option i-filter for D-SPA NTLM 認 証 - 基 本 設 定 説 明 資 料 デジタルアーツ 株 式 会 社 営 業 部 セールスエンジニア 課
NTLM 認 証 のメリット シングルサインオンによるWebアクセス 管 理 を 実 現! 認 証 サーバー 上 のグループ 情 報 を 用 いたルール 振 り 分 けも 可 能 ユーザー 追 加 削 除 時 などの 運 用 管 理 負 荷 の 低 減 認 証 不 要 なクライアントや 認 証 なしで 閲 覧 可 能 なホストも 設 定 可 能 DHCP 環 境 でも ユーザー 個 体 識 別 ルール 振 り 分 けを 実 現 P24 FAQ 参 照 D-SPA の 認 証 種 別 内 部 で 使 用 する 認 証 方 式 必 要 な 認 証 機 構 認 証 ユーザー 登 録 単 位 備 考 NTLM 認 証 NTLM 認 証 : ドメインログオンユーザーは 透 過 的 に 認 証 を 実 現 DomainController Active Directory セキュリティ グループ OU( 組 織 単 位 ) 本 方 式 に 対 応 したブラウザが 必 要 クライアントのドメイン 参 加 が 望 ましい LDAP 認 証 BASIC 認 証 : 新 規 ブラウザ 起 動 時 に ユーザー 名 パスワードの 独 自 認 証 入 力 を 要 求 される LDAP Server (Active Directory 可 ) 不 要 ( D-SPA 独 自 ) OU ( 組 織 単 位 ) D-SPA 専 用 アカウント 名 小 規 模 ユーザー 環 境 での 使 用 を 推 奨 専 用 ID,パスワード 管 理 が 必 要 2
D-SPA NTLM 認 証 の 設 定 手 順 1 2 3 4 5 6 BIND 用 アカウント 設 定 (Active Directory サーバー 作 業 ) ユーザー 認 証 設 定 2-1. NTLM 基 本 設 定 2-2. NTLM ドメイン 設 定 2-3. NTLM Active Directory 設 定 グループの 新 規 作 成 グループへの 認 証 ユーザー 登 録 4-1. ユーザー 単 位 ( 階 層 )で 登 録 する 場 合 4-2. OU( 階 層 ) 単 位 で 登 録 する 場 合 4-3. セキュリティグループ( 属 性 ) 単 位 で 登 録 する 場 合 SMB 署 名 の 無 効 化 フィルター 設 定 確 認 3
1. D-SPA BIND 用 アカウント 設 定 1.Active Directory 上 の 任 意 のアカウントを D-SPA SPA BIND 用 アカウントに 割 り 当 てます 例 :D-SPA_admin: アカウントは 新 規 作 成 しても 既 存 のアカウントに 割 り 当 てても 構 いません 2. D-SPA SPA BIND 用 アカウントにドメイン 管 理 者 権 限 を 割 り 当 てます ( 推 奨 ) 但 し お 客 様 環 境 により 一 般 ユーザー 権 限 でも 正 しくユーザー 情 報 が 引 ける 場 合 もある 為 必 須 ではありません 4
2-1. NTLM 基 本 設 定 (1) 1. メニュー >> プロキシ 設 定 >> ユーザー 認 証 >> 基 本 設 定 をクリックします 2. ユーザー 認 証 方 式 から NTLM 認 証 を 選 択 して 設 定 を 行 ないます 5
2-1. NTLM 基 本 設 定 (2) <CN, OU 単 位 ( 階 層 )でユーザー 管 理 されている 場 合 > 1. NTLM 認 証 設 定 の グルーピング 方 式 を 選 択 します 階 層 (DN DN) を 選 択 2. 右 上 部 にある[ 保 存 ]ボタンをクリックした 後 HTTP/HTTPS HTTP/HTTPSプロキシの 再 起 動 します 6
2-1. NTLM 基 本 設 定 (3) <セキュリティグループ 単 位 ( 属 性 )でユーザー 管 理 されている 場 合 > 1. NTLM 認 証 設 定 の 各 値 を 設 定 します 属 性 絞 り 込 みを 有 効 にする に チェックを 入 れる セキュリティグループ 単 位 のユーザー 管 理 の 場 合 属 性 (RDN RDN) を 選 択 属 性 絞 り 込 みを 有 効 にする に チェックを 入 れた 上 で memberof memberof を 追 加 2. 右 上 部 にある [ 保 存 ]ボタンをクリックした 後 HTTP/HTTPS HTTP/HTTPSプロキシ プロキシの 再 起 動 します 7
2-2. NTLM ドメイン 設 定 (1) 1. メニュー >> プロキシ 設 定 >> ユーザー 認 証 >> NTLMドメイン 設 定 をクリックします 8
