- PR -

認証を「なし」にするには

1
投稿者投稿内容
とっち
常連さん
会議室デビュー日: 2003/01/13
投稿数: 28
投稿日時: 2003-01-14 21:37
いつもお世話になっております。
ASP.NETをはじめて間もないのでWEBや書籍を頼りに日々勉強の毎日です。

早速ですが、社内使用のシステムを作成していますので特に認証は必要ないかと
思っております。
現状はユーザー名、パスワードを求めるダイアログが表示されます。
たぶんWindows認証になっている?!

認証の設定方法は書籍などにも書いてあるのですが、認証しない方法が
見つかりません。
web.configあたりを設定するのかなぁ・・・レベルまではわかったのですが。

どなたかご教授願いますでしょうか。

よろしくお願いいたします。
一郎
ぬし
会議室デビュー日: 2002/10/11
投稿数: 1081
投稿日時: 2003-01-14 22:50
詳しい方ならわかるのかもしれませんが、私などはいきなり「認証」といわれてもピンと来ません。

でもこんなページがありました。これのことなのかな。
http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/cpguide/html/cpconaspnetauthentication.asp

Noneにするとか書いてありますが・・・。
しゅんぼう
会議室デビュー日: 2002/12/06
投稿数: 1
お住まい・勤務地: 住まい:市川市 勤務地:江戸川区
投稿日時: 2003-01-15 10:53
はじめまして。

認証についてはIISの規定のWebサイトのプロパティ設定も見るといいかもしれません。
「ディレクトリセキュリティ」の「匿名アクセスを許可」する設定にすればよかったような気がします。
間違ってたらすいません。
とっち
常連さん
会議室デビュー日: 2003/01/13
投稿数: 28
投稿日時: 2003-01-16 16:23
レスありがとうございます。

その後、調査した結果IISの設定に問題がありそうです。

場違いかもしれませんが・・・
 IISで「匿名アクセスを許可」になっていますが、
 このユーザーを「DOMAIN\Administrator」にすると認証なしで接続できます。
 「自分のコンピュータ\Administrator」にすると認証を求めてきます。

 IIS関連を調査してみます。

sumida
会議室デビュー日: 2003/01/20
投稿数: 9
投稿日時: 2003-01-20 17:04
web.config内の下記<authorization>セクションをチェックしてみてください。
ここが下記のようになっていないとWindowsドメインユーザ以外にはログインイン
ダイアログボックスが表示されるはずです。

<configuration>

<system.web>

<authentication mode="Windows" />
<authorization>
<allow users="*" />
</authorization>

</system.web>

これで、全てのユーザが許可されるはずです。
deny users="?"とすると匿名(認証されていない)ユーザを許可しない設定になります。
おそらく基本はこれが設定されているものと思われます。
とっち
常連さん
会議室デビュー日: 2003/01/13
投稿数: 28
投稿日時: 2003-01-23 13:04
レスありがとうございます。

<authentication mode="None"/>
<authorization>
<allow users="*"/>
</authorization>
の設定にはなっておりますが、それでもログインを求められます。
<authentication mode="Windows"/>
でも同じくログインを求められます。

現在は匿名ユーザを「Administrator」にしておりますが
これってセキュリティ的に非常に問題ありだと思います。

sumida
会議室デビュー日: 2003/01/20
投稿数: 9
投稿日時: 2003-01-28 17:22
お役に立てなくてすいません。^^;

匿名アクセスで匿名ユーザを
DOMAIN\Administrator ○
LocalMachine\Administrator ×
ということですので、

そのASPアプリケーションはひょっとして、LocalMachine以外のリソースにアクセスしに行ってませんか?(例えば別マシンのSQL Serverにデータベースがあるとか、別マシンのディレクトリに表示データがあるとか?)

もしそうだとすると、匿名アクセスで偽装するユーザアカウントをドメイン内の所定の権限を持ったユーザアカウント(Administrator以外)にしないといけないような気がしますが...
1

スキルアップ/キャリアアップ(JOB@IT)