日本-日本語 |
|
|
|
OpenVMS マニュアル |
|
HP DECwindows Motif for OpenVMS
|
目次 | 索引 |
3.3.6 アクセス制御方法の選択 |
X ディスプレイ・サーバのアクセス制御を構成するときには,ネットワーク環境に応じて 1 つ以上の方式を組み合わせて適用します。たとえば,TCP/IP 経由でのすべてのリモート・サーバ接続を Kerberos で承認し,LAN ネットワーク接続を Magic Cookie で承認することができます。
組み合わせて使用する場合は,クライアントから提示された最も制限の厳しいアクセス制御方式が常に優先されます。たとえば,サーバで 3 種類の方式がすべて有効になっている場合で,要求元のクライアントが Magic Cookie を使用している場合,サーバは Magic Cookie で接続を承認しようとします。 Magic Cookie のアクセス制御では,デフォルトではユーザ・ベースのアクセス制御が使用可能である点に注意してください。クライアントがトークン・ベースの方式を使用してサーバに接続しようとして失敗した場合でも,許可ユーザ・リストのメンバになっていれば,アクセスが許可されます。
ただし,アクセス制御方式を有効にする前に,以降の項で説明するように,まずサーバ接続環境を確認する必要があります。たとえば,いくつかの DECwindows Motif システムは,デスクトップ・セッション外でのみアプリケーションを実行します。そのようなシステムでは, DECwindows Motif セッション外で行われる接続だけにアクセス制御を適用する必要があります。デスクトップ・セッションの内部と外部の両方の接続に対してアクセス制御を適用すると,最初の DECwindows Motif ログイン処理でログインできなくなる可能性があります。
3.3.6.1 デスクトップ・セッション外の接続にアクセス制御を適用する
DECwindows Motif デスクトップ・セッション外でアクセス制御を有効にすると,許可された OpenVMS ユーザが,ログイン処理を行わずにシステム上でクライアント・アプリケーションを実行できるようになります。このタイプのアクセス制御は,一般に,対話型の DECwindows Motif ワークステーションではなく,スタンドアロンの X ディスプレイ・サーバとして機能するシステムで使用されます。
サーバ・カスタマイズ・パラメータとアクセス許可ファイルまたは X authority ファイルを使用してアクセス制御を設定します。
3.3.6.2 デスクトップ・セッション内の接続にアクセス制御を適用する
DECwindows Motif セッション内でアクセス制御方式を有効にするには,「Security Options」ダイアログ・ボックスを使用します。ダイアログ・ボックスのオプションでは,ローカルの X ディスプレイ・サーバで使用するアクセス制御方式の設定,ディスプレイ・サーバにアクセスする他のユーザの許可,ローカルのクライアント・アプリケーションがディスプレイ・サーバに接続する際に使用する方式の指定を行うことができます。
セッション・マネージャ (Traditional Desktop) とスタイル・マネージャ (New Desktop) のどちらからアクセスした場合でも,「Security Options」ダイアログ・ボックスの設定は同じです。ただし,デスクトップによって設定の保存方法が異なります。
ここでは,ユーザ・ベースのアクセス制御を,デスクトップ・セッションの外部と内部のサーバ接続に適用する方法を説明します。
TCP/IP サービス・トランスポート上でのユーザ・ベースのアクセス制御では, getnameinfo 関数を使用してピア・システムの名前を取得し,この値とユーザが指定した値を突き合わせます。アドレスが IPv4 射影 IPv6 アドレスの場合, AF_INET ファミリと,IPv4 射影 IPv6 アドレスから抽出した IPv4 アドレスを使用して getnameinfo が呼び出されます。それ以外の場合は, AF_INET6 と IPv6 アドレスを使用して getnameinfo 関数が呼び出されます。名前の逆引きに失敗した IPv4 接続は,IPv4 形式で表現されます。名前の逆引きに失敗したその他すべての接続は,IPv6 形式で表現されます。
使用しているアドレスがリンク・ローカルの場合,TCP/IP サービスの getnameinfo 関数が返す文字列にはスコープ ID が含まれます。サーバはこれを許可ユーザ・リスト内のホスト名と突き合わせます。これは,エントリにスコープ ID が含まれているかどうかには関係なく実行されます。たとえば,戻り値 test12i6%WE1は, test12i6%WE1または test12i6のどちらかに一致します。
ユーザ・ベースのアクセス制御を, DECwindows Motif セッション外のサーバ接続に対して適用するには,以下の手順を実行します。
警告 アクセス許可ファイルのエントリを使用して X サーバに対する TCPIP ホスト接続を許可すると, DECwindows Motif システムに対して認証されていないアクセスが可能になります。これにより,システムが意図しない侵入,サービス停止 (DoS) 攻撃,データ損失に対して無防備になります。 適切なレベルのシステム・セキュリティを保つには,トークン・ベースの方式 (Magic Cookie や Kerberos など) を使用して TCP/IP 上での X サーバに対するリモート・アクセスを制限することをお勧めします。これらの方式では,システムの高度な保護が可能となるだけでなく,ユーザごとにアクセスを許可 (または拒否) することも可能になります。 |
$ DECW$SERVER_ACCESS_ALLOWED == "SYS$MANAGER:DECW$SERVER1_ACCESS_ALLOWED.DAT" $ DECW$SERVER_ACCESS_TRUSTED == "SYS$MANAGER:DECW$SERVER1_ACCESS_TRUSTED.DAT" |
