Solaris スマートカードを使用すると、Solaris デスクトップ環境などのアプリケーションに、スマートカードを使って安全にログインできます。これは、スマートカード上の情報を使って、ログイン時にユーザーの ID を確認できるからです。スマートカード上のログイン情報と同じ情報を提供できないユーザーは、アプリケーションへのアクセスを拒否されます。
スマートカードソフトウェアは、Solaris 8 オペレーティング環境の重要な部分なので、オペレーティングシステムとともに自動的にインストールされます。Solaris 8 を実行しているマシンを起動すると、スマートカードデーモン ocfserv が自動的に実行されます。
Solaris スマートカードの主な機能
サポートされている設定
スマートカードの機能
Solaris スマートカードを管理するための作業マップ
Solaris スマートカードソフトウェアには、次の機能があります。
さまざまなカードリーダーのサポート
一般的な 3 種類のスマートカードのサポート
Solaris スマートカードのグラフィカルユーザーインタフェース (GUI) を使った設定方法と、UNIX のコマンド行からの設定方法
パスワード、PIN、challenge-response 認証方式により、デスクトップ環境やアプリケーションへのログインを保護
ユーザーのセキュリティ資格情報をカード上に直接格納 (Java カードのみ)
Solaris スマートカードは、次のスマートカードとカードリーダーをサポートしています。
表 1-1 サポートしているカードのタイプ
カードタイプ |
説明 |
使用されるリーダー |
---|---|---|
iButton |
JavaTM の iButton タイプのスマートカード |
iButton リーダー |
Cyberflex |
Java のカード |
SunTM Smart Card Reader I |
Payflex |
非 Java のスマートカード |
Sun Smart Card Reader I |
スマートカードを使用すると、これまでログインできなかった、セキュリティ保護されているデスクトップ環境や機密情報を扱うアプリケーションにログインできます。ここでは、Solaris スマートカード (デフォルト設定) を使ってセキュリティ保護されているホストにログインするときの手続きについて説明します。
ホストに接続されたカードリーダーにカードを挿入します。
この時点では、セキュリティ保護されたアプリケーション (Solaris デスクトップなど) は実行できません。Solaris デスクトップ以外のアプリケーションもスマートカードで保護できます。
アプリケーションは、カード上に設定された認証情報を読み取ってユーザーを認証しようとします。認証情報とは、デフォルトではユーザーの暗証番号 (PIN) とユーザーアカウントのパスワードです。
アプリケーションは、ユーザーに PIN の入力を要求します。ユーザーが PIN を入力すると、この PIN とカードに格納されている PIN が照合されます。
入力された PIN とカード上の PIN の一致を確認できた場合、アプリケーションは、ホストの /etc/nsswitch.conf ファイル (NIS、NIS+、またはローカルファイル) に指定されているパスワードデータベースの中からカード上のパスワードと同一のものを検索します。
カードのパスワードと同じパスワードが見つかった場合、アプリケーションはユーザーが認証されたものとみなし、ログインを許可します。
スマートカードとカードリーダーを購入する前に、通信の認証が必要かどうかを検討します。サイトでスマートカードを使用する理由は次のいずれかです。
特定の部署やドメインにあるマシンを承認されていないアクセスから保護する
機密情報を扱うアプリケーションへのアクセスを、承認されたユーザーに限定する
スマートカードサイトの構成には、セキュリティドメインまたはバッチオフィスの 2 種類があり、これらを使って組織のニーズを満たすことができます。大規模な組織には、両方のサイト構成の組み合わせが適している場合もあります。
組織内のさまざまな人数のユーザーに対してスマートカードによる認証が必要な場合は、セキュリティドメインを設定してサポートすることを検討してください。たとえば、20 名のスタッフを抱える法人金融部門があるとします。このグループのデスクトップへのログインをスマートカードで保護したい場合は、部門の各ホストにスマートカードリーダーを接続し、各ユーザーに 1 枚以上のスマートカードを支給する必要があります。
セキュリティドメインの管理者としての作業には次のものがあります。
ドメイン内の各ホストに Solaris 8 環境がインストールされていることを確認する
スマートカードと認証管理インフラストラクチャ (AMI) デーモンがホスト上で実行されていることを確認する
カードリーダーをホストに設置する
セキュリティドメイン内のすべてのユーザーの UNIX ユーザーアカウント名を取得する
ユーザーのスマートカードを初期化する
バッチオフィス構成とセキュリティドメイン構成を組み合わせた大規模な組織では、ユーザーのスマートカードを初期化する作業をセキュリティドメインの管理者以外が担当することがあります。
大規模な組織では、各従業員がスマートカードを使用する必要があります。また、ユーザーが自分のスマートカードを使って複数のホストにログインしなければならない場合もあります。ネットワーク管理者やセキュリティ管理者であっても、すべてのユーザーのホストに対するアクセス権を持っているわけではなく、ログイン時に認証を必要とするアプリケーションをすべて把握しているわけでもありません。
ここでは、従業員のスマートカードを初期化するための専用マシン (複数の場合もあります) を使用するバッチオフィスの設定について考えます。
スマートカードの初期化に使用するバッチオフィス内のすべてのホストに Solaris 8 ソフトウェアがインストールされていることを確認する
カードリーダーをホストに設置する
これらのホスト上でスマートカードと AMI デーモンが実行されていることを確認する
新しいスマートカードが常に手元に供給されていることを確認する
スマートカードを必要とするユーザーが、既存の自分のアカウント名、パスワード、アクセスしたいセキュリティ保護されたアプリケーションを記入する要求フォーム (オンラインフォームまたは専用の用紙) を用意する
ユーザーの身元は、この要求フォームを承認するマネージャーの署名によって保証されます。複数のマシンにスーパーユーザーとしてアクセスできるシステム管理者の身元を明らかにするには、マネージャーの承認が特に重要です。
ユーザーのマシン上でスマートカードの設定を行う担当者が、バッチオフィスの管理者ではなく組織のシステム管理者になることもあります。
Solaris スマートカードは、Solaris スマートカードグラフィカルユーザーインタフェース (GUI) や UNIX コマンド行を使って管理できます。GUI と UNIX コマンド行を組み合わせて使用することもできます。
Solaris 8 をインストールすると、Solaris スマートカード GUI が自動的にインストールされます。スマートカード GUI には、Solaris デスクトップまたは UNIX のコマンド行からアクセスできます。
スマートカードを設定しようとしているすべてのマシンで、次の作業を行います。
共通デスクトップ環境 (CDE) にスーパーユーザーとしてログインします。
すでに自分の UNIX ユーザー名で CDE を実行している場合は、CDE を終了して、スーパーユーザーとしてログインします。
デスクトップのメニューバーにある矢印をクリックして、アプリケーションメニューを表示させます。
「アプリケーション」を選択して、アプリケーションマネージャにアクセスします。
「システム管理」アイコンをダブルクリックして、システム管理コンソールにアクセスします。
スマートカードアイコンをクリックして、Solaris スマートカード GUI を起動します。
Solaris スマートカード GUI を起動できない場合、次のような接続エラーが返されることがあります。
Xlib: connection to ":0.0" refused by server Xlib: Client is not authorized to connect to Server |
スーパーユーザーではなく、自身の UNIX ユーザー名で端末ウィンドウにログインします。
次のように入力して、クライアントの認証に関する問題を解決します。
% xhost + |
「デスクトップから Solaris スマートカード GUI を起動するには」の手順に従って、GUI を再起動します。
Solaris スマートカード GUI のヘルプシステムは、次の情報を提供します。
スマートカード GUI による主な作業の手順
ヘルプメニューバーをプルダウンしてヘルプを選択します。
GUI にある各ダイアログボックスの説明
ダイアログボックスの下部にある「ヘルプ」ボタンを押すと利用できます。
スマートカードコンソールに関するスポットヘルプ
「情報」区画に自動的に表示されます。
Solaris スマートカード GUI のヘルプシステムは、スマートカードの概念的な情報は提供しません。スマートカードの動作や認証タイプの詳細などについては、このマニュアルを参照してください。
ここからは、UNIX のコマンド行を使った Solaris スマートカードの管理作業について説明していきます。また、コマンド行での作業と GUI での作業を支援する概念的な情報も提供します。スマートカードのコマンドの詳細については、smartcard(1M) と ocfserv(1M) のマニュアルページを参照してください。
次の作業マップに、Solaris スマートカードの操作に必要な共通作業と、その説明の記載場所を示します。
表 1-2 スマートカードの管理に関する作業マップ
作業 |
説明の場所 |
---|---|
スマートカードを使用するすべてのマシンに Solaris 8 環境をインストールする |
Solaris 8 のインストール関連マニュアル |
スマートカードを使用するすべてのホストにカードリーダーを物理的に接続する |
カードリーダーの付属マニュアル |
ocfserv と amiserv のデーモンの状態を監視する | |
Solaris スマートカード GUI からスマートカードを設定する |
「Solaris スマートカード GUI の使用」と、GUI に組み込まれたヘルプシステム |
各ホストでカードリーダーを設定する | |
ホスト上でサーバーとクライアントの属性を設定する | 「スマートカードの属性の設定」 |
ホスト上でスマートカードを操作できるようにする | |
スマートカード上に必要なインフラストラクチャを作成する | |
スマートカード上にユーザー固有の情報を読み込む | |
スマートカードをユーザーに配布し、必要に応じてキーファイルをユーザーのホストに配布する |