ヘッダーをスキップ
Oracle Fusion Middleware 2日で管理者ガイド
11g リリース1(11.1.1)
B55896-03
  ドキュメント・ライブラリへ移動
ライブラリ
製品リストへ移動
製品
目次へ移動
目次
索引へ移動
索引

前
 
次
 

6 セキュリティの構成

Oracle Fusion Middlewareには、管理目的に特化したアカウントを含む、多くのセキュリティ機能が用意されています。この章では、追加の管理アカウントの作成、アプリケーション・ロールの作成、これらのアカウントのパスワード変更、およびSSLの構成を行う方法について説明します。

この章の内容は次のとおりです。

6.1 追加の管理ユーザーの作成

Oracle Fusion Middlewareのインストール時および構成時に、管理ユーザーとそのパスワードを指定する必要があります。デフォルトでは、このユーザー名はweblogicです。この管理アカウントを使用して、Fusion Middleware ControlおよびOracle WebLogic Server管理コンソールにログインできます。

Oracle WebLogic Server管理コンソールを使用して、別の管理ユーザーを作成できます。

完全な権限を持つ新しい管理ユーザーを作成するには:

  1. Oracle WebLogic Server管理コンソールに移動します (たとえば、Fusion Middleware Controlでドメインのホーム・ページから「このWebLogicドメインを構成および管理するには、Oracle WebLogic Server管理コンソールを使用します。」を選択します)。

  2. ナビゲーション・ペインから「セキュリティ・レルム」を選択します。

    「セキュリティ・レルム」ページのサマリーが表示されます。

  3. myrealmなどのレルムを選択します。

    レルム・ページの「設定」が表示されます。

  4. 「ユーザーとグループ」タブを選択し、「ユーザー」タブを選択します。「新規」をクリックします。

    「新規ユーザーの作成」ページが表示されます。

  5. 名前」に、新しいユーザーの名前を入力します。この場合、「admin2」と入力します。

  6. 必要に応じて、アカウントの説明を入力します。

  7. プロバイダ認証者には、デフォルト値である「DefaultAuthenticator」を使用します。

  8. パスワード」に、アカウント用のパスワードを入力します。「パスワードの確認」に、パスワードを再入力します。

    「DefaultAuthenticator」を選択した場合、Oracle Fusion Middlewareユーザーに割り当てるパスワードには次のルールが適用されます。

    • 文字が8つ以上含まれている必要があります。

    • 1つ以上の文字が、数字または特殊文字(ドル記号($)、番号記号(#)またはアンダースコア(_))である必要があります。

  9. OK」をクリックします。

  10. 「ユーザー」表で、新規作成したユーザーを選択します。

    ユーザーの設定ページが表示されます。

  11. 「グループ」タブを選択します。

  12. 「使用可能」グループからグループを選択します。この場合、新しいユーザーに完全な権限を付与するために、次の図に示すように、「管理者」を選択してから選択済リストに移動させます。

    create_user.gifの説明が続きます
    図create_user.gifの説明

  13. 保存」をクリックします。

この時点で、Oracle WebLogic Serverドメインの管理者ロールを持つ、admin2という名前のユーザーが作成されています。

6.2 特定のロールを持つ追加ユーザーの作成

別のユーザーに、構成は変更できずOracle Fusion Middlewareの監視のみ可能な、最小限の権限を付与する場合もあります。 追加ユーザーを作成し、制限のあるアクセス権を付与することができます。たとえば、アプリケーションをデプロイする権限を持つユーザーを作成できます。

アプリケーションをデプロイできる追加ユーザーを作成するには:

  1. Oracle WebLogic Server管理コンソールに移動します (たとえば、Fusion Middleware Controlでドメインのホーム・ページから「このWebLogicドメインを構成および管理するには、Oracle WebLogic Server管理コンソールを使用します。」を選択します)。

  2. ナビゲーション・ペインから「セキュリティ・レルム」を選択します。

    「セキュリティ・レルム」ページのサマリーが表示されます。

  3. myrealmなどのレルムを選択します。

    レルム・ページの「設定」が表示されます。

  4. 「ユーザーとグループ」タブを選択し、「ユーザー」タブを選択します。「新規」をクリックします。

    「新規ユーザーの作成」ページが表示されます。

  5. 名前」に、新しいユーザーの名前を入力します。この場合、「app_deployer」と入力します。

  6. 必要に応じて、アカウントの説明を入力します。

  7. パスワード」に、アカウント用のパスワードを入力します。「パスワードの確認」に、パスワードを再入力します。

    「DefaultAuthenticator」を選択した場合、Oracle Fusion Middlewareユーザーに割り当てるパスワードには次のルールが適用されます。

