8 Oracle Managed File Transferのセキュリティ

Oracle Managed File Transferおよびその埋込みFTPおよびsFTPサーバーのセキュリティを維持する方法を学習します。

この章の内容は次のとおりです。

• ユーザーの認証および認可

• 埋込みサーバーのセキュリティ

• リモートSFTPサーバーのセキュリティ

• シングル・サインオンのためのOracle Access Manager 11gとの統合

• PGPを使用したメッセージ暗号化

• FIPS 140準拠

• Oracle Managed File Transferストライプの作成

• WLSTコマンドを使用したキーストアの管理

• セキュリティ監査ロギングの有効化

• OWSMセキュリティ・ポリシー・アタッチメント

• Oracle Managed File TransferのSSLのみドメインの構成

8.1 ユーザーの認証および認可

ユーザーを構成し、Oracle Managed File Transferに対するアクセス権を付与し、埋込みFTPおよびsFTPサーバーのディレクトリと転送ペイロードに対する権限を付与できます。

ノート:

ユーザーがすでにログインしているときにユーザーの権限が変更された場合、その変更は次のログインでのみ有効になります。一度ユーザーが認証されると、ユーザーの権限は、ユーザーがログアウトして再度ログインするまで変更されません。これはすべてのコンソール、WLST、RESTfulや、デプロイ、有効化/無効化、インポート/エクスポートまたは読出し/書込みなどの埋込みサーバー操作に適用されます。

ノート:

WebLogicコンソールまたはEnterprise Managerのユーザーまたはグループのグループまたはロール関連は、管理対象サーバーに直接反映されません。MFTアプリケーションのロール・メンバーシップを反映するには、約10分間の遅延があります。新しいグループ関連は、MFTセキュリティ操作を実行中に有効にするために遅延します。

8.1.1 ユーザーの構成

Oracle Managed File Transferのユーザーを構成してグループに割り当てる操作は、Oracle WebLogic Server管理コンソールで行います。

ノート:

Oracle Managed File Transferは、OracleSystemUserとしてOracle Enterprise Scheduler Serviceと通信します。このユーザーを削除しないでください。削除した場合は、転送構成の中で「スケジュールの追加」をクリックしたときにOracleSystemUserは存在しませんというメッセージが返されて、監視レポートの「スケジュール詳細」が空白になる可能性があります。転送スケジュールの詳細は、「スケジュールの設定」を参照してください。

このプロセスのステップは次のとおりです。

1. Oracle WebLogic Serverホスト名およびコンソール・ポートを含むURLを使用して、Oracle WebLogic Serverコンソールにアクセスします。

   http://wls-hostname:console-port/console
   

   次に例を示します。

   http://localhost:7011/console
   

2. Oracle WebLogic Server管理者のユーザー名とパスワードを使用してログインします。
3. Oracle WebLogic Server管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
4. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。
5. 「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
6. 「新規」をクリックします。
7. 「新規ユーザーの作成」ページの「名前」フィールドに、ユーザーの一意の英数字名を入力します。
8. 「説明」フィールドに説明を入力します。説明は、ユーザーの完全な名前にします。これはオプションです。
9. 「プロバイダ」ドロップダウン・リストで、DefaultAuthenticatorを選択します。
10. 「パスワード」フィールドに、ユーザーのパスワードを入力します。

    パスワードの最小の長さは8文字です。プロダクションでは、ユーザー名とパスワードの組合せとしてweblogic/welcome1は使用しないでください。

11. ユーザーのパスワードを「パスワードの確認」フィールドに再入力します。
12. 「OK」をクリックして、変更内容を保存します。
13. 「ユーザー」表で、新規ユーザーの名前をクリックします。
14. 「ユーザー名」ページの「設定」で、「グループ」を選択します。
15. 「使用可能」リスト・ボックスでグループを選択して「選択済み」リスト・ボックスに移動します。1人のユーザーが複数のグループのメンバーになることができます。

    MFTコンソール・アクセスのグループは表8-1、MFT埋込みサーバー・アクセスのグループは表8-2を参照してください。

16. 「保存」をクリックします。

詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項およびグループへのユーザーの追加に関する項を参照してください。

8.1.2 Oracle Managed File Transferコンソール・アクセス

ユーザーがOracle Managed File Transferコンソールにログインするときに使用する名前とパスワードは、「ユーザーの構成」で説明しているプロセスで割り当てられます。Oracle Managed File Transferのどのページが最初に表示されるかは、そのユーザーのグループによって決まります。

• 管理者およびMonitorsの場合は、最初に「監視」ページが表示されます。

• Deployersの場合は、最初に「デザイナ」ページが表示されます。

DeployersグループとMonitorsグループの両方に割り当てられているユーザーの場合は、最初に「デザイナ」ページが表示されます。

表8-1は、MFTコンソールに対するユーザー・アクセスのロール、グループおよび許可されたアクションの一覧です。コンソール・アクセスはロールのみに基づいています。埋込みサーバー・アクセスのロールとグループによってコンソール・アクセスが決定するわけではありません。

表8-1 MFTコンソールのロール、グループおよび権限

ロール	ロールを持つグループ	許可されているコンソールでのアクション
MFTAdmin	Administrators、OracleSystemGroup	「インポート」、「エクスポート」、パージ、「設計」、「デプロイ」、「監視」、「再送信」、「一時停止」-「再開」、「再試行」、「無効化」、「有効化」、StartES、StopES (すべてのアクション)
MFTMonitor	モニター	「監視」、「再送信」、「一時停止」-「再開」、「再試行」、「無効化」、「有効化」、StartES、StopES
MFTDesigner	Deployers	「設計」、「デプロイ」

8.1.3 埋込みサーバーのユーザー・アクセス

ユーザーに埋込みFTPおよびsFTPサーバーのディレクトリへのアクセス権を付与できます。

WLSTを使用して埋込みサーバーのユーザー・アクセスを構成するには、『SOA Suite WLSTコマンド・リファレンス』のOracle Managed File TransferでのWLSTコマンドの使用に関する項およびMFT埋込みサーバーのコマンドに関する項を参照してください。

埋込みFTPサーバーと埋込みsFTPサーバーのディレクトリへのアクセス権を付与するには:

1. 「管理」ページの左ペインで、「埋込みサーバー」の左にある矢印をクリックします。

   「ポート」と「ユーザー・アクセス」という項目が表示されます。

2. 「ユーザー・アクセス」をクリックします。

   「埋込みサーバーのユーザー・アクセス」タブが開きます。

3. 「ユーザー」、「グループ」または「ロール」を選択してから、ユーザー、グループまたはロールの名前をテキスト・フィールドに入力します。少なくとも3文字入力する必要があります。一致した場合は、テキスト・フィールドの下に表示されます。追加する一致をクリックします。

   ユーザー、グループおよびロールを構成するには、「ユーザーの構成」で説明しているプロセスを使用します。

   ノート:

   「アクセシビリティ・プリファレンス」で「スクリーン・リーダー・モードの有効化」が選択されている場合は、ユーザー、グループまたはロールの名前全体を入力する必要があります。詳細は、「言語、タイムゾーンおよびアクセシビリティ・プリファレンスの設定」を参照してください。

