次の項では、TuxedoとWebLogic Serverのシングル・ポイント・セキュリティ管理を実装する方法について、Tuxedoの視点から説明します。
注意:
|
シングル・ポイント・セキュリティを設定する前に、Tuxedoのセキュリティのアーキテクチャと要件について理解しておく必要があります。この作業は、WebLogicまたはLDAPの管理者と協調して行います。
|
TuxedoとWebLogic Serverの両方がデプロイされている環境の場合、2つのセキュリティ情報セットを管理する必要があります。シングル・ポイント・セキュリティ管理では、Tuxedoからユーザー情報とグループ情報を削除し、WebLogic Serverセキュリティを活用してセキュリティ・データベースを管理できます。セキュリティ・データベースとしてWebLogic Serverを使用することで、Tuxedoユーザーを認証できます。
注意:
|
Tuxedo ACL情報は引き続きTuxedoに存在し、現時点ではWebLogic Server 7.0には統合されていません。
|
UBBCONFIGファイルの
RESOURCESセクションに
SECURITY=ACLまたは
SECURITY=MANDATORY_ACLを指定する場合、Tuxedoに
tpgrpおよび
tpaclファイルを保持し続ける必要があります。
シングル・ポイント・セキュリティ管理機能は、拡張されたWebLogic Server 7.0セキュリティとLDAPを活用してシングル・ポイント・セキュリティ管理を実現します。ユーザーのセキュリティ情報は、WebLogic Server埋込みLDAPサーバーに保持し、WebLogic Serverコンソールを使用して単一のシステムから管理できます。シングル・ポイント・セキュリティを有効にするには、UBBCONFIGファイルを変更する必要があります。
シングル・ポイント・セキュリティを設定するには、Tuxedoセキュリティ情報をWebLogic Server埋込みLDAPサーバーに提供する必要があります。この作業では、Tuxedoのユーザー(UID)およびグループ(GID)情報をWebLogic Server LDAPサーバーに移行または設定して、認証を正常に実行できるようにします。TuxedoのUIDおよびGID値をWebLogic Serverに提供するには、
tpmigldapユーティリティを使用するか、テキスト・エディタで
tpusrファイルを手動で変更するか、またはWebLogic管理コンソールでユーザー情報を入力します。
注意:
|
セキュリティ・データベースの設定後に1人または複数のユーザーを追加する場合は、WebLogic管理コンソールを使用すると便利です。効率と時間管理の面では、一般に tpmigldapユーティリティまたは tpusrファイルを使用するほうが適しています。
|
シングル・ポイント・セキュリティ管理には、次のタスクが含まれます。
LAUTHSVRはSystem/Tサーバーで、ユーザーのセキュリティ情報がWebLogic Serverに保持されている場合でも認証サービスを提供します。シングル・セキュリティ管理機能を有効にするには、
LAUTHSVRを認証サーバーとして構成する必要があります。実行時に、
LAUTHSVRはWebLogic Server埋込みLDAPサーバーからユーザー情報を取得してユーザーを認証します。認証が成功すると、ユーザーに
appkeyが戻され、それ以外の場合は認証は失敗します。
注意:
|
Tuxedo 10以降では、より一般的な GAUTHSVRという認証サーバーを使用してWebLogic認証を構成できます(GAUTHSVRは、 LAUTHSVRと共存させることも、そのかわりとして使用することも可能です)。
|
LAUTHSVRを認証サーバーとして構成するには、
UBBCONFIGファイルで次のパラメータを定義する必要があります。
•
|
RESOURCESセクションの SECURITYを USER_AUTH、 ACL、または MANDATORY_ACLに設定します。
|
•
|
SERVERSセクションでLAUTHSVRを指定します。
|
注意:
|
LAUTHSVRが有効な構成ファイルを発見できないか、またはこのようなファイルが存在しない場合、USERLOGにエラー・メッセージが書き込まれて起動が失敗します。デフォルトの LAUTHSVR構成ファイルは、製品に付属の $TUXDIR/udataobj/tpldapです。
|
LAUTHSVRはTuxedo用のLDAPベースの認証サーバーです。このサーバーは、構成ファイルを必要とします(デフォルトでは
$TUXDIR/udataobj/tpldap)。独自の
LAUTHSVR構成ファイルを作成することも、製品に付属のデフォルトの
tpldapファイルを使用することもできます。
LAUTHSVRのコマンド行インタフェースの構文は次のとおりです。
LAUTHSVR構成ファイルのフルパス名を指定します。
注意:
|
-fオプションを省略した場合、デフォルトの LAUTHSVR構成ファイル tpldapが使用されます。
|
次の例の場合、
LAUTHSVRは
$TUXDIR/udataobjディレクトリにあるデフォルトの構成ファイル
tpldapを使用します。
LAUTHSVR SRVGRP=GROUP1 SRVID=2 CLOPT=���-A-���
次の例の場合、
LAUTHSVRは
/home/tuxedo/bankappディレクトリにある
myauthsvr.conf 構成ファイルを使用します。
LAUTHSVR SRVGRP=GROUP1 SRVID=2
CLOPT=���-A-- -f/home/tuxedo/bankapp/myauthsvr.conf���
LAUTHSVRは、バインドDNやバインドDN用の非暗号化パスワードなどの情報が記述された入力構成ファイルをサポートしています。この構成ファイルはテキスト・ファイルであり、任意のテキスト・エディタで編集できるため、ファイルの権限を採用するシステムで保護する必要があります。デフォルトの構成ファイル
tpldapは
$TUXDIR/udataobjディレクトリに格納されています。このファイルは、
LAUTHSVRのコマンド行で上書きできます。
表4-1に、
LAUTHSVR構成ファイルに含まれているキーワードと値のペアを示します。
通常、
LAUTHSVR構成ファイルの値はデフォルトのままで十分ですが、異なる名前で構成することもできます。このため、
LAUTHSVR構成ファイルに対する次の要件に注意する必要があります。
•
|
LAUTHSVR構成ファイルは、プレーン・テキスト・ファイルです。
|
•
|
キーワードの順序は関係ありませんが、キーワードとその値の間には少なくとも1つのスペースが必要です。
|
•
|
コメントはシャープ記号(#)で開始します。#に続くテキストは無視されます。
|
•
|
1行の上限は255文字です。この上限を超えた部分は切り詰められます。
|
•
|
バインドDNは、LDAPデータベースへのアクセス権限を持っている必要があります(通常、これはLDAP管理者です)。
|
注意:
|
管理者がTuxedo LDAPベースのセキュリティ認証サーバーを設定して使用するには、WebLogic管理コンソールでLDAP管理者のパスワードを変更しておく必要があります。
|
表4-1は、
LAUTHSVR構成ファイルのキーワードを示しています。
注意:
|
LAUTHSVR構成ファイル内で唯一の必須キーワードは、バインドDNのパスワードを指定する PASSWORDです。その他すべてのキーワードはオプションです。
|
表4-1
LAUTHSVR構成ファイルのキーワード
|
|
|
|
|
構成ファイルのバージョン。これは常に1にする必要があります。デフォルトは1です。
|
|
|
LDAPプロトコルのバージョン。有効値は2または3です。デフォルトは3です。
|
|
|
LDAPサーバーにバインドするために使用されるDNで、通常はLDAP管理者のDNです。デフォルトは" cn=admin"です。
|
|
|
LDAP検索ベース。デフォルトは" ou=people, ou=myrealm, dc=mydomainで、 myrealmセキュリティ・レルムの名前、 mydomainはWebLogic Serverドメインの名前です。
|
|
|
WebLogic ServerとTuxedoへのログオンに使用されるユーザーID属性。デフォルトは uidです。
|
|
|
バインドDNのパスワード。これは必須のキーワードであり、クリア・テキスト形式または暗号化形式のパスワードです。
tpldapconfコマンドを使用すると暗号化されたパスワードを作成できます。
|
|
|
WebLogicのホスト名とポートのカンマ区切りリスト。構文は [//]hostname[:port][,[//]hostname[:port]...]です。ポートのデフォルト値は7001です。 LDAP_ADDRを指定しない場合、 LAUTHSVRは localhost:7001がLDAPサーバーに接続する場所であるとみなします。
複数のネットワーク・アドレスの指定の詳細は、 「複数のネットワーク・アドレスの使用による可用性の向上」を参照してください。
|
|
|
ローカル・プロセス・メモリー内のキャッシュされたエントリを使用できる秒数を表す数値。0以外の値を指定すると、キャッシュが有効になります。0を指定するとキャッシュは行われません。デフォルトはゼロです。
|
|
|
有効値は LDAPまたは LOCAL、またはカンマで区切った両方の値です。 LOCALを指定した場合、検索順序では tpusrファイルが使用されます。デフォルトは LDAPです。
データベース検索順序の詳細は、 「データベース検索順序の構成」を参照してください。
|
|
|
LOCAL検索順序が有効な場合に使用される tpusrファイルのフルパス名。デフォルト値は $APPDIR/tpusrです。
データベース検索順序の詳細は、 「データベース検索順序の構成」を参照してください。
注意:
|
デフォルトの $APPDIR/tpusr以外のディレクトリ・パスが指定されている場合、Tuxedo MIBまたは tpusraddコマンド行ユーティリティを使用してこのファイルを生成する必要があります。そうでないと、認証が失敗する可能性があります。
|
|
|
|
WebLogic Serverドメイン名。デフォルト値は mydomainです。
|
|
|
WebLogic Serverセキュリティ・レルム名。デフォルトは myrealmです。
|
|
|
WebLogic Server管理者グループ名。デフォルトは Administratorsです。
|
|
|
WebLogic Serverオペレータ・グループ名。デフォルトは Operatorsです。
|
|
|
TuxedoのユーザーIDを識別するために説明で使用されるキーワード。デフォルトは TUXEDO_UIDです。
|
|
|
TuxedoのグループIDを識別するために説明で使用されるキーワード。デフォルトは TUXEDO_GIDです。
|
リスト4-1に、
LAUTHSVR構成ファイルの例を示します。
#
# Tuxedo LDAP Authentication Server configuration file.
#
# created: Thu May 26 15:36:59 2002
#
FILE_VERSION 1
LDAP_VERSION 3
BINDDN cn=Admin
BASE ou=people,ou=myrealm,dc=mydomain
UID uid
PASSWORD secret
LDAP_ADDR //PLUTO:7001,//Saturn:7001
EXPIRE 0
SRCH_ORDER LDAP
WLS_DOMAIN mydomain
WLS_REALM myrealm
ADM_GROUP Administrators
OP_GROUP Operators
TUX_UID_KW TUXEDO_UID
TUX_GID_KW TUXEDO_GID
# end of file
警告:
|
LDAP管理者の PASSWORDはプレーン・テキストであるため、システム管理者はこのファイルを適切なアクセス・パーミッションで保護する必要があります。
|
LAUTHSVRを使用したUBBCONFIGのサンプル
リスト4-2に、
SECURITYが
ACLに設定され、
LAUTHSVRが定義されたUBBCONFIGファイルの例を示します。
リスト4-2
LAUTHSVRを使用したUBBCONFIGファイルの例
*RESOURCES
IPCKEY 51002
MASTER site1
MAXACCESSERS 50
MAXSERVERS 20
MAXSERVICES 20
MODEL SHM
LDBAL N
BLOCKTIME 10
SECURITY ACL
AUTHSVC "..AUTHSVC"
*MACHINES
DEFAULT:
APPDIR="/home/tuxedo/application"
TUXCONFIG="/home/tuxedo/application/TUXCONFIG"
TUXDIR="/home/tuxedo/tux81"
Server1 LMID=site1
MAXWSCLIENTS=20
*GROUPS
GROUP1 LMID=site1 GRPNO=1
GROUP2 LMID=site1 GRPNO=2
GROUP3 LMID=site1 GRPNO=3
GROUP4 LMID=site1 GRPNO=4
*SERVERS
DEFAULT:
CLOPT="-A" RESTART=N MAXGEN=5
LAUTHSVR SRVGRP=GROUP1 SRVID=10
CLOPT="-A -- -F /home/tuxedo/application/lauthsvr.conf "
DMADM SRVGRP=GROUP2 SRVID=20
GWADM SRVGRP=GROUP3 SRVID=30
GWTDOMAIN SRVGRP=GROUP3 SRVID=31
Simpserv SRVGRP=GROUP4 SRVID=40
*SERVICES
TOUPPER
複数のネットワーク・アドレスの使用による可用性の向上
WebLogic Serverドメイン用に複数のネットワーク・アドレスを構成することもできます。この構成は、ユーザー認証の可用性を高めるのに役立ちます。ユーザーのセキュリティ情報は、WebLogic Serverドメイン内のすべてのWebLogic Server埋込みLDAPサーバーにレプリケートされます。
LAUTHSVRは一度に1つのサーバーにしか接続できませんが、ネットワーク・エラーが発生した場合は、
LAUTHSVRは次に使用可能なアドレスへの接続を試行します。
LAUTHSVRの複数のネットワーク・アドレスを構成するには、
