JRun 拡張設定ガイド
ホスティング/ISP

JMC へのアクセスの保護

JRun は、JRun 管理コンソール (JMC) を使用して管理されます。JMC は、JRun サーバ、JRun サーバに関連付けられている JRun Web サーバ 、および外部 Web サーバ接続を設定するためのブラウザベースの管理ユーティリティです。

既定では、JMC は、admin JRun サーバ上で、admin JRun サーバに関連付けられている JRun Web サーバ (JWS) と連動します。外部 Web サーバとは接続されません。通常、admin サーバの JWS にはポート 8000 を介してアクセスします。

JMC へのリモート アクセスを許可する場合は、その設定時に予防措置を講じておく
必要があります。JMC を保護する方法には、次のものがあります。

• ユーザの管理
• 外部 Web サーバを介した admin JRun サーバへの安全なリモート アクセスの提供
• JMC にアクセスする際の、ホストベースの認証の使用

このセクションでは、これらの方法について説明します。

JMC ユーザの管理

新規 JMC ユーザ アカウントを追加する際は、次の点に注意してください。

• Java の設定

  ユーザは、自分の JRun サーバの [Java の設定] パネルにアクセスできます。これに より、JRun 環境にその他の変更を加えるだけでなく、Java 引数を追加および削除し、 それらの JVM のクラスパス設定を変更できます。これは、リソースやセキュリティ上 の問題となる可能性があります。[Java 引数] フィールドの使用を制限する、作成した ポリシーを強制するか、またはネットワーク OS を使用してファイル権限に制限を 加えることを検討してください。

• パスワード

  JMC へのリモート アクセスを許可する場合は、JMC のユーザが必ず推測しにくい パスワードを使用し、頻繁にパスワードを変更するようにしてください。 現在の実装 では、一定期間後にユーザにパスワードを変更するように警告することも、推測 しにくいパスワードを選択するように強制することもありません。admin パスワード を推測しにくいものにし、頻繁に変更するようにしてください。

• JWS の制限

  JMC アプリケーションは、既定では、admin JRun サーバ上で実行されます。 admin JRun サーバは、ユーザのニーズを満たすのに十分に強力な Web サーバ ではありません。その場合は、admin JRun サーバを外部の Web サーバに接続 できます。詳細は、"外部 Web サーバを介した JMC へのリモート アクセス"を 参照してください。

各顧客に対して、顧客独自の JRun サーバ、および 1 つ以上の JMC ユーザ アカウントを提供できます。顧客は、データ ソースの変更、アプリケーションの追加と削除、およびその他のタスクを行うために、JMC 内の JRun サーバ設定値へのアクセス権が必要
となる場合があります。

JRun 管理者は、JMC の [ユーザの管理] パネルを使ってユーザ アカウントを作成し、1 つ以上の JRun サーバへの顧客のアクセスを制限できます。また、PropertyScript の adduser ディレクティブを使用して、JMC ユーザの追加、変更、および削除プロセスを自動化できます。PropertyScript ユーティリティの使用方法の詳細は、30 ページの「JRun プロパティのカスタマイズ」を参照してください。

外部 Web サーバを介した JMC へのリモート アクセス

jmc-app を実行する JWS は、ユーザのニーズを満たすことのできる強力な Web サーバではありません。その場合は、admin JRun サーバを Apach や IIS などの外部 Web サーバに接続できます。その後、admin サーバの JWS を無効にします。これにより、ユーザや顧客は JMC に安全にリモート アクセスを行うことができます。

外部 Web サーバを介した JMC へのリモート アクセスを設定するには

1. admin JRun サーバを外部 Web サーバに接続します。

   これらのサーバが分散環境にある場合は、コネクタ ウィザードを使用して接続 するか、『JRun セットアップ ガイド』の説明に従って接続します。

2. 接続をテストします。

   たとえば、外部の Web サーバがポート 8001 上で受信している場合、次の URL を 開きます。

   http://www.yourdomain.com:8001/security/login.jsp
   

   JMC ログイン ページが表示されます。

3. JMC に接続されている JWS を停止します。これにより、新たに接続された外部 Web サーバを介してのみ JMC にアクセスできるようになります。これを行うには、admin サーバの local.properties ファイル内の servlet.services プロパティから web サービスを削除します。

     # was:servlet.services=jndi,jdbc,{servlet.webapps},jcp,web
     servlet.services=jndi,jdbc,{servlet.webapps},jcp
   

4. admin JRun サーバを再起動します。

あるいは、admin サーバを外部 Web サーバに接続するのではなく、admin サーバの JWS のクライアント IP フィルタ設定を編集することも可能です。この設定は、JMC の [JRun Web サーバ] パネルで行うことができます。詳細は、"JWS へのホストベースの認証の設定"を参照してください。

JWS へのホストベースの認証の設定

JWS 上で jmc-app を実行する場合 (既定の設定) は、JMC の [JRun Web サーバ] パネルを使用してホストベースの認証を指定できます。クライアント IP フィルタ設定は、JWS にアクセスできる IP アドレスの定義されている一覧と照合することによって、要求元に基づいてアクセスを制御します。

JWS のクライアント IP フィルタを編集するには

1. JMC の左側のペインで、[マシン名] > [ JRun サーバ名] > [JRun Web サーバ] を選択します。

   [JRun Web サーバ] パネルが表示されます。

   

2. 右側のペインで、[クライアント IP フィルタ] フィールドをクリックします。

   JRun Web サーバの編集ウィンドウが表示されます。

3. IP アドレスを入力します (複数の場合はカンマで区切ります)。

   上記の IP アドレスを使用するクライアントのみが、JRun Web サーバとそのアプリ ケーションにアクセスできます。アスタリスク (*) は、すべてのクライアントがその Web サーバにアクセスできることを意味します。

   * を、リモート管理を実行するユーザの IP アドレスに変更できます。クライアント IP フィルタ設定は、ここで定義された IP アドレスと照合することによって、要求元に 基づいてアクセスを制御します。

   この方法は、ファイアウォールまたはクライアント マシンの真の ID をマスクする ほかのサービスを介して JMC にアクセスする場合に問題となることがあります。 この場合、"外部 Web サーバを介した JMC へのリモート アクセス"で説明され ているように、JWS を無効にし、外部 Web サーバへの接続を介して jmc-app に アクセスする必要があります。

4. 変更を適用するには、[更新] ボタンをクリックします。
5. JRun サーバを再起動します。

Copyright © 2001, Macromedia Inc. All rights reserved.