文書番号: 264921 - 最終更新日: 2012年1月5日 - リビジョン: 0.1

IIS がクライアントのブラウザーを認証する方法

英語を並べて表示英語と日本語を並べて表示する
機械翻訳機械翻訳版の免責を確認する
対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。
この記事は、以前は次の ID で公開されていました: JP264921
すべてのユーザー Microsoft インターネット インフォメーション サービス (IIS) バージョン 7.0 にアップグレードすることを推奨マイクロソフト Windows Server 2008 を実行しています。IIS 7.0 は、Web インフラストラクチャのセキュリティが大幅に向上します。IIS のセキュリティ関連のトピックの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
IIS 7.0 の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)

目次

すべて展開する | すべて折りたたむ

概要

この資料では Microsoft Windows NT 4.0 および Microsoft Windows 2000 の IIS で使用できる、さまざまな認証方法について説明します。この資料に記載されている情報の詳細については、「Windows NT 4.0 および Windows 2000 のリソース ガイド」を参照してください。
先頭へ戻る

詳細

Windows NT 4.0 で使用可能な認証方法

匿名 ログオンが必要です- し、だれでもこの方法では保護されているデータにアクセスできます。サーバー、ビルトイン アカウント (iusr _ [マシン名] 既定では) では、ファイルのアクセス許可を制御する使用されます。ブラウザーから資格情報やユーザー情報がこの種類の要求を送信しません。
  • サポートされるブラウザー: すべて
  • 制限: なし
  • 必要なユーザー権利: サーバー上の匿名ユーザー アカウントが「ローカル ログオン」のアクセス許可が必要です。
  • [暗号化の種類: なし
基本 (クリア テキスト) -サーバー ログオンするユーザーを要求するダイアログ ボックスに必要な資格情報を入力するのには、ユーザーがブラウザーで表示します。これらの資格情報は、ユーザーがアクセスしようとしているファイルで定義されているユーザーの資格情報と一致しなければなりません。
  • サポートされるブラウザー: すべて
  • 制限事項: 非常に安全ではありません。パスワード解読は簡単です。
  • 必要なユーザー権利: ユーザー アカウントが「ローカル ログオン」のアクセス許可が必要です。
  • 暗号化の種類: Base 64 エンコード (本当の暗号化)
Windows NT チャレンジ/レスポンス -サーバーは、ログオンするユーザーを要求します。Windows NT チャレンジ/レスポンスのブラウザーをサポートしている場合は、ユーザーがログオンしている場合は、自動的にユーザーの資格情報送信します。ユーザーのドメインがサーバーのドメインとは、異なる場合は、ユーザーがログオンしていない場合は、送信する資格情報を要求するダイアログ ボックスが表示されます。Windows NT チャレンジ/レスポンスは、ユーザーの資格情報と、ユーザーが使用しているコンピューターに基づいてハッシュを生成するのにアルゴリズムを使用します。このハッシュがサーバーに送信されます。ブラウザー間でのユーザーのパスワードをサーバーに送信されません。
  • ブラウザーのサポート: インターネット エクスプ ローラー バージョン 3.01 以降
  • 制限: ポイント ツー ポイント接続が必要です。通常、回路、「401 認証されていません"エラーが発生するを閉じているメッセージ。Windows NT チャレンジ/レスポンスを使用することをクライアントが表示されても、(複数のラウンド トリップが必要です)、Windows NT チャレンジ/レスポンス認証シーケンスをネゴシエートするときに、サーバー回路、シーケンス中にオープンされます。これは CERN プロキシやその他のインターネット デバイス動作しなきます。また、(IIS サーバーに渡されると、同じ資格情報をバックエンド サーバーに認証を渡すことはできません、) Windows NT のチャレンジ/レスポンスでダブルホップがサポートしていません。
  • 必要なユーザー権利: サーバーにアクセスしているユーザー アカウントが「ネットワーク経由でこのコンピューターへのアクセス」のアクセス許可が必要です。
  • 暗号化の種類: また uuencode された NTLM ハッシュ アルゴリズム。
注文の優先順位:ブラウザーが要求すると、常に匿名に最初の要求を考慮します。したがって、資格情報は送信されません。匿名ユーザー アカウントを設定した場合、サーバー匿名または受け入れない場合サーバー アクセス許可される要求は、IIS サーバーは「アクセスが拒否されました」エラー メッセージを返し、次のシナリオのいずれかを使用して、サポートされている認証の種類の一覧を送信するファイルがありません。
  • Windows NT チャレンジ/レスポンスのみ場合メソッドまたは匿名の障害が発生したかどうかは、サポートされているし、ブラウザーがサーバーと通信するには、このメソッドをサポートする必要があります。それ以外の場合は、それがサーバーとネゴシエートできないし、「アクセスが拒否されました」エラー メッセージ返されます。
  • Basic だけ場合メソッドまたは匿名の障害が発生したかどうかは、サポートされているし、ダイアログ ボックスに、資格情報を取得するには、ブラウザーに表示され、これらの資格情報をサーバーに渡します。3 回までにこれらの資格情報を送信しようとします。これらのすべてが失敗した場合、ブラウザーは、サーバーに接続されていません。
  • Windows NT チャレンジ/レスポンスと Basic の両方がサポートされている場合は、どのメソッドを使用して、ブラウザーを決定します。Windows NT チャレンジ/レスポンスのブラウザーをサポートしている場合は、このメソッドを使用して、基本に戻すされません。Windows NT チャレンジ/レスポンスをサポートしていない場合は、Basic のブラウザーを使用します。
注意:
  • 基本認証または NTLM 認証を使用して、お使いのブラウザーとの接続は、Web サイトを確立すると、それを匿名に、残りのサーバーとのセッション中に下がらない。匿名アクセス用のみを認証した後に表示されている Web ページにアクセスしようとした場合は、拒否されます。(この可能性があります。 または Netscape は true 保持しない可能性があります)。
  • 基本認証または NTLM 認証を使用して Internet Explorer で、サーバーとの接続を確立すると、セッション中にすべての新しい要求の資格情報を渡します。
先頭へ戻る

