F OPSSのシステムおよび構成プロパティ

この付録では、サーバー起動時に設定するOPSSのシステム・プロパティおよび構成プロパティについて説明します。

次の項目について説明します。

OPSSシステム・プロパティ
OPSS構成プロパティ

すべてのOPSSのシステム変更および構成変更を有効にするには、サーバーを再起動する必要があります。

関連項目:

F.1 OPSSシステム・プロパティ

導入または変更したシステム・プロパティは、サーバーを再起動するまで有効になりません。システム・プロパティを設定するには、setDomainEnv.shを編集してEXTRA_JAVA_PROPERTIES変数にそのプロパティを追加します。

表F-1は、OPSSで使用可能なシステム・プロパティを示しています。

表F-1 OPSSシステム・プロパティ

システム・プロパティ名	指定内容
`common.components.home`	共通のコンポーネント・ホームの場所。 Java EEアプリケーションとJava SEアプリケーションの両方で必須です。デフォルト値なし
`java.security.debug`	`JpsAuth.checkPermission`が`Subject.doAs`ブロック内でコールされ、パーミッション・チェックで不合格になると、パーミッションは失敗します。 `jps.auth.debug`または`jps.auth.debug.verbose`を設定するだけでは、この場合に失敗の通知を受け取ることはできません。オプション。
`java.security.policy`	Javaセキュリティ・ポリシー・ファイルの場所。
`jps.app.permissioncollectionmap.size`	メモリーに保持されるパーミッション・コレクション・マップ・エントリの数。各エントリは、パーミッションのセットに相当します。`jps.policystore.ref.useSoftHardMapForSelectedMaps`を`true`に設定する必要があります。オプション。有効な値: 正の整数。デフォルト値: 512。
`jps.authz`	実行時およびデバッグのオーバーヘッドを軽減するJava SE Development Kit (JDK)メソッドの`AccessController.checkPermission`へのコールの委任。オプション。有効な値: `NULL`、`SM`、`ACC`および`DEBUG_NULL` デフォルト値なし
`jps.auth.debug`	サーバーのロギング出力。デフォルト値: `false`。オプション。
`jps.auth.debug.verbose`	サーバーのロギング出力。デフォルト値: `false`。オプション。
`jps.combiner.optimize`	サブジェクトの保護ドメインのキャッシュ。オプション。有効な値: `true`、`false` デフォルト値: `false`。
`jps.combiner.optimize.lazyeval`	パーミッション・チェックのトリガー時にサブジェクトの保護ドメインの評価。オプション。有効な値: `true`、`false` デフォルト値: `false`。
`jps.combinermap.size`	メモリーに保持されるコンバイナ・マップ・エントリの数。各エントリは、プリンシパルのセットに相当します。`jps.policystore.ref.useSoftHardMapForSelectedMaps`を`true`に設定する必要があります。オプション。有効な値: 正の整数。デフォルト値: `128`。
`jps.deployment.handler.disabled`	WebLogic Serverにデプロイされているアプリケーションのポリシーおよび資格証明の移行。WebLogic Serverに対してのみ有効です。 `weblogic-application.xml`ファイルにあるアプリケーション設定に関係なく、サーバーにデプロイされているすべてのアプリケーションについてアプリケーションのポリシーおよび資格証明の移行を無効にする場合は`true`に設定します。オプション。有効な値: `true`、`false` デフォルト値: `false`。
`jps.policystore.hybrid.mode`	混合モード。有効になっている場合、ポリシー・プロバイダでは`java.policy`ファイルおよび`weblogic.policy`ファイルから読取りが実行され、セキュリティ・ストアでは`jps-config.xml`ファイルから読取りが実行されます。オプション。有効な値: `true`、`false` デフォルト値: `true`。
`jps.policystore.ref.useSoftHardMapForSelectedMaps`	マップ・タイプの使用。マップ・タイプは、一部の構造を特別なキャッシュに保持することで、それらの構造がJava仮想マシンによるガベージ・コレクションの対象となるのを防ぐために使用されます。 `false`の場合、`SoftKeyHashMap`タイプが使用されます。 `true`の場合、`SoftHardKeyHashMap`タイプが使用されます。この設定により、一部のマップをメモリーで保持できるようになります。すべてのget/put操作でロック操作のオーバーヘッドが発生することに注意してください。関連する`jps.subjectmap.size`、`jps.combinermap.size`および`jps.app.permissioncollectionmap.size`の各プロパティを参照してください。オプション。有効な値: `true`、`false` デフォルト値: `false`。
`jps.subject.cache.ttl`	グループ・メンバーシップの変更が有効になるまでの時間(ミリ秒)。この値は、`Group Hierarchy Cache`の値と同期している必要があります。`Group Hierarchy Cache`の値を変更した場合は、新しい値に一致するように`jps.subject.cache.ttl`をリセットする必要があります。オプション。有効な値: 任意の正の整数。デフォルト値: `60000`
`jps.subjectmap.size`	メモリーに保持されるサブジェクト・マップ・エントリの数。各エントリは、サブジェクトに関するTTL情報に相当します。この設定を有効にするには、`jps.policystore.ref.useSoftHardMapForSelectedMaps`プロパティを`true`にする必要があります。オプション。有効な値: 正の整数。デフォルト値: 128。
`oracle.security.jps.config`	ドメイン構成ファイル`jps-config.xml`または`jps-config-jse.xml`へのパス。これらのファイルでパスを指定する場合は、絶対パスまたは構成ファイルの場所を基準とする相対パスで指定できます。必須。デフォルト値なし
`oracle.deployed.app.dir`	コードソースURLのディレクトリへのパス。オプション。デフォルト値なし例については、<url>を参照してください。
`oracle.deployed.app.ext`	コードソースURLの拡張。オプション。デフォルト値なし例については、<url>を参照してください。
`oracle.security.jps.log.for.approle.substring`	指定した部分文字列が含まれるアプリケーション・ロールの名前。照合する部分文字列を指定しないと、すべてのアプリケーション・ロール名がログに記録されます。オプション。デフォルト値なし
`oracle.security.jps.log.for.permeffect`	付与または拒否された権限。値を指定しないと、(付与または拒否にかかわらず)すべての権限がログに記録されます。オプション。デフォルト値なし
`oracle.security.jps.log.for.permclassname`	指定した名前に完全一致するパーミッション・クラスの名前。照合する名前を指定しないと、すべてのパーミッション・クラス名がログに記録されます。オプション。デフォルト値なし
`oracle.security.jps.log.for.permtarget.substring`	指定した部分文字列が含まれるパーミッション・ターゲットの名前。照合する部分文字列を指定しないと、すべてのパーミッション・ターゲットがログに記録されます。オプション。デフォルト値なし
`oracle.security.jps.log.for.enterprise.principalname`	指定した名前に完全一致するプリンシパル(エンタープライズ・ユーザーまたはエンタープライズ・ロール)の名前。照合する名前を指定しないと、すべてのプリンシパル名がログに記録されます。オプション。デフォルト値なし
`opss.audit.logDirectory`	`jps-config-jse.xml`構成ファイルで設定されていない場合は、SEアプリケーション用の監査ログ・ファイルの場所。オプション。デフォルト値なし有効値: 任意の書込みディレクトリ。
`wlst.offline.log`	オフラインのWLSTを実行する際のログ・ファイルの場所。オプション。デフォルト値なし有効な値: <filename>、stdout、strerr、disable。
`wlst.offline.log.priority`	通知のレベル。オプション。デフォルト値なし有効な値: OFF、SEVERE、WARNING、INFO、CONFIG、FINE、FINER、FINEST、ALL、デバッグ、情報、警告、エラー、致命的。

