木曜日 12 06, 2007

IIS6.0用Policy Agentの問題

IIS5.0からIIS6.0へアップグレードされたお客様からIIS上でアクセス制御を行うPolicy Agentが誤動作するとの連絡を頂きました。調査した結果、この問題はIIS6.0上でPolicy Agentを使用するお客様に関係する要素があるためブログでもお知らせ致します。

IIS6.0上に配備されたISAPI Filterとの組合せによりPolicy Agent (2.1/2.2) が誤動作する場合があることが報告されています。IIS5.0までのPolicy Agent はISAPI Filter として配備されていましたが、IIS6.0 からは Wildcard Application Mapping  として配備されるようになりました。この変更はMicrosoft社から推奨に基づいています。

一般にIISにより受け取られたリクエストは、まずサーバ上に配備された各種 ISAPI Filterによって処理されます。Wildcard Application Mappingsによる処理が行われるのは、その後です。そのため、ISAPI Filter のなかにリクエストの内容を書き換えるものがあった場合には、Policy Agent  が誤動作する原因になります。

実際にどのような誤動作になるかは、その前に動作するISAPI Filter の種類により様々です。現時点では、

1) iisWASPlugin_http.dll (IBM/WebSphere)
2) isapi_redirect.dll (Jakarta/Tomcat)

との組合せで誤動作することが報告されています。これらは IIS をフロント・エンド・サーバとして利用するために ISAPI Filter として配備されるモジュールです。

 

About

岩片 靖

PKCS#11、認証局、SET、SSL、S/MIME、オンライン・バンキング、Liberty、Identrusをはじめとする各種セキュリティ・システムの実装、実証実験に参加、現在はIdentity ManagerおよびAccess Managerを担当しています。これまでの経験をもとにアイデンティティの管理全般にわたる情報を提供します。 Ph.D.(組合せ論専攻)でもあるので、暗号の仕組みや、パズルなど面白い話題も提供できたらと考えています。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日