使用上の注意

ここでは、SecurID ACE/Server リソースアダプタの使用に関連する情報を提供します。 次のトピックで構成されています。

• 「UNIX でのパススルー認証の有効化」

• 「複数のトークンの有効化」

• 「パスワードポリシー」

UNIX でのパススルー認証の有効化

UNIX では RSA C API がサポートされないため、SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするプロセスは単純ではありません。このアダプタでパススルー認証を実行するには、次のようなコンポーネント間の対話が必要になります。

Identity Manager <--> SecurID Unix リソースアダプタ <--> SecurID Windows アダプタ <--> Sun Identity Manager Gateway <--> RSA ACE Agent for Windows <--> RSA UNIX Server

SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするときは、設定および実装で次の点に注意してください。

• Sun Identity Manager Gateway と RSA ACE Agent Host は、同じ Windows ホスト上にある必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。

• UNIX RSA サーバー自体がクライアントとして表示される場合、ユーザーの認証に使用するアカウントは UNIX リソースで定義されている必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。

• SecurID ACE/Server UNIX アダプタで、「ACE サーバー認証リソース」リソースパラメータの値を指定する必要があります。この値は、有効な SecurID ACE/Server (Windows 用) アダプタで指定されたリソース名と一致している必要があります。

• SecurID の認証ポリシーでは、UNIX SecurID サーバーが RSA ACE Agent for Windows を認識する必要があります。sdconf.rec ファイルを Windows ホスト上に配置し、正しく設定する必要があります。

• ユーザーがパススルー認証を使用するには、RSA ACE Agent for Windows をアクティブにしてください。

• Identity Manager を、SecurID ACE/Server または SecurID ACE/Server UNIX のログインモジュールを使用するように設定する必要があります。

• 認証対象のユーザーは、Identity Manager ロールと組織で設定されている必要があります。

複数のトークンの有効化

どちらの SecurID リソースアダプタでも、デフォルトのスキーママップは、管理者が 1 つのトークンを指定できるように設定されます。InstallDir\samples\forms ディレクトリにある SecurID User Form を使用する場合は、次の手順を実行して最大 3 つのトークンを有効にします。

最大 3 つのトークンを有効にする

1. 次の SecurID User Form のセクションを編集します。

   <FieldLoop for=’tokenNum’> <expression> <ref>oneTokenList</ref> </expression>

   oneTokenList を threeTokenList に変更します。

2. User Form を Identity Manager に読み込みます。

3. SecurID ACE/Server スキーママップの左側で、次の Identity Manager ユーザー属性の名前を変更します。

   元の Identity Manager ユーザー属性	変更後の Identity Manager ユーザー属性
   tokenClearPin	token1ClearPin
   tokenDisabled	token1Disabled
   tokenLost	token1Lost
   tokenLostPassword	token1LostPassword
   tokenLostExpireDate	token1LostExpireDate
   tokenLostExpireHour	token1LostExpireHour
   tokenLostLifeTime	token1LostLifeTime
   tokenPinToNTC	token1PinToNTC
   tokenPinToNTCSequence	token1PinToNTCSequence
   expirePassword	token1NewPinMode
   password	token1Pin
   tokenResync	token1Resync
   tokenFirstSequence	token1FirstSequence
   tokenNextSequence	token1NextSequence
   tokenSerialNumber	token1SerialNumber
   tokenUnassign	token1Unassign

4. 2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。

   Identity Manager ユーザー属性	リソースユーザー属性
   token2ClearPin	token2ClearPin
   token2Disabled	token2Disabled
   token2Lost	token2Lost
   token2LostPassword	token2LostPassword
   token2LostExpireDate	token2LostExpireDate
   token2LostExpireHour	token2LostExpireHour
   token2LostLifeTime	token2LostLifeTime
   token2NewPinMode	token2NewPinMode
   token2PinToNTC	token2PinToNTC
   token2PinToNTCSequence	token2PinToNTCSequence
   password	token2Pin
   token2Resync	token2Resync
   token2FirstSequence	token2FirstSequence
   token2NextSequence	token2NextSequence
   token2SerialNumber	token2SerialNumber
   token2Unassign	token2Unassign

5. 2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。

   Identity Manager ユーザー属性	リソースユーザー属性
   token3ClearPin	token3ClearPin
   token3Disabled	token3Disabled
   token3Lost	token3Lost
   token3LostPassword	token3LostPassword
   token3LostExpireDate	token3LostExpireDate
   token3LostExpireHour	token3LostExpireHour
   token3LostLifeTime	token3LostLifeTime
   token3NewPinMode	token3NewPinMode
   token3PinToNTC	token3PinToNTC
   token3PinToNTCSequence	token3PinToNTCSequence
   password	token3Pin
   token3Resync	token3Resync
   token3FirstSequence	token3FirstSequence
   token3NextSequence	token3NextSequence
   token3SerialNumber	token3SerialNumber
   token3Unassign	token3Unassign

ステータスによるトークンの取得

SecurId アダプタは、トークン型、ステータス、有効期限など、指定された特性セットに適合するトークンのリストを返すことができます。たとえば、ユーザーフォームの次の部分は、割り当てられていない 128 ビットトークンすべてのリストを返します。

<defvar name=’unassignedTokens’>
   <invoke name=’listResourceObjects’ class=’com.waveset.ui.FormUtil’>
      <ref>:display.session</ref>
      <s>ListTokensByField</s>
      <ref>resource</ref>
      <map>
         <s>field</s>
         <s>7</s>
         <s>compareType</s>
         <s>2</s>
         <s>value</s>
         <s>128</s>
         <s>templateParameters</s>
         <ref>accounts[$(resource)].templateParameters</ref>
      </map>
      <s>false</s>
   </invoke>
</defvar>

field、compareType、および value の各文字列に代入できる値は、RSA Sd_ListTokensByField 関数のマニュアルに定義されています。詳細については、RSA 発行の『Customizing Your RSA ACE/Server Administration』を参照してください。

パスワードポリシー

Identity Manager で英字を含むパスワードを使用していて、SecurID では PIN に英字が許可されない場合は、次のメッセージが表示されます。

SecurId ACE/Server: (realUpdateObject) Sd_SetPin Error Alpha characters not allowed

このエラーを解決するには、リソースの Identity Manager パスワードポリシーが英字を含めないように変更するか、またはリソースの PIN 制限が英字を許可するように変更します。

ゲートウェイタイムアウト

SecurID ACE/Server for Windows アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。

次のように、この属性を Resource オブジェクトに手動で追加する必要があります。

<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages:
RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages:
RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’>
 </ResourceAttribute>

この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。