A OC4Jセキュリティのヒントおよびトラブルシューティング

この付録では、OC4Jセキュリティのベスト・プラクティス、およびトラブルシューティングの対象となる要注意の問題と関連するヒントについて説明します。

• OC4Jセキュリティのベスト・プラクティス

• OC4Jセキュリティの一般的なヒントおよびトラブルシューティング

• ロギング

  注意 このマニュアルでは、他にも各章で、その章のトピックに関連するトラブルシューティング情報が記載されています。

OC4Jセキュリティのベスト・プラクティス

この項では、次の項目別ベスト・プラクティスについて説明します。

• JAASのベスト・プラクティス

• HTTPSのベスト・プラクティス

JAASのベスト・プラクティス

推奨されるJAASのプラクティスは、次のとおりです。

• ユーザー管理をprincipals.xmlからOracleAS JAAS Providerに移行します。以前のリリースのOracle Application Serverの場合、J2EEアプリケーション・サーバー・コンポーネントでは、すべてのユーザー情報がファイルprincipals.xmlに格納されていました（クリアテキストによるパスワードの格納を含みます）。OracleAS JAAS Providerでは同様のセキュリティ・モデルがデフォルトとして使用され、パスワードはクリアテキストでは格納されません。また、OracleAS JAAS Providerは、出荷時のOracle Application Serverインフラストラクチャ（Oracle Single Sign-OnとOracle Internet Directoryを含む）との密接な統合を提供します。「principals.xmlファイルからのプリンシパルの移植」を参照してください。

• カスタムのUserManagerクラスを記述するのは避けます。OC4Jコンテナは、引き続き複数のメソッドとセキュリティ・プロバイダ拡張レベルを提供します。UserManagerインタフェースは引き続き実装できますが（リリース10.1.3.xでは非推奨）、OracleAS JAAS Provider、Oracle Single Sign-OnおよびOracle Internet Directoryの豊富な機能を利用すれば、インフラストラクチャ・コードではなくビジネス・ロジックに専念できます。Oracle Single Sign-OnとOracle Internet Directoryの両方に、それぞれ外部認証サーバーおよびディレクトリと統合するためのAPIが用意されています。カスタム機能が必要な場合は、カスタムのUserManager実装のかわりにカスタムのログイン・モジュールを使用できます。

• 本番環境では、OracleAS JAAS Providerの中央リポジトリとしてOracle Internet Directoryを使用します。OracleAS JAAS Providerは、ファイルベースのリポジトリをサポートしていますが、ほとんどの本番環境では、リポジトリとしてOracle Internet Directoryを使用するOracle Identity Managementを使用するように構成する必要があります。Oracle Internet Directoryには、管理メタデータのモデル作成用にLDAP標準機能が用意されており、Oracleデータベース・プラットフォーム上に構築されています。また、スケーラビリティ、信頼性、管理性およびパフォーマンスについてデータベース・プロパティをすべて継承します。（または、Oracleがサポートする外部LDAPプロバイダのいずれかを使用します。）

• OracleAS JAAS Providerでの認証メカニズムとしてOracle Single Sign-Onを使用します。様々な認証オプションを使用できますが、次の理由から、可能なかぎりOracle Single Sign-Onサーバーを使用することをお薦めします。
  • Portal、Forms、Reports、Wirelessなど、ほとんどのOracle Application Serverコンポーネントのデフォルト・メカニズムです。

  • 宣言を使用して容易に設定でき、カスタム・プログラミングを必要としません。

  • シームレスなPKI統合を提供します。

  （または、インストールにOracle Application Serverインフラストラクチャが含まれていなければ、Java SSOを使用します。）

• OracleAS JAAS Providerの宣言機能を使用してプログラミング作業を軽減します。OracleAS JAAS Providerの機能のほとんどは、特に認証の領域において（構成を介して）宣言で制御されるため、開発者はデプロイ時までセットアップを延期できます。これにより、JAASベースのアプリケーションの統合に必要なプログラミング・タスクが減少するのみでなく、デプロイヤはそのアプリケーションに環境固有のセキュリティ・モデルを使用できます。

