Comments
Description
Transcript
2-3.
URL フィルタリングソフト Technical Guide テクニカル&トラブルシュートガイド LDAP 連携を行った認証について 目次 1. はじめに 3 2. LDAP 認証時に必要リクエストを通過させる 2-1. UA の確認 3 3 1.事前設定 3 2.アクセスの実施 4 3.パケットキャプチャの取得 4 2-2. 設定ファイルの編集 5 1.設定ファイルの確認 5 2.設定ファイルへの記述 5 2-3. 設定内容の確認 6 1.InterSafe の再起動 6 2.アクセスの実施 7 2-4. その他の回避方法 7 1.Internet Explorer のプロキシ例外設定による回避 (参考情報) 確認済み UA 及びホスト 7 8 1.UA 一覧 8 2.ホスト名一覧 12 2 IS_TG_20120105 1.はじめに 本書では、InterSafe WebFilter(以下 InterSafe)に関する各種の設定と、設定を行うための調査手順と方法について説明しています。 2.LDAP 認証時に必要リクエストを通過させる LDAP 認証(※Active Directory と LDAP 連携を行った認証方式)を行っている場合に Windows Update など必要なリクエストが正常 に行えない場合があります。 この場合、以下の手順にて UserAgent(以下 UA)の特定を行い、"proxy.inf"の"AUTHORIZED_USER_AGENT="にそれを指定することで 回避が可能となります。 また、Ver6.5 以降ではホスト名を"proxy.inf"の"AUTHORIZED_HOST="に指定することで回避が可能となります。 本書では、その調査手順と設定方法について説明します。 2-1.UAの確認 1.事前設定 InterSafe 管理画面 > システム管理 > ログ設定 にて「出力項目」の 「ブラウザバージョン」にチェックが入っていることを確認 します。インストール直後は「ブラウザバージョン」にチェックは入っていませんのでご注意ください。 ※TEXT ファイル以外のアクセス時に独自の UA を持っている場合があります。UA の確認を行う前に、ログ設定画面の「出力形式」 を「全てにファイルを出力する」に変更します。過去の例では、TEXT で出力されなかった UA に、Flash Player がありました。 3 IS_TG_20120105 2.アクセスの実施 通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行います。 アクセス後、InterSafe_http.log のログに UA が出力されているか確認します。 ログファイルは下記の場所にあります。 Windows の場合 Linux、Solaris の場合 「<導入フォルダ>¥logs 」 「<導入ディレクトリ>/logs 」 例) ・通常のブラウザの UA(IE7 の場合) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR2.0.50727) http ログは下記のフォーマットにて出力されます。 年月日,時刻,”プロトコル”,"リクエスト元 IP","グループ名",”アカウント名”,"ブラウザバージョン",“転送状態”,”WWW サーバ IP”,応答コード,”WWW サーバ名”,転送時間,転送データサイズ,“ファイルタイプ”,”カテゴリ名”,”リクエスト URL”,”HTTP バージョン”,”リクエストメソッド” UA は"ブラウザバージョン"に表示されます。 3.パケットキャプチャの取得 上記での方法で取得できない場合は、パケットキャプチャを取得して UA の確認を行います。 パケットキャプチャソフトの詳細情報窓の「Hypertext transfer protocol」の「User-Agent:」に表示されている内容を確認します。 下図では WireShark の 1.0.1 の画面を示しています。この例では、68 フレーム目のパケットに POST リクエストがあり、User-Agent に SLSSoapClient が確認できます。SLSSoapClient は Vista の OS ライセンス認証時に使用される UA です。 ※Vista の OS ライセンス認証では、http ログ自体が出力されずパケットキャプチャにて UA を取得しました。 4 IS_TG_20120105 2-2.設定ファイルの編集 1.設定ファイルの確認 InterSafe の設定ファイルは下記の場所にあります。 Windows の場合 「<導入フォルダ>¥conf」 Linux、Solaris の場合 「<導入ディレクトリ>/conf」 設定ファイルを編集する場合は、メモ帳以外のエディタを使用することをお勧めします。 2.設定ファイルへの記述 ■UserAgent の記述方法 前述の手順にて取得した UA を設定ファイルへと反映します。 "proxy.inf"の"AUTHORIZED_USER_AGENT="に追加します。既に他の UA も指定されていますので、ここに追記します。 追記する場合は、セパレータ文字列を先頭に付与して追記します。 例) 追加前 AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows Installer,Microsoft-CryptoAPI,CATsecurity ここに"SLSSoapClient"を追加します。 