10g(10.1.3.4.0)
B50832-01
 目次 |
 索引 |
| Oracle Containers for J2EE
セキュリティ・ガイド
10g(10.1.3.4.0) B50832-01 |
|
この章では、OC4JおよびOracle Application Serverのセキュリティの管理および構成のための各機能/ツールの概要を説明します。この章の内容は次のとおりです。
OC4Jでは、J2EE環境においてアプリケーションをデプロイおよび管理するために、次の標準がサポートされています。
J2SEおよびJ2EE環境におけるセキュリティの管理では、レルム、ユーザー、ロール、パーミッションおよびポリシーの作成および管理を行う必要があります。次のOracleツールをセキュリティ構成の管理で使用します。
oidadmin): Oracle Internet Directoryにおいて、Oracle Identity Management用にユーザーおよびロールの管理に使用します。
これらのツールに関しては、次の各項で詳細に説明します。
|
注意
OC4Jセキュリティを含むOC4Jの管理ツールとして、できるだけOracle Enterprise Manager 10g Application Server Controlを使用するようにしてください。Application Server Controlがサポートしていない機能については、必要に応じてOracleAS JAAS Provider Admintoolを使用してください。場合によっては、構成ファイル、特にインスタンス・レベルの構成ファイルである |
アプリケーションのデプロイおよび管理には、通常Application Server Controlを使用します。このためのユーザー・インタフェースがApplication Server Controlコンソールです。Application Server Controlには次の機能が用意されています。
OC4J固有のXML構成ファイルは、Application Server Controlコンソールを使用すると、OC4Jによって自動更新されます。
|
関連項目
|
開発時に使用するOracleAS JAAS Provider Admintoolは、次の管理機能を持つ軽量のJavaアプリケーションです。
管理機能は、コマンドラインまたは対話型のシェルから直接コールできます。Admintoolは、ORACLE_HOME/j2ee/home/jazn.jarにあります。
一般的なコマンドライン構文は次のとおりです。
% java -jar jazn.jar [-user username -password pwd] [option1 option2 ... ]
ファイルベース・プロバイダに対してAdmintoolを使用すると、ORACLE_HOME/j2ee/home/configディレクトリのsystem-jazn-data.xmlファイルがデフォルトで更新されます。
この項では、Oracle Identity Managementをセキュリティ・プロバイダとして使用する場合の、Oracle Internet Directoryの管理ツールについての概要を説明します。
委任管理は、Oracle Identity Managementインフラストラクチャの重要な機能の1つです。ユーザー、グループおよびサービスのすべてのデータを中央のディレクトリに保存し、それらのデータの管理を複数の管理者およびエンド・ユーザーに委任できます。委任は、使用する環境の様々なセキュリティ要件を満たす方法で行われます。
たとえば、企業がすべてのユーザー、グループおよびサービスのデータを中央ディレクトリに保存しており、ユーザー・データの管理に1人の管理者、電子メール・サービスの管理にもう1人の管理者が必要であると想定します。Oracle Identity Managementインフラストラクチャが提供する委任管理を使用することで、セキュリティ要件の異なる複数の管理者が、中央で保存されているデータをセキュアでスケーラブルな方法で管理することができます。Oracle Delegated Administration Serviceで委任できる権限は、(特に)ユーザーおよびグループの作成、編集および削除、ユーザーおよびグループへの権限の割当て、サービスおよびアカウントの管理です。
Oracle Delegated Administration Service(DAS)には、ユーザーの代理として行うWebベースのディレクトリ操作単位のセットが事前定義されています。ディレクトリ管理者は、これを使用して、各役割をより多くその他の管理者およびエンド・ユーザーに委任することで、日常的なディレクトリ管理タスクから開放されます。ユーザー・エントリの作成、グループ・エントリの作成、エントリの検索およびユーザー・パスワードの変更など、ディレクトリ対応のアプリケーションで必要になるほとんどの機能が用意されています。
DASを使用すると、ディレクトリのアプリケーション・データを管理する独自のツールを開発できます。または、DASをベースにしたツールであるOracle Internet Directoryセルフ・サービス・コンソールを使用することもできます。このツールは、Oracle Internet Directoryで使用できるようになる予定です。
