Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.4. Phone Home の設定

Enterprise Security Client の Phone Home 機能は、各スマートカード内の情報を、固有の TPS サーバーおよび Smart Card Manager UI ページを示す情報に関連付けます。Enterprise Security Client が新しいスマートカードにアクセスするたびに、TPS インスタンスに接続して、Phone Home 情報を取得できます。
Phone Home はこの情報を取得してキャッシュします。この情報はローカルでキャッシュされているので、フォーマットされたスマートカードが挿入されるたびに TPS サブシステムと通信する必要はありません。
この情報はキーまたはトークンごとに異なる場合があります。つまり、異なる TPS サーバーおよび登録 URL を企業やカスタマーグループごとに設定できます。Phone Home を使用すると、Enterprise Seucirty Client を、正しいサーバーと URL を特定するように手動で設定せずに、発行者や会社単位で異なる TPS サーバーを設定できます。

注記

TPS サブシステムが Phone Home 機能を使用できるようにするには、以下のように TPS 設定ファイルで Phone Home を有効にする必要があります。
op.format.userKey.issuerinfo.enable=true
op.format.userKey.issuerinfo.value=http://server.example.com

4.4.1. Phone Home プロファイルについて

Enterprise Security Client は Mozilla XULRunner に基づいています。したがって、各ユーザーには、Mozilla Firefox および Thunderbird で使用されるユーザープロファイルと同様のプロファイルがあります。Enterprise Security Client は、設定ファイルにアクセスします。Enterprise Security Client が各トークンの情報をキャッシュすると、情報はユーザーの設定ファイルに保存されます。次回のエンタープライズセキュリティークライアントの起動時に、サーバーを再び接続する代わりに、設定ファイルから情報を取得します。
スマートカードが挿入され、Phone Home を起動すると、Enterprise Security Client は最初にトークンで Phone Home の情報をチェックします。トークンに関する情報がない場合、クライアントは esc-prefs.js ファイルで esc.global.phone.home.url パラメーターを確認します。
トークンに Phone Home 情報が保存されておらず、グローバルな Phone Home パラメーターがない場合、図4.2「Phone Home 情報のプロンプト」 に示されているように、スマートカードが挿入されると、ユーザーは Phone Home URL の入力が求められます。その他の情報は、トークンのフォーマット時に提供され、保存されます。この場合、会社はユーザーに特定の Phone Home URL を提供します。ユーザーが URL を送信すると、フォーマットプロセスにより、残りの情報が Phone Home プロファイルに追加されます。フォーマットプロセスは、ユーザーに変わりません。
Phone Home 情報のプロンプト

図4.2 Phone Home 情報のプロンプト

4.4.2. グローバル Phone Home 情報の設定

Phone Home は、セキュリティートークンがマシンに挿入されると自動的にトリガーされます。システムは、トークンから Phone Home URL を即座に読み込み、TPS サーバーと通信しようとします。新しいトークンまたは以前にフォーマットされたトークンの場合、Phone Home 情報はカードで利用できない場合があります。
Enterprise Security Client 設定ファイル esc-prefs.js には、グローバルな Phone Home URL のデフォルトを設定できるパラメーターがあります。このパラメーターは esc.global.phone.home.url で、デフォルトではファイルには含まれません。
グローバルの Phone Home URL を定義するには、以下を実行します。
  1. 既存の Enterprise Security Client のユーザープロファイルディレクトリーを削除します。プロファイルディレクトリーは、スマートカードが挿入されると自動的に作成されます。デフォルトでは、プロファイルディレクトリーは ~/.redhat/esc になります。
  2. esc-prefs.js ファイルを開きます。
    Red Hat Enterprise Linux 6 では、プロファイルディレクトリーは /usr/lib/esc-1.1.0/defaults/preferences になります。64 ビットシステムでは、これは /usr/lib64/esc-1.1.0/defaults/preferences になります。
  3. グローバルの Phone Home パラメーター行を esc-prefs.js ファイルに追加します。以下に例を示します。
    pref("esc.global.phone.home.url","http://server.example.com:7888/cgi-bin/home/index.cgi");
    URL は DNS およびネットワーク設定に応じて、マシン名、完全修飾ドメイン名、または IPv4 または IPv6 アドレスを参照できます。

