IIS はブラウザー クライアントを認証する方法

文書翻訳 文書翻訳
文書番号: 264921 - 対象製品
すべてのユーザーには、インターネット インフォメーション サービス (IIS) バージョン 7.0 をアップグレードすることを強くお勧め Windows Server 2008 を実行しています。IIS 7.0 は、web インフラストラクチャのセキュリティが大幅に増加します。IIS のセキュリティ関連のトピックの詳細については、次のマイクロソフト web サイトを参照してください。
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
IIS 7.0 の詳細については、次のマイクロソフト web サイトを参照してください。
http://www.iis.net/default.aspx?tabid=1
すべて展開する | すべて折りたたむ

目次

概要

この資料は、IIS の Windows NT 4.0 および Windows 2000 の両方で使用可能な別の認証方法について説明します。この資料に記載されている情報の詳細については、Windows NT 4.0 と Windows 2000 の 『 リソース ガイド 』 を参照してください。

詳細

Windows NT 4.0 で使用可能な認証方法

このメソッドを使用して保護されているデータにアクセスできるだれでも匿名でないログオンする必要が.サーバーは、ビルトイン アカウント (iusr _ [マシン名] 既定では)、ファイルのアクセス許可を制御します。ブラウザーは、資格情報、またはこの種類の要求でユーザーの情報は送信されません。
  • サポートされるブラウザー: すべて
  • 制限事項: なし
  • 必要なユーザー権利: サーバー上で定義されている匿名ユーザー アカウントは、「ローカル ログオン」のアクセス許可が必要です。
  • 暗号化の種類: なし
基本 (クリア テキスト)で、サーバーにログオンするユーザーを要求して、必要な資格情報を入力することができますブラウザーにダイアログ ボックスが表示されます。これらの資格情報は、ユーザーがアクセスしようとしているファイルで定義されているユーザーの資格情報と一致しなければなりません。
  • サポートされるブラウザー: すべて
  • 制限事項: 非常に安全でないです。パスワード解読は簡単です。
  • 必要なユーザー権利: ユーザー アカウントには「ローカル ログオン」のアクセス許可が必要です。
  • 暗号化の種類: Base 64 エンコード (暗号化は真ではなく)
Windows NT チャレンジ/レスポンス- サーバーは、ユーザーにログオンを要求します。ブラウザーが Windows NT チャレンジ/レスポンスでは、ユーザーがログオンしている場合、ユーザーの資格情報が自動的に送信します。ユーザーがいるドメインは、サーバーのドメインと異なる場合、ユーザーがログオンしていない場合や、送信する資格情報を要求するダイアログ ボックスを表示します。Windows NT チャレンジ/レスポンスは、ユーザーの資格情報と、ユーザーが使用しているコンピューターに基づいてハッシュを生成するのにアルゴリズムを使用します。次にこのハッシュがサーバーに送信します。ブラウザー間でのユーザーのパスワードをサーバーに送信しません。
  • ブラウザーのサポート: Internet Explorer バージョン 3.01 以降
  • 制限: ポイント ツー ポイント接続が必要です。「401 権限がありません」エラー後に回路を閉じる、通常メッセージです。ただし、(複数のラウンド トリップが必要です) を Windows NT チャレンジ/レスポンス認証シーケンスをネゴシエートするときに、サーバー回路開いたままシーケンスの間後、クライアントが Windows NT チャレンジ/レスポンスは使用することが示されています。CERN プロキシやその他のインターネット デバイス動作このように。また、Windows NT チャレンジ/レスポンスはできませんダブルホップ (で IIS サーバーに渡される、認証と同じ資格情報をバックエンド サーバーに渡されることはできません)。
  • 必要なユーザー権利: サーバーにアクセスしているユーザー アカウントは、「このコンピューターをネットワークからのアクセス」のアクセス許可が必要です。
  • エンコードされている暗号化の種類: NTLM ハッシュ アルゴリズム。
順位:ブラウザーが要求を行ったときに、常に匿名アクセスを使用するには、最初の要求と見なします。このため、資格情報は送信されません。上の匿名ユーザー アカウントを設定する場合か、サーバーが承諾しない場合、サーバーする必要はありませんアクセス許可要求、IIS サーバーは「アクセスが拒否されました」エラー メッセージで応答し、次のシナリオのいずれかでサポートされている認証の種類の一覧に送信されたファイル。
  • Windows NT チャレンジ/レスポンスは、唯一の場合は、メソッド (または匿名の障害が発生したかどうか)、サポートされているし、ブラウザーがサーバーと通信するために、このメソッドをサポートする必要があります。それ以外の場合は、サーバーとのネゴシエートができず、ユーザー「アクセスが拒否されました」エラー メッセージ
  • Basic だけ場合メソッド (または匿名の障害が発生したかどうか)、サポートされているし、ダイアログ ボックス、資格情報を取得するのには、ブラウザーに表示され、これらの資格情報をサーバーに渡します。3 回までにこれらの資格情報を送信しようとします。これらはすべてが失敗した場合、ブラウザーがサーバーに接続されていません。
  • 基本および Windows NT チャレンジ/レスポンスの両方がサポートされている場合、ブラウザーはどのメソッドを使用して、決定します。ブラウザーで Windows NT チャレンジ/レスポンスをサポートしている場合は、このメソッドを使用してし、フォールバックはありませんを基本します。Windows NT チャレンジ/レスポンスがサポートされていない場合、ブラウザーは Basic を使用します。
注:
  • お使いのブラウザーが基本認証または NTLM 認証を使用して Web サイトとの接続を確立、ときにそれはいないフォールバックを匿名に、残りのサーバーとのセッション中に。認証後匿名とマークされている Web ページに接続しようとすると、するが拒否されます。(これも Netscape に対して true ならない可能性があります)。
  • Internet Explorer が基本認証または NTLM 認証を使用して、サーバーとの接続を確立するときに、セッションの間の新規の要求ごとに資格情報が渡されます。

