am51_webservers_guide.ps

IBM Tivoli Access Manager for e-business

Plug-in for Web Servers

統合ガイド

バージョン 5.1

IBM Tivoli Access Manager for e-business

Plug-in for Web Servers

統合ガイド

バージョン 5.1

お願い

本書および本書で紹介する製品をご使用になる前に、243 ページの『付録 F. 特記事項』に記載されている情報をお読みくだ さい。

本書は、IBM Tivoli Access Manager (プロダクト番号 5724-C08) のバージョン 5 リリース 1、モディフィケーショ ン 0、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されま す。 本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。 http://www.ibm.com/jp/manuals/main/mail.html なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。 (URL は、変更になる場合があります) お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示さ れたりする場合があります。  原 典： SC32-1365-00

IBM Tivoli Access Manager for e-business Plug-in for Web Servers Integration Guide Version 5.1  発 行： 日本アイ・ビー・エム株式会社  担 当： ナショナル・ランゲージ・サポート 第1刷 2004.1 この文書では、平成明朝体™_{W3、平成明朝体}™_{W9、平成角ゴシック体}™_{W3、平成角ゴシック体}™_{W5、および平成角} ゴシック体™_{W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。} フォントとして無断複製することは禁止されています。   注* 平成明朝体™ W3、平成明朝体™ W9、平成角ゴシック体™ W3、 平成角ゴシック体™_W5 、平成角ゴシック体™_W7

目次

図 . . . ix

表 . . . xi

まえがき . . . xiii

本書の対象読者 . . . xiii 本書の内容 . . . xiv 資料 . . . xv リリース情報 . . . xv 基本情報 . . . xv Web セキュリティー情報 . . . xvi 開発者の参照情報 . . . xvi 技術上の補足情報 . . . xvii 関連資料 . . . xvii アクセシビリティー . . . xxi ソフトウェア・サポートへの連絡 . . . xxi 本書の規則 . . . xxi 書体規則 . . . xxi オペレーティング・システム間の違い . . . xxi

第 1 章 IBM Tivoli Access Manager Plug-in for Web Servers の概要 . . . 1

Tivoli Access Manager Plug-in for Web Servers のテクノロジー . . . 1

基本的な操作コンポーネントおよびアーキテクチャー. . . 1

仮想ホストのサポート . . . 2

Tivoli Access Manager Plug-in for Web Servers による Web スペースの保護 . . . 3

Tivoli Access Manager Plug-in for Web Servers の認証 . . . 4

信任状の取得 . . . 5

第 2 章 IBM Tivoli Access Manager Plug-in for Web Servers の構成 . . . 7

プラグインについての一般情報 . . . 7

Tivoli Access Manager Plug-in for Web Servers のインストールのルート・ディレクトリー . . . 7

pdwebpi.conf 構成ファイル . . . 8

pdwebpimgr.conf 構成ファイル . . . 9

Tivoli Access Manager Plug-in for Web Servers の開始と停止 . . . 9

HTTP エラー・メッセージ . . . 10 マクロ・サポート . . . 10 マクロに関連したフォーム . . . 11 許可サーバー の構成 . . . 11 ワーカー・スレッドの構成 . . . 11 IPC 要求の最大セッション存続時間の設定 . . . 12 エラー・ページの構成 . . . 12 仮想ホスト・サーバーの構成 . . . 13 Web サーバー固有の構成 . . . 16 Web サーバーに関する考慮事項 . . . 19 オブジェクト・リストのカスタマイズ . . . 19 コマンド行引き数 . . . 20 出力 . . . 20 アドミニストレーター用のユーザー切り替え (SU) の構成 . . . 21 ユーザー切り替えプロセスのフローについて . . . 22

ユーザー切り替え HTML フォームの構成 . . . 23

ユーザーに対するユーザー切り替えの使用可能化およびそれからの除外 . . . 24

ユーザー切り替え認証メカニズムの構成 . . . 24

他のプラグイン機能への影響 . . . 26

LDAP サーバー用のフェイルオーバーの構成 . . . 27

Platform for Privacy Preferences (P3P) ヘッダーのサポート. . . 28

P3P ヘッダーの構成 . . . 29 プラグインの監査、ロギング、トレース、およびキャッシュ・データベースの構成 . . . 32 監査レコード . . . 32 監査構成 . . . 34 プラグイン・アクションのトレース . . . 34 キャッシュ・データベースの設定 . . . 36 Authorization API サービスの構成 . . . 36 信任状のリフレッシュ . . . 36 信任状のリフレッシュの構成 . . . 37 HTTP 要求キャッシングの構成 . . . 38 サーバー側でのキャッシング・パラメーターの構成 . . . 39 言語サポートと文字セット . . . 39

第 3 章 IBM Tivoli Access Manager Plug-in for Web Server の認証および要求プロセ

ス . . . 43

要求処理プロセス . . . 43 認証プロセス . . . 45 認証の構成 . . . 45 仮想ホストの認証の構成 . . . 47 認証方式の順序の構成 . . . 48 許可後処理の構成 . . . 52 セッション状態の管理 . . . 53 プラグインのセッション / 信用状キャッシュの構成 . . . 54 SSL セッション ID によるセッション状態の保守 . . . 56 基本認証を使用したセッション状態の保守 . . . 57 セッション cookie によるセッションの保守 . . . 57 HTTP ヘッダーを使用したセッション状態の保守 . . . 58 IP アドレスを使用したセッション状態の保守 . . . 59 LTPA cookie を使用したセッション状態の保守 . . . 60 iv-header を使用したセッション状態の保守 . . . 60 認証構成の概要 . . . 60 ローカル認証メカニズム . . . 61 外部カスタム CDAS 認証パラメーター . . . 61 プラグインのデフォルト構成 . . . 62 複数の認証方式の構成 . . . 62 ログアウト、パスワードの変更、およびヘルプ・コマンド . . . 63 基本認証の構成 . . . 64 基本認証の使用可能化 . . . 64 基本認証メカニズムの構成 . . . 65 レルム名の設定 . . . 65 BA ヘッダーの取り扱い . . . 65 BA ヘッダーの UTF-8 エンコード方式の指定 . . . 67 フォーム認証の構成 . . . 67 フォーム認証の使用可能化 . . . 68 フォーム認証メカニズムの構成 . . . 68 HTML 応答フォームのカスタマイズ . . . 68 フォーム・ログイン URI のカスタマイズ . . . 69 BA ヘッダーの作成. . . 69 BA ヘッダーの UTF-8 エンコード方式の指定 . . . 70 証明書認証の構成 . . . 70

