Sun N1 System Manager 1.2 管理ガイド

セキュリティーの問題

この節では、セキュリティーに関する障害追跡情報を提供します。

N1 System Manager は強力な暗号化手法を用いて、管理サーバーと管理対象の各サーバーとの間の通信の安全を確保します。

N1 System Manager が使用するキーは、Linux を実行する各サーバーの /etc/opt/sun/cacao/security ディレクトリに格納されます。Solaris OS を実行するサーバーでは、これらのキーが /etc/opt/SUNWcacao/security ディレクトリに格納されます。

セキュリティーキーを再生成する理由

N1 System Manager で使用されるセキュリティーキーは、すべてのサーバーで同一な必要があります。通常動作では、キーで使用されるセキュリティーキーがデフォルト状態のままでかまいません。セキュリティーキーの再生成が必要になることもあります。

管理サーバーの root パスワードが外部に漏れた恐れがある場合、セキュリティーキーを再生成してください。
管理サーバーのシステム日付が、date コマンドを使用して変更された場合、セキュリティーキーを再生成してください。date コマンドを使用して管理サーバーのシステム日付が変更された場合、N1 System Manager 管理デーモン n1sminit が次回再起動したときに、管理サーバーでそれ以降サービスが提供されなくなる恐れがあります。この場合は、キーを再生成し、N1 System Manager 管理デーモンを再起動する必要があります。説明は、「共通エージェントコンテナのセキュリティーキーを再生成する」にあります。

共通エージェントコンテナのセキュリティーキーを再生成する

手順

管理サーバー上でスーパーユーザー権限を使い、N1 System Manager 管理デーモンを停止します。
# /etc/init.d/n1sminit stop

create-keys サブコマンドを使用し、セキュリティーキーを再作成します。

Linux がインストールされている管理サーバーの場合
# /opt/sun/cacao/bin/cacaoadm create-keys --force
Solaris OS がインストールされている管理サーバーの場合
# /opt/SUNWcacao/bin/cacaoadm create-keys --force

管理サーバー上でスーパーユーザー権限を使い、N1 System Manager 管理デーモンを再起動します。
# /etc/init.d/n1sminit start

一般的なセキュリティー上の留意点

N1 System Manager を使用する際に、注意しなければならない一般的なセキュリティー上の留意点を次に示します。

N1 System Manager のブラウザインタフェースの起動に使用する Java^TM Web Console は、自己署名の証明書を使用します。これらの証明書は、クライアントとユーザーによって、適切な信頼レベルをもって取り扱われるべきです。
ブラウザインタフェースでシリアルコンソール機能用に使用される端末エミュレータアプレットは、証明書に基づくアプレットの認証を提供しません。またアプレットを使用するには、管理サーバーの SSHv1 を有効にする必要があります。証明書に基づく認証を使用する、または SSHv1 を有効にしない場合は、n1sh シェルから、connect コマンドを実行してシリアルコンソールを使用してください。
プロビジョニング可能なサーバーで管理サーバーからプロビジョニングネットワークインタフェースへの接続に使用される SSH フィンガープリントは、N1 System Manager ソフトウェアによって自動的に認識されます。この自動認識によって、プロビジョニング可能なサーバーは、中間者攻撃を受けやすくなる場合があります。
Sun Fire X4100 および Sun Fire X4200 サーバーの Web Console (Sun ILOM Web GUI) 自動ログイン機能は、サーバーのサービスプロセッサ資格を、「ログイン」ページの Web ページソースを参照できるユーザーに公開してしまいます。このセキュリティー上の問題を回避するには、n1smconfig ユーティリティーを実行して自動ログイン機能を使用不可にします。詳細は、『Sun N1 System Manager 1.2 インストールおよび構成ガイド』の「N1 System Manager システムの設定」を参照してください。