Skip to main content

This documentation is for an older version of this product. See the latest version of this content.Opens in a new tab

インスタンス認証

インスタンス認証について

InterSystems IRIS 自体で、インスタンス認証と呼ばれるログイン・メカニズムを提供できます (管理ポータルでは、パスワード認証と呼びます)。具体的には、ユーザ・アカウントごとにパスワードの値が InterSystems IRIS に保持されており、ログインするユーザが入力した値とその値が比較されます。従来の OS ベースの認証同様、InterSystems IRIS でも、パスワードをハッシュ化した値が格納されています。ユーザがログインすると、入力されたパスワードがハッシュ化され、これら 2 つのハッシュ値が比較されます。システム管理者は、パスワードの最小長などの一定のパスワード基準を設定することで、ユーザが選択するパスワードに所定の堅牢性を確保できます。この基準は、"パスワードの強固さとパスワードのポリシー" で説明されています。

InterSystems IRIS は、パスワードの回復不可能な暗号化ハッシュのみを格納します。ハッシュは、Public Key Cryptography Standard #5 v2.1 “Password-Based Cryptography Standard” の定義に従って、HMAC-SHA-512 擬似ランダム関数と PBKDF2 アルゴリズムを使用して計算されます。 現在の実装では 10,000 回の反復、64 ビットのソルトを使用して、64 バイトのハッシュ値が生成されます。別のアルゴリズムを指定するか、反復回数を増やすには、それぞれ Security.System.PasswordHashAlgorithmOpens in a new tab メソッドと Security.System.PasswordHashWorkFactorOpens in a new tab メソッドを使用します。 これらのハッシュ値から元のパスワードを回復するための既知のテクニックはありません。

インスタンス認証による認証で使用できるサービスは、以下のとおりです。

  • %Service_Binding

  • %Service_CallIn

  • %Service_ComPort

  • %Service_Console

  • %Service_Telnet

  • %Service_Terminal

  • %Service_WebGateway

インスタンス認証の構成の概要

インスタンス認証を使用するサービスは、以下のように構成する必要があります。

  1. [認証/ウェブセッションオプション] ページ ([システム管理][セキュリティ][システム・セキュリティ][認証/ウェブセッションオプション]) で、[パスワード認証を許可] を選択して、インスタンス認証を使用した認証を有効にします。

  2. 特定のサービスについては、[サービス] ページ ([システム管理][セキュリティ][サービス]) に移動し、[名前] 列で [%Service_Bindings] などの目的のサービスを選択します。そのサービスの [サービス編集] ページが表示されます。

  3. このページでインスタンス認証を選択します。インスタンス認証は、認証タイプのリストで単に [パスワード] と表示されています。

  4. [保存] をクリックすると、選択した設定内容が保存されます。

  5. この基本的な手順に加え、一部のサービスではさらに構成が必要です。これは、以下のセクションで説明します。

Web

Web アクセスでは、必要に応じて、インスタンス認証を通じ、Web ゲートウェイでゲートウェイ自身を InterSystems IRIS サーバに認証するように要求できます。この構成を実行するには、以下の手順に従います。

  1. 管理ポータルのホーム・ページで、[ウェブゲートウェイ管理] ページ ([システム管理] > [構成] > [ウェブゲートウェイ管理]) に移動します。

  2. [ウェブゲートウェイ管理] ページでは、左側に選択項目のセットが表示されています。[構成] の下にある [サーバ接続] をクリックします。[サーバ接続] ページが表示されます。

  3. [サーバ接続] ページでは、新規の構成の追加、または既存の構成の編集が可能です。新規の構成を追加するには、[サーバ追加] ボタンをクリックします。既存の構成を編集するには、左側のリストから目的の構成を選択し、[サーバ編集] ラジオ・ボタンを選択して [実行] をクリックします。サーバ接続パラメータを編集または構成するためのページが表示されます。ヘルプ画面に説明がある一般的なパラメータに加え、このページでは、ゲートウェイのセキュリティに関するパラメータを指定できます。インスタンス認証接続の場合は、以下のパラメータがあります。

    • [接続セキュリティレベル][パスワード] をドロップダウン・リストから選択してインスタンス認証を使用します。

    • [ユーザ名] — ゲートウェイ・サービスが実行されるユーザ名 (インストール・プロセスでは、この目的のために CSPSystem ユーザが作成されます)。このユーザ (CSPSystem またはその他のユーザ) には、有効期限を設定する必要はありません。つまり、Expiration Date プロパティの値は 0 になります。

    • [パスワード] — 上で入力したユーザ・アカウントに関連付けられたパスワード。

    • [プロダクト] — InterSystems IRIS。

    • [サービスプリンシパル名] — これには値を指定しないでください(このフィールドは、Kerberos で使用するためにゲートウェイを構成するときに使用します)。

    • [キーテーブル] — これには値を指定しないでください(このフィールドは、Kerberos で使用するためにゲートウェイを構成するときに使用します)。

    これらの値をすべて入力した後、[設定を保存] ボタンをクリックすると、入力した値が保存されます。

ゲートウェイに対する認証要件と、そのゲートウェイを使用するアプリケーションに対する認証要件との間に直接の関係はない点に注意する必要があります。例えば、Kerberos 認証を使用するようにゲートウェイを構成していても、Web アプリケーションに対する認証メカニズムとしてインスタンス認証を要求できます。ゲートウェイに対して認証方法をまったく構成していなくても同様です。実際、ゲートウェイそのものに対して特定の認証メカニズムを選択しても、Web アプリケーションに対して技術的な要件は発生しません。逆に Web アプリケーションに対する認証メカニズムを選択しても、ゲートウェイに対する要件は発生しません。同時に、CSP では他の場合に比べ、ペア化が発生する可能性が高くなります。Web アプリケーションで Kerberos 認証を使用している場合、ゲートウェイに対して他の形式の認証を使用すると、暗号化されていないチャンネルを通じて Kerberos 認証の情報が流れることになります。その結果、Kerberos 認証の効果が低下する可能性があります。

