Sun の WBEM セキュリティの機能

CIM Object Manager は、CIM Object Manager が動作しているマシンでのユーザーのログイン情報を検証します。検証されたユーザーには、Common Information Model (CIM) スキーマ全体に対する制御アクセス権が与えられます。CIM Object Manager は、個々のクラスやインスタンスのようなシステムリソースに対するセキュリティは提供しません。しかし、CIM Object Manager を使用すると、ネームスペースへのグローバルなアクセス権を制御でき、個々のユーザーベースでもアクセス権を制御できます。

次のセキュリティ機能によって、WBEM 対応しているシステム上の CIM オブジェクトへのアクセスを保護します。

• 認証 - コンピュータシステム内のエンティティ (ユーザー、デバイスなど) の識別情報を検証するプロセス。認証は、システム内のリソースへのアクセスを許可する場合の必須条件となることが多い

• 承認 - ユーザー、プログラム、またはプロセスにアクセス権を与えること

• リプレイの防止 - CIM Object Manager は、セッションキーを検証することにより、クライアントが別のクライアントのメッセージを取得しサーバーへ送信することを防ぐ。

  クライアントは、CIM Object Manager へ送信された別のクライアントの最後のメッセージをコピーすることはできません。CIM Object Manager は各メッセージについて MAC を使用し、ネゴシエートされたセッションキーに基づいて、クライアント-サーバーセッション内のすべての通信がそのセッションを開始しかつクライアント-サーバー認証に参加した同じクライアントとのものであることを保証します。

  MAC は、シングルメッセージの認証に使用されるセキュリティ情報を含むリモート呼び出しに追加されたトークンのパラメータです。これは、そのメッセージがそのセッションについてオリジナルに認証されたクライアントから来たものであり、そのメッセージが他のクライアントからリプレイされたものではないということを確認するために使用されます。WBEM では、このメカニズムのタイプは RMI メッセージに対して使用されます。ユーザー認証の交換でネゴシエートされたセッションキーは、メッセージの MAC トークン内のセキュリティ情報の暗号化に使用されます。

メッセージのデジタル署名は行われないことに注意してください。

認証

ユーザーがログインしユーザー名とパスワードを入力すると、クライアントはそのパスワードを使用して、サーバーが検証する暗号化されたダイジェストを生成します。ユーザーが認証されると、CIM Object Manager はクライアントセッションを設定します。その後のオペレーションはすべてセキュリティ保護されたそのクライアントセッション内で行われ、認証時にネゴシエートされたセッションキーを使用する MAC トークンが使用されます。

承認

ユーザーの ID が CIM Object Manager によって認証されると、その ID を使用して、アプリケーションまたはそのタスクの実行をそのユーザーに許可すべきかどうかを検証できます。CIM Object Manager は資格ベースの承認を行うことができるため、特権を持つユーザーは読み取り権と書き込み権を特定のユーザーに割り当てることができます。この承認は、既存の Solaris ユーザーアカウントに追加されます。