Windows 2000 以降で使用可能な認証方法

匿名 ログオンが必要です- し、だれでもこの方法では保護されているデータにアクセスできます。サーバー、ビルトイン アカウント (iusr _ [マシン名] 既定では) では、ファイルのアクセス許可を制御する使用されます。ブラウザーから資格情報やユーザー情報がこの種類の要求を送信しません。
  • サポートされるブラウザー: すべて
  • 制限: なし
  • 必要なユーザー権利: サーバー上の匿名ユーザー アカウントが「ローカル ログオン」のアクセス許可が必要です。
  • [暗号化の種類: なし
基本 (クリア テキスト) -サーバー ログオンするユーザーを要求するダイアログ ボックスに必要な資格情報を入力するのには、ユーザーがブラウザーで表示します。これらの資格情報は、ユーザーがアクセスしようとしているファイルで定義されているユーザーの資格情報と一致しなければなりません。
  • サポートされるブラウザー: すべて
  • 制限事項: 非常に安全ではありません。パスワード解読は簡単です。
  • 必要なユーザー権利: ユーザー アカウントに「ローカル ログオン」権限が必要
  • 暗号化の種類: Base 64 エンコード (本当の暗号化)
ダイジェスト -サーバーは、ログオンするユーザーを要求し、またパスワードを暗号化するために使用する NONCE が送信します。ブラウザーは NONCE を使用して、パスワードを暗号化してこれをサーバーに送信します。サーバーは、ユーザーのパスワードのコピーを暗号化し、この 2 つを比較します。値が一致して、ユーザーのアクセス許可を持っている場合は、アクセスが許可されます。
  • ブラウザーのサポート: Internet Explorer 5 およびそれ以降のバージョン
  • 制限: としてではなく統合型としてセキュリティで保護します。ダイジェスト認証に設定されている Active Directory サーバーにアクセスできる、サーバーする必要があります。
  • 必要なユーザー権利: [保存暗号化されたクリア テキストとしてパスワード] にパスワードが必要です。
  • 暗号化の種類: サーバーによって送信された NONCE に基づいてください。

詳細については、Microsoft Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
222028? (http://support.microsoft.com/kb/222028/ ) インターネット インフォメーション サービス 5.0 で使用するための設定のダイジェスト認証
Fortezza IIS 5.0 で Fortezza セキュリティを使用するには、http://www.spyrus.com などの Fortezza プロバイダーから適切な暗号化 API サービス プロバイダー (CSP) ファイルを必要があります。

