Hitachi Command Suite システム構成ガイド
exauth.propertiesファイルには,使用する外部認証サーバの種類やサーバ識別名,外部認証サーバのマシン情報などを設定します。
- 共通のプロパティ
表4-12 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)- 外部認証サーバのプロパティ
Kerberosサーバごとに設定します。
接続先のKerberosサーバの情報を直接指定する場合と,DNSサーバに照会する場合とでexauth.propertiesファイルに設定する項目が異なります。
- Kerberosサーバの情報を直接指定する場合
表4-13 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)- Kerberosサーバの情報をDNSサーバに照会する場合
表4-14 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)- 外部認可サーバのプロパティ
Kerberosサーバの情報を直接指定し,かつ外部認可サーバとも連携する場合にだけ必要な設定です。レルムごとに指定します。
表4-15 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)
表4-16 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバとStartTLSで通信するとき)
重要
- プロパティの設定値は,大文字と小文字を区別してください。
- 管理サーバとLDAPディレクトリサーバとの間の通信にStartTLSを使用する場合は,exauth.propertiesファイルに接続先のLDAPディレクトリサーバの情報を直接指定する必要があります。
- DNSサーバに接続先のLDAPディレクトリサーバを照会する場合は,ユーザーがログインする際に処理に時間が掛かることがあります。
表4-12 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(共通項目)
プロパティ名 説明 auth.server.type 外部認証サーバの種類です。kerberosを指定します。
デフォルト値:internal(外部認証サーバと連携しない場合)auth.group.mapping 外部認可サーバとも連携するかどうかを指定します。
連携する場合はtrueを指定します。
連携しない場合はfalseを指定します。
デフォルト値:false表4-13 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報を直接指定するとき)
属性 説明 default_realm デフォルトのレルム名を指定します。GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。この項目は必須です。
デフォルト値:なしdns_lookup_kdc falseを指定します。
デフォルト値:falsedefault_tkt_enctypes Kerberos認証に使用する暗号タイプを指定します。このプロパティは,管理サーバのOSがWindowsの場合にだけ有効です。
次の暗号タイプを使用できます。複数指定する場合は,コンマ(,)で区切ってください。
- aes128-cts
- rc4-hmac
- des3-cbc-sha1
- des-cbc-md5
- des-cbc-crc
指定した暗号タイプのうち,管理サーバのOSとKerberosサーバの両方でサポートされているものが使用されます。
デフォルト:なし(DES-CBC-MD5での認証)clockskew 管理サーバとKerberosサーバ間の時刻の差の許容範囲を指定します。この値よりも時刻に差がある場合,認証エラーになります。
指定できる値:0~300(秒)
デフォルト値:300timeout Kerberosサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:3realm_name レルム識別名を指定します。レルムごとにKerberosサーバの情報を区別するために付ける任意の名称です。必ず1つ以上のレルム識別名を指定してください。レルム識別名を複数指定する場合は,レルム識別名をコンマ(,)で区切って指定します。同じレルム識別名は重複して登録しないでください。
デフォルト値:なし<realm_nameに指定した値>.realm Kerberosサーバに設定してあるレルム名を指定します。この項目は必須です。
デフォルト値:なし<realm_nameに指定した値>.kdc※ Kerberosサーバの情報を次の形式で指定します。
<ホスト名またはIPアドレス>[:<ポート番号>]
この項目は必須です。Kerberosサーバを冗長構成にする場合は,次のようにコンマ(,)で区切って指定します。
- <ホスト名またはIPアドレス>
- ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。
- IPアドレスは,IPv4アドレスで指定してください。IPv6環境では,ホスト名で指定してください。ただし,ループバックアドレス(localhost または127.0.0.1) を指定しないでください。
- <ポート番号>
- 指定するポートがKerberosサーバで待ち受けポート番号として設定されていることを事前に確認してください。ポート番号を省略した場合,または指定したポート番号がKerberosサーバで使用できないポート番号である場合は,88を指定したと見なされます。
<ホスト名またはIPアドレス>[:<ポート番号>],<ホスト名またはIPアドレス>[:<ポート番号>],...
- 注
- 各属性は,次のように指定します。
- auth.kerberos.<属性>=<値>
- 注※
- 外部認可サーバの接続プロトコルにStartTLSを使用する場合は,外部認可サーバのサーバ証明書のCNと同じホスト名を設定してください。IPアドレスは使用できません。
表4-14 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認証サーバの情報をDNSサーバに照会するとき)
属性 説明 default_realm デフォルトのレルム名を指定します。GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。この項目は必須です。
デフォルト値:なしdns_lookup_kdc trueを指定します。この項目は必須です。
ただし,次のすべての属性に値を設定していると,KerberosサーバはDNSサーバに照会されません。
- realm_name
- <realm_nameに指定した値>.realm
- <realm_nameに指定した値>.kdc
default_tkt_enctypes Kerberos認証に使用する暗号タイプを指定します。このプロパティは,管理サーバのOSがWindowsの場合にだけ有効です。
次の暗号タイプを使用できます。複数指定する場合は,コンマ(,)で区切ってください。
- aes128-cts
- rc4-hmac
- des3-cbc-sha1
- des-cbc-md5
- des-cbc-crc
指定した暗号タイプのうち,管理サーバのOSとKerberosサーバの両方でサポートされているものが使用されます。
デフォルト:なし(DES-CBC-MD5での認証)clockskew 管理サーバとKerberosサーバ間の時刻の差の許容範囲を指定します。この値よりも時刻に差がある場合,認証エラーになります。
指定できる値:0~300(秒)
デフォルト値:300timeout Kerberosサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:3
- 注
- 各属性は,次のように指定します。
- auth.kerberos.<属性>=<値>
表4-15 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバの設定)
属性 説明 protocol※ LDAPディレクトリサーバ接続のプロトコルです。
平文による通信の場合はldap,StartTLSによる通信の場合はtlsを指定します。Kerberosサーバの情報を直接指定する場合にだけ,StartTLSで通信できます。
tlsを指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。指定できる値:ldapまたはtls
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
デフォルト値:ldapport LDAPディレクトリサーバのポート番号です。指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
指定できる値:1~65535
デフォルト値:389basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)です。このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。
DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
空白文字 # + ; , < = > \
指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。
デフォルト値:なしtimeout LDAPディレクトリサーバと接続するときの接続待ち時間です。この値を0にした場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
指定できる値:0~120(秒)
デフォルト値:15retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数です。
指定できる値:1~60(秒)
デフォルト値:1retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数です。この値を0にした場合,リトライされません。
指定できる値:0~50
デフォルト値:20
- 注
- 各属性は,次のように指定します。
- auth.group.<レルム名>.<属性>=<値>
- <レルム名>にはauth.kerberos.<realm_nameに指定した値>.realmの値を指定します。
- 注※
- LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合には,Hitachi Command Suite共通コンポーネントのセキュリティ設定が必要です。
表4-16 Kerberosサーバで認証する場合のexauth.propertiesファイルの設定項目(外部認可サーバとStartTLSで通信するとき)
プロパティ名 説明 auth.ocsp.enable LDAPディレクトリサーバとStartTLSで通信する場合に,OCSPレスポンダーを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。
検証する場合はtrueを,検証しない場合はfalseを指定します。
デフォルト値:falseauth.ocsp.responderURL 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。
デフォルト値:なし
All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.