URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3250
|
最終更新日 2018/10/04 |
FAQ_ID:3250 |
Business >
i-FILTER Ver.9/Ver.10/Reporter >
フィルタールール
|
「i-FILTER」 下位プロキシサーバーが配置されている場合、認証機能で注意することはありますか
|
|
対応バージョン: i-FILTER Ver.9 Ver.10
対応OS: すべてのOS
以下の様に、「i-FILTER」の下位にプロキシサーバーが設定されている
場合の注意点を記載します。
----------------------------------
■下位プロキシで必要な設定
----------------------------------
<「i-FILTER」でLDAP認証や独自認証を利用している場合>
Proxy-Authorizationヘッダーをそのまま送信させる必要があります。
<「i-FILTER」でForm認証を利用している場合>
X-Forwarded-ForヘッダーにクライアントIPアドレスを記載して送信させる
必要があります。
※詳細な設定方法は下位プロキシサーバーの保守サービスに確認してください。
----------------------------------
■「i-FILTER」で必要な設定
----------------------------------
<「i-FILTER」でLDAP認証や独自認証を利用している場合>
設定箇所
Ver.8/Ver.9
[システム設定 / ユーザー認証 / 基本設定]
Ver.10
[システム / ユーザー認証 / 基本設定]
設定項目
「Keep-Alive中は再認証しない」(チェックボックスをOFFに設定)
※下位プロキシと「i-FILTER」間でKeep-Aliveを有効にすると、
別のユーザーからの通信を同じユーザーと認識してしまうためです。
<「i-FILTER」でForm認証を利用している場合>
「i-FILTER」でForm認証(IPアドレス)を利用する場合、X-Forwarded-Forヘッダーの
IPアドレスをクライアントIPアドレスとして利用する設定が必要です。
手順については、Ver.10 設定ガイド(Ver.9 運用マニュアル)
「5-1-6 下位通信からクライアントIPアドレスを取得」を参照してください。
----------------------------------
■備考
----------------------------------
「NTLM認証」は「チャレンジレスポンス方式」を使用するため、
多段プロキシ構成において 「i-FILTER」でNTLM認証を行う場合は、
「i-FILTER」は必ずクライアントの要求を直接受け取る「最下層」に位置していなければなりません。
そのため、下位プロキシが存在する環境では「NTLM認証」を利用することはできません。
ユーザー認証の有無に関わらず、下位プロキシサーバー構成では、以下の設定を推奨します。
・下位プロキシサーバー側でコンテンツキャッシュ機能をOFFにする
・下位プロキシサーバー 「i-FILTER」間のKeep-Aliveを有効にする
これにより、コンテンツキャッシュによるフィルタリング誤判定防止および、
下位プロキシ「i-FILTER」間のセッションの有効活用が可能です。
|