Internet Information Services 5.0 WWW 認証

2002.04.30

Microsoft Windows 2000 Sp2 Version 5.00.2195
Internet Information Service 5.0

仮想ディレクトリのセキュリティ

インターネットインフォメーションサービスマネージャ(MMC の IISスナップイン)から仮想ディレクトリのプロパティを開いて、「ディレクトリセキュリティ」タブを選択し、「匿名アクセスおよび認証コントロール」の編集ボタンを押下

認証方法内容

匿名アクセス匿名認証では、ユーザーはユーザー名やパスワードを入力せずに、Web サイトや FTP サイトの公開領域にアクセス可能匿名認証が使用できる場合、ほかの認証方法が使用可能であっても、IIS は常に匿名認証を最初に使用

基本認証基本認証方式は、ユーザー名とパスワードの情報を収集する手段として広く使われている業界標準の方式ユーザーの Web ブラウザにダイアログボックスが表示 Web サーバーによってユーザー名とパスワードが有効な Windows ユーザーアカウントと一致することが確認されると、接続が確立。基本認証の利点は、基本認証が HTTP の仕様の一部であり、ほとんどのブラウザでサポートされていること。統合 Windows 認証は、基本認証より優先して使用されます

ダイジェスト認証基本認証と同じ機能を提供しますが、認証資格情報の転送方法が異なる認証資格情報は、一般に "ハッシング" と呼ばれる一方向プロセスを通して送られます。このプロセスの結果は "ハッシュ" または "メッセージダイジェスト" と呼ばれ、解読できないダイジェスト認証は、プロキシサーバーおよびその他のファイアウォールアプリケーション間で使用するように構成されている WebDAV (Web Distributed Authoring and Versioning) での使用も可能 HTTP 1.1 の機能であるため、すべてのブラウザでサポートされているとは限らないダイジェスト認証は、要求先のドメインサーバーに、要求元のユーザーのパスワードのテキスト形式コピーがある場合のみ行われる

統合 Windows 認証統合 Windows 認証は、ユーザー名およびパスワードがネットワーク上で転送されない安全な認証形式ユーザーのブラウザは、ハッシングを使用して Web サーバーと暗号化された情報を交換し、パスワードを知っていることを証明 Kerberos Version 5 認証プロトコルと、独自のチャレンジ/レスポンス認証プロトコルの両方を使用可能 Microsoft Internet Explorer Version 2.0 以降でのみサポート HTTP プロキシ接続では機能

テキスト形式のパスワード

認証方法	内容
匿名アクセス	匿名認証では、ユーザーはユーザー名やパスワードを入力せずに、Web サイトや FTP サイトの公開領域にアクセス可能匿名認証が使用できる場合、ほかの認証方法が使用可能であっても、IIS は常に匿名認証を最初に使用
基本認証	基本認証方式は、ユーザー名とパスワードの情報を収集する手段として広く使われている業界標準の方式ユーザーの Web ブラウザにダイアログボックスが表示 Web サーバーによってユーザー名とパスワードが有効な Windows ユーザーアカウントと一致することが確認されると、接続が確立。基本認証の利点は、基本認証が HTTP の仕様の一部であり、ほとんどのブラウザでサポートされていること。統合 Windows 認証は、基本認証より優先して使用されます
ダイジェスト認証	基本認証と同じ機能を提供しますが、認証資格情報の転送方法が異なる認証資格情報は、一般に "ハッシング" と呼ばれる一方向プロセスを通して送られます。このプロセスの結果は "ハッシュ" または "メッセージダイジェスト" と呼ばれ、解読できないダイジェスト認証は、プロキシサーバーおよびその他のファイアウォールアプリケーション間で使用するように構成されている WebDAV (Web Distributed Authoring and Versioning) での使用も可能 HTTP 1.1 の機能であるため、すべてのブラウザでサポートされているとは限らないダイジェスト認証は、要求先のドメインサーバーに、要求元のユーザーのパスワードのテキスト形式コピーがある場合のみ行われる
統合 Windows 認証	統合 Windows 認証は、ユーザー名およびパスワードがネットワーク上で転送されない安全な認証形式ユーザーのブラウザは、ハッシングを使用して Web サーバーと暗号化された情報を交換し、パスワードを知っていることを証明 Kerberos Version 5 認証プロトコルと、独自のチャレンジ/レスポンス認証プロトコルの両方を使用可能 Microsoft Internet Explorer Version 2.0 以降でのみサポート HTTP プロキシ接続では機能

