Browser Access Portal Troubleshooting

 

概要

アプリケーションポータル(別名ブラウザアクセス)ポータルは、インターネットを介して安全なトンネルを確立することにより、ユーザーが内部企業リソースにアクセスできるようにします。 このサービスはSDP接続を必要としませんが、ユーザーがライセンスを持つSDPユーザーであることが必要です。 このプレイブックは、一般的なブラウザアクセスの問題を論じ、それらを解決するためのトラブルシューティング手順を提供します。

症状

  • アプリケーションポータルにアクセスするユーザーはアクセス拒否ページを受け取ります

  • アプリケーションがブラウザアクセスに表示されません
  • アプリケーションの読み込みに失敗します。

  • Webアプリケーション内のコンテンツが欠落しています

  • Webアプリケーション内のコンテンツの形式が正しくありません。 例えば、要素はページにランダムに配置され、テキストはフォントのサイズが間違っており、画像の位置が正しくないなどの問題があります。

  • クライアントレスブラウザアクセスでアプリケーションがタイムアウトしますが、SDPクライアントユーザーは通常通り操作できます。

可能な原因

  • 誤った構成
  • HTTPプロトコルの使用およびWebアプリケーションに他のコンテンツへの絶対HTTPリンクが含まれています

問題のトラブルシューティング

このセクションでは、一般的なアプリケーションポータルの問題のトラブルシューティング手順を調査します。  

ユーザーがアプリケーションポータルにアクセスできない

ユーザーがアクセス > アプリケーションポータル > 設定に指定されたポータル用URLを使用してアプリケーションポータルにアクセスすると、アクセス拒否メッセージが表示されます。

  1. サブドメインに特殊文字が含まれていないことを確認してください。 ハイフンのような文字はサポートされていません。 サブドメインで特殊文字が使用されているかどうかを検証する方法については、特殊文字を除外するためのサブドメインの変更を参照してください。
  2. ユーザーがSDP(ライセンス)ユーザーであることを確認してください。 ライセンスが割り当てられたユーザーのみがブラウザアクセス ポータルにアクセスできます。 これを検証する方法についての指示を得るには、ユーザーにライセンスを割り当てるを参照してください。  
  3. SSO認証が有効であり、「シングルサインオンでのログインを許可する」がチェックされている場合 (アクセス > シングルサインオン)、ユーザードメインが許可されたドメインに含まれていることを確認してください。
     
  4. イベントに明らかなエラーがないか確認してください。 ホーム > イベントに移動し、下に示すフィルタを追加してください。 

    ブラウザアクセスポータルに関連するすべてのイベントが表示されます。 以下はアクセス拒否イベントの例です。  

アプリケーションがアプリケーションホームページに表示されなかった

ユーザーがブラウザーアクセスポータルにログインすると、特定のアプリケーションが表示されません。

  1. アプリケーションがアクセス > アプリケーションポータル > アプリケーションに追加されていることを確認してください。 追加されていない場合、アプリケーションポータルのホームページに反映されません。
  2. ユーザーがアプリケーションにアクセスできることを確認してください。 そうでない場合、アプリケーションのホームページで見ることができません。 これはアクセス > アプリケーションポータル > アクセスポリシーで行うことができます。
  3. これらの問題を解決するための指示は、ブラウザーアクセスポータルにアプリケーションを追加するおよび許可されたユーザーのためのアクセスポリシーを設定するを参照してください。

アプリケーションがロードに失敗する

アプリケーションアイコンをクリックすると、ブラウザーがコンテンツを表示せず、アプリケーションがタイムアウトするまでロード中のままです。

上記が発生した場合、次のデータを収集してください:

