クライアント証明書認証 (SECURE_LOGIN、SECURE_PASSWORD)
これらの設定を使用できるのは、FTP サーバーの構成時だけです。
これらの設定は、FTP サーバーがクライアント認証を必要とするかどうかを指示するために使用します。
これらの設定は TLS と Kerberos の両方に適用されますが、「クライアント・ユーザー ID の検査」選択では Kerberos の動作が変更されるだけです。また「証明書」は、実際には TLS の用語であることに注意してください。Kerberos の用語で証明書と同等なのは、クリデンシャルを含むチケットです。
- 「クライアント証明書認証が必要」
- サーバーにクライアント証明書の認証をさせたいことを示すためにチェックします。
この選択は Kerberos の動作に影響を与えません。Kerberos は常にクライアントのチケットを処理します。
TLS の場合には、クライアント証明書認証は SSL ハンドシェーク中に行われます。
認証をパスするには、クライアント証明書に署名した認証局 (CA) が、サーバーによってトラステッドであると見なされる必要があります。
つまり、クライアント証明書を発行した CA の認証は、トラステッドとしてサーバーの鍵リングにリストされています。
- 「クライアント・ユーザー ID の検査」
- クライアント証明書認証に加えてユーザーの ID がさらに検査されることを示すためにチェックします。
TLS の場合:
- サーバーは、RACF などの SAF 対応セキュリティー製品で登録され、ログイン・ユーザー ID と一致する関連ユーザー ID を持つ証明書を検査します。
- さらに、SERVAUTH RACF (または別のセキュリティー製品) クラスがアクティブで、RACF リソースがそのポートに定義されている場合には、 クライアント証明書に関連づけられたユーザー ID が RACF リソースに対して READ アクセス権を持っている場合にだけ接続が許可されます。
Kerberos の場合には、ログイン・ユーザー ID と突き合わせるためにクライアントのチケットが検査されます。
- 「パスワードのプロンプトを出さない」
- ログイン・パスワード・プロンプトを省略するためにクライアント証明書認証プロセスが使用されることを示すためにチェックします。
クライアントは、ログイン・ユーザー ID だけを指定してセッションを確立します。
この設定は TLS のみに適用されます。
クライアントから受け取った証明書は、セキュリティー製品で登録され、ログイン・ユーザー ID と関連づけられなければなりません。証明書の登録および関連づけには、RACDCERT ADD コマンドを使用できます。
証明書が登録されていないか、ユーザー ID と関連づけされていない場合には、ユーザーにパスワードを求めるプロンプトが出されます。しかし、「クライアント・ユーザー ID の検査」にチェックしている場合には、ユーザー ID を検査できないので、そのログインは失敗します。