業務サーバのアクセスログには、利用者からのアクセスの結果が記録されます。
また、セション管理を行っている場合は、各処理ごとにセションIDが記録されます。
記録される形式と内容は、以下のとおりです。
クライアント [日時] - "ユーザ識別情報" "アクセス対象" 処理結果(補足情報) SessionID="セションID" Server="IPアドレス" RequestID="WebサーバのリクエストID" |
アクセスを要求したクライアントのIPアドレスが、IPv4、またはIPv6形式で記録されます。
アクセスが行われた日時を“YYYY/MM/DD HH:MM:SS+0900”の形式で記録します。
アクセスを要求した利用者を識別する情報(dn、またはuid)を記録します。
利用者を識別できない場合には、“unknown”と記録されます。
アクセスの対象となったリソースを特定する情報です。
処理結果を以下の形式で記録します。
・利用者からアクセスを要求された場合
Authorization {succeeded|failed}.
アクセスに失敗した場合などの原因を記録します。
なお、本項目は必ず記録されるわけではありません。
セションIDを記録します。
セション管理を行っている場合だけ記録されます。セションIDが識別できない場合には、“unknown”と記録されます。
セッションを管理しているリポジトリサーバ(更新系)のホスト名、またはIPアドレスを記録します。
なお、本項目は必ず記録されるわけではありません。
WebサーバのリクエストID(Webサーバがリクエストに対して割り当てた識別子)を記録します。(注)
WebサーバのリクエストIDが識別できない場合には、“unknown”と記録されます。
注)リクエストIDをアクセスログに出力するためには、Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定が必要です。Interstage HTTP Serverの環境定義ファイルの設定については、“セキュリティシステム運用ガイド”の“セキュリティ監査証跡機能”-“アクセスログ”を参照してください。
セション管理を行っている場合
10.131.201.23 [2007/01/16 16:37:15 +0900] - "cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com" "/admin/index.html" Authorization failed. (Access denied.) SessionID="FYexnW4FfUDP/Fp47lfztK6FrCsYVkX13Kj2nIjNp9OjDHGONdVtVs" Server="10.131.201.41" RequestID="blQdLAqDyRcAAAbsAAQAAAAx" |
セション管理を行っていない場合
10.131.201.23 [2007/01/16 16:40:51 +0900] - "cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com" "/admin/index.html" Authorization failed. (Role check error.) RequestID="ezyYcAqDyRcAAAY0AAUAAAAx" |
◆処理結果がfailedの場合に出力される補足情報
[意味]
ユーザがアクセスに必要なロールを持っていないため、リソースを公開できません。
[ユーザの対処]
アクセスに必要なロールがユーザに割り当てられているか確認してください。割り当てられていない場合は、リソースにアクセスできません。
割り当てられている場合は、以下の対処を行ってください。
ユーザ、およびユーザがアクセスした保護パスに適切なロールが設定されているか確認し、必要に応じて、ユーザに適切なロールを設定してください。(注1)
アクセス制御情報の更新が行われていない可能性があります。Interstage管理コンソールを使用して、アクセス制御情報の更新を行ってください。(注2)
上記以外の場合、リポジトリサーバにシステムのログが出力されている可能性があります。出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
注1)ロールの設定については、“シングル・サインオン運用ガイド”の“運用・保守”-“認可に関する操作”-“ロール定義の変更、追加”を参照してください。
注2)アクセス制御情報の更新については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [アクセス制御情報の更新]タブの[更新]ボタンをクリックして行ってください。
[意味]
ブラウザにcookieを設定できませんでした。以下の原因が考えられます。
ブラウザがCookieを受け付けない設定になっています。
Interstage Portalworksと連携して運用する場合、ブラウザがCookieを受け付けない範囲のドメイン名を指定して業務システムを構築した可能性があります。
[ユーザの対処]
以下の対処を行ってください。
ブラウザがCookieを受け付けるよう設定を見直してください。
業務システム構築時に指定したドメイン名が2階層(.co.jpなど)の場合、ブラウザがCookieを受け付けない可能性があります。3階層以上(.fujitsu.co.jpなど)のドメイン名を指定して、業務サーバを再構築してください。
