AD連携資料_V6-7.doc

[InterSafe WebFilter Ver6-7] ActiveDirectory との 連 携 [Document Level 2] ALPS SYSTEM INTEGRATION Co., LTD. 2011/09/09 version 1.2.0 Technical Support Section 1

目 次 1. はじめに 3 2. AD のオブジェクトと 属 性 4 3. InterSafe と AD の 連 携 設 定 6 3-1. AD と 連 携 して 認 証 するまでの 流 れ 6 3-2. ユーザ 認 証 設 定 6 3-3. AD サーバ 情 報 の 設 定 12 3-3-1. サーバ 情 報 の 登 録 12 3-3-2. 検 索 条 件 14 3-4. InterSafe のグループとの 紐 付 け 15 3-4-1. LDAP グループ 特 定 方 式 : ユーザの DN からグループ 階 層 を 特 定 する の 場 合 15 3-4-2. LDAP グループ 特 定 方 式 : グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 15 3-4-3. AD との 連 携 確 認 16 3-5. 注 意 事 項 17 3-5-1. AD の 情 報 の 変 更 17 3-5-2. ドメイン 不 参 加 のクライアントとの 共 存 17 3-5-3. InterSafe で NTLM 認 証 を 利 用 する 場 合 18 3-5-4. セキュリティグループ を 抽 出 条 件 に 利 用 する 場 合 18 3-5-5. InterSafe で 使 用 できないコマンド 18 3-5-6. AD より 1000 以 上 のユーザーを InterSafe に 取 り 込 む 場 合 19 4. 特 別 な 環 境 における 運 用 例 20 4-1. BlueCoat を 用 いた NTLM 連 携 20 4-1-1. ICAP サーバの 設 定 20 4-1-2. 認 証 設 定 20 4-1-3. Policy の 設 定 22 4-1-4. BCAAA のインストール 29 4-1-5. Client の 設 定 29 4-2. NetCache を 用 いた NTLM 連 携 30 4-2-1. ICAP サーバの 設 定 30 4-2-2. NTLM の 設 定 30 4-2-3. プロトコルの 選 択 32 4-2-4. 注 意 事 項 33 4-2-5. Client の 設 定 33 4-3. Squid を 用 いた NTLM 連 携 34 4-3-1. Squid のインストール 34 4-3-2. Squid の 設 定 34 4-3-3. Client の 設 定 35 2

1. はじめに InterSafeWebFilter( 以 下 InterSafe と 略 します)には LDAP サーバと 連 携 しユーザ 管 理 ユーザ 認 証 を 行 う 機 能 がありま す 本 書 では 一 般 的 な LDAP サーバである Active Directory( 以 下 AD と 略 します)と 連 携 する 際 の 設 定 について 説 明 します 本 資 料 に 記 載 されている 会 社 名 および 商 品 名 は 各 社 の 商 標 もしくは 登 録 商 標 です 3

2.AD のオブジェクトと 属 性 この 項 では InterSafe との 連 携 に 必 要 な 情 報 である AD のオブジェクトと その 属 性 について 説 明 します 図 1 は Active Directory ユーザとコンピュータ 実 行 時 のウィンドウの 一 部 です こちらから AD に 登 録 されているオブ ジェクトを 確 認 できます オブジェクトには ドメイン ユーザ 組 織 単 位 (OU) コンテナ や セキュリティグループ などがあります 図 1 組 織 単 位 (OU) ドメイン ユーザ セキュリティグループ コンテナ AD のオブジェクトを InterSafe に 取 り 込 むためには オブジェクトが 持 つ 属 性 と 属 性 値 を 条 件 に 検 索 する 必 要 があり ます InterSafe の アカウント グループ に 対 応 する AD のオブジェクトは 表 1 の 通 りです 表 1 InterSafe アカウント グループ AD のオブジェクト ユーザ 組 織 単 位 (OU) セキュリティグループ コンテナ AD のオブジェクトが 持 つ 主 な 属 性 や 属 性 値 については 表 2 を 参 照 してください なお 属 性 値 が 固 定 では 無 い 変 数 を 持 つものは 表 記 しておりません 4

表 2 アイコン オブジェクト 属 性 属 性 値 ユーザ CN objectclass user samaccountname displayname InetOrgPerson CN objectclass objectclass InetOrgPerson user givenname 連 絡 先 CN objectclass contact givenname コンピュータ CN objectclass objectclass computer user samaccountname 組 織 単 位 (OU) OU objectclass organizationalunit コンテナ CN objectclass builtindomain グループ CN objectclass group samaccountname 共 有 フォルダ CN objectclass volume uncname 共 有 プリンタ CN objectclass printqueue uncname 5

3.InterSafe と AD の 連 携 設 定 ここでは InterSafe と AD を 連 携 させるための 設 定 方 法 について 説 明 します 3-1.ADと 連 携 して 認 証 するまでの 流 れ 1. ユーザ 認 証 設 定 InterSafe のユーザ 認 証 を 設 定 します 詳 しくは P.6 ユーザ 認 証 設 定 を 参 照 してください 2. AD サーバ 情 報 の 登 録 InterSafe と 連 携 する AD サーバの 情 報 を 登 録 します 詳 しくは P.12 AD サーバ 情 報 の 設 定 を 参 照 してください 3. InterSafe のグループとの 紐 付 け InterSafe ではグループ 単 位 にフィルタリングルールを 設 定 します そのため InterSafe のグループ 情 報 と AD のグ ループ 情 報 を 紐 付 けする 必 要 があります 詳 しくは P.15 InterSafe のグループとの 紐 付 け を 参 照 してください 3-2.ユーザ 認 証 設 定 最 初 に 必 要 な 設 定 は InterSafe のユーザ 認 証 方 法 の 選 択 です 設 定 方 法 は InterSafe 管 理 画 面 の[システム 管 理 > 認 証 設 定 ] タブの[ 認 証 設 定 ] 画 面 において BASIC 認 証 LDAP 連 携 を 行 う NTLM 認 証 のどちらかを 選 択 し 続 いて[LDAP グループ 特 定 方 式 ]から ユーザの DN からグループ 階 層 を 特 定 する グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 2 種 類 から 選 択 する 必 要 があります 選 択 後 [ 更 新 ]ボタンを 押 下 することで [LDAP サーバ 情 報 へ]ボタンが 有 効 になり LDAP サーバと 連 携 するための 情 報 入 力 画 面 に 移 動 する 事 が 可 能 となります LDAP とは ディレクトリサービスを 利 用 するための 通 信 用 のプロトコルです Active Directory も LDAP の 規 格 に 従 った ディレクトリサービスを 提 供 するソフトウェアです 6

図 2 認 証 方 式 : BASIC 認 証 LDAP 連 携 を 行 う Web アクセス 時 にユーザ 名 とパスワードの 入 力 を 求 められ ユーザ 名 とパスワードの 確 認 がされて 初 めて ユーザ 毎 に 設 定 されたフィルタリングルールに 沿 って Web アクセスが 可 能 になります LDAP サーバ 連 携 の 設 定 において [LDAP サーバ 情 報 ] 画 面 にて 複 数 LDAP サーバを 登 録 した 場 合 は 認 証 の 優 先 順 位 を 設 定 する 必 要 があります 認 証 方 式 : NTLM 認 証 シングル サイン オンが 可 能 となり Web アクセス 時 にユーザ 名 とパスワードの 入 力 を 求 められません LDAP サーバ 連 携 の 設 定 においては 以 下 の 様 な 違 いがあります [LDAP サーバ 情 報 ] 画 面 において NTLM 認 証 が 選 択 された 場 合 [Net BIOS ドメイン 名 ]を 指 定 することができます 複 数 LDAP サーバを 登 録 した 場 合 [LDAP サーバ 情 報 ] 画 面 において 認 証 の 優 先 順 位 を 設 定 する 必 要 がありません シングル サイン オンとは OS へのログオン 時 のユーザ 名 とパスワードを 利 用 することで 認 証 の 必 要 なサービスの 利 用 においてパスワードの 入 力 を 求 めずに 認 証 が 済 む 方 式 を 指 します LDAP グループ 特 定 方 式 : ユーザの DN からグループ 階 層 を 特 定 する AD の 組 織 単 位 (OU) 毎 にフィルタリングルールを 割 り 当 てたい 場 合 には こちらを 選 択 してください LDAP サーバ 連 携 の 設 定 においては 以 下 の 様 な 違 いがあります [LDAP サーバ 情 報 ] 画 面 に 項 目 自 動 連 携 設 定 連 携 情 報 更 新 が 表 示 されます [LDAP サーバ 登 録 更 新 ] 画 面 にて [アカウント]と[グループ]の 検 索 条 件 を 設 定 する 必 要 があります DN とは Distinguished Name の 略 称 であり 識 別 名 とも 言 います DN はユーザオブジェクトの 属 性 として 持 っている 値 です 7

LDAP グループ 特 定 方 式 : グループ 毎 にユーザ 抽 出 条 件 を 指 定 する AD の セキュリティグループ 毎 等 属 性 の 値 毎 にフィルタリングルールを 割 り 当 てたい 場 合 には こちらを 選 択 してくだ さい LDAP サーバ 連 携 の 設 定 においては 以 下 の 様 な 違 いがあります [LDAP サーバ 情 報 ] 画 面 に 自 動 連 携 設 定 連 携 情 報 更 新 が 表 示 されません [LDAP サーバ 登 録 更 新 ] 画 面 にて [アカウント]のみ 検 索 条 件 を 設 定 する 必 要 があります 表 3 は 各 選 択 項 目 の 管 理 画 面 の 表 示 の 違 いを 表 しています 表 3 LDAP グループ 特 定 方 式 管 理 画 面 LDAP 連 携 を 行 う NTLM 認 証 ユーザの DN からグループ 階 LDAP サーバ 情 報 図 3 図 7 層 を 特 定 する LDAP サーバ 登 録 更 新 図 4 図 8 グループ 毎 にユーザ 抽 出 条 件 LDAP サーバ 情 報 図 5 図 9 を 指 定 する LDAP サーバ 登 録 更 新 図 6 図 10 8

