■ Basic 認証 (LDAP 連携 )
LDAPサーバと連携したBasic認証をします。LDAP連携を選択した場合、LDAP連携設定とLDAP同 期設定を行ってください。
LDAPサーバとの同期設定を行った後は、ISWMはユーザ情報 (アカウント) を確認後、LDAPサーバ に問い合わせ、LDAPサーバの認証結果を利用してユーザ認証します。
LDAPサーバのユーザ情報を認証に利用する場合、LDAPサーバの情報をISWMのユーザ情報として 取得できます。
LDAPサーバとの同期を実行すると、LDAPサーバの保持しているユーザ情報 (アカウント) と、グルー
プ情報がISWMに作成され、LDAPサーバによる認証が可能となります。
LDAPサーバのユーザ情報を利用してBasic認証を行う場合、認証方式を[Basic認証]-[LDAP連携を 行う]に設定し、続けてLDAPサーバとの連携、同期の設定をしてください。
設定方法については、以下を参照してください。
Basic認証 (LDAP連携) の設定 「8-3. Basic認証 (LDAP連携) を設定する」 109ページ 連携するLDAPサーバの登録 「8-5. LDAPサーバの登録と管理」 114ページ LDAP連携設定 「8-6. LDAPサーバとの連携を設定する」 120ページ
リクエスト 認証
認証成功 フィルタリング設定
LDAPサーバ クライアントPC InterScan WebManager
またはSquid
LDAPサーバ
ユーザ情報 アカウント、グループの取得
ユーザ情報
同期の設定 LDAPサーバ情報、
ポート、検索条件 など InterScan WebManager
またはSquid
■ NTLM 認証 ( スタンドアロン版のみ )
Microsoft社のActive Directoryと連携し、NTLM認証を使用したWindowsクライアントからのシング ルサインオンを実現します。
Active DirectoryでWindowsのユーザ認証をしている環境でInternet Explorerを使用してインターネッ トで Web ページを閲覧する場合、あらためてユーザ名とパスワードを入力することなく、ISWMで ユーザ認証ができます。
Active Directoryのユーザ情報を利用してNTLM認証を行う場合、認証方式を[NTLM認証]に設定し、
続けてActive Directory サーバとのLDAP連携、同期の設定をしてください。
設定方法については、以下を参照してください。
認証ディレクトリサーバ Windows 2000 Server、またはWindows Server 2003 (R2含む) の Active Directoryドメインコントローラ
対応OS (クライアント)
Windows 2000 Professional/Server (SP4推奨) Windows XP Professional (SP2含む) Windows Vista Business
Windows Vista Ultimate 対応Webブラウザ Internet Explorer 5.5/6.0/7.0
※NTLM認証に対応していないブラウザからのWeb閲覧はできません。
連携するLDAPサーバの登録 「8-5. LDAPサーバの登録と管理」 114ページ LDAP連携設定 「8-6. LDAPサーバとの連携を設定する」 120ページ LDAP同期設定 「8-7. LDAPサーバと同期する」 124ページ
8-2. Basic 認証 ( ローカル ) を設定する
クライアントPCのローカルアカウントでBasic認証をする場合は、次の手順で設定してください。
注意: ここではスタンドアロン版の画面を使用しています。Squid版、ICAP版では表示される 項目が異なります。
1.
[システム管理]→[認証設定] をクリックします。[認証設定] が表示されます。
2.
[ユーザ認証] - [有効] チェックボックスをクリックしてオンにします。3.
[認証方式] - [アカウント認証を行う] チェックボックスをクリックしてオンにします。注意: ・ユーザ認証をする場合、IPアドレス認証は必ず有効になります。
・Squid版の場合、 [アカウント認証を行う] チェックボックスは表示されません。
[ユーザ認証] - [有効] チェックボックスをオンにすると、IPアドレス認証とアカ
ウント認証の両方が有効になります。
23
4
4.
