平成27年度秋午後1問1

シングルサインオンの導入に関する問題です。

悲しくなるくらいわかりません…。ちゃんと勉強しないと。

回答の前提として必要な知識
・HTTPヘッダにおけるCookieの扱い方。
　→ブラウザとサーバ間の状態管理をするためのプロトコルであり、Set-Cookieのヘッダ領域に、必要な情報(ドメイン名など)が格納されている。
・LB(Load Balancer)が負荷を振り分ける情報。
・DSR(Direct Server Return)に関する事。
・シングルサインオンは一度のログインで複数のサービスにログインする事。
　・エージェント方式
　　→Webサーバ内に常駐するエージェントが認証を代行する方式。
　・リバースプロキシ方式
　　→Webサーバにアクセスする前に存在するリバースプロキシに存在する
　　　エージェントによって認証を代行する方式。
・SSOサーバは自分以外のIP宛てのパケットを受信することはできない。それを可能にしたい場合はループバックインタフェースを設定して自分宛ではないIP宛てのパケットも受信できるようにしなければならない。

設問1

ア　ブリッジ　リバースプロキシ

イ　転送　リダイレクト

ウ　IP　Set-Cookie

エ　内部DNS

オ　複数アドレス　ループバック

設問2

⑤

設問3

(1)example.jp
a-sha.example.jp
※営業システムと広告システムでSSOが正しく動作したので、その二つのURLに共通するドメイン名が回答になる。

(2)Webブラウザからアクセスできないようにパケットをフィルタする。

CookieにSecure属性をつける。
※Cookieには有効期限を設定するExpires属性や、HTTPSのみを受け付けるsecure属性がある。

設問4

(1)LBがレイヤ７のパケットを処理することができないため。
SYNパケットにはレイヤ７情報が含まれていないから。
※要点(2)に"振り分け先についてはTCPコネクション各地るのためのSYNパケットがPCから届いた時点で決定するとあり、この動作から回答する必要がある。

(2)RARP
GARP

※ARPの種類
・ARP　IPを元にMACを取得するプロトコル
・GARP　IPアドレス重複検知機能を持ったARP
・Proxy-ARP　ARPをうけたIP機器がルート情報を元に応答するARP
・RARP　MACアドレスを元にIPアドレスを払い出すARP。DHCPに置き換えられている。

(3)それぞれのIPアドレスとMACアドレスの情報をSSOサーバに登録する。
VIPアドレスに対するARPリクエストに応答しないように設定する。

※IPアドレス重複エラーが発生したのでそれを解消する方法を解答する。
これはGARPを受け取ったSSOサーバのループバックインタフェースにVIPアドレスが設定されていることが原因なので、それを解決する方法を解答する必要亜がある。