2-5.

URL フィルタリングソフト
Technical Guide
テクニカル&トラブルシュートガイド
LDAP 連携を行った認証について
目次
1. はじめに
3
2. LDAP認証時に必要リクエストを通過させる
3
3
2-1. ユーザエージェントの確認
1.事前設定
3
2.アクセスの実施
4
3.パケットキャプチャの取得
4
2-2. 設定ファイルの編集
5
1.設定ファイルの確認
5
2.設定ファイルへの記述
5
2-3. 設定内容の確認
5
1.InterSafeの再起動
5
2.アクセスの実施
6
2-4. その他の回避方法
7
1.Internet Explorerのプロキシ例外設定による回避
2-5. ユーザエージェントについて
7
8
1.ユーザエージェント一覧
8
2
IS_TG_20110331
1.はじめに
本書では、InterSafe に関する各種の設定と、設定を行うための調査手順と方法について説明しています。
2.LDAP認証時に必要リクエストを通過させる
LDAP 認証(※Active Directory と LDAP 連携を行った認証方式)を行っている場合に Windows Update など必要なリクエストが正常
に行えない場合があります。
この場合、以下の手順にて UserAgent(以下 UA)の特定を行い、"proxy.inf"の"AUTHORIZED_USER_AGENT="にそれを指定することで
回避が可能となります。
本書では、その調査手順と設定方法について説明します。
2-1.ユーザエージェントの確認
1.事前設定
InterSafe 管理画面 > システム管理 > ログ設定 にて「出力項目」の 「ブラウザバージョン」にチェックが入っていることを確認
します。インストール直後は「ブラウザバージョン」にチェックは入っていませんのでご注意ください。
※TEXT ファイル以外のアクセス時に独自の UA を持っている場合があります。UA の確認を行う前に、ログ設定画面の「出力形式」
を「全てにファイルを出力する」に変更します。過去の例では、TEXT で出力されなかった UA に、Flash Player がありました。
3
IS_TG_20110331
2.アクセスの実施
通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行います。
アクセス後、InterSafe_http.log のログに UA が出力されているか確認します。
ログファイルは下記の場所にあります。
Windows の場合
Linux、Solaris の場合
「<導入フォルダ>¥logs 」
「<導入ディレクトリ>/logs 」
例)
・通常のブラウザの UA(IE7 の場合)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR2.0.50727)
http ログは下記のフォーマットにて出力されます。
年月日,時刻,”プロトコル”,"リクエスト元 IP","グループ名",”アカウント名”,"ブラウザバージョン",“転送状態”,”WWW サーバ
IP”,応答コード,”WWW サーバ名”,転送時間,転送データサイズ,“ファイルタイプ”,”カテゴリ名”,”リクエスト URL”,”HTTP
バージョン”,”リクエストメソッド”
UA は"ブラウザバージョン"に表示されます。
3.パケットキャプチャの取得
上記での方法で取得できない場合は、パケットキャプチャを取得して UA の確認を行います。
パケットキャプチャソフトの詳細情報窓の「Hypertext transfer protocol」の「User-Agent:」に表示されている内容を確認します。
下図では WireShark の 1.0.1 の画面を示しています。この例では、68 フレーム目のパケットに POST リクエストがあり、User-Agent
に SLSSoapClient が確認できます。SLSSoapClient は Vista の OS ライセンス認証時に使用される UA です。
※Vista の OS ライセンス認証では、http ログ自体が出力されずパケットキャプチャにて UA を取得しました。
4
IS_TG_20110331
2-2.設定ファイルの編集
1.設定ファイルの確認
InterSafe の設定ファイルは下記の場所にあります。
Windows の場合
「<導入フォルダ>¥conf」
Linux、Solaris の場合 「<導入ディレクトリ>/conf」
設定ファイルを編集する場合は、メモ帳以外のエディタを使用することをお勧めします。
