コンフィグレーション ウィザードの使い方
セキュリティのコンフィグレーション
初回起動時も含めて、コンフィグレーションのセキュリティを常に確保するために、コンフィグレーション ウィザードと Configuration Template Builder では、基本的なセキュリティ機能を提供しています。「管理ユーザ名とパスワードのコンフィグレーション」で説明されているように、ドメイン テンプレートまたは Configuration Template Builder を新規に作成するたびに、管理ユーザ名とパスワードを定義するように要求されます。場合によっては、以下のセキュリティ機能を使用して、アプリケーション リソースのセキュリティを強化することもできます。
ユーザおよびグループ - セキュリティ ロールの付与の対象となる個人または個人の集合の分類。通常、グループは、同じ部署で働くなど社内のロールや機能を共有しているユーザの集合です。
グローバル セキュリティ ロール - WebLogic リソースへのアクセス制限に使用する動的に計算される特権。ユーザに対してこれらの特権が許可されるかどうかは、ユーザに割り当てられているロールによって決まります。
たとえば、個人のスキルを活用するために、開発チームでは一般にシステム管理の担当業務を個別のロールに分割しています。これにより、開発チームは、異なるレベルのパーミッションを各ロールに割り当てることができます。それぞれのプロジェクトでは、コンポーネントをデプロイするパーミッションを 1 人か 2 人のチーム メンバーにのみ付与し、チーム メンバー全員には WebLogic Server コンフィグレーションの表示を許可することができます。
WebLogic Server では、システム管理操作のアクセス権を決定する 4 種類のデフォルト グローバル ロール (Admin、Deployer、Operator、Monitor) を提供することにより、こうしたロールベースの開発をサポートしています。
警告 : 管理リソースとサーバ リソースのデフォルトのグローバル セキュリティ ロールは制限しないでください。既存のセキュリティ ロールを削除すると、WebLogic Server のオペレーションが低下するおそれがあります。一方、デフォルトのセキュリティ ロールは、セキュリティ ロールの新規追加などによって、より包括的にすることができます。
以下の表は、コンフィグレーションのリソースに基本セキュリティを施すための対応策を示しています。
関連トピック
『WebLogic リソースのセキュリティ』(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/index.html)
管理ユーザ名とパスワードのコンフィグレーション
[管理ユーザ名とパスワードのコンフィグレーション] ウィンドウでは、管理サーバの起動に使用するユーザ名とパスワードを指定するように求められます。
管理ユーザ名とパスワードをコンフィグレーションするには
[User name] フィールドに有効な値を入力します。このユーザ名は、管理サーバを起動して接続するときに使用されます。
カンマ、\t
、< >
、#
、|
、&
、?
、( )
、{ }
を使用しないでください。ユーザ名では大文字と小文字を区別します。
[User password] フィールドに有効な値を入力します。パスワードには、大文字と小文字を区別する 8 文字以上の文字列を使用します。スペースは使用できません。パスワードの値は暗号化されます。
注意 : ユーザ名とパスワードの組み合わせ weblogic/weblogic
は、プロダクション環境では使用しないでください。
[Confirm user password] フィールドにパスワードをもう一度入力します。
必要に応じて、このユーザ名のログイン説明を入力します。
カスタム オプションまたはコンフィグレーション テンプレートを使用してコンフィグレーションを作成すると、付加的なセキュリティ リソースをコンフィグレーションできます。ユーザ、グループ、およびグローバル ロールをさらにコンフィグレーションする場合は、[はい] を選択します。このオプションは、エクスプレス モードでは使用できません。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。
次の手順
ユーザおよびグループのコンフィグレーション
このウィンドウは、コンフィグレーション ウィザードでのみ表示されます。
ユーザは、認証可能な 1 つのエンティティです。ユーザは、人間またはソフトウェア エンティティ (Java クライアントなど) です。各ユーザには、セキュリティ レルム内でユニークな ID が与えられます。グループは、社内の同じ部署で働くなど、一般に何らかの共通点を持つユーザの集合です。
