セキュリティー上の推奨事項

この節では、Sun Management Center のアクセス、サーバーコンポーネント、エージェントコンポーネント、セキュリティーキーなどに関連してセキュリティー上の推奨事項について説明します。

ユーザー、グループ、および役割の概要

Sun Management Center のユーザーとユーザーグループをセットアップする前に、予想される管理作業の種類について理解する必要があります。これは、それらの作業を適切なユーザークラスに割り当てるためです。ユーザーグループと役割を念入りに計画することで、構成を適切に管理するとともに、管理情報やシステムリソースのデータ整合性とセキュリティーを実現しやすくなります。

あらかじめマスターアクセスファイル /var/opt/SUNWsymon/cfg/esusers で明示的に識別されていないかぎり、どのユーザーも Sun Management Center にアクセスすることはできません。Sun Management Center に対するアクセス権を付与するには、ユーザー名を /var/opt/SUNWsymon/cfg/esusers に追加します。追加されたユーザーは、そのユーザー名とパスワードを使用して Sun Management Center にログインできます。

ユーザーがログインすると、Sun Management Center は PAM に基づく認証を使用してユーザーを認証します。すなわち、次に示す機能上の役割に応じてアクセスを制御し、ユーザー権限を決定します。

• Domain Administrators (ドメイン管理者) – この役割は、最高レベルの役割です。サーバーコンテキスト内に最上位のドメインを作成したり、それらのドメイン内のほかの Sun Management Center ユーザーに権限を割り当てたりすることをメンバーに許可します。ドメイン管理者は、特定のドメインを作成し、続いてそれらのドメインにユーザー権限を割り当てることによって特定のトポロジ環境のためのカスタマイズ構成を確立できます。esdomadm UNIX ユーザーグループのメンバーである場合、そのユーザーはドメイン管理者とみなされます。

• Administrator (管理者) – この役割は、トポロジシステムの領域を超えるあらゆるオペレーションに対する管理用の役割です。管理者は、モジュールの読み込み、管理対象オブジェクトやデータプロパティーの構成といった特権的な作業を実行できます。管理者は、エージェントレベルとモジュールレベルでアクセス制御を指定することもできます。このような制御が可能なことから、この役割はエンタイトルメント (権限付与) ポリシーを確立し維持する手段となります。esadm UNIX ユーザーグループのメンバーである場合、そのユーザーは管理者とみなされます。

• Operators (オペレータ) –この役割を持つシステムユーザーは、独自のドメインとトポロジコンテナを構成することができます。また、データ収集やアラームに関連して管理対象オブジェクトの設定を行なったり、管理情報を確認したりもできます。オペレータは管理モジュールの有効化および無効化も行えますが、デフォルトではモジュールの読み込みとアクセス制御権の変更は行えません。このようなことから、オペレータは、製品を効率良く使用したり処理を微調整したりすることはできても、主要な構成やアーキテクチャー上の変更はできないユーザークラスだと言えます。esops UNIX ユーザーグループのメンバーである場合、そのユーザーはオペレータとみなされます。

• General user (一般ユーザー) – この役割は、前述の 3 つのグループに明示的に属していないユーザーのためのものです。一般ユーザーは広範な権限が与えられることがなく、デフォルトでは管理情報の表示と、アラームの確認応答ができるだけです。一般ユーザーの役割は、問題の特定、修復、および引き継ぎを主要目標とする第一線のサポートに適しています。

大規模組織では、Sun Management Center セキュリティーの役割が既存のシステム管理機能やサポート機能に直接割り当てられます。中小の組織では、企業職分と製品の役割の区分がさほど明瞭ではないためにプロセスが入り組んだものとなることがあります。場合によっては、1 人のユーザーにすべての論理の役割を割り当てるという方法が認められることもあります。

権限の指定は柔軟に行え、Sun Management Center の 4 つのセキュリティーの役割に限定する必要はありません。

Sun Management Center 権限は、ドメイン、トポロジコンテナ、エージェント、およびモジュールの各レベルで明示的に指定できます。権限指定では、任意の UNIX ユーザーまたは UNIX グループを基準とし、前述のグループを慣例的に使用するだけに留めることができます。つまり、機能の役割を割り当てる際に Sun Management Center 権限グループに対して既存のアカウント構成を使用できます。権限を割り当てる場合に明示的なユーザーを指定することはお勧めできませんが、UNIX グループがすでに確立されている環境では UNIX グループを使用すると便利な場合があります。

セキュリティーの役割、グループ、およびユーザーの詳細は、「ユーザーのセットアップ」および Chapter 18, 「Sun Management Center Security,」 in 『Sun Management Center 3.6.1 User’s Guide』を参照してください。

Sun Management Center の内部セキュリティー

ここでは、Sun Management Center コンポーネント間で使用されるセキュリティープロセスについて説明します。

サーバーとエージェント間のセキュリティー

Sun Management Center サーバーとその管理対象ノード間の通信は、主に業界標準の SNMP (Simple Network Management Protocol) version 2 を使用し、User Security モデル SNMP v2usec を採用して行われます。SNMPv2 メカニズムは、サーバーレイヤーからエージェント側のオペレーションに対してユーザー証明 (user credential) を割り当てるのに最適です。SNMPv2 は、アクセス制御ポリシーの回避を不可能にするための主要なメカニズムです。

