websudo 許可リストでアクセス管理を厳格化する
websudo 操作のセキュリティ層を追加するために、Confluence 用の独自の IP アドレス/サブネットの許可リストを設定して有効化できます。つまり、事前に承認済みの IP アドレスからのみ、特定のスーパーユーザー操作を実行できるようになります。
この機能は既定で無効化されています。有効化する場合は、このページに記載されている順序で設定ステップを完了して、ご利用のシステムからロックアウトされないようにしてください。
次の「始める前に」セクションを読みます。
許可リストを設定します。
許可リスト サービスを有効にします。
始める前に
websudo 許可リストを有効にする前に、システムが正しく動作するようにセットアップする必要があります。問題の発生を防ぐには、次のセクションを読んで、ベスト プラクティスやその他の役立つ情報をご確認ください。
リバース プロキシまたはゲートウェイを使用する
Confluence Data Center がクライアント IP アドレスを正確に識別できるようにするには、Confluence インスタンスの前に位置するリバース プロキシまたはゲートウェイを使用する必要があります。
インターネットからの接続を処理するサーバーやサービスには、HTTP リクエストのヘッダーとしてクライアントの IP アドレスを含める必要があります。その後、このヘッダーは内部のサーバーやノードに転送されて処理されます。
既定では、この機能にクライアントの IP アドレスのソースとして X-Forwarded-For ヘッダーを使用します。このタスクを処理するリバース プロキシやゲートウェイのアシスタンスなしでは、Confluence がクライアント IP を単独で正しく識別することはできません。IP アドレスを抽出して転送する責任はリバース プロキシまたはゲートウェイにあり、Confluence に直接の責任はありません。
べスト プラクティス
許可リストに複数の IP アドレスを含めて、自分自身をロックアウトできないようにします。
VPN 設定に基づいて許可リストを設定します。
許可リストが長い場合は、CIDR 表記やワイルドカード付きのパターン (IPV4 アドレスのみ — 例:
103.12.*.*) を使用することをお勧めします。セキュリティ上の懸念を軽減するために、許可リストを制限しましょう。たとえば、
*.*.*.*を含めると、許可リストの制限を完全に無効にするのと同じことになります。設定ファイルのバックアップを作成しましょう。自分自身をロックアウトしてしまった際に必要となります。
その他の役立つ情報
websudo 許可リストはコンマ区切りリストです。
インターネットからの接続を処理するサーバーやサービスには、HTTP リクエストのヘッダーとしてクライアントの IP アドレスを含める必要があります。その後、このヘッダーは内部のサーバー/ノードに転送されて処理されます。既定では、この機能ではクライアントの IP アドレスのソースとして
X-Forwarded-Forヘッダーを使用します。ただし、confluence.cfg.xmlファイル内のserver.tomcat.remoteip.remote-ip-header設定プロパティを変更することで、このヘッダーの名前を変更できます。許可リストの文字列にタイプミスや無効な文字などのエラーが含まれている場合、その設定部分はサービス設定から除外されます。 可能性は低いものの、この機能に IP アドレスが許可されていないために、誰も websudo を使用できなくなる可能性があります。 このような場合は、許可リストを有効にする前に、指定されたプロパティを変更して正しい値を指定する必要があります。
websudo 許可リストを設定する
Confluence 設定ファイル (confluence.cfg.xml) 内の IP アドレスと CIDR アドレスのコンマ区切りリストとして websudo 許可リストを設定できます。 許可リストを設定するには、以下の手順に従ってください。
confluence.cfg.xmlファイルを見つけてそのバックアップを作成します。ライブ
confluence.cfg.xmlファイルをお好みのテキスト エディターで開きます。IP アドレスを追加したい場合は、ファイルに
websudo.allowlist.ipプロパティを追加し、IP アドレスのコンマ区切りリストを追加します。
次に例を示します。websudo.allowlist.ip=172.29.143.247,2001:0db8:85a3:0000:0000:8a2e:0370:7330IP アドレス サブネットを追加したい場合は、ファイルに
websudo.allowlist.cidrプロパティを追加し、CIDR アドレスのコンマ区切りリストを追加します。
次に例を示します。websudo.allowlist.cidr=8.8.8.1/24,0:0:0:1::/64エラーがないかチェックして、リストがサービス構成から除外されないようにしてください。
ヒント: 次のエラー テキストがあるかどうか確認します。Exception while parsing IP/CIDR Pattern {}. Ignoring part {}設定ファイルを保存します。
websudo 許可リスト サービスを有効にする
許可リストを設定し、アドレスの詳細が許可リストに含まれていることを確認したら、許可リストを有効にできます。 以下のステップに従います。
ライブ
confluence.cfg.xmlファイルをお好みのテキスト エディターで開きます。websudo.allowlist.enabledを検索します。文字列がない場合はファイルに追加します。
文字列の値を
trueに変更します。構成ファイルを保存して閉じます。
変更内容を反映するには、 Confluence を再起動します。
confluence.cfg.xml のバックアップ コピーを復元して最初からやり直してください。
websudo 許可リスト サービスを無効にする
websudo 許可リスト サービスの使用を停止したい場合は、許可リストに記載されているアドレスのいずれかを使用していれば停止できます。 以下のステップに従います。
ライブ
confluence.cfg.xmlファイルをお好みのテキスト エディターで開きます。websudo.allowlist.enabledを検索します。文字列の値を
falseに変更します。構成ファイルを保存して閉じます。
変更内容を反映するには、 Confluence を再起動します。
websudo.allowlist.enabled を含む行全体を構成ファイルから削除して、許可リストを無効にすることもできます。これにより、オプションが true に戻ってしまう可能性が低くなります。