第 2 章 レルムの管理

アクセス制御レルムは、ユーザーまたはユーザーのグループと関連付けることのできる認証プロパティーおよび承認ポリシーのグループです。レルムデータは、指定されたデータストアの内部に Access Manager が作成する独自形式の情報ツリーに格納されます。Access Manager フレームワークは、各レルムに含まれるポリシーおよびプロパティーを Access Manager 情報ツリーの内部に集約します。デフォルトでは、Access Manager は自動的に、ユーザーデータとは別の、Sun Java Enterprise System Directory Server 内の特別なブランチとして Access Manager 情報ツリーを挿入します。アクセス制御レルムは、任意の LDAPv3 データベースの使用中に使用できます。

レルムの詳細については、『Sun Java System Access Manager 7.1 Technical Overview』を参照してください。

「レルム」タブで、アクセス制御に関する次のプロパティーを設定できます。

• 「認証」

• 「サービス」

• 「権限」

レルムの作成と管理

ここでは、レルムを作成および管理する方法について説明します。

新しいレルムを作成する

1. 「アクセス制御」タブの下の「レルム」リストから「新規」を選択します。

2. 次の一般属性を定義します。

   名前

   レルムの名前を入力します。

   親

   レルムを作成する位置を定義します。その下に新しいレルムが作成される親のレルムを選択します。

3. 次のレルム属性を定義します。

   レルムの状態

   「アクティブ」または「非アクティブ」の状態を選択します。デフォルトは「アクティブ」です。この属性は、レルムの存続期間中であればいつでも「プロパティー」アイコンを選択して変更できます。「非アクティブ」を選択すると、ログイン時のユーザーアクセスが無効になります。

   レルムまたは DNS のエイリアス

   レルムの DNS 名に対するエイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用 できません。

4. 「了解」をクリックして保存するか、「取消し」をクリックして前のページに戻ります。

一般プロパティー

「一般プロパティー」ページには、レルムの基本属性が表示されます。これらのプロパティーを変更するには、「アクセス制御」タブの下の「レルム名」リストからレルムをクリックします。その後、次のプロパティーを編集します。

レルムの状態

「アクティブ」または「非アクティブ」の状態を選択します。デフォルトは「アクティブ」です。この属性は、レルムの存続期間中であればいつでも「プロパティー」アイコンを選択して変更できます。「非アクティブ」を選択すると、ログイン時のユーザーアクセスが無効になります。

レルムまたは DNS のエイリアス

レルムの DNS 名に対するエイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用 できません。

プロパティーを編集したら、「保存」をクリックします。

---

注 –

レルムモードで AMAdmin.dtd に「recursive=true」フラグを設定しても、サブレルム内のオブジェクトの検索では機能しません。このフラグは、サブ組織がすべて同じルートサフィックスに配置される旧バージョンモードでのみ機能します。レルムモードでは、各サブレルムは別のルートサフィックスを持つことができ、別のサーバーに配置される場合もあります。サブレルムでグループなどのオブジェクトを検索する場合は、XML データファイルで検索するサブレルムを指定する必要があります。

---

認証

ユーザーがほかの認証モジュールを使ってログインできるようにするには、事前に一般認証サービスをサービスとしてレルムに登録する必要があります。コア認証サービスでは、Access Manager 管理者がレルムの認証パラメータのデフォルト値を定義できます。その後、指定された認証モジュールでオーバーライド値が定義されない場合にこれらの値を使用できます。コア認証サービスに対するデフォルト値は amAuth.xml ファイルで定義され、インストール後に Directory Server に格納されます。

詳細については、認証の管理を参照してください。

サービス

Access Manager におけるサービスとは、Access Manager コンソールでひとまとめに管理される属性のグループのことです。社員の氏名、役職、電子メールアドレスなど、関連性のある情報を属性として扱うことができます。ただし、属性は一般に、メールアプリケーションや給与支払サービスのようなソフトウェアモジュール用の設定パラメータとして使用されます。

「サービス」タブでは、多数の Access Manager デフォルトサービスをレルムに追加し、設定できます。次のサービスを追加できます。

• 管理

• ディスカバリサービス

• 国際化設定

• パスワードリセット

• セッション

• ユーザー

---

注 –

Access Manager は、サービスの .xml ファイルの必須属性に一部のデフォルト値が含まれるようにします。値のない必須属性のあるサービスがある場合は、デフォルト値を追加してサービスを再読み込みします。

---

サービスをレルムに追加する

1. 新しいサービスを追加するレルムの名前をクリックします。

2. 「サービス」タブを選択します。

3. 「サービス」リスト内の「追加」をクリックします。

4. レルムに追加するサービスを選択します。

5. 「次へ」をクリックします。

6. レルム属性を定義して、サービスを設定します。サービス属性の詳細については、オンラインヘルプの「設定」を参照してください。

7. 「終了」をクリックします。

8. サービスのプロパティーを編集するには、「サービス」リスト内の名前をクリックします。

権限

Access Manager の委任モデルは、管理者に割り当てられている権限または権利に基づきます。権限は、リソース上で実行できる操作またはアクションです。たとえば、ポリシーオブジェクトでの読み取り操作です。定義されている操作のセットは、読み取り、変更、および委任です。リソースは、アクションを実行できるオブジェクトであり、設定オブジェクトとアイデンティティーオブジェクトのいずれかにすることができます。

