|
|
|
|
ドメイン : セキュリティ : 全般
コンフィグレーション オプション 詳細なコンフィグレーション オプション 関連タスク 関連トピック
このページでは、この WebLogic Server ドメインの全般的な セキュリティ設定を定義します。また、WebLogic ドメインのデフォルト セキュリティ レルムを変更します。
コンフィグレーション オプション
名前 説明 デフォルト レルム この WebLogic Server ドメインのデフォルト (アクティブ) レルムとして使用する セキュリティ レルムを選択してください。
使用可能なすべてのセキュリティ レルムがプルダウン メニューに表示 されます。新しいセキュリティ レルムをコンフィグレーションしても、必要な すべてのセキュリティ プロバイダをコンフィグレーションしていない場合、その セキュリティ レルムはプルダウン メニューに表示されません。セキュリティ レルムを有効にするには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、 資格マッピング プロバイダ、およびロール マッピング プロバイダを コンフィグレーションする必要があります。
匿名 Admin のルックアップを有効化
MBeanHomeAPI からの WebLogic Server MBean に 対する匿名の読み込み専用アクセスを許可するかどうかを指定します。匿名アクセスが有効の場合、WebLogic Server MBean 認可 プロセスによる保護が明示的に示されていない MBean 属性の 値を参照できます。この属性は、下位互換性が必要な場合のみ 有効にしてください。
クロス ドメイン セキュリティを有効化 ドメインのクロスドメイン セキュリティを有効にするかどうかを指定します。
クロスドメイン セキュリティを有効にする場合、1 つまたは複数のクロスドメイン ユーザを追加し、このドメインにアクセスする権限のある各リモート ドメイン ユーザの資格を含む資格マッピングを指定する必要があります。
除外するドメイン名 クロスドメイン チェックから除外するリモート ドメイン名のリストを指定します。
セミコロンで区切られたドメイン名を 1 つの行に並べるか、各行にドメイン名を 1 つずつ入力するか、またはこれらを組み合わせて使用できます。
詳細なコンフィグレーション オプション
名前 説明 セキュリティの相互運用モード グローバル トランザクションに参加するサーバ間での XA 呼び出しに使用される通信チャネルのセキュリティ モードを指定します。ドメイン内のすべてのサーバ インスタンスのセキュリティ モード設定が同じである必要があります。
[セキュリティの相互運用モード] のオプションは以下のとおりです。
- [デフォルト]
トランザクション コーディネータでは、カーネル ID を使用し、管理チャネル (有効化されている場合) を介して呼び出しを行います。管理チャネルが有効化されていない場合は
anonymousを使用します。管理チャネルが有効化されていないと、介在者の攻撃のおそれがあります。- [パフォーマンス]
トランザクション コーディネータでは、常に
anonymousを使用して呼び出しを行います。この設定では、悪意のあるサードパーティが介在者の攻撃によってトランザクションの結果に影響を与える可能性があるので、セキュリティ上、リスクを伴います。- [互換性]
トランザクション コーディネータでは、カーネル ID で非セキュアなチャネルを使用して呼び出しを行います。この設定では、介在者の攻撃が成功すると、攻撃者は双方のドメインに対する管理制御権を得ることができるため、セキュリティ上のリスクが高くなります。この設定は、強固なネットワーク セキュリティが確立されている場合にのみ使用してください。
MBean 属性:
JTAMBean.SecurityInteropMode資格 WebLogic Server ドメインの資格。ドメインの作成時に、ドメインのユニークな資格が生成されます。複数ドメイン間の信頼を確立する場合、対象ドメイン間で共有する資格を選択し、この箇所と他のドメインの同じ箇所に資格を指定します。
Node Manager のユーザ名 管理サーバが管理対象サーバの起動、停止、または再起動時にノード マネージャとの通信に使用するユーザ名。
Node Manager のパスワード 管理サーバが管理対象サーバの起動、停止、または再起動時にノード マネージャとの通信に使用するパスワード。
この属性の値を取得すると、WebLogic Server は次の処理を実行します。
NodeManagerPasswordEncrypted属性の値を取得します。値を復号化し、暗号化されていないパスワードを String 型で返します。
この属性の値を設定すると、WebLogic Server は次の処理を実行します。
値を暗号化します。
NodeManagerPasswordEncrypted属性の値を、暗号化した値に設定します。この属性 (
