管理ガイド  05/21/03 10:02:24

第9章    セキュリティのセットアップ

この章では、Novell exteNd Application Serverのセキュリティを設定する方法について説明します。この章には、次の節が含まれています。

• セキュリティの設定

• 認証について

• サーバに安全な接続を確立

• セキュリティプロバイダシステムへのアクセス

• セキュリティプロバイダログイン形式の使用

• 証明書の使用

• 認証の有効化

• CHI (Cryptographic Hardware Integration)の使用

• 信頼するクライアントの管理

    Silver Securityのユーザおよびグループのセットアップについては、 を参照してください。

セキュリティの設定

アプリケーションサーバの3階層のアーキテクチャで、セキュリティはサーバ階層にセットアップされます。

アプリケーションサーバは、データベース(アプリケーションの配備先)または接続プール(データの取得元)に複数の接続を持つ単一のユーザとして機能します。アプリケーションサーバはこのように機能して、データソースの追加ユーザとオブジェクトセキュリティを追加します。したがって、アプリケーションサーバはアクセス権を持つユーザとして扱われます。ネイティブデータソースアクティビティとセキュリティ手段は失われません。

アプリケーションサーバは、通常のHTTPと、SSL 3.0プロトコルを使用するHTTP (HTTPS)をサポートします。HTTPSはクライアントとアプリケーションサーバ間のデータを暗号化し、機密性とデータの整合性を確保します。

アプリケーションサーバで実行するEJBはIIOP over SSLプロトコルを使用し、機密性とデータの整合性を確保します。IIOP over SSLサポートはjBroker ORBが提供します。アプリケーションサーバは、EJBのRSA認証のみをサポートします。

    jBroker ORBのIIOP over SSLサポートの詳細については、『機能ガイド』のjBroker ORBマニュアルを参照してください。

SSLについて   Netscapeが開発したSSLハンドシェークプロトコルは、インターネットにセキュリティと機密性を提供します。HTTPSはクライアントとサーバ間のデータを暗号化し、機密性とデータの整合性を確保します。SSLプロトコルはアプリケーションに依存せず、HTTPやFRPなどのプロトコルを重ねることができます。SSLプロトコルは暗号化キーとネゴシエートでき、データがより高いレベルのアプリケーションに交換される前にサーバを認証できます。SSLプロトコルは、暗号化、認証、およびメッセージ認証コードを使用して、伝送チャネルのセキュリティと整合性を維持します。

SSLをアプリケーションにアクセスさせるよう選択できます。SSLはパフォーマンスに影響するため、特定のデータ依存サイト部分のみにSSLを使用することを決定できます。または、アプリケーションサーバSSLの暗号化/解読パフォーマンスを向上させるCHI (Cryptographic Hardware Integration)の使用を考慮できます。アプリケーションサーバにCHIをインストールする方法と使用方法については、 CHI (Cryptographic Hardware Integration)の使用を参照してください。

HTTPSについて   HTTPSを使用して、機密性、ユーザ認証、およびメッセージ整合性を提供する通信チャネルを取得します。アプリケーションサーバは、次のようにSSLを実装します。

• アプリケーションサーバには、SSL接続を行う認証証明書(パブリックキー証明書、デジタルID、またはデジタル証明書とも呼ばれます)が必要です。証明書は、侵入不可能なデジタルの「IDカード」です。証明書はサーバを記述し、認証チェーンを含みます。

• クライアントとサーバは、 所有する証明書と先方の証明書(クライアントに証明書がある場合)の情報を使用して、送信内容を暗号化します。これは、意図した受信者のみがデータを解読できることを送信者が確認でき、データが請求場所から来たことおよび改ざんされていないことを受信者が確認できることを意味します。

既存ユーザへJ2EE役割をマッピング   アプリケーションサーバを使用できるユーザとグループ(Silver Securityユーザ、または外部セキュリティシステムのユーザとグループ)に、J2EEアーカイブ配備計画で定義された役割をマップできます。どのように機能するかについては、 セキュリティプロバイダシステムへのアクセスを参照してください。

認証に使用される暗号のタイプ

認証は、クライアントセッションで開始および終了します。RSA (Rivest-Shamir-Adleman)およびDSA (Diffie-Hellman) 暗号化アルゴリズムは、パブリックキーとプライベートキーに基づきます。SSLプロトコルは、ID、パブリックキー、および証明書を発行した認証局(CA)のIDと署名を含むX.509証明書をサーバが持っていることが必要です。クライアントは、受信した証明書に基づいてサーバを認証します。クライアントは、さらにデータ転送の暗号化に使用するため、パブリックキーを暗号化し、サーバに返送します。通常使用される暗号化アルゴリズムは、RC4、DES、および3DESです。

クライアントセッションは、次の3モードのうちいずれかで動作します。

セキュリティ関数

アプリケーションサーバのセキュリティシステムは、次の4つの主要セキュリティ関数を提供します。

アプリケーションサーバセキュリティシステムは、管理者を介在せずにすべてのデータ整合性およびデータ機密性関数を処理します。

残りのこの章では、アプリケーションサーバ環境に認証を実装する方法について説明します。

認証について

認証は、ユーザIDを判断するプロセスです。アプリケーションによっては、ユーザID/パスワードペアを要求、または認証証明書を介するなど、チャレンジを通してユーザを識別します。匿名ユーザがサイトのオブジェクトにアクセスしようとしたときは、ログインを要求するかまたはエラーを返信できます。ログインを要求する場合、サーバレベルまたはオブジェクトレベルでできます。SMCを使用して、アクセスにログインを要求する特定のオブジェクトを設定します。または、サーバレベルの［Require user authentication］設定を使用して、ユーザがサーバに最初に接続したときにログインを強制します。

    詳細については、 認証の有効化を参照してください。

サーバに安全な接続を確立

SSLによる通信を使用する場合、サーバ証明書を取得してサーバにインストールする必要があります。また、SSLのみを使用する場合は、RSAまたはDSA、あるいはその両方を有効にし、HTTPを無効にする必要があります。

サーバへのユーザおよびデータベース追加などの管理作業を行うときは、すべての通信が暗号化されるように、サーバと使用しているクライアント(SMCまたはブラウザなど)の間に安全な(SSL)接続が必要です。

この後に続く3つの節では、次の内容について説明します。

• Javaクライアントおよびアプリケーションサーバ間の安全な(SSL)接続の確立

• HTMLクライアントとアプリケーションサーバ間の安全な(SSL)接続の確立

• EJBクライアントとアプリケーションサーバ間の安全な(SSL)接続の確立

Javaクライアントおよびアプリケーションサーバ間の安全な(SSL)接続の確立

アプリケーションサーバおよびJavaクライアント間の安全な通信には、RSAまたはDSAプロトコルを使用できます。

各プロトコルに固有なポートを設定できるため、指定するポートは、ユーザのランタイムポートまたは管理ポートを意図するかどうかによって異なります。

    詳細については、 別個のポートのセットアップを参照してください。

Javaクライアントとアプリケーションサーバ間に安全な(SSL)接続を確立する

1. RSAまたはDSA証明書をアプリケーションサーバにインストールします。

       詳細については、 証明書の使用を参照してください。

2. SMCのRSAまたはDSAポートを有効にします。

       詳細については、 RSA/DSAポートの有効化を参照してください。

3. DSAまたはRSAポートのHTTPSを使用して、クライアントをサーバに接続します。

4. 表示されるダイアログボックスでサーバを指定し、使用するランタイムまたは管理ポート番号を続けます。

   • RSAポートには、https://server:RSA_portを指定します。

     例:

       https://tara:port
     

   • DSAポートには、ホスト名のコマンドラインにhttps://server:DSA_port を指定します。

     例:

       https://tara:443
     

注記:   RSAポートデフォルトを使用する場合、コマンドラインにはhttps://hostname しか指定する必要がありません。443以外の番号のポートにRSAを接続する場合、コマンドラインにポート値を指定する必要があります。

HTMLクライアントとアプリケーションサーバ間の安全な(SSL)接続の確立

アプリケーションサーバとHTMLクライアント(ブラウザ)間の安全な通信には、RSAプロトコルを使用します。

HTMLクライアントとアプリケーションサーバ間に安全な(SSL)接続を確立する

1. RSA証明書をアプリケーションサーバにインストールします。

       詳細については、 証明書の使用を参照してください。

2. SMCのRSAポートを有効にします。

       詳細については、 RSA/DSAポートの有効化を参照してください。

3. RSAポートのHTTPSを使用して、サーバにブラウザを開きます。

   指定するRSAポートは、実行する動作のタイプによって異なります。

   • アプリケーションを実行するには、ランタイムポートを指定します。

   • カスタムHTML管理ツールを使用している場合は、管理ポートを指定します。

   サーバを指定し、RSAランタイムまたは管理ポートの(オプション)番号を続けます。

     https://server[:port]
   

   例:

     https://tara:443
   

注記:   RSAポートデフォルトを使用する場合、コマンドラインにはhttps://hostname しか指定する必要がありません。443以外の番号のポートにRSAを接続する場合、コマンドラインにポート値を指定する必要があります。

