[InterSafe WebFilter Ver8] Active Directory との 連 携 [Document Level 2] ALPS SYSTEM INTEGRATION Co., LTD. 2015/03/26 version 1.0.2 Technical Support Section 1
目 次 1. はじめに 4 2. AD のオブジェクトと 属 性 4 3. ISWF と LDAP 認 証 の 設 定 6 3-1. AD と 連 携 して 認 証 するまでの 流 れ 6 3-2. 認 証 設 定 6 3-3. AD サーバ 情 報 の 設 定 9 3-4. ISWF のグループとの 紐 付 け 12 3-4-1.LDAP グループ 特 定 方 式 : ユーザの DN からグループ 階 層 を 特 定 する の 場 合 12 3-4-2.LDAP グループ 特 定 方 式 : グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 12 3-4-3.AD との 連 携 確 認 14 3-5. 注 意 事 項 15 3-5-1.AD の 情 報 の 変 更 15 3-5-2.NTLM 認 証 時 ドメイン 不 参 加 のクライアントとの 共 存 15 3-5-3. NTLM 認 証 を 利 用 する 場 合 16 3-5-4. セキュリティグループ を 抽 出 条 件 に 利 用 する 場 合 16 3-5-5.ISWF で 使 用 できないコマンド 16 3-5-6.AD の 1000 以 上 のユーザを ISWF の 認 証 で 利 用 する 場 合 16 3-5-7. 複 数 の AD を 登 録 する 場 合 18 4. ICAP 版 における 運 用 例 19 4-1. BlueCoat を 用 いたシングルサインオン 19 4-1-1.ICAP サーバの 設 定 19 4-1-2. 認 証 設 定 20 4-1-3.Policy の 設 定 21 4-1-4.BCAAA のインストール 28 4-1-5.Client の 設 定 28 4-2. Squid を 用 いたシングルサインオン 29 4-2-1.Squid のインストール 29 4-2-2.Squid の 設 定 29 4-2-3.Client の 設 定 30 2
変 更 履 歴 変 更 日 ページ 番 号 変 更 内 容 2013/5/7 P.16 3-5-6.AD の 1000 以 上 のユーザを ISWF の 認 証 で 利 用 する 場 合 の 手 順 を 変 更 2013/5/7 P.18 3-5-7. 複 数 の AD を 登 録 する 場 合 2015/9/11 P.5 Windows2012Server を 追 加 P.16 3-5-6.AD の 1000 以 上 のユーザを ISWF の 認 証 で 利 用 する 場 合 の 条 件 を 修 正 3
1. はじめに ISWFWebFilter( 以 下 ISWF と 略 します)には LDAP サーバと 連 携 しユーザ 管 理 ユーザ 認 証 を 行 う 機 能 があります 本 書 では 一 般 的 な LDAP サーバである Active Directory( 以 下 AD と 略 します)と 連 携 する 際 の 設 定 について 説 明 します 本 資 料 に 記 載 されている 会 社 名 および 商 品 名 は 各 社 の 商 標 もしくは 登 録 商 標 です 2. AD のオブジェクトと 属 性 この 項 では ISWF との 連 携 に 必 要 な 情 報 である AD のオブジェクトと その 属 性 について 説 明 します 図 1 は Active Directory ユーザとコンピュータ 実 行 時 のウィンドウの 一 部 です こちらから AD に 登 録 されているオブ ジェクトを 確 認 できます オブジェクトには ドメイン ユーザ 組 織 単 位 (OU) コンテナ や セキュリティグルー プ などがあります 図 2-1 組 織 単 位 (OU) ドメイン ユーザ セキュリティグループ コンテナ AD のオブジェクトを ISWF に 取 り 込 むためには オブジェクトが 持 つ 属 性 と 属 性 値 を 条 件 に 検 索 する 必 要 がありま す ISWF の アカウント グループ に 対 応 する AD のオブジェクトは 表 1 の 通 りです 表 1 ISWF アカウント グループ AD のオブジェクト ユーザ 組 織 単 位 (OU) セキュリティグループ コンテナ AD のオブジェクトが 持 つ 主 な 属 性 や 属 性 値 については 表 2 を 参 照 してください なお 属 性 値 が 固 定 では 無 い 変 数 を 持 つものは 表 記 しておりません 4
表 2 2003 Server アイコン 2008/2012 Server オブジェクト 属 性 属 性 値 ユーザ CN objectclass user samaccountname displayname InetOrgPerson CN objectclass objectclass InetOrgPerson user givenname 連 絡 先 CN objectclass contact givenname コンピュータ CN objectclass objectclass computer user samaccountname 組 織 単 位 (OU) OU objectclass organizationalunit コンテナ CN objectclass builtindomain グループ CN objectclass group samaccountname 共 有 フォルダ CN objectclass volume uncname 共 有 プリンタ CN objectclass printqueue uncname 5
