JMXポリシーの作成

始める前に

管理コンソールで行うほとんどすべてのタスクは、Java Management Extensions (JMX)を使用して、基底の管理対象Bean (MBean)の操作を呼び出すか、MBean属性を変更します。Oracleは、JMXリソースのデフォルトのセットと、WebLogic Server MBeanを保護するためのポリシーを提供しています(MBeanのデフォルト・セキュリティ・ポリシーを参照)。管理コンソールを使用して、これらのリソースのデフォルトのポリシーを変更したり、新しいポリシーを作成したりできます。

警告: 特に重要なデータやアクションを表すMBeanの属性と操作は、2つのリソースのセットによって保護されます。デフォルトのMBeanポリシーに対する変更が、両方のリソースのセットによるユーザーの認可を妨げないことを確認してください。たとえば、管理コンソールから管理対象サーバーを停止するには、ユーザーはJMXリソースに対するポリシーと、そのサーバーのServerリソースに対するポリシーの両方に適合している必要があります。JMXリソースを参照してください。

JMXリソースのポリシーを作成するか、デフォルトのポリシーを変更するには:

管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムの概要」ページで、JMXポリシーを変更するレルムの名前(myrealmなど)を選択します。
設定ページで、「ロールとポリシー」タブを選択します。続いて「ポリシー」サブタブを選択します。
「ロールとポリシー: ポリシー」ページには、ドメインのすべてのリソースと、それに対応するポリシーがツリー・コントロールにまとめられています。
「ポリシー」表の「名前」列で、「JMXポリシー・エディタ」リンクを選択します。
ノート: MBean認可を委託するようにレルムを構成している場合にのみ、「ポリシー」表にこのリンクが表示されます。MBean認可のレルムへの委託を参照してください。
「ポリシー・スコープの選択」ページで、次の手順に従います。
- WebLogic Server MBeanのすべてのインスタンスに適用されるポリシーが必要な場合は、「グローバル・スコープ」の横にあるラジオ・ボタンを選択します。続いて「次」ボタンをクリックします。
- 特定のデプロイメントまたはシステム・リソースの管理に使用されるMBeanインスタンスにのみ適用されるポリシーが必要な場合は、次の手順に従います。
1. 「スコープ」列で、保護するデプロイメントまたはリソースのタイプを表すカテゴリ名を展開します。
2. 保護するデプロイメントまたはリソースの横にあるラジオ・ボタンを選択します。続いて「次」ボタンをクリックします。
「ポリシーを適応するMBeanタイプの選択」ページで、次の手順に従います。
- 前のページで選択したスコープ内のすべてのMBeanのインスタンスに適用されるポリシーが必要な場合は、「すべてのMBeanタイプ」の横にあるラジオ・ボタンを選択します。続いて「次」ボタンをクリックします。
- 特定のMBeanインスタンスにのみ適用されるポリシーが必要な場合は、「MBeanタイプ」列で、そのMBeanがみつかるまでMBeanのカテゴリを展開します。
ノート: ステップ5で「グローバル・スコープ」を選択し、ステップ6で「すべてのMBeanタイプ」を選択した場合、ポリシーはドメイン内のすべてのMBeanに適用されます。
MBeanの属性または操作に対してすでにポリシーが存在する場合は、「読取り、書込みまたは呼出し権限の選択」ページの「既存のポリシー」列に、「既存のポリシー条件を表示」というリンクが表示されます。既存のポリシーを編集するには、そのリンクをクリックします。
新しいポリシーを作成するには、「読取り、書込みまたは呼出し権限の選択」ページで、次のいずれかを行います。
- 特定の暗号化されない属性に関する読取りアクセスを制御するには(保護する特定のMBeanを選択している場合にのみ該当)、「属性: 読取りの許可」カテゴリを展開して、属性を選択します。暗号化されないすべての属性の読取りアクセスを制御するには、カテゴリの横にあるラジオ・ボタンを選択します。
- 特定の暗号化されない属性に関する書込みアクセスを制御するには(保護する特定のMBeanを選択している場合にのみ該当)、「属性: 書込みの許可」カテゴリを展開して、属性を選択します。暗号化されないすべての属性の書込みアクセスを制御するには、カテゴリの横にあるラジオ・ボタンを選択します。
- 暗号化される属性に関する書き込みまたは読取りアクセスを制御するには、「暗号化された属性: 読込みの許可」または「暗号化された属性: 書込みの許可」カテゴリを展開して、属性を選択します(または、暗号化されるすべての属性に関するアクセスを制御するには、カテゴリの横にあるラジオ・ボタンを選択します)。暗号化される属性の読取りアクセスを付与すると、クライアントは属性の暗号化されたバージョンを読み取ることができます。つまり、WebLogic Serverは値を復号化しません。
- 特定の操作へのアクセスを制御するには(保護する特定のMBeanを選択している場合にのみ該当)、「操作: 呼出しの許可」カテゴリを展開して、操作を選択します。すべての操作へのアクセスを制御するには、カテゴリの横にあるラジオ・ボタンを選択します。
- ルックアップ操作(クライアントがこのMBeanの子MBeanを検索できる)へのアクセスを制御するには、「ルックアップ操作: 呼出しの許可」カテゴリ、またはカテゴリ内の特定のルックアップ操作を選択します。
- 作成許可および登録解除許可は、通常、管理システムによって無視されます。これらの許可は、MBeanサーバーを使用してMBeanを作成または登録解除できるユーザーを決定するものです。ただし、ほとんどのWebLogic Server MBeanは、このような方法で作成したり破棄したりできません。かわりに、親MBeanのメソッドを呼び出すことでのみ、作成したり破棄したりできます。
続いて「ポリシーの作成」ボタンをクリックします。
「JMXポリシーの編集」ページで「条件の追加」をクリックします。
「述部の選択」ページの「述部リスト」で、条件を選択します。
可能であれば「ロール」条件を使用することをお薦めします。セキュリティ・ロールに基づいて条件を作成すると、複数のユーザーまたはグループを考慮した1つのセキュリティ・ポリシーを作成できます。管理の方法としてはこちらの方が効率的です。