追加後 AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows Installer,Microsoft-CryptoAPI,CATsecurity,SLSSoapClient セパレータ文字列は以下のパラメータで指定できますが、これは、ほとんど変更する必要のない項目です。 AUA_SEPARATOR=, ■ホスト名の記述方法 "proxy.inf"の"AUTHORIZED_HOST="に追加します。既に他のホスト名も指定されていますので、ここに追記します。 追記する場合は、セパレータ文字列を先頭に付与して追記します。 例) 追加前 AUTHORIZED_HOST=www.update.microsoft.com ここに”activation.sls.microsoft.com”を追加します。 追加後 AUTHORIZED_HOST=www.update.microsoft.com,activation.sls.microsoft.com セパレータ文字列は以下のパラメータで指定できますが、これは、ほとんど変更する必要のない項目です。 AH_SEPARATOR=, 5 IS_TG_20120105 2-3.設定内容の確認 1.InterSafe の再起動 設定を行ったら InterSafe のフィルタリングサービスの再起動を行い、設定内容を反映します。 ■ Windows の場合 Windows 版でフィルタリングサービスを起動 / 停止するには、Windows の [コントロールパネル] の [サービス] を使用します。 次の手順でフィルタリングサービスの起動と停止をします。 1.サービスの起動と停止を実行可能なユーザアカウントで Windows にログインします。 2. [スタート] ボタン→ [設定] → [コントロールパネル] → [管理ツール] の順に選択し、[サービス] をダブルクリックします。 3.「InterSafeProxyControl」(フィルタリングサービス)を右クリックして [操作] メニューの [開始] または [停止] を実行します。 ※InterSafe のサービスには、3 つのサービスがあります。 ・InterSafeAdminControl :管理サービス ・InterSafeWebService :拡張 Web サービス ・InterSafeProxyControl :フィルタリングサービス ■ Solaris/Linux の場合 Solaris 版と Linux 版の InterSafe のフィルタリングサービスを起動 / 停止する場合は、ターミナルで、次のコマンドを実行します。 注意: 起動と停止は root ユーザで実行してください。 フィルタリングサービスの再起動 起動:< インストールディレクトリ>/bin/amsproxy start 停止:< インストールディレクトリ>/bin/amsproxy stop 注意: 拡張 Web サービスの起動 / 停止に、<インストールディレクトリ>/tomcat/bin/startup.sh を実行しないでください。実行 してしまった場合には、<インストールディレクトリ>/tomcat/work 以下のディレクトリとファイルをすべて削除してください。 ・Squid 版の場合、Squid を起動または再起動すると、自動的にリダイレクタプログラムが起動します。フィルタリングサービス が停止し、Squid およびリダイレクタプログラムだけが起動している状態では、フィルタリングが正常に動作しません。 この場合、proxy.inf の [CONTROL_CFG] セクションにある「CONNECT_RETRY」の値により動作が異なります。「0」の場合は、 すべてのリクエストに対して規制メッセージを表示し、正の値の場合は、すべてのリクエストを許可します。 6 IS_TG_20120105 2.アクセスの実施 通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行い問題がないことを確認します。 2-4.その他の回避方法 1.Internet Explorer のプロキシ例外設定による回避 前述の手順で正常にアクセスできない場合には、プロキシ例外に該当のサイトを指定することで正常にアクセスが出来る場合があ ります。Internet Explorer の場合、下記のように設定を行います。 1. Internet Explorer のアイコンを右クリックしてプロパティを開きます。 2. 接続タブを開き、LAN の設定ボタンをクリックします。ローカルエリアネットワーク(LAN)の設定ダイアログが開くので詳細設 定ボタンを開きます。下記の画面が表示されるので該当の URL、ドメイン名を例外フィールドに記述します。 7 IS_TG_20120105 (参考情報) 確認済みUA及びホスト 1.UA 一覧 以下の表は、弊社サポートにて確認した UA の一覧になります。詳細が不明なものやプログラムのバージョンにより UA が異なる 場合もあります。設定の際の参考として頂ければ幸いです。 2012 年 1 月 5 日現在 InterSafe による No. 1 User agent プログラム・サービス名 備考 Acrobat Acrobat 全般 Acrobat 全般 回避の可否 ○ UA による認証除外の設定のみでは回避不 Adobe Flash Player イン 2 Solid Core ストール 可。Ver6.5 より追加された「ホスト名登録 による認証除外設定」と UA による認証除外 × 設定を両方設定することで回避可能。ホス ト名一覧の No.3 を参照。 