- PR -

IISの基本認証で認証可能なアカウントの制限

1
投稿者投稿内容
dudu2
会議室デビュー日: 2003/09/20
投稿数: 15
投稿日時: 2004-02-04 12:30
はじめましてdudu2です。

IISの基本認証で認証されるアカウントには、OSで作成したアカウントにローカルログオンの
権限を付与すればよいとのことですが、これだけだとAdministrator等の既存アカウントも
認証対象となってしまいます。
基本認証では特定のアカウントのみ認証対象としたいのですが、IISでそのようなことは
可能でしょうか?(Apacheの.htaccessファイルのようなものは存在する?)

■サーバ環境
・Windows2000Server
・IIS5.0

PPGS
常連さん
会議室デビュー日: 2002/02/17
投稿数: 45
投稿日時: 2004-02-10 15:43
こんにちは。
IISはApacheの認証と結構違います。

1.webアクセス許可
2.NTFS許可

IISは上記のように2段階の認証を行っています。1と2の両方でアクセス許可された場合、より厳しいアクセス条件が適合されます。

また
>Apacheの.htaccessファイルのようなものは存在する?

存在しません。従って認証はWindowsに登録されたすべてのアカウントを対象とします。dudu2さんが言われるとおり本当は既存アカウントは含めたくないところですよね・・・。セキュリティを考えるならば、認証用のグループを作成してそこにしか所属させないというポリシーにするしかないかなと私は思います。
dudu2
会議室デビュー日: 2003/09/20
投稿数: 15
投稿日時: 2004-02-10 16:01
お返事ありがとうございます。

IISってこの部分も含めてちょっと独自規格って感じですよね。

>セキュリティを考えるならば、認証用のグループを作成してそこにしか所属させないというポリシーにするしかないかなと私は思います。

試しに、公開するディレクトリのローカルのパーミッション(NTFS設定)設定で、IISで認証許可したいユーザにのみRead権限を付与し、その他のユーザ(Administrator含む)には権限を付与しなかったところ、IISからの認証では期待通りの動作をしたのですが、当然、ローカルでもそのディレクトリに対してアクセス出来るのは権限をもったユーザのみになってしまい、Administratorで管理不可な領域となってしまいました。運用方針によると思いますが、やはりAdministratorで管理できない領域があるというのはちょっとまずいですね。
かといって、上記ユーザをAdministratorグループに所属させるのセキュリティ的に問題ありですし。

ローカルセキュリティポリシーの設定でIISでのみ認証可能というような設定はあるのでしょうか?ネットで検索した限りではそのようなことが出来るということは見つかりませんでしたが。

ちなみに、私は対象のサイトがLAN内で公開されていることを条件に、Administratorに適切なパスワードを設定するという回避策をとりました。

PPGS
常連さん
会議室デビュー日: 2002/02/17
投稿数: 45
投稿日時: 2004-02-10 16:47
みんな同じようなこと考えているようですね。

基本的にIISは
・スタンドアローンサーバで使用
・WEBサーバとしてのみ使用
これが公開サーバとして使う場合の暗黙了解のようです。



>ローカルセキュリティポリシーの設定でIISでのみ認証可能というような
>設定はあるのでしょうか?

ないですね。
ちなみにTeckNetによると必ず“ローカルログオン”可能なアカウントでなければならないようです。(こりゃ厳しい・・・)

*** 以下引用 ***

「ローカル ログオン」

このユーザーの権限は、物理的にサーバー コンピュータにログオンした場合と同様の権限をアカウントに与えます。この権利は、匿名認証および基本認証の各認証方法で使用されるすべてのアカウントに割り当てなければなりません。これが割り当てられないと、認証が機能せず、"403:Access Denied" というエラー メッセージがユーザーに表示されます。

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/iis/iis5/maintain/featusability/authmeth.asp

1

スキルアップ/キャリアアップ(JOB@IT)