概要
UNIX
64ビット
ネットワーキング
Open Directory
ファイルシステム
セキュリティコントロール
Xgrid
Mac OS X Serverは、セキュリティに必要な機能を提供する、先進のアーキテクチャをベースに開発されています。パケットのフルステート解析が可能な内蔵のファイアウォール、強力な暗号化と認証サービス、データセキュリティアーキテクチャ、アクセス制御リストなど、豊富な機能で、サーバ、ネットワーク、データを守ります。
セキュリティ標準。
世界中のセキュリティ専門家が信頼を寄せる業界標準のセキュリティプロトコルが、今日のアプリケーションに求められるシステム、データ、ネットワーキングのセキュリティを実現します。
Kerberosでシングルサインオン。
Mac OS X ServerはMITのKerberosテクノロジーを搭載。Appleのオープンディレクトリ、MicrosoftのActiveDirectory環境の両方でシングルサインオンが可能です。
SSH (セキュアシェル)。
Mac OS X Serverでは、セキュアなリモートサーバのセットアップと管理を実現するため、デフォルトプロトコルとしてOpenSSHが採用されています。SSHでは、パスワードを含む、コマンドラインのリモートトラフィックが暗号化されるため、rloginやtelnet接続でしばしば問題となる登場、接続の盗聴など、ネットワークレベルの攻撃を効果的に回避することが可能です。Mac OS X Serverには、コマンド実行のためのSSH、ファイル転送のためのSFTP、ファイルコピーのためのSCPなど、OpenSSHのすべてのクライアント、サーバ機能が搭載されています。
SSL/TLS。
Mac OS X Serverには、現在最も広く使用されているSSLと、次世代のインターネットセキュリティ標準であるTLSが統合されています。主要なサーバオペレーティングシステムと、Apache、OpenLDAP、Postfix、Cyrus などの多くのネットワークサービスは、これらの仕組みを使って、システム間でのセキュアな128ビット暗号化チャネルを提供し、通信チャネルに流れる情報の盗聴を防ぎます。認証されたセキュアな通信を行うため、Mac OS X ServerではX.509デジタル証明書を使って、インターネット、ローカルエリアネットワークのサーバ認証情報を検証します。
CDSA(Common Data Security Architecture)。
Mac OS X Serverでは、The Open Groupが策定したオープン標準であるCDSA が採用されています。CDSAは、重層的なセキュリティサービスと、SSL 2および3、TLSバージョン1など、セキュリティ対応アプリケーションを作成するための暗号化フレームワークを提供します。AppleのCDSAアーキテクチャは、レガシーなオープンソースアプリケーションで使われているセキュリティライブラリのOpenSSLに加え、Linux PAM(Pluggable Authentication Module)とも統合されており、UNIXアプリケーションからPAM APIを介してCDSAサービスにアクセスできます。
アクセス制御リスト(ACL)。
Mac OS X Serverは、Mac OS XとWindowsのファイルパーミッションをサポートしています。アクセス制御リスト(ACL)により、サーバやアクセス権をきめ細かく設定し、アプリケーション、データが無許可で使用、変更されないように保護します。
ファイルシステムアクセス。
Mac OS X Serverは、従来のUNIXファイル強化とアクセス制御リスト(ACL)の両方をサポートしているので、ファイルやフォルダのアクセス権を細かく設定できます。ほとんどのUNIX、Linuxベースのオペレーティングシステムでは、Standard Portable Operating System Interface (POSIX)パーミッションとしても知られる、UNIXファイルパーミッションモデルが使われていますが、これには制約があります。標準のUNIXファイルパーミッションでは、ファイルの所有者、グループ、ゲストに対してそれぞれ1つずつしかアクセス権を設定できません。また、複数のユーザやグループに対してアクセス権を設定できず、グループによる所有もできません。
従来のUNIXモデルには、他にも重要なファイルアクセス機能が欠落しています。読み出し、書き込み、実行の3つのアクセス権しか用意されておらず、新規ファイル、コピーされたファイルに親ディレクトリのアクセス権を自動的に継承させるアクセス権の継承はサポートされていません。
複雑なコンピュータ環境にさらなる柔軟性を持たせるため、Mac OS X ServerにはACLのサポートが追加されています。ファイルシステムACLでは、任意のファイルオブジェクトを複数のユーザとグループ(グループ内のグループを含む)に割り当てることが可能です。それぞれのファイルオブジェクトには、許可、不許可に加え、管理用コントロール、読み出し、書き込み、削除のアクセス権も設定できます。セキュリティをさらに強化するため、Mac OS X Serverでは、ファイルがサーバに移動されるとユーザの許可を継承し、ファイルがサーバにコピーされると上書きする、ファイル許可継承モデルがサポートされています。
サービスアクセス。
サーバ管理者は、サービスアクセス制御リスト(SACL)を使って、異なるサービスにアクセスできるユーザやグループを簡単に指定できます。たとえば、管理者は、一元化された巨大なディレクトリにバインドされたワークグループのファイルサーバを、そのワークグループのメンバーからの接続のみを受け付けるように設定できます。一元化されたディレクトリシステムを採用するサイトが増える中、この機能はますます重要になります。すべてのユーザベースのMac OS X ServerサービスはSACLをサポートしています。
ファイアウォール。
ファイアウォールソフトウェアは、進入を阻む壁と同じように、Mac OS X Serverで動作しているネットワークアプリケーションを保護します。FreeBSDの信頼性の高いオープンソースのIPFWソフトウェアを採用したMac OS X Serverのファイアウォールは、送られてきたIPパケットをスキャンし、フィルタ設定にもとづいて、パケットの受け取りを許可するかどうか判断します。サーバで稼働しているあらゆるIPサービスへのアクセスを制限できます。また、すべてのクライアント、クライアントのIPアドレスで、フィルタをカスタマイズできます。IPアドレススプーフィングを防ぐため、ファイアウォールソフトウェアには、ステートフルパケットインスペクション機能が搭載されており、送られてきたパケットが、発信されたリクエストに対する正当な応答か、進行中のセッションの一部なのかを判断します。
