インストール後の手順

エンドユーザーの設定

Ericom Shieldサーバをインストールすると、システムはすぐに使用できます。 Ericom Shieldを使用して安全に閲覧を開始するには、閲覧トラフィックをプロキシサーバに送信する必要があります。

プロキシサーバーがすでに使用されている場合(キャッシングまたはコンテンツフィルタリングの目的で)、このプロキシはEricom Shieldと連携するように構成する必要があります。

または、Ericom Shieldのビルトインプロキシを使用するようにブラウザを設定します。

プロキシの構成

プロキシを設定するにはいくつかのオプションがあります。すべてのユーザーに影響を与えるために、単一ユーザーレベルまたはグループポリシーレベルで実行できます。 利用可能なオプションは以下の通りです。

グループポリシーを使用してプロキシを設定する場合

  1. グループポリシー管理コンソールを開く - Windowsのロゴキー+ Rを押して、「ファイル名を指定して実行」ダイアログボックスを開きます。 テキストボックスにgpmc.mscと入力し、[OK]をクリックするか、Enterキーを押します。
  2. 既存のものを探したり、新しいGPOを作成してプロキシ設定を追加したりします(詳細については、 こちら を参照してください。)GPOが、ポリシーの影響を受けるユーザーを持つドメイン、サイト、または組織単位に関連付けられていることを確認します。
../_images/newGPO6.png
  1. 新しいポリシーが作成された場合は、そのポリシーの名前を指定します。 グループポリシー管理エディタが開き、ポリシーオブジェクトの現在の内容が表示されます。 右ペインの [設定]タブの[ユーザの構成] を右クリックし、 <編集> を選択します。
../_images/editGPO6.png
  1. [ユーザの構成] | [基本設定] | [Windowsの設定] | [レジストリ] を展開します。
  2. 新しいレジストリ項目を作成します。 <レジストリ> を右クリックし [新規作成] | [レジストリ項目] を選択します。
../_images/newReg6.png

  1. ダイアログの[キーのパス]で、 <...> をクリックし、 HKCU\ Software\Microsoft\Windows\CurrentVersion\InternetSettings\ProxyEnable に移動します。

    他にも次の値を設定します。 [値の名前]: ProxyEnable

    [値の種類]: REG_DWORD

    [値のデータ]: 00000001

../_images/regProperties6.png

  1. 次の値を持つ2番目のレジストリ項目を作成します。

    [値の名前]: ProxyServer

    [値の種類]: REG_SZ

    [値のデータ]: proxyname:port

../_images/proxyServerReg6.png

参考

proxyname:port をShieldサーバーの<DNS名>:<PORT>に置き換えます。 例) shield.company.local:3128 Kerberos認証も使用されている場合、DNS名はシールドプロキシのクラスタ化アドレス名にする必要があります。

  1. 次の値を持つ3番目のレジストリ項目を作成します。

    [値の名前]: ProxyOverride

    [値の種類]: REG_SZ

    [値のデータ]: <local addresses>

参考

<local addresses> をプロキシから除外べきローカルアドレスに置き換えます。 例)192.168.0.*; domain.com

../_images/proxyOverrideReg6.png

参考

より詳しい情報は こちら でご確認いただけます。

グループポリシーでPACファイルを使用してプロキシを設定する場合

  1. グループポリシー管理コンソールを開きます。
  2. 既存のGPOを検索するか、新しいGPOを作成してプロキシ設定を格納します。 GPOが、ポリシーの影響を受けるユーザーを持つドメイン、サイト、または組織単位に関連付けられていることを確認します。
../_images/newGPO6.png

グループポリシー管理エディタが開き、ポリシーオブジェクトの現在の内容が表示されます。 右ペインの [設定]タブの[ユーザの構成] を右クリックし、 <編集> を選択します。

../_images/editGPO6.png
  1. [ユーザの構成] | [基本設定] | [Windowsの設定] | [レジストリ] を展開します。
  2. 新しいレジストリ項目を作成します。 <レジストリ> を右クリックし [新規作成] | [レジストリ項目] を選択します。
../_images/newReg6.png

  1. ダイアログの[キーのパス]で、 <...> をクリックし、 HKCU\ Software\Microsoft\Windows\CurrentVersion\InternetSettings\ProxyEnable に移動します。

    他にも次の値を設定します。 [値の名前]: AutoConfigURL

    [値の種類]: REG_SZ

    [値のデータ]: <your pac file>

参考

<your pac file>をPACファイルの場所に置き換えます。たとえば、Ericom Shield環境を使用してPACファイルをホストする場合は、 http://ShieldHostname/default.pac というアドレスを入力します。

../_images/pacReg6.png

PACファイルを使用してShieldプロキシを使用するようにFirefoxを設定する

Firefoxの設定は分離されており、Windowsのシステム定義の影響を受けないため、PACファイルで定義されているプロキシを使用しても自動的には影響を受けません。PACファイルに定義されているプロキシを使用するようにFirefoxを設定するには(GPOを定義した後)、次の手順に従います。