2.設定ファイルへの記述
前述の手順にて取得した UA を設定ファイルへと反映します。
"proxy.inf"の"AUTHORIZED_USER_AGENT="に追加します。既に他の UA も指定されていますので、ここに追記します。
追記する場合は、セパレータ文字列を先頭に付与して追記します。
例)
追加前
AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows
Installer,Microsoft-CryptoAPI,CATsecurity
ここに"SLSSoapClient"を追加します。
追加後
AUTHORIZED_USER_AGENT=Windows-Update-Agent,Microsoft BITS,EndPointModule,Windows
Installer,Microsoft-CryptoAPI,CATsecurity,SLSSoapClient
セパレータ文字列は以下のパラメータで指定できますが、これは、ほとんど変更する必要のない項目です。
AUA_SEPARATOR=,
2-3.設定内容の確認
1.InterSafeの再起動
設定を行ったら InterSafe の全サービスの再起動を行い、設定内容を反映します。
■
Windows の場合
Windows 版でサービスを起動 / 停止するには、Windows の [コントロールパネル] の [サービス] を使用します。次の手順でサー
ビスの起動と停止をします。
1. サービスの起動と停止を実行可能なユーザアカウントで Windows にログインします。
2. [スタート] ボタン→ [設定] → [コントロールパネル] → [管理ツール] の順に選択し、[サービス] をダブルクリックします。
3. 停止または開始したいサービスを選択して [操作] メニューの [開始] または [停止] を実行します。
5
IS_TG_20110331
InterSafe のサービスには、3 つのサービスがあります。
・InterSafeAdminControl :管理サービス
・InterSafeWebService :拡張 Web サービス
・InterSafeProxyControl :フィルタリングサービス
■
Solaris/Linux の場合
Solaris 版と Linux 版の InterSafe のサービスを起動 / 停止する場合は、対象とするサービスごとにターミナルで、次のコマンドを
実行します。
注意: 起動と停止は root ユーザで実行してください。
・管理サービス
起動:< インストールディレクトリ>/bin/amsadmin start
停止:< インストールディレクトリ>/bin/amsadmin stop
・拡張 Web サービス
起動:< インストールディレクトリ>/bin/amsweb start
停止:< インストールディレクトリ>/bin/amsweb stop
・フィルタリングサービス
起動:< インストールディレクトリ>/bin/amsproxy start
停止:< インストールディレクトリ>/bin/amsproxy stop
注意: 拡張 Web サービスの起動 / 停止に、<インストールディレクトリ>/tomcat/bin/startup.sh を実行しないでください。実行
してしまった場合には、<インストールディレクトリ>/tomcat/work 以下のディレクトリとファイルをすべて削除してください。
・Squid 版の場合、Squid を起動または再起動すると、自動的にリダイレクタプログラムが起動します。フィルタリングサービス
が停止し、Squid およびリダイレクタプログラムだけが起動している状態では、フィルタリングが正常に動作しません。
この場合、proxy.inf の [CONTROL_CFG] セクションにある「CONNECT_RETRY」の値により動作が異なります。「0」の場合は、
すべてのリクエストに対して規制メッセージを表示し、正の値の場合は、すべてのリクエストを許可します。
2.アクセスの実施
通信できないサイト、ツールにて、InterSafe 経由でのアクセスを行い問題がないことを確認します。
6
IS_TG_20110331
2-4.その他の回避方法
1.Internet Explorerのプロキシ例外設定による回避
前述の手順で正常にアクセスできない場合には、プロキシ例外に該当のサイトを指定することで正常にアクセスが出来る場合があ
ります。Internet Explorer の場合、下記のように設定を行います。
1.
