31 Oracle Platform Security Services

この章では、次の項でOracle Platform Security Services (OPSS)に関連するトピックについて説明します。

• 31.1項「構成の問題および回避策」

• 31.2項「ドキュメントの訂正箇所」

この章に含まれるトピックには次のドキュメントが関連します。

• Oracle Fusion Middlewareセキュリティ・ガイド

• Oracle Fusion Middlewareの管理者ガイド

• Oracle Fusion Middleware Authorization Policy Manager管理者ガイド

31.1 構成の問題および回避策

この項では、構成に関する問題およびその回避策について説明します。内容は次のとおりです。

• 31.1.1項「Oracle Fusion Middleware Audit Framework」

• 31.1.2項「ブートストラップ・キーの末尾の\n文字」

• 31.1.3項「複数のアイデンティティ・ストアでユーザーの名前が同じである」

• 31.1.4項「Script listAppRolesが出力する文字が正しくない」

• 31.1.5項「HTTPプロトコルを介したIDの伝播」

• 31.1.6項「プール構成がアイデンティティ・ストア内に存在しない」

31.1.1 Oracle Fusion Middleware監査フレームワーク

この項では、Oracle Fusion Middleware Audit Frameworkの構成に関する問題について説明します。内容は次のとおりです。

• 31.1.1.1項「Oracle Access Managerの監査の構成」

• 31.1.1.2項「特定のロケールで監査レポートに翻訳されたテキストが表示されない」

• 31.1.1.3項「監査レポートが常に英語で表示される」

• 31.1.1.4項「監査ストアはEMによる再関連付けをサポートしない」

• 31.1.1.5項「OWSM監査イベントが監査されない」

31.1.1.1 Oracle Access Managerの監査の構成

Oracle Enterprise Manager Fusion Middleware ControlではOracle Access Managerはコンポーネントの1つとして表示されますが、Fusion Middleware Controlを使用してOracle Access Managerの監査を構成することはできません。

31.1.1.2 特定のロケールで監査レポートに翻訳されたテキストが表示されない

Oracle Business Intelligence Publisherでパッケージ化された標準の監査レポートでは、管理者が使用する数多くの言語がサポートされます。Oracle Business Intelligence Publisherは、様々なロケールで起動できます。管理者は「プリファレンス」で優先ロケールを設定することによって、選択した言語を起動時に指定できます。

不具合のため、Oracle Business Intelligence Publisherが次の3つのロケールのいずれかで起動されると

• zh_CN(簡体字中国語)

• zh_TW(繁体字中国語)

• pt_BR(ポルトガル語(ブラジル))

これら以外のロケールでは予期したとおりに翻訳されたテキストが表示されますが、これら3つのロケールの言語ではレポートを表示できません(ラベル、ヘッダー、タイトルなどのレポート全体が英語で表示されます)。たとえば、Oracle Business Intelligence Publisherをzh_CNで起動すると、優先ロケールがzh_CNに設定されていても、テキストをzh_CNで表示できません。情報は英語で表示されます。

この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。

31.1.1.3 監査レポートが常に英語で表示される

Oracle Business Intelligence Publisherにパッケージされている標準監査レポートでは、多数の言語がサポートされます。

不具合のため、翻訳されている場合でも、レポート・タイトルと説明が英語で表示されます。

この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。

31.1.1.4 監査ストアはEMによる再関連付けをサポートしない

リリース11gR1 (11.1.1.6.0)では、Fusion Middleware Control Enterprise Manager (EM)コンソールを使用してセキュリティ・ストアを再関連付けした場合、ほとんどのストア(ポリシー・ストア、資格証明ストアなど)が移動されましたが、監査ストアは移動されませんでした。これは、監査ストアでは、WLSTコマンドreassociateSecurityStoreを使用した再関連付けのみがサポートされ、コンソールを使用した再関連付けがサポートされていないためです。

リリース11gR1 (11.1.1.6.0)からリリース11gR1 (11.1.1.7.0)への移行がEMを使用して行われた場合、監査リポジトリはファイルベースのまま残ります。次の回避策を使用すると、すべてのセキュリティ・ストア・データをLDAP/DBに移動して、監査を有効にできます。

