Solaris スマートカードの管理

第 1 章 Solaris スマートカードの紹介

Solaris スマートカードを使用すると、Solaris デスクトップ環境などのアプリケーションに、スマートカードを使って安全にログインできます。これは、スマートカード上の情報を使って、ログイン時にユーザーの ID を確認できるからです。スマートカード上のログイン情報と同じ情報を提供できないユーザーは、アプリケーションへのアクセスを拒否されます。

スマートカードソフトウェアは、Solaris 8 オペレーティング環境の重要な部分なので、オペレーティングシステムとともに自動的にインストールされます。Solaris 8 を実行しているマシンを起動すると、スマートカードデーモン ocfserv が自動的に実行されます。

この章では、次の内容について説明します。

Solaris スマートカードの主な機能
サポートされている設定
スマートカードの機能
Solaris スマートカードを管理するための作業マップ

Solaris スマートカードの主な機能

Solaris スマートカードソフトウェアには、次の機能があります。

スマートカード用のオープンカードフレームワーク (OCF) 1.1 規格の実装
さまざまなカードリーダーのサポート
一般的な 3 種類のスマートカードのサポート
Solaris スマートカードのグラフィカルユーザーインタフェース (GUI) を使った設定方法と、UNIX のコマンド行からの設定方法
パスワード、PIN、challenge-response 認証方式により、デスクトップ環境やアプリケーションへのログインを保護
ユーザーのセキュリティ資格情報をカード上に直接格納 (Java カードのみ)

サポートされているカードとリーダー

Solaris スマートカードは、次のスマートカードとカードリーダーをサポートしています。

表 1-1 サポートしているカードのタイプ


カードタイプ	説明	使用されるリーダー
iButton	Java^TM の iButton タイプのスマートカード	iButton リーダー
Cyberflex	Java のカード	Sun^TM Smart Card Reader I
Payflex	非 Java のスマートカード	Sun Smart Card Reader I

スマートカードによるログイン

スマートカードを使用すると、これまでログインできなかった、セキュリティ保護されているデスクトップ環境や機密情報を扱うアプリケーションにログインできます。ここでは、Solaris スマートカード (デフォルト設定) を使ってセキュリティ保護されているホストにログインするときの手続きについて説明します。

ホストに接続されたカードリーダーにカードを挿入します。
この時点では、セキュリティ保護されたアプリケーション (Solaris デスクトップなど) は実行できません。Solaris デスクトップ以外のアプリケーションもスマートカードで保護できます。
アプリケーションは、カード上に設定された認証情報を読み取ってユーザーを認証しようとします。認証情報とは、デフォルトではユーザーの暗証番号 (PIN) とユーザーアカウントのパスワードです。
アプリケーションは、ユーザーに PIN の入力を要求します。ユーザーが PIN を入力すると、この PIN とカードに格納されている PIN が照合されます。
入力された PIN とカード上の PIN の一致を確認できた場合、アプリケーションは、ホストの /etc/nsswitch.conf ファイル (NIS、NIS+、またはローカルファイル) に指定されているパスワードデータベースの中からカード上のパスワードと同一のものを検索します。
カードのパスワードと同じパスワードが見つかった場合、アプリケーションはユーザーが認証されたものとみなし、ログインを許可します。

最適なスマートカードサイト構成の決定

スマートカードとカードリーダーを購入する前に、通信の認証が必要かどうかを検討します。サイトでスマートカードを使用する理由は次のいずれかです。

特定の部署やドメインにあるマシンを承認されていないアクセスから保護する
機密情報を扱うアプリケーションへのアクセスを、承認されたユーザーに限定する

スマートカードサイトの構成には、セキュリティドメインまたはバッチオフィスの 2 種類があり、これらを使って組織のニーズを満たすことができます。大規模な組織には、両方のサイト構成の組み合わせが適している場合もあります。

スマートカードのセキュリティドメインの構成

組織内のさまざまな人数のユーザーに対してスマートカードによる認証が必要な場合は、セキュリティドメインを設定してサポートすることを検討してください。たとえば、20 名のスタッフを抱える法人金融部門があるとします。このグループのデスクトップへのログインをスマートカードで保護したい場合は、部門の各ホストにスマートカードリーダーを接続し、各ユーザーに 1 枚以上のスマートカードを支給する必要があります。

セキュリティドメインの管理者としての作業には次のものがあります。

ドメイン内の各ホストに Solaris 8 環境がインストールされていることを確認する
スマートカードと認証管理インフラストラクチャ (AMI) デーモンがホスト上で実行されていることを確認する
カードリーダーをホストに設置する
セキュリティドメイン内のすべてのユーザーの UNIX ユーザーアカウント名を取得する
ユーザーのスマートカードを初期化する

注 -

バッチオフィス構成とセキュリティドメイン構成を組み合わせた大規模な組織では、ユーザーのスマートカードを初期化する作業をセキュリティドメインの管理者以外が担当することがあります。

バッチオフィスの構成

大規模な組織では、各従業員がスマートカードを使用する必要があります。また、ユーザーが自分のスマートカードを使って複数のホストにログインしなければならない場合もあります。ネットワーク管理者やセキュリティ管理者であっても、すべてのユーザーのホストに対するアクセス権を持っているわけではなく、ログイン時に認証を必要とするアプリケーションをすべて把握しているわけでもありません。

