「i-FILTER」Ver.9Linux版NTLM認証説明資料

Similar documents
「i-FILTER」Ver.9Windows版NTLM認証説明資料

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\ pptx)

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

VG シリーズ用ローカルファームアップ / 自動ファームウェア更新設定手順書 VG400aⅡ ローカルファームアップ / 自動ファームウェア更新設定手順書

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

Active Directory フェデレーションサービスとの認証連携

「FinalCode Viewer」ユーザーマニュアル

本マニュアルに記載された内容は 将来予告なしに一部または全体を修正及び変更することがあります なお 本マニュアルにこのような不備がありましても 運用上の影響につきましては責任を負いかねますのでご了承ください 本マニュアルの一部 あるいは全部について 許諾を得ずに無断で転載することを禁じます ( 電子

LCV-Net セットアップガイド macOS

FutureWeb3サーバー移管マニュアル

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

ESET Smart Security 7 リリースノート

Joi-Tab 端末管理システム最終更新日 2015 年 3 月 13 日

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

クライアント証明書導入マニュアル

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

ユーザーズマニュアル

管理者マニュアル

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

OmniTrust

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

アルファメール 移行設定の手引き Outlook2016

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

ご利用の前に 目次 - 0. 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8. について Internet Explorer のバージョン確認 SAMWEB の初期設定 セキュリティ設定..

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

TimeTracker FX セットアップガイド 補足資料 2/14 0. はじめに 本資料は [TimeTracker FX セットアップガイド ] では説明していない Microsoft SQL Server 2005 ( 以下 SQL Server 2005) の設定や操作方法を補足するための

どこでもキャビネットVer1.3 ご紹介資料

証明書インポート用Webページ

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

FutureWeb3 サーバー移管マニュアル Vol.004

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

LCV-Net セットアップガイド Windows10

Microsoft SQL Server 2016 インストール手順書 (Standard) この文書は SQL Server 2016 のインストール手順について簡潔にまとめたもので Microsoft SQL Server 2016 Books Online に記述されている一部を抜粋した内容で

モバイル統合アプリケーション 障害切り分け手順書

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

クライアント証明書インストールマニュアル

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

大阪大学キャンパスメールサービスの利用開始方法

プリンタードライバーインストールガイド - Windows 10/8.1 - 本ガイドは 複合機 bizhub C368 を例に説明をしています 他の機種の場合も操作 法は同じです 本書では Windows 10 および 8.1 で複合機を利 するために必要なプリンタードライバーのインストール 法を

Microsoft Word - GoNET-MIS_評価環境構築マニュアル_ver docx

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

SFTPサーバー作成ガイド

Shareresearchオンラインマニュアル

PowerPoint Presentation

新環境への移行手順書

クラウドファイルサーバーデスクトップ版 インストールマニュアル 利用者機能 第 1.2 版 2019/04/01 富士通株式会社

管理者マニュアル

証明書インポート用Webページ

現象

PowerPoint プレゼンテーション

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

Windows 10の注意点

1. Office365 ProPlus アプリケーションから利用する方法 (Windows / Mac) この方法では Office365 ProPlus アプリケーションで ファイルの保管先として OneDrive を指定することができます Office365 ProPlus アプリケーションで

X-MON 3.1.0

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

Password Manager Pro スタートアップガイド

PowerPoint プレゼンテーション

BACREX-R クライアント利用者用ドキュメント

WES7シンクライアントIE11アップデート手順書

KDDI Smart Mobile Safety Manager ios キッティングマニュアル 最終更新日 2018 年 12 月 13 日 Document ver1.0 (Web サイト ver.9.5.0)

インストール要領書

メール設定

Windows PC VPN ユーザー向け手順書 SoftEther VPN (SSL-VPN) を用いた筑波大学 VPN サービスへの接続方法 学術情報メディアセンター VPN ユーザーマニュアルから Windows PC 向けの情報だけを詳細に説明した設定手順書を作成いたしましたのでご利用くださ

FUJITSU Cloud Service K5 認証サービス サービス仕様書

ビジネスサーバ設定マニュアルメール設定篇(VPS・Pro)