図 3 図 4 図 5 9

図 6 図 7 10

図 8 図 9 図 10 11

3-3.ADサーバ 情 報 の 設 定 認 証 方 法 を 選 択 後 InterSafe と 連 携 する AD サーバの 情 報 を 登 録 する 必 要 があります AD サーバの 情 報 の 登 録 には [LDAP サーバ の 情 報 ] 画 面 ( 図 3 図 5 図 7 図 9) 中 にある[ 新 規 サーバ 登 録 ]のリンクをクリックしてください クリック 後 [LDAP サーバ 登 録 更 新 ] 画 面 ( 図 4 図 6 図 8 図 10)に 移 ります 3-3-1.サーバ 情 報 の 登 録 [LDAP サーバ 登 録 更 新 ] 画 面 ( 図 4 図 6 図 8 図 10)で LDAP サーバと 連 携 するための 情 報 を 入 力 します 各 項 目 については 表 4 を 参 考 にしてください LDAP サーバは 最 大 10 台 まで 登 録 可 能 です 表 4 項 目 NetBIOS ドメイン 名 (NTLM 認 証 設 定 時 のみ 利 用 ) 内 容 LDAP サーバの 情 報 を 新 規 に 登 録 する 場 合 [ 新 規 登 録 ] にチェックを 入 れ NetBIOS ドメイン 名 を 半 角 英 数 大 文 字 15 文 字 以 内 で 入 力 してください 登 録 済 みの LDAP サーバの 情 報 を 更 新 する 場 合 [ 登 録 済 み] にチェックを 入 れ プルダウンメニューからドメイン 名 を 選 択 してください IP アドレス ポート LDAP サーバの IP アドレスまたはドメイン 名 を 入 力 します LDAP サーバの 接 続 ポート 番 号 を 入 力 してください 初 期 値 は 389 です 検 索 ベース( ) 管 理 者 アカウント パスワード パスワード ( 確 認 ) LDAP の BASE 情 報 を DN で 入 力 します LDAP サーバのアカウントを DN で 入 力 します 指 定 した 管 理 者 アカウントのパスワードを 入 力 します パスワードの 確 認 入 力 をします ( ) 検 索 ベースの 設 定 について 検 索 ベースとは InterSafe が AD を 検 索 するための 基 準 となる 位 置 です InterSafe で 認 証 したいユーザが 含 まれるよう に 設 定 する 必 要 があります 図 11 検 索 ベースにトップドメインを 指 定 した 場 合 の 検 索 範 囲 検 索 ベースに Groups(ou)を 指 定 した 場 合 の 検 索 範 囲 12

例 えば 図 11 のトップドメイン(dc=xxyyzz,dc=co,dc=jp)を 検 索 ベースに 指 定 した 場 合 トップドメイン 以 下 が 全 て 検 索 の 対 象 となります Groups というグループ(ou=Groups,dc=xxyyzz,dc=co,dc=jp)を 検 索 ベースに 指 定 した 場 合 は Groups 以 下 が 検 索 の 対 象 となります 以 下 に 入 力 の 例 を 掲 載 します AD サーバの システムのプロパティ の 情 報 が 図 12 の 通 りとした 場 合 InterSafe 側 の 設 定 内 容 は 図 13 の 通 りとなります 検 索 ベース 管 理 者 アカウント の 情 報 については P.4 2.AD のオブジェクトと 属 性 も 参 考 にしてください 図 12 図 13 13

表 5 項 目 NetBIOS ドメイン 名 内 容 HOST01 (NTLM 認 証 設 定 時 のみ 利 用 ) IP アドレス (またはドメイン 名 ) 192.168.0.1 (または HOST01.xxyyzz.co.jp) ポート 389 検 索 ベース 管 理 者 アカウント パスワード DC=xxyyzz, DC=co, DC=jp CN=Administrator, CN=Users, DC=xxyyzz, DC=co, DC=jp 管 理 者 アカウントのパスワードを 入 力 します 3-3-2. 検 索 条 件 [LDAP サーバ 登 録 ] 画 面 の[ 検 索 条 件 ]の 欄 の 設 定 項 目 [アカウント]と[グループ]は それぞれ InterSafe のアカウントとグルー プを 指 します [ 検 索 条 件 ]の 欄 にて 設 定 した 条 件 に 合 致 した AD のオブジェクトが 認 証 時 に 利 用 できるようになります [アカウント]で 指 定 したオブジェクトは InterSafe のアカウントとして 利 用 できます [グループ]で 指 定 したオブジェクトは InterSafe のグループとして 取 り 込 むことができます 検 索 条 件 の 入 力 項 目 は 図 2 の[LDAP グループ 特 定 方 式 ]の 選 択 によって 異 なります ユーザの DN からグループ 階 層 を 特 定 する が 選 択 されている 場 合 [ 検 索 条 件 ]の 欄 の 設 定 項 目 [アカウント]と[グループ]に 条 件 式 を 入 れてください [グループ]の 条 件 式 に 合 致 したオブジェクト は InterSafe の[グループ]として 取 り 込 まれます [アカウント]の 条 件 式 に 合 致 したオブジェクトは InterSafe の[アカウン ト]として 認 証 することが 可 能 です AD の OU との 連 携 については P.15 3-4-1. LDAP グループ 特 定 方 式 : ユーザの DN か らグループ 階 層 を 特 定 する の 場 合 を 参 照 してください グループ 毎 にユーザ 抽 出 条 件 を 指 定 する が 選 択 されている 場 合 [LDAP サーバ 登 録 ] 画 面 には [アカウント]の 入 力 項 目 のみ 表 示 されます グループの 取 り 込 み 設 定 は InterSafe のグループ の 設 定 画 面 よりグループ 毎 に[ 検 索 条 件 ]を 設 定 することで 当 該 グループに 所 属 するユーザとして AD のオブジェクトを 取 り 込 みます この 機 能 によって AD の セキュリティグループ]に 所 属 するオブジェクトの 取 り 込 みが 可 能 になります セキュリティグループとの 連 携 については P.15 3-4-2. LDAP グループ 特 定 方 式 : グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 を 参 照 してください 14