• OracleAS JAAS Providerの認可機能を利用します。OracleAS JAAS Providerでは、JAAS 1.0仕様に定義されている認可機能に加えて次の機能がサポートされます。
  • 階層形式によるロールベースのアクセス制御

  • セキュリティ・ポリシーをサブスクライバ（つまり各ユーザー・コミュニティ）別にパーティション化する機能

  これらの拡張機能は、大規模なユーザー・コミュニティを対象とするセキュリティ・ポリシーに、よりスケーラブルで管理しやすいフレームワークを提供します。

• モジュールに権限を割り当てるときには、そのモジュール機能の実行に必要な最下位レベルを使用します。下位レベルの権限を使用すると、「障害封じ込め」が提供されます。セキュリティが危険にさらされても、それはネットワークの小さい領域に封じ込められ、インターネット全体に侵入することはできません。

HTTPSのベスト・プラクティス

Oracle HTTP Serverには、アプリケーションを変更せずにアプリケーションにセキュリティを提供できるように複数の機能が用意されています。類似の機能をコーディングする前に、これらの機能を評価した上で利用してください。次のHTTPセキュリティ機能があります。

• 認証: Oracle HTTP Serverでは、標準的な方法でユーザーを認証して認証済ユーザーIDをアプリケーションに渡すことができます（REMOTE_USER）。また、シングル・サインオンもサポートされるため、既存のログイン・メカニズムが再利用されます。

• 認可: Oracle HTTP Serverには、エンド・ユーザーが認証と認可を受けている場合にのみアプリケーションへのアクセスを許可できるディレクティブがあります。この機能についてもコード変更は不要です。

• 暗号化: Oracle HTTP Serverは、アプリケーションのコード変更なしにエンド・ユーザーに透過的SSL通信を提供できます。

その他、HTTPSの保護に関して次の提案事項があります。

• 弱い暗号化を使用できないようにOracle Application Serverを構成してください。Oracle Application Serverは、指定した暗号化のみをHTTPS接続に使用するように構成できます。たとえば、アプリケーションでは、非128ビット・クライアント・サイドSSLライブラリからの接続を拒否できます。この機能は、各接続の暗号化の強度をサーバー・サイドで制御できるため、銀行や他の金融機関に特に役立ちます。

• SSLを介したHTTPを加速するために、HTTPS-to-HTTPアプライアンスを使用します。必要なすべての場所でHTTPSを使用します。ただし、HTTPSではパフォーマンス上のオーバーヘッドが非常に大きくなるため、状況によってはトレードオフが必要になります。

  これらのアプライアンスは、UNIX、WindowsまたはLinuxシステムに数学または暗号カードを追加するよりも優れたソリューションを提供します。

• 逐次的なHTTPS送信が同じWebサーバーを介して要求されることを確認します。SSLセッション開始時のCPUタイムのほとんどは鍵交換ロジックに費やされ、その間にバルク暗号鍵が交換されます。アクセスが同じWebサーバーにルーティングされる場合は、バルク暗号化をキャッシュすると以降のアクセス時にCPUオーバーヘッドが大幅に減少します。

• セキュアなページは、セキュリティが不要なページとは別個のサーバーに保管します。アプリケーションのページすべてを1つのHTTPSサーバーに置く方が容易ですが、この方法はかなりのパフォーマンス・コストを伴います。SSLを必要とするページ用にHTTPSサーバーを予約し、SSLを必要としないページはHTTPサーバーに置きます。

  セキュアなページが同じ画面に表示される多数のGIF、JPEGまたは他のファイルで構成されている場合、セキュアなコンテンツをセキュアでない静的コンテンツから分離するだけの価値はないと思われます。SSL鍵交換（CPUサイクルの主要コンシューマ）はコールされるのが常に1回のみなので、バルク暗号化のオーバーヘッドはそれほど大きくありません。

