X.509 クライアント証明書および基本認証方式
X.509 クライアント証明書および基本認証方式は、基本認証方式と X.509 クライアント証明書認証方式を組み合わせたものです。この認証方式は、重要なリソースのセキュリティを追加のレイヤを提供します。
casso11jp
X.509 クライアント証明書および基本認証方式は、基本認証方式と X.509 クライアント証明書認証方式を組み合わせたものです。この認証方式は、重要なリソースのセキュリティを追加のレイヤを提供します。
ユーザが正常に認証されるためには、以下の 2 つのイベントが発生する必要があります。
- ユーザの X.509 クライアント証明書が確認されていること。
- ユーザが有効なユーザ名とパスワードを指定していること。
X.509 クライアント認証の場合は、ユーザを SSL サーバにリダイレクトし、ユーザの証明書をサーバにマップするように、ポリシー サーバから Web エージェントに指示が出されます。次に、ポリシー サーバはユーザが存在していることを確認し、基本認証情報を確認し、証明書認証情報と基本認証情報が同じユーザを表していることを確認します。
2
X.509 クライアント証明書および基本認証方式の前提条件
X.509 クライアント証明書および基本の認証方式を設定するには、事前に以下の前提条件を満たしておく必要があります。
- X.509 サーバ証明書が SSL Web サーバ上にインストールされていること。casso11jp注: ポリシー サーバが FIPS モードで動作している場合は、証明書が FIPS 承認アルゴリムズのみを使用して生成されていることを確認してください。
- ネットワークがクライアント ブラウザへの SSL 接続をサポートしていること(HTTPS プロトコル)。
- X.509 クライアント証明書がクライアント ブラウザにインストールされていること。
- クライアント証明書とサーバ証明書の間で信頼関係が確立されていること。
- 証明書が、有効で信頼できる認証機関(CA)から発行されていること。
- 発行元 CA の公開キーが発行者のデジタル署名を検証すること。
- クライアント証明書とサーバ証明書の有効期限が切れていないこと。
- ユーザの公開キーがユーザのデジタル署名を検証すること。
- クライアントのユーザ名とパスワード情報がユーザ ディレクトリにあること。
- ポリシー サーバとユーザ ディレクトリの間にディレクトリ接続が確立されていること。
注:
Apache Web サーバで証明書が必須またはオプションに設定されている場合は、httpd.conf ファイルで SSL Verify Depth 10 の行をコメント解除する必要があります。X.509 証明書および基本認証方式の設定
証明書認証と基本認証を組み合わせるには、X.509 証明書および基本認証方式を使用します。
casso11jp
注
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。casso11jp
以下の手順に従います。
- [インフラストラクチャ]-[認証]をクリックします。
- [認証方式]をクリックします。
- [認証方式の作成]をクリックします。[認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
- [OK]をクリックします。
- 名前および保護レベルを入力します。
- [認証方式のタイプ]リストから[X509 クライアント証明書および基本テンプレート]を選択します。
- SSL 認証情報コレクタのサーバ名とターゲットの情報を入力します。
- (オプション)[方式のセットアップ]で[認証セッション変数を保持する]を選択します。このオプションは、認証コンテキスト データがセッション ストアで保存されることを指定します。
- [サブミット]をクリックします。認証方式が保存され、レルムに割り当て可能になります。