セキュリティー構成に関する決定事項

ネットワークプロトコル – raw、SSH、SSL

インストールでは、ソフトウェアアプリケーション間の通信に使用するネットワークプロトコルを選択するようにメッセージが表示されます。マスターサーバーの場合、raw (TCP/IP) または SSL を選択できます。ローカルディストリビュータ、リモートエージェント、および CLI Client の場合、raw (TCP/IP)、SSH、または SSL を選択できます。

raw (TCP/IP) は、通信プロトコルとしては安全性に劣ります。プロビジョニングシステムでこの接続プロトコルを使用すると、N1 Service Provisioning System 5.1 アプリケーションがインストールされたサーバーにネットワークアクセスできる人なら誰でもプロビジョニングシステムに接続してコマンドを発行できる状態になります。raw を選択する場合は、N1 Service Provisioning System 5.1 アプリケーションがインストールされているサーバーからの接続だけを受け入れるようにセキュリティーポリシーファイルを構成することによってプロビジョニングシステムを保護できます。詳細は、第 9 章「Java 仮想マシンのセキュリティーポリシーの構成」を参照してください。

SSL は raw よりも安全性が高いプロトコルです。SSL を選択する場合は、どの暗号群を使用するか、認証を行うかどうか (認証を伴う暗号化にするか認証を伴わない暗号化にするか) も指定する必要があります。認証を伴わない暗号化は、プロビジョニングシステムアプリケーションがインストールされたサーバーにネットワークアクセスできる人であれば誰でもプロビジョニングシステムに接続してコマンドを実行できるという点で raw の使用に似ています。SSL を使用する場合は、認証を伴う暗号化モードを選択するのがもっとも安全です。プロビジョニングシステムは、N1 Service Provisioning System 5.1 アプリケーションがインストールされているサーバーからの接続だけを受け入れるようにセキュリティーポリシーファイルを構成することによって、安全性をさらに高めることができます。詳細は、第 9 章「Java 仮想マシンのセキュリティーポリシーの構成」を参照してください。SSL については、第 8 章「SSL を使用するための N1 Service Provisioning System 5.1 の構成」を参照してください。

AIX サーバー上のローカルディストリビュータで SSL を使用する場合、SSL 暗号群は認証による暗号化に設定されます。認証を伴わない暗号化は、AIX サーバーで稼働しているローカルディストリビュータでは利用できません。

SSH はもっとも安全性の高いネットワークプロトコルであり、サポートされるのは Linux および UNIX ベースのプラットフォーム上だけです。N1 Service Provisioning System 5.1 で SSH を使用するには、サーバーに SSH ソフトウェアをインストールする必要があります。詳細は、第 7 章「Secure Shell を使用するための N1 Service Provisioning System 5.1 の構成」を参照してください。

マスターサーバーと CLI Client 間の通信を行うためのネットワークプロトコルとして SSH を使用することを選択した場合、マスターサーバーの IP アドレスは 127.0.0.1 に設定されます。マスターサーバーの通信プロトコルは raw に設定されます。SSH を使用してマスターサーバーに接続するには、CLI Client を構成する必要があります。

HTTP または HTTPS

ブラウザインタフェースがマスターサーバーへの接続に HTTP (Hypertext Transmission Protocol) または HTTPS (Hypertext Transmission Protocol, Secure) を使用することを選択できます。HTTP を選択する場合は、ネットワーク上の誰でもブラウザインタフェースとマスターサーバー間で転送されるデータを傍受できます。また、ユーザーがマスターサーバーとして動作して、ユーザーパスワードなどのセキュリティー保護されているデータをブラウザインタフェースから取得しようとすることも考えられます。

HTTPS は、HTTP より安全にデータを転送します。HTTPS では、キーストアファイルとキーストアパスワードが必要です。プロビジョニングシステムが使用するキーストアファイルとキーストアパスワードを作成する必要があります。

インストールプログラムにより、HTTP または HTTPS を選択するようメッセージが表示されます。HTTPS を選択すると、キーストアファイルとキーストアパスワードを入力するようにメッセージが表示されます。キーストアファイルとキーストアパスワードは、2 とおりの方法で指定できます。

• インストールの前にキーストアファイルとキーストアパスワードを作成する方法: プロビジョニングシステムをインストールする前にキーストアファイルとキーストアパスワードを作成する場合は、インストール中にキーストアファイルとキーストアパスワードの情報を指定できます。プロビジョニングシステムをインストールする前にキーストアファイルとキーストアパスワードを作成する方法については、「HTTPS 接続のキーストアファイルとキーストアパスワードの作成」を参照してください。

  ---

  注 –

  キーストアパスワードが有効かどうかは確認されません。無効なパスワードを入力した場合、マスターサーバーを起動できないことがあります。

  ---

• インストールしたあとにキーストアファイルとキーストアパスワードを作成する方法: インストールする前にキーストアファイルとキーストアパスワードを作成しない場合は、インストール中にキーストアファイルとキーストアパスワードの情報を指定できません。この結果、インストールスクリプトによって、空のキーストアファイルが N1SPS5.1-home/server/tomcat ディレクトリに作成されます。空のキーストアファイルとキーストアパスワード情報は、マスターサーバーを起動する前に手動で交換する必要があります。手順については、「インストール後の HTTPS の構成」を参照してください。

インストール中に HTTP を選択すると、 HTTPS を使用するためにマスターサーバーを手動で構成できます。手順については、「インストール中に HTTP を選択したあとで行う HTTPS の構成」を参照してください。