第 5 章 スマートカードの設定 (タスク)
この章では、SmartCard Console からまたはコマンド行からスマートカードを設定する方法を説明します。
この章では、次の手順について説明します。
この章に記述されているタスクでは、サイトでスマートカードをどのように実装するかをユーザーがすでに認識していることが想定されています。また、スマートカードを使用するすべてのシステム上でカードリーダーがすでに設定されていることが想定されています。詳細は、「スマートカード構成の計画」を参照してください。
スマートカードの設定 (タスクマップ)
表 5-1 スマートカードの設定 (タスクマップ)|
タスク (作業) |
説明 |
参照先 |
|---|---|---|
|
1. カードサービスが有効化されていることの確認 |
ログインに使用するスマートカードのカードサービスが有効であることを確認します。 | |
|
2. スマートカードの ATR の追加または変更 |
(オプション) スマートカードの ATR を追加します。あるいは、スマートカードのメーカーが新しいスマートカードを発行した場合は、ATR を変更します。 | |
|
3. アプレットのスマートカードへの読み込み |
SolarisAuthApplet アプレットをスマートカードに読み込みます。 | |
|
4. スマートカードの PIN の変更 |
スマートカードのデフォルトの PIN を変更します。 | |
|
5. スマートカード上でのユーザー情報の作成 |
スマートカードのユーザーについての個人情報を指定します。 | |
|
6. OCF サーバーとクライアントアプリケーションのデフォルトの認証機構の設定 |
サーバーのデフォルトのサーバー認証機構と、すべてのクライアントアプリケーションのデフォルトの認証機構を定義します。 | |
|
7. スマートカードの操作の有効化 |
システムでのスマートカードの操作を有効にします。 |
カードサービスを無効または有効にするには (SmartCard Console)
Solaris 8 リリースがインストールされている場合、Solaris スマートカードがサポートするすべてのカードサービスがデフォルトで有効になっています。
SmartCard Console を起動する方法については、「SmartCard Console を起動するには (コマンド行)」を参照してください。
-
ナビゲーション区画で「カードサービス」をクリックします。
「カードサービス」ダイアログボックスが表示されます。
-
スマートカードのアイコンをダブルクリックします。
-
次のいずれかを実行して、カードサービスを有効化または無効化します。
-
「了解」をクリックします。
-
ocfserv を再起動するようプロンプトが表示された場合は、「OCF を再起動しない」を選択します。
スマートカードの ATR を追加または変更するには (SmartCard Console)
SmartCard Console を起動する方法については、「SmartCard Console を起動するには (コマンド行)」を参照してください。
-
新しい ATR を持つスマートカードをカードリーダーに挿入します。
-
(省略可能) ナビゲーション区画で「スマートカード」を選択します。
-
現在挿入されているカードのタイプを表すアイコンをダブルクリックします。
「スマートカード: Card-Type」ダイアログボックスには、このカードタイプについて認識されている ATR のリストと、新しい ATR を追加するための「追加」ボタンが表示されます。
-
表示された ATR が新しい ATR である場合、「追加」をクリックします。変更を有効にするには、「新しい ATR」フィールドに新しい ATR を入力するか、「挿入されているカードの ATR」ボックスに表示された ATR (挿入されたスマートカードで読み取られた ATR) を選択して、「了解」または「適用」を押します。
これで、スマートカード製品の新しい ATR 値を表示できます。
「挿入されているカードの ATR」ボックスに番号が表示される場合、これらは ocfserv が挿入されているカードから読み取って、新しい番号であると判断した ATR 番号です。「挿入されているカードの ATR」ボックスを使用する場合は、「新しい ATR」フィールドに新しい ATR 番号を入力する必要はありません。表示された ATR を選択して、「了解」または「適用」をクリックするだけで、変更は適用されます。
アプレットをスマートカードに読み込むには (SmartCard Console)
SmartCard Console を起動する方法については、「SmartCard Console を起動するには (コマンド行)」を参照してください。
-
スマートカードをカードリーダーに挿入します。
-
ナビゲーション区画から「アプレットを読み込む」アイコンを選択します。
-
「SolarisAuthApplet」アイコンをダブルクリックします。
-
初期化したいスマートカードのタイプ用にアプレットを、「CyberFlex」、「iButton」、または「PayFlex」の中から選択します。
-
ウィンドウの中央にある矢印で、選択したアプレットを「アプレットのインストールを保留」領域に移動します。
-
「インストール」をクリックします。
ポップアップウィンドウが現れて、「了解」ボタンが表示されます。
「インストール」をクリックすることができず「No compatible devices inserted」メッセージが表示された場合は、そのカードについて正しいアプレットを選択しており、カードの ATR が認識されているものであるかどうかを確認してください。カードの ATR については、前の節を参照してください。
-
「了解」をクリックします。
アプレットの読み込みには数分間かかります。ウィンドウが現れて、確認メッセージが表示されます。
アプレットをスマートカードに読み込むには (コマンド行)
SolarisAuthApplet アプレットを Solaris Smart Card がサポートするすべてのカードタイプにロードするには、このコマンドを使用します。
-
スマートカードをカードリーダーに挿入します。
-
スーパーユーザーになります。
-
SolarisAuthApplet アプレットをスマートカードにロードします。
# smartcard -c load -i /usr/share/lib/smartcard/SolarisAuthApplet.capx
smartcard -c load が終了すると、次のメッセージが表示されます。
Operation successful.
