|
この節では、LiveCycle の実行に使用する場合の Windows 固有のセキュリティ推奨事項について説明します。
3.7.1 JBoss サービスアカウントLiveCycle 自動インストールは、デフォルトで、ローカルシステムアカウントを使用してサービスアカウントを設定します。組み込みのローカルシステムユーザーアカウントは、高いレベルのアクセス権限を付与されており、Administrators グループに属しています。ワーカープロセス ID をローカルシステムユーザーアカウントで実行した場合、ワーカープロセスはシステム全体に対してフルアクセス権限を持ちます。
3.7.1.1 管理者以外のアカウントでのアプリケーションサーバーの実行Microsoft 管理コンソール(MMC)で、LiveCycle サーバーサービスへのログインに使用するローカルユーザーを作成します。
設定/管理ツール/サービスを選択します。
アプリケーションサーバーサービスをダブルクリックし、サービスを停止します。
「ログオン」タブで、「アカウント」を選択し、作成したユーザーアカウントを参照して、アカウントのパスワードを入力します。
ローカルセキュリティ設定ウィンドウの「ユーザー権利の割り当て」で、LiveCycle サーバーを実行しているユーザーアカウントに次の権限を付与します。
ターミナルサービスを使ったログオンを拒否する
ローカルでログオンを拒否する
サービスとしてログオン(通常は既に設定済み)
新しく作成したユーザーアカウントに、LiveCycle Web コンテンツディレクトリの項目に対する「読み取りと実行」、「フォルダの内容の一覧表示」、「読み取り」の各権限を付与します。
アプリケーションサーバーサービスを起動します。
3.7.2 ファイルシステムのセキュリティLiveCycle は、次の方法でファイルシステムを利用します。
ドキュメントの入力と出力を処理する際に使用する一時ファイルを格納する
インストールしたソリューションコンポーネントのサポートに使用されるファイルをグローバルアーカイブストアに格納する
ファイルシステムフォルダーからサービスへの入力として使用されるドロップファイルを監視フォルダーに格納する
LiveCycle サーバーサービスのドキュメントを送受信する方法として監視フォルダーを使用する場合、ファイルシステムのセキュリティを確保するために一層の予防策を講じる必要があります。ユーザーが監視フォルダーにコンテンツをドロップした場合、コンテンツは監視フォルダーを通じて公開されます。この場合、サービスは実際のエンドユーザーを認証していません。代わりに、フォルダーレベルに設定されている ACL と共有レベルセキュリティに応じて、サービスを呼び出して実行することのできるユーザーを決定しています。
|
|
|