3. ISWF と LDAP 認 証 の 設 定 ここでは ISWF と LDAP(AD)を 連 携 させ 認 証 情 報 を 利 用 するための 設 定 方 法 について 説 明 します 3-1.ADと 連 携 して 認 証 するまでの 流 れ 1. 認 証 設 定 ISWF の 認 証 を 設 定 します 詳 しくは P.6 認 証 設 定 を 参 照 してください 2. AD サーバ 情 報 の 登 録 ISWF と 連 携 する AD サーバの 情 報 を 登 録 します 詳 しくは P.9 AD サーバ 情 報 の 設 定 を 参 照 してください 3. ISWF のグループとの 紐 付 け ISWF ではグループ 単 位 にフィルタリングルールを 設 定 します そのため ISWF のグループ 情 報 と AD のグループ 情 報 を 紐 付 けする 必 要 があります 詳 しくは P.12 ISWF のグループとの 紐 付 け を 参 照 してください 3-2. 認 証 設 定 最 初 に 必 要 な 設 定 は ISWF の 認 証 方 法 の 選 択 です 設 定 方 法 は まずユーザ 認 証 を 有 効 にしてから ISWF 管 理 画 面 のメニ ューより[サーバ 管 理 > 認 証 設 定 ]の[ 認 証 設 定 ] 画 面 において [ 認 証 方 式 ]にて BASIC 認 証 LDAP 連 携 を 行 う NTLM 認 証 のどちらかを 選 択 し 続 いて[LDAP グループ 特 定 方 式 ]から ユーザの DN からグループ 階 層 を 特 定 する グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 2 種 類 から 選 択 する 必 要 があります 選 択 後 [ 保 存 ]ボタンを 押 下 することで [LDAP サーバ 情 報 へ]リンクが 有 効 になり LDAP サーバと 連 携 するための 情 報 入 力 画 面 に 移 動 する 事 が 可 能 となります LDAP とは ディレクトリサービスを 利 用 するための 通 信 用 のプロトコルです Active Directory も LDAP の 規 格 に 従 った ディレクトリサービスを 提 供 するソフトウェアです NTLM 認 証 は Proxy 版 のみの 機 能 です ICAP 版 では 表 示 されません 6
図 3-1 認 証 方 式 BASIC 認 証 LDAP 連 携 を 行 う Web アクセス 時 にユーザ 名 とパスワードの 入 力 を 求 められ ユーザ 名 とパスワードの 確 認 がされて 初 めて ユーザ 毎 に 設 定 されたフィルタリングルールに 沿 って Web アクセスが 可 能 になります LDAP サーバ 連 携 の 設 定 において [LDAP サーバ 情 報 ] 画 面 にて 複 数 LDAP サーバを 登 録 した 場 合 は 認 証 の 優 先 順 位 を 設 定 する 必 要 があります NTLM 認 証 シングル サイン オンが 可 能 となり Web アクセス 時 にユーザ 名 とパスワードの 入 力 を 求 められません LDAP サーバ 連 携 の 設 定 においては 以 下 の 様 な 違 いがあります [LDAP サーバ 情 報 ] 画 面 において NTLM 認 証 が 選 択 された 場 合 [NetBIOS ドメイン 名 ]を 指 定 することができます 同 じ NetBIOS ドメイン 名 で 複 数 LDAP サーバを 登 録 した 場 合 [LDAP サーバ 情 報 ] 画 面 において 認 証 の 優 先 順 位 を 設 定 する 必 要 はありません シングル サイン オンとは OS へのログオン 時 のユーザ 名 とパスワードを 利 用 することで 認 証 の 必 要 なサービスの 利 用 においてパスワードの 入 力 を 求 めずに 認 証 が 済 む 方 式 を 指 します LDAP グループ 特 定 方 式 ユーザの DN からグループ 階 層 を 特 定 する AD の 組 織 単 位 (OU) 毎 にフィルタリングルールを 割 り 当 てたい 場 合 には こちらを 選 択 してください LDAP サーバ 連 携 の 設 定 においては 以 下 の 様 な 違 いがあります [LDAP サーバ 情 報 ] 画 面 に 項 目 自 動 連 携 設 定 連 携 情 報 更 新 が 表 示 されます [LDAP サーバ 登 録 / 編 集 ] 画 面 にて [アカウント]と[グループ]の 検 索 条 件 を 設 定 する 必 要 があります DN とは Distinguished Name の 略 称 であり 識 別 名 とも 言 います DN はユーザオブジェクトの 属 性 として 持 っている 値 です グループ 毎 にユーザ 抽 出 条 件 を 指 定 する AD の セキュリティグループ 毎 等 属 性 の 値 毎 にフィルタリングルールを 割 り 当 てたい 場 合 には こちらを 選 択 してくだ 7
さい LDAP サーバ 連 携 の 設 定 においては 以 下 の 様 な 違 いがあります [LDAP サーバ 情 報 ] 画 面 に 自 動 連 携 設 定 連 携 情 報 更 新 が 表 示 されません [LDAP サーバ 登 録 / 編 集 ] 画 面 にて [アカウント]のみ 検 索 条 件 を 設 定 する 必 要 があります 図 3-2 図 3-3 は 認 証 方 式 やグループ 特 定 方 式 違 いによる 設 定 画 面 違 いを 表 しています 図 3-2 LDAP サーバ 設 定 画 面 NTLM 認 証 を 選 択 時 のみ 表 示 されます ユーザの DN からグループ 階 層 を 特 定 する を 選 択 時 のみ 表 示 されます 図 3-3 LDAP サーバ 登 録 / 編 集 画 面 NTLM 認 証 を 選 択 時 のみ 表 示 されます ユーザの DN からグループ 階 層 を 特 定 する を 選 択 時 のみ 表 示 されます 8