スマートカード上の PIN を変更するには (SmartCard Console)
SmartCard Console を起動する方法については、「SmartCard Console を起動するには (コマンド行)」を参照してください。
-
ナビゲーション区画から「アプレットを構成」を選択します。
カードリーダーに挿入されているスマートカードのタイプを表すアイコンが表示されます。
-
スマートカードのアイコンをダブルクリックします。
「Configure Applets: card-name」ダイアログボックスが表示されます。
-
「SolarisAuthApplet」アイコンをクリックします。
-
上部にある「PIN」フォルダを選択します。
-
「Type New PIN」フィールドに新しい PIN を入力して、もう一度、「Retype New PIN」フィールドに同じ番号を入力します。
読み込まれたアプレットのデフォルトの PIN は $$$$java です。
-
「Change」をクリックします。
-
ポップアップウィンドウに古い方の PIN を入力します。
-
「OK」をクリックします。
スマートカード上の PIN を変更するには (コマンド行)
注意 - 入力した PIN の確認プロンプトは表示されませんので、新しい PIN は正しく入力するように注意してください。
-
スマートカードがカードリーダーに挿入されていることを確認します。
-
スーパーユーザーになります。
-
PIN を変更します。
# smartcard -c init -A A000000062030400 -P '$$$java' pin=001234
デフォルトの PIN である $$$$java や、シェルの特殊文字 ($ など) を含む PIN は、単一引用符 (' ') で囲みます。単一引用符で囲まれていない場合、シェルは PIN を変数として解釈しようとし、コマンドが失敗します。
スマートカード上でユーザー情報を作成するには (SmartCard Console)
SmartCard Console を起動する方法については、「SmartCard Console を起動するには (コマンド行)」を参照してください。
-
ナビゲーション区画から「アプレットを構成」を選択します。
カードリーダー内のカードのタイプを示すアイコンが表示されます。
-
スマートカードのアイコンをダブルクリックします。
「アプレットの構成: カード名」ダイアログボックスが表示されます。
-
「SolarisAuthApplet」を選択します。
SolarisAuthApplet 構成フォルダがダイアログボックスの右側に表示されます。
-
「User Profiles」フォルダを選択します。
-
「User Profile Name」に dtlogin を入力します。
-
スマートカードを使ってログインするユーザーの有効な user-name と user-password を指定します。
user-name
ユーザーのログイン名です。
user-password
user-name に関連付けられたパスワードです。このパスワードは、システムの /etc/nsswitch.conf ファイル (NIS、NIS+、またはローカルファイル) によって定義されたパスワードデータベースの中に存在する必要があります。
注 -スマートカードを構成した後に passwd ファイルでユーザーのパスワードが変更された場合は、これらの手順を再び実行して新しいパスワードをそのスマートカードに保存する必要があります。これは自動的に更新されるものではありません。
-
「Set」をクリックして、上記属性を設定して保存します。
-
ポップアップウィンドウに PIN を入力します。
-
「OK」をクリックします。
-
初めてユーザープロファイルを作成する場合は、「Set User Profile: Create New User Profile」ウィンドウで「Yes」をクリックします。
使用例 - スマートカード上でユーザー情報を作成する (コマンド行)
次のコマンドは、Solaris スマートカードがサポートしているすべてのスマートカードデバイスで使用できます。スマートカードがカードリーダーに挿入されていることを確認してください。
次のコマンドを 1 行に入力して、スマートカードの PIN、ログイン名、パスワード、およびアプリケーションを設定します。ここで指定する PIN は、「スマートカード上の PIN を変更するには (SmartCard Console)」 で指定した PIN です。
# smartcard -c init -A A000000062030400 -P `001234' username=nigel password=changeme application=dtlogin |
サーバーとクライアントアプリケーションのデフォルトの認証機構を設定するには (コマンド行)
-
スーパーユーザーになります。
-
すべてのクライアントアプリケーションについてデフォルトの認証機構を設定します。
# smartcard -c admin -a default -x modify authmechanism="Pin | Password | ChallengeResponse"
たとえば、クライアントプログラムのデフォルトの認証機構を PIN Password に設定するには、次のように実行します。
# smartcard -c admin -a default -x modify authmechanism="Pin Password"
その後、smartcard -c admin と入力すると、デフォルトの認証機構は次のように表示されます。
default.authmechanism = Pin Password
-
サーバーのデフォルトの認証機構を設定します。
# smartcard -c admin -x modify authmechanism="Pin | Password | ChallengeResponse""
たとえば、ocfserv のデフォルトの認証機構を PIN Password にしたい場合は、次のように実行します。
# smartcard -c admin -x modify authmechanism="Pin Password"
注 -クライアントとサーバーの認証シーケンスが異なる場合、クライアントの認証シーケンスがサーバーの認証シーケンスよりも優先されます。
スマートカードの操作を有効にするには (コマンド行)
スマートカードを有効にした後、ユーザーがこのシステムにログインするには、そのシステムに承認されたスマートカードを使用する必要があります。PIN の入力が必要な場合もあります。スマートカードを使ってログインする方法については、第 9 章「スマートカードの使用 (タスク)」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates