| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.4 ユーザ認証機能(Solaris版/Windows版) | > 2.4.3 運用環境 |
認証ユーザごとに、以下のいずれかの認証方式(パスワードの方式)を利用することができます。
パスワードなし
固定パスワード
ワンタイムパスワード( S/Key 方式)
ワンタイムパスワード( SecurID 方式)
証明書
|
認証方式 |
認証クライアントの種類 |
||
|---|---|---|---|
|
TELNET |
Web |
Safegate client |
|
|
パスワードなし |
○ |
○ |
○ |
|
固定パスワード |
○ |
○ |
○ |
|
ワンタイムパスワード(S/Key) |
○ |
○ |
○ |
|
ワンタイムパスワード(SecurID) |
○ |
○ |
○ |
|
証明書 |
× |
× |
○ |
以下に、それぞれの認証方式について説明します。
"ユーザ名"のみで認証処理を行います。
最もセキュリティレベルが低い認証方式であるため推奨できません。
認証時に、毎回同じ固定のパスワードを入力します。
本製品 では、以下の種類の固定パスワードが利用できます。
PAP( Password Authentication Protocol )方式
CHAP( Challenge-Handshake Authentication Protocol )方式
一度しか利用できないパスワードで、認証するたびに毎回異なります。そのため、使い捨てパスワードと呼ばれる場合があります。パスワードが盗聴されても次の認証時には同一のパスワードは利用できないため、安全性が高いパスワードです。
S/Key 方式では、認証時にサーバから通知されるコード(チャレンジコード)をもとにクライアント側でワンタイムパスワード生成プログラムを用いてパスワードを生成し、そのパスワードをサーバへ通知して認証するチャレンジ・レスポンス形式のパスワードです。
S/Key 方式のワンタイムパスワード(最初の認証時に設定)を使用した場合、最初の認証時にクライアントでは、種とシーケンス、パスワードの入力を促すプロンプトが表示されます。このパスワードにはワンタイムパスワード生成プログラム(通知された種とシーケンス、ユーザが任意で決めた秘密パスワードを入力する)で生成したワンタイムパスワードを入力します。シーケンス番号は、ユーザ認証が 1 回完了するたびに自動的に1 ずつ引かれていき、0 になるとパスワードは使用できなくなります。シーケンス番号と種は、ユーザがワンタイムパスワードを作成する時に必要なチャレンジコードであり、ユーザ認証を行う時に本製品 からユーザ端末に通知されます。
ユーザ端末では、通知されたシーケンス番号、種およびユーザの秘密パスワードを使用してワンタイムパスワードを作成し、ユーザ認証時のパスワードとして 本製品 に通知します。
以降、生成プログラムに入力した秘密パスワードが有効となります。
また、セットアップの「ユーザ設定」で、"最初の認証時に設定"が設定されていると、最初に認証要求が行われたタイミングで、ワンタイムパスワードの「シーケンス番号」および「種」の設定画面を表示させ、ユーザにワンタイムパスワード( S/Key 方式)を設定させることができます。
ワンタイムパスワード生成プログラムの詳細は、「ファイアウォール機能 リファレンスマニュアル」の「ワンタイムパスワード生成プログラム」を参照してください。
S/Key 方式と同様、一度しか利用できないパスワードで、認証するたびに毎回異なります。
SecurID 方式では、利用者のユーザ ID およびワンタイムパスワードによって、認証の可否を判断する方式です。ワンタイムパスワードが 60 秒ごとに変化して SecurID カード上へ表示されるため、認証情報が盗聴された場合でも悪用される危険性が低く、セキュリティのレベルが高いパスワード方式です。
SecurID を利用したユーザ認証を行う場合には、ACE/Server およびACE/Client が必要になります。本製品 は、ACE/Client を通してACE/Server へ認証処理を依頼します。本製品 では、ACE/Server およびACE/Client を提供していません。別途、ご用意ください。また、ACE/Serverの設置、設定については、ACE/Sever に添付のマニュアルを参照してください。