[認証方式] - [Basic認証] をクリックし、 [ローカルでの認証を行う] をクリックします。注意: ・登録されていないユーザの認証を有効にする場合、 [未登録ユーザ設定] - [有効] チェックボックスをクリックしてオンにしてください。
・第1階層に登録されているグループ単位でアカウントを管理する場合は、 [第一 階層グループ毎にアカウントの管理をする] チェックボックスをオンにしてく ださい。
・第 1 階層グループごとのアカウント管理を有効にした場合、認証ダイアログで
「第一階層グループ名」+「\」+「アカウント名」を入力してください。このとき、
第2階層および第3階層のグループ名を入力しても認証されません。
例:「sales\yamada」
5.
[更新] ボタンをクリックします。確認のダイアログが表示されます。
注意: [ 更新 ] ボタンをクリックしないと、変更した内容は保存されません。設定を変更 する場合は、必ず [更新] ボタンをクリックしてください。
6.
[OK] ボタンをクリックします。以上で、Basic認証 (ローカル) の設定は完了です。
8-3. Basic 認証 (LDAP 連携 ) を設定する
LDAPサーバと連携したBasic認証は、次の手順で設定します。
注意: ・ここではスタンドアロン版の画面を使用しています。Squid 版、ICAP 版では表示され る項目が異なります。
・設定完了後は、必ず LDAP サーバとの同期を行ってください。LDAP サーバと定期的 に自動同期を設定することもできます (自動連携)。
・LDAP 連携を設定すると、アカウントやパスワードの認証はLDAP サーバで実行され
ます。ISWM ではパスワードなどの情報を持たないため、アカウントの登録/削除、パ
スワードの変更はできません。IPアドレスをユーザ名として登録したユーザは、登録 /削除できます。
1.
[システム管理]→[認証設定] をクリックします。[認証設定] が表示されます。
2.
[ユーザ認証] - [有効] チェックボックスをクリックしてオンにします。3.
[認証方式] - [アカウント認証を行う] チェックボックスをクリックしてオンにします。注意: ユーザ認証をする場合、IPアドレス認証は必ず有効になります。
4.
[認証方式] の [Basic認証] をクリックし、 [LDAP連携を行う] をクリックします。注意: 登録されていないユーザの認証を有効にする場合、 [未登録ユーザ設定] - [有効] チェックボックスをクリックしてオンにしてください。
23
45 6
5.
[LDAP グループ特定方式] を選択してクリックします。[■認定設定] - [LDAP グループ特定方式]
6.
[LDAP認証キャッシュ] で、LDAP認証情報キャッシュする時間を入力します。初期値は60分です。
[クリア] ボタンをクリックすると、現在キャッシュされているLDAP認証情報をクリアできま す。
7.
[更新] ボタンをクリックします。確認のダイアログが表示されます。
注意: [ 更新 ] ボタンをクリックしないと、変更した内容は保存されません。設定を変更 する場合は、必ず [更新] ボタンをクリックしてください。
8.