3-4.InterSafeのグループとの 紐 付 け AD サーバの 登 録 完 了 後 AD に 登 録 されているアカウントを 利 用 して InterSafe で 認 証 を 行 うためには InterSafe の[グルー プ]と AD のグループ 情 報 を 連 携 する( 紐 付 ける) 必 要 があります 紐 付 ける 方 法 については 図 2 の[LDAP グループ 特 定 方 式 ]の 選 択 によって 異 なります 3-4-1.LDAP グループ 特 定 方 式 : ユーザの DN からグループ 階 層 を 特 定 する の 場 合 AD の 組 織 単 位 (OU)を InterSafe の[グループ]として 登 録 します 手 順 は 以 下 の 通 りです 1) InterSafe 管 理 画 面 の[システム 管 理 > 認 証 設 定 ]タブをクリックし [LDAP サーバ 情 報 へ]ボタンをクリックします 2) [LDAP サーバの 情 報 ] 画 面 ( 図 3 図 7) 中 にある [ 連 携 情 報 更 新 ]の[ 更 新 ]ボタンをクリックします 3) InterSafe 管 理 画 面 の[グループ/ユーザ 管 理 ] 画 面 にて 新 規 にグループが 登 録 されていることを 確 認 します 3-4-2.LDAP グループ 特 定 方 式 : グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 AD のセキュリティグループ] 所 属 するユーザを InterSafe のアカウントとして 利 用 するには グループ 毎 にユーザ 抽 出 条 件 を 指 定 する を 選 択 した 上 で 新 規 グループを 登 録 する 際 もしくは 予 め 作 成 しておいた InterSafe のグループの[LDAP グルー プ 特 定 条 件 ]に 抽 出 条 件 を 指 定 します 手 順 は 以 下 の 通 りです 1) InterSafe 管 理 画 面 の[グループ/ユーザ 管 理 ] 画 面 でセキュリティグループと 連 携 させたいグループを 選 択 するか グルー プの 新 規 作 成 画 面 に 進 みます 2) [ LDAP グループ 特 定 条 件 ]にて アカウントを 取 り 込 み 対 象 とする の[ 有 効 ]にチェックを 入 れます 3) 属 性 名 に memberof を 属 性 値 に 該 当 セキュリティグループ の DN を 記 載 してください 例 えば 図 1 にある group1 に 所 属 するユーザを 取 り 込 む 場 合 属 性 値 は 以 下 のようになります CN=group1,OU=Groups,DC=xxyyzz,DC=co,DC=jp セキュリティグループに 所 属 するユーザは 属 性 memberof を 持 ち その 値 はセキュリティグループの DN と 同 じにな ります 図 14. 4) 設 定 した 内 容 を 保 存 します 15

3-4-3.AD との 連 携 確 認 3-4-1.や 3-4-2.で 設 定 した 内 容 で AD との 連 携 が 正 常 に 行 われているかどうかを 確 認 します 1) InterSafe 管 理 画 面 の[ 認 証 設 定 ] 画 面 で[LDAP 同 期 設 定 へ]ボタンをクリックします ( 図 2 を 参 照 してください ) 2) [LDAP 同 期 設 定 ] 画 面 の[ ユーザ 情 報 同 期 ]にて 未 登 録 アカウント 一 覧 に AD に 登 録 されているユーザが 表 示 されて いることを 確 認 してください 図 15 ユーザの DN からグループ 階 層 を 特 定 する の 場 合 AD の 組 織 単 位 (OU)が InterSafe の[グループ]となり AD のユーザ が InterSafe の[アカウント]として 表 示 されます グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 InterSafe で 抽 出 条 件 付 けしたグループが[グループ]となり 抽 出 条 件 にヒットした AD のユーザが InterSafe の[アカウント]として 表 示 されます InterSafe の 検 索 ベース 配 下 に 所 属 して かつグループの 紐 付 けができなかったユーザや 検 索 ベース 直 下 に 所 属 する AD ユーザは InterSafe の LDAP グループのアカウントとして 表 示 されます 図 15 のように 未 登 録 アカウント 一 覧 に 表 示 されているアカウントは この 時 点 で 認 証 することが 可 能 となりま す アカウントを 選 択 して InterSafe に 登 録 する 必 要 はありません LDAP 連 携 時 InterSafe へアカウントを 登 録 する 目 的 としては グループ 管 理 者 のアカウントを 設 定 する アカウントにメールアドレスを 設 定 する OU(もしくはセキュリティグループ)の 特 定 のユーザに 限 り 別 のフィルタリングルールを 適 用 したい などが 主 に 挙 げられますが これらの 理 由 がない 場 合 は InterSafe へのアカウント 登 録 は 不 要 です 16

