4.3. Enterprise Security Client 設定の概要
Enterprise Security Client は中間フロントエンドで、ユーザー (およびそのトークン)、トークン処理システム、および認証局との間の接続を提供します。Enterprise Security Client は、以下の 2 つの異なるインターフェースを提供します。
- XUL および JavaScript に基づくローカルインターフェース
- CGI、HTML、および JavaScript に基づくリモートアクセスに使用できる web ホストインターフェース
ローカルサーバーからアクセスされるプライマリー Enterprise Security Client ユーザーインターフェースには、Mozilla XULRunner 技術が含まれています。XULRunner はランタイムパッケージで、ユーザーインターフェース用の機能が充実した XML マークアップ言語である XUL をベースとするスタンドアロンアプリケーションをホストし、アプリケーションの HTML と比較していくつかの利点があります。
- 幅広い UI ウィジェットセット。およびプレゼンテーションにわたる優れた制御。
- クライアントマシンへのローカルマークアップにより、HTML よりも権限レベルが高くなります。
- 便利なプログラム論理スクリプトや XPCOM 技術を利用できるスクリプト言語、JavaScript。
Web ホストインターフェースのすべてのファイルをカスタマイズおよび編集し、Enterprise Security Client の動作や外観を理由に合わせて変更できます。
Token Processing System とともに Enterprise Security Client は、各種ユーザーがさまざまなトークン登録パスを利用できるように、さまざまな ユーザープロファイル をサポートします。Enterprise Security Client と TPS は、証明書設定がさまざまなタイプのトークンにカスタム定義できるように、両者とも 異なるトークンプロファイル もサポートしています。これらの設定はいずれも TPS で設定されており、『証明書システム管理者のガイド』で説明されています。
4.3.1. Enterprise Security Client ファイルの場所
このリファレンスは、さまざまなクライアントマシンのディレクトリーおよびファイルの場所を示しています。
Red Hat Enterprise Linux 32 ビットでは、Enterprise Security Client はバイナリー RPM によってデフォルトの場所
/usr/lib/esc-1.1.0/esc にインストールされます。Red Hat Enterprise Linux 64 ビットシステムでは、インストールディレクトリーは /usr/lib64/esc-1.1.0/esc になります。
注記
Enterprise Security Client は特定の XUL 設定ファイルを使用しますが、全体的に、Enterprise Security Client は Red Hat Enterprise Linux で システム XULRunner パッケージを使用します。
| ファイルまたはディレクトリー | 目的 |
|---|---|
| application.ini | XULRunner アプリケーション設定ファイル |
| components/ | XPCOM コンポーネント |
| chrome/ | Chrome コンポーネント用のディレクトリーと、Enterprise Security Client XUL および JavaScript の追加アプリケーションファイル。 |
| defaults/ | Enterprise Security Client のデフォルト設定。 |
| esc | Enterprise Security Client を起動するスクリプト。 |
4.3.2. 設定ファイルについて
Enterprise Security Client は、設定ファイルを使用して Mozilla アプリケーションと同様に設定されます。主な設定ファイルは
esc-prefs.js で、Enterprise Security Client とともにインストールされます。2 つ目は、Enterprise Security Client の初回起動時に作成される Mozilla プロファイルディレクトリーにある prefs.js です。
Enterprise Security Client は、サポートされるプラットフォームごとに Mozilla 設定を使用します。Red Hat Enterprise Linux 32 ビットのデフォルト設定ファイルは
/usr/lib/esc-1.1.0/defaults/preferences/esc-prefs.js にあります。Red Hat Enterprise Linux 64 ビットの場合は、/usr/lib64/esc-1.1.0/defaults/preferences/esc-prefs.js にあります。
この
esc-prefs.js ファイルは、Enterprise Security Client の初回起動時に使用するデフォルト設定を指定します。これには、TPS サブシステムの接続、パスワードのプロンプトの設定Phone Home 情報の設定などを行うパラメーターが含まれます。各設定は pref で示され、パラメーターと値は括弧で囲まれます。以下に例を示します。
