2.11. i-FILTER Proxy版(Linux版)の設定¶
i-FILTERのインストールは終了しているものとします。
注釈
- SSL可視化ゾーン(ここではi-FILTER Proxy版)では、HTTPトラフィックは暗号化されておりませんので、第三者からのアクセスを避ける必要があります。そこで、SSLOでは、Auto Manage Addresses(RFC2544に定められているインターナル用アドレス、198.19.x.y/19)をセキュリティ機器に利用頂くことを推奨しております。
- 上記推奨設定を採用できる場合、i-FILTER用のサーバ構築時にこのアドレス帯を割り当てて下さい。
2.11.1. SSLO連携の設定¶
conf/ifilter.confに以下のパラメータを追加します。
proxy_header_rewrite_protocol_enable = on
2.11.2. ユーザ認証の設定¶
システム/ユーザ認証/基本設定 を選択します。
基本設定 の ユーザ認証方式 において SNOOP認証 を選択します。
ICAP認証設定 の SNOOP認証ユーザ参照 において、有効にする をチェックします。
右上の 保存 ボタンを押します。
次に、システム/ユーザ認証/LDAPサーバ設定 を選択します。本ガイドでは認証ユーザ情報をADサーバから取り込むため、以下のように設定し、保存 ボタンを押します。
項目 設定例 アドレス:ポート番号 ご利用のAD情報を登録 BIND BIND有効 BIND DN ご利用の管理者BIND DN情報を登録 | 設定例:cn=Administrator,cn=Users,dc=f5jplab,dc=local BINDパスワード ご利用のドメイン管理者のパスワードを登録 Search Base ご利用のドメイン情報を登録 | 設定例:dc=f5jplab,dc=local Search Filter (sAMAccountName=%1)
2.11.3. グループポリシーの作成、ユーザ情報の取り込み¶
グループ/基本モード/モード設定 において、追加 ボタンを押します。
グループ名 を分かりやすいグループ名に変更します。
ユーザ タブにおいて、追加 ボタンをクリックします。
認証ユーザ参照 を選択します。
検索しやすい検索条件を設定し、ADから取り込みたい ユーザ名 を追加します。
Webサービス タブを選択し、制御したいサービスを選択し、ユーザに利用不許可とする機能に対し、ブロック を選択します。(注:下記イメージはあくまでも一例です。)
個別リスト タブを選択し、個別ブロックしたいURL/URIを追加し、右上の 保存 ボタンを押します。(注:下記イメージはあくまでも検証目的で設定した内容です。)
2.11.4. ヘッダーコントローラの設定¶
iRuleで挿入したX-Forwarded-For(クライアントIPアドレス)をi-FILTERログに出力するための設定を行います。
/システム/ヘッダーコントローラ を選択します。
以下のように、設定します。
2.11.5. ブロック画面のタイトル画像連携設定¶
システム/システムパラメーター/動作設定 において、仮想ホスト名設定 の コンテンツ転送 の値を、で設定したSSLOのInterception RuleのDestination AddressのIPアドレスに変更します。
HTTPS接続の場合、SSLOを通すとブロック画面のタイトル画像が表示されません。回避方法例は1.13で説明します。
ここでは、簡易的にブロック画面中にタイトル画像を表示せず、システム/デフォルト画面/ブロック画面 において、タイトル画像を 表示しない を選択し、保存 ボタンを押します。必要に応じて、メッセージも変更します。
注釈
- 必要に応じて、Connection: keep-aliveを有効にしてください。
- i-FILTER製品の詳細に関しては、メーカーにお問い合わせください。