Windows 統合 (2 つのサブカテゴリに分割)
Kerberos -サーバーのログインを要求します。Kerberos のブラウザーをサポートしている場合は、次に行わをれます。
  • IIS は、認証を要求します。
  • クライアントがドメインにログオンしていない場合は、ダイアログ ボックスの資格情報を要求して、Internet Explorer で表示され、要求し、チケット交付チケットを受け取るには、KDC と通信します。チケット交付チケットが IIS サーバーに関する情報と共に KDC に送信されます。
  • IE クライアントが既に正常にドメインにログインし、チケット交付チケットを受信した場合は、このチケットを IIS サーバーに関する情報と共に KDC に送信します。
  • KDC はクライアントにリソース チケットを発行します。
  • クライアントはこのチケットを IIS サーバーに渡します。
Kerberos チケットは、チケット許可サーバー (KDC) で生成されたを使用して認証します。このチケットを IIS サーバーに送信します。ブラウザー間でのユーザーのパスワードをサーバーに送信されません。
  • ブラウザーのサポート: Internet Explorer バージョン 5.0 以降
  • 制限: サーバーは、Active Directory サーバーへのアクセスが必要です。KDC は信頼関係接続は、サーバーとクライアントの両方が必要です。
  • 必要なユーザー権利: サーバー上の匿名ユーザー アカウントが「ローカル ログオン」のアクセス許可が必要です。
  • [暗号化の種類: チケットを暗号化します。
Windows NT チャレンジ/レスポンス -サーバーは、ログオンするユーザーを要求します。Windows NT チャレンジ/レスポンスのブラウザーをサポートしている場合は、ユーザーがログオンしている場合は、自動的にユーザーの資格情報送信します。ユーザーのドメインがサーバーのドメインとは、異なる場合は、ユーザーがログオンしていない場合は、資格情報を要求を送信するインターネットでダイアログ ボックスを表示します。Windows NT チャレンジ/レスポンスは、ユーザーの資格情報と、ユーザーが使用しているコンピューターに基づいてハッシュを生成するのにアルゴリズムを使用します。このハッシュがサーバーに送信されます。ブラウザー間でのユーザーのパスワードをサーバーに送信されません。
  • ブラウザーのサポート: 3.01 以降の Internet Explorer のバージョン。
  • 制限: ポイント ツー ポイント接続が必要です。通常、回路、「401 認証されていません"エラーが発生するを閉じているメッセージ。Windows NT チャレンジ/レスポンスを使用することをクライアントが表示されても、(複数のラウンド トリップが必要です)、Windows NT チャレンジ/レスポンス認証シーケンスをネゴシエートするときに、サーバー回路、シーケンス中にオープンされます。これは CERN プロキシやその他のインターネット デバイス動作しなきます。また、Windows NT チャレンジ/レスポンスがダブルホップをサポートしません (IIS Windows NT チャレンジ/レスポンスを使用している場合、IIS サーバーに渡されると同じ資格情報をバックエンド サーバーに認証では、たとえば、渡すことはできないことを意味は、SQL Server データベースを別のコンピューターに対するユーザー SQL の統合セキュリティを使用して認証できません)。
  • 必要なユーザー権利: サーバーにアクセスするユーザー アカウントが「ネットワーク経由でこのコンピューターへのアクセス」のアクセス許可が必要です。
  • 暗号化の種類: また uuencode された NTLM ハッシュ アルゴリズム。
注文の優先順位:ブラウザーが要求すると、常に匿名に最初の要求を考慮します。したがって、資格情報は送信されません。サーバーは匿名を受け付けない場合、または、サーバー上の匿名ユーザー アカウントを設定する場合アクセス許可される要求は、IIS サーバーは「アクセスが拒否されました」エラー メッセージを返し、次のシナリオのいずれかを使用して、サポートされている認証の種類の一覧を送信するファイルがありません。
  • 統合 Windows だけならばメソッドまたは匿名の障害が発生したかどうかは、サポートされているし、ブラウザーがサーバーと通信するには、このメソッドをサポートする必要があります。これが失敗した場合は、サーバー、他の方法のいずれかを行いません。
  • Basic のみサポート メソッド (または匿名の障害が発生したかどうか)、ダイアログ ボックスが表示されますが、資格情報を取得して、これらがサーバーに渡されます。これは、3 回、資格情報を送信しようとします。これらのすべてが失敗した場合、ブラウザーがサーバーに接続されません。
  • 基本および統合の Windows がサポートされている場合は、どのメソッドを使用して、ブラウザーを決定します。Kerberos または Windows NT チャレンジ/レスポンスのブラウザーをサポートしている場合は、このメソッドを使用します。戻る基本にも分類されません。場合は、Windows NT の暗号化と Kerberos はサポートされていませんがこれらをサポートする場合、ブラウザー基本認証、ダイジェスト認証、または Fortezza 使用されます。ここでの優先順位は、基本、ダイジェスト、および、Fortezza です。
注意:
  • 基本認証または統合 Windows 認証を使用して、お使いのブラウザーとの接続は、Web サイトを確立すると、それを匿名に、残りのサーバーとのセッション中に下がらない。匿名アクセス用のみを認証した後に表示されている Web ページにアクセスしようとした場合は、拒否されます。(この可能性があります。 または Netscape は true 保持しない可能性があります)。
  • 匿名以外の認証方法を使用して Internet Explorer で、サーバーとの接続を確立すると、すべての新しい要求の資格情報、セッションの期間中に自動的に渡されます。
先頭へ戻る

関連情報

Windows Server 2003 で IIS Web サイト認証を構成する方法の詳細については、Microsoft Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
324274? (http://support.microsoft.com/kb/324274/ ) Windows Server 2003 で IIS Web サイト認証を構成する方法
認証プロセス中の IIS 6.0 でホストされている Web サイトのアプリケーション プールがリサイクルされる場合に発生する問題の詳細については、Microsoft Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
902160? (http://support.microsoft.com/kb/902160/ ) 「HTTP エラー 401」エラー メッセージが表示されると、IIS 6.0 でホストされている Web サイトが断続的に接続できません。
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 7.5
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
先頭へ戻る
キーワード:?
kbinfo kbmt KB264921 KbMtja
先頭へ戻る
機械翻訳機械翻訳
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:264921? (http://support.microsoft.com/kb/264921/en-us/ )
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"