- ベストアンサー
IIS7.0Windows認証の再認証について
- WindowsServer2008 + IIS7.0でWebサーバーを稼動させ、セキュリティをかけたいページが存在するため、Windows認証を設定いたしました。
- WindowsServer2003アクティブディレクトリにて、各端末が認証を受けログオンしております。
- ID/パスワードを聞かれること無く閲覧でき、また閲覧不可としたい別ユーザーのログオンではID/パスワードを聞かれた状態となりました。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ページ遷移などがちょっとわからないので何ともいえないのですが、 認証が必要なWebサイトにアクセスした場合、ブラウザはAuthorizationヘッダにて認証情報を載せてリクエストを出します。 認証が成功した場合、そのWebサイトにアクセスする場合にはリクエストには全て認証が成功した情報のAuthorizationヘッダが付くことになります。 つまり、 >ID/パスワード入力画面が表示され、そこで入力したDomain\USER2としてAAA.htmを開いたログがありましたが ここで認証が成功しているので、これ以降はリクエストにはDomain\USER2の認証情報のAuthorizationヘッダが付くことになります。 これはブラウザのメモリ上に保持されるので全てのブラウザを閉じなければずっとこの動作が続くことになります。 基本的な動作はこんな感じになると思いますが、この辺のhttpの認証関連の動きが関連している可能性はあったりしませんでしょうか。
その他の回答 (1)
- maesen
- ベストアンサー率81% (646/790)
>おそらく前日にこのユーザーで入って閲覧した際に適切なID/パスワードを入力して閲覧したため、「認証OK」の状態が記録されているのだと思います。InternetExplorerでの「パスワードを保存する」のチェックは入れておりませんので、IIS側でのWindows認証記録がどこかに保持されていると想像しております。 さすがにIIS側に認証情報が保持されるということは無いと思いますけどね。 もう少し状況を確認するために、 (1)資格情報マネージャにて、認証情報が記録されていないか。 http://www.atmarkit.co.jp/fwin2k/win2ktips/1240bkucrd/bkucrd.html (2)IISのログで、問題となる事象を実施したときにどの資格情報(ユーザー/パスワード)で認証がOKとなったか この辺を確認しては如何でしょうか。 既に実施済みならばご了承下さい。
お礼
ご回答ありがとうございます。 まず端末側のユーザーでログインし、資格情報マネージャにて認証記録を確認いたしましたが、資格情報はありませんでした。 またIISログを確認し、認証時の部分は以下のようになっておりました。 ------------------------------------------------------------- 2013-03-29 03:42:08 192.168.8.1 GET AAA.htm - 80 Domain\User1 192.168.8.100 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.22+(KHTML,+like+Gecko)+Chrome/25.0.1364.172+Safari/537.22 401 3 5 0 2013-03-29 03:42:13 192.168.8.1 GET AAA.htm - 80 Domain\User2 192.168.8.100 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.22+(KHTML,+like+Gecko)+Chrome/25.0.1364.172+Safari/537.22 200 0 0 31 ↓ この後何らかのJavaアプリ?が動作したログがありました。仮にアプリにより開いたページをBBBとします。正確にはアドレス表示では「AAA.htm」が開いているのですが、ページ内部の表示はBBBによって表示されているようです。 ------------------------------------------------------------- ログを見ていてこのページの動作について気づいたのですが、初回に開くAAA.htmからBBBが自動的に動作する仕組みになっているようで、上記のように1度目はDomain\USER1に権限はないため、ID/パスワード入力画面が表示され、そこで入力したDomain\USER2としてAAA.htmを開いたログがありましたが、2度目にこのAAA.htmを開いた際には質問の通りID/パスワードは要求されず、その時のログはAAA.htmは載っておらず、いきなりBBBが動作しているログとなっておりました。 本来ならばBBBの動きも含め考えなければならないことはわかっているのですが、現在の私のスキル的に敷居が高く、当然BBBへリダイレクトするしくみのせいでこのような状況になっているのかもしれないと思いますが、入り口として必ずAAA.htmから開くようにはなっている為、なんとかBBBに手を入れずにAAA.htmへの認証が使えないかと思っております。 また、IISのログについてもそこまで詳しくないので「なんとなく」でしか見れておりませんので、もう少しじっくりと見てみます。 ページがリダイレクトする内容について情報が後出しとなってしまい申し訳ありませんでした。 しかし教えていただいた調査項目で少しわかってきました。ありがとうございました。 またこれらの情報で他に試せること、調査する項目が何かありましたらまた教えていただけると助かります。よろしくお願いいたします。
お礼
ご回答ありがとうございます。Authorizationヘッダの件、とても勉強になりました。今回私の環境での動きを考えますと、ブラウザを閉じるどころかパソコンの再起動までしてもこの認証情報が残っていることになってしまうので、Authorizationが残ってしまう問題がないか等で調べた結果下記ページにたどり着きました。 認証ページの振る舞い http://social.technet.microsoft.com/Forums/ja-JP/internetexplorerja/thread/f8fd7df6-ef20-4531-94ed-eb2fffdbc41d/ 試しに私の環境でもIE8で試したところ、ブラウザを閉じるたびにID/パスワードが表示されました。私もOSやブラウザの違うほかの環境で試すべきでした。まだサーバー側には手を付けておりませんが、キャッシュを保持させない内容をサーバー側やHTMLファイル内で対応すれば今回の問題はIE9でも解消できそうです。 いろいろ教えていただきありがとうございました。