library home hp.com home products and services support and drivers solutions
cd-rom home
 End of Jump to page title
HP OpenVMS Systems
Documentation
Jump to content


HP DECwindows Motif for OpenVMS

HP DECwindows Motif for OpenVMS
管理ガイド

前へ 次へ 目次 索引

3.3.6 アクセス制御方法の選択

X ディスプレイ・サーバのアクセス制御を構成するときには,ネットワーク環境に応じて 1 つ以上の方式を組み合わせて適用します。たとえば,TCP/IP 経由でのすべてのリモート・サーバ接続を Kerberos で承認し,LAN ネットワーク接続を Magic Cookie で承認することができます。

組み合わせて使用する場合は,クライアントから提示された最も制限の厳しいアクセス制御方式が常に優先されます。たとえば,サーバで 3 種類の方式がすべて有効になっている場合で,要求元のクライアントが Magic Cookie を使用している場合,サーバは Magic Cookie で接続を承認しようとします。 Magic Cookie のアクセス制御では,デフォルトではユーザ・ベースのアクセス制御が使用可能である点に注意してください。クライアントがトークン・ベースの方式を使用してサーバに接続しようとして失敗した場合でも,許可ユーザ・リストのメンバになっていれば,アクセスが許可されます。

ただし,アクセス制御方式を有効にする前に,以降の項で説明するように,まずサーバ接続環境を確認する必要があります。たとえば,いくつかの DECwindows Motif システムは,デスクトップ・セッション外でのみアプリケーションを実行します。そのようなシステムでは, DECwindows Motif セッション外で行われる接続だけにアクセス制御を適用する必要があります。デスクトップ・セッションの内部と外部の両方の接続に対してアクセス制御を適用すると,最初の DECwindows Motif ログイン処理でログインできなくなる可能性があります。

3.3.6.1 デスクトップ・セッション外の接続にアクセス制御を適用する

DECwindows Motif デスクトップ・セッション外でアクセス制御を有効にすると,許可された OpenVMS ユーザが,ログイン処理を行わずにシステム上でクライアント・アプリケーションを実行できるようになります。このタイプのアクセス制御は,一般に,対話型の DECwindows Motif ワークステーションではなく,スタンドアロンの X ディスプレイ・サーバとして機能するシステムで使用されます。

サーバ・カスタマイズ・パラメータとアクセス許可ファイルまたは X authority ファイルを使用してアクセス制御を設定します。

3.3.6.2 デスクトップ・セッション内の接続にアクセス制御を適用する

DECwindows Motif セッション内でアクセス制御方式を有効にするには,「Security Options」ダイアログ・ボックスを使用します。ダイアログ・ボックスのオプションでは,ローカルの X ディスプレイ・サーバで使用するアクセス制御方式の設定,ディスプレイ・サーバにアクセスする他のユーザの許可,ローカルのクライアント・アプリケーションがディスプレイ・サーバに接続する際に使用する方式の指定を行うことができます。

セッション・マネージャ (Traditional Desktop) とスタイル・マネージャ (New Desktop) のどちらからアクセスした場合でも,「Security Options」ダイアログ・ボックスの設定は同じです。ただし,デスクトップによって設定の保存方法が異なります。

3.3.7 ユーザ・ベースのアクセス制御を有効にする

ここでは,ユーザ・ベースのアクセス制御を,デスクトップ・セッションの外部と内部のサーバ接続に適用する方法を説明します。

TCP/IP サービス・トランスポート上でのユーザ・ベースのアクセス制御では, getnameinfo 関数を使用してピア・システムの名前を取得し,この値とユーザが指定した値を突き合わせます。アドレスが IPv4 射影 IPv6 アドレスの場合, AF_INET ファミリと,IPv4 射影 IPv6 アドレスから抽出した IPv4 アドレスを使用して getnameinfo が呼び出されます。それ以外の場合は, AF_INET6 と IPv6 アドレスを使用して getnameinfo 関数が呼び出されます。名前の逆引きに失敗した IPv4 接続は,IPv4 形式で表現されます。名前の逆引きに失敗したその他すべての接続は,IPv6 形式で表現されます。

使用しているアドレスがリンク・ローカルの場合,TCP/IP サービスの getnameinfo 関数が返す文字列にはスコープ ID が含まれます。サーバはこれを許可ユーザ・リスト内のホスト名と突き合わせます。これは,エントリにスコープ ID が含まれているかどうかには関係なく実行されます。たとえば,戻り値 test12i6%WE1は, test12i6%WE1または test12i6のどちらかに一致します。

デスクトップ・セッション外のサーバ接続の場合

ユーザ・ベースのアクセス制御を, DECwindows Motif セッション外のサーバ接続に対して適用するには,以下の手順を実行します。

警告
アクセス許可ファイルのエントリを使用して X サーバに対する TCPIP ホスト接続を許可すると, DECwindows Motif システムに対して認証されていないアクセスが可能になります。これにより,システムが意図しない侵入,サービス停止 (DoS) 攻撃,データ損失に対して無防備になります。

適切なレベルのシステム・セキュリティを保つには,トークン・ベースの方式 (Magic Cookie や Kerberos など) を使用して TCP/IP 上での X サーバに対するリモート・アクセスを制限することをお勧めします。これらの方式では,システムの高度な保護が可能となるだけでなく,ユーザごとにアクセスを許可 (または拒否) することも可能になります。

  1. SYS$MANAGER:DECW$PRIVATE_SERVER_SETUP.COM ファイルを変更して,ファイルが格納されている場所を指すように DECW$SERVER_ACCESS_ALLOWED パラメータおよび DECW$ACCESS_TRUSTED パラメータの値を定義します。以下に例を示します。 


    $ DECW$SERVER_ACCESS_ALLOWED == "SYS$MANAGER:DECW$SERVER1_ACCESS_ALLOWED.DAT"
$ DECW$SERVER_ACCESS_TRUSTED == "SYS$MANAGER:DECW$SERVER1_ACCESS_TRUSTED.DAT"

  2. アクセス許可ファイルおよびアクセス信頼ファイルを作成して編集し,適切なユーザ・エントリを追加します。各エントリは,transport-host-username の形式で記述します。トランスポートとして指定できるのは,DECNET,TCPIP,および LOCAL です。 表 4-1 に示すトランスポートの同義語 TCP,INET, INET6,および DNET はサポートされていません。
    たとえば,次のエントリはユーザ JONES にサーバへのローカル・アクセスと DECnet トランスポート経由でのノード ZEPHYR からのネットワーク・アクセスを許可します。 


    DECNET ZEPHYR JONES 
LOCAL 0 JONES 
   .
   .
   .


    ネットワーク・トランスポートとして TCP/IP を使用する場合は,アクセス特権と信頼特権は,個別のユーザに対してではなくホストに対してだけ割り当てることができる点に注意してください。 TCP/IP では,リモート接続時に渡されるデータの中にユーザ指定が含まれていません。
    その結果,TCP/IP を使用したホストのファイル・エントリでは,ユーザ指定にアスタリスク (*) を含める必要があります。これにより,TCP/IP を使用して X ディスプレイ・サーバに接続する際に,特定のホスト・システムのすべてのユーザにアクセス特権が与えられます。たとえば,次のエントリは,ノード ZEPHYR 上のすべてのユーザに対して TCP/IP トランスポート経由でのアクセスを許可します。 


    TCPIP ZEPHYR * 
   .
   .
   .

  3. ファイルを保存してサーバを再起動します。新しいアクセス特権と信頼特権は,システムのスタートアップ時に自動的に適用されます。

デスクトップ・セッション内の接続の場合

DECwindows Motif デスクトップ・セッション内のサーバ接続に対してユーザ・ベースのアクセス制御を適用するには,以下の手順を実行します。

  1. デスクトップに応じて以下のどちらかを実行します。


    「Security Options」ダイアログ・ボックスが表示されます。

  2. 「Server Access Control」領域で,[Users...] をクリックし,「Configure Users」ダイアログ・ボックスを表示します。

  3. 承認するユーザのノード,ユーザ名,トランスポートを入力します。

  4. [Add] ボタンをクリックします。ユーザが「Authorized Users」リストに追加されます。

  5. [了解] をクリックして変更を保存および適用し,「Configure Users」ダイアログ・ボックスを閉じます。

ユーザ・ベースのアクセス制御を無効にするには,すべてのユーザを「Authorized Users」リストから削除する必要があります。

ユーザ名を削除するにはまず削除するユーザ名をクリックし, [Remove] ボタンをクリックします。最後に [了解] または [適用] をクリックします。これでユーザはシステムへのアクセスが許可されなくなります。

