コンフィグレーション ウィザードの使い方

セキュリティのコンフィグレーション

初回起動時も含めて、コンフィグレーションのセキュリティを常に確保するために、コンフィグレーション ウィザードと Configuration Template Builder では、基本的なセキュリティ機能を提供しています。「管理ユーザ名とパスワードのコンフィグレーション」で説明されているように、ドメイン テンプレートまたは Configuration Template Builder を新規に作成するたびに、管理ユーザ名とパスワードを定義するように要求されます。場合によっては、以下のセキュリティ機能を使用して、アプリケーション リソースのセキュリティを強化することもできます。

• ユーザおよびグループ - セキュリティ ロールの付与の対象となる個人または個人の集合の分類。通常、グループは、同じ部署で働くなど社内のロールや機能を共有しているユーザの集合です。
• グローバル セキュリティ ロール - WebLogic リソースへのアクセス制限に使用する動的に計算される特権。ユーザに対してこれらの特権が許可されるかどうかは、ユーザに割り当てられているロールによって決まります。

たとえば、個人のスキルを活用するために、開発チームでは一般にシステム管理の担当業務を個別のロールに分割しています。これにより、開発チームは、異なるレベルのパーミッションを各ロールに割り当てることができます。それぞれのプロジェクトでは、コンポーネントをデプロイするパーミッションを 1 人か 2 人のチーム メンバーにのみ付与し、チーム メンバー全員には WebLogic Server コンフィグレーションの表示を許可することができます。

WebLogic Server では、システム管理操作のアクセス権を決定する 4 種類のデフォルト グローバル ロール (Admin、Deployer、Operator、Monitor) を提供することにより、こうしたロールベースの開発をサポートしています。

警告 : 管理リソースとサーバ リソースのデフォルトのグローバル セキュリティ ロールは制限しないでください。既存のセキュリティ ロールを削除すると、WebLogic Server のオペレーションが低下するおそれがあります。一方、デフォルトのセキュリティ ロールは、セキュリティ ロールの新規追加などによって、より包括的にすることができます。

以下の表は、コンフィグレーションのリソースに基本セキュリティを施すための対応策を示しています。

実行するタスク	作業内容
管理ユーザ名とパスワードのコンフィグレーション	管理サーバの起動に使用するユーザ名とパスワードを定義する。
ユーザとグループのコンフィグレーション	認証のためにユーザとグループを定義する (コンフィグレーション ウィザードのみ)。
ユーザ、グループ、グローバル ロールのコンフィグレーション	認証のためにユーザ、グループ、およびグローバル ロールを定義する。
グループへのユーザの割り当て	特定のグループのメンバーとして各ユーザを指定する。グループでは複数のユーザを同時に管理できる。通常、グループによる管理のほうが各ユーザを個々に管理するよりも効率的。
グループへのグループの割り当て	セキュリティ管理をさらに細かく設定するために、あるグループを別のグループのサブグループに指定する。
グローバル ロールへのユーザとグループの割り当て	定義済みの WebLogic Server グローバル セキュリティ ロールにユーザとグループを割り当てる。

 

関連トピック

『WebLogic リソースのセキュリティ』(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/index.html)

 

---

管理ユーザ名とパスワードのコンフィグレーション

[管理ユーザ名とパスワードのコンフィグレーション] ウィンドウでは、管理サーバの起動に使用するユーザ名とパスワードを指定するように求められます。

管理ユーザ名とパスワードをコンフィグレーションするには

[User name] フィールドに有効な値を入力します。このユーザ名は、管理サーバを起動して接続するときに使用されます。

カンマ、\t、< >、#、|、&、?、( )、{ } を使用しないでください。ユーザ名では大文字と小文字を区別します。

[User password] フィールドに有効な値を入力します。パスワードには、大文字と小文字を区別する 8 文字以上の文字列を使用します。スペースは使用できません。パスワードの値は暗号化されます。

注意 : ユーザ名とパスワードの組み合わせ weblogic/weblogic は、プロダクション環境では使用しないでください。

[Confirm user password] フィールドにパスワードをもう一度入力します。
必要に応じて、このユーザ名のログイン説明を入力します。
カスタム オプションまたはコンフィグレーション テンプレートを使用してコンフィグレーションを作成すると、付加的なセキュリティ リソースをコンフィグレーションできます。ユーザ、グループ、およびグローバル ロールをさらにコンフィグレーションする場合は、[はい] を選択します。このオプションは、エクスプレス モードでは使用できません。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。