Windows 2000 との上に使用可能な認証方法

このメソッドを使用して保護されているデータにアクセスできるだれでも匿名でないログオンする必要が.サーバーは、ビルトイン アカウント (iusr _ [マシン名] 既定では)、ファイルのアクセス許可を制御します。ブラウザーは、資格情報、またはこの種類の要求でユーザーの情報は送信されません。
  • サポートされるブラウザー: すべて
  • 制限事項: なし
  • 必要なユーザー権利: サーバー上で定義されている匿名ユーザー アカウントは、「ローカル ログオン」のアクセス許可が必要です。
  • 暗号化の種類: なし
基本 (クリア テキスト)で、サーバーにログオンするユーザーを要求して、必要な資格情報を入力することができますブラウザーにダイアログ ボックスが表示されます。これらの資格情報は、ユーザーがアクセスしようとしているファイルで定義されているユーザーの資格情報と一致しなければなりません。
  • サポートされるブラウザー: すべて
  • 制限事項: 非常に安全でないです。パスワード解読は簡単です。
  • 必要なユーザー権利: ユーザー アカウントには、「ローカル ログオン」権限が必要
  • 暗号化の種類: Base 64 エンコード (暗号化は真ではなく)
ダイジェスト- サーバーからユーザーのログオン要求し、パスワードの暗号化に使用する NONCE が送信されます。ブラウザーは、NONCE を使用して、パスワードを暗号化し、サーバーに送信。サーバーは、ユーザーのパスワードのコピーを暗号化し、2 つを比較します。一致して、ユーザーがアクセス許可、アクセスが許可されます。
  • ブラウザーのサポート: Internet Explorer 5 およびそれ以降のバージョン
  • 制限: としてではなく統合型としてセキュリティで保護します。サーバーがダイジェスト認証の設定を Active Directory サーバーにアクセスする必要があります。
  • 必要なユーザー権利: [保存暗号化されたクリア テキストとしてパスワード] にパスワードを要求します。
  • 暗号化の種類: は、サーバーから送信された NONCE に基づきます。

詳細については、以下の資料番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
222028 インターネット インフォメーション サービス 5.0 で使用するためのダイジェスト認証のセットアップ
Fortezza - IIS 5.0 で Fortezza セキュリティを使用する http://www.spyrus.com などの Fortezza プロバイダーから適切な暗号化 API サービス プロバイダー (CSP) ファイルが存在する必要があります。