2-2. NTLM ドメイン 設 定 (2) 2. NTLM 認 証 に 使 用 するドメインコントローラー 設 定 を 追 加 します 複 数 ドメインのユーザーを 登 録 する 場 合 は 各 ドメイン 用 のドメインコントローラーを 追 加 します 最 低 1つのドメインコントローラ 設 定 が 必 要 です ドメインコントローラーのIP IPアドレス もしくはホスト 名 を 設 定 3. 右 上 部 にある[ 保 存 ]ボタンをクリックした 後 再 起 動 します 9
2-3. NTLM Active Directory 設 定 (1) 1. メニュー >> プロキシ 設 定 >> ユーザー 認 証 >> NTLM Active Directory 設 定 を クリックします 2. NTLM Active Directory 設 定 画 面 ではActive Directory へドメインユーザー 情 報 を 問 い 合 わせるために 必 要 な 情 報 を 設 定 します 複 数 ドメインのユーザーを 登 録 する 場 合 は 各 ドメイン 用 のActive Directory 設 定 を 作 成 する 必 要 があります 10
2-3. NTLM Active Directory 設 定 (2) 3. ドメイン 一 覧 の[ 追 加 ]ボタンをクリックし 新 規 の 設 定 を 作 成 後 [ 保 存 ]ボタンをクリックします ドメイン 名 を 入 力 Active DirectoryのIP IPアドレス ポート 番 号 を 設 定 オブジェクト 名 に2バイト 文 字 を 使 用 して いる 場 合 はバージョンを バージョンを 2 2 に 変 更 D-SPA SPA BIND 用 アカウントを 指 定 D-SPA SPA BIND 用 アカウントの パスワードを 指 定 ユーザー グループの 検 索 を 行 う 際 の 検 索 開 始 場 所 を 設 定 (samaccountname samaccountname=% =%1)に 変 更 必 須! (objectclass objectclass=container =container) を 追 記 設 定 の 反 映 にはプロキシの 再 起 動 が 必 要 となります 11
3. グループの 新 規 作 成 1.メニュー >> グループ 設 定 で[ 追 加 ]をクリックし グループを 新 規 作 成 します 2. グループ 名 に 任 意 の 名 前 を 入 力 し [ 編 集 モード]から から[ 認 証 ユーザー 参 照 ] を 選 択 します 12
4. グループへの 認 証 ユーザー 登 録 1. 利 用 する 認 証 設 定 をクリックし 利 用 するActive Directory 設 定 を 選 択 します 2. [サーバーから [ 取 得 ]をクリックすると 選 択 したActive Directoryからグループが 引 けます 13
4-1. グループへの 認 証 ユーザー 登 録 <ユーザー 単 位 ( 階 層 )で 登 録 する 場 合 > 1. ユーザーが 所 属 するグループを 選 択 し [ユーザーの 取 得 ]-[ 追 加 ]-[ 保 存 ]ボタンで 登 録 します 14
4-2. グループへの 認 証 ユーザー 登 録 <OU ( 階 層 ) 単 位 で 登 録 する 場 合 > 1. 追 加 するグループを 選 択 し [ 追 加 ]-[ 保 存 ]ボタンで 登 録 します 15
4-3. グループへの 認 証 ユーザー 登 録 <セキュリティグループ ( 属 性 ) 単 位 で 登 録 する 場 合 > 1. 追 加 するユーザーを 選 択 し [ 属 性 の 取 得 ]-[ 追 加 ] -[ 保 存 ]ボタンで 登 録 します 例 AD 上 の part-timer セキュリティグループの ユーザーを 登 録 したい 時 注 意 事 項 基 本 設 定 で 以 下 の 設 定 にする 必 要 があります グルーピング: 属 性 (RDN) を 選 択 属 性 絞 り 込 みを 有 効 にする にチェックし memberof を 追 加 しておく 設 定 方 法 につきましては P7 2-1.NTLM 基 本 設 定 (3) をご 参 照 ください 16
5. SMB 署 名 の 無 効 化 D-SPA SPA での でのNTLM 認 証 はSMB 署 名 に 対 応 していません 認 証 先 に 指 定 する ドメインコントローラー 上 で SMB 署 名 の 無 効 化 を 行 う 必 要 があります 1. 既 定 のドメインコントローラセキュリティの 設 定 画 面 から [Microsoftネットワークサーバー: 常 に 通 信 にデジタル 署 名 を 行 う] ポリシーのプロパティを 開 きます 2. [Microsoftネットワークサーバー: 常 に 通 信 にデジタル 署 名 を 行 う]を 無 効 にします 17
6. フィルター 設 定 確 認 (1) 1. メニュー >> ルールパーツ >> URLカテゴリセット をクリックします 2. [ 追 加 ]をクリックして 新 しいカテゴリセットを 作 成 します 18
