2-3.

URL フィルタリングソフト
Technical Guide
テクニカル&トラブルシュートガイド
LDAP 連携を行った認証について
目次
1. はじめに
3
2. LDAP 認証時に必要リクエストを通過させる
2-1. UA の確認
3
3
1.事前設定
3
2.アクセスの実施
4
3.パケットキャプチャの取得
4
2-2. 設定ファイルの編集
5
1.設定ファイルの確認
5
2.設定ファイルへの記述
5
2-3. 設定内容の確認
6
1.InterSafe の再起動
6
2.アクセスの実施
7
2-4. その他の回避方法
7
1.Internet Explorer のプロキシ例外設定による回避
(参考情報) 確認済み UA 及びホスト
7
8
1.UA 一覧
8
2.ホスト名一覧
12
2
IS_TG_20111111
1.はじめに
本書では、InterSafe WebFilter(以下 InterSafe)に関する各種の設定と、設定を行うための調査手順と方法について説明しています。
2.LDAP 認証時に必要リクエストを通過させる
LDAP 認証(※Active Directory と LDAP 連携を行った認証方式)を行っている場合に Windows Update など必要なリクエストが正常
に行えない場合があります。
この場合、以下の手順にて UserAgent(以下 UA)の特定を行い、"proxy.inf"の"AUTHORIZED_USER_AGENT="にそれを指定することで
回避が可能となります。
また、Ver6.5 以降ではホスト名を"proxy.inf"の"AUTHORIZED_HOST="に指定することで回避が可能となります。
本書では、その調査手順と設定方法について説明します。
2-1.UAの確認
1.事前設定
InterSafe 管理画面 > システム管理 > ログ設定 にて「出力項目」の 「ブラウザバージョン」にチェックが入っていることを確認
します。インストール直後は「ブラウザバージョン」にチェックは入っていませんのでご注意ください。
※TEXT ファイル以外のアクセス時に独自の UA を持っている場合があります。UA の確認を行う前に、ログ設定画面の「出力形式」
を「全てにファイルを出力する」に変更します。過去の例では、TEXT で出力されなかった UA に、Flash Player がありました。
3
IS_TG_20111111
2.アクセスの実施
通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行います。
アクセス後、InterSafe_http.log のログに UA が出力されているか確認します。
ログファイルは下記の場所にあります。
Windows の場合
Linux、Solaris の場合
「<導入フォルダ>¥logs 」
「<導入ディレクトリ>/logs 」
例)
・通常のブラウザの UA(IE7 の場合)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR2.0.50727)
http ログは下記のフォーマットにて出力されます。
年月日,時刻,”プロトコル”,"リクエスト元 IP","グループ名",”アカウント名”,"ブラウザバージョン",“転送状態”,”WWW サーバ
IP”,応答コード,”WWW サーバ名”,転送時間,転送データサイズ,“ファイルタイプ”,”カテゴリ名”,”リクエスト URL”,”HTTP
バージョン”,”リクエストメソッド”
UA は"ブラウザバージョン"に表示されます。
3.パケットキャプチャの取得
上記での方法で取得できない場合は、パケットキャプチャを取得して UA の確認を行います。
パケットキャプチャソフトの詳細情報窓の「Hypertext transfer protocol」の「User-Agent:」に表示されている内容を確認します。
下図では WireShark の 1.0.1 の画面を示しています。この例では、68 フレーム目のパケットに POST リクエストがあり、User-Agent
に SLSSoapClient が確認できます。SLSSoapClient は Vista の OS ライセンス認証時に使用される UA です。
※Vista の OS ライセンス認証では、http ログ自体が出力されずパケットキャプチャにて UA を取得しました。
4
IS_TG_20111111
2-2.設定ファイルの編集
1.設定ファイルの確認
InterSafe の設定ファイルは下記の場所にあります。
Windows の場合
「<導入フォルダ>¥conf」
Linux、Solaris の場合 「<導入ディレクトリ>/conf」
設定ファイルを編集する場合は、メモ帳以外のエディタを使用することをお勧めします。
2.設定ファイルへの記述
■UserAgent の記述方法
前述の手順にて取得した UA を設定ファイルへと反映します。
"proxy.inf"の"AUTHORIZED_USER_AGENT="に追加します。既に他の UA も指定されていますので、ここに追記します。
追記する場合は、セパレータ文字列を先頭に付与して追記します。
例)
追加前
AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows
Installer,Microsoft-CryptoAPI,CATsecurity
ここに"SLSSoapClient"を追加します。
追加後
AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows
Installer,Microsoft-CryptoAPI,CATsecurity,SLSSoapClient
セパレータ文字列は以下のパラメータで指定できますが、これは、ほとんど変更する必要のない項目です。
AUA_SEPARATOR=,
■ホスト名の記述方法
"proxy.inf"の"AUTHORIZED_HOST="に追加します。既に他のホスト名も指定されていますので、ここに追記します。
追記する場合は、セパレータ文字列を先頭に付与して追記します。
例)
追加前
AUTHORIZED_HOST=www.update.microsoft.com
ここに”activation.sls.microsoft.com”を追加します。
追加後
AUTHORIZED_HOST=www.update.microsoft.com,activation.sls.microsoft.com
セパレータ文字列は以下のパラメータで指定できますが、これは、ほとんど変更する必要のない項目です。
AH_SEPARATOR=,
5
IS_TG_20111111
2-3.設定内容の確認
1.InterSafe の再起動
設定を行ったら InterSafe のフィルタリングサービスの再起動を行い、設定内容を反映します。
■ Windows の場合
Windows 版でフィルタリングサービスを起動 / 停止するには、Windows の [コントロールパネル] の [サービス] を使用します。
次の手順でフィルタリングサービスの起動と停止をします。
1.サービスの起動と停止を実行可能なユーザアカウントで Windows にログインします。
2. [スタート] ボタン→ [設定] → [コントロールパネル] → [管理ツール] の順に選択し、[サービス] をダブルクリックします。
3.「InterSafeProxyControl」(フィルタリングサービス)を右クリックして [操作] メニューの [開始] または [停止] を実行します。
※InterSafe のサービスには、3 つのサービスがあります。
・InterSafeAdminControl :管理サービス
・InterSafeWebService :拡張 Web サービス
・InterSafeProxyControl :フィルタリングサービス
■ Solaris/Linux の場合
Solaris 版と Linux 版の InterSafe のフィルタリングサービスを起動 / 停止する場合は、ターミナルで、次のコマンドを実行します。
注意: 起動と停止は root ユーザで実行してください。
フィルタリングサービスの再起動
起動:< インストールディレクトリ>/bin/amsproxy start
停止:< インストールディレクトリ>/bin/amsproxy stop
注意: 拡張 Web サービスの起動 / 停止に、<インストールディレクトリ>/tomcat/bin/startup.sh を実行しないでください。実行
してしまった場合には、<インストールディレクトリ>/tomcat/work 以下のディレクトリとファイルをすべて削除してください。
・Squid 版の場合、Squid を起動または再起動すると、自動的にリダイレクタプログラムが起動します。フィルタリングサービス
が停止し、Squid およびリダイレクタプログラムだけが起動している状態では、フィルタリングが正常に動作しません。
この場合、proxy.inf の [CONTROL_CFG] セクションにある「CONNECT_RETRY」の値により動作が異なります。「0」の場合は、
すべてのリクエストに対して規制メッセージを表示し、正の値の場合は、すべてのリクエストを許可します。
6
IS_TG_20111111
2.アクセスの実施
通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行い問題がないことを確認します。
2-4.その他の回避方法
1.Internet Explorer のプロキシ例外設定による回避
前述の手順で正常にアクセスできない場合には、プロキシ例外に該当のサイトを指定することで正常にアクセスが出来る場合があ
ります。Internet Explorer の場合、下記のように設定を行います。
1.
Internet Explorer のアイコンを右クリックしてプロパティを開きます。
2. 接続タブを開き、LAN の設定ボタンをクリックします。ローカルエリアネットワーク(LAN)の設定ダイアログが開くので詳細設
定ボタンを開きます。下記の画面が表示されるので該当の URL、ドメイン名を例外フィールドに記述します。
7
IS_TG_20111111
(参考情報) 確認済みUA及びホスト
1.UA 一覧
以下の表は、弊社サポートにて確認した UA の一覧になります。詳細が不明なものやプログラムのバージョンにより UA が異なる
場合もあります。設定の際の参考として頂ければ幸いです。
2011 年 11 月 11 日現在
InterSafe による
No.
