|
項目 |
定義名 |
設定内容 |
省略可否 |
|
リポジトリサーバ |
connection-timeout |
リポジトリサーバからの応答をタイムアウト監視する時間を[秒単位]で設定します。
0:タイムアウトしません。
1〜300:設定した時間までにリポジトリサーバから応答がない場合は、タイムアウトとなります。
省略した場合、または上記以外を設定した場合は"60"秒とみなします。 |
省略可 |
|
reference-repository |
リポジトリサーバを複数台配置し負荷分散を行う場合は、参照系リポジトリサーバのホスト名またはIPアドレスを設定します。参照系リポジトリサーバの詳細については、“負荷分散”を参照してください。
負荷分散を行わない場合は、本設定を行う必要はありません。
"update-repository"と同一のホスト名またはIPアドレスを設定した場合は、参照系/更新系兼用のリポジトリサーバとみなされます。
参照系リポジトリサーバを複数設定する場合は、複数の行に繰り返して設定してください。
複数設定した場合は、先頭のリポジトリサーバから接続します。接続したリポジトリサーバより電源断などで応答がない場合は、次に設定されたリポジトリサーバに接続します。
ただし、更新系リポジトリサーバが停止または異常が発生している場合は、参照系リポジトリサーバが運用可能な状態であっても、利用者の認証に失敗します。詳細については、“可用性”を参照してください。
ポート番号を設定する場合はコロン":"で区切って続けてポート番号を設定してください。コロン":"以降を省略した場合は"80"番ポートで動作します。
(例:reference-repository=repository_server2.fujitsu.com:10550
reference-repository=repository_server3.fujitsu.com:10550) |
省略可 |
|
connection-retry-interval |
参照系リポジトリサーバへの接続が失敗し接続先を自動的に次の参照系リポジトリサーバに変更した場合、本来の接続先に再び接続を試みるまでの時間を[分単位]で設定します。
0:毎回試みます。
1〜1440:設定した時間を経過すると試みます。
省略した場合、または上記以外を設定した場合は"60"分とみなします。
※"reference-repository"で複数の参照系リポジトリサーバが設定されている場合にのみ有効となります。
 
※設定された時間が経過する前に再び接続を試みることがあります。 |
省略可 |
|
SSLクライアント証明書のHTTPヘッダ |
ssl-client-cert-http-header |
証明書認証時に、利用者が提示したクライアント証明書を獲得するHTTPヘッダ名を設定します。
SSL Accelerator 7117と連携する場合にはSSL Accelerator 7117に設定したHTTPヘッダ名と合わせて設定してください。詳細については“SSL Accelerator 7117との連携”を参照してください。
省略した場合はInterstage HTTP Serverから通知された証明書をSSL通信のクライアント証明書とみなします。 |
省略可 |
|
認証オプション |
auth-constraints-to-network |
利用者の接続元IPアドレスに応じた認証方式および認証の有効期間を以下のいずれかの形式で設定します。
・ネットワークアドレス@認証方式@認証の有効期間
・ネットワークアドレス@@認証の有効期間
・ネットワークアドレス@認証方式@
※上記以外の形式で設定した場合、Interstage HTTP Serverが起動されません。
上記の形式で複数設定することができます。複数設定する場合には、カンマ","で区切って設定します。
ネットワークアドレス(サブネットマスクやサブネットマスクビット長が同じアドレスを示す場合も含む)を重複して設定した場合、先に設定した情報が有効になります。また、先に設定した内容に誤りがある場合には、Interstage HTTP Serverが起動されません。
・ネットワークアドレスを以下の形式で設定します。
IPアドレスとサブネットマスクから求められる範囲のIPアドレスすべてに対して有効になります。
IPアドレス:サブネットマスク、またはIPアドレス/サブネットマスクビット長
(記述例:IPアドレス:サブネットマスクの場合
192.168.0.0:255.255.255.0
IPアドレス/サブネットマスクビット長の場合
192.168.0.0/24)
(設定例1:192.168.0.0〜192.168.0.255のIPアドレスに対して設定する場合
192.168.0.0:255.255.255.0
192.168.0.0/24
設定例2:192.168.0.64〜192.168.0.127のIPアドレスに対して設定する場合
192.168.0.64:255.255.255.192
192.168.0.64/26)
設定されたIPアドレスに対してのみ有効となります。
IPアドレス
(記述例:192.168.0.108)
(設定例:単一のIPアドレス 192.168.0.108 を設定する場合
192.168.0.108)
・認証方式を以下の値で設定します。
basicAuth:基本認証
certAuth:証明書認証
basicAuthAndCertAuth:基本認証かつ証明書認証
basicAuthOrCertAuth:基本認証または証明書認証
認証方式が省略された場合は、SSOリポジトリから獲得した認証方式を優先し、次に、"basicAuthOrCertAuth"とみなします。なお、認証方式を省略する場合には"IPアドレス@@認証の有効期間"の形式で設定してください。
・認証の有効期間を[分単位]で設定します。
0:無制限になります。
30〜1440:設定した時間を経過すると、利用者の認証は無効になり、再度認証が必要となります。
