Sun Internet Administrator を使用すると、あらゆる ISP サービスをローカルに、またはネットワーク経由で安全に中央管理できます。Sun Internet Administrator は、認証された管理者からの要求に応じて各サービスの管理 GUI を呼び出します (要求されたサービスに管理 GUI がある場合)。必要に応じて、Sun Internet Administrator のコマンド行インタフェースも使用できます。
Sun Internet Administrator が提供するセキュリティ機能を次に示します。
管理者の認証。管理者が特定の管理 GUI にアクセスするには、正当なユーザー名とパスワードを入力する必要があります。
管理者のアクセス制御。ISP サービスごとにアクセス制御が行われます。たとえば、ネットワーク上の FTP サーバーの管理者が、ニュースサーバーの管理権も持っているとはかぎりません。ただし、コンソール管理者 (Sun Internet Administrator プロセスの管理者) は、Sun Internet Administrator が管理するすべてのサービスにアクセスできます。
中央監査。管理者による操作はすべてログに記録されるので、後で追跡してさまざまな問題の原因追及に利用できます。
あらゆるネットワークトラフィックに対するプライバシーと完全性の保護。オプションの SKIP ソフトウェアを使用して、Sun Internet Administrator への接続を保護することができます。また、HTTP トラフィックを保護するために SSL を使用することもできます。
Sun Internet Administrator は、2 階層と 3 階層の 2 種類のアーキテクチャのサービスをサポートします。上記のセキュリティ機能がすべて適用されるのは、3 階層アーキテクチャだけです。次の 4 種類のサービス UI がサポートされています。
3 階層のブラウザベースのアプリケーションには、Sun Internet Administrator が提供するセキュリティ上の利点がすべて適用されます。
2 階層のブラウザベースのアプリケーションには簡易サインオン機能は適用されませんが、Sun Internet Administrator から管理できます。SWS を使用して管理アプリケーションをサポートするアプリケーションの場合は、管理者認証を提供するように SWS を構成できます (構成方法については、第 7 章「既存サービスアプリケーションの統合」を参照してください)。2 階層アーキテクチャは、従来のアプリケーションをサポートするためのものです。
X ベースのアプリケーションには、3 階層アプリケーションと同様にすべてのセキュリティ機能が適用されます。
コマンド行から実行されるアプリケーション (スクリプト、プログラム、またはその両方) には、3 階層アプリケーションと同様にすべてのセキュリティ機能が適用されます。特定サービスに対してセキュリティ機能をいくつでも登録して Sun Internet Administrator から管理できます。その場合は、コマンド行プログラムのための Web インタフェースが構築されます。
ブラウザベースの 3 階層アプリケーションには、Sun Internet Administrator が提供するセキュリティ上の利点がすべて適用されます。
図 1-3 に示すように、管理者は次の手順でサービスの管理機能にアクセスします。
管理者は、ブラウザで特定の URL (Sun Internet Administrator の GUI メインページが入っている場所) を要求します。
クライアントブラウザに AWC がダウンロードされるので、管理対象とするサービスを選択します。
管理者のユーザー名とパスワードを要求するプロンプトが表示されます。このとき、コンソール GUI にアクセスできる UNIX アカウントを使用する必要はありません。Sun Internet Administrator の管理者情報は、ディレクトリサービスのレポジトリ (Sun Directory Services) が管理しているからです。この接続プロセスは、secure HTTP を使用して保護できます。
選択されたサービスは、そのサービスの ASCA の URL を要求し、それに対してサーバーエージェントの GUI がダウンロードされます。この時点で、サービスの管理プログラムに制御が渡されます。
以降のアクセスは、クライアントブラウザと、AWS 上にあるコンポーネントのサーバーエージェントの間で直接行われます。
AWS はディレクトリサービスに対する管理者認証を行い、管理者の要求をすべてログに記録します。管理者が適切なアクセス権を持っていれば、その要求を ASRA に渡します。
ASCA と ASRA の通信は、サービスの開発者が選択したプロトコルで行われます。この接続プロセスとその関連トラフィックは、適切な IP レベルのセキュリティ対策で保護できます。
ASRA も管理者による各操作を認証して記録します。ネットワーク通信を保護するために、SKIP を使用して IP レベルを暗号化できます。
Solaris for ISPs では、ASCA および ASRA モジュールがコマンド行プログラムと X ベースプログラムの両方に提供されています。アプリケーションを登録すると、Sun Internet Administrator はそれらのアプリケーションを自動的に使用します。
アプリケーションによっては、特に既存のサービスでは Sun Internet Administrator からアクセスするのに 2 階層アーキテクチャを使用する方が実用的なことがあります。このようなサービスは Sun Internet Administrator から管理できますが、セキュリティ上の利点のうち簡易サインオンとログ機能は使用できません。
図 1-4 に示すように、管理者は次の手順でサービスの管理機能にアクセスします。
管理者はブラウザで特定の URL (コンソールの GUI メインページが入っている場所) を要求します。
この手順は 3 階層アーキテクチャの場合と同じです。クライアントブラウザに AWC がダウンロードされるので、管理対象とするサービスを選択します。
選択されたサービスは、そのサービスの ASRA の URL を要求します。そのサービスの管理 GUI がブラウザベースでなければ、開発者が選択した別のプロトコルが使用されます。
以降のアクセスは、クライアントブラウザと、サービスの遠隔エージェントの間で直接行われます。この接続プロセスとその関連トラフィックは、適切な IP レベルのセキュリティ対策で保護されなければなりません。
2 階層アーキテクチャを使用するサービスは、簡易サインオン機能を利用できません。