第4章 Interstage HTTP Serverの認証とアクセス制御の設定
4.4 オンライン照合
4.4.3 環境定義ファイルの設定
■Interstage HTTP Serverとディレクトリサーバ間でSSLを使用する運用を行う場合
1. ディレクトリサーバがインストールされたシステムで、ディレクトリサーバの環境設定を行います。ディレクトリサーバの環 境設定については、「4.4.1 ディレクトリサーバの環境設定」を参照してください。
2. Interstage HTTP Serverがインストールされたシステムで、SSL通信のクライアント環境を設定します。SSL通信の環
境設定については、「4.4.2 SSL通信の環境設定」を参照してください。
3. Interstage HTTP Serverがインストールされたシステムで、環境定義ファイル(httpd.conf)を設定します。環境定義ファ
イル(httpd.conf)の設定については、「4.4.3 環境定義ファイルの設定」を参照してください。
4.4.1 ディレクトリサーバの環境設定
ディレクトリサーバの環境設定を行います。
・ Interstageディレクトリサービスを使用する場合
・ Active Directoryを使用する場合
■Interstageディレクトリサービスを使用する場合 (1) ディレクトリサーバの準備
ディレクトリサーバ(Interstage ディレクトリサービス)のサーバ環境設定に従い、リポジトリを作成します。
また、Interstage HTTP Serverとディレクトリサーバ間でSSLを使用した暗号化通信を行う場合は、SSL通信のサーバ環境 を設定します。
参照
Interstage ディレクトリサービスの環境設定については、「ディレクトリサービス運用ガイド」の「環境構築」を参照してくだ
さい。
InterstageディレクトリサービスのSSL通信の環境設定については、「ディレクトリサービス運用ガイド」の「SSL通信環境の 構築」を参照してください。
(2) エントリの作成
ディレクトリサーバにおいて、エントリ管理ツールなどを使用してユーザ情報/グループ情報のエントリを作成します。
参照
Interstage ディレクトリサービスのエントリの作成方法については、「ディレクトリサービス運用ガイド」の「エントリの管理」を 参照してください。
例
ユーザのエントリ作成例
ユーザのエントリは、inetOrgPersonオブジェクトクラスで作成します。
ユーザのエントリは、以下の項目に設定する必要があります。
項目 説明
cn属性 ユーザエントリの名前を設定します。
uid属性 オンライン照合を行うときのユーザ名を設定します。
userPassword属性 ユーザ名に対応するパスワードを設定します。
ユーザのエントリ構成例
例
グループのエントリ作成例
グループのエントリは、groupOfNamesオブジェクトクラスで作成します。
グループのエントリは、以下の項目に設定が必要です。
項目 説明
cn属性 オンライン照合を行うユーザが属するグループ名を設定します。
member属性 グループに属するユーザのDN名を設定します。
グループのエントリ構成例
■Active Directoryを使用する場合
Windows(R)システムのマニュアルを参照して、ディレクトリサーバ(Active Directory)の環境設定を行います。
Interstage HTTP Serverとディレクトリサーバ間でSSLを使用した暗号化通信を行う場合は、以下のSSL通信の環境設定も 行ってください。
1. 認証局(証明書発行局)に証明書の発行を依頼するための証明書取得申請書を作成します。
2. 認証局に証明書の発行を依頼します。
3. SSL通信環境に、2.で認証局から取得した認証局の証明書、サイト証明書、およびCRLを登録します。
4.4.2 SSL通信の環境設定
オンライン照合機能では、Interstage HTTP Serverとディレクトリサーバ間で、SSLを使用する運用を設定できます。SSLを使用 した暗号化通信を行う場合は、Interstage HTTP Serverがインストールされたシステムに、SSLのクライアント環境を設定し てください。
SSLのクライアント環境として、以下の環境を使用できます。運用に応じて、以下のどちらかのSSL環境を設定してください。
・ Interstage証明書環境
・ SMEEコマンドで構築する証明書/鍵管理環境
参照
SSL環境設定コマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「SSL環境設定コマンド」を参照してく ださい。
■Intersatge証明書環境を使用する場合
注意
・ SSL環境設定コマンドは、Administratorsグループに所属するユーザで実行してください。
・ SSL環境設定コマンドは、スーパユーザで実行してください。
・ 環境変数JAVA_HOMEに、JDKまたはJREのインストールパスを設定して実行してください。
(1) 所有グループの作成
Interstage証明書環境へのアクセスを許可する所有グループを作成します。
参照
所有グループの作成方法については、「13.2.1 Interstage証明書環境のアクセス権限の設定」を参照してください。
(2) Interstage証明書環境の作成
認証局の証明書およびCRL管理に必要なInterstage証明書環境を作成します。
コマンドの実行例を以下に示します。
例
scsmakeenv -e
「(1) 所有グループの作成」で作成した所有グループ「iscertg」に登録されているユーザに、アクセスを許可するInterstage 証明書環境を作成する場合
scsmakeenv -e -g iscertg
(3) 認証局の証明書の取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、認証局の証明書を取得します。認証局の証明書の 取得方法については、認証局に従ってください。
(4) CRLの取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、CRLを取得します。CRLの取得方法については、認 証局に従ってください。
(5) 認証局の証明書の登録
Interstage証明書環境に、「(3) 認証局の証明書の取得」で取得した認証局の証明書を登録します。認証局の証明書は、
ルート認証局の認証局証明書から順に登録してください。
コマンドの実行例を以下に示します。
例
以下の証明書を登録する場合
- 認証局の証明書「C:\sslenv\CA.der」
- 認証局の証明書のニックネーム「CA」
scsenter -n CA -f C:\sslenv\CA.der
以下の証明書を登録する場合
- 認証局の証明書「/sslenv/CA.der」
- 認証局の証明書のニックネーム「CA」