  • shield.cfg ファイルをFirefoxディレクトリのルートに置きます。

    C:\Program Files\Mozilla Firefox\shield.cfg

  • autoconfig.js ファイルを サブディレクトリ defaultspref に置きます。

    C:\Program Files\Mozilla Firefox\defaults\pref\autoconfig.js

  • autoconfig.js に下記の行を追加してください。

    pref("general.config.obscure_value", 0);
pref("general.config.filename", "shield.cfg");

  • shield.cfg に以下の行を追加してください。

    lockPref("network.proxy.autoconfig_url", "http://ShieldHostname/default.pac");

    lockPref(「network.proxy.type」, 2); lockPref(「network.proxy.no_proxies_on」, 「localhost, 127.0.0.1」);

参考

これらのファイルはANSIエンコードされているはずです。 ローカルPACファイルを使用するようにPACファイルのパスを変更してください。 また、除外する内部アドレスを指定してください。

ブラウザでプロキシを設定する場合

利用するブラウザを選択し、 <ShieldHostname> とポート3128を使用するようにプロキシ設定を定義します。

PACファイルを使用してプロキシを設定する場合

プロキシをプロキシ自動構成(PAC)ファイルを使用するように設定することが可能です。 Ericom ShieldにはデフォルトのPACファイルが付属しており、そのまま使用できます。 デフォルトのPACファイルを使用するには、次のパスを使います。 <http://ShieldHostname/default.pac> 詳細については、利用するブラウザを選択してください。

必要に応じてデフォルトのPACファイルを変更することができます。変更が行われたら、管理コンソール ( Settings | PAC File セクション) を使って新しいPACファイルをアップロードします。

利用するブラウザを選択し、PACファイルを使用するためのプロキシ設定を定義します。

証明書の設定

ShieldがHTTPSドメインを処理するには、次の証明書をクライアントマシン(ローカルコンピュータ)にインポートする必要があります。 これは、グループポリシーまたは手動で実行できます。 Ericom Shieldの証明書は、次のいずれかの方法でダウンロードしてください。

  1. こちら からダウンロードする。
  2. シールド ブラウザーを開き こちら へアクセスする。
  3. ブラウザーを開いて、次のURLにアクセスする。: <http://<ShieldHostname>/install-certificate>

グループポリシーを使用した証明書のインストール

  1. グループポリシー管理コンソールを開きます。
  2. 既存の証明書を検索するか、新しいGPOを作成して証明書の設定を保存します。 GPOが、ポリシーの影響を受けるユーザーを持つドメイン、サイト、または組織単位に関連付けられていることを確認します。
../_images/newGPO6.png
  1. 右ペインの [設定]タブの[コンピュータの構成] を右クリックし、 <編集> を選択します。
../_images/editCertGPO6.png
  1. グループポリシー管理エディタが開き、ポリシーオブジェクトの現在の内容が表示されます。

ナビゲーションペインで、 [コンピュータの構成] | [ ポリシー] | [Windowsの設定] | [セキュリティ設定] | [公開鍵ポリシー] | [信頼されたルート証明機関] を開きます。 右クリックし、 <インポート> を選択します。

../_images/importCert6.png
  1. Shield証明書ファイルを選択し、インポートします。
../_images/certGPO6.png

  1. 証明書をインポートしたら、GPOを右クリックして[適用]を選択します。

  2. コンピュータと証明書をリンクする

    • Domain Computers で、接続先のコンピュータを表すGPOを作成します。
    • このGPOを右クリックし、 <既存のGPOをリンク> を選択し、証明書GPOを選択します。

参考

より詳しい情報は こちら からご確認いただけます。

Shield証明書を使用するためのFirefox設定

Firefoxの設定はWindowsシステム定義の影響を受けないため、GPOで定義されている証明書は影響を受けません。これを解決するには、FirefoxはWindows証明書ストア内の証明書を信頼するように設定する必要があります。GPOがシールド証明書に定義されたら、次の手順に従います(ファイルがシステムに既に存在する場合は最初の2項目をスキップします)。

  • shield.cfg ファイルをFirefoxディレクトリのルートに置きます。

    C:\Program Files\Mozilla Firefox\shield.cfg

  • autoconfig.js ファイルを サブディレクトリ defaultspref に置きます。

    C:\Program Files\Mozilla Firefox\defaults\pref\autoconfig.js

  • autoconfig.js に下記の行を追加してください。

    pref("general.config.obscure_value", 0);
pref("general.config.filename", "shield.cfg");

  • shield.cfg に以下の行を追加してください。

    pref(security.enterprise_roots.enabled", true);

参考

これらのファイルはANSIエンコードされているべきです。

ブラウザに証明書をインストールする場合

外部のSyslog

Ericom Shieldは、すべてのShieldログメッセージを外部のSyslogサーバに送信するように設定できます。

外部SYSLOGサーバの詳細は 設定 | ログ セクションで定義します。 より詳しいことは こちら を参照してください。

認証設定

この段階では、管理コンソールの認証設定を入力することをお勧めします。Shieldは、次の認証方法をサポートしています: 認証連鎖、Basic、Keroberos、LDAP。詳細については、こちら を参照してください。