この資料の内容
概要
この資料では、Microsoft インターネット インフォメーション サービス (IIS) 5.0 で、Web ベースの要求に対する認証を構成する方法について、手順を追って説明します。
Web 認証のしくみ
Web 認証は、少数の HTTP (Hyper Text Transfer Protocol) ヘッダーとエラー メッセージを伴う、Web ブラウザと Web サーバーとの間の通信です。
通信の流れは以下のとおりです。
-
Web ブラウザから HTTP-GET などの要求を行います。
-
Web サーバーで認証チェックが実行されます。認証が必要なために認証チェックが失敗すると、サーバーから次のようなエラー メッセージが返されます。
このページを表示する権限がありません。
提供された資格情報には、このディレクトリまたはページを表示する権限がありません。このメッセージには、Web ブラウザが認証済み要求として要求を再送信するために使用する情報が含まれます。
-
Web ブラウザで、サーバーの応答を使用して、認証情報を含む新しい要求が作成されます。
-
Web サーバーで認証チェックが実行されます。チェックに成功すると、最初に要求されたデータが Web サーバーから Web ブラウザに送信されます。
認証方法
注 : 以下の認証方法の一部では、NTFS ファイル システムでフォーマットしたドライブを使用する必要があります。NTFS フォーマットのドライブでは、高レベルのセキュリティを維持できるためです。
IIS では、次の 5 種類の Web 認証方法がサポートされています。
匿名認証
匿名ユーザーが Web コンテンツを要求すると、IIS は IUSR_computername アカウント (computername はコンピュータの名前) というアカウントを作成して、匿名ユーザーを認証します。このアカウントによって、ユーザーにローカルでログオンする権利が与えられます。匿名ユーザーでのアクセスを再設定して、有効な Windows アカウントを使用することもできます。
注 : Web サイト、仮想ディレクトリや物理ディレクトリ、およびファイルごとに異なる匿名アカウントを設定できます。
Windows 2000 ベースのコンピュータがスタンドアロン サーバーである場合、IUSR_computername アカウントはローカル サーバー上にあります。サーバーがドメイン コントローラである場合、IUSR_computername アカウントはドメインに対して定義されます。
基本認証
基本認証は、NTFS フォーマットの Web サーバーでファイルへのアクセスを制限するために使用します。基本認証では、ユーザーは資格情報を入力する必要があり、ユーザー ID に基づいてアクセスが許可されます。
基本認証を使用するには、各ユーザーにローカルでログオンする権利を与えます。管理を容易にするには、それらのユーザーを、必要なファイルへのアクセス許可を持つグループに追加します。
注 : ユーザー資格情報は Base64 エンコーディングでエンコードされますが、ネットワーク経由で送信されるときに暗号化されないため、基本認証はセキュリティで保護されていない形式の認証と見なされます。
統合 Windows 認証
統合 Windows 認証は、基本認証よりも高度なセキュリティで保護されており、ユーザーが Windows ドメイン アカウントを持つイントラネット環境に適しています。統合 Windows 認証では、現在のユーザーがドメインへのログオンに使用した資格情報がブラウザで使用され、認証に失敗した場合にはユーザーがユーザー名とパスワードの入力を求められます。統合 Windows 認証を使用した場合、ユーザーのパスワードはサーバーに送信されません。ユーザーがドメイン ユーザーとしてローカル コンピュータにログオンしていれば、そのドメインのネットワーク コンピュータにアクセスする際に、再度認証を行う必要はありません。
注 : 統合 Windows 認証は、プロキシ サーバー経由では使用できません。
ダイジェスト認証
ダイジェスト認証では、基本認証の弱点の多くが解決されています。ダイジェスト認証を使用した場合、パスワードはクリア テキストで送信されません。さらに、ダイジェスト認証はプロキシ サーバー経由で使用できます。ダイジェスト認証では、統合 Windows 認証で使用されているチャレンジ/レスポンス機構を使用しており、パスワードは暗号化されて送信されます。ダイジェスト認証を使用するには、以下の点に注意してください。
-
Windows 2000 ベースのサーバーが、ドメインに存在する必要があります。
-
ドメイン コントローラに IISSuba.dll ファイルをインストールする必要があります。このファイルは、Windows 2000 Server のセットアップ中に自動的にコピーされます。
-
すべてのユーザー アカウントを、[暗号化を元に戻せる状態でパスワードを保存する] アカウント オプションをオンにして構成する必要があります。このアカウント オプションをオンにするには、パスワードをリセットするか、または再入力する必要があります。
注 : ダイジェスト認証を使用する場合は、Web ブラウザとして Microsoft Internet Explorer 5.0 以降を使用する必要があります。
クライアント証明書のマッピング
クライアント証明書のマッピングとは、証明書とユーザー アカウントの間に "マッピング" を作成する方法です。このモデルでは、ユーザーが証明書を提示すると、システムはマッピングを参照して、どのユーザー アカウントがログオンできるかを判断します。次のいずれかの方法で、証明書を Windows ユーザー アカウントにマッピングできます。
-
Active Directory を使用する方法
または -
IIS で定義されたルールを使用する方法
クライアント証明書をユーザー アカウントにマップする方法に関する詳細については、IIS マニュアルで「ユーザー アカウントにクライアント証明書をマップする」を検索してください。IIS がインストールされている場合は、Web ブラウザのアドレス バーに以下の URL を入力することによって、IIS マニュアルを表示できます。URL の localhost はローカル ホストの名前です。
http://localhost/iisHelp/iis/misc/default.asp証明書の使用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290625 Certificate Server 2.0 を使用して Windows 2000 IIS 5.0 のテスト環境で SSL を構成する方法
