Interstage Application Server セキュリティシステム運用ガイド
目次 索引 前ページ次ページ
第2部 認証とアクセス制御> 第5章 Interstage HTTP Serverの認証とアクセス制御の設定

5.3 オンライン照合

 オンライン照合機能の運用では、一般的な運用に加え、Interstage HTTP Serverとディレクトリサーバ間でSSLを使用したセキュアな通信を行うことができます。

 運用方法に応じて、以下の手順で設定します。

  1. ディレクトリサーバの環境設定
  2. Interstage HTTP ServerのSSLの環境設定(SSL通信を行う場合のみ)
  3. 環境定義ファイル(httpd.conf)の編集


 オンライン照合機能の運用で使用するディレクトリサーバは、InfoDirectory(ディレクトリサービス)を対象としています。
 オンライン照合機能を使用するには、Interstage HTTP Serverと同じマシン上に、クライアントAPIライブラリ(InfoDirectory SDK)が必要です。クライアントAPIライブラリは、以下の製品に同梱されています(Windows(R)システムおよびSolaris OEシステムのWeb-J Editionでは、別途、必要です)。

(1)ディレクトリサーバの環境設定

 ディレクトリサーバの環境設定を行います。ディレクトリサーバの環境設定については、“ディレクトリサーバの環境設定”を参照してください。

(2)Interstage HTTP ServerのSSLの環境設定

 以下に示すシステム構成において、Interstage HTTP Serverとディレクトリサーバ間でSSLを使用したセキュアな通信を行う場合、ディレクトリサーバのSSL環境とは別にInterstage HTTP ServerのSSL環境を構築する必要があります。

 Interstage HTTP Server側のSSL環境構築手順について以下に示します。

  1. 証明書/鍵管理環境の作成
     詳細は、“WWWサーバ、InfoDirectory、CORBAサービスでSSLを利用するための共通事項”の“証明書/鍵管理環境の作成”を参照してください。
  2. 秘密鍵の作成と証明書の取得
     詳細は、“WWWサーバ、InfoDirectory、CORBAサービスでSSLを利用するための共通事項”の“秘密鍵の作成と証明書の取得”を参照してください。
  3. 証明書とCRLの登録
     詳細は、“WWWサーバ、InfoDirectory、CORBAサービスでSSLを利用するための共通事項”の“証明書とCRLの登録”を参照してください。


 Solaris OEシステムまたはLinuxシステムでは、スーパユーザ権限以外のユーザが上記の操作を行ってください(セキュリティ上の配慮によりWWWサーバのプロセスをスーパユーザ権限以外で設定する必要があるため)。
 また、このユーザ、グループを“(3)環境定義ファイルの編集”でInterstage HTTP Server環境定義ファイルに設定してください。

(3)環境定義ファイルの編集

 Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、以下に示すディレクティブを使用して、それぞれの運用に応じたLDAP認証を設定します。

◇一般的なオンライン照合機能の運用


 以下のような設定でオンライン照合機能の運用を行う場合
  ディレクトリサーバのホスト名“hostname”
  ポート番号“389”
  BaseDN名“o=FUJITSU,c=jp”

# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module modules/mod_ldap.dll
AddModule mod_ldap.c

# ディレクトリ
<Directory "C:/INTERSTAGE/F3FMihs/htdocs/manuals">

# BindDN名
AuthLDAPBindDN  cn=is-apache
# BindDN名に対応するパスワード
AuthLDAPBindPassword  is-apache
# LDAP認証を行うか
# AuthLDAPEnabled  on(default)|off

# 認証画面のタイトル
AuthName  "Security-Zone"
# 基本認証
AuthType  Basic
# ディレクトリサーバのホスト名
AuthLDAPHost  hostname
# ディレクトリサーバのポート番号
AuthLDAPPort  389
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn  o=FUJITSU,c=jp

# 認証許可ルール
Require valid-user

</Directory>


 以下のような設定でオンライン照合機能の運用を行う場合
  ディレクトリサーバのホスト名“hostname”
  ポート番号“389”
  BaseDN名“o=FUJITSU,c=jp”

# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c

# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/manuals">

# BindDN名
AuthLDAPBindDN  cn=is-apache
# BindDN名に対応するパスワード
AuthLDAPBindPassword  is-apache
# LDAP認証を行うか
# AuthLDAPEnabled  on(default)|off

# 認証画面のタイトル
AuthName  "Security-Zone"
# 基本認証
AuthType  Basic
# ディレクトリサーバのホスト名
AuthLDAPHost  hostname
# ディレクトリサーバのポート番号
AuthLDAPPort  389
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn  o=FUJITSU,c=jp

