この節では、製品の現在のリリースでの潜在的なセキュリティーの弱点と、製品のデフォルト設定以外でセキュリティーを拡張および強化する方法の推奨事項について説明します。次について説明します。
設定 パスワードは機密の設定情報を保護するために使用しますが、インストールプログラムはこのパスワードに対していずれのパスワードポリシーを強制しません。このパスワードがいくつかの厳しいガイドラインに従い、簡単に推測できない複雑なパスワードを選択し、強力なパスワードのための標準的なポリシーガイドラインを遵守してください。
たとえば、8 文字以上で、大文字、小文字、英数字以外の文字を含むようにしてください。自分の名前や頭文字、日付などを含めないようにしてください。
製品の設定ディレクトリがある Directory Server にアクセスするには、資格が構成管理者グループ内に必要です。しかし、何らかの理由で admin 以外の資格を作成する必要がある場合は、次を考慮します。
インストールプログラムはコンソール管理サブツリーに格納されたユーザーの資格を必要とします。しかし、コアインストールプログラムは admin 以外のユーザーを「uid=admin,ou=Administrators, ou=TopologyManagement, o=NetscapeRoot」に拡張しません。このため、コアインストール中に DN 全体を指定してください。
次の場所にユーザーを作成します。
ou=Administrators, ou=TopologyManagement, o=NetscapeRoot |
製品の設定ディレクトリが格納されている Directory Server へのアクセスをこのユーザーのみに許可するか構成管理者グループのすべてのユーザーに許可するよう ACI を設定します。
コアインストール中に DN 全体を指定します。
Directory Server でのアクセス制御の管理の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 7 章「Directory Server のアクセス制御」を参照してください。
デフォルトで、コネクタやシステムマネージャーなど Message Queue のクライアントは、Message Queue ブローカが返した SSL 証明書をすべて受け入れます。
この設定をオーバーライドして Message Queue のクライアントが Message Queue ブローカの証明書を検証するようにするには、次を編集します。
Watchlist.properties で各プロセスの JVM 引数に次を追加します。
-Djavax.net.ssl.trustStore= keystore_path-DimqSSLIsHostTrusted=false
Identity Synchronization for Windows デーモンまたはサービスを再起動します。
javax.net.ssl.trustStore プロパティーはブローカの証明書を信頼する JSEE キーストアをポイントするようにしてください。たとえば、/etc/imq/keystore はブローカによって使用されるキーストアと同じため、コアがインストールされたマシン上で使用できます。
デフォルトで、Message Queue ブローカは自己署名付き SSL 証明書を使用します。別の 証明書をインストールするには、Java に付属の keytool ユーティリティーを使用して、ブローカのキーストア (Solaris の場合 /var/imq/instances/isw-broker/etc/keystore、Linux の場合 /var/opt/sun/mq/instances/isw-broker/etc/keystore、Windows 2000 の場合 mq_installation_root /var/instances/isw-broker/etc/keystore ) を変更します。証明書のエイリアスは imq にします。
Message Queue はデフォルトで、そのポートマッパーを除くすべてのサービスに対して動的ポートを使用します。ファイアウォールを介してブローカにアクセスしたり、ブローカに接続できるホストのセットを制限したりするには、ブローカがすべてのサービスに対して固定ポートを使用している必要があります。
このためには、imq.service_name protocol_type .port ブローカ設定プロパティーを設定します。詳細は、『Sun Java System Message Queue 管理ガイド』を参照してください。
システムマネージャーは、SSL を介した製品の設定ディレクトリへの接続時にすべての証明書を受け入れます。Message Queue ブローカも SSL を介した製品の設定ディレクトリへの接続時にすべての証明書を受け入れます。現在、システムマネージャーまたは Message Queue ブローカに製品の設定ディレクトリの SSL 証明書を検証させる方法はありません。
コアのインストール時に、製品の設定ディレクトリが格納された Directory Server への情報の追加プロセスには、アクセス制御情報の追加は含まれません。アクセスを設定の管理者のみに制限するには、次の ACI を使用できます。
(targetattr = "*") (target = "ldap://ou=IdentitySynchronization, ou=Services,dc=example,dc=com") (version 3.0;acl "Test";deny (all) (groupdn != "ldap://cn=Configuration Administrators, ou=Groups, ou=TopologyManagement, o=NetscapeRoot");)
Directory Server でのアクセス制御の管理の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 7 章「Directory Server のアクセス制御」を参照してください。