設定オブジェクトの例は、認証設定、ポリシー、データストアなどです。アイデンティティーオブジェクトの例は、ユーザー、グループ、ロール、およびエージェントです。権限のセットは動的に作成し、Access Manager に動的に追加できます。ただし、インストール中は Access Manager を正常に実行するために、小さいセットの権限が追加されます。権限がロードされたら、その権限をロールおよびグループに割り当てることができます。これらのロールおよびグループに属するユーザーは、委任管理者となり、割り当てられた操作を実行できるようになります。基本的に、管理者は、1 つ以上の権限のセットが割り当てられているロールおよびグループのメンバーであるユーザーです。

Access Manager 7.1 では、次の管理者タイプのアクセス権を設定できます。

• レルム管理者 — レルム管理者は、すべてのオブジェクト (設定オブジェクトとアイデンティティーオブジェクト) の読み取り、変更、および委任の操作に対して、すべてのアクセス権を持っています。レルム管理者は、Unix システムにおける「root」と考えることができます。レルム管理者は、サブレルムを作成し、すべてのサービスの設定を変更できます。また、ユーザー、グループ、ロール、およびエージェントを作成、変更、および削除することもできます。

• ポリシー管理者 — ポリシー管理者は、ポリシーおよびポリシーサービスの設定のみを管理するアクセス権を持っています。ルール、対象、条件、および応答の属性で構成されるポリシーを作成、変更、および削除できます。ただし、ポリシーを管理するために、ポリシー管理者には、アイデンティティーリポジトリの対象および認証設定に対する読み取り権が必要です。ポリシー管理者は、アイデンティティーおよび認証設定を参照できます。

• ログ管理者 — ログ管理者は、ログレコードへの読み取り権または書き込み権、あるいはその両方を持っています。ログレコードを使用すると、悪意を持ったアプリケーションによって監査ログが悪用されるのを防ぐことができます。ログインタフェースは公開されているため、認証されたユーザーはすべてログレコードを読み取り、書き込むことができます。この権限を追加すると、このような悪用を防ぐことができます。ログインタフェースの主なユーザーは、J2EE および Web エージェントです。これらのユーザーは、変更権限しか必要ないため、読み取り権限を持つべきではありません。同様に、ログを参照する管理者は読み取り権限のみを持つべきであり、変更権限は持つべきではありません。このように使用するためには、次のようにログ権限をさらに分割します。

  • 書き込みアクセスを持つログ管理者 – これらの管理者は、すべてのログファイルを書き込むアクセス権を持っています。

  • 読み取りアクセスを持つログ管理者 – これらの管理者は、すべてのログファイルを読み取るアクセス権を持っています。

  • 読み取りアクセスおよび書き込みアクセスを持つログ管理者 – これらの管理者は、すべてのログファイルを読み取るアクセス権と書き込むアクセス権を持っています。

Access Manager 7.1 の権限の定義

新しい Access Manager 7.1 のインストールインスタンスでは、ポリシー管理者、レルム管理者 (または旧バージョンモードでの組織管理者)、およびログ管理者に対してアクセス権が付与されます。権限の割り当てまたは変更を行うには、編集するロールまたはグループの名前をクリックします。次の中から、いずれか 1 つを選択します。

すべてのログファイルに対する読み取りおよび書き込みのアクセス

ログ管理者に対して読み取りアクセス権限と書き込みアクセス権限の両方を定義します。

すべてのログファイルに対する書き込みのアクセス

ログ管理者に対して書き込みアクセス権限のみを定義します。

すべてのログファイルに対する読み取りのアクセス

ログ管理者に対して読み取りアクセス権限のみを定義します。

ポリシープロパティーのみに対する読み取りおよび書き込みのアクセス

ポリシー管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。

すべてのレルムプロパティーおよびポリシープロパティーに対する読み取りおよび書き込みのアクセス

レルム管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。

Access Manager 7.0 から 7.1 へのアップグレードに対する権限の定義

Access Manager を Version 7.0 から 7.1 にアップグレードした場合は、権限設定が新しい Access Manager 7.1 のインストールとは異なります。ただし、ポリシー管理者、レルム管理者、およびログ管理者に対する権限はサポートされています。権限の割り当てまたは変更を行うには、編集するロールまたはグループの名前をクリックします。次の中から、いずれか 1 つを選択します。

データストアに対する読み取り専用のアクセス

ポリシー管理者についてデータストアに対する読み取りアクセス権限を定義します。

すべてのログファイルに対する読み取りおよび書き込みのアクセス

ログ管理者に対して読み取りアクセス権限と書き込みアクセス権限の両方を定義します。

すべてのログファイルに対する書き込みのアクセス

ログ管理者に対して書き込みアクセス権限のみを定義します。

すべてのログファイルに対する読み取りのアクセス

ログ管理者に対して読み取りアクセス権限のみを定義します。

ポリシープロパティーのみに対する読み取りおよび書き込みのアクセス

ポリシー管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。

すべてのレルムプロパティーおよびポリシープロパティーに対する読み取りおよび書き込みのアクセス

レルム管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。

すべてのプロパティーおよびサービスに対する読み取り専用のアクセス

ポリシー管理者についてすべてのプロパティーおよびサービスに対する読み取りアクセス権限を定義します。

Access Manager では、次の定義を別々または一緒に使用することはサポートされていません。

• データストアに対する読み取り専用のアクセス

• すべてのプロパティーおよびサービスに対する読み取り専用のアクセス

ポリシー管理者に対して委任制御を定義するには、これらの権限定義を「ポリシープロパティーのみに対する読み取りおよび書き込みのアクセス」の定義とともに使用する必要があります。