第 4 章 運用
4.9 利用申請画面のカスタマイズ
注意
• 利用申請認証機能(Active Directory)を使用してユーザー認証を行う場合、外部利用申 請サーバを利用した「外部利用申請画面」は使用することはできません。詳細は、
『iNetSec Smart Finder利用申請認証機能(Active Directory) ユーザーズガイド』を参照 してください。
遮断、利用申請画面は、お客様の環境に合わせて作成した「外部利用申請画面」を利用するこ とができます。
外部利用申請画面を使用する場合は、外部利用申請用のWebサーバが必要です。
外部利用申請画面は、システム設定のセグメントグループ固有設定で「外部利用申請サーバ」
に「利用する」を選択し、「外部利用申請サーバURL」を設定します。詳細は、"4.7.3.3 クラ イアント画面通知メッセージ"を参照してください。
なお、外部利用申請サーバを、プロキシサーバを経由しないとアクセスできないネットワーク に設置する場合、システム設定のセグメントグループ固有設定で「プロキシーサーバを経由す る遮断除外サーバ」に外部利用申請サーバを追加します。詳細は、"4.7.3.2 機器の遮断・承認
"を参照してください。
外部利用申請サーバで利用申請画面を利用する際のデータの流れ、および利用申請サーバで行 う応答は、遮断、利用申請画面を使用する場合と利用申請画面(マネージャー)を使用する場 合で異なります。
遮断、利用申請画面を外部利用申請サーバで使用する
【データ処理の流れ】
1. クライアントが業務ネットワークへのWebアクセスを行うと、センサーがセンサーの 利用申請画面に誘導します。
2. センサーの利用申請画面は、外部利用申請サーバの申請画面にリダイレクト応答します
(ステータスコード302)。
3. クライアントが外部利用申請サーバにアクセスします。
4. 外部利用申請サーバが利用申請画面を応答します。
5. クライアントが外部利用申請サーバに利用申請内容を送信します。
6. 外部利用申請サーバが送信された申請内容に応じて許可または拒否の応答をします。許 可の応答の場合、クライアントにはセンサーの申請画面にリダイレクト応答します(ス テータスコード302)。
7. クライアントがセンサーの利用申請画面にアクセスします。
8. センサーはクライアントに外部利用申請サーバの申請完了画面にリダイレクト応答しま す。同時に、センサーはマネージャーに利用申請内容を通知します(ステータス302)。
9. クライアントは外部利用申請サーバの申請完了画面にアクセスします。
10.利用申請内容がマネージャーのデータベースに格納されます。
センサーおよびマネージャーは、外部利用申請サーバにリダイレクトする際に、指定された 外部利用申請サーバのURLに、"action"およびその他のパラメーターを設定します。
以下に、"action"のパラメーターの値とその他のパラメーターについて説明します。
第4章 運用
表 4.28 遮断、利用申請画面を外部利用申請サーバで利用する場合のパラメーター action
パラメー ターの値
その他の パラメー
ター
説明 show 利用申請画面をクライアントに応答してください。
その応答に対してクライアントから利用申請があった場合、その妥当性を検証し、
妥当な場合は、「http://<センサーのIPアドレス>/pfudac/notify.cgi」にリダイレク トするよう応答してしてください。notify.cgiのパラメーターについては、以下のと おりです。
• action
"apply"を指定してください。
• ip
申請しているクライアントのIPアドレスを指定してください。各オクテット はゼロパディングしないでください。
• mac
クライアントのMACアドレスをxx:xx:xx:xx:xx:xxの形式で指定してください。
• item1
(申請内容1)を指定してください。(*)
• item2
(申請内容2)を指定してください。(*)
• item3
(申請内容3)を指定してください。(*)
• item4
(申請内容4)を指定してください。(*)
• item5
(申請内容5)を指定してください。(*)
sensor センサーのIPアドレスが指定されます。各オクテットはゼロパディングされませ
ん。
ip 申請しているクライアントのIPアドレスが指定されます。各オクテットはゼロパ ディングされません。
mac クライアントのMACアドレスが、xx:xx:xx:xx:xx:xxの形式で指定されます。
confirm 利用申請内容をクライアントに応答してください。
mac クライアントのMACアドレスが、xx:xx:xx:xx:xx:xxの形式で指定されます。
item1 (申請内容1)が指定されます。 (*)
item2 (申請内容2)が指定されます。 (*)
item3 (申請内容3)が指定されます。(*) item4 (申請内容4)が指定されます。(*)
item5 (申請内容5)が指定されます。 (*)
inspecting 利用申請が承認待ちであることを示す画面を応答してください。センサーの動作
モードを「遮断モード(申請後解除)」で運用する場合はこのパラメーターで呼び 出されることはありません。
activating 利用申請が完了し、クライアントが遮断解除待ちであることを示す画面を応答して
