F OPSSのシステムおよび構成プロパティ

この付録では、OPSSのシステム・プロパティ(サーバー起動時にスイッチ-Dを使用して設定)および構成プロパティ(構成ファイルjps-config.xmlで要素<property>および<extendedProperty>を使用して設定)について次の各項で説明します。

• OPSSシステム・プロパティ

• OPSS構成プロパティ

サーバー・プロパティをプログラムによって管理するには、OPSS MBeansを使用します。詳細と例は、第E.2.3項「OPSS Mbeansを使用したプログラミング」を参照してください。

注意: すべてのOPSSの構成変更を有効にするには(手動で、またはJpsConfiguration MBeanを使用して)、サーバーを再起動する必要があります。 OPSSのデータ・ドメイン変更は、サーバーを再起動しなくても有効になります。データの変更には、アプリケーション・ポリシーの変更と、資格証明の作成、削除または更新があります。

F.1 OPSSシステム・プロパティ

導入または変更したシステム・プロパティは、サーバーを再起動するまで有効になりません。システム・プロパティを設定するには、管理者はsetDomainEnv.shシェル・スクリプトを編集し、そのスクリプト内の環境変数EXTRA_JAVA_PROPERTIESにプロパティを追加する必要があります。

表F-1は、OPSSで使用可能なJavaシステム・プロパティを示しています。

表F-1 OPSSで使用されるJavaシステム・プロパティ

名前	説明
java.security.debug=access,failure	JpsAuth.checkPermissionメソッドがSubject.doAsブロック内で呼び出されたときにパーミッション・チェックが失敗すると、その失敗について通知します。 setting jps.auth.debugまたはjps.auth.debug.verboseだけでは、この場合に失敗の通知を受け取ることはできません。 オプション。
java.security.policy	Javaセキュリティ・ポリシー・ファイルの場所を指定します。
jps.authz	実行時およびデバッグのオーバーヘッドを軽減するJDK APIのAccessController.checkPermissionのコールの委任を有効または無効にします。 オプション。 有効な値: NULL、SM、ACCおよびDEBUG_NULL デフォルト値なし
jps.auth.debug	サーバーのロギング出力を制御します。デフォルト値はFALSEです。詳細は、第L.1.2.1項「jps.auth.debug」を参照してください。java.security.debugの説明も参照してください。 オプション。
jps.auth.debug.verbose	サーバーのロギング出力を制御します。デフォルト値はFALSEです。詳細は、第L.1.2.2項「jps.auth.debug.verbose」を参照してください。java.security.debugの説明も参照してください。 オプション。
jps.combiner.optimize	サブジェクトの保護ドメインのキャッシュを有効または無効にします。 オプション。 有効な値: TRUE、FALSE デフォルト値: FALSE
jps.combiner.optimize.lazyeval	パーミッション・チェックのトリガー時にサブジェクトの保護ドメインの評価を有効または無効にします。 オプション。 有効な値: TRUE、FALSE デフォルト値: FALSE
jps.deployment.handler.disabled	WebLogic Serverにデプロイされているアプリケーションのポリシーおよび資格証明の移行を有効または無効にします。WebLogic Serverに対してのみ有効です。 アプリケーション・ファイルのweblogic-application.xmlにある特定のアプリケーション設定に関係なく、サーバーにデプロイされているすべてのアプリケーションについてアプリケーションのポリシーおよび資格証明の移行を無効にするにはTRUEに設定します。 オプション。 有効な値: TRUE、FALSE デフォルト値: FALSE
jps.policystore.hybrid.mode	混合モードを有効または無効にします。 混合モードを使用すると、Sun java.security.PolicyからOPSS Java PolicyProviderへの移行が容易になります。混合モードが有効になっている場合、OPSS Java Policy Providerでは、java.policyとsystem-jazn-data.xmlの両方のファイルから読取りが実行されます。 オプション。 有効な値: TRUE、FALSE デフォルト値: TRUE
jps.subject.cache.ttl	グループ・メンバーシップの変更が有効になるまでの秒数を指定します。 この値はWebLogic認証プロバイダのGroup Hierarchy Cacheの値と同期している必要があります。Group Hierarchy Cacheの値を変更した場合は、新しい値に一致するようにjps.subject.cache.ttlをリセットする必要があります。 オプション。 有効な値: 任意の正の整数 デフォルト値: 60000
oracle.security.jps.config	ドメイン構成ファイルjps-config.xmlまたはjps-config-jse.xmlへのパスを指定します。これらのファイルでパスを指定する場合は、絶対パスまたは構成ファイルの場所を基準とする相対パスで指定できます。 必須。 デフォルト値なし
oracle.deployed.app.dir	コード・ソースURLのディレクトリへのパスを指定します。 オプション。 デフォルト値なし 例については、<url>を参照してください。
oracle.deployed.app.ext	コード・ソースURLの拡張を指定します。 オプション。 デフォルト値なし 例については、<url>を参照してください。
oracle.security.jps.log.for.approle.substring	指定した部分文字列を含むアプリケーション・ロール名をログに記録します。一致対象の部分文字列を指定しないと、すべてのアプリケーション・ロール名が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。
oracle.security.jps.log.for.permeffect	指定した値に従って、付与された権限または拒否された権限をログに記録します。値を指定しないと、(付与または拒否にかかわらず)すべての権限が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。
oracle.security.jps.log.for.permclassname	指定した名前に完全一致するパーミッション・クラス名をログに記録します。一致対象の名前を指定しないと、すべてのパーミッション・クラス名が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。
oracle.security.jps.log.for.permtarget.substring	指定した部分文字列を含むパーミッション・ターゲット名をログに記録します。一致対象の部分文字列を指定しないと、すべてのパーミッション・ターゲットが記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。
oracle.security.jps.log.for.enterprise.principalname	指定した名前に完全一致するプリンシパル(エンタープライズ・ユーザーまたはエンタープライズ・ロール)名をログに記録します。一致対象の名前を指定しないと、すべてのプリンシパル名が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。