福岡大学ネットワーク認証・検疫システム実施マニュアル

パソコンソフト使い放題 クライアントユーザーマニュアル 最終更新日 2013 年 10 月 21 日

Windows 7ファイル送信方法 SMB編

スライド 1

Microsoft Word - Gmail-mailsoft設定2016_ docx

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

AppsWF ワークフロー設定ガイド Ver.1.1 株式会社オプロ

ESET NOD32 アンチウイルス 8 リリースノート

IE用事前設定手順書

Microsoft Word - シャットダウンスクリプトWin7.doc

クライアント証明書インストールマニュアル

目次 1. 画面構成 2. ライセンス登録 3. インストール 4. バックアップ方法 5. バッチバックアップ方法 6. 終了方法 7. アンインストール 8. 注意事項 2

公立大学法人首都大学東京

セットアップマニュアル

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

印刷アプリケーションマニュアル

Transcription:

Ver.9 Standard Edition Linux 版 NTLM 認証説明資料 デジタルアーツ株式会社営業部

Active Directory と連携してシングルサインオンを実現 Active Directory を全社規模で採用しており クライアント PC は Windows 端末で ドメインログオン前提利用の環境に適しています 特徴 ドメインログオンかつ対応 Web ブラウザーを使用の場合 インターネット ID/ パスワード入力不要でシングルサインオンを実現 セキュリティグループ名での一括管理が可能 ドメインコントローラー 信頼関係のある複数ドメイン環境でも運用が可能 パスワードの盗聴は事実上不可能 Active Directory クライアント PC に最も近いプロキシとして設置する必要あり クライアント PC i-filter で NTLM 認証を選択する場合には ドメインコントローラーと Active Directory は必須です ( 通常はこれらは同居ですが便宜上分かりやすくする為に別居の図としています ) 2

1 ライブラリファイルのインストール 2 認証設定 2-1. NTLM 基本設定 2-2. NTLM ドメイン設定 2-3. NTLM Active Directory 設定 3 SMB 署名の無効化 3

i-filter (Linux 版 ) での NTLM 認証機能を使用する場合は 以下のライブラリファイルがインストールされている必要があります インストールされていない場合は別途用意してください < 必要なライブラリファイル > libldap.so liblber.so openldap-2.4.xx-x.x86_64.rpm と openldap-devel-2.4.xx- X.x86_64.rpm が必要です (XX-X はお使いの OS のバージョンに含まれるライブラリファイルの値に読み替えてください ) 4 4

1. メニュー >> システム設定 >> ユーザー認証 >> 基本設定 をクリックします 2. ユーザー認証方式 から NTLM 認証 を選択して [ 保存 ] します 設定の反映には i-filter の再起動が必要となります 5

< ユーザー単位 ( 階層 ) でグループ登録する場合 > 1. NTLM 認証設定の グルーピング 方式を選択します 階層 (DN) を選択 2. 右上部にある [ 保存 ] ボタンをクリックした後 再起動します 6

< セキュリティグループ単位 ( 属性 ) でグループ登録する場合 > 1. NTLM 認証設定の各値を設定します 属性絞り込みを有効にする にチェックを入れる セキュリティグループ単位のユーザー管理の場合 属性 (RDN) を選択 属性絞り込みを有効にする にチェックを入れた上で memberof を追加 2. 右上部にある [ 保存 ] ボタンをクリックした後 再起動します 7

1. メニュー >> システム設定 >> ユーザー認証 >> NTLM ドメイン設定をクリックします 8

2. NTLM 認証に使用するドメインコントローラー設定を追加します 複数ドメインのユーザーを登録する場合は各ドメイン用のドメインコントローラーを追加します 最低 1 つのドメインコントローラー設定が必要です ドメインコントローラーの IP アドレス もしくはホスト名を設定 3. 右上部にある [ 保存 ] ボタンをクリックした後 再起動します 9

1. メニュー >> システム設定 >> ユーザー認証 >> NTLM Active Directory 設定をクリックします 2. NTLM Active Directory 設定 画面では Active Directory へドメインユーザー情報を問い合わせるために必要な情報を設定します 複数ドメインのユーザーを登録する場合は各ドメイン用の Active Directory 設定を作成する必要があります 10

