Windows ACLを利用した IIS/.NETによるアクセス制御

Question

IISでアクセス制御機能付ファイルサーバを実現することを考えています。

アクセス制御は、WindowsのACLを使ってWindowsユーザに対してフォルダ単位でかけたいです。

IISで基本認証を使用すれば容易に実現できますが、

IISでログインするユーザIDとWindowsユーザIDが異なるものを使用することはできませんか。

（IISでログインするユーザIDを適当なルールでWindowsユーザIDに変換できるものとします）

偽装認証やフォーム認証を調査してみましたが、Windows ACLで参照するユーザIDの制御まではできないと思われます。

①.NET APIのどれかで,Windowsにログインする、

②あるいは、ユーザIDとフォルダのパスからACLを取得する、

③あるいは、IISの基本認証を実行する

いずれかできないものでしょうか。

Answer 1

標準の認証モジュールはすべて Windows アカウントと連動しているため、カスタム認証モジュールを追加することになると思います。

http://custombasicauth.codeplex.com/

こちらは、Basic 認証のカスタムモジュールの骨組みとして公開されており、任意の認証処理を行うことができます。こちらでユーザの対応表を使った認証と偽装を実施すればなんとかなるかと思います。

 

Answer 2

> IISでログインするユーザIDとWindowsユーザIDが異なるものを使用することはで
> きませんか。（IISでログインするユーザIDを適当なルールでWindowsユーザIDに
> 変換できるものとします）

以下のページの図１のように、Forms 認証と Windows 認証を組み合わせて、プロト
コルトランジッションを使って、「適当なルール」は Web サーバーの Business ロ
ジックに実装する（できるかどうか分かりませんが）のはいかがですか。

How To: ASP.NET 2.0 でプロトコル トランジションと制約付き委任を使用する方法
http://msdn.microsoft.com/ja-jp/library/ms998355.aspx