それぞれの認証方法を構成して、IIS サーバー上の以下の項目へのアクセスを制御できます。
-
IIS サーバー上でホストされているすべての Web コンテンツ
-
IIS サーバー上でホストされている個々の Web サイト
-
Web サイト内にある個々の仮想ディレクトリまたは物理ディレクトリ
-
Web サイト内にある個々のページまたはファイル
IIS の Web サイト認証を構成する方法
-
管理者アカウントを使用して、Web サーバー コンピュータにログオンします。
-
[スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントして、[インターネット サービス マネージャ] をクリックします。
インターネット インフォメーション サービス スナップインが起動します。 -
コンソール ツリーで、[*computer name] (computer name はコンピュータの名前) をクリックします。
-
以下の項目のいずれかを右クリックし、[プロパティ] をクリックします。
-
IIS サーバー上でホストされているすべての Web コンテンツの認証を構成するには、[* computer name] を右クリックします。
-
個々の Web サイトの認証を構成するには、対象の Web サイトを右クリックします。
-
Web サイト内にある仮想ディレクトリまたは物理ディレクトリの認証を構成するには、対象の Web サイトをクリックし、[_vti_pvt] などの対象のディレクトリを右クリックします。
-
Web サイト内にある個々のページまたはファイルの認証を構成するには、Web サイトをクリックし、ファイルまたはページを含むフォルダをクリックして、対象のファイルまたはページを右クリックします。
-
-
[Item Name のプロパティ] ダイアログ ボックスで、[ディレクトリ セキュリティ] タブをクリックします。Item Name は、選択した項目の名前です。
注 : 選択した項目が個別のファイルの場合は、[ファイル セキュリティ] タブをクリックします。 -
[匿名アクセスおよび認証コントロール] の [編集] をクリックします。
-
[匿名アクセス] チェック ボックスをオンにして、匿名アクセスを有効にします。匿名アクセスを無効にするには、このチェック ボックスをオフにします。
注 : 匿名アクセスを無効にした場合は、何らかの認証アクセス形式を構成する必要があります。-
このリソースへの匿名アクセスで使用されるアカウントを変更するには、[匿名アクセスで使用されるアカウント] の横の [編集] をクリックします。
-
[匿名ユーザー アカウント] ダイアログ ボックスで、匿名アクセスに使用するユーザーをクリックします。
-
ユーザー認証に Windows LogonUser() API を使用する場合は、[IIS によるパスワードの管理を許可する] チェック ボックスをオフにします。
注 : このパスワード制御オプションをオフにすることによって、IIS に通常の認証を使用することを強制し、そのアカウントでローカルにログオンします。ネットワーク コンピュータ上のファイルや Microsoft Access データベースなどのリソースへのユーザーからのアクセスが困難な場合、このオプションをオフにする必要があります。 -
[OK] をクリックします。
-
-
[認証済みアクセス] の [基本認証 (パスワードはクリア テキストで送信されます)] チェック ボックスをオンにして、基本認証を有効にします。以下のメッセージが表示されたら、[はい] をクリックします。
選択した認証オプションでは、パスワードが暗号化されずにネットワーク上に送信されます。この場合、プロトコル アナライザを使って認証処理中にユーザー パスワードを解析される可能性があります。ユーザー認証についての詳細は、オンライン ヘルプを参照してください。この警告は HTTPS または SSL 接続には適用されません。
続行しますか ?-
基本認証を使用しているユーザーを認証するために使用されるドメインを選択するには、[既定のドメインを選択してください] の横の [編集] をクリックします。
-
[ドメイン名] ボックスに任意のドメインを入力し、[OK] をクリックします。
-
-
ダイジェスト認証を使用する場合は、[Windows ドメイン サーバーでダイジェスト認証を使用する] チェック ボックスをオンにします。次のメッセージが表示されたら、[はい] をクリックします。
ダイジェスト認証は Windows 2000 ドメインに登録されているアカウントのみに使用でき、アカウントは暗号化されたクリア テキストとしてパスワードを保存する必要があります。
続行しますか?
注 : [暗号化を元に戻せる状態でパスワードを保存する] アカウント オプションをオンにした状態でユーザー アカウントを構成する必要があります。 -
統合 Windows 認証を使用するには、[統合 Windows 認証] チェック ボックスをオンにします。
注 : この認証方法は、以前 Microsoft Windows NT チャレンジ/レスポンスまたは NT LAN Manager (NTLM) と呼ばれていたものです。 -
[OK] をクリックし、[Item Name のプロパティ] ダイアログ ボックスで [OK] をクリックします。[継承/優先] ダイアログ ボックスが表示された場合、以下の手順を実行します。
-
[すべて選択] をクリックして、変更した項目の中に存在するすべてのファイルやフォルダに新しい認証設定を適用します。
-
[OK] をクリックします。
-
-
インターネット インフォメーション サービスを終了します。
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
297954
[HOW TO] Windows 2000 Web サーバーのトラブルシューティングを行う方法
299970
[HOW TO] NTFS セキュリティを使用して IIS 4.0 または 5.0 上の Web ページを保護する方法
216705
[fpserver] IIS の FrontPage Web で権限を設定する方法
222028
[IIS] IIS 5.0 でダイジェスト認証を有効にする方法
158229 [INFO] IIS アプリケーションのセキュリティの影響