WEBシステムに、社内イントラネットからしかアクセスさせない方法

解決済

回答 5

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 2,966

wild

score 29

実現したいこと・要件

PHPで開発する予定のWEBシステムがあるのですが、クライアント様から以下二つの要望がありました。

1.WEBシステムへは、社内イントラネットからしかアクセスさせない

2.ユーザ認証は、社内ADサーバにて行いたい

3.社外公開用のWEBシステムは、外部からもアクセス出来るようにしたい

環境

・WEBシステムは、社内用・外部公開用ともに自社サイト(レンタルサーバ)の一部に設置

・データベースは同じものを参照する

・会社は複数拠点を持っているが、全てVPNで繋がっている

・ADサーバは本社に設置されており、WEBシステムへはこの本社イントラからしかアクセスさせたくない

・本社のグローバルIPアドレスは固定ではない

・AD認証用ページは、本社IISに設置し社内ローカルIPアドレスでアクセスさせる
(社外には公開しない)

考えた方法

AD認証用のページでユーザID・パスワードを入力

ADサーバで認証を行い、認証OK・認証NGの情報をAD認証用ページに返す

認証OKであれば、AD認証用ページからWEBシステムへリダイレクト
(GETまたはPOSTで、認証OKの情報を渡す)

WEBシステム側で、GETまたはPOSTリクエストに認証OKの情報があればWEBシステムにアクセスさせる
(認証OKの情報は、クッキーまたはセッションに保存)

セキュリティ上の懸念

上記方法ですと、例えば社外からAD認証OKの情報をhttpリクエストに含める事で、社外からもWEBシステムにアクセス出来てしまうのではないか。。と懸念しています。

ご質問

クライアント様の要件を満たすために、何か良い対策や方法はありませんでしょうか?

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 5

+1

VPNに追加してもらうことはできないのでしょうか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/15 18:50

    ご回答ありがとうございます。
    要件・環境に漏れがあったのですが、実はこのWEBシステムは自社サイトと同じサーバに設置し、一部を外部に公開します。
    厳密には、同じサーバ内に外部公開用・社内用の別々のWEBシステムを置き、参照するデータベースは同じで、外部と社内で見せるデータを変える、というものです。

    そもそもの要件が矛盾しているかもしれませんが、VPNをディレクトリ単位で接続する、という事は可能なのでしょうか?

    キャンセル

+1

社内ネットワーク上にWEBサーバを立てて個別に運用するのがセキュリティー面からも一番シンプルで安全だと思いますが?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/17 11:47

    ご回答ありがとうございます。
    ただ、DBは外部公開用WEBシステムと共通のため、DBはレンタルサーバに置く必要があります。
    そうすると、社内に構築したWEBシステムからDBにアクセスする必要があるため、それが許可されているか調べてみます。

    キャンセル

+1

こんなの見つけましたがどうでしょうかね
IISで複数のサイトを稼働させる方法です。
http://www.atmarkit.co.jp/ait/articles/0908/14/news045.html

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/17 11:50

    ご回答ありがとうございます。
    要件・環境に追記したのですが、社内システムとは別に、DBが共通で別のWEBシステムを外部に公開する必要があり、そのサーバがLAMP環境なのでIISは使えないんです。。

    キャンセル

+1

レンタルサーバーによっては、外部からMySQLに接続することが可能なものもあります。
参考リンク

このような機能があるレンタルサーバーでしたらシステム本体は社内ネットワークに構築し、データベースの接続先だけをレンタルサーバーにする、ということも可能です。

ただし、いくつか問題点もあります。

  • 外部サーバー(およびそこへの接続)にトラブルが発生した場合、社内システムも機能しない。
  • 外部MySQLへの接続許可はIPアドレスで指定することになると思うので、本社のIPアドレスが変わる度に設定しなければならない。
  • IPアドレスがいつ変わるか予想がつかず、場合によっては使用中に突然繋がらなくなることもある。

2番目と3番目の問題から、私の場合は固定IPでの運用に切り替えることになりました。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/17 11:53

    ご回答ありがとうございます。
    レンタルサーバのMySQLは、localhostからだけでなく外部から接続を許可しているプランもあるんですね。
    おっしゃる通り、2晩と3番の問題もあるので、固定IPの運用にて提案してみたいと思います。

    キャンセル

checkベストアンサー

0

SSLのクライアント証明書による認証はどうでしょうか。
クライアント証明書を持ち出された場合はアレですが。

また、拠点間がVPNでつながっているのであれば、WEBシステムを置くサーバにもVPNを通してローカルIPにて接続するのは難しいのでしょうか。
(レンタルサーバというところで厳しい気はしますが。)

本社のグローバルIPが固定じゃないとありますが、これは範囲も指定できないレベルで変動的なのでしょうか。
範囲が決まっていてその範囲のIPアドレスは社内で使われると決まっていれば簡単に済むと思いますが。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/15 18:54

    ご回答ありがとうございます。

    >SSLのクライアント証明書による認証はどうでしょうか。
    >クライアント証明書を持ち出された場合はアレですが。
    →こちらの方法であれば実現出来るかもしれません、ありがとうございます。

    >本社のグローバルIPが固定じゃないとありますが、これは範囲も指定できないレベルで変動的なのでしょうか。
    >範囲が決まっていてその範囲のIPアドレスは社内で使われると決まっていれば簡単に済むと思いますが。
    →IPを固定出来れば話が早いのですが、どうしてもそれは出来ないの一点張りでして。。
    社内のグローバルIPの割り当てが指定可能か、どの程度の範囲か、一度プロバイダに確認してみます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.21%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる