Hitachi Command Suite システム構成ガイド
セキュリティに関するプロパティは,server.propertiesファイルおよびcimxmlscpa.propertiesファイルに含まれています。
- server.propertiesファイル
- Windowsの場合:
<Hitachi Command Suiteのインストールフォルダ>\DeviceManager\HiCommandServer\config\server.properties- Linuxの場合:
<Hitachi Command Suiteのインストールディレクトリ>/HiCommandServer/config/server.properties- cimxmlscpa.propertiesファイル
- Windowsの場合:
<Hitachi Command Suiteのインストールフォルダ>\DeviceManager\HiCommandServer\wsi\server\jserver\bin\cimxmlscpa.properties- Linuxの場合:
<Hitachi Command Suiteのインストールディレクトリ>/HiCommandServer/wsi/server/jserver/bin/cimxmlscpa.properties
- この節の構成
- A.8.1 server.http.security.clientIP
- A.8.2 server.http.security.clientIPv6
- A.8.3 server.https.security.keystore
- A.8.4 server.http.security.unprotected
- A.8.5 server.https.security.truststore
- A.8.6 server.https.enabledCipherSuites
- A.8.7 server.https.protocols
- A.8.8 Ciphers
A.8.1 server.http.security.clientIP
Device Managerサーバに接続できるIPv4アドレスを指定します。
server.http.security.clientIPプロパティはserver.propertiesファイルに存在します。
この設定は,接続できるIPアドレスを制限することで,サービス妨害攻撃やバッファーのオーバーフローを狙った攻撃を防ぐのに役立ちます。
172.16.0.1と192.168.0.0~192.168.255.255の接続を許可する場合の指定例を次に示します。
server.http.security.clientIP=172.16.0.1,192.168.*.*
1つのIPアドレスで複数の接続元を指定する場合には,アスタリスク(*)をワイルドカード文字として使用できます。IPアドレスを複数指定する場合は,コンマ(,)で区切ります。無効なIPアドレスや空白文字(スペース)は無視されます。
デフォルト:*.*.*.*(すべてのIPアドレスが接続できます)
- 注意
- Device Managerサーバをインストールしたマシンを示すIPアドレス(ローカルループバックアドレス)は,設定する必要はありません。このプロパティでは,ローカルループバックアドレスからは常にDevice Managerサーバに接続できるものと見なされます。
- Hitachi Command Suite共通コンポーネントの環境定義ファイルuser_httpsd.confにもIPアドレスを登録する必要があります。
A.8.2 server.http.security.clientIPv6
Device Managerサーバに接続できるIPv6アドレスを指定します。
server.http.security.clientIPv6プロパティはserver.propertiesファイルに存在します。
この設定は,接続できるIPアドレスを制限することで,サービス妨害攻撃やバッファーのオーバーフローを狙った攻撃を防ぐのに役立ちます。
12AB:0:0:CD30::~12AB:0:0:CD3F:FFFF:FFFF:FFFF:FFFFの接続を許可する場合の指定例を次に示します。
server.http.security.clientIPv6=12AB:0:0:CD30::/60
CIDR形式で範囲を指定できます。IPアドレスを複数指定する場合は,コンマ(,)で区切ります。無効なIPアドレスの指定や空白文字(スペース)は無視されます。
デフォルト:::(すべてのIPアドレスが接続できます)
- 注意
- Device Managerサーバをインストールしたマシンを示すIPアドレス(ローカルループバックアドレス)は,設定する必要はありません。このプロパティでは,ローカルループバックアドレスからは常にDevice Managerサーバに接続できるものと見なされます。
- Hitachi Command Suite共通コンポーネントの環境定義ファイルuser_httpsd.confにもIPアドレスを登録する必要があります。
A.8.3 server.https.security.keystore
SSLまたはTLSで暗号化された通信の確立に使用されるキーペアとサーバ証明書を格納するキーストアーファイルの名前を指定します。
server.https.security.keystoreプロパティはserver.propertiesファイルに存在します。
Device Managerのバージョン8.1.3以降では,Device Managerを新規インストールした場合,またはDevice Managerサーバの証明書が存在しない状態でアップグレードインストールをした場合,Device Managerサーバのキーストアーには,VSP 5000シリーズ,VSP G1000,G1500,VSP F1500,VSP Gx00モデル,およびVSP Fx00モデルに対するユーザーアカウント認証用のデフォルトの証明書が格納されています。 VSP 5000シリーズ,VSP G1000,G1500,VSP F1500,VSP Gx00モデル,およびVSP Fx00モデルとの通信をよりセキュアにしたい場合,またはほかの用途でセキュリティ通信をする場合は,キーペアと自己署名証明書または信頼された証明書をキーストアーにインポートし直してください。
