検索 
       

Ver.5 - 253件

31件目から40件目までを表示

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 26


[V5] Proselfでクライアント認証を使用するための設定手順を教えてください。

以下に手順を記載いたします。
なお、クライアント証明書、失効リストの作成方法につきましては弊社のサポート外となりますので、あらかじめお含みおきください。

事前準備

  • クライアント認証を有効にした瞬間に接続できなくなるのを防ぐため、ProselfをインストールしたサーバーのWebブラウザから管理画面に接続します。詳細につきましては以下FAQをご参照ください。
    https://www.proself.jp/support/faq391/
  • サーバーのWebブラウザをご利用できない場合は、クライアント認証を有効設定時でも暫定的にhttp接続できるようにするため以下設定を行っておきます。これにより、万が一設定に誤りがあってもhttpで接続して設定を戻すことが可能です。

    1. Proselfインストールフォルダ/conf/proself.propertiesのバックアップを取得します。
      ※バックアップファイル名はproself.properties.backup.YYYYMMDD等としてください。
    2. Proselfインストールフォルダ/conf/proself.properties内の末尾に以下を追記します。
      proself.security.clientauth.http = true
      ※本設定は即時反映されます。Proselfのサービス再起動は必要ありません。
      ※クライアント認証の設定が終わり次第この設定は消去ください。
      ※Proselfインストールフォルダの確認方法につきましては以下FAQをご参照ください。
      https://www.proself.jp/support/faq433/


設定手順
以下前提での手順としております。
  • Proselfが動作しているサーバー上に自己認証局(プライベート認証局)を構築し、その認証局からクライアント証明書を発行します。
  • サーバー上にはopensslがインストールされているものとします。

  1. 自己認証局(プライベート認証局)を作成します。
    自己認証局(プライベート認証局)を作成済みの場合は読み飛ばしてください。

    以下コマンドを順に実行して/etc/ssl配下にディレクトリを作成します。
    mkdir /etc/ssl/private
    mkdir /etc/ssl/private/client
    既にディレクトリが存在する場合は上記コマンドの実行は必要ございません。

    以下コマンドを実行し、秘密鍵、CSR、自己署名した証明書の作成を行います。本例では期限として3650日(=10年)を指定しています。

    • openssl 3.2未満をご利用の場合
      openssl req -new -newkey rsa:2048 -nodes -out /etc/ssl/ca.pem -keyout /etc/ssl/private/ca.key -x509 -days 3650
      注意:上記を1行で記述します。
    • openssl 3.2以上をご利用の場合
      以下例のように「-extensions v3_ca」オプションを指定ください。
      openssl req -new -newkey rsa:2048 -nodes -out /etc/ssl/ca.pem -keyout /etc/ssl/private/ca.key -x509 -days 3650 -extensions v3_ca
      注意:上記を1行で記述します。
      なお、「-extensions v3_ca」オプション指定時は openssl.cnfファイルの[ v3_ca ]セクション内に以下が存在することをご確認ください。
      basicConstraints = critical,CA:true

    以下コマンドを実行し、認証局が使用するシリアルナンバーファイルを作成します。
    echo 02 > /etc/ssl/private/ca.srl
  2. クライアント証明書を作成します。
    クライアントにインストールする証明書を作成します。
    本手順は作成するクライアント証明書の数だけ実施する必要があります。
    そのため、以下で記載している「client1.key」「client1.pem」「client1.p12」については、クライアント証明書を作成する度に別ファイル名とする必要があります。

    クライアント証明書のキーと証明書署名要求を作成します。本例では期限として365日(=1年間)を指定しています。
    ※手順1で作成した認証局の証明書よりも必ず期限を短くしてください。そうしないとクライアント証明書が有効になりません。
    openssl req -new -newkey rsa:2048 -nodes -out /etc/ssl/private/client/client1.req -keyout /etc/ssl/private/client/client1.key -days 365
    注意:上記を1行で記述します。

    認証局の証明書とキーを使ってクライアント証明書の作成と署名を行います。本例では期限として365日(=1年間)を指定しています。
    ※手順1で作成した認証局の証明書よりも必ず期限を短くしてください。そうしないとクライアント証明書が有効になりません。
    openssl x509 -CA /etc/ssl/ca.pem -CAkey /etc/ssl/private/ca.key -CAserial /etc/ssl/private/ca.srl -req -in /etc/ssl/private/client/client1.req -out /etc/ssl/private/client/client1.pem -days 365
    注意:上記を1行で記述します。

