13.8.3. CMC 共有シークレット機能の有効化

認証局 (CA) で共有トークン機能を有効にするには、以下を実行します。
  1. ホストでウォッチドッグサービスが有効になっている場合は、そのサービスを一時的に無効にします。「Watchdog サービスの無効化」 を参照してください。
  2. Directory Server のスキーマに shrTok 属性を追加します。
    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x
    
    dn: cn=schema
    changetype: modify
    add: attributetypes
    attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
     Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
     SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
  3. システムキーが Hardware Security Module (HSM) に保存されている場合は、/var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに cmc.token パラメーターを設定します。以下に例を示します。
    cmc.token=NHSM6000
  4. 以下の方法のいずれかを使用して、共有トークン認証プラグインを有効にします。
    • pkiconsole ユーティリティーを使用してプラグインを有効にするには、以下を実行します。
      1. pkiconsole ユーティリティーを使用してシステムにログインします。以下に例を示します。
        # pkiconsole https:host.example.com:8443/ca
      2. Configuration タブで、Authentication を選択します。
      3. Add をクリックして、SharedToken を選択します。
      4. 次へ をクリックします。
      5. 以下の情報を入力します。
        Authentication InstanceID=SharedToken
        shrTokAttr=shrTok
        ldap.ldapconn.host=server.example.com
        ldap.ldapconn.port=636
        ldap.ldapconn.secureConn=true
        ldap.ldapauth.bindDN=cn=Directory Manager
        password=password
        ldap.ldapauth.authtype=BasicAuth
        ldap.basedn=ou=People,dc=example,dc=org
      6. OK をクリックします。
    • プラグインを手動で有効にするには、以下の設定を /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに追加します。
      auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
      auths.instance.SharedToken.dnpattern=
      auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
      auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
      auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
      auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
      auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
      auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
      auths.instance.SharedToken.ldap.ldapconn.port=636
      auths.instance.SharedToken.ldap.ldapconn.secureConn=true
      auths.instance.SharedToken.ldap.ldapconn.version=3
      auths.instance.SharedToken.ldap.maxConns=
      auths.instance.SharedToken.ldap.minConns=
      auths.instance.SharedToken.ldapByteAttributes=
      auths.instance.SharedToken.ldapStringAttributes=
      auths.instance.SharedToken.pluginName=SharedToken
      auths.instance.SharedToken.shrTokAttr=shrTok
  5. /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルの ca.cert.issuance_protection.nickname パラメーターで、RSA 発行保護証明書のニックネームを設定します。以下に例を示します。
    ca.cert.issuance_protection.nickname=issuance_protection_certificate
    このステップは以下のとおりです。
    • ca.cert.subsystem.nickname パラメーターで RSA 証明書を使用する場合はオプションになります。
    • ca.cert.subsystem.nickname パラメーターで ECC 証明書を使用する場合に必須です。
    重要
    ca.cert.issuance_protection.nickname パラメーターが設定されていない場合、Certificate System は ca.cert.subsystem.nicknameで指定されたサブシステムの証明書を自動的に使用します。ただし、発行保護証明書は RSA 証明書である必要があります。
  6. Certificate System を再起動します。
    # systemctl restart pki-tomcatd@instance_name.service
    CA が起動すると、Certificate Systemは Shared Token プラグインが使用する LDAP パスワードを要求します。
  7. この手順の最初に watchdog サービスを一時的に無効にした場合は、再度有効にします。「Watchdog サービスの有効化」 を参照してください。