Liberty: セキュリティーに関する考慮事項
Liberty のセキュリティーを構成する際は、以下の事項を考慮してください。
LTPA
- LTPA 鍵ファイルへのファイル・アクセスを保護します。これは、ユーザー・データの暗号化と暗号化解除に使用する暗号の材料がこのファイルに含まれているためです。必ずサーバーと管理者のみがこのファイルのアクセス権限を持つようにしてください。
- すべてのサーバーが同じ LTPA 鍵を使用するようにします。また、すべてのサーバーで時間と日付を同期するようにしてください。
- パスワードを指定する際、それが同じ LTPA 鍵のセットを使用するすべてのサーバーで共通の同じパスワードであることを確認します。このパスワードは鍵の生成には使用せず、鍵が読み取られないようにするために LTPA 鍵ファイルを暗号化するのに使用します。LTPA 鍵ファイルを別の Liberty サーバーにコピーしてシングル・サインオン (SSO) を実現するには、このパスワードで LTPA 鍵ファイル内の鍵にアクセスできるようにする必要があります。LTPA の詳細については、『Liberty 上の LTPA の構成』のトピックを参照してください。
パスワード
- securityUtility エンコード・コマンドを使用してパスワードを暗号化します。
- デフォルトの暗号鍵を wlp.password.encryption.key プロパティーでオーバーライドする場合、サーバーの通常の構成ディレクトリーの外部に保管された別個の構成ファイルにそのプロパティーを設定します。
許可
- アプリケーション内でロールを指定せずに auth-constraint を指定すると、誰もそのリソースへのアクセスを許可されません。
- 特別な対象 EVERYONE は、リソースを保護しない状態と同等の指定なので、その指定は慎重に行ってください。
認証
- <authCache> エレメントに指定された認証キャッシュのタイムアウト値は <ltpa> エレメントに指定された LTPA トークンの有効期限の値よりも小さくなければなりません。