EJBクライアントとアプリケーションサーバ間の安全な(SSL)接続の確立

アプリケーションサーバとEJBクライアント間の安全な通信は、jBroker ORBのIIOP over SSL機能を使用して確立されます。起動時に、アプリケーションサーバはRSA証明書をjBroker ORBにエクスポートします。EJBの配備計画が暗号を指定しており、アプリケーションサーバにRSA証明書がインストールされている場合、ORBは通信が安全であることを確認します。

Javaクライアントは、安全な通信に参加するためにagrootca.jarファイルへのアクセスが必要です。このファイルは、サーバの\lib ディレクトリにインストールされます。このファイルは、SilverJ2EEClientクライアントに自動的にインストールされます。

    このプロパティ設定の詳細については、『機能ガイド』のEJBに関する章を参照してください。

通信障害   通信障害は次の場合に起こります。

• サーバがRSA証明書をインストールしていない

• SilverJ2EEClientがサーバ証明書に一致するCA証明書を持っていない

• SilverJ2EEClientがagrootca.jarファイルをインストールしていない

    配備されたEJBに暗号を指定する方法については、『機能ガイド』の J2EEアーカイブ配備に関する章を参照してください。

EJBクライアントとアプリケーションサーバ間に安全な(SSL)接続を確立する

1. RSA証明書をアプリケーションサーバにインストールします。

       詳細については、 証明書の使用を参照してください。

2. SMCのRSAランタイムポートを有効にします。

       詳細については、 RSA/DSAポートの有効化を参照してください。

3. HTMLまたはJavaクライアントには、RSAランタイムポートのHTTPSを使用して、ブラウザをサーバに接続します。

     https://server:RSA_port_rt
   

   例:

     https://tara:443
   

   または

     https://tara
   

注記:   RSAランタイムポートがポート443 (デフォルト)を使用する場合、コマンドラインにはhttps://hostname しか指定する必要がありません。443以外の番号のポートにRSAを接続する場合、ポート値を指定する必要があります。

セッションレベルフェイルオーバが指定されているステートフルセッションBeanを含むEJBアプリケーションには、IIOP SSL通信のポート範囲を作成することも必要です。

    IIOP SSLポート範囲作成の詳細については、 ORB設定の指定を参照してください。

セキュリティプロバイダシステムへのアクセス

システムは、提供したグループおよびユーザのリストに従って、ユーザおよび許可レベルを検証します。ユーザおよびグループ情報は、Silver Securityと呼ばれるアプリケーションサーバの固有セキュリティシステムを使用して定義できます。または、外部セキュリティシステムから取得できます。Silver Security情報は、すべてSilverMasterデータベースに保存されます。外部セキュリティの場合、情報はすべて外部システムより取得されます。

アプリケーションサーバは、次のシステムからユーザおよびグループを認識します。

アプリケーションサーバは、固有のUNIXセキュリティとWindows NTおよびLDAP ディレクトリに接続するJNDI (Java Naming and Directory Interface)を実装します。

セキュリティプロバイダアクセスの追加

SMCを使用して、セキュリティプロバイダシステムへのアクセスをセットアップできます。プロバイダディレクトリへのアクセスをセットアップすると、外部システムからのユーザおよびグループにアクセス制御を定義できます。

Silver Securityから新しいセキュリティプロバイダに変更する場合は、管理者アカウントが新しいプロバイダアカウントへのアクセス権を持っていることを確認します。

注意:   管理者アカウントに新しいセキュリティプロバイダへのアクセスを与える前にSilver Securityを無効にした場合は、SilverMasterInit -lを実行してアプリケーションサーバへのアクセスを回復する必要があります。

    Silver Securityのユーザとグループのセットアップについては、 を参照してください。アクセス制御については、 認証とアクセス制御を参照してください。

セキュリティプロバイダアクセスを追加する

1. SMCを開始します。

2. ツールバーの［Security］アイコンを選択します。

3. ［Security Providers］を選択します。

   

   アプリケーションサーバに認識されているLDAPおよびNIS+サーバがすべてリストされます。

4. 登録するプロバイダのタイプを選択します(デフォルトではすべてのプロバイダが選択されます)。

   • NTはWindows NTを実行している場合のみに有効です。NTを選択した場合、NTドメインを追加する必要はありません。NTは、アプリケーションサーバがプライマリおよび信頼するドメインの検出に使用する呼び出しをシステムに提供します。ただし、ユーザがNT名でログインできるようにサーバをセットアップすることは必要です。 NTセキュリティの使用を参照してください。

   • NIS+はSolarisを実行している場合のみに有効です。

5. LDAPまたはNIS+サーバ接続を追加するには、適切な項目を選択し、［Add］をクリックします。

       LDAPセキュリティプロバイダ追加の詳細については、 LDAPセキュリティの使用を参照してください。

       NIS+セキュリティプロバイダ追加の詳細については、 NIS+セキュリティの使用を参照してください。

セキュリティリソースタイムアウトのリセット

SMCでは、定義されたセキュリティプロバイダから使用できるユーザおよびグループリストをアプリケーションサーバが再ロードする頻度を定義するセキュリティリソースタイムアウト時間を設定することもできます。デフォルト値は、15分です。

外部システムの情報が頻繁に変わらない場合または接続が遅い場合は、この値を増やすことができます。

セキュリティリソースタイムアウトをリセットする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［General］を選択します。

   

4. 必要に応じて［Security resource timeout］値を編集します。

NTセキュリティの使用

さまざまなNTディレクトリサービスを使用して、NTユーザおよびグループを管理できます。たとえば、NTユーザ名およびパスワードでログインするユーザは、セッションごとにこれを1回行うだけで済みます(サーバまたはクラスタレベルに追加セキュリティを設定していない場合)。

ローカルおよびグローバルグループ

NTユーザおよびグループの使用は、セキュリティ管理の簡素化に役立ちます。たとえば、ローカルグループを定義すると、複数ドメインのユーザおよびグローバルグループを単一グループにまとめられます。

「ローカルグループ」は、作成されたドメインでのみ使用できます。「グローバルグループ」は、独自のドメインと信頼するドメインでのみ使用できます。

サーバコンピュータで定義されたローカルグループは、ローカルユーザのほか、プライマリドメインまたは信頼するドメインのグローバルグループおよびユーザを含むことができます。しかし、NTローカルグループは、他のローカルグループを含むことができません。

    NTユーザグループの詳細については、Windows NTドキュメントを参照してください。

NT認証の高速化   信頼する大きなドメインを多数持つ場合、ローカルグループをサポートすると、NT認証が低速化する可能性があります。これが問題になる場合は、次のうちいずれかの方法でローカルグループサポートを無効にして、認証を高速化できます。

• httpd.propsファイル(アプリケーションサーバの\Resourcesディレクトリにあります)に次の行を追加します。

    http-server.com.sssw.srv.SupportNTLocalGroups=false 
  

• Boolean.FALSEにプロパティPROP_SUPPORT_NT_LOCAL_GROUPS (AgiAdmServerおよびAgiAdmClusterにあります)をプログラムによって設定します。

サービスとしてのサーバ実行に必要なNT特権

NTユーザおよびグループをサポートするには、アプリケーションサーバに［オペレーティングシステムの一部として機能］および［サービスとしてログオン］のオペレーティングシステム特権が必要です。特権は、デフォルトNTシステムアカウントで実行するサービスとしてアプリケーションサーバが設定されるときに設定されます。ユーザアカウントで実行するサービスに変更した場合、またはサービスとしてのサーバ実行の停止を決めた場合は、2つのNTシステム特権が設定されていることを確認する必要があります。

ユーザアカウントで実行するサービスに変更した場合、NTコントロールパネルは［サービスとしてログオン］特権をアカウントに自動的に与えますが、［オペレーティングシステムの一部として機能］特権は手動で設定する必要があります。信頼するドメインからユーザがログインできるようにするには、サービスとしてアプリケーションサーバを実行しているかどうかに関係なく、［ローカルログオン］特権を設定する必要があります。

    Windowsセキュリティセットアップの詳細については、Windowsドキュメントを参照してください。

LDAPセキュリティの使用

LDAP (Lightweight Directory Access Protocol)は、インターネットクライアントがTCP/IP接続で任意の 階層型属性/値ペアのデータベースを照会および管理できるようにするディレクトリサービスです。LDAPは、アプリケーションがLDAPと通信できる仕様を提供します。アプリケーションサーバでは、LDAPユーザおよびグループを指定したり、LDAP属性を表示したり、アクセス制御式でLDAPユーザおよびグループを使用したりできます。アプリケーションサーバは、LDAPプロトコルVersion 2およびVersion 3をサポートするLDAPサーバ(Novell eDirectory\xaa 、Microsoft Active Directory、およびSun One Directory Serverなど)へのアクセスをサポートします

LDAP情報へのアクセス

アプリケーションサーバは、次のようにLDAPサーバと通信します。

• ログイン中にユーザのアカウント情報を検証する必要がある場合

  この場合、アプリケーションサーバは、特定ユーザのログイン情報をLDAPサーバへ渡します。

• ユーザおよびグループリストなどの一般情報を表示する必要がある場合

  アプリケーションサーバが一般 情報にどのようにアクセスするか(またはアクセスするかどうか)は、LDAPサーバの設定方法によって異なります。

  • LDAPサーバがanonymousアクセスを許可していない場合、システムログインアカウント情報をLDAPサーバに渡すようにアプリケーションサーバを設定できます。次のセットアップ手順の Step 5でシステムアカウント情報を提供する必要があります。

