目次と検索結果のパーソナライズ化
インストール後の環境の保護
WebSphere Application Server は、
インストール時に作成されるいくつかの構成ファイルに依存します。これらのファイルには、
パスワード情報が入っており、保護する必要があります。
ファイルはインストール時にある程度は保護されますが、この基本レベルの保護ではサイトには不十分と考えられます。これらのファイルがサイトのポリシーに応じて保護されていることを確認する必要があります。
始める前に
注: Kerberos キー・タブ構成ファイルには、ユーザー・パスワードに類似した
鍵のリストが含まれています。ホストでは、Kerberos キー・タブ・ファイルを保護するために、Kerberos キー・タブ・ファイルをローカル・ディスクに保管し、許可ユーザーのみが読み取れるようにすることが重要です。
WAS_HOME/config ディレクトリー
および WAS_HOME/properties ディレクトリー内のファイルは、
保護する必要があります。例えば、WebSphere Application Server の 1 次管理タスクのためにシステムにログオンするユーザーにのみアクセス権を与えます。WebSphere Application Server のコンソール・ユーザーやコンソール・グループなど、
その他のユーザーまたはグループにも、アクセス権が必要です。
WAS_HOME/properties ディレクトリー内のファイルのうち、全員が読み取り可能でなければならないファイルは以下のとおりです。
- TraceSettings.properties
- client.policy
- client_types.xml
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
WAS_HOME ディレクトリーの値は、
基本製品でも Network Deployment でも、WebSphere Application Server for z/OS のインストール時に
カスタマイズ・ダイアログで指定されます。
プロシージャー
WebSphere Application Server for z/OS システム上のファイルを保護します。
- z/OS カスタマイズ・ダイアログを使用して、生成された指示に従ってシステムをカスタマイズします。
生成されるカスタマイズ・ジョブは、以下の機能を実行します。
- 管理者およびサーバー・プロセスに必要な、
System Authorization Facility (SAF) WebSphere Application Server ユーザー ID を作成します。
- SAF WebSphere Application Server 構成グループを作成し、
SAF WebSphere Application Server ユーザー ID を追加します。
- Java 2, Enterprise Edition (J2EE) プリンシパルから SAF ユーザー ID へのマッピングを
提供します。サンプル・マッピング・モジュールを生成することも、
独自に作成したモジュールを指定することもできます。
- WebSphere Application Server 開始タスクと、
既に定義済みの SAF ユーザー ID およびグループを関連付けます。
- ファイル・システムから、WebSphere Application Server を実行するために必要なシステム・ファイル
およびプロパティー・ファイルを取り込みます。
- これらのファイルの所有権を、WebSphere Application Server の管理者に変更します。
- 適切なファイル・アクセス権を作成します。
WAS_HOME/config ディレクトリー内のすべてのファイルには、
WebSphere Application Server 構成グループのすべてのメンバーが、書き込みおよび読み取りアクセスできるようにする必要がありますが、
そのグループ以外の全員がアクセスできるようにすべきではありません (モード 770)。
WAS_HOME/properties ディレクトリー内のすべてのファイルは、
WebSphere Application Server 構成グループのすべてのメンバーによって、
書き込みおよび読み取りアクセスが可能でなければなりません。
以下のファイルのアクセス権を、ご使用のセキュリティー・ガイドラインに適するように設定します。
- TraceSettings.properties
- client.policy
- client_types.xml
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
例えば、以下のコマンド:
chmod 775 file_name を発行することができます。
file_name は前もってリストされたファイルの名前です。
これらのファイルには、パスワードなどの機密情報が含まれています。
- WebSphere Application Server 管理タスクをすべてまたは部分的に実行する管理者を、
構成グループに追加します。
- WebSphere Application Server 組み込みメッセージング、または JMS プロバイダーとしての WebSphere MQ に必要な、
/var/mqm ディレクトリーおよびログ・ファイルへのアクセスを制限します。
mqm ユーザー ID または mqm ユーザー・グループのメンバーにのみ書き込みアクセス権限を与えます。
結果
環境が保護された後は、アクセス権を持つユーザーのみがファイルにアクセスすることができます。
これらのファイルを十分に保護できないと、WebSphere Application Server アプリケーションでセキュリティーが正常に保たれなく可能性があります。
次の作業
ファイル・アクセス権により、何らかの障害が発生した場合は、
アクセス権の設定値を調べてください。
|
