none
ISA Server 2006において、特定のクライアントだけにWebサイトにアクセスさせる方法 RRS feed

  • 質問

  • 初めて質問させていただきます。

    ISA Server 2006を用いてOWAサーバを公開することになったのですが、
    そのままではID&パスワードを入力するだけで誰でも利用可能になってしまうことを懸念しています。

    何らかの方法で特定のコンピュータのみにアクセスさせるように設定することはできないでしょうか?
    (ISA Serverのネットワークセットの中に検疫VPNクライアントというものがあるようですが、
     スクリプトか何かを使ってMACアドレスを判別する、等の方法が取れないか考えています)
    2010年3月9日 23:01

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    ご質問された内容について、私の方でも少し調べてみましたが、MAC アドレスでの制限については情報が見当たらなかったので、出来ない可能性があります。

    別の方法としては、証明書やスマートカードなどが有効ではないかなと思われます。
    実際に試した事はないので参考程度にご紹介させていただきますね。

    - 参考情報
    Outlook Web Access の ISA Server 2006 の使用
    http://technet.microsoft.com/ja-jp/library/aa996545(EXCHG.80).aspx

    スマート カードを使用した Outlook Web Access へのログオン
    http://207.46.16.252/ja-jp/magazine/2007.07.smartcards.aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク motherness 2010年3月24日 22:38
    2010年3月18日 6:08
    モデレータ

すべての返信

  • motherness ユーザーのメダルユーザーのメダルユーザーのメダルさん、こんにちは。

    ちょっと要件を確認させてください。
    ISAでOWAを公開するということは、社外からOWAを使ってメールを確認できるようにしたいということでよろしいでしょうか。
    その際に、特定のコンピュータからの接続だけを許可したいといように読み取れるのですが、「特定のコンピュータ」でないとダメですか?
    Exchange Serverの設定でユーザーごとにOWAの利用許可/禁止の設定を行うことができます。
    デフォルトではすべてのユーザーはOWAの利用が許可されていますが、以下の方法で無効にすることができます。

    GUIでの操作方法
    1. Exhcnage管理コンソールから、[受信者の構成] - [メールボックス]で該当するユーザーを右クリック、[プロパティ]をクリックする。
    2. [メールボックスの機能]タブに切り替えて、OWAを選択して、[無効にする]をクリックする。

    コマンドレットでの設定方法
    Set-CasMailbox -OWAEnabled $false -Identity 'example.com/Users/YamamotoAkira'

    このような方法をとれば、わざわざコンピュータによる制限をかける必要はないはずですが、それ以外の特別なご要望があるようでしたらお聞かせいただければお手伝いできるかもしれません。


    YamamotoA
    2010年3月11日 7:18
  • ご返信ありがとうございます。

    >ISAでOWAを公開するということは、社外からOWAを使ってメールを確認できるようにしたいということでよろしいでしょうか。

    その通りです。

    >その際に、特定のコンピュータからの接続だけを許可したいといように読み取れるのですが、「特定のコンピュータ」でないとダメですか?
    いいえ。
    「ID&パスワードが合致すればログインできてしまう」ということが問題なので、
    IDとパスワード+”何らかの資格情報”があればOKです。

    (懸念しているアクセス)
    おっ!適当なURLを入力したらフォームが出てきた!・・・適当にIDとパスワードを入力してみよう・・・
    おっ!ログインできたゾ。
    2010年3月11日 13:33
  • ISAでどうにかするのであれば、「コンピュータ」または「ネットワーク」という要素を使って特定の接続ものからしかアクセスさせないということはできます。
    ただ、ユーザー数が多い場合現は相当大変な作業になりそうですね。

    また、個人的な意見でも申し訳ないのですが、ID/パスワードはユーザーを識別するための情報なので認証が成功すればメールへ参照ができるのは当たり前のことだと思います。参照できる情報はユーザー自身のものなので、それ自体に害はないはずです。外部からのアクセスを受け入れるためのOWAですので。

    セキュリティ上の理由で特定のPCからのみ、正規のユーザーを受け入れるという考え方も当然ありますよね。
    接続元を限定することで、利便性が損なわれてしまう、いわゆる、「セキュリティ」と「利便性」は相反するという図式が成り立つわけですが。。

    以上、期待される回答とならずに申し訳ありませんでした。


    YamamotoA
    2010年3月17日 11:50
  • こんにちは、フォーラムオペレーターの三沢健二です。

    ご質問された内容について、私の方でも少し調べてみましたが、MAC アドレスでの制限については情報が見当たらなかったので、出来ない可能性があります。

    別の方法としては、証明書やスマートカードなどが有効ではないかなと思われます。
    実際に試した事はないので参考程度にご紹介させていただきますね。

    - 参考情報
    Outlook Web Access の ISA Server 2006 の使用
    http://technet.microsoft.com/ja-jp/library/aa996545(EXCHG.80).aspx

    スマート カードを使用した Outlook Web Access へのログオン
    http://207.46.16.252/ja-jp/magazine/2007.07.smartcards.aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク motherness 2010年3月24日 22:38
    2010年3月18日 6:08
    モデレータ