F.2 OPSS構成プロパティ

この項では、様々なインスタンスのプロパティについて説明します。この項の内容は次のとおりです。

• ポリシー・ストアのプロパティ

• 資格証明ストアのプロパティ

• LDAPアイデンティティ・ストアのプロパティ

• LDAPベースのすべてのインスタンスに共通するプロパティ

• 匿名ロールと認証ロールのプロパティ

• トラスト・サービスのプロパティ

• 監査サービスのプロパティ

• キーストア・サービスのプロパティ

F.2.1 ポリシー・ストアのプロパティ

次の各項では、ポリシー・ストアのプロパティについて説明します。

• ポリシー・ストアの構成

• 実行時ポリシー・ストアの構成

F.2.1.1 ポリリー・ストアの構成

LDAPベースまたはDBベースのインスタンスで使用できるポリシー・ストア・プロバイダ・クラスは次のとおりです。

oracle.seurity.jps.internal.policystore.ldap.LdapPolicyStoreProvider

表F-2は、ポリシー・ストア・インスタンスのプロパティを示しています。このプロパティのリストは、使用可能なアプリケーションの種類に基づく3つのブロックで構成されています。

表F-2 ポリシー・ストアのプロパティ

名前	説明
次のプロパティは、Java EEアプリケーションとJava SEアプリケーションの両方で有効です。
bootstrap.security.principal.key	LDAPポリシー・ストアにアクセスするためのパスワード資格証明のキーで、CSFストアに格納されています。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし 出荷時の値はbootstrapです。
bootstrap.security.principal.map	LDAPポリシー・ストアにアクセスするためのパスワード資格証明のマップで、CSFストアに格納されています。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値: BOOTSTRAP_JPS
oracle.security.jps.farm.name	LDAPポリシー・ストア内のドメイン・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし
oracle.security.jps.ldap.root.name	LDAPポリシー・ストア内のルート・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし
ldap.url	LDAPポリシー・ストアのURLです。形式は、ldap://host:portです。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアにのみ適用されます。 必須。 デフォルト値なし
policystore.type	LDAPポリシー・ストアのタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし 値の例: OID、DB_ORACLE
oracle.security.jps.policystore.resourcetypeenforcementmode	次のいずれかのチェックに合格しなかった場合に、例外のスローを制御します。 2つのリソース・タイプが同じパーミッション・クラスの場合、そのパーミッションはResourcePermissionまたは拡張AbstractTypedPermissionでなければならず、この最後のリソース・タイプが作成不可能であることの確認。 すべてのパーミッションにリソース・タイプが定義されており、リソース・マッチャ・パーミッション・クラスと付与するパーミッションが一致することの確認。 Strictに設定した場合、前述のいずれかのチェックで不合格になると、例外がスローされ、操作が中止されます。 Lenientに設定した場合、前述のいずれかのチェックで不合格になっても、例外はスローされません。操作は途切れることなく続行され、検出されたあらゆる矛盾がログ・ファイルに記録されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: Lenient 有効な値: Strict、Lenient
jps.change.notifier.file.delay	システムがドメイン・ファイルsystem-jazn-data.xmlとcwallet.ssoで変更の有無を確認する頻度を指定します(ミリ秒単位)。 本番環境では、約10分(600000ミリ秒)の頻度をお薦めします。開発環境では、約3分(180000ミリ秒)の頻度をお薦めします。 デフォルト値: 1000
次のプロパティは、Java EEアプリケーションでのみ有効です。
datasource.jndi.name	JDBCデータ・ソース・インスタンスのJNDI名。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 必須。 デフォルト値なし
failover.retry.times	再試行回数。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 3
failover.retry.interval	次に再試行するまでの秒数。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 15
次のプロパティは、Java SEアプリケーションでのみ有効です。
security.principal	bootstrapで指定されたユーザー名のかわりに使用する、クリアテキストによるプリンシパル名。使用はお薦めしません。 Java SEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値なし
security.credential	bootstrapで指定されたパスワードのかわりに使用する、クリアテキストによるセキュリティ・プリンシパルのパスワード。使用はお薦めしません。 Java SEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値なし
jdbc.driver	JDBCドライバ。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 必須。 デフォルト値なし 値の例: oracle.jdbc.driver.OracleDriver
jdbc.url	JBDCのURL。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 必須。 デフォルト値なし 値の例: jdbc:oracle:thin:@xxx27.com:1345:asi102cn
eclipselink.jdbc.read-connections.min	JDBC読取り接続プールで使用できる最小接続数。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 5
eclipselink.jdbc.read-connections.max	JDBC読取り接続プールで使用できる最大接続数。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 20