3-5. 注 意 事 項 3-5-1.AD の 情 報 の 変 更 AD との 連 携 において AD の 情 報 に 変 更 があった 場 合 以 下 のような 点 に 注 意 してください AD にてユーザの 追 加 や 削 除 または 別 の OU やセキュリティグループにユーザを 移 動 した 場 合 1) AD サーバから InterSafe にユーザを 登 録 している 場 合 AD の 情 報 に 合 わせて InterSafe に 登 録 されているユーザを 手 動 で 別 グループへ 移 行 削 除 する 必 要 があります 2) AD サーバから InterSafe にユーザを 登 録 していない 場 合 特 に 作 業 は 発 生 しません AD にて OU やセキュリティグループが 移 動 された 場 合 ユーザの DN からグループ 階 層 を 特 定 する の 場 合 [LDAP サーバの 情 報 ] 画 面 ( 図 3 図 7) 中 にある [ 連 携 情 報 更 新 ]の[ 更 新 ]ボタンをクリックします グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 既 存 の InterSafe のグループの 抽 出 条 件 を 変 更 する もしくは InterSafe にグループを 新 規 作 成 し 抽 出 条 件 を 設 定 します 移 動 前 のグループは InterSafe に 残 るため 手 動 で 削 除 する 必 要 があります AD にて OU やセキュリティグループが 削 除 された 場 合 InterSafe 側 も AD に 合 わせて 手 動 でグループを 削 除 する 必 要 があります 3-5-2.ドメイン 不 参 加 のクライアントとの 共 存 ネットワーク 内 にドメイン 不 参 加 のクライアントが 存 在 した 場 合 ドメイン 不 参 加 のクライアントへフィルタリングルールを 適 用 させるためには IP アドレス 認 証 や 未 登 録 ユーザを 利 用 します 未 登 録 ユーザを 利 用 する 場 合 LDAP 連 携 時 (NTLM 認 証 を 含 む)は AD に 登 録 されているアカウント 以 外 は 無 効 なアカウントとして 扱 われ 未 登 録 ユーザと して 扱 うことができます また 未 登 録 ユーザ 用 にフィルタリングルールを 適 用 することが 可 能 です 未 登 録 ユーザの 設 定 方 法 は 図 2 を 参 考 に InterSafe の 管 理 画 面 より[ 認 証 設 定 ]タブ > 未 登 録 ユーザ 設 定 のチェックを 有 効 にしてください IP アドレス 認 証 を 利 用 する 場 合 IP アドレス 認 証 はアカウント 認 証 より 先 に 行 われるため ドメインに 不 参 加 であっても 予 め 登 録 しておいた IP アドレスで 認 証 され フィルタリングルールを 適 用 することが 可 能 です IP アドレスの 追 加 方 法 は 図 16 を 参 考 に InterSafe の 管 理 画 面 より[グループ/ユーザ 管 理 ] > グループを 選 択 > [IP アドレ ス] > [ 追 加 ]の 順 にクリックし [IP アドレス 登 録 ] 画 面 よりドメイン 不 参 加 クライアントの IP アドレスを 登 録 してください 17

図 16 3-5-3.InterSafe で NTLM 認 証 を 利 用 する 場 合 NTLM 認 証 時 は LDAP 連 携 のため 検 索 条 件 で アカウントを samaccountname に 設 定 してください 検 索 条 件 でアカウントを cn に 設 定 している 場 合 正 しくアカウントが 検 索 されません 環 境 によっては NTLM 認 証 が 正 常 に 動 作 しない 場 合 InterSafe の 以 下 設 定 ファイルを 編 集 して 下 さい /<InterSafe インストールフォルダ>/conf/proxy.inf [LDAP] ENABLE_NTLM_KEEPALIVE=FALSE (この 1 行 を 追 記 して 下 さい) * 追 記 後 は InterSafe のサービスを 全 て 再 起 動 して 下 さい 3-5-4. セキュリティグループ を 抽 出 条 件 に 利 用 する 場 合 AD ユーザのプロパティにて [ 所 属 するグループ]タブのセキュリティグループを[プライマリグループの 設 定 ]に 設 定 すると セキュリティグループのユーザ 抽 出 条 件 である memberof 属 性 の 値 が 削 除 されてしまうため AD 側 の 当 該 ユーザは InterSafe 上 では LDAP グループのユーザとして 認 識 されます 3-5-5.InterSafe で 使 用 できないコマンド LDAP 連 携 中 InterSafe のコマンドで 使 用 できないコマンドは 以 下 の 通 りです amsuser -add amsgroup -add amsexuser add 18

3-5-6.AD より 1000 以 上 のユーザーを InterSafe に 取 り 込 む 場 合 AD 上 の 1000 以 上 のユーザ 情 報 を InterSafe の 同 期 一 覧 に 表 示 することができず 一 度 に 全 ユーザを 取 り 込 めないことがあ ります この 時 下 記 設 定 を 行 う 事 で 1000 以 上 のユーザ 情 報 の 取 得 が 可 能 となります ただし グループ 情 報 のみを 取 り 込 む 場 合 や 自 動 連 携 時 は ユーザ 情 報 を 取 得 しないためこの 手 順 は 必 要 ありません 1) ファイル 名 を 指 定 して 実 行 より 下 記 コマンドを 実 行 します NTDSUTIL 2) 上 記 コマンド 実 行 直 後 ウィンドウが 起 動 しましたら 下 記 3 つのコマンドを 順 次 入 力 してください C:\WINNT\system32\ntdsutil.exe: LDAP policies ldap policy: Connections server connections: Connect to Server ホスト 名 3) Quit コマンドを 入 力 した 後 Show Values コマンドで 現 在 の 値 を 確 認 してください MaxPageSize が 一 度 に 取 得 できる 値 です server connections: quit ldap policy: show values --------------- 略 MaxActiveQueries 20 MaxPageSize 1000 MaxQueryDuration 120 --------------- 略 4) Set Maxpagesize to コマンドで MaxPageSize の 値 を 変 更 し 変 更 した 値 を 反 映 させます ( 例 8000) ldap policy: Set Maxpagesize to 8000 ldap policy: Commit Changes 5) 値 が 変 更 されたかどうか 確 認 します ldap policy: show values --------------- 略 MaxActiveQueries 20 MaxPageSize 8000 MaxQueryDuration 120 --------------- 略 19

