第 14 章 サーバへのアクセスの制限

この章では、Administration Server および、Web サイト上のファイルやディレクトリへのアクセスを制限するさまざまな方法について説明します。たとえば、Administration Server では、マシン上にインストールされたすべてのサーバに対して完全なコントロールを持つ人や、1 つ以上のサーバへの部分的コントロールを持つ人を指定することができます。Administration Server 上でアクセス コントロールを使うには、まず「Distributed Administration」ページで 分散管理を有効にし、LDAP データベース内で管理グループを設定する必要があります。この章では、分散管理が既に設定済みであり、LDAP データベース内にユーザとグループが定義されていることを前提として説明します。

• アクセス コントロールとは?
• アクセス コントロールの仕組み
• Web サイトへのアクセスの制限
• アクセス コントロールの例
• Web パブリッシングのアクセス コントロール

• ユーザ グループ これは、サーバにアクセスする前に、ユーザにユーザ名とパスワードの入力を要求する方法です。サーバはクライアント証明書内の情報またはクライアント証明書そのものをディレクトリ サーバ エントリと比較します。この方法では、ディレクトリ サーバを使う必要があります。クライアント証明書を使う場合は、magnus.conf の AcceptTimeout の値を大きくする必要があります。
• ホスト IP これは、ユーザに特定のコンピュータから Web サーバにアクセスさせる方法です。Web サーバは、ホスト名または IP アドレスでコンピュータを識別します。この方法にディレクトリ サーバは不要です。

• ACL ユーザ キャッシュ時間の設定
• ユーザ グループ認証
• ホスト IP 認証
• アクセス コントロール ファイル

ノート サーバで SSL 暗号化が使われていない場合、エンド ユーザが入力するユーザ名とパスワードは暗号化されずにテキストでネットワークを介して転送されます。ネットワークパケットが誰かにインターセプトされ、Administration Server に送信中のユーザ名とパスワードが第三者に知られてしまう可能性があります。この理由から、ユーザ グループ認証は SSL 暗号化またはホスト IP認証、あるいはそれらの両方と共に使うのが最も効果的です。

• 証明書内の情報を ID の証明として使う。
• 証明書が LDAP ディレクトリ内に発行されている場合は、証明書を確認する。

1. ブラウザが証明書を送信すると、サーバはそれが認証済み CA からの証明書かどうかを確認します。そうでない場合、サーバはトランザクションを中止し、認証は失敗に終わります。
2. 証明書が認証済み CA からのものである場合、サーバは certmap.conf ファイルを使って証明書をユーザのエントリにマッピングします。証明書マップ ファイルの設定方法については、certmap.conf ファイルの使用を参照してください。
3. 証明書が適切にマッピングされると、次に Web サーバはそのユーザに対して指定されている ACL ルールを確認します。そのため、証明書が適切にマッピングされても、ACL によってユーザのアクセスが拒否されると、ルールによりアクセスが拒否されることがあります。

ノート SSL 認証メソッドだけが、certmap.conf ファイルへの修正を必要とします。 サーバへのすべての接続にクライアント認証を許可する方法では必要ありま せん。

クライアントが、クライアント認証を要求する SSL 認証されたリソースへのアクセスを得るには、クライアントはその Web サーバによって認証されている証明機関からの証明書をブラウザにインストールする必要があります。Web サーバの certmap.conf ファイルが、ブラウザ内のクライアントの証明書とディレクトリ サーバ エントリ内のクライアント証明書全体を比較するように設定されている場合は、ディレクトリ サーバに発行されたものと同じクライアント証明書が必要となることがあります。証明書内の特定の情報だけをディレクトリ サーバ内のエントリを比較するように certmap.conf ファイルを設定することもできます。たとえば、certmap.conf ファイルを設定して、サーバがブラウザの証明書内にあるユーザ ID と電子メール アドレスだけをディレクトリ サーバ エントリと比較することができます。このような場合、ユーザ ID と電子メール アドレスだけが一致すればアクセスできるので、クライアント証明書全体をディレクトリ サーバに発行する必要はありません。

ノート 特定のシステムに複数の人がアクセスを持つ場合があります。このため、ホスト IP 認証はユーザ グループ認証と一緒に使うとより効果的です。両方の認証メソッドを使った場合、エンド ユーザはアクセス前に特定のコンピュータからユーザ名とパスワードを入力しなければなりません。

