CA APM でのスマート カード認証の使用
内容
apmdevops96jp
内容
CA APM でのスマート カードの使用について
安全な環境では、アクセス管理を容易にするために、単一のエントリ ポイントの使用が必要となることがよくあります。 単一のエントリ ポイントを使用しない場合、セキュリティ管理者は、セキュリティ レベル、要件、およびユーザ アクセスの異なるいくつかのプログラムを管理する必要があります。 すべての制御されたリソースにアクセスするためにスマート カードの使用が必要とされることにより、スマート カードは単一のエントリ ポイントを提供します。
アクセス権は、CA APM で定義されたローカル セキュリティまたは CA EEM の権限に基づいて、ユーザに付与されます。
CA APM は、WebView、Web Start および CEM コンソール用のスマート カード認証を提供します。
スマート カード確認オプション
以下のいずれかのオプションを使用するようにスマート カード確認を構成できます。
- 証明書破棄リスト(CRL)証明書が有効であることを確認する最も一般的な方法。CRL ファイルは、破棄された証明書のシリアル番号が含まれるフラット ファイルです。 CRL ファイルは、証明機関によって追加が定期的に行われるので、頻繁に更新されます。 CRL ファイルは、事前に指定された時間に期限切れになるので、再びロードする必要があります。 大量のメモリを消費するので、ローカル ファイル システムに配置する必要があります。 通常、システム管理者およびセキュリティ管理者が OCSP サーバまたは OCSP レスポンダに対するアクセス権を持っていない場合は、このオプションを選択します。
- オンライン証明書ステータス プロトコル(OCSP)通常、システム管理者とセキュリティ管理者が OCSP サーバおよび OCSP レスポンダをセットアップするためのリソースとソフトウェアを持っている場合は、このオプションを選択します。 OCSP は、より少ない帯域幅を使用して、妥当性チェックを高速化します。OCSP は、CRL 情報を抽象化してデータベースに格納することによって、CRL ファイルをロードするのに必要な時間を削減します。 OCSP サーバは、証明書を確認するリクエストを受け付けます。 管理者がいつでも証明書を破棄できるので、OCSP サーバおよび OCSP レスポンダが古くなることはほとんどありません。 製品サーバとは異なるサーバに OCSP を配置できます。
証明書が本物で有効であると確認されると、スマート カードが受け入れられます。 定義された許可権限に基づいて、アクセス権が CA APM に付与されます。 CA EEM を使用して許可する場合は、権限は
realms.xml
ファイルで定義されています。 ローカル許可を使用する場合は、権限は users.xml
ファイルで定義されています。スマート カード認証コンポーネント
スマート カード認証では、ハイパーテキスト転送プロトコル(HTTP)、Lightweight Directory Access Protocol (LDAP)、および Secure Sockets Layer (SSL)などの基本的な通信プロトコルが使用されます。 CA APM 用のスマート カード認証をセットアップする前に、これらの概念の基本的な理解をしておくことが必要です。
さらに、スマート カード認証では以下のコンポーネントを使用します。
- スマート カード破棄確認サービス(SCARVES)
- CA Embedded Entitlements Manager (CA EEM)
- CA APM のローカル セキュリティ
SCARVES について
SCARVES は、スマート カードから取得したセキュリティ証明書を検証する機能を提供します。 確認と検証のプロセスには、証明書を確認するために OCSP サーバまたは CRL サーバを使用するオプションが含まれます。
証明書の確認が成功すると、ユーザ レコードが存在する場合は、証明書と関連付けられたユーザ情報が LDAP サーバを介して取得されます。 SCARVES は、検証プロセスの一部として LDAP ユーザ情報検索を行います。 その後、Enterprise Manager がユーザ情報を受信し、ローカルによるセキュリティまたは CA EEM を使用してユーザ ロールとアクセス権限を確認することにより、許可プロセスを続行します。
SCARVES デーモンは、証明書の確認および検証処理を行うプロセスです。 基本的に、デーモンは、OCSP サーバまたは CRL サーバのいずれかに対するプロキシとして機能する、実行中のプロセスです。 構成の必要性に応じて、ユーザの環境で 1 つ以上のデーモンを実行することができます。 使用するデーモンの数には、CRL サーバまたは OCSP サーバの使用などの要素が含まれます。
注:
スタンドアロンの Enterprise Manager、コレクタ、または Manager of Managers (MOM)に対してスマート カード認証を有効にできます。 MOM に対してスマート カードを有効にする場合は、スマート カード認証がクラスタ全体に適用されるように、MOM で構成を行う必要があります。CA APM がスマート カード データを使用して認証を行う方法
以下の図は、CA APM がスマート カード データを使用して処理および認証を行う方法を示したものです。

スマート カード データは以下のように処理されます。
- CA APM ユーザが、オペレーティング システムまたはデスクトップにログインしているときに、スマート カード リーダにスマート カードを挿入します。
- ユーザがクライアント ブラウザを使用して CA APM にログインしようとすると、個人識別番号(PIN)の入力が要求されます。
