このトピックでは、機密情報を含むために保護する必要のあるさまざまなオブジェクトおよびファイルについて説明しています。
セキュアな統合ファイル・システムのファイル
エンタープライズ Bean およびサーブレットに加えて、WebSphere Application Server も統合ファイル・システムのストリーム・ファイルにアクセスします。
以下のファイルには機密情報が含まれる可能性があります。
無許可アクセスが認可されないようにするために、これらのファイルについては慎重に考慮することをお勧めします。
- ご使用のプロファイルの /properties サブディレクトリーでは、以下のファイルにユーザー ID およびパスワードが含まれる可能性があります。
- sas.client.props
- soap.client.props
- sas.stdclient.properties
- sas.tools.properties
- wsserver.key
デフォルトでは、/properties サブディレクトリーは、profile_root ディレクトリーにあります。
前述のファイルは出荷時にはそれぞれ *PUBLIC 権限が *EXCLUDE に設定されています。
QEJBSVR ユーザー・プロファイルには、これらのファイルに対する *RW 権限が付与されています。
パスワードのエンコードにより、追加の保護が使用可能です。
詳しくは、パスワードのエンコードおよび暗号化
を参照してください。
- ご使用のプロファイルの /etc サブディレクトリーで、WebSphere Application Server プロファイル用に作成したすべての鍵 (KDB) ファイルおよびトラスト (JKS) ファイルを保護します。
JKS ファイルでは、QEJBSVR ユーザー・プロファイルに *R 権限が、*PUBLIC に *EXCLUDE 権限が必要です。
KDB ファイルでは、Web サーバーを実行しているユーザー・プロファイルに *RX 権限が、*PUBLIC に *EXCLUDE 権限が必要です。
WebSphere Application Server のセキュアなデータベース・リソース
WebSphere
Application Server は、エンタープライズ Bean パーシスタンスやサーブレット・セッション・データなど、ユーザー・アプリケーション用のデータを永続させるためにテーブルを使用します。
どのユーザー・プロファイルにこのユーザー・データへのアクセスを許可するかの制御については、複数のオプションがあります。
詳しくは、データベース・アクセス・セキュリティーを参照してください。
セキュアな WebSphere Application Server ファイル
WebSphere Application Server セキュリティーを使用可能にすると、サーバーのユーザー・プロファイルおよびパスワードがサーバー構成ファイルに配置されます。これは、オペレーティング・システムのセキュリティーを使用してセキュアに保守する必要があります。
さらに、一部の WebSphere Application Server リソースをパスワードで保護することもできます。
これらのパスワードも、サーバーの構成ファイルに配置されます。
サーバーは不注意なアクセスを防止するためにパスワードを自動的にエンコードしますが、パスワードのエンコードのみでは保護は十分ではありません。
以下のファイルはご使用のプロファイルの
/config サブディレクトリーにあり、ユーザー ID およびパスワードを含む可能性があります。
- cells/cell_name/security.xml
- cells/cell_name/nodes/node_name/resources.xml
- cells/cell_name/nodes/node_name/servers/server_name/server.xml
例えば、デフォルト・プロファイルでは
server_name は
server1 です。
サーバーのユーザー・プロファイルおよびパスワードは、サーバーの初期化時にサーバーを認証するために使用されます。
この認証は、次のような理由から必要になります。
- ユーザー ID およびパスワードは、エンタープライズ Bean セキュリティーがメソッド代行のために SYSTEM_IDENTITY を使用するようデプロイされている場合に、サーバーのシステム ID として使用されます。
この場合、ユーザー ID とパスワードは、メソッド呼び出しが 1 つのエンタープライズ Bean から別のエンタープライズ Bean に対して行われたときに使用されます。
- ユーザー ID とパスワードは、サーバー間通信でサーバーを認証するために使用されます。
これらのファイルのセキュリティーは危険にさらされる可能性があるため、サーバーの ID とパスワードには、デフォルト以外のユーザー・プロファイルを使用してください。
デフォルトのユーザー・プロファイルは QEJBSVR です。
ローカル OS のユーザー・レジストリーを使用する場合は、特殊権限のないユーザー・プロファイルを作成して使用ようにすることがあります。
詳しくは、特定のユーザー・プロファイルでアプリケーション・サーバーを実行するを参照してください。
WebSphere Application Server のセキュアなユーザー・プロファイル
デフォルトでは、WebSphere Application Server を最初にインストールすると、以下のユーザー・プロファイルが使用されます。
- QEJB
- このプロファイルは、パスワードを含む一部の管理データへのアクセスを提供します。
- QEJBSVR
- このプロファイルは、ご使用の WebSphere Application Server を実行するコンテキストを提供します。
セキュリティーおよび管理上の理由から、WebSphere Application Server のさまざまなパーツを実行する他のユーザー・プロファイルを作成する必要が出てくる場合があります。
詳しくは、特定のユーザー・プロファイルの下でのアプリケーション・サーバーの実行
を参照してください。