| Oracle® Fusion Middleware Oracle Event Processing管理者ガイド 11gリリース1 (11.1.1.7) B61653-06 |
|
 前 |
この付録は、Oracle Event Processingセキュリティ・ユーティリティへの参照を、セキュリティ構成ファイルを生成、クリアテキスト・パスワードを暗号化、および信頼キーストアを生成するユーティリティであるcssconfig、encryptMSAConfigおよびGrabCertを含めて提供します。
この付録の内容は次のとおりです。
cssconfigコマンドライン・ユーティリティは、パスワード・ポリシーを適用するセキュリティ構成ファイル(security.xml)を生成するときに使用します。
cssconfigユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあり、ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle Event Processingメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。
cssconfig.cmd (Windowsの場合)
cssconfig.sh (UNIXの場合)
このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。
prompt> $PATH_TO_KSH_BIN/ksh -c cssconfig.sh
PATH_TO_KSH_BINはkshプログラムの完全修飾パスです。
cssconfig -p propertyfile [-c configfile] -i inputkeyfile [-d]
説明:
propertyfileは、必要な構成を定義するためにユーザーが指定したセキュリティ構成プロパティを含むファイルです。このオプションは必須です。詳細は、例10-1を参照してください。
configfileは、生成されるファイルの名前です。このプロパティはオプションで、デフォルト値はsecurity.xmlです。
inputkeyfileは、セキュリティ構成ファイルの生成に使用される入力キー・ファイルの完全修飾名です。このオプションは構成ディレクトリのsecurity-key.datファイルに設定します。
-dでデバッグが有効になります。
encryptMSAConfig暗号化コマンドライン・ユーティリティは、XMLファイルの<password>要素によって指定されたクリアテキストのパスワードを暗号化するときに使用します。<password>要素が含まれている可能性があるXMLファイルの例は、次のとおりです。
config.xml
security-config.xml
コンポーネント構成ファイル
encryptMSAConfigユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあり、ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle Event Processingメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。
encryptMSAConfig.cmd (Windowsの場合)
encryptMSAConfig.sh (UNIXの場合)
encryptMSAConfig directory XML_file aesinternal.dat_file
説明:
directoryは、クリアテキストの<password>要素を含むXMLファイルがあるディレクトリです。
XML_fileは、XMLファイルの名前です。
aesinternal.dat_fileパラメータは、ドメインに関連付けられている.aesinternal.datファイルの場所です。このファイルはORACLE_CEP_HOME/user_projects/domains/DOMAIN/SERVERディレクトリにあります。ORACLE_CEP_HOMEはd:\oracle_cepなどのOracle Event Processingメイン・インストール・ディレクトリで、DOMAINはドメイン・ディレクトリ(myDomainなど)です。SERVERは、サーバー・インスタンス(myServerなど)です。
例:
prompt> pwd C:\OracleCEP\user_projects\domains\ocep_domain\defaultserver prompt> C:\OracleCEP\ocep_11.1\bin\encryptMSAConfig.cmd . config\config.xml .aesinternal.dat
コマンドを実行すると、XML_fileのpassword要素の値が暗号化されます。
GrabCertコマンドライン・ユーティリティは、既存の信頼キーストアから取得した証明書を含む信頼キーストアを生成するときに使用します。
GrabCertユーティリティはORACLE_CEP_HOME/ocep_11.1/utils/security/wlevsgrabcert.jarファイルにあり、ORACLE_CEP_HOMEは、Oracle Event Processingインストール・ディレクトリ(d:/oracle_cepなど)です。
java GrabCert host:secureport [-alias=alias] [-noinput] [truststorepath]
説明:
表C-1 GrabCertの引数
| オプション | 説明 | デフォルト値 |
|---|---|---|
|
|
証明書のコピー元となるOracle Event Processingサーバーのホスト名。 |
|
|
|
詳細は、10.5.1項「手動でSSLの構成方法」の例10-5を参照してください。 |
9003 |
|
|
信頼キーストアの証明書の別名。 |
|
|
|
|
|
|
|
|
|
例:
prompt> java GrabCert ariel:9003 -alias=ariel evstrust.jks
他の例は、10.5.3項「Oracle Event Processing Visualizer用のマルチサーバー・ドメインでSSLを構成する方法」を参照してください。
passgenコマンドライン・ユーティリティは、ユーザーのパスワードをセキュリティ・データベースに追加するためにハッシュ化するときに使用します。
|
注意:
|
passgenユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあり、ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle Event Processingメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。
passgen.cmd (Windowsの場合)
passgen.sh (UNIXの場合)
passgen [-a algorithm] [-s saltsize] [-h] [-?] [password]*
説明:
表C-2 passgenの引数
| オプション | 説明 | デフォルト値 |
|---|---|---|
-a |
設定できるアルゴリズムの実際のリストは、JDKにプラグインされているセキュリティ・プロバイダによって異なります。 |
指定しない場合、デフォルトはSHA-1です。 |
-s |
|