3-3.ADサーバ 情 報 の 設 定 認 証 方 式 を 選 択 後 は ISWF と 連 携 する AD サーバの 情 報 を 登 録 する 必 要 があります AD サーバの 情 報 の 登 録 は メニューより[サー バ 管 理 > LDAP サーバ 設 定 ]( 図 3-4)をクリックするか [ 認 証 設 定 ] 画 面 の 右 上 にある[LDAP サーバ 設 定 へ]をクリックし [LDAP サー バ 設 定 ] 画 面 中 にある[ + サーバを 登 録 ]( 図 3-5)をクリックしてください クリック 後 [LDAP サーバ 登 録 / 編 集 ] 画 面 ( 図 3-3)に 移 りま す 図 3-4 図 3-5 [LDAP サーバ 登 録 / 編 集 ] 画 面 ( 図 3-3)にて LDAP サーバと 連 携 するための 情 報 を 入 力 します 各 項 目 については 表 3 を 参 考 にし てください LDAP サーバは 最 大 10 台 まで 登 録 可 能 です 表 3 項 目 NetBIOS ドメイン 名 (NTLM 認 証 設 定 時 の み 利 用 ) 内 容 Active Directory で 設 定 した NetBIOS ドメイン 名 を 入 力 します 新 しい NetBIOS ドメインを 登 録 する 場 合 [ 新 規 登 録 ]をクリックし NetBIOS ドメイン 名 を 15 文 字 以 内 の 半 角 英 数 字 大 文 字 で 入 力 しま す 登 録 済 みドメイン 名 から 選 択 する 場 合 [ 登 録 済 み]をクリックし プ ルダウンメニューからドメイン 名 を 選 択 します 同 じドメインの LDAP サーバを 複 数 登 録 する 場 合 は 各 サーバの NetBIOS ドメイン 名 を 必 ず 正 しい 名 称 に 統 一 してください IP アドレス ポート LDAP サーバの IP アドレスまたはドメイン 名 を 入 力 します LDAP サーバの 接 続 ポート 番 号 を 入 力 してください 初 期 値 は 389 です 検 索 ベース( ) 管 理 者 アカウント パスワード パスワード ( 確 認 ) LDAP サーバの BASE 情 報 を DN で 入 力 します LDAP サーバのアカウントを DN で 入 力 します 指 定 した 管 理 者 アカウントのパスワードを 入 力 します パスワードの 確 認 入 力 をします 9
( ) 検 索 ベースの 設 定 について 検 索 ベースとは ISWF が AD を 検 索 するための 基 準 となる 位 置 です ISWF で 認 証 したいユーザが 含 まれるように 設 定 す る 必 要 があります 図 3-6 検 索 ベースにトップドメインを 指 定 した 場 合 の 検 索 範 囲 検 索 ベースに Groups(ou)を 指 定 した 場 合 の 検 索 範 囲 例 えば 図 3-6 のトップドメイン(dc=xxyyzz,dc=co,dc=jp)を 検 索 ベースに 指 定 した 場 合 トップドメイン 以 下 が 全 て 検 索 の 対 象 となります Groups というグループ(ou=Groups,dc=xxyyzz,dc=co,dc=jp)を 検 索 ベースに 指 定 した 場 合 は Groups 以 下 が 検 索 の 対 象 となります 以 下 に 入 力 の 例 を 掲 載 します AD サーバの システムのプロパティ の 情 報 が 図 3-7 の 通 りとした 場 合 ISWF 側 の 設 定 内 容 は 図 3-8 の 通 りとなります 検 索 ベース 管 理 者 アカウント の 情 報 については P.4 2. AD のオブジェクトと 属 性 も 参 考 にしてください 図 3-7 10
図 3-8 表 4 項 目 NetBIOS ドメイン 名 内 容 HOST01 (NTLM 認 証 設 定 時 のみ 表 示 ) IP アドレス (またはドメイン 名 ) 192.168.0.1 (または HOST01.xxyyzz.co.jp) ポート 389 検 索 ベース 管 理 者 アカウント パスワード アカウント DC=xxyyzz, DC=co, DC=jp CN=Administrator, CN=Users, DC=xxyyzz, DC=co, DC=jp 管 理 者 アカウントのパスワードを 入 力 します ユーザアカウントの 検 索 条 件 とスキーマをそれぞれ 設 定 し ます 検 索 条 件 グループ (ユーザの DN からグループ 階 グループの 検 索 条 件 とスキーマをそれぞれ 設 定 します 層 を 特 定 する 場 合 のみ 表 示 ) 11
3-4.ISWFのグループとの 紐 付 け AD サーバの 登 録 完 了 後 AD に 登 録 されているアカウントを 利 用 して ISWF で 認 証 を 行 うためには ISWF の[グループ]と AD のグループ 情 報 を 連 携 する( 紐 付 ける) 必 要 があります 紐 付 ける 方 法 については 図 3-1 の[LDAP グループ 特 定 方 式 ]の 選 択 によって 異 なります 3-4-1.LDAP グループ 特 定 方 式 : ユーザの DN からグループ 階 層 を 特 定 する の 場 合 AD の 組 織 単 位 (OU)を ISWF の[グループ]として 登 録 します 手 順 は 以 下 の 通 りです 1) ISWF 管 理 画 面 のメニューより[サーバ 管 理 > LDAP サーバ 設 定 ]をクリックします 2) [LDAP サーバ 設 定 ] 画 面 ( 図 3-2 エラー! 参 照 元 が 見 つかりません ) 中 にある [ 連 携 情 報 更 新 ]の[ 更 新 ]ボタンをクリックしま す 3) ISWF 管 理 画 面 の[グループ/ユーザ 管 理 ] 画 面 にて 新 規 にグループが 登 録 されていることを 確 認 します 3-4-2.LDAP グループ 特 定 方 式 : グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 AD のセキュリティグループ] 所 属 するユーザを ISWF のアカウントとして 利 用 するには グループ 毎 にユーザ 抽 出 条 件 を 指 定 する を 選 択 した 上 で ISWF のグループの[LDAP グループ 特 定 条 件 ]に 抽 出 条 件 を 指 定 します 手 順 は 以 下 の 通 りです 1) ISWF 管 理 画 面 のメニューより[グループ/ユーザ 管 理 > グループ 管 理 ]をクリックします 2) [グループ 管 理 ] 画 面 でセキュリティグループと 連 携 させたいグループを 選 択 し(グループがない 場 合 は 新 規 作 成 して) [LDAP 設 定 ]タブをクリックし [ 編 集 ]ボタンをクリックします 図 3-9 3) [LDAP 設 定 編 集 ] 画 面 にて アカウント 抽 出 条 件 を 設 定 する にチェックを 入 れます 4) アカウント 抽 出 条 件 では 属 性 名 に memberof を 属 性 値 に 該 当 セキュリティグループ の DN を 記 載 して ください 例 えば 図 2-1 にある group1 に 所 属 するユーザを 取 り 込 む 場 合 属 性 値 は 以 下 のようになります CN=group1,OU=Groups,DC=xxyyzz,DC=co,DC=jp セキュリティグループに 所 属 するユーザは 属 性 memberof を 持 ち その 値 はセキュリティグループの DN と 同 じにな ります 12
