2 推奨されるセキュリティ設定の適用
この章の内容は以下のとおりです。
- WebLogicでのSSLの構成
この項では、WebLogicでのSSLの構成方法について説明します。 - TomcatでのSSLの構成
この項では、TomcatでのSSLの構成方法について説明します。 - プロセッサ・セキュリティ
この項では、プロセッサ・セキュリティについて説明します。 - LDAP接続の暗号化
EDQからLDAPディレクトリへの接続は、SSL/TLS接続レイヤーを使用するか、接続の確立後に暗号化をネゴシエーションすることで(StartTLS)暗号化できます。 - データベース接続の暗号化
TLSを介した接続のためのJDBC URL構文は、使用されているデータベース・ドライバによって異なります。 - 同時ログインの制限
個々のユーザーによる同時ログインの数は、login.propertiesに制限を指定できます。この制限は、アプリケーションごとの同時ログインです。つまり、sessionlimitが1の場合、あるユーザーは、同時にディレクタ、サーバー・コンソール、ケース管理にログインできますが、どれにも2回ログインすることはできません。 - サービス統合に対する最低限の権限を持つアカウント
SiebelやOracle Data Integratorなどのリモート・システムによって使用されるEDQアカウントには、EDQシステムに対する最低限の権限セットが必要です。 - JNDIデータ・ソースの保護
特定のステップを実行しないかぎり、EDQのユーザーは、既存のデータソースのJNDI名への参照を使用してデータ・ストアを設定し、これらのスキーマ内のデータ(機密情報を含む可能性がある)にアクセスできます。 - 悪意のあるファイルのアップロードのブロック
ファイルの名前やタイプに従ってファイルのアップロードをブロックするようにサーバーを構成するには、director.properties
で次のパラメータを設定します。
WebLogicでのSSLの構成
この項では、WebLogicでのSSLの構成方法について説明します。
WebLogic ServerでのSSLの構成手順は、次のWebLogicのドキュメントを参照してください。
親トピック: 推奨されるセキュリティ設定の適用
プロセッサ・セキュリティ
この項では、プロセッサ・セキュリティについて説明します。
詳細は、『Oracle Enterprise Data Qualityの管理』のセキュア・スクリプト実行の構成に関する項を参照してください。
親トピック: 推奨されるセキュリティ設定の適用
LDAP接続の暗号化
EDQからLDAPディレクトリへの接続は、SSL/TLS接続レイヤーを使用するか、接続の確立後に暗号化をネゴシエーションすることで(StartTLS)暗号化できます。
親トピック: 推奨されるセキュリティ設定の適用
データベース接続の暗号化
TLSを介した接続のためのJDBC URL構文は、使用されているデータベース・ドライバに応じて異なります。
Oracle Databaseへの接続は、次のプロパティをデータソースの接続プール構成に追加することで暗号化できます。
oracle.net.encryption_client = REQUIRED
親トピック: 推奨されるセキュリティ設定の適用
同時ログインの制限
個々のユーザーによる同時ログインの数は、login.propertiesに制限を指定できます。この制限は、アプリケーションごとの同時ログインです。つまり、sessionlimitが1の場合、あるユーザーは、同時にディレクタ、サーバー・コンソール、ケース管理にログインできますが、どれにも2回ログインすることはできません。
これは、グローバルに構成するか、レルム単位で構成することができます。すべてのレルムでグローバルにこれを設定するには、次の行を使用します。
sessionlimit = 1
レルムごとに異なる設定を使用するには、次のようにパラメータの前にレルム名を指定します。
internal.sessionlimit = 1
ノート:
前述の行を使用すると、内部レルム(ユーザーがEDQ自体で設定および管理されるという意味)の同時ログインも制限できます。
<external realm name>.sessionlimit = 1
親トピック: 推奨されるセキュリティ設定の適用
サービス統合のための最低限の権限を持つアカウント
SiebelやOracle Data Integratorなどのリモート・システムによって使用されるEDQアカウントには、EDQシステムに対する最低限の権限セットが必要です。
具体的には、アカウントは次の権限のみを持つカスタム・グループに属している必要があり、ユーザー・アプリケーションにログインしたり、他の機能を実行するためのアクセス権は付与しません。
-
システム/メッセージング・システムへの接続 - EDQ WebサービスおよびJMSと通信する権限を付与します。
-
システム/システム管理 - EDQ管理(JMX)ポートに接続してジョブを開始できる権限を付与します。
-
コールを可能にする必要があるサービス・インタフェース(Webサービスまたはジョブ)を含む任意のプロジェクトに対する権限。
親トピック: 推奨されるセキュリティ設定の適用
JNDIデータソースの保護
特定のステップを実行しないかぎり、EDQのユーザーは、既存のデータソースのJNDI名に対する参照を使用してデータ・ストアを設定し、これらのスキーマの(機密情報を含む可能性のある)データにアクセスできます。
EDQのJNDIデータソースを保護するには、次のようにdirector.properties
に名前(または名前に一致する正規表現)を指定します。
protected.jndi.datasources = <space separated list of JNDI names>
たとえば:
protected.jndi.datasources = jdbc/edqconfig jdbc/edqresults
プロパティは正規表現の空白区切りのリストであるため、次の方法も使用できます。
protected.jndi.datasources = jdbc/edq.*
ノート:
この値をローカルのdirector.propertiesに設定する場合、必ずベース・プロパティ・ファイルのデフォルト設定を含めてください。この設定により、WebLogicの内部データソースとEDQデータソースの両方に対するアクセスを防止します。
親トピック: 推奨されるセキュリティ設定の適用
悪質なファイルのアップロードのブロック
ファイルの名前やタイプに従ってファイルのアップロードをブロックするようにサーバーを構成するには、director.properties
で次のパラメータを設定します。
パラメータ名 | 型 | デフォルト値 |
---|---|---|
|
ブール値 |
true。 値をfalseに設定した場合、パラメータ名のチェックは行われません。 |
|
テキスト |
有効なファイル名のカンマ区切りリスト。 |
|
テキスト |
Javaで認識されるMIMEファイル・タイプ(text/csv、image/bmp、text/plainなど)のカンマ区切りリスト MIMEファイル・タイプのリストは、「MIMEタイプ」を参照してください。 ノート: (任意のタイプのファイルを許可するために)チェックを無効にするには、空の値をパラメータに設定します( |
|
テキスト |
無効なファイル名のカンマ区切りリスト。 |
ノート:
upload.valid.names
パラメータおよびupload.invalid.names
パラメータには、次のプロパティが適用可能です。
-
このリスト内の名前はそれぞれ接尾辞(
.pdf
など)または~
で始まる正規表現です。正規表現が使用されている場合、ファイルのフル・ネームと照合されます。 -
次の場合、ファイル名は拒否されます。
-
upload.valid.names
が指定されており、ファイル名がリストのどの項目にも一致しない場合。 -
upload.invalid.names
が指定されており、名前がリストのいずれかの項目と一致した場合。
-
-
すべてのチェックで、大文字と小文字は区別されません。
親トピック: 推奨されるセキュリティ設定の適用