Internet Explorer のアイコンを右クリックしてプロパティを開きます。
2. 接続タブを開き、LAN の設定ボタンをクリックします。ローカルエリアネットワーク(LAN)の設定ダイアログが開くので詳細設
定ボタンを開きます。下記の画面が表示されるので該当の URL、ドメイン名を例外フィールドに記述します。
7
IS_TG_20110331
2-5.ユーザエージェントについて
1.ユーザエージェント一覧
以下の表は、弊社サポートにて確認したユーザエージェントの一覧になります。詳細が不明なものやプログラムのバージョンに
よりユーザエージェントが異なる場合もあります。設定の際の参考として頂ければ幸いです。
2010 年 9 月 16 日現在
InterSafe による
No.
User agent
プログラム・サービス名
備考
回避の可否
1
Acrobat
Acrobat 全般
Adobe Flash Player
Adobe Flash Player イン
Downloader
ストール
Adobe
Adobe 全般
Adobe Update Manager 6
Acrobat9 アップデータ
Adobe Update Manager 5
Acrobat8 アップデータ
2
3
4
Acrobat 全般
○
Adobe Flash Player インストール
○
Adobe 全般
○
Acrobat アップデータ使用時。
○
Gizmo(インターネット電話)
○
Gizmo(インターネット
5
GIZMO
電話)
6
tenki.rx
Goo ツールバー
Goo ツールバー
○
7
goostkver.rx
Goo ツールバー
Goo ツールバー
○
8
CATsecurity
InterSafe CATS
InterSafe CATS
○
9
Java
Java プログラム
Java プログラム
○
10
Managed VirusScan
McAfee(アンチウィルス)
○
McAfee(アンチウィルス)
○
McAfee(アンチウィル
ス)
VirusScan ASaP
McAfee(アンチウィル
ConnectionCheck
ス)
12
dpupdchk
Microsoft IntelliPoint
Microsoft IntelliPoint
○
13
Microsoft
Microsoft 全般
Microsoft 全般
○
11
Office2007 の各アプリケーションの下記の
ような操作をすると認証 POPUP が表示され
る場合があること確認しております。
・テキストを選択した後、マウスを右クリ
MicrosoftOffice
ックしてコンテキストメニューを表示した
ClipOrganizer
場合
14
VCSoapClient
MicrosoftOffice 全般
○
・セキュリティ センターの設定を開いた場
CLView
合
・校閲を選択した場合
・クリップアートで Web コレクションを検
索する場合
など。
15
NOD32 Update
NOD32(アンチウィルス)
NOD32(アンチウィルス)
○
16
Office Source Engine
Office Update
Office Update
○
Oracle Client
Oracle Client
○
Oracle Proxy Enabled SSL
17
Socket
8
IS_TG_20110331
ショックウェーブ、マルチメディアのデー
18
Shockwave
Shockwave
○
タを再生するためのプラグイン
Symantec(アンチウィル
19
RwAAAAA
可変した場合回
UA は可変するため、注意が必要。
ス)
避不可
Symantec(アンチウィル
20
SAAAAA
可変した場合回
UA は可変するため、注意が必要。
ス)
21
避不可
Symantec ライブアップ
シマンテック(アンチウィルス)のアップデ
デート
ート用プログラム
LiveUpdate
○
Windows Genuine
22
LegitCheck
正規 Windows 推奨プログラム
○
正規 Windows 推奨プログラム
○
Advantage
MS Clearing House Default
Windows Genuine
Agent
Advantage
24
Windows-Media-DRM
Windows Media Player
ウィンドウズメディアプレーヤ
○
25
Windows-Media-Player
Windows Media Player
ウィンドウズメディアプレーヤ
○
Windows Media
ウィンドウズメディアプレーヤ。ブラウザ
Player(NetShow クライ
からでなくメディアプレーヤ単体で起動し
アント)
たとき
23
26
NSPlayer
○
Vista の OS ライセンス認
27
SLSSoapClient
Vista の OS ライセンス認証
○
Windows Update
Windows アップデート
○
Windows
Windows アップデート、Windows98 と IE6
Update(Win98+IE6)
の組み合わせ
Windows
Windows アップデート、WindowsXP と IE6
Update(WinXP+IE6)
の組み合わせ
証
Windows-Update-Agent
Microsoft BITS