  1. ソケットでのトラフィックキャプチャ方法に記載されているように、アプリケーションサーバーがホスティングされているサイトのソケットからPCAPキャプチャを収集します。 アプリケーション用にCMAで設定されたポートに応じて、サーバーのIPアドレスとポート80または443をフィルタリングします。
  2. WebサーバーからのTCPトラフィックフローがあるか確認してください。 そうでない場合は、サーバーへのローカル接続を確認してください。 NATなしでは、内部サーバーに到達するトラフィックは公共のIPアドレスから送信されます。
  3. 内部ネットワークへの適切なルーティングのためにNATのIP範囲を使用する必要があるかどうかを確認してください。 NAT IP範囲なしでは、内部サーバーに到達するトラフィックは公共のIPアドレスから送信されます。
  4. ステップ#2でTCPトラフィックが確認された場合、以下の手順に従い、アプリケーションにアクセスしながらブラウザアクセスポータルを通じてHARファイルを収集してください。
    1. ブラウザーアクセスポータルから、ページ上で任意の場所を右クリックし、コンテキストメニューから「検査」を選択します。
    2. 右上にある設定ボタンをクリックします。 このオプションはChromeで利用可能です。 他のブラウザを使用している場合は、ステップ#4に進んでください。
    3. 環境設定 > グローバルで「ポップアップのためにDevToolsを自動開」を選択します。
    4. ブラウザアクセスポータルからアプリケーションをクリックします。 2番目のタブが開きます。 録音はここで行う必要があります。 ブラウザが自動的にこの2番目のタブから録音しない限り(ステップ#3)、次のステップで手動でこのアクションを行う必要があります。
    5. 問題を再現し、HARファイルを収集するために、HARデータの収集方法の指示に従ってください。
    6. 更なる調査のためにこの情報をCatoサポートに提出してください。 Catoサポートへのケース持ち上げを参照してください
  5. HARファイルが内部ドメインへのリダイレクトを示している場合、外部ブラウザは内部ネットワークでDNS解決を行わないため、解決できません。 これは現在、ブラウザアクセスソリューションの制限事項であり、ユーザーはSDPクライアントを介してカトに接続する必要があります。

更なる調査のためにこの情報をCatoサポートに提出してください。 Catoサポートへのケース持ち上げを参照してください。

ウェブアプリケーションにフォーマットの問題が発生しています

ウェブアプリケーションのフォーマットに問題があり、要素がページに無秩序に配置され、テキストが一貫性のないフォントサイズで表示され、画像が不適切に整列されています。 この問題は、顧客がHTTPプロトコルを用いてブラウザアクセスポータルを通じてアプリケーションにアクセスし、そのアプリケーションのHTMLコードに他のコンテンツへの絶対HTTPリンクが含まれている場合に発生する可能性があります。 ブラウザアクセスポータル接続がHTTPSで動作するため、現代のウェブブラウザは"ミックスドコンテンツ"と呼ばれるHTTPコンテンツへのアクセスを制限します。

この問題が発生しているか確認するために、次の手順に従ってください。

  1. アプリケーションをアクセス中にブラウザアクセスポータルを通じてHARファイルを収集できます。 詳細な指示については、HARデータの収集方法を参照してください。
  2. これが問題である場合、ウェブ開発者ツールは混合コンテンツブロックを表示し、ウェブサイトへの接続が安全でないことを示す警告が伴います。
  3. ページ上で任意の場所を右クリックし、「ページソースを表示」を選択 これにより、ウェブサイトのソースコードが開きます。
  4. 以下に示すように「http://」で始まるリンクを調べます:
    <link href="http://nms-ubuntuserver.via.catonetworks.com/css/bootstrap.min.css" rel="stylesheet" type="text/css" />
  5. ソースコードにHTTPリンクが存在するため、ブラウザがコンテンツをブロックしています。

  6. この問題を解決するには、フォーマットの問題に記載された提案に従ってください。

クライアントレスブラウザアクセスではアプリケーションがタイムアウトしますが、SDPクライアントユーザーまたはサイトユーザーは通常通りアクセスできます。

ポータルは読み込まれますが、その背後のアプリケーションは開かない。 クライアントベースのSDPアプリ上のユーザーまたはcatoソケット背後のユーザーは通常通りすべてにアクセスできます。 クライアントレスブラウザアクセスを通して来るユーザーは、アプリケーションを開こうとする際にタイムアウトに直面します。