1
User agent
プログラム・サービス名
備考
Acrobat
Acrobat 全般
Acrobat 全般
回避の可否
○
UA による認証除外の設定のみでは回避不
Adobe Flash Player イン
2
Solid Core
ストール
可。Ver6.5 より追加された「ホスト名登録
による認証除外設定」と UA による認証除外
×
設定を両方設定することで回避可能。ホス
ト名一覧の No.2 を参照。
3
4
Adobe
Adobe 全般
Adobe Update Manager 6
Acrobat9 アップデータ
Adobe Update Manager 5
Acrobat8 アップデータ
Gizmo(インターネット
Adobe 全般
○
Acrobat アップデータ使用時。
○
Gizmo(インターネット電話)
○
5
GIZMO
6
tenki.rx
Goo ツールバー
Goo ツールバー
○
7
goostkver.rx
Goo ツールバー
Goo ツールバー
○
8
CATsecurity
InterSafe CATS
InterSafe CATS
○
9
Java
Java プログラム
Java プログラム
○
10
Managed VirusScan
McAfee(アンチウィルス)
○
McAfee(アンチウィルス)
○
電話)
McAfee(アンチウィル
ス)
VirusScan ASaP
McAfee(アンチウィル
ConnectionCheck
ス)
12
dpupdchk
Microsoft IntelliPoint
Microsoft IntelliPoint
○
13
Microsoft
Microsoft 全般
Microsoft 全般
○
11
Office2007 の各アプリケーションの下記の
ような操作をすると認証 POPUP が表示され
る場合があること確認しております。
14
MicrosoftOffice
・テキストを選択した後、マウスを右クリ
ClipOrganizer
ックしてコンテキストメニューを表示した
VCSoapClient
MicrosoftOffice 全般
CLView
場合
○
・セキュリティ センターの設定を開いた場
合
・校閲を選択した場合
・クリップアートで Web コレクションを検
索する場合など。
15
NOD32 Update
NOD32(アンチウィルス)
NOD32(アンチウィルス)
○
16
Office Source Engine
Office Update
Office Update
○
8
IS_TG_20111111
17
Oracle Proxy Enabled SSL
Oracle Client
Oracle Client
○
Socket
18
Shockwave
Shockwave
ショックウェーブ、マルチメディアのデー
○
タを再生するためのプラグイン
Symantec(アンチウィル
19
RwAAAAA
可変した場合回
UA は可変するため、注意が必要。
ス)
避不可
Symantec(アンチウィル
20
SAAAAA
可変した場合回
UA は可変するため、注意が必要。
ス)
21
LiveUpdate
22
LegitCheck
避不可
Symantec ライブアップ
シマンテック(アンチウィルス)のアップデ
デート
ート用プログラム
Windows Genuine
○
正規 Windows 推奨プログラム
○
正規 Windows 推奨プログラム
○
Advantage
MS Clearing House Default
Windows Genuine
Agent
Advantage
24
Windows-Media-DRM
Windows Media Player
ウィンドウズメディアプレーヤ
○
25
Windows-Media-Player
Windows Media Player
ウィンドウズメディアプレーヤ
○
Windows Media
ウィンドウズメディアプレーヤ。ブラウザ
Player(NetShow クライ
からでなくメディアプレーヤ単体で起動し
アント)
たとき
23
26
27
NSPlayer
SLSSoapClient
Vista の OS ライセンス認
○
Vista の OS ライセンス認証
○
Windows Update
Windows アップデート
○
Windows
Windows アップデート、Windows98 と IE6
Update(Win98+IE6)
の組み合わせ
Windows
Windows アップデート、WindowsXP と IE6
Update(WinXP+IE6)
の組み合わせ
証
Windows-Update-Agent
Microsoft BITS
Microsoft WU Client
28
Windows Update
Microsoft-CryptoAPI
Windows Installer
MSDW
VCSoapClient
29
CryptRetriveObjectByUrl
○
30
Industry Update Control
31
Railupd
リアルプレイヤー
リアルプレイヤー
○
32
RealPlayer
リアルプレイヤー
リアルプレイヤー
○
33
e-Tax VersionUp Support
e-Tax
国税電子申告・納税システム(e-Tax)
○
9
○
IS_TG_20111111
Program
ユーザ独自のインターネット接続の Web カ
メラ用のプログラム。UA は「Streaming Sdk
1.0」、MJPEG モードのリクエストでは、UA
34
Streaming
特定のプログラム
が付加されない通信パターンが存在するの
○
で、全てのモードで通信を可能にするには