    クライアント証明書の形式をX.509からPKCS12に変換します。
    openssl pkcs12 -export -clcerts -in /etc/ssl/private/client/client1.pem -inkey /etc/ssl/private/client/client1.key -out /etc/ssl/private/client/client1.p12
    注意:上記を1行で記述します。
  3. Proselfのクライアント認証をONにします。
    Proselfに管理者でログインし、管理画面 - システム設定 - セキュリティ - クライアント認証設定の順にクリックしてクライアント認証設定画面へ移動します。
    クライアント認証設定
    クライアント認証設定画面では「クライアント認証を使用する」をONにし「設定」をクリックします。ONにした場合は、必要に応じて「クライアント認証時のみ利用できる画面/機能」と「クライアント認証オプション」を適宜設定ください。

    クライアント認証時のみ利用できる画面/機能
    対象とする画面/機能にチェックを入れます。なお、管理画面のチェックを外すことはできません。
    項目名 説明
    ユーザー画面 チェックすると「ファイル一覧」、「ファイル送信」、「ファイル受信」全ての機能でクライアント認証が有効になります。有効にさせたい機能を限定させたい場合は該当機能のチェックボックスを変更してください。
    Web公開画面 チェックするとWeb公開画面含めたProselfの全ての画面/機能でクライアント認証が有効になります。

    クライアント認証オプション
    必要に応じて設定ください。
    項目名 説明
    無し オプションを利用しません。
    Auto(※) クライアント認証のCNのIDで自動ログインします。(Webブラウザのみの機能です。)
    Force クライアント認証のCNとログインIDが一致しない場合、ログインができなくなります。
    ※Autoを選択する場合は、追加で以下手順を実施します。
    1. Proselfを停止します。
    2. Proselfインストールフォルダ/conf内にあるjaas.configをjass.config.bakにリネームします。
    3. インストールメディア内のAppendix/confフォルダ内にあるjaas.configをProselfインストールフォルダ/conf内にコピーします。
    4. Proselfを起動します。
  4. ルート証明書を設定します。
    手順3の設定を行うと、クライアント認証設定画面に「ルート証明書の設定」が表示されますので、「ルート証明書の設定」の「インポート」をクリックし「ルート証明書インポート」を表示します。

    次に、手順1で作成した自己署名した証明書(ca.pem)をエディタで開き、「-----BEGIN TRUSTED CERTIFICATE-----」から「-----END TRUSTED CERTIFICATE-----」までをコピーして画面のテキストエリア内に貼り付け、「インポート」をクリックします。
    ルート証明書インポート
  5. ルート証明書インポートのダイアログが表示されます。
    インポートするルート証明書の内容を確認し、「続行」をクリックします。
    ルート証明書インポート
  6. ルート証明書のインポートが行われます。
    「クライアント認証設定」 - 「ルート証明書の設定」内のステータスが設定済に変わり、インポートしたルート証明書の内容が表示されていることを確認します。
    ルート証明書の設定
  7. (Ver5.64以下の場合)Proselfの再起動を行います。
    クライアント認証を適用するためにProselfを再起動します。
  8. クライアント証明書を用いたログインが行えることを確認します。
    クライアント証明書をインストールしたWebブラウザからProselfにHTTPS接続を行い、クライアント証明書の選択ダイアログが表示されること、選択したクライアント証明書を使用してProselfにアクセスできることを確認します。

