Vault プロバイダー

注: 本トピックは、Enterprise Server 機能が有効な場合にのみ該当します。

Vault プロバイダーは、特定の種類の Vault とやり取りするために Vault 機能で使用されるソフトウェアモジュールです。Enterprise Developer に含まれる mfsecretsaes Vault プロバイダーでは、Windows プラットフォームと UNIX プラットフォームの両方がサポートされます。詳細については、「mfsecretsaes Vault プロバイダー」を参照してください。

注: 現在、お客様作成のプロバイダーのサポートは提供されていません。

Enterprise Server では、mfsecretsaes Vault プロバイダーを使用するデフォルトの Vault が構成されています。Enterprise Server Common Web Administration (ESCWA) などの一部のコンポーネントでは、この Vault にシークレットが自動的に格納されます。secrets.cfg ファイルを編集することで、それらのコンポーネントの構成パラメーターを変更したり、Vault を使用する追加のコンポーネントを構成したりできます。

重要: password または salt パラメーターの値を変更する際は、次の点を考慮してください。

インストールプロセスで自動的に作成される mfsecretsaes の値では、有効な暗号化が有効化されています。
Vault に情報を格納した後に password または salt の値を変更すると、変更前に格納されたシークレットにはアクセスできなくなります。
一部のコンポーネントではシークレットが Vault に自動的に格納されるため、変更を加える前に secrets.cfg ファイルのバックアップを作成してください。その際、確実に回復できるようにするために、暗号化された USB フラッシュドライブ上のファイルなど、シークレットを安全な方法でバックアップするようにしてください。
Micro Focus では、オペレーティングシステムのファイル権限を使用して secrets.cfgファイルへのアクセスを保護および制御し、そのアクセスを監視することを強くお勧めします。詳細については、「Vault 機能へのアクセスの制限」を参照してください。

デフォルトでは、secrets.cfg ファイルは %PROGRAMDATA%\Micro Focus\Visual COBOL\etc(Windows) または $COBDIR/etc/secrets(UNIX) ディレクトリにあります。

変更する際は、secrets.cfg ファイル内に記載されているコメントに従ってください。

次に、デフォルトの mfsecretsaes Vault プロバイダーのサンプルの secrets.cfg ファイルを示します。

# This file controls the operation of applications which access the
# vault interface for storing "secret" values such as passwords and
# other sensitive information. It is strongly recommended that 
# appropriate OS file permissions are set and that its contents are
# monitored for any changes.

# NOTE: if configuration values are changed, then "secrets" that 
# were previously accessible may become inaccessible. It is strongly
# recommended that appropriate change management is used, and backups 
# are made before changes are applied.

# NOTE: A vault is a logical configuration set which determines the 
# location and method used to store secrets. The "provider" is the 
# software module which implements access to the vault.


# A default vault can be set in the "global" configuration. 
# Unless a particular applications/software component requires or 
# allows use of a specific named vault, the "default" vault 
# will be used.
[global]
default vault=aesvault
# To enable audit using mfaudit configure audit enabled to TRUE or YES
# For details on configuring mfaudit consult product documentation. 
audit enabled=FALSE

# Specify vaults and their configuration below here.

# Individual "vaults" will have individual configuration 
# requirements. The key=value pairs beneath the logical [vault] label
# will be used by the provider module to control its behavior.
[aesvault]

# This should be the name of the provider so/dll. No file extension 
# required.
provider name=mfsecretsaes

# The "location" key specifies the physical or logical (depending on 
# provider type) directory where secrets will be stored. For the 
# "mfsecretsaes" provider, the target directory needs to pre-exist and 
# have appropriate file permissions to allow application processes to 
# access the location. 
#
# The product installer will initially set a product-specific 
# file location by default.
location=<location>

# Different vault types may also support different sub-modes of operation.
mode=AES256-CBC

# For AES256-CBC a plain text password is used to generate a key and iv.
# By default, the product installer will generate a value.
password=<password>

# Salt is an optional base64 value. By default, the product installer will 
# generate a value.
salt=<salt>