注意: ブラウザベースのリモートアクセスは、SNAT IP範囲とサイトのIP範囲の間で重複するIPをサポートしません。

例えば、ブラウザアクセスは10.60.10.0/24のようなNAT範囲を使用しています。 同時に、ネットワークがより広範なルート、例えば10.0.0.0/8をCatoにアドバタイズしています。 10.60.10.0/24は、その10.0.0.0/8のブロック内にあるため、プラットフォームは返されたトラフィックがサイトのサブネットと重複していると認識します。 トラフィックがブラウザアクセスユーザーのもとに戻ろうとした際、プラットフォームはループを避けるためにそれをドロップします。広範な/8ルートがパケットをユーザーではなくサイトに引き寄せてしまうためです。 この重複により、プラットフォームはブラウザアクセスのトラフィックに対してクリーンなリターンルートをインストールできません。
 

問題を解決するには、SNATとアカウントルートを検証してください。

  1. ブラウザアクセス用に設定されたSNAT IP範囲を特定してください。

  2. アカウント > ネットワーク の下のルーティングテーブルに移動します。 すべてのアカウントルートをチェックし、どれもSNAT範囲と重複しないことを確認してください。 データがないことは、ルーティングテーブルに重複が存在しないことを意味します。 

  3. 重複が存在する場合:
    • ルーティングの設定を調整して、競合を削除します。
    • BGP のアドバタイズされたルートがSNAT範囲をカバーしていないことを確認してください。

発見された問題の解決

誤設定

上記で述べた問題の多くは設定に関連しています。 誤設定されたエリアを特定したら、問題を解決するためにそれらを修正する必要があります。

特殊文字を除外するためにサブドメインを変更する

アクセス > シングルサインオンに移動し、サブドメイン フィールドに特殊文字が含まれていないことを確認します。 この要件は、ブラウザアクセスポータルの設定でも言及されています。 サブドメインを変更した際の影響に関する詳細情報については、アカウント名とサブドメインの変更を参照してください。

ユーザーにライセンスを割り当てる

アクセス > ユーザー > ユーザーディレクトリ に移動し、ブラウザアクセス ポータルをアクセスしているユーザーがライセンスを持つSDPユーザーであることを検証


ユーザーにライセンスを割り当てるには、ユーザーへのSDPライセンス割り当てを参照 

ブラウザアクセスポータルへのアプリケーションの追加

アプリケーションポータル > アプリケーション に移動し、アプリケーションが追加されたことを検証します。 設定の詳細については、ブラウザアクセスポータル用アプリケーションの管理を参照してください。

許可されたユーザーのためのアクセスポリシー設定

アクセス > アプリケーションポータル > アクセスポリシー に移動し、ユーザーがアプリケーションにアクセスできることを検証します。 設定の詳細については、ブラウザアクセスポリシーの定義を参照してください。 

フォーマットの問題

解決策は、Catoではなく、ブラウザが混合コンテンツをブロックする責任があるため、アプリケーションのソースコードを変更することにあります。 顧客には、HTMLコード内の絶対リンク(http://で始まるもの)を相対リンクに変換することをお勧めします。 相対リンクはプロトコル相対またはルート相対のいずれかにすることができます。例えば、次のようなリンクがある場合:

href="http://www.mywebsite.com/css/stylesheet.css"

プロトコル相対リンクは次のようになります:

href="//www.mywebsite.com/css/stylesheet.css"

ルート相対リンクは次のようになります:

href="/css/stylesheet.css"

絶対リンクと相対リンクについてのさらなる情報は、次を参照してください: 絶対URLと相対URLの違い。 

Catoサポートへのケースの提出

上記のトラブルシューティング手順の結果を含むサポートチケットを投稿してください。 ブラウザポータルアプリケーションへのアクセスに関連する問題については、以下の質問への回答も含めてください:

  1. 影響を受けたアプリケーションサーバーは何ですか? (IIS、Nginx、など)
  2. アプリケーションは追加の認証を必要としますか?
  3. ユーザーはアプリケーションログまたは構成ファイルにアクセスできますか? もしそうなら、これらのログは問題を記録していますか?
  4. ユーザーはどこからSDPポータルに接続していますか?
  5. ユーザーはCatoクライアントを使用しているとき、またはソケットサイトの背後にいるときにアプリケーションに接続できますか?
  6. それらの間にロードバランサー/APIサーバー/ファイアウォールがありますか? 

この記事は役に立ちましたか?

2人中1人がこの記事が役に立ったと言っています

0件のコメント