以上でクライアント認証の設定は終了です。
なお、追加でクライアント証明書の作成が必要な場合は、手順2のみ実施ください。


クライアント証明書を失効させる場合は、次項「失効リストの登録」を実施ください。
※失効リストを登録しない場合は実施しないでください。


失効リストの登録

  1. 証明書失効リストを用意します。
    ※最低でも1つ以上のクライアント証明書を失効させた状態の証明書失効リストをご用意ください。空の失効リストを読み込ませた場合、クライアント認証自体ができなくなってしまいます。
  2. 証明書失効リストをProselfインストールフォルダ/conf内にcrl.pemとして保存します。
    ※Proselfインストールフォルダの確認方法につきましては以下FAQをご参照ください。
    https://www.proself.jp/support/faq433/
  3. Proselfインストールフォルダ/conf/server.xmlを開き、94行目付近のcertificateVerification行とtruststoreFile行の間に行を追加します。
    (変更前)
    <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2+TLSv1.3"
    ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
    certificateVerification="optional"
    truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
    <Certificate certificateKeystoreFile="${catalina.base}/conf/keystore.ssl" certificateKeystorePassword="changeit" certificateKeyAlias="tomcat"/>
    </SSLHostConfig>
    (変更後)
    <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2+TLSv1.3"
    ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
    certificateVerification="optional"
    certificateRevocationListFile="${catalina.base}/conf/crl.pem"
    truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
    <Certificate certificateKeystoreFile="${catalina.base}/conf/keystore.ssl" certificateKeystorePassword="changeit" certificateKeyAlias="tomcat"/>
    </SSLHostConfig>
    certificateRevocationListFile="${catalina.base}/conf/crl.pem"を追記します。
  4. Proselfのサービスを再起動します。
  5. 管理画面 - システム設定 - セキュリティ - クライアント認証設定内に「失効リストのファイル登録設定」が表示されることを確認します。
    失効リストのファイル登録設定
  6. 失効リストに証明書を追加した場合は、上記crl.pemファイルを上書きし、「失効リストのファイル登録設定」内にある「設定」クリック後の画面で「適用」をクリックします。
    ※Ver5.64以下の場合は「適用」ではなく「Proselfの再起動」となっておりますので、「Proselfの再起動」をクリックします。
    失効リストのファイル登録
  7. ダイアログが表示されますので、内容を確認後「適用」クリックします。
    ※Ver5.70以上のみ
    失効リストのファイル登録
  8. 失効リストが適用されますので、ダイアログ内のメッセージに従いWebブラウザを閉じて開きなおします。
    ※Ver5.70以上のみ
    失効リストのファイル登録
  9. WebブラウザでProselfにHTTPSでアクセスし、クライント証明書選択ダイアログから失効済みのクライアント証明書を選択した場合にページが表示されないことを確認します。

以上で失効リストの登録は完了です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq472/

(最終更新日:2025/01/21)



[V5] Proselfに対してWebDAVクライアントソフトウェアからのアクセスを拒否させる方法はありますか。

以下手順を実施することで、WebDAVクライアントソフトウェアからのアクセスを全て拒否するように設定可能です。

  1. Proselfに管理者ユーザーでログインします。
  2. 画面右上の歯車のアイコンをクリックして管理画面に移動します。
  3. 管理画面の左メニューよりシステム設定 - セキュリティ - アクセス制限の設定の順に画面を移動して、クライアントアクセス制限設定の「設定」をクリックします。
  4. クライアントアクセス制限設定画面で設定を行います。以下のようにVer5.40以降とVer5.31以前で設定内容が異なります。
    • Ver5.40以降の場合
      クライアントアクセス制限設定画面において「ブラウザ(PC)」「ブラウザ(スマホ)」以外をチェックOFFに変更して「設定」ボタンをクリックします。
    • Ver5.31以前の場合
      クライアントアクセス制限設定画面にある「アクセス拒否」欄に以下を入力して「設定」ボタンをクリックします。
      0.0.0.0/0.0.0.0

※Ver5.40以降の場合はシステム全体に加え、プライマリグループ、ユーザー単位でもクライアントアクセス制限設定を行うことができ、それぞれ設定した場合はユーザー > プライマリグループ > システム設定の順で設定が優先されます。
詳細については以下URLで公開している「操作チュートリアル端末管理」をご参照ください。
https://www.proself.jp/manualtutorial/list/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq430/

(最終更新日:2025/01/21)



[V5] IDとパスワードに使える文字と長さ制限を教えて下さい。

ユーザーIDは以下の文字列が使用可能です。

  • 半角英数字
  • 「-」「@」「_」「.」の半角記号
  • 半角スペース

ただし、下記の制限がございます。

  1. 「.」で始まるID及び「.」で終わるIDは使用できません。
  2. 半角スペースで始まるID及び半角スペースで終わるIDは使用できません。
  3. Enterprise Editionの場合、「-」「@」「_」「.」のうちいずれかの半角記号を使用できません。
    • 標準設定では「@」をプライマリグループ名とグループ名を管理する際の区切り文字として用いるため、使用できません。
    • 区切り文字はproself.propertiesの設定にて任意の文字列に変更することが可能です。
      弊社では以下文字列についてのみ動作確認が取れております。
      「-」「@」「_」「.」「#」
    詳細は、管理者ガイド「proself.properties設定リファレンス」の「proself.primary.delimiter」をご参照ください。
  4. 「_readonly」で終わるIDは使用できません。
  5. 既存ユーザーと同じユーザーIDは使用できません。
    また、下記文字列は使用不可となります。
    • groupadmin
    • groupcreator
    • guest
    • upuser
    • readonly
    • root
    • user
    • system
    • root@${primary}
    • systemoperator
  6. パスワードは以下の文字列が使用可能です。
    • 半角英数字
    • 「<」「>」「'」「”」「&」を除いた半角記号
  7. 文字の長さ制限はユーザーID、パスワードどちらも50文字です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq3/