ここでは、従業員のスマートカードを初期化するための専用マシン (複数の場合もあります) を使用するバッチオフィスの設定について考えます。

バッチオフィスの管理者としての作業には次のものがあります。

スマートカードの初期化に使用するバッチオフィス内のすべてのホストに Solaris 8 ソフトウェアがインストールされていることを確認する
カードリーダーをホストに設置する
これらのホスト上でスマートカードと AMI デーモンが実行されていることを確認する
新しいスマートカードが常に手元に供給されていることを確認する
スマートカードを必要とするユーザーが、既存の自分のアカウント名、パスワード、アクセスしたいセキュリティ保護されたアプリケーションを記入する要求フォーム (オンラインフォームまたは専用の用紙) を用意する

ユーザーの身元は、この要求フォームを承認するマネージャーの署名によって保証されます。複数のマシンにスーパーユーザーとしてアクセスできるシステム管理者の身元を明らかにするには、マネージャーの承認が特に重要です。

注 -

ユーザーのマシン上でスマートカードの設定を行う担当者が、バッチオフィスの管理者ではなく組織のシステム管理者になることもあります。

Solaris スマートカードの管理

Solaris スマートカードは、Solaris スマートカードグラフィカルユーザーインタフェース (GUI) や UNIX コマンド行を使って管理できます。GUI と UNIX コマンド行を組み合わせて使用することもできます。

Solaris スマートカード GUI の使用

Solaris 8 をインストールすると、Solaris スマートカード GUI が自動的にインストールされます。スマートカード GUI には、Solaris デスクトップまたは UNIX のコマンド行からアクセスできます。

デスクトップから Solaris スマートカード GUI を起動するには

スマートカードを設定しようとしているすべてのマシンで、次の作業を行います。

共通デスクトップ環境 (CDE) にスーパーユーザーとしてログインします。

すでに自分の UNIX ユーザー名で CDE を実行している場合は、CDE を終了して、スーパーユーザーとしてログインします。

デスクトップのメニューバーにある矢印をクリックして、アプリケーションメニューを表示させます。

「アプリケーション」を選択して、アプリケーションマネージャにアクセスします。

「システム管理」アイコンをダブルクリックして、システム管理コンソールにアクセスします。

スマートカードアイコンをクリックして、Solaris スマートカード GUI を起動します。

コマンド行から Solaris スマートカード GUI を起動するには

UNIX のコマンド行にスーパーユーザーとしてログインします。

次のように入力して、GUI を起動します。
# /usr/dt/bin/sdtsmartcardadmin

うまくいかない場合に GUI を再起動するには

Solaris スマートカード GUI を起動できない場合、次のような接続エラーが返されることがあります。

Xlib: connection to ":0.0" refused by server
Xlib: Client is not authorized to connect to Server

スーパーユーザーではなく、自身の UNIX ユーザー名で端末ウィンドウにログインします。

次のように入力して、クライアントの認証に関する問題を解決します。
% xhost +

「デスクトップから Solaris スマートカード GUI を起動するには」の手順に従って、GUI を再起動します。

スマートカード GUI の使用に関する説明

Solaris スマートカード GUI のヘルプシステムは、次の情報を提供します。

スマートカード GUI による主な作業の手順

ヘルプメニューバーをプルダウンしてヘルプを選択します。
GUI にある各ダイアログボックスの説明

ダイアログボックスの下部にある「ヘルプ」ボタンを押すと利用できます。
スマートカードコンソールに関するスポットヘルプ

「情報」区画に自動的に表示されます。

Solaris スマートカード GUI のヘルプシステムは、スマートカードの概念的な情報は提供しません。スマートカードの動作や認証タイプの詳細などについては、このマニュアルを参照してください。

コマンド行からの Solaris スマートカードの管理

ここからは、UNIX のコマンド行を使った Solaris スマートカードの管理作業について説明していきます。また、コマンド行での作業と GUI での作業を支援する概念的な情報も提供します。スマートカードのコマンドの詳細については、smartcard(1M) と ocfserv(1M) のマニュアルページを参照してください。

スマートカードの設定に関する作業

次の作業マップに、Solaris スマートカードの操作に必要な共通作業と、その説明の記載場所を示します。

表 1-2 スマートカードの管理に関する作業マップ


作業	説明の場所
スマートカードを使用するすべてのマシンに Solaris 8 環境をインストールする	Solaris 8 のインストール関連マニュアル
スマートカードを使用するすべてのホストにカードリーダーを物理的に接続する	カードリーダーの付属マニュアル
`ocfserv` と `amiserv` のデーモンの状態を監視する	「サーバーデーモンの状態のチェック」
Solaris スマートカード GUI からスマートカードを設定する	「Solaris スマートカード GUI の使用」と、GUI に組み込まれたヘルプシステム
各ホストでカードリーダーを設定する	「カードリーダーの設定」
ホスト上でサーバーとクライアントの属性を設定する	「スマートカードの属性の設定」
ホスト上でスマートカードを操作できるようにする	「ホスト上でスマートカードを有効化するには」
スマートカード上に必要なインフラストラクチャを作成する	「スマートカードのインフラストラクチャの読み込み」
スマートカード上にユーザー固有の情報を読み込む	「スマートカードをユーザー用に初期化」
スマートカードをユーザーに配布し、必要に応じてキーファイルをユーザーのホストに配布する	「複数のホストでのスマートカードの使用準備」