IP アドレス認証が必要になります。
ユーザ独自のプログラム
ActiveX コントロールがこの UA の GET を送
信する場合があるようです。特定のプログ
35
contype
特定のプログラム
ラムではない可能性があります。
○
参考
URL:http://support.microsoft.com/kb/41
6569/ja
特定のプログラム(あな
36
anatagoyomi
たごよみ)
デスクトップツール(ガジェット)
○
37
SendHTTP
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
38
Client
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
39
fclock
特定のプログラム
データセキュリティ製品、詳細は不明。
○
40
Tcpwsd
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
41
Vegas
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
42
Win32
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
43
ClipOrganizer
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
44
IPC_Update
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
45
jupdate
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
46
Lotus-Notes
Lotus-Notes
Notes ブラウザ
○
47
Windows Live Messenger
Windows Live Messenger
MS メッセンジャー
○
48
Windows MSN Messenger
Windows MSN Messenger
MS メッセンジャー
○
Mozilla/4.0 (Windows 2000
citibank(オンラインバ
○
ンク)
ナビゲーションバーが表示されない
5.0) Java/1.6.0_03
49
NTLM だけではなくユーザ認証に対応してい
ヤマト運輸送り状発行
50
iCATs SOAP
ソフト(B2)
ないとのメーカ回答(IP アドレス認証なら
×
可能)
ヤマト運輸送り状発行
51
i-CATs DownLoad
NTLM だけではなくユーザ認証に対応してい
ないとのメーカ回答(IP アドレス認証なら
ソフト(B2)
×
可能)
10
IS_TG_20111111
ThinkVantage System
52
-
特定の UA を持たないため回避ができない。
×
Update
53
-
iPass Connect CISCO
特定の UA を持たない。
×
54
-
google パック
特定の UA を持たない。
×
55
-
詳細不明。
×
56
-
詳細不明。
×
Mcafee Managed Total
Protection
Logitech Desktop
Messenger
特定の UA を持たない
57
-
JWNET
認証ポップアップに正しい ID、パスワード
×
を入力した場合は通る。
「Biz/Browser」の UA を持っているが、
58
-
IT-Truck
proxy.inf に登録しても回避が出来なかっ
不明
た。原因は不明。
59
-
iTERAN
特定の UA を持たないため回避ができない。
×
60
-
現場図書館 EX
特定の UA を持たない。
×
61
-
現場 Office
特定の UA を持たない。
×
62
urlgrabber/3.1.0
QuartusⅡ
開発ソフトウェア
○
63
its-moNavi PC
its-mo Navi
地図ソフトウエア
○
64
ZION
its-mo Navi
地図ソフトウエア
○
65
-
LeySer Services
詳細不明。
×
66
-
FedEX Ship Manager
UA 確認不可。
×
67
-
MATLAB
UA 確認不可。
×
68
Smc
ウイルス・セキュリティ対策ソフト
○
Symantec Endpoint
Protection
69
CHTTP
KASHU-USB メモリのセキ
USB 暗号化ソフトライセンス登録時の通信
ュリティ
時に認証失敗となるため UA 登録で回避。
○
ソフトアップデートの通信で認証失敗とな
70
-
弥生給与ソフト
る。UA 確認不可のため、ホスト名による認
×
証除外で回避。
11
IS_TG_20111111
2.ホスト名一覧
以下の表は、弊社サポートにて確認したホスト名の一覧になります。詳細が不明なものやプログラムのバージョンによりホスト
名が異なる場合もあります。設定の際の参考として頂ければ幸いです。
2011 年 11 月 11 日現在
No.
ホスト名
プログラム・サービス名
備考
InterSafe による
回避の可否
○
activation.sls.microsoft.
1
com
Office2010 のライセンス登録(アクティベ
Office2010
ーション)
※UA 一覧の
No.69 も必要。
get.adobe.com
2
platformdl.adobe.com
fpdownload.adobe.com
Adobe Flash Player
Adobe Flash Player インストール時の
○
リクエスト
12
IS_TG_20111111