Internet Information Services(IIS)で構築したWebサーバーのコンテンツに,基本認証を使ってアクセスさせています(図4)。しかし,プロキシ・サーバー経由の場合にうまくいきません。ユーザーAがWebサーバー上で認証を受けた後に,同じプロキシ・サーバーを使っているユーザーBがアクセスすると,認証を要求されずにコンテンツが読めてしまいます。
しかも,IIS上ではユーザーBのアクセスもユーザーAのものとして把握されているようです。ユーザーBのパケットをキャプチャして調べてみると,HTTPリクエストには全く認証情報が含まれていない匿名アクセスなのに,IISのログ上ではユーザーAがアクセスしたことになってしまっています。 設定を変更してみたところ,標準で有効になっているHTTPキープ・アライブを無効にすると,期待通りにユーザーBの認証処理が行われるようになりました(図5)。なぜなのでしょう?
IIS 4.0/5.0では,HTTPキープ・アライブを使用したTCP同一セッション上のHTTPリクエストを,同一ユーザーのものとして取り扱います。そのため,あるTCPセッション上での最初のHTTPリクエストでユーザーAとして認証されれば,そのセッションを明示的にクローズするまで,同じセッション上を使うHTTPリクエストはすべてユーザーAのものとして扱われます。HTTPリクエスト中に認証情報(Authorizationヘッダー)がない匿名アクセスでも同様です。 HTTPはリクエスト・レベルで認証するのが本来の仕様なため,米国版のサポート技術情報「323574」にもありますが,これは本来はバグといえます。しかし,マイクロソフトではパフォーマンス向上のため,このような独自の実装にしたようです。 今回の場合,HTTPキープ・アライブが有効だと,プロキシ・サーバーとIISとの間で仮想的なTCPセッションを張ったままになります(実際にはプロキシ・サーバーの実装にも依存)。このため,同じプロキシ・サーバーを使う別のPCからのHTTPリクエストも,このTCPセッションを再利用する形になり認証なしで前のユーザーが再度アクセスしたことになってしまいます。 ご質問にあるように,すべてのアクセスについてHTTPキープ・アライブを無効にすれば,確かに期待通りの動作になるはずです。ただし,HTTP/1.1の仕様ではデフォルトでキープ・アライブは有効にするように規定しています(該当サイト) 。そのため,キープ・アライブを無効にする回避策は正攻法とはいえません。
VBスクリプトで設定を変更 例えば,IIS 5.0でサイト・レベルに設定する場合,「cscript adsutil.vbsset W3SVC/AuthPersistence 0」と明示的に0にクリアしてから「cscriptadsutil.vbs set W3SVC/AuthPersistSingleRequesttrue」と設定します。念のために,「cscript adsutil.vbsget W3SVC/AuthPersistence」と入力して「64」が設定されていることを確認してください。 なお,IIS 5.0のヘルプには,Auth-Persistenceのサブフラグは一度に1つしかTRUEに設定できない,と書いてあります。しかし,実際には1つをTRUEに設定しても,他の2つのサブフラグが自動的にはFALSEになることはありません。そのため,上記の一連の手順を踏んでください。 IIS 4.0の場合は,AuthPersistSingleRequestなどのサブフラグを使用できません。そのため,「cscript adsutil.vbs set W3SVC/AuthPersistence64」と入力して値を直接設定します(IIS 5.0もこの方法で設定可能)。 なお,Windows Server 2003のIIS6.0では,AuthPersistSingleRequest=True相当の設定がデフォルトになっており,今回のような問題は発生しません。 (小森 博司)
|
同じプロキシ・サーバーを使うユーザーがIIS上で同一ユーザーとして扱われる
あなたにお薦め
今日のピックアップ
-
「生成AI vs 生成AI」の幕開け、有識者に聞いたサイバー防衛の肝
-
組織で肩身が狭いと悩む50代、退職をどう迎えるかに意識を変える
-
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
-
ITベンダー志望者ほど高いコンサルとの併願率、IT大手の採用活動にも影響必至
-
国営公園の施設予約サイトで個人情報流出か、改修中のテスト環境に不正アクセス
-
使うともう戻れない10Gbps高速通信、費用以上の価値と不要になるもの
-
企業向けIT大手20社の売上高ランキング、2023年の1位はマイクロソフト
-
「ラズパイ5」では電源に注意、純正以外の電源アダプターでは制限あり
-
日本IBMも地銀勘定系の基盤を共通化へ、複数のシステム共同化陣営を横断
-
目指すは革新的医薬品の提供、中外製薬奥田社長が語るDXの手応え
-
ドライバーの待ち時間を減らす日清食品、物流2024年問題で求められる荷主の役割
-
「成長機会」を与える人事戦略、早期選抜とポストオフ運用が基本
注目記事
おすすめのセミナー
-
業務改革プロジェクトリーダー養成講座【第15期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
-
「仮説立案」実践講座
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
-
CIO養成講座 【第35期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
-
改革リーダーのコミュニケーション術
プロジェクトを成功に導くために改革リーダーが持つべき3つのコミュニケーションスキル—「伝える」「...
