サービスを接続する
統合環境内で相互に連携して機能しているサービスは、サービス間での相互認証を実行できる必要があります。
- SSLを使用して、サーバ、ブローカ、プロキシの相互リンクを安全に行う場合、チェーン内の各リンクはアップストリームリンクを信頼する必要があります。
- パスワードベースの認証ではなく、チケットベースの認証を使用することをお勧めします(セキュリティレベル4の場合は、必ずチケットベースの認証を使用する必要があります)。チケットベースの認証を使用するには、チェーン内の各サーバの各サービスユーザも、チェーン内のアップストリームリンクに対する有効なログインチケットを持っている必要があります。
サービス間の信頼を管理する
サーバプロセス、ブローカプロセス、プロキシプロセスを所有するユーザは、通常、サービスユーザになります。管理者は、
コマンドを使用して、サービスユーザの代わりにp4 trust
P4TRUST
ファイルを作成する必要があります。デフォルトでは、ユーザのP4TRUST
ファイルは、そのユーザのホームディレクトリに.p4trust
という名前で格納されています。
『Helix Coreサーバ管理者ガイド: 基本』の「通信ポート情報」のトピックを参照してください。
サービス間のチケットを管理する
サーバ、ブローカ、プロキシを相互にリンクする場合、各サービスユーザは、アップストリームリンクにおける有効なサービスユーザでなければなりません。また、有効なログインチケットを使用して認証を実行できる必要があります。サービス認証を設定するには、以下の手順を実行します。
-
アップストリームサーバで、
p4 user
コマンドを使用してタイプがservice
のユーザを作成し、次にp4 group
コマンドを使用して、長いタイムアウト値またはunlimited
のタイムアウト値を持つグループにこのユーザを割り当てます。p4 passwd
コマンドを使用して、上記のサービスユーザに強度の高いパスワードを割り当てます。 - ダウンストリームサーバで、
p4 login
コマンドを使用して上記の新しいサービスユーザとしてマスターサーバにログインし、ダウンストリームサーバ上に存在するサービスユーザに対してログインチケットを作成します。 - ユーザ(多くの場合、スクリプトまたは他の自動化ツール)がダウンストリームサービスを呼び出す際に、
P4TICKETS
変数が正しく設定されていることを確認します。これにより、ダウンストリームサービスでチケットファイルを正しく読み取り、アップストリームサービスに対してそのダウンストリームサービス自体をサービスユーザとして認証できるようになります。
SSLキーペアを管理する
SSL接続を許可するように設定されている場合、すべてのサーバプロセス(p4d
、p4p
、p4broker
)の起動時に、有効な証明書とキーペアが必要になります。
キーペアを作成するプロセスは、他のサーバでのプロセスと同じです。P4SSLDIR
の値を、適切な権限を持つ有効なディレクトリに設定し、以下のいずれかのコマンドを使用してprivatekey.txt
ファイルとcertificate.txt
ファイルのペアを作成し、キーのフィンガープリントのレコードを作成します。
- サーバの場合:
p4d -Gc
コマンドを使用してキーと証明書のペアを作成し、p4d -Gf
コマンドを使用して、このペアのフィンガープリントを表示します。 - ブローカの場合:
p4broker -Gc
コマンドを使用してキーと証明書のペアを作成し、p4broker -Gf
コマンドを使用して、このペアのフィンガープリントを表示します。 - プロキシの場合:
p4p -Gc
コマンドを使用してキーと証明書のペアを作成し、p4p -Gf
コマンドを使用して、このペアのフィンガープリントを表示します。
独自のプライベートキーと証明書を指定することもできます。『Helix Coreサーバ管理者ガイド: 基本』の「SSLを使用してHelixサーバへの接続を暗号化する」を参照してください。