安全なサーバを確立する
サーバ間と同様に、クライアントとサーバ間に安全な接続を 設定することができます。
-
クライアントとサーバ間の接続は、サーバ接続時に SSLプロトコルを設定して保護することができます。詳しくは、「 SSLを使用してHelixサーバへの接続を暗号化する」を 参照してください。
クライアントとサーバ間の通信の安全は、ファイアウォールでも 確保することができます。詳しくは、 「ファイアウォールを使用する」を 参照してください。
- ユーザ認証はパスワードまたはチケットを使用して行うことができ、 パスワードの強度は管理者が設定することができます。ユーザは、 Active DirectoryまたはLDAPサーバ、 あるいは内部の Helixサーバユーザデータベースに対して 認証されます。詳しくは、「 認証オプション」を参照してください。
- アクセス権限は、「プロテクション」スキームを使用して定義されます。これにより、実行可能なHelix Coreサーバコマンド、処理対象のファイル、 コマンドを実行するユーザ、コマンドを実行するホストが決まります。詳しくは、「 アクセスの認証」を参照してください。
- マルチサーバ環境におけるサーバ間通信の安全性を確保するには、 信頼ファイルを使用してその環境内に複数のサーバを保有するサービスユーザの プロテクション権限を設します。詳しくは、 「コミットサーバおよびエッジサーバの構成の作成」を 参照してください。
アクセス権と認証を設定する前に、 「ユーザ」の説明に従い、 ユーザを作成する必要があります。
セキュリティを確保するための構成可能変数の推奨設定
Helixサーバをインストールしたら、以下の構成可能変数を 設定することをお勧めします。
|
目的 |
構成可能変数 |
値 |
|---|---|---|
superアクセス権限 ユーザが実行できるコマンドを制御するためにユーザに割り当てられた権限。この用語集の「プロテクション」項目と、Helix Coreコマンドライン(P4)リファレンスの「p4 protect」も参照してください。を持つユーザのうち、すでにパスワードが設定されているユーザだけが、各ユーザの初期パスワードを設定できるようにする必要があります |
dm.user.setinitialpasswd | 0
|
| チケットベース認証を必須にする | セキュリティ | 3または4 |
| 作成した新規ユーザに対して、パスワードのリセットを強制する | dm.user.resetpassword | 1
|
| 新規ユーザーの自動作成を禁止する | dm.user.noautocreate | 1または2 |
認証されていないユーザに対して、p4 infoの機密情報を非表示にする |
dm.info.hide | 1
|
| 認証されていないユーザに対して、ユーザの詳細情報を非表示にする | run.users.authorize | 1
|
adminアクセス権限が設定されていないユーザに対して、「キー」に含まれている情報を非表示にします。使用例については、「通常のユーザに対してSwarmストレージを非表示にする」を参照してください。 |
dm.keys.hide | 2
|
