Comments
Description
Transcript
2-5.
URL フィルタリングソフト Technical Guide テクニカル&トラブルシュートガイド LDAP 連携を行った認証について 目次 1. はじめに 3 2. LDAP認証時に必要リクエストを通過させる 3 3 2-1. ユーザエージェントの確認 1.事前設定 3 2.アクセスの実施 4 3.パケットキャプチャの取得 4 2-2. 設定ファイルの編集 5 1.設定ファイルの確認 5 2.設定ファイルへの記述 5 2-3. 設定内容の確認 5 1.InterSafeの再起動 5 2.アクセスの実施 6 2-4. その他の回避方法 7 1.Internet Explorerのプロキシ例外設定による回避 2-5. ユーザエージェントについて 7 8 1.ユーザエージェント一覧 8 2 IS_TG_20110331 1.はじめに 本書では、InterSafe に関する各種の設定と、設定を行うための調査手順と方法について説明しています。 2.LDAP認証時に必要リクエストを通過させる LDAP 認証(※Active Directory と LDAP 連携を行った認証方式)を行っている場合に Windows Update など必要なリクエストが正常 に行えない場合があります。 この場合、以下の手順にて UserAgent(以下 UA)の特定を行い、"proxy.inf"の"AUTHORIZED_USER_AGENT="にそれを指定することで 回避が可能となります。 本書では、その調査手順と設定方法について説明します。 2-1.ユーザエージェントの確認 1.事前設定 InterSafe 管理画面 > システム管理 > ログ設定 にて「出力項目」の 「ブラウザバージョン」にチェックが入っていることを確認 します。インストール直後は「ブラウザバージョン」にチェックは入っていませんのでご注意ください。 ※TEXT ファイル以外のアクセス時に独自の UA を持っている場合があります。UA の確認を行う前に、ログ設定画面の「出力形式」 を「全てにファイルを出力する」に変更します。過去の例では、TEXT で出力されなかった UA に、Flash Player がありました。 3 IS_TG_20110331 2.アクセスの実施 通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行います。 アクセス後、InterSafe_http.log のログに UA が出力されているか確認します。 ログファイルは下記の場所にあります。 Windows の場合 Linux、Solaris の場合 「<導入フォルダ>¥logs 」 「<導入ディレクトリ>/logs 」 例) ・通常のブラウザの UA(IE7 の場合) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR2.0.50727) http ログは下記のフォーマットにて出力されます。 年月日,時刻,”プロトコル”,"リクエスト元 IP","グループ名",”アカウント名”,"ブラウザバージョン",“転送状態”,”WWW サーバ IP”,応答コード,”WWW サーバ名”,転送時間,転送データサイズ,“ファイルタイプ”,”カテゴリ名”,”リクエスト URL”,”HTTP バージョン”,”リクエストメソッド” UA は"ブラウザバージョン"に表示されます。 3.パケットキャプチャの取得 上記での方法で取得できない場合は、パケットキャプチャを取得して UA の確認を行います。 パケットキャプチャソフトの詳細情報窓の「Hypertext transfer protocol」の「User-Agent:」に表示されている内容を確認します。 下図では WireShark の 1.0.1 の画面を示しています。この例では、68 フレーム目のパケットに POST リクエストがあり、User-Agent に SLSSoapClient が確認できます。SLSSoapClient は Vista の OS ライセンス認証時に使用される UA です。 ※Vista の OS ライセンス認証では、http ログ自体が出力されずパケットキャプチャにて UA を取得しました。 4 IS_TG_20110331 2-2.設定ファイルの編集 1.設定ファイルの確認 InterSafe の設定ファイルは下記の場所にあります。 Windows の場合 「<導入フォルダ>¥conf」 Linux、Solaris の場合 「<導入ディレクトリ>/conf」 設定ファイルを編集する場合は、メモ帳以外のエディタを使用することをお勧めします。 2.設定ファイルへの記述 前述の手順にて取得した UA を設定ファイルへと反映します。 "proxy.inf"の"AUTHORIZED_USER_AGENT="に追加します。既に他の UA も指定されていますので、ここに追記します。 追記する場合は、セパレータ文字列を先頭に付与して追記します。 例) 追加前 AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows Installer,Microsoft-CryptoAPI,CATsecurity ここに"SLSSoapClient"を追加します。 追加後 AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows Installer,Microsoft-CryptoAPI,CATsecurity,SLSSoapClient セパレータ文字列は以下のパラメータで指定できますが、これは、ほとんど変更する必要のない項目です。 AUA_SEPARATOR=, 2-3.設定内容の確認 1.InterSafeの再起動 設定を行ったら InterSafe の全サービスの再起動を行い、設定内容を反映します。 ■ Windows の場合 Windows 版でサービスを起動 / 停止するには、Windows の [コントロールパネル] の [サービス] を使用します。次の手順でサー ビスの起動と停止をします。 1. サービスの起動と停止を実行可能なユーザアカウントで Windows にログインします。 2. [スタート] ボタン→ [設定] → [コントロールパネル] → [管理ツール] の順に選択し、[サービス] をダブルクリックします。 3. 停止または開始したいサービスを選択して [操作] メニューの [開始] または [停止] を実行します。 5 IS_TG_20110331 InterSafe のサービスには、3 つのサービスがあります。 ・InterSafeAdminControl :管理サービス ・InterSafeWebService :拡張 Web サービス ・InterSafeProxyControl :フィルタリングサービス ■ Solaris/Linux の場合 Solaris 版と Linux 版の InterSafe のサービスを起動 / 停止する場合は、対象とするサービスごとにターミナルで、次のコマンドを 実行します。 注意: 起動と停止は root ユーザで実行してください。 ・管理サービス 起動:< インストールディレクトリ>/bin/amsadmin start 停止:< インストールディレクトリ>/bin/amsadmin stop ・拡張 Web サービス 起動:< インストールディレクトリ>/bin/amsweb start 停止:< インストールディレクトリ>/bin/amsweb stop ・フィルタリングサービス 起動:< インストールディレクトリ>/bin/amsproxy start 停止:< インストールディレクトリ>/bin/amsproxy stop 注意: 拡張 Web サービスの起動 / 停止に、<インストールディレクトリ>/tomcat/bin/startup.sh を実行しないでください。実行 してしまった場合には、<インストールディレクトリ>/tomcat/work 以下のディレクトリとファイルをすべて削除してください。 ・Squid 版の場合、Squid を起動または再起動すると、自動的にリダイレクタプログラムが起動します。フィルタリングサービス が停止し、Squid およびリダイレクタプログラムだけが起動している状態では、フィルタリングが正常に動作しません。 この場合、proxy.inf の [CONTROL_CFG] セクションにある「CONNECT_RETRY」の値により動作が異なります。「0」の場合は、 すべてのリクエストに対して規制メッセージを表示し、正の値の場合は、すべてのリクエストを許可します。 2.アクセスの実施 通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行い問題がないことを確認します。 6 IS_TG_20110331 2-4.その他の回避方法 1.Internet Explorerのプロキシ例外設定による回避 前述の手順で正常にアクセスできない場合には、プロキシ例外に該当のサイトを指定することで正常にアクセスが出来る場合があ ります。Internet Explorer の場合、下記のように設定を行います。 1. Internet Explorer のアイコンを右クリックしてプロパティを開きます。 2. 接続タブを開き、LAN の設定ボタンをクリックします。ローカルエリアネットワーク(LAN)の設定ダイアログが開くので詳細設 定ボタンを開きます。下記の画面が表示されるので該当の URL、ドメイン名を例外フィールドに記述します。 7 IS_TG_20110331 2-5.ユーザエージェントについて 1.ユーザエージェント一覧 以下の表は、弊社サポートにて確認したユーザエージェントの一覧になります。詳細が不明なものやプログラムのバージョンに よりユーザエージェントが異なる場合もあります。設定の際の参考として頂ければ幸いです。 2010 年 9 月 16 日現在 InterSafe による No. User agent プログラム・サービス名 備考 回避の可否 1 Acrobat Acrobat 全般 Adobe Flash Player Adobe Flash Player イン Downloader ストール Adobe Adobe 全般 Adobe Update Manager 6 Acrobat9 アップデータ Adobe Update Manager 5 Acrobat8 アップデータ 2 3 4 Acrobat 全般 ○ Adobe Flash Player インストール ○ Adobe 全般 ○ Acrobat アップデータ使用時。 ○ Gizmo(インターネット電話) ○ Gizmo(インターネット 5 GIZMO 電話) 6 tenki.rx Goo ツールバー Goo ツールバー ○ 7 goostkver.rx Goo ツールバー Goo ツールバー ○ 8 CATsecurity InterSafe CATS InterSafe CATS ○ 9 Java Java プログラム Java プログラム ○ 10 Managed VirusScan McAfee(アンチウィルス) ○ McAfee(アンチウィルス) ○ McAfee(アンチウィル ス) VirusScan ASaP McAfee(アンチウィル ConnectionCheck ス) 12 dpupdchk Microsoft IntelliPoint Microsoft IntelliPoint ○ 13 Microsoft Microsoft 全般 Microsoft 全般 ○ 11 Office2007 の各アプリケーションの下記の ような操作をすると認証 POPUP が表示され る場合があること確認しております。 ・テキストを選択した後、マウスを右クリ MicrosoftOffice ックしてコンテキストメニューを表示した ClipOrganizer 場合 14 VCSoapClient MicrosoftOffice 全般 ○ ・セキュリティ センターの設定を開いた場 CLView 合 ・校閲を選択した場合 ・クリップアートで Web コレクションを検 索する場合 など。 15 NOD32 Update NOD32(アンチウィルス) NOD32(アンチウィルス) ○ 16 Office Source Engine Office Update Office Update ○ Oracle Client Oracle Client ○ Oracle Proxy Enabled SSL 17 Socket 8 IS_TG_20110331 ショックウェーブ、マルチメディアのデー 18 Shockwave Shockwave ○ タを再生するためのプラグイン Symantec(アンチウィル 19 RwAAAAA 可変した場合回 UA は可変するため、注意が必要。 ス) 避不可 Symantec(アンチウィル 20 SAAAAA 可変した場合回 UA は可変するため、注意が必要。 