関連項目:

システム・プロパティ

スクリプトを使用したサービスの構成

F.2 OPSS構成プロパティ

次の各項では、サービス・プロパティについて説明します。

OPSSサービスに共通するプロパティ
ポリシー・サービスのプロパティ
資格証明サービスのプロパティ
LDAPアイデンティティのプロパティ
すべてのLDAPサーバーに共通するプロパティ
トラスト・サービスのプロパティ
監査サービスのプロパティ
キーストア・サービスのプロパティ
匿名ロールと認証ロールのプロパティ

F.2.1 OPSSサービスに共通するプロパティ

表F-2は、トラスト・ストア・サービスを除くすべてのサービスに共通するOPSSプロパティの説明をまとめたものです。トラスト・ストア・サービスのプロパティの詳細は、「トラスト・サービスのプロパティ」を参照してください。

表F-2 共通プロパティ

プロパティ名	指定内容
次のプロパティは、Java EEアプリケーションとJava SEアプリケーションの両方で有効です。
`bootstrap.security.principal.key`	LDAPストアにアクセスするためのパスワード資格証明のキーで、`cwallet.sso`ファイルに格納されています。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。必須。デフォルト値なしすぐに使用できる値は`bootstrap`です。
`bootstrap.security.principal.map`	LDAPストアにアクセスするためのパスワード資格証明のマップで、`cwallet.sso`ファイルに格納されています。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。必須。デフォルト値: `BOOTSTRAP_JPS`
`jdbc.url`	JBDCのURL。 Java SEアプリケーションとJava EEアプリケーションで有効です。 DBセキュリティ・ストアにのみ適用されます。必須。デフォルト値なし値の例: `jdbc:oracle:thin:@xxx27.com:1345:asi102cn`
`ldap.url`	LDAPセキュリティ・ストアのURLで、形式は`ldap://host:port`です。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアにのみ適用されます。必須。デフォルト値なし
`oracle.security.jps.farm.name`	LDAPストア内のドメイン・ノードの相対識別名形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。必須。デフォルト値なし
`oracle.security.jps.ldap.root.name`	LDAPストア内のルート・ノードの相対識別名形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。必須。デフォルト値なし
`oracle.security.jps.pdp.PolicyProvider.PermissionCollectionCache.MaxSize`	保護ドメインおよびリクエスト・パーミッション・クラスごとにキャッシュで使用できるパーミッション・コレクションの最大数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 5000
`server.type`	セキュリティ・ストアのタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。必須。デフォルト値なし値: `OID`、`DB_ORACLE`。
次のプロパティは、Java EEアプリケーションでのみ有効です。
`datasource.jndi.name`	Java Database Connectivity (JDBC)データ・ソース・インスタンスのJava Naming and Directory Interface (JNDI)名。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。必須。デフォルト値なし
`oracle.security.jps.failover.retry.times`	再試行回数。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。オプション。デフォルト値: 3
`oracle.security.jps.failover.retry.interval`	次に再試行するまでの秒数。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。オプション。デフォルト値: 15
`weblogic.dbuser.map` `weblogic.dbuser.key`	Weblogic DBユーザー/パスワードの資格証明のマップおよびキー。`oracle.security.jps.db.useWeblogicDBUserMapKey`が`true`の場合にのみ適用されます。この場合、両方が構成されるか、またはどちらも構成されません。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。オプション。デフォルト値なし。
`oracle.security.jps.db.useWeblogicDBUserMapKey`	Weblogic DBユーザー/パスワードのマップおよびキーの場所。このプロパティは、DBセキュリティ・ストアに再関連付けする際に自動的に設定されます。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。オプション。有効な値: `true`または`false`。デフォルト値: `false`。 `true`の場合は、`weblogic.dbuser.map`プロパティおよび`weblogic.dbuser.key`プロパティにより、Weblogic DBユーザー/パスワードの資格証明のマップおよびキーが指定されます。そうではなく、`false`の場合または指定されない場合は、`bootstrap.security.principal.map`プロパティおよび`bootstrap.security.principal.key`プロパティにより、Weblogic DBユーザー/パスワードの資格証明のマップおよびキーが指定されます。
次のプロパティは、Java SEアプリケーションでのみ有効です。
`security.principal`	bootstrapで指定されたユーザー名のかわりに使用する、クリアテキストによるプリンシパル名。開発環境でのみ使用できます。 Java SEアプリケーションでのみ有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値なし
`security.credential`	bootstrapで指定されたパスワードのかわりに使用する、クリアテキストによるセキュリティ・プリンシパルのパスワード。使用はお薦めしません。 Java SEアプリケーションでのみ有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値なし
`jdbc.driver`	JDBCドライバ。 Java SEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。必須。デフォルト値なし値の例: `oracle.jdbc.driver.OracleDriver`

