|
項目 |
定義名 |
設定内容 |
省略可否 |
|
リポジトリサーバ |
connection-timeout |
リポジトリサーバからの応答をタイムアウト監視する時間を[秒単位]で設定します。
0:タイムアウトしません。
1〜300:設定した時間までにリポジトリサーバから応答がない場合は、タイムアウトとなります。
省略した場合、または上記以外を設定した場合は"60"秒と見なします。 |
省略可 |
|
reference-repository |
リポジトリサーバを複数台配置し負荷分散を行う場合は、参照系リポジトリサーバのホスト名またはIPアドレスを設定します。参照系リポジトリサーバの詳細については、“負荷分散”を参照してください。
負荷分散を行わない場合は、本設定を行う必要はありません。
"update-repository"と同一のホスト名またはIPアドレスを設定した場合は、参照系/更新系兼用のリポジトリサーバと見なされます。
参照系リポジトリサーバを複数設定する場合は、複数の行に繰り返して設定してください。
複数設定した場合は、先頭のリポジトリサーバから接続します。接続したリポジトリサーバより電源断などで応答がない場合は、次に設定されたリポジトリサーバに接続します。
ただし、更新系リポジトリサーバが停止または異常が発生している場合は、参照系リポジトリサーバが運用可能な状態であっても、利用者の認証に失敗します。詳細については、“可用性”を参照してください。
ポート番号を設定する場合はコロン":"で区切って続けてポート番号を設定してください。コロン":"以降を省略した場合は"80"番ポートで動作します。
(例:reference-repository=host2.fujitsu.co.jp:8888
reference-repository=host3.fujitsu.co.jp:8888) |
省略可 |
|
connection-retry-interval |
参照系リポジトリサーバへの接続が失敗し接続先を自動的に次の参照系リポジトリサーバに変更した場合、本来の接続先に再び接続を試みるまでの時間を[分単位]で設定します。
0:毎回試みます。
1〜1440:設定した時間を経過すると試みます。
省略した場合、または上記以外を設定した場合は"60"分と見なします。
※"reference-repository"で複数の参照系リポジトリサーバが設定されている場合にのみ有効となります。
 
※設定された時間が経過する前に再び接続を試みることがあります。 |
省略可 |
|
SSLクライアント証明書のHTTPヘッダ |
ssl-client-cert-http-header |
証明書認証時に、利用者が提示したクライアント証明書を獲得するHTTPヘッダ名を設定します。
SSL Accelerator 7117と連携する場合にはSSL Accelerator 7117に設定したHTTPヘッダ名と合わせて設定してください。詳細については“SSL Accelerator 7117との連携”を参照してください。
省略した場合はInterstage HTTP Serverから通知された証明書をSSL通信のクライアント証明書と見なします。 |
省略可 |
|
認証オプション |
auth-constraints-to-network |
利用者の接続元IPアドレスに応じた認証方式および認証の有効期間を以下のいずれかの形式で設定します。
・ネットワークアドレス@認証方式@認証の有効期間
・ネットワークアドレス@@認証の有効期間
・ネットワークアドレス@認証方式@
※上記以外の形式で設定した場合、Interstage HTTP Serverが起動されません。
上記の形式で複数設定することができます。複数設定する場合には、カンマ","で区切って設定します。
ネットワークアドレス(サブネットマスクやサブネットマスクビット長が同じアドレスを示す場合も含む)を重複して設定した場合、先に設定した情報が有効になります。また、先に設定した内容に誤りがある場合には、Interstage HTTP Serverが起動されません。
・ネットワークアドレスを以下の形式で設定します。
IPアドレス:サブネットマスク、またはIPアドレス/サブネットマスクビット長
(記述例:IPアドレス:サブネットマスクの場合
192.168.0.0:255.255.255.0
IPアドレス/サブネットマスクビット長の場合
192.168.0.0/24)
(設定例1:192.168.0.xxxのネットワークを設定する場合
192.168.0.0:255.255.255.0
192.168.0.0/24
設定例2:192.168.0.108のIPアドレスのみを設定する場合
192.168.0.108:255.255.255.255
192.168.0.108/32
設定例3:192.168.0.64〜192.168.0.127のネットワークを設定する場合
192.168.0.64:255.255.255.192
192.168.0.64/26)
・認証方式を以下の値で設定します。
basicAuth:基本認証
certAuth:証明書認証
basicAuthAndCertAuth:基本認証かつ証明書認証
basicAuthOrCertAuth:基本認証または証明書認証
認証方式が省略された場合は、SSOリポジトリから獲得した認証方式を優先し、次に、"basicAuthOrCertAuth"と見なします。なお、認証方式を省略する場合には"IPアドレス@@認証の有効期間"の形式で設定してください。
・認証の有効期間を[分単位]で設定します。
0:無制限になります。
30〜1440:設定した時間を経過すると、利用者の認証は無効になり、、再度認証が必要となります。
認証の有効期間を省略した場合と、上記以外の値を設定した場合には、SSOリポジトリから獲得した認証の有効期間、またはリポジトリサーバの定義ファイルで設定した"default-credential-expiration-time"の時間が有効となります。