- ユーザがスマート カード用の正しい PIN を入力した後、スマート カードに格納されているすべての証明書を含む証明書選択ダイアログ ボックスが表示されます。 Web 認証に進むには、正しい証明書を選択する必要があります。
- ユーザが証明書を選択した後、ブラウザ クライアントは SSL 接続を使用して Enterprise Manager に証明書を送信します。
- Enterprise Manager は証明書を受信し、次に、SSL 接続を使用して SCARVES にその証明書を渡します。
- SCARVES は証明書を受信し、OCSP サーバまたは CRL フラット ファイルからの確認を要求します。
- OCSP 確認または CRL 確認が成功した場合、SCARVES は、リクエストされたユーザ情報を LDAP サーバから取得します。
- SCARVES は、確認結果と、LDAP から取得したユーザ情報を、Enterprise Manager に XML 形式で返します。
- Enterprise Manager は、定義された許可権限に基づいて、CA APM へのアクセス権を付与します。 CA APM が CA EEM を使用して許可するように構成されている場合は、権限はrealms.xmlファイルで定義されています。 ローカル許可を使用する場合は、権限はusers.xmlファイルで定義されています。
スマート カード認証用の CA APM のセットアップ
CA APM 環境用のスマート カード認証を有効にするには、指定された順序で以下の手順に従います。
- お使いの環境が必要な要件を満たしていることを確認します。 詳細については、「Smart カード認証要件」を参照してください。
- SCARVES コンポーネントを解凍してインストールします。 詳細については、「SCARVES コンポーネントの解凍およびインストール」を参照してください。注:スタンドアロンの Enterprise Manager、コレクタ、または Manager of Managers (MOM)に対してスマート カード認証を有効にできます。 MOM に対してスマート カードを有効にする場合は、スマート カード認証がクラスタ全体に適用されるように、MOM で構成を行う必要があります。
- 必要なキーストアに証明書をロードします。 詳細については、以下のトピックを参照してください。
- 証明書パスワードを暗号化します。 詳細については、「キーストア用証明書パスワードの暗号化」を参照してください。
- CRL を使用するためにスマート カード確認を構成する場合は、CRL ファイルをロードします。 「(オプション) CRL ファイルをロードする」を参照してください。
- SCARVES を使用するように Enterprise Manager を構成します。 詳細については、「SCARVES を使用するために Enterprise Manager を構成する」を参照してください。
- SCARVES ラッパ ファイルを構成します。 詳細については、「SCARVES ラッパの構成」を参照してください。
- SCARVES を構成します。 詳細については、「SCARVES の構成」を参照してください。
- SCARVES を起動します。 詳細については、「SCARVES の起動と停止」を参照してください。
- スマート カード認証が正常にインストールおよび構成されていることを確認します。 詳細については、「スマート カード インストールの確認」を参照してください。
スマート カード認証要件
ハードウェアの前提条件:
- スマート カード
- スマート カード リーダ
ソフトウェア要件
- CA APM 9.0 以降
- スマート カード証明書の検証および取得を行う、ActivClient などのソフトウェア
- Internet Explorer 6 または 7
構成に対する要件
- システムで使用されるすべてのスマート カード用のルートおよび中間のセキュリティ証明書
- スマート カードの確認および検証で使用するために既存の LDAP ディレクトリを統合する LDAP サーバ情報
- OCSP サーバの使用を計画している場合は、OCSP サーバ情報をすべて収集します。
- 応答 URL
- OCSP サーバの証明書
- CRL ファイルの使用を計画している場合は、システムで使用されるスマート カード用の CRL ファイルをすべて収集します。
- 必要な SCARVES デーモンの数を決定する要因の 1 つは、スマート カード ネットワーク ソリューションを構成する方法です。 たとえば、CRL ファイルは大きくなる傾向があり、SCARVES デーモンはメモリに CRL ファイルをすべて保持します。計算の基準として、1 つのデーモンあたりの CRL ファイルの合計サイズを 256 メガバイト未満にします。 単一のサーバで処理できるデーモン数より多くのデーモンが必要な場合は、専用 OCSP サーバを構成することを検討してください。
- 構成を準備するために、デーモンの数の計算に加えて、以下の SCARVES デーモン値の計画および記録を行います。
- 各デーモンの名前
- 各デーモンのポート番号
- 各 CRL ファイルのディレクトリ名(<SCARVES_HOME>/crls/<daemon_name>など)
Windows 上での SCARVES コンポーネントの解凍およびインストール
SCARVES コンポーネントを解凍すると、SCARVES を構成して、スマート カード認証を有効にできます。
Windows で有効
- SCARVES コンポーネントを格納するためのディレクトリを作成します。 たとえば、<ドライブ>:\SmartCard\scarvesです。作成するディレクトリは、スマート カードのホーム ディレクトリになります。このホーム ディレクトリは、<SCARVES_HOME>として参照されます。
- Enterprise Manager がインストールされている最上位のディレクトリに移動します。 たとえば、<EM_HOME>です。
- examples\SmartCardAuthenticationに移動し、環境に適したscarve_0.1ファイルの内容を抽出します。 Enterprise Manager のインストール方法の詳細については、「CA APM インストールおよびアップグレード ガイド」を参照してください。以下のディレクトリが作成されます。
- bin
- conf
- crls
- keystores
- lib
- logs
- <SCARVES_HOME>\binディレクトリからInstallScarves-NT.batを実行します。ファイルの実行が成功すると、SCARVES コンポーネントがインストールされます。
UNIX および Linux で有効
- /etc/init.dに移動し、<SCARVES_HOME>/bin/scarves スクリプトをリンクします。
- 以下のようにrc?.dディレクトリをリンクします。
- ln -s /bin/scarves /etc/init.d/scarves
- ln -s /etc/init.d/scarves /etc/rc3.d/S99scarves
- ln -s /etc/init.d/scarves /etc/rc2.d/K15scarves
- /sbin/chkconfig --add scarves
重要:
スクリプトは構成ファイルを見つけるためにリンクを使用するので、これらのリンクはシンボリック リンクである必要があります。証明書のロード
スマート カードは、SSL 経由で一連の証明書を使用して認証します。 さまざまなキーストアに証明書をロードする必要があります。 詳細については、以下のトピックを参照してください。
daemon-cert キーストアに証明書をロードする
クライアント アプリケーションにデーモンの詳細を提供するには、daemon-cert キーストアにサーバ証明書をロードします。 これは、SSL で SCARVES に通信するとき、Enterprise Manager がクライアントとして機能できるようにするために必要です。
証明書を操作するさまざまなコマンドの詳細については、「証明書を操作するコマンド」を参照してください。
daemon-trust キーストアに証明書をロードする
SSL を介して OCSP サーバおよび LDAP サーバに通信するには、daemon-trust キーストアに証明書をロードする必要があります。
注:
OCSP を使用するために SCARVES を構成する場合は、エイリアス名をメモします。 エイリアス名は、SCARVES を構成するために必要です。 詳細については、「(オプション) OCSP を使用するために SCARVES を構成する」を参照してください。Enterprise Manager キーストアに証明書をロードする
SCARVES と通信するには、Enterprise Manager に SCARVES 証明書をロードする必要があります。 SSL を使用して Enterprise Manager と SCARVES の間でクライアント証明書を送受信するときに、確認が行われます。 証明書を操作するさまざまなコマンドの詳細については、「証明書を操作するコマンド」を参照してください。
証明書コマンド
証明書コマンドを使用すると、キーストアからの証明書のインポート、生成、およびエクスポートを実行できます。 詳細については、以下のセクションを参照してください。
自己署名証明書の生成
-genkey
コマンドを使用して、自己署名セキュリティ証明書を生成できます。 このコマンドは、キーストアのいずれか用の自己署名証明書を生成するために使用できます。以下の手順に従います。
- CA APM サーバに root としてログインし、コマンド プロンプトにアクセスします。
- $JAVA_HOME/bin/keytoolに移動し、-genkeyコマンドを使用して、ユーティリティを実行します。 たとえば、以下の通りです。-genkey -keyalg RSA -keystore <SCARVES_HOME>/keystores/daemoncert -alias <cert_alias>次のような情報を表示する、組織の内容を指定する対話型プロセスが開始されます。Enter keystore password: changeitRe-enter new password: changeitWhat is your first and last name?[Unknown]: name.company.comWhat is the name of your organizational unit?[Unknown]: ABCWhat is the name of your organization?[Unknown]: NOCWhat is the name of your City or Locality?[Unknown]: AnytownWhat is the name of your State or Province?[Unknown]: AlaskaWhat is the two-letter country code for this unit?[Unknown]: USIs CN=name.company.com, OU=ABC, O=NOC, L=Anytown,ST=Alaska, C=US correct?[no]: yesEnter key password for <newcert>(RETURN if same as keystore password):
証明書のインポート
証明書をインポートするには、
-importcert
コマンドを使用します。 このコマンドは、キーストアのいずれかに証明書をインポートするために使用できます。以下の手順に従います。
