C# と VB.NET の質問掲示板

ASP.NET、C++/CLI、Java 何でもどうぞ

C# と VB.NET の入門サイト

Re[13]: 偽装アカウントについて


(過去ログ 12 を表示中)

[トピック内 19 記事 (1 - 19 表示)]  << 0 >>

■3181 / inTopicNo.1)  偽装アカウントについて
  
□投稿者/ ゆっきー (32回)-(2007/04/25(Wed) 14:05:52)

分類:[VB.NET (ASP.NET)] 

ご質問です。

環境[Windows Server 2003]


Web.Configに

<identity impersonate="true" userName="ABC" password="XXXXXXX"/>

と記載し、アカウントの偽装をし、ASP.NET(画面)を動かしているのですが、
そのアカウント名ではなく、NETWORK SERVICEで動いてしまいます。



また、Windows XPの端末で同条件で試した結果、ABCで動いています。

何かお分かりになられたらご教授ください。
お願いいたします。
引用返信 編集キー/
■3182 / inTopicNo.2)  Re[1]: 偽装アカウントについて
□投稿者/ επιστημη (497回)-(2007/04/25(Wed) 14:09:27)
επιστημη さんの Web サイト
> 何かお分かりになられたらご教授ください。

何をお尋ねなのかわかりません。

引用返信 編集キー/
■3183 / inTopicNo.3)  Re[2]: 偽装アカウントについて
□投稿者/ ゆっきー (34回)-(2007/04/25(Wed) 14:22:08)
No3182 (επιστημη さん) に返信
>>何かお分かりになられたらご教授ください。
>
> 何をお尋ねなのかわかりません。

ASP.NETの画面を動かすとき、普通は
「ASPNET」というユーザで画面が動くと思います。
今やりたいことは、「ABC」というユーザで画面を動かしたいのです。

WindowsXPで画面をいじっているときは、
Web.Configに

<identity impersonate="true" userName="ABC" password="XXXXXXX"/>

と記載すると「ABC」というユーザで動いたのですが、
WindowsServer2000で画面をいじり始めたら
「ABC」というユーザではなく「NETWORK SERVICE」というユーザで
画面が動いています。

そこで何が原因なのか全然わからないのでお聞きしたいのです。
よろしくお願いします。
引用返信 編集キー/
■3187 / inTopicNo.4)  Re[3]: 偽装アカウントについて
□投稿者/ ゆっきー (35回)-(2007/04/25(Wed) 15:38:08)
追記です。

System.Security.Principal.WindowsIdentity.GetCurrent().Name
で確認したところ、「ABC」ユーザで動いていることがわかりました。
しかし、タスクマネージャーで見ると「NETWORK SERVICE」ユーザで動いています。

何かお分かりになられたらご教授ください。
お願いいたします。
引用返信 編集キー/
■3188 / inTopicNo.5)  Re[4]: 偽装アカウントについて
□投稿者/ trapemiya (112回)-(2007/04/25(Wed) 16:29:15)
trapemiya さんの Web サイト
No3187 (ゆっきー さん) に返信
> 追記です。
>
> System.Security.Principal.WindowsIdentity.GetCurrent().Name
> で確認したところ、「ABC」ユーザで動いていることがわかりました。
> しかし、タスクマネージャーで見ると「NETWORK SERVICE」ユーザで動いています。
>
> 何かお分かりになられたらご教授ください。
> お願いいたします。
引用返信 編集キー/
■3189 / inTopicNo.6)  Re[5]: 偽装アカウントについて
□投稿者/ 囚人 (88回)-(2007/04/25(Wed) 16:30:35)
偽装ですよね?
ゆっきーさんの書いたコードは「ユーザ ABC」という資格を持ちますが、ワーカープロセスのアカウントは依然として NETWORK SERVICE のままのはずです。
「タスクマネージャで見た」というのはワーカープロセスのアカウントの話ですよね?
その挙動で正しいと思いますが。

>また、Windows XPの端末で同条件で試した結果、ABCで動いています。
問題はこれをどうやって確認したのかです。
引用返信 編集キー/
■3190 / inTopicNo.7)  Re[5]: 偽装アカウントについて
□投稿者/ trapemiya (113回)-(2007/04/25(Wed) 16:31:37)
trapemiya さんの Web サイト
No3188 (trapemiya さん) に返信
> ■No3187 (ゆっきー さん) に返信
>>追記です。
>>
>>System.Security.Principal.WindowsIdentity.GetCurrent().Name
>>で確認したところ、「ABC」ユーザで動いていることがわかりました。
>>しかし、タスクマネージャーで見ると「NETWORK SERVICE」ユーザで動いています。

