認証システム

サービス全般のご案内

利用手続・規程類

マニュアル・ガイドブック類

参考資料

ECS-ID(学生アカウント)

利用方法

SPS-ID(教職員アカウント)
認証ICカード、施設利用証等

サポート

シングルサインオンサービス

利用方法

クライアント証明書発行システム

利用方法

コンテンツ

  1. ホーム
  2. 提供サービス
  3. 認証システム
  4. 認証ICカード、施設利用証等
  5. サポート
  6. Webコンテンツ認証設定(サーバ管理者用)

Webコンテンツ認証設定(サーバ管理者用)

本ページはWebサーバ管理者向けです

IDとパスワードを用いた認証に比べよりセキュアな接触ICカード(認証ICカード)を用いたWebコンテンツ認証の設定方法の例をまとめます

本設定例はApache-2.2を用いています

  1. WebサーバのSSLによるクライアント認証を利用しますのでサーバ証明書を取得してSSLで接続できることを確認してください
  2. 京都大学のICカードの電子証明書は学内のプライベートCAなのでそのルート証明書と中間証明書をICカードリーダドライバCDの中から取得してCAファイル(SSLCACertificateFile)またはCAのディレクトリ(SSLCACertificatePath)に追加しておきます
  3. サーバの設定は以下になります
    httpd.confのに記述しても AuthConfigのOverrideを許可して.htaccessに記述してもOKです

    SSLVerifyClient require
    SSLVerifyDepth 2 # 京都大学は2階層
    SSLRequire ( %{SSL_CLIENT_S_DN_OU} eq "Kyoto University Faculty CA" and \
    %{SSL_CLIENT_S_DN_O} eq "Kyoto University" and \
    %{SSL_CLIENT_S_DN_C} eq "JP" )
    # SSLRequireでクライアント証明書を制限
    SSLOptions +StdEnvVars \ # CGIなどでSSL関係の環境変数が利用可能
    +FakeBasicAuth # Basic認証と併用して制限する場合
    AuthName "ICcard Auth"
    AuthType Basic
    AuthBasicProvider file
    AuthUserFile "/path/to/.htpasswd"
    require valid-user
    /path/to/.htpasswdには下記のようにSPS-IDを羅列します #下記は一行です
    /C=JP/O=Kyoto University/OU=Kyoto University Faculty CA/OU=Regular/CN=SPS-ID1:xxj31ZMTZzkVA
    ここで' xxj31ZMTZzkV 'は文字列'password 'のDESハッシュ値で固定値です
    SSLRequireで京都大学の証明書であることを制限してBASIC認証(認可)や環境変数SSL_CLIENT_S_DN_CN内のSPS-IDを利用してWebアプリで認可するとよいと思います
  4. CRL(SSLCARevocationFileまたはSSLCARevocationPath)は定期的に取得する設定にしておいてください
    CRLの取得方法はご相談ください
 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.