| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
前 |
次 |
セキュリティ・ストアは、WebLogic Serverドメイン内で実行されているアプリケーションすべてで使用されるシステムおよびアプリケーション固有のポリシー、資格証明、鍵、監査データの中央リポジトリです。
この章の内容は次のとおりです。
セキュリティ・ストアは、システムおよびアプリケーション固有のポリシー、資格証明および鍵の中央リポジトリです。この集中化により、ポリシー、資格証明および鍵の管理とメンテナンスが容易になります。
セキュリティ・ストアのタイプは、ファイル、LDAPまたはDBのいずれかです。ファイルからLDAPまたはDB、DBからLDAPまたはDB、LDAPからLDAPまたはDBに再関連付けすることができます。すぐに使用できる状態では、セキュリティ・ストアはデータベース・ストアです。
Java EEアプリケーションでは、セキュリティ・データはアプリケーションのエンタープライズ・アーカイブ(EAR)ファイルにパッケージ化されるため、アプリケーションのデプロイ時にセキュリティ・ストアに移行できます。
WebLogic Serverドメインでセキュリティ・ストアのポリシーを使用すると、そのドメイン内のすべての管理対象サーバーでJava Authorization Contract for Containers (JACC)ポリシーおよびJavaセキュリティ・マネージャが使用できなくなります。
ポリシーで使用するパーミッション・クラスをすべてクラス・パスに含めておく必要があるため、サービス・インスタンスの初期化時にポリシー・プロバイダでそれらパーミッション・クラスをロードできます。
|
関連項目: 「Fusion Middleware Controlを使用したセキュリティ・ストアの再関連付け」 「reassociateSecurityStoreを使用したセキュリティ・ストアの再関連付け」 「Fusion Middleware Controlを使用したセキュリティ・ストアの移行」 「migrateSecurityStoreを使用したセキュリティ・ストアの移行」 『Oracle WebLogic Serverセキュリティの理解』のJava EEおよびWebLogicセキュリティに関する項 |
複数のサーバー・インスタンス(管理サーバーおよび管理対象サーバー)が同じホスト上にある、または複数のマシンに分散されている本番のWebLogic Serverドメインでは、LDAPまたはデータベースのセキュリティ・ストアを使用する必要があります。本番環境ではファイルベースのプロバイダは推奨されません。
本番環境では通常、LDAPセキュリティ・ストアを使用します。唯一サポートされているLDAPは、Oracle Internet Directoryです。
OPSSでは、LDAPサーバーでの参照整合性の有効化がサポートされていません。参照整合性を有効化した場合、サーバーは想定したとおりには機能しません。サーバーの参照整合性を無効にするには、Oracle Enterprise Manager Fusion Middleware Controlを使用して、次の手順を実行します。
「管理」→「共有プロパティ」→「一般」の順に選択します。
参照整合性の有効化リストで、「無効」を選択します。
|
注意: バージョンに応じて、次のOracle Internet Directoryパッチが必要です。
|
サポートされているOracle Internet Directoryのバージョンの詳細は、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlで「Oracle Fusion Middleware 12c Certifications」を参照してください。
次の各項では、LDAPセキュリティ・ストアを設定する方法について説明します。
LDAPに正しくアクセスできるようにするには、この項の説明に従ってサーバー・ディレクトリにノードを設定します。
Fusion Middleware Controlを使用してLDAPストアに再関連付けすると、ブートストラップ資格証明がcwallet.ssoファイルに自動的に指定されます。
LDAPサーバーにノードを設定するには、次の手順を実行します。
次のエントリ指定してLDAPデータ交換形式(LDIF)ファイル(jpstestnode.ldif)を作成します。
dn: cn=jpsroot cn: jpsroot objectclass: top objectclass: OrclContainer
ルート・ノードの識別名jpsrootは、他のどの識別名とも異なる必要があります。一部のLDAPサーバーでは、デフォルトで大文字小文字が区別されます。複数のWebLogic Serverドメインで1つのルート・ノードを共有できます。このノードは最上位レベルに作成する必要はありませんが、LDAP管理者にはその下のノードすべてに対する読取りおよび書込みの権限が必要です。
このデータをldapaddユーティリティを使用してLDAPサーバーにインポートします。
>ldapadd -h ldap_host -p ldap_port -D cn=orcladmin -w password -v -f jpstestnode.ldif
ldapsearchユーティリティを使用してノードが正常に挿入されたことを確認します。
>ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin -w password -s base -b "cn=jpsroot" objectclass="orclContainer"
oidstats.sqlを実行して、最適なデータベースのパフォーマンスのためにデータベース統計を生成します。
>$ORACLE_HOME/ldap/admin/oidstats.sql
このユーティリティは、最初のプロビジョニング後に1回のみ実行する必要があります。