デフォルト:keystore
A.8.4 server.http.security.unprotected
サーバのドキュメントルートにある保護していないファイルリソースを指定します。
server.http.security.unprotectedプロパティはserver.propertiesファイルに存在します。
複数のファイルリソースを指定する場合は,各項目をコンマ(,)で区切ります。スペースは無視されます。ファイルまたはディレクトリが未保護として指定されている場合,サーバのセキュリティモード設定に関わらず,これらはアクセス制御リストチェック(ユーザー認証)から除かれます。アスタリスクをワイルドカード文字として使用することで,ディレクトリ全体(ネストされたサブディレクトリも含む)を未保護としてフラグを設定できます。スペースを指定した場合には,すべてのリソースが保護されます。この結果,Device Managerへのすべての要求にユーザー認証が必要になります。
このプロパティは,ユーザー認証を必要とせず,誰でもindex.htmlフロントページをWebブラウザーに表示できるようにします。さらに重要なことは,Java Web Startアプリケーションが,一連のログオンダイアログを表示せずにJARファイルを更新し,(HiCommand.jnlpファイルを介して)エンドユーザーのシステムに展開できることです。同様に,手順ごとに独立した認証を必要とせずに,GUIのヘルプファイル(および特定のクライアントインストール情報)をWebブラウザーに表示できます。通常,この設定を変更する必要はありません。
デフォルト:index.html, HiCommand/*, webstart/*, images/*, style/*, docs/*, favicon.ico, vasa/*
A.8.5 server.https.security.truststore
Device Managerサーバのトラストストアーファイルを指定します。
server.https.security.truststoreプロパティはserver.propertiesファイルに存在します。
デフォルト:dvmcacerts
- 重要
- このプロパティは,HiKeytoolで変更できません。値を変更するには,server.propertiesファイルで値を編集する必要があります。
A.8.6 server.https.enabledCipherSuites
次のSSL/TLS通信で使用する暗号方式(Cipher Suite)をコンマ(,)で区切って指定します。
- Device ManagerサーバとDevice Manager GUI(Webブラウザー)間
- Device ManagerサーバとDevice Manager CLI間
- Device ManagerサーバとDevice Managerエージェント間
- Device ManagerサーバとReplication Managerサーバ間
server.https.enabledCipherSuitesプロパティはserver.propertiesファイルに存在します。
指定できる暗号方式は次のとおりです。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
デフォルト:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256
次のSSL/TLS通信で使用するプロトコルをコンマ(,)で区切って指定します。
- Device ManagerサーバとDevice Manager GUI(Webブラウザー)間
- Device ManagerサーバとDevice Manager CLI間
- Device ManagerサーバとDevice Managerエージェント間
- Device ManagerサーバとReplication Managerサーバ間
server.https.protocolsプロパティはserver.propertiesファイルに存在します。
指定できるプロトコルは次のとおりです。
- TLSv1
- TLSv1.1
- TLSv1.2
指定したプロトコルのうち,暗号強度の高いプロトコルから使用されます。
デフォルト:TLSv1,TLSv1.1,TLSv1.2
Device ManagerサーバとCIM クライアント間(オブジェクト操作とインディケーション通知)のSSL/TLS通信で使用する暗号方式(Cipher Suite)をコンマ(,)で区切って指定します。
指定できる暗号方式は次のとおりです。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
デフォルトで使用される暗号方式は次のとおりです。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
cimxmlscpa.propertiesファイルおよびCiphersプロパティは,デフォルトでは存在しません。使用する暗号方式を制限する場合は,cimxmlscpa.propertiesファイルを新規作成し,Ciphersプロパティを次の形式で追記してください。
Ciphers = <暗号方式>,<暗号方式>,…
- 注意
- cimxmlscpa.propertiesファイルは,Device Managerサーバのサービスを起動した際に削除されます。このため,設定した値を控えておくことをお勧めします。
All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.