2010/03/28
統合Windows認証をドメインコントローラ兼IISサーバで利用する場合の注意点
IISで単純に「統合Windows認証」のみを利用した場合、
1.IISサーバのローカルユーザとして認証できないか?
2.IISサーバの属するドメインユーザとして認証できないか?
3.IISサーバの属するドメインと信頼関係のあるドメインのユーザとして認証できないか?
の順で認証が実施される。(たぶん)
その為、ドメインコントローラ兼Webサーバ(IIS)の場合、
ドメインユーザ=ローカルユーザとなることにより、
上記1の認証で許可されてしまう。
その場合でも、Webアプリケーション側で取得できる情報は、
なぜか「サーバ名¥ユーザ名」では無く、「ドメイン名¥ユーザ名」となる。
で、これの何が問題かというと、
「アプリケーション側で、エンドユーザがドメイン/ローカルのどちらにログオンしているかを意識できない」
という事に繋がる訳です。(゚Д゚ )アラヤダ!!
ドメインコントローラ兼Webサーバ(IIS)という構成は、
本番環境ではあまり無いかもしれませんが、
検証時に勘違いしやすい点ですね。
・・・というか、勘違いしました!!(>_<)
※IIS:Microsoft Internet Information Servicesの略
1.IISサーバのローカルユーザとして認証できないか?
2.IISサーバの属するドメインユーザとして認証できないか?
3.IISサーバの属するドメインと信頼関係のあるドメインのユーザとして認証できないか?
の順で認証が実施される。(たぶん)
その為、ドメインコントローラ兼Webサーバ(IIS)の場合、
ドメインユーザ=ローカルユーザとなることにより、
上記1の認証で許可されてしまう。
その場合でも、Webアプリケーション側で取得できる情報は、
なぜか「サーバ名¥ユーザ名」では無く、「ドメイン名¥ユーザ名」となる。
で、これの何が問題かというと、
「アプリケーション側で、エンドユーザがドメイン/ローカルのどちらにログオンしているかを意識できない」
という事に繋がる訳です。(゚Д゚ )アラヤダ!!
ドメインコントローラ兼Webサーバ(IIS)という構成は、
本番環境ではあまり無いかもしれませんが、
検証時に勘違いしやすい点ですね。
・・・というか、勘違いしました!!(>_<)
※IIS:Microsoft Internet Information Servicesの略