例1

次のコードは、Java EEアプリケーションで使用するLDAPベースのポリシー・ストア・インスタンスの構成を示しています。

<serviceInstance provider="ldap.policystore.provider" name="policystore.ldap">
     <property value="OID" name="policystore.type"/>
     <property value="bootstrap" name="bootstrap.security.principal.key"/>
     <property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/>
     <property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/>
     <property value="ldap://stadk06.us.oracle.com:3060" name="ldap.url"/>
     <property value="STATIC" name="oracle.security.jps.policystore.rolemember.cache.type"/>
     <property value="FIFO" name="oracle.security.jps.policystore.rolemember.cache.strategy"/>
     <property value="1000" name="oracle.security.jps.policystore.rolemember.cache.size"/>
     <property value="true" name="oracle.security.jps.policystore.policy.lazy.load.enable"/>
     <property value="PERMISSION_FIFO" name="oracle.security.jps.policystore.policy.cache.strategy"/>
     <property value="1000" name="oracle.security.jps.policystore.policy.cache.size"/>
     <property value="true" name="oracle.security.jps.policystore.refresh.enable"/>
     <property value="43200000" name="oracle.security.jps.policystore.refresh.purge.timeout"/>
     <property value="600000" name="oracle.security.jps.ldap.policystore.refresh.interval"/>
</serviceInstance>

例2

次のコードは、Java SEアプリケーションで使用するLDAPベースのポリシー・ストア・インスタンスの構成を示しています。

<serviceInstance name="policystore.oid" provider="policy.oid">
   <property value="OID" name="policystore.type"/>
   <property value="bootstrap" name="bootstrap.security.principal.key"/>
   <property name="ldap.url" value="ldap://sttt:3060"/>
   <property name="oracle.security.jps.ldap.root.name" value="cn=jpsNode"/>
   <property name="oracle.security.jps.farm.name" value="cn=domain1"/>
</serviceInstance>

Java SEアプリケーションの構成の追加サンプルは、第23.1.2項「LDAPベースのポリシー・ストアと資格証明ストアの構成」を参照してください。

例3

次の例は、Java EEアプリケーションで使用するDBベースのストア(ランタイム・サービス・プロバイダのインスタンスを含む)の構成を示しています。

<jpsConfig>
...
  <propertySets>
    <!-- property set props.db.1 common to all DB services -->
    <propertySet name="props.db.1">
      <property name="datasource.jndi.name"  value="opssds"/>
      <property value="cn=farm" name="oracle.security.jps.farm.name"/>
      <property value="cn=jpsroot" name="oracle.security.jps.ldap.root.name"/>
      <property value="dsrc_lookup_key"  
                name="bootstrap.security.principal.key"/>
      <property value="credential_map" name="bootstrap.security.principal.map"/>
    </propertySet>
  </propertySets>
 
  <serviceProviders>
    <serviceProvider      class="oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider" 
     type="POLICY_STORE" name="rdbms.policystore.provider" >
       <description>RDBMS based PolicyStore provider</description>
    </serviceProvider>
 
    <serviceProvider type="KEY_STORE" name="keystore.provider"        class="oracle.security.jps.internal.keystore.KeyStoreProvider">
      <description>PKI Based Keystore Provider</description>
      <property name="provider.property.name" value="owsm"/>
    </serviceProvider>
 
    <serviceProvider name="pdp.service.provider" type="PDP"       class="oracle.security.jps.az.internal.runtime.provider.PDPServiceProvider">
      <description>OPSS Runtime Service provider</description>
    </serviceProvider>
  </serviceProviders>
 
  <serviceInstances>
    <serviceInstance name="policystore.rdbms"                      provider="rdbms.policystore.provider">
      <property value="DB_ORACLE" name="policystore.type"/>
      <propertySetRef ref = "props.db.1"/>
      <property name="session_expiration_sec" value="60"/>
      <property name="failover.retry.times"  value="5"/>
    </serviceInstance>    
 
    <serviceInstance name="credstore.rdbms" provider="rdbms.credstore.provider">
      <propertySetRef ref = "props.db.1"/>       
    </serviceInstance>
 
    <serviceInstance name="keystore.rdbms" provider="rdbms.keystore.provider">  
      <propertySetRef ref = "props.db.1"/>       
      <property name="keystore.provider.type"  value="db"/>
    </serviceInstance>
 
    <serviceInstance name="pdp.service" provider="pdp.service.provider">
      <property name="sm_configuration_name" value="permissionSm"/>
      <property name="work_folder" value="../../tempdir/permissionSm-work"/>
      <property name="authorization_cache_enabled" value="true"/>
      <property name="role_cache_enabled" value="true"/>
      <property name="session_eviction_capacity" value="500"/>
      <property name="session_eviction_percentage" value="10"/>
      <property name="session_expiration_sec" value="60"/>
      <property name="failover.retry.times"  value="5"/>
      <property name="failover.retry.interval" value="20"/>
      <property name="oracle.security.jps.policystore.purge.timeout",
                value="30000"/>
      <propertySetRef ref = "props.db.1"/>
    </serviceInstance>
  </serviceInstances>
 
  <jpsContexts default="default">
    <jpsContext name="default">
      <serviceInstanceRef ref="pdp.service"/>      
      <serviceInstanceRef ref="policystore.rdbms"/>      
      <serviceInstanceRef ref="credstore.rdbms"/>
      <serviceInstanceRef ref="keystore.rdbms"/>
    </jpsContext>
  </jpsContexts>
...
</jpsConfig>

例4

次のコードは、Java SEアプリケーションで使用するDBベースのポリシー・ストア・インスタンスの構成を示しています。

<serviceInstance name="policystore.rdbms" provider="policy.rdbms">
  <property name="policystore.type" value="DB_ORACLE"/>
  <property name="jdbc.url" value="jdbc:oracle:thin:@sc.us.oracle.com:1722:orcl"/>
  <property name="jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/>
  <property name="bootstrap.security.principal.key" value="bootstrap_DWgpEJgXwhDIoLYVZ2OWd4R8wOA=" />
  <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/>
  <property name="oracle.security.jps.farm.name" value="cn=view_steph.atz"/>
</serviceInstance>

