| Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理 12.2.1 12c (12.2.1) E70000-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理 12.2.1 12c (12.2.1) E70000-01 |
|
前 |
次 |
この章では、WebLogic Serverに含まれるWindows NT認証プロバイダの構成方法について説明します。
この章の内容は次のとおりです。
Windows NT認証プロバイダは、Windows NTドメイン用に定義されたアカウント情報を使用してユーザーとグループを認証し、Windows NTのユーザーとグループをWebLogic Server管理コンソールに表示します。
Windows NT認証プロバイダを使用するには、WebLogic Server管理コンソールでWindows NT認証プロバイダを作成します。ほとんどの場合、この認証プロバイダの構成では何も行う必要はありません。ただし、Windows NTドメインの構成によっては、Windows NT認証プロバイダとWindows NTドメインの対話方法を制御する属性である「ドメイン・コントローラ」および「ドメイン・コントローラ・リスト」を設定します。
|
注意: Windows NT認証プロバイダは、WebLogic Server 10.0から非推奨になりました。かわりに、1つまたは複数のサポートされている別の認証プロバイダを使用してください。 |
Windows NTドメインのユーザー名には、いくつかの形式があります。サインオンするときに使用するユーザー名の形式に合わせて、Windows NT認証プロバイダを構成する必要があります。単純なユーザー名には、ドメイン名は入りません(smithなど)。複合ユーザー名は、ユーザー名とドメイン名の組合せです(domain\smithやsmith@domainなど)。
ローカル・マシンがMicrosoftドメインの一部でない場合、「ドメイン・コントローラ」および「ドメイン・コントローラ・リスト」属性の変更は必要ありません。スタンドアロン・マシンでは、認証を受けるユーザーとグループはそのマシンのみで定義されます。
ローカル・マシンがMicrosoftドメインの一部であり、ローカル・ドメインのドメイン・コントローラである場合、「ドメイン・コントローラ・リスト」属性の変更は必要ありません。この場合、ローカル・マシンとローカル・ドメインで定義されているユーザーは同じなので、「ドメイン・コントローラ」のデフォルトの設定を使用できます。
ローカル・マシンがMicrosoftドメインの一部であるが、ローカル・ドメインのドメイン・コントローラではない場合、単純ユーザー名はローカル・マシンまたはドメインのいずれかで発見されます。この場合は、以下のことを考慮します。
ローカル・マシンがMicrosoftドメインの一部の場合に、そのユーザーとグループが管理コンソールに表示されないようにする必要がありますか?
単純ユーザー名が入力されたときにローカル・マシンのユーザーが検索および認証されるようにする必要がありますか?
いずれかの質問の答えが「はい」の場合、「ドメイン・コントローラ」属性をDOMAINに設定します。
信頼性のあるドメインが複数ある場合、「ドメイン・コントローラ」属性をLISTに設定し、「ドメイン・コントローラ・リスト」を指定する必要が生じる場合があります。これは、次の場合に行います。
他の信頼性のあるドメインのユーザーとグループを管理コンソールに表示する必要があるか、または
ユーザーが単純なユーザー名を入力し、これらのユーザーが信頼性のあるドメインに配置される(つまり、ユーザーがsmith@domainやdomain\Smithではなくsmithのような単純なユーザー名でサインオンする)ことが予想されます。
このいずれかの場合、「ドメイン・コントローラ」属性をLISTに設定し、使用する信頼性のあるドメインの「ドメイン・コントローラ・リスト」属性にドメイン・コントローラの名前を指定します。また、ローカル・マシンとローカル・ドメイン・コントローラの明示的な名前を使用するかどうか、またはそれらのリストでプレースホルダーを使用するかどうかも検討します。「ドメイン・コントローラ・リスト」属性には以下のプレースホルダーを使用できます。
[Local]
[LocalAndDomain]
[Domain]
Windows NT認証プロバイダのLogonType属性の適切な値は、認証できるようにするユーザーのWindows NTログオン権限によって異なります。
WebLogic Serverが動作するマシン上でユーザーに割り当てられているログオン権限が「ローカルにログオン」の場合、デフォルト値のinteractiveを使用します。
ユーザーに割り当てられている権限が「ネットワークからこのコンピュータにアクセスする」の場合、LogonType属性をnetworkに変更します。
Windows NTドメインのユーザーには、上記の権限のいずれかを割り当てる必要があります。このようにしない場合、Windows NT認証プロバイダはユーザーを認証できません。
UPN型のユーザー名の形式は、user@domainです。@記号を含むがUPN名ではないユーザー名をWindows NT認証プロバイダがどのように扱うかは、Windows NT認証プロバイダのmapUPNNames属性で設定します。
UPNユーザー名以外に、@記号を含むユーザー名がWindows NTドメインとローカル・マシンに存在しない場合、mapUPNNames属性のデフォルト値であるFIRSTを使用できます。しかし、この値をALWAYSに変更することによって、認証の失敗の検出時間を短縮できる場合があります。これは特に、長いドメイン・コントローラ・リストを指定した場合に効果的です。
Windows NTドメインで、@記号を含むUPN以外のユーザー名が存在する場合、次のように設定します。
@記号を含むユーザー名が単純ユーザー名ではなくUPNユーザー名である可能性が高い場合、mapUPNNames属性をFIRSTに設定します。
@記号を含むユーザー名がUPNユーザー名ではなく単純ユーザー名である可能性が高い場合、mapUPNNames属性をLASTに設定します。
ユーザー名がUPN形式ではない場合、mapUPNNames属性をNEVERに設定します。
