プロキシ経由のWindows認証

Question

Visual Studio共通フォーラムで質問させていただきました。

http://social.msdn.microsoft.com/Forums/ja-JP/vsgeneralja/thread/3faeeeb1-5be3-41d1-901c-f763b6df1c89

 

その後いろいろと認証の組み合わせを試していましたが、IISの認証が理解できません。

Windows2008 + IIS7の環境で社内システムを構築しております。

Window認証のみを有効にして、他の認証は無効にしています。

「プロキシ経由ではWindows認証は機能しない」という記事やMS社の文書にいきあたります。

であれば認証に失敗し、ページを表示することが出来ないと思いますが、ページを表示できます。

いったい何のアカウントで参照できているのでしょうか。

 

社内では1000台近くのPCがあり、プロキシ経由でWEBの閲覧を行っておりますが、このような環境での

ADのDomainAグループには接続を許可し、それ以外には許可しないという設定はどのように実現するのでしょうか。

プロキシ経由では無理ということでしょうか。

 

Windows認証の基本を理解できておりません。

ご教示、お願いします

Answer 1

こんにちは

回答ではありませんが、

System.Security.Principal.WindowsIdentity.GetCurrent().Name

で、実行ユーザーを表示してみてはどうでしょうか。

Answer 2

藤森様

ありがとうございます。

 

GetCurrent().Nameを確認すると、Windowsログインアカウントが表示されます。

Windows認証が機能しているようです。

 

その後いろいろと調べていますが、調べ方が悪いせいか「DomainAは接続許可。その他は拒否」という

ようなことを実現する方法にたどり着いていません。

 

NTFSアクセス権とWindows認証の組み合わせを勉強してみます。

Answer 3

こんにちは。

Windows認証されているのであれば、HTTP環境変数の AUTH_USER を見て

Domain\User のDomain 部分を拾い、該当しなければ 404 を返す

などでも良いような…

期待にそえる動作になるかは不明ですが。

Answer 4

藤森様

いつもありがとうございます。

 

私の記述が紛らわしい表現でした。

「DomainAは接続許可。その他は拒否」ではなく、ドメイン（勤務先）内のWindowsグループ毎に

実現したいと考えています。

 

ABCドメインのユーザーグループAは接続許可し、その他は拒否。

やはりNTFSアクセス権の設定でしょうか。

 

紛らわしい表記で大変申し訳ございませんでした。

Answer 5

そういうことであれば、IISマネージャーから該当フォルダを右クリックして

「アクセス許可の編集」で該当グループを読み取りと実行を付けて登録すれば

良いかと思います。

あとは、フォルダへのアクセス権に Administrators が含まれており

Administrator 権限を持っているユーザーがログインできてしまう

という事態になっていないか確認してみてください。

プロクシ経由については憶測ですが、ローカルだから通さないだけとか。。。

Answer 6

藤森様

いつもありがとうございます。

 

ご指摘いただきました方法を試しているのですが、他のグループのユーザーも閲覧できてしまう状況です。

IISの再起動やクライアント側の再起動は実施しました。

「アクセス許可の編集」の「セキュリティ」項目において、許可と拒否のチェックボックスがありますが、

まさかとは思いますが、ユーザーグループA以外の数百件あるグループを全て「拒否」として

登録する必要があるのでしょうか。

 

何卒よろしくお願いします。

Answer 7

機能ビューの[承認規則]でユーザーを登録した場合はどうなりますか？

これぐらいしか思いつきません。

Answer 8

機能ビューに「承認規則」という項目が見当たりませんので、基礎から確認してみます。

 

ありがとうございました。

Answer 9

承認規則はIIS7.5にしか無いようですね。申し訳ない。

これも憶測になりますが、IDとパスワードでドメイン認証が通り

その後、アプリケーションプールで設定されている実行ユーザー

で表示されているのではないかな、と思います。

Answer 10

藤森様

ありがとうございます。

 

そうなりますと、期待している結果は実現不可能なようです。

Windows認証というものは、IISと同じドメインに所属するユーザーで認証を受けたユーザー全員を

承認する・・・ということなのですかね?

 

社内アプリケーションですので、今回はとりあえず諦めます。

いろいろとありがとうございました。

Answer 11

お力になれず申し訳ないです。

最後に1点だけ。

仮想ディレクトリを作成して、パススルー認証を設定した場合も

同じく表示されてしまいますか？

Answer 12

藤森様

 

ご指示いただきました設定を加えてみましたが、状態は変わらず、拒否したいグループメンバーにも

見えています。

 

藤森様のアドバイスにより、解らないことがはっきりしましたので、大変感謝しております。

今は諦めていますが、いつかは必ず解決せねばならないことですので、もし実現できた際には

その設定方法を投稿させていただきます。

 

大変お世話になりました。

ありがとうございました。

Answer 13

こんにちは、TwSoft さん
フォーラム オペレーターの星 睦美です。

藤森幸治 さんの返信が同様の情報をお探しの方にも
事象の確認ポイントとして参考になると思いますので、私から[回答としてマーク] をさせていただきました。
TwSoft さんからの結果の報告もお待ちしています。

これからもTechNet フォーラムをよろしくお願いします。

---

日本マイクロソフト株式会社　フォーラム オペレーター　星 睦美