それでいいと思います。本来、「NETWORK SERVICE」で動くところを、「ABC」にだまして(偽装)動かしているのですから。

偽装(Impersonation)
http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet17/aspnet17_03.html
引用返信 編集キー/
■3191 / inTopicNo.8)  Re[6]: 偽装アカウントについて
□投稿者/ ゆっきー (36回)-(2007/04/25(Wed) 16:35:26)
No3189 (囚人 さん) に返信

返信ありがとうございます。

> 偽装ですよね?
偽装です。

> ゆっきーさんの書いたコードは「ユーザ ABC」という資格を持ちますが、ワーカープロセスのアカウントは依然として NETWORK SERVICE のままのはずです。
> 「タスクマネージャで見た」というのはワーカープロセスのアカウントの話ですよね?
> その挙動で正しいと思いますが。
タスクマネージャで見たというのは、
タスクマネージャ→プロセス→該当のイメージ名のユーザ名
です。
ワーカープロセスのアカウントというのがわからないので調べてみます。

> >また、Windows XPの端末で同条件で試した結果、ABCで動いています。
> 問題はこれをどうやって確認したのかです。
上に同じく、タスクマネージャで確認しても「ABC」というユーザで動いています。

よろしくお願いします。
引用返信 編集キー/
■3193 / inTopicNo.9)  Re[6]: 偽装アカウントについて
□投稿者/ ゆっきー (37回)-(2007/04/25(Wed) 16:43:59)
No3190 (trapemiya さん) に返信

返信ありがとうございます。

> それでいいと思います。本来、「NETWORK SERVICE」で動くところを、「ABC」にだまして(偽装)動かしているのですから。
>
> 偽装(Impersonation)
> http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet17/aspnet17_03.html

上記にも書きましたが、
Windows XPでの場合 → 偽装アカウントが表示
Windows Server 2003の場合 → NETWORK SERVICEが表示
とタスクマネージャではなっています。

なぜ、このような差異が起こるのでしょうか?


引用返信 編集キー/
■3195 / inTopicNo.10)  Re[7]: 偽装アカウントについて
□投稿者/ 囚人 (89回)-(2007/04/25(Wed) 16:46:52)
> 上記にも書きましたが、
> Windows XPでの場合 → 偽装アカウントが表示
> Windows Server 2003の場合 → NETWORK SERVICEが表示
> とタスクマネージャではなっています。
>
> なぜ、このような差異が起こるのでしょうか?

それは違う原因で、ワーカープロセスの実行アカウントを変更していませんか?
例えばこんな感じで
http://www.microsoft.com/japan/msdn/enterprise/pag/securityguidance/paght000009.aspx

引用返信 編集キー/
■3196 / inTopicNo.11)  Re[6]: 偽装アカウントについて
□投稿者/ ゆっきー (38回)-(2007/04/25(Wed) 16:47:46)
No3189 (囚人 さん) に返信

ワーカープロセスを調べました。

> ゆっきーさんの書いたコードは「ユーザ ABC」という資格を持ちますが、ワーカープロセスのアカウントは依然として NETWORK SERVICE のままのはずです。
> 「タスクマネージャで見た」というのはワーカープロセスのアカウントの話ですよね?
ワーカープロセスのアカウントの話です。

> その挙動で正しいと思いますが。
trapemiyaさんのおっしゃっている事と同じですね。

Windows XPで動かす場合とWindows Server 2003で動かす場合で
なぜ違ってしまうのでしょうか?

よろしくお願いします。
引用返信 編集キー/
■3197 / inTopicNo.12)  Re[7]: 偽装アカウントについて
□投稿者/ ちゃっぴ (14回)-(2007/04/25(Wed) 16:49:56)
ちゃっぴ さんの Web サイト
> なぜ、このような差異が起こるのでしょうか?

Windows の仕様です。
偽装を理解していないようですので、下記付近を勉強してください。

Client Impersonation
http://msdn2.microsoft.com/en-us/library/aa376391.aspx

RevertToSelf
http://msdn2.microsoft.com/en-us/library/aa379317.aspx

GetTokenInformation
http://msdn2.microsoft.com/en-us/library/aa446671.aspx

ちなみに TaskManager で表示される account は primary token と呼ばれるものです。それに対し、偽装された token は impersonate token と呼ばれています。
引用返信 編集キー/
■3198 / inTopicNo.13)  Re[8]: 偽装アカウントについて
□投稿者/ 囚人 (90回)-(2007/04/25(Wed) 17:05:38)
> > なぜ、このような差異が起こるのでしょうか?
>
> Windows の仕様です。
> 偽装を理解していないようですので、下記付近を勉強してください。
>
> Client Impersonation
> http://msdn2.microsoft.com/en-us/library/aa376391.aspx
>
> RevertToSelf
> http://msdn2.microsoft.com/en-us/library/aa379317.aspx
>
> GetTokenInformation
> http://msdn2.microsoft.com/en-us/library/aa446671.aspx
>
> ちなみに TaskManager で表示される account は primary token と呼ばれるものです。それに対し、偽装された token は impersonate token と呼ばれています。