ダイジェスト認証を使用するためには、パスワードにテキスト形式のコピーがある必要がある

[管理ツール] - [Active Directory ユーザーとコンピュータ]からユーザーのプロパティの「アカウント」タブを開き、アカウントオプションの「暗号化を元に戻せる状態でパスワードを保存する」にチェックをつける

Web アクセス権の設定

クライアント側での意義読み取り書き込みディレクトリの参照

リソースの一覧の参照

リソースへの書き込み([書き込み] アクセス権がある場合）

リソースの公開

ファイルの操作

○ ○ ○

個人の情報をディレクトリに発行

第三者にその内容を知られないようにする

クライアントが投票や実績調査などを提出する場合に有用

× ○ ×

ファイル名を隠すことによりセキュリティを確保

高いレベルのセキュリティではない

○ ○ ×

NTFS ディレクトリに WebDAV ディレクトリを設定

クライアント側での意義	読み取り	書き込み	ディレクトリの参照
リソースの一覧の参照リソースへの書き込み([書き込み] アクセス権がある場合）リソースの公開ファイルの操作	○	○	○
個人の情報をディレクトリに発行第三者にその内容を知られないようにするクライアントが投票や実績調査などを提出する場合に有用	×	○	×
ファイル名を隠すことによりセキュリティを確保高いレベルのセキュリティではない	○	○	×

NTFS ファイルシステムのドライブに WebDAV 発行ディレクトリを設定する場合、 Windows 2000 Server では既定で、すべてのユーザーにフルコントロールが与えられるので、アクセス権のレベルを変更し、すべてのユーザーには [読み取り専用] を与え、特定の個人またはグループにのみ [書き込み] アクセス権を与えなおす。

それぞれの認証方法の処理フロー

匿名アクセス

USR_computername アカウントは、コンピュータの Guests グループに追加
IUSR_computername アカウントを偽装
NTFS ファイルおよびディレクトリのアクセス権を確認してから、ページをクライアントに返す
アクセスが許可されている場合、認証は完了
アクセスが許可されていない場合、IIS は別の認証方式を試行
別の認証方式が選択されていない場合は、"HTTP 403 Access Denied" というエラー

基本認証

ユーザーの Web ブラウザにダイアログボックスが表示
情報を使用して接続の確立を試行
サーバーがその情報を受け付けない場合は、ユーザーが有効なユーザー名とパスワードを入力するか、またはダイアログボックスを閉じるまで、Web ブラウザはユーザーに繰り返し入力を要求
Web サーバーによってユーザー名とパスワードが有効な Windows ユーザーアカウントと一致することが確認されると、接続が確立

ダイジェスト認証

サーバーは、認証プロセスで使用される所定の情報をブラウザに送信
ブラウザはこの情報を、ユーザー名とパスワード、およびその他の情報に付加してから、ハッシングを行う
生成されたハッシュは、クリアテキストの追加情報と共にネットワークを介してサーバーに送信
サーバーは、サーバーにあるクライアントのパスワードのテキスト形式コピーに追加情報を付加してから、情報全体に対してハッシングを行う
サーバーは、クライアントから受け取ったハッシュ値とサーバーで生成したハッシュ値を比較
アクセスは、2 つのハッシュ値が完全に一致した場合にのみ許可

統合 Windows 認証

統合 Windows 認証では、クライアントコンピュータ上にある最新の Windowsユーザー情報が使用されます。
最初に認証処理がユーザーの識別に失敗した場合、ブラウザはユーザーに対して Windows ユーザーアカウントのユーザー名とパスワードの入力を要求
入力された情報は、統合 Windows 認証によって処理
Internet Explorer は、ユーザーが有効なユーザー名とパスワードを入力するか、またはダイアログボックスを閉じるまで、ユーザーに繰り返し入力を要求