この項では、Oracle WebLogic ServerまたはJava SEアプリケーションとLDAPセキュリティ・ストア間で一方向Secure Sockets Layer (SSL)チャネルを設定する方法について説明します。このような接続は、たとえばLDAPターゲット・ストアへの再関連付けの際に必要になります。
LDAPの構成
一方向SSLでLDAPを構成する方法の詳細は、『Oracle Fusion Middlewareの管理』のOracle Internet DirectoryリスナーでのSSLの有効化に関する項を参照してください。
LDAP認証局の作成
WebLogic ServerでLDAP認証局を認識できない場合、orapkiを使用して証明書を作成します。
>orapki wallet export -wallet CA -dn "CN=myCA" -cert serverTrust.cert
serverTrust.cert証明書が作成され、キーストア・パスワードの入力を求められます。
SSLを構成する前に、次のことに注意してください。
次の手順は、SSLのタイプがserver-authである場合に必要で、それ以外(no-authまたはclient-auth)の場合には不要です。
次の手順で指定するフラグを複数のアプリケーションが実行される環境で使用する場合は、それらのアプリケーションで同じトラストストアを使用する必要があります。
Java EEアプリケーション用の設定
次の手順のいずれかを使用して、サーバーとアイデンティティ・ストアの間に一方向SSL接続を設定します。アイデンティティ・ストア・サービスとセキュリティ・ストア・サービスでは、異なるソケット・ファクトリを使用するため、次の手順が異なります。
サーバーとアイデンティティ・ストア間で一方向SSL接続を確立するには、次の手順を実行します(信頼できる認証局(CA)がある場合は、エクスポートされていることを前提とします)。
WebLogic ServerでCAを認識できる場合、この手順をスキップします。
認識できない場合は、次の例(ここではmyKeys.jksファイルを生成してserverTrust.certファイルをインポート)に示すように、keytoolを使用してLDAP CAをトラストストアにインポートします。
>keytool -import -v -trustcacerts -alias trust -file serverTrust.cert -keystore myKeys.jks -storepass keyStorePassword
サーバーを起動するstartWebLogic.shスクリプトを変更して次のような行を挿入した後、スクリプトを実行します。
-Djavax.net.ssl.trustStore=<absolute path name to file myKeys.jks>
サーバーとセキュリティ・ストア間で一方向SSL接続を確立するには、次の手順を実行します(信頼できるCAがある場合は、エクスポートされていることを前提とします)。
keytoolを使用して、信頼できるCAをトラストストアにインポートします。
>keytool -import -v -trustcacerts -alias trust -file serverTrust.cert -keystore myKeys.jks -storepass keyStorePassword
サーバーを起動するstartWebLogic.shスクリプトを変更して次のような行を挿入した後、スクリプトを実行します。
-Dweblogic.security.SSL.trustedCAKeyStore=<absolute path name to file myKeys.jks>
LDAPサーバーのSSL証明書でワイルド・カードを使用する場合は、WebLogic Serverを起動するスクリプトに次の行を追加します。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
サーバーを再起動します。
Java SEアプリケーション用の設定
WebLogic ServerでCAを認識できる場合、この手順をスキップします。
認識できない場合は、次の例(ここではmyKeys.jksファイルを生成してserverTrust.certファイルをインポート)に示すように、keytoolを使用してLDAP CAをトラストストアにインポートします。
>keytool -import -v -trustcacerts -alias trust -file serverTrust.cert -keystore myKeys.jks -storepass keyStorePassword
Java仮想マシン(JMV)を起動するスクリプトを変更して次のような行を挿入します。
-Djavax.net.ssl.trustStore=<absolute path name to file myKeys.jks>
サーバーを再起動します。
この項に記載されている手順を使用して、LDAPユーザー・パスワードをリセットします。
新しいパスワードを指定する内容でLDIFファイルを作成します。
dn: <UserDN> changetype: modify replace: userPassword userPassword: new_password
userDNは、管理者の識別名を表します。
次の例(ここではupdatePassword.ldifファイルの指定を使用)に示すように、ldapmodifyを使用して作成したファイルの指定を適用します。
ldapmodify -h oid_hostName -p oid_port -D ”cn=orcladmin” -w orcladmin_password -f updatePassword.ldif
modifyBootStrapCredentialを実行してブートストラップ・ウォレットに格納されたパスワードを更新します。
|
関連項目: 『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』 Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス |
本番環境では、DBセキュリティ・ストアをお薦めします。セキュリティ・ストアを構成するには、Fusion Middleware ControlまたはWebLogic Scripting Tool (WLST)を使用します。DBセキュリティ・ストアおよびドメインは同じデータ・センターに存在する必要があります。
開発環境でのみ、セキュリティ・ストアとしてOracle DBMS Express、Oracle DBMS Standard EditionまたはOracle DBMS Standard Edition Oneを使用できます。
サポートされているバージョンの詳細は、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlで「Oracle Fusion Middleware 12c Certifications」を参照してください。
OPSSスキーマおよび監査スキーマによるエディション・ベースの再定義(EBR)のサポートの詳細は、『Oracle Fusion Middleware Oracle Fusion Middlewareのアップグレードのプランニング』の第2.7.5項を参照してください。
次の各項では、DBセキュリティ・ストアを設定する方法について説明します。
セキュリティ・ストアにデータベース・リポジトリを使用するには、まずOracle Fusion Middlewareリポジトリ作成ユーティリティを使用して必要なOPSSスキーマを作成し、一部の初期データをシードします。リポジトリ作成ユーティリティの詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』の「リポジトリ作成ユーティリティの各画面の理解」を参照してください。
リポジトリ作成ユーティリティを実行してOPSSスキーマを作成する場合、名前に次の接尾辞が含まれるスキーマをすべて選択します。
_OPSS
_IAU
_IAU_APPEND
_IAU_VIEWER
_STB
この項では、OPSSスキーマ・パスワードの変更を含め、DBセキュリティ・ストアをメンテナンスする場合に実行するタスクをいくつか説明します。
DBセキュリティ・ストアには、定期的にパージする必要がある変更ログが保持されます。パージするには、提供されているSQLスクリプトopss_purge_changelog.sqlを使用して24時間以上前の変更ログをパージするか、データベースに接続してdeleteユーティリティを(適切な引数を指定して)実行します。
SQL>delete from jps_changelog where createdate < (select(max(createdate) - 1) from jps_changelog); SQL>Commit;
DBセキュリティ・ストアにアクセスする際のパフォーマンスを向上させるには、DBMS_STATSパッケージを実行して、データベース表および索引の物理記憶域に関する統計情報を収集します。この情報はデータ・ディクショナリに格納され、分析対象のオブジェクトにアクセスするSQL文の実行計画を最適化する場合に使用します。
数千の新しいアプリケーション・ロールを作成する場合など、大量のデータをDBセキュリティ・ストアにロードする場合は、短期間内にロード・アクティビティと同時にDBMS_STATSを実行することをお薦めします。そうではなく、ロード・アクティビティが小規模な場合は、DBMS_STATSを1回のみまたは必要に応じて実行します。
次の例では、DBMS_STATSの使用方法を示します。
EXEC DBMS_STATS.GATHER_SCHEMA_STATS('DEV_OPSS', DBMS_STATS.AUTO_SAMPLE_SIZE, no_invalidate=>FALSE);
DEV_OPSSは、リポジトリ作成ユーティリティを使用して作成されたデータベース・スキーマの名前を示しています。
スクリプトの例
次の例では、DBMS_STATSコマンドを10分ごとに実行します。
#!/bin/sh i=1 while [ $i -le 1000 ] do echo $i sqlplus dev_opss/welcome1@inst1 @opssstats.sql sleep 600 i=`expr $i + 1` done
opssstats.sqlには、次のテキストが含まれます。
EXEC DBMS_STATS.gather_schema_stats('DEV_OPSS',DBMS_STATS.AUTO_SAMPLE_SIZE, no_invalidate=>FALSE);
QUIT;
次の例でも、DBMS_STATSを10分ごとに実行します。
variable jobno number;
BEGIN
DBMS_JOB.submit
(job => :jobno,
what => 'DBMS_STATS.gather_schema_stats(''DEV_OPSS'',DBMS_STATS.AUTO_SAMPLE_SIZE,no_invalidate=>FALSE);',
interval => 'SYSDATE+(10/24/60)');
COMMIT;
END;
/
このSQLスクリプトによって起動されたDBMS_STATSを停止するには、まず次のコマンドを発行してそのジョブ番号を見つけます。
sqlplus '/as sysdba'
SELECT job FROM dba_jobs WHERE schema_user = 'DEV_OPSS' AND what = 'DBMS_STATS.gather_schema_stats(''DEV_OPSS'',DBMS_STATS.AUTO_SAMPLE_SIZE, no_invalidate=>FALSE);';
続いて、次のようなコマンドを実行します(問合せでジョブ番号31が返されたと仮定しています)。
EXEC DBMS_JOB.remove(31);
