11.8 クライアント認証の構成

クライアント認証とは、クライアントによって提供される証明書に基づいて行われる、Oracle Traffic Director仮想サーバーまたはTCPプロキシによるクライアントの検証です。

クライアント認証は、デフォルトでは有効化されません。管理コンソールまたはCLIを使用して、クライアントに証明書の提供を要求するようにOracle Traffic Directorリスナーを構成できます。

注意: この項のCLIの例はシェル・モード(tadm>)で示されています。CLIシェルの起動の詳細は、2.3.1項「コマンドライン・インタフェースへのアクセス」を参照してください。

管理コンソールを使用したクライアント認証の構成

管理コンソールを使用してリスナーのクライアント認証を有効化するには、次の操作を行います。

1. 2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。

2. ページの左上隅にある「構成」ボタンをクリックします。

   使用可能な構成のリストが表示されます。

3. リスナーのクライアント認証を有効にする構成を指定します。

4. ナビゲーション・ペインで、「リスナー」を展開し、クライアント認証を構成するリスナーを選択します。

   「リスナー設定」ページが表示されます。

5. ページの「詳細設定」セクションに移動し、SSL/TLSサブセクションにスクロール・ダウンします。

6. 必要な「クライアント認証」モードを選択します。

   • 必須: サーバーがクライアントに証明書を要求し、クライアントが証明書を提供しない場合、接続はクローズされます。

   • オプション: サーバーはクライアントに証明書を要求しますが、必須ではありません。クライアントが証明書を提供しなくても、接続は確立されます。

   • False (デフォルト): クライアント認証は無効化されます。

7. 「認証タイムアウト」および「最大認証データ」パラメータを指定します。

   画面上のヘルプおよびプロンプトがすべてのパラメータに提供されています。

   フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、ページの右上隅にある「保存」ボタンが有効になります。

   「リセット」ボタンをクリックすることで、いつでも変更を破棄できます。

8. 必要な変更を行った後、「保存」をクリックします。

   • 更新されたリスナーが保存されたことを確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。

   • さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。

CLIを使用したクライアント認証の構成

HTTPまたはTCPリスナーのクライアント認証を有効化するには、set-ssl-propコマンドを実行します。

たとえば、次のコマンドでは、リスナーhttp-listener-1のクライアント認証が必須とされ、認証タイムアウト時間は60秒、バッファ可能な認証データの最大長は262144バイトと設定されます。

tadm> set-ssl-prop --config=soa --http-listener=http-listener-1
 client-auth=required max-client-auth-data=262144 client-auth-timeout=60
OTD-70201 Command 'set-ssl-prop' ran successfully.

更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。

この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。