Interstage Application Server 使用上の注意 - Windows(R) -

目次

3.17.3 ポータル機能の運用形態についての注意

1) インターネット環境について

　ポータル機能のサーバをインターネットに公開する場合、セキュアな環境の構築が必要となります。このような場合、DMZ上にSecurityDirector、IDC上にポータル機能を置き、ポータル機能へのアクセスはSecurityDirector経由で接続するような環境を構築し、運用することを推奨します。
　また、ポータル機能のサーバは必ず、DNS(Domain Name System)に登録してください。

　　※DMZ(DeMilitarized Zone)
　　　インターネットと IDC からファイアウォールによって隔離されたセグメント。
　　※IDC(Internet Data Center)
　　　インターネットと接続されたセキュアなデータセンタ。

　インターネットゾーンとDMZ(SecurityDirector)の間はhttpsプロトコルで通信して下さい。DMZ(SecurityDirector)とポータル機能間は、http、httpsプロトコルのみが有効です。
　また、ポータル機能のサーバをインターネットに公開する場合には、以下の手順により、ファイルのアクセス権変更コマンドを実行してください。これにより Windowsの一般利用者から不当なファイル変更ができなくなります。

1. ポータル機能をインストールしたユーザIDでWindowsサーバにログオンします。
2. ポータル機能のインストールが完了していることを確認してください。
3. コマンドプロンプトを起動してください。
4. 以下のプログラムを実行してください。
   　[Interstageのインストールフォルダ]\Portalworks\bin\pwinetop.exe -d|-w
   　ドメインに所属しているマシンに本システムを"C:\Interstage\Portalworks"にインストールした場合は以下のようになります。
   　C:\Interstage\Portalworks\bin\pwinetop.exe -d
   　ドメインに所属していない(ワークグループの)マシンに本システムを"C:\Interstage\Portalworks"にインストールした場合は以下のようになります。
   　C:\Interstage\Portalworks\bin\pwinetop.exe -w

2) Fujitsu Enablerのセキュリティ対策について

　Interstage Application Server Plusの場合は、Fujitsu Enablerのセキュリティ対策として以下の設定を行ってください。

[アカウントの設定]
　Fujitsu Enablerでは、"oms"というアカウントを特別な目的で利用します。omsアカウントを利用した悪意あるアクセスを防ぐために、omsアカウントによるローカルログインを禁止してください。
　omsアカウントがすでに他の目的で使用されているなどの理由で、ローカルでログオンを拒否することができない場合には、セキュリティの問題を減らすために、スクリーンセーバーをパスワード保護するようにしてください。

[フォルダの設定]
　以下のFujitsu Enablerの共有フォルダに対するアクセス権限を変更します。

• [Enablerインストールフォルダ]\Server\control （共有名は"enabler"）
  • アクセス許可の設定
    • 「Administrators」グループにフルコントロールのアクセス権を設定
    • 「Everyone」に対して読み取りと実行権を設定
  • 共有アクセス許可の設定
    • 「Everyone」に対して読み取り権のみを設定
      
      
• [Enablerインストールフォルダ]\Server\FASADM （共有名は"FAS$ADM"）
  • アクセス許可の設定
    • 「Administrators」グループにフルコントロールのアクセス権を設定
    • 「Everyone」に対して読み取りと実行権を設定
  • 共有アクセス許可の設定
    本フォルダに対しては共有アクセス許可の設定の必要はありません。

目次