Microsoft WU Client
Windows Update
28
Microsoft-CryptoAPI
Windows Installer
MSDW
VCSoapClient
29
30
CryptRetriveObjectByUrl
○
Industry Update Control
○
31
Railupd
リアルプレイヤー
リアルプレイヤー
○
32
RealPlayer
リアルプレイヤー
リアルプレイヤー
○
e-Tax
国税電子申告・納税システム(e-Tax)
○
特定のプログラム
ユーザ独自のインターネット接続の Web カ
○
e-Tax VersionUp Support
33
Program
34
Streaming
9
IS_TG_20110331
メラ用のプログラム。UA は「Streaming Sdk
1.0」、MJPEG モードのリクエストでは、UA
が付加されない通信パターンが存在するの
で、全てのモードで通信を可能にするには
IP アドレス認証が必要になります。
ユーザ独自のプログラム
ActiveX コントロールがこの UA の GET を送
信する場合があるようです。特定のプログ
35
contype
特定のプログラム
ラムではない可能性があります。
○
参考
URL:http://support.microsoft.com/kb/41
6569/ja
特定のプログラム(あな
36
anatagoyomi
たごよみ)
デスクトップツール(ガジェット)
○
37
SendHTTP
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
38
Client
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
39
fclock
特定のプログラム
データセキュリティ製品、詳細は不明。
○
40
Tcpwsd
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
41
Vegas
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
42
Win32
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
43
ClipOrganizer
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
44
IPC_Update
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
45
jupdate
特定のプログラム
ユーザ独自のプログラム、詳細は不明。
○
46
Lotus-Notes
Lotus-Notes
Notes ブラウザ
○
47
Windows Live Messenger
Windows Live Messenger
MS メッセンジャー
○
48
Windows MSN Messenger
Windows MSN Messenger
MS メッセンジャー
○
Mozilla/4.0 (Windows 2000
citibank(オンラインバ
ナビゲーションバーが表示されない
○
5.0) Java/1.6.0_03
ンク)
49
NTLM だけではなくユーザ認証に対応してい
ヤマト運輸送り状発行
50
iCATs SOAP
ないとのメーカ回答(IP アドレス認証なら
×
ソフト(B2)
可能)
NTLM だけではなくユーザ認証に対応してい
ヤマト運輸送り状発行
51
i-CATs DownLoad
ないとのメーカ回答(IP アドレス認証なら
×
ソフト(B2)
可能)
ThinkVantage System
52
-
特定の UA を持たないため回避ができない。
×
Update
10
IS_TG_20110331
53
-
iPass Connect CISCO
特定の UA を持たない。
×
54
-
google パック
特定の UA を持たない。
×
55
-
詳細不明。
×
詳細不明。
×
Mcafee Managed Total
Protection
Logitech Desktop
56
Messenger
特定の UA を持たない
57
-
JWNET
認証ポップアップに正しい ID、パスワード
×
を入力した場合は通る。
「Biz/Browser」の UA を持っているが、
58
-
IT-Truck
proxy.inf に登録しても回避が出来なかっ
不明
た。原因は不明。
59
-
iTERAN
特定の UA を持たないため回避ができない。
×
60
-
現場図書館 EX
特定の UA を持たない。
×
61
-
現場 Office
特定の UA を持たない。
×
62
urlgrabber/3.1.0
QuartusⅡ
開発ソフトウェア
○
63
its-moNavi PC
its-mo Navi
地図ソフトウエア
○
64
ZION
its-mo Navi
地図ソフトウエア
○
65
-
LeySer Services
詳細不明。
×
66
-
FedEX Ship Manager
UA 確認不可。
×
67
-
MATLAB
UA 確認不可。
×
68
Smc
ウイルス・セキュリティ対策ソフト
○
Symantec Endpoint
Protection
11
IS_TG_20110331