CAC 設定ページ
内容
casp1032jp
内容
CAC 設定ページを使用すると、認証に Common Access Card (CAC)を使用するように OneClick を設定できます。
- CAC オプションの選択CAC 認証ソリューションを有効または無効にするかを指定します。
- CAC の無効化CAC 認証を無効にします。
- CAC の有効化CAC 認証を有効にします。
[信頼できるキーストア]セクションには、以下のフィールドが含まれます。
- 信頼できるキーストアのパスワード信頼できるキーストアにアクセスするために使用するパスワードを指定します:changeit
- 信頼できるキーストアのパスワードの再入力信頼できるキーストアにアクセスするためのパスワードを確認します。
[取り消しシステム]セクションでは、
CA Spectrum
が CAC が失効しているかどうかを確認する方法を指定します。以下のいずれか
のオプションを選択します。- OCSP AIA の有効化証明書の「AIA 拡張」からの Common Access Card 上の証明書から OCSP サーバのパラメータを取得するようにCA Spectrumに指示します。
- OCSP サーバの有効化ユーザが OCSP サーバにアクセスするための URL とこのサーバ用の証明書を提供する必要があることを指定します。
- CRL ディレクトリの有効化CRL ファイルが含まれるディレクトリへのパスが必要であることを指定します。
- CRL URL の有効化Web サーバが提供する CRL ファイルの完全 URL のスペース区切りリストを指定します。
- CRL 配布ポイントの有効化CA Spectrumが証明書自体から CRL ファイルの Web の場所に関する情報を取得することを指定します。
[OCSP AIA 接続]セクションは、[取り消しシステム]セクションで[OCSP AIA の有効化]を選択すると表示されます。このセクションには、以下のオプションが含まれます。
- OCSP AIA のテストOCSP AIA が正しく動作していることを確認します。
[OCSP サーバ接続]セクションは、[取り消しシステム]セクションで[OCSP サーバの有効化]を選択すると表示されます。このセクションには、以下のオプションが含まれます。
- OCSP サーバ URLOCSP レスポンダにアクセスするための完全な URL を指定します。多くの OCSP レスポンダはより大規模な OCSP サーバ上で実行されているサーブレットであるため、完全な URL が使用されます。
- OCSP サーバ証明書エイリアス指定された OCSP サーバの証明書を指定します。
- OSCAP サーバのテスト入力した認証情報に基づいて OCSP サーバへの接続をテストします。
証明書再配置リストは、[取り消しシステム]セクションで[CRL ディレクトリの有効化]または[CRL URL の有効化]を選択すると表示されます。このリストには、選択した CRL オプションに応じて、以下の設定が含まれます。
- CRL ディレクトリユーザ証明書を検証するための CRL ファイルが含まれるディレクトリへのフル パスを指定します。
- CRL URLWeb サーバが提供する CRL ファイルの完全 URL のスペース区切りリストを指定します。
- CRL 可用性のテスト指定されたディレクトリに CRL をロードしようとします。
[LDAP ユーザ名ルックアップ]セクションには、以下の設定が含まれます。
- LDAP の有効化LDAP を有効にします。
- LDAP サーバ ホスト名ユーザ証明書に対応するユーザを含む LDAP サーバのホスト名を指定します。
- LDAP サーバ ポートLDAP サーバにアクセスするためのポート番号を指定します。
- SSL の有効化SSL を使用して LDAP サーバへの安全な接続を有効にします。注:SSL を有効にした場合は、LDAP サーバの証明書をロードします。
- LDAP ベース DNLDAP ベース識別名を指定します。
- LDAP ユーザ DNLDAP サーバへのクエリに使用するユーザの識別名(DN)を指定します。
- LDAP ユーザ パスワードLDAP サーバへのクエリに使用するユーザのパスワードを指定します。
- LDAP ユーザ パスワードの再入力LDAP ユーザ パスワードを確認します。
- 証明書の EDIPI フィールドユーザ ID 情報のソースを指定します。CAC 証明書に格納される EDIPI の形式を説明する以下のいずれかのオプションを選択します。
- サブジェクト
- SubjectUniqueId
- AltName.otherName
- AltName.rfc882Name
- EDIPI 抽出ルールCAC 証明書フィールドから EDIPI を抽出するためのルールを指定します。タイプ:Java 正規表現例:このフィールドのデフォルト値は以下のとおりです。"CN=\w*\.\w*\.(\d+),";この文字列では、以下の例のような文字列に一致するルールを定義します。CN=aaaa.bbbbbb.1233454,xxxxxxxxxxxxxxxxx
- リテラル "CN="
- 任意の単語(空の場合あり) \w*
- リテラル "."
- 任意の単語(空の場合あり) \w*
- リテラル "."
- 整数値(空ではない) \d+
- リテラル “,”
- 後ろに任意の文字列を使用できます。
注:正規表現で正規表現キャプチャ グループを定義する必要があります。CA Spectrumは、式内の最初のグループを使用して、一意のユーザ ID 情報を抽出します。キャプチャ グループに関する詳細は、インターネットで入手できます。 - LDAP EDIPI 属性名EDIPI (または他の一意の識別子)情報を格納するために使用する LDAP フィールドの名前を指定します。
- LDAP ユーザ名属性名CA Spectrumユーザ名情報を格納するために使用する LDAP フィールドの名前を指定します。
- LDAP 参照設定OneClick で LDAP 参照を処理する方法を指定します。
- フォロー(デフォルト)すべての参照に自動的に従うように OneClick に指示します。
- スロー各参照の例外をスローするように OneClick に指示します。要求は、「未処理の継続参照」エラーで失敗する場合があります。
- 無視参照の無視するように OneClick に指示します。要求は、「未処理の継続参照」エラーで失敗する場合があります。
注:[COC 設定]ページではデフォルトで[LDAP 参照設定]は表示されません。このフィールドを表示してその値を変更するには、「LDAP 参照設定の変更」を参照してください。 - LDAP サーバのテスト指定した認証情報を使用して LDAP サーバへの接続を試行します。
LDAP 参照設定の変更
[LDAP 参照設定]では、OneClick での LDAP 参照の処理方法を指定します。LDAP サーバが要求されたオブジェクトを特定できない場合、サーバはクライアントに参照を返します。参照は、別のサーバに要求を送り、オブジェクトを検索するように指示します。デフォルトでは、OneClick は要求された情報を取得するために参照に自動的に従います。
参照を無視するか、または各参照に対する例外をスローするように指定することもできます。[COC 設定]ページでは、デフォルトで[LDAP 参照設定]は表示されません。その値を変更するには、フィールドを表示するように設定ファイルを変更します。
以下の手順に従います。
- テキスト エディタで <$SPECROOT>/tomcat/webapps/spectrum/WEB-INF/cac/cac-config.jsp を開きます。
- LDAP 参照設定の表示コードのコメント化を解除します。
- <!-- BEGIN HIDDEN REFERRAL SETTING SECTION の後ろに「-->」を追加します。
- END HIDDEN REFERRAL SETTING SECTION --> の前に「<!--」を追加します。
- ファイルを保存して閉じます。
- [CAC 設定]ページをリフレッシュします。[LDAP 参照設定]フィールドが表示されます。
- [LDAP 参照設定]ドロップダウン リストから値を選択し、[保存]をクリックします。新しい LDAP 参照設定が有効になります。