- CA APM サーバに root としてログインし、コマンド プロンプトにアクセスします。
- $JAVA_HOME/bin/keytoolに移動し、-importcertコマンドを使用して、ユーティリティを実行します。 たとえば、以下の通りです。keytool -importcert -keystore <SCARVES_HOME>/keystores/daemoncert -alias cert_alias -file cert_file
証明書のエクスポート
証明書をエクスポートするには、
-exportcert
コマンドを使用します。 このコマンドは、キーストアのいずれかから証明書をエクスポートするために使用できます。以下の手順に従います。
- CA APM サーバに root としてログインし、コマンド プロンプトにアクセスします。
- $JAVA_HOME/bin/keytoolに移動し、-exportcertコマンドを使用して、ユーティリティを実行します。 たとえば、以下の通りです。keytool -exportcert -keystore <SCARVES_HOME>/keystores/daemoncert -alias cert_alias -file cert_file
キーストア用証明書パスワードの暗号化
キーストアは、暗号化された証明書パスワードのみを格納します。 暗号化されたパスワードは証明書を保護します。 暗号化アルゴリズムは Advanced Encryption Standard (AES)です。 このアルゴリズムは、クリアテキストを使用しないサービスおよびデーモン コードにキーを埋め込みます。 暗号化されたパスワードは Base64 エンコードされるため、印刷可能な文字列を生成できます。
以下の手順に従います。
- <SCARVES_HOME>/libに移動し、scarve_client.jarファイルを開きます。このファイルに、キーストア用の暗号化が必要なパスワードを設定して、保存します。
- 以下のコマンドを実行します。java - cp scarve_client.jar com.ca.scarve.common.xml.cond e p <password_that_requires_encryption>暗号化されたパスワードは、SCARVESconfig.xmlファイルで使用できます。
(オプション) CRL ファイルをロードする
CRL を有効にするために SCARVES を構成する場合は、CRL ファイルをロードすることも必要です。
以下の手順に従います。
- CRL ファイルを<SCARVES_HOME>/crls/<DAEMON_NAME>ディレクトリにコピーします。注:CRL を使用するために SCARVES を構成する場合は、CRL の場所をメモします。 CRL の場所は、SCARVES を構成するために必要です。 詳細については、「(オプション) CRL を使用するために SCARVES を構成する」を参照してください。
SCARVES を使用するために Enterprise Manager を構成する
スマート カード認証を有効にするために Enterprise Manager を構成する必要があります。
以下の手順に従います。
- <EM_HOME>\config に移動し、IntroscopeEnterpriseManager.propertiesファイルを開いて、以下のプロパティを設定します。
- introscope.enterprisemanager.scauth.SCARVES.hostname=<scarves_machine_name>
- introscope.enterprisemanager.scauth.SCARVES.port=9998
- introscope.enterprisemanager.webserver.scauth.keystore=/internal/daemoncert
- introscope.enterprisemanager.webserver.scauth.keypass=パスワード
- introscope.enterprisemanager.webserver.scauth.enable=true
- <EM_HOME>\config に移動し、em-jetty-config.xmlファイルを開いて、以下のプロパティを設定します。
- needclientauth= true
- <EM_HOME>\configに移動し、IntroscopeEnterpriseManager.propertiesファイルを開いて、以下の手順に従います。
- introscope.enterprisemanager.webserver.jetty.configurationFile=em-jetty-config.xmlプロパティのコメント化を解除します。
- needclientauthプロパティをtrueに設定します。
- <EM_HOME>\configに移動し、introscopewebview.propertiesファイルを開いて、以下の手順に従います。
- introscope.webview.jetty.configurationFile=webview-jetty-config.xmlプロパティのコメント化を解除します。
- needclientauthプロパティをtrueに設定します。
- Enterprise Manager を再起動します。
SCARVES ラッパの構成
SCARVES ラッパは、SCARVES を実行する Java プログラムを起動するのに必要な情報を提供する構成ファイルです。
以下の手順に従います。
- <SCARVES_HOME>/confに移動し、wrapper.confファイルを開きます。
- 以下のプロパティを設定します。
- wrapper.java.command=java
- wrapper.app.parameter.2=../conf/SCARVESconfig.xml
