Interstage Application Server セキュリティシステム運用ガイド

目次 索引

1.1.2.1 業務サーバ、または認証サーバをDMZに配置する場合の脅威

　セション管理の運用を行う場合には、業務サーバ、または認証サーバをDMZに配置することができます。
　ただし、DMZに配置することでサーバが乗っ取られる危険性が高まり、サーバが乗っ取られた場合には、通信データの盗聴や改竄、成りすましなどによる不正使用の脅威となります。

　万が一、業務サーバ、または認証サーバの乗っ取りが行われた場合は、Interstage シングル・サインオンシステムを構成するすべてのサーバの暗号化情報(サービスID)を更新する必要があります。
　各サーバの暗号化情報(サービスID)の更新方法について以下に説明します。
　各コマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。

• リポジトリサーバ
  1. ssoupsidコマンドを使用して、リポジトリサーバ(複数台で運用している場合は、更新系)の暗号化情報(サービスID)を更新します。
  2. 認証基盤構築ファイルをダウンロードし、認証サーバ、およびリポジトリサーバを複数台で運用している場合は、リポジトリサーバ(参照系)に転送します。
  3. 業務システム構築ファイルをダウンロードし、業務サーバ管理者に配布します。
• リポジトリサーバ(参照系)
  リポジトリサーバを複数台で運用している場合は、ssoimpsvコマンドを使用して、リポジトリサーバ(参照系)の暗号化情報(サービスID)を更新します。
• 認証サーバ
  ssoimpacコマンドを使用して、認証サーバの暗号化情報(サービスID)を更新します。
• 業務サーバ
  ssoimpazコマンドを使用して、業務サーバの暗号化情報(サービスID)を更新します。
• Javaアプリケーション
  Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合は、ssoimpazコマンドを使用して、業務サーバ用のサービスIDファイルを作成します。

　各サーバで暗号化情報(サービスID)を更新した後は、必ずサーバ、またはJavaアプリケーションを再起動してください。

　暗号化情報(サービスID)を更新後、認証、および認可が正常に行われない場合、暗号化情報(サービスID)の更新に失敗している可能性があります。暗号化情報(サービスID)の整合性を確認し、対処を行ってください。

【暗号化情報(サービスID)の整合性の確認】

• 暗号化情報(サービスID)の更新を行った各サーバのシステムのログに、sso00204のメッセージが出力されていることを確認してください。
  メッセージが出力されていない場合、暗号化情報(サービスID)の更新が行われていません。再度、暗号化情報(サービスID)の更新を行い、サーバを再起動してください。
• 暗号化情報(サービスID)の更新後に、暗号化情報(サービスID)の更新を行った各サーバ、またはJavaアプリケーションの再起動が行われたか確認してください。
  暗号化情報(サービスID)の更新時、システムのログにsso00204のメッセージが出力されますので、それ以降にサーバを起動したメッセージがシステムのログに出力されているか、またはJavaアプリケーションの起動を行ったか確認してください。
  再起動を行っていない場合は、サーバ、またはJavaアプリケーションを再起動してから再度実施してください。
• リポジトリサーバ(参照系)、認証サーバ、および業務サーバのシステムのログに出力されている、sso00204のメッセージの“サービスIDファイルの整合性ID”が、リポジトリサーバ(複数台で運用している場合は、更新系)のシステムのログに出力されている、sso00204のメッセージの“サービスIDファイルの整合性ID”と同じであることを確認してください。
  “サービスIDファイルの整合性ID” が異なっている場合は、再度、暗号化情報(サービスID)の更新を行い、サーバを再起動してください。

目次 索引