| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
| 第2部 認証とアクセス制御 | > 第4章 Interstage HTTP Serverの認証とアクセス制御の設定 | > 4.3 オンライン照合 |
Interstage HTTP Serverの環境定義ファイル(httpd.conf)に運用に応じたオンライン照合機能の設定を行います。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)は、Interstage HTTP Serverとディレクトリサーバ間で、SSLを使用しない運用、またはSSLを使用する運用により設定方法が異なります。以下の表を参考にして設定してください。
|
ディレクトリサーバ |
Interstage HTTP Serverが使用するSSL環境 |
参照する設定例 |
|
Smart Repository |
SSLを使用しない |
|
|
Interstage証明書環境を使用する(注1) |
||
|
SMEEコマンドで構築した証明書/鍵管理環境を使用する |
||
|
InfoDirectory |
SSLを使用しない |
|
|
Interstage証明書環境を使用する |
||
|
SMEEコマンドで構築した証明書/鍵管理環境を使用する(注2) |
注1)Smart Repositoryで構築したSSL環境を使用する場合も該当。
注2)InfoDirectoryで構築したSSL環境を使用する場合も該当。
それぞれのInterstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例を以下に示します。
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“389”
ディレクトリサーバにアクセスするためのBindDN名“cn=manager,ou=interstage,o=fujitsu,dc=com”
ディレクトリサーバでユーザ情報を格納したツリー名“ou=User,ou=interstage,o=fujitsu,dc=com”
# モジュールの追加(コメントを削除) LoadModule mod_ldap_module modules/mod_ldap.dll AddModule mod_ldap.c # ディレクトリ
<Directory "C:/Interstage/F3FMihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 389
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure off
</Directory> |
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“389”
ディレクトリサーバにアクセスするためのBindDN名“cn=manager,ou=interstage,o=fujitsu,dc=com”
ディレクトリサーバでユーザ情報を格納したツリー名“ou=User,ou=interstage,o=fujitsu,dc=com”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c
# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 389
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure off
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=manager,ou=interstage,o=fujitsu,dc=com”
ディレクトリサーバでユーザ情報を格納したツリー名“ou=User,ou=interstage,o=fujitsu,dc=com”
# モジュールの追加(コメントを削除) LoadModule mod_ldap_module modules/mod_ldap.dll AddModule mod_ldap.c # ディレクトリ
<Directory "C:/Interstage/F3FMihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=manager,ou=interstage,o=fujitsu,dc=com”
ディレクトリサーバでユーザ情報を格納したツリー名“ou=User,ou=interstage,o=fujitsu,dc=com”
Interstage証明書環境の所有グループに登録したユーザ“nobody”
上記ユーザが属するグループ“nobody”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c
# Interstage証明書環境の所有グループに登録したユーザの設定
User nobody
# 上記ユーザが属するグループの設定
Group nobody
# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=manager,ou=interstage,o=fujitsu,dc=com”
ディレクトリサーバでユーザ情報を格納したツリー名“ou=User,ou=interstage,o=fujitsu,dc=com”
秘密鍵管理環境のスロット情報ディレクトリ“D:\sslenv\slot”
証明書/CRL管理環境の運用管理ディレクトリ“D:\sslenv\sslcert”
トークンラベル“token01”
ユーザPIN“userpin”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module modules/mod_ldap.dll
AddModule mod_ldap.c
# ディレクトリ
<Directory "C:/Interstage/F3FMihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
# 秘密鍵管理環境のスロット情報ディレクトリ
AuthLDAPSlotPath "D:\sslenv\slot"
# 証明書/CRL管理環境の運用管理ディレクトリ
AuthLDAPCertPath "D:\sslenv\sslcert"
# トークンラベル
AuthLDAPTknLbl token01
# ユーザPIN
AuthLDAPTknPwd userpin
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=manager,ou=interstage,o=fujitsu,dc=com”
ディレクトリサーバでユーザ情報を格納したツリー名“ou=User,ou=interstage,o=fujitsu,dc=com”
秘密鍵管理環境のスロット情報ディレクトリ“/home/slot”
証明書/CRL管理環境の運用管理ディレクトリ“/home/sslcert”
トークンラベル“token01”
ユーザPIN“userpin”
証明書/鍵管理環境を構築したユーザ“user1”
上記ユーザが属するグループ“group1”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c
# 証明書/鍵管理環境を構築したユーザの設定
User user1
# 上記ユーザが属するグループの設定
Group group1
# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
# 秘密鍵管理環境のスロット情報ディレクトリ
AuthLDAPSlotPath "/home/slot"
# 証明書/CRL管理環境の運用管理ディレクトリ
AuthLDAPCertPath "/home/sslcert"
# トークンラベル
AuthLDAPTknLbl token01
# ユーザPIN
AuthLDAPTknPwd userpin
</Directory> |
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“389”
ディレクトリサーバにアクセスするためのBindDN名“cn=name”
ディレクトリサーバでユーザ情報を格納したツリー名“o=fujitsu,c=jp”