証明書による相互認証 . . . 70 証明書認証の使用可能化 . . . 71 証明書認証メカニズムの構成 . . . 71 トークン認証の構成 . . . 72 SecurID トークン認証 . . . 72 トークン認証の使用可能化 . . . 74 トークン認証メカニズムの構成 . . . 75 トークン応答ページのカスタマイズ . . . 76 SPNEGO 認証の構成 . . . 76 プラットフォームおよびユーザー・レジストリーのサポート . . . 77 バージョン 4.1 から 5.1 への SPNEGO 構成のアップグレード . . . 77 制限事項 . . . 77 Windows デスクトップのシングル・サインオン構成 . . . 78 トラブルシューティングのヒント . . . 83 NTLM 認証の構成 (IIS プラットフォームのみ) . . . 85 Web サーバー認証の構成 (IIS プラットフォームのみ) . . . 86 フェイルオーバー認証の構成 . . . 87 フェイルオーバー認証の概念 . . . 87 フェイルオーバー認証の構成 . . . 95 IV ヘッダー認証の構成 . . . 104 IV ヘッダーを使用した認証の使用可能化 . . . 106 IV ヘッダー・パラメーターの構成 . . . 106 IV ヘッダーの UTF-8 エンコード方式の指定 . . . 106 iv-remote-address 用の IV ヘッダー認証メカニズムの構成 . . . 107 HTTP ヘッダー認証の構成 . . . 107 HTTP ヘッダーを使用した認証の使用可能化 . . . 108 ヘッダー・タイプの指定. . . 108 HTTP ヘッダー認証メカニズムの構成 . . . 108 IP アドレス認証の構成 . . . 109 IP アドレスを使用した認証の使用可能化 . . . 109 IP アドレス認証メカニズムの構成 . . . 110 LTPA 認証の構成 . . . 110 LTPA 認証の使用可能化. . . 110 鍵詳細の設定 . . . 110 LTPA 許可後処理の構成. . . 111 ログオン後のユーザーのリダイレクトの構成 . . . 111 ユーザーのリダイレクトの使用可能化 . . . 111 ユーザー・リダイレクトのパラメーターの構成 . . . 112 信任状の拡張属性の追加. . . 112 信任状に拡張属性を追加するためのメカニズム . . . 112 資格サービスの構成 . . . 113 HTTP ヘッダーへの LDAP 拡張属性の追加 (タグ値) . . . 115 タグ値を使用した処理の使用可能化 . . . 116 タグ値パラメーターの構成 . . . 116

Multiplexing Proxy Agent (MPA) のサポート . . . 117

有効なセッション・データ・タイプと認証方式 . . . 117

MPA および複数クライアントの認証プロセス・フロー . . . 119

MPA 認証の使用可能化 . . . 119

MPA 用ユーザー・アカウントの作成 . . . 120

pdwebpi-mpa-servers グループへの MPA アカウントの追加 . . . 121

第 4 章 IBM Tivoli Access Manager Plug-in for Web Servers セキュリティー・ポリ

シー . . . 123

デフォルト /PDWebPI ACL ポリシー . . . 125 スリー・ストライク・ログオン・ポリシー. . . 126 パスワード・ストレングス・ポリシー . . . 127 pdadmin ユーティリティーによって設定されるパスワード・ストレングス・ポリシー . . . 128 特定ユーザーの設定とグローバル設定 . . . 130 認証強度保護オブジェクト・ポリシー (ステップアップ) . . . 130 ステップアップ認証のレベルの構成 . . . 131 ステップアップ認証の使用可能化. . . 132 ステップアップ認証に関する注と制限 . . . 133 マルチファクター認証 . . . 133 マルチファクター認証の使用可能化 . . . 134 保護オブジェクト・ポリシーの再認証 . . . 134 POP の再認証に影響を与える条件 . . . 134 再認証 POP の作成と適用 . . . 135 ネットワーク・ベースの認証の保護オブジェクト・ポリシー. . . 136 IP アドレスおよび範囲の指定 . . . 136 IP アドレスによるステップアップ認証の使用不可 . . . 137 ネットワーク・ベースの認証アルゴリズム. . . 137 保護品質保護オブジェクト・ポリシー . . . 138 非認証ユーザーの取り扱い (HTTP/HTTPS). . . 138 匿名クライアントからの要求の処理 . . . 138 ユーザー・ログオンの強制 . . . 139 非認証 HTTPS の適用 . . . 139 ACL/POP ポリシーを持つ非認証ユーザーの制御 . . . 139

第 5 章 Web シングル・サインオン・ソリューション . . . 141

シングル・サインオンの概念 . . . 141 セキュア・アプリケーションへの自動サインオン . . . 142 HTTP ヘッダーを使用したセキュア・アプリケーションへのシングル・サインオンの構成 . . . 142

LTPA cookie を使用した WebSphere Application Server へのシングル・サインオン . . . 143

WebSEAL または他のプロキシーからのプラグインへのシングル・サインオン . . . 145 IV ヘッダーを使用した認証の使用可能化と使用不能化 . . . 146 IV ヘッダー・パラメーターの構成 . . . 146 シングル・サインオン用のフェイルオーバー cookie の使用 . . . 146 フェイルオーバー cookie を使用したシングル・サインオンの使用可能化 . . . 146 グローバル・シングル・サインオン (GSO) の使用 . . . 147 グローバル・シングル・サインオンの構成. . . 149

Security Provider NEGOtiation (SPNEGO) のシングル・サインオン. . . 150

フォームを使用したシングル・サインオン. . . 150 フォーム・シングル・サインオン・プロセスのフロー . . . 151 アプリケーション・サポートのための要件. . . 152 フォーム・シングル・サインオンの使用可能化 . . . 153 フォーム・シングル・サインオンの構成 . . . 154 IBM HelpNow 用の構成ファイル例 . . . 157

第 6 章 クロスドメイン・シングル・サインオン・ソリューション . . . 159

クロスドメイン・シングル・サインオン (CDSSO) . . . 159 CDSSO の認証プロセス・フロー . . . 160 CDSSO 認証を使用可能および使用不可にする . . . 161 認証トークン・データの暗号化 . . . 161 トークン・タイム・スタンプの構成 . . . 162 認証トークンへの信任状属性の組み込み . . . 162 sso-create ライブラリーおよび sso-consume ライブラリーの指定 . . . 164 CDSSO リンクの表現. . . 164 認証トークンの保護 . . . 164 e-Community シングル・サインオン . . . 165

e-Community シングル・サインオンの機能および要件 . . . 166 e-Community シングル・サインオンのプロセス・フロー . . . 166 e-community cookie . . . 168 「保証」要求および応答. . . 168 「保証」トークン . . . 169 「保証」トークンの暗号化 . . . 169 e-community の構成 . . . 170 e-community シングル・サインオンの構成 - 例 . . . 175

第 7 章 アプリケーションの統合 . . . 179

クライアントとバックエンド・アプリケーションの間のセッション状態の維持. . . 179 ユーザー・セッション ID 管理の使用可能化 . . . 179 HTTP ヘッダーへの信任状データの挿入 . . . 180 ユーザー・セッションの終了 . . . 181 動的 URL へのアクセス制御の提供 . . . 182 動的 URL の構成 . . . 182

第 8 章 許可決定情報の検索 . . . 185

ADI 検索の概要 . . . 185 プラグイン・クライアント要求からの ADI の取得 . . . 186 例: 要求ヘッダーからの ADI の検索 . . . 187 例: 要求照会ストリングからの ADI の検索 . . . 187 例: POST 要求本体からの ADI の検索 . . . 188 ユーザー信任状からの ADI の検索 . . . 188 障害理由の提供. . . 188 動的 ADI 検索の構成 . . . 189 AMWebARS Web サービスを使用するためのプラグインの構成. . . 190

付録 A. pdbackup を使用したプラグイン・データのバックアップ. . . 193

機能 . . . 193 プラグイン・データのバックアップ . . . 193 プラグイン・データの復元 . . . 194 構文 . . . 194 例 . . . 195 UNIX の例 . . . 195 Windows の例 . . . 196 pdinfo-pdwebpi.lst の内容. . . 196 その他のバックアップ・データ . . . 197

付録 B. pdwebpi.conf のリファレンス . . . 199

一般構成パラメーター . . . 199 認証構成パラメーター . . . 203 セッション構成パラメーター . . . 213 LDAP 構成パラメーター . . . 214 プロキシー構成パラメーター . . . 215 Authorization API 構成パラメーター . . . 216 Web サーバー固有の構成パラメーター . . . 217