[OK] ボタンをクリックします。「更新が完了しました。」と表示されます。
以上で、Basic認証 (LDAP連携) の設定は完了です。
続けてLDAPサーバの設定をしてください。
ユーザのDN からグループ
階層を特定する
指定した組織単位 (OU) 以下の構造をISWMのグループ構成にイ ンポートして、組織単位でフィルタリング設定を行います。
グループ毎にユーザ抽出 条件を指定する
ISWMのグループごとにLDAPサーバから取り込むユーザの条件 を設定できます。Active Directoryのセキュリティグループなど、組 織単位とは異なるグループ単位でフィルタリング設定を行いま す。複数グループの抽出条件に一致する場合、設定した優先順位 に従ってISWMのグループに取り込みます。
8-4. NTLM 認証を設定する
注意: NTLM 認証は、スタンドアロン版だけが設定できます。Squid版、ICAP 版では設定項目 が表示されません。
■ NTLM 認証時の注意
・ NTLM認証機能を利用する場合、Active DirectoryサーバとISWMをLDAP連携する必要があり ます。
・ NTLM 認証時は、ブラウザ側でシングルログインに対応しているのでアカウントやパスワード は、クライアント側でWindowsにログインしたユーザIDとパスワードで自動認証されます。
自動認証に失敗した場合は、認証ダイアログが表示されるのでアカウントおよびパスワードを 入力して認証してください。
・ LDAP サーバにログインしたアカウントがある場合は、ISWM で該当するアカウント、またはグ ループのフィルタリング設定が適用されます。
・ NTLM認証時は、LDAP連携のため検索条件で、アカウントを「sAMAccountName」に設定してくだ さい。検索条件でアカウントを「cn」に設定している場合、正しくアカウントが検索されません。
・ ISWMとクライアントPCの間に、他のプロキシ(下位プロキシ)を使用することはできません。
クライアントPCとISWMもしくはISWMが接続されたプロキシサーバと直接通信できる環境 が必要です。
・ ISWMとインターネットの間にプロキシサーバ(上位プロキシ)がある場合、上位プロキシでの 認証は利用できません。
・ NTLM認証を設定した場合、ISWMに対して基本認証(NTLM認証なし)よりもサーバに負荷が かかります。NTLM認証で運用を開始する前に十分に稼動検証をしてください。負荷が大きい場 合は、ユーザごとにサーバを分散して運用するようにしてください。
・ ISWM では、登録されたユーザアカウントに対して認証を行う場合、大文字小文字の識別がされ
ます。Windows 上でユーザアカウントを登録する場合には、大文字と小文字を混在できますが、
Windowsの仕様上、ログインする時には、大文字と小文字は区別しません。
NTLM認証(シングルサインオン)を利用する場合とそれ以外の場合で注意が必要です。NTLM
2.
[ユーザ認証] の [有効] チェックボックスをクリックしてオンにします。3.
[認証方式] の [アカウント認証を行う] チェックボックスをクリックしてオンにします。注意: ユーザ認証をする場合、IPアドレス認証は必ず有効になります。
4.
[認証方式] の [NTLM認証] をクリックします。5.
[LDAP グループ特定方式] を選択してクリックします。[■認証設定] - [LDAP グループ特定方式]
6.
[LDAP認証キャッシュ] で、LDAP認証情報キャッシュする時間を入力します。初期値は60分です。
[クリア] ボタンをクリックすると、現在キャッシュされているLDAP認証情報をクリアできます。
7.
[更新] ボタンをクリックします。確認のダイアログが表示されます。
ユーザのDN からグループ
階層を特定する
指定した組織単位 (OU) 以下の構造をISWMのグループ構成にイ ンポートして、組織単位にフィルタリング設定を行います。
グループ毎にユーザ抽出 条件を指定する
ISWMのグループごとにLDAP サーバから取り込むユーザの条 件を設定できます。Active Directory のセキュリティグループな ど、組織単位とは異なるグループ単位でフィルタリング設定を行 います。複数グループの抽出条件に一致する場合、設定した優先 順位に従ってISWMのグループに取り込みます。
23
45 6
注意: [ 更新 ] ボタンをクリックしないと、変更した内容は保存されません。設定を変更 する場合は、必ず [更新] ボタンをクリックしてください。
8.
[OK] ボタンをクリックします。以上で、NTLM認証の設定は完了です。
続けて連携するLDAPサーバを登録してください。
8-5. LDAP サーバの登録と管理
ISWMは、複数のLDAPサーバを登録して連携できます。
ここでは、LDAPサーバの登録、管理について説明します。
■ LDAP サーバを登録する
LDAPサーバは、Basic認証 (LDAP連携) またはNTLM認証設定後、次の手順で登録します。
1.
[システム管理]→[認証設定] で、[LDAPサーバ情報へ]ボタンをクリックします。[LDAPサーバ情報] が表示されます。