NTLM 認証の設定

最も信頼性の高いメカニズムである Kerberos 認証の使用が推奨されます。NTLM 認証を使用している場合、ネットワークトラフィックを傍受することによって攻撃者がユーザーパスワードにアクセスできてしまいます。

Microsoft Update のリリース後（詳しくはADV190023「LDAP チャネルバインディングと LDAP 署名を有効にするためのマイクロソフトガイダンス」を参照）は、Kaspersky Web Traffic Security で NTLM ユーザー認証が動作しなくなります。

プロキシサーバー上での NTLM 認証を設定するには：

1. 製品の Web インターフェイスで、［設定］-［ビルトインプロキシサーバー］-［認証］セクションを選択します。
2. ［NTLM］の［セットアップ］をクリックします。

   ［NTLM 認証の設定］ウィンドウが表示されます。

3. 切り替えスイッチを［有効］にします。
4. ［ドメイン名］に、認証を設定するドメイン名を入力します。

   ドメインコントローラーの検索には、SRV レコードが使用されます。

   DNS サーバーでドメインコントローラーを適切に検索するには、指定したドメインの SRV レコードが作成されている必要があります。通常の場合、これらのレコードは Active Directory の導入時に自動的に作成されます。ただし、必要に応じて手動で追加することもできます。

   特定のサービスのサーバーの位置（ホスト名とポート番号）を識別するために DNS で定義される情報。

   以下のコマンドを使用することで、SRV レコードを使用できるかどうかと各フィールドの情報を検証できます：

   • Linux オペレーティングシステムでは、次のいずれかのコマンドを使用できます：
     • host -t srv _ldap._tcp.<指定したドメイン名>
     • dig _ldap._tcp.<指定したドメイン名> srv
     • nslookup -type=srv _ldap._tcp.<指定したドメイン名>

     最初に、指定した DNS ゾーンを担当する DNS サーバーを使用するための DNS クライアントを設定する必要があります。

   • Windows オペレーティングシステムでは、次のコマンドを使用できます：

     nslookup –type=srv _ldap._tcp.<指定したドメイン名>

   ドメインコントローラーの検索は、以下のプロセスで実行されます：

   1. 「_ldap._tcp.<指定したドメイン名>」の一致対象として検出された SRV レコードのリストを本製品が取得します。
   2. すべてのレコードは「priority」フィールドの値に従って、優先度が高いものから低いものの順にグループ分けされます。それぞれのグループ内で、SRV レコードは「weight」フィールドの値に従って並べ替えられます。

      DNS サーバー上で SRV レコードのフィールドの値（「priority」と「weight」）を変更することで、ドメインコントローラーへの接続順序を指定できます。

   3. 接続を正常に確立できるまで、本製品はリストの上から順に接続の確立を試行します。

   4. リスト内のいずれのサーバーとも接続を確立できなかった場合、同じプロセスがもう一度試行されます。
5. 指定した設定でのドメインコントローラーへの接続をテストする場合、［接続をテストする］をクリックします。

   ボタンの右側にテスト結果が表示されます。

6. ［保存］をクリックします。

   プロキシサーバーが再起動されます。再起動が完了するまで、トラフィック処理は一時停止します。

NTLM 認証が設定されます。プロキシサーバーは、認証プロセスを完了したユーザーからの要求のみを処理します。

ページのトップに戻る