Interstage Application Server セキュリティシステム運用ガイド
目次 索引 前ページ次ページ
付録A セキュリティの強化(Interstage資源の保護)> A.2 Interstage資源保護のための環境設定

A.2.1 CORBAサービス

 [マルチシステム運用の場合]

 本節に記載しているファイルパス名は、デフォルトシステムでのパス名です。
 マルチシステム運用の拡張システムでのCORBAサービス資源ファイルについては、以下のパス名に読み変えてください。

ファイル種別

デフォルトシステムのパス名 (注)

拡張システムのパス名

環境定義ファイル

/etc/opt/FSUNod/config

/var/opt/FJSVisas/system/システム名/FSUNod/etc/config

/etc/opt/FSUNod/irconfig

/var/opt/FJSVisas/system/システム名/FSUNod/etc/irconfig

インタフェースリポジトリのデータベース格納ディレクトリ

/opt/FSUNtd/var/IRDB

/var/opt/FJSVisas/system/システム名/FSUNod/IRDB (デフォルト:Interstage動作環境定義の"IR path for DB file"の設定値)

/opt/FSUNod/IRDB

- (odadminでは拡張システム構築不可)

動的生成ファイル

/var/opt/FSUNod 配下

/var/opt/FJSVisas/system/システム名/FSUNod/var 配下
注)
デフォルトシステムのパス名は、インストール・環境設定でのデフォルトパスです。

環境設定項目

 CORBAサービスの環境設定には、以下の2項目があります。

  a.アプリケーション動作におけるユーザの設定
  b.すでに生成された資源ファイルの権限属性の変更

 なお、Interstage(CORBAサービス)の初期環境設定を実施していない状態(インストール直後)の場合は、bの処理を行う必要はありません。

 環境設定手順の詳細を以下に説明します。

【インストール直後に実施する場合】

 資源保護のための環境設定を、Interstage(CORBAサービス:FSUNod/FJSVodパッケージ)のインストール直後に行う場合、“a.アプリケーション動作におけるユーザの設定”を実施し、Interstage(CORBAサービス)の初期環境設定としてisinitコマンド(またはodadminコマンド)を実行します。

【Interstage初期環境設定後に実施する場合】

 資源保護のための環境設定を、Interstage(CORBAサービス)の初期環境設定後(isinitコマンドまたはodadminコマンドの実行。その後のシステム運用を含む)に行う場合、“a.アプリケーション動作におけるユーザの設定”と“b.すでに生成された資源ファイルの権限属性の変更”を実施する必要があります。

環境設定方法

 資源保護のための環境設定方法について説明します。

a.アプリケーション動作におけるユーザの設定

  1. Interstageの停止
    Interstageが動作中の場合は、isstop -fコマンドを実行してInterstageを停止します。
  2. CORBAサービスの資源保護機能・CORBAアプリケーション動作ユーザの設定
    CORBAサービス環境定義ファイル(config)に以下の記述を追加します。

     iss_use = yes
     iss_uid = ユーザID
     iss_gid = グループID

    [説明]
         ユーザID("iss_uid")には、CORBAアプリケーション動作時のユーザID(所有者)を指定します。すでにシステムにユーザ登録されているユーザ(以降「特定ユーザ」)を指定してください。なお、「特定ユーザ」の実効グループは、Interstageを起動したスーパユーザの実効グループと一致させる必要があります。
     グループID("iss_gid")は省略可能です。

  3. インタフェースリポジトリの資源保護機能の設定
    インタフェースリポジトリサービス環境定義ファイル(irconfig)に以下の記述を追加します。

     iss_use = yes
  4. Interstage(CORBAサービス)の初期環境設定(isinitまたはodadminコマンド)、またはInterstage(CORBAサービス)の起動を行ってください。

b.すでに生成された資源ファイルの権限属性の変更

 CORBAサービスの初期環境設定、および運用中に動的に生成されたディレクトリ・ファイルのアクセス権限を所有者だけに限定するよう、ファイルの権限属性を変更します。
 /var/opt/FSUNod(Solaris OE)または/var/opt/FJSVod(Linux)配下で動的に生成するファイルのファイルアクセス権限をオーナのみにします。

  1. 動的生成されたファイルの権限属性変更
    CORBAサービス運用中に動的に生成されたファイルの権限属性を変更します。所有者を「特定ユーザ」に、書込み権限を所有者のみとなるように設定します。

      #chown 特定ユーザ 動的生成ファイル
      #chmod 0644 動的生成ファイル

    動的生成ファイル
    対象となる動的生成ファイルを以下に示します。

     /var/opt/FSUNod(Solaris OE)または/var/opt/FJSVod(Linux) 配下
        .log_pipe
        .share
        .named_pipe
        log
        log.old
        pid
  2. インタフェースリポジトリのデータベース格納ディレクトリの権限属性変更
    すでにInterstage(CORBAサービス)の初期環境設定(isinitまたはodadminコマンド)により、インタフェースリポジトリ環境が構築されており、データベース管理者がroot(デフォルト)以外の場合は、データベース格納ディレクトリの権限属性を変更する必要があります。
    データベース格納ディレクトリの所有者をデータベース管理者に、データベース管理者(所有者)のみが書込み権限を保持するように設定してください。

      #chmod 0755 データベース格納ディレクトリ
      #chown データベース管理者 データベース格納ディレクトリ

     “データベース格納ディレクトリ”と“データベース管理者”には、インタフェースリポジトリの構築時(isinitコマンドまたはodadminコマンド)に指定したものを使用します。

     

    初期環境設定方法

    isinitコマンド
    (Interstage動作環境定義ファイル)

    odadminコマンド
    (odadminコマンド実行時に指定)

    データベース格納ディレクトリ

    "IR path for DB file"の設定値

    (デフォルト:/opt/FSUNtd/var/IRDB)

    (デフォルト:/opt/FJSVtd/var/IRDB)

    ディレクトリパス

    (デフォルト:/opt/FSUNod/IRDB)

    (デフォルト:/opt/FJSVod/IRDB)

    データベース管理者

    "IR User Name"の設定値
    (デフォルト:root)

    ユーザ名
    (デフォルト:root)

 [ユーザへの影響]

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2006