CLI を使用したセキュリティー・レベル・オプションの構成

エラーを解決したり、使用できるプロトコルの範囲をさらに制限したりするために、システムの Secure Sockets Layer (SSL) またはトランスポート層セキュリティー (TLS) のセキュリティー・レベル設定の構成または変更が必要になる場合があります。

このタスクについて

システムでセキュリティー・レベルを構成または変更するには、chsecurity コマンドおよび lssecurity コマンドを使用します。

-sslprotocol パラメーターに対する chsecurity および lssecurity のコマンド・レベル設定 (1、2、または 3) は、以下のように定義されます。
  • 1 を指定すると、SSL 3.0 が不許可になります。(この設定値がシステム・デフォルトです。)
  • 2 を指定すると、TLS 1.2 のみが許可されます。
  • 3 を指定すると、追加で、TLS 1.2 専用でない TLS 1.2 暗号スイートも不許可になります。
現行システムの SSL または TLS のセキュリティー設定を表示するには、次のコマンドを入力します。
lssecurity
結果に、sslprotocol:1 などの現行設定が表示されます。
SSL または TLS のセキュリティー設定を変更するには、次のコマンドを入力します。
chsecurity -sslprotocol security_level 
ここで、security_level は、1、2、または 3 のいずれかです。

chsecurity -sslprotocol security_level コマンドを使用すると、アタックに対する脆弱性を低下させられるように、セキュア・インターフェースで許可される暗号とプロトコルを設定できます。ただし、このセキュリティー・レベルを変更すると、Web ブラウザーなどの外部システムや、VMWare プロビジョニング・ユーティリティーまたは IBM® Spectrum Control ソフトウェアなどの CIM を介して接続されているすべてのものへの接続が切断される可能性があります。

システム上のセキュリティー・プロトコルの問題を解決するには、以下のガイドラインに従ってください。
  • -sslprotocol パラメーターを使用し、SSL インターフェース・バージョンを変更することによって外部システムの問題を見つけます。このパラメーターを使用すると、現在修正できない非互換プロトコルが原因で接続に失敗した場合にセキュリティー・レベルを元に戻すこともできます。
  • セキュリティー・レベルが最小デフォルト・レベルより上に設定されており、Web ブラウザーが同じレベルを使用するようセットアップされていない場合、管理 GUI へのリモート・アクセスが失われることがあります。Web ブラウザーのセキュリティー・レベルを上げることができない場合は、chsecurity -sslprotocol CLI を使用してセキュリティー・レベルを下げてください。
  • セキュリティー・レベルが最小デフォルト・レベルより上に設定されており、LDAP サーバーが同じレベルを使用するようにセットアップされていない場合、LDAP サーバーを使用したユーザー許可管理は失敗する可能性があります。LDAP サーバーのセキュリティー・レベルを上げることができない場合は、chsecurity -sslprotocol CLI を使用してセキュリティー・レベルを下げることが必要になる可能性があります。
  • 一部の VMWare プロビジョニング・ユーティリティーや Tivoli Storage Manager などの CIM を介して接続する外部管理システムは、特定の状況でシステムへの接続に失敗する可能性があります。例えば、セキュリティー・レベルが最小デフォルト・レベルより上に設定されていて、外部システムが同じプロトコル・レベルを使用するようにセットアップされていない場合に、このような障害が発生することがあります。外部システムのセキュリティー・レベルを上げることができない場合は、chsecurity -sslprotocol CLI を使用してセキュリティー・レベルを下げることが必要になる可能性があります。