平成27年度ネットワークスペシャリスト試験 午後Ⅰ(問1)
自分用メモ
問題:https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2015h27_2/2015h27a_nw_pm1_qs.pdf
シングルサインオン(SSO)に関する問題
構成は以下
各サーバのドメインは以下
問題
設問1
ア:リバースプロキシ
SSOには以下2種類の設定方法がある.
①SSOを利用するサーバにエージェントをインストールし,SSOサーバにリダイレクトさせることで認証を行うエージェント方式
②サーバ接続にリバースプロキシを導入することで,リバースプロキシ内で認証を行うリバースプロキシ方式
イ:リダイレクト
SSOに①方式を用いたため,まずWebサーバにアクセス要求を行うと,エージェントはアクセスチケット(Cookie)を確認する.
この段階ではアクセスチケットが設定されていないため,SSOサーバへリダイレクトさせクライアントに認証処理を促している.
ウ:Set-Cookie
HTTPヘッダにおけるSet-Cookieヘッダには様々な属性が存在する.
そのうちの一つがDomain属性である.
Domain属性:Cookieの適用対象となるドメインを設定
ついでに,設問3の(1)の解説もここで記載.
今回,A社の全サーバへのアクセスにSSOでの一括認証機能を実装したいということなので,
各サーバへのアクセス全てにCookie情報を付与したい.
つまり,各サーバのドメインにおいて共通している部分である「a-sha.example.jp」をDomain属性に設定すればok.
以下がとてもわかりやすく参考とさせていただきました.
参考:https://qiita.com/mogulla3/items/189c99c87a0fc827520e
エ:内部DNS
SSOサーバへのアクセス時,一旦LBにリクエストを集めたい.
つまり,SSOサーバへのドメインアクセス時(sso.a-sha.example.jp),VIPへと名前解決を行いたい.
従って,DNSサーバにおけるAレコードを変更すればいいとわかる.
オ:ループバック
LBにVIPアドレスを付与したが,SSOサーバ1,2についてもVIPをそのまま利用する.
ここでIPアドレスとは本来NICに1つ設定できるものであり,自由にIPを後から設定できる物ではない.
そこで物理NICではなく仮想NICであるループバックインタフェースにVIPを設定することで,LBから送信されたVIP宛ての転送リクエストパケットを受信することを可能としている.
設問2
⑥でのアクセスチケットはSSOにリダイレクト後,認証作業をした後に発行されたものである.従って⑤が答え.
設問3
(1)省略
(2)CookieにSecure属性をつける
CookieにはSecure属性というものが存在する.
Secure属性:HTTPSで通信している場合にのみCookieを送信する
この属性の設定により,上記サーバ以外による意図しないコネクションでのHTTP通信時におけるCookieの流出を避けることが可能.
設問4
(1)SYNパケットにはレイヤ7情報が含まれていないから
(2)GARP(Gratuitous ARP)
(3)VIPアドレスに対するARPリクエストに応答しないように設定する
VIPへのリクエストはLBに集まるべきである.従って,SSOサーバに設定したVIPがARPに反応してしまっては困るため上記のような設定を行う.
これにより,クライアント側からのリクエストは一旦LBに集約される.