# モジュールの追加(コメントを削除) LoadModule mod_ldap_module modules/mod_ldap.dll AddModule mod_ldap.c # ディレクトリ
<Directory "C:/Interstage/F3FMihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=name
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 389
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn o=fujitsu,c=jp
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure off
</Directory> |
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“389”
ディレクトリサーバにアクセスするためのBindDN名“cn=name”
ディレクトリサーバでユーザ情報を格納したツリー名“o=fujitsu,c=jp”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c
# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=name
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 389
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn o=fujitsu,c=jp
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure off
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=name”
ディレクトリサーバでユーザ情報を格納したツリー名“o=fujitsu,c=jp”
# モジュールの追加(コメントを削除) LoadModule mod_ldap_module modules/mod_ldap.dll AddModule mod_ldap.c # ディレクトリ
<Directory "C:/Interstage/F3FMihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=name
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn o=fujitsu,c=jp
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=name”
ディレクトリサーバでユーザ情報を格納したツリー名“o=fujitsu,c=jp”
Interstage証明書環境の所有グループに登録したユーザ“nobody”
上記ユーザが属するグループ“nobody”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c
# Interstage証明書環境の所有グループに登録したユーザの設定
User nobody
# 上記ユーザが属するグループの設定
Group nobody
# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=name
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn o=fujitsu,c=jp
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=name”
ディレクトリサーバでユーザ情報を格納したツリー名“o=fujitsu,c=jp”
秘密鍵管理環境のスロット情報ディレクトリ“C:\Interstage\ID\Mgr\etc\ssl\slot”
証明書/CRL管理環境の運用管理ディレクトリ“C:\Interstage\ID\Mgr\etc\ssl\envdir”
トークンラベル“token01”
ユーザPIN“userpin”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module modules/mod_ldap.dll
AddModule mod_ldap.c
# ディレクトリ
<Directory "C:/Interstage/F3FMihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=name
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn o=fujitsu,c=jp
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
# 秘密鍵管理環境のスロット情報ディレクトリ
AuthLDAPSlotPath "C:\Interstage\ID\Mgr\etc\ssl\slot"
# 証明書/CRL管理環境の運用管理ディレクトリ
AuthLDAPCertPath "C:\Interstage\ID\Mgr\etc\ssl\envdir"
# トークンラベル
AuthLDAPTknLbl token01
# ユーザPIN
AuthLDAPTknPwd userpin
</Directory> |
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
ディレクトリサーバのホスト名“hostname”
ポート番号“636”
ディレクトリサーバにアクセスするためのBindDN名“cn=name”
ディレクトリサーバでユーザ情報を格納したツリー名“o=fujitsu,c=jp”
秘密鍵管理環境のスロット情報ディレクトリ“/home/slot”
証明書/CRL管理環境の運用管理ディレクトリ“/home/sslcert”
トークンラベル“token01”
ユーザPIN“userpin”
証明書/鍵管理環境を構築したユーザ“user1”
上記ユーザが属するグループ“group1”
# モジュールの追加(コメントを削除)
LoadModule mod_ldap_module libexec/mod_ldap.so
AddModule mod_ldap.c
# 証明書/鍵管理環境を構築したユーザの設定
User user1
# 上記ユーザが属するグループの設定
Group group1
# ディレクトリ
<Directory "/opt/FJSVihs/htdocs/securityzone">
# ディレクトリサーバにアクセスするためのBindDN名
AuthLDAPBindDN cn=name
# BindDN名に対応するパスワード
AuthLDAPBindPassword password
# LDAP認証を行うか(on:行う、off:行わない)
AuthLDAPEnabled on
# 認証画面のタイトル
AuthName "title"
# 基本認証
AuthType Basic
# ディレクトリサーバのホスト名
AuthLDAPHost hostname
# ディレクトリサーバのポート番号
# (389:SSLを使用しない場合の省略値、636:SSLを使用する場合の省略値)
AuthLDAPPort 636
# ディレクトリサーバでユーザ情報を格納したツリーの名前
AuthLDAPbasedn o=fujitsu,c=jp
# 認証許可ルール
Require valid-user
# SSLの使用有無(off:使用しない、on:使用する)
AuthLDAPSecure on
# 秘密鍵管理環境のスロット情報ディレクトリ
AuthLDAPSlotPath "/home/slot"
# 証明書/CRL管理環境の運用管理ディレクトリ
AuthLDAPCertPath "/home/sslcert"
# トークンラベル
AuthLDAPTknLbl token01
# ユーザPIN
AuthLDAPTknPwd userpin
</Directory> |
ServletサービスのアプリケーションのURLに対してオンライン照合機能を設定する場合は、上記の設定例の<Directory>セクションは使用できません。<Location>セクションを使用してください。
|
目次
索引
|