OPSSスキーマ・パスワードをリセットするには、次の手順を実行します。
ALTER USERデータベース・コマンドを使用してデータベースのパスワードをリセットします。次の2つの手順で使用しますので、入力した新しいパスワードを忘れないでください。
Oracle WebLogic Server管理コンソールを使用して、データ・ソースがOPSSスキーマへの接続に使用しているパスワードを新しいパスワードで更新します。
modifyBootStrapCredential WLSTコマンドを使用して、新しいパスワードでcwallet.ssoブートストラップ・ファイルを更新します。
|
関連項目: 『Oracle WebLogic Server JDBCデータ・ソースの管理』Oracle WebLogic ServerのJDBCデータ・ソースの作成に関する項 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のmodifyBootStapCredentialに関する項 |
DBセキュリティ・ストアへの一方向または双方向SSL接続の確立は必要に応じて実行するものであり、詳細は『Oracle Fusion Middlewareの管理』のデータベースでのSSLの構成に関する項を参照してください。
セキュリティ・ストアの再関連付けとは、セキュリティ・データをリポジトリ間で再配置するプロセスです。ソース・タイプは、ファイル、LDAPまたはDBのいずれかです。ターゲット・タイプは、LDAPまたはDBのいずれかです。
再関連付けでは、格納データの整合性を保持しながらリポジトリが変更されます。この操作は、ドメインの作成後であればいつでも実行でき、次の各項の説明に従って、Fusion Middleware ControlまたはreassociateSecurityStore WLSTコマンドのいずれかを使用して実行します。
再関連付けでは、セキュリティ・ストア(ポリシー、資格証明、鍵および監査データ)をリポジトリ間で移行し、セキュリティ・プロバイダを再構成します。手順の詳細は、「タスク2: セキュリティ・ストアの移行」を参照してください。
次の点に注意してください:
ターゲットLDAPストアに再関連付けを行う前に、「LDAPセキュリティ・ストアを使用する場合の前提条件」を満たすように設定されていることを確認してください。
ターゲットDBストアに再関連付けを行う前に、「DBセキュリティ・ストアを使用する場合の前提条件」を満たすように設定されていることを確認してください。
再関連付けを行う前でターゲットLDAPへの一方向SSLが必要な場合は、「LDAPセキュリティ・ストアへの一方向SSLの設定」に記載されている手順を実行してください。
LDAPストアへの再関連付けの後、LDAPストアのルート・ノードへのアクセスを保護するために、「LDAPノードへのアクセスの保護」に記載されている手順を実行してください。
再関連付けによって、jps-config.xmlファイルとjps-config-jse.xmlファイルが新しい構成で更新されます(古いプロバイダ構成が削除され、新しいプロバイダ構成が挿入され、データがソース・ストアからターゲット・ストアに移動します)。
ターゲット・ストアがLDAPの場合、情報は、次の形式に従ってドメイン識別名の下に格納されます。
cn=<domain_name>,cn=JpsContext,<JPS ROOT DN>
構成がドメイン識別名に基づいている場合、このノードをLDAPサーバーから削除しないでください。
この項で説明する手順は必要に応じて実行するものであり、LDAPサーバーにアクセスする際のセキュリティを強化することのみを目的として実行します。
アクセス制御リスト(ACL)とは、情報にアクセスできるユーザーとLDAPオブジェクトに対して許可される操作を指定したリストです。制御リストはノードで指定し、そのノード下のすべてのエントリにその制限が適用されます。
ACLを使用してLDAPリポジトリに格納されているデータへのアクセスを制御します。通常、このリストはストアのルート・ノードで指定します。
LDAPリポジトリのノードでACLを指定するには、次の手順を実行します。
ACLを指定する内容を記述したLDIFファイルを作成します。
dn: <storeRootDN> changetype: modify add: orclACI access to entry by dn="<userDN>" (browse,add,delete) by * (none) access to attr=(*) by dn="<userDN>" (search,read,write,compare) by * (none)
storeRootDNはストアのルート・ノードを表し、userDNは管理者の識別名(再関連付けを実行する際に入力したのと同じ識別名)を表します。
ldapmodifyを使用して、これらの指定をOIDに適用します。
dn: cn=jpsRootNode changetype: modify add: orclACI access to entry by dn="cn=myAdmin,cn=users,dc=us,dc=oracle,dc=com" (browse,add,delete) by * (none) access to attr=(*) by dn="cn=myAdmin,cn=users,dc=us,dc=oracle,dc=com" (search,read,write,compare) by * (none)
|
関連項目: 『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のldapmodifyに関する項 |
セキュリティ・ストアの再関連付けは、reassociateSecurityStore WLSTコマンドを使用して行うことができます。このコマンドの詳細は、第10.4.1項「reassociateSecurityStore」を参照してください。
