web-dev-qa-db-ja.com

外部アクセス用にWebアプリ(IIS7)を構成し、ADグループを介して特定のユーザーのみを許可します。すべてのユーザーは内部アクセスが必要です

IIS7(Server 2008 R2)で実行されているWebアプリがあります。 SSL証明書を使用して外部アクセスを許可する必要があります。これにより、特定のユーザー(会社の所有者など)がVPNなしでリモートでSSL証明書を使用できるようになります。彼らは最初はそれらの特定のユーザーにのみ外部アクセスを展開したいと思っていますが(Windows資格情報プロンプトを考えてください)、しかし誰もがプロンプトなしで内部(HTTP)にアクセスする必要があります。

サーバーにSSL証明書をインストールし、パブリックDNSを構成しています。私は認証/承認の仕組みを理解しようとしています。匿名認証を無効にしてWindows認証を設定する必要があると考えていたので、グループ設定の調査で「URL認証」に戻り続けました。ただし、URL authzを試したところ(すべて許可を削除し、特別なグループの許可ルールを追加)、サイトが内部的に壊れました(403.2禁止、そうだったと思います)。 IISで同じプログラムを指す2番目のサイトをセットアップすることもできますが、まったく同じことが起こりました(また、キックのためだけに、新しいアプリプールを使用しました)。

ですから、私の質問は、これをどのように行うかということです。特定のADグループのユーザーに限定して外部アクセスを許可し、資格情報プロンプトなしで内部アクセスを許可しますか?

外部HTTPSと内部HTTP認証要件を分離するにはどうすればよいですか? Windowsエクスプローラーのアプリのコンテンツ全体を新しいフォルダーにコピーし、そこから外部サイトを作成する必要がありますか? Windows認証はこれに対する正しいオプションですか?

私はこれに出くわしました。これは、カスタムモジュールの作成を指します。それは解決策のように聞こえますが、私が精通しているものではなく、それを機能させるためのより簡単な方法があるかどうか疑問に思いました: http://forums.iis.net/p/1182792/ 2000775.aspx

ありがとう!

active-directorywindows-server-2008-r2iis-7remote-access
2
White Island

Windows認証はこれに対する正しいオプションですか?

  • はい、そうですね 統合Windows認証 は要件に適しています。
  • 正しく設定されていれば、ログインにパスワードは必要ありません。
  • 基本的に、ブラウザは資格情報をIISに渡しますが、ユーザーを認証しようとするときの最後の手段としてパスワード認証にフォールバックします。

これにより、 IIS認証 を理解する)で良いスタートを切ることができます。

  • 以前の 403.2 の問題に関しては、認証したユーザーに関連するファイルのアクセス許可を調べる必要があったと思われます。
  • 見てみましょう: パススルー認証
  • Windows認証とは、クライアント側のWindowsユーザーがサーバーに対してthrough認証されたユーザーであることを意味します。

外部アクセスに対してのみADの特定のグループへのアクセスを制限するには:

3
Somantra