Interstage Application Server シングル・サインオン運用ガイド
目次 索引 前ページ次ページ
第3章 環境構築 > 3.3 認証サーバの環境構築

3.3.7 Interstage HTTP Serverの環境定義ファイルの設定

 認証サーバは、Interstage HTTP Serverで動作します。Interstage HTTP Serverの環境定義ファイル(httpd.conf)に認証サーバが動作するために必要な項目を追加します。

環境定義ファイル名と格納先

 環境定義ファイル名
 httpd.conf
 環境定義ファイルの格納先
image
 C:\Interstage\F3FMihs\conf
image image
 /opt/FJSVihs/conf

環境定義ファイルに追加する項目

項目名

内容

Port

サーバが起動するときのネットワークポート番号を設定します。

LoadModule

認証サーバのプログラムを絶対パスで設定してください。
image
LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
image image
LoadModule ssoatcag_module /opt/FJSVssoac/lib/ssoatcag.so

AddModule

認証サーバの実行に必要な項目です。以下のように設定してください。

AddModule ssoatcag.c

<Location>
SetHandler
</Location>

認証サーバの実行に必要な項目です。以下のように設定してください。

<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>

 なお、認証サーバをリポジトリサーバや業務サーバと同一マシン上で運用し、更にSSL通信を使用する場合にはInterstage HTTP Serverのバーチャルホスト機能を使用してください。バーチャルホスト機能を使用するための設定を以下に示します。なお、バーチャルホスト機能の詳細については、“WWWサーバ運用ガイド(Interstage HTTP Server編)”を参照してください。

項目名

内容

LoadModule

認証サーバのプログラムを絶対パスで設定してください。
image
LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
image image
LoadModule ssoatcag_module /opt/FJSVssoac/lib/ssoatcag.so

AddModule

認証サーバの実行に必要な項目です。以下のように設定してください。

AddModule ssoatcag.c

AddModule mod_ihs_ssl.c

SSLSlotDir

スロット情報ディレクトリを設定してください。

SSLTokenLabel

トークンラベルを設定してください。

SSLUserPINFile

ユーザPIN管理ファイル名を設定してください。

以下の項目は<VirtualHost アドレス[ポート]>と</VirtualHost>、または<VirtualHost _default_[ポート]>と</VirtualHost>の間に設定してください。

SSLExec

「on」と設定してください。

SSLVersion

SSLのバージョンを設定してください。

SSLVerifyClient

クライアント認証レベルを設定してください。詳細は“環境定義ファイルに設定するクライアント認証レベル”を参照してください。

SSLEnvDir

運用管理ディレクトリを設定してください。

SSLCertName

SSL通信に使用する証明書のニックネームを設定してください。

SSLClCACertName

認証局の証明書のニックネームを設定してください。

SSLCipherSuite

暗号化の方法を設定してください。

<IfModule>
<Location>
SetHandler
</Location>

</IfModule>

以下のように設定してください。

<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>

環境定義ファイルに設定するクライアント認証レベル

 以下の表は、クライアント認証レベル(SSLVerifyClient)の設定と利用者側に表示されるユーザID/パスワードおよび証明書選択画面の関係を示したものです。詳細については“利用者による認証方式”を参照してください。

クライアント認証レベル

利用者の認証方式

利用者が業務サーバにアクセスした場合の認証動作

none

基本認証

ユーザID/パスワードの入力画面が表示されます。

require

証明書認証

証明書の選択画面が表示されます。

optional

基本認証または証明書認証

証明書の選択画面が表示されます。証明書を間違えて選択した場合、または証明書の選択をキャンセルした場合にはユーザID/パスワードの入力画面が表示されます。

※ICカードによる証明書認証をを行う場合、選択画面をキャンセルすると利用者側のブラウザがエラーを通知されます。詳細については、“ICカード使用時の注意事項”を参照してください。

基本認証かつ証明書認証

証明書の選択画面が表示されます。証明書を間違えて選択した場合、または選択画面をキャンセルした場合には利用者にエラーが通知されます。証明書の選択が正しい場合には、ユーザID/パスワードの入力画面が表示されます。

 以下に、Interstage HTTP Serverの環境定義ファイルの設定例を示します。

認証サーバをSSL通信で運用しない場合の例

image image
 環境定義ファイルの設定は、Administrator権限を持ったユーザで行ってください。
 環境定義ファイルの最終行に以下の設定例を追加してください。なお、以下の設定例は認証サーバのポート番号を8080(SSL通信で運用しない)とした場合です。