  • LDAPサーバがanonymousアクセスを許可している場合、システムログインアカウント情報を渡す必要はありません。 Step 5でLDAPにシステムアカウントを指定する必要はありません。

SSLを使用したLDAPサーバへの接続

LDAPグループおよびユーザについての情報がクリアテキストとして転送されることを防ぐには、アプリケーションサーバとLDAPサーバ間でSSL接続を使用します。

アプリケーションサーバでSSL通信を使用するには、SSLをサポートするようLDAPサーバを既に設定してあり、LDAPサーバに証明書をインストールしてあることが必要です。

    詳細については、LDAPサーバのドキュメントを参照してください。

注記:   LDAPでSSL通信を使用すると、必要な場合にLDAPサーバに送信するアプリケーションサーバ証明書を設定できます。LDAPサーバは、証明書を必要とするまたは要求するよう設定されると、送信されてきたすべての証明書を検証しようとします。

LDAP Version 2のみサポートするLDAPサーバへの接続

LDAP Version 2プロトコルのみ使用するように、アプリケーションサーバ接続を設定できます。デフォルトでは、アプリケーションサーバは最初にLDAP Version 3を使用してLDAPサーバに接続しようとします。接続に失敗するとLDAPサーバにエラーが発生し、アプリケーションサーバはVersion 2プロトコルを使用して接続しようとします。

LDAP Version 3がサポートされていない場合   このアプローチは、LDAP Version 3を使用すると常にエラーを発生しないLDAPサーバ(Microsoft Site Serverなど)では使用できません。LDAP Version 3がサポートされていない場合は、セットアップ手順の Step 6のSMCで［Force LDAP Version 2］オプションを設定する必要があります。

LDAPセキュリティをセットアップする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Security Providers］を選択します。

4. プロバイダリストで［LDAP］を選択し、［Add］をクリックします。

   ウィザードが表示されます。

5. ［LDAP］を選択して、［Next］をクリックします。

   次のパネルが表示されます。

   

6. サーバ、(オプション)ログイン属性およびユーザ名/パスワードを次のように指定します。

   フィールド	指定
   サーバ	LDAPサーバの名前。サーバ名はネットワークで認識される必要があります。LDAPサーバがデフォルト以外のポートを使用する場合、サーバ名の一部として指定する必要があります。 例: localhost:636
   SSLの使用	指定したLDAPサーバおよびポートがSSL通信を使用するように設定されている場合、このオプションを使用します。     詳細については、 SSLを使用したLDAPサーバへの接続を参照してください。
   サーバへの証明書の送信	このオプションで、アプリケーションサーバの証明書をLDAPサーバに送信できます。LDAPサーバは、証明書を必要とするまたは要求するよう設定されると、送信されてきたすべての証明書を検証しようとします。 LDAPサーバが証明書を要求するまたは必要とするように設定され、このオプションが有効になっている場合、アプリケーションサーバの証明書はLDAPサーバに送信され、信頼するCA証明書リストに対して検証できます。LDAPサーバが証明書を要求するまたは必要とするように設定され、アプリケーションサーバが証明書を持っていない場合、アプリケーションサーバは証明書要求の［Send Certificate to Server］コマンドを無視します — LDAPサーバが証明書を必要とする場合、接続は失敗します。 ［Use SSL］も選択している場合は、［Send Certificate to Server］チェックボックスのみ選択できます。
   LDAP Version 2の強制	このオプションを設定して、LDAP Version 3をサポートしないLDAPサーバ(Microsoft Site Serverなど)で使用します。     詳細については、 LDAP Version 3がサポートされていない場合を参照してください。
   ユーザログイン属性	(オプション)このプロパティの値を指定すると、一意のユーザ識別に使用できるLDAP属性を定義します。すべてのユーザに固有の属性を選択する必要があります。 ヒント:   値を指定すると、LDAPユーザのログインを簡素化できま す。詳細については、 LDAPユーザのログイン簡素化を参照してく ださい。
   ユーザ名およびパスワード	適切な場合には、ユーザ名およびパスワードを入力して、アプリケーションサーバがLDAP情報にアクセスできるようにします。アプリケーションサーバは、必要な場合にシステムログインアカウント情報を使用して、一般LDAPサーバ情報にアクセスします。 LDAPサーバが匿名アクセスを許可する場合、アカウント値は 必要ありません。     詳細については、 LDAP情報へのアクセスを参照してください。

7. ［Next］をクリックします。

   次のパネルが表示されます。

   

   このパネルを使用して、LDAPサーバのグループを指定します。

   項目	説明
   グループ場所	(必要)グループエントリの検索を開始する階層でレベルを識別する識別名。たとえば、mycoという組織に存在するemployeesという部門で開始するには、次のように入力します。 ou=employees,o=myco 階層でemployeesを含め、下のすべてのグループが含まれます。     識別名の詳細については、 LDAPユーザのログイン簡素化を参照してください。
   グループフィルタ	(必要) LDAP検索フィルタは、LDAPサーバのグループを構成するものを決定するために使用されます。一般的使用法は、グループを識別するオブジェクトクラス属性値の指定です。フィルタの定義は、すべての有効なLDAP検索フィルタです。例: (objectclass=groupofuniquenames)
   グループ属性	グループオブジェクトの属性を使用してグループメンバーシップを定義するLDAPサーバ(Netscape Directory Serverなど)に必要です。
   ユーザ属性	ユーザオブジェクトの属性を使用してグループメンバーシップを定義するLDAPサーバ(Microsoft Site Serverなど)に必要です。 注記:   MicrosoftのActive Directoryは、グループメンバーシップを定義するグループ属性およびユーザ属性をサポートします。memberOfのユーザ属性およびユーザ/グループ属性指定は、最も効率的設定です。
   グループ/ユーザ属性	(必要) SMCでグループのすべてのメンバー(ユーザ)を表示するために使用される属性。 入力する名前は、グループメンバーシップを定義するLDAPグループまたはユーザ属性です。例: uniquemember
   グループ説明属性	(オプション) SMCでグループ説明を識別するために使用される属性。入力する名前は、説明をマップするLDAP属性です。例: メモ
   グループ追加属性	指定したLDAPグループ属性をすべてSMCにリストする場合は、［All］を選択します。追加属性を表示する場合は、［None］を選択します。 指定した属性は、［Users & Groups］パネルでグループを選択して、［Property Inspector］を開くと、タブに表示されます。     詳細については、 ユーザおよびグループへのアクセスを参照してください。

8. グループの指定が終了したら、［Next］をクリックします。

   このパネルは、LDAPサーバのユーザ指定を要求します。

   

9. 次のようにユーザを指定します

   項目	説明
   ユーザロケーション	(必要)ユーザ検索を開始する階層でポイントを識別する識別名。たとえば、softwareに存在するdevelopersというポイント(またはノード)で開始するには、次のように入力します。 ou=developers,o=software 階層でdevelopersを含め、下のすべてのユーザが含まれます。
   ユーザフィルタ	(必要) LDAP検索フィルタは、LDAPサーバのユーザを構成するものを決定するために使用されます。一般的使用法は、ユーザを識別するオブジェクトクラス属性値の指定です。フィルタの定義は、すべての有効なLDAP検索フィルタです。例: (objectclass=person)
   ユーザ説明属性	(オプション) SMCでユーザ説明を識別するために使用される属性。入力する名前は、説明をマップするLDAP属性です。例: title
   フルネーム	(オプション)使用できる場合、フルネーム属性を指定します。例: cn
   追加属性	指定したLDAPユーザ属性をすべてSMCにリストする場合は、［All］を選択します。追加属性を表示する場合は、［None］を選択します。 指定した属性は、［Users & Groups］パネルでユーザを選択して、［Property Inspector］を開くと、タブに表示されます。     詳細については、 ユーザおよびグループへのアクセスを参照してください。

   。

10. ［Finish］をクリックします。

    SMCはLDAPディレクトリに設定を表示します。SMCのセキュリティオプションで［Users & Groups］を選択すると、いつでも新しい設定を参照できます。

NIS+セキュリティの使用

NIS+ (Network Information Services Plus)は、SunOS 5.x以降のオペレーティングシステムで使用できるネームサービスです。ユーザはpasswd.org_dirで、グループはgroup.org_dirで識別され、NIS+表に表示されます。ユーザおよびグループを追加すると、アクセス制御のセキュリティの式で使用できます。

NIS+セキュリティをセットアップする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Security Providers］を選択します。

4. プロバイダリストで［NIS+］を選択し、［Add］をクリックします。

   ウィザードが表示されます。

5. ［NIS+］を選択して、［Next］をクリックします。

6. 次の形式でNIS+サーバの名前をタイプします。

     servername/nisDomain.com\username
   

   サーバ名はネットワークで認識される必要があります。

ユーザおよびグループへのアクセス

SMCを使用して、セキュリティプロバイダに定義したユーザおよびグループを参照できます。

ユーザおよびグループを参照する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Users & Groups］を選択します。