アプリケーションでは独自のポリシーを指定することができ、アプリケーションをWebLogic Serverにデプロイすると、これらのポリシーは(セキュリティ・ストアの)アプリケーション・ストライプに格納されます。ドメインで実行されているアプリケーションはそれぞれストライプを1つ使用し、複数のアプリケーションが同じストライプを使用することができます。ファイル・セキュリティ・ストアでは、$DOMAIN_HOME/config/fmwconfig/system-jazn-data.xmlファイルの<applications>要素でストライプを指定します。
セキュリティ・ストアの移行とは、ポリシー、資格証明、監査データおよび鍵をリポジトリ間で再配置するプロセスです。ソース・タイプは、ファイル、LDAPまたはDBのいずれかです。ターゲット・タイプは、LDAPまたはDBのいずれかです。OPSSのバイナリとターゲット・セキュリティ・ストアには、バージョンの互換性が必要です。バージョンの問題の詳細は、第J.9.1項「バイナリとセキュリティ・ストアのバージョンの非互換性」を参照してください。
次の各項では、アプリケーション・セキュリティをセキュリティ・ストアに移行する方法について説明します。
アプリケーションでは、Oracle Enterprise Manager Fusion Middleware Control (Fusion Middleware Control)を使用してアプリケーションをWebLogic Serverにデプロイすると、jazn-data.xmlアプリケーション・ファイルで指定されたセキュリティ・データをセキュリティ・ストアに移行できます。アプリケーションがアンデプロイされる際およびアプリケーションが再デプロイ時に更新される際に、セキュリティ・ストアからポリシーを削除することもできます。
システム・プロパティjps.deployment.handler.disabledをtrueに設定し、weblogic-application.xmlファイルでの個別の設定に関係なく、すべてのアプリケーションに対してデプロイ時のポリシーおよび資格証明の移行を無効にします。
アイデンティティ、ポリシー、システム・ポリシーおよび資格証明は、migrateSecurityStore WLSTコマンドを使用してソース・リポジトリからターゲット・リポジトリに移行できます。
このコマンドは実行中のサーバーに接続しなくても動作します。したがって、configFile引数に渡す構成ファイルは実際のドメイン構成ファイルである必要はなく、移行のソース・リポジトリとターゲット・リポジトリを指定するようにアセンブルするだけです。
|
注意: migrateSecurityStoreコマンドによってGUIDが再作成されるため、大量のデータを移行するのに長時間を要します。かわりに、OIDの一括操作を使用して大量のストアを移行することを検討してください。手順の詳細は、第7.6.2項「LDAPセキュリティ・ストアのバックアップとリカバリ」を参照してください。 |
次の各項では、このコマンドの使用方法について説明します。
すべてのポリシー(すべてのアプリケーションのシステム・ポリシーおよびアプリケーション・ポリシー)を移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type policyStore
-configFile jpsConfigFileLocation
-src srcJpsContext
-dst dstJpsContext
[-skip trueOrfalse]
[-overwrite trueOrfalse]
migrateSecurityStore(type="policyStore",
configFile="jpsConfigFileLocation",
src="srcJpsContext",
dst="dstJpsContext"
[,skip="trueOrfalse"]
[,overwrite="trueOrfalse"])
説明:
configFileでは、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。
ソース・ストア
ターゲット・ストア
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要な鍵が含まれているcwallet.ssoファイルの場所を指定します。
ドメインで使用される鍵の抽出の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyコマンドに関する項を参照してください。
ウォレットへの鍵の格納の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のimportEncryptionKeyコマンドに関する項を参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作に関する項を参照してください。
srcでは、configFile引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
dstでは、configFile引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
skipでは、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrueに設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
overwriteでは、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrueに設定します。ターゲット・データを上書きしない場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
srcおよびdstで指定するコンテキストは、渡す構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
