keyboard samurai ZERO COOL

 

  1. ホーム
  2. IT技術及びツール紹介
  3. セキュリティ(IISの認証とは)

IIS(インターネットインフォメーションサービス)

IISに関して

Microsoft社のインターネットサーバソフトウェア。

WebサーバやFTPサーバ、SMTPサーバ、限定的なNNTPサービスなど、様々なサーバの機能を統合している。

同社のOSであるWindows NT Server/Windows 2000に標準で付属する。

バージョン4.0からはトランザクションサービスを提供するMTSも付属し、ASPやCOMを組み合わせて開発された高度なWebアプリケーションを動作させることができる。

同社の次世代WebアプリケーションアーキテクチャのWindows DNAの中核となるサーバソフトウェアである。

ちなみに、IISの正式名称はバージョン5.0(Windows 2000付属版)から「Internet Information Services」になった。

IIS で認証を構成する方法

インターネット インフォメーション サービス (IIS) マネージャを起動するか、またはインターネット インフォメーション サービス (IIS) マネージャ スナップインを開きます。

[Server_name] を展開します。

Server_name はサーバーの名前です。

次に、[Web サイト] を展開します。

コンソール ツリーで、認証を構成する Web サイト、仮想ディレクトリ、またはファイルを右クリックし、[プロパティ] をクリックします。

[ディレクトリ セキュリティ] タブまたは [ファイル セキュリティ] タブをクリックし、[認証とアクセス制御] の [編集] をクリックします。

使用する認証方法の隣にあるチェック ボックスをオンにし、[OK] をクリックします。

 デフォルトで設定されている認証方法は、[匿名アクセスを有効にする] と [統合 Windows 認証] です。

[匿名アクセスを有効にする] : 匿名アクセスが有効になっている場合、サイトへのアクセスに、認証されたユーザーの資格情報は必要ありません。

このオプションは、セキュリティを必要としない情報への一般ユーザーによるアクセスを許可する場合に最適です。

ユーザーが Web サイトに接続しようとすると、IIS は IUSER_ComputerName アカウントに接続を割り当てます。

ComputerName は、IIS が実行されているサーバーの名前です。

デフォルトでは、IUSER_ComputerName アカウントは、Guests グループのメンバです。

このグループではセキュリティが制限されており、アクセス レベル、および一般ユーザーに利用できるコンテンツの種類を指定する NTFS ファイル システムのアクセス許可の影響を受けます。

匿名アクセスに使用する Windows アカウントを編集するには、[匿名アクセスを有効にする] ボックスの [参照] をクリックします。

重要 : 匿名アクセスを有効にすると、その他の認証方法を有効にしている場合にも、IIS では最初に匿名認証を使用してユーザーを認証します。

[統合 Windows 認証] : 以前は "NTLM" または "Windows NT チャレンジ/レスポンス認証" という名前でした。

この方法は、ネットワークを経由して Kerberos チケットとしてユーザー認証情報を送信し、高レベルのセキュリティを提供します。

Windows 統合認証は、Kerberos バージョン 5 と NTLM 認証を使用します。

この方法を使用するには、クライアントは Microsoft Internet Explorer 2.0 以降を使用する必要があります。

また、Windows 統合認証は HTTP プロキシ接続をサポートしません。

このオプションは、ユーザーと Web サーバー コンピュータが同じドメインに属しており、すべてのユーザーが Internet Explorer 2.0 以降を使用していることが確実な場合に、イントラネットに対して使用するのに最適です。

注 : 複数の認証オプションを有効にしている場合、IIS では最初にセキュリティ レベルが最も高い方法を使用してネゴシエートします。

その後、クライアントとサーバーの両方でサポートされている共通の認証プロトコルが見つかるまで、利用可能な認証プロトコルの一覧を順に試行します。

[Windows ドメイン サーバーでダイジェスト認証を使用する] : ダイジェスト認証には、ユーザー ID とパスワードが必要です。

これは、中レベルのセキュリティを提供し、一般のネットワークからのセキュリティ保護された情報へのアクセスを許可する場合に使用されることがあります。

この方法は、基本認証と同じ機能を提供しますが、ユーザーの資格情報をネットワーク経由で MD5 ハッシュ (メッセージ ダイジェスト) として転送します。

このメッセージ ダイジェストでは、元のユーザー名とパスワードをハッシュから解読できません。

この方法を使用するには、クライアントが Microsoft Internet Explorer 5.0 以降を使用し、Web クライアントと Web サーバーが同じドメインのメンバであるか、同じドメインで信頼されている必要があります。

