Windows Server 2003 で IIS の Web サイト認証を構成する方法

文書翻訳 文書翻訳
文書番号: 324274 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows Server 2003 で Microsoft インターネット インフォメーション サービス (IIS) の Web サイト認証を構成する方法について説明します。Web サイト、サイト内のフォルダ、またはサイト内のフォルダに含まれる特定のドキュメントへのアクセスをユーザーに許可する前にユーザーを認証するように、IIS を構成することができます。IIS での認証を使用することにより、一般ユーザーに公開しないサイト、フォルダ、およびドキュメントのセキュリティのレベルを強化することができます。

IIS での認証は、Web サーバーのリソースへの匿名アクセスまたは一般ユーザーのアクセスを行わせず、許可を受けたユーザーがインターネット経由でリソースにアクセスできるようにする必要がある場合に重要です。認証によるアクセス制御を必要とする Web サイト アプリケーションの例には、Microsoft Outlook Web Access (OWA) や Microsoft Terminal Services Advanced Client があります。


IIS で認証を構成する方法

  1. インターネット インフォメーション サービス (IIS) マネージャを起動するか、またはインターネット インフォメーション サービス (IIS) マネージャ スナップインを開きます。
  2. [Server_name] を展開します。Server_name はサーバーの名前です。次に、[Web サイト] を展開します。
  3. コンソール ツリーで、認証を構成する Web サイト、仮想ディレクトリ、またはファイルを右クリックし、[プロパティ] をクリックします。
  4. [ディレクトリ セキュリティ] タブまたは [ファイル セキュリティ] タブをクリックし、[認証とアクセス制御] の [編集] をクリックします。
  5. 使用する認証方法の隣にあるチェック ボックスをオンにし、[OK] をクリックします。

    デフォルトで設定されている認証方法は、[匿名アクセスを有効にする] と [統合 Windows 認証] です。
    • [匿名アクセスを有効にする] : 匿名アクセスが有効になっている場合、サイトへのアクセスに、認証されたユーザーの資格情報は必要ありません。このオプションは、セキュリティを必要としない情報への一般ユーザーによるアクセスを許可する場合に最適です。ユーザーが Web サイトに接続しようとすると、IIS は IUSER_ComputerName アカウントに接続を割り当てます。ComputerName は、IIS が実行されているサーバーの名前です。デフォルトでは、IUSER_ComputerName アカウントは、Guests グループのメンバです。このグループではセキュリティが制限されており、アクセス レベル、および一般ユーザーに利用できるコンテンツの種類を指定する NTFS ファイル システムのアクセス許可の影響を受けます。匿名アクセスに使用する Windows アカウントを編集するには、[匿名アクセスを有効にする] ボックスの [参照] をクリックします。

      重要 : 匿名アクセスを有効にすると、その他の認証方法を有効にしている場合にも、IIS では最初に匿名認証を使用してユーザーを認証します。
    • [統合 Windows 認証] : 以前は "NTLM" または "Windows NT チャレンジ/レスポンス認証" という名前でした。この方法は、ネットワークを経由して Kerberos チケットとしてユーザー認証情報を送信し、高レベルのセキュリティを提供します。Windows 統合認証は、Kerberos バージョン 5 と NTLM 認証を使用します。この方法を使用するには、クライアントは Microsoft Internet Explorer 2.0 以降を使用する必要があります。また、Windows 統合認証は HTTP プロキシ接続をサポートしません。このオプションは、ユーザーと Web サーバー コンピュータが同じドメインに属しており、すべてのユーザーが Internet Explorer 2.0 以降を使用していることが確実な場合に、イントラネットに対して使用するのに最適です。