付録 C. モジュールのクイック・リファレンス . . . 223

付録 D. コマンドのクイック・リファレンス . . . 231

pdwebpi_start. . . 232 pdwebpi . . . 234 pdwpi-version . . . 235

付録 E. 正規表現で許可されている特殊文字 . . . 241

付録 F. 特記事項 . . . 243

商標 . . . 244

用語集

. . . 247

図

1. プラグインと Tivoli Access Manager コンポーネントの相互作用 . . . 2

2. 認証モジュールを決定するためのプラグイン・プロセスの流れ . . . 51 3. 認証ユーザー確認質問プロセスの論理 . . . 52 4. セッション・モジュールを決定するためのプラグイン・プロセスの流れ . . . 54 5. フェイルオーバー cookie の一般的なサーバー・アーキテクチャー . . . 88 6. セキュア・アプリケーションへの GSO を使用したユーザー・アクセス . . . 148 7. フォーム・シングル・サインオン・プロセスのフロー . . . 151 8. CDSSO プロセス・フロー . . . 160 9. e-community へのログイン . . . 167 10. e-Community シングル・サインオンの構成例 . . . 175 11. 属性検索サービスのプロセス・フロー . . . 190

表

1. Tivoli Access Manager の EPAC フィールド . . . 6

2. pdwebpi.conf 節の要約 . . . 8 3. サポートされているマクロ置換 . . . 10 4. [proxy] エラー・ページ構成パラメーター . . . 13 5. Web サーバー固有の構成パラメーター . . . 17 6. [p3p-header] パラメーター . . . 29 7. 認証監査レコード・フィールドの定義 . . . 32 8. 監査構成パラメーターの定義 . . . 34 9. プラグインでサポートされている言語とそのディレクトリー . . . 40 10. ローカル組み込みオーセンティケーター . . . 61 11. 外部 CDAS サーバー・パラメーター . . . 61 12. バージョン 4.1 の SPNEGO 構成とそれに相当するバージョン 5.1 の構成 . . . 77 13. フェイルオーバー認証ライブラリー・ファイル名 . . . 97 14. IV ヘッダー・フィールドの説明 . . . 105 15. MPA の有効なセッション・データ・タイプ . . . 117 16. 有効な MPA 認証タイプ . . . 118 17. プラグイン ACL 許可 . . . 125 18. プラグイン WebDAV 許可 . . . 125 19. pdadmin LDAP ログオン・ポリシー・コマンド . . . 127 20. pdadmin LDAP パスワード・ストレングス・コマンド . . . 128 21. パスワードの例 . . . 129 22. QOP レベルの説明 . . . 138 23. IV ヘッダー・フィールドの説明 . . . 142 24. LTPA 構成パラメーター . . . 144 25. IV ヘッダー・フィールドの説明 . . . 145 26. 一般構成パラメーター . . . 199 27. 認証構成パラメーター . . . 203 28. セッション構成パラメーター . . . 213 29. LDAP 構成パラメーター . . . 214 30. プロキシー構成パラメーター . . . 215 31. Authorization API 構成パラメーター . . . 216 32. Web サーバー固有の構成パラメーター . . . 217 33. プラグイン認証方式 / モジュールのリファレンス . . . 223 34. Windows 固有の認証モジュール . . . 226 35. プラグイン・セッション・モジュールのリファレンス . . . 226 36. プラグイン許可前モジュールのリファレンス . . . 227 37. プラグイン許可後モジュールのリファレンス . . . 228 38. 応答モジュールのリファレンス。 . . . 229

まえがき

IBM® Tivoli® Access Manager Plug-in for Web Servers は、クライアントとセキュ ア Web スペースの間のゲートウェイとなって、Web ベースのリソースのセキュリ ティーを管理します。プラグインは、Web オブジェクト・スペースをプロテクトす るセキュリティー・ポリシーをインプリメントします。プラグインは、シングル・ サインオンを提供し、仮想ホストとして実行される Web サーバーをサポートし、 さらに、Web アプリケーションのサーバー・リソースをセキュリティー・ポリシー に組み込むことができます。 注: サポートされるプラットフォーム、ディスクおよびメモリー所要量、ソフトウ ェア前提条件、およびプラグインのインストール指示については、「Tivoli

Access Manager for e-business Web Security インストール・ガイド」を参照して ください。

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、 IBM Tivoli Access

Manager 製品スイートのアプリケーションを実行するために必要なベース・ソフト

ウェアです。 Tivoli Access Manager を使用することにより、広範囲の許可および 管理ソリューションを提供する IBM Tivoli Access Manager アプリケーションを統 合することができます。統合ソリューションとして購入すれば、これらの製品は、

e-business アプリケーションのネットワークとアプリケーションのセキュリティー・

ポリシーを集中管理するアクセス・コントロール管理ソリューションを提供しま す。

注: IBM Tivoli Access Manager は、以前のリリースでは Tivoli SecureWay®

Policy

Director と呼ばれていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料で使用されていた「管理サー

バー」は、現在、「ポリシー・サーバー」と呼ばれています。

「IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド」で は、Plug-in for Web Servers アプリケーションを使用する Web ドメインを保護す るための管理手順とテクニカル・リファレンス情報を提供します。

本書の対象読者

本書は、Access Manager Plug-in for Web Servers のインストール、展開、および管 理に責任を持つシステム・アドミニストレーターを対象にしています。 本書の読者には、以下の知識が必要です。 v _{PC および UNIX}® _{オペレーティング・システム} v _{データベースのアーキテクチャーと概念} v _{セキュリティー管理} v _{HTTP、HTTPS、TCP/IP などのインターネット・プロトコル}

v _{認証と許可}

Secure Sockets Layer (SSL) 通信を使用可能にする場合は、SSL プロトコル、鍵交換

(公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局に ついての知識も必要です。

本書の内容

本書は、以下の節で構成されています。

v _{『第 1 章 IBM Tivoli Access Manager Plug-in for Web Servers の概要』}

Access Manager Plug-in for Web Servers アプリケーションの概要、および、シス

テム体系、機能性、および操作環境の詳細を説明しています。

v _{『第 2 章 IBM Tivoli Access Manager Plug-in for Web Servers の構成』}

Access Manager Plug-in for Web Servers の構成要件についての説明が記載されて

います。

v _{『第 3 章 IBM Tivoli Access Manager Plug-in for Web Server の認証および要求} プロセス』

プラグインがセッション状態を維持し、認証プロセスを処理し、許可済みセッシ ョンで必要になる許可後処理を実行する方法についての説明が記載されていま す。

v _{『第 4 章 IBM Tivoli Access Manager Plug-in for Web Servers セキュリティー・} ポリシー』

Access Manager Plug-in for Web Servers のセキュリティー・ポリシーの構成とカ

スタマイズについての説明が記載されています。

v _{『第 5 章 Web シングル・サインオン・ソリューション』}

Access Manager Plug-in for Web Servers によって保護されている Web スペース

用のシングル・サインオン・ソリューションについて説明が記載されています。

v _{『第 6 章 クロスドメイン・シングル・サインオン・ソリューション』}

Access Manager Plug-in for Web Servers のクロスドメインのシングル・サインオ

ン・ソリューションについての説明が記載されています。 v _{『第 7 章 アプリケーションの統合』} プラグインの拡張された範囲の環境変数および HTTP ヘッダーによるサード・パ ーティー・アプリケーションの統合と、動的 URL の機能についての説明が記載 されています。 v _{『第 8 章 許可決定情報の検索』}

