Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Portal Server 6 2004Q2 管理ガイド 

第 19 章
セキュリティ保護された外部 LDAP Directory Server を使用する場合の Portal Server の設定

デフォルトインストールでは、Sun JavaTM System Portal Server、Sun JavaTM System Identity Server、および Sun JavaTM System Directory Server の各ソフトウェアすべてが同じホストで動作します。ただし、ソフトウェア配備のパフォーマンス、セキュリティ、および統合要件に応じて、Directory Server を別の外部ホストで稼動させ、SSL (Secure Sockets Layer) によるセキュリティ保護された接続を介して Portal Server からディレクトリにアクセスすることもできます。セキュリティ保護された接続を介して Directory Server にアクセスするためには、ディレクトリの証明書に署名した認証局を信頼するように Sun JavaTM Application Server を設定する必要があります。

Sun Java System Portal Server を設定して、外部 LDAP ディレクトリを使用させるには、次の手順を実行する必要があります。

Directory Server の SSL 設定

  1. Directory Server (ns-slapd プロセス) と管理サーバー (ns-httpd プロセス) の両方が起動し、動作していることを確認します。
  2. root としてターミナルウィンドウで操作し、次のように入力して Directory Server を起動します。

    3. /var/opt/mps/serverroot/startconsole

  3. 表示されるログインウィンドウで、ユーザー名 admin と、Directory Server のパスワードを入力します。
  4. コンソールの左のパネルで、「Server Group」の下に Directory Server インスタンスが表示されるまでディレクトリを展開します。
  5. Directory Server インスタンスを選択して「開く」をクリックします。
  6. 「タスク」を選択し、「証明書の管理」を選択します。

    7. このタスクを初めて実行するときには、パスワードを入力して証明書データベースを作成するよう求めるメッセージが表示されます。後で Directory Server を起動するときに必要になるので、このパスワードをメモしてください。

  7. 「要求」をクリックします。

    8. 証明書要求ウィザードが表示されます。ウィザードの指示に従い、手順を完了して証明書要求を生成します。証明書要求は、承認を受けるために CMS (証明書管理サーバー) に送信されます。CMS から正式な証明書が返信されます。要求データをファイルにコピーして、証明書要求のコピーを保存します。

  8. 証明書要求が CMS に送信され、CMS の管理者により要求が承認されると、承認済みの証明書が返信されてきます。
  9. 生成した DS の証明書と CMS 証明書を取り込みます。

    10. CMS は DS 用に証明書を生成したので、root CA として CMS の証明書をインポートすることによって、CMS も信頼される必要があります。

  10. 「証明書の管理」、「サーバー証明書」の順に選択して、「インストール」をクリックします。

    11. 証明書インストールウィザードが表示されます。

  11. 手順 8 の承認済みの証明書データをコピーしてテキスト領域に貼り付け、ウィザードの指示に従って証明書をインストールします。

    12. 証明書が正常にインストールされると、証明書が行項目として「サーバー証明書」タブに表示されます。

  12. 「証明書の管理」ウィンドウを開き、「CA 証明書」タブを選択します。

    13. 手順 9 で証明書を発行した CA が CA 証明書リストにある場合は、リストに証明書をインストールする必要はありません。

    証明書が証明書リストにない場合は、認証局から root CA 証明書を入手してインストールする必要があります。

    1. 「インストール」をクリックします。
    2. CMS 証明書データをコピーしてテキスト領域に貼り付け、ウィザードの指示に従って証明書をインストールします。

      3. 証明書名が CA 証明書リストに表示されます。

  13. 「閉じる」をクリックして「証明書の管理」ウィンドウを閉じます。
  14. 「設定」タブを選択します。
  15. 「ネットワーク」タブで、「セキュリティ保護されたポート」フィールドのポート番号が有効かどうかを確認、またはフィールドに有効なポート番号を入力して、「保存」をクリックします。