詳細は、セキュリティ・ポリシー条件を参照してください。
この次のステップは、選択する条件に応じて変わります。
- 「ロール」を選択した場合は、「次」をクリックして引数フィールドにセキュリティ・ロールの名前を入力してから、「追加」をクリックします。指定した名前のセキュリティ・ロールがない場合、ポリシーの作成が完了した後でその名前のセキュリティ・ロールを作成します。
- 「グループ」または「ユーザー」を選択した場合は、「次」をクリックして引数フィールドに名前を入力してから、「追加」をクリックします。指定した名前のユーザーやグループが存在しない場合、その名前のユーザーやグループを作成します。
- ブール型の述部の「サーバーが開発モードである」、「全員に対してアクセスを許可」または「全員に対してアクセスを拒否」を選択した場合は、入力する引数はありません。「終了」をクリックしてステップ16に進みます。
- 「コンテキスト要素の値が数値定数と等しい」などのコンテキストの述部を選択した場合は、「次」をクリックして、コンテキスト名と適切な値を入力します。コンテキスト名と値は実行時に存在しているようにしてください。
- 「指定した時間帯にアクセスが発生」などの時間制約の述部を選択した場合は、「次」をクリックして、「引数の編集」フィールドの値を指定します。
「終了」をクリックします。
(オプション)別の条件を作成します。
(オプション)条件はWebLogic Securityサービスによりリストに表示された順番で評価されます。この順番を変更するには、条件の横のチェック・ボックスを選択して、「上へ」または「下へ」ボタンをクリックします。
(オプション)「ポリシー条件」セクションの他のボタンを使用して、条件間の関係を指定できます。
- 式の間にある「And/Or」を選択すると、式の間のand文またはor文が切り替わります。
- 「結合」または「結合解除」をクリックすると、選択した式を結合したり、結合を解除したりできます。条件の結合を参照してください。
- 「否定」をクリックすると、否定の条件にすることができます。たとえば、「NOTグループOperators」はロールからOperatorsグループを除外します。
「保存」をクリックします。

完了した後に

このポリシーでロールへのアクセス権を付与する場合、ロールにユーザーとグループを指定します。セキュリティ・ロールの管理を参照してください。

管理コンソール・オンライン・ヘルプ

JMXポリシーの作成