ユーザー認証に DC を利用できないでしょうか。

Question

　SQL Server + IIS を中心とした Web Application を検討中です。

ユーザーは、LAN 内に限られます。Web Server へ接続する際の

ユーザー認証の際に、Acticve Directory の DC を使えないかと

考えています。

 

　通常であれば、SQL Server に User Account と Password を

保存して Web Application からチェックするわけですが、すでに

Domain Controler が User Account と Password を１セット保持

しております。それと別に SQL Server に１セット保持させれば

デ－タの同期の問題が起こってきます。

 

　定番のやり方があるのでしょうか。

Answer 1

ASP.NET 2.0で用意されているメンバーシップコントロールは、ActiveDirectoryを利用しての認証が可能です。

2.0ベースであれば、これを使うのがよいでしょうね。

Answer 2

そうでしたか。Visual Studio 2005 を使うべきだというわけですね。

その前に、実験環境として DC を構成しなくては、、、

早速の返信、ありがとうございました。

Answer 3

　ASP.NET Web Site を開いて、Solution Explorer のペインの中の

「地球ボタン」をクリックして、Web Site Administration Tool のページを

開いて、、、という順番に、Web Site の構成をきちんとやっておかないと

いけないようです。

　Web Site Administration Tool っていうのは、ページなんですよね。

ちょっと違和感です。

Answer 4

> Web Site の構成

Sample を見ながら、DC への接続を試みています。

Sample の中に、providers を設定する部分に

PublicKeyToken=b03f5f7f11d50a3a

という設定がありますが、これは、何も考えずに

そのままの値を既述しておけばよいのでしょうか。

それとも？

Answer 5

> PublicKeyToken

\WINDOWS\assembly\System.Web として

定義されているんですね。それにしても

接続できない、、、

http://msdn2.microsoft.com/en-us/library/ms998360.aspx

を見ながらやっているんですけどね。

やっぱり DNS で手抜きをしているのが問題か、、、

Answer 6

IIS で匿名認証を無効にし、Windows 認証のみを有効にする。

 

SQL server 側で扱う Windows group account に適切な roll を割り当てる。

 

Kerberos 委任を構成。

 

で終わりだと思いますが。

 

 

 

 

 

Answer 7

「接続できない！」と思っていたら、とんでもない、、、

動いているとてっきり思い込んでいた Active Directory が

実は、動いていない！、のでした。

　DNS の場合は、nslookup のような簡単なツールで

状態をチェックできます。Active Directory の場合は

どうやってチェックするんでしょうか、、、私の場合は

Client PC を用意して、Domain Logon させようとして

初めて動いていないことに気が付きましたが、、、

 

　新規に Forest から簡単なものを急造し、

Login コントロールからの接続を試み、ようやく

接続できました。

Answer 8

DNS の場合は、nslookup のような簡単なツールで 状態をチェックできます。Active Directory の場合は どうやってチェックするんでしょうか、、、

 

System.DirectoryService をつかって、AD から適当な情報引き出せばいいと思います。

CUI の tool がいいのであれば、CSVDE とか LDIFDE とかあります。