Tivoli Access Manager ドメインのリソースを保護する許可規則を評価するのに必

要な許可判断情報 (ADI) をこのプラグインで提供または取得する方法についての 説明が記載されています。

v _{『付録 A. pdbackup を使用したプラグイン・データのバックアップ』}

pdbackup ユーティリティーの使用についての説明が記載されています。

v _{『付録 B. pdwebpi.conf のリファレンス』}

Access Manager Plug-in for Web Servers 構成パラメーターと、関連した説明のリ

ストです。

すべてのプラグイン認証、セッションおよび許可後メソッド、および関連した説 明のリストです。 v _{『付録 D. コマンドのクイック・リファレンス』} 使用可能なプラグイン・ユーティリティーと、それらのユーティリティーが実行 するアクションの説明のリストです。 v _{『付録 E. 正規表現で許可されている特殊文字』} pdwebpi.conf 構成ファイル内で正規表現に使用できる特殊文字のリストです。

資料

Tivoli Access Manager ライブラリー、前提資料、および関連資料の説明を検討し

て、どの資料が役立つかを判断してください。

IBM Tivoli Access Manager for e-business 製品自体の追加情報については、次を参

照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager ライブラリーは、以下のカテゴリーに編成されています。

v _{『リリース情報』} v _{『基本情報』} v _{xviページの『Web セキュリティー情報』} v _{xviページの『開発者の参照情報』} v _{xviiページの『技術上の補足情報』}

リリース情報

v _{IBM Tivoli Access Manager for e-business はじめにお読みください (GI88-8647-00)}

Tivoli Access Manager のインストールと使用に関する入門編の説明があります。

v _{IBM Tivoli Access Manager for e-business リリース情報 (GI88-8648-00)}

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載され ています。

基本情報

v _{IBM Tivoli Access Manager Base インストール・ガイド (SC88-9854-00)}

Web Portal Manager インターフェースを含む、Tivoli Access Manager ベース・ソ

フトウェアのインストールおよび構成の方法を説明します。本書は、「IBM Tivoli

Access Manager for e-business Web Security インストール・ガイド」のサブセッ トであり、IBM Tivoli Access Manager for Business Integration や IBM Tivoli Access Manager for Operating Systems など、他の Tivoli Access Manager 製品と の併用を対象としています。

v _{IBM Tivoli Access Manager Base 管理者ガイド (SC88-9852-00)}

Tivoli Access Manager サービスの概念と使用手順についての説明があります。

Web

セキュリティー情報

v _{IBM Tivoli Access Manager for e-business Web Security インストール・ガイド} (SC88-9853-00)

Tivoli Access Manager ベース・ソフトウェアと Web Security コンポーネントの

インストール、構成、および除去について説明します。この資料は、「IBM Tivoli

Access Manager Base インストール・ガイド」のスーパーセットです。

v _{IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド (SC88-9851-00)}

WebSEAL を使用してユーザーのセキュア Web ドメインのリソースを管理する

場合の参考資料、管理手順、および技術参照情報が記載されています。

v _{IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合}

ガイド (SC88-9860-00)

Tivoli Access Manager を IBM WebSphere®

Application Server に統合する際のイ ンストール、除去、および管理について説明します。

v _{IBM Tivoli Access Manager for e-business Plug-in for IBM WebSphere Edge Server}

統合ガイド (SC88-9859-00)

Tivoli Access Manager を IBM WebSphere Edge Server アプリケーションに統合 する際のインストール、除去、および管理について説明します。

v _{IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド} (SC88-9857-00)

Web サーバー用プラグインを使用して Web ドメインを保護する際のインストー

ルの説明、管理手順、およびテクニカル・リファレンス情報が記載されていま す。

v _{IBM Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド} (SC88-9858-00)

Tivoli Access Manager を BEA WebLogic Server に統合する際のインストール、

除去、および管理について説明します。

v _{IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager プロビジョ}

ニング・ファースト・スタート・ガイド (SC88-9856-00)

Tivoli Access Manager と Tivoli Identity Manager の統合に関連するタスクの概要 と、プロビジョニング・ファースト・スタート (Provisioning Fast Start) コレクシ ョンの使用方法およびインストール方法を説明します。

開発者の参照情報

v _{IBM Tivoli Access Manager for e-business Authorization C API デベロッパーズ・}

リファレンス (SC88-9847-00)

Tivoli Access Manager Authorization C API および Tivoli Access Manager サービ ス・プラグイン・インターフェースを使用して Tivoli Access Manager セキュリ ティーをアプリケーションに追加する方法を説明した参照情報を記載していま す。

v _{IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパ}

ーズ・リファレンス (SC88-9842-00)

Authorization API の Java™ _{言語インプリメンテーションを使用して、アプリケー}

ションが Tivoli Access Manager セキュリティーを使用できるようにするための 参照情報が記載されています。

v _{IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・}

リファレンス (SC88-9849-00)

Administration API を使用して、アプリケーションが Tivoli Access Manager 管理

タスクを実行できるようにするための参照情報が記載されています。この資料に は、Administration API の C インプリメンテーションについての説明がありま す。

v _{IBM Tivoli Access Manager for e-business Administration Java Classes デベロッパ}

ーズ・リファレンス (SC88-9848-00)

Administration API の Java 言語インプリメンテーションを使用して、アプリケー

ションが Tivoli Access Manager 管理タスクを実行できるようにするための参照 情報が記載されています。

v _{IBM Tivoli Access Manager for e-business Web Security デベロッパーズ・リファ}

レンス (SC88-9850-00)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレーム ワーク (CDMF)、およびパスワード・ストレングス・モジュールに関する管理情 報およびプログラミング情報を提供します。

技術上の補足情報

v _{IBM Tivoli Access Manager for e-business コマンド・リファレンス} (SC88-9864-00)

Tivoli Access Manager で用意されているコマンド行ユーティリティーとスクリプ

トについての説明があります。

v _{IBM Tivoli Access Manager エラー・メッセージ・リファレンス (SC88-9845-00)}

Tivoli Access Manager から出されるメッセージについての説明および推奨処置が

記載されています。

v _{IBM Tivoli Access Manager for e-business 問題判別ガイド (SC88-9844-00)}

Tivoli Access Manager の問題判別についての説明が記載されています。

v _{IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイ}

ド (SC88-9843-00)

Tivoli Access Manager と、ユーザー・レジストリーとしての IBM Tivoli

Directory Server から構成される環境での、パフォーマンス・チューニングに関す

る情報が記載されています。

関連資料

この節には、Tivoli Access Manager ライブラリーに関連する資料の一覧がありま す。

Tivoli Software Library には、白書、データ・シート、デモンストレーション、レッ

ドブック、および発表レターなど、各種の Tivoli 資料が用意されています。Tivoli Software Library は、Web 上の http://www.ibm.com/software/tivoli/library/ で使用可能 です。

Tivoli Software Glossary には、Tivoli ソフトウェアに 関連した数多くの技術用語の 定義が記載されています。 Tivoli Software Glossary は、Tivoli Software Library Web ページ http://www.ibm.com/software/tivoli/library/ の左側にある 「Glossary」 リンクから入手することができます。

IBM Global Security Kit

Tivoli Access Manager では、IBM Global Security Kit (GSKit) バージョン 7.0 を使 用してデータ暗号化が行われます。GSKit は、特定のプラットフォーム用の IBM