インスタンス認証を使用している Web アプリケーションでは、エンドユーザのユーザ名とパスワードはブラウザから Web サーバに渡され、次にその Web サーバと同じ場所にある Web ゲートウェイに渡されます。このゲートウェイは InterSystems IRIS サーバとの独自の接続を備えているので、ユーザ名とパスワードはその InterSystems IRIS サーバに渡されます。ゲートウェイと InterSystems IRIS サーバとの接続を確立するために、このゲートウェイでは CSPSystem アカウントが使用されます。このアカウントは、InterSystems IRIS の事前定義アカウントの 1 つです。

既定では、これらのトランザクションはどれも暗号化されていません。TLS を使用すれば、ブラウザから Web サーバに送信されるメッセージを暗号化できます。Kerberos を使用すると、"Web 接続で使用するセキュア・チャンネルの設定" で説明したように、ゲートウェイから InterSystems IRIS サーバに送信されるメッセージを暗号化できます。Kerberos を使用していない場合は、ゲートウェイのホスト・マシンと InterSystems IRIS サーバのホスト・マシンとの間の接続を物理的に保護することをお勧めします。例えば、両方のマシンをロックされた同じ領域に置いて、両者間で直接的な物理接続を確立することにより、接続を保護できます。

ODBC

InterSystems IRIS では、サポート対象のすべてのプラットフォーム間で ODBC 接続に対するインスタンス認証がサポートされています。この場合は、クライアント側の構成が必要です。クライアントの動作を構成する手順は、以下のようにプラットフォームによって異なります。

  • Windows 以外のプラットフォームでは、InterSystems ODBC 初期化ファイルを使用して、接続情報を提供する名前と値の対を指定します。このファイルについては、"InterSystems ODBC ドライバの使用法" で概要を説明しています。このファイルには、インスタンス認証に関連する以下の変数が含まれています。

    • Authentication Method — ODBC クライアントを DSN に認証する方法を指定します。0 はインスタンス認証、1 は Kerberos を指定します。

    • UID — DSN への接続に使用する既定のユーザ・アカウントの名前を指定します。実行時には、アプリケーションの動作に応じて、エンドユーザはこの値を別のユーザ・アカウントに置き換えることができます。

    • Password — 既定のユーザ・アカウントに関連付けられたパスワードを指定します。エンドユーザによる UID 値の変更が許可されている場合は、新しく指定されたユーザのパスワードがアプリケーションで受け入れられます。

  • Windows クライアントに対する接続情報は、GUI を使用した指定、またはプログラムによる指定のいずれかが可能です。

    • GUI では、ODBC DSN を構成するダイアログを使用します。[システム DSN] タブにオプションが表示されます。この画面には、それぞれのフィールドを説明するヘルプがあります。Windows の [スタート] メニューからの操作でこの画面を表示する方法は、Windows のバージョンによって異なりますが、多くの場合は [コントロール パネル][管理ツール][データ・ソース (ODBC)] の画面に表示されます。

    • プログラムで指定する場合は、名前と値の組み合わせのセットを受け取る SQLDriverConnect 関数を使用できます。SQLDriverConnect は、ODBC API の一部である C 呼び出しです。この名前と値の組み合わせは、パスワードが PWD キーワードで識別される点を除けば、Windows 以外のプラットフォームで使用できる初期化ファイルにあるものと同じです。

Telnet

クライアントで Windows 用の InterSystems IRIS Telnet を使用して接続を確立するには、InterSystems IRIS リモート・サーバの一部として格納されている構成情報を使用します。リモート・サーバを構成するには、クライアント・マシンに移動します。そのマシンで以下の手順を実行します。

  1. InterSystems IRIS ランチャーをクリックし、メニューから [優先接続サーバ] を選択します ([優先接続サーバ] の選択対象には、現在の優先接続サーバの名前も表示されています)。

  2. 表示されたサブメニューから、[追加/編集] を選択します。

  3. リモート・サーバを新規に作成するには、[追加] ボタンをクリックします。既存のサーバを構成するには、接続先の InterSystems IRIS サーバを選択し、[編集] ボタンをクリックします。

  4. [接続を追加] ダイアログが表示されます。このダイアログの [認証方法] 領域で、インスタンス認証を指定する [パスワード] をクリックします。

  5. 既存のサーバの値を編集する場合は、このダイアログにある一般的な内容のフィールドで値を変更したり、追加したりする必要はありません。これらの値は、編集するサーバを選択することで自動的に決まります。

    新規サーバを追加する場合に入力するフィールドの詳細は、"リモート・サーバ接続の定義" を参照してください。

  6. [OK] をクリックすると、指定した値が保存され、ダイアログが閉じます。

Important:

Windows 以外で稼動しているマシンに Telnet を使用して接続しても InterSystems IRIS Telnet サーバは使用できません。この場合は、オペレーティング・システム付属の Telnet サーバを使用します。サーバ・マシンとの接続が確立されれば、%Service_Terminal サービスを使用して InterSystems IRIS に接続できます。

FeedbackOpens in a new tab