図 3-10. 5) [ 保 存 ]ボタンをクリックし 設 定 した 内 容 を 保 存 します 13
3-4-3.AD との 連 携 確 認 3-4-1.や 3-4-2.で 設 定 した 内 容 で AD との 連 携 が 正 常 に 行 われているかどうかを 確 認 します 1) ISWF 管 理 画 面 の[ 認 証 設 定 ]/[LDAP サーバ 設 定 ] 画 面 の 右 上 にある[LDAP ユーザ 同 期 へ]をクリックします ( 図 3-1 図 3-2 を 参 照 ) 2) [LDAP 同 期 設 定 ] 画 面 の[ ユーザ 情 報 同 期 ]にて 未 登 録 アカウント 一 覧 に AD に 登 録 されているユーザが 表 示 され ていることを 確 認 してください 表 示 されましたら 連 携 成 功 です 図 3-11 アカウントが 表 示 されれば AD と 連 携 可 能 な 状 態 です LDAP グループ 特 定 方 式 が ユーザの DN からグループ 階 層 を 特 定 する の 場 合 AD の 組 織 単 位 (OU)が ISWF の[グループ] となり AD のユーザが ISWF の[アカウント]として 表 示 されます LDAP グループ 特 定 方 式 が グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 ISWF で 抽 出 条 件 付 けしたグループが[グ ループ]となり 抽 出 条 件 にヒットした AD のユーザが ISWF の[アカウント]として 表 示 されます ISWF の 検 索 ベース 配 下 に 所 属 して かつグループの 紐 付 けができなかったユーザや 検 索 ベース 直 下 に 所 属 する AD ユー ザは ISWF の LDAP グループのアカウントとして 表 示 されます 図 3-11 のように 未 登 録 アカウント 一 覧 に 表 示 されたアカウントは 連 携 できていないアカウント ではなく AD 上 に 存 在 していて ISWF 上 に 登 録 されていないアカウント を 示 しております この 画 面 での 未 アカウント 登 録 は 必 須 ではありません グループ 管 理 者 のアカウントを 設 定 したい アカウントにメールアドレスを 設 定 したい OU(もしくはセキュリティグループ)の 特 定 のユーザに 限 り 別 のフィルタリングルールを 適 用 したい などの 理 由 がある 場 合 は 登 録 を 行 ってください なお LDAP グループ 特 定 方 式 が ユーザの DN からグループ 階 層 を 特 定 する の 場 合 AD 側 の 制 限 により AD の 1000 以 上 のユーザと 連 携 できません 1000 以 上 のユーザと 連 携 する 場 合 は 3-5-6.AD の 1000 以 上 のユーザを ISWF の 認 証 で 利 用 する 場 合 を 参 考 に 設 定 変 更 を 行 ってください 14
3-5. 注 意 事 項 3-5-1.AD の 情 報 の 変 更 AD との 連 携 において AD の 情 報 に 変 更 があった 場 合 以 下 のような 点 に 注 意 してください AD にてユーザの 追 加 や 削 除 または 別 の OU やセキュリティグループにユーザを 移 動 した 場 合 AD から ISWF にユーザを 登 録 している 場 合 AD の 情 報 に 合 わせて ISWF に 登 録 されているユーザを 手 動 で 別 グループへ 移 行 削 除 する 必 要 があります AD から ISWF にユーザを 登 録 していない 場 合 特 に 作 業 は 発 生 しません AD にて OU やセキュリティグループが 移 動 された 場 合 LDAP グループ 特 定 方 式 が ユーザの DN からグループ 階 層 を 特 定 する の 場 合 [LDAP サーバ 設 定 ] 画 面 ( 図 3-2 エラー! 参 照 元 が 見 つかりません ) 中 にある [ 連 携 情 報 更 新 ]の[ 更 新 ]ボタンをクリック します LDAP グループ 特 定 方 式 が グループ 毎 にユーザ 抽 出 条 件 を 指 定 する の 場 合 既 存 の ISWF のグループの 抽 出 条 件 を 変 更 する もしくは ISWF にグループを 新 規 作 成 し 抽 出 条 件 を 設 定 します 移 動 前 のグループは ISWF に 残 るため 手 動 で 削 除 する 必 要 があります AD にて OU やセキュリティグループが 削 除 された 場 合 ISWF 側 も AD に 合 わせて 手 動 でグループを 削 除 する 必 要 があります 3-5-2.NTLM 認 証 時 ドメイン 不 参 加 のクライアントとの 共 存 NTLM 認 証 時 にネットワーク 内 にドメイン 不 参 加 のクライアントが 存 在 した 場 合 どのように 認 証 するかについて 説 明 しま す AD に 同 名 のユーザが 存 在 する 場 合 Windows にログインしたユーザと 同 じ 名 前 のユーザが AD に 存 在 する 場 合 ドメイン 不 参 加 であっても 認 証 が 可 能 です 複 数 の AD と 連 携 している 場 合 は デフォルトドメインで 指 定 している AD に Windows にログインしたユーザと 同 じユーザ が 存 在 すれば 認 証 が 可 能 です 未 登 録 ユーザを 利 用 する LDAP 連 携 時 (NTLM 認 証 を 含 む) ISWF のローカルに 登 録 されているアカウントと AD に 登 録 されているアカウント 以 外 は 無 効 なアカウントとして 扱 われ 未 登 録 ユーザとして 扱 うことができます また 未 登 録 ユーザ 用 にフィルタリングルー ルを 適 用 することが 可 能 です 未 登 録 ユーザの 設 定 方 法 は 図 3-1 を 参 考 に 未 登 録 ユーザ 設 定 のチェックを 有 効 にしてください IP アドレス 認 証 を 利 用 する 場 合 IP アドレス 認 証 はアカウント 認 証 より 先 に 行 われるため ドメインに 不 参 加 であっても 予 め 登 録 しておいた IP アドレスで 認 証 され フィルタリングルールを 適 用 することが 可 能 です IP アドレスの 追 加 方 法 は InterSafe WebFilter の 管 理 者 マニュアルの 3-4. ユーザの 登 録 と 管 理 をご 参 照 ください 15
