Administration Console オンライン ヘルプ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

JMX ポリシーの作成

始める前に

MBean 認可のレルムへの委託


Administration Console で行うほとんどすべてのタスクは、Java Management Extensions (JMX) を使用して、基底の管理対象 Bean (MBean) の操作を呼び出すか、MBean 属性を変更します。Oracle は、JMX リソースのデフォルトのセットと、WebLogic Server MBean を保護するためのポリシーを提供しています (MBean のデフォルト セキュリティ ポリシーを参照)。Administration Console を使用して、これらのリソースのデフォルトのポリシーを変更したり、新しいポリシーを作成したりできます。

警告: 特に重要なデータやアクションを表す MBean の属性と操作は、2 つのリソースのセットによって保護されます。デフォルトの MBean ポリシーに対する変更が、両方のリソースのセットによるユーザの認可を妨げないことを確認してください。たとえば、Administration Console から管理対象サーバを停止するには、ユーザは JMX リソースに対するポリシーと、そのサーバの Server リソースに対するポリシーの両方に適合している必要があります。JMX リソースを参照してください。

JMX リソースのポリシーを作成するか、デフォルトのポリシーを変更するには、次の手順に従います。

  1. Administration Console の左ペインで、[セキュリティ レルム] を選択します。
  2. [セキュリティ レルムの概要] ページで、JMX ポリシーを変更するレルムの名前 (myrealm など) を選択します。
  3. 設定ページで、[ロールとポリシー] タブを選択します。続いて [ポリシー] サブタブを選択します。

    [ロールとポリシー : ポリシー] ページには、ドメインのすべてのリソースと、それに対応するポリシーがツリー コントロールにまとめられています。

  4. [ポリシー] テーブルの [名前] カラムで、[JMX ポリシー エディタ] リンクを選択します。

    注意: MBean 認可を委託するようにレルムをコンフィグレーションしている場合にのみ、[ポリシー] テーブルにこのリンクが表示されます。MBean 認可のレルムへの委託を参照してください。

  5. [ポリシー スコープの選択] ページで、次の手順に従います。
    • WebLogic Server MBean のすべてのインスタンスに適用されるポリシーが必要な場合は、[グローバル スコープ] の横にあるラジオ ボタンを選択します。続いて [次へ] ボタンをクリックします。
    • 特定のデプロイメントまたはシステム リソースの管理に使用される MBean インスタンスにのみ適用されるポリシーが必要な場合は、次の手順に従います。
    1. [スコープ] カラムで、保護するデプロイメントまたはリソースのタイプを表すカテゴリ名を展開します。
    2. 保護するデプロイメントまたはリソースの横にあるラジオ ボタンを選択します。続いて [次へ] ボタンをクリックします。
  6. [ポリシーを適応する MBean 型の選択] ページで、次の手順に従います。
    • 前のページで選択したスコープ内のすべての MBean のインスタンスに適用されるポリシーが必要な場合は、[すべての MBean 型] の横にあるラジオ ボタンを選択します。続いて [次へ] ボタンをクリックします。
    • 特定の MBean インスタンスにのみ適用されるポリシーが必要な場合は、[MBean の種類] カラムで、その MBean が見つかるまで MBean のカテゴリを展開します。

    注意: 手順 5 で [グローバル スコープ] を選択し、手順 6 で [すべての MBean 型] を選択した場合、ポリシーはドメイン内のすべての MBean に適用されます。

  7. MBean の属性または操作に対して既にポリシーが存在する場合は、[読み込み、書き込みまたは呼び出し権限の選択] ページの [既存のポリシー] カラムに、[既存のポリシー条件の表示] というリンクが表示されます。既存のポリシーを編集するには、そのリンクをクリックします。
  8. 新しいポリシーを作成するには、[読み込み、書き込みまたは呼び出し権限の選択] ページで、以下のいずれかを行います。
    • 特定の暗号化されない属性に関する読み取りアクセスを制御するには (保護する特定の MBean を選択している場合にのみ該当)、[属性 : 読み込みのパーミッション] カテゴリを展開して、属性を選択します。暗号化されないすべての属性の読み取りアクセスを制御するには、カテゴリの横にあるラジオ ボタンを選択します。
    • 特定の暗号化されない属性に関する書き込みアクセスを制御するには (保護する特定の MBean を選択している場合にのみ該当)、[属性 : 書き込みのパーミッション] カテゴリを展開して、属性を選択します。暗号化されないすべての属性の書き込みアクセスを制御するには、カテゴリの横にあるラジオ ボタンを選択します。
    • 暗号化される属性に関する書き込みまたは読み取りアクセスを制御するには、[暗号化された属性 : 読み込みのパーミッション] または [暗号化された属性 : 書き込みのパーミッション] カテゴリを展開して、属性を選択します (または、暗号化されるすべての属性に関するアクセスを制御するには、カテゴリの横にあるラジオ ボタンを選択します)。暗号化される属性の読み取りアクセスを付与すると、クライアントは属性の暗号化されたバージョンを読み取ることができます。つまり、WebLogic Server は値を復号化しません。
    • 特定の操作へのアクセスを制御するには (保護する特定の MBean を選択している場合にのみ該当)、[操作 : 呼び出しのパーミッション] カテゴリを展開して、操作を選択します。すべての操作へのアクセスを制御するには、カテゴリの横にあるラジオ ボタンを選択します。
    • ルックアップ操作 (クライアントがこの MBean の子 MBean を検索できる) へのアクセスを制御するには、[ルックアップ操作 : 呼び出しのパーミッション] カテゴリ、またはカテゴリ内の特定のルックアップ操作を選択します。
    • 作成パーミッションおよび登録解除パーミッションは、通常、管理システムによって無視されます。これらのパーミッションは、MBean サーバを使用して MBean を作成または登録解除できるユーザを決定するものです。ただし、ほとんどの WebLogic Server MBean は、このような方法で作成したり破棄したりできません。代わりに、親 MBean のメソッドを呼び出すことでのみ、作成したり破棄したりできます。

    続いて [ポリシーの作成] ボタンをクリックします。

  9. [JMX ポリシーの編集] ページで [条件の追加] をクリックします。
  10. [述部の選択] ページの [述部リスト] で、条件を選択します。

    可能であれば [ロール] 条件を使用することをお勧めします。セキュリティ ロールに基づいて条件を作成すると、複数のユーザまたはグループを考慮した 1 つのセキュリティ ポリシーを作成できます。管理の方法としてはこちらの方が効率的です。

    詳細については、セキュリティ ポリシー条件を参照してください。

  11. この次の手順は、選択する条件に応じて変わります。
    • [ロール] を選択した場合は、[次へ] をクリックして引数フィールドにセキュリティ ロールの名前を入力してから、[追加] をクリックします。指定した名前のセキュリティ ロールがない場合、ポリシーの作成が完了した後でその名前のセキュリティ ロールを作成します。
    • [グループ] または [ユーザ] を選択した場合は、[次へ] をクリックして引数フィールドに名前を入力してから、[追加] をクリックします。指定した名前のユーザやグループが存在しない場合、その名前のユーザやグループを作成します。
    • ブール型の述部の [サーバが開発モードである]、[全員に対してアクセスを許可]、または [全員に対してアクセスを拒否] を選択した場合は、入力する引数はありません。[完了] をクリックして手順 10 に進みます。
    • [コンテキスト要素の値が数値定数と等しい] などのコンテキストの述部を選択した場合は、[次へ] をクリックして、コンテキスト名と適切な値を入力します。コンテキスト名と値は実行時に存在しているようにしてください。
    • [指定した時間帯にアクセスが発生] などの時間制約の述部を選択した場合は、[次へ] をクリックして、[引数の編集] フィールドの値を指定します。
  12. [完了] をクリックします。
  13. (省略可能) 別の条件を作成します。
  14. (省略可能) 条件は WebLogic Security サービスによりリストに表示された順番で評価されます。この順番を変更するには、条件の横のチェック ボックスを選択して、[上へ] または [下へ] ボタンをクリックします。
  15. (省略可能) [ポリシー条件] セクションの他のボタンを使用して、条件間の関係を指定できます。
    • 式の間にある [And/Or] を選択すると、式の間の and 文または or 文が切り替わります。
    • [結合] または [結合解除] をクリックすると、選択した式を結合したり、結合を解除したりできます。条件の結合を参照してください。
    • [否定] をクリックすると、否定の条件にすることができます。たとえば、[NOT グループ Operators] はロールから Operators グループを除外します。
  16. [保存] をクリックします。

完了した後に

このポリシーでロールへのアクセス権を付与する場合、ロールにユーザとグループを指定します。セキュリティ ロールの管理を参照してください。

 

Skip navigation bar ページの先頭