3. ドメイン一覧の [ 追加 ] ボタンをクリックし新規の設定を作成後 [ 保存 ] ボタンをクリックします ドメイン名を入力 (NetBIOS 名 ) Active Directory の IP アドレス ポート番号を設定 オブジェクト名に 2 バイト文字を使用している場合はバージョンを 2 に変更 i-filter BIND 用アカウントを指定 i-filter BIND 用アカウントのパスワードを指定 ユーザー グループの検索を行う際の検索開始場所を設定 (samaccountname=%1) に変更必須 (objectclass=container) を追記 設定の反映には i-filter の再起動が必要となります 11

i-filter (Linux 版 ) での NTLM 認証は SMB 署名に対応していません 認証先に指定するドメインコントローラー上で SMB 署名の無効化を行う必要があります 1. 既定のドメインコントローラセキュリティの設定 画面から [Microsoft ネットワークサーバー : 常に通信にデジタル署名を行う ] ポリシーのプロパティを開きます 2. [Microsoft ネットワークサーバー : 常に通信にデジタル署名を行う ] を無効にします 12

Linux 版 NTLM 認証では 同一ドメイン内に存在するドメインコントローラーの設定を冗長化することが可能です ロードバランシングではなく 優先度の高いドメインコントローラーがダウンしたら 次の優先度のドメインコントローラーを参照するという意味での冗長化となります 設定例は以下となります (1) NTLM ドメイン設定 使用するドメインコントローラーを優先度順に登録します 13

(2) NTLM Active Directory 設定 追加 をクリックし優先度 1 のドメインコントローラーを設定します 14

AD 設定を追加 をクリックし優先度 2 のドメインコントローラーを設定します 15

認証除外設定 16

i-filter を経由する通信がユーザー認証に対応していないアプリケーションやアドオン通信等の場合 認証除外設定を行う必要があります 認証除外対象の通信は IP アドレスによるグルーピングが行われるため IP アドレスによるグループ登録をしていない場合は << 標準のグループ >> の設定によりフィルタリングが実施されます << 標準のグループ >> が インターネット OFF モード になっている場合には 認証除外した通信がブロックされます この場合は << 標準のグループ >> でも認証除外した通信を [ 共通設定 / 優先フィルタリング設定 ] で許可する必要があります 例えば以下の Windows Update 通信で利用する宛先ホストなどは 認証除外ホストへの設定が必要です ---------------------------------- c.microsoft.com update.microsoft.com download.windowsupdate.com windowsupdate.microsoft.com stats.update.microsoft.com xmlrpc.rhn.redhat.com ---------------------------------- 17

1. メニュー >> システム設定 >> ユーザー認証 >> 除外設定で 基本設定 をクリックすると以下認証除外設定が可能 除外 URL 除外ホスト ( ホスト名 ) 除外ホスト ( ホスト IP) 除外クライアント IP 除外 User-Agent 18

2. メニュー >> システム設定 >> ユーザー認証 >> 除外設定で 高度な設定 をクリックするとルールパーツを複数組み合わせて (AND 判定か OR 条件を指定 ) 認証除外設定が可能 例えばアクセス先識別名 ( ホスト名 ) と User-Agent を AND 条件で認証除外する際に使用します 19

グループ作成 ユーザー登録 20

1. メニュー >> グループ設定で [ 追加 ] をクリックし グループを新規作成します 2. グループ名に任意の名前を入力し [ 編集モード ] から [ 認証ユーザー参照 ] を選択します 21

1. 利用する認証設定 をクリックし 利用する Active Directory 設定を選択します 2. [ サーバーから取得 ] をクリックすると選択した Active Directory からグループが引けます 22

< ユーザー単位で登録する場合 > ユーザーが所属するグループを選択し [ ユーザーの取得 ]-[ 追加 ]-[ 保存 ] ボタンで登録します 23

<OU 単位で登録する場合 > 追加するグループを選択し [ 追加 ]-[ 保存 ] ボタンで登録します 24

< セキュリティグループ ( 属性 ) 単位で登録する場合 > ユーザーが所属するグループを選択し [ ユーザーの取得 ] 後 ユーザーを選択し [ 属性の取得 ] から [ 追加 ] - [ 保存 ] ボタンで属性登録します 例 AD 上の niigata という名前のセキュリティグループのユーザーを登録したい時 注意事項事前に 基本設定 で以下の設定にする必要があります グルーピング : 属性 (RDN) を選択 属性絞り込みを有効にする にチェックし memberof を追加しておく 設定方法につきましては P7 2-1.NTLM 基本設定 (3) をご参照ください 25

フィルター設定 結果確認 26

ここでは i-filter Ver.9. の 基本モード を利用し URL カテゴリ を規制対象にした設定例を説明します 1. グループを新規作成し 任意のグループ名 ユーザー登録を行います 2. モード から ブラックリストモード を選択します 27