LAUTHSVR構成ファイルの
LDAP_ADDRキーワードを使用します。ホスト名の指定順序が、
LAUTHSVRが接続を試行する順序となります。認証中にキャッシュを使用するには、
EXPIREキーワードを指定します。このキーワードの値によって、ローカル・プロセス・メモリーにキャッシュされたエントリを使用できる秒数が決定されます。
注意:
|
tmbootを使用してTuxedoを起動したときにWebLogic Serverが使用可能になっている必要はありませんが、少なくとも1つのWebLogic Serverが使用可能でないと、 LAUTHSVRのユーザー認証機能が制限されます。
|
WebLogic Serverが使用可能でない場合、
SRCH_ORDER LOCALを使用してTuxedoを起動し、ユーザーを認証できます。この場合、ユーザー認証は
tpusrファイルに基づいて検証されます。検索順序の詳細は、
「データベース検索順序の構成」を参照してください。
複数ネットワーク・アドレスのLAUTHSVR構成の例
次の例では、
LDAP_ADDRキーワードに複数のネットワーク・アドレスを指定します。
LDAP_ADDR //Pluto:8000,//Saturn,Jupiter
上の例では、3つのWebLogic Serverホスト名が指定されています。最初のサーバーはPlutoで稼働し、アドレス8000を使用します。2番目のサーバーはSaturnで稼働し、デフォルト・アドレス7001を使用します。3番目のサーバーはJupiterで稼働し、同じくデフォルト・アドレス7001を使用します。
デフォルトでは、
LAUTHSVR認証サーバーはWebLogic Server埋込みLDAPサーバーからユーザー情報を検索します。データベース検索で
tpusrファイルを使用するには、
SRCH_ORDERキーワードに
LOCALを指定する必要があります。
SRCH_ORDERキーワードに定義したカンマ区切りの値の順序により、
LAUTHSVRによるユーザー情報の検索順序が指定されます。
LAUTHSVRは、LDAPサーバーまたは
tpusrファイル、あるいはその両方を(指定した値の順序に従って)検索します。
複数の
SRCH_ORDERエントリが
LAUTHSVR構成ファイルに指定されている場合、最後のエントリのみが有効になります。この場合、警告メッセージが
USERLOGに記録されます。また、
LDAPまたは
LOCAL以外の値を
SRCH_ORDERキーワードに指定した場合も、警告メッセージが出力されます。この場合、無効なエントリは破棄され、デフォルト値または前の有効な
SRCH_ORDERエントリが使用されます。
次の例では、
LAUTHSVRが最初にWebLogic Server埋込みLDAPサーバーからユーザー情報を検索するよう指定しています。このLDAPサーバーにユーザー情報が見つからない場合、
LAUTHSVRは
tpusrファイルを検索します。
次の例では、
LAUTHSVRが最初に
tpusrファイルからユーザー情報を検索するよう指定しています。tpusrファイルにユーザー情報が見つからない場合、
LAUTHSVRはWebLogic Server埋込みLDAPサーバーから情報を検索します。
次の例では、
LAUTHSVRが
tpusrファイルのみからユーザー情報を検索するよう指定しています。
tpmigldapによるユーザー情報のWebLogic Serverへの移行
tpmigldapコマンド・ユーティリティを使用して、Tuxedoのユーザーおよびグループ情報をWebLogic Serverに移行する必要があります。
管理者は、ユーザーおよびグループの情報を移行する前に、移行が正常に行われるようにするために各ユーザーに新しいパスワードを割り当てる必要があります。この手順が必要なのは、tpusrファイル内のパスワードが一方向暗号化で暗号化されているため、このファイルから元のパスワードを取り出すことができないためです。
このようなパスワードを処理する方法は2つあります。
テキスト・エディタを使用して
tpusrファイルを修正し、ファイル内の各ユーザーのパスワードを変更できます。パスワード・フィールドは、
tpusrファイルの2番目のフィールドです。フィールドのデリミタはコロン(:)です。各ユーザーは
tpusrファイル内の1行を占めます。
TuxedoUser1:ADdg0w8nfGMag:6001:601:TPCLTNM,*::
TuxedoUser2:0Yq2s6FjbvuU2:6002:601:TPCLTNM,*::
TuxedoUser1:User1Password:6001:601:TPCLTNM,*::
TuxedoUser2:User2Password:6002:601:TPCLTNM,*::
•
|
tpmigldapユーティリティで -fオプションを使用して、すべてのユーザーのデフォルト・パスワードを定義します。
|
-fオプションを使用する場合、後続の引数は
tpusrファイルのすべてのユーザーのパスワード・フィールドのかわりとして使用されます。
tpmigldap-f userpassword-c
このコマンドでは、"userpassword"が
tpusrファイル内のすべてのユーザーに割り当てられます。移行後は、Tuxedoアプリケーションに参加するためにすべてのユーザーがパスワードとして"userpassword"を使用する必要があります。
表4-2に、
tpmigldapユーティリティのコマンド行オプションを示します。コマンド行オプションの順序は関係ありません。
注意:
|
tpmigldapコマンドでは、ユーザーまたはグループをWebLogic Server埋込みLDAPデータベースに追加するには -wまたは -cを使用する必要があります。
|
|
|
|
|
|
|
|
|
|
|
|
WebLogic Server管理コンソールのポート番号
|
|
|
|
|
|
|
|
WebLogic Serverセキュリティ・レルム名
|
|
|
|
管理者がWebLogic Serverユーザーの"description"属性で使用するTuxedo UIDのキーワード文字
|
|
|
|
管理者がWebLogic Serverユーザーの"description"属性で使用するTuxedo GIDのキーワード文字
|
|
|
|
tpusrファイルのすべてのユーザーのデフォルト・ユーザー・パスワード
|
|
|
|
|
|
|
|
|
|
|
|
バインドDNのパスワードを入力するためのプロンプト
|
|
|
|
|
|
|
|
|
新しいユーザーおよびグループ情報をシングル・セキュリティLDAPデータベースに追加する方法は2つあります。
注意:
|
WebLogic管理コンソールの使用は、多数のユーザーをLDAPデータベースに追加する場合は効率的ではありません。多数のユーザーを追加する場合は、 tpmigldapユーティリティを使用してください。
|
新しいユーザー情報のtpusrまたはtpgrpへの追加
新しいユーザー情報をシングル・ポイント・セキュリティLDAPデータベースに追加するには、次の手順に従います。
1.
|
既存の tpusrファイルと tpgrpファイルを使用して、新しいユーザーおよびグループ情報を追加します。この際、ファイルに事前に定義されているものと同じ形式を使用してください。また、プレーン・テキスト・パスワードを使用してLDAPデータベースに追加します。
|
2.