AddLog fn="flex-log" name="access" iponly=1

ノート サーバ ユーザが Web Publisher を使って ACL を変更すると、ACL コンフィグレーション ファイルは変更され、変更を警告する JavaScript 通知が送信されます。

# The following "es-internal" rules protect files such
# as icons and images related to iPlanet Web Server.
# These "es-internal" rules should not be modified.

acl "es-internal";
allow (read, list, execute,info) user = "anyone";
deny (write, delete) user = "anyone";

# The following "default" rules apply to the entire document
# directory of iPlanet Web Server. In this example, the rules
# are set up so that "all" users in the directory server are
# allowed to read, execute, list, and get information.
# The "all" users are not allowed to write to or delete any files.
# All clients that accesses the document directory of the web
# server will be required to submit a username and password
# since this example is using the "basic" method of
# authentication. A client must be in the directory server
# to gain access to this default directory since "anyone"
# not in the directory server is denied, and "all" in the
# directory server are allowed.

acl "default";
authenticate (user,group) {
database = "default";
method = "basic";
};
deny (all)
(user = "anyone");
allow (read,execute,list,info)
(user = "all");

# The following rules deny access to the directory "web"
# to everyone not in the directory server and deny everyone
# in the directory server who is not in GroupB.
# Only the users in GroupB are allowed read, execute, list,
# and info permissions. GroupA can not gain access to the
# directory "web" even though (in the ACL rule below) they
# can access the directory "my_stuff". Furthermore, members
# of GroupB can not write or delete files.

acl "path=/export/user/990628.1/docs/my_stuff/web/";
authenticate (user,group) {
database = "default";
method = "basic";
};
deny (all)
(user = "anyone");

allow (read,execute,list,info)
(group = "GroupB");

# The following rule denies everyone not in the directory
# server and denies everyone in the directory server except
# user with the ID of "SpecificMemberOfGroupB". The ACL rule
# in this setting also has a requirement that the user
# connect from a specific IP address. The IP address setting
# in the rule is optional; it has been added to for extra
# security. Also, this ACl rule has a Customized prompt
# of "Presentation Owner". This Customized prompt appears
# in the username and password dialog box in the client's
# browser.

acl "path=/export/user/990628.1/docs/my_stuff/web/presentation.html";
authenticate (user,group) {
database = "default";
method = "basic";
prompt = "Presentation Owner";
};
deny (all)
(user = "anyone" or group = "my_group");
allow (all)
(user = "SpecificMemberOfGroupB") and
(ip = "208.12.54.76");

# The following ACL rule denies everyone not in the directory
# server and everyone in the directory server except for
# GroupA and GroupB access to the directory "my_stuff"

acl "path=/export/user/990628.1/docs/my_stuff/";
authenticate (user,group) {
database = "default";
method = "basic";
};
deny (all)
(user = "anyone");
allow (read,execute,list,info)
(group = "GroupA,GroupB");

次の URL http://server_name/my_stuff/web/presentation.html が要求されると、サーバはまず、サーバ全体のアクセス コントロールを確認します。サーバ全体の ACL が続行に設定してある場合、サーバはそのファイル タイプ (*.html) の ACL があるかどうかを確認します。次に、ディレクトリ my_stuff の ACL を確認します。それが存在する場合は、その ACE を確認し、次のディレクトリに進みます。サーバは、続行しないという ACL に到達するまで、または要求された URL (このケースでは、ファイル presentation.html) の最後の ACL に到達するまでパスをトラバースし続けます。

• Administration Server
• Server Manager

ノート Administration Server を通じてすべてのサーバのアクセス コントロールをグローバルに設定することも、またはサーバ マネージャを通じて特定のサーバ インスタンス内のリソースのアクセス コントロールを設定することもできます。この節では、サーバ マネージャを使って特定のサーバ インスタンス内にアクセス コントロールを設定する方法について説明します。Administration Server を使ってアクセス コントロールをグローバルに設定する方法については、サーバのアクセスの制限を参照してください。

1. サーバ マネージャから [Preferences] タブを選択します。
2. [Restrict Access] リンクをクリックします。

「Access Control List Management」ページが表示されます。このページは 3 つの部分から構成されています。

• [Pick a resource] を使うと、アクセスを制限するファイルまたはディレクトリのワイルド カード パターンを指定 (*.html など) したり、制限するファイルやディレクトリ名を選択したりすることができます。[Browse] ボタンを使ってファイルやディレクトリを探すこともできます。
• [Pick an existing ACL] には、有効にした ACL がすべて一覧表示されます。ACL が存在しても有効にしていなければ、このリストには表示されません。

ACL ファイルからすべての ACL ルールを削除しないでください。サーバ の起動には少なくとも 1 つの ACL ファイルが必要であり、ACL ファイル には少なくとも 1 つの ACL ルールが必要です。ACL ファイル内のすべて の ACL ルールを削除してからサーバを再起動しようとすると、シンタッ クス エラーが表示されます。

• [Type in the ACL name] を使うと、名前の付いた ACL を作成することができます。名前の付いた ACL をリソースに適用する場合、手作業で obj.conf ファイルを編集する必要があるので、このオプションは、ACL ファイルと obj.conf コンフィグレーション ファイルについてよく理解している場合のみ使います。

図 14.2    「Restrict Access」ページは 3 つの部分から構成されています。


3. [Pick a resource] で、制御するサーバ (リソース) 部分を指定します。

たとえば、[Entire Server] を選択してサーバ全体のアクセス コントロールを 設定することができます。ドロップ ダウン リストには、サーバ ルートに 定義された各 ACL リソースのエントリがあります。

表 14.1は、アクセス コントロールに使用できる一般的なリソース例です。

4. [Edit Access Control] をクリックします。

ページは、2 つのフレームに分割され、そこでアクセス コントロール ルールを設定します。選択したリソースにアクセス コントロールが既に ある場合は、そのルールが上のフレームに表示されます。iPlanet Web Administration Server の ACL は、デフォルトで 2 つの編集不可能な拒否ス テートメントで始まります。次の図はページの構成部分の簡単な解説を 示しています。

図 14.3    ACL ページのリンクをクリックすると追加情報が下のフレーム (図には示されていません) に表示 されます。



5. [New Line] をクリックします。

デフォルト ACL ルールが表の下の行に追加されます。左列にある上下の 矢印を使ってルールを移動することができます。

6. [Deny] をクリックして、ルールに適用するアクションを選択します。

下のフレームで、次の手順で指定されたユーザ、グループ、ホストに対す るアクセスの拒否または許可を指定することができます。オプションを選 択して、[Update] をクリックします。

7. [Users/Groups] カラムにある [anyone] をクリックして、ユーザグループ認証を指定します。

下のフレームでは、ユーザグループ認証を設定することができます。デフォ ルトでは認証はありません。つまりサーバ リソースに誰でもアクセスでき るということです。オプションを選択して、[Update] をクリックします。

8. [anyplace] をクリックして、ルールに追加するコンピュータを指定します。

下のフレームに、許可または拒否するホスト名や IP アドレスのワイルド カード パターンを入力することができます。オプションを選択して、 [Update] をクリックします。

9. [all] をクリックして、ルールに追加するアクセス権を指定します。下のフレームでアクセス権を選択し、[Update] をクリックします。
10. 制限するプログラムを指定します。サーバ マネージャでは、プログラムとは選択したサーバのフォームです。たとえば、[All Program] ラジオ ボタンをチェックして、管理サーバを設定するすべてのフォームへのアクセスを制限することができます。1 つまたは 2 つのフォームのセットへのアクセスを制限する場合は、ドロップ ダウン リストからカテゴリを選択します。あるカテゴリ内の 1 つのフォームへのアクセスを制限するには、[Program Items] フィールドにフォーム名を入力します。たとえば、アクセス コントロール フォームへのアクセスを制限するには、[Program Items] フィールドに「distacl」と入力します。詳細については、プログラムへのアクセスを参照してください。

[Update] をクリックして、編集中の行のルールにプログラム オプションを 追加します。

11. ACL ファイルについてよく理解している場合は、[Extra] のカラムにある [X] をクリックしてカスタマイズした ACL エントリを入力することもできます。

この領域は、アクセス コントロール API を使って ACL をカスタマイズす る場合に便利です。

12. チェーン内でアクセス コントロール ルールを続行する場合は、[Continue] を選択します。

これは、ユーザにアクセスを許可するかどうかをサーバが決める前に次の 行が評価されることを示します。1 つのアクセス コントロール エントリ に複数行を作成する場合は、最も一般的な制限から最も特有なものへと作 成するのが最適です。

