[upki-fed:108] TLS next pass

[Kenji MATSUURA <xxxxxxxx@xxxxxxxxxxxxxxxxxxxxx>]

お世話になっております。徳島大学の松浦です。

# いつもROMで恐縮ですが，初ポストです。

本学では，何年か前から徳島大学PKIを運用しておりまして，教職員
につきましては，「なるべく」パスワード認証よりも証明書認証を
推奨しております。実際にそのような運用をしてるサーバがいくつ
かあります。それで，UPKIの技術ガイドにも，証明書による認証の
設定方法が書かれておりますが，パスワード認証か証明書認証から
の択一方式が事例として掲載されてるかと思います。これ，設定を
両方活かして，下記のような要件を満たす事は可能でしょうか？

実は
本学では，証明書認証がデフォルトで，パスワードは証明書を持っ
てない場合に使うというポリシで実現したいと思っていますが，
つまりShibbolethの設定だけで何とかできるものでしょうか？
パスワード認証部分は将来的にはワンタイムパスワードにしたい
とか理想は持ってますが，現実的にはなかなか困難でして。。。

RemoteUserだと，Apache側に認証させてApacheが取得した
PrincipalNameをIdPが利用するという形だと思います。それで，
Apache側のVerifyClientを，optionalにして，RemoteUserと
UsernamePasswordのHandlerを両方活かして試したり，Tomcat側
に認証を任せてwantの設定をしようかとかいろいろ考えたりした
のですが，どうもうまく行きそうにありません。無論択一では
それぞれ問題ないのですが。optionalだと，あってもなくても
そのパスのコンテンツを結局見せるという意味なので，ない場合
にLDAP認証を経由したPrincipalNameを取得できない気がします。
（恥ずかしながら私が誤解している場合，ご指摘いただければ
幸いです。）

それで，今のところ設定だけで上記要件を満たす事(つまり証明書
を持ってるクライアント認証は証明書選択で，証明書を選択しない
クライアントはLDAPのパスワード認証)はピュアなShibbolethとし
ては諦めて，IdPのLoginHandlerの実態ソースを少し書き変えて要
件を満たす動作を得ております。当方の実現方式で試しますと，
IEだとかOpera，Safariは望み通りの動きをしてくれますが，
Firefoxがクライアントの時だけデフォルトではうまく動きません
(理由は何となく想像しておりますが)。

やはり設定だけで上記どうにかなるものではないのでしょうか？
あるいは何らかよりよい解決方法があるのでしょうか。

もし同様の事をお考えの方や実現されてる方がいらっしゃれば
幸いです。よろしくお願いいたします。

-- 
Kenji Matsuura, Ph.D
Center for AIT, The University of Tokushima
http://pub2.db.tokushima-u.ac.jp/ERD/person/73057/profile-ja.html