Java SEアプリケーションの構成の追加サンプルは、第23.1.3項「DBベースのOPSSセキュリティ・ストアの構成」を参照してください。

F.2.1.2 実行時ポリシー・ストアの構成

LDAPベースまたはDBベースのインタンスで使用できる実行時ポリシー・ストア・プロバイダ・クラスは、次のとおりです。

oracle.seurity.jps.az.internal.runtime.provider.PDPServiceProvider

表F-3は、ポリシー・ストア・インスタンスの実行時のプロパティを示しています。

表F-3 実行時のポリシー・ストアのプロパティ

名前	説明
oracle.security.jps.policystore.rolemember.cache.type	ロール・メンバーのキャッシュ・タイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: STATIC - キャッシュ・オブジェクトは静的にキャッシュされ、FIFOなど、適用されたキャッシュ戦略に応じてのみ明示的にクリーンアップされます。ガベージ・コレクタでは、このタイプのキャッシュはクリーンアップされません。 SOFT - メモリーが不足している場合、このタイプのキャッシュのクリーンアップはガベージ・コレクタに依存します。 WEAK - このタイプのキャッシュの動作は、タイプSOFTのキャッシュとよく似ていますが、ガベージ・コレクタによってより頻繁にクリーンアップされます。 デフォルト値: STATIC。
oracle.security.jps.policystore.rolemember.cache.strategy	ロール・メンバーのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: FIFO - キャッシュでは、先入れ先出し方針が実装されます。 NONE - リフレッシュまたは再起動が実行されるまで、キャッシュにあるすべてのエントリは増大し続けます。キャッシュのサイズを制御することはできません。使用はお薦めできませんが、ポリシーのフットプリントがきわめて小さい場合には効率的です。 デフォルト値: FIFO。
oracle.security.jps.policystore.rolemember.cache.size	メンバー・キャッシュに維持するロール数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 1000。
oracle.security.jps.policystore.policy.lazy.load.enable	ポリシーの遅延ロードを有効または無効にします。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: TRUE、FALSE デフォルト値: TRUE
oracle.security.jps.policystore.policy.cache.strategy	パーミッションのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: PERMISSION_FIFO - キャッシュでは、先入れ先出し方針が実装されます。 NONE - リフレッシュまたは再起動が実行されるまで、キャッシュにあるすべてのエントリは増大し続けます。キャッシュのサイズを制御することはできません。使用はお薦めできませんが、ポリシーのフットプリントがきわめて小さい場合には効率的です。 デフォルト値: PERMISSION_FIFO。
oracle.security.jps.policystore.policy.cache.size	パーミッション・キャッシュに維持するパーミッション数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 1000。
oracle.security.jps.policystore.refresh.enable	ポリシー・ストアのリフレッシュを有効または無効にします。このプロパティを設定した場合、oracle.security.jps.ldap.cache.enableは設定できません。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: TRUE、FALSE デフォルト値: TRUE
oracle.security.jps.ldap.cache.enable	キャッシュのリフレッシュを有効または無効にします。このプロパティを設定した場合、oracle.security.jps.policystore.refresh.enableは設定できません。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: TRUE、FALSE デフォルト値: TRUE
oracle.security.jps.policystore.purge.timeout	ポリシー・ストア・キャッシュを消去するまでの時間(ミリ秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値は43200000 (12時間)です。
oracle.security.jps.policystore.refresh.interval	ポリシー・ストアで変更がポーリングされる間隔(ミリ秒単位)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 600000 (10分)。
oracle.security.jps.policystore.refresh.permissions.invalidate.threshold	パーミッションのキャッシュが無効になるまでのユーザーのパーミッションの数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 50。
oracle.security.jps.policystore.rolemember.cache.warmup.enable	ApplicationRoleメンバーシップ・キャッシュの作成方法を制御します。TRUEに設定した場合、キャッシュはサーバーの起動時に作成され、それ以外の場合は、必要に応じて作成されます(遅延ロード)。 ユーザーおよびグループの数がアプリケーション・ロールの数を大きく上回っている場合はTRUEに設定します。それ以外の場合、つまりアプリケーション・ロールの数が非常に多い場合はFALSEに設定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: TRUE、FALSE デフォルト値: FALSE
work_folder	一時的な保存に使用するフォルダ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: システムの一時フォルダ。
authorization_cache_enabled	認可キャッシュを有効にするかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 有効な値: TRUE、FALSE デフォルト値: FALSE
session_eviction_percentage	削除容量に達したときに削除するセッションの比率。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: 10
session_eviction_capacity	維持する認可とロールのマッピング・セッションの最大数。最大数に達すると、古いセッションが削除され、必要になったときに再確立されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: 500
session_expiration_sec	セッション・データをキャッシュする秒数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: 60
oracle.security.jps.policystore.resourcetypeenforcementmode	次のいずれかのチェックに合格しなかった場合に、例外のスローを制御します。 2つのリソース・タイプが同じパーミッション・クラスの場合、そのパーミッションはResourcePermissionまたは拡張AbstractTypedPermissionでなければならず、この最後のリソース・タイプが作成不可能であることの確認。 すべてのパーミッションにリソース・タイプが定義されており、リソース・マッチャ・パーミッション・クラスと付与するパーミッションが一致することの確認。 Strictに設定した場合、前述のいずれかのチェックで不合格になると、例外がスローされ、操作が中止されます。 Lenientに設定した場合、前述のいずれかのチェックで不合格になっても、例外はスローされません。操作は途切れることなく続行され、検出されたあらゆる矛盾がログ・ファイルに記録されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: Lenient 有効な値: Strict、Lenient