次の手順

作成対象	移動先の手順
エクスプレス オプションを使用した新しいドメイン	サーバの起動モードおよび Java SDK の指定
カスタム ドメインを使用した新しいドメイン、およびセキュリティ リソースを追加したコンフィグレーション	ユーザとグループのコンフィグレーション
コンフィグレーション テンプレート、および追加リソースのコンフィグレーション	ユーザ、グループ、グローバル ロールのコンフィグレーション

 

 

---

ユーザおよびグループのコンフィグレーション

このウィンドウは、コンフィグレーション ウィザードでのみ表示されます。

ユーザは、認証可能な 1 つのエンティティです。ユーザは、人間またはソフトウェア エンティティ (Java クライアントなど) です。各ユーザには、セキュリティ レルム内でユニークな ID が与えられます。グループは、社内の同じ部署で働くなど、一般に何らかの共通点を持つユーザの集合です。

[ユーザおよびグループのコンフィグレーション] ウィンドウでは、認証のためにユーザとグループを定義するように求められます。最低 1 つのユーザを定義する必要があります。選択したコンフィグレーション テンプレートによっては、1 つまたは複数のユーザやグループがすでに定義されている場合があります。さらに、WebLogic Server では、グループのデフォルト セットが定義されています。WebLogic Server に定義されているデフォルト グループのリストについては、次の URL にある『WebLogic リソースのセキュリティ』の「ユーザとグループ」にある「デフォルト グループ」を参照してください。

http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html

ユーザとグループをコンフィグレーションするには

[ユーザ] タブを選択し、ユーザ コンフィグレーションの現在のリストを確認します。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します (アスタリスクが付いているフィールドは必須フィールドです)。ユーザを削除するには、ユーザのいずれかのフィールドをクリックして [削除] をクリックします。

フィールド名	作業内容
User name*	有効なユーザ名を入力する。カンマ、\t、< >、#、|、&、?、( )、{ } を使用しない。ユーザ名では大文字と小文字を区別する。 このフィールドのデフォルト値は new_user_n。n には、デフォルトの全ユーザ名の識別に使用される数値が指定される。最初のユーザの n の値は 1。この値は、ユーザを追加するたびに 1 つずつ増加する。
User password*	ユーザのパスワードを入力する。有効なパスワードは、大文字と小文字を区別する 8 文字以上の文字列。スペースは使用できない。パスワードの値は暗号化される。 注意 : ユーザ名とパスワードの組み合わせ weblogic/weblogic は、プロダクション環境では使用できない。
Confirm user password*	パスワードを再入力し、入力済みの値を確認する。
説明 (省略可能)	情報目的にのみ使用される、ユーザの説明 (フル ネームなど) を入力する。


 
[グループ] タブを選択し、グループ コンフィグレーションの現在のリストを確認します。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します。グループを削除するには、グループのいずれかのフィールドをクリックして [削除] をクリックします。設定の更新が完了したら、[次へ] をクリックします。

フィールド名	作業内容
Name*	グループの有効な名前を入力する。カンマ、\t、< >、#、|、&、?、( )、{ } を使用しない。グループ名では大文字と小文字を区別する。 このフィールドのデフォルト値は new_group_n。n には、デフォルトの全グループ名の識別に使用される数値が指定される。最初のグループの n の値は 1。この値は、グループを追加するたびに 1 つずつ増加する。
説明 (省略可能)	情報目的にのみ使用される、グループの説明を入力する。


 

関連トピック

『WebLogic リソースのセキュリティ』の「ユーザとグループ」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html)

 

---

ユーザ、グループ、グローバル ロールのコンフィグレーション

[ユーザ、グループおよびグローバル ロールのコンフィグレーション] ウィンドウは、Configuration Template Builder に表示されます。また、コンフィグレーション ウィザードを使用してドメインを拡張するときにも表示されます。

ユーザ、グループ、およびグローバル ロールは次のように定義されます。

• ユーザは認証可能なエンティティです。ユーザは、人間またはソフトウェア エンティティ (Java クライアントなど) です。各ユーザには、セキュリティ レルム内でユニークな ID が与えられます。
• グループは、社内の同じ部署で働くなど、一般に何らかの共通点を持つユーザの集合です。
• セキュリティ ロールは、特定の条件に基づいてユーザまたはグループに付与される特権です。グループと同様に、セキュリティ ロールでは、WebLogic リソースへのアクセス制限を複数のユーザに対して同時に実行できます。セキュリティ レルム内 (したがって WebLogic Server ドメイン全体) にデプロイされたすべての WebLogic リソースに適用されるセキュリティ ロールは、グローバル ロールと呼ばれます。