ください。センサーの動作モードを「遮断モード(承認後解除)」で運用する場合 はこのパラメーターで呼び出されることはありません。
deny 承認ステータスが「拒否」であるために遮断されたことを示す画面に応答してくだ
第4章 運用
*) item1~item5については、最大64文字の値を「パディングなし」の base64url方式で変換したものとし ます。文字コードは、言語の選択が日本語の場合はEUC、それ以外の場合はUTF-8を使用してください。
なお、使用しない項目の設定は必須ではありません。base64url方式については、RFC 3548を参照してく ださい。
利用申請画面(マネージャー)を外部利用申請サーバで利用する
【データ処理の流れ】
1. クライアントが直接、外部利用申請サーバにアクセスします。
2. クライアントが外部利用申請サーバに利用申請内容を送信します。
3. 外部利用申請サーバが送信された申請内容に応じて許可または拒否の応答をします。
許可の応答の場合、クライアントにはマネージャーの外部利用申請サーバ用の利用申請 画面(後述するExternalApplication.aspx)にリダイレクト応答します(ステータスコー ド302)。
4. クライアントがマネージャーの外部利用申請サーバ用の利用申請画面
(ExternalApplication.aspx)にアクセスします。
5. マネージャーが申請内容にエラー(申請された機器が存在しないなど)がないと判定し た場合、申請内容がマネージャーのデータベースに格納されます。
6. マネージャーはクライアントに外部利用申請サーバの申請完了画面にリダイレクト応答 します(ステータスコード302)。
7. クライアントは外部利用申請サーバの申請完了画面にアクセスして申請が完了したこと を確認します。
外部利用申請サーバは、マネージャーの以下のアドレスに対して、"表 4.29 マネージャーに送 信するパラメーター"のパラメーターを加えてリダイレクトしてください。
illegalip MACアドレスとIPアドレスの割り当てが一致しないことを示す画面に応答してく
ださい。
mac クライアントのMAC アドレスが、xx:xx:xx:xx:xx:xx の形式で指定されます。
error センサーでエラーが発生したことを示す画面に応答してください。
m 以下のエラーコードが指定されます。
770 : 利用申請に失敗しました
771 : 利用申請件数の上限を超過しました
1025 : base64url方式のデコードに失敗しました
http://<マネージャーマシンのホスト名またはIPアドレス>:<ポート番号>/pfudac/manager/
ExternalApplication.aspx action
パラメー ターの値
その他の パラメー
ター
説明
第4章 運用
ヒント
• ポート番号には、マネージャーのインストール時に指定したポート番号(デフォルトは 8109)を指定します。
• マネージャー管理画面を使用する通信プロトコルにHTTPS を選択した場合は、以下の アドレスにパラメーターを送信します。
• 資産管理ソフトウェア連携を行う場合は、「遮断、利用申請画面」のクライアント画面 通知メッセージをカスタマイズし、資産管理エージェントのダウンロードを促すメッ セージやリンクを記載することで、資産管理エージェントの導入徹底ができます。リン ク先サーバは遮断除外サーバに登録してください。
マネージャーに送信するパラメーターは、以下のとおりです。
表 4.29 マネージャーに送信するパラメーター
*1) ipとmacのパラメーターは、両方またはどちらか一方の値の設定が必須です。
*2)最大64文字の値を「パディングなし」のbase64url方式で変換したものとします。文字コードは、
UTF-8を使用してください。なお、使用しない項目の設定は必須ではありません。
base64url方式については、RFC 3548を参照してください。
*3)このパラメーターが不正の場合、申請完了画面要求を外部利用申請サーバに対して行うことができ ません。
マネージャーは、ExternalApplication.aspxへのアクセスの応答として、パラメーターurlで指 定されたURLに、リダイレクト応答します(ステータスコード302)。この際、マネージャー は、以下のパラメーターを指定します。
表 4.30 応答されるパラメーター(正常の場合)
https://<マネージャーマシンのホスト名またはIPアドレス>:<ポート番号>/pfudac/manager/
ExternalApplication.aspx
パラメーター 説明
action "apply"を指定してください。
ip 申請しているクライアントのIPアドレスを指定してください。各オクテットはゼロパ ディングしないでください。(*1)
mac クライアントのMACアドレスを指定してください。(*1)
item1 (申請内容1)を指定してください。(*2)
item2 (申請内容2)を指定してください。(*2)
item3 (申請内容3)を指定してください。(*2)
item4 (申請内容4)を指定してください。(*2)
item5 (申請内容5)を指定してください。(*2)
url 利用申請サーバの申請完了画面のURLを指定してください。(*2)(*3)
パラメーター 説明