2008-01-28 diary: Microsoft セキュリティ サポート プロバイダ インターフェイス / Microsoft Security

Microsoft セキュリティ サポート プロバイダ インターフェイス / Microsoft Security

Support Providers Interface (SSPI)

Microsoft Active Directoryとの連携を考える上で重要だと思われる SSPI についてメモしておきます。

Microsoft セキュリティ サポート プロバイダ インターフェイス / Microsoft Security Support Providers

  Interface (SSPI)

Microsoft Active Directoryとの連携を考える上で重要だと思われる SSPI についてメモしておきます。Microsoft Windows Server環境下では LDAP 以上に SSPIに注目すべきと考え始めています。

• ID およびアクセス管理 ‐ プラットフォームおよびインフラストラクチャ http://www.microsoft.com/japan/technet/security/guidance/identitymanagement/idmanage/p1plat_1.mspx SSPIの位置づけに関する説明！

• Windows 2000 ネットワークのシングル サインオン http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/evaluate/featfunc/nt2ksso.mspx シングルサインオンにおける SSPIの位置づけの説明。

• ADOMD.NET でのセキュリティ保護された接続の確立 http://technet.microsoft.com/ja-jp/library/ms123487.aspx

• NTLM 認証プロトコルとセキュリティサポートプロバイダ http://www.monyo.com/technical/samba/translation/ntlm.html とても詳しく NTLMとSSPIとを解説してくれています。

• SSPI [http://msdn2.microsoft.com/en-us/library/aa380493(VS.85).aspx](http://msdn2.microsoft.com/en-us/library/aa380493(VS.85).aspx) 英語。

• エンドポイント認証の種類 http://msdn2.microsoft.com/ja-jp/library/ms191264.aspx

• SQL Server 2005 のインスタンスへのリモート接続を作成するときに、Kerberos 認証を使用していることを確認する方法 http://support.microsoft.com/kb/909801/ja 「SQL Server 2005 では、SQL 認証の代わりに Windows 統合認証を使用する場合、Windows セキュリティ サポート プロバイダ インターフェイス (SSPI) を介して間接的に Kerberos 認証がサポートされます…」のあたりに注目。

SSPI 利用のための実装

• mod_auth_sspi http://sourceforge.net/projects/mod-auth-sspi Apache を SSPI 連携させるために利用します。

関連する日記

• 2008/01/25 日記: LDAP, NTLM, そして SSPI による認証, 明日は日本中将棋連盟 東京支部例会

• 2009/08/27 日記: Windows NTLM と Apache を連携させるための、mod_auth_ntlm_winbind と mod_auth_sspi という 2 つのモジュール

mod_auth_sspi を用いた Apache用の SSPI 設定例

Apache HTTP Server 2.0 / 2.2 で mod_auth_sspi を用いて SSPI連携させるための設定例をメモしておきます。 httpd.conf (一部)

# mod_auth.so より前に記述
LoadModule sspi_auth_module modules/mod_auth_sspi.so


    # SSPI
    AuthName          "SSPI Login"
    AuthType          SSPI
    SSPIAuth          on
    SSPIAuthoritative on
    SSPIDomain        ドメイン名
    SSPIOmitDomain    on
    SSPIPerRequestAuth on
    SSPIOfferBasic    on
    require           valid-user

Apache用の LDAP 設定例

Apache HTTP Server で LDAP連携のための設定例をメモしておきます。 httpd.conf (Apache 2.0用: 一部)

    # LDAPのための設定！
    AuthType          Basic
    AuthName          "LDAP Login"
    AuthLDAPEnabled   on
    AuthLDAPURL ldap://localhost:10389/ou=Users,dc=example,dc=com?uid
    AuthLDAPAuthoritative  on
    AuthLDAPBindDN    uid=admin,ou=system
    AuthLDAPBindPassword secret
    require           valid-user

httpd.conf (Apache 2.2用: 一部)

    # LDAPのための設定！
    AuthType          Basic
    AuthName          "LDAP Login"
    AuthBasicProvider ldap
    AuthLDAPURL ldap://localhost:10389/ou=Users,dc=example,dc=com?uid
    AuthLDAPBindDN    uid=admin,ou=system
    AuthLDAPBindPassword secret
    require           valid-user

ちなみに、これには改善の余地があります。

---

この日記について

• ホームページ更新者: 伊賀 敏樹 / Tosiki Iga
• Diary / Facebook / LinkedIn / GitHub / Qiita / Mastodon / X(Twitter) / Amazon / Share on Twitter / top / いがぴょんについて / Powered by Igapyonv3
• 本サイトの見解は、私 個人のものであり、株式会社レザボア・コンサルティング は当個人的見解に一切責任を持ちません。