「セキュリティ」セクション

ColdFusion Administrator の「セキュリティ」セクションでは、ColdFusion のセキュリティの枠組みを設定できます。

セキュリティについて詳しくは、セキュリティの管理を参照してください。

    Administrator ページ

    パスワードによる Administrator へのアクセス制限を有効または無効にするには、Administrator の Administrator ページを使用します。このページでパスワードの変更もできます。ColdFusion Administrator にアクセスできるユーザーは、信頼できるユーザーのみに限定してください。また、すべてのユーザーが同じ ColdFusion Administrator パスワードを使用するように設定したり、ユーザーマネージャーで定義されたユーザーとルートの管理ユーザーのみに ColdFusion Administrator へのアクセスを許可するように設定したりすることもできます。

    パスワード暗号化に使用するシードの設定変更

    Administrator では、データソースパスワードを暗号化するための新しいシード値を指定できます。ColdFusion によって割り当てられたデフォルトのシード値、またはユーザーが指定したシード値を変更するには:

    1. 「パスワードシード」セクションで、8 ~ 500 文字の新しいシード値を指定します。

    2. 「変更の送信」をクリックします。

    注意:シード値を変更すると、すべてのデータソース接続はリセットされます。そのため、この作業はサーバーを使用していないとき、または(インストール後の)初期段階に行うことをお勧めします。

    RDS ページ

    Adobe Macromedia Dreamweaver MX、Adobe Macromedia HomeSite+、Eclipse 用 ColdFusion 拡張機能、または ColdFusion Report Builder からサーバーリソースにアクセスする場合について、パスワードによる制限を有効または無効にするには、RDS ページを使用します。このページで RDS パスワードを変更することもできます。

    また、すべてのユーザーが同じ RDS パスワードを使用するように設定したり、ユーザーマネージャーで定義されたユーザーのみに RDS 経由でのアクセスを許可するように設定したりすることもできます。最小文字制限は 5、最大文字制限は 50 です。

    サンドボックスセキュリティページ

    データソース、タグ、関数、ファイル、ディレクトリ、IP アドレス、ポートおよび実行時権限などのセキュリティ権限を指定するには、サンドボックスセキュリティページ(スタンダード版では「リソースセキュリティ」)を使用します。

    サンドボックスセキュリティは、ColdFusion ページの場所を使用して機能を調べます。「サンドボックス」とは、セキュリティ制限の適用対象となる、サイト内の所定の領域(CFM ファイル、または CFM ファイルを含むディレクトリ)です。デフォルトでは、サブディレクトリ(「子」ディレクトリ)は、1 つ上のレベルのディレクトリ(「親」ディレクトリ)のサンドボックス設定を継承します。サブディレクトリのサンドボックス設定を定義すると、親ディレクトリから継承したサンドボックス設定は上書きされます。

    サンドボックスセキュリティは、次の要素へのアクセスの管理に使用します。

    • データソース

    • タグ

    • 関数

    • ファイルとディレクトリ

    • IP アドレスと IP ポート

    ColdFusion ページの実行時権限も編集できます。

    注意:サンドボックスセキュリティを有効にした場合、Administrator API を使用するには、CFIDE/adminapi ディレクトリへのアクセスを有効にします。

    詳しくは、サンドボックスセキュリティの使用を参照してください。

    ユーザーマネージャーページ

    ユーザーマネージャーページを使用すると、個々のユーザーのユーザー名、パスワード、説明、アクセス権、公開サービス、サンドボックスおよび許可されたロールを指定できます。このページは、Web ホスティングによって 1 つのサーバー上に複数の ColdFusion アプリケーションを配置し、それぞれを異なるユーザーまたは組織が管理する場合に特に便利です。

    ここでは、ColdFusion Administrator や Administrator API へのアクセスを許可できます。

    ログイン中のユーザーのロールを管理者が取り消した場合、その効果は、ユーザーが次にログインしたときに適用されます。

    デフォルトの管理者ユーザー ID は admin です。管理者ユーザー ID を変更するには、neo-security.xml ファイルに次のエントリを追加し、admin を、使用するユーザー ID に置き換えます。