ダイジェスト認証を有効にする場合、[領域] ボックスに領域名を入力する必要があります。

[基本認証 (パスワードはクリア テキストで送信)] : 基本認証には、ユーザー ID とパスワードが必要です。

この認証方法では、低レベルのセキュリティが提供されます。

ユーザーの資格情報は、ネットワーク上をクリア テキストで送信されます。

大部分のプロトコル アナライザがパスワードを読み取れるため、この形式で提供されるセキュリティは低くなりますが、最も多くの Web クライアントと互換性があります。

このオプションは、プライバシーをほとんど必要としない情報、またはまったく必要としない情報にアクセス許可を与える場合に最適です。

基本認証を有効にする場合、[既定のドメイン] ボックスに使用するドメイン名を入力します。

また、任意で [領域] ボックスに値を入力することもできます。

[.NET パスポート認証] : .NET Passport 認証は、シングル サインイン セキュリティを提供し、ユーザーにインターネット上のさまざまなサービスへのアクセスを提供します。

このオプションを有効にすると、ブラウザから IIS への要求時にクエリ文字列または cookie のいずれかに .NET Passport の資格情報が含まれている必要があります。

.NET Passport の資格情報が検出されないと、要求は .NET Passport ログオン ページにリダイレクトされます。

注 : このオプションを有効にすると、他のすべての認証方法が無効になります (淡色表示になります)。

ユーザーの資格情報ではなく、要求元のホストに基づいた別の種類の認証を使用することもできます。要求元の IP アドレス、要求元のネットワーク ID、または要求元のドメイン名に基づいてアクセスを制限できます。この種類の認証を構成するには、以下の手順を実行します。
[IP アドレスとドメイン名の制限] の [編集] をクリックします。
以下のいずれかの手順を実行します。
アクセスを拒否するには、[許可する] をクリックし、[追加] をクリックします。表示される [アクセス拒否] ダイアログ ボックスで必要なオプションを指定し、[OK] をクリックします。

指定したコンピュータ、コンピュータのグループ、またはドメインが一覧に追加されます。

または
アクセスを許可するには、[拒否する] をクリックし、[追加] をクリックします。表示される [アクセス許可] ダイアログ ボックスで必要なオプションを選択し、[OK] をクリックします。

選択したコンピュータ、コンピュータのグループ、またはドメインが一覧に追加されます。
[OK] をクリックします。
[OK] をクリックして、IIS マネージャを終了するか、IIS スナップインを閉じます。

匿名アクセスすべてのユーザーが、指定したリソースへのアクセスを許可されます。
ブラウザにはユーザー名とパスワードの入力を求めるダイアログ ボックスは表示されず、ユーザー情報を入力する必要はありません。匿名ユーザーは、IUSR_computernameというユーザを偽装して、そのユーザーとして振る舞います。

基本認証有効な Windows NT ユーザー アカウントに合致するユーザー情報を入力したユーザーだけが
アクセスを許可されます。

ユーザーのブラウザには、ユーザー名とパスワードを入力するためのダイアログ ボックスが表示されます。
この情報はクリア テキスト (暗号化されない状態) でサーバーに送られます。

統合Windows認証有効な Windows NT ユーザー アカウントを持つユーザーのみが、指定されたリソースへのアクセスを
許可されます。

ユーザー名とパスワードを入力するダイアログ ボックスは表示されず、ユーザー情報の入力も必要ありません。
ユーザー情報は暗号化されて送信されます。

ドメインにログオンした時にユーザーのコンピュータに保存されている情報が認証情報の交換で使用されるため、
ユーザーはこの情報を入力する必要がありません。

最初の認証が失敗すると、ユーザー情報の入力を求めるダイアログ ボックスがブラウザに表示されます。

ダイジェスト認証ハッシング テクノロジーを使用し、解読不能な方法でユーザー情報を送信します。

プロキシ サーバーやファイアウォールを超えて使用することができます。

サーバ認証とクライアント認証

このようにクライアントがサーバの電子証明書を認証することを「サーバ認証」と呼ぶ。このあと、オプションでサーバはクライアントに対して、クライアントの電子証明書を要求することができる。要求されるとクライアントはサーバにクライアントの電子証明書を送付し、サーバはクライアントの電子証明書を検証する。これを「サーバ・クライアント認証」と呼ぶ。この例ではクライアントの電子証明書を要求していない。SSLでは、「サーバ認証」は必須だが「サーバ・クライアント認証」は必須ではない。現在、一般的なショッピングサイトでは「サーバ認証」のみが主流だが、国や地方自治体への申請、多額の取引や重要なデータのやり取りなどでは「サーバ・クライアント認証」が用いられている。

    スポンサーリンク