Proxy Server は、ファイルベースの認証データベースの使用をサポートしています。このデータベースには、ユーザーとグループに関する情報がテキスト形式でフラットファイルに格納されます。ACL のフレームワークは、ファイル認証データベースを利用できるように設計されています。
Proxy Server は動的フラットファイルをサポートしていません。フラットファイルデータベースは、サーバーの起動時に読み込まれます。ファイルへの変更は、サーバーを再起動した場合にだけ適用されます。
この節では、ファイル認証とダイジェスト認証に基づくディレクトリサービス用 ACL を作成する方法について説明します。
ACL エントリは、database キーワードを使用してユーザーデータベースを参照できます。次に例を示します。
acl "default"; authenticate (user) {... database="myfile";...};
server-root/userdb/dbswitch.conf ファイルには、ファイル認証データベースとその設定を定義するエントリが含まれています。次に例を示します。
directory myfiledb filemyfiledb:syntax keyfilemyfiledb:keyfile /path/to/config/keyfile
次の表は、ファイル認証データベースでサポートされるパラメータを示しています。
表 8–2 ファイル認証データベースがサポートするパラメータ
パラメータ |
説明 |
---|---|
syntax |
(オプション) 値は keyfile または digest のいずれか。省略した場合のデフォルト値は keyfile。 |
keyfile |
(syntax=keyfile の場合は必須) ユーザーデータを含むファイルへのパス。 |
digestfile |
(syntax=digest の場合は必須) ダイジェスト認証用のユーザーデータを含むファイルへのパス。 |
ファイル認証データベースファイルに指定可能な最大行数は 255 です。この制限を超えた場合、サーバーは起動に失敗し、エラーがログファイルに記録されます。
ファイルベースの認証データベースを使用して ACL を設定する前に、ファイルベースの認証ディレクトリサービスがすでに設定されていることを確認します。詳細は、「ディレクトリサービスの設定」を参照してください。
サーバーインスタンスのサーバーマネージャーにアクセスします。
「Preferences」タブで、「Administer Access Control」リンクをクリックします。
ドロップダウンリストから ACL ファイルを選択し、「Edit」をクリックします。
「Access Control Rules For」ページで、編集する ACL エントリの「Users/Groups」リンクをクリックします。
下のフレームに「User/Group」ページが表示されます。
認証データベースのドロップダウンリストから、鍵ファイルデータベースを指定します。
「Update」をクリックし、「Submit」をクリックして変更内容を保存します。
鍵ファイルベースのファイル認証データベースに対して ACL を設定すると、次のエントリ例のように、dbswitch.conf ファイルが ACL エントリで更新されます。
version 3.0;acl "default";authenticate (user) {prompt = "Sun Java System Proxy Server 4.0";database = "mykeyfile"; method = "basic";};deny (all) user = "anyone"; allow (all) user = "all"; |
ファイル認証データベースは、RFC 2617 に規定されているダイジェスト認証での使用に適したファイル形式もサポートしています。パスワードとレルムに基づくハッシュが格納されます。クリアテキストのパスワードは保存されません。
サーバーインスタンスのサーバーマネージャーにアクセスします。
「Preferences」タブで、「Administer Access Control」リンクをクリックします。
ドロップダウンリストから ACL ファイルを選択し、「Edit」をクリックします。
「Access Control Rules For」ページで、編集する ACL の「Users/Groups」リンクをクリックします。
下のフレームに「User/Group」ページが表示されます。
認証データベースのドロップダウンリストから、ダイジェストデータベースを指定します。
「Update」をクリックし、「Submit」をクリックして変更内容を保存します。
ダイジェスト認証ベースのファイル認証データベースに対して ACL を設定すると、次のエントリ例のように、dbswitch.conf ファイルが ACL エントリで更新されます。
version 3.0;acl "default";authenticate (user) {prompt = "filerealm"; database = "mydigestfile";method = "digest";}; deny (all) user = "anyone"; allow (all) user = "all"; |