-
負荷分散装置やプロキシサーバーを経由してProselfにアクセスする環境の場合、アクセス制限設定を行うと負荷分散装置やプロキシサーバーを接続元と判断してしまい想定通りに機能しません。クライアント端末に対してアクセス制限を行うようにする方法はありますか。
Proselfは標準出荷状態ではProselfに最も近い機器のIPアドレスを接続元IPアドレスとして判断します。
そのため、負荷分散装置やプロキシサーバーを経由してProselfにアクセスする場合は、以下記載の手順で設定変更を行うことで接続元IPアドレスとして判断する対象を決めることができます。
※負荷分散装置、プロキシサーバーにてX-Forwarded-Forヘッダに接続元のIPアドレスを付与していることが前提となります。
※本設定を反映するにはProselfの停止及び起動が必要となります。
※クラスタリング構成の場合は1台ずつ設定を行って下さい。1台目の設定が終わりProselfの起動を終えた後に、次のサーバーの設定を行う必要があります。
※接続元IPアドレスについては、管理画面のログダウンロード機能で取得できる各種ログで確認可能です。プロキシサーバーや負荷分散装置を経由しており、かつ X-Forwarded-For ヘッダに接続元IPアドレスを付与している場合は、"クライアント端末のIPアドレス,プロキシサーバーのIPアドレス/負荷分散装置のIPアドレス"の形式で出力されます。
<設定変更手順>
-
Proselfを停止します。
-
Proselfインストールフォルダ/conf/proselfconfig.xml に以下を追加します。
事前に proselfconfig.xml.yyyymmdd のようなバックアップを取得いただくことをお勧めします。(yyyymmddは日付形式)
◆追加前
<?xml version="1.0" encoding="UTF-8"?>
<configlist>
<store>
<rootpath>/home/Proself</rootpath>
</store>
<parameter name="convert-webdavfs-url">true</parameter>
</configlist>
◆追加後
<?xml version="1.0" encoding="UTF-8"?>
<configlist>
<store>
<rootpath>/home/Proself</rootpath>
</store>
<parameter name="convert-webdavfs-url">true</parameter>
<parameter name="access-check-ip">{パラメータ}</parameter>
</configlist>
※<parameter name="access-check-ip">{パラメータ}</parameter> を追加しています。
{パラメータ}には以下を指定することでアクセス制限の対象を決めることができます。
-
all
接続元IPアドレスに含まれている全てのIPアドレスを接続元IPアドレスと判断してアクセス制限チェックを行います。
-
client
接続元IPアドレスに含まれているIPアドレスのうち、一番左のIPアドレスを接続元IPアドレスと判断してアクセス制限チェックを行います。
-
数字
接続元IPアドレスに含まれているIPアドレスのうち、右から指定した数字の数分のIPアドレスを接続元IPアドレスと判断してアクセス制限チェックを行います。
例えば、接続元IPアドレスが "クライアント端末のIPアドレス,プロキシサーバーのIPアドレス,負荷分散装置のIPアドレス" となる環境からのアクセスを許可する場合、{パラメータ}にall、client、2を設定した際はアクセス許可欄にそれぞれ以下のように設定します。
-
all
クライアント端末のIPアドレス、プロキシサーバーのIPアドレス、負荷分散装置のIPアドレスのいずれかをアクセス許可欄に設定します。
-
client
クライアント端末のIPアドレスをアクセス許可欄に設定します。
-
2
右から2つ分まで、すなわち、プロキシサーバーのIPアドレス、負荷分散装置のIPアドレスのどちらかをアクセス許可欄に設定します。
なお、標準出荷状態では上記の{パラメータ}に"1"を指定した設定として動作します。
-
all
-
Proselfを起動します。
-
アクセス制限を設定し、クライアント端末のIPアドレスに対してアクセス制限設定が反映されていることを確認します。
(最終更新日:2024/01/10) -
Proselfを停止します。