13. 必要な各ルールについて手順 5 〜11 を繰り返します。

リクエストが拒否されたときに、ユーザの他の URL へのアクセスも制限 する場合は、[Response when denied] をチェックします。リンクをクリッ クしてリダイレクションに使う URL を指定します。

14. [Submit] をクリックして、ACL にファイルに新しいアクセス コントロール ルールを保存します。

[Revert] をクリックすると、2 つのフレームが入ったページを開いてから それまでの間にルールに対して行われた変更がすべて削除されます。編集 内容は復元できないので、[Revert] を使う際には注意が必要です。ほとん どのケースでは、個々のルールの行を削除する方が安全です。

• 許可は、ユーザまたはシステムが、要求されたリソースにアクセスできることを意味します。
• 拒否はユーザまたはシステムが、要求されたリソースにアクセスできないことを意味します。

サーバは ACE のリストを検索してアクセス パーミッションを決めます。たとえば、通常最初の ACE は全員を拒否するものです。最初の ACE が [Continue] に設定されていれば、サーバはリスト内の 2 番目の ACE を確認します ([Continue] がチェックされていないと、全員に対してそのリソースへのアクセスが拒否されます)。2 番目のエントリが一致すると、次の ACE が使われます。一致しない ACE に到達するか、または一致しても続行しないように設定されている ACE に到達するまで、サーバは続行します。一致する最後の ACE によって、アクセスが拒否されるか許可されるかが決まります。たとえば、図 14.4では、データベース内のユーザはファイルを表示 (読み込みアクセス) することができますが、サーバにファイルを発行するには "pubs" グループに属していなければなりません。

• [Anyone (No Authentication)] はデフォルトであり、ユーザ名やパスワードを入力する必要がなく、誰でもリソースにアクセスできることを意味しています。しかし、ホスト名や IP アドレスなどの他の設定に基づいてユーザのアクセスが拒否されることもあります。Administration Server では、これは分散管理で指定した管理者グループ内の人であれば誰でもページにアクセスできることを意味しています。

• [All in the authentication database] を使うと、データベース内にエントリがあるユーザを照合します。このオプションを使うには、[Authenticated people only] もチェックする必要があります。Administration Server では、指定するユーザは分散管理で指定した "管理者" グループにも属していなければなりません。
• [Only the following people] を使うと、照合する特定のユーザやグループを指定することができます。エントリをカンマで区切り、個々のユーザやユーザのグループを一覧表示します。または、ワイルドカード パターンを入力することもできます。このオプションを使うには、[Authenticated people only] もチェックする必要があります。

• [Group] は、指定されたグループ内のすべてのユーザを照合します。Administration Server では、指定するグループ内のユーザは、分散管理で指定した "管理者" グループにも属していなければなりません。
• [User] は、指定された個々のユーザを照合します。

• [Prompt for authentication] を使うと、認証ダイアログ ボックスに表示されるメッセージ テキストを指定することができます。このテキストを使って、ユーザが入力する必要のある内容について説明することができます。オペレーティング システムによっては、ユーザに対して表示されるのは最初の 40 文字程度だけであることがあります。Netscape Navigator と Netscape Communicator は、ユーザ名とパスワードをキャッシュし、それをプロンプト テキストに関連付けます。つまり、ユーザが同じプロンプトがある領域 (ファイルやディレクトリ) にアクセスした場合、同じユーザ名やパスワードを再入力する必要がないということです。逆に、さまざまな領域で毎回認証を行う場合は、そのリソースの ACL のプロンプトを変更しなければなりません。

• [Authentication Methods] は、サーバがクライアントから認証情報を取得する際に使う方法を指定します。

• [Default] は、obj.conf ファイル内で指定したデフォルト値、または obj.conf に設定がない場合は [Basic] を使います。[Default] をチェックすると、ACL ルールは ACL ファイル内で方法を指定しません。obj.conf ファイルで 1 行編集するだけですべての ACL の方法を簡単に変更できるので、デフォルトは最適な選択です。
• [Basic] は、HTTP メソッドを使ってクライアントから認証情報を取得します。サーバに対して暗号化がオンになっている場合に限り、ユーザ名とパスワードが暗号化されて送信されます。


• [SSL] は、クライアント認証を使ってユーザを認証します。この方法を使う場合、サーバに対して SSL がオンになっていなければなりません。暗号化がオンになっていれば、基本と SSL メソッドを組み合わせて使用できます。