4. アイコンを選択して、サーバに認識されているユーザおよびグループを参照します。

   

   選択した項目を展開して、特定のユーザおよびグループを表示できます。

セキュリティプロバイダログイン形式の使用

アプリケーションサーバは、Silver Security、NTセキュリティ、LDAPセキュリティ、NIS+セキュリティ、および証明書セキュリティを含む多くのセキュリティ領域をサポートします。証明書セキュリティを除いてすべて、ユーザ名情報およびパスワードの提供による識別の確立を伴います。

ユーザがログインすると、次のようなダイアログが表示されます。

認証ダイアログがブラウザによって表示される場合、ブラウザで定義されたダイアログはここで示したダイアログと多少異なって見えますが、同じフィールドから構成されます。

コロンは、ユーザ名またはパスワードに使用できません

HTTPのユーザ認証は、コロン( : )で区切られたユーザ名およびパスワードを使用することで機能します。ユーザ名およびパスワードがコロンを含んでいないことを確認してください。特に、長いLDAP識別名では、名前のコンポーネントがコロンを含んでいないことを確認してください。

ユーザ名コンポーネント

ユーザ名は、円マークで区切られた3つの部分で構成されます。Realm\Authority\Name。

ユーザ名ショートカット形式   デフォルトでは、アプリケーションサーバでは次のように完全なユーザログイン名にショートカットできます。

• Silver Security    ユーザがユーザ名の一部を入力した場合、Silver Securityユーザ名と見なされます。例:

  emilyhはSSSW\\emilyhに変換されます

  注記:   Silver Securityでは、認証局は2つの円マークの間に何もない空の文字列です。外部セキュリティシステムが使用されないため、認証局は必要ありません。

• Windows NT    ユーザがユーザ名の2つの部分を入力した場合、domain\userName形式のNTユーザ名と見なされます。例:

  mydomain\craighはNT\mydomain\craighに変換されます

デフォルトでは、LDAPおよびNIS+名は、次のように完全に識別される必要があります。

• ユーザ名のLDAP    ログイン構文 LDAP\serverName\distinguishedName

  ユーザは、パス名全体を入力する必要があります。例:

    LDAP\myServer\cn=Nancy Smith,ou=My Company
  

• ユーザ名のNIS+    ログイン構文 NisPlus\server/nisDomain\username

  ユーザは、パス名全体を入力する必要があります。認証局は、スラッシュで区切られた2つのコンポーネントを持つことに注意してください。例:

    NisPlus\myServer/domain1.com\jeanw
  

デフォルトのログイン仕様は、次に説明するように変更できます。

デフォルトのログイン名コンポーネントの上書き

デフォルトのログイン名コンポーネントを上書きできます。使用する外部セキュリティシステムが1つのみ(および外部セキュリティ認証局が1つのみ)の場合、ユーザに短縮名を許可して、ログイン手順を簡素化できます。

デフォルトのログイン名コンポーネントを上書きする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［General］を選択します。

4. デフォルト領域および(オプション)デフォルト認証局を指定します。

   フィールド	説明
   デフォルトセキュリティ領域	領域を明示的に定義していないログイン名に、セキュリティ領域を定義します。 Silver Security、NT、LDAP、NIS+、またはNo Default Specifiedを指定できます。
   デフォルトセキュリティ認証局	(デフォルトセキュリティ領域が定義されている場合のみに有効)認証局を明示的に定義していないログイン名に認証局を定義します。 アプリケーションサーバは、選択されたデフォルト領域に基づいて、有効な認証局のリストを提供します。

   常に完全なログイン名を指定でき、その場合はデフォルトは無視されます。

例   サイトが単一のLDAPサーバからセキュリティ名を使用するとします。次のデフォルトを設定できます。

LDAPサーバに存在するユーザは、LDAPユーザ名およびパスワードを使用するだけで、アプリケーションサーバにログインできます。

同じ例で、Silver Securityセキュリティ領域の一部として存在するユーザは、完全なログイン名を指定する必要があります。

  SSSW\\SilverName

LDAPユーザのログイン簡素化

LDAPで、ユーザ名は識別名 (DN)として、LDAPネーミング階層に対して指定されます。DNはカンマ区切りのノードのリストで、ユーザがルートノードに戻るリーフノードからの属性/名前ペアを含みます。

デフォルトでは、アプリケーションサーバにログインするLDAPユーザは、長いDN全体を入力する必要があります。セキュリティプロバイダとしてLDAPサーバを追加するときに、ユーザログイン属性プロパティを指定することで、LDAPユーザのログインを簡素化できます。プロパティの詳細については、 LDAPセキュリティの使用を参照してください。

ユーザログイン属性を指定した場合、ログインシーケンス中にユーザアカウント情報が検証される際に、ログインユーザ名の名前部分に一致した値を使って、指定されたユーザログイン属性が検索されます。LDAPサーバをアプリケーションサーバに定義すると、検索はユーザロケーションとして識別されたLDAP階層のポイントから開始されます( LDAPセキュリティの使用を参照)。

検索に成功すると、対応するユーザのDN (複数ヒットした場合は最初のもの)を使用して完全修飾ログイン名が構成され、ログイン動作を続行します。検索に失敗すると、名前フィールドがLDAPユーザの識別名であるかのように動作を続行します。これによって、属性が設定されている場合にLDAPログインはいずれかの形式を使用できます。

例1:   次のサーバプロパティが指定されているとします。

この例で、デフォルトセキュリティ領域が定義され、ログイン属性はmailに設定されます。このサイトで、各ユーザのmail属性はユーザの完全なメールアドレスです。

識別名uid=ecraig,ou=Development,ou=Billerica,o=My Company,c=US、メールアドレスecraig@mycompany.com (mail属性がecraig@mycompany.comのユーザ)を持ち、myServerというLDAPサーバで定義されたユーザは、次のうちいずれかのログイン名を使用できます。

  myServer\uid=ecraig,ou=Development,ou=Billerica,o=My Company,c=US 

または

  myServer\ecraig@mycompany.com

例2:   次のサーバプロパティが指定されているとします。

この例で、デフォルトセキュリティ領域に加え、デフォルトセキュリティ認証局が指定されています。ログイン属性はuidに設定されます。

同じユーザ(uidはecraig)は、次のうちいずれかのログイン名を使用できます。

  uid=ecraig,ou=Development,ou=Billerica,o=My Company,c=US

または

  ecraig

証明書の使用

証明書は、SSL 3.0プロトコル(HTTPS)でHTTPを使用するときに必要です。HTTPSはクライアントとサーバ間のデータを暗号化し、機密性とデータの整合性を確保します。証明書は、ユーザの認証にも使用できます。

この節では、次のトピックについて説明します。

• 証明書について

• SMC使用によるサーバ証明書の作成およびインストール

• 送信用サーバ証明書の作成およびインストール

• サーバ証明書の表示

• RSA/DSAポートの有効化

• HTTP接続のオフ

• SSL暗号の制限

• 認証局の管理

• クライアント証明書のインストールおよび管理

• JavaクライアントのSSLサーバ証明書の検証

証明書について

証明書 (パブリックキー証明書、デジタルID、またはデジタル証明書とも呼ばれます)は、ユーザまたはグループのIDを認証するファイルです。証明書は、認証局(CA)と呼ばれる信頼する組織によって発行されるライセンスです。CAは、証明書サービスを提供する外部企業(VeriSignなど)または企業MIS部署などの内部組織の場合があります。

インターネットアプリケーションには、一般的に、広く認識され信頼する保証人が署名したサーバ証明書をお勧めします。インターネットアプリケーションでは、保証人をアプリケーション実行企業とすることで十分です。

ユーザおよびサーバは、IDを証明する証明書を持てます。機密性のためにSSLを使用する場合、アプリケーションサーバは、サーバ証明書を持つことが必要です。有効になると、サーバはユーザIDを証明するブラウザのクライアント証明書を要求します。

証明書の利点

証明書は、次のような重要なセキュリティサービスを提供します。

証明書サポート

次の表は、アプリケーションサーバの証明書サポート方法の説明です

。

グローバル証明書について

一般的に、グローバル証明書と呼ばれるものは、VeriSignのGlobal Secure Site IDです。世界中で128ビット暗号化を許可するデジタルID形式です。(Secure Site IDと呼ばれる標準VeriSignデジタルIDは、米国ベース企業による米国外での128ビット暗号化使用を許可しません)

Global Secure Site IDをサポートするサーバとして検証するかどうかは、VeriSign次第です。Global Secure Site IDのサポートを宣言するNovellなどのサーバベンダ次第ではありません。

    詳細については、 http://digitalid.verisign.com/server/global/help/globalFAQ.htmを参照してください。

SMC使用によるサーバ証明書の作成およびインストール

次のタスクにSMCを使用できます。

• RSAサーバ証明書の作成およびインストール

• DSAサーバ証明書の作成およびインストール

RSAサーバ証明書の作成およびインストール

SMCは、RSAサーバ証明書に次の機能を提供します

。

注記:   送信に証明書を生成するには、 送信用サーバ証明書の作成およびインストールで説明するコマンドラインツールを使用する必要があります。

RSAサーバCSRを生成する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［RSA］タブを選択します。