|
-uオプションを使用して更新した tpusrファイルを指定し、 -gオプションを使用して更新した tpgrpファイルを指定して、 tpmigldapユーティリティを実行します。例:
|
tpmigldap-u$APPDIR/tpusr-g$APPDIR/tpgrp
WebLogic管理コンソールによる新しいユーザー情報の追加
WebLogic管理コンソールを使用して新しいユーザー情報をシングル・ポイント・セキュリティLDAPデータベースに追加するには、次の手順に従います。
1.
|
WebLogic管理コンソールにアクセスして、 「セキュリティ」→「レルム」→myrealmを選択します。 myrealmはLDAPセキュリティ・レルムを表します。
|
2.
|
「新しいユーザーの構成」をクリックして、「一般」タブにアクセスします。
|
「記述」フィールドに、次の構文に従ってTuxedo UIDとGIDの値を文字列として指定します。
<TUXEDO UID KEYWORD>=<小数点値>
<TUXEDO GID KEYWORD>=<小数点値>
デフォルトでは、
TUXEDO UID KEYWORDは
TUXEDO_UIDで、
TUXEDO GID KEYWORDは
TUXEDO_GIDです。例:
「パスワード」フィールドにユーザーのパスワードを指定します。「パスワードの確認」フィールドに、パスワードをもう一度入力します。
3.
|
「適用」をクリックして、LDAPデータベースを新しいユーザー情報で更新します。
|
GAUTHSVRは、使い方が
LAUTHSVRによく似たSystem /Tサーバーです。ただし、次の点で異なります。
•
|
GAUTHSVRは、LDAP (Lightweight Directory Access Protocol)を使用して、多様なLDAPサーバー(WebLogic、OpenLDAP、Netscape/IPlanet、Microsoft Active Directory、z/OS LDAPなど)に配置されているユーザー・セキュリティ情報にアクセスできます。
|
注意:
|
WebLogic認証は、 LAUTHSVRを使用して構成することもできます。 GAUTHSVRは、既存の LAUTHSVRと共存させることも、それを置き換えることもできます。
|
LAUTHSVRの詳細は、
「LAUTHSVRの認証サーバーとしての設定」、および
『Oracle Tuxedoファイル形式、データ記述、MIBおよびシステム・プロセス・リファレンス』の
LAUTHSVR(5)に関する項を参照してください。
•
|
GAUTHSVRでは、ローカル・ファイルに格納されたユーザー・セキュリティ情報はサポートされません。詳細は、 「データベース検索順序の構成」を参照してください。
|
シングル・セキュリティ管理機能を有効にするには、
GAUTHSVRを認証サーバーとして構成する必要があります。
GAUTHSVRでは、ユーザー・セキュリティ情報が
LDAPに対して認証されます。
SECURITYが
ACLまたは
MANDATORY_ACLに設定されている場合は、認証に成功すると
appkeyが返されます。
GAUTHSVRを認証サーバーとして構成するには、
UBBCONFIGファイルで次のパラメータを定義する必要があります。
•
|
RESOURCESセクションの SECURITYを USER_AUTH、 ACL、または MANDATORY_ACLに設定します。
|
•
|
SERVERSセクションで GAUTHSVRを指定します。
|
注意:
|
GAUTHSVRが有効な構成ファイルを発見できないか、またはこうしたファイルが存在しない場合、 USERLOGにエラー・メッセージが書き込まれて起動が失敗します。デフォルトの GAUTHSVR構成ファイルは、製品に付属の $TUXDIR/udataobj/tpgauthです。
|
JDK1.6以上で
GAUTHSVRを使用する場合は、
GAUTHSVRを起動する前に、環境に
JAVA_OPTS=-Djavax.xml.stream.XMLInputFactory=com.bea.xml.stream.MXParserFactory を指定してください。
Java 1.6で
GAUTHSVRを使用する場合、64ビットJREライブラリ・パスを
LIBPATHに追加してください。デフォルト・ライブラリは
/usr/java6_64/jre/lib/ppc64に配置されます。
export LIBPATH=/usr/java6_64/jre/lib/ppc64:$LIBPATH を実行し、正しい
LIBPATHを設定します。
GAUTHSVRはTuxedo用のLDAPベースの認証サーバーです。このサーバーでは、構成ファイルが必要になります(デフォルトでは
$TUXDIR/udataobj/tpgauth)。
GAUTHSVRのコマンド行インタフェースの構文は次のとおりです。
GAUTHSVR構成ファイルのフルパス名を指定します。
カスタマ定義の構成ファイル(
-fオプションで指定)から生成された
GAUTHSVR内部構成ファイルのフルパス名を指定します。デフォルト値は
$APPDIR/gaconfig.xmlです。
構成ファイル(
-fオプションで指定)から生成された
GAUTHSVR内部構成ファイルのフルパス名を指定します。デフォルト値は
$APPDIR/gakey.datです。
冗長モード。ULOGに、より詳細なメッセージが記録されます。
次の例の場合、
GAUTHSVRは
$TUXDIR/udataobj/tpgauthディレクトリにあるデフォルトの構成ファイル
tpgauthを使用します。
GAUTHSVR SRVGRP=GROUP1 SRVID=2 CLOPT=���-A --���
次の例の場合、
GAUTHSVRは
/home/tuxedo/bankappディレクトリにある
myauthsvr.conf構成ファイルを使用します。
GAUTHSVR SRVGRP=GROUP1 SRVID=2
CLOPT=���-A -- -f/home/tuxedo/bankapp/myauthsvr.conf���
tpgauthの方が生成された
XMLおよびキー・ファイルよりも新しい場合、生成された
XMLが
GAUTHSVRによって更新されます。生成された
XMLファイルで更新されるのは、変更または新しく追加された
tpgauth項目のみです。
注意:
|
GAUTHSVRが起動したときに XMLとキー・ファイルが存在しない場合は、 GAUTHSVRによって自動的に作成されます。
|
GAUTHSVRは、バインドDNやバインドDN用の非暗号化パスワードなどの情報が記述された入力構成ファイルをサポートしています。この構成ファイルはテキスト・ファイルであり、任意のテキスト・エディタで編集できるため、ファイルの権限を採用するシステムで保護する必要があります。デフォルトの構成ファイル
tpgauthは
$TUXDIR/udataobj/tpgauthディレクトリに格納されています。このファイルは、