    16. デフォルトポートは 636 です。

  16. 「暗号化」タブをクリックし、「この暗号化方式ファミリを使用:SRA」チェックボックスにチェックマークを付け、「保存」をクリックします。
  17. Directory Server を再起動し、手順 6 で入力した証明書データベースのパスワードを入力します。

    18. Directory は、SSL 接続を待ち受けて 636 (デフォルト) ポートでの待機を開始します。

信頼データベースを作成するには

信頼データベースを作成するときには、鍵ペアファイルで使用するパスワードを指定します。このパスワードは、暗号化通信を使用してサーバーを起動する場合にも必要になります。

証明書データベースで、鍵ペアファイルと呼ばれる公開鍵と秘密鍵を作成して保管します。鍵ペアファイルは SSL 暗号化で使用されます。また、サーバー証明書を要求してインストールする場合にも鍵ペアファイルを使用します。証明書は、インストール後に証明書データベースに保管されます。

証明書データベースの作成手順は、使用している Web コンテナの種類によって異なります。次の説明は、Sun Java System Application Server で証明書データベースを作成する場合の手順です。同じ手順は、Web サイト http://docs.sun.com/db/prod/entsys?l=ja から入手できる『Sun Java System Application Server 7 セキュリティ管理者ガイド』でも説明されています。

Sun Java System Web Server で証明書データベースを作成する方法については、Web サイト http://docs.sun.com/db/prod/entsys?l=ja で入手可能な『Sun Java System Web Server, Enterprise Edition Administrator's Guide』で説明されています。

Sun Java System Application Server で証明書データベースを作成するには、管理インタフェースで次の手順を実行します。

  1. Application Server インスタンスが起動していることを確認します。
  2. 「アプリケーションサーバーインスタンス」にアクセスし、サーバーインスタンスを選択します。
  3. 「セキュリティ」にアクセスします。
  4. 「データベースの管理」をクリックします。
  5. 「データベースを作成」リンクをクリックします。

    6. 「信頼データベースの初期化」ページが表示されます。

  6. データベースのパスワードを入力します。
  7. もう一度パスワードを入力します。
  8. 「了解」をクリックします。
  9. 左のパネルで「アプリケーションサーバーインスタンス」およびサーバーインスタンスにアクセスし、「変更を適用」をクリックします。
  10. サーバーを停止して再起動し、変更を有効にします。

password.conf ファイルを使用するには

SSL が有効に設定されている場合に、SSL/TLS が有効な Sun ONE Application Server をユーザー操作なしで再起動できるようにするには、信頼データベースのパスワードを password.conf ファイルに保存します。

システムを適切に保護し、ファイルや鍵データベースが侵害されることのないように注意してください。

password.conf ファイルの詳細については、『Sun ONE Application Server 管理者用設定ファイルリファレンス』の「password.conf ファイルの概要」を参照してください。

通常、サーバーは起動前にパスワードを入力する必要があるので、/etc/rc.local ファイルまたは /etc/inittab ファイルを使用して、UNIX SSL が有効なサーバーを起動することはできません。プレーンテキストにパスワードを保存して自動的に SSL が有効なサーバーを起動することは可能ですが、これは推奨されていません。サーバーの password.conf ファイルは、root またはサーバーをインストールしたユーザーが所有し、所有者だけが読み取りと書き込みのアクセス権を持つようにしてください。UNIX で、SSL が有効なサーバーのパスワードを password.conf ファイルに保存することは、大きなセキュリティリスクとなります。ファイルにアクセス可能なユーザーは、SSL が有効なサーバーのパスワードにもアクセスできます。SSL が有効なサーバーのパスワードを password.conf ファイルに保存する前に、セキュリティ面のリスクを考慮してください。

root 認証局 (CA) 証明書をインストールするには

root CA 証明書のインストール手順は、使用している Web コンテナの種類によって異なります。

次の説明は、Sun Java System Application Server に root CA をインストールする場合の手順です。同じ手順は、Web サイト http://docs.sun.com/db/prod/entsys?l=ja で入手できる『Sun Java System Application Server 7 セキュリティ管理者ガイド』でも説明されています。

