Enterprise Server (バージョン 5.0 以降) には、「ディプロイ リスナー」のトピックで説明されているように、権限のないユーザーによる Web サービスおよび COBOL EJB のディプロイを防止するオプションの機能があります。
セキュリティのために Enterprise Server を有効にしている場合、ユーザー認証を要求するようにディプロイ リスナーを構成できます。これにより、既知のユーザーしかサービスをディプロイできないように制限できます。ユーザー認証は、リスナーの構成テキストの [security] セクションで restricted および authentication 設定を使用して構成します。詳細については、「ディプロイ リスナー」および「Web 対話タイプ」を参照してください。
Enterprise Server セキュリティ構成に、MLDAP ESM モジュールを使用した LDAP ベースのセキュリティなど、リソース アクセス制御をサポートする外部セキュリティ マネージャーが含まれている場合、サービスをディプロイできるユーザーとディプロイされた成果物およびディプロイ ログを取得できるユーザーをさらに制限できます。これにより、より細かいディプロイの制御が可能になります。これは、追加のリソース クラス (まだ存在しない場合) を作成し、そのクラスにルールを追加することで有効になります。
サービス ディプロイのリソース アクセス制御は、Enterprise Server Web リソース クラスで定義します (リスナーの構成で別のクラス名を構成できます)。要求に含まれる仮想ディレクトリは、このクラスで見つかったルールの名前と照合されます。ルール名にはワイルドカードを含めることができますが、通常は、Web リスナーの構成にリストされている仮想ディレクトリ (uploads など) と一致します。仮想ディレクトリの詳細については、「ディプロイ サービスおよびディプロイ リスナー」のトピックを参照してください。
LDAP ベースのセキュリティを使用する場合は、LDAP 管理ツールまたは LDIF ファイルを使用して、CN=Enterprise Server Web という名前のコンテナーを LDAP リポジトリのリソース コンテナーに追加できます。このコンテナーのデフォルトの名前は CN=Enterprise Server Resources です。
リソース クラス内で、制限する仮想ディレクトリのルールを作成します。デフォルトの Enterprise Server 構成では、通常、cgi および uploads という名前のルールを作成します。「cgi」ルールは、ディプロイ要求を受け入れる mfdeploy プログラムへのアクセスを制御し、アクセスが許可されたユーザーしかディプロイを実行できないように制限します。「uploads」ルールは、実際のディプロイ領域へのアクセスを制御し、ディプロイされた成果物 (サービス プログラムなど) をダウンロードしたりディプロイ ログを表示したりできるユーザーを制限できます。
LDAP ベースのセキュリティを使用している場合は、これらのルールを microfocus-MFDS-Resource 型の CN=cgi および CN=uploads という名前の LDAP オブジェクトとして作成します。microfocus-MFDS-Resource-Class および microfocus-MFDS-UID は必須の属性であり、何らかの値に設定する必要がありますが、実際に Enterprise Server で使用されるわけではないため任意の値でかまいません。
ユーザーおよびグループに対して権限を許可または拒否するには、該当するルールの microfocus-MFDS-Resource-ACE 属性 (複数値の属性) にアクセス制御エントリ (ACE) を追加してディプロイ リソースを使用します。
「cgi」ルールおよび「uploads」ルールの両方について、より具体的な ACE でカバーされないユーザーのアクセスを制御するためにデフォルトの ACE を追加する必要があります。これには、通常は deny:*:all を使用し、デフォルトでアクセスをブロックします。また、デフォルトでアクセスを許可する場合は、allow:*:all を使用します。この場合は、deny ACE で明示的にブロックされたユーザーのみがディプロイを禁止されます。
デフォルトの ACE の後に、1 つ以上の ACE を追加して特定のユーザーまたはグループにアクセスを許可できます。「cgi」ルールの場合、サービスのディプロイを許可するユーザーに、「execute」権限 (mfdeploy.exe プログラムを実行する権限) と「add」権限 (HTTP POST 操作を実行する権限) の両方を付与する必要があります。したがって、たとえば、ディプロイ サービスを呼び出してディプロイ パッケージをアップロードする権限を SYSADM グループのメンバーに付与する場合は、「cgi」ルールに allow:SYSADM group:execute,add のような ACE を追加します。
「uploads」グループの場合は、許可するユーザーに「read」権限を付与する必要があります。これにより、ディプロイ ログの取得、ディプロイ領域のブラウズ、およびディプロイ領域からのファイルのダウンロードが可能になります (ただし、ディプロイ ログ以外のファイルをダウンロードすることは通常はありません)。「uploads」の典型的な ACE は allow:SYSADM group:read です。
これらのセキュリティ設定の変更は、通常はすぐに有効になります。ESF キャッシュが有効になっている場合は、キャッシュされたセキュリティの結果の期限が切れるまで多少の遅延が生じることがあります。