Interstage Application Server セキュリティシステム運用ガイド

目次 索引

3.4.1 Webサーバの認証とアクセス制御

　Webサーバでは、認証の種類で説明した以下の３つの認証方法を使用できます。

• ユーザ認証(基本認証)
• IPアクセスコントロール
• クライアント認証(証明書認証)（注）

　ユーザ認証、IPアクセスコントロールおよびクライアント認証は、単独または併用して使用できます。
　ただし、InfoProvider Proでは、資源に対してユーザ認証とクライアント認証の両方を指定している場合、クライアント認証でアクセスが許可されると、ユーザ認証は行われません。

　なお、オンライン照合機能により、ユーザ認証に用いるユーザ名／パスワードおよびグループ情報をディレクトリサーバに格納し、オンラインでユーザ名／パスワードの照合を行うこともできます。

注）Interstage HTTP Serverでは、クライアント証明書に設定されている属性情報（名前(CN)および組織単位の名前(OU)など）に対して認証条件を設定し、それらによりアクセス制御を行うことはできません。

■Webサーバのオンライン照合

　ユーザ認証に用いるユーザ名／パスワードおよびグループ情報をディレクトリサーバに格納し、管理する機能です。

　Webサーバは、LDAP（Lightweight Directory Access Protocol）V3を用いてディレクトリサーバとの通信を行い、オンラインでユーザ名／パスワードの照合を行います。
　この機能を使用することにより、ディレクトリサーバがユーザ名／パスワードの一括管理を行い、Webサーバ間共通のユーザ名／パスワードの使用が可能となります。

　オンライン照合機能の運用時に使用するディレクトリサーバは、以下のサービスを対象としています。

注1）Smart Repositoryは、以下の製品に同梱されています。
　　−　Interstage Application Server Enterprise Edition
　　−　Interstage Application Server Standard Edition

注2）InfoDirectoryは、Windows(R)システムおよびSolaris OEシステムの以下の製品に同梱されています。
　　−　Interstage Application Server Enterprise Edition
　　−　Interstage Application Server Standard Edition
　　−　Interstage Application Server Plus

　オンライン照合機能を使用する場合、Webサーバのユーザ認証は使用できません。

◆SSLを使用した通信

　Webサーバとディレクトリサーバ間でSSLを用いたセキュアな通信を行うことができます。
　使用するSSLライブラリとSSLのプロトコルバージョンを以下に示します。

• InfoProvider Proでは、ディレクトリサーバ間でSSL通信を行うため、WebサーバとWebブラウザ間でSSLを用いた通信を行う必要があります。
• Webサーバとディレクトリサーバのサーバ証明書を発行した発行局証明書が異なる場合は、ディレクトリサーバの発行局証明書を証明書／CRL管理環境に登録する必要があります。
  この場合、InfoProvider Proでは、WebサーバとWebブラウザ間でのSSL通信で、SSL環境定義ファイルのclcacertname定義項目が省略された場合のアクセスを許可するクライアントCAに追加されるため、注意が必要です。

目次 索引