Oracle Directory Managerは、Javaベースのグラフィカル・ユーザー・インタフェースを持つ管理ツールであり、Oracle Internet Directoryの管理に使用できます。実行可能ファイルはORACLE_HOME/binディレクトリに置かれ、コマンドラインから次のように実行できます。
% oidadmin
一般に、Application Server Controlで実行できない、ディレクトリ固有の構成またはメンテナンス・タスクは、Oracle Directory Manager(およびOracle Internet Directoryが提供する各種コマンドライン・インタフェース)で実行できます。
Oracle Directory Managerは次のタスクに対して使用できます。
また、属性の一意性、プラグイン、ガベージ・コレクション、変更ログ、レプリケーション、問合せの最適化、デバッグのロギングおよびアクセス制御リストなどの機能も管理できます。
OC4JはJMX仕様をサポートしているため、J2EE環境においてリソースを動的に管理する、標準インタフェースを作成できます。JMXのOC4J実装によって、JMXクライアントであるシステムMBeanブラウザが提供され、OC4J付属のMBeanを介して、OC4Jインスタンスを管理できます。
MBeanは、JMXで管理可能なリソースを表すJavaオブジェクトです。OC4J内にある管理可能なリソースは、適切なMBeanのインスタンスを介して管理されます。OC4J付属の各MBeanは、Application Server ControlコンソールのシステムMBeanブラウザを介してアクセス可能な管理インタフェースを公開しています。MBean属性の設定、MBeanのメソッドをコールする操作の実行、エラーまたは特定イベントの通知のサブスクライブ、および実行統計の表示ができます。
OC4Jホームページからこのブラウザにアクセスするには、「管理」タブを選択し、タスク・リストからJMXタスクの「システムMBeanブラウザ」を選択します。ブラウザからは次の処理が可能です。
MBeanおよびその属性の変更が有効になるタイミングは様々であることに注意してください。ランタイム・モデルでは、変更がただちに有効になります。構成モデルでは、変更が有効になるタイミングには、変更の種類に応じて、リソースの再起動時、アプリケーションの再起動時、およびOC4Jの再起動時があります。変更が永続するかどうかもそれぞれ異なります。
この項では、セキュリティ構成の上で重要な、次のXMLファイルおよびその要素の概要を示します。
関連項目
orion-application.xml(およびsystem-application.xml)ファイルの要素の詳細は、『Oracle Containers for J2EE開発者ガイド』の付録を参照してください。
OC4Jのorion-application.xmlファイルは、(セキュリティ関連のみでなく)一般的なアプリケーション・レベルの構成に使用されます。このファイルの設定は、1つのJ2EEアプリケーション(EARファイル)にのみ適用されます。
orion-application.xmlのセキュリティ設定は、<jazn>要素で行います。具体的には、この要素は、セキュリティ・プロバイダ、ユーザーおよびロール・リポジトリの場所、およびアプリケーションのデフォルト・レルムを指定できます。ファイルベース・プロバイダを使用している次の例を参照してください。
<jazn provider="XML" location="./system-jazn-data.xml" default-realm="jazn.com" > ... </jazn>
(「system-jazn-data.xmlファイル」で説明しているsystem-jazn-data.xmlファイルは、実際はデフォルトのリポジトリですが、ここでは説明上指定してあります。)
orion-application.xmlの<jazn>のサブ要素は、Webアプリケーション用のOC4J固有の認証方式を(auth-method属性を使用して)指定する<jazn-web-app>要素です。
OC4J構成ファイルは、「OC4JのSystemアプリケーション」で説明されている、OC4Jのsystemアプリケーションと関連付けられています。systemアプリケーションの場合は、system-application.xmlが、デプロイ済アプリケーションに対するorion-application.xmlファイルに相当します。
system-application.xmlファイルは、それに含まれる<jazn>要素を介して、OC4Jインスタンス・レベルのユーザーおよびロール設定(特殊なOC4J機能で使用されるものを含む)にファイルベースのセキュリティ・プロバイダを指定します。system-application.xmlファイルは、同じくインスタンス・レベルのsystem-jazn-data.xmlファイル(次の項を参照)を、これらの設定(格納場所は<jazn-realm>要素内)のリポジトリとして参照します。
デフォルトでは、OC4Jはsystem-application.xmlを、ORACLE_HOME/j2ee/instance_name/configディレクトリに存在するものとみなします。
system-jazn-data.xmlファイルは、OC4J 10.1.3実装で追加されたファイルです。このファイル(およびsystem-application.xml)は、「OC4JのSystemアプリケーション」で説明されている、OC4Jのsystemアプリケーションに関連付けられています。