業務サーバの再構築については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム]画面の[一覧]タブにより業務サーバを削除してから、[業務サーバの追加]タブにより業務サーバを追加してください。
[意味]
ブラウザにcookieを設定できませんでした。以下の原因が考えられます。
ブラウザがCookieを受け付けない設定になっています。
[ユーザの対処]
以下の対処を行ってください。
ブラウザがCookieを受け付けるよう設定を見直してください。
[意味]
Interstage シングル・サインオンの業務サーバのサービスIDに誤りがあります。
[セション管理運用時の意味]
認証情報の復号に失敗しました。以下の原因が考えられます。
クライアントとInterstage シングル・サインオンの業務サーバの通信で異常が発生しました。
外部からの攻撃の可能性があります。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[セション管理運用時のユーザの対処]
以下の対処を行ってください。
通信経路に問題がある可能性があります。クライアントと認証サーバ間で正常に通信を行える環境であるか、ネットワーク管理者に問い合わせてください。
外部からの攻撃の可能性を調査してください。
[意味]
再認証の間隔に設定した時間が経過しています。
[ユーザの対処]
自動的に再認証が行われない場合は、認証操作を再度行ってください。
[意味]
認証の有効期限が切れた状態、または認証されていない状態で、HTTPリクエストヘッダのcontent-typeが「application/x-www-form-urlencoded」以外のPOSTメソッドの要求を受け付けました。
[ユーザの対処]
以下の対処を行ってください。
POSTメソッドを使用するコンテンツを作成する場合は、HTTPリクエストヘッダのcontent-typeが「application/x-www-form-urlencoded」となるように作成してください。
ブラウザを再起動し、再度サインオン操作をやり直してください。
[可変情報]
%s:保守情報
[意味]
Interstage シングル・サインオンの業務サーバで内部異常が発生しました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
要求されたURLパスは形式が不正です。以下の原因が考えられます。
長いファイル名から自動的に生成される8.3形式ファイル名をURLのパスに指定することはできません。
Windowsでは、以下の例のように長いファイル名から自動的に8.3形式ファイル名が生成されることがあります。
(例)ABCDEFGHIJ.TXT * ABCDEF~1.TXT
この場合のABCDEF~1.TXTのように、自動的に生成されたファイル名をURLのパスに指定することはできません。
URLのパスに指定するフォルダ名/ファイル名の最後に“.”(ピリオド)を付けることはできません。
[ユーザの対処]
以下の対処を行ってください。
自動的に生成されたファイル名ではなく、長いファイル名をパスに指定してください。
パスに含まれるフォルダ名/ファイル名の最後に“.”が付いている場合、“.”を削除してください。
[可変情報]
%s:IPアドレス
[意味]
以下の原因が考えられます。
サインオン時に利用者が認証サーバへアクセスした時のIPアドレス(%s)と、業務サーバへアクセスした時のIPアドレスが異なります。
Interstage Portalworksと連携して運用する場合、クラスタ環境の場合、またはプロキシサーバやIPCOMを利用している場合に、[クライアントのIPアドレスのチェック]が“チェックする”になっている可能性があります。
認証サーバ、または業務サーバをIPv4、およびIPv6通信の両方を有効にして運用する場合、[クライアントのIPアドレスのチェック]が“チェックする”になっている可能性があります。
外部からの攻撃の可能性があります。
[ユーザの対処]
以下の対処を行ってください。
ブラウザでのプロキシの設定により、認証サーバと業務サーバの一方にのみプロキシ経由でアクセスしている可能性があります。プロキシの設定を見直し、認証サーバと業務サーバに同じ経路でアクセスしているかを確認してください。また、業務サーバや認証サーバでロードバランサなどを利用している場合には、ロードバランサでIPアドレスが変換されることがあります。プロキシの設定を見直しても解決しない場合には、ロードバランサの設定を確認してください。
Interstage Portalworksと連携して運用する場合、クラスタ環境の場合、またはプロキシサーバやIPCOMを利用している場合は、[クライアントのIPアドレスのチェック]に“チェックしない”を設定してください。(注)
認証サーバ、または業務サーバをIPv4、およびIPv6通信の両方を有効にして運用する場合は、[クライアントのIPアドレスのチェック]に“チェックしない”を設定してください。(注)
外部からの攻撃の可能性について調査してください。
注)[クライアントのIPアドレスのチェック]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[クライアントのIPアドレスのチェック]を参照してください。
[可変情報]
%s:IPアドレス
[意味]
以下の原因が考えられます。
