著者 : Richard Jacob   2024年1月15日 投稿のブログ記事 (元の英文記事へのリンク)

マスコットのセキュリティ - ゲストユーザーと管理者

Mascot のセキュリティ機能は「ロールベース」の制御システムです。管理者はプライバシープライオリティーといった、MASCOTへのアクセスにおけるさまざまな側面を制御することができます。Microsoft Active Directory (AD)や様々なシングルサインオンシステムのような認証システムと統合することもできます。さらに、コアラボ向けの設定、例えば検索結果について他のグループからはアクセスできないようにするなど、MASCOT Serverを通じた共同研究者との結果のシェアも可能です。

今回はちょっと変わったアクセス設定について説明します。Mascotサーバーにアクセスできる人であれば誰でもログインせずに検索を実行し結果を確認することができますが、設定ファイルを変更することができるのは管理者のみ、という、最小限の控えめなセキュリティ設定です。研究結果を外部と共有しない研究室や、サーバーの検索機能へのアクセスを制限する必要がある研究室に有効です。そのような想定ならわざわざセキュリティをかける必要があるのかと思うかもしれません。特にすべての利用者に影響が及んでしまうような設定に対してすべての人がMascot変更可能であると困るため、それらの変更がむやみにできないようにすることは重要です。例えばmodificationの探索範囲に関する設定が変更されてしまうと、検索結果に影響を及ぼすことがあります。

デフォルトの「ゲスト」ユーザー設定は、ヘルプページへのアクセスとPMF検索の実行のみ可能です。それに対し、下記のように編集された設定に変更する事で、ゲストでも様々な検索が可能になります。この設定を実現するためにはまず、セキュリティを有効にすることから始めましょう。Mascot Server上でコマンドプロンプトまたはシェルを開き、mascot/binディレクトリに移動します。そこで以下のようなコマンドを入力します:

Linuxの場合:
./enable_security.pl
Windowsの場合:
..\perl64\bin\perl.exe enable_security.pl

続いて、管理者としてWEBブラウザ経由でログインしてください。Mascotのセキュリティを有効にすると管理者パスワードがリセットされ「admin」になります。最初にこのパスワードを使ってログインした直後にパスワードの変更が求められます。これら一連の操作後、管理者権限ユーザーによるゲストユーザーアカウントの設定変更が可能になります。

[関連事項] Mascotのセキュリティをオフにしたい場合は、Mascotサーバー上でコマンドプロンプトまたはシェルを開き、mascot/binディレクトリに移動し、以下のコマンドを入力してください:

Linuxの場合
./disable_security.pl Windowsの場合:
..\perl64\bin\perl.exe disable_security.pl

さて管理者による設定変更作業の話に戻します。セキュリティーを有効にした状態で、ブラウザからHome->Configuration Editor->Securityと進みます。開いた設定画面で、Groups "の下にある "Guest "を選択し、editボタンをクリックします。guestグループの権限を調整するため、”task”を追加したり削除したりしながら以下の内容にしてください。:

Security administration Click to view full size image

  • SEARCH: Allow pmf searches
  • SEARCH: Allow ms-ms (and SQ) searches
  • SEARCH: Allow msms no enzyme searches
  • SEARCH: Allow all fasta databases to be searched
  • VIEW: See search results from other people in your own group
  • VIEW: See search results without USERID field
  • VIEW: Allow user to view the search log
  • GENERAL: View config files using ms-status
  • CLIENT: Mascot Daemon is allowed to submit searches
  • CLIENT: Mascot Distiller is allowed to submit searches
  • CLIENT: Bruker BioTools batch searches
  • ADMIN: Allow use of Database Status application
  • VIEW: See search results from any user in any group you belong to

その後変更内容を保存(Save)します。これ以降、Configuration Editor にアクセスできるのはadminユーザーのみとなります。ゲストがConfiguration Editorにアクセスしようとしても、Mascotのセキュリティによって阻止されます:

Mascot Server security - change user

管理者権限を他のユーザーに持たせるには、名前を付けたユーザーを作成してそのユーザーをadmin グループに追加してください。なおデフォルト設定では管理者は検索を実行できません。ログインする必要があるのは、新しいデータベースを追加したり、独自に修飾設定をしたり、その他何かしらの設定変更をするときだけです(訳者注:設定変更後はログオフしてゲストユーザーで検索を行ってください)。

Mascot Serverにシームレスにログインするもう1つの方法は、Microsoft Active Directory(AD)や様々なシングルサインオンシステムを使用する事(英語版日本語版)です。ユーザーがOSにログインすると、その認証情報はMascot Serverへのログインにも使用されます。これは簡単に実装できますが、ローカルITグループのサポートが必要です。

ここで管理上のヒントをひとつご紹介します。Mascot Serverで行われた設定変更のほとんどはmascot/logs/config.logファイルに記録されます。このファイルはメモ帳などのテキストエディタで開くことができます。これによりコンピューターの管理者は設定の変更を確認することができます。指定ユーザーを管理者として追加している場合は、誰が変更したかを追跡することもできます。また、Mascot Serverは設定変更毎にバックアップファイルを保存するので、必要に応じて簡単に以前の設定にロールバックすることができます。ただしMascot Securityのユーザーとグループに対する変更は現在記録されない仕様であり、これらの設定を記録しているuser.xmlとgroup.xmlファイルも自動的にバックアップされません。

MASCOTのセキュリティについてご不明な点がございましたら、support-jp@matrixscience.comまでお知らせください。

Keywords: , ,