クラウド
Data Center 9.17
バージョン

websudo 許可リストでアクセス管理を厳格化する

安全な管理者セッションの設定

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

websudo 操作のセキュリティ層を追加するために、Jira 用の独自の IP アドレス/サブネット許可リストを構成し、有効化できます。つまり、特定のスーパーユーザー操作を、事前に承認済みの IP アドレスからのみ実行できるようになります。

既定ではこの機能が無効化されています。有効にすることを選択した場合は、このページに記載されている順序で設定手順を完了して、自分のシステムからロックアウトされないようにしてください。

  1. 以下の「始める前に」セクションを読みます。

  2. 許可リストを設定します。

  3. 許可リスト サービスを有効にします。

On this page:

はじめる前に

websudo 許可リストを有効にする前に、システムが正しく動作するように設定する必要があります。 問題が発生しないように、ベスト プラクティスやその他の役立つ情報に関する以下のセクションを読んで内容を理解してください。

べスト プラクティス

  • 許可リストに複数の IP アドレスを含めて、自分自身をロックアウトできないようにします。
  • VPN 設定に基づいて許可リストを設定します。
  • 許可リストが長い場合は、CIDR 表記やワイルドカード付きのパターン (IPV 4 アドレスのみ — 例: 103.12.*.*) を使用することをお勧めします。
  • セキュリティ上の懸念を軽減するために、許可リストを制限します。 たとえば、*.*.*.* を含めた場合、許可リストの制限を完全に無効にするのと同じことになります。
  • 設定ファイルのバックアップを作成します。 自分自身をロックアウトしてしまった場合にこれが必要になります。

その他の役立つ情報

  • websudo 許可リストはコンマ区切りリストです。
  • インターネットからの接続を処理するサーバーやサービスには、HTTP リクエストのヘッダーとしてクライアントの IP アドレスを含める必要があります。 その後、このヘッダーは内部のサーバー/ノードに転送されて処理されます。 既定では、この機能ではクライアントの IP アドレスのソースとして X-Forwarded-For ヘッダーを使用します。 ただし、jira-config.properties ファイルの server.tomcat.remoteip.remote-ip-header 設定プロパティを変更することで、このヘッダーの名前を変更できます。
  • 許可リストの文字列にタイプミスや無効な文字などのエラーが含まれている場合、その設定部分はサービス設定から除外されます。 可能性は低いものの、この機能に IP アドレスが許可されていないために、誰も websudo を使用できなくなる可能性があります。 このような場合は、許可リストを有効にする前に、指定されたプロパティを変更して正しい値を指定する必要があります。

  • クライアントの IP を正確に識別するには、インスタンスの前に配置されるリバース プロキシまたはゲートウェイを使用する必要があります。これは、この機能が正しく動作するための必須の前提条件です。クライアントの IP を正確に決定する責任は、インスタンス自体ではなく、外部システムにあります。

websudo 許可リストを設定する

Jira 設定ファイル (jira-config.properties) 内の IP アドレスと CIDR アドレスのコンマ区切りリストとして websudo 許可リストを設定できます。 許可リストを設定するには、以下の手順に従ってください。

  1. Jira ホーム ディレクトリに移動し、jira-config.properties ファイルのバックアップを作成します。
  2. ライブ jira-config.properties ファイルをお好みのテキスト エディターで開きます。

  3. IP アドレスを追加したい場合は、ファイルに websudo.allowlist.ip プロパティを追加し、IP アドレスのコンマ区切りリストを追加します。

    例:

    websudo.allowlist.ip=172.29.143.247,2001:0db8:85a3:0000:0000:8a2e:0370:7330

  4. IP アドレス サブネットを追加したい場合は、ファイルに websudo.allowlist.cidr プロパティを追加し、CIDR アドレスのコンマ区切りリストを追加します。

    例:

    websudo.allowlist.cidr=8.8.8.1/24,0:0:0:1::/64

  5. エラーがないかチェックして、リストがサービス構成から除外されないようにしてください。 

    tip/resting Created with Sketch.

    次のエラー テキストがないか確認します。

    Exception while parsing IP/CIDR Pattern {}. Ignoring part {}
  6. 設定ファイルを保存します。

websudo 許可リスト サービスを有効にする

許可リストを設定し、アドレスの詳細が許可リストに含まれていることを確認したら、許可リストを有効にできます。 以下のステップに従います。

  1. ライブ jira-config.properties ファイルをお好みのテキスト エディターで開きます。
  2. websudo.allowlist.enabled を検索します。
  3. 文字列がない場合はファイルに追加します。
  4. 文字列の値を true に変更します。
  5. 構成ファイルを保存して閉じます。
  6. 変更を適用するには Jira を再起動します。

Jira が起動しない場合は、jira-config.properties のバックアップ コピーを復元して最初からやり直してください。

websudo 許可リスト サービスを無効にする

websudo 許可リスト サービスの使用を停止したい場合は、許可リストに記載されているアドレスのいずれかを使用していれば停止できます。 以下のステップに従います。

  1. ライブ jira-config.properties ファイルをお好みのテキスト エディターで開きます。
  2. websudo.allowlist.enabled を検索します。
  3. 文字列の値を false に変更します。
  4. 構成ファイルを保存して閉じます。
  5. 変更を適用するには Jira を再起動します。

websudo.allowlist.enabled を含む行全体を構成ファイルから削除して許可リストを無効にすることもできます。これにより、オプションが true に戻ってしまう可能性が低くなります。



最終更新日 2024 年 9 月 13 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.