• SSLを使用する場合は、Oracle HTTP Server SSLSessionCacheTimeoutディレクティブをチューニングします。Oracle HTTP Serverは、デフォルトでクライアントのSSLセッション情報をキャッシュします。セッション・キャッシングを使用すると、サーバーへの最初の接続にのみ大きな待機時間が発生します。

  デフォルトのSSLSessionCacheTimeoutは300秒です。SSLセッションの継続時間は、HTTP固定接続の使用には無関係であることに注意してください。httpd.confファイル内のSSLSessionCacheTimeoutディレクティブは、アプリケーションのニーズにあわせて変更できます。

  関連項目 『Oracle HTTP Server管理者ガイド』

OC4Jセキュリティの一般的なヒントおよびトラブルシューティング

次の問題とその処理方法に留意してください。

• ファイルjazn.xmlが見つからない

• 認証の問題

• OracleAS JAAS ProviderをJAASプロバイダとして指定する際の失敗

• レルムの問題

ファイルjazn.xmlが見つからない

有効なjazn.xmlファイルが存在しない場合は、OracleAS JAAS Providerは起動できません。jazn.xmlファイルが見つからない場合は、次のエラー・メッセージが生成されます。

"JAZN has not been properly configured"

関連項目 「jazn.xmlファイル」

認証の問題

アイデンティティ・リポジトリでユーザーとパスワードが正しく構成されているにもかかわらず、保護されたアプリケーションにログインしようとして認証が失敗した場合は、アイデンティティ・リポジトリが起動されて使用可能な状態になっていること、およびそのリポジトリがorion-application.xmlまたはjazn.xml（該当する場合）の<jazn>要素のlocation属性で指定された場所にあることを、なんらかの方法で確認してください。

OracleAS JAAS ProviderをJAASプロバイダとして指定する際の失敗

次のような例外スタック・トレースを受信することがあります。

Exception in thread "main" java.lang.SecurityException: Unable to locate a login 
configuration
at com.sun.security.auth.login.ConfigFile.<init>(ConfigFile.java:97)
at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
at sun.reflect.NativeConstructorAccessorImpl.newInstance

この場合は、OracleAS JAAS ProviderがJAASポリシー・プロバイダとして指定されていない可能性があります。

関連項目 「Oracleポリシー・プロバイダの指定」

レルムの問題

この項では、レルムの使用に関してトラブルシューティングの対象となる問題について説明します。

• ユーザー名からのレルム名の省略

• 認証の失敗を解決するためのデフォルト・レルムの指定

ユーザー名からのレルム名の省略

OC4Jプロパティjaas.username.simpleでは、キー・メソッド（たとえば、サーブレットの場合はgetUserPrincipal()またはgetRemoteUser()、EJBの場合はgetCallerPrincipal()）から戻されたプリンシパルのユーザー名においてレルム名が接頭辞として付けられているかどうかが判別されます。デフォルトのtrue設定では、レルム名は接頭辞として付けられません。

カスタム・レルムを構成して使用する場合は、このプロパティを明示的にfalseに設定して、OracleAS JAAS Providerの認証および認可が適切に機能するようにする必要があります。詳細は、「認証済プリンシパル取得時のレルム名の省略」を参照してください。

認証の失敗を解決するためのデフォルト・レルムの指定

認証に失敗したとき、構成が正しいと思われる場合は、デフォルト・レルムを指定する必要があるかどうかを確認します。インスタンスレベルのjazn.xmlファイルで指定した以外のデフォルト・レルムを使用する場合は、それを、orion-application.xmlファイル内の<jazn>要素に構成する必要があります。

これは、ファイルベース・プロバイダまたはLDAPベース・プロバイダのいずれかに適用できます。

ロギング

この項では、デバッグに役に立つロギング機能について説明します。

• OracleAS JAAS ProviderでのOracle Diagnostic Loggingの使用

• OracleAS JAAS Provider Admintoolでの標準のJDKロギングの使用

  関連項目 標準のJavaロギング機能の概要は、次のURLを参照してください。 http://java.sun.com/j2se/1.4.2/docs/guide/util/logging/ overview.html 次のURLにあるjava.util.loggingパッケージのJavadocを参照してください。 http://java.sun.com/j2se/1.4.2/docs/api/java/util/ logging/package-summary.html OC4Jでのロギング機能およびロギング構成の詳細は、『Oracle Containers for J2EE開発者ガイド』および『Oracle Containers for J2EE構成および管理ガイド』を参照してください。

