WebLogic Serverセキュリティ

18 WebLogic Serverセキュリティ

この章では、セキュリティ・レルムを作成およびモニターする方法、およびWebLogic Serverのユーザーやグループをモニターおよび構成する方法を説明します。

1つのセキュリティ・レルムはWebLogic Serverリソースを保護する複数のメカニズムで構成されています。各セキュリティ・レルムには、一連の構成済セキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロール、およびセキュリティ・ポリシーが含まれています。ユーザーはセキュリティ・レルムで定義されていないと、そのセキュリティ・レルムに属するWebLogic Serverリソースにアクセスできません。ユーザーが特定のWebLogic Serverリソースにアクセスしようとした場合、WebLogic Serverは、関連するセキュリティ・レルムでそのユーザーに割り当てられているセキュリティ・ロールと、その特定のWebLogic Serverリソースのセキュリティ・ポリシーをチェックして、ユーザーを認証および認可します。

ノート:

ドメイン・パーティションにログインするには、管理者ロールが必要です。詳細は、WebLogic Server MTの使用のセキュリティの構成を参照してください。

ドメイン・パーティションにログインしている場合は、「ドメイン・パーティション」メニューからナビゲートします。WebLogic Server Multitenantドメイン・パーティション、リソース・グループ、リソース・グループ・テンプレートおよび仮想ターゲットは、WebLogic Server 12.2.1.4.0で非推奨になっており、次のリリースで削除されることに注意してください。

この章の内容は次のとおりです。

セキュリティ・レルムの作成

新しいセキュリティ・レルムを作成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
「作成」をクリックします。
「セキュリティ・レルムの作成」ページで、「名前」フィールドに新しいセキュリティ・レルムの名前を入力します。
「作成」をクリックします。

新しいセキュリティ・レルムには、デフォルトの構成設定で次のWebLogic Serverセキュリティ・プロバイダが含まれています。

DefaultAuthenticator
DefaultIdentityAsserter
SystemPasswordValidator
XACMLAuthorizer
DefaultAdjudicator
XACMLRoleMapper
DefaultCredentialMapper
WebLogicCertPathProvider

セキュリティ・レルムを作成した後で、WebLogic Server管理コンソールからセキュリティ・プロバイダおよびプロバイダの設定を変更できます。

「構成オプション」を参照してください。

セキュリティ・レルムのモニター

ドメイン内に構成されているセキュリティ・レルムをモニターするには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。
「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する次のような情報が表示されます。
- 名前
- 次が使用
- 管理アイデンティティ・ドメイン
- デプロイの資格証明マッピングを無視
- デプロイのポリシーを無視
- デプロイのロールを無視
これらのフィールドの詳細は、構成オプションを参照してください。

必要に応じて、「ビュー」を選択して次の表オプションにアクセスします。
- 列: 表に表示されている列を追加または削除します
- デタッチ: 表をデタッチします(表示オプション)
- ソート: 昇順または降順に列をソートします
- 並替え: 表示されている列の順序を変更します
- 例による問合せ

WebLogic Serverユーザーおよびグループのモニター

この項では、ドメインのユーザーとグループをモニターする方法について説明します。この項では、次のタスクを取り上げます:

ユーザーのモニター

ユーザーをモニターするには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「ユーザー」を選択します。
「ユーザー」表には、現在のドメイン内で構成されたユーザーに関する次のような情報が表示されます。
- 名前
- 説明
- グループ
- プロバイダ
これらのフィールドの詳細は、構成オプションを参照してください。

必要に応じて、「ビュー」を選択して次の表オプションにアクセスします。
- 列: 表に表示されている列を追加または削除します
- デタッチ: 表をデタッチします(表示オプション)
- ソート: 昇順または降順に列をソートします
- 並替え: 表示されている列の順序を変更します
- 例による問合せ