関連項目:

スクリプトを使用したサービスの構成

F.2.2 ポリシー・サービスのプロパティ

次の各項では、ポリシー・サービスのプロパティについて説明します。

ポリシー・サービスの構成
実行時ポリシーの構成

関連項目:

スクリプトを使用したサービスの構成

F.2.2.1 ポリシー・サービスの構成

LDAPまたはDBのセキュリティ・ストアで使用するポリシー・ストア・プロバイダ・クラスは、oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProviderクラスです。

表F-3に、ポリシー・ストア固有のプロパティを示します。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。

表F-3 ポリシーのプロパティ

プロパティ名指定内容

プロパティ名	指定内容
`oracle.security.jps.policystore.resourcetypeenforcementmode`	次のいずれかのチェックで不合格になった場合の例外のスロー。 2つのリソース・タイプが同じパーミッション・クラスを共有する場合、そのパーミッションは`ResourcePermission`または拡張`AbstractTypedPermission`のいずれかである必要があり、そのリソース・タイプが作成できないことの確認。すべてのパーミッションにリソース・タイプが定義されており、リソース・マッチャ・パーミッション・クラスと付与するパーミッションが一致することの確認。 `Strict`に設定した場合、いずれかのチェックで不合格になると、例外がスローされ、操作は停止します。 `Lenient`に設定した場合、いずれかのチェックで不合格になっても例外はスローされず、操作は途切れることなく続行され、検出されたあらゆる矛盾がログ・ファイルに記録されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値: `Lenient` 有効な値: `Strict`、`Lenient`

oracle.security.jps.policystore.resourcetypeenforcementmode

次のいずれかのチェックで不合格になった場合の例外のスロー。

2つのリソース・タイプが同じパーミッション・クラスを共有する場合、そのパーミッションはResourcePermissionまたは拡張AbstractTypedPermissionのいずれかである必要があり、そのリソース・タイプが作成できないことの確認。
すべてのパーミッションにリソース・タイプが定義されており、リソース・マッチャ・パーミッション・クラスと付与するパーミッションが一致することの確認。

Strictに設定した場合、いずれかのチェックで不合格になると、例外がスローされ、操作は停止します。

Lenientに設定した場合、いずれかのチェックで不合格になっても例外はスローされず、操作は途切れることなく続行され、検出されたあらゆる矛盾がログ・ファイルに記録されます。

Java EEアプリケーションとJava SEアプリケーションで有効です。

LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。

オプション。

デフォルト値: Lenient

有効な値: Strict、Lenient

例1

次の例は、Java EEアプリケーション用のポリシー・ストア・インスタンスの構成を示しています。

<propertySet name="props.ldap.1">
 <property name="java.naming.ldap.derefAliases" value="never"/>
 <property name="bootstrap.security.principal.key" value="bootstrap_6aCNhgRM3zF04ToliwecdF6K3oo="/>
 <property name="oracle.security.jps.farm.name" value="cn=compact1_oid26008"/>
 <property name="server.type" value="OID"/>
 <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/>
 <property name="ldap.url" value="ldap://myComp.com:2020"/>
</propertySet>
 
<serviceProvider type="POLICY_STORE" name="policystore.provider" class="oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider"/>
 
<serviceInstance name="policystore.ldap" provider="policystore.provider">
 <propertySetRef ref="props.ldap.1"/>
</serviceInstance>

例2

次の例は、Java SEアプリケーション用のLDAPポリシー・ストア・インスタンスの構成を示しています。

<serviceInstance name="policystore.oid" provider="policy.oid">
   <property value="OID" name="server.type"/>
   <property value="bootstrap" name="bootstrap.security.principal.key"/>
   <property name="ldap.url" value="ldap://myHost.com:1234"/>
   <property name="oracle.security.jps.ldap.root.name" value="cn=jpsNode"/>
   <property name="oracle.security.jps.farm.name" value="cn=domain1"/>
</serviceInstance>

例3

次の例は、Java EEアプリケーション用のDBセキュリティ・ストアの構成を示しています。

<jpsConfig>
...
  <propertySets>
    <!-- property set props.db.1 common to all DB services -->
    <propertySet name="props.db.1">
      <property name="jdbc.url" value="jdbc:oracle:thin@xxx.com:1521:orcl"/>
      <property name="datasource.jndi.name"  value="opssds"/>
      <property value="cn=farm" name="oracle.security.jps.farm.name"/>
      <property value="cn=jpsroot" name="oracle.security.jps.ldap.root.name"/>
      <property value="dsrc_lookup_key"  
                name="bootstrap.security.principal.key"/>
      <property value="credential_map" name="bootstrap.security.principal.map"/>
    </propertySet>
  </propertySets>
 
  <serviceProviders>
    <serviceProvider      class="oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider" 
     type="POLICY_STORE" name="rdbms.policystore.provider" >
       <description>RDBMS based PolicyStore provider</description>
    </serviceProvider>
 
    <serviceProvider type="KEY_STORE" name="keystore.provider"        class="oracle.security.jps.internal.keystore.KeyStoreProvider">
      <description>PKI Based Keystore Provider</description>
      <property name="provider.property.name" value="owsm"/>
    </serviceProvider>
 
    <serviceProvider name="pdp.service.provider" type="PDP"       class="oracle.security.jps.az.internal.runtime.provider.PDPServiceProvider">
      <description>OPSS Runtime Service provider</description>
    </serviceProvider>
  </serviceProviders>
 
  <serviceInstances>
    <serviceInstance name="policystore.rdbms"                      provider="rdbms.policystore.provider">
      <property value="DB_ORACLE" name="server.type"/>
      <propertySetRef ref = "props.db.1"/>
      <property name="session_expiration_sec" value="60"/>
      <property name="failover.retry.times"  value="5"/>
    </serviceInstance>    
 
    <serviceInstance name="credstore.rdbms" provider="rdbms.credstore.provider">
      <propertySetRef ref = "props.db.1"/>       
    </serviceInstance>
 
    <serviceInstance name="keystore.rdbms" provider="rdbms.keystore.provider">  
      <propertySetRef ref = "props.db.1"/>       
      <property name="server.type"  value="DB_ORACLE"/>
    </serviceInstance>
 