Windows 統合認証 (2 つのサブカテゴリに分割)
Kerberosでサーバーにログオンするユーザーを要求します。ブラウザーで Kerberos をサポートしている場合は、次が発生します。
  • IIS は、認証を要求します。
  • クライアントがドメインにログオンしていない場合は、ダイアログ ボックスの資格情報を要求する Internet Explorer に表示され、kdc に要求し、チケット交付チケットを受信します。次に IIS サーバーに関する情報と共に、チケット交付チケットを KDC に送信します。
  • このチケットを IIS サーバーに関する情報と共に KDC に送信 IE クライアントが既に正常にドメインにログインして、チケット交付チケットを受信した場合
  • KDC は、クライアントにリソース チケットを発行します。
  • クライアントはこのチケットを IIS サーバーに渡します。
Kerberos 認証チケットは、チケットを与えるサーバー (KDC) で生成されたを使用します。このチケットを IIS サーバーに送信します。ブラウザー間でのユーザーのパスワードをサーバーに送信しません。
  • ブラウザーのサポート: Internet Explorer バージョン 5.0 以降
  • 制限事項: サーバーは、Active Directory サーバーへのアクセスが必要です。サーバーとクライアントの両方は、KDC への信頼関係接続が必要です。
  • 必要なユーザー権利: サーバー上で定義されている匿名ユーザー アカウントは、「ローカル ログオン」のアクセス許可が必要です。
  • 暗号化の種類: 暗号化されたチケット。
Windows NT チャレンジ/レスポンス- サーバーは、ユーザーにログオンを要求します。ブラウザーが Windows NT チャレンジ/レスポンスでは、ユーザーがログオンしている場合、ユーザーの資格情報が自動的に送信します。ユーザーがいるドメインは、サーバーのドメインと異なる場合、ユーザーがログオンしていない場合や、送信する資格情報を要求している Internet Explorer のダイアログ ボックスを表示します。Windows NT チャレンジ/レスポンスは、ユーザーの資格情報と、ユーザーが使用しているコンピューターに基づいてハッシュを生成するのにアルゴリズムを使用します。次にこのハッシュがサーバーに送信します。ブラウザー間でのユーザーのパスワードをサーバーに送信しません。
  • ブラウザーのサポート: Internet Explorer 3.01 以降のバージョン。
  • 制限: ポイント ツー ポイント接続が必要です。「401 権限がありません」エラー後に回路を閉じる、通常メッセージです。ただし、(複数のラウンド トリップが必要です) を Windows NT チャレンジ/レスポンス認証シーケンスをネゴシエートするときに、サーバー回路開いたままシーケンスの間後、クライアントが Windows NT チャレンジ/レスポンスは使用することが示されています。CERN プロキシやその他のインターネット デバイス動作このように。Windows NT チャレンジ/レスポンスがダブルホップをサポートしていませんまた、(つまり IIS サーバーに渡される、同じ資格情報ことはできませんに渡されることをバックエンド サーバー認証などの IIS が Windows NT チャレンジ/レスポンスを使用する場合、しユーザーを認証できません、別のコンピューター上の SQL Server データベースに対して SQL 統合セキュリティを使用して)。
  • 必要なユーザー権利: サーバーにアクセスするユーザー アカウントは、「このコンピューターをネットワークからのアクセス」のアクセス許可が必要です。
  • エンコードされている暗号化の種類: NTLM ハッシュ アルゴリズム。
順位:ブラウザーが要求を行ったときに、常に匿名アクセスを使用するには、最初の要求と見なします。このため、資格情報は送信されません。サーバーが匿名を受け付けない場合、または場合は、サーバー上の匿名ユーザー アカウントを設定する必要はありませんアクセス許可要求、IIS サーバーは「アクセスが拒否されました」エラー メッセージで応答し、次のシナリオのいずれかでサポートされている認証の種類の一覧に送信されたファイル。
  • Windows 統合認証のみの場合は、メソッド (または匿名の障害が発生したかどうか)、サポートされているし、ブラウザーがサーバーと通信するために、このメソッドをサポートする必要があります。これが失敗した場合、サーバーはください、他の方法のいずれか。
  • Basic が、唯一サポートされているメソッド (または匿名の障害が発生したかどうか)、ダイアログ ボックスに表示されますは、資格情報を取得して、サーバーに渡されます。3 回、資格情報を送信しようとします。これらはすべてが失敗した場合、ブラウザーはサーバーに接続されません。
  • 基本および Windows 統合認証の両方がサポートされている場合、ブラウザーはどのメソッドを使用して、決定します。Kerberos 認証または Windows NT チャレンジ/レスポンスのブラウザーの場合は、このメソッドを使用します。それはしないに戻る基本。Windows NT チャレンジ/レスポンスと Kerberos はサポートされていない場合、ブラウザー使用して、基本認証、ダイジェスト認証、または Fortezza これらをサポートしている場合。ここでは、優先順位は、基本、ダイジェストとし、Fortezza です。
メモ:
  • お使いのブラウザーが基本認証または統合 Windows 認証を使用して Web サイトとの接続を確立、ときにそれはいないフォールバックを匿名に、残りのサーバーとのセッション中に。匿名の認証後マークを Web ページに接続しようとする場合は拒否します。(これも Netscape に対して true ならない可能性があります)。
  • Internet Explorer が匿名以外の認証方法を使用して、サーバーとの接続を確立するときに自動的に、セッションの期間中に新規の要求ごとに資格情報を渡します。

関連情報

Windows Server 2003 で IIS Web サイトの認証を構成する方法の詳細については、次のマイクロソフト サポート技術資料を参照する次の文書番号をクリックしてください。
324274 Windows Server 2003 で IIS Web サイトの認証を構成する方法
認証プロセス中に、IIS 6.0 でホストされている Web サイトのアプリケーション プールがリサイクルされる場合に発生する問題の詳細については、次のマイクロソフト サポート技術資料を参照する次の文書番号をクリックしてください。
902160 表示されます"HTTP エラー 401」エラー メッセージが断続的にして、IIS 6.0 でホストされている Web サイトに接続できません。

プロパティ

文書番号: 264921 - 最終更新日: 2013年11月19日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
キーワード:?
kbinfo kbmt KB264921 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:264921
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com