第 4 章   認可


認可は、役割を割り当てることによってサービスを認証するという考えに基づいて行われます。証明書を役割にリンクすることによって、サービスのある面を認証します。各証明書には、証明書階層内の任意の下位レベルで認証を受けられるように、識別名と役割が割り当てられます。

概要

---

iPlanet Trustbase Transaction Manager の認可機能を使って、身元不明のユーザがサービスにアクセスするのを防ぐことができます。認可の管理を行う画面では、一連の既知のユーザを編集し、アクセス可能なサービスを指定できます。認可画面で変更を行うと、iPlanet Trustbase Transaction Manager の認可データベースにすぐにその変更が反映されます。

iPlanet Trustbase Transaction Manager は、新規のユーザセッションを開始するリクエストすべてに対し、認可チェックを行います。つまり、ユーザがシステムにログオンしたときや、CSC が受信されたときにチェックが行われます。このチェックにより、ユーザ名または証明書が役割にマップされます。この役割は、リクエストとともにシステム内で送受されます。ルータがサービスを呼び出す前に、認可データベースがチェックされ、役割が該当サービスへのアクセスを許可されているかどうかが確認されます。アクセスが許可されている場合は、処理が許可されます。許可されていない場合は、ルータにより認可エラーが記録され、リクエストは拒否されます。

認証パラメータの編集が必要な機能へは、次に示す「認可」メインメニューからアクセスできます。

図 4-1 「認可」メインメニュー

ユーザに対するサービスへのアクセスの認可

---

ユーザに対して特定のサービスへのアクセスを認可する作業は、複数の段階に分けて行います。各段階は次のとおりです。

• 役割の定義 - ユーザを識別するグループを作成します。

• ユーザを役割に追加 - グループのメンバーになるユーザを識別します。

• 役割をサービスにマップ - 特定の役割を持つユーザに対し、サービスの使用を認可します。

• 各役割に証明書を割り当て

次の各項では、各段階について詳しく説明します。

役割の定義

メインメニューから「役割の追加」を選択すると、次の項目を含むフォームが表示されます。

• 名前 - 新規役割のテキストラベル

• 説明 - 役割の説明。テキストを自由に入力できる。認可作業には必要ないが、特定の役割の説明に使用できる

• アクティブ - オフになっていると、役割とサービスのリンクが正しい場合でも、ルータにより認可拒否の応答が返される

フォームを送信すると、認可テーブルがすぐに更新されます。新規役割を追加した後は、「認可」メニューの「すべての役割」オプションを使用して最新の情報を表示できます。「すべての役割」オプションでは、既存の役割を選択して、値を編集できます。デフォルトでは、iPlanet Trustbase Transaction Manager には 3 つのあらかじめ設定された役割があり、特定のユーザにマップされています。

図 4-2 デフォルトの役割のリスト

• ADMINISTRATOR - すべての構成画面に管理者としてアクセス可能な役割

• NoRole - アクティブではない役割で、現在内部のみで使用。これは、「アイテム」に何の役割も割り当てない場合に使用

• Identrus - Identrus サービスへのアクセスが可能な役割。現在、主なサービスとしては IdentrusCSCService がある。このサービスは、証明書のステータスの確認を行い、すべての確認、検証、完全性、および認可の基盤を形成する

  
  

  ---

  注	iPlanet Trustbase Transaction Manager には、「NoRole」というデフォルトの役割があります。これは iPlanet Trustbase Transaction Manager サービス内部で使われます。編集または削除しないでください。

  ---

  
  

ユーザを役割に追加

ユーザの識別には、次のどちらかを使用できます。

• ユーザ名とパスワード

• 証明書

ユーザ名とパスワードによる認可は、iPlanet Trustbase Transaction Manager の操作管理で一般的に使用されます。この方法では、システムにログオンして、このマニュアルで説明している各管理画面を操作できます。