[ユーザおよびグループのコンフィグレーション] ウィンドウでは、認証のためにユーザとグループを定義するように求められます。最低 1 つのユーザを定義する必要があります。選択したコンフィグレーション テンプレートによっては、1 つまたは複数のユーザやグループがすでに定義されている場合があります。さらに、WebLogic Server では、グループのデフォルト セットが定義されています。WebLogic Server に定義されているデフォルト グループのリストについては、次の URL にある『WebLogic リソースのセキュリティ』の「ユーザとグループ」にある「デフォルト グループ」を参照してください。
http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html
ユーザとグループをコンフィグレーションするには
[ユーザ] タブを選択し、ユーザ コンフィグレーションの現在のリストを確認します。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します (アスタリスクが付いているフィールドは必須フィールドです)。ユーザを削除するには、ユーザのいずれかのフィールドをクリックして [削除] をクリックします。
フィールド名
|
作業内容
|
User name*
|
有効なユーザ名を入力する。カンマ、\t 、< > 、# 、| 、& 、? 、( ) 、{ } を使用しない。ユーザ名では大文字と小文字を区別する。
このフィールドのデフォルト値は new_user_ n 。n には、デフォルトの全ユーザ名の識別に使用される数値が指定される。最初のユーザの n の値は 1。この値は、ユーザを追加するたびに 1 つずつ増加する。
|
User password*
|
ユーザのパスワードを入力する。有効なパスワードは、大文字と小文字を区別する 8 文字以上の文字列。スペースは使用できない。パスワードの値は暗号化される。
注意 : ユーザ名とパスワードの組み合わせ weblogic/weblogic は、プロダクション環境では使用できない。
|
Confirm user password*
|
パスワードを再入力し、入力済みの値を確認する。
|
説明 (省略可能)
|
情報目的にのみ使用される、ユーザの説明 (フル ネームなど) を入力する。
|
[グループ] タブを選択し、グループ コンフィグレーションの現在のリストを確認します。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します。グループを削除するには、グループのいずれかのフィールドをクリックして [削除] をクリックします。設定の更新が完了したら、[次へ] をクリックします。
フィールド名
|
作業内容
|
Name*
|
グループの有効な名前を入力する。カンマ、\t 、< > 、# 、| 、& 、? 、( ) 、{ } を使用しない。グループ名では大文字と小文字を区別する。
このフィールドのデフォルト値は new_group_ n 。n には、デフォルトの全グループ名の識別に使用される数値が指定される。最初のグループの n の値は 1。この値は、グループを追加するたびに 1 つずつ増加する。
|
説明 (省略可能)
|
情報目的にのみ使用される、グループの説明を入力する。
|
関連トピック
『WebLogic リソースのセキュリティ』の「ユーザとグループ」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html)
ユーザ、グループ、グローバル ロールのコンフィグレーション
[ユーザ、グループおよびグローバル ロールのコンフィグレーション] ウィンドウは、Configuration Template Builder に表示されます。また、コンフィグレーション ウィザードを使用してドメインを拡張するときにも表示されます。
ユーザ、グループ、およびグローバル ロールは次のように定義されます。
ユーザは認証可能なエンティティです。ユーザは、人間またはソフトウェア エンティティ (Java クライアントなど) です。各ユーザには、セキュリティ レルム内でユニークな ID が与えられます。
グループは、社内の同じ部署で働くなど、一般に何らかの共通点を持つユーザの集合です。
セキュリティ ロールは、特定の条件に基づいてユーザまたはグループに付与される特権です。グループと同様に、セキュリティ ロールでは、WebLogic リソースへのアクセス制限を複数のユーザに対して同時に実行できます。セキュリティ レルム内 (したがって WebLogic Server ドメイン全体) にデプロイされたすべての WebLogic リソースに適用されるセキュリティ ロールは、グローバル ロールと呼ばれます。
[ユーザ、グループおよびグローバル ロールのコンフィグレーション] ウィンドウでは、認証のためにユーザ、グループ、およびロールを定義するように求められます。最低 1 つのユーザを定義する必要があります。
