- - PR -
外部公開サーバーのユーザー管理について
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-08-18 11:56
初めて投稿いたします。
Webサーバのユーザー管理についての質問です。 [自宅クライアント] l [外部インターネット] l [FireWall]−[Webサーバ] l [ドメイン(AD)サーバ] l [ドメイン(AD)クライアント] 現在WebサーバはDMZ上にあります。Windows2003でIIS6.0の利用を考えています。 FireWallでは外向きにhttpおよびhttps、内向きにkerberos、LDAP等を通しています。 外部公開用のDNSは別にあります。 内部からFTPによるコンテンツ保存をユーザー毎に行い、 自宅クライアントからの閲覧をなんらかの認証をかけて行いたいと考えています。 内部ドメインのユーザーIDとパスワードを利用できるのが理想なのですが ドメインのメンバーにすることについては漠然とした不安があります。 1.DMZにあるWebサーバをドメインのメンバーにすることによるリスクはどんなものがあるか 2.ドメイン参加させずにユーザーIDとパスワードをADと連携させる仕組みはどんなものがあるか 実現方法として技術的に難しいものでなければ、IISにはこだわらないつもりです。 どうかよろしくお願い致します。 | ||||||||||||
|
投稿日時: 2006-08-18 12:07
構成次第では、ADのユーザ情報が外部に漏れる、ADユーザのパスワードを破る攻撃、 あたりはありえるでしょうね。 また、Webサーバ自体がAD云々以外の経路含めてのっとられた際、 Webサーバ→AD DCへの接続をFWで許可してる、という点はリスクとして上げられます。 インターネット→DMZ Webサーバへ許可するルールがHTTP/HTTPSのみであれば、 その通信として匿名接続以外は受け付けないように構成すること、 匿名ユーザ関連のセキュリティ設定を下手にいじらないこと、 あたりを守っておけば、ADに参加することで生じるリスクはほとんどないと思います。 その場合、
を、インターネットからの不特定多数ユーザの閲覧と同じ経路を想定しているので あれば、当然実現できません。そこはRAS、SSL-VPN等などの別経路で実現することを 考えましょう。
連携しちゃってる時点で、AD使うのとそうそうリスクは変わらない気がします。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
|
投稿日時: 2006-08-18 16:05
ご回答ありがとうございます。
DMZにWebサーバーを置く場合はあくまでも公開用と考えて匿名接続以外は受け付けないようにするのがいいということですね。 今回は別ハードに商用のWebDAVサーバーを用意するようで、こちらはドメイン参加せずにユーザー連携していました。 SSL-VPNもいろいろ調べましたが、ホームページ閲覧だけにVPN製品を導入するのは少々もったいない気もします。もう一度運用から見直してみます。 | ||||||||||||
|
投稿日時: 2006-08-20 02:44
私の会社では、SSL-VPNではなくUSBキーを使って社内PCにVPN接続しています。
情報漏洩やウィルス感染のリスクもなく、リモートアクセスできます。 詳しくは下記URLを参照下さい。 http://www.magicconnect.net/ | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。