「認証データベース」(auth-db とも呼ばれる) は、既知のユーザーのデータベースを表すとともに、そのデータベースに基づいてクライアント要求を認証するための機構を表します。サーバーでは複数の auth-db エントリを同時に構成することができます。これらは同じタイプであってもかまいません。auth-db ユーザーデータベースは ACL 処理モジュールによって使用されます。
サーバーでサポートされる認証データベースは、次のとおりです。
LDAP — Sun Java System Directory Server などの LDAP ディレクトリサーバー内にユーザーデータが格納されます。
ファイル— ディスクファイル内にユーザーデータが格納されます。この auth-db は、ユーザーの集中管理が利用可能でない (あるいは望ましくない) ような開発用途や小規模配備用途に特に便利です。ファイル auth-db は、いくつかの異なるファイル形式をサポートしています。
keyfile — keyfile 形式では、ユーザーのリスト (およびオプションで各ユーザーのグループメンバーシップ) が格納されます。パスワードは単方向の (復元不可能な) ハッシュとして格納されます。これがデフォルトの形式です。
digestfile — digestfile は、keyfile によく似ていますが、さらに HTTP ダイジェスト認証方法もサポートします。
htaccess — これは旧バージョンの形式であり、決して新規インストール時や新しいユーザーを追加する場合に使用すべきではありません。
PAM — PAM は、Sun Java System Web Server 7.0 でサポートされる新しい auth-db です。PAM auth-db は、Solaris PAM スタックに認証を委任します。これにより、Web Server システム上の既存の Solaris ユーザーを Web Server に対しても認証することが可能となります。
PAM auth-db は Solaris 9 および 10 (またはそれ以上) でしかサポートされておらず、さらに Web Server インスタンスを root として実行する必要があります。
管理コンソール経由で認証データベースを作成するには、「構成」>「構成名」>「アクセス制御」>「認証データベース」>「新規」ボタンをクリックします。フィールドの説明については、管理コンソールのインラインヘルプを確認してください。選択された認証データベースに応じてフィールドが変わります。たとえば、PAM ベースの認証データベースの場合、認証データベース名だけが必須です。
認証データベース作成時の必須オプションを、次に列挙します。
LDAP |
|
鍵ファイル |
|
ダイジェストファイル |
|
PAM |
|
CLI 経由で認証データベースを作成するには、次のコマンドを実行します。
wadm> create-authdb --user=admin --password-file=admin.pwd --host=serverhost --port=8989 --config=config1 --url=ldap://ldapserver.com:20002/dc=xxx,dc=sun,dc=com LDAP1 |
CLI リファレンスの create-authdb(1) を参照してください。
上の例では、認証データベースの URL が指定されています。認証データベースのタイプは、この URL のスキーマで指定します。たとえば、ldap://ds.example.com/dc=example,dc=com の場合、LDAP ディレクトリサーバーが認証データベースとして構成されます。