Worker 設定の拡張されたセキュリティ手法
セキュリティ対策として、必須の WVS プロパティにより、Worker 実行ファイルに対して追加の保護措置を行います。Worker は、その実行ファイルのパスがプロパティで指定されたプレフィックスのいずれかに一致する場合にのみ有効になり、それ以外の場合は無効になります。
コマンドを含むプレフィックスは、site.xconf ファイルで wvs.properties に適切な値を追加することで設定する必要があります。プロパティ設定の詳細は、wvs.properties ファイルの「WORKER EXECUTABLE PREFIX SETTINGS」セクションで確認できます。
• worker.exe.allowlist.prefixes プロパティを使用して、Worker 実行ファイルのパスのプレフィックスのリストを指定することで、それらを任意のホスト上の任意の Worker に使用できます。
◦ site.xconf の使用:
< Property name= "worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value="C:\PTC\CAD_Workers|nohup /PTC/CAD_Workers"/>
targetFile="codebase/WEB-INF/conf/wvs.properties"
value="C:\PTC\CAD_Workers|nohup /PTC/CAD_Workers"/>
◦ xconfmanager の使用:
xconfmanager -s "worker.exe.allowlist.prefixes=C:\\PTC\\CAD_Workers|nohup /PTC/CAD_Workers" -t codebase/WEB-INF/conf/wvs.properties -p
• または、worker.exe.allowlist.prefixes.<worker_host> 形式のプロパティを使用すると、Worker ホストごとにコマンドのプレフィックスのリストを指定できます。
次の使用例は、worker.exe.allowlist.prefixes プロパティの設定方法を示しています。
<Property name="worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
この設定は、Windows の C、D、および G ドライブに存在するすべての Worker と、Unix/Linux のすべての Worker の実行を許可します。垂直バー (パイプ) は、プレフィックスを区切るために使用します。
 |
• このプロパティの意図は、Windchill によってリモートの Worker マシンで (Windows の場合は GS Worker Daemon サービスアカウントを使用して、UNIX の場合は設定済みの Telnet ログインアカウントを使用して) 実行できるスクリプトを制限することです。
• ルートフォルダのパス (Windows の場合は C:\ または D:\、UNIX の場合は / など) の使用は避けてください。これを使用すると、悪意のあるハッカーに対する保護をほとんど確保できません。代わりに、Creo View Adapters セットアップフォルダを作成する場所 (例: .C:\PTC\CAD_Workers) を決定し、この親フォルダをジェネリックプロパティまたは Worker ホスト固有の許可リストプロパティの値として指定します。
• Creo View Adapters セットアップフォルダに複数のシステムと異なる場所を使用している場合は、複数の Worker コマンドまたはプレフィックスを区切る区切り記号として、垂直バー (パイプ) 文字を指定します。例: D:\apps\remoteworkers|D:\apps\localworkers|/disk1/wvsworkers
|
詳細については、アーティクル CS140965 を参照してください。