この章では、ご使用のネットワークに合わせて WebSEAL サーバーをカスタマイズ するための、高度な管理タスクと構成タスクについて説明します。 21 ページの
『第 2 章 基本サーバー構成』も参照してください。
この章で扱うトピックは以下のとおりです。
v 61 ページの『デフォルトの保護品質レベルの構成』
v 63 ページの『許可データベースの更新とポーリングの構成』
v 64 ページの『ワーカー・スレッド割り振りの管理』
v 67 ページの『フロントエンド WebSEAL サーバーの複製』
v 68 ページの『複数の WebSEAL サーバー・インスタンスの構成』
v 83 ページの『ユーザー切り替えの構成』
v 96 ページの『WebSEAL サーバー・サイド要求キャッシングの構成』
v 99 ページの『UTF-8 エンコード文字の取り扱い』
v 101 ページの『クロスサイト・スクリプトがもたらす脆弱性の回避』
v 102 ページの『サーバー識別の抑止』
v 103 ページの『暗号化および鍵保管のための暗号ハードウェアの構成』
v 109ページの『WebSEAL 用の問題判別ツール』
デフォルトの保護品質レベルの構成
保護品質 (QOP) を構成することにより、SSL (HTTPS) を介して WebSEAL にアク セスするために必要な、デフォルトの暗号化レベルを制御することができます。デ フォルトの保護品質管理は、webseald.conf 構成ファイルの ″SSL QUALITY OF
PROTECTION MANAGEMENT″ セクション内のパラメーターを使用して制御しま
す。
v QOP 管理を使用可能または使用不可にするには、ssl-qop-mgmt パラメーターを 使用します。
v 使用できる暗号化レベルは、[ssl-qop-mgmt-default] スタンザで指定します。
1. 保護品質管理を使用可能にします。
[ssl-qop]
ssl-qop-mgmt = yes
2. HTTPS アクセスに関するデフォルトの暗号化レベルを指定します。
[ssl-qop-mgmt-default]
# default = ALL | NONE | <cipher-level>
# ALL (enables all ciphers)
# NONE (disables all ciphers and uses an MD5 MAC check sum)
# DES-56
# DES-168
# RC2-40
# RC2-128
# RC4-40
# RC4-128 default = ALL
選択した暗号グループも指定できるという点に注意してください。
[ssl-qop-mgmt-default]
default = RC4-128 default = RC2-128 default = DES-168
Tivoli Access Manager は GSKit 5 を使用します。インターネット・セキュリティ
ーの SSLv2/TLS で使用される場合に GSKIT5 がサポートする暗号仕様は、次のと
おりです。
CipherSuite SSL_RSA_WITH_NUL_MD5 CipherSuite SSL_RSA_WITH_NUL_SHA
CipherSuite SSL_RSA_EXPORT_WITH_RC4_40_MD5 CipherSuite SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 CipherSuite SSL_RSA_WITH_DES_CBC_SHA
CipherSuite SSL_RSA_WITH_RC4_128_MD5 CipherSuite SSL_RSA_WITH_RC4_128_SHA CipherSuite SSL_RSA_WITH_3DES_EDE_CBC_SHA CipherSuite TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA CipherSuite TLS_RSA_EXPORT1024_WITH_RSA_56_SHA
これらの TLS 暗号仕様は SSLV3 でも使用できます。
個々のホストおよびネットワークの構成
ssl-qop-mgmt = yes パラメーターは、[ssl-qop-mgmt-hosts] スタンザおよび [ssl-qop-mgmt-networks] スタンザ内の設定もすべて使用可能にします。これらの スタンザを使用することで、保護品質管理を特定のホスト/ネットワーク/ネットマス ク IP アドレス単位で行うことができます。
[ssl-qop-mgmt-default] スタンザは、[ssl-qop-mgmt-hosts] および
[ssl-qop-mgmt-networks] スタンザ内に一致するものがないすべての IP アドレス 用に使用されている暗号をリストします。
ホストの場合の構成構文の例 : [ssl-qop-mgmt-hosts]