(最終更新日:2025/01/21)



[V5] 外部サイトからログイン連携を実施しようとしたところ、ログイン画面が表示されてしまいログインできません。

以下FAQに記載している方法でログイン連携を実施する場合、Proself Ver5.51以上をご利用ですとCookieのSameSite属性に"Strict"を指定している影響で外部サイトからProselfにCookieを送信することができません。
https://www.proself.jp/support/faq334/

そのため、本事象に該当するお客様につきましては、以下手順でSameSite属性の値を"Lax"または"None"に変更した上でログイン連携を実施ください。

  1. Proselfのサービスを停止します。
  2. Proselfインストールフォルダ/conf/proself.propertiesのバックアップを取得します。
    ※インストールフォルダの確認方法につきましては以下FAQをご参照ください。
    https://www.proself.jp/support/faq433/
  3. Proselfインストールフォルダ/conf/proself.propertiesを以下内容で編集します。
    【編集前】
    (省略)
    proself.session.renew = true
    proself.server.weblink = true
    proself.keystore.signature.algorithm = SHA256withRSA
    proself.information.close = true
    proself.sendfile.approval.approve.comment = true
    proself.sendfile.approval.refuse.comment = true

    【編集後】
    (省略)
    proself.session.renew = true
    proself.server.weblink = true
    proself.keystore.signature.algorithm = SHA256withRSA
    proself.information.close = true
    proself.sendfile.approval.approve.comment = true
    proself.sendfile.approval.refuse.comment = true
    proself.security.cookie.samesite = none
    SameSite属性に"Lax"を指定する場合は「proself.security.cookie.samesite = lax」、
    SameSite属性に"None"を指定する場合は「proself.security.cookie.samesite = none」を追記します。

    なお、「proself.security.cookie.samesite = none」を設定した場合はCookieにSecure属性の設定が必須となる関係上、httpでアクセスした場合にログインができなくなってしまいます。そのため、以下どちらかの方法でhttpでのアクセスを行わないようにしていただくことをお勧めいたします。

  4. Proselfのサービスを起動します。
  5. WebブラウザからProselfのログイン画面にアクセスし、ブラウザの開発者ツールでCookieのSameSite属性に"Lax"または"None"が設定されていることを確認します。

以上で完了です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq463/

(最終更新日:2025/01/21)



[V5] [GW] ログのローテートについて教えてください。各ログファイルは永遠にサイズが肥大化していくのでしょうか。それとも古いファイルが(自動で)リネームされ日々ファイルが増えていくのでしょうか。

後者となります。
Proselfが生成する、Proselfインストールフォルダ/logs配下にある「proself_xxxx.log」形式のログについては、日付でローテートされますので日々ファイルが増えていきます。

(例) 2007/01/08の「proself_xxxx.log」の場合、「proself_xxxx.log2007-01-08」となります。

なお、catalina.outについては、Tomcatのログのためローテートされません。
しかし、このファイルは基本的にProself起動時と終了時のログが出力されるだけですので肥大化しません。

※Proselfインストールフォルダの確認方法については以下のFAQをご参照ください。
https://www.proself.jp/support/faq433/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq265/

(最終更新日:2025/01/21)



[V5] [GW] Linux OSに自動起動スクリプトを配置してコマンド「systemctl start proself.service」を実行すると「Failed to start proself.service: Unit proself.service not found.」と表示され起動に失敗してしまいます。

SELinuxによるアクセス制御が影響している可能性があるため、以下内容で各ファイルのコンテキストをデフォルトに変更することで起動できるようになるかどうかをご確認ください。

  1. 以下コマンドで起動シェル(proself)のコンテキストをデフォルトの内容に変更します。
    # restorecon -F Proselfインストールフォルダ/bin/proself
  2. 以下コマンドで設定ファイル(rebooter.properties)のコンテキストをデフォルトの内容に変更します。
    # restorecon -F Proselfインストールフォルダ/conf/rebooter.properties
  3. 以下コマンドでユニットファイル(proself.service)のコンテキストをデフォルトの内容に変更します。
    # restorecon -F /etc/systemd/system/proself.service
  4. 以下コマンドでユニットファイル(proself.service)を読み込みなおします。
    # systemctl daemon-reload