pref(parameter, value);
esc-prefs.js ファイルパラメーターが 表4.2「esc-prefs.js Parameters」 に一覧表示されます。デフォルトの esc-prefs.js ファイルが 例4.1「デフォルトの esc-prefs.js ファイル」 に表示されます。
| パラメーター | 説明 | 注記およびデフォルト |
|---|---|---|
| toolkit.defaultChromeURI | XUL Chrome ページへのアクセスに使用するエンタープライズセキュリティークライアントの URL を定義します。 | ("toolkit.defaultChromeURI", "chrome://esc/content/settings.xul") |
| esc.tps.message.timeout | TPS に接続するためのタイムアウト期間を秒単位で設定します。 | ("esc.tps.message.timeout","90"); |
| esc.disable.password.prompt | パスワードプロンプトを有効にします。これは、スマートカードから証明書情報を読み取るのにパスワードが必要であることを意味します。
パスワードプロンプトはデフォルトで無効になっているため、Enterprise Security Client を使用できます。ただし、ある企業がセキュリティー担当者を使用してトークン操作を管理する場合など、セキュリティーコンテキストでは、パスワードプロンプトを有効にして、Enterprise Security Client へのアクセスを制限します。
|
("esc.disable.password.prompt","yes");
|
| esc.global.phone.home.url |
TPS サーバーへの接続に使用する URL を設定します。
通常、Phone Home 情報はすでにアプレットを介してトークンに設定されます。トークンに Phone Home 情報がない場合 (TPS サーバーと通信する方法がない場合)、Enterprise Security Client はグローバルのデフォルト Phone Home URL をチェックします。
この設定は、明示的に設定されている場合にのみチェックされます。この設定はクライアントでフォーマットされたすべてのトークンに適用されるため、このパラメーターを設定すると、すべてのトークンが同じ TPS をポイントするように強制されます。特定の動作が望ましい場合にのみ、このパラメーターを使用してください。
|
("esc.global.phone.home.url", "http://server.example.com:7888/cgi-bin/home/index.cgi");
|
| esc.global.alt.nss.db |
サーバー上のすべての Enterprise Security Client ユーザーが使用している共通のセキュリティーデータベースが含まれるディレクトリーを参照します。
Phone Ho me URL
この設定は、明示的に設定されている場合にのみチェックされます。これが設定されていない場合、各ユーザーは共有データベースではなく、個別のプロファイルセキュリティーデータベースにのみアクセスします。
|
prefs("esc.global.alt.nss.db", "C:/Documents and Settings/All Users/shared-db");
|
例4.1 デフォルトの esc-prefs.js ファイル
このファイルのコメントは、例には含まれません。
#pref("toolkit.defaultChromeURI", "chrome://esc/content/settings.xul");
pref("signed.applets.codebase_principal_support",true); for internal use only
pref("capability.principal.codebase.p0.granted", "UniversalXPConnect"); for internal use only
pref("capability.principal.codebase.p0.id", "file://"); for internal use only
pref("esc.tps.message.timeout","90");
#Do we populate CAPI certs on windows?
pref("esc.windows.do.capi","yes");
#Sample Security Officer Enrollment UI
#pref("esc.security.url","http://test.host.com:7888/cgi-bin/so/enroll.cgi");
#Sample Security Officer Workstation UI
#pref("esc.security.url","https://dhcp-170.sjc.redhat.com:7889/cgi-bin/sow/welcome.cgi");
#Hide the format button or not.
pref("esc.hide.format","no");
#Use this if you absolutely want a global phone home url for all tokens
#Not recommended!