-
パワポ資料が見違える「ビジネス図解」4つのセオリー
インフォグラフィックスとは、形のない情報やデータなど伝えたいことを分かりやすい形で表現する技法で...
-
オンライン版「なぜなぜ分析」演習付きセミナー実践編
このセミナーでは「抜け・漏れ」と「論理的飛躍」の無い再発防止策を推進できる現場に必須の人材を育成...
-
問題解決のためのデータ分析活用入門
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
-
業務改革プロジェクトリーダー養成講座【第16期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
注目のイベント
-
金融デジタル戦略会議
2024年3月22日(金)10:20~15:55(予定)
-
働き方改革・HR/人事DX FORUM 2024
2024年3月25日(月)13:00-17:30(予定)
-
RE:Work Lab「ハタラク」を変えよう
2024年3月25日 15:55~16:55
-
AIトレンドフォーラム2024 ~ 生成AIの台頭、進化するAIとビジネスの未来
2024年3月26日(火)13:00~17:25
-
ITイノベーターズ会議
2024年 3月 27日 (水)13:00~17:30
-
もっと話そう、わたしたちのカラダのこと、生き方のこと
-
データサイエンティスト・ジャパン 2024
2024年3月29日(金) 予定
-
若手の離職防止につながる、マネジメント・チームづくりのポイント
2024 年 4 月 10 日(水) 10:00~12:30
-
ITモダナイゼーションSummit2024
2024年4月10日(水)、11日(木)
-
【4月11日】最新HCIの特徴やメリットを学ぶ、参加者にはもれなくプレゼント進呈
2024年4月11日(木)
おすすめの書籍
-
対立・抵抗を解消し合意に導く 改革リーダーのコミュニケーション術
本書は、改革リーダーに必須のコミュニケーション術を3つのスキルの観点からまとめ上げたものです。今...
-
もっと絞れる AWSコスト超削減術
本書ではコスト課題を解決するため、AWSコストを最適化し、テクニックによって削減する具体策を紹介...
-
優秀な人材が求める3つのこと 退職を前提とした組織運営と人材マネジメント
「学生に人気のコンサルであっても、大手企業であっても、せっかく獲得した人材が数年で辞めてしまう...
-
Web3の未解決問題
ブロックチェーン技術を主軸とするWeb3の技術について、現在の社会制度との摩擦と、その先にある新...
-
ロボット未来予測2033
ロボットの用途・市場はどう拡大していくのか。AI実装でロボットはどこまで進化するのか。技術の進展...
-
DX Ready基幹システム刷新術
国内大手メーカーの基幹系ITエンジニアが見いだした、DXReady化への新手法を解説します。
日経BOOKプラスの新着記事
-
はじめに:『ATTENTION SPAN(アテンション・スパン) デジタル時代の「集中力」の科学』
-
はじめに:『不動産バブル 静かな崩壊』
-
不安解消&準備着々 新社会人が入社前に読んでおきたいflier厳選5冊
-
隈研吾 学生時代に天敵だった先生が、僕を育ててくれた
-
そもそも「分業」とは? 垂直分業・水平分業など種類別特徴
-
「ゆとり教育」の評価は? データで分かった本当の影響
-
組織の中間形態──一部事業部制、事業本部制、カンパニー制
-
大学進学は得なのか? データをもとに経済学で分析した結果
-
はじめに:『もっと絞れる AWSコスト超削減術』
-
はじめに:『優秀な人材が求める3つのこと 退職を前提とした組織運営と人材マネジメント』
日経クロステック Special
What's New
経営
- ERPプロジェクト≫IT人財の必須条件は
- 先進都市対談>生成AIは行政DXの切札?
- 多様化する地域の課題解決に向けて議論
- 地域×テクノロジーでミライを共創する
- 脱レガシー案件≫SIerに必要な人財像は
- 役所文化の変革!奈良市のデジタル市役所
- 3段階で考える、DXで企業力を高める方法
- イノベーションの起爆剤
- 石戸氏に聞く。生成AIを教育で使うには
- 東芝が描くDXの道筋とその先の未来とは
- 次世代技術をもっとリアルに体感したいなら
- 大規模プロジェクトでPMが注意すべき点は
- ファンケルの躍進を支えたMAの徹底活用術
- 有識者に聞く>AIでの日本の勝ち筋とは
- 経営戦略と連動したシステムのあるべき姿
- 大阪・名古屋エリアのDXが注目される理由
- 力点は「未来予測」へ:データ利活用の勘所
- 生成AI活用でSAP BTPの価値が進化
- ServiceNowでDXを加速≫方法は
- SAPプロジェクトの全体像をいかに描くか
- 経営戦略のためのDXとモダナイゼーション