Sun Management Center 4.0 インストールと構成ガイド

Sun Management Center の内部セキュリティー

ここでは、Sun Management Center コンポーネント間で使用されるセキュリティープロセスについて説明します。

サーバーとエージェント間のセキュリティー

Sun Management Center サーバーとその管理対象ノード間の通信は、主に業界標準の SNMP (Simple Network Management Protocol) version 2 を使用し、User Security モデル SNMP v2usec を採用して行われます。SNMPv2 メカニズムは、サーバーレイヤーからエージェント側のオペレーションに対してユーザー証明 (user credential) を割り当てるのに最適です。SNMPv2 は、アクセス制御ポリシーの回避を不可能にするための主要なメカニズムです。

Sun Management Center は、コミュニティーベースのセキュリティーを使用した SNMP v1 と SNMP v2 もサポートします。セキュリティーの観点からはそれほど堅固ではありませんが、ほかのデバイスやほかの管理プラットフォームとの統合のためには SNMP v1 と v2 のサポートが重要な意味を持ちます。これらのメカニズムの使用が望ましくない環境では、アクセス制御指定メカニズムによって SNMP v1/v2 プロトコルを使用したプロセスへのアクセスを制限または 禁止できます。Sun Management Center エージェントはまた、Sun 以外のアプリケーションからの SNMPv3 照会を認識して、応答することもできます。

データストリーミングを要する場合があるカスタマイズされた処理の場合は、プローブメカニズムも採用されます。プローブメカニズムは、SNMP オペレーションによって開始されます。開始されたプローブオペレーションは、ストリーミング TCP 接続を使用して管理対象ノード上で双方向性の対話型サービス (ログファイルの表示など) を実施します。プローブメカニズムは SNMP 通信を行うため、パケットペイロードの暗号化は実施されません。

サーバーコンテキスト間のセキュリティー

Sun Management Center がローカルサーバーコンテキスト外の管理対象ノードと通信を行う場合は、一般的な public SNMPv2 usec ユーザーとして処理が実行されるようにセキュリティーモデルによって対策が講じられます。public を使用すると、権限が大幅に限定され、ユーザーの権限は管理データを読むだけに制限されます。

クライアントとサーバー間のセキュリティー

Sun Management Center サーバーレイヤーとクライアント (コンソールやコマンド行インタフェースなど) 間の通信は、Java 技術の RMI (遠隔メソッド呼び出し) と製品固有の包括的なセキュリティーモデルとの組み合わせで行われます。このセキュリティーモデルにより低度、中度、または高度のセキュリティーモードのいずれかによるクライアント処理が可能となり、実行されるメッセージ認証のレベルが決定されます。これらのレベルを次に示します。

セキュリティーレベルが高いとパフォーマンスに影響が出る可能性があるため、メッセージ認証ニーズを慎重に検討することをお勧めします。

モジュールのセキュリティー

Sun Management Center は、サービス管理機能 (SMF)、Module Configuration Propagation (MCP)、および Solaris Container Manager モジュールに対するモジュールレベルのセキュリティーを提供します。ユーザーは誰でも、Sun Management Center エージェントで任意のモジュールを読み込むことができます。しかしながら、モジュールでの処理や値の設定や変更を行うには、事前にアクセス権を取得している必要があります。モジュールセキュリティーは、RBAC (Role Based Access Control) およびローカルファイルアクセスの 2 通りの方法で提供されます。

RBAC はプロファイルに基づいています。必要なプロファイルを持つユーザーは、そのプロファイル固有の作業を行うことができます。RBAC は、Solaris システムの管理コマンドを使用して実現できます。

ローカルファイルアクセスは、OS からは独立したセキュリティー機能です。ユーザーは、ローカルアクセスファイルに、必要なアクセス権を追加してもらう必要があります。ローカルファイルアクセスによるセキュリティーは、es-config コマンドを使用して実現できます。詳細は、es-config の使用」を参照してください。