Hitachi Command Suite システム構成ガイド

[目次][索引][前へ][次へ]

A.8 Device Managerのセキュリティに関するプロパティ(server.propertiesファイルとcimxmlscpa.propertiesファイル)

セキュリティに関するプロパティは,server.propertiesファイルおよびcimxmlscpa.propertiesファイルに含まれています。

この節の構成
A.8.1 server.http.security.clientIP
A.8.2 server.http.security.clientIPv6
A.8.3 server.https.security.keystore
A.8.4 server.http.security.unprotected
A.8.5 server.https.security.truststore
A.8.6 server.https.enabledCipherSuites
A.8.7 server.https.protocols
A.8.8 Ciphers

A.8.1 server.http.security.clientIP

Device Managerサーバに接続できるIPv4アドレスを指定します。

server.http.security.clientIPプロパティはserver.propertiesファイルに存在します。

この設定は,接続できるIPアドレスを制限することで,サービス妨害攻撃やバッファーのオーバーフローを狙った攻撃を防ぐのに役立ちます。

172.16.0.1192.168.0.0192.168.255.255の接続を許可する場合の指定例を次に示します。

server.http.security.clientIP=172.16.0.1,192.168.*.*

1つのIPアドレスで複数の接続元を指定する場合には,アスタリスク(*)をワイルドカード文字として使用できます。IPアドレスを複数指定する場合は,コンマ(,)で区切ります。無効なIPアドレスや空白文字(スペース)は無視されます。

デフォルト:*.*.*.*(すべてのIPアドレスが接続できます)

注意
  • Device Managerサーバをインストールしたマシンを示すIPアドレス(ローカルループバックアドレス)は,設定する必要はありません。このプロパティでは,ローカルループバックアドレスからは常にDevice Managerサーバに接続できるものと見なされます。
  • Hitachi Command Suite共通コンポーネントの環境定義ファイルuser_httpsd.confにもIPアドレスを登録する必要があります。

関連タスク

A.8.2 server.http.security.clientIPv6

Device Managerサーバに接続できるIPv6アドレスを指定します。

server.http.security.clientIPv6プロパティはserver.propertiesファイルに存在します。

この設定は,接続できるIPアドレスを制限することで,サービス妨害攻撃やバッファーのオーバーフローを狙った攻撃を防ぐのに役立ちます。

12AB:0:0:CD30::12AB:0:0:CD3F:FFFF:FFFF:FFFF:FFFFの接続を許可する場合の指定例を次に示します。

server.http.security.clientIPv6=12AB:0:0:CD30::/60

CIDR形式で範囲を指定できます。IPアドレスを複数指定する場合は,コンマ(,)で区切ります。無効なIPアドレスの指定や空白文字(スペース)は無視されます。

デフォルト:::(すべてのIPアドレスが接続できます)

注意
  • Device Managerサーバをインストールしたマシンを示すIPアドレス(ローカルループバックアドレス)は,設定する必要はありません。このプロパティでは,ローカルループバックアドレスからは常にDevice Managerサーバに接続できるものと見なされます。
  • Hitachi Command Suite共通コンポーネントの環境定義ファイルuser_httpsd.confにもIPアドレスを登録する必要があります。

関連タスク

A.8.3 server.https.security.keystore

SSLまたはTLSで暗号化された通信の確立に使用されるキーペアとサーバ証明書を格納するキーストアーファイルの名前を指定します。

server.https.security.keystoreプロパティはserver.propertiesファイルに存在します。

Device Managerのバージョン8.1.3以降では,Device Managerを新規インストールした場合,またはDevice Managerサーバの証明書が存在しない状態でアップグレードインストールをした場合,Device Managerサーバのキーストアーには,VSP 5000シリーズ,VSP G1000,G1500,VSP F1500,VSP Gx00モデル,およびVSP Fx00モデルに対するユーザーアカウント認証用のデフォルトの証明書が格納されています。 VSP 5000シリーズ,VSP G1000,G1500,VSP F1500,VSP Gx00モデル,およびVSP Fx00モデルとの通信をよりセキュアにしたい場合,またはほかの用途でセキュリティ通信をする場合は,キーペアと自己署名証明書または信頼された証明書をキーストアーにインポートし直してください。

デフォルト:keystore

関連概念

A.8.4 server.http.security.unprotected

サーバのドキュメントルートにある保護していないファイルリソースを指定します。

server.http.security.unprotectedプロパティはserver.propertiesファイルに存在します。

複数のファイルリソースを指定する場合は,各項目をコンマ(,)で区切ります。スペースは無視されます。ファイルまたはディレクトリが未保護として指定されている場合,サーバのセキュリティモード設定に関わらず,これらはアクセス制御リストチェック(ユーザー認証)から除かれます。アスタリスクをワイルドカード文字として使用することで,ディレクトリ全体(ネストされたサブディレクトリも含む)を未保護としてフラグを設定できます。スペースを指定した場合には,すべてのリソースが保護されます。この結果,Device Managerへのすべての要求にユーザー認証が必要になります。

このプロパティは,ユーザー認証を必要とせず,誰でもindex.htmlフロントページをWebブラウザーに表示できるようにします。さらに重要なことは,Java Web Startアプリケーションが,一連のログオンダイアログを表示せずにJARファイルを更新し,(HiCommand.jnlpファイルを介して)エンドユーザーのシステムに展開できることです。同様に,手順ごとに独立した認証を必要とせずに,GUIのヘルプファイル(および特定のクライアントインストール情報)をWebブラウザーに表示できます。通常,この設定を変更する必要はありません。

デフォルト:index.html, HiCommand/*, webstart/*, images/*, style/*, docs/*, favicon.ico, vasa/*

A.8.5 server.https.security.truststore

Device Managerサーバのトラストストアーファイルを指定します。

server.https.security.truststoreプロパティはserver.propertiesファイルに存在します。

デフォルト:dvmcacerts

重要
このプロパティは,HiKeytoolで変更できません。値を変更するには,server.propertiesファイルで値を編集する必要があります。

A.8.6 server.https.enabledCipherSuites

次のSSL/TLS通信で使用する暗号方式(Cipher Suite)をコンマ(,)で区切って指定します。

server.https.enabledCipherSuitesプロパティはserver.propertiesファイルに存在します。

指定できる暗号方式は次のとおりです。

デフォルト:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256

A.8.7 server.https.protocols

次のSSL/TLS通信で使用するプロトコルをコンマ(,)で区切って指定します。

server.https.protocolsプロパティはserver.propertiesファイルに存在します。

指定できるプロトコルは次のとおりです。

指定したプロトコルのうち,暗号強度の高いプロトコルから使用されます。

デフォルト:TLSv1,TLSv1.1,TLSv1.2

A.8.8 Ciphers

Device ManagerサーバとCIM クライアント間(オブジェクト操作とインディケーション通知)のSSL/TLS通信で使用する暗号方式(Cipher Suite)をコンマ(,)で区切って指定します。

指定できる暗号方式は次のとおりです。

デフォルトで使用される暗号方式は次のとおりです。

cimxmlscpa.propertiesファイルおよびCiphersプロパティは,デフォルトでは存在しません。使用する暗号方式を制限する場合は,cimxmlscpa.propertiesファイルを新規作成し,Ciphersプロパティを次の形式で追記してください。

Ciphers = 暗号方式,暗号方式,

注意
cimxmlscpa.propertiesファイルは,Device Managerサーバのサービスを起動した際に削除されます。このため,設定した値を控えておくことをお勧めします。

[目次] [前へ] [次へ]

[マニュアル発行元]

All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.