WebSphere® Application Server は、
インストール時に作成されるいくつかの構成ファイルに依存します。
これらのファイルには、
パスワード情報が入っており、保護する必要があります。
ファイルはインストール時にある程度は保護されますが、この基本レベルの保護ではサイトには不十分と考えられます。これらのファイルがサイトのポリシーに応じて保護されていることを確認する必要があります。
始める前に
注: Kerberos キータブ構成ファイルには、ユーザー・パスワードに類似した鍵のリストが含まれています。
デフォルトのキータブ・ファイルは krb5.keytab です。
ホストでは、Kerberos キータブ・ファイルをローカル・ディスクに保管し、
許可ユーザーのみが読み取れるようにして、このファイルを保護することが重要です。
app_server_root/profiles/profile_name/config および app_server_root/profiles/profile_name/properties にあるファイルは、保護する必要があります。例えば、WebSphere Application Server の 1 次管理タスクのためにシステムにログオンするユーザーにのみアクセス権を与えます。WebSphere Application Server のコンソール・ユーザーやコンソール・グループなど、
その他のユーザーまたはグループにも、アクセス権が必要です。
WAS_HOME/config ディレクトリー
および WAS_HOME/properties ディレクトリー内のファイルは、
保護する必要があります。例えば、WebSphere Application Server の 1 次管理タスクのためにシステムにログオンするユーザーにのみアクセス権を与えます。WebSphere Application Server のコンソール・ユーザーやコンソール・グループなど、
その他のユーザーまたはグループにも、アクセス権が必要です。
WAS_HOME/properties ディレクトリー内のファイルのうち、全員が読み取り可能でなければならないファイルは以下のとおりです。
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
WAS_HOME ディレクトリーの値は、基本製品でも WebSphere Application Server Network Deployment でも、WebSphere Application Server for z/OS® のインストール時に、WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドで指定されます。
手順
Windows システムのファイルをセキュアにします。 - ブラウザーをオープンして、マシン上のファイルおよびディレクトリーのビューを表示します。
- 保護するファイルまたはディレクトリーを見つけて、右クリックします。
- 「プロパティー」をクリックします。
- 「セキュリティー」タブをクリックします。
- ファイルへのアクセス認可しない、「全員」項目および他のユーザーまたはグループを除去します。
- ファイルへのアクセスができるユーザーを、適切なアクセス権と共に追加します。
UNIX システムのファイルをセキュアにします。 この手順は、通常の UNIX ファイル・システムにのみ適用されます。
アクセス制御リストを使用しているサイトの場合は、そのメカニズム
を使ってファイルを保護してください。サイト固有の要件があると、所有者、グループ、および対応する特権に影響する可能性があります。例えば、AIX® プラットフォームなどです。- install_root ディレクトリーに移動して、
ディレクトリー構成およびプロパティーの所有権を、WebSphere Application Server 1 次管理タスクのために
システムにログオンするユーザーに変更します。 以下のコマンドを実行します。chown -R logon_name directory_name
各部の意味は、次のとおりです。
- login_name は、指定したユーザーまたはグループです。
- directory_name はファイルを含むディレクトリーの名前です。
パスワード情報を含むファイルの所有権は、
アプリケーション・サーバーを実行するユーザーに割り当てることをお勧めします。
アプリケーション・サーバーを実行するユーザーが複数存在する場合は、
それらのユーザーがユーザー・レジストリー内で割り当てられているグループに許可を与えてください。
- コマンド chmod
-R 770 directory_name を実行して、アクセス権をセットアップします。
- app_server_root/profiles/profile_name/properties ディレクトリーに移動し、ファイル・アクセス権を設定します。 以下のファイルのアクセス権を、ご使用のセキュリティー・ガイドラインに適するように設定します。
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
