WBEM のセキュリティ機構

WBEM は、そのデータへのセキュリティ保護されたアクセスを確保するために、次のようないくつかの機構を採用しています。

• 認証 – クライアントのユーザー ID を WBEM サーバーに対して指定し、続いて、そのユーザーの資格を指定することによって、そのクライアントがその特定のユーザーであることを示すプロセスです。

• 役割の引き受け – WBEM サーバーが認証を検査する際に Solaris の役割によるアクセス制御 (RBAC) の役割 ID が WBEM サーバーによって使用されることを認めるプロセスです。

• セキュリティ保護されたメッセージング – それぞれのクライアント要求メッセージにセキュリティ保護されたメッセージオーセンティケータを追加するプロセスです。このオーセンティケータにより、WBEM サーバーはメッセージの送信元を検査し、メッセージが WBEM サーバーに届くまでの間にメッセージが変更されなかったかどうかを判別できます。

• 承認 – 認証されたユーザーまたは役割 ID が、それぞれの WBEM メソッド呼び出しによって管理されている WBEM データへのアクセス権を許可されていることを確認するプロセスです。承認の管理には、Solaris Management Console のユーザーツールや、Sun WBEM User Manager を使用します。

• 監査 – WBEM サーバーによって実行された特定の操作の監査レコードを書き込むプロセスです。これらのレコードは、認証されたユーザーが WBEM サーバーシステム上の管理データに加えた変更を追跡します。

• ロギング – 特定のセキュリティ関連イベントを WBEM ログに書き込むことです。WBEM ログは、Solaris Management Console のログビューアを使って参照することができます。

ここに挙げたそれぞれの機構について、このあと詳しく説明します。

認証

クライアントアプリケーションが CIM Object Manager サーバーに接続するときには、クライアントのユーザー ID が、WBEM サーバー上の CIM Object Manager によって認証されなければなりません。ユーザーの WBEM クライアントは、Solaris ユーザー ID と、それに伴うログインパスワードを提供する必要があります。その ID および資格は、クライアントと WBEM サーバーの間のセキュリティ認証交換で使用されて、クライアントが、WBEM サーバーシステムへのログインを許可された有効な Solaris ユーザーであることが確認されます。

WBEM サーバーがユーザーの ID および資格を検証できない場合、ユーザーの ID が無効である場合、WBEM サーバーは NO_SUCH_PRINCIPAL エラーの入った CIM セキュリティ例外を返します。

WBEM サーバーがユーザーの ID および資格を検証できない場合、ユーザーのパスワードがそのユーザーの ID に対して無効である場合、WBEM サーバーは INVALID_CREDENTIAL エラーの入った CIM セキュリティ例外を返します。

役割の引き受け

役割 ID を引き受けられるのは、WBEM ユーザーが Remote Method Invocation (RMI) プロトコルを選択した場合だけです。役割の引き受けは、XML/HTTP プロトコルではサポートされません。

WBEM の Solaris 実装は、クライアントが WBEM サーバー上の CIM Object Manager によって認証された場合に、クライアントが Solaris の役割の ID を引き受ける機能をサポートします。WBEM サーバーが RBAC 承認を使用してアクセス権の承認を検査する時、WBEM サーバーは、ユーザー ID 自身に許可されたアクセス権ではなく、引き受けた役割に許可されたアクセス権を検査します。

RBAC の役割については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。

クライアントは、接続しようとするときに、Solaris のユーザー ID とパスワードに加えて、Solaris の役割 ID とパスワードを入力する必要があります。

WBEM サーバーが Solaris の役割 ID を検証できない場合、WBEM サーバーは、 NO_SUCH_ROLE エラーの入った CIM セキュリティ例外を返します。

引き受けた役割 ID に対して役割のパスワードが無効な場合、WBEM サーバーは、INVALID_CREDENTIAL エラーの入った CIM セキュリティ例外を返します。

役割 ID とパスワードがどちらも有効な場合でも、そのユーザーが役割を引き受けることを許可されていない場合は、WBEM サーバーは、 CANNOT_ASSUME_ROLE エラーの入った CIM セキュリティ例外を返します。

セキュリティ保護されたメッセージング

CIM RMI プロトコルでは、クライアントから WBEM サーバーへの各要求に、メッセージ内のデータパラメータから構築されたメッセージオーセンティケータが含まれています。さらに、一方向ダイジェストも作成され、認証交換の間に確立されたセッションキーもいっしょに作成されます。

WBEM サーバーは、このメッセージオーセンティケータを検証します。オーセンティケータは、認証された同じクライアントから要求が来たことを保証し、メッセージがサーバーまで通信される間に変更されたり再送信されたりしていないことを保証するものです。

メッセージが、変更または再送信されたものである場合、あるいは送信元のクライアントではないところで作成されたものである場合は、WBEM サーバーは、CHECKSUM_ERROR エラーの入った CIM セキュリティ例外を返します。さらに、WBEM サーバーは、ログメッセージを WBEM ログに書き込みます。

承認

WBEM サーバーが接続したあとは、WBEM サーバーは CIM クライアントとのそれ以降の操作におけるすべての承認検査について、認証されたユーザーまたは役割 ID を使用します。