選択したテンプレートまたはドメインによっては、1 つまたは複数のユーザやグループ、ロールがすでに定義されている場合があります。さらに、WebLogic Server では、グループとロールのデフォルト セットが定義されています。デフォルトのグループとロールの詳細については、『WebLogic リソースのセキュリティ』の次のトピックを参照してください。
ユーザ、グループ、グローバル ロールをコンフィグレーションするには
[ユーザ] タブを選択し、ユーザ コンフィグレーションの現在のリストを確認します。以下の表で示しているガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します (アスタリスクが付いているフィールドは必須フィールドです)。ユーザを削除するには、ユーザのいずれかのフィールドをクリックして [削除] をクリックします。
フィールド名
|
作業内容
|
User name*
|
有効なユーザ名を入力する。カンマ、\t 、< > 、# 、| 、& 、? 、( ) 、{ } を使用しない。ユーザ名では大文字と小文字を区別する。
このフィールドのデフォルト値は new_user_ n 。n には、デフォルトの全ユーザ名の識別に使用される数値が指定される。最初のユーザの n の値は 1。この値は、ユーザを追加するたびに 1 つずつ増加する。
|
User password*
|
ユーザのパスワードを入力する。有効なパスワードは、大文字と小文字を区別する 8 文字以上の文字列。スペースは使用できない。パスワードの値は暗号化される。
注意 : ユーザ名とパスワードの組み合わせ weblogic/weblogic は、プロダクション環境では使用できない。
|
Confirm user password*
|
パスワードを再入力し、入力済みの値を確認する。
|
Description (省略可能)
|
情報目的にのみ使用される、ユーザの説明 (フル ネームなど) を入力する。
|
[グループ] タブを選択し、グループ コンフィグレーションの現在のリストを確認します。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します。グループを削除するには、グループのいずれかのフィールドをクリックして [削除] をクリックします。設定の更新が完了したら、[次へ] をクリックします。
フィールド名
|
作業内容
|
Name*
|
グループの有効な名前を入力する。カンマ、\t 、< > 、# 、| 、& 、? 、( ) 、{ } を使用しない。グループ名では大文字と小文字を区別する。
このフィールドのデフォルト値は new_group_ n 。n には、デフォルトの全グループ名の識別に使用される数値が指定される。最初のグループの n の値は 1。この値は、グループを追加するたびに 1 つずつ増加する。
|
Description (省略可能)
|
情報目的にのみ使用される、グループの説明を入力する。
|
[ロール] タブを選択し、ロール コンフィグレーションの現在のリストを確認します。WebLogic Server のグローバル セキュリティ ロールの定義済みリストが表示されます。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します。ロールを削除するには、ロールのいずれかのフィールドをクリックして [削除] をクリックします。設定の更新が完了したら、[次へ] をクリックします。
警告 : 管理リソースとサーバ リソースのデフォルトのグローバル セキュリティ ロールは制限しないでください。既存のセキュリティ ロールを削除すると、WebLogic Server のオペレーションが低下するおそれがあります。一方、デフォルトのセキュリティ ロールは、セキュリティ ロールの新規追加などによって、より包括的にすることができます。
フィールド名
|
作業内容
|
Name*
|
有効なロール名を入力する。大文字と小文字を区別する文字列を使用。スペースは使用できない。
このフィールドのデフォルト値は new_role_ n 。n には、デフォルトの全ロール名の識別に使用される数値が指定される。最初のロールの n の値は 1。この値は、ロールを追加するたびに 1 つずつ増加する。
|
説明 (省略可能)
|
情報目的にのみ使用される、ロールの説明を入力する。
|
関連トピック
『WebLogic リソースのセキュリティ』の「ユーザとグループ」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html)
『WebLogic リソースのセキュリティ』の「セキュリティ ロール」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/secroles.html)
グループへのユーザの割り当て
グループでは複数のユーザを同時に管理できるため、グループにユーザを追加することをお勧めします。
