概要
WebOTX Application Server の運用管理ユーザ、パスワードが既定のまま使用されているケースが複数検出されています。
そのような環境は不用意なシステム権限領域へのアクセスによりセキュリティ被害を受ける可能性があり非常に危険です。
お客様環境、検証環境で運用されているWebOTX Application Serverのアカウント管理を含めた運用状況を今一度ご確認いただきますようお願いいたします。
確認対象
確認観点
- 既定の運用管理ユーザadminを使用しているか。
その場合運用管理ユーザのパスワードを既定から変更しているか。
- V10.1以降で、viewerユーザ(既定で無効)を有効化して使用しているか。
その場合viewerユーザのパスワードを既定から変更しているか。
(※) viewerユーザを有効化して使用している場合、必ずロール機能を有効化してください。ロール機能が無効になっていると、viewerユーザでも全ての運用操作が可能になりますので注意してください。
対処方法
以下の2つの方法について記載しています。
- 新たな運用管理ユーザを作成してから、既定の運用管理ユーザを削除する方法
- 運用管理ユーザのパスワードを変更する方法
(注意)
変更後のユーザ名とパスワードは必ず控えてください。
紛失した場合、再インストールが必要になる可能性があります。
新たな運用管理ユーザを作成してから、既定の運用管理ユーザを削除する方法
【運用管理コマンドで変更する場合】
■V9.6以前
- 該当のドメインにログイン
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password adminadmin --host <ホスト名> --port <ポート番号>
- 運用管理ユーザの新規作成
例) ユーザID admin1、パスワード admpassの場合
追加するFileレルム名はadmin-realm、グループはotxadminにする必要があります。
otxadmin > create-file-user --userpassword admpass --groups otxadmin --authrealmname admin-realm admin1
(3. に進む前に、作成した運用管理ユーザが有効になっていることを必ず確認してください。)
- 既定の運用管理ユーザ(admin)の削除
otxadmin > delete-file-user --authrealmname admin-realm admin
- ドメインの再起動
otxadmin > exit
${AS_INSTALL}/bin/otxadmin stop-domain <ドメイン>
${AS_INSTALL}/bin/otxadmin start-domain <ドメイン>
■V10.1以降
- 該当のドメインにログイン
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password adminadmin --host <ホスト名> --port <ポート番号>
- 運用管理ユーザの新規作成
例) ユーザID admin1、パスワード admpass、運用管理ユーザの有効化 true、運用管理ユーザのパスワード有効期限管理機能の有効化 true、運用管理ユーザのパスワード有効期間 150日の場合
追加するFileレルム名はadmin-realm、グループはotxadminとしてください。
otxadmin > create-file-user --userpassword admpass --groups otxadmin --authrealmname admin-realm --enable true --enablepasswordage true --passwordage 150 admin1
(3. に進む前に、作成した運用管理ユーザが有効になっていることを必ず確認してください。)
- 既定の運用管理ユーザ(admin)の削除
otxadmin > delete-file-user --authrealmname admin-realm admin
【統合運用管理ツールで変更する場合】
■V9.6以前
- 統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし [新しいユーザの作成]を選択します。
- [アプリケーションサーバの操作]画面に、作成するユーザの「ユーザ名」、「パスワード」、「グループ名」にotxadmin、「レルム名」にadmin-realmを入力し、「実行」ボタンを押します。
(3. に進む前に、作成した運用管理ユーザが有効になっていることを必ず確認してください。)
- 統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[ユーザの削除]を選択します。
- [アプリケーションサーバの操作]画面で、削除する既定のユーザ名(admin)とレルム名(admin-realm)を入力し「実行」ボタンを押します。
- ドメインを再起動します。
■V10.1以降
- 「システム(S)」メニューから「ユーザ管理」メニューを選択
- ユーザ管理ダイアログの「ドメイン一覧」で、対象のドメインを選択し、「追加」ボタンを押します。
- 作成するユーザの「ユーザ名」、「パスワード」、「グループ名」にotxadmin、「レルム名」にadmin-realmを入力し、「ユーザの有効化」にチェックを入れ、「パスワードの有効期限有効化」「パスワードの有効期間(日数)」を必要に応じて選択・入力し「追加」ボタンを押します。
(4. に進む前に、作成した運用管理ユーザが有効になっていることを必ず確認してください。)
- ユーザ管理ダイアログの「ドメイン一覧」で対象のドメインを選択、さらに「ユーザ一覧」で削除対象の既定のユーザ名(admin)を選択し、「削除」ボタンを押します。
- 「選択したユーザを削除しますか?」と表示されるので「はい」を押します。
運用管理ユーザのパスワードを変更する方法
【運用管理コマンドで変更する場合】
■V9.1以前
- 該当のドメインにログイン
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password adminadmin --host <ホスト名> --port <ポート番号>
- 運用管理ユーザに対するパスワードの変更
otxadmin > update-file-user --userpassword <新パスワード> --authrealmname admin-realm <ユーザ名>
- ドメインの再起動
otxadmin > exit
${AS_INSTALL}/bin/otxadmin stop-domain <ドメイン>
${AS_INSTALL}/bin/otxadmin start-domain <ドメイン>
■V9.2以降
- 該当のドメインにログイン
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password adminadmin --host <ホスト名>
--port <ポート番号>
- 運用管理ユーザに対するパスワードの変更
otxadmin > change-admin-password --user admin --domain_name <ドメイン名>
- 対話形式で旧パスワードと新パスワードを入力
Please enter the old admin password> <旧パスワード>
Please enter the new admin password> <新パスワード>
Please enter the new admin password again> <新パスワード>
Command change-admin-password executed successfully.
【統合運用管理ツールで変更する場合】
■V9.1以前
- 統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[ファイルユーザの更新]を選択します。
- [アプリケーションサーバの操作]画面が表示されますので、対象のユーザに対して更新する情報を入力し「実行」ボタンを押します。
- ドメインを再起動します。
■V9.2以降
- 「システム(S)」メニューから「ユーザ管理」メニューを選択
- [ドメイン一覧]からユーザを追加するドメイン名を選択して、[ユーザの設定変更]をクリックします。
- 「旧パスワード」フィールドに古いパスワード、「パスワード」と「パスワード再入力」フィールドに新しいパスワードを入力し「変更」ボタンを押します。
参考
WebOTX マニュアル V6系
運用編
- 4. ユーザ管理
- 4.1 Fileレルムを使用する場合
WebOTX マニュアル V7系
運用編
- 3. 運用と操作
- ユーザ管理
WebOTX マニュアル V8,V9系
ドメイン構築・基本設定ガイド
- 4. ユーザ管理
- 4.3 ユーザ・グループの設定
- 4.3.1. Fileレルムを使用する場合
WebOTX マニュアル V10系
構築・運用
- ドメインの構築
- 3. ユーザ管理
-3.2. Fileレルムを利用したユーザ管理
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。