F.2.2 資格証明ストアのプロパティ

表F-4は、資格証明ストア・インスタンスのプロパティを示しています。このプロパティのリストは、使用可能なアプリケーションの種類に基づく2つのブロックで構成されています。

表F-4 資格証明ストアのプロパティ

名前	説明
次のプロパティは、Java EEアプリケーションでのみ有効です。
bootstrap.security.principal.key	LDAP資格証明ストアにアクセスするためのパスワード資格証明のキーで、CSFストアに格納されています。 Java EEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし 出荷時の値はbootstrapです。
bootstrap.security.principal.map	LDAP資格証明ストアにアクセスするためのパスワード資格証明のマップで、CSFストアに格納されています。 Java EEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値: BOOTSTRAP_JPS
次のプロパティは、Java EEアプリケーションとJava SEアプリケーションの両方で有効です。
oracle.security.jps.farm.name	LDAP資格証明ストア内のドメイン・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし
oracle.security.jps.ldap.root.name	LDAPポリシー・ストア内のルート・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし
ldap.url	LDAP資格証明ストアのURLをldap://host:portの形式で指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアにのみ適用されます。 必須。 デフォルト値なし
encrypt	資格証明を暗号化するかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイルおよびLDAPストアにのみ適用されます。 有効な値: true、false オプション。 デフォルト値: false

次のコードは、Java EEアプリケーションの資格証明ストアの構成を示しています。

<serviceInstance provider="ldap.credentialstore.provider" name="credstore.ldap">
    <property value="bootstrap" name="bootstrap.security.principal.key"/>
    <property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/>
    <property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/>
    <property value="ldap://stttt.us.oracle.com:3060" name="ldap.url"/>
    <property value="true" name="encrypt"/>
</serviceInstance>

F.2.3 LDAPアイデンティティ・ストアのプロパティ

表F-5は、LDAPベースのアイデンティティ・ストア・インスタンスのプロパティを示しています。拡張プロパティはその旨明示しています。それぞれのプロパティに対応する、ユーザーおよびロールAPIのプロパティも示しています。