    <serviceInstance name="pdp.service" provider="pdp.service.provider">
      <property name="oracle.security.jps.runtime.pd.client.sm_name" value="permissionSm"/>
      <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="true"/>
      <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionCapacity" value="500"/>
      <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionPercentage" value="10"/>
      <property name="failover.retry.times"  value="5"/>
      <property name="failover.retry.interval" value="20"/>
      <property name="oracle.security.jps.policystore.refresh.purge.timeout",
                value="30000"/>
      <propertySetRef ref = "props.db.1"/>
    </serviceInstance>
  </serviceInstances>
 
  <jpsContexts default="default">
    <jpsContext name="default">
      <serviceInstanceRef ref="pdp.service"/>      
      <serviceInstanceRef ref="policystore.rdbms"/>      
      <serviceInstanceRef ref="credstore.rdbms"/>
      <serviceInstanceRef ref="keystore.rdbms"/>
    </jpsContext>
  </jpsContexts>
...
</jpsConfig>

例4

次の例は、Java SEアプリケーション用のDBポリシー・ストアの構成を示しています。

<serviceInstance name="policystore.rdbms" provider="policy.rdbms">
  <property name="server.type" value="DB_ORACLE"/>
  <property name="jdbc.url" value="jdbc:oracle:thin:@xxx.com:1722:orcl"/>
  <property name="jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/>
  <property name="bootstrap.security.principal.key" value="bootstrap_DWgpEJgXwhDIoLYVZ2OWd4R8wOA=" />
  <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/>
  <property name="oracle.security.jps.farm.name" value="cn=view_steph.atz"/>
</serviceInstance>

F.2.2.2 実行時ポリシーの構成

LDAPまたはDBのセキュリティ・ストアで使用する実行時ポリシー・ストア・プロバイダ・クラスは、oracle.security.jps.az.internal.runtime.provider.PDPServiceProviderクラスです。

表F-4は、ポリシー・ストア・インスタンスの実行時のプロパティを示しています。

表F-4 実行時ポリシーのプロパティ

プロパティ名	指定内容
`oracle.security.jps.policystore.rolemember.cache.type`	ロール・メンバーのキャッシュ・タイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: STATIC - キャッシュ・オブジェクトは静的にキャッシュされ、FIFOなど、適用されたキャッシュ戦略に応じてのみ明示的にクリーンアップされます。ガベージ・コレクタでは、このタイプのキャッシュはクリーンアップされません。 SOFT - メモリーが不足している場合、このタイプのキャッシュのクリーンアップはガベージ・コレクタに依存します。 WEAK - このタイプのキャッシュの動作は、タイプSOFTのキャッシュとよく似ていますが、ガベージ・コレクタによってより頻繁にクリーンアップされます。デフォルト値: `STATIC`。
`oracle.security.jps.policystore.rolemember.cache.strategy`	ロール・メンバーのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: FIFO - キャッシュでは、先入れ先出し方針が実装されます。 NONE - リフレッシュまたは再起動が実行されるまで、キャッシュ内のエントリはすべて増大します。キャッシュのサイズは制御できません。お薦めできませんが、ポリシーのフットプリントがきわめて小さい場合には効率的です。デフォルト値: `FIFO`。
`oracle.security.jps.policystore.rolemember.cache.size`	メンバー・キャッシュに維持するロール数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 1000。
`oracle.security.jps.policystore.policy.lazy.load.enable`	ポリシーの遅延ロード。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: `true`、`false` デフォルト値: `true`。
`oracle.security.jps.policystore.policy.cache.strategy`	パーミッションのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: PERMISSION_FIFO - キャッシュでは、先入れ先出し方針が実装されます。 NONE - リフレッシュまたは再起動が実行されるまで、キャッシュ内のエントリはすべて増大します。キャッシュのサイズは制御できません。お薦めできませんが、ポリシーのフットプリントがきわめて小さい場合には効率的です。デフォルト値: `PERMISSION_FIFO`。
`oracle.security.jps.policystore.policy.cache.size`	パーミッション・キャッシュに維持するパーミッション付与数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 1000。
`oracle.security.jps.policystore.refresh.enable`	ポリシー・ストアのリフレッシュ。このプロパティを設定した場合、`oracle.security.jps.ldap.cache.enable`は設定できません。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: `true`、`false` デフォルト値: `true`。
`oracle.security.jps.ldap.cache.enable`	キャッシュのリフレッシュ。このプロパティを設定した場合、`oracle.security.jps.policystore.refresh.enable`は設定できません。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: `true`、`false` デフォルト値: `true`。
`oracle.security.jps.policystore.refresh.purge.timeout`	セキュリティ・ストア・キャッシュがパージされるまでの時間(ミリ秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値は43200000 (12時間)です。
`oracle.security.jps.ldap.policystore.refresh.interval`	セキュリティ・ストアで変更がポーリングされる間隔(ミリ秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 600000 (10分)。
`oracle.security.jps.policystore.rolemember.cache.warmup.enable`	ApplicationRoleメンバーシップ・キャッシュの作成方法。`true`の場合、キャッシュはサーバーの起動時に作成されます。それ以外の場合は、必要に応じて作成されます(遅延ロード)。ユーザーおよびグループの数がアプリケーション・ロールの数を大きく上回っている場合は、`true`に設定します。アプリケーション・ロールの数が非常に多い場合は、`false`に設定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。有効な値: `true`、`false` デフォルト値: `false`。
`security.jps.runtime.pd.client.localpolicy.work_folder`	一時的な保存に使用するフォルダ。 Java EEアプリケーションとJava SEアプリケーションで有効です。ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。オプション。デフォルト値: システムの一時フォルダ。
`oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled`	認可キャッシュは有効になっていること。 Java EEアプリケーションとJava SEアプリケーションで有効です。ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。オプション。有効な値: `true`、`false` デフォルト値: `false`。
`oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionPercentage`	削除容量に達したときに削除するセッションの比率。 Java EEアプリケーションとJava SEアプリケーションで有効です。ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 10
`oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionCapacity`	維持する認可とロールのマッピング・セッションの最大数。最大数に達すると、古いセッションが削除され、必要になったときに再確立されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 500
`oracle.security.jps.pdp.AuthorizationDecisionCacheTTL`	セッション・データをキャッシュする秒数。 Java EEアプリケーションとJava SEアプリケーションで有効です。ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。オプション。デフォルト値: 60
`oracle.security.jps.policystore.resourcetypeenforcementmode`	次のいずれかのチェックで不合格になった場合の例外のスロー。 2つのリソース・タイプが同じパーミッション・クラスの場合、そのパーミッションは`ResourcePermission`または拡張`AbstractTypedPermission`でなければならず、この最後のリソース・タイプが作成不可能であることの確認。すべてのパーミッションにリソース・タイプが定義されており、リソース・マッチャ・パーミッション・クラスと付与するパーミッションが一致することの確認。 `Strict`に設定した場合、いずれかのチェックで不合格になると、例外がスローされ、操作は終了します。 `Lenient`に設定した場合、いずれかのチェックで不合格になっても例外はスローされず、操作は途切れることなく続行され、検出されたあらゆる矛盾がログ・ファイルに記録されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。オプション。デフォルト値: `Lenient` 有効な値: `Strict`、`Lenient`

F.2.3 資格証明サービスのプロパティ

表F-5は、資格証明ストア・インスタンス固有のプロパティを示しています。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。

表F-5 資格証明ストアのプロパティ

プロパティ名指定内容

プロパティ名	指定内容
`encrypt`	資格証明の暗号化。 Java EEアプリケーションとJava SEアプリケーションで有効です。ファイルおよびLDAPストアにのみ適用されます。有効な値: `true`、`false` オプション。デフォルト値: `false`。

encrypt

資格証明の暗号化。

Java EEアプリケーションとJava SEアプリケーションで有効です。

ファイルおよびLDAPストアにのみ適用されます。

有効な値: true、false

オプション。

デフォルト値: false。

次の例は、Java EEアプリケーション用の資格証明ストアの構成を示しています。

<propertySet name="props.ldap.1">
  <property name="java.naming.ldap.derefAliases" value="never"/>
  <property name="bootstrap.security.principal.key" value="bootstrap_6aCNhgRM3zF04ToliwecdF6K3oo="/>
  <property name="oracle.security.jps.farm.name" value="cn=compact1_oid26008"/>
  <property name="server.type" value="OID"/>
  <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/>
  <property name="ldap.url" value="ldap://myComp.com:2020"/>
</propertySet>
 
<serviceProvider type="CREDENTIAL_STORE" name="ldap.credentialstore.provider" class="oracle.security.jps.internal.credstore.ldap.LdapCredentialStoreProvider"/>
<serviceInstance name="credstore.ldap" provider="ldap.credentialstore.provider">
  <propertySetRef ref="props.ldap.1"/>
</serviceInstance>

関連項目:

スクリプトを使用したサービスの構成

F.2.4 LDAPアイデンティティのプロパティ

表F-6は、LDAPアイデンティティ・ストアのプロパティと、拡張プロパティの場合はその旨、ユーザーおよびロールAPIのプロパティをまとめたものです。

表F-6 LDAPアイデンティティ・ストアのプロパティ

プロパティ名	指定内容
`idstore.type`	アイデンティティ・ストアのタイプ。 Java SEアプリケーションとJava EEアプリケーションで有効です。必須有効な値: `OID` - Oracle Internet Directory `OVD` - Oracle Virtual Directory `ACTIVE_DIRECTORY` - Microsoft Active Directory `IPLANET` - Oracle Directory Server Enterprise Edition `EDIRECTORY` - Novell eDirectory `OPEN_LDAP` - OpenLdap `LIBOVD` - OracleライブラリOVD `CUSTOM` - その他の任意のタイプカスタムの認証プロバイダを使用する場合、サービス・インスタンスの構成に次のいずれかのプロパティを含める必要があります。 <property name="idstore.type" value="<your-idstore-type>" <property name="ADF_IM_FACTORY_CLASS" value="<your-IDM-FACTOY_CLASS_NAME>" ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_FACTORY_CLASS
`ldap.url`	LDAP URL値。 Java SEアプリケーションとJava EEアプリケーションで有効です。必須。デフォルト値なし値の例: `ldap://myServerName.com:1389`。ユーザーおよびロールAPIのタイプするプロパティ: ADF_IM_PROVIDER_URL
`user.search.bases`	LDAPサーバーに対するDN形式のユーザー検索ベース。拡張プロパティ。 Java SEアプリケーションとJava EEアプリケーションで有効です。必須。デフォルト値なし値の例: `cn=users,dc=us,dc=abc,dc=com` ユーザーおよびロールAPIの対応するプロパティ: USER_SEARCH_BASES
`group.search.bases`	LDAPサーバーに対するDN形式のグループまたはエンタープライズ検索ベース。拡張プロパティ。 Java SEアプリケーションとJava EEアプリケーションで有効です。必須デフォルト値なし値の例: `cn=groups,dc=us,dc=abc,dc=com` ユーザーおよびロールAPIの対応するプロパティ: ROLE_SEARCH_BASES
`idstore.config.provider`	`idstore`プロバイダ・クラス。 Java EEアプリケーションでのみ有効です。必須次の値のみサポートされています。 oracle.security.jps.wls.internal.idstore.WlsLdapIdStoreConfigProvider
`group.create.bases`	グループの作成に使用するベースDN。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。ユーザーおよびロールAPIを使用した書込み操作を可能にする場合は必須それ以外の場合はオプション。シングルDNの値の例: <extendedProperty> <name>group.create.bases</name> <values> <value>cn=groups,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_CREATE_BASES
`user.create.bases`	ユーザーの作成に使用するベースDN。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。ユーザーおよびロールAPIを使用した書込み操作を可能にする場合は必須それ以外の場合はオプション。シングルDNの値の例: <extendedProperty> <name>user.create.bases</name> <values> <value>cn=users,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: USER_CREATE_BASES
`group.filter.object.classes`	グループの検索に使用するオブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `groupOfUniqueNames`。ユーザーおよびロールAPIの対応するプロパティ: ROLE_FILTER_OBJECT_CLASSES
`group.mandatory.attrs`	グループの作成時に指定する必要がある属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: <extendedProperty> <name>group.mandatory.attrs</name> <values> <value>cn</value> <value>objectClass</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_MANDATORY_ATTRS
`group.member.attrs`	グループのメンバーの識別名(DN)を指定する静的ロールの属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: <extendedProperty> <name>group.member.attrs</name> <values> <value>uniqueMember</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_MEMBER_ATTRS
`group.object.classes`	グループを表すために使用する1つ以上のスキーマ・オブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: <extendedProperty> <name>group.object.classes</name> <values> <value>top</value> <value>groupOfUniqueNames</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_OBJECT_CLASSES
`group.selected.create.base`	グループ作成用のベースDN。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `cn=users,dc=us,dc=abc,dc=com` (シングルDN) ユーザーおよびロールAPIの対応するプロパティ: ROLE_SELECTED_CREATEBASE
`groupname.attr`	グループ名を一意に識別する属性。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `cn` ユーザーおよびロールAPIの対応するプロパティ: ROLE_NAME_ATTR
`group.selected.search.base`	グループ検索用のベースDN。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `cn=users,dc=us,dc=abc,dc=com` (シングルDN)
`max.search.filter.length`	検索フィルタの最大文字数。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値: 正の整数。ユーザーおよびロールAPIの対応するプロパティ: MAX_SEARCHFILTER_LENGTH
`search.type`	リポジトリに対する問合せに使用する検索のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。有効な値: `SIMPLE`、`PAGED`または`VIRTUAL_LIST_VIEW`。ユーザーおよびロールAPIの対応するプロパティ: IDENTITY_SEARCH_TYPE
`user.filter.object.classes`	ユーザーの検索に使用するオブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `inetOrgPerson` ユーザーおよびロールAPIの対応するプロパティ: USER_FILTER_OBJECT_CLASSES
`user.login.attr`	ユーザーのログインID。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `<property name="user.login.attr" value="mail"/>` ユーザーおよびロールAPIの対応するプロパティ: USER_LOGIN_ATTR
`user.mandatory.attrs`	ユーザーの作成時に指定する必要がある属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: <extendedProperty> <name>user.mandatory.attrs</name> <values> <value>cn</value> <value>objectClass</value> <value>sn</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: USER_MANDATORY_ATTRS
`user.object.classes`	ユーザーを表現するために使用するスキーマ・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。ユーザーおよびロールAPIの対応するプロパティ: USER_OBJECT_CLASSES
`username.attr`	ユーザー名を一意に識別するLDAP属性。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。ユーザーおよびロールAPIの対応するプロパティ: USER_NAME_ATTR `username`属性をリセットした場合は、`username.attr`もリセットする必要があることに注意してください。
`ldap.host`	アイデンティティ・ストアをホストするシステムの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。
`subscriber.name`	アイデンティティ・ストアのデフォルトのレルム。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: `dc=us,dc=oracle,dc=com`。ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_SUBSCRIBER_NAME
`virtualize`	検索と変更を実行できる場所。`true`の場合、構成されているすべての認証プロバイダで検索と変更が可能になります。`false`の場合、構成されているスタックの最初の認証プロバイダでのみ検索と変更が可能になります。すべてのプロバイダでユーザーおよびロールAPIを使用して情報の検索または書込みを実行する場合は、`true`に設定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。有効な値: `true`または`false`。デフォルト値: `false`。値の例: `<property name="virtualize" value="true"/>`

次の例は、Java SEアプリケーション用のLDAPアイデンティティ・ストアの構成を示しています。

<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider">
    <property name="idstore.type" value="OID"/>
    <property name="ldap.url" value="ldap://myHost.com:1234"/>
    <extendedProperty>
       <name>user.search.bases</name>
          <values>
             <value>cn=users,dc=us,dc=oracle,dc=com</value>
          </values>
    </extendedProperty>
    <extendedProperty>
       <name>group.search.bases</name>
          <values>
             <value>cn=groups,dc=us,dc=oracle,dc=com</value>
          </values>
    </extendedProperty>
</serviceInstance>

関連項目:

スクリプトを使用したサービスの構成

F.2.5 すべてのLDAPサーバーに共通するプロパティ

表F-7に、LDAPサーバーに共通するプロパティを示します。

LDAPアイデンティティ・ストアの場合、ユーザーおよびロールAPIでJNDI接続ファクトリを使用するときに接続プールのプロパティが必ず選択されるように、アイデンティティ・ストア・インスタンスに次のプロパティを含める必要があります。

<property 
name="INITIAL_CONTEXT_FACTORY" value="com.sun.jndi.ldap.LdapCtxFactory"/>

表F-7 LDAPの汎用的なプロパティ

プロパティ名	指定内容
`connection.pool.authentication`	JNDI接続プールが使用するLDAP接続のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値: `none`、`simple`および`DIGEST-MD5`。デフォルト値: `simple`。
`connection.pool.max.size`	LDAP接続プールの最大接続数。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: 30
`connection.pool.min.size`	LDAP接続プールの最小接続数。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: 5
`connection.pool.protocol`	LDAP接続に使用するプロトコル。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値: `plain`、`ssl`。デフォルト値: `plain`。
`connection.pool.provider.type`	使用する接続プール。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値: `JNDI`、`IDM`。デフォルト値: `JNDI`。
`connection.pool.timeout`	アイドル接続がプールにとどまっていられるミリ秒数。タイムアウト後に接続は閉じられ、プールから削除されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値: 300000 (5分)
`oracle.security.jps.ldap.max.retry`	LDAP接続に問題がある場合の、最大再試行回数。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。値の例: 5

次の例は、いくつかのプロパティの構成を示しています。

   <!-- common properties used by all LDAPs -->
   <property name="oracle.security.jps.farm.name" value="cn=OracleFarmContainer"/>
   <property name="oracle.security.jps.ldap.root.name"
             value="cn=OracleJpsContainer"/>
   <property name="oracle.security.jps.ldap.max.retry" value="5"/>

関連項目:

スクリプトを使用したサービスの構成

F.2.6 トラスト・サービスのプロパティ

表F-8に、トラスト・サービス固有のプロパティを示します。

表F-8 トラストストアのプロパティ

プロパティ名	指定内容
`merge.jdkcacerts.with.trust`	`kss://system/trust`へのキーストア問合せで`kss://system/publiccacerts`キーストアの公開CA証明書を戻すかどうか。キーストア問合せのリターンに`publiccacerts`の証明書をすべて含める場合は、`true`に設定します。問合せのリターンに含めない場合は、`false`に設定します。 Java EEアプリケーションとJava SEアプリケーションで有効です。値: `true`または`false` オプション。デフォルト: `false`。
`trust.keystoreType`	トラスト・サービス・ストアのタイプ(Javaキーストア(JKS)またはキーストア・サービス(KSS)キーストア)。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。有効な値: `JKS`または`KSS`。デフォルトなし。指定されておらず、KSSがプロビジョニングされている場合、値は`KSS`です。それ以外の場合は、`JKS`です。
`trust.keyStoreName`	次の形式のストア名。 kss://<stripeName>/<keyStoreName> `trust.keystoreType`が`KSS`の場合にのみ適用されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: `kss://opss/trustservice_ks`。
`trust.trustStoreName`	次の形式のストアURL。 kss://<stripeName>/<keyStoreName> `trust.keystoreType`が`KSS`の場合にのみ適用されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: `kss://opss/trustservice_ts`。
`trust.aliasName`	キーストアからX.509証明書と秘密鍵を取得するために使用する別名。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: Oracle WebLogic Serverドメインの名前。
`trust.issuerName`	ターゲット・トラスト・サービスでトークンを取得して検証するために使用される(トークンに含まれる)名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: WebLogic Serverドメインの名前。
`trust.provider.className`	トラスト・プロバイダ・クラスの完全修飾名。 Java EEアプリケーションとJava SEアプリケーションで有効です。必須。値: サポートされている値は`oracle.security.jps.internal.trust.provider.embedded.EmbeddedProviderImpl`のみです。
`trust.clockSkew`	時間の条件を検証する際に許容される時間差(秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: 0。
`trust.token.validityPeriod`	トークンが発行された後の有効時間(秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。必須。デフォルトなし。
`trust.csf.map`	キーストアにアクセスするための資格証明のマップ。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: キーストア・インスタンス・プロパティ`keystore.csf.map`の値。
`trust.csf.keystorePass`	`trust.keystoreType`が`JKS`である場合にのみ適用し、秘密鍵にアクセスするための資格証明のキーを指定します(マップは`trust.csf.map`によって設定されます)。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: キーストア・インスタンス・プロパティ`keystore.pass.csf.key`の値。
`trust.csf.keyPass`	キーストアにアクセスするための資格証明のキー(マップは`trst.csf.map`によって設定されます)。`trust.keystoreType`が`JKS`の場合にのみ適用されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト: キーストア・インスタンス・プロパティ`keystore.sig.csf.key`の値。
`trust.token.includeCertificate`	Security Assertion Markup Language (SAML)トークンに証明書が含まれていること。 Java EEアプリケーションとJava SEアプリケーションで有効です。必須。有効な値: `true`または`false`。デフォルト: `false`。

次の例は、トラスト・サービスの構成を示しています。

<propertySet name="trust.provider.embedded">
  <property name="trust.provider.className" value="oracle.security.jps.internal.trust.provider.embedded.EmbeddedProviderImpl"/>
  <property name="trust.clockSkew" value="60"/>
  <property name="trust.token.validityPeriod" value="1800"/>
  <property name="trust.aliasName" value="orakey"/>
  <property name="trust.issuerName" value="orakey"/>
  <property name="trust.csf.map " value="my-csf-map"/>
  <property name="trust.csf.keystorePass" value="my-keystore-csf-key"/>
  <property name="trust.csf.keypass" value="my-signing-csf-key"/>
</propertySet>

関連項目:

スクリプトを使用したサービスの構成

F.2.7 監査サービスのプロパティ

表F-9に、監査固有のプロパティを示します。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。

表F-9 監査のプロパティ

プロパティ名	指定内容	必須	値	デフォルト値
`audit.filterPreset`	監査レベル。	いいえ	None、Low、MediumまたはHigh	なし
`audit.customEvents`	監査対象のカスタム・イベント。イベントは、コンポーネント・タイプを使用して修飾する必要があります。イベントはカンマ、コンポーネント・タイプはセミコロンで区切ります。例: JPS:CheckAuthorization, CreateCredential; OIF:UserLogin	いいえ
`audit.specialUsers`	`filterPreset`プロパティが`none`の場合でも、アクティビティが常に監査対象となるユーザーのリスト。	いいえ
`audit.maxFileSize`	監査イベントが書き込まれるバスストップ・ファイルのサイズ。バイト単位	いいえ		104857600
`audit.loader.interval`	監査ローダーがデータベースにアップロードする間隔(秒)。	いいえ		15秒
`audit.loader .repositoryType`	監査イベントのストア・タイプ。タイプがデータベース(DB)の場合は、audit.loader.jndiまたはJDBCプロパティも定義します。	はい	File、DB	File
audit.loader.jndi	データベースに監査イベントをアップロードするための、アプリケーション・サーバー内のデータ・ソースのJNDI名。	いいえ		jdbc/AuditAppendDataSource
`audit.db.principal.map audit.db.principal.key`	Java SEアプリケーションが実行されており、リポジトリ・タイプがDBの場合の、ブートストラップ資格証明ストア内のJDBCユーザー名とパスワード資格証明に対するマップとキー。	いいえ
`audit.loader.jdbc.string`	Java SEアプリケーションが実行されており、リポジトリ・タイプがDBの場合の、JDBC接続に対するJDBC文字列。	いいえ
`audit.logDirectory`	バスストップ・ファイルのベース・ディレクトリ。	JavaSEでは必須		jse
`audit.timezone`	特定のタイムゾーンを使用したイベントの記録。	いいえ	UTC、ローカル	UTC
`audit.change.scanning. interval`	サービスが変更をチェックするまでの時間(ミリ秒)。	いいえ	0(ゼロ)より大きい数値	60000 (60秒)

次の例は、構成でのプロパティの使用方法を示しています。

<serviceInstance name="audit" provider="audit.provider" location="./audit-store.xml">
   <property name="audit.filterPreset" value="Medium"/>
   <property name="audit.loader.jndi" value="jdbc/AuditAppendDataSource"/>
   <property name="audit.loader.repositoryType" value="DB" />
   <property name="server.type" value="DB_ORACLE"/>
   <property name="audit.timezone" value="local" />
 </serviceInstance>

関連項目:

スクリプトを使用したサービスの構成

F.2.8 キーストア・サービスのプロパティ

表F-10に、キーストア固有のプロパティを示します。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。

表F-10 キーストア・サービスのプロパティ

プロパティ名	指定内容	必須	値	デフォルト
`keystore.file.path`	ファイル・プロバイダが構成されている場合のkeystores.xmlファイルの場所。	ファイル・キーストア・プロバイダが構成されている場合は、はい。	-	./
`ca`.`key`.`alias`	キーストア・サービス・インスタンスに使用されているサードパーティCAのキー別名。	いいえ	-	-
`location`	キーストアの場所の絶対パスまたは相対パス。	keystore.typeがJKSの場合は、はい。 keystore.typeがPKCS11またはHSM (LunaSA)の場合は、いいえ。	キーストアへのパス	./default-keystore.jks
`keystore.type`	キーストアのタイプ。	いいえ	KSS、JKS、PKCS11、Luna	JKS
`keystore.csf.map`	OWSMで使用される資格証明ストア・マップ名。OWSMでのみ使用します。	いいえ	資格証明ストアのマップ名	oracle.wsm.security
`keystore.pass.csf.key`	キーストア・パスワードを指す資格証明ストア・キー。OWSMでのみ使用します。	いいえ	資格証明ストアのcsfキー名	keystore-csf-key
`keystore.sig.csf.key`	キーストア内の署名鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名です。OWSMでのみ使用します。	いいえ	資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名	sign-csf-key
`keystore.enc.csf.key`	キーストア内の暗号化鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名です。OWSMでのみ使用します。	いいえ	資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名	enc-csf-key

次の例は、キーストアの構成を示しています。

<propertySet name="props.ldap.1">
  <property name="java.naming.ldap.derefAliases" value="never"/>
  <property name="bootstrap.security.principal.key" value="bootstrap_6aCNhgRM3zF04ToliwecdF6K3oo="/>
  <property name="oracle.security.jps.farm.name" value="cn=compact1_oid26008"/>
  <property name="server.type" value="OID"/>
  <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/>
  <property name="ldap.url" value="ldap://myComp.com:2020"/>
</propertySet>
 
<serviceProvider type="KEY_STORE" name="keystore.provider" class="oracle.security.jps.internal.keystore.KeyStoreProvider">
  </serviceProvider>
<serviceInstance name="keystore.ldap" provider="keystore.provider">
  <propertySetRef ref="props.ldap.1"/>
</serviceInstance>

次の例は、LDAPプロバイダ用のキーストアの構成を示しています。

<serviceInstance name="keystore" provider="keystore.provider"       location="./default-keystore.jks">
   <description>Default JPS Keystore Service</description>
   <property name="server.type" value="OID"/>
   <property name="keystore.type" value="JKS"/>
   <property name="keystore.csf.map" value="oracle.wsm.security"/>
   <property name="keystore.pass.csf.key" value="keystore-csf-key"/>
   <property name="keystore.sig.csf.key" value="sign-csf-key"/>
   <property name="keystore.enc.csf.key" value="enc-csf-key"/>
<property value="bootstrap" name="bootstrap.security.principal.key"/>
<property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/>
<property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/>
<property value="ldap://myHost.com:1234" name="ldap.url"/>
</serviceInstance>

次の例は、DBプロバイダ用のキーストアの構成を示しています。

<propertySet name="props.db.1">
   <property name="jdbc.url" value="jdbc:oracle:thin:@host:port:sid"/>
   <property name="oracle.security.jps.farm.name" value="cn=farm"/>
   <property name="server.type" value="DB_ORACLE"/>
   <property name="oracle.security.jps.ldap.root.name" value="cn=jpsroot"/>
   <property name="jdbc.driver" value="oracle.jdbc.OracleDriver"/>
   <property name="bootstrap.security.principal.map" value="credendial_map"/>
   <property name="bootstrap.security.principal.key" value="credential_key"/>
</propertySet>
 
<serviceInstance name="keystore.rdbms" provider="keystore.provider"            location="./default-keystore.jks">  
   <propertySetRef ref = "props.db.1"/>       
   <property name="server.type"  value="DB_ORACLE"/>
   <property name="keystore.type" value="JKS"/>
   <property name="keystore.csf.map" value="oracle.wsm.security"/>
   <property name="keystore.pass.csf.key" value="keystore-csf-key"/>
   <property name="keystore.sig.csf.key" value="sign-csf-key"/>
   <property name="keystore.enc.csf.key" value="enc-csf-key"/>
</serviceInstance>

関連項目:

スクリプトを使用したサービスの構成

F.2.9 匿名ロールと認証ロールのプロパティ

表F-11に、匿名ユーザー、匿名ロールおよび認証ロールの構成に使用できるプロパティを示します。

表F-11 匿名ロールと認証ロールのプロパティ

プロパティ名	指定内容
`anonymous.role.description`	匿名ロールの説明。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値なし
`anonymous.role.name`	匿名ロールのプリンシパルの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値: `anonymous-role`
`anonymous.role.uniquename`	匿名ロールの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値: `anonymous-role`
`anonymous.user.name`	匿名ユーザーのプリンシパルの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値: `anonymous`
`authenticated.role.description`	認証ロールの説明。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値なし
`authenticated.role.name`	認証ユーザー・ロールのプリンシパルの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値: `authenticated-role`
`authenticated.role.uniquename`	認証ロールの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。デフォルト値: `authenticated-role`
`remove.anonymous.role`	ユーザーの認証後にサブジェクトから削除する匿名ロール。 Java EEアプリケーションとJava SEアプリケーションで有効です。オプション。有効な値: `true`、`false` デフォルト値: `false`。

関連項目:

スクリプトを使用したサービスの構成