# <host-ip> = ALL | NONE | <cipher-level>
# ALL (enables all ciphers)
# NONE (disables all ciphers and uses an MD5 MAC check sum)
# DES-40
# DES-56
# DES-168
# RC2-40
# RC2-128
# RC4-40
# RC4-128
xxx.xxx.xxx.xxx = ALL yyy.yyy.yyy.yyy = RC2-128
ネットワーク/ネットマスクの場合の構成構文の例 : [ssl-qop-mgmt-networks]
# <network/netmask> = ALL | NONE | <cipher-level>
# ALL (enables all ciphers)
# NONE (disables all ciphers and uses an MD5 MAC check sum)
# DES-40
# DES-56
# DES-168
# RC2-40
# RC2-128
# RC4-40
# RC4-128
xxx.xxx.xxx.xxx/255.255.255.0 = RC4-128 yyy.yyy.yyy.yyy/255.255.0.0 = DES-56
[ssl-qop-mgmt-hosts] および [ssl-qop-mgmt-networks] スタンザは、後方互換性 を維持するためにのみ提供されています。 Tivoli Access Manager の構成では、こ れらのスタンザは使用しないことをお勧めします。
許可データベースの更新とポーリングの構成
Tivoli Access Manager ポリシー・サーバー (pdmgrd) は、マスター許可ポリシー・
データベースを管理し、セキュア・ドメイン内の他の Tivoli Access Manager サー バーに関する場所情報を維持しています。 Tivoli Access Manager アドミニストレ ーターは、セキュア・ドメインにいつでもセキュリティー・ポリシーの変更操作を することができます。ポリシー・サーバーは、セキュリティー・ポリシー変更がイ ンプリメントされるたびに、マスター許可データベースに対して必要な調整を行い ます。
ポリシー・サーバーは、マスター許可データベースに変更を加えた後で、セキュ ア・ドメイン内にあって個々のポリシー・エンフォーサー (WebSEAL など) をサポ ートしているすべてのレプリカ・データベースに、この変更を示す通知を送ること ができます。これを受けたポリシー・エンフォーサーは、マスター許可データベー スから実際のデータベース更新を要求する必要があります。
リソース・マネージャーおよびポリシー・エンフォーサーとしての WebSEAL は、
次の 3 つのオプションのいずれかを使用して、許可データベースの変更に関する情 報を取得できます。
v ポリシー・サーバーからの更新通知を listen する (構成可能であり、デフォルト では使用可能にされている)。
v マスター許可データベースを定期的にチェック (ポーリング) する (構成可能であ り、デフォルトでは使用不可にされている)。
v listen とポーリングの両方を使用可能にする。
webseald.conf 構成ファイルの [aznapi-configuration] スタンザに、更新通知の
listen およびデータベースのポーリングを構成するためのパラメーターが含まれてい
ます。
WebSEAL のローカル・レプリカ許可ポリシー・データベースへのパスは、db-file
パラメーターにより定義します。
[aznapi-configuration]
db-file = /var/pdweb/db/webseald.db
更新通知の listen の構成
WebSEAL による更新通知の listen を使用可能または使用不可にするには、
[aznapi-configuration] スタンザの listen-flags パラメーターを使用します。デフ ォルトでは、listen は使用可能にされています。 listen を使用不可にするには、
″disable″ を入力します。
[aznapi-configuration]
listen-flags = enable
リスナー用の SSL ポートを構成するには、[ssl] スタンザの ssl-listening-port パ ラメーターを使用します。
[ssl]
ssl-listening-port = 7234
許可データベースのポーリングの構成
WebSEAL が定期的にマスター許可データベースをポーリングして更新情報の有無
を確認するように、構成することができます。 cache-refresh-interval パラメーター は、″default″、″disable″、または特定の時間間隔 (秒数) に設定できます。 ″default″
(デフォルト) の設定は 600 秒です。デフォルトでは、ポーリングは使用不可にされ
ています。
[aznapi-configuration]
cache-refresh-interval = disable
ワーカー・スレッド割り振りの管理
v 64 ページの『WebSEAL ワーカー・スレッドの構成』
v 65 ページの『Junction 用のワーカー・スレッドの割り振り (Junction フェアネ ス)』