      : 複数の認証オプションを有効にしている場合、IIS では最初にセキュリティ レベルが最も高い方法を使用してネゴシエートします。その後、クライアントとサーバーの両方でサポートされている共通の認証プロトコルが見つかるまで、利用可能な認証プロトコルの一覧を順に試行します。
    • [Windows ドメイン サーバーでダイジェスト認証を使用する] : ダイジェスト認証には、ユーザー ID とパスワードが必要です。これは、中レベルのセキュリティを提供し、一般のネットワークからのセキュリティ保護された情報へのアクセスを許可する場合に使用されることがあります。この方法は、基本認証と同じ機能を提供しますが、ユーザーの資格情報をネットワーク経由で MD5 ハッシュ (メッセージ ダイジェスト) として転送します。このメッセージ ダイジェストでは、元のユーザー名とパスワードをハッシュから解読できません。この方法を使用するには、クライアントが Microsoft Internet Explorer 5.0 以降を使用し、Web クライアントと Web サーバーが同じドメインのメンバであるか、同じドメインで信頼されている必要があります。

      ダイジェスト認証を有効にする場合、[領域] ボックスに領域名を入力する必要があります。
    • [基本認証 (パスワードはクリア テキストで送信)] : 基本認証には、ユーザー ID とパスワードが必要です。この認証方法では、低レベルのセキュリティが提供されます。ユーザーの資格情報は、ネットワーク上をクリア テキストで送信されます。大部分のプロトコル アナライザがパスワードを読み取れるため、この形式で提供されるセキュリティは低くなりますが、最も多くの Web クライアントと互換性があります。このオプションは、プライバシーをほとんど必要としない情報、またはまったく必要としない情報にアクセス許可を与える場合に最適です。

      基本認証を有効にする場合、[既定のドメイン] ボックスに使用するドメイン名を入力します。また、任意で [領域] ボックスに値を入力することもできます。
    • [.NET パスポート認証] : .NET Passport 認証は、シングル サインイン セキュリティを提供し、ユーザーにインターネット上のさまざまなサービスへのアクセスを提供します。このオプションを有効にすると、ブラウザから IIS への要求時にクエリ文字列または cookie のいずれかに .NET Passport の資格情報が含まれている必要があります。.NET Passport の資格情報が検出されないと、要求は .NET Passport ログオン ページにリダイレクトされます。

      : このオプションを有効にすると、他のすべての認証方法が無効になります (淡色表示になります)。
  6. ユーザーの資格情報ではなく、要求元のホストに基づいた別の種類の認証を使用することもできます。要求元の IP アドレス、要求元のネットワーク ID、または要求元のドメイン名に基づいてアクセスを制限できます。この種類の認証を構成するには、以下の手順を実行します。
    1. [IP アドレスとドメイン名の制限] の [編集] をクリックします。
    2. 以下のいずれかの手順を実行します。
      • アクセスを拒否するには、[許可する] をクリックし、[追加] をクリックします。表示される [アクセス拒否] ダイアログ ボックスで必要なオプションを指定し、[OK] をクリックします。

        指定したコンピュータ、コンピュータのグループ、またはドメインが一覧に追加されます。

        または
      • アクセスを許可するには、[拒否する] をクリックし、[追加] をクリックします。表示される [アクセス許可] ダイアログ ボックスで必要なオプションを選択し、[OK] をクリックします。

        選択したコンピュータ、コンピュータのグループ、またはドメインが一覧に追加されます。
    3. [OK] をクリックします。
  7. [OK] をクリックして、IIS マネージャを終了するか、IIS スナップインを閉じます。

トラブルシューティング

  • 既存のサイトに行った変更を適用するように求めるメッセージが表示されることがあります。認証の変更を他のコンテンツに適用する場合は、一覧の子ノードから対象となるコンテンツをクリックし、[OK] をクリックします。子ノードのいずれにも変更を適用しない場合は、一覧の項目をクリックせずに [OK] をクリックします。
  • IIS では、Web サイト、ディレクトリ、またはファイル レベルで認証オプションを設定できます。それぞれについて、この資料で説明されている同じ原則が適用されます。

プロパティ

文書番号: 324274 - 最終更新日: 2007年12月4日 - リビジョン: 6.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Information Services 6.0
キーワード:?
kbhowto kbhowtomaster kbwebservices kbappservices KB324274
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com