GAUTHSVRのコマンド行で上書きできます。
表4-3に、
GAUTHSVR構成ファイルに含まれているキーワードと値のペアを示します。
通常、
GAUTHSVR構成ファイルの値はデフォルトのままで十分ですが、異なる名前で構成することもできます。このため、
GAUTHSVR構成ファイルに対する次の要件に注意する必要があります。
•
|
GAUTHSVR構成ファイルは、プレーン・テキスト・ファイルです。
|
•
|
キーワードは大文字/小文字が区別されますが、順序は関係ありません。キーワードの形式は" keyword=value"です。
|
•
|
空白行およびシャープ( #)で始まる行はコメントとして扱われ、無視されます。
|
•
|
1行の上限は255文字です。この上限を超えた部分は切り詰められます。
|
•
|
Principalは、LDAPデータベースへのアクセス権限を持っている必要があります(通常、これはLDAP管理者です)。
|
GAUTHSVRキーワードは3種類に分けることができます。
表4-3、
表4-4、および
表4-5では、
GAUTHSVR構成ファイルのキーワードを順に定義しています。
表4-3
GAUTHSVR構成ファイルの基本的なキーワード
|
|
|
|
|
ローカル・プロセス・メモリー内のキャッシュされたエントリを使用できる秒数を表す数値。0以外の値を指定すると、キャッシュが有効になります。0を指定するとキャッシュは行われません。
|
|
|
ユーザー・キャッシュのエントリの最大数。ユーザーごとに1つのエントリが必要です。 0を指定すると無制限になります。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
LDAPサーバーへの接続に使用するLDAPユーザーの識別名(DN)。
|
|
|
LDAPユーザーの認証に使用する資格証明(通常はパスワード)。Principal属性で定義します。資格証明は、クリア・テキスト形式または暗号化形式です。
tpldapconfコマンドを使用すると暗号化された資格情報を作成できます。
|
|
|
UIDおよびGID情報をLDAPサーバーから取得するかどうかを示します。 SECURITYが ACLまたは MANDATORY_ACLに設定されている場合は trueに設定する必要があります。
|
表4-4
GAUTHSVR構成ファイルの高度なキーワード
|
|
|
|
|
Tuxedo UIDを識別するために使用されます。
|
|
|
Tuxedo GIDを識別するために使用されます。
|
|
|
LDAP接続の確立を待機する最長時間(秒)。0に設定した場合は、最長時間制限なしで待機します。
|
|
|
LDAPサーバーへの初回の接続に失敗した場合に、接続を再試行する回数。
|
|
|
結果の待機がタイムアウトするまでの最長時間(ミリ秒)。0に設定した場合は、最長時間制限なしで待機します。
|
|
|
LDAPサーバーへの接続にSSLを使用することを指定します。
|
|
|
LDAP接続のタイムアウトを回避するかどうかを指定します。
|
|
|
複数のサーバーへの接続を同時に試行する際の遅延時間(秒)。
0に設定されている場合、接続の試行はシリアライズされます。接続の試行はリストの最初のサーバーに対して行われます。現在のホストへの接続が失敗した場合にのみ、リスト中の次のエントリが試行されます。この設定では、ホストがダウンしている場合にアプリケーションが許容しがたいほど長い時間ブロックされる場合があります。0より大きい値に設定されている場合、この遅延秒数が経過すると、別の接続設定スレッドが開始されます。
|
|
|
LDAPディレクトリ内で参照を自動的に追跡するかどうかを指定します。
falseに設定した場合、LDAPリクエスト中に参照が出現すると、参照例外が送信されます。
|
BindAnonymouslyOnReferrals
|
|
LDAPディレクトリ内で参照を追跡する際に、匿名でバインドするかどうかを指定します。 falseに設定した場合は、現在のプリンシパルと資格証明が使用されます。
|
|
|
LDAPサーバーがz/OS RACF LDAPサーバーであるかどうかを指定します。
|
|
|
Tuxedo LDAP認証プロバイダをログイン順序にどのように組み込むかを指定します。
この制御フラグによって、ログイン順序で認証プロバイダをどのように使用するかが決定されます。
REQUIRED値は、このLoginModuleが成功する必要があることを示します。失敗した場合でも、認証は構成されている認証プロバイダのLoginModuleリストにある次のLoginModuleに進みます。これがデフォルトの設定です。
REQUISITE値は、このLoginModuleが成功する必要があることを示します。他の認証プロバイダが構成されている場合、このLoginModuleが成功すると、認証はLoginModuleリストにある次のLoginModuleに進みます。それ以外の場合、制御はアプリケーションに戻されます。
SUFFICIENT値は、このLoginModuleが成功する必要はないことを示します。成功した場合、制御はアプリケーションに戻されます。他の認証プロバイダが構成されている場合、このLoginModuleが失敗すると、認証はLoginModuleリストにある次のLoginModuleに進みます。
OPTIONAL値は、このLoginModuleが成功する必要はないことを示します。成功するか失敗するかにかかわらず、認証はLoginModuleリストにある次のLoginModuleに進みます。
|
表4-5
構成ファイルのLDAPスキーマ・キーワード
|
|
|
|
|
|
|
|
ユーザーを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。
デフォルト値は ou=people, o=example.comです。
|
|
|
ユーザー名でユーザーを見つけるためのLDAP検索フィルタ。
デフォルト値は (&(cn=%u)(objectclass=person))です。
|
|
|
LDAPディレクトリ・ツリー内でユーザーを検索する際の深さを示します。有効な値は「subtree」と「onelevel」です。
|
|
|
ユーザーのUID (またはUIDとGID)を一定の形式で示すLDAPユーザー・オブジェクトの属性名。
|
|
|
LDAPユーザー・オブジェクトのUID属性の値型を示します。有効な値としては、 UIDおよび UIDAndGIDがあります。デフォルト値は UIDです。
注意:
|
SECURITYが ACLまたは MANDATORY_ACLの場合、 UIDAndGIDに設定する必要があります。
|
|
|
|
ユーザーが属すグループを示すLDAPユーザー・オブジェクトの属性名。この属性には、値型としてGID、グループCN、またはグループDNを指定できます。指定できる値型は、構成ごとに1つのみです。名前が複数ある場合はカンマで区切ります。