3 4 Adobe Adobe 全般 Adobe Update Manager 6 Acrobat9 アップデータ Adobe Update Manager 5 Acrobat8 アップデータ Gizmo(インターネット Adobe 全般 ○ Acrobat アップデータ使用時。 ○ Gizmo(インターネット電話) ○ 5 GIZMO 6 tenki.rx Goo ツールバー Goo ツールバー ○ 7 goostkver.rx Goo ツールバー Goo ツールバー ○ 8 CATsecurity InterSafe CATS InterSafe CATS ○ 9 Java Java プログラム Java プログラム ○ 10 Managed VirusScan McAfee(アンチウィルス) ○ McAfee(アンチウィルス) ○ 電話) McAfee(アンチウィル ス) VirusScan ASaP McAfee(アンチウィル ConnectionCheck ス) 12 dpupdchk Microsoft IntelliPoint Microsoft IntelliPoint ○ 13 Microsoft Microsoft 全般 Microsoft 全般 ○ 11 Office2007 の各アプリケーションの下記の ような操作をすると認証 POPUP が表示され る場合があること確認しております。 14 MicrosoftOffice ・テキストを選択した後、マウスを右クリ ClipOrganizer ックしてコンテキストメニューを表示した VCSoapClient MicrosoftOffice 全般 CLView 場合 ○ ・セキュリティ センターの設定を開いた場 合 ・校閲を選択した場合 ・クリップアートで Web コレクションを検 索する場合など。 15 NOD32 Update NOD32(アンチウィルス) NOD32(アンチウィルス) ○ 16 Office Source Engine Office Update Office Update ○ 8 IS_TG_20120105 17 Oracle Proxy Enabled SSL Oracle Client Oracle Client ○ Socket 18 Shockwave Shockwave ショックウェーブ、マルチメディアのデー ○ タを再生するためのプラグイン Symantec(アンチウィル 19 RwAAAAA 可変した場合回 UA は可変するため、注意が必要。 ス) 避不可 Symantec(アンチウィル 20 SAAAAA 可変した場合回 UA は可変するため、注意が必要。 ス) 21 LiveUpdate 22 LegitCheck 避不可 Symantec ライブアップ シマンテック(アンチウィルス)のアップデ デート ート用プログラム Windows Genuine ○ 正規 Windows 推奨プログラム ○ 正規 Windows 推奨プログラム ○ Advantage MS Clearing House Default Windows Genuine Agent Advantage 24 Windows-Media-DRM Windows Media Player ウィンドウズメディアプレーヤ ○ 25 Windows-Media-Player Windows Media Player ウィンドウズメディアプレーヤ ○ Windows Media ウィンドウズメディアプレーヤ。ブラウザ Player(NetShow クライ からでなくメディアプレーヤ単体で起動し アント) たとき VistaOS Vista の OS ライセンス認証 Office2010 Office2010 のアクティベーション Windows Update Windows アップデート Windows Windows アップデート、Windows98 と IE6 Update(Win98+IE6) の組み合わせ Windows Windows アップデート、WindowsXP と IE6 Update(WinXP+IE6) の組み合わせ 23 26 27 NSPlayer SLSSoapClient ○ ○ Windows-Update-Agent Microsoft BITS Microsoft WU Client 28 Windows Update ○ Microsoft-CryptoAPI Windows Installer MSDW VCSoapClient 29 CryptRetriveObjectByUrl ○ 30 Industry Update Control 31 Railupd リアルプレイヤー リアルプレイヤー ○ 32 RealPlayer リアルプレイヤー リアルプレイヤー ○ 9 ○ IS_TG_20120105 33 e-Tax VersionUp Support e-Tax 国税電子申告・納税システム(e-Tax) ○ Program ユーザ独自のインターネット接続の Web カ メラ用のプログラム。UA は「Streaming Sdk 34 Streaming 特定のプログラム 1.0」、MJPEG モードのリクエストでは、UA が付加されない通信パターンが存在するの ○ で、全てのモードで通信を可能にするには IP アドレス認証が必要になります。 ユーザ独自のプログラム ActiveX コントロールがこの UA の GET を送 信する場合があるようです。特定のプログ 35 contype 特定のプログラム ラムではない可能性があります。 ○ 参考 URL:http://support.microsoft.com/kb/41 6569/ja 特定のプログラム(あな 36 anatagoyomi たごよみ) デスクトップツール(ガジェット) ○ 37 SendHTTP 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 38 Client 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 39 fclock 特定のプログラム データセキュリティ製品、詳細は不明。 ○ 40 Tcpwsd 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 41 Vegas 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 42 Win32 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 43 ClipOrganizer 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 44 IPC_Update 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 45 jupdate 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 46 Lotus-Notes Lotus-Notes Notes ブラウザ ○ 47 Windows Live Messenger Windows Live Messenger MS メッセンジャー ○ 48 Windows MSN Messenger Windows MSN Messenger MS メッセンジャー ○ Mozilla/4.0 (Windows 2000 citibank(オンラインバ ○ ンク) ナビゲーションバーが表示されない 5.0) Java/1.6.0_03 49 NTLM だけではなくユーザ認証に対応してい 50 iCATs SOAP ヤマト運輸送り状発行 ソフト(B2) ないとのメーカ回答(IP アドレス認証なら × 可能) 10 IS_TG_20120105 ヤマト運輸送り状発行 51 i-CATs DownLoad ソフト(B2) NTLM だけではなくユーザ認証に対応してい ないとのメーカ回答(IP アドレス認証なら × 可能) ThinkVantage System 52 - 特定の UA を持たないため回避ができない。 × Update 53 - iPass Connect CISCO 特定の UA を持たない。 × 54 - google パック 特定の UA を持たない。 × 55 - 詳細不明。 × 詳細不明。 × Mcafee Managed Total Protection 56 - Logitech Desktop Messenger 特定の UA を持たない 57 - JWNET 認証ポップアップに正しい ID、パスワード × を入力した場合は通る。 「Biz/Browser」の UA を持っているが、 58 - IT-Truck proxy.inf に登録しても回避が出来なかっ 不明 た。原因は不明。 59 - iTERAN 特定の UA を持たないため回避ができない。 × 60 - 現場図書館 EX 特定の UA を持たない。 × 61 - 現場 Office 特定の UA を持たない。 × 62 urlgrabber/3.1.0 QuartusⅡ 開発ソフトウェア ○ 63 its-moNavi PC its-mo Navi 地図ソフトウエア ○ 64 ZION its-mo Navi 地図ソフトウエア ○ 65 - LeySer Services 詳細不明。 × 66 - FedEX Ship Manager UA 確認不可。 × 67 - MATLAB UA 確認不可。 × 68 Smc ウイルス・セキュリティ対策ソフト ○ Symantec Endpoint Protection 69 70 CHTTP - KASHU-USB メモリのセキ USB 暗号化ソフトライセンス登録時の通信 ュリティ 時に認証失敗となるため UA 登録で回避。 弥生給与ソフト ○ ソフトアップデートの通信で認証失敗とな × る。UA 確認不可のため、ホスト名による認 ※ホスト名一覧 証除外で回避。 の No.5 を参照 11 IS_TG_20120105 2.ホスト名一覧 以下の表は、弊社サポートにて確認したホスト名の一覧になります。詳細が不明なものやプログラムのバージョンによりホスト 名が異なる場合もあります。設定の際の参考として頂ければ幸いです。 2012 年 1 月 5 日現在 No. ホスト名 プログラム・サービス名 備考 InterSafe による 回避の可否 1 www.update.microsoft.com Windows Update activation.sls.microsoft. 2 Office2010 のライセンス登録(アクティベ Office2010 com platformdl.adobe.com Adobe Flash Player ○ ○ ※UA 一覧の ーション) get.adobe.com 3 Windows アップデート Adobe Flash Player インストール時の No.27 も必要。 ○ リクエスト fpdownload.adobe.com 4 www.google.com Google Adwords Editor Adwords Editor ソフト起動時の認証 ○ 弥生給与ソフト ソフトアップデートの通信 ○ www.yayoi-kk.co.jp 5 info.yayoi-kk.co.jp 12 IS_TG_20120105