ス) 21 避不可 Symantec ライブアップ シマンテック(アンチウィルス)のアップデ デート ート用プログラム LiveUpdate ○ Windows Genuine 22 LegitCheck 正規 Windows 推奨プログラム ○ 正規 Windows 推奨プログラム ○ Advantage MS Clearing House Default Windows Genuine Agent Advantage 24 Windows-Media-DRM Windows Media Player ウィンドウズメディアプレーヤ ○ 25 Windows-Media-Player Windows Media Player ウィンドウズメディアプレーヤ ○ Windows Media ウィンドウズメディアプレーヤ。ブラウザ Player(NetShow クライ からでなくメディアプレーヤ単体で起動し アント) たとき 23 26 NSPlayer ○ Vista の OS ライセンス認 27 SLSSoapClient Vista の OS ライセンス認証 ○ Windows Update Windows アップデート ○ Windows Windows アップデート、Windows98 と IE6 Update(Win98+IE6) の組み合わせ Windows Windows アップデート、WindowsXP と IE6 Update(WinXP+IE6) の組み合わせ 証 Windows-Update-Agent Microsoft BITS Microsoft WU Client Windows Update 28 Microsoft-CryptoAPI Windows Installer MSDW VCSoapClient 29 30 CryptRetriveObjectByUrl ○ Industry Update Control ○ 31 Railupd リアルプレイヤー リアルプレイヤー ○ 32 RealPlayer リアルプレイヤー リアルプレイヤー ○ e-Tax 国税電子申告・納税システム(e-Tax) ○ 特定のプログラム ユーザ独自のインターネット接続の Web カ ○ e-Tax VersionUp Support 33 Program 34 Streaming 9 IS_TG_20110331 メラ用のプログラム。UA は「Streaming Sdk 1.0」、MJPEG モードのリクエストでは、UA が付加されない通信パターンが存在するの で、全てのモードで通信を可能にするには IP アドレス認証が必要になります。 ユーザ独自のプログラム ActiveX コントロールがこの UA の GET を送 信する場合があるようです。特定のプログ 35 contype 特定のプログラム ラムではない可能性があります。 ○ 参考 URL:http://support.microsoft.com/kb/41 6569/ja 特定のプログラム(あな 36 anatagoyomi たごよみ) デスクトップツール(ガジェット) ○ 37 SendHTTP 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 38 Client 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 39 fclock 特定のプログラム データセキュリティ製品、詳細は不明。 ○ 40 Tcpwsd 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 41 Vegas 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 42 Win32 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 43 ClipOrganizer 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 44 IPC_Update 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 45 jupdate 特定のプログラム ユーザ独自のプログラム、詳細は不明。 ○ 46 Lotus-Notes Lotus-Notes Notes ブラウザ ○ 47 Windows Live Messenger Windows Live Messenger MS メッセンジャー ○ 48 Windows MSN Messenger Windows MSN Messenger MS メッセンジャー ○ Mozilla/4.0 (Windows 2000 citibank(オンラインバ ナビゲーションバーが表示されない ○ 5.0) Java/1.6.0_03 ンク) 49 NTLM だけではなくユーザ認証に対応してい ヤマト運輸送り状発行 50 iCATs SOAP ないとのメーカ回答(IP アドレス認証なら × ソフト(B2) 可能) NTLM だけではなくユーザ認証に対応してい ヤマト運輸送り状発行 51 i-CATs DownLoad ないとのメーカ回答(IP アドレス認証なら × ソフト(B2) 可能) ThinkVantage System 52 - 特定の UA を持たないため回避ができない。 × Update 10 IS_TG_20110331 53 - iPass Connect CISCO 特定の UA を持たない。 × 54 - google パック 特定の UA を持たない。 × 55 - 詳細不明。 × 詳細不明。 × Mcafee Managed Total Protection Logitech Desktop 56 Messenger 特定の UA を持たない 57 - JWNET 認証ポップアップに正しい ID、パスワード × を入力した場合は通る。 「Biz/Browser」の UA を持っているが、 58 - IT-Truck proxy.inf に登録しても回避が出来なかっ 不明 た。原因は不明。 59 - iTERAN 特定の UA を持たないため回避ができない。 × 60 - 現場図書館 EX 特定の UA を持たない。 × 61 - 現場 Office 特定の UA を持たない。 × 62 urlgrabber/3.1.0 QuartusⅡ 開発ソフトウェア ○ 63 its-moNavi PC its-mo Navi 地図ソフトウエア ○ 64 ZION its-mo Navi 地図ソフトウエア ○ 65 - LeySer Services 詳細不明。 × 66 - FedEX Ship Manager UA 確認不可。 × 67 - MATLAB UA 確認不可。 × 68 Smc ウイルス・セキュリティ対策ソフト ○ Symantec Endpoint Protection 11 IS_TG_20110331