|
|
|
LDAPユーザー・オブジェクトのグループ属性の値型を示します。有効な値は、 「GID」、 「group CN」、または 「group DN」です。
|
|
|
グループを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。
デフォルト値は ou=groups, o=example.comです。
|
|
|
グループ名でグループを見つけるためのLDAP検索フィルタ。
デフォルト値は (&(cn=%g)(objectclass=groupofuniquenames))です。
|
|
|
静的グループを格納するLDAPオブジェクト・クラスの名前。
デフォルト値は groupofuniquenamesです。
|
|
|
LDAPディレクトリ・ツリー内でグループを検索する際の深さを示します。有効な値は「subtree」と「onelevel」です。
|
|
|
グループのGIDを示すLDAPグループ・オブジェクトの属性。
|
リスト4-3に、WebLogic Server用の
GAUTHSVR構成ファイルの例を示します。他のLDAPサーバーを構成する際に、この例を参照してください。
リスト4-3
WebLogic GAUTHSVR構成ファイルのサンプル
#
# Tuxedo LDAP Authentication Server configuration file.
#
# created: Thu May 26 15:36:59 2002
# end of file
# Tuxedo configuration
UserCacheExpire = 600
UserCacheSize = 16384
SYSADM = sysadm
SYSOP = sysop
# LDAP server configuration
Host = server.bea.com
Port = 7001
Principal = cn=Admin
Credential= weblogic
UserObjectClass = person
UserBaseDN = ou=people,ou=myrealm,dc=examples
UserFromNameFilter = (&(uid=%u)(objectclass=person))
UserUIDAttrName = description
UserGroupAttrNames=wlsMemberOf
RetrieveUIDAndGID = true
UIDAttrValueType = UIDAndGID
注意:
|
LDAPの説明の UID =*および GID = *が SECURITY IS ACLで定義されたものと同じであることを確認してください。
|
警告:
|
LDAP管理者の PASSWORDはプレーン・テキストであるため、システム管理者はこのファイルを適切なアクセス・パーミッションで保護する必要があります。
|
GAUTHSVRを使用したUBBCONFIGのサンプル
リスト4-4に、
SECURITYが
ACLに設定され、
GAUTHSVRが定義された
UBBCONFIGファイルの例を示します。
リスト4-4
GAUTHSVRを使用したUBBCONFIGファイルの例
GAUTHSVR SVRGRP="SYSGRP" SVRID=100
CLOPT="-A -- -f ${APPDIR}/tpgauth"
ENVFILE="${APPDIR}/tpgauth.env"
tpmigldifを使用したユーザー・インタフェースの移行
tpmigldifコマンド・ユーティリティを使用すると、Tuxedoのユーザーおよびグループ情報をLDAPデータ交換形式(LDIF)でLDAPサーバーに移行できます。
tpmigldifを使用するには、移行テンプレートを作成する必要があります。
表4-6に、
tpmigldifユーティリティのコマンド行オプションを示します。コマンド行オプションの順序は関係ありません。
|
|
|
|
|
|
|
|
|
|
tpusr-template (タイプがユーザーの場合)、またはtpgrp-template(タイプがグループの場合)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
リスト4-5に、5つのフィールドがコロンで区切られた
tpusrファイルを示します。
name:password(encrypted)
:user id:group id:client name::
user1:EI4xxxjrCc:16668:601:TPCLTNM,client::
user2:EI4xxxjrCc:16669:602:TPCLTNM,client::
リスト4-6に、3つのフィールドがコロンで区切られた
tpgrpファイルを示します。
tpusrファイルの新しいパスワードを割り当てる(オプション)
管理者は、ユーザーおよびグループの情報を移行する前に、各ユーザーに新しいパスワードを割り当てることができます。これにより、生成されるLDIF出力に、各ユーザーの正しいパスワードを含めることができます。この手順が必要なのは、tpusrファイル内のパスワードが一方向暗号化で暗号化されているため、このファイルから元のパスワードを取り出すことができないためです。
テキスト・エディタを使用して、次の2つの方法で
tpusrファイルのパスワードを変更できます。
•
|
tpusrファイルのパスワード・フィールドを修正して、ファイル内の各ユーザーのユーザー・パスワードを変更します。このパスワード・フィールドは、 tpusrファイル内の 2番目のフィールドです。各ユーザーは、 tpusrファイル内の個別の行に入力します。元の tpusrファイルの例は、 リスト4-5を参照してください。
|
user1:pwd1:16668:601:TPCLTNM,client::
user2:pwd2:16669:602:TPCLTNM,client:
•
|
新しいパスワードを tpusrファイルの最後のフィールドに追加します。
|
user1:EI4xxxjrCc:16668:601:TPCLTNM,client::pwd1:
user2:EI4xxxjrCc:16669:602:TPCLTNM,client::pwd2:
移行テンプレートは、
tpusrまたは
tpgrpファイルをLDIF出力ファイルに変換するために
tpmigldifコマンド・ユーティリティで使用されるテキスト・ファイルです。
リスト4-7に、
tpusr-template移行ファイルの例を示します。
<%n>は
tpusrファイルのフィールドを表し、nは1から始まります。
注意:
|
<%gn>は、所定のユーザーの tpgrpファイル内のグループ・フィールドに使用します。
|
dn: CN=<%1>,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: <%1>
description: Tuxedo User, TUXEDO_UID=<%3> TUXEDO_GID=<%4>
password: <%7>
リスト4-8に、
tpusr-templateから生成されたLDIF出力を示します。
dn: CN=user1,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: user1
description: Tuxedo User, TUXEDO_UID=16668 TUXEDO_GID=601
password: pwd1
dn: CN=user2,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: user2
description: Tuxedo User, TUXEDO_UID=16669 TUXEDO_GID=602
password: pwd2
サポートされるLDAPサーバーのサンプル・テンプレート
Tuxedoには、サポートされるLDAPサーバーのサンプル・テンプレートが用意されています。これらのファイルを
表4-7にまとめます。
表4-7
サポートされるLDAPサーバーのサンプル・テンプレート
1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OAUTHSVRはAuthentication and Authorization Serviceを備えたTuxedo提供のサーバーで、ユーザー・セキュリティ情報はOracle Access Manager (OAM)サーバーにあります。シングル・セキュリティ管理機能を有効にするには、
OAUTHSVRを認証サーバーとして構成する必要があります。実行時に、
OAUTHSVRはOAMサーバーを使用してユーザーを認証および認可します。
OAUTHSVRを認証サーバーとして構成するには、
UBBCONFIGファイルで次のパラメータを定義する必要があります。
•
|
RESOURCESセクションの SECURITYをUSER_AUTH、 ACL、または MANDATORY_ACLに設定します。
|
•
|
<server-class name="OAUTHSVR"/>とした TMJAVASVRを SERVERSセクションに指定する必要があります。
|
OAUTHSVRは、OAMアクセス・クライアント構成ファイルやTuxedoとOAM間のリソース・タイプ・マッピングなどの情報が含まれている入力構成ファイルをサポートしています。この構成ファイルはテキスト・ファイルであり、任意のテキスト・エディタで編集できるため、ファイルの権限を採用するシステムで保護する必要があります。デフォルトの構成ファイルtpoam.authは、
$TUXDIR/udataobjディレクトリに格納されています。このファイルは、
OAUTHSVRのコマンド行で上書きできます。
表4-8に、
OAUTHSVR構成ファイルに含まれているキーワードと値のペアを示します
•
|
通常、 OAUTHSVR構成ファイルの値はデフォルトのままで十分ですが、異なる名前で構成することもできます。このため、 OAUTHSVR構成ファイルに対する次の要件に注意する必要があります。
|
•
|
OAUTHSVR構成ファイルは、プレーン・テキスト・ファイルです。
|
•
|
キーワードの順序は関係ありませんが、キーワードとその値の間には少なくとも1つのスペースが必要です。
|
•
|
コメントはシャープ記号(#)で開始します。#に続くテキストは無視されます。
|
注意:
|
Tuxedo OAMベースのセキュリティ認証および認可サーバーを設定して使用するためには、管理者はOAMアクセス・クライアントを登録するか、またはすでにインストールされているWebGateを使用する必要があります。OAMアクセス・クライアントを登録し、構成する方法は、Oracle OAMのドキュメントを参照してください。
|
表4-8に、
OAUTHSVR構成ファイルのキーワードを示します。
表4-8
OAUTHSVR構成ファイルのキーワード
|
|
|
|
|
OAMアクセス・クライアント構成ファイルが検索されるディレクトリの場所。アクセス・クライアント構成は、アクセス・クライアントをOAM 11gサーバー搭載のOAM 11gエージェントとして登録して取得することも、すでにインストールされているWebGateからコピーすることもできます。
|
|
|
TuxedoとOAM間のリソース・タイプ・マッピング。書式は "RESTYPE_MAPPING $TUX_RESTYPE $OAM_RESTYPE"で、次のように複数のリソース・タイプを定義できます。
RESTYPE_MAPPING SERVICE TUXEDO_SERVICE
RESTYPE_MAPPING QUEUE TUXEDO_QUEUE
RESTYPE_MAPPING EVENT TUXEDO_EVENT
OAMに定義されているリソース・タイプ名がTuxedoリソース・タイプと同じである場合、マッピングは不要です。
|
|
|
OAMに定義されているTuxedoのデフォルトのリソース・タイプ。デフォルトは、 TUXEDO_SERVICEです。
|
|
|
OAMに定義されているTuxedoのデフォルトのリソース。OAMでは常に、認証レベルを算出するためのリソースと、ユーザーを認証するためのポリシーが必要です。管理者は、デフォルトのリソースを定義する必要があります。デフォルトは、 tuxresです。
|
OAMアクセス・クライアント構成(OAM_CONFIG_DIR)
OAMでは、OAMアクセス・クライアント構成情報が必要です。詳細は、https://docs.oracle.com/cd/E52734_01/oam/AIDEV/as_api.htm#AIDEV151でOAMのドキュメントを参照してください。
OAUTHSVRは、OAM 10gエージェントをサポートしていません。11g以降のWebGateエージェントが必要です。
リスト4-9に、11gR1PS2 OAMの構成ディレクトリの例を示します。
リスト4-9
11gR1PS2 OAM構成ディレクトリの例
|------ cwallet.sso (Get from WebGate)
|------ jps-config.xml (Get from OAM SDK)
|------ ObAccessClient.xml (Get from WebGate)
リスト4-10に、OAM12cR2の構成ディレクトリのもう1つの例を示します(エージェントとOAMサーバー間の通信転送セキュリティ・モードは、「簡易」または「証明書」です)。
リスト4-10
11gR1PS3 OAM構成ディレクトリの例
|------ cwallet.sso (Get from WebGate)
|------ jps-config.xml (Get from OAM SDK)
|------ ObAccessClient.xml (Get from WebGate)
|------ oamclient-keystore.jks (Get from WebGate)
|------ oamclient-truststore.jks (Get from WebGate)
|------ password.xml (Get from WebGate)
詳細は、http://docs.oracle.com/cd/E21764_01/install.1111/e12002/webgate.htm#INOIM75755でOAMのドキュメントを参照してください。
注意:
|
OAMサーバー・ホストのディレクトリ <OAM_DOMAIN_HOME>/output/<WebGate_ID>には、cwallet.ssoファイルおよびObAccessClient.xmlファイルがあります。
|
表4-11に、OAUTHSVR構成ファイルの例を示します。
# Tuxedo OAM Authentication Server configuration file.
OAM_CONFIG_DIR /usr/tuxedo/accessclient
#RESTYPE_MAPPING SERVICE TUXEDO_SERVICE
#RESTYPE_MAPPING QUEUE TUXEDO_QUEUE
#RESTYPE_MAPPING EVENT TUXEDO_EVENT
TUXEDO_DEF_RESTYPE TUXEDO_SERVICE
TUXEDO_DEF_RESOURCE tuxres
2.OAUTHSVRを使用したUBBCONFIGの例
表4-12に、
SECURITYが
ACLに設定され、
OAUTHSVRが定義された
UBBCONFIGファイルの例を示します。
リスト4-12
OAUTHSVRを使用したUBBCONFIGファイルの例
APPDIR="/home/tuxedo/application"
TUXCONFIG="/home/tuxedo/application/TUXCONFIG"
TUXDIR="/home/tuxedo/tuxedo12"
GROUP1 LMID=site1 GRPNO=1
GROUP2 LMID=site1 GRPNO=2
GROUP3 LMID=site1 GRPNO=3
GROUP4 LMID=site1 GRPNO=4
CLOPT="-A" RESTART=N MAXGEN=5
TMJAVASVR SRVGRP=GROUP1 SRVID=2 CLOPT="-A -- -c tjsoam.xml"
DMADM SRVGRP=GROUP2 SRVID=20
GWADM SRVGRP=GROUP3 SRVID=30
GWTDOMAIN SRVGRP=GROUP3 SRVID=31
Simpserv SRVGRP=GROUP4 SRVID=40
3.tjsoam.xml Javaサーバー構成ファイルの例
表4-13に、OAUTHSVRを使用したJavaサーバー構成ファイルの例を示します。
リスト4-13
OAUTHSVRを使用したJavaサーバー構成ファイルの例
<?xml version="1.0" encoding="UTF-8"?>
<TJSconfig version="2.0">
<!-- do not forget modify $TUXDIR $OAMASDK_DIR to absolute path -->
<jvm-options>-Doracle.security.jps.config=/home/tuxedo/application/oamclient/config/jps-config.xml</jvm-options>
<jvm-options>-Doracle.tuxedo.oam.config=tpoam.auth</jvm-options>
<classpath>/home/tuxedo/udataobj/tuxj/oam/com.oracle.tuxedo.tjoam.jar</classpath>
<classpath>/home/tuxedo/oamsdk/*</classpath>
<server-class name="OAUTHSVR"/>
ACL_POLICYおよび
CREDENTIAL_POLICYは、資格情報の伝播に影響を与えます。
ローカル・ドメインがリモート・ドメインからリクエストを受信したとき、
ACL_POLICYが
LOCALに設定されている場合には、ローカル・ドメインはリモート・ドメインから受信したサービス・リクエストのOAMセッション・トークンを削除します(セッション・トークンが存在する場合)。
ACL_POLICYが
GLOBALに設定されている場合には、ローカル・ドメインはリモート・サービス・リクエストとともに受信したOAMセッション・トークンを削除しません。
Tuxedoドメインがリモートの/Tドメインにリクエストを送信したとき、
CREDENTIAL_POLICYが
LOCALに設定されている場合には、ローカル・ドメインはリモート・ドメイン・アクセス・ポイント宛のローカル・サービス・リクエストからセッション・トークンを削除します。
CREDENTIAL_POLICYが
GLOBALに設定されている場合には、ローカル・ドメインはこのリモート・ドメイン・アクセス・ポイント宛のローカル・サービス・リクエストからセッション・トークンを削除しません。
前述の説明から、Tuxedo /Tドメイン間でOAMセッション・トークンを渡すには、
ACL_POLICYと
CREDENTIAL_POLICYの両方を
GLOBALに構成し、同じOAMアクセス・クライアント構成(
OAUTHSVR構成ファイルの
OAM_CONFIG_DIRパラメータ)を使用してOAMセッション・トークンが両方のドメインで有効になるようにする必要があります。
ユーザー・リクエストを認証または認可するには、
username/passwordペアまたはOAMサーバーによって発行された有効なセッション・トークンが存在している必要があります。
username/passwordペアと有効なセッション・トークンの両方が存在しない場合、目的のプリンシパルを偽装できず、OAMサーバーによる認証または認可が行えません。
ドメイン・ゲートウェイがリクエストを受信したときに、
ACL_POLICYが
LOCALに設定されているか、またはリクエストにOAMセッション・トークンが含まれていない(たとえば、リモート・ドメインがOAMを使用していないか、
CREDENTIAL_POLICYが
LOCALに設定されているか、リモート・ドメインのTuxedoバージョンが12.2.2.0.0以降でないか、またはリモート・ドメインがWTCのようにOAMセッション・トークンを渡すことができない)場合、目的のプリンシパルを偽装するため、ローカル・ドメイン・ゲートウェイはリモート・ドメインから受信したサービス・リクエストの資格証明をこのリモート・ドメイン・アクセス・ポイントの
LOCAL_PRINCIPAL_NAMEパラメータに指定されているプリンシパル名に置き換えます(指定されていない場合、プリンシパル名はデフォルトではリモート・ドメイン・アクセス・ポイントの
ACCESSPOINTID文字列に設定されます)。パスワードは、リモート・ドメイン・パスワードを使用します。つまり、
DMCONFIGファイルの
DM_LOCALセクションにある
SECURITYパラメータを
DM_PWに設定する必要があります。リモート・ドメイン・パスワードと同じパスワードでユーザー
LOCAL_PRINCIPAL_NAME (または
ACCESSPOINTID)をOAMに定義する必要があります。これらの前提条件が満たされず、
UBBCONFIGの
SECURITYが
ACLまたは
MANDATORY_ACLに設定されている場合、認可は失敗します。
OAM統合は、SALTインバウンド・リクエストのみをサポートしています。HTTP基本認証の場合、GWWSはユーザー名およびパスワードを抽出し、Tuxedo
AUTHSVCを呼び出してユーザーを認証します。
OAUTHSVRはOAMと通信して認証し、それが正常に完了した場合、GWWSはOAMセッション・トークンを取得します。セッション・トークンは以後のサービス呼出しで渡され、
OAUTHSVRがセッション・トークンを使用して認可します。
WSSEの状況では、GWWSは受信済のユーザー資格証明を使用し、Tuxedoとの間で認証を実行します。Tuxedoサービスを呼び出す前に認証レベルが
TPAPPAUTHかどうかをチェックし、セッション・トークンをコンテキストに挿入し、Tuxedoサービスを呼び出します。
X509認証またはSAML SSOを使用した場合は、基本認証がリクエストに添付されているかどうかに依存します。基本認証がリクエストに添付されていない場合は、Tuxedoがユーザー名およびパスワードを取得できず、認可は失敗します。
ユーザーがWebGateに対してすでに認証され、OAMセッション・トークンがHTTPヘッダーに存在する場合、GWWSはトークンを抽出し、それを使用して認可します。
WebGateは、OAM製品の一部として様々なWebサーバー(Oracle HTTP Server - OHS、IBM HTTP Server - IHS、Apache ...)向けに用意されているエージェントです。これは、様々なHTTPサーバーにインストールされ、OAMを使用して認証および認可するには、HTTPサーバーおよびWebGateが必要です。HTTPサーバーがWLSやSALTなどのバックエンド・アプリケーションに対してリバース・プロキシとして機能することがよくあります。
注意:
|
11g WebGateの場合、OAMトークンCookie (OAMAuthnCookie)は、SALTなどのダウンストリーム・アプリケーションに渡されません。WebGateユーザー定義パラメータfilterOAMAuthnCookieをfalseに指定してください。詳細は、 「OAM 11gエージェントの登録および管理」を参照してください。
|
WTCインバウンド・サービスの場合、クライアントはTuxedoドメインで認証され、リクエストはWTCに渡されます。WTCは、EJB名を検索し、渡されたプリンシパル(
ACL_POLICYがグローバル)またはドメイン名(
ACL_POLICYがローカル)を使用してターゲットのEJBを呼び出します。認証は不要ですが、WLSセキュリティ・モジュールがこのプリンシパルの認可をチェックします(セキュリティ・アイデンティティ)。ターゲットのEJBは、アイデンティティのみを受信し、認証データは受信しません。WLSがアイデンティティを認証する方法はなく、アイデンティティは認可チェックにのみ使用されます。OAMセッション・トークンは、WTCに渡されません。
WTCアウトバウンド・サービスの場合、認証はWLSでのみ行い、認可チェックもWLSで行う必要があります。WTCがTuxedoドメインにリクエストを渡すときに、ユーザーがすでに認証されている場合、WTCはWLSからOAMセッション・トークンを取得できません。Tuxedoローカル・ドメイン・ゲートウェイは、/Tドメインと同じアプローチを使用して、目的のプリンシパル(
LOCAL_PRINCIPAL_NAMEまたは
ACCESSPOINTIDと、リモート・ドメイン・パスワード)を偽装します。
JCAアーキテクチャには、セキュリティ・プリンシパル・アイデンティティをインポートする独自の方法があるため、OAMのためにTuxedo JCAアダプタを変更することはできず、またすべきではありません。この規定に違反しないでください。そのため、異なるJava AS間で移植できないようになっています。JCAアーキテクチャ仕様には独自の方法があり、それはJCA 1.6互換のすべてのJCAでサポートされています。