Port 8080

LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
AddModule ssoatcag.c
<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>

image image image
 環境定義ファイルの設定は、スーパユーザ(root)で行ってください。
 環境定義ファイルの最終行に以下の設定例を追加してください。なお、以下の設定例は認証サーバのポート番号を8080(SSL通信で運用しない)とした場合です。

Port 8080

LoadModule ssoatcag_module /opt/FJSVssoac/lib/ssoatcag.so
AddModule ssoatcag.c
<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>

認証サーバをSSL通信で運用する場合の例

imageimage
環境定義ファイルの設定は、Administrator権限を持ったユーザで行ってください。

 認証サーバのポート番号"443"
 バージョン3.0またはバージョン2.0のSSLプロトコル使用
 クライアント証明書の検証を行います
 スロット情報ディレクトリ"C:\sslenv\slot"
 トークンラベル"SSOToken"
 ユーザPIN管理ファイル"C:\sslenv\manage\upinfile"
 運用管理ディレクトリ"C:\sslenv\manage"
 SSL通信に使用する証明書のニックネーム"SERVERCERT"
 認証局の証明書のニックネーム"CACERT"

 環境定義ファイルの最終行に以下の設定例を追加してください。

# ブラウザとの通信に使用するポート番号
Port 443

#
# ---- ssoatcag ----
#

LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
AddModule ssoatcag.c

AddModule mod_ihs_ssl.c
# スロット情報ディレクトリ
SSLSlotDir "C:/sslenv/slot"
# トークンラベル
SSLTokenLabel "SSOToken"
# ユーザPIN管理ファイル名
SSLUserPINFile "C:/sslenv/manage/upinfile"

# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル(クライアント認証なしの場合は、"none"を指定)
SSLVerifyClient optional <− 先に示した注意事項の該当個所
# 運用管理ディレクトリ
SSLEnvDir "C:/sslenv/manage"
# SSL通信に使用する証明書のニックネーム
SSLCertName SERVERCERT
# 認証局の証明書のニックネーム
SSLClCACertName CACERT
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5


<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>

image image image
環境定義ファイルの設定は、スーパユーザ(root)で行ってください。

 認証サーバのポート番号"443"
 バージョン3.0またはバージョン2.0のSSLプロトコル使用
 クライアント証明書の検証を行います
 スロット情報ディレクトリ"/sslenv/slot"
 トークンラベル"SSOToken"
 ユーザPIN管理ファイル"/sslenv/manage/upinfile"
 運用管理ディレクトリ"/sslenv/manage"
 SSL通信に使用する証明書のニックネーム"SERVERCERT"
 認証局の証明書のニックネーム"CACERT"
 証明書/鍵管理環境の構築を行ったユーザ"nobody"
 証明書/鍵管理環境の構築を行ったグループ"nobody"

 環境定義ファイルの最終行に以下の設定例を追加してください。

# ブラウザとの通信に使用するポート番号
Port 443

#
# ---- ssoatcag ----
#

LoadModule ssoatcag_module /opt/FJSVssoac/lib/ssoatcag.so
AddModule ssoatcag.c

AddModule mod_ihs_ssl.c
# スロット情報ディレクトリ
SSLSlotDir "/sslenv/slot"
# トークンラベル
SSLTokenLabel "SSOToken"
# ユーザPIN管理ファイル名
SSLUserPINFile "/sslenv/manage/upinfile"

# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル(クライアント認証なしの場合は、"none"を指定)
SSLVerifyClient optional <− 先に示した注意事項の該当個所
# 運用管理ディレクトリ
SSLEnvDir "/sslenv/manage"
# SSL通信に使用する証明書のニックネーム
SSLCertName SERVERCERT
# 認証局の証明書のニックネーム
SSLClCACertName CACERT
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5


<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>

同一サーバ上でSSL通信を行う認証サーバとリポジトリサーバを運用する場合の例

imageimage
環境定義ファイルの設定は、Administrator権限を持ったユーザで行ってください。

 認証サーバのポート番号"443"
 リポジトリサーバのポート番号"8888"
 バージョン3.0またはバージョン2.0のSSLプロトコル使用
 クライアント証明書の検証を行います
 スロット情報ディレクトリ"C:\sslenv\slot"
 トークンラベル"SSOToken"
 ユーザPIN管理ファイル"C:\sslenv\manage\upinfile"
 運用管理ディレクトリ"C:\sslenv\manage"
 SSL通信に使用する証明書のニックネーム"SERVERCERT"
 認証局の証明書のニックネーム"CACERT"