3-5-3. NTLM 認 証 を 利 用 する 場 合 NTLM 認 証 時 は LDAP 連 携 のため 検 索 条 件 で アカウントを samaccountname に 設 定 してください 検 索 条 件 でアカウントを cn に 設 定 している 場 合 正 しくアカウントが 検 索 されません 環 境 によっては NTLM 認 証 が 正 常 に 動 作 しない 場 合 ISWF の 以 下 設 定 ファイルを 編 集 して 下 さい /<ISWF インストールフォルダ>/conf/proxy.inf [LDAP] ENABLE_NTLM_KEEPALIVE=FALSE (この 1 行 を 追 記 して 下 さい) * 追 記 後 は ISWF のサービスを 全 て 再 起 動 して 下 さい 3-5-4. セキュリティグループ を 抽 出 条 件 に 利 用 する 場 合 AD ユーザのプロパティにて [ 所 属 するグループ]タブのセキュリティグループを[プライマリグループの 設 定 ]に 設 定 すると セキュリティグループのユーザ 抽 出 条 件 である memberof 属 性 の 値 が 削 除 されてしまうため AD 側 の 当 該 ユーザは ISWF 上 では LDAP グループのユーザとして 認 識 されます 3-5-5.ISWF で 使 用 できないコマンド LDAP 連 携 中 ISWF のコマンドで 使 用 できないコマンドは 以 下 の 通 りです amsaccount 3-5-6.AD の 1000 以 上 のユーザを ISWF の 認 証 で 利 用 する 場 合 ISWF にて Active Directory(AD) 連 携 を 行 う 時 AD に 1000 件 以 上 のユーザが 存 在 する 場 合 には 以 下 のような 問 題 が 発 生 することがあります 1グループ 特 定 方 式 を ユーザの DN からグループ 階 層 を 特 定 する にし 連 携 情 報 更 新 をした 際 1000 件 以 降 のユーザの 所 属 OU が ISWF 側 のグループとして 作 成 されない 2 管 理 画 面 の[サーバ 管 理 ]-[ 認 証 設 定 ]-[LDAP サーバ 同 期 へ]( )の 未 登 録 ユーザに 1000 件 分 のユーザしか 表 示 されずに 連 携 ができない Ver7.0 までは [システム 管 理 ]-[ 認 証 設 定 ]-[LDAP 同 期 設 定 へ]です それぞれの 処 理 では ISWF から AD に 対 しクエリーが 実 行 されますが この 際 AD 側 の 設 定 (MaxPageSize)によりクエリー の 最 初 の 1000 件 のみが ISWF に 返 るため 上 記 の 問 題 が 発 生 します これらの 問 題 を 回 避 する 方 法 は 下 記 の2つがあります その 1:ISWF の OVER_MAXPAGESIZE=TRUE を 設 定 する (Ver5.0 以 降 ) ISWF の 以 下 の 設 定 ファイルを 編 集 して 下 さい /<ISWF インストールフォルダ>/conf/proxy.inf [LDAP] OVER_MAXPAGESIZE=TRUE (この 1 行 を 追 記 して 下 さい) * 追 記 後 は ISWF の 全 てのサービスを 再 起 動 して 下 さい *OVER_MAXPAGESIZE=TRUE の 場 合 LDAP 同 期 設 定 画 面 は 非 表 示 になります 16
変 更 により 以 下 の 影 響 があります 連 携 情 報 更 新 を 行 った 際 ユーザの 有 無 に 関 わらず 検 索 ベース 配 下 全 ての OU をグループとして 作 成 します (FALSE の 場 合 は 検 索 ベース 配 下 の OU の 内 ユーザが 所 属 している OU だけをグループとして 作 成 します ) [サーバ 管 理 ]-[ 認 証 設 定 ]-[LDAP サーバ 同 期 へ]の 画 面 が 非 表 示 (リンクが 無 効 )になります (Ver8.0 Build0820 にて IE7 IE9 で 非 表 示 にならない 事 象 が 確 認 されております この 事 象 は 次 期 バージョンでの 修 正 を 予 定 しております ) これらの 影 響 を 与 えたくない 場 合 は その 2 をご 検 討 ください その 2:AD の MaxPagesize を 変 更 する 1) AD サーバにて ファイル 名 を 指 定 して 実 行 より 下 記 コマンドを 実 行 します NTDSUTIL 2) 上 記 コマンド 実 行 直 後 ウィンドウが 起 動 しましたら 下 記 3 つのコマンドを 順 次 入 力 してください C:\WINNT\system32\ntdsutil.exe: LDAP policies ldap policy: Connections server connections: Connect to Server ホスト 名 3) Quit コマンドを 入 力 した 後 Show Values コマンドで 現 在 の 値 を 確 認 してください MaxPageSize が 一 度 に 取 得 できる 値 です server connections: quit ldap policy: show values --------------- 略 MaxActiveQueries 20 MaxPageSize 1000 MaxQueryDuration 120 --------------- 略 4) Set Maxpagesize to コマンドで MaxPageSize の 値 を 変 更 し 変 更 した 値 を 反 映 させます ( 例 8000) ldap policy: Set Maxpagesize to 8000 ldap policy: Commit Changes 5) 値 が 変 更 されたかどうか 確 認 します ldap policy: show values --------------- 略 MaxActiveQueries 20 MaxPageSize 8000 MaxQueryDuration 120 --------------- 略 17
