基本認証を使用して Kerberos トークンを生成する

文書翻訳 文書翻訳
文書番号: 287537 - 対象製品
この記事は、以前は次の ID で公開されていました: JP287537
すべて展開する | すべて折りたたむ

概要

基本認証を使用して、インターネット インフォメーション サービス (IIS) でホストされている Web サイトに接続する場合、Kerberos の委任機能を利用して、IIS 上で実行されている Active Server Pages (ASP) から呼び出される Microsoft SQL Server などの複数のバックエンド サーバーで認証を行うことができます。Kerberos トークンを生成するには、IIS が Windows 2000 ドメインのメンバである必要があり、そのドメインの Active Directory にアクセスできる必要があります。

: Windows 2000 ドメインは、信頼された Massachusetts Institute of Technology (MIT) Kerberos 領域に対して UPN 資格情報を認証する場合や、基本認証を使用する場合に、Kerberos トークンを生成しません。この動作は仕様によるものです。

基本認証では、ユーザーの資格情報 (ユーザー名およびパスワード) がクリア テキストで転送されるため、基本認証は Secure Socket Layer (SSL) 接続でのみ使用するようにする必要があります。

詳細

IIS では、LsaLogonUser 関数を呼び出すことによってユーザーを認証します。この関数は、認証パッケージ (基本認証の場合は MICROSOFT_AUTHENTICATION_PACKAGE_V1_0) を呼び出します。ログオン イベントの監査ポリシーが有効である場合、基本認証が行われると、IIS 5.0 サーバーのセキュリティ ログに以下のイベントが書き込まれます。
Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	528
Date:		1/5/2001
Time:		6:11:04 PM
User:		Win2kDomain\rvittal
Computer:	IIS5server
Description:
Successful Logon:
 	User Name:       	rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x148D0AC)
 	Logon Type:	             2
 	Logon Process:	IIS     
 	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	Workstation Name:	IIS5server<BR/>
				
ユーザーが基本認証を使用して IIS にログオンすると、IIS ではそのユーザーの資格情報 (ユーザー名およびパスワード) が保持されます。IIS では、これらの資格情報を使用して、他のコンピュータ上でユーザーを偽装するために使用できるトークンを生成することができます。別の Windows 2000 Server 上のリソースを参照する Web ページをユーザーが要求すると、IIS サーバーでは Kerberos セキュリティ トークンが生成されます。その際には、リモート サーバーのセキュリティ ログに以下のようなイベントが書き込まれます。


Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	540
Date:		1/5/2001
Time:		1:16:06 PM
User:		Win2kDomain\rvittal
Computer:	SQLbox
Description:
Successful Network Logon:
 	User Name:	             rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x13A667F)
 	Logon Type:	             3
 	Logon Process:	             Kerberos
 	Authentication Package: Kerberos
 	Workstation Name:	
				
Kerberos は基本認証以外でも使用できます。統合認証を使用して構成された IIS5 サーバーに Windows 2000 クライアントが接続する場合、デフォルトでは Kerberos 認証が使用されます。

関連情報

この資料は、以下の書籍の 109 ページに記載されている情報に基づいています。

Howard、Michael、Richard Waymire、および Marc Levy 著『Designing Secure Web-Based Applications for Microsoft Windows 2000』 (Redmond : Microsoft Press、2000 年 7 月)、109 ページ

IIS の認証方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
264921 [INFO] IIS におけるブラウザ クライアントの認証方法
229694 [IIS]IIS のセキュリティ ツール "What If" の使用方法
Kerberos の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
217098 [NT]Windows 2000 での Kerberos 認証の概要
266080 Kerberos に関してよく寄せられる質問
231789 Windows 2000 のローカル ログオン プロセス

プロパティ

文書番号: 287537 - 最終更新日: 2006年4月14日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
キーワード:?
kbinfo KB287537
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com