関連項目: 第7章「アイデンティティ・ストア・サービスの構成」

表F-5 LDAPベースのアイデンティティ・ストアのプロパティ

名前	説明
idstore.type	アイデンティティ・ストアのタイプ。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須 有効な値: OID - Oracle Internet Directory OVD - Oracle Virtual Directory ACTIVE_DIRECTORY - Microsoft Active Directory IPLANET - Oracle Directory Server Enterprise Edition EDIRECTORY - Novell eDirectory OPEN_LDAP - OpenLdap LIBOVD - OracleライブラリOVD CUSTOM - その他の任意のタイプ カスタムの認証プロバイダを使用する場合、サービス・インスタンスの構成で次のいずれかのプロパティを指定する必要があります。 <property name="idstore.type" value="<your-idstore-type>" <property name="ADF_IM_FACTORY_CLASS" value="<your-IDM-FACTOY_CLASS_NAME>" ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_FACTORY_CLASS
security.principal.alias	CSFマップ名。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須。 デフォルト値なし 値の例: myalias。
security.principal.key	CSFキー名。 Java SEアプリケーションでのみ有効です。 必須。 デフォルト値なし 値の例: mykey。 ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_SECURITY_PRINCIPAL
ldap.url	LDAP URL値。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須。 デフォルト値なし 値の例: ldap://myServerName.com:389。 ユーザーおよびロールAPIのタイプするプロパティ: ADF_IM_PROVIDER_URL
user.search.bases	LDAPサーバーに対するDN形式のユーザー検索ベース。拡張プロパティ。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須。 デフォルト値なし 値の例: cn=users,dc=us,dc=abc,dc=com ユーザーおよびロールAPIの対応するプロパティ: USER_SEARCH_BASES
group.search.bases	LDAPサーバーに対するDN形式のグループまたはエンタープライズ検索ベース。拡張プロパティ。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須 デフォルト値なし 値の例: cn=groups,dc=us,dc=abc,dc=com ユーザーおよびロールAPIの対応するプロパティ: ROLE_SEARCH_BASES
idstore.config.provider	idstoreプロバイダ・クラス。 Java EEアプリケーションでのみ有効です。 必須 次の値のみサポートされています。 oracle.security.jps.wls.internal.idstore.WlsLdapIdStoreConfigProvider
group.create.bases	グループまたはエンタープライズ・ロールの作成に使用するベースDN。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ユーザーおよびロールAPIを使用した書込み操作を可能にする場合は必須それ以外の場合はオプション。 シングルDNの値の例: <extendedProperty> <name>group.create.bases</name> <values> <value>cn=groups,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_CREATE_BASES
user.create.bases	ユーザーの作成に使用するベースDN。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ユーザーおよびロールAPIを使用した書込み操作を可能にする場合は必須それ以外の場合はオプション。 シングルDNの値の例: <extendedProperty> <name>user.create.bases</name> <values> <value>cn=users,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: USER_CREATE_BASES
group.filter.object.classes	エンタープライズ・ロールおよびグループの検索に使用する、オブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: groupOfUniqueNames。 ユーザーおよびロールAPIの対応するプロパティ: ROLE_FILTER_OBJECT_CLASSES
group.mandatory.attrs	エンタープライズ・ロールまたはグループの作成時に指定する必要がある属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>group.mandatory.attrs</name> <values> <value>cn</value> <value>objectClass</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_MANDATORY_ATTRS
group.member.attrs	エンタープライズ・ロールまたはグループのメンバーの識別名(DN)を指定する静的ロールの属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>group.member.attrs</name> <values> <value>uniqueMember</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_MEMBER_ATTRS
group.object.classes	エンタープライズ・ロールまたはグループを表現するために使用する1つ以上のスキーマ・オブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>group.object.classes</name> <values> <value>top</value> <value>groupOfUniqueNames</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_OBJECT_CLASSES
group.selected.create.base	エンタープライズ・ロールまたはグループを作成するためのベースDN。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: cn=users,dc=us,dc=abc,dc=com (シングルDN) ユーザーおよびロールAPIの対応するプロパティ: ROLE_SELECTED_CREATEBASE
groupname.attr	エンタープライズ・ロールまたはグループの名前を一意に識別する属性。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: cn ユーザーおよびロールAPIの対応するプロパティ: ROLE_NAME_ATTR
group.selected.search.base	エンタープライズ・ロールまたはグループを検索するためのベースDN。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: cn=users,dc=us,dc=abc,dc=com (シングルDN)
max.search.filter.length	検索フィルタの最大文字数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: 正の整数。 ユーザーおよびロールAPIの対応するプロパティ: MAX_SEARCHFILTER_LENGTH
search.type	リポジトリに対する問合せに使用する検索のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: SIMPLE、PAGEDまたはVIRTUAL_LIST_VIEW。 ユーザーおよびロールAPIの対応するプロパティ: IDENTITY_SEARCH_TYPE
user.filter.object.classes	ユーザーの検索に使用するオブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: inetOrgPerson ユーザーおよびロールAPIの対応するプロパティ: USER_FILTER_OBJECT_CLASSES
user.login.attr	ユーザーのログインID。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <property name="user.login.attr" value="mail"/> ユーザーおよびロールAPIの対応するプロパティ: USER_LOGIN_ATTR
user.mandatory.attrs	ユーザーの作成時に指定する必要がある属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>user.mandatory.attrs</name> <values> <value>cn</value> <value>objectClass</value> <value>sn</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: USER_MANDATORY_ATTRS
user.object.classes	ユーザーを表現するために使用するスキーマ・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 ユーザーおよびロールAPIの対応するプロパティ: USER_OBJECT_CLASSES
username.attr	ユーザー名を一意に識別するLDAP属性。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 ユーザーおよびロールAPIの対応するプロパティ: USER_NAME_ATTR
ldap.host	アイデンティティ・ストアをホストするシステムの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。
subscriber.name	アイデンティティ・ストアのデフォルトのレルム。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: dc=us,dc=oracle,dc=com。 ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_SUBSCRIBER_NAME
virtualize	検索と変更を実行できる認証プロバイダを制御します。TRUEに設定した場合、構成されているすべての認証プロバイダで検索と変更が可能になります。FALSEに設定した場合、検索と変更は構成スタックの最初の認証プロバイダでのみ可能になります。 すべての認証プロバイダでユーザーおよびロールAPIを使用して情報の検索と書込みを実行する場合は、TRUEに設定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: TRUEまたはFALSE。 デフォルト値: FALSE 値の例:   <property name="virtualize" value="true"/>

注意: 認証プロバイダ属性usernameを変更した場合(たとえば、プロビジョニング後またはテスト環境から本番環境への移行時)、それに応じてアイデンティティ・ストア・サービスのアイデンティティ・ストア・サービス・パラメータusername.attrも変更する必要があります。これらの2つの値は同じにしておく必要があります。

次のコード例は、Java SEアプリケーションに使用するLDAPベースのアイデンティティ・ストアの構成を示しています。

<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider">
    <property name="idstore.type" value="OID"/>
    <property name="security.principal.alias" value="MAP_NAME"/>
    <property name="security.principal.key" value="KEY_NAME"/>
    <property name="ldap.url" value="ldap://stadk06:3060"/>
    <extendedProperty>
       <name>user.search.bases</name>
          <values>
             <value>cn=users,dc=us,dc=oracle,dc=com</value>
          </values>
    </extendedProperty>
    <extendedProperty>
       <name>group.search.bases</name>
          <values>
             <value>cn=groups,dc=us,dc=oracle,dc=com</value>
          </values>
    </extendedProperty>
</serviceInstance>

F.2.4 LDAPベースのすべてのインスタンスに共通するプロパティ

表F-6は、あらゆるサービス・インスタンスで指定できる、LDAPベースのストアの汎用的なプロパティを示しています。

LDAPベースのアイデンティティ・ストアのサービス・インスタンスの場合は、ユーザーおよびロールAPIでJNDI接続ファクトリを使用するときに接続プールのプロパティが必ず選択されるように、アイデンティティ・ストアのサービス・インスタンスで次のプロパティを指定する必要があります。

<property 
name="INITIAL_CONTEXT_FACTORY" value="com.sun.jndi.ldap.LdapCtxFactory"/>

