第 7 章 アクセス コントロール

Web Publisher のドキュメントやディレクトリへのアクセス、およびそれらに対するユーザやユーザ グループ別の操作は、制限することができます。ファイルやフォルダへのアクセスは、完全に禁止、または特定の認証ユーザのみにアクセスを許可することができます。

アクセス コントロールは、制限を階層化したルールに基づいて行われ、このルールを「アクセス コントロール リスト (ACL)」と呼びます。アクセス コントロールの階層は、URL パスまたはファイル パスに基づいており、階層の最上部から下位のディレクトリやサブ ディレクトリ、最終的に各ファイルまで ACL ルールが適用されます。アクセスが要求されると、それ以上のアクセスを制限するルールが検出されるまで、またはそのリソースにある最後のルールに到達するまで、サーバが各ルールを調べます。ルールが検出された場合、ユーザは、自分の登録ユーザ名とパスワードを入力するよう求められます。入力した ID 情報が受け入れられると、そのユーザにアクセス許可が与えられます。

• ユーザ認証
• Web Publisher のアクセス権
• ファイルとフォルダのオーナシップ
• アクセス設定の例
• アクセス コントロールの詳細
• アクセス コントロール ウィンドウ
• その他のオプション

オーナシップを手動で割り当てる
ファイルやフォルダのオーナシップは、[Web Publisher サービス] フォームの一部であるプロパティ ページを使用して、手動で割り当てることができます。[オーナ] プロパティを変更できるのは、以下の場合のみです。

• ユーザがファイルまたはフォルダのオーナである場合
• ファイルまたはフォルダにオーナが設定されていない場合

• コピー (オーナシップは、オリジナルではなく新しくコピーされたファイルおよびフォルダに割り当てされる)
• 移動
• 名前の変更
• アップロード
• 編集 (パブリッシュしてファイルをアンロックするまで、オーナシップはさほど影響しない)

1. Web Publisher のアプレット ウインドウで「index.html」ファイルを選択します。
2. この時点では、以下の 3 つの方法で Web Publisher のアクセス コントロール インタフェースを表示できます。

• [サービス] メニューから [アクセス コントロール] を選択します。
• ツールバーの [情報] ボタンをクリックして [Web Publisher Services] ページを表示し、[アクセス コントロール] ボタンをクリックします。
• ブラウザの URL フィールドに、次の URL を入力します。

http://yourServer/oneacl/index.html

[アクセス コントロール] ウインドウが、アクセス コントロール ルールの設定で使用する 2 つのフレームに分割されます。ファイルやフォルダにアクセス コントロールがない場合、上のフレームは最初空白になります。

1. [新しい行の作成] をクリックして新しいデフォルト ルールを挿入し、これを変更せずにそのまま残します。デフォルトのルールは、全ユーザに対してすべての操作を拒否するものです。この設定後、次のステップで特定のユーザおよびグループに対してアクセス権を設定します。
2. [新しい行の作成] を再度クリックし、表の一番下の行に新しいデフォルト ルールをもう 1 つ挿入します。必要に応じて、左のカラムにある上下の矢印を使用してルールを移動します。

　

図 7.2 ファイルのオーナ用 ACL のサンプル



3. このファイルへのアクセスを許可する場合は、[アクション] カラムにある [拒否] リンクをクリックします。下のフレームに [Allow/Deny] フォームが表示されます。詳細は、「アクションを設定する」を参照してください。
4. [許可] をクリック、次に [更新] をクリックし、新しいデータが入った上のフレームに戻ります。
5. 特定のユーザに対してアクセスを許可する場合は、[ユーザ/グループ] カラムにある [Anyone] リンクをクリックします。下のフレームに [ユーザ/グループ] フォームが表示されます。デフォルトでは認証が設定されていないため、全員がリソースにアクセスできます。詳細は、「ユーザとグループを設定する」を参照してください。
6. 特定のコンピュータまたはネットワークのみにアクセスを制限する場合は、[From Host] カラムにある [Anyplace] リンクをクリックします。この設定オプションの使用方法についての詳細は、「ホスト名と IP アドレスを指定する」を参照してください。
7. 特定の操作を制限する場合は、[Rights] カラムにある [All] リンクをクリックします。下のフレームに [アクセス権] フォームが表示されます。デフォルトでは、ユーザはすべての操作が可能です。詳細は、「アクセス権を設定する」を参照してください。

書込みと削除以外のすべての操作を許可する場合は、この 2 つのチェックボックスをオフにして [更新] をクリックし、新しいデータが入った上のフレームに戻ります。

8. 新しい行を 1 行追加して今度はオーナに書込みと削除のアクセスを許可し、ステップ 4 〜 6 を実行します。

このあと、ファイルのオーナのみがアクセスできるよう制限するには、「Authenticated People Only」の下にある [ユーザ] フィールドに「owner」と入力して [更新] をクリックし、新しいデータが入った上のフレームに戻ります。

9. 通常は、以上でファイルの ACL 定義に必要な作業が完了するため、[送信] をクリックして「index.html」ファイルに対してこの ACL を設定します。この他の使用可能なオプションについての詳細は「追加オプション」を参照してください。

[戻る] をクリックすると、フレームが 2 つあるウインドウを最初に開いた時以降に行ったルールに対するすべての変更が、取り消されます。[戻る] の使用後は、編集内容を復元できないので注意してください。通常は、各行の終わりにあるごみ箱のアイコンをクリックし、個々のルール行を個々に削除するほうが安全です。

