クライアント証明書をセッションにリンクする方法(UNIX)
目次
casso11jp
目次
casso11jp
IIS 7.x (Windows のみ)および Apache ベースの Web サーバについては、クライアント証明書を
Single Sign-On
セッションとリンクできます。この機能は、以下のアイデンティティの一致を確認します。- Single Sign-Onセッションと関連付けられるユーザのアイデンティティ。
- トランザクションで使用されるクライアント証明書のアイデンティティ。
これらのアイテムが一致しない場合、製品はトランザクションをブロックします。
この機能を使用するには、以下のタスクを実行します。
- クライアント証明書を自動的に取得するように、すべての Web サーバを設定します。特に、ログオン サーバがポリシー適用ポイントから分離されている場合はそのようにします。
- X.509 証明書認証方式(他の認証方式がサポートされていない)を使用します。
以下の手順に従います。
プラグインの追加
プラグインの追加は、クライアント証明書をセッションにリンクする最初の手順です。
以下の手順に従います。
- エージェントをホストするシステムへログインします。
- テキスト エディタで以下のファイルを開きます。WebAgent.conf
- 次の行を検索します。LoadPlugin="web_agent_home/bin/libHttpPlugin.so"
- 手順 3 でこの行のすぐ後に行を追加します。
- 新規行へ以下のテキストを追加します。LoadPlugin="web_agent_home/bin/libCertSessionLinkerPlugin.so"注:libCertSessionLinkerPlugin が libHttpPlugin の後に続く必要があります。
- ファイルを保存します。
- Web サーバを再起動します。プラグインが追加されます。設定パラメータを追加して、続行します。
エージェント設定パラメータの設定
プラグインを追加した後に、エージェント設定パラメータを設定します。
以下の手順に従います。
- 管理 UI を使用して、目的のエージェント設定オブジェクトを開きます。以下のパラメータの値を変更します。casso11jpCslCertUniqueAttributeそれによって一意に識別される証明書の属性をリスト表示します。以下の証明書属性が使用できます。
- バージョン
- serialnumber
- signaturealgorithm
- issuerdn
- subjectdn
- validitystart
- validityend
注: このパラメータ内の値の順番は重要ではありません。デフォルト: 無効(serialnumber および issuerdn 属性のみ一致)。casso11jpCslMaxCacheEntriesエージェント キャッシュに含められるエントリの最大数を指定します。注: UNIX で動作する Apache ベースのサーバについては、singleprocessmode パラメータの値を「no」に設定することをお勧めします。この設定によって、複数のリクエスト間で共有されるマルチ プロセッサが作成されます。Apache ベースのサーバがプレフォーク モードで実行される場合、この設定によってパフォーマンスが改善されます。デフォルト: 1000 - 任意の Apache ベースのサーバに対して以下のパラメータが存在する場合は、値が no であることを確認します。casso11jpSingleProcessModeCSL キャッシュが Apache ベースのサーバ(ワーカ モード)上の単一のプロセスでのみ使用可能かどうかを指定します。キャッシュを単一のプロセスでのみ使用可能にするには、この値を「yes」に設定します。UNIX 動作環境では、Apache ベースのサーバはプリフォーク モードで動作します。このモードでは、リクエストはそれぞれ別のプロセスで処理されます。CSL キャッシュが複数のリクエスト間で共有されるように、UNIX 動作環境でこの値を「no」に設定することをお勧めします。デフォルト: No (プリフォーク モード、マルチ プロセス キャッシュ)。オプション: Yes (ワーカ モード、単一プロセス キャッシュ)
- 変更内容を保存し、エージェント設定オブジェクトを閉じます。SSLOption ディレクティブを有効にして、続行します。
Apache ベースの Web サーバで SSLOptions ディレクティブを有効にします。
次の手順は、Apache ベースのサーバの SSLOptions ディレクティブを有効にすることです。このディレクティブを有効にすると、証明書属性が環境変数として使用可能になります。
Apache ベースのサーバの httpd.conf ファイルに以下のエントリを追加します。
SSLOptions +StdEnvVars