    <var name='admin.userid.root'> 
    <string>admin</string> 
</var>

    ユーザーの追加

    ユーザーマネージャーでは、ColdFusion Administrator、Administrator API または RDS アクセスの特定の部分に対するアクセスを個別にカスタマイズしてユーザーを作成できます。

    注意:ColdFusion Administrator の権限を複数のユーザーに付与するには、ユーザーマネージャーページでユーザーを作成することに加えて、セキュリティ/Administrator ページで「別のユーザー名とパスワードで認証する」オプションを選択する必要があります。同様に、複数のユーザーに RDS アクセス権を付与する場合も、RDS ページで「別のユーザー名とパスワードで認証する」オプションを選択を選択する必要があります。

    1. セキュリティ/ユーザーマネージャで、「ユーザーの追加」をクリックします。

    2. ユーザー名とパスワードを指定して、パスワードを確認します。

    3. オプションで、説明を入力します。

    4. 次のオプションを選択します。

      • RDS アクセスを許可

      • 管理アクセスを許可:「Administrator コンソールと API アクセス」か「API アクセスのみ」のどちらかを選択します。

    5. ユーザーにアクセスを許可する ColdFusion Administrator のページを選択します。

    6. ユーザーにアクセスを許可するサンドボックスを選択します。

    7. ユーザーにアクセスを許可するサービスを選択します。

    8. 「ユーザーを追加」をクリックします。

    注意:連続した複数のサンドボックスまたはロールを選択するには、Shift キーを押しながら選択します。連続していない複数のサンドボックスまたはロールを選択するには、CTRL キーを押しながら選択します。
    ユーザーを作成した後は、ユーザー名とパスワードの両方を使用して ColdFusion Administrator にログインする必要があります。ルート管理者のデフォルトユーザー名は admin です。これを変更するには、neo-security.xml ファイルを編集して、admin.userid.root の「admin」という文字列を次のように変更する必要があります。
    <var name="admin.userid.root"> 
<string>admin</string> 
</var>
    Administrator の特定のページへのアクセス権を付与すると、ユーザーが Administrator にログインした後に、それらのページのみが表示されます。Administrator API へのアクセス権を付与してロールを選択すると、指定したページの API のみにユーザーがアクセスできるようになります。

    既存のユーザー設定の編集について詳しくは、「ユーザー設定の編集」を参照してください。

    ユーザーサンドボックス

    ユーザーが Administrator にログインしている間に、ユーザーがアクセスできるページやサンドボックスを変更した場合は、ユーザーがログアウトして、再びログインした後に変更が有効になります。サンドボックス作成について詳しくは、「Configure ColdFusion security」を参照してください。

    公開サービス

    ColdFusion では、既存のエンタープライズサービスが Web サービスとして公開されます。これらのサービスには、SOAP および AMF/Flash Remoting を使用してアクセスできます。ユーザーが使用できるサービスは、「公開サービス」セクションから選択できます。デフォルトでは、すべてのサービスが許可されているサービスリストボックスに表示されます。CTRL キーを押しながら、ユーザーが使用できないようにするサービスを選択して、「>>」ボタンをクリックします。

    「ユーザーの編集」をクリックして、ユーザー設定の変更を有効にします。公開されるサービスには次のものがあります。

    • 許可されているサービス:メールサービス、ドキュメントサービス、PDF サービス、イメージサービス、Chard サービス、POP サービス

    • 禁止されているサービス:Exchange サービス

    公開されているサービスをセキュリティで保護すると、不明なアプリケーションやユーザーによるアクセスを防止できます。これを行うには、サービスへのアクセスを許可するクライアントの IP アドレスの範囲を設定します。また、サービスに対するユーザーアクセス制御を設定することもできます。セキュリティ/ユーザーマネージャーページの「公開サービス」セクションから、ユーザーが使用できるサービスを選択できます。デフォルトでは、すべてのサービスが「禁止されているサービス」リストボックスにリストされます。CTRL キーを押しながら、ユーザーによるアクセスを許可するサービスを選択して、「<<」ボタンをクリックします。「ユーザーの編集」をクリックして、ユーザー設定の変更を有効にします。