システム・ポリシーのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type globalPolicies
-configFile jpsConfigFileLocation
-src srcJpsContext
-dst dstJpsContext
[-overwrite trueOrfalse]
migrateSecurityStore(type="globalPolicies",
configFile="jpsConfigFileLocation",
src="srcJpsContext",
dst="dstJpsContext"
[,overwrite="trueOrfalse"])
説明:
configFileでは、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。
ソース・ストア
ターゲット・ストア
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要な鍵が含まれているcwallet.ssoファイルの場所を指定します。
ドメインで使用される鍵の抽出の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyに関する項を参照してください。
ウォレットへの鍵の格納の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のimportEncryptionKeyに関する項を参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作に関する項を参照してください。
srcでは、configFile引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
dstでは、configFile引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
skipでは、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrueに設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
overwriteでは、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrueに設定します。ターゲット・データを上書きしない場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
srcおよびdstで指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
1つのアプリケーションのアプリケーション固有のポリシーのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type appPolicies
-configFile jpsConfigFileLocation
-src srcJpsContext
-dst dstJpsContext
-srcApp srcAppName
[-dstApp dstAppName]
[-overWrite trueOrfalse]
[-migrateIdStoreMapping trueOrfalse]
[-mode laxOrstrict]
[-skip trueOrfalse]
migrateSecurityStore(type="appPolicies",
configFile="jpsConfigFileLocation",
src="srcJpsContext",
dst="dstJpsContext",
srcApp="srcAppName",
[dstApp="dstAppName"],
[overWrite="trueOrfalse"],
[migrateIdStoreMapping="trueOrfalse"],
[mode="strict"],
skip="trueOrfalse")
説明:
configFileでは、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。
ソース・ストア
ターゲット・ストア
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要な鍵が含まれているcwallet.ssoファイルの場所を指定します。
ドメインで使用される鍵の抽出の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyに関する項を参照してください。
ウォレットへの鍵の格納の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のimportEncryptionKeyに関する項を参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作に関する項を参照してください。
srcでは、configFile引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
dstでは、configFile引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
skipでは、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrueに設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
srcAppでは、ポリシーを移行するアプリケーションの名前を指定します。
dstAppでは、ポリシーを書き込むアプリケーションの名前を指定します。指定しない場合は、ソース・アプリケーションの名前にデフォルト設定されます。オプション。