WebSEAL ワーカー・スレッドの構成
構成されたワーカー・スレッドの数は、サーバーがサービスできる同時着信要求の 数を指定します。すべてのワーカー・スレッドが使用中である場合に到着した他の 接続は、ワーカー・スレッドが使用可能になるまでバッファーに入れられます。
WebSEAL への着信接続に対してサービスを提供できる使用可能なスレッドの数を
指定できます。ワーカー・スレッドの数はパフォーマンスに影響する可能性がある ため、その構成は注意深く行う必要があります。
この構成パラメーターが同時接続の数に上限を設けることはありません。このパラ メーターは、潜在的に無限の作業キューにサービスするために使用可能にされるス レッドの数を指定するだけです。
ワーカー・スレッドの最適数の選択は、ネットワーク上のトラフィックの量とタイ プについての知識に基づいて行います。どの場合も、必要なのは、オペレーティン グ・システムが課するワーカー・スレッドの制限数以下の値を入力するということ だけです。
スレッドの数を増やせば、一般的には、要求処理の完了にかかる平均時間が短縮さ れることになります。 ただし、スレッドの数を増やすと、他の要因にも影響が及 び、そのためにサーバー・パフォーマンスに悪影響を生じる恐れがあります。
WebSEAL は、TCP または SSL を使用するクライアントからの要求を処理するた
めの、単一の総称ワーカー・リストおよびワーカー・スレッド・プールを保持して います。この拡張メカニズムがあるため、WebSEAL では、取り扱うロードが大幅 に増えても、使用するシステム・リソースは少なくて済みます。
ワーカー・スレッド・プールのサイズを構成するには、webseald.conf 構成ファイ ルの [server] スタンザ内の worker-threads パラメーターを設定します。
[server]
worker-threads = 50
注: このパラメーターを変更するのは、パフォーマンスの問題に対するトラブルシ ューティングが必要な場合のみにしてください。選択する値は、オペレーティ ング・システムが設定するワーカー・スレッド数の制限範囲内の値でなければ なりません。 ¢IBM Tivoli Access Manager パフォーマンス・チューニング・ガ イド£ を参照してください。
Junction 用のワーカー・スレッドの割り振り (Junction フェアネ ス)
複数の junction にわたる要求を処理するために使用する WebSEAL ワーカー・スレ ッドの割り振りは、グローバルでも、個々の junction 単位でも構成できます。構成 メカニズムは、すべての junction 間でのワーカー・スレッドの「フェア」な配分を 維持し、どれか 1 つの junction によってワーカー・スレッド・プールが消費し尽さ れないようにします。
背景
WebSEAL は、ワーカー・スレッドのプールからスレッドを引き出して、複数の要
求を処理します。 WebSEAL が使用できるワーカー・スレッドの数は、
webseald.conf 構成ファイル内の worker-threads パラメーターで指定します。
worker-threads は、特定の WebSEAL インプリメンテーションに最も適した値に 設定できます。着信要求を処理するために使用できるワーカー・スレッドがない と、WebSEAL サーバーがユーザーに応答しなくなることがあります。
ワーカー・スレッドは、junction された複数のバックエンド・サーバー上のアプリケ ーションに対する着信要求を処理するために使用されます。しかし、大量の要求に 応答しそれを処理するために特定のバックエンド・アプリケーションの速度が異常 に低下した場合に、ワーカー・スレッド・プールが早く消耗してしまうことがあり ます。このように 1 つのアプリケーションがワーカー・スレッド・プールを消費し 尽くしてしまった場合は、WebSEAL は、junction されたその他のアプリケーショ ン・サーバーのサービスを求める要求に応答できなくなります。
複数の junction 上のアプリケーションにサービスを提供するために使用するワーカ
ー・スレッドの数の制限は、グローバルまたは個々の junction 単位で構成できま す。この制限を設定することにより、すべての junction にわたる「フェアネス」を 確保し、どれか 1 つのアプリケーションが自身に割り当てられている数を超えるワ ーカー・スレッドを要求するのを防ぐことができます。
junction 用のワーカー・スレッドのグローバル割り振り
特定の WebSEAL サーバー用のすべての junction を対象としたワーカー・スレッド のグローバル割り振りを制御するには、webseald.conf 構成ファイルの [junction]
スタンザ内にある 2 つのパラメーターを使用します。これらのパラメーターの値 は、0 〜 100 の範囲内のパーセンテージで表します。デフォルトの 100 (%) は無 制限を意味します。
v worker-thread-soft-limit