# 認証許可ルール
Require valid-user

</Directory>

◇SSL通信を併用したオンライン照合機能の運用


 以下のような設定でSSL通信を併用したオンライン照合機能の運用を行う場合
  ディレクトリサーバのホスト名“hostname”
  ポート番号“636”
  BaseDN名“o=FUJITSU,c=jp”
  秘密鍵管理環境のスロット情報ディレクトリ“C:\INTERSTAGE\ID\Mgr\etc\ssl\slot”
  証明書/CRL管理環境の運用管理ディレクトリ“C:\INTERSTAGE\ID\Mgr\etc\ssl\envdir”
  トークンラベル“token01”
  ユーザPIN“userpin”

# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module modules/mod_ldap.dll
AddModule mod_ldap.c

# ディレクトリ
<Directory "C:/INTERSTAGE/F3FMihs/htdocs/manuals">

    # BindDN名
    AuthLDAPBindDN cn=is-apache
    # BindDN名に対応するパスワード
    AuthLDAPBindPassword is-apache
    # LDAP認証を行うか
    # AuthLDAPEnabled on(default)|off

    # 認証画面のタイトル
    AuthName "Security-Zone"
    # 基本認証
    AuthType Basic
    # ディレクトリサーバのホスト名
    AuthLDAPHost hostname
    # ディレクトリサーバのポート番号
    AuthLDAPPort 636
    # ディレクトリサーバでユーザ情報を格納したツリーの名前
    AuthLDAPbasedn o=FUJITSU,c=jp

    # 認証許可ルール
    Require valid-user

    # SSLの使用有無
    AuthLDAPSecure on
    # 秘密鍵管理環境のスロット情報ディレクトリ
    AuthLDAPSlotPath "C:\INTERSTAGE\ID\Mgr\etc\ssl\slot"
    # 証明書/CRL管理環境の運用管理ディレクトリ
    AuthLDAPCertPath "C:\INTERSTAGE\ID\Mgr\etc\ssl\envdir"
    # トークンラベル
    AuthLDAPTknLbl token01
    # ユーザPIN
    AuthLDAPTknPwd userpin

</Directory>


 以下のような設定でSSL通信を併用したオンライン照合機能の運用を行う場合
  ディレクトリサーバのホスト名“hostname”
  ポート番号“636”
  BaseDN名“o=FUJITSU,c=jp”
  秘密鍵管理環境のスロット情報ディレクトリ“/home/slot”
  証明書/CRL管理環境の運用管理ディレクトリ“/home/sslcert”
  トークンラベル“token01”
  ユーザPIN“userpin”
  証明書/鍵管理環境を構築したユーザ“user1"
  証明書/鍵管理環境を構築したグループ“group1"

# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c

# 証明書/鍵管理環境を構築したユーザの設定
User user1
# 証明書/鍵管理環境を構築したグループの設定
Group group1

# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/manuals">

    # BindDN名
    AuthLDAPBindDN cn=is-apache
    # BindDN名に対応するパスワード
    AuthLDAPBindPassword is-apache
    # LDAP認証を行うか
    # AuthLDAPEnabled on(default)|off

    # 認証画面のタイトル
    AuthName "Security-Zone"
    # 基本認証
    AuthType Basic
    # ディレクトリサーバのホスト名
    AuthLDAPHost hostname
    # ディレクトリサーバのポート番号
    AuthLDAPPort 636
    # ディレクトリサーバでユーザ情報を格納したツリーの名前
    AuthLDAPbasedn o=FUJITSU,c=jp

    # 認証許可ルール
    Require valid-user

    # SSLの使用有無
    AuthLDAPSecure on
    # 秘密鍵管理環境のスロット情報ディレクトリ
    AuthLDAPSlotPath "/home/slot"
    # 証明書/CRL管理環境の運用管理ディレクトリ
    AuthLDAPCertPath "/home/sslcert"
    # トークンラベル
    AuthLDAPTknLbl token01
    # ユーザPIN
    AuthLDAPTknPwd userpin

</Directory>

関連ディレクティブ

AddModule
AuthLDAPbasedn
AuthLDAPBindDN
AuthLDAPBindPassword
AuthLDAPCertPath
AuthLDAPEnabled
AuthLDAPHost
AuthLDAPPort
AuthLDAPSecure
AuthLDAPSlotPath
AuthLDAPTknLbl
AuthLDAPTknPwd
AuthName
AuthType
<Directory>
Group
LoadModule
Require
User
下へ5.3.1 ディレクトリサーバの環境設定
下へ5.3.2 関連ディレクティブ
目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2006