表F-6 LDAPの汎用的なプロパティ

名前	説明
connection.pool.authentication	JNDI接続プールが使用するLDAP接続のタイプを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: none、simpleおよびDIGEST-MD5。 デフォルト値: simple。
connection.pool.max.size	LDAP接続プールの最大接続数を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 30
connection.pool.min.size	LDAP接続プールの最小接続数を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 5
connection.pool.protocol	LDAP接続に使用するプロトコルを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: plain、ssl。 デフォルト値: plain。
connection.pool.provider.type	使用する接続プールを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: JNDI、IDM。 デフォルト値: JNDI。
connection.pool.timeout	アイドル接続がプールにとどまっていられるミリ秒数を指定します。タイムアウト後に接続が閉じられ、プールから削除されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: 300000 (5分)
oracle.security.jps.ldap.max.retry	LDAP接続に問題がある場合の、最大再試行回数を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 5

次のコードは、いくつかのプロパティの構成を示しています。

<jpsConfig ... >
   ...
   <!-- common properties used by all LDAPs -->
   <property name="oracle.security.jps.farm.name" value="cn=OracleFarmContainer"/>
   <property name="oracle.security.jps.ldap.root.name"
             value="cn=OracleJpsContainer"/>
   <property name="oracle.security.jps.ldap.max.retry" value="5"/>
   ...
</jpsConfig>

F.2.5 匿名ロールと認証ロールのプロパティ

表F-7は、ファイルベース、LDAPベースまたはDBベースの匿名ユーザー、匿名ロールおよび認証ロールの構成に使用できるプロパティを示しています。

表F-7 匿名ロールと認証ロールのプロパティ

名前	説明
anonymous.role.description	匿名ロールの説明を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値なし
anonymous.role.name	匿名ロールのプリンシパル名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: anonymous-role
anonymous.role.uniquename	匿名ロールの名前を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: anonymous-role
anonymous.user.name	匿名ユーザーのプリンシパル名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: anonymous
authenticated.role.description	認証ロールの説明を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値なし
authenticated.role.name	認証ユーザー・ロールのプリンシパル名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: authenticated-role
authenticated.role.uniquename	認証ロールの名前を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: authenticated-role
remove.anonymous.role	ユーザーの認証後にサブジェクトから匿名ロールを削除する必要があるかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: TRUE、FALSE デフォルト値: FALSE

F.2.6 トラスト・サービスのプロパティ

表F-8は、トラスト・サービスの構成に使用できるプロパティを示しています。

表F-8 トラスト・サービスのプロパティ

名前	説明
trust.aliasName	キーストアからX.509証明書と秘密鍵を取得するために使用する別名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: WASセルのWLSドメインの名前。
trust.issuerName	トークンに含める名前を指定します。発行先のトラスト・サービスにより、トークンを取得して検証するために使用されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: WASセルのWLSドメインの名前。
trust.csf.map	キーストアにアクセスするための資格証明のマップを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティkeystore.csf.mapの値。
trust.csf.keystorePass	秘密鍵にアクセスするための資格証明のキーを指定します(マップはtrust.csf.mapにより設定されます)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティkeystore.pass.csf.keyの値。
trust.csf.keyPass	キーストアにアクセスするための資格証明のキーを指定します(マップはtrust.csf.mapにより設定されます)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティkeystore.sig.csf.keyの値。

次の例では、トラスト・サービスの構成を示します。

<propertySet name="trust.provider.embedded">
  <property name="trust.provider.className" value="oracle.security.jps.internal.trust.provider.embedded.EmbeddedProviderImpl"/>
  <property name="trust.clockSkew" value="60"/>
  <property name="trust.token.validityPeriod" value="1800"/>
  <property name="trust.token.includeCertificate" value="false"/>
  <property name="trust.aliasName" value="orakey"/>
  <property name="trust.issuerName" value="orakey"/>
  <property name="trust.csf.map " value="my-csf-map"/>
  <property name="trust.csf.keystorePass" value="my-keystore-csf-key"/>
  <property name="trust.csf.keypass" value="my-signing-csf-key"/>
</propertySet>

F.2.7 監査サービスのプロパティ

表F-9は、監査サービスの構成に使用するプロパティを示しています。

表F-9 監査サービスのプロパティ

プロパティ	説明	必須	値	デフォルト値
auditstore.type	監査メタデータ・ストアのタイプ。	はい	file、ldapまたはdb	file
audit.filterPreset	監査のレベル: None、Low、Medium、Custom。	いいえ	None、Low、MediumまたはAll	なし
audit.customEvents	Customの場合、監査の対象となる監査イベントのリスト。イベントは、コンポーネント・タイプを使用して修飾する必要があります。イベントはカンマ、コンポーネント・タイプはセミコロンで区切ります。 例: JPS:CheckAuthorization, CreateCredential; OIF:UserLogin	いいえ
audit.specialUsers	filterPresetがNoneの場合もアクティビティが常に監査の対象となる1名以上のユーザーから構成されるリスト。 カンマが含まれるユーザー名は、適切にエスケープ処理する必要があります。たとえば、Fusion Middleware Controlを使用する場合、3名のユーザーは"admin, fmwadmin, cn=test\,cn=user\,ou:ST\,L=RS\,c=is\,"のように指定します。 WLSTの場合は、バックスラッシュ(\)もエスケープ処理する必要があります。例: setAuditPolicy(addSpecialUsers="cn=orcladmin\\\,cn=com") 詳細は、第C.4.3項「setAuditPolicy」を参照してください。	いいえ
audit.maxDirSize	監査ファイルが書き込まれるディレクトリのサイズを制御しますバイト単位	いいえ		102400000
audit.maxFileSize	監査イベントが書き込まれるバスストップ・ファイルのサイズを制御しますバイト単位	いいえ		104857600
audit.loader.interval	監査ローダーがデータベースにアップロードする頻度を制御します。秒単位	いいえ		15秒
audit.loader .repositoryType	監査イベントのストア・タイプ。タイプがデータベース(Db)の場合は、audit.loader.jndiまたはJDBCプロパティも定義します。	はい	File、DB	File
audit.loader.jndi	データベースに監査イベントをアップロードするための、アプリケーション・サーバー内のデータソースのJNDI名。	いいえ		jdbc/AuditDB
audit.db.principal.map / audit.db.principal.key	JavaSEで実行されており、repositoryTypeがDBの場合の、ブートストラップ資格証明ストア内のJDBCユーザー名とパスワード資格証明に対するマップとキー。	いいえ
audit.loader.jdbc.string	JavaSEで実行されており、repositoryTypeがDBの場合の、JDBC接続に対するJDBC文字列。	いいえ
audit.logDirectory	バスストップ・ファイルのベース・ディレクトリ。	JavaSEでは必須		jse