 環境定義ファイルの最終行に以下の設定例を追加してください。

# ブラウザとの通信に使用するポート番号
Listen 443
Listen 8888

#
# ---- ssoatcsv ----
#

LoadModule ssoatcsv_module "C:\Interstage\F3FMsso\ssoatcsv\lib\F3FMssoatcsv.dll"
AddModule ssoatcsv.c
<VirtualHost _default_:8888>
<IfModule ssoatcsv.c>
<Location /ssoatcsv>
SetHandler ssoatcsv-authenticate-handler
</Location>
<Location /resinfo>
SetHandler ssoatcsv-resourceinfo-handler
</Location>
<Location /roleref>
SetHandler ssoatcsv-rolerefresh-handler
</Location>
</IfModule>
</VirtualHost>


#
# ---- ssoatcag ----
#

LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
AddModule ssoatcag.c

AddModule mod_ihs_ssl.c
# スロット情報ディレクトリ
SSLSlotDir "C:/sslenv/slot"
# トークンラベル
SSLTokenLabel "SSOToken"
# ユーザPIN管理ファイル名
SSLUserPINFile "C:/sslenv/manage/upinfile"

<VirtualHost _default_:443>

# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル(クライアント認証なしの場合は、"none"を指定)
SSLVerifyClient optional <− 先に示した注意事項の該当個所
# 運用管理ディレクトリ
SSLEnvDir "C:/sslenv/manage"
# SSL通信に使用する証明書のニックネーム
SSLCertName SERVERCERT
# 認証局の証明書のニックネーム
SSLClCACertName CACERT
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5


<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>
</VirtualHost>

image image image
環境定義ファイルの設定は、スーパユーザ(root)で行ってください。

 認証サーバのポート番号"443"
 リポジトリサーバのポート番号"8888"
 バージョン3.0またはバージョン2.0のSSLプロトコル使用
 クライアント証明書の検証を行います
 スロット情報ディレクトリ"/sslenv/slot"
 トークンラベル"SSOToken"
 ユーザPIN管理ファイル"/sslenv/manage/upinfile"
 運用管理ディレクトリ"/sslenv/manage"
 SSL通信に使用する証明書のニックネーム"SERVERCERT"
 認証局の証明書のニックネーム"CACERT"
 証明書/鍵管理環境の構築を行ったユーザ"nobody"
 証明書/鍵管理環境の構築を行ったグループ"nobody"

 環境定義ファイルの最終行に以下の設定例を追加してください。

# ブラウザとの通信に使用するポート番号
Listen 443
Listen 8888

#
# ---- ssoatcsv ----
#

LoadModule ssoatcsv_module /opt/FJSVssosv/lib/ssoatcsv.so
AddModule ssoatcsv.c
<VirtualHost _default_:8888>
<IfModule ssoatcsv.c>
<Location /ssoatcsv>
SetHandler ssoatcsv-authenticate-handler
</Location>
<Location /resinfo>
SetHandler ssoatcsv-resourceinfo-handler
</Location>
<Location /roleref>
SetHandler ssoatcsv-rolerefresh-handler
</Location>
</IfModule>
</VirtualHost>


#
# ---- ssoatcag ----
#

LoadModule ssoatcag_module /opt/FJSVssoac/lib/ssoatcag.so
AddModule ssoatcag.c

AddModule mod_ihs_ssl.c
# スロット情報ディレクトリ
SSLSlotDir "/sslenv/slot"
# トークンラベル
SSLTokenLabel "SSOToken"
# ユーザPIN管理ファイル名
SSLUserPINFile "/sslenv/manage/upinfile"

<VirtualHost _default_:443>

# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル(クライアント認証なしの場合は、"none"を指定)
SSLVerifyClient optional <− 先に示した注意事項の該当個所
# 運用管理ディレクトリ
SSLEnvDir "/sslenv/manage"
# SSL通信に使用する証明書のニックネーム
SSLCertName SERVERCERT
# 認証局の証明書のニックネーム
SSLClCACertName CACERT
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5


<IfModule ssoatcag.c>
<Location /ssoatcag>
SetHandler ssoatcag-handler
</Location>
</IfModule>
</VirtualHost>

image
 バーチャルホスト機能を使用する場合、SSLを使用するためのスロット情報ディレクトリ、トークンラベル、ユーザPIN管理ファイル名は、VirtualHostディレクティブの外に設定することに注意してください。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2003