3-5-7. 複 数 の AD を 登 録 する 場 合 ISWF には AD サーバの 複 数 登 録 が 可 能 ですが 冗 長 機 能 はございません 複 数 の AD を 登 録 しても 必 ず 登 録 順 ( 上 から 下 ) に 問 い 合 わせを 行 います 問 い 合 わせ 先 の AD サーバの 状 態 によっては 遅 延 が 発 生 する 場 合 がございます 図 3-12 NTLM 認 証 で HOST01 という NetBIOS ドメイン 名 の AD サーバを 2 台 登 録 していた 場 合 1 番 目 の 問 い 合 わせ 先 2 番 目 の 問 い 合 わせ 先 問 い 合 わせ 先 の AD がダウンしていた 場 合 の ISWF の 動 作 パターン A 問 い 合 わせ 先 の AD サーバ(OS) 自 体 は 稼 動 しており ポート(389,445)が LISTEN していない 状 態 即 座 に 接 続 失 敗 と 判 断 し 2 番 目 以 降 の AD サーバへ 接 続 を 行 います パターン B 問 い 合 わせ 先 の AD サーバ(OS) 自 体 は 稼 動 しており ポート(389,445)が LISTEN しているが 応 答 が 無 い 状 態 もしく は 電 源 OFF の 状 態 OS 側 の 挙 動 (TCP 再 送 など)の 影 響 により 即 座 に 問 い 合 わせ 失 敗 とは 判 断 されません 一 定 時 間 経 過 後 2 番 目 以 降 の AD サーバへ 接 続 を 行 います 失 敗 と 判 断 する 時 間 は OS に 依 存 します パターン B の 状 態 となった 場 合 は 以 下 の 方 法 で 復 旧 を 行 ってください 1. ISWF の 管 理 画 面 の[サーバ 管 理 ]>[LDAP サーバ 設 定 ]にてダウンした AD サーバを 削 除 する 2.ISWF の 全 サービスの 再 起 動 を 行 う 3.AD サーバが 復 旧 した 後 ISWF の 管 理 画 面 の[サーバ 管 理 ]>[LDAP サーバ 設 定 ]にて AD サーバを 再 登 録 する 18
4.ICAP 版 における 運 用 例 ここでは ICAP 版 ISWF と AD との 連 携 方 法 や AD 連 携 の 注 意 点 について 説 明 します なお ICAP 版 では ICAP クライアント 側 で NTLM 認 証 を 行 う 必 要 があり ISWF ではその 認 証 情 報 を 元 に BASIC 認 証 を 行 う 仕 様 になっております 4-1.BlueCoatを 用 いたシングルサインオン ここでは BlueCoat SG OS と ISWF for ICAP を 用 いて AD と 連 携 しシングルサインオン(SSO)を 実 現 する 方 法 について 説 明 します なお 以 下 の 条 件 を 満 たしていることが 前 提 となります 1. ISWF において[サーバ 管 理 ] > [ 認 証 設 定 ]の 設 定 が 完 了 していること 2. AD から ISWF にグループの 取 り 込 みが 完 了 していること 3. ISWF においてフィルタリングルールの 設 定 が 完 了 していること 4. InterSafe WebFilter の 管 理 者 マニュアルの 付 録 C. ICAP クライアントでの NTLM 認 証 の 設 定 が 完 了 していること 5. BlueCoat において Network の 設 定 及 び Authentication > Console Access の 設 定 が 完 了 していること 以 下 4-1-4.BCAAA のインストール までの 説 明 は ICAP クライアントについての 説 明 になります 本 章 で 使 用 している BlueCoat の OS は SGOS5.4.6.1 です SGOS5.4.6.1 より 前 のバージョンをご 利 用 の 場 合 画 面 など 一 部 違 う 場 合 がございますが 予 めご 了 承 ください ICAP クライアントの 設 定 については 動 作 を 保 証 するものではありません ICAP クライアントの 詳 細 につきましては ICAP クライアントのサポート 窓 口 までお 問 い 合 わせください 4-1-1.ICAP サーバの 設 定 認 証 情 報 を ICAP サーバに 転 送 するため ICAP サービス 設 定 ダイアログ 画 面 でオプション 設 定 の 設 定 を 行 ってください (ICAP サーバの 設 定 については InterSafe WebFilter の 管 理 者 マニュアルの 1-5. ICAP クライアントの 設 定 を 参 照 し 設 定 を 行 ってください ) 表 5 項 目 名 Server URL Method supported Send 設 定 値 / 設 定 内 容 icap://<iswf サーバの IP アドレス>:<ICAP ポート>/ ICAP ポートはデフォルト 値 (1344)の 場 合 省 略 可 能 です request modification を 選 択 します Authenticated user Authenticated groups にチェックを 入 れます 19
4-1-2. 認 証 設 定 1) BlueCoat の 管 理 画 面 より Authentication > IWA を 選 択 し[New]ボタンをクリックします 2) Realm name Primary server host の 項 目 を 入 力 し [OK]ボタンをクリックします 図 4-1 表 6 項 目 名 Realm name Primary server host 内 容 任 意 の 名 前 AD がインストールされているサーバの IP アドレス 3) [Apply]ボタンをクリックして 設 定 を 反 映 させます 図 4-2 20