    5. ※上記各パスは自動起動スクリプトのREADMEに記載しているパスを指定した場合の例となっておりますので、お客様の設定に応じて適宜読み替えてください。
    ※Proselfインストールフォルダの確認方法については以下のFAQをご参照ください。
    https://www.proself.jp/support/faq433/


    このFAQは次のURLで直接ご覧いただけます。
    https://www.proself.jp/support/faq453/

    (最終更新日:2025/01/21)



[V5] [GW] Proselfのバックアップ機能で差分バックアップは可能ですか。

Proselfには差分バックアップ機能はございません。

※Gateway EditionについてはVer1.70以上でバックアップ機能をご利用いただけます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq290/

(最終更新日:2025/01/21)



[V5] [GW] Proselfをインストールしているサーバーにおいてはどのような脆弱性に留意すればよいでしょうか。

以下のソフトウェアについては留意が必要です。

  • Java
    Proselfは動作環境としてJDK(Oracle JDKまたはOpenJDK)を使用するため、Javaの脆弱性がProselfに影響する場合があります。
    そのため最新バージョンのJDKを使用することを推奨します。

    以下のURLをご参照ください。
    https://www.proself.jp/support/faq454/

    ただし、最新バージョンのJDKリリース直後は弊社での動作確認が取れていない場合があるため、動作確認状況を知りたい場合はお問い合わせください。
    お問い合わせフォーム
  • Tomcat
    ProselfはWebサーバーとしてApache Tomcatを同梱しており、Tomcatの脆弱性がProselfに影響する場合があります。
    そのため、Tomcatの脆弱性がProselfにも影響があることを確認した場合は、弊社ホームページ等でアナウンスを行った後にTomcatをアップデートしたProselfをリリースします。
  • SSL、TLSによる暗号化通信
    ProselfではJavaの標準ライブラリを用いて実現しており、OpenSSLは使用しておりません。
    そのため最新バージョンのJDKを使用することを推奨します。
    また、上記に伴い暗号技術の組み合わせである暗号スイートを適切な内容に設定する必要があります。

    暗号スイートの設定方法については以下URLをご参照ください。
    https://www.proself.jp/support/faq368/

    ただし、最新バージョンのJDKリリース直後は弊社での動作確認が取れていない場合があるため、動作確認状況を知りたい場合はお問い合わせください。
    お問い合わせフォーム
  • 開発フレームワーク
    弊社独自のフレームワークを使用して実装しており、Apache Struts等のオープンソースフレームワークは使用しておりません。
    そのためApache Strutsに関する脆弱性の影響を受けませんが、弊社フレームワークにおける脆弱性を確認した場合は弊社ホームページ等でアナウンスを行った後、脆弱性対応を行ったProselfをリリースします。

動作環境については、以下URLにも記載しておりますのでご参照ください。
https://www.proself.jp/licence/environment/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq301/

(最終更新日:2025/01/21)



[V5] [GW] インストールするサーバーのOSがWindows Serverの英語版でも問題ないでしょうか。

英語版のOSでは動作確認を行っておりません。
日本語ファイルの取り扱いにて不具合が出る可能性がございます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq217/

(最終更新日:2025/01/21)



[V5] [GW] プロキシサーバーを経由しないとインターネットに接続できない環境でオンラインアップデートを実施するにはどうすればよいでしょうか。

以下の手順を実施すると、プロキシサーバーを経由したオンラインアップデートが可能となります。

  1. 管理者ユーザーでProselfにログインします。
  2. 以下の操作でライセンス認証画面を開きます。
    • 管理画面 - システム設定 - ライセンス情報内の[変更]をクリックします。
  3. ライセンス認証画面内の「■Proxy設定(オプション)」をクリックします。
  4. プロキシサーバー情報入力欄が表示されますので、必要事項を入力して[認証]をクリックしライセンス認証を実施します。
  5. オンラインアップデートを実施します。

なお、「■Proxy設定(オプション)」の設定値を再度確認する方法はございません。
5.実施時にエラー画面とならなければプロキシサーバー経由による動作が行われているとご判断いただけます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq421/

(最終更新日:2025/01/21)


31件目から40件目までを表示

1 2 3 4 5 6 7 8 9 10 11 12 13 14 26

FAQカテゴリー