5. アクセスコントロールモデルの導入
5.2. IIS 5.0
図 5-1 HTTP認証の設定
5.2.3. WebDAV フォルダのアクセス権設定
次に、WebDAVフォルダのアクセス権の設定を行う。この作業はNTFSの機能を用いて行う。
WebDAVフォルダのプロパティを開き、セキュリティタブを選択する。
(1) 継承の禁止
フォルダ独自のアクセス権を設定するために、「継承可能なアクセス許可を親からこのオブ ジェクトに継承できるようにする」のチェックを外し、アクセス権の継承を禁止する。
(2) [Authenticated Users]グループの削除
デフォルトの状態では、以下のユーザとグループにアクセスが認められている。
Administrator Authenticated Users SYSTEM
このうち、[Authenticated Users]グループは全ての承認されたユーザを意味し、認証が無 い場合は匿名ユーザも含まれる。[Authenticated Users]グループを削除し、詳細なアクセス コントロールを可能にする。
(3) グループの追加
作成したWebDAVアクセス用グループである[DAVauthors]と[DAVreaders]を追加する。
(4) DAVauthorsのアクセス権の設定
「詳細」ボタンを押して「アクセス制御の設定」ウィンドウを開き、DAVauthors グループ を選択し「編集」を押して「アクセス許可のエントリ」ウィンドウを開く。
アクセス権の詳細設定は以下のように行う。
表 5-3 DAVauthorsのアクセス権設定
項目 設定値
適用先 このフォルダ、サブフォルダおよびファイル
フォルダのスキャン/ファイルの実行 許可 フォルダの一覧/データの読み取り 許可
属性の読み取り 許可
拡張属性の読み取り 許可
ファイルの作成/データの書き込み 許可 フォルダの作成/データの追加 許可
属性の書き込み 許可
拡張属性の書き込み 許可 サブフォルダとファイルの削除 許可
削除 (チェック無し)
アクセス許可の読み取り 許可
アクセス許可の変更 (チェック無し)
所有権の取得 (チェック無し)
(5) DAVreadersのアクセス権の設定
同様に、DAVreadersのアクセス権を以下に示すように設定する。
表 5-4 DAVreadersのアクセス権設定
項目 設定値
適用先 このフォルダ、サブフォルダおよびファイル
フォルダのスキャン/ファイルの実行 許可 フォルダの一覧/データの読み取り 許可
属性の読み取り 許可
拡張属性の読み取り 許可
ファイルの作成/データの書き込み (チェック無し)
フォルダの作成/データの追加 (チェック無し)
属性の書き込み (チェック無し)
拡張属性の書き込み (チェック無し)
サブフォルダとファイルの削除 (チェック無し)
削除 (チェック無し)
アクセス許可の読み取り 許可
アクセス許可の変更 (チェック無し)
所有権の取得 (チェック無し)
5.2.4. IIS における問題点
前述したように、IISにはプロパティの読み取りを防ぐ手段が無い。また、Depthヘッダにお
いてInfinityが指定された際には指定通りに動作してしまう問題がある。
これらの問題を抑制するため、IISにおいてWebDAV を有効化する場合には、適切な認証機 構を導入することは必須と言える。また、IISでWebDAVを用いずHTTP/1.1を用いてリード オンリーなWebサーバを運用する場合にはWebDAV機能を無効化することが望ましい。