Common Access Card (CAC) 認証の有効化

このトピックでは、Common Access Card (CAC) 認証が有効になっている AppScan® Enterprise Server への接続を許可するように AppScan® ソース を設定する方法を示します。

始める前に

CAC 認証は Windows でのみサポートされます。AppScan® ソース は、サブジェクトの代替名 - マルチドメイン (SAN) 証明書を使用した CAC 認証をサポートします。

手順

  1. SolidDB を使用している AppScan® ソース の古いインストールを使用している場合は、まず以下のステップを実行します。AppScan® Enterprise Server への接続で新しいインストールをデータベースとして使用する場合は、ステップ 2 に進みます。
    1. AppScan Enterprise Server が、まだ CAC 認証用にセットアップされていないことを確認します。
    2. AppScan® Source for Analysis または AppScan® Source コマンド行インターフェース (CLI)AppScan® ソース 管理者としてログインします。
    3. すべての AppScan® Enterprise Server ユーザーがすべての許可を持つように設定するには、インストールの指示に従ってください。これにより、AppScan® Enterprise Server ユーザーが完全な管理アクセス権を持つ初期のデフォルト許可が設定されます。ただし、CAC セットアップの完了後は組織のニーズに合うように、そのデフォルト許可を変更できます。
    4. すべての AppScan® ソース クライアント・アプリケーションを終了またはシャットダウンします。
  2. CAC 認証を許可するために AppScan® Enterprise Server をセットアップする
  3. <data_dir>\config\ounce.ozsettings (<data_dir>AppScan® ソース プログラム・データの場所です。詳細は インストールとユーザー・データ・ファイルの場所) を開きます。このファイルで、以下の設定を見つけます。 
    <Setting
		 name="client_cert_auth"
		 value="false"
		 default_value="false"
		 description="Uses client certificate authentication"
		 display_name="Uses client certificate authentication"
		 type="boolean"
		 read_only="true"
		 hidden="true"
	/>
  4. 設定で value="false"value="true" に変更し、ファイルを保存します。
  5. AppScan® Source for Analysis または AppScan® Source for Development Eclipse プラグイン から AppScan® Enterprise Server にログインする場合には以下のようにします。
    1. Java のインストール・ディレクトリーで、jre/lib/security/java.security を見つけます。AppScan® Source for Analysis の場合、jre フォルダーは AppScan® ソースインストール・ディレクトリー内にあります。このファイルのバックアップ・コピーを作成します。
    2. java.security を編集します。
    3. プロバイダーとその優先順位のリストで、最初のセキュリティー・プロバイダーとして com.ibm.security.capi.IBMCAC を追加します。例えば、AppScan® Source for Analysis の使用のため java.security を編集する場合、次の部分が変更対象箇所です。 
      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.jsse2.IBMJSSEProvider2
security.provider.3=com.ibm.crypto.provider.IBMJCE
security.provider.4=com.hcl.securitycert.IBMCertPath
security.provider.5=sun.security.provider.Sun

      変更後:

      security.provider.1=com.ibm.security.capi.IBMCAC
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.hcl.securitycert.IBMCertPath
security.provider.6=sun.security.provider.Sun
    4. java.security ファイルを保存して閉じます。
  6. SolidDB を AppScan® ソース データベースとして使用している場合は、以下のようにします。
    1. AppScan® ソース 管理者として AppScan® Source for Analysis にログインします。
    2. AppScan® Enterprise Server ユーザーのデフォルト許可を組織のニーズに合うように変更します。
      許可で SAN (サブジェクトの代替名) ベースの認証を使用する場合、AppScan® ソース へのログイン時に証明書から正しいユーザー名を使用していることを確認してください。

次のタスク

連邦情報処理標準 (Federal Information Processing Standard) (FIPS) モードを実施する場合は、証明書を SHA-1 にすることはできません。

所有している証明書の種類を判別するには、以下のようにします。

  1. Windows 証明書マネージャーを開きます。Windows の「スタート」メニューで、検索ボックスに「certmgr.msc」と入力して、Enter キーを押します。管理者パスワードまたは確認のプロンプトが表示されたら、パスワードを入力するか確認を実行します。
  2. ダブルクリックするか、ユーザー・インターフェースの「開く」アクションで証明書を開きます。
  3. 証明書の「詳細」タブを選択します。
  4. 「署名ハッシュ アルゴリズム」フィールドを見つけます。このフィールドの値が、証明書の種類を示しています。