3.3.8 Magic Cookie によるアクセス制御を有効にする

ここでは,デスクトップ・セッションの外部と内部のサーバ接続に対して Magic Cookie によるアクセス制御を適用する方法を説明します。

デスクトップ・セッション外の接続の場合

Magic Cookie によるアクセス制御を DECwindows Motif セッション外のサーバ接続に適用するには,以下の手順を実行します。

  1. SYSTEM アカウントまたは特権を持つ別のアカウントでログインします。

  2. DECW$PRIVATE_SERVER_SETUP.COM ファイルを変更し, X authority ファイルが格納される場所を指すように DECW$SERVER_XAUTHORITY パラメータの値を定義します。次に例を示します。 


    $ DECW$SERVER_XAUTHORITY == "SYS$MANAGER:SERVER_ZEPHYR.DECW$XAUTH"

  3. X authority ファイル・ユーティリティ (xauth) を使用して, X authority ファイルをサーバ用に手動で作成し,適切なエントリを追加します。たとえば,次のコマンドは新しい X authority ファイル SERVER_ZEPHYR.DECW$XAUTH を作成し,ローカル・トンランスポート用のエントリを追加し,Magic Cookie プロトコルを指定し, cookie 値 12345abcdef56789 を割り当てます。 


    $ XAUTH -f SYS$SYSROOT:[SYSMGR]SERVER_ZEPHYR.DECW$XAUTH ADD -
_$ :0 MIT-MAGIC-COOKIE-1 12345abcdef56789


    このファイル内の cookie は X サーバのスタートアップ時にロードされ,すべてのクライアント接続を承認するために使用されます。

  4. ファイルを保存しサーバを再起動します。

  5. xauth ユーティリティを使用して,キーをすべてのクライアント・システムに配布します。 xauth ユーティリティの使用方法についての詳細は,『HP DECwindows Motif for OpenVMS New Features』またはオンライン・ヘルプを参照してください。

デスクトップ・セッション内の接続の場合

DECwindows Motif セッション内のサーバ接続に対して, Magic Cookie によるアクセス制御を適用するには,以下の手順を実行します。

  1. デスクトップに応じて以下のどちらかを実行します。


    「Security Options」ダイアログ・ボックスが表示されます。

  2. 「Server Access Control」領域で,「Magic Cookie」オプションを選択します。

  3. [了解] をクリックして変更を保存および適用し,「Security Options」ダイアログ・ボックスを閉じます。

  4. 有効にすると,デスクトップにログインするたびに cookie が生成されます。他のユーザに対して X ディスプレイ・サーバへのアクセスを許可するには, xauth ユーティリティを使用して, cookie をそのユーザの X authority ファイルに配布します。
    xauth ユーティリティの使用方法についての詳細は,『HP DECwindows Motif for OpenVMS New Features』またはオンライン・ヘルプを参照してください。

Magic Cookie を無効にするには,「Magic Cookie」オプションの選択を解除し,[了解] または [適用] をクリックします。

他のユーザが現在の cookie 値を使用して現在のセッションにアクセスできないようにするには,[Create Cookie] ボタンをクリックします。新しい cookie 値がデフォルトの X authority ファイルに追加されます。

注意
新しい cookie が生成されるときに X ディスプレイ・サーバに接続しているクライアント・アプリケーションは接続されたままです。認証は,最初にサーバに接続する際にだけ実行されます。

3.3.9 Kerberos によるアクセス制御を有効にする

Kerberos を有効にするためには,サーバ・システムであらかじめ以下の手順を実行しておく必要があります。

  1. TCP/IP for OpenVMS ソフトウェアを,ドメイン名サーバを有効にしてインストールし構成します。

  2. Kerberos Client for OpenVMS Installation Guide and Release Notes』に従って, Kerberos Client for OpenVMS ソフトウェアをインストールして構成します。

  3. 以下の情報を準備します。

  4. SYS$MANAGER:DECW$PRIVATE_SERVER_SETUP 内で DECW$SERVER_TRANSPORTS パラメータを定義し,サーバを再起動して TCP/IP トランスポートを有効にします。
    Kerberos によるアクセス制御は,IPv6 を使用する TCP/IP 環境ではサポートされていません。 Kerberos と IPv6 が有効になっていると,サーバに接続しようとしても,ネットワーク・アドレスが無効であることを示す KERBEROS エラーで失敗します。 Kerberos によるアクセス制御を使用するには, INET トランスポート名 ( 表 4-1 を参照) を指定します。これにより,IPv4 アドレスの使用が強制されます。

以降の項では,デスクトップ・セッションの外部と内部のサーバ接続に対して Kerberos によるアクセス制御を適用する方法を説明します。

デスクトップ・セッション外の接続の場合

DECwindows Motif セッション外の接続に対して Kerberos によるアクセス制御を適用するには,以下の手順を実行します。

  1. 次のようにして Kerberos Administration ユーティリティを起動します。 


    $ KERBEROS/INTERFACE=DECWINDOWS/ADMIN

  2. 以下のプリンシパル,keytab ファイル,keytab ファイル・エントリを作成します。 Kerberos Administration ユーティリティの使用方法については, Kerberos Client for OpenVMS のマニュアルを参照してください。

