基本認証を使用して Kerberos トークンを生成する

サポートが終了した KB の内容についての免責事項

この記事は、マイクロソフトがサポートを提供しなくなった製品について記述しています。 したがって、この記事は「現状のまま」で提供され、更新されることはありません。

概要

基本認証を使用して、インターネット インフォメーション サービス (IIS) でホストされている Web サイトに接続する場合、Kerberos の委任機能を利用して、IIS 上で実行されている Active Server Pages (ASP) から呼び出される Microsoft SQL Server などの複数のバックエンド サーバーで認証を行うことができます。Kerberos トークンを生成するには、IIS が Windows 2000 ドメインのメンバである必要があり、そのドメインの Active Directory にアクセスできる必要があります。


: Windows 2000 ドメインは、信頼された Massachusetts Institute of Technology (MIT) Kerberos 領域に対して UPN 資格情報を認証する場合や、基本認証を使用する場合に、Kerberos トークンを生成しません。この動作は仕様によるものです。


基本認証では、ユーザーの資格情報 (ユーザー名およびパスワード) がクリア テキストで転送されるため、基本認証は Secure Socket Layer (SSL) 接続でのみ使用するようにする必要があります。

詳細

IIS では、LsaLogonUser 関数を呼び出すことによってユーザーを認証します。この関数は、認証パッケージ (基本認証の場合は MICROSOFT_AUTHENTICATION_PACKAGE_V1_0) を呼び出します。ログオン イベントの監査ポリシーが有効である場合、基本認証が行われると、IIS 5.0 サーバーのセキュリティ ログに以下のイベントが書き込まれます。

Event Type:Success Audit
Event Source:Security
Event Category:Logon/Logoff
Event ID:528
Date:1/5/2001
Time:6:11:04 PM
User:Win2kDomain\rvittal
Computer:IIS5server
Description:
Successful Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x148D0AC)
Logon Type: 2
Logon Process:IIS
Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name:IIS5server<BR/>
ユーザーが基本認証を使用して IIS にログオンすると、IIS ではそのユーザーの資格情報 (ユーザー名およびパスワード) が保持されます。IIS では、これらの資格情報を使用して、他のコンピュータ上でユーザーを偽装するために使用できるトークンを生成することができます。別の Windows 2000 Server 上のリソースを参照する Web ページをユーザーが要求すると、IIS サーバーでは Kerberos セキュリティ トークンが生成されます。その際には、リモート サーバーのセキュリティ ログに以下のようなイベントが書き込まれます。

Event Type:Success Audit
Event Source:Security
Event Category:Logon/Logoff
Event ID:540
Date:1/5/2001
Time:1:16:06 PM
User:Win2kDomain\rvittal
Computer:SQLbox
Description:
Successful Network Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x13A667F)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Kerberos は基本認証以外でも使用できます。統合認証を使用して構成された IIS5 サーバーに Windows 2000 クライアントが接続する場合、デフォルトでは Kerberos 認証が使用されます。

関連情報

この資料は、以下の書籍の 109 ページに記載されている情報に基づいています。


Howard、Michael、Richard Waymire、および Marc Levy 著『Designing Secure Web-Based Applications for Microsoft Windows 2000』 (Redmond : Microsoft Press、2000 年 7 月)、109 ページ


IIS の認証方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

264921 [INFO] IIS におけるブラウザ クライアントの認証方法
229694 [IIS]IIS のセキュリティ ツール "What If" の使用方法
Kerberos の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

217098 [NT]Windows 2000 での Kerberos 認証の概要
266080 Kerberos に関してよく寄せられる質問

231789 Windows 2000 のローカル ログオン プロセス
プロパティ

文書番号:287537 - 最終更新日: 2006/04/14 - リビジョン: 1

フィードバック