サービスを接続する

統合環境内で相互に連携して機能しているサービスは、サービス間での相互認証を実行できる必要があります。

• SSLを使用して、サーバ、ブローカ、プロキシの相互リンクを安全に行う場合、チェーン内の各リンクはアップストリームリンクを信頼する必要があります。
• パスワードベースの認証ではなく、チケットベースの認証を使用することをお勧めします(セキュリティレベル4の場合は、必ずチケットベースの認証を使用する必要があります)。チケットベースの認証を使用するには、チェーン内の各サーバの各サービスユーザも、チェーン内のアップストリームリンクに対する有効なログインチケットを持っている必要があります。

サービス間の信頼を管理する

サーバプロセス、ブローカプロセス、プロキシプロセスを所有するユーザは、通常、サービスユーザになります。管理者は、p4 trustコマンドを使用して、サービスユーザの代わりにP4TRUSTファイルを作成する必要があります。デフォルトでは、ユーザのP4TRUSTファイルは、そのユーザのホームディレクトリに.p4trustという名前で格納されています。

『Helix Coreサーバ管理者ガイド: 基本』の「通信ポート情報」のトピックを参照してください。

サービス間のチケットを管理する

サーバ、ブローカ、プロキシを相互にリンクする場合、各サービスユーザは、アップストリームリンクにおける有効なサービスユーザでなければなりません。また、有効なログインチケットを使用して認証を実行できる必要があります。サービス認証を設定するには、以下の手順を実行します。

1. アップストリームサーバで、p4 userコマンドを使用してタイプがserviceのユーザを作成し、次にp4 groupコマンドを使用して、長いタイムアウト値またはunlimitedのタイムアウト値を持つグループにこのユーザを割り当てます。

   p4 passwdコマンドを使用して、上記のサービスユーザに強度の高いパスワードを割り当てます。

2. ダウンストリームサーバで、p4 loginコマンドを使用して上記の新しいサービスユーザとしてマスターサーバにログインし、ダウンストリームサーバ上に存在するサービスユーザに対してログインチケットを作成します。
3. ユーザ(多くの場合、スクリプトまたは他の自動化ツール)がダウンストリームサービスを呼び出す際に、P4TICKETS変数が正しく設定されていることを確認します。これにより、ダウンストリームサービスでチケットファイルを正しく読み取り、アップストリームサービスに対してそのダウンストリームサービス自体をサービスユーザとして認証できるようになります。

SSLキーペアを管理する

SSL接続を許可するように設定されている場合、すべてのサーバプロセス(p4d、p4p、p4broker)の起動時に、有効な証明書とキーペアが必要になります。

キーペアを作成するプロセスは、他のサーバでのプロセスと同じです。P4SSLDIRの値を、適切な権限を持つ有効なディレクトリに設定し、以下のいずれかのコマンドを使用してprivatekey.txtファイルとcertificate.txtファイルのペアを作成し、キーのフィンガープリントのレコードを作成します。

• サーバの場合: p4d -Gcコマンドを使用してキーと証明書のペアを作成し、p4d -Gfコマンドを使用して、このペアのフィンガープリントを表示します。
• ブローカの場合: p4broker -Gcコマンドを使用してキーと証明書のペアを作成し、p4broker -Gfコマンドを使用して、このペアのフィンガープリントを表示します。
• プロキシの場合: p4p -Gcコマンドを使用してキーと証明書のペアを作成し、p4p -Gfコマンドを使用して、このペアのフィンガープリントを表示します。

独自のプライベートキーと証明書を指定することもできます。『Helix Coreサーバ管理者ガイド: 基本』の「SSLを使用してHelixサーバへの接続を暗号化する」を参照してください。