Web Publisher では、アクセス コントロール インタフェースを使用することにより、広い範囲にわたるアクセス定義を柔軟に行うことができます。インタフェースは 2 つのフレームに分割され、下のフレームに表示される各種フォームの新規データまたは変更データにより、上のフレームに表示される ACL ルールが更新されます。また、上のフレームには、アクセス コントロールのカスタマイズに使用するアイコンやチェックボックスが表示されます。

アクションを設定する
要求がアクセス コントロール ルールと一致した場合にサーバが実行するアクションを指定できます。

• 許可を指定した場合、ユーザまたはコンピュータは要求したリソースにアクセスできます。
• 拒否を指定した場合、ユーザまたはコンピュータはリソースにアクセスできません。

• デフォルトでは、Anyone (認証なし) が設定されており、すべてのユーザが、ユーザ名やパスワードを入力することなくリソースにアクセスできることを意味します。ただし、ホスト名や IP アドレスなどの設定が原因で、アクセスが拒否される場合があります。
• Authenticated people only は、リソースにアクセスする際に、有効なユーザ名およびパスワードを入力する必要があることを意味します。
• All in the authentication database では、データベースに記録されているユーザ全員が対象になります。
• Only the following people では、特定のユーザおよびグループを指定できます。ユーザおよびユーザ グループをカンマで区切って個々に指定します。または、「*Smith」などのワイルドカード パターンの入力も可能です。

• グループ では、指定したグループの全ユーザが対象になります。
• ユーザ では、指定した各ユーザが対象になります。アクセスをオーナのみに制限する場合は、ここに「owner」と入力します。
• Prompt for authentication では、認証ダイアログ ボックスに表示されるメッセージをカスタマイズできます。デフォルトでは、図の中に「Enterprise Server」と表示されます。OS によって異なりますが、プロンプトの最初の約 40 文字が表示されます。
• Netscape Navigator および Netscape Communicator では、ユーザ名およびパスワードがキャッシュに格納されるため、同じブラウザを使用している限り、ユーザ名とパスワードを再入力する必要はありません。
• Authentication Methods では、クライアントから認証情報を入手する際にサーバが使用するメソッドを指定します。この設定の変更は、サーバ管理者との相談の上で行ってください。
• Authentication Database を選択した場合は、ユーザの認証を行う際にサーバが使用するデータベースを選択できます。この設定の変更は、サーバ管理者との相談の上で行ってください。

ACL ウインドウには、各ルールの再構成や削除を容易に行うための、特殊なグラフィック要素があります。また、リソースへのアクセスを拒否されたユーザに対して表示するメッセージを再定義するためのチェックボックスも用意されています。

ルールを上下に移動する
各ルールは、サーバが処理する順番で適用されます。ルールの定義後は、各ルールの左側にある矢印を使用して、そのリソースに対するルールの順序を並べ替えることができます。これは、絶対ルールを一時的に定義し、そのあとのルールへのアクセスをブロックする場合に、特に便利です。ルールをシーケンス内で上に移動することにより、ルールを削除して再作成する必要がなくなります。このようなルールを絶対ルールの下に配置することにより、サーバによるチェックが行われません。

ACL ルールを削除する
「Access control is on」のオプションをオフにした場合、ACL ファイルにあるレコードを消去するかどうかを確認するプロンプトが表示されます。[OK] をクリックすると、そのリソースに対するアクセス コントロール ルールがすべて削除されます。

アクセスを拒否されたときの対応
You can vary the message for each file or folder. By default, the user is sent a message that says the file wasn't found (the HTTP error message 404 Not Found is also sent). In general, do not change this setting without consulting with your server administrator.ユーザがアクセスを拒否された時に表示するメッセージを選択できます。各ファイルまたはフォルダに対し、それぞれ異なるメッセージを表示できます。デフォルトでは、ファイルが検出されないというメッセージ (および「404 Not Found」という HTTP エラー メッセージ) がユーザに送信されます。この設定の変更は通常、サーバ管理者との相談の上で行ってください。

1. 上のフレームにある [Response when denied] リンクをクリックします。[Access Deny Response] フォームとデフォルトのオプション セットが下のフレームに表示されます。
2. [Respond with the following url] というラベルの付いたラジオ ボタンをクリックします。
3. アクセス拒否時にユーザに送信する、サーバのドキュメント ルートにあるファイル (テキストまたは HTML) の URL を、テキスト フィールドに入力します。ほかのファイルへの参照 (スタイル シートなど) やイメージは送信されないため、このファイルにこれらが含まれていないことを確認します。
4. [更新] をクリックし、上のフォームに戻ります。
5. [送信] をクリックし、この応答をアクセス コントロール ルールの一部として設定します。

この制限を指定するには、コンピュータのホスト名または IP アドレスに一致するワイルドカード パターンを使用します。たとえば、特定のドメインにある全コンピュータのアクセスを許可または拒否するには、「*.netscape.com」のように、そのドメインの全ホストに一致するワイルドカード パターンを入力します。

1. [ACL] フォーム上部にある [From Host] カラムの [Anyplace] リンクをクリックします。下のフレームに、[From Host] フォームが表示されます。
2. [Only From] オプションのフィールドに、ワイルドカード パターン、カンマで区切ったホスト名、IP アドレスのリストのいずれかを入力します。
3. [更新] をクリックし、変更後のデータが入力された [ACL] フォームの上の部分に戻ります。
4. [送信] をクリックし、アクセス コントロール ルールを変更します。