Java Web Console のセキュリティーに関する注意事項

Java Web Console に含まれているアプリケーションを使用するときは、セキュリティーに関して注意しなければならないことがいくつかあります。

セキュリティーに関する注意事項は、次のとおりです。

• Java Web Console へのアクセス – ブラウザを介してコンソールに接続できるかどうか。

• アプリケーションへのアクセス – Java Web Console の起動ページに特定のアプリケーションを表示できるかどうか。

• アプリケーションのアクセス権 – アプリケーションの一部またはすべてを実行するために必要なアクセス権のレベル。

• リモートシステムへのアプリケーションのアクセス – セキュリティーの資格がリモートシステムにどのように関連しているか。

• コンソールで使用される内部パスワード - Solaris 10 11/06 リリース以降、コンソールの内部で使用されるデフォルトパスワードの変更。

Java Web Console へのアクセス

通常、有効なユーザーはすべてログインできるように、Web コンソールの起動アプリケーションに対するアクセス権は開放されています。ただし、Web コンソールの app.xml ファイル内の authTypes タグに権利を指定することで、コンソールへのアクセスを制限できます。このファイルは /usr/share/webconsole/webapps/console/WEB-INF ディレクトリにあります。詳細は、「authTypes タグを使って承認を指定する」を参照してください。

非常に高いセキュリティーで保護されるようシステム構成が設定され、コンソールや登録済みアプリケーションの URL に対するリモートシステムからの接続が拒否される場合もあります。システムがリモートアクセスを防止するように設定されている場合は、https://hostname.domain:6789 としてコンソールにアクセスしようとすると、ブラウザに次のようなメッセージが表示されます。

Connect to hostname.domain:6789 failed (Connection refused)

システムで有効になっている SMF プロファイルがアクセスを制限している場合もあります。プロファイルの詳細は、「SMF プロファイル」を参照してください。リモートシステムからコンソールへのアクセスを許可する手順については、「Java Web Console へのリモートアクセスを使用可能にする」を参照してください。

Java Web Console のアプリケーションへのアクセス

Web コンソールに正常にログインしたあとで、そのコンソールに登録されているすべてのアプリケーションに自動的にアクセスできるようになるとは限りません。通常、アプリケーションはすべてのユーザーがコンソールの起動ページでそれを表示できるようにインストールされます。管理者は、アプリケーションに対するアクセスを付与および制限できます。

アプリケーションへのアクセスを制限するには、アプリケーションの app.xml ファイルに含まれている authTypes タグに権利を指定します。アプリケーションの app.xml ファイルは、installation-location/WEB-INF/ サブディレクトリにあります。通常、このディレクトリは /usr/share/webconsole/webapps/app-context-name /WEB-INF になります。

アプリケーションのファイルが通常の場所に存在しない場合にそれらの格納場所を見つけるには、次のコマンドを使用します。

wcadmin list --detail -a

このコマンドは配備済みのすべてのアプリケーションを一覧表示しますが、その際、各アプリケーションの配備時刻とベースディレクトリへのパスが表示されます。app.xml ファイルはそのベースディレクトリ内のサブディレクトリ WEB-INF に格納されています。

詳細は、「authTypes タグを使って承認を指定する」を参照してください。

アプリケーションの特権

アプリケーションのリンクが Java Web Console の起動ページに表示される場合は、そのアプリケーションを実行できます。ただし、アプリケーションが認証ユーザーや役割の識別情報に基づいて承認チェックを別に行うことがあります。これらのチェックは、authTypes タグで制御されるのではなく、アプリケーション自体に明示的にコード化されます。たとえば、アプリケーションによって、読み取りアクセスはすべての認証ユーザーに付与されるが、更新アクセスは一部のユーザーまたは一部の役割に制限されるようにすることができます。

リモートシステムへのアプリケーションのアクセス

適切な資格をすべて持っているからといって、アプリケーションの操作の範囲内にあるすべてのシステムをそのアプリケーションで管理できるとは限りません。Oracle Java Web Console アプリケーションを使用して管理する各システムには、専用のセキュリティードメインがあります。Web コンソールシステムに対する読み取り/書き込み権を持っていても、それらの資格がほかのリモートシステムを管理するのに十分であるとは限りません。

一般に、リモートシステムへのアクセスは、セキュリティーが Web アプリケーションにどのように実装されるかによって変わります。通常、Web アプリケーションは、アプリケーションに代わって処理を実行する「エージェント」を呼び出します。 これらのアプリケーションはその Web コンソールの資格とアプリケーションがエージェントシステムで認識されるときに使われる資格に基づいて認証される必要があります。このエージェントによる認証がどのように行われるかによって、エージェントでもこの認証された識別情報に基づいて承認チェックが行われることがあります。

たとえば、リモート WBEM エージェントを使用する Web アプリケーションでは通常、最初に Java Web Console に対して認証されたユーザーや役割の識別情報を使って認証が行われます。エージェントシステムでこの認証に失敗すると、そのシステムへのアクセスは Web アプリケーションで拒否されます。エージェントシステムで認証に成功しても、エージェントがアクセス制御チェックを行なってアクセスを拒否した場合は、引き続きアクセスが拒否されます。ほとんどのアプリケーションは、ユーザーが Web コンソールでの認証に成功し、正しい役割を引き受けた場合はエージェントでの認証や承認のチェックが失敗することのないように作成されます。

コンソールで使用される内部パスワード

Solaris 10 11/06 リリース以降、Oracle Java Web Console は、パスワードで保護された内部ユーザー名を使用して、基になる Web サーバーに対する管理タスクを実行したり、キーストアファイルやトラストストアファイルを暗号化したりします。コンソールをインストールできるよう、パスワードは初期値に設定されます。セキュリティー侵入の可能性を低減するために、インストール後はパスワードを変更するようにしてください。詳細は、「Java Web Console の内部パスワードを変更する」を参照してください。