Tivoli Access Manager Base CD、IBM Tivoli Access Manager Web Security CD、IBM

Tivoli Access Manager Web Administration Interfaces CD、および IBM Tivoli Access

Manager Directory Server CD に含まれています。

GSKit パッケージが提供する iKeyman 鍵管理ユーティリティー gsk7ikm は、鍵デ

ータベース、公開鍵と秘密鍵のペア、および証明書要求を作成するために使用しま す。次の資料は、Tivoli Information Center Web サイトの、IBM Tivoli Access

Manager 製品資料と同じ節にあります。

v _{IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザー}

ズ・ガイド (SC88-9855-00)

Tivoli Access Manager 環境で SSL 通信を可能にすることを計画している、ネッ

トワークまたはシステムのセキュリティー管理者用の情報を記載しています。

IBM Tivoli Directory Server

IBM Tivoli Directory Server バージョン 5.2 は、使用するオペレーティング・シス

テムの IBM Tivoli Access Manager Directory Server CD に含まれています。 注: IBM Tivoli Directory Server は、以下の名称で以前にリリースされたソフトウェ

アの新しい名称です。

v _{IBM Directory Server (バージョン 4.1 およびバージョン 5.1)} v _{IBM SecureWay Directory Server (バージョン 3.2.2)}

IBM Directory Server バージョン 4.1、IBM Directory Server バージョン 5.1、およ び IBM Tivoli Directory Server バージョン 5.2 はすべて、IBM Tivoli Access

Manager バージョン 5.1 でサポートされます。

IBM Tivoli Directory Server の追加情報については、次を参照してください。

http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal Database

IBM DB2® Universal Database™ Enterprise Server Edition バージョン 8.1 は、IBM

Tivoli Access Manager Directory Server CD で提供され、IBM Tivoli Directory

Server ソフトウェアと一緒にインストールされます。DB2 は、Tivoli Access

Manager のユーザー・レジストリーとして IBM Tivoli Directory Server、z/OS™ _ま

たは OS/390® _{の LDAP サーバーを使用する場合に必要です。}

DB2 の追加情報については、次を参照してください。

IBM WebSphere Application Server

IBM WebSphere Application Server、Advanced Single Server Edition 5.0 は、使用す るオペレーティング・システムの IBM Tivoli Access Manager Web Administration

Interfaces CD に含まれています。WebSphere Application Server によって、Tivoli

Access Manager の管理に使用する Web Portal Manager インターフェース、および

IBM Tivoli Directory Server の管理に使用する Web Administration Tool を両方サポ ートすることが可能になります。Tivoli Access Manager には IBM WebSphere Application Server Fix Pack 2 も必要であり、これは IBM Tivoli Access Manager

WebSphere Fix Pack CD で提供されています。

IBM WebSphere Application Server の追加情報については、次を参照してくださ

い。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business Integration

IBM Tivoli Access Manager for Business Integration は、単体でご注文いただける製

品であり、IBM MQSeries® _{バージョン 5.2 および IBM WebSphere}®

MQ バージョ

ン 5.3 メッセージのセキュリティー・ソリューションを提供します。 IBM Tivoli Access Manager for Business Integration を使用すると、WebSphere MQSeries アプリ ケーションは、送信アプリケーションおよび受信アプリケーションに関連した鍵を 使用して、プライバシーと保全性を守る方法でデータを送ることができます。 WebSEAL および IBM Tivoli Access Manager for Operating Systems と同様に、 IBM Tivoli Access Manager for Business Integration は、IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration の追加情報については、次を参 照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for Business Integration バージョン 5.1 に関連する以下 の資料は、Tivoli Information Center Web サイトから入手できます。

v _{IBM Tivoli Access Manager for Business Integration 管理者ガイド (SC88-9495-00)} v _{IBM Tivoli Access Manager for Business Integration 問題判別ガイド}

(GC88-9824-00)

v _{IBM Tivoli Access Manager for Business Integration リリース情報 (GI88-8614-00)} v _{IBM Tivoli Access Manager for Business Integration はじめにお読みください}

(GI88-8646-00)

IBM Tivoli Access Manager for WebSphere Business

Integration Brokers

IBM Tivoli Access Manager for Business Integration の一部として入手できる IBM Tivoli Access Manager for WebSphere Business Integration Brokers は、WebSphere Business Integration Message Broker バージョン 5.0 および WebSphere Business

Integration Event Broker バージョン 5.0 のセキュリティー・ソリューションを提供

定義の許可、および監査サービスを提供することによって JMS パブリッシュ/サブ スクライブ・アプリケーションを保護します。

IBM Tivoli Access Manager for WebSphere Integration Brokers の追加情報について は、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for WebSphere Integration Brokers バージョン 5.1 に関 連する以下の資料は、Tivoli Information Center Web サイトから入手できます。 v _{IBM Tivoli Access Manager for WebSphere Business Integration Brokers 管理ガイ}

ド (SC88-9825-00)

v _{IBM Tivoli Access Manager for WebSphere Business Integration Brokers リリース}

情報 (GI88-8645-00)

v _{IBM Tivoli Access Manager for Business Integration はじめにお読みください} (GI88-8646-00)

IBM Tivoli Access Manager for Operating Systems

IBM Tivoli Access Manager for Operating Systems は、単体でご注文いただける製品 であり、ネイティブのオペレーティング・システムで提供されているものに加え て、UNIX システムでの許可ポリシー実施のための 1 つの層を提供します。 WebSEAL および IBM Tivoli Access Manager for Business Integration と同様に、 IBM Tivoli Access Manager for Operating Systems は、IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems の追加情報については、次を参照 してください。

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

IBM Tivoli Access Manager for Operating Systems バージョン 5.1 に関連する以下 の資料は、Tivoli Information Center Web サイトから入手できます。

v _{IBM Tivoli Access Manager for Operating Systems インストール・ガイド} (SC88-9494-00)

v _{IBM Tivoli Access Manager for Operating Systems 管理者ガイド (SC88-9492-00)} v _{IBM Tivoli Access Manager for Operating Systems 問題判別ガイド (SC88-9493-00)} v _{IBM Tivoli Access Manager for Operating Systems リリース情報 (GI88-8613-00)} v _{IBM Tivoli Access Manager for Operating Systems 最初にお読みください}

(GI88-8611-00)

IBM Tivoli Identity Manager

IBM Tivoli Identity Manager バージョン 4.5 は単体でご注文いただける製品であ

り、ユーザー (ユーザー ID およびパスワードなど) およびプロビジョニング (すな わち、アプリケーション、リソース、またはオペレーティング・システムへのアク セス権の提供または取り消し) の集中管理を可能にします。Tivoli Identity Manager は、Tivoli Access Manager Agent を使用して Tivoli Access Manager と統合できま す。Agent のご購入について詳しくは、IBM 営業担当者にお問い合わせください。

http://www.ibm.com/software/tivoli/products/identity-mgr/

アクセシビリティー

アクセシビリティー機能は、運動障害や視覚障害などの障害を持つユーザーがソフ トウェア・プロダクトを快適に使用できるように サポートします。これらの製品を 使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートした りするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユー ザー・インターフェースのすべての機能は、マウスを使用しなくてもキーボードか ら操作できるようになっています。

ソフトウェア・サポートへの連絡

IBM 営業担当員にお問い合わせください。

本書の規則

本書では、特別な用語とアクションに関して、およびオペレーティング・システム に 依存するコマンドおよびパスに関して、いくつかの規則を使用しています。

書体規則

本書では、以下の書体規則を使用しています。 太字 周囲にあるテキスト、キーワード、パラメーター、オプション、Java クラ スやオブジェクトの名前との区別が難しい小文字コマンドまたは大文字小文 字混合コマンドは太字で示されます。 イタリック 変数、資料のタイトル、および強調される特殊な用語または句はイタリック で示されます。 モノスペース コード例、コマンド行、画面出力、周囲にあるテキストとの区別が難しいフ ァイル名およびディレクトリー名、システム・メッセージ、ユーザーの入力 が必要なテキスト、引き数またはコマンド・オプションの値はモノスペース で示されます。