    • 文字が8つ以上含まれている必要があります。

    • 1つ以上の文字が、数字または特殊文字(ドル記号($)、番号記号(#)またはアンダースコア(_))である必要があります。

  8. OK」をクリックします。

  9. 「ユーザー」表で、新規作成したユーザーを選択します。

    ユーザーの設定ページが表示されます。

  10. 「グループ」タブを選択します。

  11. 「使用可能」グループからグループを選択します。この場合、新しいユーザーにアプリケーションのデプロイ権限のみを付与するために、デプロイヤを選択してから選択済リストに移動させます。

  12. 保存」をクリックします。

6.3 管理ユーザーのパスワードの変更

Oracle WebLogic Server管理コンソールを使用して、ユーザーのパスワードを変更できます。

管理ユーザーのパスワードを変更するには:

  1. Oracle WebLogic Server管理コンソールに移動します (たとえば、Fusion Middleware Controlでドメインのホーム・ページから「このWebLogicドメインを構成および管理するには、Oracle WebLogic Server管理コンソールを使用します。」を選択します)。

  2. ナビゲーション・ペインから「セキュリティ・レルム」を選択します。

    「セキュリティ・レルム」ページのサマリーが表示されます。

  3. myrealmなどのレルムを選択します。

    レルム・ページの「設定」が表示されます。

  4. 「ユーザーとグループ」タブを選択し、「ユーザー」タブを選択します。ユーザーを選択します

    ユーザーの設定ページが表示されます。

  5. 「パスワード」タブを選択します。

  6. 新しいパスワードを入力し、確認のため再入力します。

  7. 保存」をクリックします。

6.4 SSLの構成

SSLは、メッセージの暗号化、整合性および認証を提供することで、通信を保護します。SSL標準により、関係するコンポーネント(ブラウザやHTTPサーバーなど)は、どの暗号化、認証および整合性メカニズムを使用するかのネゴシエーションができます。

この項の内容は次のとおりです。

6.4.1 キーストアとウォレットの概要

Oracle Fusion Middlewareでは、すべてのJavaコンポーネントおよびアプリケーションはJKSキーストアを使用します。そのため、Oracle WebLogic Serverで稼働するすべてのJavaコンポーネントおよびアプリケーションは、JKSベースのキーストアおよびトラストストアを使用します。

Oracle Virtual Directoryシステム・コンポーネントは、JKS キーストアを使用して、鍵と証明書を保存します。そのため、Oracle Virtual DirectoryにSSLを構成するには、JKSキーストアを設定および使用する必要があります。

他のコンポーネントは、その保存メカニズムとしてOracleウォレットを使用します。Oracleウォレットとは、証明書、信頼できる証明書、証明書リクエスト、秘密鍵などの資格証明を保存するコンテナです。Oracleウォレットは、ファイル・システムまたはOracle Internet DirectoryなどのLDAPディレクトリに保存できます。Oracleウォレットは、自動ログインできるウォレットにできるほか、パスワードで保護したウォレットにすることもできます。

Oracleウォレットを使用するコンポーネントは次のとおりです。

  • Oracle HTTP Server

  • Oracle Web Cache

  • Oracle Internet Directory

6.4.2 ブラウザとOracle HTTP Server間におけるSSLの有効化

クライアント・ブラウザとWebサーバーの間の通信経路でSSLを有効化できます。この場合は、SSLモードでリスニングするようにOracle HTTP Serverの仮想ホストを構成します。この処理について次の各項で説明します。

6.4.2.1 Oracle HTTP Serverの仮想ホストへのインバウンド・トラフィックに対するSSLの有効化

Oracle HTTP Serverの仮想ホストへのインバウンド・トラフィックに対してSSLを有効化するには:

  1. 次のように、Oracleウォレットを作成します。

    1. ナビゲーション・ペインで、ファームを開いて、「Web層」を開きます。Oracle HTTP Serverインスタンスを選択します。

    2. 「Oracle HTTP Server」メニューから「セキュリティ」→「ウォレット」を選択します。

      「ウォレット」ページが表示されます。

    3. 作成」をクリックします。

      次の図に示すように、「ウォレットの作成」ページが表示されます。

      create_wallet.gifの説明が続きます
      図create_wallet.gifの説明

    4. ウォレット名」に、説明的なウォレット名を入力します。

    5. ウォレットに自動ログインできるようにするかどうかに応じて、「自動ログイン」を選択または選択解除します。デフォルトは、自動ログイン・ウォレットです。「自動ログイン」を選択解除した場合は、「ウォレット・パスワード」にパスワードを入力し、その同じパスワードを「パスワードの確認」にも入力します。