4. 特 別 な 環 境 における 運 用 例 ここでは 特 別 な 環 境 における InterSafe と AD との 連 携 方 法 や AD 連 携 の 注 意 点 について 説 明 します 4-1.BlueCoat を 用 いたNTLM 連 携 ここでは BlueCoat SGOS と InterSafe for ICAP を 用 いて AD と 連 携 し Single Sign On を 実 現 する 方 法 について 説 明 します なお 以 下 の 条 件 を 満 たしていることが 前 提 となります 1. InterSafe において[システム 管 理 ] > [ 認 証 設 定 ]の 設 定 が 完 了 していること 2. AD から InterSafe にグループの 取 り 込 みが 完 了 していること 3. InterSafe においてフィルタリングルールの 設 定 が 完 了 していること 4. InterSafe 管 理 者 マニュアルの 付 録 C. ICAP クライアントでの NTLM 認 証 の 設 定 が 完 了 していること 5. BlueCoat において Network の 設 定 及 び Authentication > Console Access の 設 定 が 完 了 していること 以 下 4-1-3 までの 説 明 は ICAP クライアントについての 説 明 になります 本 章 で 使 用 している BlueCoat の OS は SGOS5.4.6.1 です SGOS5.4.6.1 より 前 のバージョンをご 利 用 の 場 合 画 面 など 一 部 違 う 場 合 がございますが 予 めご 了 承 ください ICAP クライアントの 設 定 については 動 作 を 保 証 するものではありません ICAP クライアントの 詳 細 につきましては ICAP クライアントのサポート 窓 口 までお 問 い 合 わせください 4-1-1.ICAP サーバの 設 定 ICAP サーバの 設 定 については InterSafe 管 理 者 マニュアルの ICAP クライアントの 設 定 を 参 照 し 設 定 を 行 ってください なお 認 証 情 報 を ICAP サーバに 転 送 するため ICAP サービス 設 定 ダイアログ 画 面 でオプション 設 定 の 設 定 を 行 ってくださ い 表 6 項 目 名 Server URL Method supported Send 設 定 値 / 設 定 内 容 icap://<intersafe サーバの IP アドレス>:<ICAP ポート>/ ICAP ポートはデフォルト 値 (1344)の 場 合 省 略 可 能 です request modification を 選 択 します Authenticated user Authenticated groups にチェックを 入 れます 4-1-2. 認 証 設 定 1) BlueCoat の 管 理 画 面 より Authentication > IWA を 選 択 し[New]ボタンをクリックします 2) Realm name Primary server host の 項 目 を 入 力 し [OK]ボタンをクリックします 図 17 20

表 7 項 目 名 Realm name Primary server host 内 容 任 意 の 名 前 AD がインストールされているサーバの IP アドレス 3) [Apply]ボタンをクリックして 設 定 を 反 映 させます 図 18 21

4-1-3.Policy の 設 定 BlueCoat の Visual Policy Manager ( 以 下 VPM と 略 します)を 利 用 して Policy の 設 定 を 行 います 1) BlueCoat の 管 理 画 面 より Policy > Visual Policy Manager を 選 択 し [Launch]ボタンをクリックします 図 19 2) VPM の 設 定 画 面 が 起 動 します 図 20 Web Access Layer の 設 定 ここでは BlueCoat で Web アクセスする 際 のルールを 設 定 します 1) VPM のメニューより Policy > Add Web Access Layer を 選 択 します 2) Add New Layer で Layer Name を 入 力 し[ 了 解 ]ボタンをクリックします 図 21 22

3) 作 成 された Layer の Source の 項 にて 右 クリックし Set を 選 択 します 4) Set Source Object の[New]ボタンをクリックし 表 示 される 一 覧 の 中 から Object を 選 択 します この 時 認 証 の 対 象 が 個 々のユーザであれば User を 選 択 し グループが 対 象 であれば Group を 選 択 します ここでは Group を 選 択 して 説 明 します 図 22 5) Add Group Object にてグループの 設 定 を 行 います 図 23 23

表 8 項 目 名 Group 設 定 値 Directory に 登 録 されていて BlueCoat にて 認 証 の 対 象 としたいグループ 名 を 入 力 します 1 Authentication Realm Domain Name (Optional) P.20 4-1-2. 認 証 設 定 にて 設 定 した Realm を 選 択 します ドメイン 名 を 入 力 します 1 1 これらの 項 目 は[Browse ]ボタンをクリックすることで 項 目 から 選 択 入 力 することもできます 対 象 となるグループが 複 数 存 在 する 場 合 には VPM のメインウィンドウの 上 部 にある[Add Rule]ボタンをクリックすると 新 たなグループを 登 録 することが 可 能 です 6) グループを 設 定 後 [OK]ボタンをクリックします 7) Set Source Object の 一 覧 に 先 程 作 成 した Group Object が 追 加 されますので 選 択 して[OK]ボタンをクリックしま す 図 24 8) 次 に Action の 項 にて 右 クリックし Set を 選 択 します 図 25 9) Set Action Object の Show で Set ICAP Request Service Objects を 選 択 します 一 覧 の 中 に ICAPRequestService がない 場 合 [New]ボタンをクリックし 表 示 される 一 覧 の 中 から Set ICAP Request Service を 選 択 し 新 しい Object を 作 成 します すでに 一 覧 に ICAPRequestService がある 場 合 は ICAPRequestService を 選 択 後 [Edit]ボタンをク リックします 24

図 26 10) ICAP サーバの 設 定 を 行 い [OK]ボタンをクリックします 図 27 25

表 9 項 目 名 Name Use ICAP request service 設 定 内 容 ICAP Request Service Object の 名 前 を 入 力 します P.20 ICAP サーバの 設 定 で 作 成 した ICAP サーバを 選 択 し [Add >>]ボタンをクリッ クします Error handling ICAP Request がエラーになった 場 合 のリクエストの 処 理 方 式 を 選 択 します Deny the client request (recommended) クライアントにエラー 画 面 を 表 示 し インターネットへは 接 続 できません Continue without further ICAP request processing ICAP サーバにリクエストを 送 信 しないで そのままインターネットへ 接 続 します (InterSafe の 規 制 は 行 われません ) 11) Set Adtion Object の 一 覧 に 先 程 作 成 した ICAP Request Service が 追 加 されますので 選 択 して[OK]ボタンをクリッ クします 図 28 認 証 設 定 ここでは 認 証 の Policy を 設 定 します 1) VPM のメニューより Policy > Add Web Authentication Layer を 選 択 します 2) Add New Layer で Layer Name を 入 力 し[ 了 解 ]ボタンをクリックします 図 29 26