オペレーティング・システム間の違い

本書では、環境変数の指定およびディレクトリー表記について UNIX 規則を使用し ます。Windows コマンド行を使用するときは、環境変数の場合は $variable を %variable% に置き換え、ディレクトリー・パスの場合はスラッシュ (/) を円記号 (¥) に置き換えてください。Windows システムで bash シェルを使用している場合 は、UNIX 規則を使用できます。

第 1 章 IBM Tivoli Access Manager Plug-in for Web

Servers

の概要

IBM Tivoli Access Manager (Tivoli Access Manager) Plug-in for Web Servers は、保 護された Web スペースのセキュリティー・ポリシーのインプリメンテーションと 管理を容易にするための統合ソリューションです。 このプラグインは、Web サー バーと同じプロセスの一部としてインストールされ、クライアントとプロテクトさ れた Web スペースの間のセキュリティー・ゲートウェイとして機能します。 この章では、Tivoli Access Manager Plug-in for Web Servers のテクノロジーの概要 を説明し、製品のテクニカル要件を示すとともに、プラグインを使用して Web ス ペースのセキュリティーを確実なものとするプロセスを紹介します。

注: プラグインについてのサポートされるプラットフォーム、ディスクとメモリー の所要量、ソフトウェア前提条件およびインストール指示については、「Tivoli

Access Manager for e-business Web Security インストール・ガイド」を参照して ください。

本章には、以下のトピックが記載されています。

v _{『Tivoli Access Manager Plug-in for Web Servers のテクノロジー』}

v _{3ページの『Tivoli Access Manager Plug-in for Web Servers による Web スペー} スの保護』

v _{4ページの『Tivoli Access Manager Plug-in for Web Servers の認証』}

v _{5ページの『信任状の取得』}

Tivoli Access Manager Plug-in for Web Servers

のテクノロジー

Tivoli Access Manager Plug-in for Web Servers は、Tivoli Access Manager アプリケ ーションと統合して、Web リソースのための完全なセキュリティー・ソリューショ ンを提供します。プラグインは、Web サーバーと同じプロセスの一部として作動 し、着信する各要求をインターセプトし、権限決定が必要かどうかを判別し、必要 に応じてユーザー認証のための手段を提供します。また、プラグインにより、シン グル・サインオン・ソリューションを提供したり、セキュリティー・ポリシーに Web アプリケーションのリソースを組み込んだりすることができます。

基本的な操作コンポーネントおよびアーキテクチャー

Tivoli Access Manager Plug-in for Web Servers はアーキテクチャー上の 2 つの基 本的なコンポーネントによって構成されています。すなわち、プラグイン・コンポ ーネントと 許可サーバーです。プラグイン・コンポーネントは Web サーバー・ス レッドと一緒に動作し、各要求の詳細をプロセス間通信 (IPC) インターフェースを 使用して許可サーバーに送信します。許可サーバーは、着信要求の認証と許可を行 います。許可サーバーは、ローカル・モードの AZNAPI アプリケーションであり、 プラグインからの要求を受け入れて処理し、プラグインに応答して、各要求を処理

許可サーバーは、どの仮想ホストに要求が宛てられたのかを判別し (仮想ホストが Web サーバーにある場合)、その要求に許可が必要かどうかを判別します。許可が必 要でない要求は、直接 Web サーバーに渡され、処理されます。許可が必要な要求 は、以下の方法で、許可サーバーによって処理されます。 1. セッションと認証情報が、すでに認証済みの要求から抽出される。 2. 必要な場合は、認証の相互作用がユーザーとの間で開始される。

3. Tivoli Access Manager の信任状が作成される。

4. ユーザーがアクセスできるリソースが識別され、これらのリソースが、対応する

Tivoli Access Manager の保護オブジェクト名にマップされる。保護オブジェク

ト名とは、Web サイトのセキュアな部分や、特定のユーザーだけがアクセスを 許可されているアプリケーションなどの、電子的なエンティティーを言います。 5. 要求または応答に変更が必要であるかどうかが判別される。 6. プラグインまたはホスト Web サーバーが必要とする応答が、要求または応答に cookie またはヘッダーを追加することによって、あるいは応答 (認証済み応答ま たは非認証応答) を生成することによって生成される。

仮想ホストのサポート

1 つの Web サーバーがインターネットに対して複数のホストとして現れる仮想ホ

スティング機能。 Tivoli Access Manager Plug-in for Web Servers がサポートして いる Web サーバーにはすべて、仮想ホスティング機能があります。

Tivoli Access Manager Plug-in for Web Servers は、セキュリティー・ポリシーを仮 想ホストごとにインプリメントする機能を備えています。この機能をインプリメン トするために必要なアプリケーションのセットアップについては、この資料の後の 節で説明します。

Tivoli Access Manager Plug-in for Web Servers

による Web スペー

スの保護

Tivoli Access Manager Plug-in for Web Servers には、以下の機能があります。

v _{基本認証、IP アドレス、トークン、証明書、フォームなどの複数の認証方式をサ} ポートする。 v _{HTTP 要求および HTTPS 要求を受け入れる。} v _{組織のポリシーに基づいて ユーザー要求の認証および許可を行うことにより、} Web サーバーのリソースを保護する。 v _{仮想ホスト環境での要求の認証および許可をサポートする。} v _{Web サーバー・スペースへのアクセス制御を管理する。サポートされるリソース}

には、URL、URL ベースの正規表現、CGI プログラム、HTML ファイル、Java サーブレット、および Java クラス・ファイルが含まれます。 v _{許可検査中にユーザー・レジストリー・データベースに繰り返し照会するのを防} ぐため、セッション情報と信任状情報をキャッシュに入れる。 v _{シングル・サインオン機能を提供する。} 企業が用いるセキュリティー・ポリシーでは、保護を必要とする Web リソースを 識別し、それらの Web リソースごとに必要な保護レベルを指定します。 Tivoli

Access Manager は、保護を必要とするこれらの Web リソースの仮想表現を使用し

ます。これを 保護オブジェクト・スペース と呼びます。保護オブジェクト・スペ ースには、ネットワーク内の実際の物理リソースを表すオブジェクトが入っていま す。セキュリティー・ポリシーのインプリメンテーションは、保護を必要とするオ ブジェクトに適切なセキュリティー・メカニズムを適用することによって行いま す。 セキュリティー・メカニズムには、以下のものが含まれます。 v _{アクセス・コントロール・リスト (ACL) ポリシー} ACL ポリシーは、アクセスの考慮の対象となるユーザー・タイプを識別し、さら に、オブジェクトに対して許可される操作をユーザー・タイプごとに指定しま す。 v _{保護オブジェクト・ポリシー (POP)} POP は、保護オブジェクトへのアクセスを管理する追加の条件 (プライバシー、 保全性、監査、時刻アクセスなど) を指定します。 v _許可規則 許可規則は、許可ポリシー内に含まれる条件で、ユーザー、アプリケーション、 および環境コンテキストなどの属性に基づいてアクセス決定をするために使用さ れます。 v _拡張属性 拡張属性とは、オブジェクト、ACL、または POP に指定された、許可の判断に 影響する付加的な値です。 ユーザーの信任状およびオブジェクトに指定されたアクセス制御に基づいて、保護 リソースへのアクセスの許可または拒否は、Tivoli Access Manager Plug-in for Web

