この章では、IBM Tivoli Access Manager (Tivoli Access Manager) Plug-in for Web
Servers のセキュリティー・ポリシーを構成し、カスタマイズする方法について説明
します。
この章には、以下のトピックがあります。
v 『プラグイン固有のアクセス・コントロール・リスト (ACL) ポリシー』
v 126ページの『スリー・ストライク・ログオン・ポリシー』
v 127ページの『パスワード・ストレングス・ポリシー』
v 130ページの『認証強度保護オブジェクト・ポリシー (ステップアップ)』
v 133ページの『マルチファクター認証』
v 134ページの『保護オブジェクト・ポリシーの再認証』
v 136ページの『ネットワーク・ベースの認証の保護オブジェクト・ポリシー』
v 138ページの『保護品質保護オブジェクト・ポリシー』
v 138ページの『非認証ユーザーの取り扱い (HTTP/HTTPS)』
プラグイン固有のアクセス・コントロール・リスト (ACL) ポリシー
セキュリティーに関する以下の考慮事項が、保護オブジェクト・スペース内の
/PDWebPI コンテナーに当てはまります。
v Tivoli Access Manager Plug-in for Web Servers オブジェクトは、オブジェクト・
スペースのプラグイン領域において一連の ACL 継承を開始します。
v 他の明示的 ACL がいずれも適用されない場合、このオブジェクトが (継承によ って) Web スペース全体のセキュリティー・ポリシーを定義します。
v このオブジェクト、またそのポイントより下にあるオブジェクトにアクセスする には、全探索のアクセス許可が必要です。
Tivoli Access Manager の ACL ポリシーについて詳しくは、「IBM Tivoli Access
Manager Base 管理者ガイド」を参照してください。
注: Microsoft IIS Web Server には、ユーザー要求の URL にディレクトリー・パス しか入っていないときに表示されるディレクトリー内に、デフォルトの Web ペ ージを指定できる機能が用意されています。
Plug-in for Web Servers によって実行される ACL 検査は、要求 URL に指定 されているディレクトリーにのみ適用し、この要求への応答として IIS サーバ ーによって処理されるデフォルトの Web ページには適用されません。
IIS プラットフォームでご使用になるセキュリティー・ポリシーをインプリメン トするときには、この ACL 検査の制限を組み込んでおくことをお勧めしま
同様に、Web サーバー・プラグイン・アーキテクチャーの性質上、プラグイン が提供するセキュリティーと競合する他のモジュールをインストールすること を回避できません。アドミニストレーターは、プラグインと競合するモジュー ルが Web サーバーにインストールされないように確認する責任があります。
たとえば、Apache および IHS Web サーバー内の「MultiViews」機能は、動的 に要求 URL の拡張子を判別します。たとえば、要求が www.tivoli.com/index に対してなされる場合、Web サーバーは、動的にこれを
www.tivoli.com/index.html (このようなファイルが存在する場合) にマップしま す。
残念ながらこのマッピングは許可が行われた後に発生します。つまり、許可検 査は index.html にではなく index に対して実行されることになります。
このような場合、「MultiViews」オプションを使用不可にすることをお勧めしま す。そうしないと、ポリシーはこのマッピングを取り込むようセットアップさ れます。たとえば、ACL を /PDWebPI/www.tivoli.com に付加することもできま すし、また細分性を高める必要がある場合は ACL を
/PDWebPI/www.tivoli.com/index と /PDWebPI/www.tivoli.com/index.html の両方に 付加することができます。
/PDWebPI/host または virtual_host
/PDWebPI/host または virtual_host サブツリーには、特定のプラグイン・インスタン スのオブジェクト・スペースが入っています。セキュリティーに関する以下の考慮 事項がこのオブジェクトに当てはまります。
v そのポイントより下にあるオブジェクトにアクセスするには、全探索のアクセス 許可が必要です。
v 他の明示的 ACL がいずれも適用されない場合、このオブジェクトが (継承によ って) このマシン上のオブジェクト・スペース全体のセキュリティー・ポリシー を定義します。
プラグイン ACL 許可
以下の表は、オブジェクト・スペースの Tivoli Access Manager Plug-in for Web
Servers 領域に適用できる ACL 許可を説明しています。
表17. プラグイン ACL 許可
許可 操作 説明
[PDWebPI]r 読み取り ディレクトリーを除くすべてのエレメントを表示し
ます。 HTTP GET 要求または POST 要求はすべ
てこの許可を必要とします。ディレクトリーのリス
ト (/で終わる URL の GET) を要求する特定の
「リスト」許可はありません。
[PDWebPI]d 削除 Web スペースから Web オブジェクトを除去しま
す。 HTTP DELETE コマンドはこの許可を必要と
します。
[PDWebPI]m 変更 プラグイン・オブジェクト・スペースに HTTP オ
ブジェクトを配置 / 発行します。 HTTP PUT 要求 はこの許可を必要とします。
[PDWebPI]p プロキシー ユーザーが Multiplexing Proxy Agent として機能で
きるかどうかを決定します。 詳細については 121 ページの『pdwebpi-mpa-servers グループへの MPA アカウントの追加』を参照してください。
T 全探索 このポイントより下にあるオブジェクトにアクセス するために必要です。
以下に示すように、プラグインは WebDAV 操作もサポートします。
表18. プラグイン WebDAV 許可
タスク 必要な許可
PROPFIND [PDWebPI]R
PROPPATCH [PDWebPI]M
MKCOL [PDWebPI]N
WebDAV 操作は、コレクションの個々のメンバーではなく、要求 URI に基づいて
