Novell Documentation: ZENworks 6.5 - セキュリティ保護されていない接続でのサーバ間通信のセキュリティ

セキュリティ保護されていない接続でのサーバ間通信のセキュリティ

Policy and Distribution Servicesでは、通常のサーバ間通信にXMLRPC (Extensible Markup Language Remote Procedure Call)を使用します。XMLRPCは、オプションで、セキュリティ保護されていない接続でのサーバ間通信に対してセキュリティを提供します。Policy and Distribution Servicesでは、セキュリティ保護されていない接続でのサーバ間の通信や、セキュリティ保護されていない接続での管理ワークステーションとサーバの間の通信に、このセキュリティを使用します。たとえば、ファイアウォール、イントラネット、NAT構成などです。

このサーバ間通信のセキュリティによって、セキュリティで保護されていない接続を介して受信したデータが信頼されるソースから送信されたものであり、途中で改ざんされておらず、受信したデータは他のコンピュータでも信頼できることが保証されます。これは、署名付きのセキュリティ証明書とデジタル署名を使用することによって実現されます。

このセキュリティでは特定のテキストファイルを編集する必要があり、Server Managementウィザードを使用してインストールされます。

サーバ間通信のセキュリティが必要になるのは、次のような場合です。

ConsoleOneの管理: ワークステーションを使用して、セキュリティで保護されていない接続を介してDistributorサーバを管理する場合。
パラメータ: SET ParameterポリシーやSETパラメータのソフトウェアパッケージを作成する場合、ターゲットサーバのSETパラメータ情報を提供するためにサーバ間通信が行われます。この通信は、セキュリティで保護されていない接続を介する場合があります。
Server Down Policy: このポリシーを使用してサーバを停止する場合、停止するサーバとそのサーバが再び稼動するのを監視する別のサーバとの間の通信がセキュリティで保護されていない接続を介することがあります。

XMLRPCセキュリティのインストール手順については、『Novell ZENworks 6.5 Server Managementインストールガイド』の「セキュリティ保護されていない接続のための追加セキュリティのインストール」を参照してください。

XMLRPCを使用したサーバ間通信のセキュリティについては、次の節を参照してください。

この節で使用される用語

サーバ間通信のセキュリティに関する説明では、次の用語および頭字語を使用します。

用語	説明
CA	Certificate Authority (認証機関) 他のサーバのx.509証明書にデジタル署名する信頼される証明書の発行元。
CS	Certificate Signer 他のサーバのＸＭＬＲＰＣ証明書にデジタル署名する信頼される証明書の発行元。
証明書またはセキュリティ証明書	Distributionなど、証明書が関連付けられている対象を検証するための電子署名を含む電子ドキュメント。
CSR	Certificate Signing Request 信頼されるCSによるXMLRPC証明書の署名をサーバが要求すること。これは、VeriSign*やThawte ConsultingなどのルートCAによって署名されるX.509証明書ではありません。
self-signed certificate (自己署名された証明書)	作成者によって署名された有効な証明書。
署名付き証明書	CSによって署名された証明書。受信側のサーバによる受け入れで有効になります。
SSL	Secure Socket Layer
XMLRPC	Extensible Markup Language Remote Procedure Call Server ManagementおよびTiered Electronic Distributionによってサーバ間通信で使用されるソフトウェア。

セキュリティ証明書

サーバ間通信のセキュリティでは、Certificate Signer (CS)によって発行された署名付き証明書を使用します。これは、Novell ZENworksファミリの製品のコンテキスト内でのみ有効です。

使用される証明書はX.509準拠ではないので、eコマースやSSLアプリケーションでは使用できません。

SSLの使用

CSサーブレットがCertificate Signing Request (CSR)に署名する場合、要求元のクライアントはHTTP基本認証によりユーザ名とパスワードを使用して認証する必要があります。SSLを使用して、ユーザ名とパスワードのセキュリティを保護できます。商用Webサーバ用にSSLを有効にする方法については、SSLのドキュメントを参照してください。

パスワードファイルの形式

サーバ間通信のセキュリティでは、CSRの署名のために認証されるユーザ名とパスワードについてパスワードファイルを使用します。パスワードファイルはテキストエディタで作成し、セキュリティで保護された場所に保存できます。このファイルへのアクセスは、ファイルにリストされているユーザだけに制限します。

ユーザ名とパスワードではいずれも大文字と小文字が区別されます。パスワードファイルの構文は次のとおりです。

username=password

例:

admin=adminpassword
CSsigner=cspassword
JohnDoe=jdpassword

このパスワードファイルへのアクセスは、このファイルに含まれているユーザだけに制限します。

TCP/IPアドレスとDNS名

サーバ間通信のセキュリティを設定する場合、インストールプログラムは、このセキュリティを有効にするサーバのアドレスまたは名前を使用します。TCP/IPアドレスまたは完全識別DNSサーバ名のいずれかを使用できます。

重要: NetWareサーバの場合は、DNS名にアンダースコアを使用できません。サーバのDNS名にアンダースコアが含まれている場合、Distributionの送受信エラーが発生します。単語の区切り文字としてアンダースコアの代わりにダッシュを使用することをお勧めします。

これらのアドレスやサーバ名の取得に使用できる各種の方法については、『Novell ZENworks 6.5 Server Managementインストールガイド』の「インストールに関する情報の収集」を参照してください。