対応バージョン: D-SPA Ver.2
「D-SPA」の【NTLM認証】では、認証ユーザー情報をIPアドレスと紐付けて
キャッシュしています。
そのため、下記図において「リクエスト【1】」がどの端末からのアクセスで
あっても「リクエスト【2】」が同一のソースIPアドレスで実施される場合には、
ユーザー情報の識別ができなくなることが想定されます。
※動作は同様となりますが、「D-SPA」Ver.3以降は下記FAQをご参照ください。
▽「i-FILTER」 シンクライアント(ターミナルサービス)環境に「i-FILTER」を
導入する場合に注意点はありますか
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=2736
■問題発生のシーケンス
----------------------------------------------------------------------
1. [A]がシンクライアントサーバー経由でアクセス
2. リクエスト【2】のソースIPアドレスが「192.168.10.200」のため、
「i-FILTER」は「192.168.10.200」と[A]を紐付けて 認証キャッシュを保持
(キャッシュTTLはデフォルト600秒)
3. 認証キャッシュTTL時間内に[B]がシンクライアントサーバー経由でアクセス
4. ソースIPアドレスが「192.168.10.200」のため、認証キャッシュにより
[A]からのアクセスとしてグルーピングやログ出力を実施
----------------------------------------------------------------------
■対応方法
上記問題に対する回避方法として以下の2点が挙げられます。
**********************************************************
(1) 仮想IPアドレス機能を使用 (推奨)
(シンクライアントサーバー側の対応)
**********************************************************
シンクライアントサーバー、またはDHCPサーバーで【2】のソースIPアドレスが
クライアント端末ごとに割り振られるように設定(仮想IPアドレス機能)
※弊社が行った検証では、VMware社のVMware HorizonおよびVmware Horizon Airを
利用した場合に、DHCPサーバーで割り振られた仮想IPアドレスでのセッションが
維持できること を確認しています。
ただし、DHCPのリース期間を「i-FILTER」の認証キャッシュ時間よりも長くなるよう
設定する必要があります。
※その他のシンクライアントサーバー製品をご利用の場合は、
シンクライアントサーバー製品のサポート窓口にお問い合わせください。
▽仮想IPアドレス機能利用のイメージ
**********************************************************
(2) NTLM認証以外の認証方式にする
**********************************************************
LDAP認証等、NTLM認証以外の認証方式ではIPアドレスによる認証キャッシュを
行わないため、本問題は発生しません。
この場合、シングルサインオン環境ではなくなるためブラウザ起動ごとに
ユーザー名パスワードの入力が必須となります
▽NTLM認証以外を選択