WebLogic ServerのためのFusion Middleware Controlヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

ドメイン: セキュリティ: 全般

構成オプション     詳細な構成オプション     

このページでは、このWebLogic Serverドメインの全般的なセキュリティ設定を定義します。このページでは、WebLogicドメインのデフォルトの管理セキュリティ・レルムを変更します。

構成オプション

名前 説明
デフォルト・レルム

このWebLogic Serverドメインのデフォルトの管理セキュリティ・レルムとして使用する必要のあるセキュリティ・レルム。

使用可能なすべてのセキュリティ・レルムがプルダウン・メニューに表示されます。新しいセキュリティ・レルムを構成しても、必要なすべてのセキュリティ・プロバイダを構成していない場合、そのセキュリティ・レルムはプルダウン・メニューに表示されません。セキュリティ・レルムを有効にするには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格証明マッピング・プロバイダ、CertPathBuilder、およびロール・マッピング・プロバイダを構成する必要があります。

MBean属性:
SecurityConfigurationMBean.DefaultRealm

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

管理アイデンティティ・ドメイン

ドメインの管理アイデンティティ・ドメイン。

MBean属性:
SecurityConfigurationMBean.AdministrativeIdentityDomain

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

アイデンティティ・ドメイン対応プロバイダが必要

ドメインに構成されているすべてのロール・マッピング、認可、資格証明マッピングおよび監査プロバイダがIdentityDomainAwareProviderMBeanインタフェースの管理アイデンティティ・ドメインをサポートする必要があるかどうかを指定します。

MBean属性:
SecurityConfigurationMBean.IdentityDomainAwareProvidersRequired

匿名Adminのルックアップを有効化

MBeanHome APIからのWebLogic Server MBeanに対する匿名の読取り専用アクセスを許可するかどうかを指定します。

匿名アクセスが有効の場合、WebLogic Server MBean認可プロセスによる保護が明示的に示されていないMBean属性の値を参照できます。この属性は、下位互換性が必要な場合のみ有効にしてください。

MBean属性:
SecurityConfigurationMBean.AnonymousAdminLookupEnabled

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

クロス・ドメイン・セキュリティを有効化

ドメインのクロスドメイン・セキュリティを有効にするかどうかを指定します。

クロスドメイン・セキュリティを有効にする場合、1つまたは複数のクロスドメイン・ユーザーを追加し、このドメインにアクセスする権限のある各リモート・ドメイン・ユーザーの資格証明を含む資格証明マッピングを指定する必要があります。

MBean属性:
SecurityConfigurationMBean.CrossDomainSecurityEnabled

除外するドメイン名

クロスドメイン・チェックから除外するリモート・ドメイン名。

セミコロンで区切られたドメイン名を1つの行に並べるか、各行にドメイン名を1つずつ入力するか、またはこれらを組み合せて使用できます。

MBean属性:
SecurityConfigurationMBean.ExcludedDomainNames

詳細な構成オプション

名前 説明
セキュリティの相互運用モード

グローバル・トランザクションに参加するサーバー間でのXA呼出しに使用される通信チャネルのセキュリティ・モードを指定します。ドメイン内のすべてのサーバー・インスタンスのセキュリティ・モード設定が同じである必要があります。

「セキュリティの相互運用モード」のオプションは次のとおりです。

  • デフォルト

    トランザクション・コーディネータでは、カーネル・アイデンティティを使用し、管理チャネル(有効化されている場合)を介して呼出しを行います。管理チャネルが有効化されていない場合はanonymousを使用します。管理チャネルが有効化されていないと、介在者の攻撃のおそれがあります。

  • パフォーマンス

    トランザクション・コーディネータでは、常にanonymousを使用して呼出しを行います。この設定では、悪意のあるサードパーティが介在者の攻撃によってトランザクションの結果に影響を与える可能性があるので、セキュリティ上、リスクを伴います。

  • 互換性

    トランザクション・コーディネータでは、カーネル・アイデンティティで非セキュアなチャネルを使用して呼出しを行います。この設定では、介在者の攻撃が成功すると、攻撃者は双方のドメインに対する管理制御権を得ることができるため、セキュリティ上のリスクが高くなります。この設定は、強固なネットワーク・セキュリティが確立されている場合にのみ使用してください。

MBean属性:
JTAMBean.SecurityInteropMode

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

資格証明

WebLogic Serverドメインの資格証明。ドメインの作成時に、ドメインの一意な資格証明が生成されます。複数ドメイン間の信頼を確立する場合、対象ドメイン間で共有する資格証明を選択し、この箇所と他のドメインの同じ箇所に資格証明を指定します。

ノード・マネージャのユーザー名

管理サーバーが管理対象サーバーの起動、停止、または再起動時にノード・マネージャとの通信に使用するユーザー名。

MBean属性:
SecurityConfigurationMBean.NodeManagerUsername

ノード・マネージャのパスワード

管理サーバーが管理対象サーバーの起動、停止、または再起動時にノード・マネージャとの通信に使用するパスワード。

この属性の値を取得すると、WebLogic Serverは次の処理を実行します。

  1. NodeManagerPasswordEncrypted属性の値を取得します。

  2. 値を復号化し、暗号化されていないパスワードをString型で戻します。

この属性の値を設定すると、WebLogic Serverは次の処理を実行します。

  1. 値を暗号化します。

  2. NodeManagerPasswordEncrypted属性の値を、暗号化した値に設定します。

この属性(NodeManagerPassword)を使用すると、暗号化されていないパスワードを格納するString型のオブジェクトが、ガベージ・コレクションによって削除され、メモリーの再割当てが行われるまでJVMのメモリー内に留まるため、潜在的なセキュリティ上のリスクにつながります。JVM内でメモリーがどのように割り当てられているかによっては、この暗号化されていないデータがメモリーから削除されるまでに、かなりの時間が経過する可能性があります。

この属性を使用するかわりに、NodeManagerPasswordEncryptedを使用してください。

MBean属性:
SecurityConfigurationMBean.NodeManagerPassword

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

Webアプリケーション・ファイルの大文字/小文字を区別しない

Webアプリケーション・コンテナ内のセキュリティ制約、サーブレット、フィルタ、仮想ホストなどに対して、また外部セキュリティ・ポリシーに対して、URLパターンの照合時の大文字と小文字の区別に関する動作を指定します。有効な値は、ostruefalseです。ノート: これは、バージョン9.0より前のWebLogic Serverからアップグレードする場合の下位互換性のために提供されているWindows専用のフラグです。UNIXプラットフォームでは、この値をtrueに設定すると望ましくない動作を引き起こします。

値をosに設定すると、Windows以外のすべてのプラットフォームで、パターンの照合時に大文字と小文字が区別されます。(Windows以外のプラットフォームでは、WebLogic Serverでの大文字/小文字の区別は適用されず、最適化を図るためにファイル・システムに依存します。そのため、大文字/小文字を区別しないモードでインストールされたUNIXまたはMac OSからWindows Sambaのマウントを使用している場合は、セキュリティの面でリスクが生じる可能性があります。その場合は、この属性をtrueに設定して、大文字/小文字を区別しないルックアップを指定してください。)また、このプロパティは、Windowsファイル・システムでのみ下位互換性を保つためにも使用されます。バージョン9.0より前のWebLogic Serverでは、Windowsプラットフォームで大文字/小文字が区別されませんでした。ただし、WebLogic Server 9.0からは、URLパターンが厳密に照合されます。古いドメインのアップグレード時に、このパラメータの値は、下位互換性を保つために、アップグレード・プラグインによって明示的にosに設定されます。

ノート: UNIXプラットフォームでこのフラグをtrueに設定すると予期しない動作の原因となるため、この設定はサポートされていません。

MBean属性:
SecurityConfigurationMBean.WebAppFilesCaseInsensitive

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

厳密なURLパターンを適用

システムで厳密なURLパターン(「/」でWebアプリケーションのコンテンツ全体を表す)を適用するかどうかを指定します。

このプロパティは、バージョン8.1との下位互換性のために提供されています。このフィールドを選択すると、システムではセキュリティ・コンテナ内のWebアプリケーション全体を表すデフォルトの文字として「/」が使用されます。これは標準のJava EE構文であり、サーブレット・コンテナでも同じ文字が使用されています。バージョン8.1のセキュリティ・コンテナでは、Webアプリケーション全体を表すデフォルトの文字として「/*」が使用されていました。アプリケーションのこのコンテキストで引き続き「/*」を使用する場合は、値をfalseに変更する(選択を解除する)必要があります。falseに設定すると、セキュリティ・コンテナは「/*」を「/」と同じものとして認識するため、サーブレット・コンテナとの整合性が保証されます。

MBean属性:
SecurityConfigurationMBean.EnforceStrictURLPattern

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

信頼性のないプリンシパルのダウングレード

検証できない匿名プリンシパルにダウングレードするかどうかを指定します。

この機能は、信頼性のないドメイン間のサーバーとサーバーの通信に役立ちます。

MBean属性:
SecurityConfigurationMBean.DowngradeUntrustedPrincipals

Principal Equalsの大文字/小文字を区別しない

プリンシパル・オブジェクトのequalsメソッドが実行された場合、大文字/小文字を区別しない一致条件を使用して、WebLogic Serverのプリンシパル名を比較するかどうかを指定します。

この属性が有効な場合、一致条件では大文字/小文字を区別しません。

ノート: WebLogic Security Serviceでは、保護されたリソースへのアクセスを決定するのにプリンシパルの比較は使用されません。この属性は、大文字/小文字を区別しないプリンシパル照合動作が必要とされることがあるJAAS認可での使用を想定しています。

MBean属性:
SecurityConfigurationMBean.PrincipalEqualsCaseInsensitive

Principal EqualsでDNとGUIDを比較

WebLogic Serverプリンシパル・オブジェクトのequalsメソッドが呼び出されたときに、このオブジェクトにあるGUIDおよびDNデータを使用するかどうかを指定します。

有効にした場合、このメソッドが呼び出されると、GUIDおよびDNデータ(WebLogic Serverプリンシパル・オブジェクトの属性間に含まれている場合)およびプリンシパル名が比較されます。

MBean属性:
SecurityConfigurationMBean.PrincipalEqualsCompareDnAndGuid

接続フィルタの互換性を有効化

このWebLogic Serverドメインで、以前の接続フィルタとの互換性を有効にするかどうかを指定します。

このフィールドのチェックの有無により、フィルタの実行が必要なときに使用するプロトコルの名前が変わります。

MBean属性:
SecurityConfigurationMBean.CompatibilityConnectionFiltersEnabled

動的でない変更が行われた場合にセキュリティ管理操作を許可する

動的でない変更が行われて管理サーバーの再起動が必要な場合に、セキュリティ管理操作を許可するかどうかを指定します。

ユーザーがセキュリティMBeanの動的でない属性を変更して、変更をアクティブ化した場合、デフォルトでは、サーバーが再起動されるまでセキュリティ管理操作を行うことはできません。ユーザーはこのフィールドを選択することで、このデフォルトの動作をオーバーライドできます。これにより、サーバーを再起動せずにセキュリティ管理操作を行うことができるようになります。この属性は新しいコンソール・セッションを開始するとfalseにリセットされます。

クリア・テキストの資格証明アクセスを有効化

クリア・テキストでの資格証明アクセスが可能かどうかを指定します。この値はシステム・プロパティ-Dweblogic.management.clearTextCredentialAccessEnabledでオーバーライドできます。

MBean属性:
SecurityConfigurationMBean.ClearTextCredentialAccessEnabled

デモへのKSSの使用

デモ・アイデンティティおよびデモ信頼キーストアをOracleキー・ストア・サービス(KSS)から取得する必要があるかどうかを指定します。

MBean属性:
SecurityConfigurationMBean.UseKSSForDemo

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

セキュア本番モード

ドメインをセキュア本番モードで実行するかどうかを指定します。セキュア本番モードを有効にするには、ドメインは本番モードである必要があります。

MBean属性:
SecureModeMBean.SecureModeEnabled

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

限定的なJMXポリシー

JMX認可に限定的なポリシーを使用するかどうかを指定します。

MBean属性:
SecureModeMBean.RestrictiveJMXPolicies

非セキュアなSSLへの警告

SSL構成がセキュアでない場合、警告を記録するかどうかを指定します。

MBean属性:
SecureModeMBean.WarnOnInsecureSSL

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

非セキュアなファイル・システムへの警告

ファイル・システムがセキュアでない場合、警告を記録するかどうかを指定します。

MBean属性:
SecureModeMBean.WarnOnInsecureFileSystem

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

監査への警告

監査が有効化されていない場合、警告を記録するかどうかを指定します。

MBean属性:
SecureModeMBean.WarnOnAuditing

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

非セキュアなアプリケーションへの警告

アプリケーションがセキュアである場合、警告を記録するかどうかを指定します。

MBean属性:
SecureModeMBean.WarnOnInsecureApplications

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

Javaセキュリティ・マネージャへの警告

Javaセキュリティ・マネージャが有効化されていない場合、警告を記録するかどうかを指定します。

MBean属性:
SecureModeMBean.WarnOnJavaSecurityManager

変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。


トップに戻る