system-application.xmlファイルは、system-jazn-data.xmlファイルを、ファイルベース・プロバイダに対する、OC4Jインスタンス・レベルのユーザーおよびロール設定のリポジトリとして参照します(設定は<jazn-realm>要素下に格納されます)。ファイルベース・プロバイダは、認証および認可にsystem-jazn-data.xmlを使用します。(ファイルベース・プロバイダがデフォルトのセキュリティ・プロバイダであることに注意してください。)
アプリケーションに対してファイルベース・プロバイダを使用する場合、オプションでユーザー・リポジトリとしてsystem-jazn-data.xmlを使用することができます。また、次項「アプリケーション固有のjazn-data.xmlファイル(オプション)」で説明するように、アプリケーションとともにパッケージ化するアプリケーション固有のjazn-data.xmlファイルを使用することもできます。
system-jazn-data.xmlファイルには、JAASログイン・モジュール構成(<jazn-loginconfig>要素下に)とJAASポリシー構成(<jazn-policy>要素下に)も保存されます。
デフォルトでは、OC4Jはsystem-jazn-data.xmlファイルを、ORACLE_HOME/j2ee/instance_name/configディレクトリに存在するものとみなします。
変更内容をsystem-jazn-data.xmlファイルや、(ファイルベース・プロバイダについて必要な場合に)アプリケーション・レベルのjazn-data.xmlファイルに書き込む頻度を制御する永続性モードがあります。永続性には、インスタンス・レベルのjazn.xmlファイルまたはアプリケーション・レベルのorion-application.xml ファイル内の<jazn>要素のpersistence属性により、次に示す3種類の値があります。
次に例を示します。
<jazn provider="XML" persistence="ALL" ... > ... </jazn>
|
注意
|
ファイルベース・プロバイダを使用する場合は、オプションでユーザーおよびロールのリポジトリとしてjazn-data.xmlファイルを使用できます。OC4J 10.1.3.x実装の場合、このファイルはアプリケーション固有になります。デプロイ先に応じて、orion-application.xmlファイルの<jazn>要素で場所を指定できます。
<jazn provider="XML" location="path/jazn-data.xml"> ... </jazn>
|
関連項目
|
orion-application.xmlを正確に次の例のように構成してあるが、jazn-data.xmlファイルがアプリケーションとともにパッケージ化されていない場合は、jazn-data.xmlファイルがデプロイ時に作成されます。
<jazn provider="XML" location="./jazn-data.xml" />
また、system-jazn-data.xmlに関する前項で説明している、リポジトリへの変更に関する永続性モードは、jazn-data.xmlにも影響します。
jazn.xmlファイルは、OracleAS JAAS Provider用のOC4Jインスタンス・レベルの構成ファイルであり、ORACLE_HOME/j2ee/instance_name/configディレクトリに置かれます。このファイルには、インスタンス・レベルのセキュリティ・プロバイダ、ならびにポリシーおよびパーミッション設定のリポジトリを指定します。jazn.xmlファイルの主要な要素は<jazn>要素です。これはアプリケーション・レベル設定用のorion-application.xmlファイルとほぼ同じ機能を持ちます。
デフォルトでは、jazn.xmlは、system-jazn-data.xmlをリポジトリとして、jazn.comをデフォルトのレルムとして設定し、ファイルベース・プロバイダを指定します。
<jazn provider="XML" location="./system-jazn-data.xml" default-realm="jazn.com"> ... </jazn>
OC4J homeインスタンスのjazn.xmlファイル(ブートストラップjazn.xmlファイル)は、通常、ORACLE_HOME/j2ee/home/configディレクトリに置かれます。このファイルは、OC4Jの起動時に読み取られ、OracleAS JAAS Providerランタイムによって使用されます。有効なjazn.xmlファイルが存在しない場合は、OracleAS JAAS Providerは起動できません。
Oracle Identity Managementセキュリティ・プロバイダを使用するために、Application Server Controlを使用してOC4JをOracle Internet Directoryインスタンスと関連付けた場合は、ブートストラップjazn.xmlファイルの<jazn>要素がOracle Internet Directoryインスタンス用に適切に更新されます。次に例を示します。