5. ［Generate Request］を選択します。

6. 表示されたパネルの項目を次のように完成させます。

   フィールド	指定する内容
   Server DNS Name	TCP/IPホスト名。コンピュータ名とは異なる場合があります (コマンドラインからping localhostを発行して、ローカルホストのTCP/IP名を決定できます)。
   Organization	法律上の完全な社名。
   Organizational Unit	(オプション)社内部署。
   City/Locale	(オプション)会社が事業を運営する市または場所。
   State/Region	会社が事業を運営する州または地域のフルネーム。省略しないでください。
   Country	会社が事業を運営する国。2文字のISO国コードを使用してください。たとえば、米国のISOコードはUSです。

7. ［Next］をクリックします。

   このパネルでは、生成するキーペアのサイズを指定できます。

   通常、1024ビットオプションは許容レベルのセキュリティを提供します。より高いレベルを選択すると、最初の接続速度が低下します。512ビットオプションは、低レベルのセキュリティを提供します。

   

8. プロンプトが表示されたら、生成するキーペアのサイズを指定します。

9. ［Next］をクリックします。

   次のパネルが表示されます。

   

   パネルはCSRのパスを示します。パスは編集できます。後で証明書をインストールするとき、この情報を使用します。

10. ［Next］をクリックします。

    

11. ［Copy CSR to Clipboard］をクリックして、CSRのコンテンツをクリップボードにコピーし、次のステップで使用します。

12. 指示に従って、アプリケーションサーバに証明書を要求します(たとえば、VeriSign Webサイト http://digitalid.verisign.comを使用)。要求が承認されると、証明書認証局は新しい証明書をメールで返送してきます。

13. ［Finish］をクリックします。

プライベートキーをバックアップする

CSRを生成した後、証明書発行者からCSRを取得する前にSilverMasterデータベースが破損された場合にそなえ、プライベートキー情報をバックアップできます。プライベートキーを保存しても、証明書をインストールできます。

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［RSA］タブを選択します。

5. ［Export Private Key］を選択します。HTTPSの使用を指示するメッセージボックスが表示されます。

   次のパネルが表示されます。

   

6. RSAプライベートキーを保存する場所のパスおよびファイル名を入力します。

7. ファイルのパスワードを入力します。管理者のパスワードである必要はなく、プライベートキー情報を含むファイルに適用されるだけです。

8. ［Finish］をクリックします。

証明書を(プライベートキーなしでまたはプライベートキーとともに)インストールする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［RSA］タブを選択します。

5. ［Install Certificate］または［Install with Private Key］を選択します。

   ［Install with Private Key］を選択すると、メッセージボックスが表示され、この手順にHTTPSを使用するよう指示されます。

   次のパネルが表示されます。

   

6. 署名認証をテキスト領域に貼り付け、［Finish］をクリックします。

   ［Install with Private Key］を選択すると、プライベートキーを含むファイルおよびファイルに関連するパスワードを尋ねられます。

   1. ファイル場所にブラウズします。

   2. パスワードを入力して、［Finish］をクリックします。

   SMCは更新成功のメッセージを表示します。

7. ［OK］をクリックします。

8. ［Restart］を選択して、変更内容を有効にします。

RSA証明書をバックアップする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［RSA］タブを選択します。

5. ［Export Certificate］を選択します。HTTPSモードで実行するよう指示されます。

6. バックアップファイルの名前および場所を指定します。

7. ファイルを保護するパスワードを指定します。

8. ［Finish］をクリックします。

RSA証明書をインポート(インストール)する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［RSA］タブを選択します。

5. ［Import Certificate］を選択します。HTTPSモードで実行するよう指示されます。

   次のパネルが表示されます。

   

6. 証明書ファイルの名前および場所を指定します。

7. ファイル保護に使用するパスワードを指定します (証明書のエクスポートに使用したものと同じパスワードです)。

8. ［Finish］をクリックします。

DSAサーバ証明書の作成およびインストール

SMCを使用して、DSRサーバ証明書を生成およびインストールできます。

DSAサーバ証明書を生成およびインストールする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［DSA］タブを選択します。

5. ［Add Certificate］を選択します。

   次のパネルが表示されます。

   

6. パネルの項目を次のように完了させます。

   フィールド	入力
   Server DNS Name	TCP/IPホスト名。コンピュータ名とは異なる場合があります (コマンドラインからping localhostを発行して、ローカルホストのTCP/IP名を決定できます)。
   Organization	法律上の完全な社名。
   Organizational Unit	(オプション)社内部署。
   City/Locale	(オプション)会社が事業を運営する市または場所。
   State/Region	会社が事業を運営する州または地域のフルネーム。省略しないでください。
   Country	会社が事業を運営する国。2文字のISO国コードを使用してください。たとえば、米国のISOコードはUSです。

7. ［Next］をクリックします。

8. 次のパネルでは、生成するキーペアのサイズを指定できます。

   通常、1024ビットオプションは許容レベルのセキュリティを提供します。より高いレベルを選択すると、最初の接続速度が低下します。512ビットオプションは、低レベルのセキュリティを提供します。

   

9. プロンプトが表示されたら、生成するキーペアのサイズを指定します。

10. ［Next］をクリックします。

    既存の証明書はすべて上書きされるという警告が表示されます。

11. 証明書の追加を続行するには、［Finish］をクリックします。

送信用サーバ証明書の作成およびインストール

アプリケーションサーバの送信(クラスタリングに使用される)にサーバ証明書を作成およびインストールするには、次のコマンドラインユーティリティを使用する必要があります。

次の節では、以下の項目について解説します。

• Using AgDigitalIDStep1

• Using AgDigitalIDStep2

Using AgDigitalIDStep1

クラスタ環境でアプリケーションサーバおよびクライアント間のHTTPS/SSL通信を有効にするには、アプリケーションサーバのDispatcherにRSAまたはDSA証明書をインストールします。

RSAまたはDSAサーバ証明書を生成する

1. 作業ディレクトリを\binディレクトリに変更します。

2. コマンドラインで、次のいずれかのコマンドを指定します。

   証明書のタイプ	コマンド
   RSA証明書	AgDigitalIDStep1
   DSA証明書	AgDigitalIDStep1 dsa

   注記:   DSA証明書を生成する場合は、タイトルおよびヘルプテキストが多少異なります。

   次のパネルが表示されます。

   

   注記:   UNIXでは、このユーティリティはGUIを使用して実行し、文字端末ウィンドウでは実行できません。UNIXにリモートでログインする場合は、DISPLAY環境変数が適切に設定されていることを確認してください。

3. パネルの項目を次のように完了させます。

   フィールド	指定する内容
   Server DNS Name	TCP/IPホスト名。コンピュータ名とは異なる場合があります (コマンドラインからping localhostを発行して、ローカルホストのTCP/IP名を決定できます)。
   Organization	法律上の完全な社名。
   Organizational Unit	(オプション)社内部署。
   City/Locale	(オプション)会社が事業を運営する市または場所。
   State/Region	会社が事業を運営する州または地域のフルネーム。省略しないでください。
   Country	会社が事業を運営する国。2文字のISO国コードを使用してください。たとえば、米国のISOコードはUSです。

4. ［Next］をクリックします。

   次のパネルが表示され、生成するキーペアのサイズを指定できます。

   通常、1024ビットオプションは許容レベルのセキュリティを提供します。より高いレベルを選択すると、最初の接続速度が低下します。512ビットオプションは、低レベルのセキュリティを提供します。

   

5. プロンプトが表示されたら、生成するキーペアのサイズを指定します。

6. ［Next］をクリックします。

   1. RSA証明書を生成する場合は、パスワードを入力して承認します。このパスワードは、プライベートキーの暗号化に使用されます。

      ヒント:   このパスワードを記録してください。証明書のインストールに必要です。

   2. ［Next］をクリックします。

7. RSA証明書には、パネルはCSRのパスおよびパスワードで保護されたプライベートキーを示します。

   DSA証明書には、パネルは証明書のパスおよびプライベートキーファイルを示します。パスは編集できます。後で証明書をインストールするとき、この情報を使用します。

   重要:   プライベートキーを含むファイルは、物理的に安全に保護する必要があります。サーバ証明書を取得したユーザがサーバを装う可能性があります。

8. ［Next］をクリックします。

   ウィザードがキープレスとマウス移動から暗号的に適切なキーを生成できるランダムな情報を収集できない場合、次のパネルが表示されます。

   

9. プロンプトが表示されたら、編集ボックスにランダムな文字をタイプし、マウスを移動させて暗号化されたプライベートキーを作成します。ウィザードにランダムな情報が十分あれば、［OK］ボタンが有効になります。

   RSA証明書は、ウィザードは証明書署名要求およびプライベートキーを生成します。

   DSA証明書には、ウィザードは証明書を生成します。

10. ［OK］をクリックします。

    次のパネルが表示されます。

    

