セキュリティ

この節では、セキュリティに関する障害追跡情報を提供します。

Sun N1 System Manager サーバーは、強力な暗号化手法を用いて、管理サーバーと管理対象の各サーバーとの間の通信の安全を確保します。

Sun N1 System Managerが使用するキーは、Linux が稼働する各サーバーの/etc/opt/sun/cacao/security ディレクトリに保存されています。それらのキーはすべてのサーバーで同じです。Solaris OS が稼働するサーバーでは、これらのキーは、/etc/opt/SUNWcacao/security ディレクトリに保存されています。

通常の運用では、これらのキーはデフォルトの設定のままにしておくことができますが、セキュリティキーの再生成が必要になることもあります。たとえば管理サーバーの root パスワードが外部に漏れた恐れがある場合などです。

共通エージェントコンテナのセキュリティキーを再生成する

手順

1. 管理サーバー 上でスーパーユーザー権限を使い、共通エージェントコンテナ管理デーモンを停止します。

   Linux が稼働する管理サーバーの場合

   # /opt/sun/cacao/bin/cacaoadm stop

   Solaris OS が稼働する管理サーバーの場合

   # /opt/SUNWcacao/bin/cacaoadm stop

2. create-keys サブコマンドを使用し、セキュリティキーを再作成します。

   Linux が稼働する管理サーバーの場合

   # /opt/sun/cacao/bin/cacaoadm create-keys --force

   Solaris OS が稼働する管理サーバーの場合

   # /opt/SUNWcacao/bin/cacaoadm create-keys --force

3. 管理サーバー上でスーパーユーザー権限を使い、共通エージェントコンテナ管理デーモンを再起動します。

   Linux が稼働する管理サーバーの場合

   # /opt/sun/cacao/bin/cacaoadm start

   Solaris OS が稼働する管理サーバーの場合

   # /opt/SUNWcacao/bin/cacaoadm start

一般的なセキュリティ上の留意点

N1 System Manager を使用する際に、注意しなければならない一般的なセキュリティ上の留意点を次に示します。

• N1 System Manager のブラウザインタフェースの起動に使用する Java^TM Web Console は、自己署名の証明書を使用します。これらの証明書は、クライアントとユーザーによって適切な信頼レベルをもって取り扱う必要があります。

• シリアルコンソール機能用のブラウザインタフェースによって使用されるターミナルエミュレータアプレットは、アプレットの証明書に基づく認証を提供しません。またアプレットでは、管理サーバーの SSHv1 を有効にする必要があります。証明書に基づく認証を使用する、または SSHv1 を有効にしない場合は、n1sh シェルから、connect コマンドを実行してシリアルコンソールを使用してください。

• プロビジョニング可能なサーバーで管理サーバーからプロビジョニングネットワークへの接続に使用される SSH フィンガープリントは、N1 System Manager ソフトウェアによって自動的に認識されます。この自動認識によって、プロビジョニング可能なサーバーは、第三者の攻撃を受けやすくなる場合があります。

• Sun Fire X4100 および Sun Fire X4200 サーバーの Web Console (Sun ILOM Web GUI) 自動ログイン機能は、サーバーのサービスプロセッサ証明書を「ログイン」ページの Web ページのソースを参照することができるユーザーに公開してしまいます。このセキュリティー上の問題を回避するには、n1smconfig ユーティリティを実行することによって自動ログイン機能を使用不可にします。詳細は、『Sun N1 System Manager 1.1 インストールおよび構成ガイド』の「N1 System Manager システムの設定」を参照してください。