指定しない場合、デフォルトは4です。 |
-h, -? |
コマンド・ライン・オプションを表示して終了します。 |
|
password |
コマンド・ライン上にパスワードが指定された場合は、パスワードをハッシュ化し、1行につき1つずつ左から右の順に出力します。コマンド・ライン上にパスワードが指定されない場合は、パスワードの入力を求め、対話形式でパスワードをハッシュ化します。 |
|
注意: Windowsオペレーティング・システムではこのユーティリティの |
このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。
$PATH_TO_KSH_BIN/ksh -c passgen.sh
PATH_TO_KSH_BINは、kshプログラムの完全修飾パスです。
次の項には、passgenユーティリティの使用例を示します。
passgenユーティリティを対話形式で使用する例を次に示します。
$ passgen
Password ("quit" to end): maltese
{SHA-1}LOtYvfQZj++4rV50AKpAvwMlQjqVd7ge
Password ("quit" to end): falcon
{SHA-1}u7NPQfgkHISr0tZUsmPrPmr3U1LKcAdP
Password ("quit" to end): quit
{SHA-1}2pPo4ViKsoNct3lTDoLeg9gHYZwQ47sV
このモードでは、パスワードを入力すると、ハッシュ化されたバージョンのパスワードが表示されます。そのハッシュ化されたバージョンのパスワードをセキュリティ・データベースのパスワード・フィールドに入力できます。
|
注意: 例では、デモンストレーション目的でパスワードが画面上にエコーされるようになっています。ほとんどの場合、パスワードを表示することはありません(プラットフォームがパスワードの非表示をサポートしていない場合を除く)。 |
コマンドライン上に入力されたパスワードをハッシュ化する場合のpassgenユーティリティの使用例を次に示します。
$ passgen maltese falcon
{SHA-1}g0PNXmJW0OBtp/GkHrhNAhpbjM+capNe
{SHA-1}2ivZnjnKD9fordC1YFkrVGf0DHL6SVP1
複数のパスワードが入力された場合、左から右にハッシュ化が行われます。
{SHA-1}g0PNXmJW0OBtp/GkHrhNAhpbjM+capNeは、malteseのハッシュ化です。
{SHA-1}2ivZnjnKD9fordC1YFkrVGf0DHL6SVP1は、falconのハッシュ化です。
secgenコマンドライン・ユーティリティは、暗号化されたパスワードを使用するセキュリティ・キーまたはセキュリティ構成ファイルを生成するときに使用します。
|
警告:
|
|
注意: このユーティリティで作成されるセキュリティ・ファイルにはパスワード・ポリシーは適用されません。パスワード・ポリシーが必要な場合は、このユーティリティではなく |
secgenユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあり、ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle Event Processingメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。
secgen.cmd (Windowsの場合)
secgen.sh (UNIXの場合)
ファイル・ベースのセキュリティ・プロバイダ構成ファイルを生成するには、次のコマンド・ライン・オプションを使用します。
secgen -F [-o outputfile] [-i inputkeyfile] [-e] [-P PropertyFilePath]
説明:
表C-3 ファイルベースのプロバイダ構成ファイルのsecgen引数
| オプション | 説明 | コメント |
|---|---|---|
-F |
ファイルベースのセキュリティ・プロバイダ・ファイルを生成します。 |
指定しない場合は |
-o |
|
デフォルトの出力ファイル名は |
-i |
|
指定しない場合は、デフォルトの入力キー・ファイルの |
-e |
認可時に完全一致の裁決を有効にします。 |
|
-P |
詳細は、C.5.3項「secgenプロパティ・ファイルの使用」を参照してください。 |
|
secgenを実行する際、-Pオプションを使用してプロパティ・ファイルを指定し、プロバイダ構成をカスタマイズできます。SecGenTemplate.propertiesテンプレート・ファイルはORACLE_CEP_HOME/ocep_11.1/binにあり、ORACLE_CEP_HOMEは、/oracle_cepなどのOracle Event Processingメイン・インストール・ディレクトリです。
プロパティ・ファイルではクリア・テキストのパスワードを指定しますが、指定したパスワードは、生成される構成ファイルに暗号化されて格納されます。
次の例は、ファイル・ベースでのプロバイダのカスタマイズに使用するプロパティ・ファイルを示しています。
#File based provider related file.atn.file.store.path=myfileatnstore.txt file.atn.file.store.password=firewall file.atn.user.password.style=HASHED file.atn.file.store.encrypted=true file.atz.file.store.path=filatz file.atz.file.store.password=firewall file.rm.file.store.path=filerm file.rm.file.store.password=firewall file.cm.file.store.path=filecm file.cm.file.store.password=firewall
file.atn.user.password.styleの有効な値は次のとおりです。
HASHED
REVERSIBLEENCRYPTED
次の例は、secgenユーティリティを使用して、myKeyFile.datというキー・ファイルを生成する方法を示しています。
prompt> secgen -k -o myKeyFile.dat
次の例は、secgenユーティリティを使用して、myConfigFile.xmlという名前のファイルベースのセキュリティ・プロバイダ構成ファイルを生成する方法を示しています。この例では、myKeyFile.datという事前に生成したキー・ファイルおよびmySecGen.propertiesというプロパティ・ファイルも使用しています。
prompt> secgen -F -i myKeyFile.dat -o myConfigFile.xml -P c:\msa\myMSAConfig\mySecGen.properties
Windowsオペレーティング・システムではこのユーティリティの.cmdバージョンを、Unixプラットフォームでは.shバージョンを使用する必要があります。
このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。
prompt> $PATH_TO_KSH_BIN/ksh -c secgen.sh
PATH_TO_KSH_BINはkshプログラムの完全修飾パスです。