[ユーザ、グループおよびグローバル ロールのコンフィグレーション] ウィンドウでは、認証のためにユーザ、グループ、およびロールを定義するように求められます。最低 1 つのユーザを定義する必要があります。

選択したテンプレートまたはドメインによっては、1 つまたは複数のユーザやグループ、ロールがすでに定義されている場合があります。さらに、WebLogic Server では、グループとロールのデフォルト セットが定義されています。デフォルトのグループとロールの詳細については、『WebLogic リソースのセキュリティ』の次のトピックを参照してください。

• 「ユーザとグループ」の「デフォルト グループ」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html)
• 「セキュリティ ロール」の「デフォルト グローバル ロール」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/secroles.html)

ユーザ、グループ、グローバル ロールをコンフィグレーションするには

[ユーザ] タブを選択し、ユーザ コンフィグレーションの現在のリストを確認します。以下の表で示しているガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します (アスタリスクが付いているフィールドは必須フィールドです)。ユーザを削除するには、ユーザのいずれかのフィールドをクリックして [削除] をクリックします。

フィールド名	作業内容
User name*	有効なユーザ名を入力する。カンマ、\t、< >、#、|、&、?、( )、{ } を使用しない。ユーザ名では大文字と小文字を区別する。 このフィールドのデフォルト値は new_user_n。n には、デフォルトの全ユーザ名の識別に使用される数値が指定される。最初のユーザの n の値は 1。この値は、ユーザを追加するたびに 1 つずつ増加する。
User password*	ユーザのパスワードを入力する。有効なパスワードは、大文字と小文字を区別する 8 文字以上の文字列。スペースは使用できない。パスワードの値は暗号化される。 注意 : ユーザ名とパスワードの組み合わせ weblogic/weblogic は、プロダクション環境では使用できない。
Confirm user password*	パスワードを再入力し、入力済みの値を確認する。
Description (省略可能)	情報目的にのみ使用される、ユーザの説明 (フル ネームなど) を入力する。


 
[グループ] タブを選択し、グループ コンフィグレーションの現在のリストを確認します。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します。グループを削除するには、グループのいずれかのフィールドをクリックして [削除] をクリックします。設定の更新が完了したら、[次へ] をクリックします。

フィールド名	作業内容
Name*	グループの有効な名前を入力する。カンマ、\t、< >、#、|、&、?、( )、{ } を使用しない。グループ名では大文字と小文字を区別する。 このフィールドのデフォルト値は new_group_n。n には、デフォルトの全グループ名の識別に使用される数値が指定される。最初のグループの n の値は 1。この値は、グループを追加するたびに 1 つずつ増加する。
Description (省略可能)	情報目的にのみ使用される、グループの説明を入力する。


 
[ロール] タブを選択し、ロール コンフィグレーションの現在のリストを確認します。WebLogic Server のグローバル セキュリティ ロールの定義済みリストが表示されます。以下の表に記載されたガイドラインに従って、コンフィグレーションに必要なエントリを追加または変更します。ロールを削除するには、ロールのいずれかのフィールドをクリックして [削除] をクリックします。設定の更新が完了したら、[次へ] をクリックします。

警告 : 管理リソースとサーバ リソースのデフォルトのグローバル セキュリティ ロールは制限しないでください。既存のセキュリティ ロールを削除すると、WebLogic Server のオペレーションが低下するおそれがあります。一方、デフォルトのセキュリティ ロールは、セキュリティ ロールの新規追加などによって、より包括的にすることができます。

フィールド名	作業内容
Name*	有効なロール名を入力する。大文字と小文字を区別する文字列を使用。スペースは使用できない。 このフィールドのデフォルト値は new_role_n。n には、デフォルトの全ロール名の識別に使用される数値が指定される。最初のロールの n の値は 1。この値は、ロールを追加するたびに 1 つずつ増加する。
説明 (省略可能)	情報目的にのみ使用される、ロールの説明を入力する。


 

関連トピック

『WebLogic リソースのセキュリティ』の「ユーザとグループ」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/usrs_grps.html)

『WebLogic リソースのセキュリティ』の「セキュリティ ロール」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/secroles.html)

 

---

グループへのユーザの割り当て

グループでは複数のユーザを同時に管理できるため、グループにユーザを追加することをお勧めします。

[ユーザのグループへの割り当て] ウィンドウでは、ユーザをグループに割り当てるように求められます。

グループにユーザを割り当てるには

[グループ] ペインで、ユーザを割り当てるグループを選択します。

選択したグループの現在の割り当てが左側のペインに表示されます。

左側のペインで、次のいずれかを実行します。
• 選択したグループにユーザを割り当てるには、そのユーザのチェック ボックスをチェックする。
• 選択したグループからユーザを削除するには、そのユーザのチェック ボックスのチェックをはずす。

