIにて[NTLM認証設定] 箇所にある“Cache Time to Live”箇所の
数値を変更してください。※「i-FILTER」の再起動が必要な作業です。
※弊社内ヒートランテストの結果、30秒以下の秒数で設定した場合には認証サーバーが過負荷状態になるリスクを確認しておりますため、30秒以下の値に設定することは推奨しておりません。
NTLM認証で、同じ端末からログオンユーザーの切り替えをした際に、前回ログオンしたユーザー設定が残る現象が発生するのはなぜですか?
NTLM認証を経てから、「i-FILTER」で認証情報がキャッシュされている時間(“Cache Time to Live”で設
定している時間)内に認証サーバー側でアカウント名やパスワードを変更した場合、「i-FILTER」の認証情報の
キャッシュが切れた直後に再度認証を求められる可能性があります。
※Active Directory が「パスワード変更後60分間」のみ旧パスワードを有効とみなして認証するため、 「現在有効なパスワード」と「現在のパスワードに変更する直前のパスワード」の両方で認証可能な時間帯が発生する場合があります。この現象は Active Directory の製品仕様ですのでご注意ください。
23
※弊社FAQサイトURL:http://www.pa-engine.net/daj/bs/faq/?DispNodeID=0&CID=0
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
Q
A 認証を経てから、「i-FILTER」で認証情報がキャッシュされている時間(“Cache Time to Live”で
設定している時間)内に、DHCPのIPアドレスのリース期間が過ぎ、別のIPアドレスが振られてしまった場合、
保持している認証情報とIPアドレスが一致しないため、別グループのユーザーと誤認識されるといった意図しない
挙動をとる可能性があります。
■NTLM認証使用時恒久対応策としては、「i-FILTER」管理GUIにて下記メニューから[NTLM認証]設定箇所を開き、
“Cache Time to Live”の数値を変更してください。
メニュー >> システム設定 >>ユーザー認証>> 基本設定
※「i-FILTER」の再起動が必要な作業です。
※弊社内ヒートランテストの結果、30秒以下の秒数で設定した場合には認証サーバーが過負荷状態になるリスクを確認しておりますため、30秒以下の値に設定することは推奨しておりません。
NTLM認証使用の際、DHCPでIPアドレスを配布している環境で想定される懸念点はありますか
24
※弊社FAQサイトURL:http://www.pa-engine.net/daj/bs/faq/?DispNodeID=0&CID=0
Copyright © 2014 Digital Arts Inc.PS002549-001 Copyright © 2014 Digital Arts Inc.
本書 は2016年3月現在の情報に基づいて作成しております。(※記載内は予告無く変更される場合があります)本書は、弊社次期製品の導入検討のためにのみご利用いただき、他の目的のためには使用しないようご注意ください。デジタルアーツ/DIGITAL ARTS、ZBRAIN、アイフィルター/i-フィルター/i-FILTERはデジタルアーツ株式会社の登録商標です。その他記載されている会社名、製品名は一般に各社の商標または登録商標です。
デジタルアーツ株式会社
〒100-0004 東京都千代田区大手町1-5-1大手町ファーストスクエア ウエストタワー14FTel 03-5220-3090 Fax [email protected]
※本書掲載内容の複写・無断転載を禁じます。
進化するWebの世界。より安全に、より快適にする新スタンダード。