許可が与えられます。また、部分的にサポートされる WebDAV 操作もあります。
v COPY - 「コピー元」を読み取るには、コレクション上で [PDWebPI]R が必要で す。宛先の許可は検査されません。
v MOVE - これは、コピー後削除と見なされます。コピー元のコレクションで
[PDWebPI]Rd が必要です。宛先の許可は検査されません。
デフォルト /PDWebPI ACL ポリシー
Tivoli Access Manager Plug-in for Web Servers ACL default-pdwebpi のコア・エ ントリーには、以下のものが含まれます。
Group iv-admin TcmdbsvaBR[PDWebPI]rR
Any-other T[PDWebPI]rR
Unauthenticated T
Group pdwebpi-mpa-servers TBR[PDWebPI]p Group webseal-servers TBR[PDWebPI]p Group webseal-mpa-servers TBR[PDWebPI]p
このデフォルト ACL はインストール時に、オブジェクト・スペースの /PDWebPI コンテナーに付加されます。
全探索のアクセス許可が付与されると、Web portal Manager で表される Web スペ ースを拡張することができます。リスト許可が付与されると、Web portal Manager Web スペースのコンテンツを表示することができます。
スリー・ストライク・ログオン・ポリシー
スリー・ストライク・ログオン・ポリシー (LDAP ベースの Tivoli Access Manager インストールに使用可能) では、失敗ログオン試行の最大回数とペナルティー・ロ ックアウト時間を指定することによって、コンピューターのパスワードが攻撃され るのを防ぐことができます。このポリシーは、1 つの条件を作成します。その条件 では、ユーザーがログオンに失敗した場合、次にログオンを試みる前に一定の時間 待たなければなりません。たとえば、3 回失敗したら 180 秒のペナルティーを科 す、などのようにポリシーで指示できます。このタイプのログオン・ポリシーを使 用すれば、コンピューターによって生成されるランダムなログオンが 1 秒間に何度 も試みられるのを防ぐことができます。
スリー・ストライク・ログオン・ポリシーは、以下の 2 つの pdadmin ポリシー・
コマンド設定を合わせたものを必要とします。
v 失敗ログオン試行の最大回数 policy set max-login-failures
v 失敗ログオン試行を超えた場合のペナルティーの設定 policy set disable-time-interval
ペナルティー設定には、アカウントのロックアウト時間間隔の設定、またはアカ ウントを完全に使用不可にする設定が含まれます。
たとえば 3 回のログオン試行の失敗後に特定のロックアウト時間ペナルティーが科 されるというログオン・ポリシーが設定されている場合、4 回目の試行が行われた
ときに (その試行が正しいか間違っているかに関わらず) エラー・ページが表示され
ます。そのページには、パスワード・ポリシーのためアカウントが一時的に使用で きなくなっていることが示されます。
時間間隔は秒単位で指定されます。最小推奨時間間隔は 60 秒です。
disable-time-interval ポリシーが disable に設定されると、ユーザーはアカウント からロックアウトされ、このユーザーの LDAP account valid 属性は no に設定さ れます。アカウントは、アドミニストレーターが Web portal Manager を使用して再 び使用可能にします。
注: disable-time-interval を disable に設定すると、追加の管理オーバーヘッドが 発生します。 account valid 情報をプラグインに複製するときに遅延が発生し ます。この状態は、LDAP 環境によって異なります。また、LDAP インプリメ ンテーションによっては、account valid の更新操作を行った結果として、パ フォーマンスが低下することもあります。タイムアウト間隔の使用をお勧めす るのには、このような理由があります。
以下の pdadmin コマンドは、 LDAP レジストリーを使用する場合にのみ当てはま
ります。
表19. pdadmin LDAP ログオン・ポリシー・コマンド
コマンド 説明
policy set max-login-failures {number|unset} [-user username]
policy get max-login-failures [-user username]
ペナルティーが課される前に許容される失敗ログオン 試行の最大回数を制御するポリシーを管理します。こ のコマンドは、policy set disable-time-interval コマン ドで設定されたペナルティーに依存します。
アドミニストレーターはこのポリシーを特定のユーザ ーに適用したり、LDAP レジストリーにリストされ るすべてのユーザーにこのポリシーをグローバルに適 用したりすることができます。
デフォルト設定は 10 回です。
policy set disable-time-interval {number|unset|disable} [-user username]
policy get disable-time-interval [-user username]
失敗ログオン試行の最大回数に達した場合にアカウン トが使用不可になる期間を制御するペナルティー・ポ リシーを管理します。
アドミニストレーターはこのペナルティー・ポリシー を特定のユーザーに適用したり、LDAP レジストリ ーにリストされるすべてのユーザーにこのポリシーを グローバルに適用したりすることができます。
デフォルト設定は 180 秒です。
パスワード・ストレングス・ポリシー
Tivoli Access Manager LDAP ベースのインストールでは、パスワードの構成を制御 するための 2 つの方法が提供されています。
v 5 つの pdadmin パスワード・ポリシー・コマンド
v パスワード・ポリシーのカスタマイズを可能にするプラグ可能認証モジュール (PAM)
「Tivoli Access Manager Authorization C API デベロッパーズ・リファレンス」を 参照してください。