|
|
アクセス制御リストによるセキュリティの有効化
デフォルトの認証には、サービスを実行し、イベントをポストし、アプリケーション・キューのメッセージをキューに登録 (または登録解除) するユーザを決定するアクセス制御リストの機能が備わっています。セキュリティ・レベルには、オプションのアクセス制御リスト (ACL) および必須のアクセス制御リスト (MANDATORY_ACL) があります。アクセス制御リストは、ユーザが ATMI アプリケーションへの参加を認証された場合にのみ有効になります。
アクセス制御リストを使用すると、管理者はユーザを複数のグループにまとめ、それらのグループに対して、メンバ・ユーザがアクセス権を持つオブジェクトを関連付けることができます。アクセス制御は、次の理由により、グループ・レベルで行われます。
アクセス制御のチェック機能は、アプリケーション管理者によって作成および管理される 3 つのファイルに基づいています。
クライアントのアプリケーション・キー (クライアントを有効なユーザおよび有効なグループ・メンバとして識別する情報を含む) を解析することによって、エンティティ (サービス、イベント、またはアプリケーション・キューなど) は、ユーザが属するグループを識別できます。tpacl ファイルをチェックすることによって、エンティティは、クライアントのグループにアクセス・パーミッションが付与されているかどうかを判定できます。
アプリケーション管理者、アプリケーション・オペレータ、およびアプリケーション管理者またはオペレータの権限で実行中のプロセスやサービス要求は、ACL によるパーミッションのチェックの対象にはなりません。
ユーザ・レベルの ACL エントリが必要な場合は、各ユーザのグループを作成し、そのグループを tpacl ファイルの該当するアプリケーション・エンティティにマッピングします。
オプションの ACL セキュリティを有効にする方法
デフォルトの認証には、「オプションのアクセス制御リスト (ACL)」というセキュリティ・レベルが用意されており、これは、コンフィギュレーション・ファイルの SECURITY ACL で指定すると有効になります。このセキュリティ・レベルでは、各クライアントは、ATMI アプリケーションに参加するため、アプリケーション・パスワード、ユーザ名、およびユーザ固有のデータ (パスワードなど) を提示しなければなりません。ターゲット・アプリケーションのエンティティに関連するエントリが tpacl ファイルになくても、ユーザはそのエンティティにアクセスできます。
管理者は、このセキュリティ・レベルを使用して、セキュリティを強化したいリソースに対してのみアクセス権を設定できます。つまり、すべてのユーザにアクセスを許可するサービス、イベント、およびアプリケーション・キューについて、tpacl ファイルにエントリを追加する必要はありません。ただし、tpacl ファイルにターゲット・アプリケーションのエンティティに関連するエントリがあり、ユーザがこれにアクセスしようとする場合、そのユーザは、そのエンティティへのアクセスを許可されたグループのメンバでなければなりません。そうでない場合、アクセスは拒否されます。
ACL のセキュリティ・レベルを有効にするには、次の手順に従います。
これらの手順については、次の 2 つの節で説明します。
UBBCONFIG ファイルを設定する
*RESOURCES
SECURITY ACL
AUTHSVC ..AUTHSVC
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
CLOPT="-A" を指定すると、tmboot(1) は、tmboot によってATMI アプリケーションが起動するときに、"-A" で呼び出されたデフォルトのコマンド行オプションだけを AUTHSVR に渡します。デフォルトでは、AUTHSVR は、tpusr というファイル内のクライアント・ユーザ情報を使用して、ATMI アプリケーションに参加しようとするクライアントを認証します。tpusr は、ATMI アプリケーションの APPDIR 変数で定義する最初のパス名によって参照されるディレクトリにあります。
ACL ファイルの設定
アクセス制御のチェック機能では、tpusr というユーザ・ファイル、tpgrp というグループ・ファイル、および tpacl という ACL ファイルが必要です。ACL ファイルには、グループとアプリケーション・エンティティのマッピングが含まれています。エンティティとは、サービス、イベント、またはアプリケーション・キューです。
次は、tpacl ファイル内のサンプル・エントリです。
管理者は tpacl ファイルでエントリを定義しなければなりません。tpacl ファイルは、ATMI アプリケーションの APPDIR 変数で定義した最初のパス名によって参照されるディレクトリにあります。これらのファイルは、コロンで区切られたフラットなテキスト・ファイルであり、アプリケーション管理者だけが読み書きを行う権限を持ちます。 tpacl ファイルの ACL エントリを変更するには、コマンドを発行するか、または ACL_MIB 内の適切な属性を変更します。 コマンドを使用して ACL エントリを変更する 以下のいずれかのコマンドを実行すると、tpacl ファイルの ACL エントリをいつでも追加、変更、または削除できます。
コマンド名 |
目的 |
---|---|
エントリの追加 |
|
エントリの変更 |
|
エントリの削除 |
これらのコマンドを実行するには、次の手順に従います。
ACL_MIB を使用して ACL エントリを変更する
コマンド行インターフェイス以外の方法として、ACL_MIB(5) の T_ACLPERM クラスの該当する属性値を変更して、tpacl の ACL エントリを追加、変更、または削除することができます。tpacladd(1) では一度に 1 つの ACL エントリしか追加できないため、同時に複数の ACL エントリを追加する場合は、この方法の方がコマンド行インターフェイスより効率的です。
BEA Administration Console を使用すると、最も簡単に MIB にアクセスできます。
必須の ACL セキュリティを有効にする方法
デフォルトの認証には、「必須のアクセス制御リスト」というセキュリティ・レベルが用意されており、これは、コンフィギュレーション・ファイルの SECURITY MANDATORY_ACL で指定すると有効になります。このセキュリティ・レベルでは、各クライアントは、ATMI アプリケーションに参加するため、アプリケーション・パスワード、ユーザ名、およびユーザ固有のデータ (パスワードなど) を提示しなければなりません。ターゲット・アプリケーションのエンティティに関連するエントリが tpacl ファイルにない場合、クライアントはそのエンティティにアクセスできません。 つまり、アクセスする必要のあるアプリケーション・エンティティのエントリが tpacl ファイルに存在していなければなりません。したがって、このレベルは「必須」と呼ばれます。
ただし、tpacl ファイルにターゲット・アプリケーションのエンティティに関連するエントリがあり、ユーザがこれにアクセスしようとする場合、そのユーザは、そのエンティティへのアクセスを許可されたグループのメンバでなければなりません。そうでない場合、アクセスは拒否されます。
MANDATORY_ACL のセキュリティ・レベルを有効にするには、次の手順に従います。
これらの手順については、次の 2 つの節で説明します。
UBBCONFIG ファイルを設定する
*RESOURCES
SECURITY MANDATORY_ACL
AUTHSVC ..AUTHSVC
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
CLOPT="-A" を指定すると、tmboot(1) は、tmboot によって ATMI アプリケーションが起動するときに、"-A" で呼び出されたデフォルトのコマンド行オプションだけを AUTHSVR に渡します。デフォルトでは、AUTHSVRは、tpusr というファイル内のクライアント・ユーザ情報を使用して、ATMI アプリケーションに参加しようとするクライアントを認証します。tpusr は、ATMI アプリケーションの APPDIR 変数で定義する最初のパス名によって参照されるディレクトリにあります。
ACL ファイルの設定
「ACL ファイルの設定」 を参照してください。
関連項目
|
Copyright © 2001 BEA Systems, Inc. All rights reserved.
|