グループのモニター

グループをモニターするには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「グループ」を選択します。
「グループ」表には、現在のドメイン内で構成されたグループに関する次のような情報が表示されます。
- 名前
- 説明
- プロバイダ
これらのフィールドの詳細は、構成オプションを参照してください。

必要に応じて、「ビュー」を選択して次の表オプションにアクセスします。
- 列: 表に表示されている列を追加または削除します
- デタッチ: 表をデタッチします(表示オプション)
- ソート: 昇順または降順に列をソートします
- 並替え: 表示されている列の順序を変更します
- 例による問合せ

WebLogic Serverユーザーの構成

この項では、WebLogic Serverドメインのユーザーを生成および構成する方法について説明します。この項では、次のタスクを取り上げます:

新規ユーザーを作成

新しいユーザーを作成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「ユーザー」を選択します。
「ユーザー」表には、現在のドメイン内で構成されたユーザーに関する次のような情報が表示されます。
- 名前
- 説明
- グループ
- プロバイダ
これらのフィールドの詳細は、構成オプションを参照してください。
「作成」をクリックします。
「ユーザーの作成」ページでは、新しいユーザーの次のようなプロパティを定義できます。
- 名前(一意である必要があります)
- 説明
- プロバイダ
- パスワード
これらのフィールドの詳細は、構成オプションを参照してください。
「作成」をクリックします。

ユーザー一般設定の構成

ユーザーの一般設定を構成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「ユーザー」を選択します。

「ユーザー」表には、現在のドメイン内で構成されたユーザーに関する情報が表示されます。
「ユーザー」表で、構成するユーザーの名前を選択します。
「一般設定」を選択します。
「一般設定」ページから、選択されたユーザーの説明を変更できます。「説明」フィールドに説明を入力します。

「構成オプション」を参照してください。
「保存」をクリックします。

ユーザー・パスワード設定の構成

ユーザーのパスワード設定を構成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「ユーザー」を選択します。

「ユーザー」表には、現在のドメイン内で構成されたユーザーに関する情報が表示されます。
「ユーザー」表で、構成するユーザーの名前を選択します。
「パスワード」を選択します。
「パスワード」ページから、選択されたユーザーのパスワードを変更できます。「新規パスワード」および「パスワードの確認」フィールドにパスワードを入力します。

「構成オプション」を参照してください。
「保存」をクリックします。

ユーザー属性設定の構成

ユーザーの属性設定を構成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「ユーザー」を選択します。

「ユーザー」表には、現在のドメイン内で構成されたユーザーに関する情報が表示されます。
「ユーザー」表で、構成するユーザーの名前を選択します。
「属性」を選択します。
「属性」ページから、選択されたユーザーの属性値を変更できます。

「構成オプション」を参照してください。
「保存」をクリックします。

ユーザー・グループ設定の構成

ユーザーのグループ設定を構成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「ユーザー」を選択します。

「ユーザー」表には、現在のドメイン内で構成されたユーザーに関する情報が表示されます。
「ユーザー」表で、構成するユーザーの名前を選択します。
「グループ」を選択します。
「グループ」ページから、選択されたユーザーのグループ・メンバーシップを変更できます。

「構成オプション」を参照してください。
「保存」をクリックします。

WebLogic Serverグループの構成

この項では、WebLogic Serverドメインのグループを生成および構成する方法について説明します。この項では、次のタスクを取り上げます:

新規グループの作成

新しいグループを作成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「グループ」を選択します。
「グループ」表には、現在のドメイン内で構成されたグループに関する次のような情報が表示されます。
- 名前
- 説明
- プロバイダ
これらのフィールドの詳細は、構成オプションを参照してください。
「作成」をクリックします。
「新規グループの作成」ページでは、新しいグループの次のようなプロパティを定義できます。
- 名前(一意である必要があります)
- 説明
- プロバイダ
これらのフィールドの詳細は、構成オプションを参照してください。
「作成」をクリックします。