11. RSA証明書には、［Copy CSR to Clipboard］をクリックして、CSRのコンテンツをクリップボードにコピーし、次のステップで使用します。

    DSA証明書には、［Copy Digital ID to Clipboard］をクリックして、証明書をインストールするときに使用します。

12. RSA証明書には、指示に従って、アプリケーションサーバに証明書を要求します(たとえば、VeriSign Webサイト http://digitalidverisign.comを使用)。要求が承認されると、証明書認証局は新しい証明書をメールで返送してきます。

13. ［Finish］をクリックします。

AgDigitalIDStep2を使用して証明書をインストールします。次の Using AgDigitalIDStep2を参照してください。

Using AgDigitalIDStep2

CAからRSA証明書を受信、またはAgDigitalIDStep1を使用してDSA証明書を生成すると、AgDigitalIDStep2を使用して証明書をインストールできます。

RSAまたはDSA証明書をインストールする

1. -c (アップロード証明書)オプションを使用して、Dispatcherを開始します。

2. 作業ディレクトリをサーバのbinディレクトリに変更します。

3. コマンドラインで、次のコマンドを指定します。

     AgDigitalIDStep2
   

   次のパネルが表示されます。

   

4. 証明書をパネルに貼り付けます。

5. ［Next］をクリックします。

6. パネルは、プライベートキー(RSAとDSA証明書では名前が異なるため、プライベートキーの名前を編集する必要があります)のパスを尋ね、パスワードの確認を指示します(DSAプライベートキーにはパスワードがありません)。

7. ［Next］をクリックします。

   次のパネルが表示されます。

   

8. Dispatcherの名前(サーバ名テキストフィールド)およびHTTPポート番号を入力します。

   異なるタイプの動作に別個のポートを設定してある場合は、管理ポートを指定します。デフォルトでは、アプリケーションサーバはポート80を監視します。

9. ［Finish］をクリックします。確認メッセージが表示されます。

10. 証明書を有効にするには、SMCの［Restart］(サーバ)ボタンをクリックします。

再起動後、サーバが設定され、次のように監視します。

• HTTPポートでHTTP要求。

• RSAまたはDSAポートでHTTPS要求(インストールした証明書の種類によります)。

    詳細については、 RSA/DSAポートの有効化および 一般的なサーバのプロパティの指定を参照してください。

運用の準備ができたら、SMCを使用して認証を有効にします。 認証の有効化を参照してください。

サーバ証明書の表示

サーバにインストールされている証明書を表示する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［Certificate List］タブを選択します。

5. ドロップダウンから証明書を選択します。

RSA/DSAポートの有効化

デフォルトでは、アプリケーションサーバは、RSAおよびDSA通信にポート443を指定します。次の3つの各セキュリティプロトコルについて、ランタイムおよび管理機能アクセスのポートを有効化および修正します。HTTP、HTTPS-RSA、およびHTTPS-DSA。サーバでは、異なるタイプのアクセスに対して固有なポート値を設定する必要はありません。同じ値を持つポートでは、同じソケットが共有され、複数の操作が許可されます。

    詳細については、 別個のポートのセットアップを参照してください。

RSA/DSAポートを有効化および変更する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択して、［DSA］タブまたは［RSA］タブを選択します。

4. タブの［Port Settings］セクションで、［Port Settings］の下でいずれかのチェックボックスを選択して、DSAまたはRSAの［Runtime］または［Admin］ポートを有効にします。

   • VeriSignなどのプロバイダからのRSAサーバ証明書をインストールした後で、RSAを有効にします。

   • サーバにDSA証明書をインストールした場合に限り、DSAを有効にします。

   注記:   サーバ証明書をインストールした後、ポートはサーバが再起動すると自動的に有効になります。

       詳細については、 送信用サーバ証明書の作成およびインストールを参照してください。

5. 必要に応じて、［Runtime］および/または［Admin］ポートのRSAおよびDSAポート番号を変更します。

   UNIXサーバで、サーバがルートアクセスで実行されていない場合は、1024より上のポート番号を指定します(1024より下のポート番号はルートアクセスに予約されています)。

       暗号の詳細については、 SSL暗号の制限を参照してください。

6. ［Update］を選択します。

7. 変更を有効にするには、［Restart］(サーバ)をクリックします。

   ポートが有効になると、Javaクライアントは、アプリケーションサーバにSSL接続を確立したときにサーバ証明書を検証します。

       詳細については、 JavaクライアントのSSLサーバ証明書の検証を参照してください。

HTTP接続のオフ

HTTP通信をオフにして、クライアント通信にHTTPSまたはRMIのみ使用させることができます。

    詳細については、 ORB設定の指定を参照してください。

SMCの実行を防ぐポートを誤って無効にした場合(たとえば、すべての管理ポートを無効にした場合)、httpd.propsファイルを編集して管理ポートを再度-有効にする必要があります。SMCを使用して、ランタイムポートを有効および無効にできます。

HTTP通信を無効にする

1. SMCを開始します。

2. ツールバーから［Configuration］アイコンを選択します。

3. ［General］を選択します。

4. ［HTTP Ports］セクションで、［Enable HTTP Runtime Port］(または［HTTP Admin］ポート)チェックボックスを選択解除して、無効にします。

   すべてのランタイムポートを無効にしても、サーバは実行されます。ランタイムポートを無効にするには、注意が必要です。HTTPランタイムポートを無効にすると、サーバは、DSAまたはRSAランタムポートが有効かどうかチェックします。HTTPランタイムポートの無効化を進めると、警告が表示されます。

5. ［Update］をクリックします。

6. 変更を有効にするには、［Restart］ボタンをクリックします。詳細については、 アプリケーションサーバの再起動を参照してください。

これで、サーバはHTTPサーバポートを監視しなくなります。

SSL暗号の制限

SSL接続が初期化されると、ブラウザクライアントおよびサーバは、キー交換および暗号化に使用される共通の暗号値を決定します。さまざまな暗号値が、異なるタイプの暗号化アルゴリズムおよびセキュリティレベルを提供します。アプリケーションサーバは、低、中、および高レベルの暗号化提供によりクライアント範囲にサービスできるフルセットの暗号を備えています。

RSAおよびDSAランタイムポートでHTTPSに通信するときにサーバに使用される暗号化レベル(暗号値)を制限できます。これにより、低レベルセキュリティのクライアントからの接続を防ぎながら、高レベルの暗号化ができるサーバを持つことができます。

起動時に、サーバは許可された暗号のリストを読み取ります。デフォルトでは、すべての暗号が許可されます。SMCを使用して、特定の暗号を選択解除できます。選択された暗号のみが、適切なSSLソケットの初期化に使用されます。

許可される暗号を指定する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［RSA］または［DSA］タブを選択します。

5. ［Enable Runtime Port］チェックボックスを選択して、安全なDSA (Javaクライアント)および/またはRSA (HTMLおよびJavaクライアント)通信を有効にします。

6. ［Cipher Suites］をクリックし、次の表で説明するように、表示されたパネルで暗号を選択および選択解除して、どの暗号が許可されるか指定します。暗号を選択すると、パネルに説明が表示されます。

7. ［OK］をクリックして［Cipher Suites］ダイアログを終了し、変更を受け入れます。

8. ［Update］をクリックします。

9. 変更を有効にするには、［Restart］(サーバ)をクリックします。

暗号表   次の表は、安全な通信(HTTPS)を使用するときにアプリケーションサーバにサポートされる暗号(およびセキュリティレベル)の一覧です。

認証局の管理

アプリケーションサーバは、クライアント証明書を検証する認証局(CA)のリストを管理します。これはサーバが信頼する保証人のリストを表します。サーバが最初に設定されるときにインストールされる共通のCAが3つあります。VeriSign, IncのCAで、次の異なる信頼レベルを表します。クラス1は、信頼が最小の証明書を表します。クラス3は最高レベルの信頼を表します。

クライアント証明書を持つユーザがサーバにアクセスしようとすると、サーバはまずCAリストをチェックして、証明書が既知のパーティに承認されていることを検証してから、有効なタイムスタンプをチェックして、証明書の期限が切れていないことを検証します。検証完了後、サーバはClient Certificate Levelパラメータ(SMCを使用して設定できます。 クライアント証明書のインストールおよび管理を参照してください)に従って接続要求を処理します。

アプリケーションサーバは、認識されないクライアント証明書からもCAを抽出できます。詳細については、 クライアント証明書のインストールおよび管理を参照してください。

CA証明書をインストールまたは削除する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］を選択します。

4. ［Authorities］タブを選択します。

   このタブは各CAに関する情報を含み、新しいCAを追加して広範囲のクライアントを信頼させたり、CAを削除してサーバのセキュリティレベルを強化したりできます。

5. CAを追加するには、［Add Certificate Authority］をクリックして、ファイルを選択します。CAを削除するには、選択して［Delete Certificate Authority］をクリックします。

クライアント証明書のインストールおよび管理

HTTPS環境で、クライアント証明書は、サーバとの通信時にユーザIDを確立します。クライアント証明書はさまざまなソースから取得できますが、役立つためにはサーバに信頼する保証人(認証局またはCA)が証明書に署名する必要があります。

