自分用メモ

問題：https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2015h27_2/2015h27a_nw_pm1_qs.pdf

シングルサインオン（SSO）に関する問題

構成は以下

各サーバのドメインは以下

問題

設問1

ア：リバースプロキシ

SSOには以下２種類の設定方法がある．

①SSOを利用するサーバにエージェントをインストールし，SSOサーバにリダイレクトさせることで認証を行うエージェント方式

②サーバ接続にリバースプロキシを導入することで，リバースプロキシ内で認証を行うリバースプロキシ方式

イ：リダイレクト

SSOに①方式を用いたため，まずWebサーバにアクセス要求を行うと，エージェントはアクセスチケット（Cookie）を確認する．
この段階ではアクセスチケットが設定されていないため，SSOサーバへリダイレクトさせクライアントに認証処理を促している．

ウ：Set-Cookie

HTTPヘッダにおけるSet-Cookieヘッダには様々な属性が存在する．
そのうちの一つがDomain属性である．
Domain属性：Cookieの適用対象となるドメインを設定

ついでに，設問3の（1）の解説もここで記載．

今回，A社の全サーバへのアクセスにSSOでの一括認証機能を実装したいということなので，

各サーバへのアクセス全てにCookie情報を付与したい．

つまり，各サーバのドメインにおいて共通している部分である「a-sha.example.jp」をDomain属性に設定すればok．

以下がとてもわかりやすく参考とさせていただきました．
参考：https://qiita.com/mogulla3/items/189c99c87a0fc827520e

エ：内部DNS 

SSOサーバへのアクセス時，一旦LBにリクエストを集めたい．

つまり，SSOサーバへのドメインアクセス時（sso.a-sha.example.jp），VIPへと名前解決を行いたい．

従って，DNSサーバにおけるAレコードを変更すればいいとわかる．

オ：ループバック

LBにVIPアドレスを付与したが，SSOサーバ1，2についてもVIPをそのまま利用する．

ここでIPアドレスとは本来NICに1つ設定できるものであり，自由にIPを後から設定できる物ではない．

そこで物理NICではなく仮想NICであるループバックインタフェースにVIPを設定することで，LBから送信されたVIP宛ての転送リクエストパケットを受信することを可能としている．

設問2

⑥でのアクセスチケットはSSOにリダイレクト後，認証作業をした後に発行されたものである．従って⑤が答え．

設問3

（1）省略

（2）CookieにSecure属性をつける

CookieにはSecure属性というものが存在する．

Secure属性：HTTPSで通信している場合にのみCookieを送信する

この属性の設定により，上記サーバ以外による意図しないコネクションでのHTTP通信時におけるCookieの流出を避けることが可能．

設問4

（1）SYNパケットにはレイヤ7情報が含まれていないから

（2）GARP(Gratuitous ARP)

（3）VIPアドレスに対するARPリクエストに応答しないように設定する

VIPへのリクエストはLBに集まるべきである．従って，SSOサーバに設定したVIPがARPに反応してしまっては困るため上記のような設定を行う．

これにより，クライアント側からのリクエストは一旦LBに集約される．