この付録では、OPSSのシステム・プロパティ(サーバー起動時にスイッチ-D
を使用して設定)および構成プロパティ(構成ファイルjps-config.xml
で要素<property>
および<extendedProperty>
を使用して設定)について次の各項で説明します。
サーバー・プロパティをプログラムによって管理するには、OPSS MBeansを使用します。詳細と例は、第E.2.3項「OPSS Mbeansを使用したプログラミング」を参照してください。
導入または変更したシステム・プロパティは、サーバーを再起動するまで有効になりません。システム・プロパティを設定するには、管理者はsetDomainEnv.sh
シェル・スクリプトを編集し、そのスクリプト内の環境変数EXTRA_JAVA_PROPERTIES
にプロパティを追加する必要があります。
表F-1は、OPSSで使用可能なJavaシステム・プロパティを示しています。
表F-1 OPSSで使用されるJavaシステム・プロパティ
名前 | 説明 |
---|---|
|
JpsAuth.checkPermissionメソッドがSubject.doAsブロック内で呼び出されたときにパーミッション・チェックが失敗すると、その失敗について通知します。 setting jps.auth.debugまたはjps.auth.debug.verboseだけでは、この場合に失敗の通知を受け取ることはできません。 オプション。 |
Javaセキュリティ・ポリシー・ファイルの場所を指定します。 |
|
|
実行時およびデバッグのオーバーヘッドを軽減するJDK APIのAccessController.checkPermissionのコールの委任を有効または無効にします。 オプション。 有効な値: デフォルト値なし |
|
サーバーのロギング出力を制御します。デフォルト値はFALSEです。詳細は、第L.1.2.1項「jps.auth.debug」を参照してください。 オプション。 |
|
サーバーのロギング出力を制御します。デフォルト値はFALSEです。詳細は、第L.1.2.2項「jps.auth.debug.verbose」を参照してください。 オプション。 |
|
サブジェクトの保護ドメインのキャッシュを有効または無効にします。 オプション。 有効な値: デフォルト値: |
|
パーミッション・チェックのトリガー時にサブジェクトの保護ドメインの評価を有効または無効にします。 オプション。 有効な値: デフォルト値: |
|
WebLogic Serverにデプロイされているアプリケーションのポリシーおよび資格証明の移行を有効または無効にします。WebLogic Serverに対してのみ有効です。 アプリケーション・ファイルのweblogic-application.xmlにある特定のアプリケーション設定に関係なく、サーバーにデプロイされているすべてのアプリケーションについてアプリケーションのポリシーおよび資格証明の移行を無効にするにはTRUEに設定します。 オプション。 有効な値: デフォルト値: |
混合モードを有効または無効にします。 混合モードを使用すると、Sun java.security.PolicyからOPSS Java PolicyProviderへの移行が容易になります。混合モードが有効になっている場合、OPSS Java Policy Providerでは、java.policyとsystem-jazn-data.xmlの両方のファイルから読取りが実行されます。 オプション。 有効な値: デフォルト値: |
|
グループ・メンバーシップの変更が有効になるまでの秒数を指定します。 この値はWebLogic認証プロバイダの オプション。 有効な値: 任意の正の整数。 デフォルト値: |
|
|
ドメイン構成ファイル 必須。 デフォルト値なし |
|
コード・ソースURLのディレクトリへのパスを指定します。 オプション。 デフォルト値なし 例については、<url>を参照してください。 |
|
コード・ソースURLの拡張を指定します。 オプション。 デフォルト値なし 例については、<url>を参照してください。 |
|
指定した部分文字列を含むアプリケーション・ロール名をログに記録します。一致対象の部分文字列を指定しないと、すべてのアプリケーション・ロール名が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。 |
oracle.security.jps.log.for.permeffect |
指定した値に従って、付与された権限または拒否された権限をログに記録します。値を指定しないと、(付与または拒否にかかわらず)すべての権限が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。 |
oracle.security.jps.log.for.permclassname |
指定した名前に完全一致するパーミッション・クラス名をログに記録します。一致対象の名前を指定しないと、すべてのパーミッション・クラス名が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。 |
oracle.security.jps.log.for.permtarget.substring |
指定した部分文字列を含むパーミッション・ターゲット名をログに記録します。一致対象の部分文字列を指定しないと、すべてのパーミッション・ターゲットが記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。 |
oracle.security.jps.log.for.enterprise.principalname |
指定した名前に完全一致するプリンシパル(エンタープライズ・ユーザーまたはエンタープライズ・ロール)名をログに記録します。一致対象の名前を指定しないと、すべてのプリンシパル名が記録されます。 オプション。 デフォルト値なし 使用例と詳細は、第L.1.2.3項「認可プロセスのデバッグ」を参照してください。 |
common.components.home |
共通のコンポーネント・ホームの場所を指定します。 SEアプリケーションの場合、必須です。 デフォルト値なし |
この項では、様々なインスタンスのプロパティについて説明します。この項の内容は次のとおりです。
次の各項では、ポリシー・ストアのプロパティについて説明します。
LDAPベースまたはDBベースのインスタンスで使用できるポリシー・ストア・プロバイダ・クラスは次のとおりです。
oracle.seurity.jps.internal.policystore.ldap.LdapPolicyStoreProvider
表F-2は、ポリシー・ストア・インスタンスのプロパティを示しています。このプロパティのリストは、使用可能なアプリケーションの種類に基づく3つのブロックで構成されています。
表F-2 ポリシー・ストアのプロパティ
名前 | 説明 |
---|---|
次のプロパティは、Java EEアプリケーションとJava SEアプリケーションの両方で有効です。 |
|
|
LDAPポリシー・ストアにアクセスするためのパスワード資格証明のキーで、CSFストアに格納されています。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし 出荷時の値は |
|
LDAPポリシー・ストアにアクセスするためのパスワード資格証明のマップで、CSFストアに格納されています。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値: |