• [Other] は、アクセス コントロール API を使ってユーザが作成したカスタム方法を使います。

• [Authentication Database] を使うと、サーバがユーザの認証に使うデータベースを選択することができます。デフォルト設定では、サーバは LDAP ディレクトリ内のユーザとグループを検索します。しかし、個々の ACL を設定して別のデータベースを使うように設定することもできます。この場合、まず server_root/userdb/dbswitch.conf ファイル内で別のデータベースと LDAP ディレクトリを指定し、次にドロップ ダウン リストから ACL で使うデータベースを選択します。アクセス コントロール API を使ってカスタム データベース (Oracle や Informix データベースなど) を使う場合、[User/Group] ウィンドウの [Other] フィールドにデータベース名を入力します。

• [Read] アクセスを使うと、ユーザはファイルを表示することができます。このアクセス権には、HTTP メソッドの GET、HEAD、POST、INDEX が含まれます。
• [Write] アクセスを使うと、ユーザはファイルを変更または削除することができます。書き込みアクセスには、HTTP メソッドの PUT、DELETE、MKDIR、RMDIR、MOVE が含まれます。ファイルを削除するには、ユーザは書き込み権限と削除権限の両方を持っていなければなりません。
• [Execute] アクセスは、CGI プログラム、Java applet、エージェントのようなサーバサイド アプリケーションに該当します。
• [Delete] アクセスは、ユーザが書き込みアクセスも併せ持っていれば、ファイルやディレクトリを削除できることを意味しています。
• [List] アクセスは、ユーザがディレクトリ情報を取得できることを意味しています。つまり、ユーザはそのディレクトリ内のファイルのリストを取得できるということです。これは、Web Publisher や index.html ファイルを含まないディレクトリに該当します。
• [Info] アクセスは、ユーザがヘッダ (http_head メソッド) を取得できることを意味しています。これは主に Web Publisher によって使われます。

1. 管理サーバから、[Global Settings] タブを選択します。
2. [Restrict Access] を選択します。
3. ドロップダウン リストから、管理アクセスを制限するサーバを選択します。管理サーバには、"https-admserv" というラベルが付いています。その他のサーバには、そのタイプとサーバ ID のラベルが付いています (https-mozilla など)。

制限するサーバを選択すると、サーバ マネージャ ページを表示できる人 や、その人たちがサーバの設定に使用できるページが制限されます。たと えば、何人かの管理者に、管理サーバの [Users & Groups] 部分の設定を許 可し、[Global Settings] へのアクセスを許可しないようにすることができま す。

4. [Edit ACL] をクリックします。2 つのフレームがあるアクセス コントロールページが表示されます。
5. 各 ACL は 2 つの拒否行から始まります (デフォルト設定)。1 つは分散管理に設定された "管理者" グループ内のユーザだけにアクセスを限定するものと、もう 1 つはすべてのユーザのアクセスを制限するものです。これらの行のいずれかを変更する場合は、手作業で ACL ファイルを編集する必要があります。 [New Line] をクリックして、ACL にルールを追加します。作成される各 ルールは、サーバへのアクセスを許可します。特定してユーザにアクセス を許可することにより、アクセスを許可したくないユーザにアクセスを許 可してしまう危険性が減少します。
6. このアクセス コントロール ルールに適用するユーザ、グループ、ホスト、IP アドレスを選択します。
7. デフォルトでは、管理者はサーバのすべてのプログラムに対するアクセス権を持ちます。上のフレームの、[Programs] の [All] をクリックします。下のフレームに、選択されたサーバ タイプのプログラムが一覧表示されます。
8. [Only the following] を選択し、ルールに適用するプログラム グループを選択します。複数のグループを選択するには、Ctrl キーを押しながら必要なグループをクリックします。

一覧表示されているプログラム グループは、選択されたサーバ タイプの サーバ マネージャの上のフレーム内にあるボタンと同じ名前です。たと えば、管理サーバでは、[Preferences]、[Global Settings]、などのラベルが付 いたタブがあります。管理者が管理サーバにアクセスする場合、サーバは 管理者のユーザ名、ホスト、IP を使ってどのページが表示されるべきかを 決めます。アクセスできるページが 1、2 ページのみの場合、そのページ だけが表示されます。

