URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4955
| |
最終更新日 2020/09/18 |
FAQ_ID:4955 |
Business >
トラブルシューティングガイド >
i-FILTER_トラブルシューティングガイド
|
「i-FILTER」 認証除外に登録する対象ホストの確認方法を知りたい
|
|
アプリケーションのバックグラウンドによるHTTP通信などの影響で、プロキシ認証ユーザーがログオンユーザー名ではなく、クライアントの「コンピュータ名」や「ANONYMOUS LOGON」となる場合があります。
これにより、該当のグループでの判定が行われず、<<標準のグループ>>など、意図しないフィルタリングルールが適用されることがあります。
この場合、アクセスログをご確認いただき、認証ユーザーが「コンピュータ名」や「ANONYMOUS LOGON」となっているリクエスト先を「ユーザー認証除外設定」の「除外ホスト」へ登録することで対処が可能です。
アクセスログに「コンピュータ名」もしくは「ANONYMOUS LOGON」で認証されているURLが多岐に渡る場合、「コンピュータ名」もしくは「ANONYMOUS LOGON」で認証されたトリガーとなるURL※1が存在します。この場合、認証キャッシュ※2により、通常であれば正常に認証されるはずのURLまで、「コンピュータ名」もしくは「ANONYMOUS LOGON」で認証されている可能性があります。
トリガーとなるアクセス先を特定するために、「コンピュータ名」もしくは「ANONYMOUS LOGON」で認証されている“初回のアクセス”を特定する必要があります。 ※1 前述のとおり、バックグラウンドで動作するアプリケーションによるHTTP通信などが考えられます。
※2 認証キャッシュは既定値では「600秒」となります。「コンピュータ名」で認証された場合、キャッシュ時間の「600秒」の間は通常アクセスも「コンピュータ名」で認証され続けます。
まずは現象が発生したクライアント端末のIPアドレスにて、アクセスログを絞り込みます。
絞り込んだアクセスログの「ユーザー名」カラムで、「ユーザー名」が「コンピュータ名」もしくは「ANONYMOUS LOGON」となっているアクセスログを検索してください。
さらに該当したアクセスログの中から、認証キャッシュを考慮し、「ユーザー名」が「コンピュータ名」もしくは「ANONYMOUS LOGON」となっている「初回のアクセス」を特定します。
例 ※実際のアクセスログはさらに多くの情報が出力されます。
09:59:15 192.168.12.12 domainuser http://www.XXXXX.co.jp
09:59:20 192.168.12.12 domainuser http://www.daj.co.jp
10:00:13 192.168.12.12 <ドメイン名>%5C<コンピュータ名>$ aaa.bbb.com
10:00:50 192.168.12.12 <ドメイン名>%5C<コンピュータ名>$ http://www.daj.co.jp
10:01:13 192.168.12.12 <ドメイン名>%5C<コンピュータ名>$ http://www.XXXXX.co.jp
・
・
・
10:10:00 192.168.12.12 <ドメイン名>%5C<コンピュータ名>$ http://www.XXXXX.co.jp
10:10:45 192.168.12.12 domainuser http://www.XXXXX.co.jp
10:11:20 192.168.12.12 domainuser http://www.daj.co.jp
クライアントのIPアドレス、192.168.12.12で絞り込んだアクセスログです、10:00:13に“<ドメイン名>%5C<コンピュータ名>$”となり、キャッシュ時間の600秒(10分)が終わり、再認証した結果、10:10:45に“domainuser”正しい情報で認証されています。
上記のようなログが残っている場合、“aaa.bbb.com”が原因である可能性が高く、“aaa.bbb.com”がどのような通信であるかを確認し、[システム設定 / ユーザー認証 / 除外設定]の「除外ホスト」へ登録します。
認証除外を設定し、「i-FILTER」のどのグループにもクライアントIPアドレスが登録されていない場合、該当の通信は「<<標準のグループ>>」の設定が適用されますのでご注意ください。グルーピングやグループの適用優先順位については、以下もご参照ください。
|