|
LDAPポリシー・ストア内のドメイン・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし |
|
LDAPポリシー・ストア内のルート・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし |
|
LDAPポリシー・ストアのURLです。形式は、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアにのみ適用されます。 必須。 デフォルト値なし |
|
LDAPポリシー・ストアのタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし 値の例: |
次のいずれかのチェックに合格しなかった場合に、例外のスローを制御します。
Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 有効な値: |
|
|
システムがドメイン・ファイル 本番環境では、約10分(600000ミリ秒)の頻度をお薦めします。開発環境では、約3分(180000ミリ秒)の頻度をお薦めします。 デフォルト値: 1000 |
次のプロパティは、Java EEアプリケーションでのみ有効です。 |
|
|
JDBCデータ・ソース・インスタンスのJNDI名。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 必須。 デフォルト値なし |
|
再試行回数。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 3 |
|
次に再試行するまでの秒数。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 15 |
|
Weblogic DBユーザーとパスワードの資格証明のマップおよびキーを指定します。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値なし。 |
|
Weblogic DBユーザーとパスワードのマップおよびキーの場所を指定します。このプロパティは、DBベースのストアに再関連付けする際に自動的に設定されます。 Java EEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 有効な値: デフォルト値:
それ以外の |
次のプロパティは、Java SEアプリケーションでのみ有効です。 |
|
|
bootstrapで指定されたユーザー名のかわりに使用する、クリアテキストによるプリンシパル名。使用はお薦めしません。 Java SEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値なし |
|
bootstrapで指定されたパスワードのかわりに使用する、クリアテキストによるセキュリティ・プリンシパルのパスワード。使用はお薦めしません。 Java SEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値なし |
|
JDBCドライバ。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 必須。 デフォルト値なし 値の例: |
|
JBDCのURL。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 必須。 デフォルト値なし 値の例: |
|
JDBC読取り接続プールで使用できる最小接続数。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 5 |
|
JDBC読取り接続プールで使用できる最大接続数。 Java SEアプリケーションでのみ有効です。 DBストアにのみ適用されます。 オプション。 デフォルト値: 20 |
例1
次のコードは、Java EEアプリケーションで使用するLDAPベースのポリシー・ストア・インスタンスの構成を示しています。
<serviceInstance provider="ldap.policystore.provider" name="policystore.ldap"> <property value="OID" name="policystore.type"/> <property value="bootstrap" name="bootstrap.security.principal.key"/> <property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/> <property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/> <property value="ldap://myHost.com:1234" name="ldap.url"/> <property value="STATIC" name="oracle.security.jps.policystore.rolemember.cache.type"/> <property value="FIFO" name="oracle.security.jps.policystore.rolemember.cache.strategy"/> <property value="1000" name="oracle.security.jps.policystore.rolemember.cache.size"/> <property value="true" name="oracle.security.jps.policystore.policy.lazy.load.enable"/> <property value="PERMISSION_FIFO" name="oracle.security.jps.policystore.policy.cache.strategy"/> <property value="1000" name="oracle.security.jps.policystore.policy.cache.size"/> <property value="true" name="oracle.security.jps.policystore.refresh.enable"/> <property value="43200000" name="oracle.security.jps.ldap.policystore.refresh.purge.timeout"/> <property value="600000" name="oracle.security.jps.ldap.policystore.refresh.interval"/> </serviceInstance>
例2
次のコードは、Java SEアプリケーションで使用するLDAPベースのポリシー・ストア・インスタンスの構成を示しています。
<serviceInstance name="policystore.oid" provider="policy.oid"> <property value="OID" name="policystore.type"/> <property value="bootstrap" name="bootstrap.security.principal.key"/> <property name="ldap.url" value="ldap://myHost.com:1234"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsNode"/> <property name="oracle.security.jps.farm.name" value="cn=domain1"/> </serviceInstance>