(例1:ネットワークアドレス@認証方式@認証の有効期間を設定する場合
192.168.0.0:255.255.255.0@basicAuth@300
192.168.0.0/24@basicAuth@300
例2:認証方式を省略した場合
192.168.0.0:255.255.255.0@@300
192.168.0.0/24@@300
例3:認証の有効時間を省略した場合
192.168.0.0:255.255.255.0@basicAuth@
192.168.0.0/24@basicAuth@
例4:複数設定する場合
192.168.0.0:255.255.255.0@basicAuth@300,192.168.1.0/24@@300) |
省略可 |
|
check-client-ip |
既に認証されている利用者の正当性をIPアドレスをもとに確認するかを設定します。
YES:確認します。
NO:確認しません。
省略した場合、または上記以外を設定した場合は"YES"と見なします。
※クラスタ環境では、"NO"と設定してください。また、プロキシサーバやロードバランサを利用している場合には、利用者のIPアドレスが変換されることがあります。その場合にも"NO"と設定してください。 |
省略可 |
|
password-failure-max-cache-count |
基本認証に失敗した際に毎回SSOリポジトリへ書き込むことを抑制することで、更新系リポジトリサーバの負荷を減らすことができます。本設定は失敗回数をSSOリポジトリへ書き込むことを抑制する回数を設定します。
なお、本設定は更新系リポジトリサーバと参照系リポジトリサーバに分けて運用を行っており、かつ異なるホスト名またはIPアドレスを設定した場合のみ有効となります。
0:抑制せずに毎回書き込みます。
1〜16:設定した回数まで書き込みを抑制します。
省略した場合、または上記以外を設定した場合は"0"と見なします。
※リポジトリサーバの定義ファイルの"password-max-failure-count"に"0"が設定された場合は、ロックアウトされないため本設定は無効となります。
※本設定の値が"password-max-failure-count"に設定された値より大きい場合は、"password-max-failure-count"に設定された値に達した時点でSSOリポジトリへ書き込みが行われます。
例えば、本設定の値に"1"を設定した場合は、1回目の基本認証が失敗した時にはSSOリポジトリへ書き込みは行われまずに、2回目に基本認証が失敗した時にSSOリポジトリへ書き込みが行われます。(SSOリポジトリのSSOパスワード認証失敗回数"ssoFailureCount"には"2"が書き込まれます) |
省略可 |
|
証明書の有効性確認 |
certificate-revoke-check |
証明書認証を運用する場合、CRLによるSSLクライアント証明書の有効性確認を行うかを設定します。
YES:証明書の有効性確認を行います。
NO:証明書の有効性確認を行いません。
省略した場合、または上記以外を設定した場合は"NO"と見なします。
※証明書認証の場合のみ有効となります。 |
省略可 |
|
environment-directory |
Interstage HTTP Serverの定義ファイル(httpd.conf)の"SSLEnvDir"に設定する運用管理ディレクトリを絶対パスで設定します。「certificate-revoke-check=YES」と設定した場合は必ず設定してください。
「SSLEnvDir C:/sslenv/manage」と設定する場合は、以下のように設定してください。
(例:environment-directory=C:\sslenv\manage\)
「SSLEnvDir /sslenv/manage」と設定する場合は、以下のように設定してください。
(例:environment-directory=/sslenv/manage/)
|
省略可
(注1)
|
|
watch-revoked-certificate |
CRLによるSSLクライアント証明書の有効性確認により証明書が失効されていた場合、システムのログに情報を登録するか設定します。
YES:登録します。
NO:登録しません。
省略した場合、または上記以外を設定した場合は"NO"と見なします。
※「certificate-revoke-check=YES」の場合のみ有効となります。 |
省略可
|
|
アクセスログ |
accesslog-filename |
アクセスログの出力先ファイル名を絶対パスで設定します。
※省略した場合、アクセスログは出力されません。 |
省略可 |
|
accesslog-filesize |
アクセスログのファイルサイズの上限を[KB単位]を設定します。
1〜2000000:アクセスログのファイルサイズ
省略した場合、または上記以外を設定した場合は「1024KB」と見なします。
※accesslog-filenameが設定されている場合にのみ有効となります。 |
省略可 |
|
accesslog-save-all-log |
アクセスログのファイルサイズが上限に達した場合のファイルの保存方法を設定します。
YES:毎回別ファイルとして保存します。
NO:“アクセスログファイル名.last”という名前で保存します。
省略した場合、または上記以外を設定した場合は"NO"と見なします。
"YES"の場合は“アクセスログファイル名.YYYYMMDDHHMMSS” (保存年月日時分秒の文字列)という名前で保存します。
"NO"の場合は“アクセスログファイル名.last”という名前で保存します。
ファイルはアクセスログと同じディレクトリに保存します。
※accesslog-filenameが設定されている場合にのみ有効となります。 |
省略可 |