<jazn provider="LDAP" location="ldap://myoid.oracle.com:389" default-realm="us" > ... </jazn>
オプションでシステム・プロパティを使用し、ブートストラップjazn.xmlファイルの代替場所を指定できます。OracleAS JAAS Providerは、起動されると、jazn.xmlを次の順序で検索し、ファイルの存在を確認した時点で検索を終了します。
oracle.security.jazn.configで指定されている場所
java.security.auth.policyで指定されている場所
J2EE_HOME/config(J2EE_HOMEはシステム・プロパティoracle.j2ee.homeで指定)
ORACLE_HOME/j2ee/home/config(ORACLE_HOMEはシステム・プロパティoracle.homeで指定され、通常はJ2EE_HOME/configと同じ場所)
./config
サンプルのjazn.xmlファイルを次にあげます。最初のファイルは、ファイルベース・プロバイダ用のデフォルト構成を含んだものです。
<?xml version="1.0" encoding="UTF-8" standalone='yes'?> <jazn xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation= "http://xmlns.oracle.com/oracleas/schema/jazn-10_0.xsd" schema-major-version="10" schema-minor-version="0" provider="XML" location="./system-jazn-data.xml" default-realm="jazn.com" />
次に示すのは、LDAPベース・プロバイダ用のデフォルト構成を含んだファイルです。
<?xml version="1.0" encoding="UTF-8" standalone='yes'?> <jazn xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation= "http://xmlns.oracle.com/oracleas/schema/jazn-10_0.xsd" schema-major-version="10" schema-minor-version="0" provider="LDAP" location="ldap://myoid.us.oracle.com:389" />
OC4Jのsystemアプリケーションは、OC4J 10.1.3.x実装で定義される内部コンポーネントです。OC4Jを最初に起動したときに、OC4Jのインスタンスに自動デプロイされます。このアプリケーションが追加された主な理由は、OC4Jへのアプリケーションのデプロイまたは再デプロイに関する問題を解決するためです。
systemアプリケーションは、アプリケーション階層のルートに置かれ、OC4J起動時に必要なクラス(これには他のすべてのデプロイ済アプリケーションによってデフォルトでインポートされる共有ライブラリも含まれる)および構成を提供します。これはOC4Jの内部コンポーネントとしてのみ使用されます。これに対するアプリケーションのデプロイ、または他のアプリケーションの親としての宣言はできません。(すべてのデプロイ対象アプリケーションのデフォルトの親としての役割は、前のOC4J実装と同様に、OC4Jのdefaultアプリケーションが引き続き受け持ちます。)
デフォルトで、systemアプリケーションは、system-jazn-data.xmlをリポジトリとして使用し、ユーザーおよびロール設定に関してファイルベース・プロバイダを使用するように構成されます。(これは、MBeansおよびadmin_client.jarなど、すべてのシステム・リソースの認可がsystem-jazn-data.xml内のエントリに基づいていることを意味します。)この構成を変更することはお薦めしません。
systemアプリケーションの場合は、system-application.xmlがOC4J固有のアプリケーション・ディスクリプタであり、デプロイ済アプリケーションに対するorion-application.xmlファイルと同じ機能を持ちます。(defaultアプリケーションの場合、OC4J固有のアプリケーション・ディスクリプタはapplication.xmlです。デプロイ済アプリケーションに対するJ2EE標準のapplication.xmlファイルと混同しないでください。これはデフォルトで、system-jazn-data.xmlリポジトリも使用するdefaultアプリケーションを構成します。)これらのファイルは、ORACLE_HOME/j2ee/instance_name/configディレクトリにあります。
この項では、主要なOC4Jアカウントのサマリーを提供します。この項の内容は次のとおりです。
OC4J 10.1.3.x実装には、Oracle Internet Directory(Oracle Identity Managementを使用する場合)またはファイルベース・プロバイダ用のブートストラップ・ユーザーとロールが事前定義され、含まれています。
ファイルベース・プロバイダの場合は、これらのアカウントが事前定義されている場所はsystem-jazn-data.xmlファイルです。Oracle Internet Directory(OID)の場合、アカウントは、OC4JとOIDの関連付けプロセスの一環としてデフォルトで自動作成されます。