Java SEアプリケーションの構成の追加サンプルは、第23.1.2項「LDAPベースのポリシー・ストアと資格証明ストアの構成」を参照してください。
例3
次の例は、Java EEアプリケーションで使用するDBベースのストア(ランタイム・サービス・プロバイダのインスタンスを含む)の構成を示しています。
<jpsConfig> ... <propertySets> <!-- property set props.db.1 common to all DB services --> <propertySet name="props.db.1"> <property name="datasource.jndi.name" value="opssds"/> <property value="cn=farm" name="oracle.security.jps.farm.name"/> <property value="cn=jpsroot" name="oracle.security.jps.ldap.root.name"/> <property value="dsrc_lookup_key" name="bootstrap.security.principal.key"/> <property value="credential_map" name="bootstrap.security.principal.map"/> </propertySet> </propertySets> <serviceProviders> <serviceProvider class="oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider" type="POLICY_STORE" name="rdbms.policystore.provider" > <description>RDBMS based PolicyStore provider</description> </serviceProvider> <serviceProvider type="KEY_STORE" name="keystore.provider" class="oracle.security.jps.internal.keystore.KeyStoreProvider"> <description>PKI Based Keystore Provider</description> <property name="provider.property.name" value="owsm"/> </serviceProvider> <serviceProvider name="pdp.service.provider" type="PDP" class="oracle.security.jps.az.internal.runtime.provider.PDPServiceProvider"> <description>OPSS Runtime Service provider</description> </serviceProvider> </serviceProviders> <serviceInstances> <serviceInstance name="policystore.rdbms" provider="rdbms.policystore.provider"> <property value="DB_ORACLE" name="policystore.type"/> <propertySetRef ref = "props.db.1"/> <property name="session_expiration_sec" value="60"/> <property name="failover.retry.times" value="5"/> </serviceInstance> <serviceInstance name="credstore.rdbms" provider="rdbms.credstore.provider"> <propertySetRef ref = "props.db.1"/> </serviceInstance> <serviceInstance name="keystore.rdbms" provider="rdbms.keystore.provider"> <propertySetRef ref = "props.db.1"/> <property name="keystore.provider.type" value="db"/> </serviceInstance> <serviceInstance name="pdp.service" provider="pdp.service.provider"> <property name="sm_configuration_name" value="permissionSm"/> <property name="work_folder" value="../../tempdir/permissionSm-work"/> <property name="authorization_cache_enabled" value="true"/> <property name="role_cache_enabled" value="true"/> <property name="session_eviction_capacity" value="500"/> <property name="session_eviction_percentage" value="10"/> <property name="session_expiration_sec" value="60"/> <property name="failover.retry.times" value="5"/> <property name="failover.retry.interval" value="20"/> <property name="oracle.security.jps.policystore.purge.timeout", value="30000"/> <propertySetRef ref = "props.db.1"/> </serviceInstance> </serviceInstances> <jpsContexts default="default"> <jpsContext name="default"> <serviceInstanceRef ref="pdp.service"/> <serviceInstanceRef ref="policystore.rdbms"/> <serviceInstanceRef ref="credstore.rdbms"/> <serviceInstanceRef ref="keystore.rdbms"/> </jpsContext> </jpsContexts> ... </jpsConfig>
例4
次のコードは、Java SEアプリケーションで使用するDBベースのポリシー・ストア・インスタンスの構成を示しています。