アプリケーションサーバは、RSA暗号化を使用する標準インターネットブラウザ(NetscapeおよびInternet Explorerを含む)のクライアント証明書、およびX.509証明書(多くの証明書発行者に使用されるCertificateインタフェースの特定実装)をサポートします。

クライアント証明書およびEJB   RSA暗号化を使用するクライアント証明書は、jBrokerのIIOP over SSL環境でユーザIDの確立にも使用されます(EJBによって使用)。HTTPS環境の場合と同様に、サーバは標準インターネットブラウザのクライアント証明書をサポートします。新しいCAをサーバに追加する必要がある場合は、 CA証明書をインストールまたは削除するを参照してください。

クライアント証明書の有効化およびインストール

SMCを使用して、有効なクライアント証明書を持つユーザの接続試行をサーバがどのように処理するか、決定できます。各々が異なるレベルの制限を表す7つのパラメータオプションを使用できます。オプションのうち2つは、サーバに検証された新しい証明書を自動的にインストールし、Certificate Security領域の新しいユーザとしてデータベースに追加します。証明書は手動でもインストールできます( クライアント証明書の手動インストールを参照してください)。

HTTPSポートの各セット(HTTPS-RSA HTTPS-DSA)は、関連する単一の暗号セットを持ちます。選択する暗号はそのタイプのすべてのポート(ランタイムおよび管理)に適用されます。

注記:   SMCは、有効な証明書を伴わないHTTPSポートの有効化を許可しません。最初に証明書をインストールせずにHTTPSポートを有効化しようとすると(SMC使用またはpropsファイル編集により)、起動時にサーバエラーが表示されます。 httpd.propsファイルを参照してください。

サーバのクライアント証明書を有効にする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Advanced］を選択します。

   HTTPSポートの各セット(HTTPS-RSA HTTPS-DSA)は、関連する単一の暗号セットを持ちます。選択する暗号は、プロトコルタイプ内のすべてのポート(ランタイムおよび管理)に適用されますが、各ポートを異なる値に設定できます。

   注記:   最初にHTTPS-RSAまたはHTTPS-DSAサーバ証明書をインストールすることなくHTTPSポートを有効化できません。最初に証明書をインストールせずにHTTPSポートを有効化しようとすると(SMC使用またはpropsファイル編集により)、起動時にサーバエラーが表示されます。

   

4. ［HTTPS Client certificate level］とラベルのついたドロップダウンリストからオプションを選択して、［Update］をクリックします。

   

   レベル0から他のレベルに変更した場合に限り、サーバを再起動する必要があります。

   選択内容は、すべての有効なクライアント証明書をサーバがどのように処理するかを決定します。次の証明書検証表で各オプションを説明します。オプションには、0 (検証なし)から6 (最も制限の厳しいレベル)の番号がついています。

証明書検証表

証明書検証レベル	説明
証明書は要求されないまたは必要でない(0)	クライアントIDを確立するための証明書の使用は取り消されます。 HTTPS経由で接続するクライアントは引き続き安全な通信から利点を得て、サーバIDをチェックできますが、証明書の提示は求められません。
証明書は要求されるが必要ではない(1)	サーバはクライアントの証明書を要求します。クライアントが証明書を持っていない、またはサーバに検証されていない証明書を持っている場合、接続は許可されますが、ユーザはanonymousのままです。 確立されたユーザの証明書が提示された場合、クライアントは証明書ユーザのIDを取ります。
証明書は要求されるが必要ではない。データベースになければ自動追加する(2)	サーバはクライアントの証明書を要求します。クライアントが証明書を持っていない場合、接続は許可されますが、ユーザは匿名のままです。正規の証明書が提示されても、サーバに検証されたクライアントとまだ一致していない場合、サーバは証明書を自動的に追加し、クライアントは新しく作成されたCertificate SecurityユーザのIDを取ります。 確立されたユーザの証明書が提示された場合、クライアントは前に確立されたCertificate SecurityユーザのIDを取ります。
証明書が必要。データベースになければ自動追加する(3)	サーバはクライアントの証明書を要求します。クライアントが証明書を持っていない場合、接続は拒否されます。正規の証明書が提示されても、サーバに検証されたクライアントとまだ一致していない場合、サーバは証明書を自動的に追加し、クライアントは新しく作成されたCertificate SecurityユーザのIDを取ります。 確立されたユーザの証明書が提示された場合、クライアントは前に確立されたCertificate SecurityユーザのIDを取ります。
証明書が必要。データベースになければAnonymous(4)	サーバはクライアントの証明書を要求します。クライアントが証明書を持っていない場合、接続は拒否されます。正規の証明書が提示されても、サーバに検証されたクライアントとまだ一致していない場合、クライアントは接続を許可されますが、匿名のままです。 確立されたユーザの証明書が提示された場合、クライアントは前に確立されたCertificate SecurityユーザのIDを取ります。
既知のユーザの証明書が必要(5)	サーバはクライアントの証明書を要求します。クライアントが証明書を持っていない場合、またはサーバに前に検証されたクライアントに一致しない証明書を持っている場合、接続は拒否されます。 確立されたユーザの証明書が提示された場合、クライアントは前に確立されたCertificate SecurityユーザのIDを取ります。
既知のユーザの証明書が必要だが、匿名のまま(6)	サーバはクライアントの証明書を要求します。クライアントが証明書を持っていない場合、またはサーバに前に検証されたクライアントに一致しない証明書を持っている場合、接続は拒否されます。 確立されたユーザの証明書が提示された場合、クライアントは接続を許可されますが、匿名のままです。

クライアント証明書の手動インストール

前の節では、新しく検証された証明書をサーバのデータベースに自動的に追加するパラメータオプションを説明しています。証明書を個別にインストールしたい場合があります。この節では、クライアント証明書をデータベースに手動で追加する方法について説明します。クライアントコンピュータ用とサーバ用の2つの手順で構成されます。

クライアント証明書をインストールする — クライアントコンピュータ

注記:   この手順を機能させるには、サーバの証明書検証レベルを1、2、または4に設定する必要があります( 証明書検証表を参照してください)。

1. 有効なクライアント証明書がブラウザにインストールされていることを確認します。

2. ブラウザをオープンし、次のURLに進みます。

     https://server/SilverStream/Meta/Certificates?action=data
   

   ここで、serverはユーザのサーバ名です。

   サーバは証明書からユーザ情報を抽出し、クライアントに返送します。

3. サーバが表示するファイルを適切な領域に保存します。

クライアント証明書をインストールする — サーバコンピュータ

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Users & Groups］を選択します。

4. ［Certificate Security］を選択します。

5. 右画面の下部にある［New User］アイコンを選択します。

   

   次のパネルが表示されます。

   

6. ［Certificate user］を選択します。

   

7. 前の手順( クライアント証明書をインストールする — クライアントコンピュータ)でクライアントにより取得されたファイル名を入力して、［Finish］をクリックします。

   証明書は、新しいユーザとしてサーバのデータベースに追加されます。

クライアント証明書のCAの抽出

アプリケーションサーバは、CAがサーバにインストールされていない場合、クライアント証明書からCAを抽出できます。この節は、クライアントコンピュータ用とサーバ用の2つの手順で構成されます。

証明書からCAを抽出する — クライアントコンピュータ

注記:   この手順を機能させるには、サーバの証明書検証レベルを1または2に設定する必要があります( 証明書検証表を参照してください)。

1. 有効なクライアント証明書がブラウザにインストールされていることを確認します。

2. ブラウザをオープンし、次のURLに進みます。

     https://server/SilverStream/Meta/Certificates?action=dataCA
   

   ここで、serverはユーザのサーバ名です。

   サーバは証明書からCAを抽出し、クライアントに返送します。

3. サーバが表示するファイルを適切な領域に保存します。

クライアント証明書からCAを抽出する — サーバ

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Certificates］パネルを選択します。

4. ［Authorities］タブを選択します。

5. ［Add Certificate Authority］をクリックします。

6. 抽出されたCAの場所にブラウズして、［Open］をクリックします。

   プログラムは、新しいCAをデータベースにインストールします。

7. 新しいCAを有効にするには、［Restart］(サーバ)アイコンをクリックしてサーバを再起動します。

証明書ユーザへのアクセス

証明書ユーザは、Certificate Securityと呼ばれるセキュリティ領域に追加されます。領域は、アプリケーションサーバでサポートされるユーザおよびグループのリストに含められます。

証明書ユーザにアクセスする

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Users & Groups］を選択します。

4. ［Certificate Security］リストからユーザにナビゲートします。

   

5. このパネルを使用して、現在のユーザを表示またはユーザをグループに追加します。

       ユーザおよびグループの詳細については、 ユーザおよびグループのセットアップを参照してください。

他のSilver Securityユーザを使用する場合と同様に、証明書ユーザをセキュリティ式で使用できます。セキュリティ式の詳細については、 認証とアクセス制御を参照してください。

クライアント証明書の更新

X.509証明書は、開始日および終了日を含みます。クライアントは、有効期限の切れた証明書でのサーバ接続を許可されません。新しい証明書を取得して、アプリケーションサーバに既知のユーザに割り当てることで、確立されたCertificate Securityユーザを表す証明書を更新できます。これにより、既存ユーザに関するセキュリティ式が引き続き正しく機能できるようになります。