scsenter -n CA -f /sslenv/CA.der
(6) CRLの登録
Interstage証明書環境に、「(4) CRLの取得」で取得したCRLを登録します。
コマンドの実行例を以下に示します。
例
CRLファイル「C:\sslenv\CRL.der」を登録する場合 scsenter -c -f C:\sslenv\CRL.der
CRLファイル「/sslenv/CRL.der」を登録する場合 scsenter -c -f /sslenv/CRL.der
■SMEEコマンドで構築する証明書/鍵管理環境のSSLを使用する場合
注意
スーパユーザ権限以外のユーザが操作を行ってください。セキュリティ上の配慮により、Webサーバのプロセスをスーパユー
ザ権限以外で設定する必要があります。
また、環境定義ファイル(httpd.conf)を設定する際(設定例3/設定例6)は、Userディレクティブにこのユーザを、Groupディ レクティブにこのユーザが登録されている所有グループを指定してください。
(1) 管理ディレクトリの作成
認証局の証明書およびCRL管理に必要なディレクトリを作成します。
コマンドの実行例を以下に示します。
例
mkdir C:\sslenv\slot mkdir C:\sslenv\sslcert mkdir C:\sslenv\sslcert\cert mkdir C:\sslenv\sslcert\crl
mkdir /sslenv/slot mkdir /sslenv/sslcert mkdir /sslenv/sslcert/cert mkdir /sslenv/sslcert/crl
(2) 秘密鍵管理環境の作成/設定
秘密鍵の管理に必要な秘密鍵管理環境を作成して、環境設定を行います。
コマンドの実行例を以下に示します。
例
makeslot -d C:\sslenv\slot
maketoken -d C:\sslenv\slot -s 1 -t token01
makeslot -d /sslenv/slot
maketoken -d /sslenv/slot -s 1 -t token01
(3) 証明書/CRL管理環境の作成
認証局の証明書およびCRLの管理に必要な証明書/CRL管理環境を作成して、環境設定を行います。
コマンドの実行例を以下に示します。
例
cmmkenv C:\sslenv\sslcert -todir C:\sslenv\sslcert\cert,C:\sslenv\sslcert\crl cmsetenv C:\sslenv\sslcert -sd C:\sslenv\slot -jc 1
cmmkenv /sslenv/sslcert -todir /sslenv/sslcert/cert,/sslenv/sslcert/crl cmsetenv /sslenv/sslcert -sd /sslenv/slot -jc 1
(4) 認証局の証明書の取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、認証局の証明書を取得します。認証局の証明書の 取得方法については、認証局に従ってください。
(5) CRLの取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、CRLを取得します。CRLの取得方法については、認 証局に従ってください。
(6) 認証局の証明書の登録
証明書/CRL管理環境に、「(4) 認証局の証明書の取得」で取得した認証局の証明書を登録します。証明書は、ルート 認証局の認証局から順に登録してください。
コマンドの実行例を以下に示します。
例
認証局証明書「CA.der」を登録する場合
cmentcert C:\sslenv\CA.der -ed C:\sslenv\sslcert -ca -nn CA
認証局証明書「CA.der」を登録する場合
cmentcert /sslenv/CA.der -ed /sslenv/sslcert -ca -nn CA
(7) CRLの登録
証明書/CRL管理環境に、「(5) CRLの取得」で取得したCRLを登録します。
コマンドの実行例を以下に示します。
例
CRLファイル「C:\sslenv\CRL.der」を登録する場合 cmentcrl C:\sslenv\CRL.der -ed C:\sslenv\sslcert
CRLファイル「/sslenv/CRL.der」を登録する場合 cmentcrl /sslenv/CRL.der -ed /sslenv/sslcert
4.4.3 環境定義ファイルの設定
Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、オンライン照合機能の運用に応じた設定を行います。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)は、ディレクトリサーバの種類、およびInterstage HTTP Serverとディ
レクトリサーバ間のプロトコル種類により設定方法が異なります。
以下の表を参考にして、環境定義ファイル(httpd.conf)を設定してください。
ディレクトリサーバ Interstage HTTP Serverが使用するSSL環境 参照する設定例
Interstageディレクトリサー
ビス
SSLを使用しない 設定例1
Interstage証明書環境を使用する (注) 設定例2
SMEEコマンドで構築した証明書/鍵管理環境を使用する 設定例3
Active Directory SSLを使用しない 設定例4
Interstage証明書環境を使用する 設定例5
SMEEコマンドで構築した証明書/鍵管理環境を使用する 設定例6 注)ディレクトリサーバで構築したSSL環境を使用する場合も該当します。
注意
・ ServletサービスのアプリケーションのURLに対してオンライン照合機能を設定する場合は、以下の設定例の<Directory>
セクションは使用できません。<Location>セクションを使用してください。
・ SSLプロトコルバージョンには、ディレクトリサーバのSSLプロトコルバージョンと同じバージョンを設定してください。
・
LoadModuleディレクティブは、必ずldap_module、auth_ldap_moduleの順に設定してください。
それぞれのInterstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例を以下に示します。
■Interstageディレクトリサービスを使用する場合 設定例1(SSL未使用)
例
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「389」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"