    6. OK」をクリックしてウォレットを作成します。

      確認ボックスが表示されます。

    7. 証明書リクエストを作成するかどうかが、確認ボックスで尋ねられます。「はい」をクリックします。

      「ウォレットの作成: 証明書リクエストの追加」ページが表示されます。

    8. 共通名」に、証明書リクエストの名前を入力します。

    9. 組織に関する情報を入力します。

    10. キー・サイズ」で、サイズを選択します。

    11. OK」をクリックします。

    12. 証明書に認証局(CA)の署名を受けるには、証明書リクエストをウォレットからエクスポートして、CAへ送信する必要があります。発行された証明書が返されたら、ウォレットにインポートする必要があります。これで、ウォレットを使用できるようになりました。

  2. 「HTTP Server」メニューから「管理」→「仮想ホスト」を選択します。

    「仮想ホスト」ページが表示されます。

  3. 仮想ホストを選択し、「構成」→「SSL構成」を選択します。

    次の図に示すように、「SSL構成」ページが表示されます。

    ohsssl3.gifの説明が続きます
    図ohsssl3.gifの説明

  4. SSLの有効化」を選択します。

  5. サーバー・ウォレット名」でウォレットを選択します。

  6. 「サーバーSSLプロパティ」から、SSL認証タイプ、使用する暗号スイートおよびSSLプロトコル・バージョンを選択します。

  7. OK」をクリックします。

  8. Oracle HTTP Serverを再起動します。そのためには、「Oracle HTTP Server」メニューから「コントロール」→「再起動」を選択します。

  9. ブラウザのSSLを介して「Oracle HTTP Server」ページを参照することで、これをテストできます。URLの形式は、https://host:port/を使用します。ホストとポートは、ご使用の環境に適した値に置き換えます。

6.4.2.2 Oracle HTTP Serverの仮想ホストからのアウトバウンド・トラフィックに対するSSLの有効化

Oracle HTTP Serverからのアウトバンド・リクエストは、mod_wl_ohsを構成することで処理します。

SSLのアウトバンド・リクエストを構成するには:

  1. Oracle WebLogic Server管理コンソールを使用して、証明書を収めたOracle WebLogic Serverのカスタム・キーストアを生成します。

    1. コンソールの左側のペインで、「環境」を開いて「サーバー」を選択します。

    2. 構成」→「キーストア」を選択します。

    3. キーストアを定義します。各フィールドの詳細は、オンライン・ヘルプを参照してください。

  2. Oracle WebLogic Serverで使用する証明書を、信頼できる証明書としてOracle HTTP Serverウォレットにインポートします。このタスクでは、 WLST やFusion Middleware Controlなどの任意のユーティリティを使用できます。

  3. Oracle HTTP Server構成ファイルORACLE_INSTANCE/config/OHS/ohs1/ssl.confにあるmod_weblogicのSSL構成に次の行を追加します。

    WlSSLWallet  "$(ORACLE_INSTANCE}/config/COMPONENT_TYPE/COMPONENT_NAME/default"
    

    この行のdefaultは、ステップ2で指定したOracle HTTP Serverウォレットの名前です。

    構成の例は次のとおりです。

    <IfModule mod_weblogic.c>
          WebLogicHost myhost.example.com
          WebLogicPort 7002
          Debug ALL
          WLLogFile /tmp/weblogic.log
          MatchExpression *.jsp
          SecureProxy On
          WlSSLWallet "$(ORACLE_INSTANCE)/config/OHS/ohs1/keystores/default"
    </IfModule>
    

    ファイルを保存して終了します。

  4. Oracle HTTP Serverを再起動して、この変更を有効にします。

  5. ステップ1で生成したカスタム・キーストアを使用するようにOracle WebLogic Serverインスタンスが構成されていて、その別名が証明書の生成で使用した別名の値を指していることを確認します。Oracle WebLogic Serverインスタンスを再起動します。

6.5 関連情報

この章で説明した内容の詳細やその他のセキュリティ関連の詳細は、次を参照してください。