japan.internet.com
LinuxTutorial2001年4月7日 00:00
文字サイズ文字サイズ小文字サイズ中文字サイズ大

セキュリティと Apache:初級必読本 2

この記事のURLhttp://japan.internet.com/linuxtutorial/20010407/2.html
著者:Ken Coar
海外internet.com発の記事
tutorial logo

強制/任意アクセス制御

アクセス制御には 2 つの基本的な方法がある。ユーザーが名乗った名前が正しいかどうかを検証すること、 そして、ユーザーが本当 は誰なのかを検証することだ。基本的な 3 つの検証法では、それぞれ次のこ とを調べる。

  1. ユーザーが持っているもの
  2. ユーザーが知っていること、または
  3. ユーザーが誰なのか

あるいは、これらを組み合わせることもある。コンピュータと関係ない一般的な話に置き換えると、「ユー ザーが持っているもの」とは、「ドアに付いている南京錠の鍵」だ。正しい鍵を持っていれば中に入ることがで きる。「ユーザーが知っていること」とは、銀行口座を本人しか使用できないようにする「パスワード」だ。誰 かにパスワードを知られない限り悪用されることはない。「ユーザーが誰なのか」というのは、DNA パ ターンが証拠として認められるように、犯罪操作で重要な役割を果している。

高度なセキュリティが求められるシステムでは、これらを組み合わせて使用するのが普通だ。たとえば、銀 行の ATM マシンは最初の 2 つの方法を組み合わせている。お金を引き出すには、ATM カードを手に入れる 必要があり、カード (またはアカウント) に対応した暗証番号も知る必要がある。

ところで、タイトルにある任意強制 とは一体どういう意味か? 簡単に言えば、任意アクセス制御 (DAC) では、ユーザーが自由に扱える証明情報の正当性を調べ、強制アクセ ス制御 (MAC) では、ユーザーが自由に扱えないものを調べる。 たとえば、誰か他の人からユーザー名とパスワードを貰えば、ユーザーはそれでシステムにアクセスできるが、 このとき、ユーザー名とパスワードはあなたの裁量下にあり、システムには、アクセスしたのが実際の所有者で はないということが分からない。このようなシステムを任意アクセス制御システムという。 一方、DNA 情報は変更することができない。ユーザーの DNA パターンにのみアクセスを許可するシステ ムがあれば、そのユーザー以外の誰もアクセスできないし、ユーザーが他人の振りをすることもできない。この ようなシステムを強制 (非任意ともいう) アクセス制御システムという。

Web の分野、特に Apache では、任意制御はユーザー名とパスワードが基になっており、強制制御はアクセ スを要求するクライアントの IP アドレスのような情報が基になっている。

任意制御と非任意制御とをはっきり区別するには、アクセス失敗時の処理について考えてみるといい。任意 制御でアクセスに失敗した場合は (たとえばパスワードの打ち間違いなど)、再度試みるチャンスがある。一 方、強制制御でのアクセスに失敗すると、「許可されません」ではなく「禁止」エラーとなる。この場合、もう 一度試みるには最初からやり直して、はじめて訪れたかのようにページへのアクセスを再度要求する以外にな い。しかし、再度試してみたとしても、サーバーの設定が変更されない限り同じ結果になる。始めから締め出さ れているのだ。

認証と承認
認証とは、証明情報が正しいかどうかを確認するプロセスだ。つまり、ユーザー名はあらかじめシステ ムのデータベースにあり、入力されたパスワードがユーザー名に対して正しいかどうかが調べられる。 一方、承認とは、正当なクライアントが特定のリソースへのアクセスを許可されているかどうかを確認 するプロセスだ。たとえば、ボブは正しいユーザー名とパスワードを持っているが、ジェーンの所有するファイ ルにはアクセスできない。なぜなら、ジェーンはボブをアクセス承認リストに入れていないからだ。

Apache では、ほとんどすべてのセキュリティ関連モジュールで両方のプロセスが行われる。各モジュールを 区別する主な特徴は認証の方式だ。ほとんどのモジュールでは、有効な証明情報を特定のフォーマットで保存し ておく必要がある。たとえば mod_auth モジュールでは、ユーザー名とパスワード情報を通常の テキストファイルに収め、mod_auth_dbm では DBM データベースに収める。承認の方式について は、これらのモジュールでは本質的に同じ方法が用いられている。

セキュリティ モジュールには AuthUserFileAuthDBMGroupFile のような指 示子を通して、使用する認証データベースの情報が渡される。保護されるリソースは、設定ファイル内で指示子 を使って指定する。

<Directory /home/johnson/public_html> <Files foo.bar> AuthName "Foo for Thought" AuthType Basic AuthUserFile /home/johnson/foo.htpasswd Require valid-user </Files> </Directory>

この例では、保護されるリソースは /home/johnson/public_html ディレクトリおよびその下 層にある 「foo.bar という名前のすぺてのファイル」だ。また、foo.bar へのア クセスが承認されている証明情報を識別する方法が指示子によって設定されている。 この場合、/home/johnson/foo.htpasswd に記載されている有効な証明情報をもつユーザーは保護 されたリソースにアクセスできる。

次は 保護領域:アクセス制御される領域 >>

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。
Copyright 2012 internet.com K.K. (Japan) All Rights Reserved.