9. タブ内の特定のページへのアクセスを制御することができます。[Program Items] フィールドにページ名を入力します。
ページの名前を判断するには、Administration Server の左側のフレームのリンク上にポインタを置き、ブラウザの下端にあるステータス バーに表示されるテキストを参照します。最後の %2b の後ろにある、最後の文字列がそのページの名前です。




たとえば、Netscape Directory Server を管理する人が 1 人いて、その人に 「Configure Directory Service」ページのみのアクセス権を持たせるとします。 この場合、それに適用するルールを設定し (ホスト、IP など)、[Program Items] フィールドに「dsconfig」と入力します。

10. [Update] をクリックし、[Submit] をクリックしてアクセス コントロール ルールを保存します。

有効なシンタックスと ACL ファイルの詳細については、ACL ファイルのシンタックスとobj.conf での ACL ファイルの参照を参照してください。

ノート このアクセス コントロールは、分散管理に設定された管理者グループ内にユーザが属するかどうかを確認するために追加された機能です。Administration Server は、まずユーザ (スーパーユーザ以外) が管理者グループに属しているかどうかを確認し、次にアクセス コントロール ルールを評価します。

1. 「ACL」ページで [Response when denied] リンクをクリックします。
2. 下のフレームで [Respond with the following file] ラジオ ボタンをチェックします。
3. アクセスが拒否された場合にユーザに送信する、サーバのドキュメント ルートにあるテキストまたは HTML ファイルへの URL か URI をテキスト フィールドに入力します。サーバはこのファイルへの読み込みアクセスを持っていなければならないので、ファイルをドキュメント ルートに置くことをお勧めします。

ファイルに他のファイルやイメージへの参照がないようにします。これら は送信されません。

4. [Update] をクリックします。

レスポンス ファイルを受信するユーザがそのファイルへのアクセス権を持 つようにします。レスポンス ファイルにアクセス コントロールがあり、 ユーザのリソースとレスポンス ファイルの両方のファイルへのアクセスが 拒否されると、サーバによりデフォルト拒否レスポンスが送信されます。

5. 上のフレームの [Submit] をクリックして、アクセス コントロール ルールを送信するのを忘れないようにします。

• サーバ全体へのアクセスの制限

• ディレクトリ (パス) へのアクセスの制限
• URI (パス) へのアクセスの制限
• あるファイル タイプへのアクセスの制限
• 時刻に基づいたアクセスの制限

1. iPlanet Web Server で [Server Preferences] を選択します。
2. [Restrict Access] リンクをクリックします。

「Access Control List Management」ページが表示されます。

3. [Pick a Resource] セクションで、[Editing] ドロップダウン リストから [The entire server] を選択し、[Edit Access Control] をクリックします。

フレームが 2 つあるページが表示されます。

4. [New Line] ボタンをクリックします。

サーバへのすべてのアクセスを拒否するデフォルトのルールが表示され ます。通常は、まずサーバへのすべてのアクセスを拒否し、次にユーザ、 グループ、およびコンピュータに特定のアクセス権を与えます。しかし、 ユーザの小さなグループに対してのみアクセスを拒否する場合は、この一 般手順を変更します。[New Line] ボタンをクリックして、2 番目のルール を作成します。

5. 2 番目のルールで [Deny] リンクをクリックします。表示される下のフレームで [Allow] をチェックし、[Update] をクリックします。
6. 2 番目のルールで [anyone] リンクをクリックします。下のフレームに、サーバへのアクセスを許可するグループを入力します。

この例では、[Group] フィールドに「employees」と入力します。 [Authenticated people only] と [Only the following people] の 2 つのオプショ ンが自動的にチェックされます。[Update] をクリックします。

7. 2 番目のルールで [anyplace] リンクをクリックします。下のフレームに、許可するコンピュータのホスト名のワイルドカード パターンを入力します。

たとえば、[Host Names] フィールドに「*.emp.mozilla.com」と入力し ます。[Update] をクリックします。

8. 上のフレームで [Continue] の選択を解除し、[Submit] をクリックします。

フレームは図 14.5のようになります。

9. 変更を送信します。

   図 14.5    サーバ全体へのアクセスを制限する

   

# File automatically written
#
# You may edit this file by hand
#

version 3.0;
acl "default";
authenticate (user,group) {
prompt = "Web Server"
}
deny (all)
user = "anyone";
allow absolute (all)
(group = "employees") and
(dns = "*.emp.netscape.com");