- ファイルを保存します。
SCARVES の構成
スマート カード コンポーネントを解凍した後、テンプレート構成ファイルを更新します。
SCARVESconfigtemplate.xml
ファイルをテンプレートとして使用して、キーストアの場所、各 SCARVES デーモンの説明、SCARVES が OCSP と CRL のどちらを使用するか、などの詳細を定義します。重要:
SCARVES 構成設定を正常に適用するには、SCARVESconfigtemplate.xml
テンプレートを SCARVESconfig.xml
として保存する必要があります。一般的な XML の形式は以下のとおりです。
<?xml version="1.0" encoding="UTF-8"?><SmartCardService>... Service Parameters ...... One or more Daemon descriptions ...</SmartCardService>
以下の手順に従います。
- <SCARVES_HOME>/confに移動し、SCARVESconfigtemplate.xmlを開きます。
- XML 編集ツールを使用して、以下の一般的な SCARVES 設定を設定します。注:お使いの環境に対して有効にできるプロトコルは 1 つのみです。
- そのファイルをSCARVESconfig.confという名前で保存します。
- SCARVES サービスを開始します。 詳細については、「SCARVES の起動と停止」を参照してください。
SCARVES サービス パラメータを構成する
SCARVES サービス パラメータでは、キーストアの場所およびパスワードの詳細を指定します。
一般的な XML の形式は以下のとおりです。
<SmartCardService><trust-keystore>filename of keystore</trust-keystore><trust-keystore-pass>encrypted password of keystore</trust-keystore-pass><jvm-arg>-mx1024m</jvm-arg> <!-- optional, param for all Daemon JVMs -->... One or more Daemon descriptions ...</SmartCardService>
以下のパラメータを設定できます。
- <trust-keystore>すべてのデーモンに対する信頼キーストアを指定します。 ファイルには、スマート カードをすべて受け入れるためにルートおよび中間の証明書がすべて含まれる必要があります。 このパラメータは、以下のパラメータを持つすべてのデーモンに渡されます。-Djavax.net.ssl.trustStore=filenameJVM注:すべてのデーモンは同じ信頼キーストアを使用します。
- <trust-keystore-pass>信頼キーストアのパスワードを指定します。 このパスワードは、XML ファイル内で暗号化されている必要があります。 以下のパラメータを持つすべてのデーモンにクリアテキストで渡されます。-Djavax.net.ssl.trustStorePassword=password
- <debug>デバッグ用ログ記録のレベルを設定します。 利用できる値は以下のとおりです。
- 0- デバッグ用ログ記録を行わないことを指定します。 これがデフォルト値です。
- 1- デバッグ レベルの詳細を最低レベルに指定します。
- 2- デバッグ レベルの詳細を標準的な中間レベルに指定します。
- 3- デバッグ レベルの詳細を最高レベルに指定します。
- <jvm-arg>すべてのデーモン JVM のパラメータを指定します。 このパラメータは、使用可能なメモリ容量を調節します。
構成設定を適用する方法の詳細については、「SCARVES の構成」を参照してください。
SCARVES デーモンを構成する
SCARVES デーモン パラメータは、CRL または OCSP を使用するかどうかと、LDAP の詳細を指定します。 CRL と OCSP の両方を指定できますが、有効にできるのは 1 つのみです。したがって、1 つをコメント アウトする必要があります。
一般的な XML の形式は以下のとおりです。
<SmartCardService>... Service Parameters ...<Daemon name="name" port="port number"><keystore>...filename of keystore...</keystore><keystore-pass>...encrypted password of keystore...</keystore-pass><jvm-arg>-mx1024m</jvm-arg> <!-- optional, param for this Daemon JVM -->... Protocol Description...... LDAP Description...</Daemon>... more Daemon descriptions ...</SmartCardService>
以下のパラメータを設定できます。
- name各デーモン名の一意の名前を指定します。 これは、内部で追跡に使用され、ログ ファイルでは適切なエラー コードおよびデバッグ コードの前に付けられます。
- portデーモンがリスンする TCP ポートを指定します。
- <keystore>デーモンが SSL 通信に使用する証明書が含まれるキーストア ファイルを指定します。
- <keystore-pass>キーストアのパスワードを指定します。 このパスワードは、XML ファイル内で暗号化されている必要があります。