差異がある事が仕様という意味でしょうか?
引用返信 編集キー/
■3205 / inTopicNo.14)  Re[9]: 偽装アカウントについて
□投稿者/ ゆっきー (42回)-(2007/04/25(Wed) 18:17:15)
No3198 (囚人 さん) に返信

大変失礼な態度をお取りしてしまいすみませんでした。。。

いまさら遅いかもしれませんが、

>それは違う原因で、ワーカープロセスの実行アカウントを変更していませんか?
>例えばこんな感じで
>http://www.microsoft.com/japan/msdn/enterprise/pag/securityguidance/paght000009.aspx

は、行っておりません。。。
ので、勝手に問題ないのだと思い返したつもりになってしまっていました。

ほんとにすみませんでした。。。

言われた後に言っても意味ないかもしれませんし、
もう教えたくないと言われればこちらは何か言える立場でもありませんし。

ただ教えてもらってことには感謝していますし、知らない人だしどうでもいいと思ったわけじゃありません。
それだけは伝えたいと思い、書かせていただいております。

ほんとにすみませんでした。


解決済み
引用返信 編集キー/
■3212 / inTopicNo.15)  Re[9]: 偽装アカウントについて
□投稿者/ ちゃっぴ (16回)-(2007/04/25(Wed) 21:23:54)
ちゃっぴ さんの Web サイト
> 差異がある事が仕様という意味でしょうか?

すいません、よく読んでいませんでした。

ただ、XP でというのは IIS5.1 ですよね。
Worker process なんてなかったような。。。

inetinfo.exe と dllhost.exe で起動していませんでしたっけ?
引用返信 編集キー/
■3215 / inTopicNo.16)  Re[10]: 偽装アカウントについて
□投稿者/ 渋木宏明(ひどり) (193回)-(2007/04/25(Wed) 22:30:10)
渋木宏明(ひどり) さんの Web サイト
> ただ、XP でというのは IIS5.1 ですよね。

ピンポイントでしか読んでないので外しているかもしれませんが、Visual Studo 2005 や Visual Web Developer で開発している場合、IIS ではなくて VS/VWD 付属の開発用Webサーバで ASP.NET アプリケーションを動作させている場合があります。

この場合、開発用Webサーバ(=その上で動く ASP.NET アプリケーション)は開発作業を行っている当人のアカウントで動作します。

引用返信 編集キー/
■3216 / inTopicNo.17)  Re[11]: 偽装アカウントについて
□投稿者/ 囚人 (94回)-(2007/04/25(Wed) 22:52:52)
>すいません、よく読んでいませんでした。
>
>ただ、XP でというのは IIS5.1 ですよね。
>Worker process なんてなかったような。。。
>
>inetinfo.exe と dllhost.exe で起動していませんでしたっけ?


aspnet_wp.exe みたいな名前のやつです。

引用返信 編集キー/
■3225 / inTopicNo.18)  Re[12]: 偽装アカウントについて
□投稿者/ ちゃっぴ (19回)-(2007/04/26(Thu) 12:46:34)
ちゃっぴ さんの Web サイト
> >Worker process なんてなかったような。。。
> >
> >inetinfo.exe と dllhost.exe で起動していませんでしたっけ?
>
> aspnet_wp.exe みたいな名前のやつです。

ああ、あったあった。。。すっかり忘却のかなたに。。。

local の IIS を扱う場合、Windows 統合認証が有効になっていて、匿名が使われずに logon している account で実行されているってことありませんかね?
引用返信 編集キー/
■3237 / inTopicNo.19)  Re[13]: 偽装アカウントについて
□投稿者/ ゆっきー (48回)-(2007/04/26(Thu) 18:32:52)
ちゃっぴ さん、渋木宏明(ひどり)さん、囚人さん

返信遅くなりました。

偽装の件なのですが、私的事情で使用しないことになってしまいました。
すみませんです。。。

ですが、皆様にいろいろアドバイスなど教えていただいたことはありがたく思っております。

ありがとうございました。
解決済み
引用返信 編集キー/


トピック内ページ移動 / << 0 >>

このトピックに書きこむ

過去ログには書き込み不可

管理者用

- Child Tree -