目次
|
証明書認証属性
証明書認証モジュール属性は組織属性です。サービス設定の下で組織属性に適用される値は、証明書認証テンプレートのデフォルト値になります。組織にサービスを登録した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のサブツリーのエントリに継承されません。証明書認証属性は次のとおりです。
LDAP で証明書を照合
このオプションは、ログイン時に提出されたユーザー証明書が LDAP サーバーに格納されているかをチェックするかどうかを指定します。一致する証明書がない場合、ユーザーはアクセスを拒否されます。一致する証明書があり、かつほかの検証が必要ない場合、ユーザーはアクセスを許可されます。デフォルトでは、証明書認証モジュールはユーザー証明書をチェックしません。
証明書の LDAP 検索に使用するサブジェクト DN の属性
このフィールドは、LDAP で証明書を検索するのに使用する証明書の SubjectDN 値の属性を指定します。この属性はユーザーエントリを一意に識別するものである必要があります。検索には実際の値を使用します。デフォルト値は CN です。
CRL に対して証明書を照合
このオプションは、ユーザー証明書と LDAP サーバーの証明書の取り消しリスト (CRL) を比較するかどうかを指定します。CRL は発行者の SubjectDN の属性名の 1 つで特定されます。証明書が CRL に載っている場合、ユーザーはアクセスを拒否され、載っていない場合は許可されます。デフォルトでは、この属性は無効になっています。
CRL の LDAP 検索に使用する発行者 DN の属性
このフィールドは、LDAP で CRL を検索するのに使用する、受信した証明書の発行者 SubjectDN 値の属性を指定します。このフィールドは、「CRL に対して証明書を照合」属性が有効になっているときにのみ使用されます。検索には実際の値を使用します。デフォルト値は CN です。
CRL 更新のための HTTP パラメータ
このフィールドは、CRL 更新のサーブレットから CRL を取得するための HTTP パラメータを指定します。これらのパラメータについては、CA の管理者に連絡してください。
OCSP 検証を有効
このパラメータは、対応する OCSP レスポンダと連絡することによって実行される OCSP 検証を有効にします。OCSP レスポンダは、実行時に次のように決定されます。
- com.sun.identity.authentication.ocspCheck が true で、OCSP レスポンダが com.sun.identity.authentication.ocsp.repsonder.url 属性で設定されている場合は、この属性の値が OCSP レスポンダとして使用されます。
- com.sun.identity.authentication.ocspCheck が true に設定され、この属性の値が AMConfig.properties ファイルで設定されていない場合は、クライアント証明書に示されている OCSP レスポンダが OCSP レスポンダとして使用されます。
com.sun.identity.authentication.ocspCheck が false に設定されているか、com.sum.identity.authentication.ocspCheck が true に設定され、OCSP レスポンダが見つからない場合は、OCSP 検証は実行されません。
証明書を格納する LDAP サーバー
このフィールドは証明書を格納する LDAP サーバーの名前とポート番号を指定します。デフォルト値は、Access Manager のインストール時に指定したホスト名とポートです。証明書が格納されている LDAP サーバーのホスト名とポートを使用できます。形式は hostname:port です。
LDAP 検索開始 DN
このフィールドは、ユーザーの証明書に対する検索を開始するノードの DN を指定します。デフォルト値はありません。このフィールドは有効な DN をすべて認識します。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。
servername|search dn
複数のエントリの場合
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
LDAP サーバーの主体ユーザー
このフィールドは、証明書が格納されている LDAP サーバーの主体ユーザーの DN を受け入れます。このフィールドにデフォルト値はありません。有効な DN をすべて認識します。主体ユーザーは読み取り権限を持ち、Directory Server に格納されている証明書情報を検索する必要があります。
LDAP サーバーの主体パスワード
このフィールドは、「LDAP サーバーの主体ユーザー」フィールドで指定されるユーザーに関連付けられた LDAP パスワードを保持します。このフィールドにデフォルト値はありません。指定した主体ユーザーの有効な LDAP パスワードを認識します。
プロファイル ID のための LDAP 属性
このフィールドは、証明書と一致する Directory Server エントリの属性を指定します。この証明書の値は、正しいユーザープロファイルの識別に使用します。このフィールドにデフォルト値はありません。ユーザー ID として使用できるユーザーエントリ (cn、sn、など) の有効な属性をすべて認識します。
LDAP アクセスに SSL を使用
このオプションは LDAP サーバーへのアクセスに SSL を使用するかどうかを指定します。デフォルトでは、証明書認証モジュールは LDAP アクセスに SSL を使用しません。
ユーザープロファイルへのアクセスに使用する証明書フィールド
このメニューでは、一致するユーザープロファイルの検索に使用する証明書のフィールドを指定します。たとえば、email address を選択すると、証明書認証モジュールはユーザー証明書の属性 emailAddr に一致するユーザープロファイルを検索します。その後、ログインするユーザーは一致したプロファイルを使用します。デフォルトのフィールドは subject CN です。リストは次のとおりです。
ユーザープロファイルへのアクセスに使用するその他の証明書フィールド
「ユーザープロファイルへのアクセスに使用する証明書フィールド」属性の値を「その他」に設定した場合は、このフィールドで、受信した証明書の subjectDN 値から選択する属性を指定します。認証モジュールは、その属性の値に一致するユーザープロファイルを検索します。
信頼できるリモートホスト
この属性は、Access Manager に証明書を送信する信頼できるホストのリストを定義します。Access Manager は、証明書がいずれかの信頼できるホストから送信されていることを検証する必要があります。この設定は、Sun Java System Portal Server でのみ使用されます。
この属性には次の値があります。
SSL ポート番号
この属性はセキュリティ保護されたソケットレイヤのポート番号を指定します。現在、この属性は Gateway サーブレットでのみ使用します。SSL ポート番号の追加または変更を行う前に、『Access Manager Developer's Guide』の第 7 章「Policy-Based Resource Management」を参照してください。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
目次 |