PS5環境で、WLSTコマンドreassociateSecurityStoreを異なるjpsrootノードで実行します。これによって、OIDディレクトリ間の再関連付けが行われ、既存の任意のデータも新しいノードに移行されます。この動作を行った場合、監査データはファイル・ベースではなくなり、jps-configに新規ノードが含まれます。

31.1.1.5 OWSM監査イベントが監査されない

リリース11.1.1.7では、不具合のため、コンポーネントに対して監査が構成された後、Web Services Manager (OWSM)の監査イベントがログに記録されません。

この問題を解決するには、次の手順を行います。

1. registerAudit WLSTコマンドを使用して、監査サービスにOWSMコンポーネントAGENT、PM-EJBを登録します。

   1. registerAudit(xmlFile="$ORACLE_COMMON/modules/oracle.iau_11.1.1/components/OWSM-AGENT/component_events.xml", componentType="AGENT")

   2. registerAudit(xmlFile="$ORACLE_COMMON/modules/oracle.iau_11.1.1/components/OWSM-PM-EJB/component_events.xml", componentType="PM-EJB")

2. listAuditComponents WLSTコマンドを使用して、コンポーネントのリストを取得します。たとえば、このコマンドは、complist.txtという名前のファイルにコンポーネントのリストを書き込みます。

   listAuditComponents(fileName = "/tmp/complist.txt")
   

3. リスト内の各コンポーネントについて、次のようにWLSTコマンドsetAuditPolicyを実行します。

   setAuditPolicy(componentType="<component name from complist.txt>",  filterPreset="None") 
   

これらのコマンドの構文と使用方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の付録C「Oracle Fusion Middleware監査フレームワーク・リファレンス」を参照してください。

31.1.2 ブートストラップ・キーの末尾の\n文字

11gR1では、XMLをLDAPストアに再関連付けする処理により、末尾の新規行文字\nまたはその等価コード&#xAを使用して、ブートストラップ・キーが作成されます。このキー値は、ファイルjps-config.xmlに書き込まれてウォレットに格納されます。両方の場所で、キー値の末尾には文字\nが含まれます。

同じウォレットを11gR1 PS1で再利用した場合、ブートストラップ・キーの取得時にシステムによって末尾の\n文字が削除されますが、ウォレット内のキー値には末尾の文字が含まれたままになります。リクエストされるキー値と格納されているキー値が一致しなくなるため、この状況はエラーにつながります。

この問題を解決するには、次の手順を行います。

1. WLSTコマンドmodifyBootStrapCredentialを使用して、末尾に\nを使用せずにウォレットの資格証明を再プロビジョニングします。コマンドの使用方法は、『Oracle Fusion Middlewareセキュリティ・ガイド』の9.5.2.5項を参照してください。

2. ファイルjps-config.xmlを手動で編集して、末尾の文字&#xAをブートストラップ・キーから削除します。

この問題が発生するのは、前述のシナリオの場合、つまり11gR1のウォレットを11gR1 PS1で再利用した場合のみです。具体的には、11gR1 PS1環境での再関連付けの際は、前述の末尾文字は問題になりません。

31.1.3 複数のアイデンティティ・ストアでユーザーの名前が同じである

同じユーザー名が複数のLDAPリポジトリ内に存在するときに、プロパティ仮想化でLibOVDを使用するよう設定されている場合、この名前に対する問合せが実行されると、ユーザーおよびロールAPIによってこれらの1つのリポジトリのみのデータが戻されます。

31.1.4 スクリプトlistAppRolesが出力する文字が正しくない

LinuxおよびWindowsプラットフォームで、ロケールがfr_FR_iso88591などのUTF8以外のロケールに設定されている場合、OPSSスクリプトlistAppRolesは、予想される文字ではなく、文字「?」を間違って出力する可能性があります。

