サーバーの一部へのアクセス制御

この節では、サーバーとその内容に対して一般的に使用されている制限について説明します。各手順のステップごとに、必要な操作を詳細に説明します。ただし、「サーバーインスタンスに対するアクセス制御の設定」で説明するステップは実行しておく必要があります。

ここでは、次の内容について説明します。

• 「サーバー全体へのアクセス制限」

• 「ディレクトリへのアクセス制限」

• 「ファイルタイプへのアクセス制限」

• 「時刻に基づくアクセス制限」

• 「セキュリティーに基づくアクセス制限」

• 「リソースへのアクセスのセキュリティー保護」

• 「サーバーインスタンスへのアクセスのセキュリティー保護」

• 「IP ベースのアクセス制御の有効化」

サーバー全体へのアクセス制限

グループ内のユーザーに対して、サブドメイン内のコンピュータからサーバーへのアクセスを許可したい場合があります。たとえば、ある会社のある部署のサーバーで、ネットワークの特定のサブドメインにあるコンピュータからのアクセスだけをユーザーに対して許可するような場合です。

サーバー全体へのアクセスを制限するには

1. サーバーインスタンスのサーバーマネージャーにアクセスします。

2. 「Preferences」タブで、「Administer Access Control」リンクをクリックします。

3. ドロップダウンリストからサーバー全体を選択し、「Select」をクリックして、対応する「Edit」ボタンをクリックします。

   「Access Control Rules」ページが表示されます。

4. すべてへのアクセスを拒否する規則を追加します。

5. 特定のグループへのアクセスを許可する別の規則を追加します。

6. 「From Host」を使用して、制限するホスト名および IP アドレスを指定します。

7. 「Submit」をクリックして変更内容を保存します。

ディレクトリへのアクセス制限

グループの所有者によって制御されている、ディレクトリ内のアプリケーションやサブディレクトリおよびファイルの読み取りまたは実行をグループ内のユーザーに許可することができます。たとえば、プロジェクトマネージャは、参照するプロジェクトチームのステータス情報を更新できます。

ディレクトリへのアクセスを制限するには

サーバーインスタンスに対するアクセス制御の設定の節で説明した手順を使用して (「サーバーインスタンスに対するアクセス制御の設定」)、次の操作を実行します。

1. サーバーインスタンスのサーバーマネージャーにアクセスします。

2. 「Preferences」タブで、「Administer Access Control」リンクをクリックします。

3. ドロップダウンリストから必要なリソースを選択し、「Edit」をクリックします。

4. すべての場所からのすべてのアクセスを拒否する、デフォルト値を使用した規則を作成します。

5. 特定のグループのユーザーに対して、読み取り権と実行権だけを許可する別の規則を作成します。

6. 特定のユーザーに対してすべてのアクセス権を許可する 3 つ目の規則を作成します。

7. 最後の 2 つの規則の「継続」の選択を解除します。

8. 「Submit」をクリックして変更内容を保存します。

ファイルタイプへのアクセス制限

ファイルタイプに対してアクセスを制限できます。たとえば、特定のユーザーだけに、サーバーで実行されるプログラムの作成を許可することができます。すべてのユーザーがプログラムを実行できますが、作成や削除を実行できるのはグループ内の指定されたユーザーだけです。

ファイルタイプに対してアクセスを制限するには

1. サーバーインスタンスのサーバーマネージャーにアクセスします。

2. 「Preferences」タブで、「Administer Access Control」リンクをクリックします。

3. 「Select A Resource」セクションで「Regular Expression」をクリックし、正規表現 (たとえば *.cgi) を指定します。

4. ［編集］をクリックします。

5. すべてのユーザーに対して読み取りアクセスを許可する規則を作成します。

6. 指定されたグループだけに読み取りアクセスと削除アクセスを許可する、別の規則を作成します。

7. 「Submit」をクリックして変更内容を保存します。

   ファイルタイプの制限については、両方の「継続」チェックボックスのチェックマークを付けたままにします。ファイルが要求されると、サーバーはまず ACL のファイルタイプを確認します。

   Pathcheck 関数は obj.conf 内に作成されます。この関数には、ファイルまたはディレクトリのワイルドカードパターンが含まれている場合があります。ACL ファイルのエントリは、次のようになります。acl"*.cgi";

時刻に基づくアクセス制限

指定した時間または指定した日に、サーバーに対する読み取りアクセスと削除アクセスを制限することができます。

時刻に基づきアクセスを制限するには

1. サーバーインスタンスのサーバーマネージャーにアクセスします。

2. 「Preferences」タブで、「Administer Access Control」リンクをクリックします。

3. 「Select A Resource」セクションのドロップダウンリストからサーバー全体を選択し、「Edit」をクリックします。

4. すべてのユーザーに対して読み取り権と実行権を許可する規則を作成します。

   つまり、ユーザーがファイルやディレクトリの追加、更新、または削除を行う場合にこの規則が適用されず、サーバーは一致する別の規則を検索します。

5. すべてのユーザーに対して書き込み権と削除権を拒否する、別の規則を作成します。

6. 「X」リンクをクリックして、カスタマイズされた式を作成します。

7. アクセスを許可する曜日と時刻を入力します。その例を次に示します。

   user = "anyone" anddayofweek = "sat,sun" or(timeofday >= 1800 andtimeofday <= 600)

8. 「Submit」をクリックして変更内容を保存します。

   カスタマイズされた式にエラーがあると、エラーメッセージが生成されます。修正してから、もう一度送信してください。

セキュリティーに基づくアクセス制限

同じサーバーインスタンスに対して、SSL を使用する待機ソケットと SSL を使用しない待機ソケットを設定することができます。セキュリティーに基づく制限を使用すると、セキュリティー保護されたチャネルを経由して送信する必要のあるリソースを保護できます。

セキュリティーに基づきアクセスを制限するには

1. サーバーインスタンスのサーバーマネージャーにアクセスします。

2. 「Preferences」タブで、「Administer Access Control」リンクをクリックします。

3. 「Select A Resource」セクションのドロップダウンリストからサーバー全体を選択し、「Edit」をクリックします。

4. すべてのユーザーに対して読み取り権と実行権を許可する規則を作成します。

   つまり、ユーザーがファイルやディレクトリの追加、更新、または削除を行う場合にこの規則が適用されず、サーバーは一致する別の規則を検索します。

5. すべてのユーザーに対して書き込み権と削除権を拒否する、別の規則を作成します。

6. 「X」リンクをクリックして、カスタマイズされた式を作成します。

7. ssl="on" と入力します。次に例を示します。

   user = "anyone" and ssl="on"

8. 「Submit」をクリックして変更内容を保存します。

   カスタマイズされた式にエラーがあると、エラーメッセージが生成されます。修正してから、もう一度送信してください。