3. URL フィルター から任意のカテゴリにチェックを入れ 保存 します 28

4. ドメインユーザーでドメインにログオンし ブラウザーから規制対象カテゴリサイトにアクセスします ( この時認証画面は表示されず シングルサインオンが行われています ) 正しい認証ユーザー名でブロックされることを確認します ブラウザ起動 29

192.168.xx.xx Web ブラウザー起動 クライアント PC ドメインコントローラー AD サーバー Web サーバー IP アドレスと Web 閲覧要求を送信 http://www.daj.jp/ IP アドレス :192.168.xx.oo 407 Proxy Access Denied IP アドレス :192.168.xx.oo に対して プロキシ認証を要求 NTLM 認証情報を入力 http://www.daj.jp/ Proxy Authorization : NTLM xxxxx 407 Proxy Authentication Required チャレンジを生成し 送り返すと同時に NTLM 認証を要求 チャレンジとパスワード情報を元に生成したレスポンスを送信 http://www.daj.jp/ Proxy Authorization : NTLM xxxxx ドメインコントローラーへ問い合わせ ユーザー情報認識 (SMB 通信 ) (SMB 通信 ) LDAP サーバー ( ここでは AD サーバー ) と i-filter との LDAP 通信暗号化 (LDAPS ) にも対応 ADサーバーへ問い合わせユーザー名認識 リクエスト閲覧完了 200 OK http://www.daj.jp/ 200 OK i-filter の NTLM 認証情報のキャッシュ機能により IP アドレス情報はキャッシュされます これにより赤点線枠内の処理は省略されます コンテンツ返送 30

多段プロキシ構成での注意点 NTLM 認証はチャレンジレスポンス方式のため 多段プロキシ構成において i-filter で NTLM 認証を行う場合は i-filter は必ずクライアントの要求を直接受け取る最下層に位置していなければなりません アクセス元の IP アドレスを特定できない場合 正確なフィルタリングが不可能 下記のような環境で使用する場合は 別途設定及び構成の変更が必要となります また ネットワーク負荷の増加等についても 環境ごとに慎重に検討が必要となるため 下記のような環境下での NTLM 認証設定は弊社非推奨です i-filter とクライアント PC の間に NAT 装置 他のプロキシなどがあり アクセス元の IP アドレスが i-filter で特定できない環境 Terminal Service や MetaFrame などのシンクライアント環境にて仮想 IP アドレスを使用せず 各ユーザーの使用 Web ブラウザーが親サーバー上で動作している環境 パススルー認証テスト環境などでユーザー名 パスワードが完全に共通のユーザーが存在する場合 本来の権限がないユーザーが認証を通過する場合があります 31

SMB 署名 i-filter Linux 版での NTLM 認証は SMB 署名には対応していません NTLM 認証にて認証先に指定するドメインコントローラー上の ドメインコントローラセキュリティポリシー にて 以下の設定を 無効 にしてください [Microsoft ネットワークサーバー : 常に通信にデジタル署名を行う ] 本紙 P.12 も参照してください 複数ドメイン環境の場合 複数ドメインが存在する環境に対していずれのドメインのユーザーについても NTLM 認証を行うためには 各ドメインが相互に信頼関係を結んでいる必要があります i-filter Linux 版の場合 p10~11 の NTLM Active Directory 設定を各ドメインごとに行う必要がありますが こちらの設定値上限により利用可能なドメインは最大で 16 となります 32