6. フィルター 設 定 確 認 (2) 3. 規 制 したいカテゴリに 対 して チェックします 予 め 用 意 されているテンプレートから 設 定 を 選 択 することも 可 能 です 4. [ 保 存 ]ボタンをクリックして 設 定 を 保 存 します 19
6. フィルター 設 定 確 認 (3) 5. メニュー >> ルール 設 定 >> グループ 一 覧 より 設 定 するグループを 選 択 し[ 行 の 追 加 ] ボタンをクリックします 6. ルール 行 編 集 画 面 タイプ: が フィルタリング になっている 事 を 確 認 し ルールパーツ: から URL URLカテゴリセット を 選 択 します 20
6. フィルター 設 定 確 認 (4) 7. 右 ペイン 一 覧 よりP19 P19で 作 成 済 みのカテゴリセットを 選 択 後 [ 追 加 ]ボタンで 設 定 します アクション より 任 意 のアクションを 選 択 し [ 設 定 ]ボタンをクリックします 21
6. フィルター 設 定 確 認 (5) 8. ドメインユーザー でドメインにログオンし ブラウザから 規 制 対 象 カテゴリサイトにアクセス します (この 時 認 証 画 面 は 表 示 されず 透 過 認 証 が 行 われています ) ブラウザ 起 動 9. 正 しい 認 証 ユーザー 名 でブロックされることを 確 認 します 22
FAQ Q NTLM 認 証 で 同 じ 端 末 からログオンユーザーの 切 り 替 えをした 際 に 前 回 ログオンしたユーザー 設 定 が 残 る 現 象 が 発 生 するのはなぜですか? A D-SPA には Cache Time to Live で 設 定 した 時 間 は 認 証 情 報 をキャッシュする 機 能 が 実 装 されて おり Cache Time to Live の 時 間 はデフォルトでは 600 秒 に 設 定 されています ブラウザを 起 動 して D-SPA に 認 証 されてから 600 秒 (10 分 ) 間 認 証 情 報 がキャッシュされます このキャッシュ 時 間 内 に 別 アカウントでログオンした 可 能 性 があります 調 整 するには D-SPA 管 理 画 面 の メニュー >> プロキシ 設 定 >> ユーザー 認 証 >> 基 本 設 定 >> NTLM 認 証 設 定 画 面 中 にあるNTLM 認 証 の Cache Time to Live 箇 所 の 数 値 を 変 更 し 保 存 ボタンをクリックします その 後 D-SPA の 再 起 動 を 行 ってください *ヒートランテストの 結 果 30 秒 以 下 の 秒 数 で 設 定 した 場 合 認 証 サーバーが 過 負 荷 状 態 になる 可 能 性 があります 30 秒 以 下 に 設 定 する 場 合 は 十 分 に 検 討 する 必 要 があります Q A 一 度 ドメイン 認 証 が 通 っているにもかかわらず 再 度 ドメイン 認 証 を 要 求 される 現 象 が 発 生 する 場 合 があるのはなぜですか? NTLM 認 証 を 経 てから D-SPA で 認 証 情 報 がキャッシュされている 時 間 ( Cache Time to Live で 設 定 している 時 間 ) 内 に 認 証 サーバー 側 でアカウント 名 やパスワードを 変 更 した 場 合 D-SPA の 認 証 情 報 のキャッシュが 切 れた 直 後 に 再 度 認 証 を 求 められる 可 能 性 があります *Active Directory が パスワード 変 更 後 60 分 間 のみ 旧 パスワードを 有 効 とみなして 認 証 するため 現 在 有 効 なパスワード と 現 在 のパスワードに 変 更 する 直 前 のパスワード の 両 方 で 認 証 可 能 な 時 間 帯 が 発 生 する 場 合 があります この 現 象 は Active Directory の 製 品 仕 様 ですのでご 注 意 ください 23
FAQ Q NTLM 認 証 使 用 時 DHCP で IPアドレス を 配 布 している 環 境 で 想 定 される 懸 念 事 項 は ありますか A NTLM 認 証 を 経 てから D-SPA で 認 証 情 報 がキャッシュされている 時 間 ( Cache Time to Live で 設 定 している 時 間 ) 内 に DHCPのIPアドレスのリース 期 間 が 過 ぎ 別 のIPが 振 られてしまった 場 合 保 持 している 認 証 情 報 とIPが 一 致 しないため 別 グループのユーザーと 誤 認 識 されるといった 意 図 しない 挙 動 をとる 可 能 性 があります 調 整 するには D-SPA 管 理 画 面 の メニュー >> プロキシ 設 定 >> ユーザー 認 証 >> 基 本 設 定 >> NTLM 認 証 設 定 画 面 中 にあるNTLM 認 証 の Cache Time to Live 箇 所 の 数 値 を 変 更 し [ 保 存 ]ボタンをクリックします その 後 D-SPA の 再 起 動 を 行 ってください *ヒートランテストの 結 果 30 秒 以 下 の 秒 数 で 設 定 した 場 合 認 証 サーバーが 過 負 荷 状 態 になる 可 能 性 があります 30 秒 以 下 に 設 定 する 場 合 は 十 分 に 検 討 する 必 要 があります 24