次の事前定義アカウントは、両方のプロバイダに共通です。
oc4jadminユーザー(以前のadmin)。これがデフォルトの管理者アカウントです。Oracle Application ServerまたはOC4Jのインストール中に、このアカウントのパスワードを指定する必要があります。パスワードの指定後、このアカウントを使用してApplication Server Controlコンソールにログインできます。このアカウントは、(OC4Jのsystemアプリケーションを介した)管理機能の実行時に、Application Server Controlからも使用されます。
クラスタ環境の場合、oc4jadmin名とパスワードは、クラスタ管理用の資格証明として機能します。クラスタ管理用の資格証明は1セットのみであるため、各OC4Jインスタンスにはデフォルトで、同じパスワードを持つoc4jadminアカウントが必要です。そのため、このアカウントのパスワードを変更する場合には注意が必要です。
日常の管理業務には、oc4jadminを使用するのではなく、追加の管理アカウントを作成することをお薦めします。
oc4j-administratorsロール(以前のadministrators)。メンバーとしてoc4jadminを含み、RMIパーミッションloginおよび管理パーミッションadministrationが付与されています(それぞれ、com.evermind.server.rmi.RMIPermissionおよびoracle.security.jazn.policy.AdminPermission)。
oc4j-app-administratorsロール(以前のjmx-users)。RMIパーミッションloginが付与されており、JMXのアプリケーション・レベルのコネクタにアクセスできます。
oc4jadminを含んだascontrol_admin(Application Server Controlを含めたすべてのSOAコントロールの管理ロール)。
ascontrol_appadmin(Application Server Controlの必須ロール)。
ascontrol_monitor(Application Server Controlの必須ロール)。ファイルベース・プロバイダに対してのみ、次の追加アカウントが事前定義されています。
anonymousユーザー。初期段階では非アクティブです。anonymousは、system-jazn-data.xmlファイルで直接アクティブにします。これを行うには、そのファイル内で、<user>要素のdeactivated属性をtrueからfalseに変更します。oc4jadminとは異なり、OracleAS JAAS Provider Admintoolでは、anonymousのアクティブ化はサポートされていません。
usersロール。EJB/RMIアクセス用です。
jtaadminユーザー。トランザクションをORMI全体に伝播できます。
この項で説明するアカウントは削除しないでください。削除すると、OracleAS JAAS Providerの管理機能が動作しなくなります。
|
関連項目
|
oc4jadminアカウント(以前のadminアカウント)は、Oracle Application Serverのインストール時にアクティブになりますが、スタンドアロンOC4Jのファイルベースのプロバイダに対しては、最初は非アクティブです。次の状況でアクティブになります。
-activateadminオプションを指定して実行した場合このコマンドも、その一部としてパスワードの入力が必要です。
% java -jar jazn.jar -activateadmin password
前述のように、デフォルトでは、oc4jadminがOC4Jの管理者アカウントになります。この項では、SOAコンポーネント(Application Server Controlコンソール やOracle Web Services Managerなど)にアクセスする場合などに代替の管理者アカウントを使用する方法と、OC4Jのsystemアプリケーションによる内部使用について説明します。systemアプリケーションは、Application Server Controlにより、様々な管理機能(アプリケーションのデプロイとアンデプロイなど)に対して使用されます。
oc4jadminを使用するかわりに、新しい管理者アカウントを作成して使用することができます。これにより、Application Server ControlコンソールなどのSOAコンポーネントに(通常はJava SSOを介して)アクセスできます。ここでは、このシナリオを想定しています。
実行する手順は、SOAコンポーネントのセキュリティ・プロバイダがファイル・ベース・プロバイダかOracle Identity Managementかによって異なります。いずれのプロバイダにも、必要なRMIパーミッションが設定された主要な管理者ロールがあります(デフォルトで定義)。外部LDAPプロバイダなど他のセキュリティ・プロバイダの場合、ロールとパーミッションを手動で設定する必要があります。
ファイルベース・プロバイダまたはOracle Identity ManagementをSOAコンポーネントのセキュリティ・プロバイダとして使用する場合は、次の手順を実行してカスタム管理者アカウントを使用する必要があります。
