RSE デーモンによる認証

Developer for System z では、ご使用のセキュリティー製品に依存することなく、X.509 証明書の基本認証を行うことができます。RSE デーモンで認証を行う場合には、ユーザー ID およびホスト名を証明書拡張に定義する必要があります。また、この認証は、rsed.envvarsenable.certificate.mapping ディレクティブが false に設定されている場合にのみアクティブになります。

この機能が使用されるのは、ご使用のセキュリティー製品が、X.509 証明書に基づくユーザー認証をサポートしていない場合か、そのセキュリティー製品によるテストで、証明書が不合格になる場合です (例えば、その証明書における HostIdMappings 拡張の ID が不完全であり、DIGTCERT に名前フィルターも定義もないことが原因です)。

クライアントは、使用する拡張 ID (OID) をユーザーに照会します。この ID は、デフォルトでは HostIdMappings OID の {1 3 18 0 2 18 1} です。

RSE デーモンは、HostIdMappings 拡張のフォーマットを使用して、拡張からユーザー ID およびホスト名を抽出します。このフォーマットについては、セキュリティー・ソフトウェアによる認証で説明しています。

ユーザー ID とホスト名のペアは、以下の条件がすべて真の場合に有効です。
重要: RSE デーモンに認識されるすべての CA について、高い信頼性があることを確認するのはセキュリティー管理者の責任です。RSE デーモンでは、クライアント証明書の署名者の信頼性が高いのか、通常のレベルなのかを検査できないからです。アクセス可能な CA 証明書の詳細については、証明書の検証を参照してください。