スマートカードとカードリーダーを購入する前に、通信の認証が必要かどうかを検討します。サイトでスマートカードを使用する理由は次のいずれかです。
特定の部署やドメインにあるマシンを承認されていないアクセスから保護する
機密情報を扱うアプリケーションへのアクセスを、承認されたユーザーに限定する
スマートカードサイトの構成には、セキュリティドメインまたはバッチオフィスの 2 種類があり、これらを使って組織のニーズを満たすことができます。大規模な組織には、両方のサイト構成の組み合わせが適している場合もあります。
組織内のさまざまな人数のユーザーに対してスマートカードによる認証が必要な場合は、セキュリティドメインを設定してサポートすることを検討してください。たとえば、20 名のスタッフを抱える法人金融部門があるとします。このグループのデスクトップへのログインをスマートカードで保護したい場合は、部門の各ホストにスマートカードリーダーを接続し、各ユーザーに 1 枚以上のスマートカードを支給する必要があります。
セキュリティドメインの管理者としての作業には次のものがあります。
ドメイン内の各ホストに Solaris 8 環境がインストールされていることを確認する
スマートカードと認証管理インフラストラクチャ (AMI) デーモンがホスト上で実行されていることを確認する
カードリーダーをホストに設置する
セキュリティドメイン内のすべてのユーザーの UNIX ユーザーアカウント名を取得する
ユーザーのスマートカードを初期化する
バッチオフィス構成とセキュリティドメイン構成を組み合わせた大規模な組織では、ユーザーのスマートカードを初期化する作業をセキュリティドメインの管理者以外が担当することがあります。
大規模な組織では、各従業員がスマートカードを使用する必要があります。また、ユーザーが自分のスマートカードを使って複数のホストにログインしなければならない場合もあります。ネットワーク管理者やセキュリティ管理者であっても、すべてのユーザーのホストに対するアクセス権を持っているわけではなく、ログイン時に認証を必要とするアプリケーションをすべて把握しているわけでもありません。
ここでは、従業員のスマートカードを初期化するための専用マシン (複数の場合もあります) を使用するバッチオフィスの設定について考えます。
スマートカードの初期化に使用するバッチオフィス内のすべてのホストに Solaris 8 ソフトウェアがインストールされていることを確認する
カードリーダーをホストに設置する
これらのホスト上でスマートカードと AMI デーモンが実行されていることを確認する
新しいスマートカードが常に手元に供給されていることを確認する
スマートカードを必要とするユーザーが、既存の自分のアカウント名、パスワード、アクセスしたいセキュリティ保護されたアプリケーションを記入する要求フォーム (オンラインフォームまたは専用の用紙) を用意する
ユーザーの身元は、この要求フォームを承認するマネージャーの署名によって保証されます。複数のマシンにスーパーユーザーとしてアクセスできるシステム管理者の身元を明らかにするには、マネージャーの承認が特に重要です。
ユーザーのマシン上でスマートカードの設定を行う担当者が、バッチオフィスの管理者ではなく組織のシステム管理者になることもあります。