- <jvm-arg>すべてのデーモン JVM のパラメータを指定します。 このパラメータは、このセクションで指定された各デーモンで使用可能なメモリ容量を調節します。 基本的な SCARVES サービス パラメータ セクションの <jvm-arg> タグと違う点は、このパラメータはデーモンのすべてには送信されない点です。
構成設定を適用する方法の詳細については、「SCARVES の構成」を参照してください。
LDAP を使用するために SCARVES を構成する
デーモンが LDAP を使用する場合、この認証方法の詳細を指定するパラメータを定義する必要があります。
一般的な XML の形式は以下のとおりです。
<SmartCardService>... Service Parameters ...<Daemon ...parameters...>... More daemon parameters...... Protocol Description...<ldap><ldap-enabled>true</ldap-enabled><ldap-hostname>renge01-winvm</ldap-hostname><ldap-port>24132</ldap-port><ldap-ssl>false</ldap-ssl><ldap-user-dn>uid=GGantt,ou=people,dc=ca,dc=com</ldap-user-dn><ldap-user-pass>05V2irWBg8O39H6ANGic241UWooJuIbJiHE+ZqKPvUY=</ldap-user-pass><ldap-base-dn>ou=people,dc=ca,dc=com</ldap-base-dn><cert-uniqueid-field>subject</cert-uniqueid-field><cert-uniqueid-regex>CN=\w*\.\w*\.(\d+),</cert-uniqueid-regex><ldap-uniqueid-search-field>facsimileTelephoneNumber</ldap-uniqueid-search-field><ldap-cache-lifetime>300</ldap-cache-lifetime></ldap></Daemon>... more Daemon descriptions ...</SmartCardService><ldap-enabled>
以下のパラメータを設定できます。
- <ldap-enabled>LDAP の有効/無効を指定します。 利用できる値は以下のとおりです。
- trueは、デーモンに対して LDAP を有効にします。
- falseは、デーモンに対して LDAP を無効にします。 この値を false に設定すると、CA LDAP サーバを使用して構成ファイルの z/OZ セクションに、未使用の設定を格納できます。
- <ldap-hostname>LDAP サーバのホスト名を指定します。
- <ldap-port>LDAP サーバのポートを指定します。
- <ldap-ssl>値をtrueに設定する場合、SSL を使用するために LDAP サーバを指定します。 この機能を有効にする場合は、LDAP サーバ証明書が信頼キーストア内にあることを確認します。
- <ldap-user-dn>デーモンが LDAP サーバにログインするために使用する識別名を指定します。 サーバは、この識別名に検索権限を付与する必要があります。
- <ldap-user-pass>デーモンが LDAP サーバにログインするために使用するパスワードを指定します。 パスワードは、XML ファイル内で暗号化されている必要があります。
- <ldap-base-dn>ベースとなる識別名を指定します。これは LDAP 検索で出発点となります。 検索対象のすべての識別名は、ベースとなる識別名の下に表示される必要があります。
- <cert-uniqueid-field>Electronic Data Interchange Personal Identifier (EDIPI)またはほかの一意の識別が含まれる証明書フィールドを指定します。 有効な値は、subject、subuid、an_other、およびan_rfc822です。
- <cert-uniqueid-regex>指定されたフィールドから一意の識別を抽出する方法を詳細に示す正規表現を指定します。
- <ldap-uniqueid-search-field>EDIPI またはほかの一意の識別が含まれる LDAP エントリ フィールドを指定します。
- <ldap-cache-lifetime>キャッシュされた LDAP ルックアップが有効な最長時間(秒単位)を指定します。デフォルト値のゼロが設定される場合、LDAP ルックアップはキャッシュされません。LDAP エントリが変更されると、キャッシュがタイム アウトになるまで、キャッシュされたエントリが誤った値を返すので、この値はあまり大きく設定しないでください。
- EncryptionXML ファイル内に格納されたパスワードが暗号化される必要があることを指定します。 暗号化アルゴリズムは、Advanced Encryption Standard (AES)です。このアルゴリズムは、クリアテキストを使用しないサービスおよびデーモン コードにキーを埋め込みます。 暗号化されたパスワードは、XML ファイルに格納できる印刷可能な文字列を生成するために Base64 エンコードされます。
構成設定を適用する方法の詳細については、「SCARVES の構成」を参照してください。
(オプション) CRL を使用するために SCARVES を構成する
CRL パラメータは、ファイル ストレージの詳細を指定します。 一度に 1 つの CRL しか構成できません。
重要:
CRL を使用するために SCARVESconfig.xml
を構成する場合、単一のデーモンでエラーを発生させずに SCARVES を起動するために、<ocsp-enabled>
