EC2のiFilterのNTLM認証

2020/11/8
オンプレのプロキシサーバをAWSに移行し、EC2のiFilter10でプロキシ認証(NTLM認証)しようとして諦めた件を纏めます。

(要件)
・EC2にiFilterを2台設置する
・プロキシ認証はEC2にあるADでNTLM認証する
・プロキシを分散するために負荷分散機を用いる
・Microsoft365宛のHTTP(S)通信は負荷分散機でプロキシサーバに転送せず直接Microsoft365に接続する

(検討)
・負荷分散機は現状オンプレにあるBIGIPを使用している。
・Microsoft365の振り分けはBIGIPのiRuleで実装している。

(設計段階でわかっていた点)
・ALBでは現在のBIGIPのiRuleの仕様を満たせない
 ->BIGIPはそのまま使う
 ->構成上、BIGIPでSNATをする
->X-Forwarded-forヘッダを付与する
 ->BIGIPでNTLMoverHTTPを正常に疎通させるために、VSにNTLMプロファイルとOneConnectプロファイルの適用が必要
・iFilterは認証キャッシュTTLを0に設定する(負荷分散機でSNATするので)
・iFilterはX-Forword-Forを処理するように設定する

(構築中に諦めた点)
・プロキシ認証ができない(iFilterでNTLMのユーザ認証を有効にしているとTCPがリセットされる)
->使用中のBIGIP(v12.1.2 HF1)には不具合があった。
 ————————————————–
 Final – K21005334: A client connection may stop responding when the NTLM and OneConnect profiles are used together
 https://support.f5.com/csp/article/K21005334

 Bug ID 646604: Client connection may hang when NTLM and OneConnect profiles used together   https://cdn.f5.com/product/bugtracker/ID646604.html
Avoid the use of OneConnect profiles on virtual servers that use NTLM profiles. The connections to the Domain Controller won’t be pooled, but all other features will be retained.
————————————————–
->BIGIPバージョンアップできない状況だったのでユーザ認証機能はあきらめてIPアドレスベースのポリシー制御に変更した。