31.1.5 HTTPプロトコルを介したIDの伝播

この項では、次の追加情報、修正情報および新情報を示します。

• HTTPプロトコルを介したIDの伝播に関する項への追加

• クライアント・アプリケーションのコード・サンプルに関する項への修正

• キーストア・サービス構成に関する項への修正

• トラスト・サービス構成パラメータの更新

31.1.5.1 HTTPプロトコルを介したIDの伝播に関する項への追加

次の新情報は、19.3.1.2項に属するものです。

即時利用可能な構成では、トークン発行者名およびキー別名はWebLogicサーバー名に基づいていることを前提としています。WebSphereでは、キー別名サーバー名はWebSphereサーバー・ルートに基づいて設定されます。たとえば、サーバー・ルートが$T_WORK/middleware/was_profiles/DefaultTopology/was_as/JrfServerの場合、サーバー名はJrfServerに設定されます。デフォルト値を変更するには、19.3.12項で説明されている手順を使用します。

31.1.5.2 クライアント・アプリケーションのコード・サンプルに関する項への修正

次のサンプルは、クライアント・アプリケーションを示しています。jps-api.jarファイルおよびOSDT jarsのosdt_ws_sx.jar、osdt_core.jar、osdt_xmlsec.jar、osdt_saml2.jarは、コード・サンプルがコンパイルするクラスパスに含める必要があります。

31.1.5.3 キーストア・サービス構成に関する項への修正

WebLogicサーバー名をjrfServer_adminとした場合、次のコマンドは、生成されたファイルdefault-keystore.jksによって表される、キーストアの作成を示しています。

31.1.5.4 トラスト・サービス構成パラメータの更新

この項の情報は新しく、スクリプトを使用したjps-config.xmlファイルのトラスト・サービス構成パラメータの変更方法について説明しています。

パラメータtrust.aliasNameおよびtrust.issuerNameの初期状態の値はWebLogicサーバー名に設定されています。これらの値をデプロイ固有の値に変更するには、次のようなスクリプトを使用します。

import sys
 
wlsAdmin = 'weblogic'
wlsPwd ='password_value'
wlUrl='t3://localhost:7001'
issuer= 'issuer'
alias = 'alias'
 
print "OPSS Trust Service provider configuration management script.\n"
 
instance = 'trust.provider'
name = 'trust.provider.embedded'
cfgProps = HashMap()
cfgProps.put("trust.issuerName", issuer)
cfgProps.put("trust.aliasName", alias)
pm = PortableMap(cfgProps);
 
connect(wlsAdmin, wlsPwd, wlUrl)
domainRuntime()
 
params = [instance, name, pm.toCompositeData(None)]
sign = ["java.lang.String", "java.lang.String", "javax.management.openmbean.CompositeData"]
on = ObjectName("com.oracle.jps:type=JpsConfig")
mbs.invoke(on, "updateTrustServiceConfig", params, sign)
mbs.invoke(on, "persist", None, None)
 
print "Done.\n"

31.1.6 プール構成がアイデンティティ・ストア内に存在しない

WebSphere Application Serverで、すぐに使用できる構成ファイルjps-config.xmlにアイデンティティ・ストアのプロパティのエントリがありません。インストール後に追加されたアイデンティティ・ストアがLDAPベースのアイデンティティ・ストアである場合、次のプロパティを、アイデンティティ・ストア・サービス・インスタンス要素内のjps-config.xmlファイルに手動で挿入する必要があります。

<property name="CONNECTION_POOL_CLASS" 
          value="oracle.security.idm.providers.stdldap.JNDIPool"/> 

この問題を回避するには、次の手順を行います。

1. サーバーを停止します。

2. ファイルwas_profile_dir/config/cells/cell_name/fmwconfig/jps-config.xmlを編集用に開きます。ここでwas_profile_dirおよびcell_nameはシステム上のプロファイルのディレクトリ名とセル名を表します。

