ポップアップ認証を使用する場合の検討事項

ポップアップ認証を使用する場合の検討事項

ポップアップ認証の設定に関する詳細はガイド「管理者詳細設定ガイド(プリンタ管理)」 を参照してください。


Q: ポップアップ認証とは何ですか?

A: ポップアップ認証は、ユーザのプリント･ジョブのためにプロトコル・レベルの認証が利用できない場合に使用できるPaperCutの機能です。
   ポップアップ認証は、通常はプライマリ認証メカニズムとしては使用せず、
   セカンダリ印刷サービス(汎用的なユーザ名でログオンするドメイン外のデスクトップPCなど)をサポートするために使用します。



Q: プロトコル・レベルの認証とは何ですか?

A: 標準のWindows プリント・システムは、プロトコル・レベルの認証を使用して印刷を行っています。
   ユーザは印刷する前に、Active Directory など環境に応じた認証を実行する必要があります。
   プリント・キューに送信されたジョブは送信プロトコルの一部としてこの認証内にカプセル化されます。
   このため、プリント・イベントのユーザ名は課金処理と安全性において信頼することができます。



Q: ポップアップ認証はどのように動作しますか?

A: ポップアップ認証は、プリント・ジョブの送信元IPアドレスとユーザが認証を実行したポップアップ・クライアントのIPアドレスが一致しているかを確認します。
   ワークフローは次の通りです:

1.ユーザは、認証されていないプリント･プロトコル経由で、サーバにホストしPaperCutが管理するキュー(プリンタ) へプリント･ジョブを送信します。
2.プリント･ジョブはプリント･キューへ到着します。認証されていないプロトコルのためユーザ名は信頼されません。
3.PaperCut は、認証のために使用するPaperCut のポップアップ・クライアントを決定するためにジョブの送信元IPアドレスを使用します。
4.ユーザはPaperCut に設定されているディレクトリ･ソースに対して認証されている。ユーザ名とパスワードを入力します。
  資格情報が正しい場合、ユーザはクライアントとして認証されます。
5.PaperCut はプリント･ジョブは認証されたユーザのジョブに起因するものとみなします。
6.設定により、サーバは指定した時間、認証したユーザとIPアドレスを関連付け記憶します。



Q: ポップアップ認証はいつ使用すべきですか?

A: 一般的なルールとして、プロトコル・レベルの認証が除外されている場合、ポップアップ認証は低ボリューム, 低複雑な環境で使用することをお勧めします。
   設計により、プロトコル・レベルの認証は常に最もセキュアです。そのためにWindows 環境と、
   HTTP, SSH, Novell iPrint プロトコルのような認証されたプロトコルで使用されている理由です。

   プロトコル・レベルの認証を使用が良くない例として、安全でない自動ログオン(一般的なアカウント"public")が設定されている図書館などのパブリック・アクセスのPC があります。
   このような場合のプロトコル・レベルの認証は、安全でないユーザ「public」を使用しています。
   PaperCut のクライアント・ソフトウェアとIP アドレス認証はこれら安全でないユーザの資格情報をオーバーレイし、
   ポップアップ経由で印刷時にユーザの資格情報を要求することができます。



Q: ポップアップ認証を実装する場合、何を考慮すべきですか?

A: 下記はネットワークとセキュリティのチームはポップアップ認証を実装する場合に検討すべきシステムの要因となる一般的なガイドです。

  ・IP アドレスの変更は最小限にしてください。DHCPを使用している場合、リース時間だけではなくIPアドレスの再利用率とDNSの清掃のタイムアウトも検討してください。
  ・クライアントとプリント･サーバの間にNATの形式を使用しないでください。NATはサーバが見るIPアドレスを不明瞭にします。
  ・認証のセッション時間(TTL - 生存時間) オプションを検討してください。詳細は「認証プリント設定ガイド」を参照してください。
    TTL設定はトレードオフです。短い時間の場合、ウィンドウのミスマッチは最小になります。
    しかしユーザの利便性は減少します。システム環境に合わせて適切なTTL値を設定してください。
  ・クライアントとサーバの両方でホスト名がIPアドレスに解決できることを確認してください。状況により、ホスト名はIPアドレスに代わってレポートされます。
    解決結果は正しい挙動のキーとなります。
  ・ポップアップ認証に依存するマシンには、常にPaperCut のクライアント・ソフトウェアを実行してください。
  ・IP アドレスのスプーフィングに注意してください。大規模な組織では常に積極的に監視し、スプーフィングを防止する努力を行っています。
    IPアドレスのスプーフィングは、一般的にネットワーク・アプリケーションのセキュリティに影響を与えます。
  ・常にポップアップ認証の選択を再検討してください。プロトコル・レベルの認証が技術やインフラ、内部プロシージャの変更により可能になる場合があります。
  ・ポップアップ認証は、ターミナル・サーバやCitrixのような同時マルチユーザ・システムでは実行可能な解決方法ではありません。
    複数のユーザが単一のIPアドレスを返すためです。



Q: ポップアップ認証に関連する実際的な問題例を教えてください。

A: 2012年に、PaperCut ユーザであるアメリカの有名大学で、
   LPR プロトコル(Unix デスクトップ・システム用) 経由でプリント･ジョブの認証の問題をサポートするためにポップアップ認証を使用していました。
   この設定は5年間正常に動作していました。
   この大学のネットワーク・チーム(PaperCut の管理を担当する独立したサーバ・チーム) はネットワーク構成を変更することを決定しいくつかのサブネットのNATを有効化しました。
   NAT化による認証の問題が発生し、問題の検出と診断に数日を要しました。この間、プリント･ジョブのいくつかは誤ったユーザに関連付けられました。



http://www.papercut.com/kb/Main/PopupAuthenticationConsiderations