i-FILTER Ver.10
i-FILTER Ver.9
i-FILTER Reporter
m-FILTER
D-SPA
D-SPA Manager
DigitalArts@Cloud
i-FILTER ブラウザー&クラウド Ver.3/Ver4
FinalCode
m-FILTER MailAdviser
お知らせ
サポート終了製品

URLをクリップボードにコピーしました
FAQ_URL:http://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=2027
  FAQ_ID:2027
Business > D-SPA
Business > D-SPA > プロキシ認証
 
「D-SPA」シンクライアント(ターミナルサービス)環境に「D-SPA」Ver.2を導入する場合に注意点はありますか
対応バージョン: Ver.1、Ver.2

「D-SPA」の【NTLM認証】では、認証ユーザー情報をIPアドレスと紐付けて
キャッシュしています。

そのため、下記図において「リクエスト【1】」がどの端末からのアクセスで
あっても「リクエスト【2】」が同一のソースIPアドレスで実施される場合には、
ユーザー情報の識別ができなくなることが想定されます。

※動作は同様となりますが、「D-SPA」Ver.3以降は下記FAQをご参照ください。
 ▽「i-FILTER」 シンクライアント(ターミナルサービス)環境に「i-FILTER」を
   導入する場合に注意点はありますか
    http://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=2736





■問題発生のシーケンス
----------------------------------------------------------------------
1. [A]がシンクライアントサーバー経由でアクセス

2. リクエスト【2】のソースIPアドレスが「192.168.10.200」のため、
  「i-FILTER」は「192.168.10.200」と[A]を紐付けて 認証キャッシュを保持
  (キャッシュTTLはデフォルト600秒)

3. 認証キャッシュTTL時間内に[B]がシンクライアントサーバー経由でアクセス

4. ソースIPアドレスが「192.168.10.200」のため、認証キャッシュにより
  [A]からのアクセスとしてグルーピングやログ出力を実施
----------------------------------------------------------------------


■対応方法
上記問題に対する回避方法として以下の2点が挙げられます。

**********************************************************
(1) 仮想IPアドレス機能を使用   (推奨)
  (シンクライアントサーバー側の対応)
**********************************************************

シンクライアントサーバー、またはDHCPサーバーで【2】のソースIPアドレスが
クライアント端末ごとに割り振られるように設定(仮想IPアドレス機能)

※弊社が行った検証では、VMware社のVMware HorizonおよびVmware Horizon Airを
   利用した場合に、DHCPサーバーで割り振られた仮想IPアドレスでのセッションが
  維持できること を確認しています。
   ただし、DHCPのリース期間を「i-FILTER」の認証キャッシュ時間よりも長くなるよう
   設定する必要があります。

※その他のシンクライアントサーバー製品をご利用の場合は、
    シンクライアントサーバー製品のサポート窓口にお問い合わせください。

▽仮想IPアドレス機能利用のイメージ



**********************************************************
(2) NTLM認証以外の認証方式にする
**********************************************************
LDAP認証等、NTLM認証以外の認証方式ではIPアドレスによる認証キャッシュを
行わないため、本問題は発生しません。

この場合、シングルサインオン環境ではなくなるためブラウザ起動ごとに
ユーザー名パスワードの入力が必須となります

 ▽NTLM認証以外を選択

 
関連コンテンツ
「i-FILTER」 シンクライアント(ターミナルサービス)環境に「i-FILT...
「D-SPA」 「NTLM認証」を使用している環境で、認証サーバとなるドメインコ...
「D-SPA」「DHCP環境」であるため、ユーザー単位でのIPアドレスの固定がで...
「D-SPA」「NTLM認証」を利用しています。異なるユーザーで再度クライアント...
「D-SPA」設定同期機能を利用しています。2台間で設定を同期していますが、その...
 

感動しました
解決しました
参考になりました
もっと詳しく
わかりにくい
問い合わせます