#pref("esc.global.phone.home.url","http:/test.host.com:7888/cgi-bin/home/index.cgi");
Enterprise Security Client の起動時に、システム上のユーザーごとに個別の一意のプロファイルディレクトリーを作成します。これらのプロファイルは、Red Hat Enterprise Linux 6 の
~/.redhat/esc/alphanumeric_string.default/prefs.js に保存されます。
注記
Enterprise Security Client でユーザーの設定値に変更が必要となると、更新された値はデフォルトの JavaScript ファイルではなく、ユーザーのプロファイルエリアに書き込まれます。
表4.3「PREFS.js パラメーター」 は、
prefs.js ファイルの最も関連するパラメーターを一覧表示します。このファイルの編集は複雑です。この prefs.js ファイルは、Enterprise Security Client によって動的に生成および編集されます。このファイルへの手動の変更は、Enterprise Security Client の終了時に上書きされます。
| パラメーター | 説明 | 注記およびデフォルト |
|---|---|---|
| esc.tps.url | TPS への接続に使用する Enterprise Security Client の URL を設定します。これはデフォルトでは設定されません。 | |
| esc.key.token_ID.tps.url |
TPS との通信に使用するホスト名とポートを設定します。
この Phone Home 情報がファクトリーでカードに書き込まれていない場合は、TPS URL、登録ページの URL、発行者の名前、および Phone Home URL を追加して、カードに手動で追加できます。
|
("esc.key.token_ID.tps.url" = "http://server.example.com:7888/nk_service");
|
| esc.key.token_ID.tps.enrollment-ui.url |
トークンに証明書を登録する登録ページにアクセスする URL を提供します。
この Phone Home 情報がファクトリーでカードに書き込まれていない場合は、TPS URL、登録ページの URL、発行者の名前、および Phone Home URL を追加して、カードに手動で追加できます。
| ("esc.key.token_ID.tps.enrollment-ui.url" = "http://server.example.com:7888/cgi_bin/esc.cgi?"); |
| esc.key.token_ID.issuer.name |
トークンを登録する組織の名前を指定します。
| ("esc.key.token_ID.issuer.name" = "Example Corp"); |
| esc.key.token_ID.phone.home.url |
TPS の Phone Home 機能にアクセスするために使用する URL を指定します。
トークンが Phone Home 情報を指定しない場合に、グローバル Phone Home パラメーターは、トークン登録で使用するデフォルトを設定します。このパラメーターを特定のトークン ID 番号に設定すると、指定の Phone Home パラメーターがそのトークンにのみ適用されます。
| ("esc.key.token_ID.phone.home.url" = "http://server.example.com:7888/cgi-bin/home/index.cgi?"); |
| esc.security.url |
セキュリティー担当者モードに使用する URL を参照します。
これがセキュリティー担当者の登録フォームを参照する場合、Enterprise Security Client はフォームを開き、セキュリティー担当者トークンを登録します。セキュリティー担当者のワークステーション URL を参照する場合は、ワークステーションを開き、セキュリティー担当者の承認で通常のユーザーを登録します。
| ("esc.security.url","https://server.example.com:7888/cgi-bin/so/enroll.cgi"); |
4.3.3. Enterprise Security Client の XUL ファイルおよび JavaScript ファイルについて
Smart Card Manager は、XUL マークアップおよび JavaScript 機能を
/usr/lib[64]/esc-1.1.0/chrome/content/esc/ に格納します。
プライマリー Enterprise Security Client XUL ファイルは 表4.4「メインの XUL ファイル」 に記載されています。
| ファイル名 | 目的 |
|---|---|
| settings.xul | Settings ページのコードが含まれます。 |
| esc.xul | 登録 ページのコードが含まれます。 |
| config.xul | 設定 UI のコードが含まれます。 |
プライマリー Smart Card Manager JavaScript ファイルは次の表に一覧表示されています。
| ファイル名 | 目的 |
|---|---|
| ESC.js | Smart Card Manager JavaScript 機能の多くが含まれています。 |
| TRAY.js | トレイアイコン機能が含まれます。 |
| AdvancedInfo.js | 診断機能のコードが含まれます。 |
| GenericAuth.js | 認証プロンプトのコードが含まれています。このプロンプトは、Smart Card Manager による動的な処理を必要とする TPS サーバーから設定できます。 |
