Caché セキュリティ に関するよくある質問

管理ポータルは、複数の個別の Web アプリケーションで構成されています。ポータルのメイン・ページは /csp/sys のアプリケーションと関連付けられており、他のページは各種 /csp/sys/* のアプリケーション (/csp/sys/sec のアプリケーションと関連付けられる、セキュリティ関連のコンテンツなど) と関連付けられています。これらのアプリケーションすべてに使用される認証メカニズムの共通セットがないと、ユーザがあるポータル・ページから別のページに移動するときに、ログイン・プロンプトが表示されたり、突然特権レベルの移行が発生したりすることがあります。

例えば、/csp/sys のアプリケーションが排他的にパスワード認証を使用し、他の関連するポータル・アプリケーションが排他的に認証なしのアクセスを使用している場合、ユーザがあるポータル・ページから別のページに移動すると、認証なしのアクセスから認証が必要な状態に移行します。また、/csp/sys のアプリケーションはパスワード認証のみをサポートし、他のアプリケーションは認証なしのアクセスのみをサポートしている場合、UnknownUser に特別な特権がないと、ユーザがポータルのメイン・ページからその他のページに移動するときに、何らかのアクションを実行するのに十分な特権がない、という可能性もあります。

Web アプリケーションの認証メカニズムを確認および構成するには、ポータルの [ウェブ・アプリケーション] ページ ([システム管理] > [セキュリティ] > [アプリケーション] > [ウェブ・アプリケーション]) からアプリケーションを選択し、表示されたアプリケーションについて、必要に応じて、[許可された認証方法] で選択します (通常は、/csp/sys と /csp/sys/* で認証メカニズムの共通セットを共有するようにします)。

はい。Caché のセキュリティは、常に有効化されています。しかし、旧システムの開放性を模倣して、目に見えるところでの効果はなしに旧来のシステムをサポートするよう、インスタンスのセキュリティを構成することができます。

アップグレード時に注意が必要な点は以下のとおりです。

• アップグレード・インストール後は、すべてのユーザが新しいパスワードを設定する必要があります。

  ここで使用されているパスワード・ハッシュ関数は、以前のバージョンの Caché で使用されていたものよりも堅牢です。新旧どちらでも Caché はパスワードのハッシュ値を比較目的でのみ格納するため、ハッシュ値を逆方向に演算して (平文のパスワードに戻して)、それを新しい関数を使用したハッシュ値に置き換える方法はありません。したがって、この堅牢さを活用するには、新しいパスワードを使用する必要があります。

• 既定では、開発者は、以前のバージョンで所持していた多くの Caché サービスに対する特権を所持していません。

  Caché の既定のインストールでは、既定の構成でアクセスできる機能は比較的制限されています。事前定義済みのロールには、大半の顧客が必要としない COM ポートなどの従来のリソースに対する特権は含まれていません。これらが必要になった場合、管理者は、事前定義済みのロールを変更するか新しいロールを作成して、各サイトの要件に合った別の特権セットを提供できます。

Caché 5.1 以降のインスタンスの動作は、以前のバージョンの Caché とは多少異なっています。その違いは以下のとおりです。

• Caché 5.1 以降、ObjectScript には、2 つの新しいシステム変数 $USERNAME と $ROLES が追加されました。これらは、アプリケーションがそのセキュリティ要件を管理する際に役立ちます。これらの変数は両方とも、ルーチン、メソッド、および SQL 文でプログラム的に使用できます。

• CSP と Zen のアプリケーションでは、セキュリティ情報が CSP セッションの一部として保持されます。$USERNAME および $ROLES の値は、複数のページ要求の実行に異なるプロセスが使用される場合でも、これらのページ要求間で維持されます。より具体的に言うと、CSP ページに対する処理が開始されたとき、$ROLES にはユーザのロールに加えて、アプリケーションに定義されたロールも記述されます。

  このセッションには、前のページの処理中に、$ROLES に値を設定するか $SYSTEM.Security.AddRoles を呼び出すことによって動的に追加されたロールは含まれません。これはステートレス・セッション、および状態を維持するセッションのどちらにも当てはまります。