スマートカードの認証属性の定義

各スマートカードの属性は、ユーザーの要件、サイト内のセキュリティポリシー、および使用しているスマートカードのタイプによる制限に基づいて設定します。各スマートカードに対応する属性を定義するには、「アプレットを構成 (Configure Applets)」ダイアログボックスを使用します。システム上のクライアントおよびサーバープログラムは、スマートカード上の属性を読み取って、特定のアプリケーションへのアクセス権をユーザーに与えるかどうかを決定します。

このような属性は、Solaris スマートカードが提供する SolarisAuthApplet アプレットで初期化されたスマートカードだけに適用されます。異なるスマートカードアプレットを使用している場合、利用可能な属性は異なる場合があります。詳細は、smartcard(1M) のマニュアルページを参照してください。

PIN 属性

PIN 属性は、スマートカードの PIN (Personal Identification Number) を定義する認証属性です。スマートカードに作成されているデフォルトの PIN は $$$$java です。管理者またはユーザーは $$$$java を個人専用の PIN に変更できます。サイトのすべてのユーザーに、同じデフォルトの PIN 名を付与することも考えられます。たとえば、changeme などです。その後、各ユーザーが、その PIN をユーザー自身しか知らない値へ必ず変更するようにします。

スマートカードの PIN を変更する手順については、「スマートカードの PIN を変更するには (SmartCard Console)」を参照してください。

ユーザー属性とパスワード属性

ユーザー属性とパスワード属性は、ユーザーを識別して、ユーザーをスマートカードの PIN に関連付ける認証属性です。これらの属性を設定するには、ユーザーのログイン名とパスワードを知っている必要があります。

デフォルトの認証機構 (PIN) を使用するシステムでは、ocfserv を実行して PIN が認証されていることを確認します。次に、ocfserv はスマートカード上のユーザー属性とパスワード属性を読み取ります。スマートカード上のパスワードがシステムのパスワードデータベース内にあるユーザーのエントリと一致する場合、ocfserv はユーザーのそのアプリケーションへのアクセスを許可します。

アプリケーション属性

アプリケーション認証属性を使用すると、ログイン名とパスワードによって、各ユーザーがログインする必要があるアプリケーションを指定できます。アプリケーション認証属性は、SmartCard Console では「ユーザープロファイル」と呼ばれます。たとえば、デスクトップにスマートカードを使用したログインが必要な場合、スマートカード上のログイン名とパスワードに関連付けられたアプリケーションとして、dtlogin を指定します。また、サイトに固有なアプリケーション(財務計算パッケージや個人情報データベースなど) にスマートカードを使用したログインが必要な場合もあります。そのようなアプリケーションにスマートカードを使用したログインが必要な場合、そのアプリケーションの名前をアプリケーション属性に指定します。

スマートカード上でアプリケーションを初期化する前に、ユーザーがスマートカードによる認証を使ってアクセスする必要があるアプリケーションを決定しておきます。root (スーパーユーザー) や他の限定されたログイン名を使ってアプリケーションにログインする必要のあるユーザー用にスマートカードを用意する場合は、この作業は特に重要になります。

PayFlex カードは複数の属性をサポートしていません。PayFlex カードは、デスクトップ、および 1 つ以上のセキュリティ保護されたアプリケーションにログインする必要がある場合には使用できません。また、複数のユーザー名を使用する場合にも使用できません。

スマートカード上のアプリケーション属性は他の認証属性と共に機能します。たとえば、次の情報を使って、ユーザー Ed のスマートカードを初期化する場合を考えます。

• A000000062030400 - SolarisAuthApplet アプレット

• '$$$$java' - このスマートカードのデフォルトの PIN で、後でユーザー Ed が変更することができます。

• dtlogin - このスマートカードによるログインが必要なアプリケーション

• ed - Ed がデスクトップにログインするときに入力する必要があるログイン名

• xx - Ed がデスクトップにログインするときに入力する必要があるパスワード

これらの情報は、次のようにコマンド行に入力する必要があります。

# smartcard -c init -A A000000062030400 -P '$$$$java' application=dtlogin user=ed password=xx

Ed が自分のスマートカードをカードリーダーに挿入して、デスクトップにログイン (dtlogin) しようとすると、ocfserv はスマートカードを読み取って、認証属性が dtlogin に関連付けられているかどうかを判断します。ocfserv サーバーは、ユーザー属性とパスワード属性が dtlogin に関連付けられていることを検出します。

ocfserv サーバーは PIN を入力するように Ed に要求します。PIN が入力されると、スマートカード上に格納された、dtlogin アプリケーションに割り当てられている PIN と比較します。また、ocfserv は Ed のスマートカード上のログイン名とパスワードがシステムのパスワードデータベース内にある Ed のエントリと一致するかどうかを調べて、Ed が本人であることを確認します。これらの属性が一致した場合、Ed はデスクトップにログインできます。