4.4.3. Phone Home 情報の手動によるトークンへの追加

Phone Home 情報は、以下の 2 つの方法の 1 つでトークンに手動で配置できます。
  • 推奨される方法は、情報がファクトリーでトークンに書き込まれることです。トークンが製造元から順序付けられると、会社は、送信時にトークンを設定する方法の詳細を提供します。
  • トークンが空白である場合、企業の IT 部門は、トークンの小規模なグループのフォーマット時に情報を提供できます。
以下の情報は、~/.redhat/esc/alphanumeric_string.default/prefs.js ファイル内の各スマートカードの Phone Home 機能によって使用されます。
  • TPS サーバーおよびポート以下に例を示します。
    "esc.key.token_ID.tps.url" = "http://server.example.com:7888/nk_service"
  • TPS 登録インターフェース URL。以下に例を示します。
    "esc.key.token_ID.tps.enrollment-ui.url" = "http://server.example.com:7888/cgi_bin/esc.cgi?"
  • 発行先の会社名または ID。以下に例を示します。
    "esc.key.token_ID.issuer.name" = "Example Corp"
  • Phone Home URL。以下に例を示します。
    "esc.key.token_ID.phone.home.url" = "http://server.example.com:7888/cgi-bin/home/index.cgi?"
  • オプションで、登録したスマートカードが挿入されたときにアクセスするデフォルトのブラウザー URL。
    "esc.key.token_ID.EnrolledTokenBrowserURL" = "http://www.test.example.com"
prefs.js ファイルに使用されているパラメーターの詳細は、表4.3「PREFS.js パラメーター」 に記載されています。

注記

これらのパラメーターの URL は DNS およびネットワーク設定に応じて、マシン名、完全修飾ドメイン名、または IPv4 または IPv6 アドレスを参照できます。

4.4.4. TPS を設定し、Phone Home を使用する

Phone Home を使用するように TPS が正しく設定されている場合に限り、Phone Home 機能と、それに使用される各種情報が利用できます。TPS が Phone Home に対して設定されていない場合、この機能は無視されます。Phone Home は /var/lib/pki-tps/cgi-bin/home ディレクトリー内の index.cgi で設定されています。これにより Phone Home 情報が XML に出力されます。
例4.2「TPS Phone Home 設定ファイル」 は、Phone Home 機能の設定を行う TPS サブシステムによって使用される XML ファイルのサンプルを示しています。

例4.2 TPS Phone Home 設定ファイル

<ServiceInfo><IssuerName>Example Corp</IssuerName>
    <Services>
        <Operation>http://server.example.com:7888/nk_service ## TPS server URL
        </Operation>
        <UI>http://server.example.com:7888/cgi_bin/esc.cgi   ## Optional
Enrollment UI
        </UI>
        <EnrolledTokenBrowserURL>http://www.test.url.com   ## Optional
enrolled token url
        </EnrolledTokenBrowserURL>
    </Services>
</ServiceInfo>
TPS 設定 URI は、TPS サーバーの URL で、残りのホームディレクトリー情報を Enterprise Security Client に返します。この URL の例は http://server.example.com:7888/cgi-bin/home/index.cgi です。この URL はマシン名、完全修飾ドメイン名、IPv4 または IPv6 アドレスを参照できます。TPS 設定 URI にアクセスすると、TPS サーバーは、すべてのホームディレクトリー情報を Enterprise Security Client に返すように求められます。
Smart Card サーバーの URL をテストするには、TPS Config URI フィールドにアドレスを入力し、Test URL をクリックします。
サーバーが正常に通信されると、メッセージボックスに success が表示されます。テスト接続に失敗すると、エラーダイアログが表示されます。