URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3665
|
最終更新日 2023/09/01 |
FAQ_ID:3665 |
Business >
i-FILTER Ver.9/Ver.10/Reporter >
プロキシ認証
Business >
i-FILTER Ver.9/Ver.10/Reporter >
トラブルシューティング
|
「i-FILTER」 NTLM認証環境でログオンユーザー名以外で認証される場合があるのですがなぜですか
|
|
対応バージョン: i-FILTER Ver.9 / Ver.10
対応OS: すべてのOS
バックグラウンドで動作するアプリケーションの挙動により、「ログオンユーザー名」ではなく、
クライアントの「コンピューター名」や「ANONYMOUS LOGON」で自動認証される場合があります。
また、この際に「i-FILTER」がキャッシュした認証情報の影響により、通常のブラウザーからの
アクセスについても"標準のグループ"が適用されるなど、意図した挙動を得られない場合があります。
【対応方法】
下記の手順にて「i-FILTER」側でユーザー認証除外設定を実施してください。
<作業手順>
(1)アクセスログの確認
アクセスログを参照し、認証ユーザー名が「DAJ\CP001$」といったコンピューター名や、
「ANONYMOUS LOGON」となっているログから対象通信のアクセス先ホスト名を確認します。
(2)ルールパーツを作成
手順(1)で確認した対象通信のアクセス先ホスト名をルールパーツ(識別名リスト)に登録します。
■管理画面 [ルールセット / ルールパーツ / 識別名リスト]
参考FAQ https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3178
(3)ユーザー認証除外設定に登録
手順(2)で作成したルールパーツ(識別名リスト)をユーザー認証除外設定に登録します。
■管理画面 [システム / ユーザー認証 / 除外設定] - 「高度な設定」
(4)通信許可設定を登録
該当通信を許可する場合は、手順(2)で作成したルールパーツ(識別名リスト)を優先フィルタリング設定に
許可アクションで登録します。
■管理画面 [共通 / 優先フィルタリング設定]
【対象通信事例】
<Microsoft社提供の「ネットワーク識別状態インジケータ」機能による通信>
参考URL(Microsoft)
http://technet.microsoft.com/ja-jp/library/cc732049%28WS.10%29.aspx
→「コンピューター名」で認証
アクセス先ホスト(例)
ipv6.msftncsi.com
www.msftncsi.com
<Google 社提供の特定アプリケーションによる通信>
→「ANONYMOUS LOGON」で認証
アクセス先ホスト(例)
tools.google.com
※ 上記以外にも同様の動作を行うアプリケーションが存在する場合があります
その際には、手順(2)のルールパーツ(識別名リスト)に対象ホストを登録することで対応が可能です。
【事象発生時系列】
1.ドメインユーザー「DAJ\User01」がWindows端末[IP:192.168.0.1] にログオン
2.「ネットワーク識別状態インジケータ」が自動起動
3.「ネットワーク識別状態インジケータ」が 「i-FILTER」経由で自動的に通信を開始
■通信内容
リクエスト先ホスト:「ipv6.msftncsi.com」
認証情報:「DAJ\CP001$」(コンピューター名)
4.「i-FILTER」が、「DAJ\CP001$」を[IP:192.168.0.1]と紐付けてキャッシュ
5.ドメインユーザーがInternetExplorerを起動
6.[IP:192.168.0.1]からのアクセスを認証キャッシュから「DAJ\CP001$」と判定
※「i-FILTER」のNTLM認証では認証情報をキャッシュ保持しますが、
認証が成立した場合は全て「Cache Time to Live」で指定した時間キャッシュ保持します。
条件を指定して認証キャッシュを保持しない、といった設定はできません。
※「Cache Time to Live」を30秒以下の秒数で設定した場合、認証サーバーが過負荷状態になる可能性があります。
30秒以下に設定する場合は、十分に検討する必要があります。
|