1. サーバ マネージャで、[Server Preferences] を選択します。
2. [Restrict Access] リンクをクリックします。

「Access Control List Management」ページが表示されます。

3. [Pick a Resource] の部分で [Browse] ボタンをクリックします。

表示されるページで、制限するディレクトリのリンクを制限します。この ページに一覧表示されるディレクトリは、サーバのドキュメント ルート にあります。リンクをクリックすると、[Editing] ドロップダウン リスト にディレクトリへの絶対パスが表示されます。

サーバ ルートにあるすべてのファイルを表示するには、[Options] をク リックして、[List files as well as directories] とラベルの付いたチェック ボックスをオンにし、[OK] をクリックします。

4. [Edit Access Control] をクリックします。

フレームが 2 つあるページが表示されます。

5. [New Line] を 2 回クリックして、ルールを 2 つ作成します。

ディレクトリへのすべてのアクセスを拒否する最初のルールのデフォル ト値を編集しないでください。2 番目のルールを編集し、"executives" グルー プへの読み込みアクセスを許可します。

6. 2 番目のルールで [Deny] をクリックします。表示される下のフレームで [Allow] をチェックし、[Update] をクリックします。
7. 2 番目のルールで [anyone] をクリックします。下のフレームに、サーバへのアクセスを許可するグループを入力します。たとえば、[Group] フィールドに「executives」と入力します。[Update] をクリックします。
8. 上のフレームで [all] をクリックします。[Write] と [Delete] アクセス権の選択を解除します。

これは、executives グループのユーザはファイルの追加および削除はできな いが参照することはでき、またディレクトリ内でアプリケーションを実行 できることを示しています。[Update] をクリックします。

9. [New Line] をクリックして、"ceo" ユーザのルールを作成します。3 番目のルールに [Allow] をチェックします。
10. [anyone] をクリックします。下のフレームで、[User] フィールドに「ceo」と入力します。[Update] をクリックします。
11. 2 番目と 3 番目のルールで、[Continue] の選択を解除します。

これは、サーバが手順 3 で指定されたディレクトリ下にあるディレクトリ やファイルの ACL を無視することを意味しています。フレームは図 14.6のようになります。

図 14.6    サーバ内のパスへのアクセスを制限する

12. [Submit] をクリックして保存し、変更を適用します。

acl "path=/usr/netscape/server4/nes/docs/senior-staff/";
deny (all)
user = "anyone";
allow absolute (read,execute,list)
group = "executives";
allow absolute (all)
user = "ceo";

1. サーバ マネージャで、[Server Preferences] を選択します。
2. [Restrict Access] リンクをクリックします。

「Access Control List Management」ページが表示されます。

3. [Type in the ACL name] という部分に、制御する URI を入力します。たとえば、「uri=/my_directory」と入力します。
4. [Edit Access Control] をクリックします。

フレームが 2 つあるページが表示されます。

5. [New Line] をクリックして、すべてのユーザに読み込みアクセスを許可する最初のルールを作成します。
6. [Deny] リンクをクリックします。表示される下のフレームで [Allow] をチェックし、[Update] をクリックします。
7. 上のフレームで [all] リンクをクリックします。[Write] と [Delete] アクセス権の選択を解除します。

これは、ユーザはファイルを追加したり削除できないが、参照することは でき、またディレクトリ内でアプリケーションを実行できることを示して います。[Update] をクリックします。

8. [New Line] をクリックしてディレクトリの所有者のルールを作成します。2 番目のルールに [Allow] をチェックします。
9. [anyone] をクリックします。下のフレームで、[User] フィールドに「me」と入力します。[Update] をクリックします。
10. 1 番目と 2 番目のルールで、[Continue] の選択を解除します。

これは、サーバが手順3で指定された URI 下にある、他の URI、ディレク トリ、ファイルの ACL を無視することを意味しています。フレームは図 14.7のようになります。

図 14.7    ドキュメント ルート内の URI (パス) へのアクセスを制限する

11. [Submit] をクリックして保存し、変更を適用します。

acl "uri=/my_directory";
allow absolute (read,execute,list,info)
user = "anyone";
allow absolute (all)
user = "me";

1. サーバ マネージャで [Server Preferences] を選択します。
2. [Restrict Access] をクリックします。

「Access Control List Management」ページが表示されます。

3. [Pick a resource] セクションで、[Wildcard] をクリックします。表示されるプロンプトに「*.cgi」と入力し、[OK] をクリックします。

