GUARDIANWALL、WEBGUARDIAN における LDAP サーバーとの連携機能では、
冗長化のために LDAP サーバーを複数台指定することができますが、
この冗長化構成において LDAP 認証アカウントによる管理画面へのログインが正しく機能しない問題が確認されました。
LDAP サーバーを複数台指定して運用を行っているお客様につきましては、
大変お手数ではございますが、以下をご参照の上ご対応いただきますようお願いいたします。
1 対象製品とバージョン
本注意事項は、以下の製品・バージョンを対象としております。
製品名 |
バージョン |
GUARDIANWALL |
7.0.00~7.4.00 (Linux版) |
WEBGUARDIAN |
3.1.00~3.6.00 (Linux版) |
2 内容
GUARDIANWALL および WEBGUARDIAN では、情報管理者、部門情報管理者、システム管理者のアカウントを
「LDAP 認証アカウント」として登録することで、
そのアカウントが管理画面にログインする際に LDAP サーバーで認証を行うことが可能です。
また、管理画面の [共通] - [管理サーバー管理] - [基本設定] - [管理サーバーパラメータ] の [LDAPサーバー]
で複数台の LDAP サーバーを指定することで、LDAP サーバーのいずれか一つが利用不可能となっても、
他の LDAP サーバーを利用できるようにする冗長化構成を取ることができます。
しかしながら、複数台設定している LDAP サーバーのうち末尾に登録されている (最も優先度の低い)
LDAP サーバーが利用できなくなった場合、他の LDAP サーバーが利用可能であっても、
LDAP 認証アカウントによる管理画面へのログインができない問題が発生します。
本問題による影響としまして、LDAP 認証を使用したログインができないため、
該当する管理者はメール閲覧や保留メール処理等の管理画面操作を行えなくなります。
【例:LDAPサーバーが以下のように 3 台設定されている場合】
192.168.1.10 192.168.1.20 192.168.1.30
上記例の場合、末尾の 192.168.1.30 が利用可能である場合は、
正常に 192.168.1.10、192.168.1.20、192.168.1.30 の順に利用可能な LDAP サーバーを使用します。
しかし、192.168.1.30 が利用不可能になると、
192.168.1.10 または 192.168.1.20 が利用可能であってもログインができない事象が発生します。
なお、上記 LDAP 認証アカウントによる管理画面へのログイン以外では、
GUARDIANWALL、WEBGUARDIAN の LDAP サーバー連携機能について本問題は該当いたしません。
3 回避策
当該設定値の末尾に指定されている LDAP サーバーで障害が発生した場合には、
問題の LDAP サーバーを設定から一時的に削除していただくか、
設定値の末尾とならないように順序を変更していただくことで、本不具合を回避できます。
お客様にご不便をお掛けしまして大変申し訳ございませんが、LDAP サーバーに障害が発生した際には、
手動にて GUARDIANWALL / WEBGUARDIAN の設定変更をお願いいたします。
恒久的な対策としまして、以下より GUARDIANWALL V7.4、WEBGUARDIAN V3.6 向けの修正パッチの適用をお願いいたします。
【GUARDIAN】アップデートモジュール 20120920
[更新履歴]
2012年10月17日 「3 回避策」に本問題に対応する修正パッチ情報を追記しました。