OracleAS JAAS ProviderでのOracle Diagnostic Loggingの使用

OC4JおよびOracleAS JAAS Providerでは、Oracle Diagnostic Loggingフレームワーク（ODL）がサポートされています。このフレームワークでは、標準的なJavaロギング・フレームワークを補完するプラグイン・コンポーネントが提供され、ログ・データが自動的にOracleログ分析ツールと統合されます。

OC4Jにおける通常の手順と同様に、ORACLE_HOME/j2ee/home/config/j2ee-logging.xml内のロギング・レベルを、デフォルトのNOTIFICATION:1から適切なエラー・レベルまたはデバッグ・レベルに変更します。OracleAS JAAS Providerでよく使用される2つのレベルは、FINEとFINERで、これはそれぞれTRACE:1とTRACE:16に相当します。

OracleAS JAAS Providerのロギング・エントリは、ORACLE_HOME/j2ee/instance_name/logs/oc4j/log.xmlにあります。このファイルの中で関連のあるエントリは、次のサンプル・メッセージに示すように、COMPONENT_IDがj2eeであるものとMODULE_IDがsecurityであるものです。

<MESSAGE>
 <HEADER>
   <TSTZ_ORIGINATING>2005-12-14T11:41:08.974-08:00</TSTZ_ORIGINATING>
   <COMPONENT_ID>j2ee</COMPONENT_ID>
   <MSG_TYPE TYPE="TRACE"></MSG_TYPE>
   <MSG_LEVEL>16</MSG_LEVEL>
   <HOST_ID>www.example.com</HOST_ID>
   <HOST_NWADDR>555.55.5.555</HOST_NWADDR>
   <MODULE_ID>security</MODULE_ID>
   <THREAD_ID>10</THREAD_ID>
   <USER_ID>nmuralid</USER_ID>
 </HEADER>
 <CORRELATION_DATA>
   <EXEC_CONTEXT_ID>
      <UNIQUE_ID>555.55.5.555:30508:1134589268971:0</UNIQUE_ID><SEQ>0</SEQ>
   </EXEC_CONTEXT_ID>
 </CORRELATION_DATA>
 <PAYLOAD>
   <MSG_TEXT>location=system-jazn-data.xml</MSG_TEXT>
 </PAYLOAD>
</MESSAGE>

あるいは、最初からOracleAS JAAS Providerメッセージのみがロギングされるようにするには、次の例に示すように、j2ee-logging.xmlに構成を追加して、ログ出力名をoracle.j2ee.securityに設定することもできます。

<logger name="oracle.j2ee.security" level="NOTIFICATION:32"
        useParentHandlers="false">
   <handler name="oc4j-handler"/>
   <handler name="console-handler"/>
</logger> 

OracleAS JAAS Provider Admintoolでの標準のJDKロギングの使用

OracleAS JAAS Provider Admintoolでは、標準のJDKロギングが使用されます。Admintoolに対してロギングを実行するには、ロギング・レベルをINFOからFINE、FINERまたはFINESTに変更します。（Admintoolからのほとんどのログ・メッセージは、FINEレベルかFINERレベルでロギングされます。）この変更は、JAVA_HOME/jre/lib/logging.propertiesファイルを編集する、またはこのファイルの更新したコピーをAdmintoolのコマンドラインに供給することで行えます。次のコマンドはAdmintoolを実行し、プロパティ・ファイルを提供して妥当なロギング・レベルを設定しています。メッセージは、構成したログ・ハンドラによってロギングされます。

% java -jar jazn.jar -Djava.util.logging.config.file=modified_logging_properties

注意 前のリリースで使用されていたjazn.debug.log.enableフラグは、すでにサポートされていません。