| Oracle® Fusion Middleware Oracle WebLogic Serverの保護 12cリリース1 (12.1.1) B65913-02 |
|
 前 |
 次 |
この章では、WebLogic Server 6.xで行ったセキュリティ構成をこのリリースのWebLogic Serverで実行するための機能である互換性セキュリティについて説明します。互換性セキュリティでは、6.xのセキュリティ・レルム、ユーザー、グループ、およびACLの管理、ユーザー・アカウントの保護、レルム・アダプタ監査プロバイダの構成や、必要に応じてレルム・アダプタ認証プロバイダ内のIDアサーション・プロバイダの構成を行うことができます。
この章の内容は以下のとおりです。
|
注意: 互換性セキュリティはこのリリースのWebLogic Serverで非推奨になりました。今後のメジャー・リリースではサポートされなくなります。WebLogic ServerデプロイメントをこのリリースのWebLogic Serverのセキュリティ機能にアップグレードすることを強くお薦めします。互換性セキュリティは、このアップグレードの間だけ使用してください。 |
互換性セキュリティを設定するには:
互換性セキュリティを使用する前に、バージョン6.xのWebLogicドメイン(config.xmlファイルを含む)のバックアップ・コピーを作成しておきます。
バージョン6.xのconfig.xmlファイル内に下記を追加して(存在しない場合)、ドメイン名、セキュリティ・レルム名、およびFileRealmを実際の名前に置き換えます。
<Security Name="mydomain" Realm="mysecurity"/> <Realm Name="mysecurity" FileRealm="myrealm"/> <FileRealm Name="myrealm"/>
WebLogic Serverの最新バージョンを新しいディレクトリにインストールします。既存の6.xインストール・ディレクトリには上書きしないようにします。詳細は、『Oracle WebLogic Serverインストレーション・ガイド』を参照してください。
新しいWebLogic Serverを指すように6.xサーバーの起動スクリプトを修正します。具体的には、次のとおり修正します。
クラスパスが新しいWebLogic Serverのweblogic.jarファイルを指すようにします。
JAVA_HOME変数が新しいWebLogic Serverを指すようにします。
6.xサーバーの起動スクリプトを使用してWebLogic Serverの新しいバージョンを起動します。
互換性セキュリティを適切に実行しているかどうかを検証するには、新しいWebLogic Server管理コンソールを開きます。互換性セキュリティが実行されている場合、「ドメイン構造」ペインの左側に「互換性セキュリティ」ノードが表示されます。
すべての互換性セキュリティMBeanは除外対象にされているので、WebLogic Scripting Toolでは一部しか表示されません。たとえば、次のコマンドにより、DomainMBeanの属性が示されます(FileRealmMBeanなどの互換性セキュリティ属性を除く)。
java weblogic.WLST connect() ls()
ただし、互換性MBeanに直接対応する場合、次のコマンドでアクセスできます。
java weblogic.WLST connect() cmo.getFileRealms()
デフォルトでは、レルム・アダプタ裁決プロバイダ、レルム・アダプタ認証プロバイダ、WebLogic認可プロバイダ、レルム・アダプタ認可プロバイダ、WebLogic資格証明マッピング・プロバイダ、およびWebLogicロール・マッピング・プロバイダを備えたCompatibilityRealmが構成されています。
CompatibilityRealmでは、レルム・アダプタ認証プロバイダに、config.xmlファイルで定義された6.xセキュリティ・レルムからのユーザーとグループが含まれます。
6.xセキュリティ構成でファイル・レルムを使用していた場合は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプにある互換性セキュリティに関する項のユーザーの定義に関する項およびグループの定義に関する項のトピックの手順に従ってレルム・アダプタ認証プロバイダにあるユーザーとグループを管理できます。
代替セキュリティ・レルム(LDAP、Windows NT、RDBMS、またはカスタム)を使用している場合は、そのレルムで用意されている管理ツールを使用してユーザーとグループを管理する必要があります。
レルム・アダプタ認証プロバイダの構成については、「レルム・アダプタ認証プロバイダの構成」を参照してください。
レルム・アダプタ認証プロバイダにIDアサーション・プロバイダを構成することで、互換性セキュリティでweblogic.security.acl.CertAuthenticatorクラスの実装を使用できます。詳細については、「レルム・アダプタ認証プロバイダ内のIDアサーション・プロバイダの構成」を参照してください。
6.xセキュリティ・レルムのアクセス制御リスト(ACL)はレルム・アダプタ認可プロバイダに格納されるために使用されます。
レルム・アダプタ裁決プロバイダを使用すると、互換性セキュリティでACL、およびセキュリティ・ロール/セキュリティ・ポリシーの両方を使用できます。レルム・アダプタ裁決プロバイダは、レルム・アダプタ認可プロバイダとWebLogic認可プロバイダでのみ使用できます。この裁決プロバイダは、ACLと、管理コンソールで設定された新しいセキュリティ・ポリシーの間で発生するアクセス決定の競合を解決します。一方の認可プロバイダがPERMITを支持し、もう一方の認可プロバイダがDENYを支持した場合、レルム・アダプタ裁決プロバイダはアクセスを許可します。
WebLogic資格証明マッピング・プロバイダを使用すると、互換性セキュリティで資格証明マップを使用できます。詳細は、『Oracle WebLogic Serverリソース・アダプタのプログラミング』を参照してください。
レルム・アダプタ監査プロバイダを追加することで、CompatibilityRealmからweblogic.security.audit.AuditProviderクラスの実装にアクセスできます。詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのレルム・アダプタ監査プロバイダの構成に関する項を参照してください。
互換性セキュリティを使用する場合、レルム・アダプタ認証プロバイダはデフォルトでCompatibilityRealmに構成されます。CompatibilityRealmでレルム・アダプタ認証プロバイダを使用する方法については、「CompatibilityRealmのデフォルト・セキュリティ構成」を参照してください。
またレルム・アダプタ認証プロバイダでは、このリリースのWebLogic Serverでweblogic.security.acl.CertAuthenticatorクラスの実装を使用できます。レルム・アダプタ認証プロバイダには、X.509トークンに基づくIDアサーションを提供するIDアサーション・プロバイダが含まれています。WebLogic ServerでCertAuthenticatorを使用する方法については、「レルム・アダプタ認証プロバイダ内のIDアサーション・プロバイダの構成」を参照してください。
認証プロバイダがすでに構成されているセキュリティ・レルムにレルム・アダプタ認証プロバイダを追加する場合、WebLogic Serverは、レルム・アダプタ認証プロバイダのJAAS 「制御フラグ」を「OPTIONAL」に設定して、ドメイン・ディレクトリにfileRealm.propertiesファイルがあるかどうかをチェックします。fileRealm.propertiesファイルが存在しない場合、WebLogic Serverはセキュリティ・レルムにレルム・アダプタ認証プロバイダを追加しません。
|
注意: レルム・アダプタ認証プロバイダによって生成されるサブジェクトには、ユーザーが所属するグループのプリンシパルは含まれません。ユーザーがグループに所属しているかどうかを調べるには、 |
レルム・アダプタ認証プロバイダには、IDアサーション・プロバイダが含まれています。IDアサーション・プロバイダは、非推奨となったweblogic.security.acl.CertAuthenticatorクラスの実装の下位互換性を提供します。IDアサーションはX.509トークンに基づいて実行されます。デフォルトでは、IDアサーション・プロバイダはレルム・アダプタ認証プロバイダで有効になっていません。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのIDアサーション・プロバイダの有効化に関する項を参照してください。
互換性セキュリティを使用する状況でレルム・アダプタ監査プロバイダを使用すると、weblogic.security.audit.AuditProviderインタフェースの実装を使用できます。レルム・アダプタ監査プロバイダが正常に動作するには、AuditProviderインタフェースの実装を定義しておく必要があります。AuditProviderクラスを定義するには、管理コンソールの「ドメイン」:「互換性セキュリティ」>「全般」ページの「監査プロバイダ・クラス」フィールドを使用します。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのレルム・アダプタ監査プロバイダの構成に関する項を参照してください。
パスワード推定は、セキュリティ攻撃の一般的なタイプです。このタイプの攻撃では、ハッカーは様々なユーザー名とパスワードの組合せを使用してコンピュータにログインしようとします。WebLogic Serverには、このタイプの攻撃からユーザー・アカウントを保護するためのロックアウト構成オプションが定義されています。デフォルトでは、これらのオプションは最高の保護レベルに設定されています。システム管理者は、すべてのオプションを無効にしたり、ユーザー・アカウントがロックされるまでのログイン試行回数を増やしたり、ユーザー・アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザー・アカウントのロック時間を変更したりできます。これらの構成オプションを変更すると、セキュリティ・レベルが低下して攻撃を受けやすくなることに注意してください。
ユーザー・アカウントを保護するための構成オプション・セットは2種類あります。一方はドメインで設定し、もう一方はセキュリティ・レルムで設定します。一方の構成オプション・セット(たとえばセキュリティ・レルムのオプション)を設定している場合に、そのいずれかの値が超過しても、ユーザー・アカウントがロックされないことがあります。これは、ドメインのユーザー・アカウント・ロックアウト・オプションがセキュリティ・レルムのユーザー・アカウント・オプションをオーバーライドすることが原因です。この状況を回避するには、セキュリティ・レルムのユーザー・アカウント・ロックアウト・オプションを無効にします。
|
警告: セキュリティ・レルムのユーザーのロック・アウト構成オプションを無効にした場合は、ドメインでユーザーのロック・アウト構成オプションを設定する必要があります。このようにしないと、ユーザー・アカウントが保護されません。 |
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザー・アカウントの保護に関する項およびユーザー・アカウントのロック解除に関する項を参照してください。
互換性セキュリティを使用する場合は、ユーザーおよびグループを定義するセキュリティ・レルムとWebLogicドメインのリソースを保護するACLのあるconfig.xmlファイルがすでに存在するものと想定されます。セキュリティ・レルムを構成したり、ACLを定義したりといったWebLogic Server 6.xのセキュリティ管理タスクは必須ではないので、そうした管理タスクについてこの項では説明しません。ただし、既存の6.xセキュリティ・レルムが壊れて、それを復元するしか選択肢がない場合は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの互換性セキュリティのトピックで次の6.xセキュリティ管理タスクの説明を参照してください。
|
警告: 互換性セキュリティは下位互換性のみを提供するものです。長期的なセキュリティ・ソリューションとは考えないでください。 |