次の例は、監査サービスの構成を示しています。

<serviceInstance name="audit" provider="audit.provider" location="./audit-store.xml">
   <property name="audit.filterPreset" value="None"/>
   <property name="audit.loader.jndi" value="jdbc/AuditDB"/>
   <property name="audit.loader.repositoryType" value="File" />
   <property name="auditstore.type" value="file"/>
 </serviceInstance>

F.2.8 キーストア・サービスのプロパティ

表F-10は、キーストア・サービスの構成に使用するプロパティを示しています。

表F-10 キーストア・サービスのプロパティ

プロパティ	説明	必須	値	デフォルト
keystore.provider.type	キーストア・リポジトリのタイプ。	はい	file、ldap、db	file
keystore.file.path	ファイル・プロバイダが構成されている場合のkeystores.xmlファイルの場所。	ファイルベースのキーストア・プロバイダが構成されている場合は、はい。	-	./
ca.key.alias	キーストア・サービス・インスタンスに使用されているサード・パーティCAのsystem/castore内のキー別名。	いいえ	-	-
location	キーストアの場所。絶対パスまたは相対パスを指定できます。	keystore.typeがJKSの場合は、はい。keystore.typeがPKCS11またはHSM (LunaSA)の場合は、いいえ。	キーストアへのパス	./default-keystore.jks
keystore.type	キーストアのタイプ。	はい	JKS、PKCS11、Luna	JKS
keystore.csf.map	Oracle Web Services Managerによって使用される資格証明ストア・マップ名。	はい	資格証明ストアのマップ名	oracle.wsm.security
keystore.pass.csf.key	キーストア・パスワードを指す資格証明ストア・キー。	JKSおよびPKCS11の場合は、はい。HSMの場合は、いいえ。	資格証明ストアのcsfキー名	keystore-csf-key
keystore.sig.csf.key	キーストア内の署名鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名になります。	はい	資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名	sign-csf-key
keystore.enc.csf.key	キーストア内の暗号化鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名になります。	はい	資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名	enc-csf-key

次の例は、ファイルベースのプロバイダに対するキーストア・サービスの構成を示しています。

 <serviceInstance name="keystore" provider="keystore.provider"          location="./default-keystore.jks">
   <description>Default JPS Keystore Service</description>
   <property name="keystore.provider.type" value="file"/>
   <property name="keystore.file.path" value="./"/>
   <property name="keystore.type" value="JKS"/>
   <property name="keystore.csf.map" value="oracle.wsm.security"/>
   <property name="keystore.pass.csf.key" value="keystore-csf-key"/>
   <property name="keystore.sig.csf.key" value="sign-csf-key"/>
   <property name="keystore.enc.csf.key" value="enc-csf-key"/>
 </serviceInstance>

次の例は、LDAPベースのプロバイダに対するキーストア・サービスの構成を示しています。

<serviceInstance name="keystore" provider="keystore.provider"       location="./default-keystore.jks">
   <description>Default JPS Keystore Service</description>
   <property name="keystore.provider.type" value="ldap"/>
   <property name="keystore.type" value="JKS"/>
   <property name="keystore.csf.map" value="oracle.wsm.security"/>
   <property name="keystore.pass.csf.key" value="keystore-csf-key"/>
   <property name="keystore.sig.csf.key" value="sign-csf-key"/>
   <property name="keystore.enc.csf.key" value="enc-csf-key"/>
<property value="bootstrap" name="bootstrap.security.principal.key"/>
<property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/>
<property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/>
<property value="ldap://stadk06.us.oracle.com:3060" name="ldap.url"/>
</serviceInstance>

次の例は、RDBMSベースのプロバイダに対するキーストア・サービスの構成を示しています。

<propertySet name="props.db.1">
   <property name="datasource.jndi.name"  value="opssds"/>
   <property value="cn=farm" name="oracle.security.jps.farm.name"/>
   <property value="cn=jpsroot" name="oracle.security.jps.ldap.root.name"/>
   <property value="dsrc_lookup_key"  
             name="bootstrap.security.principal.key"/>
   <property value="credential_map" name="bootstrap.security.principal.map"/>
 </propertySet>
 
…
…
<serviceInstance name="keystore.rdbms" provider="keystore.provider"            location="./default-keystore.jks">  
   <propertySetRef ref = "props.db.1"/>       
   <property name="keystore.provider.type"  value="db"/>
   <property name="keystore.type" value="JKS"/>
   <property name="keystore.csf.map" value="oracle.wsm.security"/>
   <property name="keystore.pass.csf.key" value="keystore-csf-key"/>
   <property name="keystore.sig.csf.key" value="sign-csf-key"/>
   <property name="keystore.enc.csf.key" value="enc-csf-key"/>
</serviceInstance>