oc4j-administratorsロールとascontrol_adminロールを付与します。
admin.userプロパティを設定し、OC4Jのsystemアプリケーションで新しいアカウントを使用できるようにします。「システム・アプリケーションに対する新しい管理者アカウントの構成」を参照してください。system-jazn-data.xmlをリポジトリとして使用しない場合、systemアプリケーションで使用するための新しい管理者アカウントをsystem-jazn-data.xmlで作成し、必要な管理者ロールを付与する必要もあります。
追加の手順は必要ありません。デフォルトで、oc4j-administratorsロールとascontrol_adminロールは、ファイルベース・プロバイダとOracle Internet Directory内に存在し、RMIパーミッションのloginが付与されています。
|
注意
|
ファイルベース・プロバイダまたはOracle Identity Management以外をSOAコンポーネントのセキュリティ・プロバイダとして使用する場合は、次の手順を実行してカスタム管理者アカウントを使用する必要があります。
oc4j-administratorsとascontrol_adminを作成します。外部LDAPプロバイダの場合、これらのロールは、LDAPプロバイダ用に構成されたグループ検索ベースの下に存在する必要があります。(グループ検索ベースの詳細は、表10-4および表10-7を参照してください。)
oc4j-administratorsロールとascontrol_adminロールを付与します。
oc4j-app-administrators、ascontrol_appadminおよびascontrol_monitorを作成します。(これらは管理ユーザーに付与する必要はありません。)
oc4j-administratorsロールとascontrol_adminロールにRMIパーミッションのloginを付与します。この場合、次の例に示すようにOracleAS JAAS Provider Admintoolを使用できます。
% java -jar jazn.jar -grantperm myrealm -role oc4j-administrators \ com.evermind.server.rmi.RMIPermission login
ロールは外部LDAPプロバイダで定義されていますが、これらのパーミッション付与はsystem-jazn-data.xmlファイルに格納されていることに注意してください。
admin.userプロパティを設定し、OC4Jのsystemアプリケーションで新しいアカウントを使用できるようにします。次項の「システム・アプリケーションに対する新しい管理者アカウントの構成」を参照してください。この手順の場合、systemアプリケーションで使用するためsystem-jazn-data.xmlに新しい管理アカウントを作成し、必要な管理ロールを付与する必要もあります。OC4Jのsystemアプリケーションで使用するため、次のように別の管理者アカウントを指定できます。
system-jazn-data.xmlファイルに目的のアカウントを作成し、oc4j-administratorsロールとascontrol_adminロールを付与します。ユーザーおよびロールの管理に、Application Server Controlコンソールを使用します。詳細は、「Application Server Controlでのファイルベース・プロバイダの構成」を参照してください。
jazn.xmlファイルにadmin.userプロパティを設定します。
<jazn ... > ... <property name="admin.user" value="desired_admin_user_name" /> ... </jazn>
(ここに示す手順は、通常のように、OC4Jのsystemアプリケーションがファイルベースのセキュリティ・プロバイダを使用するように構成されていることを前提としています。)
指定されたアカウントは、Application Server Controlによるデプロイとアンデプロイなど、様々な管理機能で使用されます。
ファイルベース・プロバイダまたはOracle Identity Managementを使用している場合は、インスタンス・レベルのjazn.xmlファイルでanonymous.userプロパティを設定することで、匿名ユーザーを既存のユーザーにマップできます。たとえば、ユーザーPUBLICがOracle Internet Directoryに存在する場合は、次のようにします。
<jazn ... > ... <property name="anonymous.user" value="PUBLIC" /> ... </jazn>
管理ツールおよび構成リポジトリに関しては前述していますが、表4-1に、各セキュリティ・プロバイダの様々なタイプの構成別に、使用する構成リポジトリおよび推奨する管理ツールを一覧で示します。
使用可能な場合は、Application Server Controlが推奨ツールになります。
|
 Copyright © 2003, 2008 Oracle Corporation. All Rights Reserved. |
|