Sentinel Rapid Deploymentサーバをインストールすると、インストールされたファイルを所有するシステムユーザとグループが<install_directory>内に作成されます。このユーザが存在しない場合は作成され、ホームディレクトリが<install_directory>に設定されます。新しいユーザが作成されても、セキュリティを最大限に高めるために、そのユーザのパスワードはデフォルトでは設定されません。インストール時に作成されたそのユーザでシステムにログインするには、インストール後にユーザのパスワードを設定する必要があります。
システムユーザは、コレクタマネージャがインストールされているオペレーティングシステムに応じてセキュリティレベルが異なる場合があります。
Linux: インストールされるファイルを所有するシステムユーザの名前と、そのホームディレクトリを作成する場所を指定するよう求められます。デフォルトでは、システムユーザはesecadmですが、このシステムユーザ名は変更できます。このユーザが存在しない場合、ホームディレクトリと共に作成されます。新しいユーザが作成されても、セキュリティを最大限に高めるために、インストール時にそのユーザのパスワードは設定されません。そのユーザでシステムにログインするには、インストール後にユーザのパスワードを設定する必要があります。デフォルトのグループはesecです。
クライアントのインストール時に、ユーザがすでに存在している場合は、再度ユーザを指定することは求められません。この動作は、ソフトウェアのアンインストールや再インストール時の動作と同様です。ただし、次の方法でインストーラに再びユーザを指定するように求めさせることができます。
最初のインストール時に作成されたユーザとグループを削除します。
/etc/profileからESEC_USER環境変数を消去します。
Windows: ユーザは作成されません。
システムユーザのパスワードポリシーは、使用されているオペレーティングシステムによって定義されます。
Sentinel Rapid Deploymentアプリケーションのユーザはすべてネイティブのデータベースユーザで、これらのユーザのパスワードはネイティブのデータベースプラットフォームが従う手順を使用して保護されます。これらのユーザは、データベースに対してクエリを実行できるように、データベースの特定のテーブルに対する読み取りアクセスのみが与えられます。
インストーラによって、PostgreSQLデータベースが作成および設定されます。その際、以下のユーザも作成されます。
admin: adminユーザは、ログインするすべてのSentinelアプリケーションの管理者ユーザです。
dbauser: dbauserは、データベースを管理できるスーパーユーザとして作成されます。dbauserのパスワードは、Sentinel Rapid Deploymentサーバのインストール時に設定されます。このパスワードは、<user home directory>/.pgpassに保存されます。システムは、PostgreSQLデータベースのパスワードポリシーに従います。詳細については、セクション 5.3.3, ユーザのパスワードポリシーの強制を参照してください。
appuser:
appuserは、Sentinelアプリケーションがデータベースに接続するのに使用する非スーパーユーザです。デフォルトでは、appuserはインストール時に無作為に生成されたパスワードを使用します。このパスワードは、暗号化されて<install_directory>/configディレクトリ内のXMLファイル(das_core.xml、das_binary.xml、およびadvisor_client.xml)に保存されます。appuserのパスワードを変更するには、<install_directory>/bin/dbconfigユーティリティを使用します。詳細については、『Sentinel Rapid Deployment Reference Guide』のDAS Container Files
を参照してください。
メモ:システムデータベーステーブルを含むデータベース全体を所有するPostgreSQLというデータベースユーザも存在します。デフォルトでは、PostgreSQLデータベースユーザはNOLOGINとして設定されるため、PostgreSQLユーザとしてログインすることはできません。
Sentinel Rapid Deploymentは、簡単にパスワードポリシーを強制できるように標準ベースのメカニズムを採用しています。
インストーラによって、PostgreSQLデータベースが作成および設定されます。その際、以下のユーザも作成されます。
dbauser: データベースの所有者(データベース管理者ユーザ)。そのパスワードはインストールプロセスで設定されます。
appuser: これは、Sentinel Rapid Deploymentからデータベースにログインするのに使用されるユーザです。そのパスワードはインストールプロセスでランダムに生成され、内部でのみ使用されることを目的としています。
admin: Sentinel Rapid DeploymentのWebインタフェースへのログインに管理者の資格情報を使用できます。そのパスワードはインストールプロセスで設定されます。
デフォルトでは、ユーザのパスワードはSentinel Rapid Deploymentに組み込まれているPostgreSQLデータベース内に保存されます。PostgreSQLは、PostgreSQLのマニュアルのクライアント認証のセクションで説明されている、さまざまな標準ベースの認証メカニズムを利用するオプションを提供します。
これらのメカニズムを活用すると、Webアプリケーションユーザやdbauserおよびappuserなどのバックエンドサービスでのみ使用されるアカウントを含む、Sentinel Rapid Deployment内のすべてのユーザアカウントに影響を与えます。
より簡単なオプションとしては、Webアプリケーションユーザを認証するのにLDAPディレクトリを使用することが挙げられます。Sentinel Rapid Deploymentサーバでこのオプションを有効にするには、セクション 3.7, LDAP認証を参照してください。このオプションは、バックエンドサービスが使用するアカウントには影響を与えません。これらのアカウントは、PostgreSQLの環境設定を変更しない限り、PostgreSQL経由で認証し続けます。
これらの標準ベースのメカニズムと、環境内ですでに使用されているLDAPディレクトリなどのメカニズムとを使用することで、Sentinel Rapid Deploymentのパスワードポリシーの強固な強制を実現できます。