5.1.2.3.4 プロテクトパス

Interstage Application Server セキュリティシステム運用ガイド

目次索引

第2部認証とアクセス制御

> 第5章 InfoProvider Proの認証とアクセス制御

> 5.1 InfoProvider Proの認証とアクセス制御の設定

> 5.1.2 セキュリティ管理ファイルの設定

> 5.1.2.3 定義項目詳細

5.1.2.3.4 プロテクトパス

定義名

説明

　認証とアクセス制御の設定を記述します。

記述形式

　プロテクトパスの設定は、URL部と"{"と"}"で囲まれた設定部で構成します。
　プロテクトパスの記述形式を以下に示します。

[URL部]
　　プロテクトパス{

[設定部]
　　"ユーザ管理ファイル名"または"アクセスを許可するユーザ名"
　　"IPアドレスまたはホスト名"
　　"認証名"
　　"認証方法"
　　"クライアント証明書条件ファイル名"
　　"ベースDN"
}

[URL部]　

　認証とアクセス制御を設定するディレクトリ名またはファイル名をフルパスで指定します。
　末尾が"\"の場合は、プロテクトパスをディレクトリ名として扱い、それ以外はファイル名として扱います。
　同じURL部を複数指定した場合は、同じURL部のすべての設定部で共通に許可されている条件が有効となります。

　具体的には以下のように指定します。

HTML文書、CGIコマンドにアクセス制御を設定する場合、ディレクトリまたはファイル名をフルパスで指定します。
拡張CGI、NETSTAGE高速連携のアプリケーションにアクセス制御を設定する場合
- アプリケーション全体に設定するとき、環境定義ファイルに設定したacstop\gai-gw\
- 個々のアプリケーションに設定するとき、環境定義ファイルに設定したacstop\gai-gw\識別名\

　【URLを変換するフィルタアプリケーション(Servletサービスなど)に対するパスの指定について】

認証URL形式(auth-target-url)に“mapped”を指定した場合、変換後のパスを指定します。
変換後のパスの指定については使用するフィルタアプリケーションのマニュアルを参照してください。
認証URL形式(auth-target-url)に“original”を指定した場合、
　URLの"http://ホスト名:ポート番号/パス"の"http://ホスト名:ポート番号"を除いた"/パス"からを環境定義ファイルに設定したacstopに続けて指定してください。
　このとき、"/"を"\"に変更してください。
　ディレクトリに設定する場合は、末尾に"\"を指定してください。それ以外はファイルとして扱います。
　acstop以降のパスの部分には8.3形式は使用できません。

　　例:: URLが"http://hostname:81/sample/jsp/"、
acstopが"C:\INTERS~1\F3FMwww\IPPhome"の場合、
C:\INTERS~1\F3FMwww\IPPhome\sample\jsp\

[URL部]　

　認証とアクセス制御を設定するディレクトリ名またはファイル名を指定します。
　URLの"http://ホスト名:ポート番号/パス"の"http://ホスト名:ポート番号"を除いた"/パス"から指定してください。
　末尾が"/"または"/."の場合は、プロテクトパスをディレクトリ名として扱い、それ以外はファイル名として扱います。
　ファイル名の場合、ワイルドカード "*" と "?" が利用できます。"*"は、任意の文字列に一致し、"?"は、任意の1文字に一致します。
　同じURL部を複数指定した場合は、同じURL部のすべての設定部で共通に許可されている条件が有効となります。

　【URLを変換するフィルタアプリケーション(Servletサービスなど)に対するパスの指定について】

認証URL形式(auth-target-url)に“mapped”を指定した場合、変換後のパスを指定します。
変換後のパスの指定については使用するフィルタアプリケーションのマニュアルを参照してください。
認証URL形式(auth-target-url)に“original”を指定した場合、
通常のファイルと同様にURLの"http://ホスト名:ポート番号/パス"の"http://ホスト名:ポート番号"を除いた"/パス"から指定してください。
ディレクトリに設定する場合は、末尾に"/"を指定してください。それ以外はファイルとして扱います。

[設定部]

　設定部には、"プロテクトパス設定部"に示す項目を指定します。
　"ユーザ管理ファイル名"、"アクセスを許可するユーザ名"は同時に指定できません。

[プロテクトパス設定部]

