第5章 Enterprise Security Client の設定
Enterprise Security Client は Mozilla XULRunner をベースとしており、Mozilla に組み込まれた設定機能を使用して、Enterprise Security Client の単純な設定が可能になりました。簡単な UI は、3章Enterprise Security Client の使用 で説明され、最も重要な設定を管理します。
注記
Enterprise Security Client は、追加の設定なしに起動できます。
5.1. Enterprise Security Client 設定の概要
Enterprise Security Client は中間フロントエンドで、ユーザー (およびそのトークン)、トークン処理システム、および認証局との間の接続を提供します。Enterprise Security Client は、以下の 2 つの異なるインターフェイスを提供します。
- XUL および JavaScript に基づくローカルインターフェイス
- CGI、HTML、および JavaScript に基づくリモートアクセスに使用できる web ホストインターフェイス
ローカルサーバーからアクセスされるプライマリー Enterprise Security Client ユーザーインターフェイスには、Mozilla XULRunner 技術が含まれています。XULRunner はランタイムパッケージで、ユーザーインターフェイス用の機能が充実した XML マークアップ言語である XUL をベースとするスタンドアロンアプリケーションをホストし、アプリケーションの HTML と比較していくつかの利点があります。
- 幅広い UI ウィジェットセット。およびプレゼンテーションにわたる優れた制御。
- クライアントマシンへのローカルマークアップにより、HTML よりも権限レベルが高くなります。
- 便利なプログラム論理スクリプトや XPCOM 技術を利用できるスクリプト言語、JavaScript。
Web ホストインターフェイスのすべてのファイルをカスタマイズおよび編集し、Enterprise Security Client の動作や外観を理由に合わせて変更できます。
Token Processing System とともに Enterprise Security Client は、各種ユーザーがさまざまなトークン登録パスを利用できるように、さまざまな ユーザープロファイル をサポートします。Enterprise Security Client と TPS は、証明書設定がさまざまなタイプのトークンにカスタム定義できるように、両者とも 異なるトークンプロファイル もサポートしています。これらの設定はいずれも TPS で設定され、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』 で説明されています。
5.1.1. 設定ファイルについて
Enterprise Security Client は、設定ファイルを使用して Mozilla アプリケーションと同様に設定されます。主な設定ファイルは
esc-prefs.js で、Enterprise Security Client とともにインストールされます。2 つ目は、Mozilla プロファイルディレクトリーの prefs.js で、Enterprise Security Client の初回起動時に作成されます。
Enterprise Security Client は、サポートされるプラットフォームごとに Mozilla 設定を使用します。デフォルトの設定ファイルは、各プラットフォームの以下のディレクトリーにあります。
- Red Hat Enterprise Linux 32 ビットでは、これは
/usr/lib/esc-1.1.0/defaults/preferences/esc-prefs.jsにあります。 - Red Hat Enterprise Linux 64 ビットでは、これは
/usr/lib64/esc-1.1.0/defaults/preferences/esc-prefs.jsにあります。
esc-prefs.js ファイルは、Enterprise Security Client の初回起動時に使用するデフォルト設定を指定します。これには、TPS サブシステムに接続し、パスワードプロンプトを設定し、Phone Home 情報を設定するパラメーターが含まれます。各設定は、前に 単語で 囲ま れ、パラメーターと値は括弧で囲まれます。以下に例を示します。
pref(parameter, value);
esc-prefs.js ファイルパラメーターは 表5.1「esc-prefs.js Parameters」 に記載されています。デフォルトの esc-prefs.js ファイルは 例5.1「デフォルトの esc-prefs.js ファイル」 に表示されます。
表5.1 esc-prefs.js Parameters
| パラメーター | 説明 | 注記およびデフォルト |
|---|---|---|
| toolkit.defaultChromeURI | XUL Chrome ページへのアクセスに使用するエンタープライズセキュリティークライアントの URL を定義します。 | ("toolkit.defaultChromeURI", "chrome://esc/content/settings.xul") |
| esc.tps.message.timeout | TPS に接続するためのタイムアウト期間を秒単位で設定します。 | ("esc.tps.message.timeout","90"); |
| esc.disable.password.prompt | パスワードプロンプトを有効にします。これは、スマートカードから証明書情報を読み取るのにパスワードが必要であることを意味します。
パスワードプロンプトはデフォルトで無効になっているため、Enterprise Security Client を使用できます。ただし、ある企業がセキュリティー担当者を使用してトークン操作を管理する場合など、セキュリティーコンテキストでは、パスワードプロンプトを有効にして、Enterprise Security Client へのアクセスを制限します。