3. 欠落したプロパティCONNECTION_POOL_CLASSをアイデンティティ・ストア・サービス・インスタンスの構成に挿入します。

4. ファイルを保存してサーバーを再起動します。

31.2 ドキュメントの訂正箇所

この項では、ドキュメントの訂正箇所について説明します。内容は次のとおりです。

• 31.2.1項「ロール・カテゴリの更新された構成」

• 31.2.2項「setAuditRepositoryコマンド・リファレンスの例の修正」

• 31.2.3項「Demo CA証明書は本番で使用できない」

• 31.2.4項「ILMコンテンツへのリンクの誤り」

• 31.2.5項「付録Cの表タイトルの誤り」

• 31.2.6項「付録Cの注意の説明」

• 31.2.7項「サーバーの再起動が必要であること関する注意」

31.2.1 ロール・カテゴリの更新された構成

この注記には、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-10)の2.8項「ロール・カテゴリ」で説明されているように、ロール・カテゴリの正しい構成が含まれます。

2.8項に示したjazn-data.xml内の要素<role-category>の構成は、次で置き換えられる必要があります。

<app-roles>
  <app-role>
    <name>AppRole_READONLY</name>
    <display-name>display name</display-name>
    <description>description</description>
    <class>oracle.security.jps.service.policystore.ApplicationRole</class>
    <extended-attributes>
      <attribute>
        <name>ROLE_CATEGORY</name>
        <values>
          <value>RC_READONLY</value>
        </values>
      </attribute>
    </extended-attributes>
  </app-role>
</app-roles>
<role-categories>
  <role-category>
    <name>RC_READONLY</name>
    <display-name>RC_READONLY display name</display-name>
    <description>RC_READONLY description</description>
  </role-category>
</role-categories>

この修正の重要な点は次のとおりです。

• ロール・カテゴリのメンバーは<role-category>要素内で構成されませんが、対応するアプリケーション・ロールの要素<extended-attributes>内で構成されます。

31.2.2 setAuditRepositoryコマンド・リファレンスの例の修正

この注意では、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)のC.4.5項「setAuditRepository」の誤りを修正します。

この例には次の行があります。

setAuditRepository(switchToDB='true',dataSourceName='jdbcAuditDB',interval='14')

'jdbcAuditDB'を、'jdbc/AuditDB'を読み取るように変更します。

31.2.3 Demo CA証明書は本番で使用できない

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の11.1.3項「ドメイン信頼ストア」で、次の注意書きをこの項の先頭に挿入します。

注意: Demo CAには、既知のハードコードされた秘密鍵があります。Demo CAで署名された証明書は信用しないよう注意してください。そのため、信頼ストアのDemo CA証明書は本番では使用しないでください。これは、本番のドメイン信頼ストアから削除する必要があります。

31.2.4 ILMコンテンツへのリンクの誤り

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-12)の「監査の構成および管理」の章の階層アーカイブに関する説明に、Oracle Information Lifecycle Management (ILM)への誤ったリンクが含まれています。

リンクは次のように読み替えてください。

http://www.oracle.com/technetwork/database/enterprise-edition/index-090321.html

31.2.5 付録Cの表タイトルの誤り

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の付録C Oracle Fusion Middleware監査フレームワーク・リファレンスで、表C-4のタイトルが誤っています。正しいタイトルは、「Oracle Internet Directoryイベント」とする必要があります。

31.2.6 付録Cの注意の概要

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の付録C「Oracle Fusion Middleware監査フレームワーク・リファレンス」の12.3.3項の冒頭にある注意事項が不完全です。この注意事項は次のように読み替えてください。

注意: メタデータ・ストアは、実際の監査データが格納される監査データ・ストアとは別のものです。

31.2.7 サーバーの再起動が必要であること関する注意

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の第13章「監査の構成と管理」では、監査ポリシーの変更後、サーバーを再起動する必要があると記載されています。次の項で言及されています。

• 13.3項「監査ポリシーの管理」の「ポリシーの構成方法」という見出しの第2文の下。

• 13.3.1項「Fusion Middleware ControlによるJavaコンポーネントの監査ポリシーの管理」の「注意」の2つ目の箇条書き項目。

• 13.3.2項「Fusion Middleware Controlによるシステム・コンポーネントの監査ポリシーの管理」の「注意」の2つ目の箇条書き項目。

しかし、再起動は必要ありません。管理対象サーバーでは、数分後に変更が有効になります。