Sun Java System Web Server に root CA をインストールする方法については、Web サイト http://docs.sun.com/db/prod/entsys?l=ja で入手可能な『Sun Java System Web Server, Enterprise Edition Administrator's Guide』で説明されています。

証明書を発行したソースは、root CA 証明書の入手元となったソースと同じです。

CA からの証明書をインストールするには、管理インタフェースで次の手順を実行します。

  1. 「アプリケーションサーバーインスタンス」にアクセスし、左のパネルでサーバーインスタンスを選択します。
  2. 「セキュリティ」にアクセスします。
  3. 「証明書管理」を選択します。
  4. 「インストール」リンクをクリックします。

    5. 「サーバー証明書をインストール」が表示されます。

  5. クライアント認証の場合に信頼される CA として受け入れる、CA の証明書に対応する「信頼できる証明書発行局」を選択します。
  6. ドロップダウンリストから、暗号化モジュールを選択します。
  7. 鍵ペアファイルのパスワードを入力します。
  8. 次の条件に該当する場合を除いて、それがサーバーインスタンスで使用される唯一の証明書である場合は、証明書名の入力フィールドを空白のまま残します。
    • 複数の証明書が仮想サーバーで使用される。この場合は、サーバーインスタンス内で一意の証明書名を入力する
    • 内部以外の暗号化モジュールが使用される。この場合は、単一暗号化モジュール内のすべてのサーバーインスタンスの中で一意の証明書名を入力する

      • 名前を入力すると、「証明書の管理」リストに表示されます。分かりやすい名前を使用してください。たとえば、United States Postal Service CA は CA の名前ですが、VeriSign Class 2 Primary CA は、CA と 証明書のタイプの両方を記述しています。

      証明書名が入力されない場合は、デフォルト値が適用されます。

  9. 次のいずれかを選択します。
    • このファイルのメッセージ。この場合は、保存されたメールへのフルパス名を入力
    • メッセージテキスト (ヘッダー付き)。この場合は、メールテキストを貼り付ける。テキストをコピーして貼り付ける場合は、先頭と末尾のハイフンなど、Begin Certificate ヘッダーと End Certificate ヘッダーを必ず含める
  10. 「了解」をクリックします。
  11. 「インストール」を選択して新規証明書をインストールします。
  12. 左のパネルで「アプリケーションサーバーインスタンス」およびサーバーインスタンスにアクセスし、「変更を適用」をクリックします。
  13. サーバーを停止して再起動し、変更を有効にします。証明書は、サーバーの証明書データベースに保管されます。ファイル名は cert8.db です。

Directory Server との通信用に Identity Server の SSL 利用を有効化するには

Directory Server で SSL を有効化するには、/etc/opt/SUNWam/config/AMConfig.properties ファイルを編集します。この手順はコンテナによって異なり、Sun Java System Web Server と Sun Java System Application Server の両方で実行する必要があります。

AMConfig.properties ファイルで、次の設定を変更します。

com.iplanet.am.directory.ssl.enabled=false

com.iplanet.am.directory.host=server12.example.com (if it needs to be changed)

com.iplanet.am.directory.port=389

上記の設定を次のように変更します。

com.iplanet.am.directory.ssl.enabled=true

com.iplanet.am.directory.host=server1.example.com

com.iplanet.am.directory.port=636 (port on which DS uses encryption)

identity-server-install-dir/SUNWam/config/ums/serverconfig.xml ファイルの接続ポートと接続タイプの値を変更し、オープンモードから SSL にします。

serverconfig.XML ファイルを編集し、次の行を変更します。

    <Server name="Server1" host="gimli.example.com"

port="389"

type="SIMPLE" />

上記の設定を次のように変更します。

to

<Server name="Server1" host="gimli.example.com"

port="636"

type="SSL" />

serverconfig.xml ファイルに変更を加えた後、Web コンテナを再起動します。



前へ      目次      索引      次へ     

Copyright 2004 Sun Microsystems, Inc. All rights reserved.