インターネット Web サーバー構築ガイドライン を読んだメモ 2
第三章:ページを公開しよう
- IIS マネージャーで行った操作は、applicationHost.config, Web サイト、仮想フォルダー、アプリケーション内の web.config ファイル内の設定に反映される
- IIS マネージャーで操作する際に左下を見ると現在の GUI 操作がどのファイルに反映されるかが表示されている
ファイルを直接編集して IIS を操作することも可能
ローカルで web.config を編集してデプロイすると差分が発生しないか?これ
仮想ディレクトリを使用することで、既定のフォルダー以外にあるフォルダーを Web サイトの下位ディレクトリとして公開することができる
- 複数台サーバーでの共通のコンテンツをホストする場合は、ネットワーク共有されたフォルダーを仮想ディレクトリとしてホストすれば、コンテンツの配置の手間も大幅に削減できる
第四章:さまざまなサーバーの設定
- 仮想ホストの機能で、1 台の Web サーバーを複数のサーバーであるかのうように見せることができる
- 1 台の Web サーバーに対して、ホスト名の異なる複数の URL を使用してアクセスができる
第五章:アクセス制限の仕組みを知ろう
特定の IP アドレスあるいは範囲からのアクセスを制限することができる
- 既定はすべての IP アドレス、コンピューター、ドメインがアクセス可能
匿名認証
基本認証
その他の認証方式
- 多くの種類がある
アプリケーションプール ID について
- 参考 https://technet.microsoft.com/ja-jp/library/ee886292.aspx?f=255&MSPPError=-2147217396
- Windows OS には、IIS が各アプリケーションプールに一意の ID を作成できるように「仮想アカウント」と呼ばれる機能が用意されている
- 新しいアプリケーションプールが作成されるたびに、IIS 管理プロセスによってアプリケーションプール自体の名前を表すセキュリティ識別子(SID)が作成される
- アプリケーションIDには、そのアプリケーションプールで利用するリソースのみに対してアクセス許可を与える
- Windows のユーザー管理コンソールにはユーザーとして表示されない
正しいアクセス許可の付与
認証を必要とするアプリケーション
- 認証されたユーザーすべてを含むグループに対するすべてのリソースを権限によって制限することが理想
- さまざまなカテゴリのユーザーがいる場合は、管理者や管理者以外でグループを分けてそれぞれにアクセス権を付与する
匿名で実行するアプリケーション
- アプリケーションプール ID または、カスタムで指定した匿名 ID(IUSR) でリソースのアクセスを制限するべき
- アプリケーションプールID にアクセス権を付与することがオススメ
- 匿名 ID は既定のユーザーなので、既定を変更していない全アプリケーションでコンテンツへのアクセス権を持つことになる
- アプリケーションプール ID または、カスタムで指定した匿名 ID(IUSR) でリソースのアクセスを制限するべき