DECNET ZEPHYR JONES LOCAL 0 JONES . . . |
ネットワーク・トランスポートとして TCP/IP を使用する場合は,アクセス特権と信頼特権は,個別のユーザに対してではなくホストに対してだけ割り当てることができる点に注意してください。 TCP/IP では,リモート接続時に渡されるデータの中にユーザ指定が含まれていません。
その結果,TCP/IP を使用したホストのファイル・エントリでは,ユーザ指定にアスタリスク (*) を含める必要があります。これにより,TCP/IP を使用して X ディスプレイ・サーバに接続する際に,特定のホスト・システムのすべてのユーザにアクセス特権が与えられます。たとえば,次のエントリは,ノード ZEPHYR 上のすべてのユーザに対して TCP/IP トランスポート経由でのアクセスを許可します。
TCPIP ZEPHYR * . . . |
DECwindows Motif デスクトップ・セッション内のサーバ接続に対してユーザ・ベースのアクセス制御を適用するには,以下の手順を実行します。
「Security Options」ダイアログ・ボックスが表示されます。
ユーザ・ベースのアクセス制御を無効にするには,すべてのユーザを「Authorized Users」リストから削除する必要があります。
ユーザ名を削除するにはまず削除するユーザ名をクリックし, [Remove] ボタンをクリックします。最後に [了解] または [適用] をクリックします。これでユーザはシステムへのアクセスが許可されなくなります。
3.3.8 Magic Cookie によるアクセス制御を有効にする
ここでは,デスクトップ・セッションの外部と内部のサーバ接続に対して Magic Cookie によるアクセス制御を適用する方法を説明します。
Magic Cookie によるアクセス制御を DECwindows Motif セッション外のサーバ接続に適用するには,以下の手順を実行します。
$ DECW$SERVER_XAUTHORITY == "SYS$MANAGER:SERVER_ZEPHYR.DECW$XAUTH" |
$ XAUTH -f SYS$SYSROOT:[SYSMGR]SERVER_ZEPHYR.DECW$XAUTH ADD - _$ :0 MIT-MAGIC-COOKIE-1 12345abcdef56789 |
このファイル内の cookie は X サーバのスタートアップ時にロードされ,すべてのクライアント接続を承認するために使用されます。
DECwindows Motif セッション内のサーバ接続に対して, Magic Cookie によるアクセス制御を適用するには,以下の手順を実行します。
「Security Options」ダイアログ・ボックスが表示されます。
Magic Cookie を無効にするには,「Magic Cookie」オプションの選択を解除し,[了解] または [適用] をクリックします。
他のユーザが現在の cookie 値を使用して現在のセッションにアクセスできないようにするには,[Create Cookie] ボタンをクリックします。新しい cookie 値がデフォルトの X authority ファイルに追加されます。
注意 新しい cookie が生成されるときに X ディスプレイ・サーバに接続しているクライアント・アプリケーションは接続されたままです。認証は,最初にサーバに接続する際にだけ実行されます。 |
3.3.9 Kerberos によるアクセス制御を有効にする |
Kerberos を有効にするためには,サーバ・システムであらかじめ以下の手順を実行しておく必要があります。
以降の項では,デスクトップ・セッションの外部と内部のサーバ接続に対して Kerberos によるアクセス制御を適用する方法を説明します。
DECwindows Motif セッション外の接続に対して Kerberos によるアクセス制御を適用するには,以下の手順を実行します。
$ KERBEROS/INTERFACE=DECWINDOWS/ADMIN |
x0/system@ORG.COMPANY.COM |
$ DECW$SERVER_XAUTHORITY == "SYS$MANAGER:SERVER_ZEPHYR.DECW$XAUTH" $ DECW$SERVER_ACCESS_ALLOWED == "SYS$MANAGER:DECW$SERVER_ZEPHYR_ACCESS_ALLOWED.DAT" $ DECW$SERVER_ACCESS_TRUSTED == "SYS$MANAGER:DECW$SERVER_ZEPHYR_ACCESS_TRUSTED.DAT" |
$ XAUTH -f SYS$SYSROOT:[SYSMGR]SERVER_ZEPHER.DECW$XAUTH - _$ ADD :0 MIT-KERBEROS-5 - _$ """CS:X0,SYS$SYSROOT:[SYSMGR]DECW$X0.KEYTAB""" |
* SYSTEM 0 |
KERBEROS jones@ORG.COMPANY.COM ALL . . . |
DECwindows Motif セッション内のサーバ接続に対して Kerberos によるアクセス制御を適用するには,以下の手順を実行します。
「Security Options」ダイアログ・ボックスが表示されます。
Kerberos を無効にするには,Kerberos オプションの選択を解除し,一覧からすべてのプリンシパルを削除して, [了解] または [適用] をクリックします。
1 つ以上のプリンシパルがセッションにアクセスできないようにするには,まず削除する名前をクリックし,次に [Remove] ボタンをクリックします。最後に,[了解] または [適用] をクリックします。そのプリンシパルはワークステーションにアクセスする許可がなくなります。
現在のチケットが信頼できなくなったと思われる場合は, [Revoke Ticket] ボタンを押すことで,セッションへのアクセスを拒否し,プリンシパルに対してログインおよび認証手順を繰り返すように強制することができます。
目次 | 索引 |
|