NTLM 認証の設定
最も信頼性の高いメカニズムである Kerberos 認証の使用が推奨されます。NTLM 認証を使用している場合、ネットワークトラフィックを傍受することによって攻撃者がユーザーパスワードにアクセスできてしまいます。
Microsoft Update のリリース後(詳しくはADV190023「LDAP チャネルバインディングと LDAP 署名を有効にするためのマイクロソフトガイダンス」を参照)は、Kaspersky Web Traffic Security で NTLM ユーザー認証が動作しなくなります。
プロキシサーバー上での NTLM 認証を設定するには:
- 製品の Web インターフェイスで、[設定]-[ビルトインプロキシサーバー]-[認証]セクションを選択します。
- [NTLM]の[セットアップ]をクリックします。
[NTLM 認証の設定]ウィンドウが表示されます。
- 切り替えスイッチを[有効]にします。
- [ドメイン名]に、認証を設定するドメイン名を入力します。
ドメインコントローラーの検索には、SRV レコードが使用されます。
DNS サーバーでドメインコントローラーを適切に検索するには、指定したドメインの SRV レコードが作成されている必要があります。通常の場合、これらのレコードは Active Directory の導入時に自動的に作成されます。ただし、必要に応じて手動で追加することもできます。
以下のコマンドを使用することで、SRV レコードを使用できるかどうかと各フィールドの情報を検証できます:
ドメインコントローラーの検索は、以下のプロセスで実行されます:
- 「
_ldap._tcp.<指定したドメイン名>
」の一致対象として検出された SRV レコードのリストを本製品が取得します。 - すべてのレコードは「
priority
」フィールドの値に従って、優先度が高いものから低いものの順にグループ分けされます。それぞれのグループ内で、SRV レコードは「weight
」フィールドの値に従って並べ替えられます。DNS サーバー上で SRV レコードのフィールドの値(「priority」と「weight」)を変更することで、ドメインコントローラーへの接続順序を指定できます。
- 接続を正常に確立できるまで、本製品はリストの上から順に接続の確立を試行します。
- リスト内のいずれのサーバーとも接続を確立できなかった場合、同じプロセスがもう一度試行されます。
- 指定した設定でのドメインコントローラーへの接続をテストする場合、[接続をテストする]をクリックします。
ボタンの右側にテスト結果が表示されます。
- [保存]をクリックします。
プロキシサーバーが再起動されます。再起動が完了するまで、トラフィック処理は一時停止します。
NTLM 認証が設定されます。プロキシサーバーは、認証プロセスを完了したユーザーからの要求のみを処理します。
ページのトップに戻る