WBEM は、次のものに基づく 2 種類の承認検査をサポートします。

• アクセス制御リスト (ACL)。これは、特定のネームスペースについて WBEM サーバーによって維持される

• RBAC 承認。これは、Solaris オペレーティング環境の一部として構成される

WBEM がどの承認検査機構を使用するかは、MOF クラスプロバイダがどのように実装されているかに応じて決まります。特定の MOF クラス操作について WBEM がどの承認検査機構を使用するかは、次のものに応じて決まります。

• WBEM が実行する操作

• MOF クラスの実装方法

Solaris_Acl1.0.mof で定義されているクラスは、WBEM の ACL ベースのセキュリティを実装します。WBEM の ACL ベースのセキュリティは、Solaris WBEM Services に対してデフォルト承認スキーマを提供し、また、特定の状況下では、CIM 操作の特定のセットに適用されます。ACL ベースのセキュリティは、Solaris WBEM Services によって提供される固有の機能です。

WBEM サーバー上の特定のネームスペースについて ACL を確立するには、Sun WBEM User Manager (wbemadmin) を使用します。Sun WBEM User Manager では、ネームスペースについての ACL にユーザー名または役割名を追加したり、各ユーザーに「読み取り」または「書き込み」アクセス権を割り当てたりできます。Sun WBEM User Manager については、「Sun WBEM User Manager を使ってアクセス制御を設定する」 および wbemadmin(1M) のマニュアルページを参照してください。

書き込みアクセス権のあるユーザーは、クラスのメタデータの変更、そのネームスペースにある MOF クラスのインスタンスの変更、およびインスタンスに対する呼び出しメソッドの発行が可能です。ローカル WBEM サーバーの root ユーザー ID には、いつでも、サーバー上のネームスペースすべてに対する書き込みアクセス権が許可されます。明示的な ACL 項目のない、すべての認証されたユーザーには、デフォルトで読み取りアクセス権が許可されます。

MOF クラスのメタデータのアクセスを含む操作 (たとえば、getClass) は、WBEM の ACL を使用します。これらの操作には、認証されたユーザーに、MOF クラスを含むネームスペースについての ACL によって許可されたアクセス権の検査が含まれます。ACL 項目に RBAC の役割を設定することもできますが、ACL 項目はいつもユーザー ID に対して検査され、役割 ID に対しては検査されません。つまり、ACL に役割名を設定することはできますが、CIM Object Manager は実行時にその役割名を検査しないということです。

MOF クラスのインスタンスが関係する操作には、WBEM ACL か RBAC 承認のいずれかの検査が含まれる可能性があります。

また、ユーザー、または役割 ID にアクセス権を許可して、プロバイダが RBAC 承認を使用している MOF クラスのインスタンスをそのユーザーがアクセスおよび変更できるようにすることもできます。これらのアクセス権を許可するには、Solaris Management Console のユーザーツールに含まれる権利ツールを使用します。ユーザーへのアクセス権の許可については、『Solaris のシステム管理 (セキュリティサービス)』の「権利プロファイルの作成または変更」を参照してください。

MOF クラスのインスタンスが WBEM の永続的なデータストアに格納されている場合、CIM Object Manager は、その MOF クラスを含むネームスペースについての WBEM ACL を検査します。MOF クラスプロバイダの実装がプロバイダのデータストアにアクセスする場合、または Solaris オペレーティング環境のシステムデータにアクセスする場合は、MOF クラスプロバイダの実装は、ほぼ必ず RBAC 承認検査を使用します。

一般に、MOF クラス定義にプロバイダ修飾子が含まれている場合、プロバイダの実装は通常、RBAC 承認検査を行います。MOF クラス定義にプロバイダ修飾子が含まれていない場合、CIM Object Manager は、次のことを行います。

• MOF クラスのインスタンスを WBEM の永続的なデータストアに格納する

• MOF クラスのネームスペースへのアクセスを制御する ACL を検査して、アクセスが許可されていることを確認する

監査

WBEM サーバーは、処理中に特定のイベントについて監査レコードを書き込みます。たとえば、クライアントの認証が成功または失敗したとき、およびユーザー情報を変更する操作が実行されたときにはいつでも、WBEM サーバーは監査レコードを書き込みます。

WBEM サーバーは、基本となる Solaris Basic Security Module (BSM) を使用して監査レコードを書き込みます。監査情報が確実に記録されるようにするには、WBEM サーバー上の Solaris オペレーティング環境で BSM の監査機構 (bsmconv) を有効にする必要があります。 bsmconv コマンドについては、bsmconv(1M) のマニュアルページを参照してください。

---

注 -

Trusted Solaris^TM を使用している場合は、BSM の監査機構を有効にする必要はありません。

---

ロギング

WBEM サーバーは、特定のセキュリティイベントについて WBEM ログにログレコードを書き込みます。たとえば、クライアントに対する認証されたセッションが確立されたときや、承認検査が失敗したときなどです。WBEM ログは、Solaris Management Console のログビューアで調べることができます。ログビューアについては、第 5 章「システムログデータの表示 (手順)」を参照してください。

セキュリティ関連のログイベントは、カテゴリが「セキュリティ (Security)」のログによって見分けることができます。カテゴリは、「カテゴリ (Category)」列に表示されます。セキュリティ関連のログメッセージだけを表示するには、ログビューアのログフィルタダイアログボックスで「セキュリティ (Security)」というカテゴリを選択します。ほとんどのセキュリティログメッセージには、クライアントのユーザー ID とクライアントホストの名前が含まれています。