Safegate client または Safegate集中管理との認証方式として、固定パスワード方式やワンタイムパスワード方式に加え、証明書を利用することができます。証明書を利用した認証では、証明書に格納されている情報を使用して、ユーザの正当性を確認します。また、証明書を利用した認証を"証明書認証"といいます。
証明書認証における処理フローの概要について説明します。
以下に、処理フローの概要について説明します。
認証クライアント(Safegate client または Safegate 集中管理)からの接続要求が発生します。
認証クライアントと認証ゲートウェイとの間に認証コネクションが確立されます。
認証クライアントから、認証ゲートウェイへユーザ名が送信されます。
認証ゲートウェイでは、送信されたユーザ名に対する認証方式として証明書が設定されているため、認証クライアントに対して証明書の送信要求を行います。
認証クライアントは、自身の証明書を認証ゲートウェイに送信します。
認証ゲートウェイでは、送信されてきた証明書の正当性を確認します。
証明書が正当な場合、該当するユーザ名に設定されたアクセス環境を構築し、認証クライアントに認証結果を通知します。
認証クライアントは、認証コネクションを保持した状態でターゲットサーバとの通信を行います。
ターゲットサーバとの通信終了後、認証クライアントから認証終了通知が発行されます。
認証ゲートウェイは、対応するアクセス環境をクリアし、認証クライアントに認証終了応答を通知します。
認証コネクションが解放されます。
証明書認証で使用する証明書には、以下の種類があります。
ユーザ証明書
Safegate client または Safegate 集中管理から送信された証明書 です。
SDFW証明書
本製品 に登録された証明書です。Safegate client またはSafegate 集中管理で 本製品 を認証するために使用します。
発行局証明書
ユーザ証明書を発行した発行局の証明書です。
無効証明書リスト(CRL)
無効となった証明書のリストです。
証明書の有効性を検証するために、以下のリストを使用します。上記の各証明書における認証情報について以下に示します。
|
証明書中の情報 |
説明 |
|---|---|
|
証明書有効期間 |
ユーザ証明書の有効期間 |
|
シリアル番号 |
ユーザ証明書のシリアル番号 CRL で広報される無効な証明書と一致するか否かを識別します。 |
|
証明書公開鍵 |
認証するユーザの公開鍵 この公開鍵を使用して対応するユーザの電子署名を検証します。 |
|
証明書発行局のDN |
証明書を発行した発行局の DN この情報を使用し、発行局自身の証明書を検索して発行局の公開鍵を獲得します。 |
|
CommonName |
本製品 の認証ゲートウェイは、この情報を使用し、本製品 のユーザ設定で定義した証明書識別情報との一致性を検証します。 |
|
証明書中の情報 |
説明 |
|---|---|
|
証明書有効期間 |
SDFW証明書の有効期間 |
|
シリアル番号 |
SDFW証明書のシリアル番号 CRL で広報される無効な証明書と一致するか否かを識別します。 |
|
証明書公開鍵 |
認証する本製品の公開鍵 この公開鍵を使用して対応する本製品の電子署名を検証します。 |
|
証明書発行局のDN |
証明書を発行した発行局の DN この情報を使用し、発行局自身の証明書を検索して発行局の公開鍵を獲得します。 |
|
証明書中の情報 |
説明 |
|---|---|
|
証明書有効期間 |
発行局証明書の有効期間 |
|
シリアル番号 |
発行局証明書のシリアル番号 CRL で広報される無効な証明書と一致するか否かを識別します。 |
|
証明書公開鍵 |
発行局の公開鍵 この公開鍵を使用し、認証ユーザに対応する証明書に格納された発行局の電子署名を検証します。 これにより、認証ユーザの証明書が発行局から発行された正当な証明書であることを検証します。 |
|
証明書発行局のDN |
発行局の DN |
|
証明書で証明されるDN |
本情報と証明書発行局のDNが一致する場合、その証明書はrootCAの証明書と判断し、発行局の電子署名を順に検索します。 |
|
証明書中の情報 |
説明 |
|---|---|
|
シリアル番号 |
証明書または発行局証明書が、CRLで表示される無効化された証明書のシリアル番号と一致するか否かを検証します。 一致した場合、その証明書は無効と判断します。 |
|
目次
索引
|