このワイルドカード パターンは、拡張子 .cgi のファイルやディレクトリ を含むあらゆるリクエストに一致します。

4. [Edit Access Control] をクリックします。

フレームが 2 つあるページが表示されます。

5. [New Line] をクリックして、すべてのユーザに読み込みアクセスを許可する最初のルールを作成します。
6. [Deny] をクリックします。表示される下のフレームで [Allow] をクリックし、[Update] をクリックします。
7. 上のフレームで [all] をクリックします。[Write] と [Delete] アクセス権の選択を解除します。

これは、ユーザが拡張子 .cgi のファイルやディレクトリを追加したり削除 したりすることができないことを意味します。[Update] をクリックします。

8. [New Line] をクリックして、"programmers" グループに書き込みおよび削除アクセスを許可するルールを作成します。2 番目のルールに [Allow] をチェックします。
9. [anyone] をクリックします。下のフレームで、[Group] フィールドに「programmers」と入力します。[Update] をクリックします。

フレームは図 14.8のようになります。

図 14.8    あるファイル タイプへのアクセスを制限する (このケースでは、拡張子が .cgi のファイル)



10. [Submit] をクリックして保存し、変更を適用します。

1. obj.conf 内の Pathcheck 関数。たとえば、これはファイルまたはディレクトリのワイルドカード パターンであることがあります。ACL ファイルのエントリは、次のように表示されます。 acl "*.cgi";
2. URI。たとえば、ドキュメント ルートに相対するパス。ACL ファイルのエントリは、次のように表示されます。 acl "uri=/my_directory";
3. パス名。たとえば、ファイルやディレクトリへの絶対パス。ACL ファイルのエントリは、次のように表示されます。 acl "path=d:\netscape\suitespot\docroot1\sales/";

acl "*.cgi";
allow (read,execute,list,info)
user = "anyone";
allow (all)
group = "programmers";

1. サーバ マネージャで、[Server Preferences] を選択します。
2. [Restrict Access] をクリックします。
3. [Pick a Resource] セクションで、[Editing] ドロップダウン リストから [The entire server] を選択します (どのリソースを選択してもかまいません)。[Edit Access Control] をクリックします。

フレームが 2 つあるページが表示されます。

4. [New Line] ボタンをクリックします。
5. [Deny] リンクをクリックします。表示される下のフレームで [Allow] をクリックし、[Update] をクリックします。
6. 上のフレームで [all] リンクをクリックします。[Write] と [Delete] アクセス権の選択を解除します。

これは、ユーザがファイルまたはディレクトリを追加、更新、削除する場 合に、このルールは適用されず、サーバは一致する別のルールを探すとい うことです。[Update] をクリックします。

7. [New Line] をクリックし、書き込みおよび削除メソッドを制限するルールを作成します。2 番目のルールに [Allow] をチェックします。
8. [X] リンクをクリックして、カスタマイズされた式を作成します。下のフレームに、次の行を入力します。

user = "anyone" and
dayofweek = "sat,sun" or
(timeofday >= 1800 and
timeofday <= 600)

エラーが発生するとテキストを再入力しなければならないので、テキスト全体を選択してメモリにコピーしておくと便利です。[Update] をクリックします。カスタマイズされた式を作成したので、上のフレームの [Users/Groups] と [From Host] フィールドに [Unrecognized expressions] と表示され ます。

9. [Submit] をクリックします。カスタム式で何かエラーがあった場合は、 JavaScript 警告が表示されます。エラーを修正し、再度 [Submit] をクリックします。

acl "uri=/publisher/";
allow (read, execute, list, info) user = anyone;
allow (write, delete) user = owner;

ノート Unix/Linux では、Web パブリッシング ユーザにディレクトリへドキュメント を発行させたい場合は、そのユーザにそのディレクトリへの書き込みアクセ ス権を与える Unix/Linux ファイル パーミッションを設定する必要がありま す。また、発行して欲しくないディレクトリへの書き込みパーミッションを 無効にする必要もあります。

Web Publisher には、広範囲にわたる有効なサーバ ユーザのカテゴリに制限された多数のオペレーションがあります。エージェント サービスのなどの多くの ACL ルールは、単にユーザがサーバに対して有効であることを要求します。有効なユーザとはつまり、サーバのデータベース内に存在するユーザです。