<serviceInstance name="policystore.rdbms" provider="policy.rdbms"> <property name="policystore.type" value="DB_ORACLE"/> <property name="jdbc.url" value="jdbc:oracle:thin:@xxx.com:1722:orcl"/> <property name="jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/> <property name="bootstrap.security.principal.key" value="bootstrap_DWgpEJgXwhDIoLYVZ2OWd4R8wOA=" /> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/> <property name="oracle.security.jps.farm.name" value="cn=view_steph.atz"/> </serviceInstance>
Java SEアプリケーションの構成の追加サンプルは、第23.1.3項「DBベースのOPSSセキュリティ・ストアの構成」を参照してください。
LDAPベースまたはDBベースのインタンスで使用できる実行時ポリシー・ストア・プロバイダ・クラスは、次のとおりです。
oracle.seurity.jps.az.internal.runtime.provider.PDPServiceProvider
表F-3は、ポリシー・ストア・インスタンスの実行時のプロパティを示しています。
表F-3 実行時のポリシー・ストアのプロパティ
名前 | 説明 |
---|---|
|
ロール・メンバーのキャッシュ・タイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値:
デフォルト値: |
|
ロール・メンバーのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値:
デフォルト値: |
|
メンバー・キャッシュに維持するロール数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 1000。 |
|
ポリシーの遅延ロードを有効または無効にします。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
パーミッションのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値:
デフォルト値: |
|
パーミッション・キャッシュに維持するパーミッション数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 1000。 |
|
ポリシー・ストアのリフレッシュを有効または無効にします。このプロパティを設定した場合、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
キャッシュのリフレッシュを有効または無効にします。このプロパティを設定した場合、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
ポリシー・ストア・キャッシュを消去するまでの時間(ミリ秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値は43200000 (12時間)です。 |
|
ポリシー・ストアで変更がポーリングされる間隔(ミリ秒単位)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 600000 (10分)。 |
|
パーミッションのキャッシュが無効になるまでのユーザーのパーミッションの数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 50。 |
|
ApplicationRoleメンバーシップ・キャッシュの作成方法を制御します。TRUEに設定した場合、キャッシュはサーバーの起動時に作成され、それ以外の場合は、必要に応じて作成されます(遅延ロード)。 ユーザーおよびグループの数がアプリケーション・ロールの数を大きく上回っている場合はTRUEに設定します。それ以外の場合、つまりアプリケーション・ロールの数が非常に多い場合はFALSEに設定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
一時的な保存に使用するフォルダ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: システムの一時フォルダ。 |
|
認可キャッシュを有効にするかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
削除容量に達したときに削除するセッションの比率。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: 10 |
|
維持する認可とロールのマッピング・セッションの最大数。最大数に達すると、古いセッションが削除され、必要になったときに再確立されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: 500 |
|
セッション・データをキャッシュする秒数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 XMLストア、LDAPストアおよびDBストアに適用されます。 オプション。 デフォルト値: 60 |
次のいずれかのチェックに合格しなかった場合に、例外のスローを制御します。
Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 オプション。 デフォルト値: 有効な値: |
表F-4は、資格証明ストア・インスタンスのプロパティを示しています。このプロパティのリストは、使用可能なアプリケーションの種類に基づく2つのブロックで構成されています。
表F-4 資格証明ストアのプロパティ
名前 | 説明 |
---|---|
次のプロパティは、Java EEアプリケーションでのみ有効です。 |
|
|
LDAP資格証明ストアにアクセスするためのパスワード資格証明のキーで、CSFストアに格納されています。 Java EEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし 出荷時の値は |
|
LDAP資格証明ストアにアクセスするためのパスワード資格証明のマップで、CSFストアに格納されています。 Java EEアプリケーションでのみ有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値: |
次のプロパティは、Java EEアプリケーションとJava SEアプリケーションの両方で有効です。 |
|
|
LDAP資格証明ストア内のドメイン・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし |
|
LDAPポリシー・ストア内のルート・ノードのRDN形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアとDBストアに適用されます。 必須。 デフォルト値なし |
|
LDAP資格証明ストアのURLを Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアにのみ適用されます。 必須。 デフォルト値なし |
|
資格証明を暗号化するかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイルおよびLDAPストアにのみ適用されます。 有効な値: オプション。 デフォルト値: |