    ユーザー設定の編集

    ユーザーマネージャーページで、ユーザー列などにあるユーザー名をクリックするか、アクション列の編集アイコンをクリックします。ユーザーマネージャーページが編集モードで開きます。ここでは、ユーザーのパスワード、RDS Administrator へのアクセス、サンドボックスの追加、公開サービスのリセットを行えます。

    注意:編集モードでは、ユーザーの認証タイプはリセットできません。

    使用できる IP アドレス

    公開されているサービスにアクセスする権限があるクライアント IP アドレスを指定します。

    セキュアプロファイルの変更

    ColdFusion 10 以上では、セキュアプロファイルを使用して、選択した設定をカスタマイズできます。セキュアプロファイルはインストール中に有効化できます。Administrator コンソールへのアクセスを許可する IP アドレスのリストを指定することもできます。ColdFusion Splendor では、セキュアプロファイル設定機能が Administrator コンソールに拡張され、インストール後の設定がサポートされています。 

    その操作を行うには、ColdFusion Administration コンソールからセキュリティ/セキュリティプロファイルを選択し、「セキュアプロファイルを有効にする」チェックボックスをオンにして、ColdFusion の推奨されるデフォルトのセキュアプロファイル設定を使用します。

    セキュアプロファイルの有効化によって影響を受ける Administrator の設定

    次の表に、現在の設定、セキュアプロファイルのデフォルト設定、セキュアプロファイルを有効化した時点の値を示します。

    このチェックボックスを使用して有効化または無効化を行い、セキュアモードと通常モードを切り替えてください。 

    ColdFusion サーバーのインストール時に、セキュアプロファイル画面で入力を要求されたときにオプションを選択して、セキュアプロファイルを有効化できます。さらに、ColdFusion Administrator へのアクセスを許可する IP アドレスのカンマ区切りリストを指定することもできます。この機能は ColdFusion 10 から使用できます。ColdFusion Splendor では、セキュアプロファイルが強化され、他の内部コンポーネントへのアクセスも処理できるようになりました。例えば、次の URL に対して制限を設けることができます。

    • CFIDE/main/*
    • CFIDE/adminapi/*
    • CFIDE/administrator/*
    • CFIDE/componentutils/*
    • CFIDE/wizards/*
    • CFIDE/servermanager/*

    特定の IP アドレスから内部 ColdFusion コンポーネントにアクセスできるようにするには、次のタスクを実行します。

    1. ColdFusion Administrator にログインします。
    2. セキュリティ/使用できる IP アドレスをクリックします。
    3. ColdFusion 内部コンポーネントを使用できる IP アドレス」セクションに移動し、個々の IP アドレスにアクセス許可を付与して、内部コンポーネントにアクセスできるようにします。

    同じユーザーによる同時ログインセッションのサポート

    特定のユーザーの複数の同時ログインセッションを通じてアプリケーションにログインおよびアクセスできます。このオプションはデフォルトで有効です。セキュリティ上の懸念がある場合は、ColdFusion Administrator でこのオプションを無効化してください。

    複数の同時ログインをサポートするために、次の変更が行われています。

    • 同時ログインを許可できるように、allowconcurrent という新しい属性が <cflogin> タグに追加されました。

      <cflogin allowconcurrent="true|false">

      デフォルト値は true です。allowconcurrent が true に設定されている場合は、ユーザーの同時ログインが許可されます。

    • ログアウトする適切なユーザーを選択できるように、session という新しい属性が <cflogout> タグに追加されました。

      <cflogout session="all|current|others">


      デフォルト値は current です。session が all に設定されている場合は、現在のユーザーのすべての認証済みセッションが切断されます。current に設定されている場合は、現在のセッションのみが切断されます。others に設定されている場合は、現在のセッションを除くその他すべてのセッションが切断されます。

    管理者が同時ログインセッションを有効または無効にするには、次のタスクを実行します。

    1. ColdFusion Administrator にログインします。
    2. セキュリティ/管理者ページに移動します。
    3. Administrator コンソールの同時ログインセッションを許可」を選択します。

    デフォルトでは、同時ログインセッションは有効になっています。また、セキュアプロファイルが有効になっている場合は、同時ログインは無効になります。