リスト内のユーザをすべて選択するには、[すべて選択] を選択します。リスト内のユーザをすべて選択解除するには、[すべて選択解除] を選択します。

各ユーザに関連付けられたグループのリストが、変更に合わせて更新されます。

グループに割り当てるユーザごとに、手順 1 と 2 を繰り返します。1 つのユーザを複数のグループに割り当てることができます。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。

 

---

グループへのグループの割り当て

[グループのグループへの割り当て] ウィンドウでは、ドメインのセキュリティ管理をさらに細かく設定するために、あるグループを別のグループのサブグループに指定するように求められます。

注意 : グループを再帰的に割り当てることはできません。たとえば、groupB のサブグループとして groupA を割り当て、groupA のサブグループとして groupB を割り当てることはできません。WebLogic Server では、このタイプの再帰はサポートされていません。

他のグループにグループを割り当てるには

[グループ] ペインで、サブグループを割り当てるグループを選択します。

選択したグループの現在の割り当てが左側のペインに表示されます。

左側のペインで、次のいずれかを実行します。
• 選択したグループにサブグループとしてグループを割り当てるには、そのグループのチェック ボックスをチェックする。
• 選択したグループからサブグループを削除するには、そのサブグループのチェック ボックスのチェックをはずす。

リスト内のグループをすべて選択するには、[すべて選択] を選択します。リスト内のグループをすべて選択解除するには、[すべて選択解除] を選択します。

各グループに関連付けられたサブグループのリストが、変更に合わせて更新されます。

サブグループを指定するグループごとに、手順 1 と 2 を繰り返します。1 つのグループを複数のグループのサブグループに指定できます。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。

 

---

グローバル ロールへのユーザとグループの割り当て

[ユーザおよびグループのグローバル ロールへの割り当て] ウィンドウでは、WebLogic Server によって定義されたグローバル セキュリティ ロールにユーザとグループを割り当てるように求められます。以下の表は、各ロールに割り当てられたユーザが実行可能な操作を示しています。

ロール名	実行内容
Admin	サーバ コンフィグレーションを表示および変更する。 アプリケーション、EJB、起動/停止クラス、J2EE コネクタ、および Web サービス コンポーネントをデプロイする。 デプロイメント記述子を編集する。
Deployer	サーバ コンフィグレーションを表示する。 アプリケーション、EJB、起動/停止クラス、J2EE コネクタ、および Web サービス コンポーネントをデプロイする。 デプロイメント記述子を編集する。
Monitor	サーバ コンフィグレーションを表示する。
Operator	サーバ コンフィグレーションを表示する。 デフォルトでサーバを起動、再開、および停止する。
Anonymous	すべてのユーザに付与される便利なデフォルト ロール (グループ Everyone)。このロールは、weblogic.xml ファイルと weblogic-ejb-jar.xml ファイルのセキュリティ デプロイメント記述子で指定できる。

 

1 つまたは複数のユーザやグループ (1 つまたは複数のユーザを含む) を Admin ロールに割り当てて、WebLogic Server を起動可能なユーザを最低 1 つ確保する必要があります。

グローバル セキュリティ ロールにユーザとグループを割り当てるには

[ロール] ペインで、ユーザとグループを割り当てるグローバル ロールを選択します。

選択したロールの現在の割り当てが左側のペインに表示されます。

左側のペインで、次のいずれかを実行します。
• 選択したロールにユーザまたはグループを割り当てるには、該当するチェック ボックスをチェックする。
• 選択したロールからユーザまたはグループを削除するには、該当するチェック ボックスのチェックをはずす。

リスト内のユーザとグループをすべて選択するには、[すべて選択] を選択します。リスト内のユーザとグループをすべて選択解除するには、[すべて選択解除] を選択します。

各ユーザとグループに対応する [ロール] リストが、ユーザとグループが割り当てられたグローバル ロールに合わせて更新されます。

グローバル ロールに割り当てるユーザまたはグループごとに、手順 1 と 2 を繰り返します。1 つのユーザまたはグループを複数のグローバル ロールに割り当てることができます。
[次へ] をクリックして、次のコンフィグレーション ウィンドウに進みます。

関連トピック

『WebLogic リソースのセキュリティ』の「セキュリティ ロール」(http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/secroles.html)