4-1-3.Policy の 設 定 BlueCoat の Visual Policy Manager ( 以 下 VPM と 略 します)を 利 用 して Policy の 設 定 を 行 います 1) BlueCoat の 管 理 画 面 より Policy > Visual Policy Manager を 選 択 し [Launch]ボタンをクリックします 図 4-3 2) VPM の 設 定 画 面 が 起 動 します 図 4-4 Web Access Layer の 設 定 ここでは BlueCoat で Web アクセスする 際 のルールを 設 定 します 1) VPM のメニューより Policy > Add Web Access Layer を 選 択 します 2) Add New Layer で Layer Name を 入 力 し[ 了 解 ]ボタンをクリックします 図 4-5 21
3) 作 成 された Layer の Source の 項 にて 右 クリックし Set を 選 択 します 4) Set Source Object の[New]ボタンをクリックし 表 示 される 一 覧 の 中 から Object を 選 択 します この 時 認 証 の 対 象 が 個 々のユーザであれば User を 選 択 し グループが 対 象 であれば Group を 選 択 します ここでは Group を 選 択 して 説 明 します 図 4-6 5) Add Group Object にてグループの 設 定 を 行 います 図 4-7 22
表 7 項 目 名 Group 設 定 値 Directory に 登 録 されていて BlueCoat にて 認 証 の 対 象 としたいグループ 名 を 入 力 します 1 Authentication Realm Domain Name (Optional) P.20 0.4-1-2. 認 証 設 定 にて 設 定 した Realm を 選 択 します ドメイン 名 を 入 力 します 1 1 これらの 項 目 は[Browse ]ボタンをクリックすることで 項 目 から 選 択 入 力 することもできます 対 象 となるグループが 複 数 存 在 する 場 合 には VPM のメインウィンドウの 上 部 にある[Add Rule]ボタンをクリックすると 新 たなグループを 登 録 することが 可 能 です 6) グループを 設 定 後 [OK]ボタンをクリックします 7) Set Source Object の 一 覧 に 先 程 作 成 した Group Object が 追 加 されますので 選 択 して[OK]ボタンをクリックしま す 図 4-8 8) 次 に Action の 項 にて 右 クリックし Set を 選 択 します 図 4-9 23
9) Set Action Object の Show で Set ICAP Request Service Objects を 選 択 します 一 覧 の 中 に ICAPRequestService がない 場 合 [New]ボタンをクリックし 表 示 される 一 覧 の 中 から Set ICAP Request Service を 選 択 し 新 しい Object を 作 成 します すでに 一 覧 に ICAPRequestService がある 場 合 は ICAPRequestService を 選 択 後 [Edit]ボタンをク リックします 図 4-10 10) ICAP サーバの 設 定 を 行 い [OK]ボタンをクリックします 図 4-11 24
表 8 項 目 名 Name Use ICAP request service 設 定 内 容 ICAP Request Service Object の 名 前 を 入 力 します P.19 4-1-1.ICAP サーバの 設 定 で 作 成 した ICAP サーバを 選 択 し [Add >>]ボタンを クリックします Error handling ICAP Request がエラーになった 場 合 のリクエストの 処 理 方 式 を 選 択 します Deny the client request (recommended) クライアントにエラー 画 面 を 表 示 し インターネットへは 接 続 できません Continue without further ICAP request processing ICAP サーバにリクエストを 送 信 しないで そのままインターネットへ 接 続 します (ISWF の 規 制 は 行 われません ) 11) Set Adtion Object の 一 覧 に 先 程 作 成 した ICAP Request Service が 追 加 されますので 選 択 して[OK]ボタンをクリッ クします 図 4-12 認 証 設 定 ここでは 認 証 の Policy を 設 定 します 1) VPM のメニューより Policy > Add Web Authentication Layer を 選 択 します 2) Add New Layer で Layer Name を 入 力 し[ 了 解 ]ボタンをクリックします 図 4-13 25
3) 作 成 された Layer の Action の 項 にて 右 クリックし Set を 選 択 します 図 4-14 4) Set Action Object の Show で Authenticate Objects を 選 択 します 一 覧 の 中 に Authenticate がない 場 合 [New]ボタンをクリックし 表 示 される 一 覧 の 中 から Authenticate を 選 択 し 新 しい Object を 作 成 します すでに 一 覧 に Authenticate がある 場 合 は Authenticate を 選 択 後 [Edit]ボタンをクリックします 図 4-15 26
5) Authenticate Object の 設 定 を 行 い [OK]ボタンをクリックします 図 4-16 表 9 項 目 名 Name Realm 設 定 内 容 Authenticate Object の 名 前 を 入 力 します P.20 4-1-2. 認 証 設 定 で 作 成 した NTLM 設 定 を 選 択 します 6) Set Adtion Object の 一 覧 に 先 程 作 成 した Authenticate Object が 追 加 されますので 選 択 して[OK]ボタンをクリック します 図 4-17 27
