|
| |
| Sun Java System Identity Server 2004Q2 管理ガイド | |
第 19 章
証明書認証属性証明書認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、証明書認証テンプレートのデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のサブツリーのエントリに継承されません。証明書認証属性は次のとおりです。
LDAP での証明書のマッチング
このオプションは、ログイン時に提出されたユーザー証明書が LDAP サーバに格納されているかをチェックするかどうかを指定します。一致する証明書がない場合、ユーザーはアクセスを拒否されます。一致する証明書があり、かつほかの検証が必要ない場合、ユーザーはアクセスを許可されます。デフォルトでは、証明書認証サービスはユーザー証明書をチェックしません。
注
Directory Server に格納されている証明書は必ずしも有効とはかぎりません。「CRL に対する証明書のマッチング」を参照してください。ただし、ログイン時に提出されたユーザー証明書が有効かどうかを Web コンテナでチェックすることはできます。
LDAP での証明書の検索に使用するサブジェクト DN 属性
このフィールドは、LDAP で証明書を検索するのに使用する証明書の SubjectDN 値の属性を指定します。ユーザーエントリを一意に特定する属性でなければなりません。検索には実際の値を使用します。デフォルト値は CN です。
CRL に対する証明書のマッチング
このオプションは、ユーザー証明書と LDAP サーバの証明書失効リスト (CRL) を比較するかどうかを指定します。CRL は、発行者の SubjectDN に含まれている属性名のいずれかによって特定されます。証明書が CRL に載っている場合ユーザーはアクセスを拒否され、載っていない場合は許可されます。デフォルトでは、この属性は無効になっています。
LDAP での CRL の検索に使用する発行者 DN 属性
このフィールドは、LDAP で CRL を検索するのに使用する、受信した証明書の発行者 SubjectDN 値の属性を指定します。このフィールドは、CRL に対する証明書のマッチング属性が有効になっているときだけ使用されます。検索には実際の値を使用します。デフォルト値は CN です。
CRL 更新用の HTTP パラメータ
このフィールドは、CRL 更新のためにサーブレットから CRL を取得するための HTTP パラメータを指定します。HTTP パラメータについては、CA の管理者に問い合わせてください。
OCSP 検証を有効
このパラメータは、対応する OCSP レスポンダと連絡することによって実行される OCSP 検証を有効にします。OCSP レスポンダは、実行時に次のように決定されます。
- com.sun.identity.authentication.ocspCheck が true の場合で、OCSP レスポンダが com.sun.identity.authentication.ocsp.repsonder.url 属性で設定されているときは、この属性の値が OCSP レスポンダとして使用される
- com.sun.identity.authentication.ocspCheck が true に設定されている場合で、この属性の値が AMConfig.properties ファイルで設定されていないときは、クライアント証明書に示されている OCSP レスポンダが OCSP レスポンダとして使用される
com.sun.identity.authentication.ocspCheck が false に設定されている場合や、com.sum.identity.authentication.ocspCheck が true に設定されているが OCSP レスポンダが見つからない場合は、OCSP 検証は実行されません。
証明書が格納されている LDAP サーバー
このフィールドは証明書を格納する LDAP サーバーの名前とポート番号を指定します。デフォルト値は、Identity Server のインストール時に指定したホスト名とポートです。証明書が格納されている LDAP サーバーのホスト名とポートを使用できます。形式は hostname:port です。
LDAP 検索の開始 DN
このフィールドは、ユーザーの証明書に対する検索を開始するノードの DN を指定します。デフォルト値はありません。このフィールドは有効な DN をすべて認識します。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。
servername|search dn
複数のエントリを指定する場合は、次のようになります。
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
LDAP サーバーの主体ユーザー
このフィールドは、証明書が格納されている LDAP サーバーの主体ユーザー (通常はディレクトリマネージャ) の DN を受け入れます。このフィールドにデフォルト値はありません。有効な DN をすべて認識します。主体ユーザーは読み取り権限を持ち、Directory Server に格納されている証明書情報を検索する必要があります。
LDAP サーバーの主体パスワード
このフィールドは、LDAP サーバーの主体ユーザーフィールドで指定されるユーザーに関連付けられた LDAP パスワードを保持します。このフィールドにデフォルト値はありません。指定した主体ユーザーの有効な LDAP パスワードを認識します。
プロファイル ID のための LDAP 属性
このフィールドは、証明書と一致する Directory Server エントリの属性を指定します。この証明書の値は、正しいユーザープロファイルの識別に使用します。このフィールドにデフォルト値はありません。ユーザー ID として使用できるユーザーエントリ (cn、sn など) の有効な属性をすべて認識します。
LDAP アクセスに SSL を使用
このオプションは LDAP サーバーへのアクセスに SSL を使用するかどうかを指定します。デフォルトでは、証明書認証サービスは LDAP アクセスに SSL を使用しません。
ユーザープロファイルへのアクセスに使用する証明書フィールド
このメニューでは、一致するユーザープロファイルの検索に使用する証明書のフィールドを指定します。たとえば、email address を選択すると、証明書認証サービスはユーザー証明書の属性 emailAddr に一致するユーザープロファイルを検索します。その後、ログインするユーザーは一致したプロファイルを使用します。デフォルトのフィールドは subject CN です。リストは次のとおりです。
ユーザープロファイルへのアクセスに使用するその他の証明書フィールド
ユーザープロファイルへのアクセスに使用する証明書フィールド属性の値が other に設定されている場合は、このフィールドは、受信した証明書の subjectDN 値から選択する属性を指定します。認証サービスは、その属性の値に一致するユーザープロファイルを検索します。
信頼できるリモートホスト
この属性では、証明書を Identity Server に送信できると信頼されている、信頼できるホストの一覧を定義します。Identity Server では、証明書がこれらのホストの 1 つから送信されているかどうかを確認する必要があります。この設定は Sun Java System Portal Server でのみ使用されます。
この属性には次の値を使用できます。
SSL ポート番号
この属性は、SSL (Secure Socket Layer) 用のポート番号を指定します。現在、この属性は Gateway サーブレットでのみ使用されます。SSL ポート番号の追加や変更を行う前に、『Identity Server Developer's Guide』の第 7 章の「Policy-Based Resource Management」を参照してください。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
注
認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。2004Q2 のリリースでは、この機能は正常に動作しません。ただし、以前のリリースでは正常に動作していました。