次のコードは、Java EEアプリケーションの資格証明ストアの構成を示しています。
<serviceInstance provider="ldap.credentialstore.provider" name="credstore.ldap"> <property value="bootstrap" name="bootstrap.security.principal.key"/> <property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/> <property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/> <property value="ldap://myHost.com:1234" name="ldap.url"/> <property value="true" name="encrypt"/> </serviceInstance>
表F-5は、LDAPベースのアイデンティティ・ストア・インスタンスのプロパティを示しています。拡張プロパティはその旨明示しています。それぞれのプロパティに対応する、ユーザーおよびロールAPIのプロパティも示しています。
表F-5 LDAPベースのアイデンティティ・ストアのプロパティ
注意: 認証プロバイダ属性 |
次のコード例は、Java SEアプリケーションに使用するLDAPベースのアイデンティティ・ストアの構成を示しています。
<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider"> <property name="idstore.type" value="OID"/> <property name="ldap.url" value="ldap://myHost.com:1234"/> <extendedProperty> <name>user.search.bases</name> <values> <value>cn=users,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> <extendedProperty> <name>group.search.bases</name> <values> <value>cn=groups,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> </serviceInstance>
表F-6は、あらゆるサービス・インスタンスで指定できる、LDAPベースのストアの汎用的なプロパティを示しています。
LDAPベースのアイデンティティ・ストアのサービス・インスタンスの場合は、ユーザーおよびロールAPIでJNDI接続ファクトリを使用するときに接続プールのプロパティが必ず選択されるように、アイデンティティ・ストアのサービス・インスタンスで次のプロパティを指定する必要があります。
<property name="INITIAL_CONTEXT_FACTORY" value="com.sun.jndi.ldap.LdapCtxFactory"/>
表F-6 LDAPの汎用的なプロパティ
名前 | 説明 |
---|---|
|
JNDI接続プールが使用するLDAP接続のタイプを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: デフォルト値: |
|
LDAP接続プールの最大接続数を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 30 |
|
LDAP接続プールの最小接続数を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 5 |
|
LDAP接続に使用するプロトコルを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: デフォルト値: |
|
使用する接続プールを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: デフォルト値: |
|
アイドル接続がプールにとどまっていられるミリ秒数を指定します。タイムアウト後に接続が閉じられ、プールから削除されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: 300000 (5分) |
|
LDAP接続に問題がある場合の、最大再試行回数を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 5 |
次のコードは、いくつかのプロパティの構成を示しています。
<jpsConfig ... > ... <!-- common properties used by all LDAPs --> <property name="oracle.security.jps.farm.name" value="cn=OracleFarmContainer"/> <property name="oracle.security.jps.ldap.root.name" value="cn=OracleJpsContainer"/> <property name="oracle.security.jps.ldap.max.retry" value="5"/> ... </jpsConfig>
表F-7は、ファイルベース、LDAPベースまたはDBベースの匿名ユーザー、匿名ロールおよび認証ロールの構成に使用できるプロパティを示しています。
表F-7 匿名ロールと認証ロールのプロパティ
名前 | 説明 |
---|---|
|
匿名ロールの説明を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値なし |
|
匿名ロールのプリンシパル名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
匿名ロールの名前を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
匿名ユーザーのプリンシパル名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
認証ロールの説明を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値なし |
|
認証ユーザー・ロールのプリンシパル名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
認証ロールの名前を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
ユーザーの認証後にサブジェクトから匿名ロールを削除する必要があるかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: デフォルト値: |
表F-8は、トラスト・サービスの構成に使用できるプロパティを示しています。
表F-8 トラスト・サービスのプロパティ
名前 | 説明 |
---|---|
|
トラスト・サービス・ストアのタイプ、JKSまたはKSSを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: デフォルトなし。 指定されていない場合は、KSSストアがすでにプロビジョニングされていれば、値は |
|
kss://<stripeName>/<keyStoreName> Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: |
|
kss://<stripeName>/<keyStoreName> Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: |
|
キーストアからX.509証明書と秘密鍵を取得するために使用する別名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: WASセルのWLSドメインの名前。 |
|
トークンに含める名前を指定します。発行先のトラスト・サービスにより、トークンを取得して検証するために使用されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: WASセルのWLSドメインの名前。 |
|
トラスト・プロバイダ・クラスの完全修飾名を指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 必須。 値: サポートされている値は |
|
時間条件を検証する際に許容される時間差を秒単位で指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: 0。 |
|
トークンが発行された後の有効時間を秒単位で指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 必須。 デフォルトなし。 |
|
キーストアにアクセスするための資格証明のマップを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティ |
|
Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティ |
|
Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティ |
|
SAMLトークンに証明書が含まれているかどうかを指定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 必須。 有効な値: デフォルト: |
次の例では、トラスト・サービスの構成を示します。
<propertySet name="trust.provider.embedded"> <property name="trust.provider.className" value="oracle.security.jps.internal.trust.provider.embedded.EmbeddedProviderImpl"/> <property name="trust.clockSkew" value="60"/> <property name="trust.token.validityPeriod" value="1800"/> <property name="trust.aliasName" value="orakey"/> <property name="trust.issuerName" value="orakey"/> <property name="trust.csf.map " value="my-csf-map"/> <property name="trust.csf.keystorePass" value="my-keystore-csf-key"/> <property name="trust.csf.keypass" value="my-signing-csf-key"/> </propertySet>
表F-9は、監査サービスの構成に使用するプロパティを示しています。
表F-9 監査サービスのプロパティ
プロパティ | 説明 | 必須 | 値 | デフォルト値 |
---|---|---|---|---|
auditstore.type |
監査メタデータ・ストアのタイプ。 |
はい |
file、ldapまたはdb |
file |
audit.filterPreset |
監査のレベル。 |
いいえ |
None、Low、MediumまたはHigh |
なし |
audit.customEvents |
Customの場合、監査の対象となる監査イベントのリスト。イベントは、コンポーネント・タイプを使用して修飾する必要があります。イベントはカンマ、コンポーネント・タイプはセミコロンで区切ります。 例: JPS:CheckAuthorization, CreateCredential; OIF:UserLogin |
いいえ |
||
audit.specialUsers |
filterPresetがNoneの場合もアクティビティが常に監査の対象となる1名以上のユーザーから構成されるリスト。 カンマが含まれるユーザー名は、適切にエスケープ処理する必要があります。たとえば、Fusion Middleware Controlを使用する場合、3名のユーザーは"admin, fmwadmin, cn=test\,cn=user\,ou:ST\,L=RS\,c=is\,"のように指定します。
setAuditPolicy(addSpecialUsers="cn=orcladmin\\\,cn=com") 詳細は、第C.4.3項「setAuditPolicy」を参照してください。 |
いいえ |
||
audit.maxDirSize |
監査ファイルが書き込まれるディレクトリのサイズを制御しますバイト単位 |
いいえ |
102400000 |
|
audit.maxFileSize |
監査イベントが書き込まれるバスストップ・ファイルのサイズを制御しますバイト単位 |
いいえ |
104857600 |
|
audit.loader.interval |
監査ローダーがデータベースにアップロードする頻度を制御します。秒単位 |
いいえ |
15秒 |
|
audit.loader |
監査イベントのストア・タイプ。タイプがデータベース(DB)の場合は、audit.loader.jndiまたはJDBCプロパティも定義します。 |
はい |
File、Db |
File |
audit.loader.jndi |
データベースに監査イベントをアップロードするための、アプリケーション・サーバー内のデータソースのJNDI名。 |
いいえ |
jdbc/AuditDB |
|
audit.db.principal.map / audit.db.principal.key |
JavaSEで実行されており、repositoryTypeがDBの場合の、ブートストラップ資格証明ストア内のJDBCユーザー名とパスワード資格証明に対するマップとキー。 |
いいえ |
||
audit.loader.jdbc.string |
JavaSEで実行されており、repositoryTypeがDBの場合の、JDBC接続に対するJDBC文字列。 |
いいえ |
||
audit.logDirectory |
バスストップ・ファイルのベース・ディレクトリ。 |
JavaSEでは必須 |
jse |
|
audit.timezone |
Oracle WebLogic ServerタイムスタンプまたはUTCのどちらでイベントを記録するかを決定します。詳細は、13.4項を参照してください。 |
いいえ |
utc、local |
utc |
audit.change.scanning. |
LDAPベースまたはDBベースの監査ストアを使用した分散環境では、監査サービスは、インスタンスを実行する各OPSSの監査実行時ポリシーの変更を監視し、任意のキャッシュ済のポリシーを動的に再ロードします。 このプロパティは、任意の変更をサービスがチェックする頻度をミリ秒単位で決定します。 |