7) VPM による 設 定 が 全 て 完 了 した 後 ウィンドウを 閉 じる 前 に 必 ずウィンドウの 右 上 の 方 にある[Install Policy]ボタンを クリックし 設 定 内 容 を 反 映 させてください 図 4-18 4-1-4.BCAAA のインストール BCAAA とは Blue Coat Authentication and Authorization Agent の 事 です NTLM 認 証 を 実 現 するためには AD サーバに BCAAA をインストールする 必 要 があります BCAAA は BlueCoat 社 より 提 供 されています 4-1-5.Client の 設 定 Client の 設 定 ( 説 明 の 対 象 は Internet Explorer)は メニューバーより インターネットオプション > 接 続 > LAN の 設 定 をクリックします プロキシ サーバー の 枠 内 にある LAN にプロキシ サーバーを 利 用 する のチェックボッ クスにチェックを 入 れ アドレス に BlueCoat の IP アドレスを ポート に BlueCoat で 指 定 している HTTP の 受 付 ポ ートを 入 力 してください 28
4-2.Squidを 用 いたシングルサインオン ここでは Squid と ISWF for ICAP を 用 いて AD と 連 携 しシングルサインオン(SSO)を 実 現 する 方 法 について 説 明 します な お 以 下 の 条 件 を 満 たしていることが 前 提 となります 1. ISWF において[サーバ 管 理 ] > [ 認 証 設 定 ]の 設 定 が 完 了 していること 2. AD から ISWF にグループの 取 り 込 みが 完 了 していること 3. ISWF においてフィルタリングルールの 設 定 が 完 了 していること 4. InterSafe WebFilter の 管 理 者 マニュアルの 付 録 C. ICAP クライアントでの NTLM 認 証 の 設 定 が 完 了 していること 5. Squid をインストールしているサーバが 認 証 で 利 用 する AD のドメインに 参 加 していること(Samba に 実 装 された winbind などを 利 用 ) 本 章 で 使 用 している Squid のバージョンは 3.1.8 です Squid 3.1.8 より 前 のバージョンをご 利 用 の 場 合 設 定 内 容 が 違 う 場 合 がございますが 予 めご 了 承 ください Squid(ICAP クライアント)に 対 応 している ISWF for ICAP のバージョンは Ver7.0 以 降 です Squid 及 び Samba の 詳 細 設 定 については 文 献 や Web などをご 参 照 ください 4-2-1.Squid のインストール Squid で NTLM 認 証 機 能 を 有 効 にするには Squid インストール 時 の configure のオプションで"--enable-auth="ntlm"を 追 加 し てください (Squid インストール 時 のオプションについては InterSafe WebFilter の 管 理 者 マニュアルの 1-5. ICAP クライ アントの 設 定 を 参 照 し 設 定 を 行 ってください ) Squid インストール 時 の 実 行 例 #./configure --enable-icap-client \ --enable-auth="ntlm" # make # make install 4-2-2.Squid の 設 定 Squid の 設 定 ファイル(squid.conf)に 認 証 設 定 と ICAP 連 携 の 設 定 を 記 述 します squid.conf の 記 述 例 # Squid の 認 証 設 定 例 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 acl AuthorizedUsers proxy_auth REQUIRED http_access allow all AuthorizedUsers # ICAP 連 携 設 定 例 icap_enable on icap_service service_1 reqmod_precache 0 icap://<iswf サーバ IP>:1344 adaptation_service_set service_set_1 service_1 adaptation_access service_set_1 allow all icap_send_client_ip on icap_send_client_username on icap_client_username_header X-Authenticated-User icap_client_username_encode on 29
4-2-3.Client の 設 定 Client の 設 定 ( 説 明 の 対 象 は Internet Explorer)は メニューバーより インターネットオプション > 接 続 > LAN の 設 定 のをクリックします プロキシ サーバー の 枠 内 にある LAN にプロキシ サーバーを 利 用 する のチェックボ ックスにチェックを 入 れ アドレス に Squid の IP アドレスを ポート に Squid で 指 定 している HTTP の 受 付 ポートを 入 力 してください 30
[InterSafe WebFilter Ver8] Active Directory との 連 携 2015 年 9 月 第 3 版 作 成 / 発 行 / 企 画 アルプスシステムインテグレーション 株 式 会 社 145-0067 東 京 都 大 田 区 雪 谷 大 塚 町 1-7 記 載 されている 会 社 名 および 商 品 名 は 各 社 の 商 標 もしくは 登 録 商 標 です 本 書 の 内 容 は 将 来 予 告 なしに 変 更 することがあります 本 書 の 内 容 の 一 部 または 全 部 を 無 断 で 転 載 あるいは 複 写 することを 禁 じます 本 書 の 内 容 については 万 全 を 期 して 作 成 致 しましたが 万 一 記 載 に 誤 りや 不 完 全 な 点 がありましたらご 容 赦 ください 31