第1章 Enterprise Security Client の概要
Enterprise Security Client は、スマートカードの管理を簡素化する Red Hat Certificate System のツールです。エンドユーザーは、セキュリティートークン (スマートカード) を使用して、シングルサインオン (SSO) アクセスやクライアント認証などのアプリケーションのユーザー証明書を保存できます。エンドユーザーには、署名、暗号化、およびその他の暗号化機能に必要な証明書および鍵が含まれるトークンが発行されます。
Enterprise Security Client は、Certificate System の完全なトークン管理システムの 3 番目の部分です。2 つのサブシステム (Token Key Service (TKS) および Token Processing System (TPS)) は、トークン関連の操作を処理するために使用されます。Enterprise Security Client は、スマートカードとユーザーがトークン管理システムにアクセスできるようにするインターフェイスです。
トークンの登録後、Mozilla Firefox や Thunderbird などのアプリケーションは、トークンを認識して、クライアント認証や S/MIME メールなどのセキュリティー操作に使用するように設定できます。Enterprise Security Client は、以下の機能を提供します。
- Gemalto 64K V2 や Safenet 300J Java スマートカードなどの Global Platform 準拠のスマートカードに対応します。
- セキュリティートークンを登録して、TPS で認識されるようにします。
- TPS でトークンを再登録するなど、セキュリティートークンを維持します。
- マネージドトークンの現在のステータスに関する情報を提供します。
- トークンが失われた場合に別のトークンで鍵をアーカイブおよび復元できるように、TPS および DRM サブシステムによるサーバー側の鍵生成をサポートします。
1.1. Red Hat Enterprise Linux、シングルサインオン、および認証
ネットワークユーザーは、使用する各種サービスに複数のパスワードを送信する必要があります。たとえば、電子メール、Web 閲覧、組織のサーバー、およびネットワーク上のサーバーなどです。複数のパスワードを維持して、常にパスワードの入力を求められると、ユーザーおよび管理者にとっては面倒です。シングルサインオン は、管理者が単一のパスワードストアを作成してユーザーが一度ログインし、単一のパスワードを使用してすべてのネットワークリソースに認証できるようにするための設定です。
Red Hat Enterprise Linux は、ワークステーションへのログイン、スクリーンセーバーのロック解除、Mozilla Firefox を使用して暗号化された Web ページへのアクセス、Mozilla Thunderbird を使用した暗号化された電子メールの送信など、複数のリソースのシングルサインオンをサポートします。
シングルサインオンは、ユーザーにとって便利であると同時に、サーバーおよびネットワークのセキュリティーにおけるもう 1 つの層でもあります。シングルサインオンは、セキュアで効果的な認証をベースにしており、Enterprise Security Client は Red Hat Certificate System が実装する公開鍵インフラストラクチャーに関連付けられます。
セキュアなネットワーク環境を確立するための基盤の 1 つは、ネットワークへのアクセス権限を持つユーザーにアクセスが制限されるようにすることです。アクセスが許可されると、ユーザーはシステムに対して 認証 できます。つまり、ユーザーはアイデンティティーを検証できます。このような方法の 1 つとして 証明書 (証明書が存在するエンティティーを特定する電子ドキュメント) を表示することが挙げられます。
これらの証明書はスマートカードに保存できます。ユーザーがスマートカードを挿入すると、スマートカードは証明書をシステムに提示し、ユーザーを識別して認証できるようにします。Red Hat Enterprise Linux のシングルサインオンに対する 2 つの認証方法の 1 つはスマートカード認証です。もう 1 つは Kerberos ベースの認証です。
スマートカードを使用したシングルサインオンには、以下の 3 つの手順があります。
- ユーザーがスマートカードをカードリーダーに挿入します。これは、Red Hat Enterprise Linux のプラグ可能な認証モジュール (PAM) により検出されます。
- システムは、証明書をユーザーエントリーにマッピングし、スマートカードで提示された証明書をユーザーエントリーに保存されている証明書と比較します。
- 証明書がキー配布センター (KDC) に対する検証に成功すると、ユーザーはログインを許可されます。
Enterprise Security Client は、シングルサインオンの管理に含まれるスマートカードを管理します。