4. 「フォルダの追加」(+)アイコンをクリックします。

   ユーザーのデフォルトのフォルダが表に追加され、「ホーム・フォルダとして設定」が選択された状態になります。

5. その他のフォルダを追加するには、「検索」アイコンをクリックします。

   1. 検索するディレクトリを「使用可能なフォルダ」テキスト・ボックスに入力します。

   2. 「使用可能なフォルダ」テキスト・ボックスの右にある矢印をクリックします。

      検索ディレクトリのサブディレクトリが表示されます。

   3. ディレクトリの左にある矢印をクリックすると、その下のサブディレクトリが表示されます。

   4. ディレクトリを選択するには、そのチェック・ボックスを選択します。

   5. 「選択済の追加」をクリックします。

6. 別のホーム・フォルダを割り当てるには、「ホーム・フォルダとして設定」を選択します。これはオプションです。

   「ホーム・フォルダとして設定」が選択されている場合は、ユーザーが埋込みサーバーにログオンしたときにそのホーム・フォルダが作業フォルダとなります。ホーム・フォルダが存在しない場合は、ログイン時に作成されます。

7. 次に示す権限を行ごとに設定します。すべての行の権限を設定するには、列見出しのチェック・ボックスを選択するか選択を解除します。

   • サブフォルダへのアクセス: 同じ権限設定をすべてのサブフォルダに適用します。

   • 読取り: ファイルの内容の表示を許可します。

   • 書込み: ファイルの内容の変更を許可します。

   • 削除: ファイルの削除を許可します。

   • リスト: ディレクトリの内容の表示を許可します。

8. 「保存」をクリックします。

特定のユーザーの、前回の保存以降のすべての権限変更を元に戻すには、「すべてリセット」をクリックします。すべてのユーザーの、前回保存以降の変更をすべて元に戻すには、「元に戻す」をクリックします。

表8-2は、MFT埋込みサーバーのディレクトリに対するユーザー・アクセスのグループと、デフォルトで許可されるアクションの一覧です。コンソール・アクセスのロールとグループによって埋込みサーバーへのアクセス権が決定するわけではありません。

表8-2 MFT埋込みサーバーのグループと権限

グループ	メンバー	許可されているアクション	その他のノート
管理者	任意のエンタープライズ・ユーザー。 デフォルトでは、weblogicというユーザーがメンバーです。	「読取り」、「書込み」、「削除」、「リスト」(ファイルの操作) createDir、renameDir、deleteDir、changeDir (ディレクトリの操作)	デフォルトでは、すべての権限がどのメンバーにも付与されます。
OracleSystemGroup	任意のエンタープライズ・ユーザー。 デフォルトでは、OracleSystemUserというユーザーがメンバーです。	「読取り」、「書込み」、「削除」、「リスト」(ファイルの操作)	このグループをアクセス・プロビジョニングに使用することはお薦めしません。このグループは、内部アプリケーションおよびシステム管理のためのものであるからです。
その他の既存グループ	任意のエンタープライズ・ユーザー。	「読取り」、「書込み」、「削除」、「リスト」(ファイルの操作)	このグループの例としては、MonitorsやDeployersがあります。 これらのグループと、そのグループに属しているユーザーの一覧は、「埋込みサーバーのユーザー・アクセス」タブに表示されます。
ユーザーが作成したグループ	任意のエンタープライズ・ユーザー。	「読取り」、「書込み」、「削除」、「リスト」(ファイルの操作)	これらのグループと、そのグループに属しているユーザーの一覧は、「埋込みサーバーのユーザー・アクセス」タブに表示されます。
ユーザーが作成したロール	任意のエンタープライズ・ユーザーまたはグループ。	メンバー・グループに基づきます。ロールのメンバーとしてAdministratorsグループが含まれている場合は、すべての操作が許可されます。それ以外の場合は、ファイル操作のみが許可されます。	埋込みサーバーのアクセス・プロビジョニングのための既存ロールはありません。ロールを作成し、メンバーを割り当てて、アクセスをプロビジョニングできます。

8.1.4 ペイロード・アクセスの許可

ユーザー、グループおよびロールに、次のような特性を持つ転送のペイロードへのアクセス権を付与できます。

• ターゲット・タイプがSOAP、SOA、Service BusまたはODI

• 「配信方法」の値が「参照」

• 「参照タイプ」の値が「FTP」

特定のアクセス権を付与しない場合は、すべてのユーザー、グループおよびロールが転送ペイロードにアクセスできるようになります。

このプロセスのステップは次のとおりです。

1. 左側のペインのナビゲータで「転送」の左にある矢印をクリックします。

   転送がリストされます。

2. 転送名をクリックするか、転送名を右クリックして「開く」メニュー・アイテムを選択します。

   その転送のタブが開きます。

3. 「ペイロードへのアクセス」の左にある矢印をクリックします。

   「ペイロードへのアクセス」セクションが開きます。

4. 「ユーザー、グループ、およびロールの追加」をクリックします。

   ユーザーの追加ダイアログが開きます。

5. カテゴリ(「ユーザー」、「ロール」または「グループ」)を選択します。
6. ユーザー、ロールまたはグループの名前の一部分または全体を「検索」フィールドに入力します。

   少なくとも3文字入力する必要があります。一致した場合は、「検索」フィールドの下に表示されます。

7. 一致する名前のうち、どれを追加するかを選択します。

   選択した名前が検索フィールドに表示されます。

8. 「リストに追加」をクリックします。

   名前が「選択されたユーザー、グループおよびロール」のリストに表示されます。

   ユーザー、ロールまたはグループをリストから削除するには、その右にある赤色の「X」をクリックします。

9. 追加するユーザー、ロールまたはグループごとに、ステップ5から8までを繰り返します。
10. 「ユーザーの追加」をクリックします。

    ユーザーの追加を取り消すには、「取消」をクリックします。

    ユーザーの追加ダイアログが閉じます。

11. 追加する各ユーザー、ロールまたはグループが転送タブの「ペイロードへのアクセス」セクションに表示されていることを確認します。

    ユーザー、ロールまたはグループをリストから削除するには、その右にある赤色の「X」をクリックします。

12. 「保存」をクリックし、必要に応じて転送をデプロイします。

転送の構成方法の詳細は、「転送の構成」を参照してください。

8.2 埋込みサーバーのセキュリティ

埋込みサーバーのセキュリティを維持する方法は、sFTP (SSH-FTP)とFTPS (FTP over SSL)の2つのタイプがあります。

埋込みサーバーは次のプロトコルをサポートします: FTP RFC959、FTP RFC2228、sFTP、FTPS、SSH-2、TLS 1.1およびTLS 1.2。SSH-1プロトコルおよびSSHD(セキュア・シェル)はサポートされていません。

8.2.1 sFTP (SSH-FTP)

表8-3は、sFTP埋込みサーバーの設定のうち、セキュリティに関連するものの一覧です。これらの設定は、「管理」ページの「埋込みサーバー」タブの「sFTP」サブタブにあります。これらの設定を変更した後に、その設定を反映するためにsFTPサーバーを停止および起動する必要があります。

表8-3 sFTP埋込みサーバーのセキュリティ設定

設定	説明
認証タイプ	認証タイプとして、パスワード(デフォルト)、公開キーまたは両方を指定します。
ホスト・キー・エイリアス	認証用のSSH秘密キーの別名を指定します。SSHのキーを作成するには、「SSHキーストアの構成」を参照してください。

8.2.2 FTPS (FTP Over SSL)

表8-4は、FTP埋込みサーバーの設定のうち、セキュリティに関連するものの一覧です。これらの設定は、「管理」ページの「埋込みサーバー」タブの「FTP」サブタブにあります。これらの設定を変更した後に、その設定を反映するためにFTPサーバーを停止および起動する必要があります。

表8-4 FTP埋込みサーバーのセキュリティ設定

設定	説明
プレーンFTP	暗黙的または明示的SSLサポートがない、プレーンFTPがFTPサーバーで有効になります。プレーンFTPに加えて、暗黙的または明示的SSLサポートのどちらかまたは両方を有効にできます。デフォルトでは有効です(選択されています)。
暗黙的	クライアントはTLS/SSL ClientHelloメッセージでFTPSサーバーに即座にチャレンジする必要があります。FTPS対応でないクライアントは暗黙的SSLが有効なサーバーには接続できません。デフォルトでは有効です(選択されています)。
明示的	FTPサーバーがセッションを暗号化するようにクライアントが明示的にリクエストでき、暗号化方法を相互に同意できます。これは明示的FTPSまたはFTPESと呼ばれています。明示的モードは従来の方法と互換性があるので、プレーンFTPクライアントも引き続きFTPサーバーに接続できます。FTPSセキュリティを起動する一般的なコマンドには、AUTH TLSやAUTH SSLなどがあります。デフォルトでは有効です(選択されています)。
クライアント認証	クライアント認証のレベルとして、必要、希望、なしのいずれかを指定します。「暗黙的」または「明示的」を選択した場合にのみ指定します。 必要 - FTPサーバーのSSLエンジンは、ハンドシェイク時にクライアント認証を必要としています。 希望 - FTPサーバーのSSLエンジンは、ハンドシェイク時にクライアント認証をリクエストとしています。 なし - クライアント認証は実行されません(デフォルト)。
プロトコル	セキュリティ・プロトコルとして、TLS(デフォルト)またはSSLを指定します。「暗黙的」または「明示的」を選択した場合にのみ指定します。
暗号スイート	使用する暗号スイートを指定します。使用可能なすべての暗号スイートを使用するには、「すべて」を選択します。何も選択しないと、デフォルト・リストが使用されます。「暗黙的」または「明示的」を選択した場合にのみ指定します。
証明書エイリアス	認証用のSSL秘密キーの別名を指定します。「暗黙的」または「明示的」を選択した場合にのみ指定します。SSLのキーを作成するには、「SSLキーストアの構成」を参照してください。

ノート:

次に示すメッセージは、問題点ではなく、使用できる有効なポートがない場合にFTPSサービスが開始されないことを示すために記録される情報です。このエラー情報は、暗黙的FTPSサービスが有効な場合は表示されません。

{APP: mft-app] [partition-name: DOMAIN]
oracle.mft.COMMON.<MFTServer.initFTPServer>:Invalid value for FTPS Port: [-1]. FTPS Service will fail to start.

8.3リモートSFTPサーバーのセキュリティ

リモートSFTPサーバーのセキュリティ・アルゴリズム

KeyExchangeAlgorithm

• diffie-hellman-group1-sha1 <!-- 非推奨 -->
• diffie-hellman-group-exchange-sha1
• diffie-hellman-group14-sha1
• diffie-hellman-group-exchange-sha256
• ecdh-sha2-nistp521
• ecdh-sha2-nistp384
• ecdh-sha2-nistp256

CompressionAlgorithm

• なし
• zlib
• zlib@openssh.com

DataIntegrityAlgorithm (MAC)

• hmac-md5 <!-- 非推奨 -->
• hmac-sha1
• hmac-sha256
• hmac-sha256@ssh.com
• hmac-sha2-512
• hmac-sha2-512-etm@openssh.com
• hmac-sha2-512-96
• hmac-sha2-256-96
• hmac-sha2-256-etm@openssh.com
• hmac-sha2-256
• hmac-ripemd160
• hmac-ripemd160-etm@openssh.com
• hmac-sha1-96
• hmac-sha1-etm@openssh.com

PKIAlgorithm

• ssh-rsa
• ssh-dss<!-- 非推奨 -->
• x509v3-sign-rsa
• x509v3-sign-rsa-sha1
• ecdsa-sha2-nistp521
• ecdsa-sha2-nistp384
• ecdsa-sha2-nistp256

CipherSuite

• twofish192-cbc <!-- 非推奨 -->
• cast128-cbc <!-- 非推奨 -->
• twofish256-cbc <!-- 非推奨 -->
• aes128-cbc
• aes128-ctr
• twofish128-cbc <!-- 非推奨 -->
• 3des-cbc
• 3des-ctr
• aes256-cbc
• aes256-ctr
• aes192-cbc
• aes192-ctr

8.4 シングル・サインオンのためのOracle Access Manager 11gとの統合

Oracle Managed File TransferコンソールのURLをOracle Access Manager 11gと統合すると、他のエンタープライズWebアプリケーションとのシングル・サインオンを実現できます。

Oracle Access Managerのインストールと構成の全般的な情報は、『Oracle WebCenter Portalの管理』のOracle Access Manager (OAM)の構成に関する項を参照してください。

MFTコンソールのURLを保護するには、「OAM 11gのためのWebLogic Server管理コンソールおよびEnterprise Managerの構成」で説明しているステップを実行します。ただし、「リソースURL」には/mftconsole /mftconsole/* /mftconsole/.../*を指定します。

8.5 PGPを使用したメッセージ暗号化

転送されるデータを保護するためにファイルの暗号化や復号化を行うことができます。

詳細は、「ソースでの暗号化と復号化」または「前処理での暗号化と復号化」を参照してください。

暗号化の場合は、PGP公開キーの別名を参照する必要があります。復号化の場合は、PGP秘密キーの別名を参照する必要があります。

Oracle Managed File Transferキーストア内でPGPキーとキー別名を設定するには、「PGPキーストアの構成」を参照してください。

8.6 FIPS 140準拠

FIPS 140-2は、機密情報を保護するために暗号化モジュールが満たしている必要があるセキュリティ要件を規定しています。この標準では、暗号化モジュールを使用する可能性のある幅広いアプリケーションおよび環境に対応するために、質的に拡張された4段階のセキュリティレベルが指定されています。

Oracle Fusion Middlewareリリース12c (12.2.1.x)では、FIPS 140-2対応の暗号化ライブラリを使用できます。FIPS 140モードで動作できるのは、Oracle Managed File Transferでサポートされている特定のシナリオ・セットと転送の場合のみです。また、認証、許可、機密保護、整合性など、セキュリティの影響を受けるタスクをサポートまたは実行するために検証済の暗号化が使用される箇所に適用されます。

Oracle Managed File TransferにおけるFIPS 140–2の使用の詳細は、『Oracle Fusion Middleware Oracle Fusion Middlewareの管理』で、Oracle Fusion MiddlewareでのFIPS 140サポートに関する項を参照してください。

MFTでは、FIPS 140-2認証に次の認証が該当します。

• 組込みSFTPサーバー

• 組込みFTP over SSLサーバー

• PGP暗号化/復号化アクション

• チェックサムの生成

• SFTPRemote

JavaオプションでのFIPS 140–2モードの有効化

JavaオプションでFIPS 140-2を有効にするには、次のステップに従います。

1. 次のURLより、使用しているJDKのバージョンに対応するJava Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルをダウンロードおよびインストールします。これらのJavaポリシーJARファイルは、サイズが128ビットを超える暗号キーに影響します。

   http://www.oracle.com/technetwork/java/javase/downloads/index.html

   .ZIPディストリビューションを開き、JAVA_HOME/jre/lib/セキュリティのlocal_policy.jarと US_export_policy.jar を更新します。詳細およびインストール方法は、.ZIPディストリビューション内のREADME.txtファイルを参照してください。

2. 自らのjava.securityファイルを作成します。インストールしたJDKに含まれるファイルを見本として使用できます。

   RSA JCEプロバイダとRSA JSSEプロバイダの両方を、java.securityプロパティ・ファイルに最初の2つのJavaセキュリティ・プロバイダとして追加します。

   #
   security.provider.1=com.rsa.jsafe.provider.JsafeJCE
   security.provider.2=com.rsa.jsse.JsseProvider
    
   security.provider.3=sun.security.provider.Sun
   :

3. WebLogic Serverを起動します。

WebLogic ServerにおけるFIPSの有効化については、「FIPSモードの有効化」を参照してください

SFTP

SFTPサーバーでFIPSが有効化されている場合、RSAおよびDSAキーはサポートされていません。Oracle MFTでは、サイズが256、384ビットのECDSAキーのみをサポートしています。

タイプ	非FIPSアルゴリズム	FIPSアルゴリズム
KeyExchange	DHG1	DHG14
暗号	BlowfishCBC	AES128CBC、TripleDESCBC、AES192CBC、AES256CBC
メッセージ認証	HMACMD5、HMACMD596、HMACSHA196	HMACSHA1
署名	RSA、DSA	ECDSA

ノート:

FIPSがOracle WebLogic Serverで有効な場合、MD5およびBlowfish暗号化アルゴリズムはサポートされません。

FTP-SSL

FTPSサーバーでFIPSが有効化されている場合、2048ビット以上のサイズのキーがサポートされています。有効な場合、「暗号スイート」リストに示されている暗号はデフォルトでFIPS準拠です。したがって、MFT SSLサーバーはそのリストで選択されたもののみサポートします。

MD2、MD4、MD5、RC2、RC4、RC5、DHのアルゴリズムを使用する暗号は、FIPS認証のアルゴリズムではありません。

ノート:

MFT SSLは、非FIPSモードおよびFIPSモードの両方で多くの暗号をサポートしています。しかし、MFTでサポートされている暗号のすべてがFTPクライアントでサポートされているわけではありません。 FTPクライアントがMFT暗号のサブセットのみをサポートしている場合があります。暗号を使用する前に、FTPクライアントが選択した暗号をサポートしていることを確認してください。特定の暗号に加えて、プロバイダに共通する暗号を組み合せて使用することをお薦めします。

PGP

タイプ	非FIPSアルゴリズム	非FIPSアルゴリズム
暗号化	CAST、BLOWFISH、SAFER、DES、TWOFISH、IDEA (ライセンスの関係でサポート対象外)	AES_128、AES_192、AES_256

ノート:

FIPSモードでは、TRIPLE_DESアルゴリズムはサポートされません。

アルゴリズム	MBeanの値
NULL	0
IDEA (ライセンスの関係でサポート対象外)	1
TRIPLE_DES	2
CAST5	3
BLOWFISH	4
SAFER (PGP対称キーの場合は該当せず)	5
DES	6
AES_128	7
AES_192	8
AES_256	9
TWOFISH	10

チェックサムの生成

タイプ	非FIPSアルゴリズム	非FIPSアルゴリズム
メッセージ・ダイジェスト	MD5	SHA-1,SHA-224,SHA-256,SHA-384,SHA-512

ノート:

デフォルトのプロバイダで、つまり非FIPSモードで使用できるのはMD5、SHA-1、SHA-256のみです。

JCAトランスポート

タイプ	非FIPSアルゴリズム	非FIPSアルゴリズム
データ整合性アルゴリズム	Hmac-md5	Hmac-sha1、Hmac-sha256、Hmac-sha256@ssh.com
キー交換アルゴリズム	Diffie-hellman-group1-sha1、Diffie-hellman-group-exchange-sha1	Diffie-hellman-group14-sha1
暗号スイート	Cast128、Twofish256、Twofish128、Blowfish	3Des、Aes128、Aes192、Aes256
PKIアルゴリズム	DSS	3Des、Aes128、Aes192、Aes256

ノート:

FIPS jarを追加してWebLogicレベルでFIPSが有効な場合、MFTレベルのFIPSが有効でない場合でも、MD5/blowfishはサポートされません。

Oracle Managed File TransferにおけるFIPS 140–2の使用の詳細は、『Oracle Fusion Middleware Oracle Fusion Middlewareの管理』で、Oracle Fusion MiddlewareでのFIPS 140サポートに関する項を参照してください。

8.7 Oracle Managed File Transferストライプの作成

Oracle Managed File TransferインストールのMFTキーストア・ストライプは、デフォルトでは作成されません。このストライプは、Oracle Enterprise Manager Fusion Middleware ControlコンソールまたはOracle WebLogic Scripting Tool (WLST)コマンドを使用して手動で作成する必要があります。

• Fusion Middleware Controlを使用したOracle Managed File Transferストライプの作成
• WLSTコマンドを使用したOracle Managed File Transferストライプの作成

8.7.1 Fusion Middleware Controlを使用したOracle Managed File Transferストライプの作成

Oracle Enterprise Manager Fusion Middleware Controlコンソールを使用してMFTキーストア・ストライプを作成するには、次のステップを実行します:

1. Fusion Middleware Controlコンソールにログインします。
2. ターゲット・ナビゲーション・ペインで、WebLogicドメイン・ノードを開きます。
3. Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインを選択します。

   たとえば、ドメインはsoainfraまたはbase_domainです。

4. そのドメインを右クリックし、「セキュリティ」→「キーストア」を選択します。
5. 「ストライプの作成」をクリックします。
6. 新しいストライプの名前mft (すべて小文字)を入力します。
7. オプションのパスワードを使用して、mftDefaultStoreという名前の新しいmftストライプの下にデフォルトのキーストアを作成します。
8. Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーを再起動します。「Oracle WebLogic Serverの起動と停止」を参照してください。

8.7.2 WLSTコマンドを使用したOracle Managed File Transferストライプの作成

WLSTコマンドを使用してMFTキーストア・ストライプを作成するには、次のステップを実行します:

1. WLSTを起動します。
2. 管理サーバーに接続します。

   connect("username","password","t3://hostname:port")

   次に例を示します。

   connect("weblogic","weblogic1","t3://localhost:7001")

3. Oracle Platform Security Servicesキーストア・サービスにアクセスします。

   svc = getOpssService(name='KeyStoreService')

4. ストアが作成されているかどうかを確認します(mft/mftDefaultStore):

   svc.listKeyStores(appStripe='*')

5. ストアがない場合は、mftというSSLキーストアと、mftDefaultStoreというストアを作成します:

   svc.createKeyStore(appStripe='mft', name='mftDefaultStore', password='P@s$W0rd', permission=true)

6. SSLキーを作成します。

   svc.generateKeyPair(appStripe='mft', name='mftDefaultStore', password='P@s$W0rd', dn='cn=www.mycompany.org', keysize='1024',
   alias='mftssl', keypassword='P@s$W0rd2')

7. MFTを再起動し、再度テストします。

8.8 WLSTコマンドを使用したキーストアの管理

Oracle Managed File Transferでは、SSLとSSHのキーを使用して埋込みサーバーのセキュリティを維持し、PGPキーを使用してメッセージを暗号化します。キーストアを管理するには、Oracle Managed File TransferコンソールまたはOracle WebLogic Scripting Tool (WLST)コマンドを使用できます。

Oracle Managed File Transferコンソールを使用してキーストアを管理するには、Oracle Managed File Transferコンソールを使用したキーストアの管理を参照してください。

Oracle WebLogic Scripting Tool (WLST)を使用してキーストアを管理するには、次の項を参照してください。

• SSLキーストアの構成

• SSHキーストアの構成

• PGPキーストアの構成

ノート:

• MFT WLSTキーストア管理コマンドを使用して、MFTキーストアのSSL、PGP、SSHおよびPEMのキーを生成、インポート、エクスポート、削除、一覧表示および更新できます。詳細は、『SOA Suite WLSTコマンド・リファレンス』のMFTキー管理コマンドに関する項を参照してください。

• バイナリ(DER)形式のSSLキーはサポートされていません。BASE64 (PEMまたはCER)形式のキーを使用してください。opensslコマンドを使用して、キーの形式を変換できます。

  長さが1024ビットを超えるキーがサポートされます。ただし、キーの長さが1024ビットを超える場合は、エクスポートの制約があります。このような制限のほとんどは、JAVA_HOME\jre7\lib\securityディレクトリでJREレベルで指定されています。

• 追加のキーストアを作成するには、WLSTコマンドまたはOracle Enterprise Manager Fusion Middleware Controlコンソールを使用します。Fusion Middleware Controlの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスでのキーと証明書の管理に関する項、Oracle Fusion Middlewareの管理に関するドキュメントのキーストア、ウォレットおよび証明書の管理に関する項および『Oracle Platform Security Servicesによるアプリケーションの保護』の資格証明ストアの管理に関する項を参照してください。

8.8.1 SSLキーストアの構成

Oracle Managed File Transfer SSLのキーおよび証明書の保存には、デフォルト・キーストアが使用されます。デフォルト・キーストアを構成するには、WLSTとOracle Managed File Transferコンソールを使用します。

このプロセスのステップは次のとおりです。

1. WLSTを起動します。
2. Oracle Platform Security Servicesキーストア・サービスにアクセスします。

   svc = getOpssService(name='KeyStoreService')

3. SSLキーストアの作成:

   svc.createKeyStore(appStripe='StripeName', name='StoreName',  password='StorePassword', permission=false/true)

   次に例を示します。

   svc.createKeyStore(appStripe='mft', name='mftDefaultStore', password='P@s$W0rd', permission=true)

4. SSLキーを作成します。

   svc.generateKeyPair(appStripe='StripeName', name='StoreName', password='StorePassword', dn='cn=CompanyURL', keysize='1024',
   alias='Alias', keypassword='KeyPassword')

   次に例を示します。

   svc.generateKeyPair(appStripe='mft', name='mftDefaultStore', password='P@s$W0rd', dn='cn=www.mycompany.org', keysize='1024',
   alias='mftssl', keypassword='P@s$W0rd2')

   ストライプ名はmftと指定し、ストア名はmftDefaultStoreと指定します。Oracle Managed File Transferでは、これらの名前がデフォルトで使用されます。ストアとキーのパスワードは省略可能です。「Fusion Middleware Controlを使用したOracle Managed File Transferストライプの作成」を参照してください。

   FTPサーバーのセキュリティを維持するには、このステップで構成したSSL秘密キーの別名を参照します。「FTPS (FTP Over SSL)」の「証明書エイリアス」の説明を参照してください。

5. WLSTを終了します。
6. Oracle Managed File Transferコンソールの「管理」ページの左ペインで、「キーストア」をクリックします。
7. 前のステップでキーおよびキーストアのパスワードを指定した場合は、「秘密キーのパスワード」フィールドにSSLキーのパスワードを入力し、「キーストア・パスワード」フィールドにキーストアのパスワードを入力します。
8. 「保存」をクリックします。

8.8.2 SSHキーストアの構成

SSHキーストアを構成するには、WLSTとOracle Managed File Transferコンソールを使用します。

このプロセスのステップは次のとおりです。

1. WLSTを起動します。
2. WLSTのgenerateKeysコマンドを使用して、パスワードで保護されたSSH秘密キーを作成します。キーのタイプはRSAで、キーのサイズは1024ビットです。次に例を示します。

   generateKeys('SSH', 'P@s$W0rd','/export/ssh/ssh-pvt-keys.ppk')

   ノート:

   OCIストレージ・クラウド・サービス・タイプがソースまたはターゲットとして選択されている場合にOracle Cloud Infrastructureへの接続に使用されるPEM形式の秘密RSAキーを生成するために、Oracle Managed File TransferコンソールまたはWSLT generateKeysコマンドを使用できません。かわりに、ssh-keygenなどの外部キー生成アプリケーションを使用するか、Oracle Cloud InfrastructureドキュメントのAPI署名キーの生成方法のステップに従います。その後、PEM形式のRSAキーをインポートできます。

   OCIストレージ・クラウド・サービス・タイプおよびPEMのキー形式は、パッチ32395225をインストールした場合にのみ12c (12.2.1.4)で使用できます。My Oracle Supportにサインインし、パッチ番号でパッチを検索してダウンロードします。

   上級ユーザー向けの追加のキー・パラメータを設定する場合は、ssh-keygenコマンドを使用できます。次に例を示します。

   ssh-keygen -t rsa -b 2048 -f /export/ssh/ssh-pvt-keys.ppk -N P@a$W0rd

   ssh-keygenの詳細は、http://linux.die.net/man/1/ssh-keygenを参照してください。

   どちらのコマンドも、パスワードは省略可能です。

3. WLSTのimportCSFKeyコマンドを使用してキーの別名をインポートおよび作成します。

   sFTPサーバーのセキュリティを維持するには、このステップで構成した秘密キーの別名を参照します。「sFTP (SSH-FTP)」の「ホスト・キー・エイリアス」の説明を参照してください。

   次に例を示します。

   importCSFKey('SSH', 'PRIVATE', 'mftssh', '/export/ssh/ssh-pvt-keys.ppk')

   importCSFKey('PEM', 'PRIVATE', 'mftpem', '/export/pem/pem-pvt-keys.pem')

   ノート:

   OCIストレージ・クラウド・サービスがソースまたはターゲットとして選択されている場合、PEM形式のRSAキーを使用してOracle Cloud Infrastructureに接続します。

   PEMのキー形式は、パッチ32395225をインストールした場合にのみ12c (12.2.1.4)で使用できます。My Oracle Supportにサインインし、パッチ番号でパッチを検索してダウンロードします。

4. WLSTを終了します。
5. Oracle Managed File Transferコンソールの「管理」ページの左ペインで、「キーストア」をクリックします。
6. ステップ2でパスワードを指定した場合は、SSHキー・パスワードを「秘密キーのパスワード」フィールドに入力します。
7. 「保存」をクリックします。

8.8.3 PGPキーストアの構成

PGPキーストアを構成するには、WLSTとOracle Managed File Transferコンソールを使用します。

ノート:

制限されているキーの長さまたはアルゴリズムを使用してMFTの外部でPGPツールによってペイロードが暗号化されている場合、MFTでの復号化は失敗します。このような制限のほとんどは、JAVA_HOME\jre7\lib\securityディレクトリでJREレベルで指定されています。

このプロセスのステップは次のとおりです。

1. WLSTを起動します。
2. WLSTのgenerateKeysコマンドを使用して、パスワードで保護されたPGPキー・ペアを作成します。次に例を示します。

   generateKeys('PGP', 'P@s$W0rd','/export/pgp', 'example<example@example.com>')

   パスワードはオプションです。

3. WLSTのimportCSFKeyコマンドを使用して各キーの別名をインポートおよび作成します。次に例を示します。

   importCSFKey('PGP', 'PUBLIC', 'mftpgppub', '/export/pgp/pub.asc')
   importCSFKey('PGP', 'PRIVATE', 'mftpgppri', '/export/pgp/secret.asc')

   暗号化の場合は、PGP公開キーの別名を参照する必要があります。復号化の場合は、PGP秘密キーの別名を参照する必要があります。詳細は、ソースでの暗号化と復号化または前処理での暗号化および復号化アクションを参照してください。

4. WLSTを終了します。
5. Oracle Managed File Transferコンソールの「管理」ページの左ペインで、「キーストア」をクリックします。
6. ステップ2でパスワードを指定した場合は、PGPキー・パスワードを「秘密キーのパスワード」フィールドに入力します。

   ノート:

   PGPキーストアでは秘密キーのパスワードは1つしかサポートされていないので、秘密キーが複数ある場合は、パスワードを同じにする必要があります。 

7. 「保存」をクリックします。

8.9 セキュリティ監査ロギングの有効化

Oracle Managed File Transferの監査ロギングを有効にするには、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle WebLogic Scripting Tool (WLST)を使用します。

監査データのレポートを生成するには、『Oracle Platform Security Servicesによるアプリケーションの保護』の監査分析と監査レポートの使用に関する項を参照してください。

8.9.1 監査ロギングを有効化するためのFusion Middleware Controlの使用

このプロセスのステップは次のとおりです。

1. Fusion Middleware Controlコンソールにログインします。
2. ターゲット・ナビゲーション・ペインで、WebLogicドメイン・ノードを開きます。
3. Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインを選択します。

   たとえば、ドメインはsoainfraまたはbase_domainです。

4. そのドメインを右クリックし、「セキュリティ」→「監査ポリシー」を選択します。
5. 「監査コンポーネント名」ドロップダウン・リストで「MFT」を選択します。

   MFTコンポーネントが表示されていない場合は、Oracle WebLogic Server管理サーバーと管理対象サーバーを再起動してください。詳細は、「Oracle WebLogic Serverの起動と停止」を参照してください。

6. 「監査レベル」を「中」に設定します。
7. 「適用」をクリックします。
8. Oracle WebLogic Server管理サーバーおよび管理対象サーバーを再起動します。「Oracle WebLogic Serverの起動と停止」を参照してください。

8.9.2 監査ロギングを有効化するためのWLSTの使用

このプロセスのステップは次のとおりです。

1. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを起動します。
2. MFTの監査ロギングを有効にするには、次のWLSTコマンドを使用します。

   setAuditPolicy(componentType="MFT",filterPreset="None")
   

   filterPresetには、NoneのかわりにCustomまたはMediumを指定できます。

3. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを終了します。

監査ポリシーに関するWLSTコマンドの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTを使用した監査ポリシーの管理に関する項を参照してください。

8.9.3 監査レポートでのFTP/SFTP操作

FTPおよびSFTP操作は監査レポートの一部として記録されます。レポートの属性はユーザー、コマンド、サーバー・タイプ(FTPまたはSFTP)、ファイルとディレクトリ、ホストIPおよびホスト名です。

FTP操作

• PUT

• GET

• APPEND

• RENAME

• DELETE

• LIST

• CWD

• RENAMEDIR

• MKDIR

• RMDIR

SFTP操作

• PUT

• GET

• DELETE

• RENAME

• LIST

• CWD

• RENAMEDIR

• RMDIR

• MKDIR

ノート:

APPENDはSFTP用の独立したコマンドとしてサポートされていません。

8.10 OWSMセキュリティ・ポリシー・アタッチメント

Oracle Managed File Transferでは、Oracle Web Services Manager (OWSM)のポリシーを使用してWebサービスのソースとターゲットのセキュリティを維持できます。Webサービスのソースとターゲットのタイプとしては、SOAP、SOA、Service Bus、ODIなどがあります。

ノート:

WS-Security準拠のポリシーはサポートされません。

1つのソースまたはターゲットにつき1つのポリシー・ファイルをアタッチできます。ポリシー・ファイルの内容は、アタッチされたポリシーとオーバーライドされた属性です。

ポリシーをグローバルにアタッチするには、Oracle Enterprise Manager Fusion Middleware ControlまたはOracle WebLogic Scripting Tool (WLST)を使用します。ポリシーをローカルにアタッチするには、MFTコンソールまたはWLSTを使用します。

Webサービスのセキュリティは、次の各部分に分けることができます。

• 設計時: このときにソースやターゲットのポリシーがアタッチされて登録されます。

• 実行時: このときにポリシーが適用されます。適用されるのは、保護されるソースやターゲットが呼び出されたときです。

• ライフ・サイクル: ポリシーの管理は、ソースやターゲットのライフ・サイクルに関して行われます。

この項には次のトピックが含まれます:

• グローバル・ポリシー・アタッチメントのためのFusion Middleware Controlの使用

• グローバル・ポリシー・アタッチメントのためのWLSTの使用

• ローカル・ポリシー・アタッチメントのためのMFTコンソールの使用

• ローカル・ポリシー・アタッチメントのためのWLSTの使用

• 実行時のポリシー適用方法

• ポリシーおよびアーティファクトのライフ・サイクル管理

• ポリシー登録の検証

8.10.1 グローバル・ポリシー・アタッチメントのためのFusion Middleware Controlの使用

ポリシーをどのようにアタッチするかは、ポリシーがインバウンド(ソースが対象)かアウトバウンド(ターゲットが対象)かによって決まります。加えて、クライアント・ポリシーの中には資格証明を必要とするものがあります。

8.10.1.1 ポリシー資格証明の管理

クライアント・ポリシーの中には、ユーザー名トークン・ポリシーのように、資格証明を必要とするものがあります。このようなポリシーをOracle Enterprise Manager Fusion Middleware Controlを使用してアタッチするには、あらかじめマップとキーを作成する必要があります。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の資格証明ストアの管理に関する項を参照してください。

このプロセスのステップは次のとおりです。

1. Fusion Middleware Controlコンソールにログインします。
2. ターゲット・ナビゲーション・ペインで、WebLogicドメイン・ノードを開きます。
3. Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインを選択します。

   たとえば、ドメインはsoainfraまたはbase_domainです。

4. そのドメインを右クリックし、「セキュリティ」→「資格証明」を選択します。

   「資格証明」の表が表示されます。

5. 「マップの作成」をクリックします。
6. 「マップの作成」ダイアログの「マップ名」フィールドにoracle.wsm.securityと入力します。「OK」をクリックします。

   oracle.wsm.securityという資格証明が「資格証明」の表に表示されます。

7. oracle.wsm.securityという資格証明を選択して「キーの作成」をクリックします。
8. 「キーの作成」ダイアログの「キー」フィールドにbasic.credentialsと入力します。ユーザー情報を、「ユーザー名」、「パスワード」および「パスワードの確認」の各フィールドに入力します。「OK」をクリックします。

   oracle.wsm.securityという資格証明の左に展開矢印が表示されます。この矢印をクリックすると、basic.credentialsというキーが表示されます。

8.10.1.2 ソースのポリシー・セットの作成

ソースのポリシー・セットを作成してポリシーをアタッチできます。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のFusion Middleware ControlによるWebサービス・ポリシーの管理に関する項を参照してください。

このプロセスのステップは次のとおりです。

1. Fusion Middleware Controlコンソールにログインします。
2. ターゲット・ナビゲーション・ペインで、WebLogicドメイン・ノードを開きます。
3. Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインを選択します。

   たとえば、ドメインはsoainfraまたはbase_domainです。

4. そのドメインを右クリックし、「Webサービス」→「WSMポリシー・セット」を選択します。

   「WSMポリシー・セット・サマリー」表が表示されます。

5. 「作成」をクリックします。
6. 「ポリシー・セットの作成」の「一般情報の入力」ページで、「名前」に入力し、「有効」チェック・ボックスを選択し、「リソース・タイプ」ドロップダウン・リストで「SOAP Webサービス」を選択します。「次」をクリックします。
7. 「ポリシー・セットの作成」の「リソース・スコープの入力」ページで、次に示す情報を入力します。

   • ドメイン名: Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインの名前を入力します。

     たとえば、ドメインはsoainfraまたはbase_domainです。

   • アプリケーション名: *またはmftappと入力します。

   • アプリケーション・モジュール名または接続名: *またはmftappと入力します。

   • RESTfulアプリケーション、サービスまたはWebサービス・エンドポイントの名前: これは、SOAコンポジット・エンドポイントまたはOracle Managed File Transferソースです。ソースの場合は、{http://xmlns.oracle.com/fmw/mft/soap}MFTService_source-nameと入力します。

   • ポート名: MFTServicePortと入力するか、SOAコンポジットのポート名を入力します(例: submit_ptt)。

8. 「次」をクリックします。「ポリシー・セットの作成」の「制約の入力」ページで、「次」をもう一度クリックします。
9. 「ポリシー・セットの作成」の「ポリシー参照の追加」ページで、「使用可能なポリシー」リストでポリシーを1つ以上選択して「アタッチ」をクリックします。「次」をクリックします。
10. 「ポリシー・セットの作成」の「サマリー」ページで、「保存」をクリックします。

8.10.1.3 ターゲットのポリシー・セットの作成

ターゲットのポリシー・セットを作成してポリシーをアタッチできます。詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のFusion Middleware ControlによるWebサービス・ポリシーの管理に関する項を参照してください。

このプロセスのステップは次のとおりです。

1. Fusion Middleware Controlコンソールにログインします。
2. ターゲット・ナビゲーション・ペインで、WebLogicドメイン・ノードを開きます。
3. Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインを選択します。

   たとえば、ドメインはsoainfraまたはbase_domainです。

4. そのドメインを右クリックし、「Webサービス」→「WSMポリシー・セット」を選択します。

   「WSMポリシー・セット・サマリー」表が表示されます。

5. 「作成」をクリックします。
6. 「ポリシー・セットの作成」の「一般情報の入力」ページで、「名前」に入力し、「有効」チェック・ボックスを選択し、「リソース・タイプ」ドロップダウン・リストで「SOAP Webサービス・クライアント」を選択します。「次」をクリックします。
7. 「ポリシー・セットの作成」の「リソース・スコープの入力」ページで、次に示す情報を入力します。

   • ドメイン名: Oracle Managed File Transfer専用のOracle WebLogic Server管理対象サーバーがインストールされているドメインの名前を入力します。

     たとえば、ドメインはsoainfraまたはbase_domainです。

   • アプリケーション名: *と入力します。

   • アプリケーション・モジュール名または接続名: *と入力します。

   • RESTfulアプリケーション、サービスまたはWebサービス・エンドポイントの名前: SOAコンポジット・エンドポイント名を指定します。

   • ポート名: ターゲットSOAコンポジットのポート名。

8. 「次」をクリックします。「ポリシー・セットの作成」の「制約の入力」ページで、「次」をもう一度クリックします。
9. 「ポリシー・セットの作成」の「ポリシー参照の追加」ページで、「使用可能なポリシー」リストでポリシーを1つ以上選択して「アタッチ」をクリックします。「次」をクリックします。
10. 「ポリシー・セットの作成」の「サマリー」ページで、「保存」をクリックします。

8.10.2 グローバル・ポリシー・アタッチメントのためのWLSTの使用

WLSTを使用して、1つのポリシーをOracle Managed File TransferのすべてのWebサービス・エンドポイントにアタッチできます。

このプロセスのステップは次のとおりです。

1. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを起動します。

2. 次のWLSTコマンドを使用してポリシー・セットを作成し、アタッチします。

   beginRepositorySession())
   createPolicySet('mft', 'ws-service', 'Domain("*")')
   attachPolicySetPolicy('oracle/wss_username_token_service_policy')
   validatePolicySet()
   commitRepositorySession()
   displayPolicySet('mft')
   

   wss_username_token_service_policyは一例です。別のポリシーをアタッチできます。

3. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを終了します。

ソースとターゲットのどちらの場合も、ポリシーを特定のWebサービス・エンドポイントにアタッチすることもできます。

このプロセスのステップは次のとおりです。

1. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを起動します。
2. 次のWLSTコマンドを使用してポリシー・セットを作成し、アタッチします。

   beginRepositorySession())
   createPolicySet('mft', 'ws-service', 'Service("{http://xmlns.oracle.com/fmw/mft/soap}MFTService_SOAPSource")')
   attachPolicySetPolicy('oracle/wss_username_token_service_policy')
   validatePolicySet()
   commitRepositorySession()
   displayPolicySet('mft')
   

   SOAPSourceは一例です。別のソースまたはターゲットのポリシー・セットを作成できます。

   wss_username_token_service_policyは一例です。別のポリシーをアタッチできます。

3. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを終了します。

ポリシー・セットを管理するためのWLSTコマンドの詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のポリシー・セット管理コマンドに関する項を参照してください。

8.10.3 ローカル・ポリシー・アタッチメントのためのMFTコンソールの使用

このプロセスのステップは次のとおりです。

1. MFTソースまたはターゲットに対応するSOAP、SOA、Service BusまたはODIのアプリケーションを作成してデプロイします。ターゲットの場合は、ポリシーをアプリケーションにアタッチする必要があります。

   詳細は、「Oracle Managed File Transferと他の製品の統合」を参照してください。

2. ソースまたはターゲットを、「ソースの作成」または「ターゲットの作成」の説明に従って作成するか開きます。
3. 「保存」をクリックする前に、「ポリシー」の左にある矢印をクリックします。

   「選択したポリシー」と「使用可能なポリシー」の表が表示されます。

4. 「使用可能なポリシー」を名前で検索するには、名前全体または一部分を「検索」フィールドに入力して「検索」アイコンをクリックします。
5. 「使用可能なポリシー」リストでポリシーを1つ以上選択します。
6. 「アタッチ」をクリックします。

   選択したポリシーが「選択したポリシー」リストに移動します。

   1つ以上のポリシーをデタッチするには、そのポリシーを選択して「デタッチ」をクリックします。

7. 「保存」をクリックします。
8. ソースまたはターゲットを転送に追加します(「転送の構成」の説明を参照)。
9. 転送をデプロイします(「転送のデプロイとテスト」の説明を参照)。

   アタッチされたポリシーは自動的にOWSMに登録されます。登録を検証するには、「ポリシー登録の検証」を参照してください。

8.10.4 ローカル・ポリシー・アタッチメントのためのWLSTの使用

ソースとターゲットのどちらの場合も、ポリシーを特定のWebサービス・エンドポイントにアタッチできます。

ポリシーをアタッチするステップは次のとおりです。

1. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを起動します。

2. 次のWLSTコマンドを使用してポリシー・セットを作成し、アタッチします。

   beginWSMSession()
   listWSMPolicySubjects('mft-app')
   selectWSMPolicySubject('/weblogic/soainfra/mft-app', '#SOAPSource', 
   'WSService({http://xmlns.oracle.com/fmw/mft/soap}MFTService_SOAPSource#MFTServicePort)')
   attachWSMPolicy('oracle/binding_authorization_denyall_policy')
   attachWSMPolicy('oracle/wss_username_token_service_policy')
   previewWSMEffectivePolicySet()
   commitWSMSession()
   

   SOAPSourceは一例です。別のソースまたはターゲットのポリシー・セットを作成できます。

   wss_username_token_service_policyは一例です。別のポリシーをアタッチできます。

3. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを終了します。

ポリシーをデタッチするステップは次のとおりです。

1. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを起動します。
2. 次のWLSTコマンドを使用してポリシー・セットを作成し、アタッチします。

   beginWSMSession()
   listWSMPolicySubjects('mft-app')
   selectWSMPolicySubject('/weblogic/soainfra/mft-app', '#SOAPSource', 
   'WSService({http://xmlns.oracle.com/fmw/mft/soap}MFTService_SOAPSource#MFTServicePort)')
   detachWSMPolicy('oracle/binding_authorization_denyall_policy')
   detachWSMPolicy('oracle/wss_username_token_service_policy')
   previewWSMEffectivePolicySet()
   commitWSMSession()
   

   SOAPSourceは一例です。別のソースまたはターゲットのポリシー・セットを作成できます。

   wss_username_token_service_policyは一例です。別のポリシーをアタッチできます。

3. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを終了します。

ポリシー・セットを管理するためのWLSTコマンドの詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のポリシー・セット管理コマンドに関する項を参照してください。

8.10.5 実行時のポリシー適用方法

ソースの場合は、送信ユーザーが、転送されるファイルとともにポリシーとその必須資格証明を指定する必要があります。このとおりでない場合は、ファイル転送に失敗します。

ターゲットの場合は、受信ユーザーがポリシーを指定する必要はありません。これは、転送の送信ユーザーの責任です。ただし、ターゲットにアタッチされるポリシーとその必須資格証明を送信ユーザーが指定しない場合は、ファイル転送に失敗します。

ポリシーに必要な資格証明に含まれるものとしては、ユーザー名、パスワード、証明書などのセキュリティ情報があります。詳細は、「ポリシー資格証明の管理」を参照してください。

8.10.6 ポリシーおよびアーティファクトのライフ・サイクル管理

ポリシー・ファイルはMFTメタデータ・ストア(MDS)の中で永続化され、ポリシー・ファイルが従うライフ・サイクルのパターンは、その親であるソースまたはターゲットのアーティファクトとまったく同じです。これには、バージョンも含まれます。

• アーティファクトを作成すると、ポリシー・ファイルがMDS内に作成されて、そのアーティファクトで参照されます。

• アーティファクトをデプロイすると、ポリシー・ファイルが自動的にOWSMに登録されます。

• アーティファクトをアンデプロイすると、ポリシー・ファイルの登録が解除されます。

• アーティファクトを有効化すると、ポリシー・ファイルが自動的にOWSMに登録されます。

• アーティファクトを無効化すると、ポリシー・ファイルの登録が解除されます。

• アーティファクトを削除すると、ポリシー・ファイルがMDSから削除されます。

• アーティファクトをエクスポートすると、ポリシー・ファイルがエクスポートされてアーティファクトのエクスポート・ファイルからリンクされます。

• アーティファクトをインポートすると、リンクされているポリシー・ファイルもインポートされます。

8.10.7 ポリシー登録の検証

ポリシーをグローバルまたはローカルにアタッチした後、WLSTを使用して、有効なポリシー・セットの一部としてそのポリシーがOWSMリポジトリに登録されていることを検証できます。

このプロセスのステップは次のとおりです。

1. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを起動します。
2. 次に示すWLSTコマンドを使用してMFTポリシー・サブジェクトを指定し、有効なポリシー・セットを表示します。

   beginWSMSession()
   listWSMPolicySubjects('mft-app')
   selectWSMPolicySubject('/weblogic/soainfra/mft-app', '*', '*')
   displayWSMEffectivePolicySet()
   commitWSMSession()
   

   displayWSMEffectivePolicySetコマンドの出力は、アタッチしたポリシーのリストです。

3. 「WLSTコマンドの実行」で説明されているステップを使用してWLSTを終了します。

ポリシー・サブジェクトに関するWLSTコマンドの詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のポリシー・サブジェクト・コマンドに関する項を参照してください。

OWSMリポジトリの全般的な情報は、『Webサービスの管理』のWebサービスの管理の概要に関する項を参照してください。

8.11 Oracle Managed File TransferのSSLのみドメインの構成

Oracle Managed File TransferでSSL専用ドメインを構成できます。

SSLのみドメインを構成するには:

1. $DOMAIN_HOME/oracle_common/bin/ディレクトリに移動して、次のコマンドを実行します。
   sh libovdconfig.sh -host <host> -port <port> -userName <wlsadminusername> -domainPath <AbsolutePathOfDomainHome> -createKeystore
2. Webブラウザからhttp://host:port/consoleに接続することで、AdminServerの証明書を抽出し、証明書をファイルにエクスポートします。証明書の詳細を入力します。
   ファイル形式は"Base 64 Encoded x.509"である必要があります。

   ノート:

   前のステップは統合されたeblogic LDAP (フォルト・オーセンティケータ)にのみ適用されます。その他のLDAPの場合、適切なLDAPコマンドを使用して、証明書をエクスポートする必要があります。
3. 次のコマンドを使用して、前のステップでエクスポートした証明書を作成したキーストアにインポートします。
   keytool -importcert -keystore <DOMAIN_HOME>/config/fmwconfig/ovd/default/keystores/adapters.jks -storepass <password> -alias <alias> -file <filePath> -noprompt
   パスワードはキーストアの生成中に指定され、ファイルパスはエクスポートされた証明書を含むファイルです。
4. 任意の別名を選択します。
5. SSL関連の変更を実行してSSLのみドメインを作成します。
6. WebLogic管理サーバーおよび管理対象サーバーを再起動します。
   管理サーバーを再起動すると、MFTコンソールおよびSSLのみドメインの組込みサーバーにログインできます。

ドメインの作成後、SSLドメインを有効にする必要があります。SSLドメインを有効にするには、「SSLのみドメインの有効化」を参照してください。

8.11.1 SSLのみドメインの有効化

SSLのみドメインの作成後、次のステップに従い、様々なユース・ケースでSSLを構成することで、ドメインを有効化します。

SSLのみドメインの有効化

次のステップに従って、SSLのみWebLogicドメインでOracle MFTを設定します。

1. 新しいドメインの場合は、ドメインの作成時にSSLリスニング・ポートを有効化します。

2. 既存のドメインの場合、ドメインを拡張してSSLリスニング・ポートを選択します。

3. AdminServerを開始し、管理対象サーバーおよびAdminServerの非SSLリスニング・ポートを無効化します。

4. 管理対象サーバーを起動します。

SSL経由Webserviceの起動(HTTPSサービス)

次のステップに従ってHTTP SSLプロトコル経由のSOA/SOAPターゲットを起動します。

1. リモートSSL WebサービスのSSL証明書をエクスポートします(Webブラウザからファイルへなど)。

2. 次のストアに証明書をインポートします。

   1. jdk_home/jre/lib/security/cacerts

   2. /wlserver/server/lib/cacerts

   3. 「EM」>「セキュリティ」>「キーストア」>「システム」>「トラスト・ストア」、CAストア

3. サーバーを再起動します。

リモートSSL FTPサーバーの構成

次のステップに従い、リモートFTPソースまたはターゲットからリモートFTPサーバーに接続します。リモートFTPサーバーは非MFT FTPサーバーでもよく、MFTの別のデプロイメント内のMFT埋込みFTPサーバーでもかまいません。

1. 適切なツールを使用して、リモートSSL FTPサーバーに使用される信頼できる証明書をファイルにエクスポートします。MFT FTPSリモート・サーバーの場合、次のコマンドを使用してWLST経由で実行します。

   svc.exportKeyStoreCertificate(appStripe='<stripe>',name='<store>',password='<storePassword>',alias='<certalias>',type='Certificate',filepath='<filePath>')

2. 次のWLSTコマンドを使用して、信頼できる証明書をMFTにインポートします。

   svc.importKeyStoreCertificate(appStripe='<Stripe>',name='<Store>', password='<StorePassword>',alias='<certAlias>',keypassword='<keyPassword>',type='TrustedCertificate',filepath='<filepath>')