通常、既存の証明書ユーザは、 クライアント証明書の手動インストールで説明したURLを使用して、更新された証明書をサーバに提示します。

注記:   前に説明した自動インストールパラメータ(レベル2または3)のいずれかでサーバを実行しており、既存のクライアント証明書ホルダがサーバの検証した新しい(更新された)証明書でサーバにアクセスしようとする場合、クライアントは新しいユーザとしてインストールされます。クライアントは、前のユーザが使用できたリソースを制限されます。

既存の証明書ユーザを更新する

1. ツールバーから［Security］アイコンを選択します。

2. ［Users & Groups］パネルを選択します。

3. ［Certificate Security］ドメインから、更新するユーザにナビゲートします。

4. ［Properties］ボタンをクリックします。

   タブが3つある形式が表示されます。［General］タブには、ユーザに関する一般情報が表示されます。［Additional Attributes］タブには、証明書に関する情報が表示されます。［Update］タブでは、選択したユーザの証明書を更新できます。

5. ［Update］タブを選択します。

6. 更新した証明書のファイル名を入力して、［Update］をクリックします。

   サーバのユーザIDを変更することなく、新しいバージョンで古い証明書を置換します。

JavaクライアントのSSLサーバ証明書の検証

Javaクライアントは、アプリケーションサーバへのSSL接続が確立されると、信頼するCA証明書リスト(agrootca.jarファイルに保存)に対してサーバ証明書を検証します。証明書が検証できない場合、SSL接続は確立できません。

SSL通信を使用するには、次のサーバ証明書のいずれかがアプリケーションサーバにインストールされていることが必要です。

• 証明書サービスを提供する外部企業(VeriSignなど)から 購入したRSA証明書。

  SMCまたはコマンドラインツール(AgDigitalIDStep1)を使用して、RSA Certificate Signing Request (CSR)を生成します。暗号化されたCSRファイルは、アプリケーションサーバを実行する組織を識別して署名証明書を作成する外部CAに送信されます。外部CAおよびRSA暗号化を使用する場合は、 agrootca.jarファイルを使用した証明書の検証を参照してください。

• 自己生成RSA証明書(Netscape Certificate Serverなどの内部組織ツールを使用して、ユーザが自分のCAになります)。

  独自の証明書を生成する場合、agrootca.jarファイルを配布する必要があります( agrootca.jarファイルを使用した証明書の検証を参照)。

• SMCを使用して作成された自己署名DSA証明書。

  自己署名DSAサーバ証明書を使用する組織は、コマンドラインオプションを使用してください( 自己署名DSAサーバ証明書のコマンドラインオプションを参照)。

agrootca.jarファイルを使用した証明書の検証

クライアントは、agrootca.jarファイルに保存された信頼するCA証明書のリストに対して、アプリケーションサーバの証明書を検証します。起動時、クライアントはCAリストを読み取り、agrootca.jar ファイルのコンテンツに対してすべてのサーバ証明書をチェックし、証明書が署名されていることを検証します。

agrootca.jarファイルにはすべての信頼するルートCAを含め、信頼性のないCAは削除してください。クライアントは、JARファイルのルートCA証明書により署名されたサーバ証明書のみを信頼します。

Netscape Certificate Serverなどのツールを使用して独自のRSA証明書を生成する場合、Certificate ServerのCA証明書をagrootca.jarファイルに配置して、SilverJ2EEClientを実行する各クライアントコンピュータにJARファイルを配布してください。agrootca.jarファイルは、SilverJ2EEClientの\libディレクトリに保存してください。

注記:   agrootca.jarファイルは、ユーザコードがSSLを使用して他のサーバに接続しようとする場合(サーブレットの場合など)にのみ、アプリケーションサーバにより使用されます。

簡素化されたセキュアポート設定   アプリケーションサーバのRSAポートを使用して、サーバおよびJavaクライアント、HTMLクライアント、およびEJB間に安全な通信を提供できます。

自己署名DSAサーバ証明書のコマンドラインオプション

組織が自己署名DSA証明書を使用してアプリケーションサーバおよびクライアント間にデータ暗号化を提供する場合、SilverJ2EEClientの実行には+Dsssw.ssl.nocacheckコマンドラインオプションを使用してください。このオプションは、クライアントによる証明書認証局の検証を防ぎます。例:

  SilverJ2EEClient +Dsssw.ssl.nocacheck server database warfile

認証の有効化

ユーザ認証を要求して関連設定を有効化できます。HTTPユーザ/パスワード保護およびHTTPS-RSAクライアント証明書の認証を要求するアプリケーションの配備が準備できたら、認証設定を設定します。

    詳細については、 別個のポートのセットアップを参照してください。

ユーザ認証を有効にするには

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［General］を選択します。

   

4. 次のようにセキュリティオプションを有効にします。

   項目	説明
   Require user authentication	ユーザが初めてサーバにアクセスしたときに、証明書またはユーザ名/パスワードによる認証を必要とします。認証されたら、ユーザはセッション中に再び認証される必要はありません。 このオプションを設定すると、匿名ユーザは禁止されます。設定しない場合、ユーザはログインせずにまたは証明書を送信せずにサーバにアクセスでき、Anonymousと呼ばれます。 HTTPSでこのオプションを使用する場合は、［Client certificate level in HTTPS］を有効にします。 ログインはオブジェクト単位で要求することもできます。 アクセスの変更を参照してください。
   Disable HTML directory listing	ブラウザがディレクトリのURLをポイントしたら、ブラウザのサーバディレクトリコンテンツのリストを無効にします。ユーザにディレクトリコンテンツを見られないようにします。このオプションをオンにすると、サーバはFORBIDDENエラーを返します。
   Allow users to modify own account	デフォルトでは、ユーザは自分のユーザプロパティを変更できます。チェックボックスを選択解除して、この特権をオフにできます。特権をオフにすると、管理者(Read Server ConfigurationおよびModify Server Configuration許可を持つユーザ)のみがユーザプロパティを変更できます。     詳細については、 ユーザプロパティの編集を参照してください。
   Security resource timeout	アプリケーションサーバがNT、LDAP、および/またはNIS+サーバから、リストの更新を含む現在のユーザおよびグループリストをアップロードする頻度を指定します。     詳細については、 セキュリティリソースタイムアウトのリセットを参照してください。

5. 変更を有効にするには、［Update］をクリックします。

CHI (Cryptographic Hardware Integration)の使用

CHI (Cryptographic Hardware Integration)は、アプリケーションサーバおよびサポートされるハードウェアアクセラレータカードのあるコンピュータで、アプリケーションサーバSSL暗号化/解読パフォーマンスを改良できます。

    サポートされるカードについては、アプリケーションサーバリリースノートを参照してください。

CHIを使用するには、次の作業を行う必要があります。

• アプリケーションサーバがインストールされているコンピュータに、サポートされるハードウェアアクセラレータカードをインストールします。

      カードのインストールおよびセットアップの詳細については、ハードウェアカードのドキュメントを参照してください。

• CHIをコンピュータにインストールします(次の CHIをインストールするを参照)。

• SMCを使用してサーバを設定します(次の ハードウェアアクセラレータカードを使用できるようにアプリケーションサーバを設定するを参照)。

CHIをインストールする

1. chiVersionInstall.exe (CHIインストーラ)を呼出します。

2. 指示に従って、アプリケーションサーバのインストールディレクトリにCHIをインストールします。

CHIは後で個別にインストールすることもできます。

ハードウェアアクセラレータカードを使用できるようにアプリケーションサーバを設定する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Advanced］を選択します。

4. ［Use Hardware Accelerator］を選択します。

5. アクセラレータカードを指定します。

6. カード付属のユーティリティソフトウェアから取得またはセットアップできるスロット番号およびPINを指定します。

7. ［Update］をクリックします。

8. サーバを再起動します。

信頼するクライアントの管理

SMCを使用して、EJB呼び出しで指定IDを受信したときにアプリケーションサーバに信頼されるクライアントのリストをセットアップできます。これは、スタンドアローンサーバではサーバレベルのプロパティです。クラスタで実行されるサーバでは、クラスタレベルのプロパティです。単一サーバにセットアップされた信頼するクライアントは、クラスタのすべてのサーバに伝えられます。

信頼するクライアントのリストにクライアントを追加する

1. SMCを開始します。

2. ツールバーから［Security］アイコンを選択します。

3. ［Advanced］を選択します。

4. ［Advanced］タブの［Trusted Clients］セクションで、［Add］を選択します。

   クライアント名

5. クライアントのホスト名を入力します。

   たとえば、エントリにはアスタリスクワイルドカード文字(*)を含められます。

     *.mydomain.com
   

   または

     server*.mydomain.com
   

   または

     *
   

   アスタリスクを使用する場合は、URLセクションの最後の文字であることが必要です。セクションでアスタリスクの後に続く文字は、すべて無視されます。前の例で、server*がserver*1の場合、1はリストに含まれません。

	管理ガイド  05/21/03 10:02:24

Copyright © 1997, 1998, 1999, 2000, 2001, 2002, 2003 SilverStream Software, LLC, a wholly owned subsidiary of Novell, Inc. All rights reserved.