Sun Management Center は、コミュニティーベースのセキュリティーを使用した SNMP v1 と SNMP v2 もサポートします。セキュリティーの観点からはそれほど堅固ではありませんが、ほかのデバイスやほかの管理プラットフォームとの統合のためには SNMP v1 と v2 のサポートが重要な意味を持ちます。これらのメカニズムの使用が望ましくない環境では、アクセス制御指定メカニズムによって SNMP v1/v2 プロトコルを使用したプロセスへのアクセスを制限または 禁止できます。Sun Management Center エージェントはまた、Sun 以外のアプリケーションからの SNMPv3 照会を認識して、応答することもできます。

データストリーミングを要する場合があるカスタマイズされた処理の場合は、プローブメカニズムも採用されます。プローブメカニズムは、SNMP オペレーションによって開始されます。開始されたプローブオペレーションは、ストリーミング TCP 接続を使用して管理対象ノード上で双方向性の対話型サービス (ログファイルの表示など) を実施します。プローブメカニズムは SNMP 通信を行うため、パケットペイロードの暗号化は実施されません。

サーバーコンテキスト間のセキュリティー

Sun Management Center がローカルサーバーコンテキスト外の管理対象ノードと通信を行う場合は、一般的な public SNMPv2 usec ユーザーとして処理が実行されるようにセキュリティーモデルによって対策が講じられます。public を使用すると、権限が大幅に限定され、ユーザーの権限は管理データを読むだけに制限されます。

クライアントとサーバー間のセキュリティー

Sun Management Center サーバーレイヤーとクライアント (コンソールやコマンド行インタフェースなど) 間の通信は、Java 技術の RMI (遠隔メソッド呼び出し) と製品固有の包括的なセキュリティーモデルとの組み合わせで行われます。このセキュリティーモデルにより低度、中度、または高度のセキュリティーモードのいずれかによるクライアント処理が可能となり、実行されるメッセージ認証のレベルが決定されます。これらのレベルを次に示します。

• 低度: メッセージ認証は行われません。ログイン時にユーザーパスワードだけがチェックされます。

• 中度 (デフォルト): コンソールとサーバー間の認証のみ (たとえば着信コンソールメッセージのサーバー認証など)。

• 高度: コンソール認証メッセージとサーバー認証メッセージの両方。

セキュリティーレベルが高いとパフォーマンスに影響が出る可能性があるため、メッセージ認証ニーズを慎重に検討することをお勧めします。

モジュールのセキュリティー

Sun Management Center は、サービス管理機能 (SMF)、Module Configuration Propagation (MCP)、および Solaris Container Manager モジュールに対するモジュールレベルのセキュリティーを提供します。ユーザーは誰でも、Sun Management Center エージェントで任意のモジュールを読み込むことができます。しかしながら、モジュールでの処理や値の設定や変更を行うには、事前にアクセス権を取得している必要があります。モジュールセキュリティーは、RBAC (Role Based Access Control) およびローカルファイルアクセスの 2 通りの方法で提供されます。

RBAC はプロファイルに基づいています。必要なプロファイルを持つユーザーは、そのプロファイル固有の作業を行うことができます。RBAC は、Solaris システムの管理コマンドを使用して実現できます。

ローカルファイルアクセスは、OS からは独立したセキュリティー機能です。ユーザーは、ローカルアクセスファイルに、必要なアクセス権を追加してもらう必要があります。ローカルファイルアクセスによるセキュリティーは、es-config コマンドを使用して実現できます。詳細は、「es-config の使用」を参照してください。

セキュリティーキーと SNMP コミュニティー文字列

1 台のマシンに Sun Management Center エージェントをインストールして、そのセットアップに進むと、そのエージェントのセキュリティーキーを生成するためのパスワードを求めるメッセージが表示されます。このパスワードは、Sun Management Center サーバーのセットアップで指定したパスワードと同じである必要があります。それぞれのセキュリティーキーが異なると、サーバーとエージェントは互いに通信できません。セキュリティーキーの再生成方法については、 「セキュリティーキーの再生成」を参照してください。

セットアップ時には、デフォルトの SNMP コミュニティー文字列 (public) を受け入れるか、あるいは非公開のコミュニティー文字列を指定するように求めるメッセージも表示されます。本来 SNMP コミュニティー文字列は特権化された内部的なアカウントのパスワードとして使用されるものであり、この文字列を一般的な SNMPv2 usec ツールと併用することでサーバーレイヤーを模倣できます。このため、デフォルトのコミュニティー文字列は使用せず、サーバーコンテキストごとに個別の非公開コミュニティー文字列を指定してください。

セキュリティーパスワードと SNMP コミュニティー文字列の扱いには、スーパーユーザーパスワードと同様の注意を払ってください。