システムプログラム（第0回）: Webページに対するアクセス制御と認証

                                       筑波大学 システム情報系 情報工学域
                                       新城 靖
                                       <yas@cs.tsukuba.ac.jp>

このページは、次の URL にあります。
https://www.coins.tsukuba.ac.jp/~syspro/2024/2024-05-22/www-access-control.html
あるいは、次のページから手繰っていくこともできます。
https://www.coins.tsukuba.ac.jp/~syspro/2024/
http://www.coins.tsukuba.ac.jp/~yas/

■Webページに対するアクセス制御と認証

◆アクセス制御

[再掲]

アクセス制御(access control) とは、「主体」が、「オブジェクト」を「操作」する時、どんな操作なら正し いということを定義して、それがきちんと守られていることをということを保 証することである。

図? アクセス制御における主体、オブジェクト、および、操作

◆Webページにのアクセスにおける主体、オブジェクト、操作

主体

• Webブラウザ(クライアント)が動作しているホストの IP アドレスやドメイン名
• ユーザ名とパスワードで識別したユーザ
• 公開鍵暗号系で特定の秘密鍵を所有しているユーザ

オブジェクト

URLで表現できるもの。木構造を利用した指定や正規表現(後述)による指定も可能。

• 単純なWebページ(ファイル)
• Webアプリケーション(レポート提出ページのように、Webブラウザで文字 列やファイルを送信する。Web サーバでは特別のプログラムが動作する。)

操作

• データを取得(GET)
• データを送る(POST)
• その他

◆Webページに対するアクセス制御の設定

• WWWサーバの管理者
  • httpd.conf、および、それから読み込まれるファイル
• 個人のページ
  • .htaccess

coins では www.coins.tsukuba.ac.jp の次の場所にある。

• /etc/httpd/conf/httpd.conf
• /etc/httpd/conf.d/*.conf

◆IPアドレスやドメイン名によるアクセス制御

<RequireAny>
Require ip 130.158.0.0/16
Require ip 133.51.0.0/16
Require ip 2001:2f8:3a:1700::/56
</RequireAny>

• 主体は、IP アドレスで指定されたクライアント・コンピュータ。
• 「/16」は、IPアドレスのうち、上位16ビットが一致するものを意味する。 「130.158.0.0/16」 は、 130.158.0.0から130.158.255.255までの意味。
• 130.158.0.0/16 と 133.51.0.0/16 は、 筑波大学に割り当てられた IPv4 のアドレス。
• 2001:2f8:3a:1700::/56 は、情報科学類に割り当てられた IPv6 のアドレス。

◆学外Webサイトでの筑波大学の識別例

• 学会のデジタルライブラリ: https://dl.acm.org/, https://www.computer.org/csdl、 https://ieeexplore.ieee.org/Xplore/home.jsp 等。
• 筑波大学付属図書館 TULIPS-Linker 。学外の論文検索サイトでも、学内 の IP アドレス(IPv4)からの検索の場合、付属図書館へのリンクが表示される。学内 にあればそれもみつかる。 https://scholar.google.co.jp/ や https://ci.nii.ac.jp/ についている。

◆WWW Basic認証

◆Coins Shibboleth

• アクセス制御の主体は、coins の利用者(coinsのユーザ名とパスワードを 正しく打ち込んだ人) (が実行している Web ブラウザ)
• オブジェクトは、Web ページ。

• 情報科学類のコンピュータにアカウントがある人だけが表示できるページを作る。
• 情報科学類のコンピュータにアカウントがある人のうち、 特定の人だけがアクセスできるページを作れる。
• (情報科学類のコンピュータにアカウントがある人のうち)自分だけがアク セスできるページを作れる。