いいえ |
0(ゼロ)より大きい数値 |
60000 (60秒) |
次の例は、監査サービスの構成を示しています。
<serviceInstance name="audit" provider="audit.provider" location="./audit-store.xml"> <property name="audit.filterPreset" value="Medium"/> <property name="audit.loader.jndi" value="jdbc/AuditDB"/> <property name="audit.loader.repositoryType" value="Db" /> <property name="auditstore.type" value="file"/> <property name="audit.timezone" value="local" /> </serviceInstance>
表F-10は、キーストア・サービスの構成に使用するプロパティを示しています。
表F-10 キーストア・サービスのプロパティ
プロパティ | 説明 | 必須 | 値 | デフォルト |
---|---|---|---|---|
keystore.provider.type |
キーストア・リポジトリのタイプ。 |
はい |
file、ldap、db |
file |
keystore.file.path |
ファイル・プロバイダが構成されている場合のkeystores.xmlファイルの場所。 |
ファイルベースのキーストア・プロバイダが構成されている場合は、はい。 |
- |
./ |
ca.key.alias |
キーストア・サービス・インスタンスに使用されているサード・パーティCAのsystem/castore内のキー別名。 |
いいえ |
- |
- |
location |
キーストアの場所。絶対パスまたは相対パスを指定できます。 |
keystore.typeがJKSの場合は、はい。keystore.typeがPKCS11またはHSM (LunaSA)の場合は、いいえ。 |
キーストアへのパス |
./default-keystore.jks |
keystore.type |
キーストアのタイプ。 |
はい |
JKS、PKCS11、Luna |
JKS |
keystore.csf.map |
Oracle Web Services Managerによって使用される資格証明ストア・マップ名。 |
はい |
資格証明ストアのマップ名 |
oracle.wsm.security |
keystore.pass.csf.key |
キーストア・パスワードを指す資格証明ストア・キー。 |
JKSおよびPKCS11の場合は、はい。HSMの場合は、いいえ。 |
資格証明ストアのcsfキー名 |
keystore-csf-key |
keystore.sig.csf.key |
キーストア内の署名鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名になります。 |
はい |
資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名 |
sign-csf-key |
keystore.enc.csf.key |
キーストア内の暗号化鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名になります。 |
はい |
資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名 |
enc-csf-key |
次の例は、ファイルベースのプロバイダに対するキーストア・サービスの構成を示しています。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks"> <description>Default JPS Keystore Service</description> <property name="keystore.provider.type" value="file"/> <property name="keystore.file.path" value="./"/> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> </serviceInstance>
次の例は、LDAPベースのプロバイダに対するキーストア・サービスの構成を示しています。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks"> <description>Default JPS Keystore Service</description> <property name="keystore.provider.type" value="ldap"/> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> <property value="bootstrap" name="bootstrap.security.principal.key"/> <property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/> <property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/> <property value="ldap://myHost.com:1234" name="ldap.url"/> </serviceInstance>
次の例は、RDBMSベースのプロバイダに対するキーストア・サービスの構成を示しています。
<propertySet name="props.db.1"> <property name="jdbc.url" value="jdbc:oracle:thin:@host:port:sid"/> <property name="oracle.security.jps.farm.name" value="cn=farm"/> <property name="server.type" value="DB_ORACLE"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsroot"/> <property name="jdbc.driver" value="oracle.jdbc.OracleDriver"/> <property name="bootstrap.security.principal.map" value="credendial_map"/> <property name="bootstrap.security.principal.key" value="credential_key"/> </propertySet> … … <serviceInstance name="keystore.rdbms" provider="keystore.provider" location="./default-keystore.jks"> <propertySetRef ref = "props.db.1"/> <property name="keystore.provider.type" value="db"/> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> </serviceInstance>