図 4-3 新規ユーザの追加

新規ユーザは、「認可」ホームページの「ユーザの追加」ボタンを使って追加できます。各ユーザに対し、次の項目を入力します。

• ユーザ名

• パスワード

• 役割 - 既存の役割からだけ選択可能

複数のユーザを追加してから、フォームを送信することができます。ユーザを追加すると、認可テーブルですぐにアクティブになり、ユーザは割り当てられた役割を使用できるようになります。

証明書の追加

Identrus メッセージには、証明書による認証が使われます。第三者が iPlanet Trustbase Transaction Manager を使用するには、認可システムに証明書の詳細が入力されていることが必要です。iPlanet Trustbase Transaction Manager では、実際の証明書の代わりに親証明書を使用できるため、認可テーブルにすべての既知の証明書を入力しなくても済みます。

図 4-4 Identrus PKI 階層

Identrus PKI 階層内では、レベル 1 CA によって発行された End Entity Identity Certificate は、iPlanet Trustbase Transaction Manager へのリクエストに署名するために信頼カスタマ (RC) によって使用されます。Level 1 Transaction Manager Inter-Participant Signing Certificate は、証明書のステータスの確認時にさまざまな iPlanet Trustbase Transaction Manager 間で作成されたリクエストに署名するために使用されます。

Identrus 処理の完全なセットは、認可システムに単独の証明書を配置することによって認可を受けることができます。この証明書は Identrus ルート CA 証明書 (Identrus Root CA Certificate) と呼ばれます。ルート CA 証明書には、「最大の深さ」の値として「2」を入力します。これは、ルート CA 証明書から下位 2 レベルまでに発行された証明書 (Level 1 Transaction Manager End Entity Signing Certificate と Inter-Participant Signing Certificate) が、Identrus ルート CA 証明書と同じ役割にマップされることを意味します。

証明書に基づいて認可を追加するには、「認可」メインページの「証明書の追加」を選択します。表示されるフォームでは、各証明書に対して次の情報が要求されます。

• 発行元 DN - このフィールドでは大文字と小文字が区別されるため、大文字と小文字を間違えて DN 情報を入力すると、証明書の認可が拒否される

• シリアル番号

• 最大の深さ - この証明書と、この役割を使うことのできる子証明書間のチェーンの最大の長さ

• 役割 - 定義済みの役割のリストから選択

• アクセス - この証明書をアクティブにするにはオンにする

図 4-5 証明書の追加

「アクセス」チェックボックスをオンにすると、継承した認可を明示的に上書きできます。つまり、「アクセス」がオフで認可テーブルに明示的なエントリのあるものを除き、多くの発行済みの証明書を認可するのに親証明書を使うことができます。このメカニズムは、CA によって破棄される前に証明書を保留する期間が必要な場合に便利です。

役割をサービスにマップ

役割を作成し、一連のユーザを役割にマップしたら、最後に役割によるアクセスが可能な一連のサービスを定義します。

各サービスへアクセスできるのは、1 つの役割だけです。このため、既存の認可メカニズムを編集する前に、認可マッピングに関して多少の設計と検討を行うことが必要です。デフォルトでは、iPlanet Trustbase Transaction Manager には次の役割からサービスへのマッピングが含まれています。

• このガイドで説明している構成機能を使って、インストールを構成するユーザ。このユーザは「Administrator」という役割にマップされる

• 許可された Identrus サービスにアクセスする End Entity Certificate を持つユーザ。このユーザは「Identrus」という役割にマップされる

新しいサービスを役割にマップするには、「認可」メインメニューの「サービスの追加」を選択します。フォームでは、次の情報が必要です。

• サービス名 - tbase.properties ファイルに記載されている、サービスの略名

• 役割 - 役割の名前

フォームの下部では、サービスから役割への複数のマッピングを追加できます。追加が完了したら、フォームを送信します。認可データベースにマッピングを送信すると、すぐに有効になります。

サービスから役割への既存のマッピングを編集するには、「認可」メインメニューから「すべてのサービス」を選択します。役割からサービスへのマッピングデータベース全体のリストが表示され、検討することができます。リストで特定のエントリの「変更」リンクを選択すると、そのエントリの詳細を更新できます。

図 4-6 サービスから役割へのマッピングのリスト