3) 作 成 された Layer の Action の 項 にて 右 クリックし Set を 選 択 します 図 30 4) Set Action Object の Show で Authenticate Objects を 選 択 します 一 覧 の 中 に Authenticate がない 場 合 [New]ボタンをクリックし 表 示 される 一 覧 の 中 から Authenticate を 選 択 し 新 しい Object を 作 成 します すでに 一 覧 に Authenticate がある 場 合 は Authenticate を 選 択 後 [Edit]ボタンをクリックします 図 31 27

5) Authenticate Object の 設 定 を 行 い [OK]ボタンをクリックします 図 32 表 10 項 目 名 Name Realm 設 定 内 容 Authenticate Object の 名 前 を 入 力 します P.20 認 証 設 定 で 作 成 した NTLM 設 定 を 選 択 します 6) Set Adtion Object の 一 覧 に 先 程 作 成 した Authenticate Object が 追 加 されますので 選 択 して[OK]ボタンをクリック します 図 33 28

7) VPM による 設 定 が 全 て 完 了 した 後 ウィンドウを 閉 じる 前 に 必 ずウィンドウの 右 上 の 方 にある[Install Policy]ボタンを クリックし 設 定 内 容 を 反 映 させてください 図 34 4-1-4.BCAAA のインストール BCAAA とは Blue Coat Authentication and Authorization Agent の 事 です NTLM 認 証 を 実 現 するためには AD サーバに BCAAA をインストールする 必 要 があります BCAAA は BlueCoat 社 より 提 供 されています 4-1-5.Client の 設 定 Client の 設 定 ( 説 明 の 対 象 は Internet Explorer)は メニューバーより インターネットオプション > 接 続 > LAN の 設 定 (L) をクリックします プロキシ サーバー の 枠 内 にある LAN にプロキシ サーバーを 利 用 する のチェックボッ クスにチェックを 入 れ アドレス(E): に BlueCoat の IP アドレスを ポート(T): に BlueCoat で 指 定 している HTTP の 受 付 ポートを 入 力 してください 29

4-2.NetCacheを 用 いたNTLM 連 携 ここでは NetCache と InterSafe for ICAP を 用 いて AD と 連 携 し Single Sign On を 実 現 する 方 法 について 説 明 します なお なお 以 下 の 条 件 を 満 たしていることが 前 提 となります 1. InterSafe において[システム 管 理 ] > [ 認 証 設 定 ]の 設 定 が 完 了 していること 2. AD より InterSafe にグループの 取 り 込 みが 完 了 していること 3. InterSafe において フィルタリングルールの 設 定 が 完 了 していること 4. InterSafe 管 理 者 マニュアルの 付 録 C. ICAP クライアントでの NTLM 認 証 の 設 定 が 完 了 していること 5. NetCache において Setup > DNS > General の 設 定 が 完 了 (AD サーバーと 同 じ Domain に 参 加 )してい ること 以 下 4-2-3 までの 説 明 は ICAP クライアントについての 説 明 になります 本 章 で 使 用 している NetCahce の OS は Release 6.0.1 です Release 6.0.1 より 前 のバージョンをご 利 用 の 場 合 画 面 など 一 部 違 う 場 合 がございますが 予 めご 了 承 ください ICAP クライアントの 設 定 については 動 作 を 保 証 するものではありません ICAP クライアントの 詳 細 につきましては ICAP クライアントのサポート 窓 口 までお 問 い 合 わせください 4-2-1.ICAP サーバの 設 定 ICAP サーバの 設 定 については InterSafe 管 理 者 マニュアルの ICAP クライアントの 設 定 を 参 照 し 設 定 を 行 ってください 4-2-2.NTLM の 設 定 ドメインコントローラの 設 定 1) NetCache の 管 理 画 面 を 起 動 します Setup タブ > Authentication > NTLM and Kerberos > Domain Controllers タブをクリックします 2) NT4 Preferred DCs にドメインコントローラ(ここでは AD サーバ)の IP アドレスを 入 力 し 画 面 下 にある[Commit Changes]ボタンをクリックします 図 35 30

3) ウィンドウ 上 部 に Changes Committed が 表 示 されれば この 画 面 で 行 う 作 業 は 完 了 です Join Domain 設 定 1) Setup タブ > Authentication > NTLM and Kerberos > Join Domain タブをクリックします 2) Windows Domain Name に AD サーバと 同 じドメイン 名 を 入 力 し Windows Machine Name に NetCache のコン ピュータ 名 となる 任 意 の 名 称 を 入 力 します 図 36 3) 画 面 をスクロールさせると 下 方 に Windows Administrator Credentials という 項 目 がありますので 以 下 の 内 容 を 設 定 します 表 11 項 目 名 User Password 設 定 内 容 AD サーバに Administrator 権 限 のあるユーザ 名 Administrator 権 限 のあるユーザのパスワード 4) 画 面 下 にある Commit Changes ボタンを 押 し ウィンドウ 上 部 に Changes Committed が 表 示 されれば この 画 面 で 行 う 作 業 は 完 了 です NTLM 認 証 の 有 効 化 1) General タブに 移 動 し NTLM Enable をチェックします 2) NTLM-over-Basic Machine Name に NetCache のコンピュータ 名 を 入 力 してください 3) 画 面 下 にある Commit Changes をクリックし ウィンドウ 上 部 に Changes Committed が 表 示 されれば この 画 面 で 行 う 作 業 は 完 了 です 31

