websudo 許可リストでアクセス管理を厳格化する
websudo 操作のセキュリティ層を追加するために、Confluence 用の独自の IP アドレス/サブネットの許可リストを設定して有効化できます。つまり、事前に承認済みの IP アドレスからのみ、特定のスーパーユーザー操作を実行できるようになります。
この機能は既定で無効化されています。有効化する場合は、このページに記載されている順序で設定ステップを完了して、ご利用のシステムからロックアウトされないようにしてください。
次の「始める前に」セクションをご参照ください。
許可リストを設定します。
許可リスト サービスを有効にします。
始める前に
websudo 許可リストを有効にする前に、システムが正しく動作するようにセットアップする必要があります。問題の発生を防ぐためにも、次のセクションをご参照の上、ベスト プラクティスやその他の役立つ情報をご確認ください。
べスト プラクティス
許可リストに複数の IP アドレスを含めて、自分自身をロックアウトできないようにします。
VPN 設定に基づいて許可リストを設定します。
許可リストが長い場合は、CIDR 表記やワイルドカード付きのパターン (IPV4 アドレスのみ — 例:
103.12.*.*
) を使用することをお勧めします。セキュリティ上の懸念を軽減するために、許可リストを制限しましょう。たとえば、
*.*.*.*
を含めると、許可リストの制限を完全に無効にするのと同じことになります。設定ファイルのバックアップを作成しましょう。自分自身をロックアウトしてしまった際に必要となります。
その他の役立つ情報
websudo 許可リストはコンマ区切りリストです。
インターネットからの接続を処理するサーバーやサービスには、HTTP リクエストのヘッダーとしてクライアントの IP アドレスを含める必要があります。その後、このヘッダーは内部のサーバー/ノードに転送されて処理されます。既定では、この機能ではクライアントの IP アドレスのソースとして
X-Forwarded-For
ヘッダーを使用します。ただし、confluence.cfg.xml
ファイル内のserver.tomcat.remoteip.remote-ip-header
設定プロパティを変更することで、このヘッダーの名前を変更できます。許可リストの文字列にタイプミスや無効な文字などのエラーが含まれている場合、その設定部分はサービス設定から除外されます。 可能性は低いものの、この機能に IP アドレスが許可されていないために、誰も websudo を使用できなくなる可能性があります。 このような場合は、許可リストを有効にする前に、指定されたプロパティを変更して正しい値を指定する必要があります。
クライアントの IP を正確に識別するには、インスタンスの前に配置されるリバース プロキシまたはゲートウェイを使用する必要があります。これは、この機能が正しく動作するための必須の前提条件です。クライアントの IP を正確に決定する責任は、インスタンス自体ではなく、外部システムにあります。
websudo 許可リストを設定する
Confluence 設定ファイル (confluence.cfg.xml
) 内の IP アドレスと CIDR アドレスのコンマ区切りリストとして websudo 許可リストを設定できます。 許可リストを設定するには、以下の手順に従ってください。
confluence.cfg.xml
ファイルを見つけてそのバックアップを作成します。ライブ
confluence.cfg.xml
ファイルをお好みのテキスト エディターで開きます。IP アドレスを追加したい場合は、ファイルに
websudo.allowlist.ip
プロパティを追加し、IP アドレスのコンマ区切りリストを追加します。
次に例を示します。websudo.allowlist.ip=172.29.143.247,2001:0db8:85a3:0000:0000:8a2e:0370:7330
IP アドレス サブネットを追加したい場合は、ファイルに
websudo.allowlist.cidr
プロパティを追加し、CIDR アドレスのコンマ区切りリストを追加します。
次に例を示します。websudo.allowlist.cidr=8.8.8.1/24,0:0:0:1::/64
エラーがないかチェックして、リストがサービス構成から除外されないようにしてください。
ヒント: 次のエラー テキストがあるかどうか確認します。Exception while parsing IP/CIDR Pattern {}. Ignoring part {}
設定ファイルを保存します。
websudo 許可リスト サービスを有効にする
許可リストを設定し、アドレスの詳細が許可リストに含まれていることを確認したら、許可リストを有効にできます。 以下のステップに従います。
ライブ
confluence.cfg.xml
ファイルをお好みのテキスト エディターで開きます。websudo.allowlist.enabled
を検索します。文字列がない場合はファイルに追加します。
文字列の値を
true
に変更します。構成ファイルを保存して閉じます。
変更内容を反映するには、 Confluence を再起動します。
confluence.cfg.xml
and start over.
websudo 許可リスト サービスを無効にする
websudo 許可リスト サービスの使用を停止したい場合は、許可リストに記載されているアドレスのいずれかを使用していれば停止できます。 以下のステップに従います。
ライブ
confluence.cfg.xml
ファイルをお好みのテキスト エディターで開きます。websudo.allowlist.enabled
を検索します。文字列の値を
false
に変更します。構成ファイルを保存して閉じます。
変更内容を反映するには、 Confluence を再起動します。
websudo.allowlist.enabled
from the configuration file. It lessens the chance of the option being set back to true
.