例えば、以下のコマンド: chmod 770 file_name を発行します。ここで、file_name は、前もって install_root/profiles/profile_name/properties ディレクトリー内でリストされていたファイルの名前です。
これらのファイルには、パスワードなどの機密情報が含まれています。
注: Kerberos 認証または SPNEGO Web 認証を有効にした場合、Kerberos 構成ファイル (krb5.conf または krb5.ini) と Kerberos キータブ・ファイルのアクセス権限を、ご使用のセキュリティー・ガイドラインに合わせて設定してください。
- WebSphere Application Server のグループを作成して
、WebSphere Application Server 管理タスクのすべてまたは一部を行うユーザーをこのグループに追加します。
- Java™ Messaging Service (JMS) プロバイダーとして WebSphere MQ を使用する場合は、/var/mqm ディレクトリーおよび使用するログ・ファイルへのアクセスを制限します。
ユーザー ID mqm または mqm ユーザー・グループのメンバーにのみ、書き込みアクセス権限を与えます。
WebSphere Application Server for z/OS システムのファイルをセキュアにします。 - WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドを使用し、生成される指示に従ってシステムをカスタマイズします。
生成されるカスタマイズ・ジョブは、以下の機能を実行します。
- 管理者およびサーバー・プロセスに必要な、
System Authorization Facility (SAF) WebSphere Application Server ユーザー ID を作成します。
- SAF WebSphere Application Server 構成グループを作成し、
SAF WebSphere Application Server ユーザー ID を追加します。
- Java 2, Enterprise Edition (J2EE) プリンシパルから SAF ユーザー ID へのマッピングを
指定します。
サンプル・マッピング・モジュールを生成することも、
独自に作成したモジュールを指定することもできます。
- WebSphere Application Server 開始タスクと、
既に定義済みの SAF ユーザー ID およびグループを関連付けます。
- ファイル・システムから、WebSphere Application Server を実行するために必要なシステム・ファイル
およびプロパティー・ファイルを取り込みます。
- これらのファイルの所有権を、WebSphere Application Server の管理者に変更します。
- 適切なファイル・アクセス権を作成します。
WAS_HOME/config ディレクトリー内のすべてのファイルには、
WebSphere Application Server 構成グループのすべてのメンバーが、書き込みおよび読み取りアクセスできるようにする必要がありますが、
そのグループ以外の全員がアクセスできるようにすべきではありません (モード 770)。
WAS_HOME/properties ディレクトリー内のすべてのファイルは、
WebSphere Application Server 構成グループのすべてのメンバーによって、
書き込みおよび読み取りアクセスが可能でなければなりません。
以下のファイルのアクセス権を、ご使用のセキュリティー・ガイドラインに適するように設定します。
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
例えば、以下のコマンド:
chmod 775 file_name を発行することができます。
file_name は前もってリストされたファイルの名前です。
これらのファイルには、パスワードなどの機密情報が含まれています。
注: Kerberos 認証または SPNEGO Web 認証を有効にした場合、Kerberos 構成ファイル (krb5.conf または krb5.ini) と Kerberos キータブ・ファイルのアクセス権限を、ご使用のセキュリティー・ガイドラインに合わせて設定してください。
- WebSphere Application Server 管理タスクをすべてまたは部分的に実行する管理者を、
構成グループに追加します。
- WebSphere Application Server 組み込みメッセージング、または JMS プロバイダーとしての WebSphere MQ に必要な、/var/mqm ディレクトリーおよびログ・ファイルへのアクセスを制限します。mqm ユーザー ID または mqm ユーザー・グループのメンバーにのみ書き込みアクセス権限を与えます。
タスクの結果
環境が保護された後は、アクセス権を持つユーザーのみがファイルにアクセスすることができます。
これらのファイルを十分に保護できないと、
WebSphere Application Server アプリケーションでセキュリティーが正常に保たれなく可能性があります。
次のタスク
ファイル・アクセス権により、何らかの障害が発生した場合は、
アクセス権の設定値を調べてください。