図 37 4-2-3.プロトコルの 選 択 1) Authentication > General を 選 択 し Authenticate Client Requests Using These Protocols にある 一 覧 から 認 証 が 必 要 なプロトコルにチェックします 2) 画 面 下 にある Commit Changes ボタンをクリックし ウィンドウ 上 部 に Changes Committed が 表 示 されれば この 画 面 で 行 う 作 業 は 完 了 です 図 38 32

4-2-4. 注 意 事 項 NetCache では 管 理 画 面 より 設 定 内 容 を 確 認 することができます ( DATA タブ > ICAP 1.0 > Status ) 図 39 この 時 設 定 した 内 容 が 反 映 されていない 場 合 NetCache の 再 起 動 を 行 う 事 で 設 定 を 反 映 させる 事 ができます (AD 連 携 に おいては DNS の 設 定 も 影 響 しますので こちらの 内 容 も 反 映 されているかを 確 認 してください ) NetCache の 再 起 動 は NetCache の 管 理 画 面 より Maintenance タブ > System Control > Halt / Reboot から Reboot Appliance のラジオボタンにチェックを 入 れ [Submit]ボタンをクリックします 再 起 動 後 設 定 内 容 が 間 違 いなく 反 映 され た 事 を 確 認 してください 4-2-5.Client の 設 定 Client の 設 定 ( 説 明 の 対 象 は Internet Explorer)は メニューバーより インターネットオプション > 接 続 > LAN の 設 定 (L) のをクリックします プロキシ サーバー の 枠 内 にある LAN にプロキシ サーバーを 利 用 する のチェックボ ックスにチェックを 入 れ アドレス(E): に NetCache の IP アドレスを ポート(T): に NetCahce で 指 定 している HTTP の 受 付 ポートを 入 力 してください 33

4-3.Squidを 用 いたNTLM 連 携 ここでは Squid と InterSafe for ICAP を 用 いて AD と 連 携 し Single Sign On を 実 現 する 方 法 について 説 明 します なお 以 下 の 条 件 を 満 たしていることが 前 提 となります 1. InterSafe において[システム 管 理 ] > [ 認 証 設 定 ]の 設 定 が 完 了 していること 2. AD から InterSafe にグループの 取 り 込 みが 完 了 していること 3. InterSafe においてフィルタリングルールの 設 定 が 完 了 していること 4. InterSafe 管 理 者 マニュアルの 付 録 C. ICAP クライアントでの NTLM 認 証 の 設 定 が 完 了 していること 5. Squid をインストールしているサーバが 認 証 で 利 用 する AD のドメインに 参 加 していること(Samba に 実 装 された winbind などを 利 用 ) 本 章 で 使 用 している Squid のバージョンは 3.1.8 です Squid 3.1.8 より 前 のバージョンをご 利 用 の 場 合 設 定 内 容 が 違 う 場 合 がございますが 予 めご 了 承 ください Squid(ICAP クライアント)に 対 応 している InterSafe for ICAP のバージョンは Ver7.0 以 降 です Squid 及 び Samba の 詳 細 設 定 については 文 献 や Web などをご 参 照 ください 4-3-1.Squid のインストール Squid インストール 時 のオプションについては InterSafe 管 理 者 マニュアルの ICAP クライアントの 設 定 を 参 照 し 設 定 を 行 ってください なお Squid で NTLM 認 証 機 能 を 有 効 にするには Squid インストール 時 の configure のオプションで "--enable-auth="ntlm"を 追 加 してください Squid インストール 時 の 実 行 例 #./configure --enable-icap-client --enable-auth="ntlm" # make # make install 4-3-2.Squid の 設 定 Squid の 設 定 ファイル(squid.conf)に 認 証 設 定 と ICAP 連 携 の 設 定 を 記 述 します squid.conf の 記 述 例 # Squid の 認 証 設 定 例 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 acl AuthorizedUsers proxy_auth REQUIRED http_access allow all AuthorizedUsers # ICAP 連 携 設 定 例 icap_enable on icap_service service_1 reqmod_precache bypass=off icap://<intersafe サーバ IP>:1344 adaptation_service_set service_set_1 service_1 adaptation_access service_set_1 allow all icap_send_client_ip on icap_send_client_username on icap_client_username_header X-Authenticated-User icap_client_username_encode on 34

4-3-3.Client の 設 定 Client の 設 定 ( 説 明 の 対 象 は Internet Explorer)は メニューバーより インターネットオプション > 接 続 > LAN の 設 定 (L) のをクリックします プロキシ サーバー の 枠 内 にある LAN にプロキシ サーバーを 利 用 する のチェックボ ックスにチェックを 入 れ アドレス(E): に Squid の IP アドレスを ポート(T): に Squid で 指 定 している HTTP の 受 付 ポー トを 入 力 してください 35

[InterSafe WebFilter Ver6-7] ActiveDirectory との 連 携 2011 年 9 月 初 版 作 成 / 発 行 / 企 画 アルプスシステムインテグレーション 株 式 会 社 145-0067 東 京 都 大 田 区 雪 谷 大 塚 町 1-7 記 載 されている 会 社 名 および 商 品 名 は 各 社 の 商 標 もしくは 登 録 商 標 です 本 書 の 内 容 は 将 来 予 告 なしに 変 更 することがあります 本 書 の 内 容 の 一 部 または 全 部 を 無 断 で 転 載 あるいは 複 写 することを 禁 じます 本 書 の 内 容 については 万 全 を 期 して 作 成 致 しましたが 万 一 記 載 に 誤 りや 不 完 全 な 点 がありましたらご 容 赦 ください 36