グループ一般設定の構成

グループの一般設定を構成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「グループ」を選択します。

「グループ」表には、現在のドメインで構成されたグループに関する情報が表示されます。
「グループ」表で、構成するグループの名前を選択します。
「一般設定」を選択します。
「一般設定」ページから、選択されたグループの説明を変更できます。「説明」フィールドに説明を入力します。

「構成オプション」を参照してください。
「保存」をクリックします。

グループ・メンバーシップ設定の構成

グループのメンバーシップ設定を構成するには:

「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・レルム」の順に選択します。

「セキュリティ・レルム」表には、現在のドメインに構成されているセキュリティ・レルムに関する情報が表示されます。
表で、モニターするレルムを選択します。
「ユーザーとグループ」ページを選択し、「グループ」を選択します。

「グループ」表には、現在のドメインで構成されたグループに関する情報が表示されます。
「グループ」表で、構成するグループの名前を選択します。
「メンバーシップ」を選択します。
「メンバーシップ」ページから、選択されたグループのグループ・メンバーシップを構成できます。

「構成オプション」を参照してください。
「保存」をクリックします。

ドメイン・セキュリティの構成

この項では、WebLogic Serverドメインのセキュリティ設定の構成方法について説明します。この項では、次のタスクを取り上げます:

一般設定の構成

一般設定の構成

一般設定を構成するには:

「WebLogicドメイン」メニューで、「セキュリティ」→「管理」を選択します。

「セキュリティ管理」ページが表示されます。
1. 「一般設定」ページを選択します。
  「一般設定」ページから、このWebLogic Serverドメインの次のような一般、詳細および保護された本番モードの設定を定義できます。
  - デフォルト・レルム
  - 管理アイデンティティ・ドメイン
  - アイデンティティ・ドメイン対応プロバイダが必要
  - 匿名Adminのルックアップを有効化
  - クロス・ドメイン・セキュリティを有効化
  - 除外するドメイン名
  このページのフィールドの詳細は、「構成オプション」を参照してください
2. 「詳細」を展開し、次に示すようにこのWebLogic Serverドメインの詳細設定を定義します。
  - セキュリティの相互運用モード
  - ノード・マネージャ・ユーザー名
  - Webアプリケーション・ファイルの大文字/小文字を区別しない
  - 厳密なURLパターンを適用
  - 信頼性のないプリンシパルのダウングレード
  - Principal Equalsの大文字/小文字を区別しない
  - Principal EqualsでDNとGUIDを比較
  - 接続フィルタの互換性を有効化
  - 動的でない変更が行われた場合にセキュリティ管理操作を許可する
  - クリア・テキストの資格証明アクセスを有効化
  - デモへのKSSの使用
  このページのフィールドの詳細は、「構成オプション」を参照してください。
3. 「保護された本番モードの設定」を展開し、このWebLogic Serverドメインの保護された本番モードの設定を定義します。
  本番ドメインの保護された本番モードを有効にして、アプリケーションおよびリソースに対して非常にセキュアな環境を構築します。
  
  ノート:
  セキュア本番モードを有効にするには、ドメインは本番モードである必要があります。
  保護された本番モードでドメインを実行するように選択する場合は、デフォルトで管理ポートが有効になり、非管理ポートでは管理トラフィックは許可されなくなることに注意してください。このため、保護された本番モードでは、FMWCはデフォルトのポート9002のHTTPSでのみ使用できます。管理ポートを無効にすると、FMWCによって警告がログに記録されます。
  
  「保護された本番モードの設定」には、次の項目が含まれます。
  - 保護された本番モード
  - 限定JMXポリシー
  - 非セキュアなSSLへの警告
  - 非セキュアなファイル・システムへの警告
  - 監査に関する警告
  - 非セキュアなアプリケーションへの警告
  - Javaセキュリティ・マネージャへの警告
  このページのフィールドの詳細は、「構成オプション」を参照してください。
「保存」をクリックします。