securityconfig

KVStoreは安全に構成できます。セキュアな構成では、NoSQLクライアント、ユーティリティおよびNoSQLサーバー・コンポーネントの間のネットワーク通信はSSL/TLSを使用して暗号化され、すべてのプロセスが接続先のコンポーネントに対して自己認証を行う必要があります。KVStoreの構成時にセキュリティを設定するには、初期セキュリティ構成を作成する必要があります。これを行うには、makebootconfigプロセスの前、後、または一部として、securityconfigツールを実行します。各ノードにセキュリティ構成を作成することはできません。かわりに、ストア内のすべてのストレージ・ノードに初期セキュリティ構成を配布する必要があります。ストアで共通セキュリティ構成を共有していない場合、相互に通信できません。

java -Xmx64m -Xms64m -jar lib/kvstore.jar securityconfig

securityconfigツールで使用される各種コマンド

• config create
• config add-security
• config verify
• config update
• config merge-trust
• config show
• config remove-security

config createコマンドを呼び出して、セキュリティ構成を作成できます。

-pwdmgrオプションを指定してconfig createコマンドを使用し、ストアへのアクセスに必要なパスワードの保持に使用されるメカニズムを指定します。次の例では、Oracle Walletを使用します。

security-> config create -pwdmgr wallet -root KVROOT

ストアのパスワードを入力してから、検証のために再入力します。構成ツールによって、いくつかのセキュリティ関連ファイルが自動生成されます。

config createコマンドの詳細は、セキュリティ構成の作成に関する項を参照してください。

config add-securityコマンドを使用して、作成したセキュリティ構成を追加します。

security-> config add-security -root KVROOT -secdir security -config config.xml

config verifyコマンドを使用して、セキュリティ構成の一貫性と正確性を検証できます。

security-> config verify -secdir <security dir>

config updateコマンドを使用して、セキュリティ構成のセキュリティ・パラメータを更新できます。更新するセキュリティ・パラメータのリストを指定できます。

security-> config update -secdir <security dir> [-param <param=value>]*

config merge-trustコマンドを使用すると、トラストストア・エントリを、あるセキュリティ構成から別のセキュリティ構成にマージできます。このコマンドは、特にSSLキー/証明書の更新が必要な場合に、セキュリティ保守を実行する際に便利です。更新するセキュリティ構成が含まれているディレクトリ(secroot)と、新しい信頼情報を提供するセキュリティ構成が含まれているディレクトリを含む、パラメータのリストを指定できます。

security-> config merge-trust -root <secroot> 
[-secdir <security dir>] -source-root <source secroot> 
[-source-secdir <source secdir>] [-ctspwd <client.trust password>]

config showコマンドを使用して、すべてのセキュリティ構成情報を出力できます。

security-> config show -secdir <security dir>

なんらかの理由で既存のインストールのセキュリティを無効にする必要がある場合は、config remove-securityコマンドを使用できます。

security-> config remove-security -root <kvroot> [-config >config.xml>] 

securityconfigツールを使用したセキュリティの構成の詳細は、securityconfigによるセキュリティの構成に関する項を参照してください。