WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

既知のホストの検査

既知のホストの検査を使用して、ブローカーがどの hosts に接続するのかを制御し、その hosts の ID を検証します。

既知のホストの検査を使用すると、ブローカーは、無許可でデータを代行受信する試み (MITM 攻撃 とも呼ばれる) からメッセージ・フローのメッセージを保護できます。 既知の hosts ファイルには、ブローカーが接続可能な hosts の SSH キーが含まれています。 z/OS® システムでは、既知の hosts ファイルおよび SSH ID ファイルは EBCDIC フォーマットで保管されており、別のオペレーティング・システムでは、ASCII フォーマットで保管されています。

ホストに接続してファイルを受信または転送 (FileInput ノードまたは FileOutput ノードを使用) する前に、ブローカーは、ホストのキーと、既知の hosts ファイルに保管されているキーを照合します。 ホストのキーが、既知の hosts ファイルに保管されている、ホストの既存のエントリーと一致しない場合、接続は失敗します。 ホストが新規で、既知の hosts ファイルにエントリーがない場合は、既知のホストの厳密な検査がオンかオフかによって結果が異なります。

既知のホストの厳密な検査をオンにするかオフにするかの指定は、mqsicreateconfigurableservice コマンドまたは FtpServer 構成可能サービスのいずれかの strictHostKeyChecking パラメーターで設定します。 FtpServer 構成可能サービスを使用して指定可能な設定についての詳細は、FtpServer 構成可能サービスを参照してください。

既知のホストの厳密な検査

既知のホストの厳密な検査をオン (strictHostKeyChecking パラメーターを「はい」に設定) にすると、ブローカーは、既知の hosts ファイルに保管されている有効な SSH ホスト・キーを持つ、既知のホストのみに接続します。 既知のホストの厳密な検査を使用する場合は、信頼するホストの SSH キーを登録した、独自の既知の hosts ファイルを OpenSSH 形式で作成する必要があります。 既知の hosts ファイルの場所は、mqsicreateconfigurableservice コマンドの knownHostsFile パラメーターを使って指定します。 ブローカーはホストに接続しようとするときに、そのホスト・キーと既知の hosts ファイルの内容を検査します。 ホスト・キーが既知の hosts ファイルになければ、接続は失敗し、BIP3371 エラーが発生します。

既知の hosts ファイルは複数持つことが可能で、ノードまたは構成可能サービスごとに異なった hosts ファイルを指定できます。 ブローカーは、既知のホストの厳密な検査に指定した既知の hosts ファイルを変更することができません。

既知のホストの非厳密な検査

既知のホストの厳密な検査をオフ (strictHostKeyChecking パラメーターを「いいえ」に設定) にすると、ブローカーが接続できるのは、有効なキーを持つ既知のホストか、これまでに接続したことのない新規のホストのみです。 ブローカーが (これまで接続したことがない) 新規のホストに接続を試みると、ブローカーは接続したあと、そのホストの SSH キーを受け取り、既知の hosts ファイルに保管します。 その後、同じホストにブローカーが接続しようとすると、ホストのキーと既知の hosts ファイルに保管されているキーが検査され、キーが一致すると接続が行われます。 しかし、ホストのキーと既知の hosts ファイルに保管されているキーが異なる場合は、接続の試行は失敗し、BIP3371 エラーが発生します。

既知のホストの厳密な検査をオフにすると、既知の hosts ファイルはブローカーによって管理されます。 実行グループごとに、ブローカーが管理する既知の hosts ファイルが 1 つあります。

BIP3371 エラー・メッセージ

BIP3371 エラー・メッセージは、メッセージを代行受信しようとする無許可の試みがあったことを示す場合があります。 しかし、接続の失敗 (およびその結果発生する BIP3371 エラー・メッセージ) は、ブローカーに初めて接続した後の何らかの時点で、ホストの SSH キーに変更があったために発生した可能性もあります。 例えば、SSH サーバーを再インストールすると、新しいキーが割り当てられますが、このキーは既知の hosts ファイルには存在しないため、ブローカーが受け付けなかったということがあります。 その結果、接続が失敗し、BIP3371 エラー・メッセージが表示されます。

SSH ホストのキーが変わった (最近 SSH サーバーを再インストールしたためなど) ことが分かっている場合、次のようにして既知の hosts ファイルを変更すれば、接続の失敗を解決できます。
  1. メッセージ・フローを停止します。
  2. 既知の hosts ファイルを次のように編集します。
    • 既知のホストの厳密な検査をオンにしている場合は、mqsicreateconfigurableservice コマンドの knownHostsFile パラメーターで指定している、既知の hosts ファイル内のホストのエントリーを修正します。
    • 既知のホストの厳密な検査をオフにしている場合は、ブローカーが管理する既知の hosts ファイルから、そのホストのエントリーを削除します。 既知の hosts ファイルは、WebSphere® Message Broker がインストールされているディレクトリーの ¥components¥BROKERNAME-NAME¥EG-UID¥config¥known_hosts サブディレクトリー内にあります。 例えば、Windows でのデフォルト・ディレクトリーは、C:¥Documents and Settings¥All Users¥Application Data¥IBM¥MQSI¥components¥BROKERNAME-NAME¥EG-UID¥config¥known_hosts です。 UNIX システムでのデフォルト・ディレクトリーは、/var/mqsi/components/BROKERNAME-NAME/EG-UID/config/known_hosts です。

      ブローカーは再接続するときに、既知の hosts ファイルに新しいホスト・キーを追加します。

  3. メッセージ・フローを再始動します。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:46:00


概念トピック概念トピック | バージョン 8.0.0.5 | ac55438_