|
("esc.disable.password.prompt","yes");
|
| esc.global.phone.home.url |
TPS サーバーへの接続に使用する URL を設定します。
通常、Phone Home 情報はすでにアプレットを介してトークンに設定されます。トークンに Phone Home 情報がない場合 (TPS サーバーと通信する方法がない場合)、Enterprise Security Client はグローバルのデフォルト Phone Home URL をチェックします。
この設定は、明示的に設定されている場合にのみチェックされます。この設定はクライアントでフォーマットされたすべてのトークンに適用されるため、このパラメーターを設定すると、すべてのトークンが同じ TPS をポイントするように強制されます。特定の動作が望ましい場合にのみ、このパラメーターを使用してください。
|
("esc.global.phone.home.url", "http://server.example.com:7888/cgi-bin/home/index.cgi");
|
| esc.global.alt.nss.db |
サーバー上のすべての Enterprise Security Client ユーザーが使用している共通のセキュリティーデータベースが含まれるディレクトリーを参照します。
この設定は、明示的に設定されている場合にのみチェックされます。これが設定されていない場合、各ユーザーは共有データベースではなく、個別のプロファイルセキュリティーデータベースにのみアクセスします。
|
prefs("esc.global.alt.nss.db", "C:/Documents and Settings/All Users/shared-db");
|
例5.1 デフォルトの esc-prefs.js ファイル
このファイルのコメントは、例には含まれません。
#pref("toolkit.defaultChromeURI", "chrome://esc/content/settings.xul");
pref("signed.applets.codebase_principal_support",true); for internal use only
pref("capability.principal.codebase.p0.granted", "UniversalXPConnect"); for internal use only
pref("capability.principal.codebase.p0.id", "file://"); for internal use only
pref("esc.tps.message.timeout","90");
#Hide the format button or not.
pref("esc.hide.format","no");
#Use this if you absolutely want a global phone home url for all tokens
#Not recommended!
#pref("esc.global.phone.home.url","http:/test.host.com:7888/cgi-bin/home/index.cgi");
Enterprise Security Client の起動時に、システム上のユーザーごとに個別の一意のプロファイルディレクトリーを作成します。Red Hat Enterprise Linux では、これらのプロファイルは
~/.redhat/esc/ alphanumeric_string . default/prefs.js に保存されます。
注記
Enterprise Security Client でユーザーの設定値に変更が必要となると、更新された値はデフォルトの JavaScript ファイルではなく、ユーザーのプロファイルエリアに書き込まれます。
表5.2「PREFS.js パラメーター」
prefs.js ファイルの最も関連性の高いパラメーターを一覧表示します。このファイルの編集は複雑です。prefs.js ファイルは、Enterprise Security Client によって動的に生成および編集され、このファイルへの手動の変更は、Enterprise Security Client の終了時に上書きされます。
表5.2 PREFS.js パラメーター
| パラメーター | 説明 | 注記およびデフォルト |
|---|---|---|
| esc.tps.url | TPS への接続に使用する Enterprise Security Client の URL を設定します。これはデフォルトでは設定されません。 | |
| esc.key.token_ID.tps.url |
TPS との通信に使用するホスト名とポートを設定します。
この Phone Home 情報がファクトリーでカードに書き込まれていない場合は、TPS URL、登録ページの URL、発行者の名前、および Phone Home URL を追加して、カードに手動で追加できます。
|
("esc.key.token_ID.tps.url" = "https://test.host.com:8443/tps/tps");
|
| esc.key.token_ID.issuer.name |
トークンを登録する組織の名前を指定します。
| ("esc.key.token_ID.issuer.name" = "Example Corp"); |
| esc.key.token_ID.phone.home.url |
TPS の Phone Home 機能にアクセスするために使用する URL を指定します。
トークンが Phone Home 情報を指定しない場合に、グローバル Phone Home パラメーターは、トークン登録で使用するデフォルトを設定します。このパラメーターを特定のトークン ID 番号に設定すると、指定の Phone Home パラメーターがそのトークンにのみ適用されます。
| ("esc.key.token_ID.phone.home.url" = "http://server.example.com:7888/cgi-bin/home/index.cgi?"); |