定義項目	定義名	説明
ユーザ管理ファイル名	UserFile	ユーザ認証を使用する場合に指定します。プロテクトパスへのアクセスを許可するユーザ名が定義されている、ユーザ管理ファイルのフルパス名を記述します。ユーザ管理ファイルに指定したユーザ名に対して認証を設定します。
アクセスを許可するユーザ名	User	ユーザ認証を使用する場合に指定します。プロテクトパスへのアクセスを許可するユーザ名または、グループ名を記述します。ユーザ名を指定する場合、パスワード管理ファイルに登録したユーザ名を記述します。グループ名を指定する場合、グループ管理ファイルに登録したグループ名を記述します。また、オンライン照合機能を使用する場合、ディレクトリサーバに設定したユーザ名またはグループ名を記述します。複数指定する場合は、1バイトASCII空白またはタブコードで区切って指定します。ユーザ名を指定する場合、末尾を""とすることにより、前方一致の指定ができます。たとえば、"www"は、ユーザ名が"www"で始まる全ユーザを表します。グループ名を指定する場合には、グループ名の先頭に"?"を付けてください。
IPアドレスまたはホスト名	IPAddress	IPアクセスコントロールを使用する場合に指定します。アクセスを許可するマシンのIPアドレス、ホスト名または、IPグループ管理ファイルに登録したグループ名を記述します。複数指定する場合は、1バイトASCII空白またはタブコードで区切って指定します。 IPv4形式のIPアドレスを指定する場合、"xxx.xxx.xxx.xxx"の形式で指定します。"xxx"は10進数です。また、末尾を""とすることにより、前方一致の指定ができます。たとえば、"127."や"123.130.13"のように指定できます。 IPv6形式のIPアドレスを指定する場合、"xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx"の形式で指定します。"xxxx"は16進数です。 IPv6形式のIPアドレスの場合は、末尾を""とした前方一致は指定できません。グループ名を指定する場合には、グループ名の先頭に"?"を付けてください。
認証名	AuthName	Webブラウザ上でユーザ名、パスワードを入力する画面(ダイアログ)で表示される認証の名前を指定します。省略した場合は、プロテクトパスを、認証名として使います。
認証方法	AuthType	認証方法を表します。"AuthType=Basic"だけが有効です。省略した場合も、"AuthType=Basic"として扱います。
クライアント証明書条件ファイル名	ClientCert	クライアント認証を使用する場合にフルパス名で指定します。この定義項目は定義名とペアで複数指定することができます。
ディレクトリサーバのベースDN	SearchBase	ディレクトリサーバで、ユーザ情報を格納したツリーの名前をDNで記述します。ユーザ情報を複数のエントリに格納している場合は、各エントリに共通するツリー上階層のDNを指定します。指定した文字列は、ユーザ情報を検索する階層のTOPとして扱われ、そのままディレクトリサーバに渡されます。そのため、ディレクトリサーバで使用している文字列を指定してください。長さは、最大256バイトです。ディレクトリサーバ情報管理ファイルでBaseDNが指定されている場合も、SearchBaseの設定が有効になります。 SearchBaseを省略した場合は、ディレクトリサーバ情報管理ファイルのBaseDNの設定が有効になります。

省略値

　認証を利用しません。

指定例

  # 拡張CGI、データベース連携機能への認証の設定
  C:\INTERS~1\F3FMwww\IPPhome\gai-gw\ {
  User = *
  AuthName = gai-gw
  AuthType = Basic
  }
  # アクセスを許可するユーザ名を指定する場合の記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\uid\ {
  # User = guest
  # AuthType = Basic
  #}
  # ユーザ管理ファイルを使用する場合の記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\uidfile\ {
  # UserFile = C:\INTERS~1\F3FMwww\Conf\Security\usrfile.dat
  # AuthType = Basic
  #}
  # グループ管理ファイルに登録したグループ名または、
  # ディレクトリサーバに設定したグループ名を指定する場合の記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\grpfile\ {
  # User = ?samplegrp
  # AuthType = Basic
  #}
  # 認証名を指定する場合の記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\authname\ {
  # User = ?samplegrp
  # AuthName = auth
  # AuthType = Basic
  #}
  # IPアクセスコントロールの記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\ipaddr\ {
  # IPAddress = 127.0.0.*
  #}
  # IPグループの記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\ipgrp\ {
  # IPAddress = ?ipsamplegrp
  #}
  # クライアント証明書条件ファイルの記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\clientcert\ {
  # ClientCert = C:\INTERS~1\F3FMwww\Conf\Security\ccertfile.dat
  #}
  # ディレクトリサーバのベースDNの記述例
  #C:\INTERS~1\F3FMwww\IPPhome\docs\searchbase\ {
  # User = *
  # AuthType = Basic
  # SearchBase = o=FUJITSU,c=JP
  #}

  # 拡張CGI、データベース連携機能への認証の設定
  /gai-gw/ {
  User = *
  AuthName = gai-gw
  AuthType = Basic
  }
  # アクセスを許可するユーザ名を指定する場合の記述例
  #/docs/uid/ {
  # User = guest
  # AuthType = Basic
  #}
  # ユーザ管理ファイルを使用する場合の記述例
  #/docs/uidfile/ {
  # UserFile = /etc/opt/FSUNprovd/usrfile.sample
  # AuthType = Basic
  #}
  # グループ管理ファイルに登録したグループ名または、
  # ディレクトリサーバに設定したグループ名を指定する場合の記述例
  #/docs/grpfile/ {
  # User = ?samplegrp
  # AuthType = Basic
  #}
  # 認証名を指定する場合の記述例
  #/docs/authname/ {
  # User = ?samplegrp
  # AuthName = auth
  # AuthType = Basic
  #}
  # IPアクセスコントロールの記述例
  #/docs/ipaddr/ {
  # IPAddress = 127.0.0.*
  #}
  # IPグループの記述例
  #/docs/ipgrp/ {
  # IPAddress = ?ipsamplegrp
  #}
  # クライアント証明書条件ファイルの記述例
  #/docs/clientcert/ {
  # ClientCert = /etc/opt/FSUNprovd/ccertfile.sample
  #}
  # ディレクトリサーバのベースDNの記述例
  #/docs/searchbase/ {
  # User = *
  # AuthType = Basic
  # SearchBase = o=FUJITSU,c=JP
  #}

目次索引