バージョン2025.1インストール時に指定する初期セキュリティオプションのデフォルトが「ロックダウン」に変わりました

記事

Mihoko Iijima · 2025年3月28日 4m read

#システム管理 #セキュリティ #ヒントとコツ #InterSystems IRIS #InterSystems IRIS for Health

開発者の皆さん、こんにちは。

先日、EM リリース新バージョン 2025.1 がリリースされました。

コンテナ版以外ですが、新規インストール時に指定する初期セキュリティオプションのデフォルトが「ロックダウン（Locked Down）」に変更となりましたので、今までとの違いについて以下ご説明します。

ドキュメント（Windows）：[Windows Development Installation] > [Step 3: Choose Initial Security]
ドキュメント（UNIX、Linux、Mac）：[UNIX®, Linux, and macOS Development Installation] > [Step 1: Choose Security Settings]

以前のバージョンのデフォルトは、IRIS：「最小（Minimal）」、IRIS for Health：「通常（Normal）」です。

ロックダウンオプションは、初期セキュリティの中で一番厳しいセキュリティ設定を行うオプションで、例えば、オブジェクト／SQL のアクセスが行えない、VSCode から IRIS にアクセスできない状況からスタートします。

そのため、使用したいアクセスに対してアクセス許可追加していく必要のあるセキュリティオプションです。

今までご利用いただいていたバージョンのデフォルト値と異なりますので、新規インストール時は設定値に気を付けてインストールを進めてみてください。

Windows の場合は、以下の表示となります。

※設定値の並びも以前のバージョンと変わっていますのでご注意ください。

※ 2025/3/28 現在、Windows 版 IRIS for Health のインストールキットのみ、以前と同様の「通常（Normal）」がデフォルト設定されています（将来のリリースで修正される予定です）。

Linuxでは、IRIS、IRIS for Health 共通で以下のように表示されます（最下部とご覧ください）。

Your system type is 'Ubuntu 22.04 LTS (x64)'.
 
Enter instance name <IRIS>: IRIS
 
Enter a destination directory for the new instance.
Directory: /usr/irissys 
Directory '/usr/irissys' does not exist.
Do you want to create it <Yes>?  
 
Select installation type.
    1) Development - Install InterSystems IRIS server and all language bindings
    2) Server only - Install InterSystems IRIS server
    3) Custom
Setup type <1>? 1
 
How restrictive do you want the initial Security settings to be?
"Locked Down" is the most secure, "Minimal" is the least restrictive.
    1) Locked Down
    2) Normal
    3) Minimal
Initial Security settings <1>?

もし、ロックダウンの設定でインストールしてしまった場合ですが、

1、オブジェクト／SQL を使いたい（ODBC / JDBC経由のアクセス、スタジオの利用も含まれます）

2、VSCode から IRIS に接続したい

上記アクセスを行いたい場合は、管理ポータルにログインし、セキュリティ設定を変更する必要があります。

1、オブジェクト／SQLを使いたい

サービス：%Service_Bindings を有効に変更します。

※ サービスとは、InterSystems 製品への接続経路を管理するセキュリティ設定で、対象サービスを有効とするか（接続を使うか）、無効とするか（接続を使わないか）、有効とする場合の認証はどれを使うか、などを設定します。

管理ポータルの以下メニューにアクセスします（SuperUser でログインをしてください。パスワードはインストール時に指定したパスワードを指定します）。

[システム管理] > [セキュリティ] > [サービス]

グレーの行は無効化されていることを示しています。

%Service_Bindings をクリックし、有効にチェックを入れ、[保存] ボタンをクリックします。

設定は以上です。

その他サービスの初期セキュリティオプション別、有効・無効については、ドキュメント「初期のサービス・プロパティ」をご参照ください。

2、VSCode から IRIS に接続したい

VSCode から REST 経由で IRIS に接続しています。内部的に使用しているエンドポイントのパスの設定がロックダウンでは無効化されていますので接続できません。有効化に変更するため管理ポータルで設定を変更します。

[システム管理] > [セキュリティ] > [アプリケーション] > [ウェブ・アプリケーション] > /api/atelier を選択

/api/atelier の設定画面を開いたら、[アプリケーション有効] にチェックを入れて[保存]ボタンをクリックします。

設定は以上です。