サインオン時に利用者が認証サーバへアクセスした時のIPアドレス(%s)と、業務サーバへアクセスした時のIPアドレスが異なります。
Interstage Portalworksと連携して運用する場合、クラスタ環境の場合、またはプロキシサーバやIPCOMを利用している場合に、[クライアントのIPアドレスのチェック]が“チェックする”になっている可能性があります。
認証サーバ、または業務サーバをIPv4、およびIPv6通信の両方を有効にして運用する場合、[クライアントのIPアドレスのチェック]が“チェックする”になっている可能性があります。
外部からの攻撃の可能性があります。
[ユーザの対処]
以下の対処を行ってください。
ブラウザでのプロキシの設定により、認証サーバと業務サーバの一方にのみプロキシ経由でアクセスしている可能性があります。プロキシの設定を見直し、認証サーバと業務サーバに同じ経路でアクセスしているかを確認してください。また、業務サーバや認証サーバでロードバランサなどを利用している場合には、ロードバランサでIPアドレスが変換されることがあります。プロキシの設定を見直しても解決しない場合には、ロードバランサの設定を確認してください。
Interstage Portalworksと連携して運用する場合、クラスタ環境の場合、またはプロキシサーバやIPCOMを利用している場合は、[クライアントのIPアドレスのチェック]に“チェックしない”を設定してください。(注)
認証サーバ、または業務サーバをIPv4、およびIPv6通信の両方を有効にして運用する場合は、[クライアントのIPアドレスのチェック]に“チェックしない”を設定してください。(注)
外部からの攻撃の可能性について調査してください。
注)[クライアントのIPアドレスのチェック]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[クライアントのIPアドレスのチェック]を参照してください。
[意味]
ユーザがアクセスに必要なロールを持っていないため、リソースを公開できません。
[ユーザの対処]
アクセスに必要なロールがユーザに割り当てられているか確認してください。割り当てられていない場合は、リソースにアクセスできません。
割り当てられている場合は、以下の対処を行ってください。
ユーザ、およびユーザがアクセスした保護パスに適切なロールが設定されているか確認し、必要に応じて、ユーザに適切なロールを設定してください。(注1)
アクセス制御情報の更新が行われていない可能性があります。Interstage管理コンソールを使用して、アクセス制御情報の更新を行ってください。(注2)
上記以外の場合、リポジトリサーバにシステムのログが出力されている可能性があります。出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
注1)ロールの設定については、“シングル・サインオン運用ガイド”の“運用・保守”-“認可に関する操作”-“ロール定義の変更、追加”を参照してください。
注2)アクセス制御情報の更新については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [アクセス制御情報の更新]タブの[更新]ボタンをクリックして行ってください。
[可変情報]
%s:保守情報
[意味]
Interstage シングル・サインオンの業務サーバで内部異常が発生しました。
[ユーザの対処]
システムのログが出力されている場合には、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
システムのログが出力されていない場合には、業務サーバを運用するWebサーバの定義ファイル、または定義情報と、iscollectinfoコマンドを使用して調査情報を速やかに採取した後、技術員に連絡してください。
[意味]
セション情報が見つかりません。
[ユーザの対処]
再度、サインオン操作をやり直してください。
[意味]
アイドル監視でタイムアウトが発生しました。
[ユーザの対処]
再度、サインオン操作をやり直してください。
[意味]
リソースへアクセスするための認証情報がありません。
[ユーザの対処]
ブラウザを再起動し、業務サーバへアクセスして、認証を再度行ってください。
[意味]
不正な要求を受信しました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
◆処理結果がsucceededの場合に出力される補足情報
It does redirect to the approval because credential isn't attached to cookie, URL.
Not authenticated. Make the request to the authentication server.
[意味]
認可が終了しました。アクセスを許可します。
[意味]
認証されていない、もしくはブラウザから認証情報が通知されませんでした。
認証サーバに認証を依頼します。
[ユーザの対処]
サインオン操作を行ってください。
[意味]
認証されていない、もしくはブラウザから認証情報が通知されませんでした。
認証サーバに認証を依頼します。
[ユーザの対処]
サインオン操作を行ってください。
[意味]
認証の有効期限が切れた、または認証されていない状態でPOSTリクエストを受信しました。
認証サーバに認証を依頼します。
[ユーザの対処]
サインオン操作を行ってください