[ユーザのグループへの割り当て] ウィンドウでは、ユーザをグループに割り当てるように求められます。
グループにユーザを割り当てるには
[グループ] ペインで、ユーザを割り当てるグループを選択します。
選択したグループの現在の割り当てが左側のペインに表示されます。
選択したグループにユーザを割り当てるには、そのユーザのチェック ボックスをチェックする。
選択したグループからユーザを削除するには、そのユーザのチェック ボックスのチェックをはずす。
リスト内のユーザをすべて選択するには、[すべて選択] を選択します。リスト内のユーザをすべて選択解除するには、[すべて選択解除] を選択します。
各ユーザに関連付けられたグループのリストが、変更に合わせて更新されます。
グループに割り当てるユーザごとに、手順 1 と 2 を繰り返します。1 つのユーザを複数のグループに割り当てることができます。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。
グループへのグループの割り当て
[グループのグループへの割り当て] ウィンドウでは、ドメインのセキュリティ管理をさらに細かく設定するために、あるグループを別のグループのサブグループに指定するように求められます。
注意 : グループを再帰的に割り当てることはできません。たとえば、groupB
のサブグループとして groupA
を割り当て、groupA
のサブグループとして groupB
を割り当てることはできません。WebLogic Server では、このタイプの再帰はサポートされていません。
他のグループにグループを割り当てるには
[グループ] ペインで、サブグループを割り当てるグループを選択します。
選択したグループの現在の割り当てが左側のペインに表示されます。
選択したグループにサブグループとしてグループを割り当てるには、そのグループのチェック ボックスをチェックする。
選択したグループからサブグループを削除するには、そのサブグループのチェック ボックスのチェックをはずす。
リスト内のグループをすべて選択するには、[すべて選択] を選択します。リスト内のグループをすべて選択解除するには、[すべて選択解除] を選択します。
各グループに関連付けられたサブグループのリストが、変更に合わせて更新されます。
サブグループを指定するグループごとに、手順 1 と 2 を繰り返します。1 つのグループを複数のグループのサブグループに指定できます。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。
グローバル ロールへのユーザとグループの割り当て
[ユーザおよびグループのグローバル ロールへの割り当て] ウィンドウでは、WebLogic Server によって定義されたグローバル セキュリティ ロールにユーザとグループを割り当てるように求められます。以下の表は、各ロールに割り当てられたユーザが実行可能な操作を示しています。
ロール名
|
実行内容
|
Admin
|
|
Deployer
|
|
Monitor
|
|
Operator
|
|
Anonymous
|
すべてのユーザに付与される便利なデフォルト ロール (グループ Everyone)。このロールは、weblogic.xml ファイルと weblogic-ejb-jar.xml ファイルのセキュリティ デプロイメント記述子で指定できる。
|
1 つまたは複数のユーザやグループ (1 つまたは複数のユーザを含む) を Admin ロールに割り当てて、WebLogic Server を起動可能なユーザを最低 1 つ確保する必要があります。
グローバル セキュリティ ロールにユーザとグループを割り当てるには
[ロール] ペインで、ユーザとグループを割り当てるグローバル ロールを選択します。
選択したロールの現在の割り当てが左側のペインに表示されます。
選択したロールにユーザまたはグループを割り当てるには、該当するチェック ボックスをチェックする。
選択したロールからユーザまたはグループを削除するには、該当するチェック ボックスのチェックをはずす。
リスト内のユーザとグループをすべて選択するには、[すべて選択] を選択します。リスト内のユーザとグループをすべて選択解除するには、[すべて選択解除] を選択します。
各ユーザとグループに対応する [ロール] リストが、ユーザとグループが割り当てられたグローバル ロールに合わせて更新されます。
グローバル ロールに割り当てるユーザまたはグループごとに、手順 1 と 2 を繰り返します。1 つのユーザまたはグループを複数のグローバル ロールに割り当てることができます。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。
関連トピック
『WebLogic リソースのセキュリティ』の「セキュリティ ロール」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/secroles.html)