「セキュリティー」パネル
「セキュリティー」パネルでは、次のセキュリティー・サービスを有効にすることができます。
- SSL: このパネルで SSL を有効にする作業は、システム全体で SSL セキュリティー・フィーチャーを有効にする作業の一部に過ぎません。 これをオンにする前後に追加の作業が必要です。
- パスワード暗号化: このパネルでパスワード暗号化を有効にする作業は、システム全体でパスワード暗号化を有効にする作業の一部に過ぎません。
「セキュリティー」パネルを表示するには、
を選択します。
重要: 「セキュリティー」パネルでは、セットアップの一部のみが実行されます。
追加情報については、セキュリティー・フィーチャーを参照してください。
SSL の有効化
インストールの前提条件: インストール時に、SSL 構成で使用する次の 2 つの情報を指定してください。
- 「SSL ポート (SSL port)」。「Web サーバーおよびアプリケーション・サーバー (Web and Application Server)」パネルで指定します。 このポートは、以下で選択する構成に指定されているポートと一致している必要があります。 インストール時および構成におけるデフォルトは、ポート 8443 です。 このポートは、Apache Tomcat 上の認証サーブレットが、ログイン時にユーザーのログイン資格情報をエンコードまたは暗号化するために使用します。
- 「証明書 (Certificate)」。「Web サーバーおよびアプリケーション・サーバー (Web and Application Server)」パネルで指定します。 独自の証明書を用意するか、インストーラーに自己署名証明書を作成させます。 証明書はデフォルトの鍵ストアに保管されます。 鍵ストアの場所は、名前付きの SSL 構成に定義されます。
- 「SSL 有効化」を「はい」に設定します。次の追加プロパティーが表示されます。
- LDAP アウトバウンド: LDAP を使用したアウトバウンド通信で使用する構成を指定します。 デフォルトは、「デフォルト JSSE アウトバウンド SSL」です。
- エンジンからエージェントへのデフォルトのアウトバウンド: エンジン・コンポーネントからエージェントへの通信で使用する構成を指定します。 デフォルトは、「デフォルト OpenSSL アウトバウンド SSL」です。
- サービス層インバウンド: サービス層コンポーネントが Web インターフェース・コンポーネントおよびエンジン・コンポーネントからの通信を受け入れる際に使用する構成を指定します。 デフォルトは、「デフォルト JSSE インバウンド SSL」です。
- サービス層アウトバウンド (JSSE): エンジン・コンポーネントおよび Web インターフェース・コンポーネントのサービス層コンポーネントがデータベースと通信する際に使用する JSSE 構成を指定します。 デフォルトは、「デフォルト JSSE アウトバウンド SSL」です。
- サービス層アウトバウンド (OpenSSL): エンジン・コンポーネントおよび Web インターフェース・コンポーネントのサービス層コンポーネントがデータベースと通信する際に使用する OpenSSL 構成を指定します。 デフォルトは、「デフォルト OpenSSL アウトバウンド SSL」です。
- 「保存」をクリックします。
- 「マスター BFClient.conf の更新」をクリックします。このステップを実行すると、これらのプロパティー設定を使用して BFClient.conf ファイルが編集されます。
- Build Forge を再始動します。システムがこれらの設定を使用し始めるまで、セキュア通信は有効になりません。
選択する構成は、「SSL」パネルで定義されます。
このパネルで SSL を有効にした後の要件:
- 証明書の配布: エージェント・ホストの鍵ストア、データベース・ホスト、および稼働中のすべての追加 Build Forge インストール済み環境 (冗長構成) に証明書をインストールする必要があります。
- エージェント SSL の有効化: エンジン・コンポーネントとエージェントの間の通信で SSL を使用する場合は、各エージェントが SSL を使用するように構成されている必要があります。
- API クライアントの有効化: サービス層コンポーネントと通信するために、すべての API クライアントで SSL を構成する必要があります。
パスワード暗号化の有効化
前提条件:
- 「SSL ポート (SSL port)」。「Web サーバーおよびアプリケーション・サーバー (Web and Application Server)」パネルで指定します。 このポートは、以下で選択する構成に指定されているポートと一致している必要があります。 インストール時および構成におけるデフォルトは、ポート 8443 です。 このポートは、Apache Tomcat 上の認証サーブレットが、ログイン時にユーザーのログイン資格情報をエンコードまたは暗号化するために使用します。
- 「証明書 (Certificate)」。「Web サーバーおよびアプリケーション・サーバー (Web and Application Server)」パネルで指定します。 独自の証明書を用意するか、インストーラーに自己署名証明書を作成させます。 証明書はデフォルトの鍵ストアに保管されます。 鍵ストアの場所は、名前付きの SSL 構成に定義されます。
- 「パスワード暗号化の有効化」を「はい」に設定します。
- 「保存」をクリックします。
- 「マスター BFClient.conf の更新」をクリックします。このステップを実行すると、これらのプロパティー設定を使用して BFClient.conf ファイルが編集されます。
- Build Forge を再始動します。システムがこれらの設定を使用し始めるまで、パスワード暗号化は有効になりません。
- これが有効になると、コンソールで入力されたすべての新規パスワードが暗号化されます。これには、コンソールで作成したユーザーのサーバー認証パスワードおよびユーザー・パスワードも含まれます。
追加要件:
暗号化を有効にした後で、以下を行う必要があります。
- すべてのエージェントで暗号化を有効にします。 鍵をエクスポートし、その鍵を使用して、各エージェントの構成にあるサーバー認証パスワードを更新します。 BFAgent.conf で、このパスワードを手動更新する必要があります。
- 暗号化されたパスワードをデータベース・アクセスに対して有効にします。 鍵をエクスポートし、その鍵を使用して、Build Forge がデータベースにログオンする際に使用するデータベース・パスワードを更新します。 buildforge.conf で、このパスワードを手動更新する必要があります。