Sun N1 Service Provisioning System のセキュリティー機能

Sun N1 Service Provisioning System には、データ、アプリケーション、およびネットワークのセキュリティーを確保するための次の機能があります。

• HTTPS (Secure HTTP) サポート – HTTPS を使用するように SPS 環境を構成すると、マスターサーバーへの接続のセキュリティーが確保されます。SSL (Secure Sockets Layer) デジタル証明書とキーストロークを使用すると、Web ブラウザインタフェースによるマスターサーバーへの接続を保護できます。

  詳細については、第 6 章「HTTPS を使用するための Sun N1 Service Provisioning System 5.2 の構成」を参照してください。

• SSH (Secure Shell) サポート – SSH は UNIX ベースのコマンド群で、リモートコンピュータへ安全にアクセスするためのプロトコルです。SSH は、電子証明書とパスワードの暗号化を利用して、接続の両端で認証を行うことにより、ネットワーク上のクライアントとサーバーの通信を保護します。また、RSA 公開鍵暗号を使用して接続と認証を管理します。

  詳細については、第 7 章「Secure Shell を使用するための Sun N1 Service Provisioning System 5.2 の構成」を参照してください。

• SSL (Secure Sockets Layer) サポート – SSL は、IP ネットワーク上での通信をセキュリティー保護するプロトコルです。SSL は、TCP/IP ソケット技術を使用してクライアントとサーバー間のメッセージ交換を行い、RSA が開発した公開 / 非公開鍵ペア暗号化システムを使用してそのメッセージを保護します。SSL のサポートは、ほとんどの Web サーバー製品およびほとんどの Web ブラウザソフトウェアに内蔵されています。

  メッセージの傍受や改ざんを防止するため、ネットワーク通信に SSL を使用するように Sun N1 Service Provisioning System 5.2 アプリケーションを構成できます。

  詳細については、第 8 章「SSL を使用するための Sun N1 Service Provisioning System 5.2 の構成」を参照してください。

• JVM (Java Virtual Machine) セキュリティーポリシー – それぞれの Sun N1 Service Provisioning System 5.2 アプリケーションには、JVM (Java Virtual Machine) セキュリティーポリシーファイルがあります。このポリシーファイルを修正すると、マスターサーバー、リモートエージェント、およびローカルディストリビュータへのアクセスを制限できます。これらのアプリケーションは、特定の IP アドレスおよびポート範囲からの接続のみを受け付けるか、または特定の IP アドレスおよびポート範囲への接続のみを行うように構成できます。

  詳細については、第 9 章「Java 仮想マシンのセキュリティーポリシーの構成」を参照してください。

• ユーザー認証 - Sun N1 Service Provisioning System は、ユーザー認証用として JAAS (Java Authentication and Authorization Service) をサポートしています。jaas.config ファイルを編集することで、次の認証サービスを使用するように SPS 環境を構成できます。

  • LDAP

  • Sun Directory Server

  • Microsoft Windows 2000 Active Directory サーバー

  詳細については、『Sun N1 Service Provisioning System 5.2 システム管理者ガイド』の付録 A「認証方式」を参照してください。

• ユーザーグループ - Sun N1 Service Provisioning System ソフトウェアのさまざまな機能へのアクセスを制御するには、ユーザーを特定のユーザーグループに割り当てます。その後、各ユーザーグループに特定のアクセス許可を割り当てると、そのグループ内のユーザーが実行可能な操作を制限できます。

  詳細については、『Sun N1 Service Provisioning System 5.2 システム管理者ガイド』の第 4 章「ユーザーの管理」を参照してください。

• アクセス許可 - ユーザーグループにアクセス許可を割り当てると、プロビジョニング環境全体、または特定のプランとコンポーネントに、ユーザーアクセスを制限できます。プロビジョニングプランの実行またはコンポーネント作成の許可を特定のユーザーグループに割り当てたり、別のユーザーグループのアクセス許可を制限し、そのユーザーがユーザーアカウントを管理できるようにしたりすることもできます。

  詳細については、『Sun N1 Service Provisioning System 5.2 システム管理者ガイド』の第 3 章「アクセス許可を使用したアクセスの制御」を参照してください。

  特定のリソースに割り当てられたファイルおよびディレクトリに、ファイルシステムアクセス許可を割り当てることもできます。リソース記述子ファイルの XML を編集すると、リソースを SPS にチェックインしたときに作成したファイルシステムアクセス許可を上書きできます。詳細については、『Sun N1 Service Provisioning System 5.2 XML スキーマリファレンスガイド』の「リソース記述子ファイルの使用」を参照してください。

• ユーザー固有の手順 – SPS XML スキーマでは、別のユーザーが特定のプランまたはコンポーネントを実行するように指定できます。execNative 要素の UserToRunAs 属性を使用すると、ターゲットホストのオペレーティングシステムのネイティブコマンドを、特定のユーザーで実行するように指定できます。

  詳細については、『Sun N1 Service Provisioning System 5.2 XML スキーマリファレンスガイド』の「<execNative> ステップ」を参照してください。

• コンポーネント要素へのアクセス - Sun N1 SPS コンポーネントの XML スキーマを使用すると、次のようなコンポーネントの特定の要素へのアクセスを制御できます。

  • コンポーネント変数

  • コンポーネントのインストール、アンインストール、または制御の手順

  アクセス属性では、特定のコンポーネント要素へのアクセス補助をさまざまなレベルで制限できます。詳細については、『Sun N1 Service Provisioning System 5.2 XML スキーマリファレンスガイド』の第 3 章「コンポーネントのスキーマ」を参照してください。

• ユーザーセッション - Sun N1 SPS は、ユーザーセッションを使用してユーザーおよびユーザーの資格を認証し、プロビジョニング作業を実行することができます。このようなセッションは、再認証を行うことなく、関連する一連の要求でユーザーを識別するために使用できます。ユーザーセッションはセッション変数を使用して、ユーザー認証やその他の資格など、セッション関連の情報を維持できます。

  詳細については、『Sun N1 Service Provisioning System 5.2 プランとコンポーネントの開発者ガイド』の「セッション変数の概念」を参照してください。

  現在のセッション内のセッション変数を、データベース内に保存されているセッション変数に影響を与えることなく変更したり、その変更内容を保存できます。セッション変数の管理には、ブラウザインタフェースまたはコマンド行インタフェースを使用します。詳細については、『Sun N1 Service Provisioning System 5.2 プランとコンポーネントの開発者ガイド』の第 5 章「セッション変数」を参照してください。

  コマンド行インタフェースでセッション ID を指定し、特定のコマンドを認証することもできます。詳細については、『Sun N1 Service Provisioning System 5.2 コマンド行インタフェース (CLI) リファレンスマニュアル』の第 1 章「コマンド行インタフェースの使用」を参照してください。

  config.properties ファイル内の一連の構成コマンドで、ユーザーセッションの期間およびタイムアウトポリシーを設定できます。詳細については、『Sun N1 Service Provisioning System 5.2 システム管理者ガイド』の付録 B「一般的に更新される構成変数」を参照してください。