認証の有効期間を省略した場合と、上記以外の値を設定した場合には、SSOリポジトリから獲得した認証の有効期間、または"default-credential-expiration-time"の時間が有効となります。
(例1:ネットワークアドレス@認証方式@認証の有効期間を設定する場合
192.168.0.0:255.255.255.0@basicAuth@300
192.168.0.0/24@basicAuth@300
例2:単一のIPアドレス@認証方式@認証の有効期間を設定する場合
192.168.0.108@basicAuth@300
例3:認証方式を省略した場合
192.168.0.0:255.255.255.0@@300
192.168.0.0/24@@300
例4:認証の有効期間を省略した場合
192.168.0.0:255.255.255.0@basicAuth@
192.168.0.0/24@basicAuth@
192.168.0.108@basicAuth@
例5:複数設定する場合
192.168.0.0:255.255.255.0@basicAuth@300,192.168.1.0/24@@300,192.168.0.108@basicAuth@) |
省略可 |
|
check-client-ip |
認証サーバに接続したクライアントのIPアドレスをもとに、利用者が既に認証済みであるかを確認します。
YES:確認します。
NO:確認しません。
省略した場合、または上記以外を設定した場合は"YES"とみなします。
※クラスタ環境では、"NO"と設定してください。また、プロキシサーバやロードバランサを利用している場合には、利用者のIPアドレスが変換されることがあります。その場合にも"NO"と設定してください。 |
省略可 |
|
password-failure-max-cache-count |
基本認証に失敗した際に毎回SSOリポジトリへ書き込むことを抑制することで、更新系リポジトリサーバの負荷を減らすことができます。本設定は失敗回数をSSOリポジトリへ書き込むことを抑制する回数を設定します。
なお、本設定は更新系リポジトリサーバと参照系リポジトリサーバに分けて運用を行っており、かつ異なるホスト名またはIPアドレスを設定した場合のみ有効となります。
0:抑制せずに毎回書き込みます。
1〜16:設定した回数まで書き込みを抑制します。
省略した場合、または上記以外を設定した場合は"0"とみなします。
※"password-max-failure-count"に"0"が設定された場合は、ロックアウトされないため本設定は無効となります。
※本設定の値が"password-max-failure-count"に設定された値より大きい場合は、"password-max-failure-count"に設定された値に達した時点でSSOリポジトリへ書き込みが行われます。
例えば、本設定の値に"1"を設定した場合は、1回目の基本認証が失敗した時にはSSOリポジトリへ書き込みは行われずに、2回目に基本認証が失敗した時にSSOリポジトリへ書き込みが行われます。(SSOリポジトリのSSOパスワード認証失敗回数"ssoFailureCount"には"2"が書き込まれます) |
省略可 |
|
certificate-identification |
証明書認証時に、利用者から提示された証明書とSSOリポジトリのユーザ情報に設定されている証明書を比較するかを設定します。
YES:比較します。
NO :比較しません。
省略した場合または上記以外を設定した場合は"NO"とみなします。
"NO"を設定した場合は、証明書中の所有者名の情報をもとにしてSSOリポジトリからユーザエントリを1件だけに特定できる場合に、認証を成功とします。
"YES"を設定した場合は、さらに、利用者から提示された証明書とSSOリポジトリ中の証明書が一致する場合のみ認証を成功とします。 |
省略可 |
|
allow-redirect-over-http |
認証情報を受け取る業務サーバのプロトコルに暗号化されていない通信(HTTP)の許可を設定します。
YES:HTTPの業務サーバに認証情報を送ります。
NO :HTTPの業務サーバに認証情報を送りません。
省略した場合、または上記以外を設定した場合は"NO"とみなします。 |
省略可 |
|
証明書の有効性確認 |
certificate-revoke-check |
証明書認証を運用する場合、CRLによるSSLクライアント証明書の有効性確認を行うかを設定します。
YES:証明書の有効性確認を行います。
NO:証明書の有効性確認を行いません。
省略した場合、または上記以外を設定した場合は"NO"とみなします。
※証明書認証の場合のみ有効となります。 |
省略可 |
|
environment-directory |
運用管理ディレクトリを絶対パスで設定します。「certificate-revoke-check=YES」と設定した場合は必ず設定してください。
<インストールパス>\etc\security\env\smee\の形式で設定してください。
(例:environment-directory=C:\Interstage\etc\security\env\smee\)
/etc/opt/FJSVisas/security/env/smee/と設定してください。
(例:environment-directory=/etc/opt/FJSVisas/security/env/smee/)
|
省略可
(注1) |
|
保護リソース以外からの認証要求の抑止(注3) |
reject-incorrect-protection-resource-url |
業務システムの保護リソース以外からの認証要求を抑止するかを設定します。
YES:抑止します。
NO:抑止しません。
省略した場合は、"NO"とみなします。
また、設定された値が上記以外の場合は、システムのログにsso02040のエラーメッセージを出力し、"NO"とみなします。 |
省略可 |
|
protection-resource-url |
業務システムの保護リソース以外からの認証要求を抑止する場合において、認証要求を受け付ける保護リソースのURLを設定します。