パラメータの OCSP 値を false
に設定する必要があります。一般的な XML の形式は以下のとおりです。
<SmartCardService>... Service Parameters ...<Daemon ...parameters...>... More daemon parameters...<crl><crl-enabled>true</crl-enabled><crl-dp>false</crl-dp><crl-url>...URL containing CRL files...</crl-url><crl-dir>...dirname containing CRL files...</crl-dir><crl-poll-int>30</crl-poll-int></crl>... LDAP Description...</Daemon>... more Daemon descriptions ...</SmartCardService>
以下のパラメータを設定できます。
- <crl-enabled>値をtrueに設定することによって、CRL ファイルを使用することをデーモンに指定します。 値をfalseに設定すると、デーモンは OCSP を使用できます。
- <crl-dp>CRL ファイルがダウンロードされる配布拠点を指定します。
- <crl-url>CRL ファイルが含まれる URL を指定します。
- <crl-dir>CRL ファイルが含まれるディレクトリの名前を指定します。
- <crl-poll-int>CRL ディレクトリまたは CRL URL で新規 CRL ファイルまたは変更された CRL ファイルをスキャンする頻度を秒単位で指定します。 スキャンされた証明書がキャッシュされます。 このパラメータが指定されていない場合は、デフォルトの間隔は 60 秒です。
構成設定を適用する方法の詳細については、「SCARVES の構成」を参照してください。
(オプション) OCSP を使用するために SCARVES を構成する
OCSP パラメータは、スマート カード検証に OCSP を使用するのに必要な詳細を指定します。 このプロトコルを使用する場合、構成ファイル内の CRL プロトコル オプションをコメント アウトすることが必要です。
重要:
OCSP を使用するために SCARVESconfig.xml
を構成する場合、単一のデーモンでエラーを発生させずに SCARVES を起動するために、<crl-enabled>
パラメータの CRL 値を false
に設定する必要があります。一般的な XML の形式は以下のとおりです。
<SmartCardService>... Service Parameters ...<Daemon ...parameters...>... More daemon parameters...<ocsp><ocsp-enabled>true</ocsp-enabled><ocsp-aia>false</ocsp-aia><ocsp-cert-alias>ocsp_qacle3</ocsp-cert-alias><ocsp-url>http://qacle3:3501/responder</ocsp-url></ocsp>... LDAP Description...</Daemon>... more Daemon descriptions ...</SmartCardService>
以下のパラメータを設定できます。
- <ocsp-enabled>この値をtrueに設定すると、OCSP を使用するデーモンが指定されます。
- <ocsp-aia>スマート カード認証が実装されるときに、この値をtrueに設定すると、Authority Info Access (AIA)が指定されます。
- <ocsp-cert-alias>OCSP レスポンダが応答に署名するために使用する証明書のエイリアスを指定します。 この機能を有効にする場合は、OCSP サーバ証明書が信頼キーストア内にあることを確認します。
- <ocsp-url>OCSP レスポンダの URL を指定します。
構成設定を適用する方法の詳細については、「SCARVES の構成」を参照してください。
サンプルの SCARVES 構成ファイル
以下のコード サンプルは、
SCARVESconfig.xml
構成ファイルの一部を示しています。 CRL および LDAP サーバを使用して、スマート カードを確認する 2 つのデーモンが定義されています。両方のオプションが存在する XML を構成することはできますが、構成プロパティは OCSP または CRL のみに有効である必要があります。
<?xml version="1.0" encoding="UTF-8"?><SmartCardService><trust-keystore>../keystores/daemontrust</trust-keystore><trust-keystore-pass>YEDZLwyEVTnCfzS+rYTfC41UWooJuIbJiHE+ZqKPvUY=</trust-keystore-pass><debug>0</debug><jvm-arg>-mx1024m</jvm-arg><Daemon name="daemon-crl-1" port="9999"><keystore>../keystores/daemoncert</keystore><keystore-pass>YEDZLwyEVTnCfzS+rYTfC41UWooJuIbJiHE+ZqKPvUY=</keystore-pass><crl><crl-enabled>true</crl-enabled><crl-dp>false</crl-dp><crl-url /><crl-dir>../crls/daemon-crl</crl-dir><crl-poll-int>600</crl-poll-int></crl><ldap><ldap-enabled>true</ldap-enabled><ldap-hostname>host1</ldap-hostname><ldap-port>24000</ldap-port><ldap-ssl>false</ldap-ssl><ldap-base-dn>ou=people,dc=abc,dc=com</ldap-base-dn><ldap-user-dn>uid=JDoe,ou=people,dc=abc,dc=com</ldap-user-dn><ldap-user-pass>05V2irWZg8O39L6ANGic241UWi0JuIbJiHE+ZqKPvUY=</ldap-user-pass><cert-uniqueid-field>subject</cert-uniqueid-field><cert-uniqueid-regex>CN=\w*\.\w*\.(\d+),</cert-uniqueid-regex><ldap-uniqueid-search-field>facsimileTelephoneNumber</ldap-uniqueid-search-field></ldap></Daemon><Daemon name="daemon-ocsp-1" port="9998"><keystore>../keystores/daemoncert</keystore><keystore-pass>YEDZLwyEVTnCfzS+rYTfC41UWooJuIbJiHE+ZqKPvUY=</keystore-pass><ocsp><ocsp-enabled>true</ocsp-enabled><ocsp-aia>false</ocsp-aia><ocsp-cert-alias>ocsp_qacle3</ocsp-cert-alias><ocsp-url>http://qacle3:3501/responder</ocsp-url></ocsp><ldap><ldap-enabled>true</ldap-enabled><ldap-hostname>host1</ldap-hostname><ldap-port>24001</ldap-port><ldap-ssl>false</ldap-ssl><ldap-base-dn>ou=people,dc=abc,dc=com</ldap-base-dn><ldap-user-dn>uid=JDoe,ou=people,dc=abc,dc=com</ldap-user-dn><ldap-user-pass>05V2irWBg8O39H6ANGic377UWooJuIbJiHE+ZqKPvUY=</ldap-user-pass><cert-uniqueid-field>subject</cert-uniqueid-field><cert-uniqueid-regex>CN=\w*\.\w*\.(\d+),</cert-uniqueid-regex><ldap-uniqueid-search-field>facsimileTelephoneNumber</ldap-uniqueid-search-field><ldap-cache-lifetime>300</ldap-cache-lifetime></ldap></Daemon></SmartCardService>
SCARVES の起動と停止
SCARVES は、
SCARVESconfig.xml
構成ファイルを読み取ることによってデーモンを制御し、指定したポートごとにデーモン プログラムを起動する Java プログラムです。 SCARVES は、以下のいずれかが発生した場合、デーモンを停止して、新しいデーモンを開始します。- デーモンがクラッシュした場合
- デーモンが通信に応答できない場合
- デーモンが XML ping に応答できない場合
以下の手順に従います。
- CA APM サーバに root としてログインし、コマンド プロンプトにアクセスします。Windows で有効
- SCARVES を起動するには、以下の起動バッチを実行します。<SCARVES_HOME>\bin\StartSCARVES-NT.bat
- SCARVES を停止するには、以下の停止バッチを実行します。<SCARVES_HOME>\bin\StopSCARVES-NT.bat
Linux で有効- SCARVES を起動するには、以下の起動スクリプトを実行します。/etc/init.d/SCARVES start
- SCARVES を停止するには、以下の停止スクリプトを実行します。/etc/init.d/SCARVES stop
- SCARVES を再起動するには、以下の再起動スクリプトを実行します。/etc/init.d/SCARVES restart
UNIX で有効- SCARVES を起動するには、以下の起動コマンドを実行します。<SCARVES_HOME>/bin/scarves start
- SCARVES を停止するには、以下の停止コマンドを実行します。<SCARVES_HOME>/bin/scarves stop
- SCARVES ステータスを取得するには、以下のステータス コマンドを実行します。<SCARVES_HOME>/bin/scarves status
スマート カード インストールの確認
スマート カード認証をセットアップした後で、認証方法が正常にインストールされて有効にされたことを確認します。
以下の手順に従います。
- スマート カード認証用に CA APM をセットアップした後で、WebView、Web Start、または CEM コンソールを起動します。ユーザ識別および個人識別番号(PIN)の入力を要求するページが表示されます。
- PIN を入力します。
- <SCARVES_HOME>\logsディレクトリにあるログ ファイルに初期化メッセージが記録されたことを確認します。