適切な ACL および POP ポリシーを適用する必要があります。アクセス制御の管 理は、複雑なものになることもありますが、コンテンツ・タイプを注意深くカテゴ リー化することにより簡単なものになります。ポリシーの設定の詳細説明を含む、 Tivoli Access Manager の包括的な説明については、「IBM Tivoli Access Manager

Base 管理者ガイド」を参照してください。

Tivoli Access Manager Plug-in for Web Servers

の認証

認証とは、セキュア・ドメインにログオンしようとする個々のプロセスまたはエン ティティーを識別する方式です。許可とは、認証済みユーザーが特定のリソースに 対して操作を行う権限を持っているかどうかを判別する方式です。認証は、個々の ユーザーが主張どおりの人物であるかどうかは確認しますが、リソースに対して操 作を実行することができるかどうかについては何も明らかにしません。

Tivoli Access Manager Plug-in for Web Servers は、各クライアントに識別証明の提 示を求めることにより、セキュア・ドメイン内で高度のセキュリティーを実現しま す。 Tivoli Access Manager Plug-in for Web Servers でクライアントの認証と許可 を制御することにより、包括的なネットワーク・セキュリティーを実現できます。 以下の条件が Tivoli Access Manager Plug-in for Web Servers の認証に適用されま す。 v _{プラグインが、認証方式の標準セットをサポートする。プラグインをカスタマイ} ズして、他の認証方式をサポートすることもできます。 v _{プラグイン・プロセスは、認証方式から独立している。} v _{プラグインは、クライアント識別のみを必要とする。プラグインは、この識別か} ら、認証済み (または非認証) 信任状を取得します。許可サーバーは、この信任状 を使って、リソースへのアクセスを許可または拒否できます。 このように認証のアプローチが柔軟性に富んでいるため、セキュリティー・ポリシ ーを、物理的なネットワーク・トポロジーにではなく、ビジネス上の要件に基づい たものとすることができます。

Tivoli Access Manager Plug-in for Web Servers 認証プロセスの結果として、次のア クションがとられます。

1. クライアント認証の結果として、クライアント識別が作成される。

クライアント認証は、ユーザーが Tivoli Access Manager ユーザー・レジストリ ーに定義されたアカウントを持っている場合のみ成功します。それ以外の場合、 ユーザーは非認証として指定されます。

2. Tivoli Access Manager Plug-in for Web Servers が、クライアント識別を使用し てクライアントの信任状を入手する。

プラグインは、認証済みクライアント識別を登録済み Tivoli Access Manager ユ ーザーと突き合わせます。それから、プラグインは適切なユーザー信任状を取得 します。これを信任状取得と言います。 信任状には、ユーザー名と、ユーザーが所属するすべてのグループが含まれま す。それらの信任状はプラグインから使用可能です。プラグインは、Tivoli Access Manager の保護オブジェクト・スペース内の要求されたオブジェクトへ のアクセスを、許可または拒否します。

信任状は、クライアントについての情報を必要とするあらゆる Tivoli Access

Manager サービスで使用できます。信任状により、Tivoli Access Manager が安

全に数多くのサービス (許可、監査、代行など) を行えるようになります。 特定の認証方式のサポートについて詳しくは、 43 ページの『第 3 章 IBM Tivoli Access Manager Plug-in for Web Server の認証および要求プロセス』を参 照してください。

信任状の取得

認証プロセスの主要な目的は、クライアント・ユーザーについて記述している信任 状情報を取得することです。ユーザー信任状は、セキュア・ドメインに参加するた めの主要な要件です。

Tivoli Access Manager は、ユーザーの認証と信任状の取得とを区別します。ユーザ

ーの識別は常に不変です。しかし、信任状 (ユーザーが参加するグループおよび役 割を定義する) は可変です。コンテキスト固有の信任状は、時間とともに変化しま す。たとえば、ある人が昇進した場合、信任状は新しい責任レベルを反映する必要 があります。

認証プロセスの結果として、メソッド固有のユーザー ID 情報が作成されます。こ の情報は、Tivoli Access Manager ユーザー・レジストリー (デフォルトでは LDAP) にあるユーザー・アカウント情報に照らし合わされます。 Tivoli Access Manager

Plug-in for Web Servers は、ユーザー名およびグループ情報を、ドメイン全体に及

ぶ一般的な表現とフォーマット (Extended Privilege Attribute Certificate (EPAC) と言 う) にマップします。 メソッド固有の識別情報 (パスワード、トークン、および証明書など) は、ユーザー の物理的な識別プロパティーを表します。この情報は、サーバーとのセキュア・セ ッションを確立するために使用することができます。 結果として作成される信任状は、セキュア・ドメインにおけるユーザーの特権を表 すものであり、特定のコンテキストにおけるユーザーを記述します。これは、その セッションの存続時間に限って有効です。

Tivoli Access Manager 信任状には、ユーザー ID、およびこのユーザーが所属する

グループが含まれています。

信任状は、クライアントについての情報を必要とするあらゆる Tivoli Access

Manager サービスで使用できます。たとえば、Tivoli Access Manager の 許可サー

バーは信任状を使用して、ユーザーが、セキュア・ドメイン内の保護リソースに対 して特定の操作を実行する許可を与えられているかどうかを判別します。また、信 任状は、ロギングおよび監査などのその他のタスクでも使用されます。

EPAC には、Tivoli Access Manager がアクセス・コントロール・リスト (ACL) を

以下の EPAC フィールドが、Tivoli Access Manager で使用されます。

表 1. Tivoli Access Manager の EPAC フィールド

属性 説明

セキュア・ドメイン ID プリンシパルのホーム・セキュア・ドメイン ID

プリンシパル UUID プリンシパルの UUID

グループ UUID プリンシパルが属するグループの UUID (複数の場合もある)

現行のセッションを保持したままでユーザーの信任状情報をリフレッシュするよう に Tivoli Access Manager Plug-in for Web Servers を構成することができます。こ の機能は、ユーザーが特定のセキュア・アプリケーションへの追加アクセスを必要 とする場合や、ユーザーに現行セッションをログアウトさせなくてもユーザーのア クセスを制限できるようにする必要がある場合に役立ちます。信任状のリフレッシ ュに対するプラグインの構成については、 36 ページの『信任状のリフレッシュ』を 参照してください。

第 2 章 IBM Tivoli Access Manager Plug-in for Web

Servers

の構成

この章では、IBM Tivoli Access Manager (Tivoli Access Manager) Plug-in for Web

Servers をカスタマイズするために行う一般的なアドミニストレーション・タスクお よび構成タスクについて説明します。 この章は以下のトピックから構成されています。 v _{『プラグインについての一般情報』} v _{11ページの『許可サーバー の構成』} v _{13ページの『仮想ホスト・サーバーの構成』} v _{16ページの『Web サーバー固有の構成』} v _{19ページの『オブジェクト・リストのカスタマイズ』} v _{21ページの『アドミニストレーター用のユーザー切り替え (SU) の構成』} v _{27ページの『LDAP サーバー用のフェイルオーバーの構成』}

v _{28ページの『Platform for Privacy Preferences (P3P) ヘッダーのサポート』}

v _{32ページの『プラグインの監査、ロギング、トレース、およびキャッシュ・デー} タベースの構成』 v _{36ページの『Authorization API サービスの構成』} v _{36ページの『信任状のリフレッシュ』} v _{38ページの『HTTP 要求キャッシングの構成』} v _{39ページの『言語サポートと文字セット』}