「reject-incorrect-protection-resource-url=YES」と設定した場合は必ず設定してください。
保護リソースのURLには、SSOリポジトリに登録されているサイト定義、およびパス定義の情報を、以下のURL形式で設定します。
<URL形式>
[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]:
"https://"、または"http://"を設定してください。
[ホスト名]:
保護リソースのサイト定義で定義されているホスト名をFQDNで設定してください。ホスト名には、"@"、"?"、および"&"を含めないでください。
[:ポート番号]:
保護リソースのサイト定義で定義されているポート番号を設定してください。ポート番号は省略できます。省略した場合は、URLのプロトコルスキームの設定によって、ポート番号は以下のように設定されたものとみなします。
・プロトコルスキームが"https://"の場合
ポート番号:":443"
・プロトコルスキームが"http://"の場合
ポート番号:":80"
[パス]:
保護リソースのパス定義を設定してください。パスは省略できません。以下に注意して設定してください。
・"/"から始まるパスを必ず設定してください。
・相対パス("/./"、"/../")、連続した"/"("//")、および";"を含めないでください。
・"/."、または"/.."で終わる文字列を設定しないでください。
上記のURL形式については、以下に注意して設定してください。
- 英数字、または記号のみを使用してください。ただし、以下の記号は使用できません。
"<"、">"、"""、"{"、"}"、"|"、"\"、"^"、"["、"]"、"`"、" "、"%"
- 漢字などのマルチバイト文字(MBCS)は使用しないでください。
- 2048バイト以内の文字列を設定してください。
- 設定するURL形式にはクエリ文字列は含めないでください。
保護リソースのURLの設定例)
httpsで運用するポート番号443の保護サイト"bus.example.com"の保護パス"/protect/"を設定する場合。
protection-resource-url=https://bus.example.com:443/protect/
設定された保護リソースのURLの末尾が"/"の場合はディレクトリとして扱い、設定値と認証要求時に提示されたURLが前方一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。
URLの末尾が"/"以外の場合はファイルとして扱い、設定値と認証要求時に提示されたURLが完全一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。
保護リソースのURLを複数設定する場合は、1行に1つの保護リソースのURLを設定し、複数の行に繰り返して設定してください。
複数設定した場合は、先頭行から順に、設定値と認証要求時に提示されたURLが一致するか判定します。
設定例)
2つの保護リソースのURLを設定する場合。
protection-resource-url=https://bus.example.com:443/protect/
protection-resource-url=https://bus.example.com:443/bussystem/
「reject-incorrect-protection-resource-url=YES」と設定した場合に本定義を省略した場合は、認証サーバ起動時にシステムのログにsso02008のエラーメッセージを出力し、認証サーバを停止します。
保護リソースのURLの設定値が正しくない場合は、認証サーバ起動時にシステムのログにsso02007のエラーメッセージを出力し、認証サーバを停止します。 |
省略可
(注2) |
|
アクセスログ |
accesslog-filename |
アクセスログの出力先ファイル名を絶対パスで設定します。
※省略した場合、アクセスログは出力されません。 |
省略可 |
|
accesslog-filesize |
アクセスログのファイルサイズの上限を[KB単位]で設定します。
1〜2000000:アクセスログのファイルサイズ
省略した場合、または上記以外を設定した場合は「1024KB」とみなします。
※accesslog-filenameが設定されている場合にのみ有効となります。 |
省略可 |
|
accesslog-save-all-log |
アクセスログのファイルサイズが上限に達した場合のファイルの保存方法を設定します。
YES:毎回別ファイルとして保存します。
NO:“アクセスログファイル名.last”という名前で保存します。
省略した場合、または上記以外を設定した場合は"NO"とみなします。
"YES"の場合は“アクセスログファイル名.YYYYMMDDHHMMSS” (保存年月日時分秒の文字列)という名前で保存します。
"NO"の場合は“アクセスログファイル名.last”という名前で保存します。
ファイルはアクセスログと同じディレクトリに保存します。
※accesslog-filenameが設定されている場合にのみ有効となります。 |
省略可 |
|
クライアントに通知するメッセージ |
detail-client-message |
認証に失敗した場合にクライアントに通知するエラーメッセージ画面について、エラー内容を詳しく伝える許可を設定します。
YES:認証が失敗した原因を詳しく利用者に伝えます。
NO :認証が失敗した時のメッセージ内容を「ユーザ名、またはパスワードが正しくありません」に統一します。
省略した場合、または上記以外を設定した場合は"NO"とみなします。
認証の失敗原因を詳しく利用者に伝えることは、悪意を持った利用者にユーザ名が存在することを明かして、攻撃の足がかりとなってしまう危険性があります。ユーザ名の存在が重要でないような運用環境に限り、YESを設定するようにしてください。 |
省略可 |