NodeManagerPassword) を使用すると、暗号化されていないパスワードを格納する String 型のオブジェクトが、ガベージ コレクションによって削除され、メモリの再割り当てが行われるまで JVM のメモリ内に留まるため、潜在的なセキュリティ上のリスクにつながります。JVM 内でのメモリの割り当てられ方によっては、この暗号化されていないデータがメモリから削除されるまでに、かなりの時間が経過するおそれがあります。この属性を使用する代わりに、
NodeManagerPasswordEncryptedを使用してください。Web アプリケーション ファイルの大文字/小文字を区別しない Web アプリケーション コンテナ内のセキュリティ制約、サーブレット、フィルタ、仮想ホストなど、および外部セキュリティ ポリシーに対して、URL パターンの照合時の大文字と小文字の区別に関する動作を指定します。有効な値は、「os」、「true」、「false」です。
値を「os」に設定すると、Windows ファイル システム以外のすべてのプラットフォームで、パターンの照合時に大文字と小文字が区別されます。Windows 以外のファイル システムでは、WebLogic Server での大文字/小文字の区別は適用されず、最適化を図るためにファイル システムに依存します。そのため、大文字/小文字を区別しないモードでインストールされた UNIX または Mac OS から Windows Samba のマウントを使用している場合は、セキュリティの面でリスクが生じる可能性があります。その場合は、この属性を
trueに設定して、大文字/小文字を区別しないルックアップを指定してください。また、このプロパティは、Windows ファイル システムでの下位互換性を保つためにも使用されます。WebLogic Server 9.0 より前のリリースでは、Windows で大文字/小文字が区別されませんでした。WebLogic Server 9.0 からは、URL パターンが厳密に照合されます。古いドメインのアップグレード時に、このパラメータの値は、下位互換性を保つために、アップグレード プラグインによって明示的に「os」に設定されます。MBean 属性:
SecurityConfigurationMBean.WebAppFilesCaseInsensitive厳密な URL パターンを適用 システムで厳密な URL パターン (「/」で Web アプリケーションのコンテンツ全体を表す) を適用するかどうかを指定します。
このプロパティは、バージョン 8.1 との下位互換性のために提供されています。このフィールドをチェックすると、システムではセキュリティ コンテナ内の Web アプリケーション全体を表すデフォルトの文字として「/」が使用されます。これは標準の J2EE 構文であり、サーブレット コンテナでも同じ文字が使用されています。バージョン 8.1 のセキュリティ コンテナでは、Web アプリケーション全体を表すデフォルトの文字として「/*」が使用されていました。アプリケーションのこのコンテキストで引き続き「/*」を使用する場合は、値を false に変更する (チェックをはずす) 必要があります。false に設定した場合、セキュリティ コンテナでは「/*」が「/」に相当すると認識されるため、サーブレット コンテナとの互換性が保証されます。
MBean 属性:
SecurityConfigurationMBean.EnforceStrictURLPattern信頼性のないプリンシパルのダウングレード 検証できない匿名プリンシパルにダウングレードするかどうかを指定します。
この機能は、信頼性のないドメイン間のサーバとサーバの通信に役立ちます。
MBean 属性:
SecurityConfigurationMBean.DowngradeUntrustedPrincipals接続フィルタの互換性を有効化 この WebLogic Server ドメインで、以前の接続フィルタとの互換性を有効にするかどうかを指定します。
このフィールドのチェックの有無により、フィルタの実行が必要なときに使用するプロトコルの名前が変わります。
MBean 属性:
SecurityConfigurationMBean.CompatibilityConnectionFiltersEnabled動的でない変更が行われた場合にセキュリティ管理操作を許可する 動的でない変更が行われて管理サーバの再起動が必要な場合に、セキュリティ管理操作を許可するかどうかを指定します。
ユーザがセキュリティ MBean の動的でない属性を変更して、変更をアクティブ化した場合、デフォルトでは、サーバが再起動されるまでセキュリティ管理操作を行うことはできません。ユーザはこのフィールドを選択することで、このデフォルトの動作をオーバーライドできます。これにより、サーバを再起動せずにセキュリティ管理操作を行うことができるようになります。この属性は新しいコンソール セッションを開始すると false にリセットされます。
  |