FAQ Q A SMB 署 名 とは 何 ですか 何 に 使 われていますか SMB(サーバー メッセージ ブロック)プロトコルを 用 いた 通 信 に 対 し デジタル 署 名 を 付 加 しデータの 改 ざんやなりす ましを 防 ぐセキュリティ 機 能 を 提 供 するもので Windows Server 2003 以 降 のドメインコントローラでは 既 定 で 有 効 になっています ただし 暗 号 化 はされない 為 データの 盗 聴 に 対 応 する 機 能 ではありません この 設 定 が 有 効 になっている 場 合 Microsoft ネットワーク クライアントが SMB パケット 署 名 の 実 行 に 同 意 しないと Microsoft ネットワー ク サーバーはこのネットワーク クライアントと 通 信 しません i-filter(linux/solaris 版 )ではNTLM 認 証 時 の 認 証 情 報 のやりとりをSMBプロトコルを 使 って 行 いますが プロキシ という 役 割 上 SMB 署 名 に 対 応 していない 為 この 設 定 が 有 効 になっていると 正 しく 認 証 を 行 うことができません 必 ずSMB 署 名 を 無 効 化 する 必 要 があります SMB 署 名 を 無 効 にする 方 法 については スライド17ページをご 参 照 ください 25
D-SPA SPA NTLM 認 証 のシーケンス 192.168.xx.oo Client Domain Controller AD Server (LDAP LDAP) 機 能 の 違 いを 表 すため2 台 のサーバーで 表 記 して いますが 兼 務 しても 問 題 ありません Web server ブラウザ 起 動 IPアドレスと Web 閲 覧 要 求 を 送 信 NTLM 認 証 情 報 を 入 力 チャレンジとパス ワード 情 報 を 元 に 生 成 したレスポンス を 送 信 GET http://www.daj.jp/ HTTP/1.1 IPアドレス:192.168.xx.oo 407 Proxy Access Denied GET http://www.daj.jp/ HTTP/1.1 Proxy Authorization : NTLM xxxxx 407 Proxy Authentication Required GET http://www.daj.jp/ HTTP/1.1 Proxy Authorization : NTLM xxxxx Domain Controllerへ 問 い 合 わせ IPアドレス:192.168.xx.oo に 対 して プロキシ 認 証 を 要 求 チャレンジを 生 成 し 送 り 返 すと 同 時 にNTLM 認 証 を 要 求 ユーザー 名 認 識 ADサーバーへ 問 い 合 わせ ユーザー 情 報 認 識 閲 覧 完 了 リクエスト HTTP/1.1 200 OK GET http://www.daj.jp/ HTTP/1.0 HTTP/1.1 200 OK コンテンツ 返 送 26
本 書 掲 載 内 容 の 複 写 無 断 転 載 を 禁 じます ネットワーク 高 速 化 とWebセキュリティを 実 現 本 書 は2011 年 3 月 25 日 現 在 の 情 報 に 基 づいて 作 成 しております ( 記 載 内 容 は 予 告 無 く 変 更 される 場 合 があります) 本 書 は 弊 社 D-SPA および 関 連 製 品 の 導 入 検 討 のためにのみご 利 用 いただき 他 の 目 的 のためには 使 用 しないようご 注 意 ください デジタルアーツ/DIGITAL ARTS ZBRAIN アイフィルター/i-フィルター/i-FILTER はデジタルアーツ 株 式 会 社 の 登 録 商 標 です Solaris は 米 国 Sun Microsystems, Inc. の 米 国 およびその 他 の 国 における 商 標 または 登 録 商 標 です Microsoft Windows Windows は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 登 録 商 標 です Linux は Linus Torvalds の 米 国 およびその 他 の 国 における 登 録 商 標 または 商 標 です その 他 記 載 されている 会 社 名 製 品 名 は 一 般 に 各 社 の 商 標 または 登 録 商 標 です デジタルアーツ 株 式 会 社 100-0014 東 京 都 千 代 田 区 永 田 町 2-13-10 プルデンシャルタワー15F Tel 03-3580-6789 Fax 03-3580-3031 dspa-sales@daj.co.jp www.daj.jp