目次と検索結果のパーソナライズ化
インストール後の環境の保護
WebSphere Application Server は、
インストール時に作成されるいくつかの構成ファイルに依存します。これらのファイルには、
パスワード情報が入っており、保護する必要があります。
ファイルはインストール時にある程度は保護されますが、この基本レベルの保護ではサイトには不十分と考えられます。これらのファイルがサイトのポリシーに応じて保護されていることを確認する必要があります。
始める前に
注: Kerberos キー・タブ構成ファイルには、ユーザー・パスワードに類似した
鍵のリストが含まれています。ホストでは、Kerberos キー・タブ・ファイルを保護するために、Kerberos キー・タブ・ファイルをローカル・ディスクに保管し、許可ユーザーのみが読み取れるようにすることが重要です。
app_server_root/profiles/profile_name/config および
app_server_root/profiles/profile_name/properties にあるファイルは、
保護する必要があります。例えば、WebSphere Application Server の 1 次管理タスクのためにシステムにログオンするユーザーにのみアクセス権を与えます。WebSphere Application Server のコンソール・ユーザーやコンソール・グループなど、
その他のユーザーまたはグループにも、アクセス権が必要です。
プロシージャー
Windows システムのファイルを保護します。
- ブラウザーをオープンして、マシン上のファイルおよびディレクトリーのビューを表示します。
- 保護するファイルまたはディレクトリーを見つけて、右クリックします。
- 「プロパティー」をクリックします。
- 「セキュリティー」タブをクリックします。
- ファイルへのアクセス認可しない、「全員
」項目および他のユーザーまたはグループを除去します。
- ファイルへのアクセスができるユーザーを、適切なアクセス権と共に追加します。
UNIX システム上のファイルを保護します。 この手順は、通常の UNIX ファイル・システムにのみ適用されます。
アクセス制御リストを使用しているサイトの場合は、そのメカニズム
を使ってファイルを保護してください。サイト固有の要件があると、所有者、グループ、対応する特権に影響する可能性があります。例えば、AIX プラットフォームなどです。
- install_root ディレクトリーに移動して、
ディレクトリー構成およびプロパティーの所有権を、WebSphere Application Server 1 次管理タスクのために
システムにログオンするユーザーに変更します。
以下のコマンドを実行します。chown -R logon_name directory_name
各部の意味は、次のとおりです。
- login_name は、指定したユーザーまたはグループです。
- directory_name はファイルを含むディレクトリーの名前です。
パスワード情報を含むファイルの所有権は、
アプリケーション・サーバーを実行するユーザーに割り当てることをお勧めします。
アプリケーション・サーバーを実行するユーザーが複数存在する場合は、
それらのユーザーがユーザー・レジストリー内で割り当てられているグループに許可を与えてください。
- コマンド chmod
-R 770 directory_name を実行して、アクセス権をセットアップします。
- app_server_root/profiles/profile_name/properties ディレクトリーに移動し、ファイル・アクセス権を設定します。
以下のファイルのアクセス権を、ご使用のセキュリティー・ガイドラインに適するように設定します。
- TraceSettings.properties
- client.policy
- client_types.xml
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
例えば、以下のコマンド: chmod 770 file_name を発行します。ここで、file_name は、前もって install_root/profiles/profile_name/properties ディレクトリー内でリストされていたファイルの名前です。
これらのファイルには、パスワードなどの機密情報が含まれています。
- WebSphere Application Server のグループを作成して
、WebSphere Application Server 管理タスクのすべてまたは一部を行うユーザーをこのグループに追加します。
- Java Messaging Service (JMS) プロバイダーとして WebSphere MQ を使用する場合は、/var/mqm ディレクトリーおよび使用するログ・ファイルへのアクセスを制限します。
ユーザー ID mqm または mqm ユーザー・グループのメンバーにのみ、書き込みアクセス権限を与えます。
結果
環境が保護された後は、アクセス権を持つユーザーのみがファイルにアクセスすることができます。
これらのファイルを十分に保護できないと、WebSphere Application Server アプリケーションでセキュリティーが正常に保たれなく可能性があります。
次の作業
ファイル・アクセス権により、何らかの障害が発生した場合は、
アクセス権の設定値を調べてください。
|