migrateIdStoreMappingでは、エンタープライズ・ポリシーを移行するかどうかを指定します。デフォルト値はtrueです。アプリケーション・ポリシーのみ移行する場合はfalseに設定します。オプション。
overWriteでは、ソース・ポリシーと一致するターゲット・ポリシーをソース・ポリシーで上書きするか、ソース・ポリシーとマージするかを指定します。ターゲット・ポリシーを上書きする場合はtrueに設定します。一致するポリシーをマージする場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
modeでは、ポリシーで重複するプリンシパルまたはパーミッションを検出したときに、移行を停止してエラーを送信するかどうかを指定します。重複する項目を検出した場合に移行を続行し、重複する項目のいずれかのみを移行してこの結果に対する警告をログに記録させる場合は、指定しないか、laxに設定します。オプション。
srcおよびdstで指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
入力がこれらの構文要件に従っていない場合は、コマンドの実行に失敗します。特に、入力は次の要件を満たす必要があります: (a) 渡された場所でjps-config.xmlファイルが検出されること、(b) 渡されたコンテキストがjps-config.xmlファイルに含まれていること、(c) ソースおよびターゲットのコンテキスト名が異なっていること。
すべての資格証明を移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type credStore
-configFile jpsConfigFileLocation
-src srcJpsContext
-dst dstJpsContext
[-skip trueOrfalse]
[-overwrite trueOrfalse]
migrateSecurityStore(type="credStore",
configFile="jpsConfigFileLocation",
src="srcJpsContext",
dst="dstJpsContext",
[skip="trueOrfalse"],
[overwrite="trueOrfalse"])
説明:
configFileでは、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。
ソース・ストア
ターゲット・ストア
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要な鍵が含まれているcwallet.ssoファイルの場所を指定します。
ドメインで使用される鍵の抽出の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyに関する項を参照してください。
ウォレットへの鍵の格納の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のimportEncryptionKeyに関する項を参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作に関する項を参照してください。
srcでは、configFile引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
dstでは、configFile引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
skipでは、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrueに設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
overwriteでは、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrueに設定します。ターゲット・データを上書きしない場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
srcおよびdstで指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
資格証明マップを1つのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type folderCred
-configFile jpsConfigFileLocation
-src srcJpsContext
-dst dstJpsContext
[-srcFolder map1]
[-dstFolder map2]
[-srcConfigFile alternConfigFileLocation]
[-overWrite trueOrFalse]
[-skip trueOrFalse]
migrateSecurityStore(type="folderCred",
configFile="jpsConfigFileLocation",
src="srcJpsContext",
dst="dstJpsContext",
[srcFolder="map1"],
[dstFolder="map2"],
[srcConfigFile="alternConfigFileLocation"],
[overWrite="trueOrFalse"],
[skip="trueOrFalse"])
説明:
configFileでは、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。
ソース・ストア
ターゲット・ストア
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要な鍵が含まれているcwallet.ssoファイルの場所を指定します。
ドメインで使用される鍵の抽出の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyに関する項を参照してください。
ウォレットへの鍵の格納の詳細は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のimportEncryptionKeyに関する項を参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』のウォレットの一般的な操作に関する説明を参照してください。
srcでは、configFile引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
dstでは、configFile引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。
skipでは、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrueに設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。
srcFolderでは、移行する資格証明が含まれるマップの名前を指定します。オプション。指定しない場合は、資格証明ストアにはマップが1つのみであると想定され、この引数の値はそのマップの名前にデフォルト設定されます。
dstFolderでは、ソース資格証明の移行先のマップを指定します。オプション。指定しない場合は、srcFolderに渡されるマップにデフォルト設定されます。
srcConfigFileでは、代替構成ファイルの場所を指定します。これは、configFileに渡されるファイルで資格証明が構成されていないという特別な場合に使用されます。オプション。指定しない場合は、configFileに渡される値にデフォルト設定されます。指定した場合は、configFileに渡された値は無視されます。
overWriteでは、ソース資格証明と一致するターゲット資格証明をソース資格証明で上書きするか、ソース資格証明とマージするかを指定します。ターゲット資格証明を上書きする場合はtrueに設定します。一致する資格証明をマージする場合はfalseに設定します。オプション。指定しない場合は、デフォルトのfalseに設定されます。falseに設定した場合、一致する資格証明が検出されると、ソース資格証明は無視され、警告がログに記録されます。
srcおよびdstで指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
migrateSecurityStore WLSTコマンドを使用して、監査データを別のセキュリティ・ストアに移行します。手順の詳細は、第6.6.3項「監査データの移行」を参照してください。
migrateSecurityStoreの使用方法を示す例は、次の各項を参照してください。
この項に記載されている手順に従い、Fusion Middleware Controlを使用して、セキュリティ・ストアの移行、アイデンティティ・ストア・プロバイダおよびセキュリティ・サービスの構成、ログイン・モジュールおよびプロパティの管理を行います。
タスク1: 「セキュリティ・プロバイダ構成」ページのオープン
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「セキュリティ・プロバイダ構成」の順に移動します。「セキュリティ・プロバイダ構成」ページが表示されます。
タスク2: セキュリティ・ストアの移行
「セキュリティ・ストア・プロバイダ」→「セキュリティ・ストア」の順に開きます。
「ストア・タイプの変更」をクリックします。「セキュリティ・ストアの構成」ページが表示されます。このページで、ターゲット・リポジトリのパラメータを入力します。
「OK」をクリックします。
タスク3: アイデンティティ・ストア・プロバイダの構成
「セキュリティ・ストア・プロバイダ」→「アイデンティティ・ストア・プロバイダ」の順に開きます。
「構成」ボタンをクリックします。「アイデンティティ・ストア構成」ページが表示されます。このページで、必要に応じてプロパティを追加または編集します。
「OK」をクリックします。
タスク4: セキュリティ・サービスの構成
「セキュリティ・ストア・プロバイダ」→「セキュリティ・サービス(Security Services)」の順に開きます。
鉛筆アイコンをクリックして、プロバイダを構成します。プロバイダのページが表示されます。
このページで、必要なフィールドに入力します。
「OK」をクリックします。
タスク5: ログイン・モジュールの管理
「セキュリティ・ストア・プロバイダ」→「ログイン・モジュール」の順に開きます。構成済のログイン・モジュールの表が表示されます。
新規ログイン・モジュールを作成するには、「作成」をクリックします。「ログイン・モジュールの作成」ページが表示されます。ログイン・モジュール・パラメータを入力して「OK」をクリックします。
「編集」をクリックして、ログイン・モジュールを変更します。「ログイン・モジュールの編集」ページが表示されます。パラメータを変更して「OK」をクリックします。
「削除」をクリックして、ログイン・モジュールを削除します。削除を確認します。
タスク6: プロパティおよびプロパティ・セットの管理
「セキュリティ・ストア・プロバイダ」→「拡張プロパティ」の順に開きます。
「構成」ボタンをクリックします。「拡張プロパティ」ページが表示されます。
このページで、次のいずれかを実行します。
「追加」をクリックして、新しいプロパティを追加します。
「編集」をクリックして、プロパティを変更します。
「削除」をクリックして、プロパティを削除します。
「プロパティ・セットの追加」をクリックして、新しいプロパティ・セットを追加します。
「プロパティの追加」をクリックして、新しいプロパティをセットに追加します。
「プロパティの編集」をクリックして、プロパティ・セット内のプロパティを変更します。
「削除」をクリックして、プロパティ・セットまたはプロパティ・セット内のプロパティを削除します。
