none
Windows認証の「グループ」と適用範囲について RRS feed

  • 質問

  • こんにちは。
    お世話になります。

    ASP.NET2.0 のWindows認証の勉強をしています。
    (イントラネット上で、ID+パスワードを入力させることなくページを参照させたい)

    このたび、いろいろ調べるうちに、ユーザ名を特定した場合のアクセス拒否はできました。

    「ASP.NET 構成の設定」「承認」「ローカルの承認の規則」
    deny  Sample-DOMAIN\earthworm

    これで、Sample-DOMAINにログインしたearthwormさんはページにアクセスできなくなりました。

    が、疑問なのはここからです。
    ①Sample-DOMAIN\earthwormさんは、「Sample-DOMAIN\営業部」といグループに所属しています。
    earthwormだけでなく、「営業部」に属するものすべてを拒否することは可能でしょうか?
    Sample-DOMAIN\営業部 だけをDenyにしても、earthwormさんは入れてしまいました。

    ②特定のユーザ・グループだけOKにする場合は、ユーザ*をdenyにして、allowにしたいユーザ・グループを加える、ではないのでしょうか?
    (ユーザ*をdeny →だれもアクセスできなきなった)

    ③サイトではなく、特定のページを対象にすることは可能でしょうか?
    (ボタンを押したら、そのユーザ・グループはだめになるとか)

    よろしくお願いします。







    2010年2月26日 7:10

回答

  • Windows認証は使ってないのでもしかすると間違えているかもしれないですが。
    グループの設定はロールを有効にし、ロールとして扱うんじゃなかったかと思います。
    そのあたり、正しく設定できていますでしょうか。

    あと、denyとallowを設定する場合は必ずallowを先に書きましょう。
    web.configに書かれた設定は上から順に判定されます。
    最初にすべてのユーザをdenyとしてしまうと、その後にallowの記述があっても考慮されません。

    特定のページを対象にするには、locationを利用します。
    ASP.NETの構成ツールでは設定できなかったと思うので、web.configに直接記述しましょう。
    フォルダ毎の設定ならASP.NETの構成ツールで設定できるので、フォルダをわけてしまうのも一つの方法です。


    あおい情報システム株式会社 小野修司(どっとねっとふぁん)
    2010年2月26日 8:18
  • users, roles 属性の違いをご存知でしょうか? Windows 認証の場合、
    ユーザーアカウントを users、グループを roles で設定します。詳し
    くは以下のぺーじが参考になると思います。

    ASP.NET の承認
    http://msdn.microsoft.com/ja-jp/library/wce3kxhd.aspx

    ロール管理について
    http://msdn.microsoft.com/ja-jp/library/5k850zwb.aspx

    2010年2月26日 12:22

すべての返信

  • Windows認証は使ってないのでもしかすると間違えているかもしれないですが。
    グループの設定はロールを有効にし、ロールとして扱うんじゃなかったかと思います。
    そのあたり、正しく設定できていますでしょうか。

    あと、denyとallowを設定する場合は必ずallowを先に書きましょう。
    web.configに書かれた設定は上から順に判定されます。
    最初にすべてのユーザをdenyとしてしまうと、その後にallowの記述があっても考慮されません。

    特定のページを対象にするには、locationを利用します。
    ASP.NETの構成ツールでは設定できなかったと思うので、web.configに直接記述しましょう。
    フォルダ毎の設定ならASP.NETの構成ツールで設定できるので、フォルダをわけてしまうのも一つの方法です。


    あおい情報システム株式会社 小野修司(どっとねっとふぁん)
    2010年2月26日 8:18
  • users, roles 属性の違いをご存知でしょうか? Windows 認証の場合、
    ユーザーアカウントを users、グループを roles で設定します。詳し
    くは以下のぺーじが参考になると思います。

    ASP.NET の承認
    http://msdn.microsoft.com/ja-jp/library/wce3kxhd.aspx

    ロール管理について
    http://msdn.microsoft.com/ja-jp/library/5k850zwb.aspx

    2010年2月26日 12:22
  • 小野@どっとねっとふぁん さま

    ご回答ありがとうございます。

    キーワードはロールとlocationですね。
    調べて、試してみます。


    >最初にすべてのユーザをdenyとしてしまうと、その後にallowの記述があっても考慮されません。
    この情報もありがたいです。
    助かります。

    2010年2月28日 11:25
  • SurferOnWww さま

    ありがとうございます。
    参考にさせていただきます。
    2010年2月28日 11:26