  3. DECW$PRIVATE_SERVER_SETUP.COM ファイルを変更し, X authority ファイル,アクセス許可ファイル,アクセス信頼ファイルが格納される場所を指すように以下のパラメータの値を定義します。以下に例を示します。 


    $ DECW$SERVER_XAUTHORITY == "SYS$MANAGER:SERVER_ZEPHYR.DECW$XAUTH"
$ DECW$SERVER_ACCESS_ALLOWED == "SYS$MANAGER:DECW$SERVER_ZEPHYR_ACCESS_ALLOWED.DAT"
$ DECW$SERVER_ACCESS_TRUSTED == "SYS$MANAGER:DECW$SERVER_ZEPHYR_ACCESS_TRUSTED.DAT"

  4. xauth ユーティリティを使用して,サーバ用の X authority ファイルを手動で作成し,適切なエントリを追加します。たとえば,下記のコマンドは,新しい X authority ファイル SERVER_ZEPHYR.DECW$XAUTH を作成し,ローカル・トランスポート用のエントリを追加して, Kerberos プロトコルを指定し,keytab ファイルを示す値を割り当てます。 


    $  XAUTH -f SYS$SYSROOT:[SYSMGR]SERVER_ZEPHER.DECW$XAUTH -
_$  ADD :0 MIT-KERBEROS-5 -
_$  """CS:X0,SYS$SYSROOT:[SYSMGR]DECW$X0.KEYTAB"""

  5. DECW$SERVER_ACCESS_TRUSTED パラメータで指定した場所にアクセス信頼ファイルを手動で作成し,次のように SYSTEM アカウント用のエントリを追加します。 


    * SYSTEM 0

  6. DECW$SERVER_ACCESS_ALLOWED パラメータで指定した場所にアクセス許可ファイルを手動で作成し,サーバへのアクセスを許可するそれぞれの Kerberos プリンシパルについてエントリを追加します。アクセス許可ファイル内の Kerberos プリンシパルに対する各エントリは, protocol-principal@realm-accessrights の形式に従います。ここで,accessrights はNONE,ALL,または * です。
    たとえば,アクセス許可ファイル内の次のエントリは,プリンシパル JONES に対して, TCP/IP トランスポート経由でのサーバ・アクセスを許可します。 


    KERBEROS jones@ORG.COMPANY.COM ALL 
   .
   .
   .

  7. ファイルを保存してサーバを再起動します。

デスクトップ・セッション内の接続の場合

DECwindows Motif セッション内のサーバ接続に対して Kerberos によるアクセス制御を適用するには,以下の手順を実行します。

  1. デスクトップに応じて以下のどちらかを実行します。


    「Security Options」ダイアログ・ボックスが表示されます。

  2. [Configure Principals] ボタンをクリックします。

  3. 追加する Kerberos プリンシパルに対する指定を,「Authorized Principals」リストに追加します。
    一般的な Kerberos プリンシパルの形式は primary/instance@REALM です。

  4. [Add] ボタンをクリックします。プリンシパルが「Authorized Principals」ボックスに追加されます。

  5. [了解] をクリックして変更を保存および適用し,「Configure Principals」ダイアログ・ボックスを閉じます。

  6. 「Server Access Control」領域で「Kerberos」を選択し, [了解] をクリックします。
    「Kerberos Login」ダイアログ・ボックスが表示され,ログインして Kerberos 証明書を確認するように促されます。

  7. Kerberos プリンシパル名とパスワードを入力して [了解] をクリックします。プリンシパル名とパスワードでは大文字と小文字が区別される点に注意してください。

Kerberos を無効にするには,Kerberos オプションの選択を解除し,一覧からすべてのプリンシパルを削除して, [了解] または [適用] をクリックします。

1 つ以上のプリンシパルがセッションにアクセスできないようにするには,まず削除する名前をクリックし,次に [Remove] ボタンをクリックします。最後に,[了解] または [適用] をクリックします。そのプリンシパルはワークステーションにアクセスする許可がなくなります。

現在のチケットが信頼できなくなったと思われる場合は, [Revoke Ticket] ボタンを押すことで,セッションへのアクセスを拒否し,プリンシパルに対してログインおよび認証手順を繰り返すように強制することができます。

前へ 次へ 目次 索引