現在オフラインです。再接続するためにインターネットの接続を待っています

基本認証を使用して Kerberos トークンを生成する

この記事は、以前は次の ID で公開されていました: JP287537
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
概要
基本認証を使用して、インターネット インフォメーション サービス (IIS) でホストされている Web サイトに接続する場合、Kerberos の委任機能を利用して、IIS 上で実行されている Active Server Pages (ASP) から呼び出される Microsoft SQL Server などの複数のバックエンド サーバーで認証を行うことができます。Kerberos トークンを生成するには、IIS が Windows 2000 ドメインのメンバである必要があり、そのドメインの Active Directory にアクセスできる必要があります。

: Windows 2000 ドメインは、信頼された Massachusetts Institute of Technology (MIT) Kerberos 領域に対して UPN 資格情報を認証する場合や、基本認証を使用する場合に、Kerberos トークンを生成しません。この動作は仕様によるものです。

基本認証では、ユーザーの資格情報 (ユーザー名およびパスワード) がクリア テキストで転送されるため、基本認証は Secure Socket Layer (SSL) 接続でのみ使用するようにする必要があります。
詳細
IIS では、LsaLogonUser 関数を呼び出すことによってユーザーを認証します。この関数は、認証パッケージ (基本認証の場合は MICROSOFT_AUTHENTICATION_PACKAGE_V1_0) を呼び出します。ログオン イベントの監査ポリシーが有効である場合、基本認証が行われると、IIS 5.0 サーバーのセキュリティ ログに以下のイベントが書き込まれます。
Event Type:	Success AuditEvent Source:	SecurityEvent Category:	Logon/Logoff Event ID:	528Date:		1/5/2001Time:		6:11:04 PMUser:		Win2kDomain\rvittalComputer:	IIS5serverDescription:Successful Logon: 	User Name:       	rvittal 	Domain:		Win2kDomain 	Logon ID:		(0x0,0x148D0AC) 	Logon Type:	             2 	Logon Process:	IIS      	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 	Workstation Name:	IIS5server<BR/>				
ユーザーが基本認証を使用して IIS にログオンすると、IIS ではそのユーザーの資格情報 (ユーザー名およびパスワード) が保持されます。IIS では、これらの資格情報を使用して、他のコンピュータ上でユーザーを偽装するために使用できるトークンを生成することができます。別の Windows 2000 Server 上のリソースを参照する Web ページをユーザーが要求すると、IIS サーバーでは Kerberos セキュリティ トークンが生成されます。その際には、リモート サーバーのセキュリティ ログに以下のようなイベントが書き込まれます。
Event Type:	Success AuditEvent Source:	SecurityEvent Category:	Logon/Logoff Event ID:	540Date:		1/5/2001Time:		1:16:06 PMUser:		Win2kDomain\rvittalComputer:	SQLboxDescription:Successful Network Logon: 	User Name:	             rvittal 	Domain:		Win2kDomain 	Logon ID:		(0x0,0x13A667F) 	Logon Type:	             3 	Logon Process:	             Kerberos 	Authentication Package: Kerberos 	Workstation Name:					
Kerberos は基本認証以外でも使用できます。統合認証を使用して構成された IIS5 サーバーに Windows 2000 クライアントが接続する場合、デフォルトでは Kerberos 認証が使用されます。
関連情報
この資料は、以下の書籍の 109 ページに記載されている情報に基づいています。

Howard、Michael、Richard Waymire、および Marc Levy 著『Designing Secure Web-Based Applications for Microsoft Windows 2000』 (Redmond : Microsoft Press、2000 年 7 月)、109 ページ

IIS の認証方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
264921 [INFO] IIS におけるブラウザ クライアントの認証方法
229694 [IIS]IIS のセキュリティ ツール "What If" の使用方法
Kerberos の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
217098 [NT]Windows 2000 での Kerberos 認証の概要
266080 Kerberos に関してよく寄せられる質問
231789 Windows 2000 のローカル ログオン プロセス
iis 5
プロパティ

文書番号:287537 - 最終更新日: 04/14/2006 06:56:24 - リビジョン: 3.0

Microsoft Internet Information Services 5.0

  • kbinfo KB287537
フィードバック