NSS クライアント許可の例

図 1 に表示されている構成を考えてみましょう。

図 1. NSS クライアント許可の例

ユーザーに NSS を使用する許可を付与する IKED サーバー・システムおよび NSS サーバー・システムの構成ファイルの例

この例では、次の構成に注目してください。

スタック STACK1 は、システム SYSTEMA 上の IKE デーモン構成ファイルで NSS IPSec クライアントとして定義されています。STACK1 のクライアント名は SYSTEMA_STACK1 です。SYSTEMA_STACK1 に関連付けられているユーザー ID は A1S1 です。このユーザー ID A1S1 は、システム SYSTEMB 上で外部セキュリティー・マネージャーに対して定義されなければなりません。
クライアント SYSTEMA_STACK1 は、NSS 証明書サービスを使用するように構成されます。システム SYSTEMB で、ユーザー ID A1S1 には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
```
EZB.NSS.SYSTEMB.SYSTEMA_STACK1.IPSEC.CERT
```
クライアント SYSTEMA_STACK1 は、NSS リモート管理サービスを使用するように構成されます。システム SYSTEMB で、ユーザー ID A1S1 には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
```
EZB.NSS.SYSTEMB.SYSTEMA_STACK1.IPSEC.NETMGMT
```
SYSTEMB 上の NSS サーバーは、鍵リング EnterpriseRing を使用するように構成されます。この鍵リングは NSSD ユーザー ID によって所有されます。すべての NSS IPSec クライアントの証明書は、この鍵リングに保管されます。
NSS サーバーの AT-TLS ポリシーは、NSS クライアントとの TLS ネゴシエーション時に使用するために NSS サーバーの個人証明書を取得する元の鍵リングも指定する必要があります。NSS サーバーの AT-TLS ポリシーは、NSS サーバーの構成ファイルと同じ鍵リングを指定することも、異なる鍵リングを指定することもできます。どちらの場合でも、AT-TLS ポリシーは、NSS サーバーを表すためにどの個人証明書を使用するかを指定する必要があります。これを行うには、TTLSConnectionAdvancedParms ステートメントで CertificateLabel パラメーターを使用します。このパラメーターが構成されない場合、AT-TLS は、構成された鍵リング上のデフォルト証明書 (存在する場合) の使用を試みます。構成された鍵リング上にデフォルト証明書が存在しないときに、CertificateLabel パラメーターが構成されていない場合、NSS クライアントと NSS サーバー間の TLS ネゴシエーションは失敗します。

IKE デーモンの AT-TLS ポリシーも、鍵リングを指定します。この鍵リングは、NSS サーバーの個人証明書の署名に使用された証明書を見つけるのに使用されます。IKE デーモンの AT-TLS 鍵リングにこの署名証明書が含まれていない場合、TLS ネゴシエーションは、NSS サーバーの証明書を検証することができず、NSS クライアントと NSS サーバー間の TLS ネゴシエーションは失敗します。

この例では、クライアント SYSTEMA_STACK1 用の鍵リングに保管されている 1 つの個人証明書があります。システム SYSYEMB では、NSS サーバーがこの証明書を使用してクライアント SYSTEMA_STACK1 用のシグニチャーを作成する前に、ユーザー ID A1S1 に、以下の SERVAUTH プロファイルへの読み取りアクセスが与えられなければなりません。
```
EZB.NSSCERT.SYSTEMB.A1S1_CERT.HOST
```
この例では、鍵リングに保管されている CertAuth 証明書も 1 つあり、この証明書はクライアント SYSTEMA_STACK1 によって IPSec ピアに公示されます。システム SYSYEMB では、NSS サーバーが、この CERTAUTH 証明書をピアに公示できることをクライアント SYSTEMA_STACK1 に通知する前に、ユーザー ID A1S1 に、以下の SERVAUTH プロファイルへの読み取りアクセスが与えられなければなりません。
```
EZB.NSSCERT.SYSTEMB.CA.CERTAUTH
```
ユーザー LARRY は、-z オプションを指定した ipsec コマンドを発行して、クライアント SYSTEMA_STACK1 をモニターし、管理します。システム SYSTEMB で、ユーザー ID LARRY には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
```
EZB.NETMGMT.SYSTEMB.SYSTEMA_STACK1.IPSEC.DISPLAY
EZB.NETMGMT.SYSTEMB.SYSTEMA_STACK1.IPSEC.CONTROL
```
また、ユーザー LARRY は、-x オプションを指定した ipsec コマンドを発行して、NSS サーバーに関する情報を表示します。システム SYSTEMB で、ユーザー ID LARRY には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
```
EZB.NETMGMT.SYSTEMB.SYSTEMB.NSS.DISPLAY
```
さらに、ユーザー LARRY -w オプションを指定した ipsec コマンドを発行して、IKE デーモンからの NSS IPSec クライアントに関する情報を表示します。システム SYSTEMA で、ユーザー ID LARRY には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
```
EZB.NETMGMT.SYSTEMA.SYSTEMA.IKED.DISPLAY
```
ヒント: 定義する必要があるプロファイル項目数を減らすために、プロファイルでワイルドカードを使用できます。