弊社 FAQ サイト URL:http://www.pa-engine.net/daj/bs/faq/?DispNodeID=0&CID=0 Q A NTLM 認証で 同じ端末からログオンユーザーの切り替えをした際に 前回ログオンしたユーザー設定が残る現象が発生するのはなぜですか? i-filter には Cache Time to Live で設定した時間は認証情報をキャッシュする機能が実装されており NTLM 認証の Cache Time to Live 時間は初期値では 600 秒 (10 分 ) 間に設定されています Web ブラウザーを起動して i-filter に認証されてから 600 秒 認証情報がキャッシュされます このキャッシュ時間内に別アカウントでログオンした可能性があります 恒久対応策としては i-filter 管理 GUI にて [NTLM 認証設定 ] 箇所にある Cache Time to Live 箇所の数値を変更してください i-filter の再起動が必要な作業です Q A 弊社内ヒートランテストの結果 30 秒以下の秒数で設定した場合には認証サーバーが過負荷状態になるリスクを確認しておりますため 30 秒以下の値に設定することは推奨しておりません 一度ドメイン認証が通っているにもかかわらず 再度ドメイン認証を要求される現象が発生する場合があるのはなぜですか? NTLM 認証を経てから i-filter で認証情報がキャッシュされている時間 ( Cache Time to Live で設定している時間 ) 内に認証サーバー側でアカウント名やパスワードを変更した場合 i-filter の認証情報のキャッシュが切れた直後に再度認証を求められる可能性があります Active Directory が パスワード変更後 60 分間 のみ旧パスワードを有効とみなして認証するため 現在有効なパスワード と 現在のパスワードに変更する直前のパスワード の両方で認証可能な時間帯が発生する場合があります この現象は Active Directory の製品仕様ですのでご注意ください 33

弊社 FAQ サイト URL:http://www.pa-engine.net/daj/bs/faq/?DispNodeID=0&CID=0 Q NTLM 認証使用の際 DHCP で IP アドレスを配布している環境で想定される懸念点はありますか A 認証を経てから i-filter で認証情報がキャッシュされている時間 ( Cache Time to Live で設定している時間 ) 内に DHCP の IP アドレスのリース期間が過ぎ 別の IP アドレスが振られてしまった場合 保持している認証情報と IP アドレスが一致しないため 別グループのユーザーと誤認識されるといった意図しない挙動をとる可能性があります NTLM 認証使用時恒久対応策としては i-filter 管理 GUI にて下記メニューから [NTLM 認証 ] 設定箇所を開き Cache Time to Live の数値を変更してください メニュー >> システム設定 >> ユーザー認証 >> 基本設定 i-filter の再起動が必要な作業です 弊社内ヒートランテストの結果 30 秒以下の秒数で設定した場合には認証サーバーが過負荷状態になるリスクを確認しておりますため 30 秒以下の値に設定することは推奨しておりません 34

弊社 FAQ サイト URL:http://www.pa-engine.net/daj/bs/faq/?DispNodeID=0&CID=0 Q SMB 署名とは何ですか 何故無効化する必要がありますか A SMB( サーバーメッセージブロック ) プロトコルを用いた通信に対し デジタル署名を付加しデータの改ざんやなりすましを防ぐセキュリティ機能を提供するもので Windows Server 2003 以降のドメインコントローラでは既定で有効になっています ただし 暗号化はされない為 データの盗聴に対応する機能ではありません この設定が有効になっている場合 Microsoft ネットワーククライアントが SMB パケット署名の実行に同意しないと Microsoft ネットワークサーバーはこのネットワーククライアントと通信しません NTLM 認証では パスワード情報はハッシュ化された状態で交わされます 一方 SMB 通信に付加する署名を生成するためには 平文の ( ハッシュ化前の ) パスワード情報を必要とします クライアントと AD との中間に位置する Linux 版 i-filter は クライアントから平文のパスワード情報を受け取ることができず 結果として正しい署名情報を生成することができません SMB 署名を無効にした場合の懸念点 有効時と比較しセキュリティのレベルが下がる SMB 署名を必須にしているコンピュータとの通信ができない 本仕様を実装した i-filter のリリース日は 2008/04/22 ですが SMB 署名を無効にしたことで問題が発生している事例は今までございません SMB 署名を無効にする方法については 本紙 P.12 をご参照ください 35

本書掲載内容の複写 無断転載を禁じます 進化する Web の世界 より安全に より快適にする新スタンダード 本書は 2016 年 3 月現在の情報に基づいて作成しております ( 記載内は予告無く変更される場合があります ) 本書は 弊社次期製品の導入検討のためにのみご利用いただき 他の目的のためには使用しないようご注意ください デジタルアーツ /DIGITAL ARTS ZBRAIN アイフィルター /i- フィルター /i-filter はデジタルアーツ株式会社の登録商標です その他記載されている会社名 製品名は一般に各社の商標または登録商標です デジタルアーツ株式会社 100-0004 東京都千代田区大手町 1-5-1 大手町ファーストスクエアウエストタワー 14F Tel 03-5220-3090 Fax 03-5220-1130 sales-info@daj.co.jp www.daj.jp

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック