リモートTuxedoアクセス・ポイント: セキュリティ
このページでは、このWTCサーバーで使用されるリモートTuxedoアクセス・ポイントのセキュリティ構成を定義します。
アクセス制御リスト(ACL)は、サービスを実行できるリモートTuxedoアクセス・ポイントを制限することによって、ローカルTuxedoアクセス・ポイントの内部にあるローカル・サービスへのアクセスを制限します。リモートTuxedoアクセス・ポイントからのインバウンド・ポリシーは、
AclPolicy
要素を使用して指定します。リモートTuxedoアクセス・ポイントへのアウトバウンド・ポリシーは、CredentialPolicy
要素を使用して指定します。これによって、WebLogic ServerとTuxedoアプリケーションは同じセットのユーザーを共有でき、ユーザーはあるシステムから別のシステムへユーザーの資格証明を伝播できます。WebLogic Tuxedo Connectorでは、Tuxedoにユーザー・セキュリティ情報を提供するために、次のAppKeyジェネレータ・プラグインが用意されています。
- TpUsrFile - シングル・ポイント・セキュリティ管理またはカスタム・セキュリティ認証を必要としないユーザー向けに、従来のTuxedo TpUsrFile機能が提供されます。
- LDAP - シングル・ポイント・セキュリティ管理が提供され、WebLogic Server組込みLDAPサーバーでのユーザー・セキュリティ情報の管理、およびWebLogic Serverコンソールを使用した単一システムからのセキュリティ情報の管理が可能となります。Tuxedo 8.1以上が必要です。
- カスタム - カスタマイズされたセキュリティ認証を作成できます。
構成オプション
名前 説明 ACLポリシー リモートTuxedoアクセス・ポイントからのインバウンド・アクセス制御リスト(ACL)ポリシー。
指定できる値は次のとおりです:
LOCAL: ローカルTuxedoアクセス・ポイントは、特定のリモートTuxedoアクセス・ポイントから受信したサービス・リクエストのアイデンティティを、特定のリモートTuxedoアクセス・ポイントのローカル・プリンシパル名で指定されたプリンシパル名に変更します。
GLOBAL: ローカルTuxedoアクセス・ポイントは、アイデンティティを変更せずにサービス・リクエストを渡します。
ノート:「相互運用」を「はい」に設定している場合、AclPolicyは無視されます。
MBean属性:
WTCRemoteTuxDomMBean.AclPolicy
資格証明ポリシー リモートTuxedoアクセス・ポイントへのアウトバウンド・アクセス制御リスト(ACL)ポリシー。
指定できる値は次のとおりです:
LOCAL: リモートTuxedoアクセス・ポイントは、ローカルTuxedoアクセス・ポイントから受信したサービス・リクエストのアイデンティティを、このリモートTuxedoアクセス・ポイントのローカル・プリンシパル名で指定されたプリンシパル名に変更します。
GLOBAL: リモートTuxedoアクセス・ポイントは、変更せずにサービス・リクエストを渡します。
ノート:「相互運用」を「はい」に設定している場合、CredentialPolicyは無視されます。
最小暗号化レベル このリモートTuxedoアクセス・ポイントが、セッション接続を確立する際に使用する最小の暗号化キー長(ビット単位)。値が
0
の場合、暗号化は使用されません。値に関する制限:
MinEncrypBitsの値は、MaxEncrypBitsの値以下でなければなりません。
MinEncrypBitsの値40は、Tuxedo 7.1以降が動作するドメインでのみ使用できます。
MBean属性:
WTCRemoteTuxDomMBean.MinEncryptBits
セキュアな値:
40
最大暗号化レベル このリモートTuxedoアクセス・ポイントが、セッション接続を確立する際に使用する最大の暗号化キー長(ビット単位)。値が
0
の場合、暗号化は使用されません。値に関する制限:
MaxEncryptBits属性の値は、MinEncrypBits属性の値以上でなければなりません。
MaxEncryptBitsの値40は、Tuxedo 7.1以降が動作するドメインでのみ使用できます。
MBean属性:
WTCRemoteTuxDomMBean.MaxEncryptBits
匿名を許可 匿名ユーザーにリモートTuxedoサービスへのアクセスを許可するかどうかを指定します。
ノート: 匿名ユーザーにTuxedoへのアクセスを許可する場合、デフォルトAppKeyが
TpUsrFile
およびLDAP
AppKeyプラグインで使用されます。Custom
AppKeyプラグインと対話できるかどうかは、Custom AppKeyジェネレータの設計によって異なります。MBean属性:
WTCRemoteTuxDomMBean.AllowAnonymous
デフォルトAppKey プラグインによってTuxedoへのアクセスを許可されている場合に、匿名ユーザーおよびユーザー・データベースに定義されていないその他のユーザーが使用するデフォルトの
AppKey
値。ノート:
TpUsrFile
およびLDAP
プラグインでは、「匿名を許可」が有効になっていないかぎり、ユーザー・データベースに定義されていないユーザーによるTuxedoへのアクセスは許可されません。MBean属性:
WTCRemoteTuxDomMBean.DefaultAppKey
AppKeyジェネレータ 使用するAppKeyプラグインのタイプを指定します。
指定できる値は次のとおりです:
TpUsrFile:
TpUsrFile
はデフォルト・プラグインです。これは、インポートされたTuxedo TPUSRファイルを使用してユーザー・セキュリティ情報を提供します。旧リリースのWebLogic Tuxedo Connectorでは、このオプションをサポートしています。LDAP:
「LDAP」
プラグインは、組込みLDAPサーバーを使用してユーザー・セキュリティ情報を提供します。ユーザー・レコードでは、descriptionフィールドにTuxedo UIDとGID情報を定義する必要があります。この機能は、旧リリースのWebLogic Tuxedo Connectorではサポートされていません。Custom:
「Custom」
プラグインは、Tuxedoで必要なセキュリティ情報を提供する独自のAppKeyジェネレータ・クラスを記述するための機能を提供します。この機能は、旧リリースのWebLogic Tuxedo Connectorではサポートされていません。MBean属性:
WTCRemoteTuxDomMBean.AppKey
TPユーザー・ファイル UID/GID情報を含むユーザー・パスワード・ファイルへのフルパス。(このフィールドは、AppKeyジェネレータとして「
TpUsrFile
」を指定する場合にのみ意味を持ちます。)ノート: このファイルは、リモートTuxedoアクセス・ポイントで指定されたリモートTuxedoドメイン上でTuxedo
tpusradd
ユーティリティによって生成されます。適切な認可、認証、および監査を行うには、このファイルのコピーがWebLogic Tuxedo Connector環境で使用可能でなければなりません。MBean属性:
WTCRemoteTuxDomMBean.TpUsrFile
Tuxedo UIDキーワード Tuxedo移行ユーティリティ
tpmigldap
を使用する場合に、WlsUser
で使用されるTuxedo UID (ユーザーID)のキーワード。このキーワードは、AppKeyジェネレータとして「LDAP
」を指定する場合にのみ意味を持ちます。)ノート: キーワードは、組込みLDAPデータベースのユーザー・レコードでTuxedo UIDを検索する際に使用されます。
MBean属性:
WTCRemoteTuxDomMBean.TuxedoUidKw
Tuxedo GIDキーワード Tuxedo移行ユーティリティ
tpmigldap
を使用する場合に、WlsUser
で使用されるTuxedo GID (グループID)のキーワード。このフィールドは、AppKeyジェネレータとして「LDAP
」を指定する場合にのみ意味を持ちます。)ノート: キーワードは、組込みLDAPデータベースのユーザー・レコードでTuxedo GIDを検索する際に使用されます。
MBean属性:
WTCRemoteTuxDomMBean.TuxedoGidKw
カスタムAppKeyクラス カスタム
AppKey
ジェネレータ・クラスのフルパス名。(このクラスは、AppKeyジェネレータとして「カスタム
」を指定する場合にのみ意味を持ちます。)ノート:
Custom
AppKeyジェネレータ・プラグインを選択した場合、このクラスが実行時にロードされます。カスタムAppKeyパラメータ クラスの初期化時にカスタム
AppKey
クラスで使用されるオプションなパラメータ。このクラスは、AppKeyジェネレータとして「カスタム
」を指定する場合にのみ意味を持ちます。)