プラグインについての一般情報

以下の各節では、Tivoli Access Manager Plug-in for Web Servers の構成に関する一 般情報について説明します。

v _{『Tivoli Access Manager Plug-in for Web Servers のインストールのルート・ディ} レクトリー』

v _{8ページの『pdwebpi.conf 構成ファイル』}

v _{9ページの『pdwebpimgr.conf 構成ファイル』}

v _{9ページの『Tivoli Access Manager Plug-in for Web Servers の開始と停止』}

v _{10ページの『HTTP エラー・メッセージ』}

v _{10ページの『マクロ・サポート』}

v _{11ページの『マクロに関連したフォーム』}

Tivoli Access Manager Plug-in for Web Servers

のインスト

ールのルート・ディレクトリー

UNIX: /opt/pdwebpi/ Windows: C:¥Program Files¥Tivoli¥PDWebPI¥ プラグインを Windows にインストールする際に、このパスを構成できます。 UNIX へのインストールでは、このパスを構成できません。本書では、install_path 変数を、このルート・ディレクトリーを表すものとして用いています。 UNIX へのインストールでは、以下の別個のディレクトリーに、監査ファイルやロ グ・ファイルのような拡張可能なファイルが含まれています。 /var/pdwebpi/

Tivoli Access Manager ランタイムの構成時にこのファイルを選択した場合、共通の

Tivoli ディレクトリーにログ・ファイルが書き込まれます。

pdwebpi.conf

構成ファイル

pdwebpi.conf 構成ファイル内にあるパラメーターを構成することにより、プラグイ ンのオペレーションをカスタマイズすることができます。そのファイルは、以下の ディレクトリーに置かれています。 UNIX: install_path/etc/ Windows: install_path¥etc¥ 以下の表では、構成ファイルのスタンザを分類しています。 表 2. pdwebpi.conf 節の要約 セクション スタンザ

GENERAL [module-mgr] [modules] [wpiconfig] [pdweb-plugins] [performance]

AUTHENTICATION [common-modules] [authentication-levels]

[authentication-mechanisms] [user-agent] [acctmgmt] [BA] [failover] [failover-add-attributes] [failover-restore-attributes] [forms] [login-form-1] [ltpa] [tag-value] [token-card] [http-hdr] [iv-headers] [login-redirect] [ntlm] [spnego] [boolean-rules] [switch-user] [dynurl] [cred-refresh] [ext-auth-int] [auth-data] [http-method-perms] [web-server-authn]

SINGLE SIGNON [fsso] [ecsso] [ecsso-domain-keys] [ecsso-token-attributes] [ecsso-incoming-attributes] [cdsso] [cdsso-domain-keys] [cdsso-token-attributes] [cdsso-incoming-attributes]

VIRTUAL HOSTS [virtual-host-name]

SESSIONS [sessions] [session-cookie]

LDAP [ldap]

LOGGING [web-log]

表 2. pdwebpi.conf 節の要約 (続き)

セクション スタンザ

P3P [p3p-header]

AUTHORIZATION API [aznapi-entitlement-services] [aznapi-configuration] WEB SERVER [ihs] [iis] [iplanet] [apache]

pdwebpi.conf 構成ファイル内部で構成できるパラメーターの説明については、

199ページの『付録 B. pdwebpi.conf のリファレンス』を参照してください。

注: pdwebpi.conf ファイルを変更する場合は、必ず手動で Tivoli Access Manager

Plug-in for Web Servers を再始動して、新規の変更が認識されるようにしなけ

ればなりません。アプリケーションの始動と停止の説明については、『Tivoli

Access Manager Plug-in for Web Servers の開始と停止』を参照してください。

pdwebpimgr.conf

構成ファイル

プラグインの UNIX インストール・システムには、構成ファイル pdwebpimgr.conf が含まれます。この構成ファイルには、権限デーモンが失敗した場合に自動的に再 始動させるために使用されるパラメーターが入っています。 そのファイルは、以下のディレクトリーに置かれています。 install_path/etc/ このファイルのパラメーターを変更しなければならない理由はありません。

Tivoli Access Manager Plug-in for Web Servers

の開始と停

止

プラグイン・プロセスを始動および停止するには、UNIX の場合は pdwebpi_start コマンドを使用し、Windows の場合は「コントロール パネル」から「管理ツー ル」を経由した「サービス」パネルを使用します。 UNIX: pdwebpi_start {start|stop|restart|status} たとえば、プラグインを停止した後それを再始動するには、以下を使用します。 # pdwebpi_start restart pdwebpi_start コマンドは、以下のディレクトリーに入っています。 install_path/sbin/ Windows: 「コントロール パネル」から「管理ツール」を経由した「サービス」パネル内でそ のプラグインを見分け、適切なコントロール・ボタンを使用します。 注: pdwebpi は 許可サーバーのプロセスです。 UNIX システムでは、許可サーバ ーが失敗した場合、プロセス pdwebpimgrd が自動的にこれを再始動します。 Windows では、許可サーバーは、Windows サービスによって自動的に再始動さ

HTTP

エラー・メッセージ

Tivoli Access Manager Plug-in for Web Servers が要求を処理しようとして、失敗す ることがあります。失敗の原因として、さまざまなものが考えられます。失敗の一 般的な原因は、以下の 2 つです。 v _{ファイルが存在しない。} v _{許可設定によってアクセスが禁止されている。} プラグインは、要求をサービスできなかった場合、エラー・コードを Web サーバ ーに戻し、Web サーバーはそのエラー・コードを解釈して対応するエラー・ページ を表示します。

IIS

エラー・メッセージの表示のカスタマイズ

IIS には、クライアントに表示されるエラー・ページのフォーマットと内容をカスタ マイズする機能が用意されています。この機能は、クライアントに、より詳細なエ ラー情報を表示するときに役立ちます。プラグインは、IIS 内部で、エラー・ページ をカスタマイズするこの機能を使用できます。

pdwebpi.conf 構成ファイルの [iis] スタンザ内にある use-error-pages パラメー

ターを使用すると、 IIS で構成されたエラー・ページまたは標準エラー・コード・ ページのどちらをクライアント・ブラウザーに戻すかを選択することができます。 use-error-pages パラメーターを yes に設定すると、プラグインはカスタマイズさ れた IIS エラー・ページがあれば、それを使用します。no に設定すると、許可サー バーで発生したエラーには、標準のエラー・ページが表示されます。デフォルトで は、use-error-pages パラメーターは no にセットされています。 注: use-error-pages を yes にセットする、つまり、許可サーバーのエラーに対し てカスタマイズされた IIS エラー・ページを表示できるようにすると、プラグ インのパフォーマンスが大幅に低下します。

マクロ・サポート

HTML エラー・ページをカスタマイズするために、以下のマクロが使用可能です。 使用可能な適切な情報が、マクロによって動的に置換されます。 表 3. サポートされているマクロ置換 マクロ 説明 %USERNAME% ログインしたユーザーの名前 %ERROR_CODE% エラーと関連した数値エラー・コード %ERROR_TEXT% エラーと関連したエラー・テキスト %URL% クライアントから要求された URL %HOSTNAME% 完全修飾ホスト名 %HTTP_BASE% サーバーのベース HTTP URL http://host:tcpport/ %HTTPS_BASE% サーバーのベース HTTPS URL https://host:sslport/ %HTTP_BODY% 要求の本体 (存在する場合)。 %REFERER% 要求の referer ヘッダーの値。ない場合には、 「Unknown」。