このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

サイトアクセス制限の使い分けをしたいのです

発言者:ぴょんた
( Date Monday, August 17, 1998 17:18:53 )


皆さんこんにちは。

うちの会社では、オフィシャルな会社のホームページとは別に社員専用のホームページを
MS Personal Web Server + EasyBBS++ で運用しています。

社員専用なのでアクセス制限(ファイル共有による制限)をかけているのですが、
いちいちパスワードを入れるのが面倒なので、せめてイントラネット内のクライアントからの
アクセスにはパスワードを入れずに済むようにしたいのですが、良い解決策が見つかりません。

クライアントの条件によってパスワードの要求画面を出したり出さなかったりする
何か良い方法はありませんでしょうか?

----------

これだけではさっぱり分からないので、少し説明します。
会社のネットワークはOCNエコノミーでインターネットに繋いでおり、ルーター(MN128-SOHO)
のNATを使って社内ではローカルIPアドレスを使っています。
サーバーはローカル側においてあります。ローカル側でしか見えないWEBサーバーにすれば
話は簡単なのですが、支店や個人宅から見ることもあるのでインターネットに公開する必要
があります。

まず考えたのはサーバー機を2台用意して(サイトの内容はエイリアスで共有する)1台は
ローカルなサーバーでアクセス制限なしにして、もう1台をグローバルに公開するサーバー
としてアクセス制限をかける方法でした。
しかし、これだと普通のhtmlページはOKなのですが、BBS部分を共有することが出来ません。

他にはcookieを活用して一度認証をすましたブラウザはパスワードなしで入れるようにする
というのもあるのかな?と思ったのですが、やり方がさっぱり分かりません。

IPアドレスを判断してくれてもいいのですが、そんな方法もなさそうです...。

WebSTARは使ったことがないのでよく分からないのですが、この様な機能はあるのでしょうか?


...なんだかさらにわかりにくい文章になってるような気もしますが、よろしくお願いします。

たまちゃん さんからのコメント
( Monday, August 17, 1998 21:25:01 )

>>IPアドレスを判断してくれてもいいのですが、そんな方法もなさそうです...。
>>
>>WebSTARは使ったことがないのでよく分からないのですが、この様な機能はあるのでしょうか?

Allow/Deny を使えば可能です。グローバル(WEBサイト全体)にも特定の
保護領域(Realms)に対しても設定可能です。もし会社であるなら、

abc.co.jp

というようなドメイン名のみからアクセス可能に出来ます(IPアドレスでの指
定も可能です)。

同じ様な機能はQuid Pro Quoにもありますが、いずれにせよ、マニュアルをよ
く読んで、お望みのことが出来ているかどうかを実際にテストしながら、丹念
にチェックされることをお勧めします。また、セキュリティーという点からす
ると、Allow/Denyは完璧なものではありませんので、不便だがより安全なも
の(Realmに対するパスワード設定)と秤にかけて運用されるといいと思いま
す。

これで答になってるかしらん??

ぴょんた さんからのコメント
( Tuesday, August 18, 1998 10:54:00 )

ご回答ありがとうございます。m(__)m
これを読んであわてて Allow/Deny,Realm等を勉強しました。

で、ちょっと違うような気がするんです。

私のやりたいのは、「特定ドメインからは素通りでアクセスできるが、それ以外からの
アクセスには、パスワードを要求する」ということなんです。

Denyにすると、完全に拒否されてしまうんですよね?
Realmを設定すると、すべてのアクセスに対してパスワードの要求が出ると理解しているのですが...。
もしかして違うかな?

たまちゃん さんからのコメント
( Tuesday, August 18, 1998 16:23:58 )

>>私のやりたいのは、「特定ドメインからは素通りでアクセスできるが、それ以外からの
>>アクセスには、パスワードを要求する」ということなんです。

ということを、AllowとRealm設定で行う訳です。当然、素通りさせたいドメ
イン名をAllowで記述します。そして、Realmに対するパスワードも設定しま
す。

Allowで許されているドメイン下のマシンとそれ以外からのマシンからアクセ
スして試してみて下さい。

ぴょんた さんからのコメント
( Tuesday, August 18, 1998 20:14:16 )

WebSTARダウンロードしてきました。
なるほど、個別のRealmそれぞれにAllow/Denyを使えるのですね。
おバカな質問につきあわせてしまってどうもすみません。
おかげさまでちゃんと出来るようになりました。どうもありがとうございます。

さんからのコメント
( Thursday, March 18, 1999 10:51:15 )

いつもRealmを使っていますが、ちょっと気になったことが...
これで入力したパスワードやネームは、盗聴することが可能なので
しょうか? SSLにしない限りは、ネットワーク上を流れているrealm
のパスワードは、もれてしまうと聞いたので...

これが確実でないとすれば、Keep It Upを使ったブラウザからのリモート
管理をさせてもらえなくなるんです.. (^^;

レス、よろしくお願い致します。

田中求之 さんからのコメント
( Thursday, March 18, 1999 12:51:00 )

>これで入力したパスワードやネームは、盗聴することが可能なので
>しょうか?

Realm で入力したユーザー名とパスワードは、Base64 変換されたうえで HTTP ヘッダ
の一部としてサーバに対して送られます。暗号化はされていません。

ですから、ネットワークを流れるパケットを拾ってヘッダのデータをかき集め、
Base64 のデコードを施せば、ユーザー名とパスワードを「盗聴」することが
できます。

さんからのコメント
( Thursday, March 18, 1999 16:06:21 )

>Realm で入力したユーザー名とパスワードは、Base64 変換されたうえで 
>HTTP ヘッダの一部としてサーバに対して送られます。暗号化はされてい
>ません。
>ネットワークを流れるパケットを拾ってヘッダのデータをかき集め、
>Base64 のデコードを施せば、ユーザー名とパスワードを「盗聴」する
>ことができます。

やっぱり....ですよね。
これを防止する策はないものでしょうか?
学術系がクラッカーに狙われており、盗聴プログラムでもしかけられたら
危ないからということで、リモート管理ができなくなる可能性が高いのです

田中求之 さんからのコメント
( Friday, March 19, 1999 12:54:37 )

realm を使うかぎりは仕方がないですねぇ。