Skip navigation.

eDocs ホーム > BEA WebLogic Platform 8.1 ドキュメント > WebLogic Platform アプリケーションのデプロイメント > セキュリティのコンフィグレーション

WebLogic Platform アプリケーションのデプロイメント

  前 次 前と次、目次/インデックス/pdf を分けるコロン 目次  

セキュリティのコンフィグレーション

WebLogic Platform 8.1 は、WebLogic Server で実行するポータル アプリケーション、統合アプリケーション、J2EE アプリケーションなどの、すべてのデプロイメントに対応する統一された単一のセキュリティ フレームワークです。

この節では、対象環境の保護方法の概要、セキュリティ コンフィグレーションの考慮事項、および組み込み LDAP セキュリティ データを対象データベースへプロモートする方法を説明します。また、バージョン制御されているセキュリティ ポリシー ファイルの維持方法についても説明します。

ここには、次のトピックがあります。

WebLogic セキュリティ機能の詳細については、以下のリソースを参照してください。

注意 : マシン障害などの問題に備えて、ユーザ情報のアーカイブを保持しておくことを強くお勧めします。詳細については、『WebLogic Platform 8.1 のセキュリティ』の「WebLogic Platform セキュリティの管理」の「WebLogic Platform セキュリティのコンフィグレーション」の「ユーザ情報のバックアップ」を参照してください。

 

対象環境の保護方法

表 5-1 では、対象環境を保護する方法、特に、プロダクション環境を保護するための推奨事項を示します。

次の図は、一般的なネットワーク コンフィグレーション内の WebLogic ドメインを示します。表 5-1 のセキュリティ領域を確認する際に、この図を参照してください。

図 5-1 一般的なネットワーク コンフィグレーション内の WebLogic ドメイン

一般的なネットワーク コンフィグレーション内の WebLogic ドメイン


 

表 5-1 対象環境の保護方法 

セキュリティ領域

考慮事項

ファイアウォールのコンフィグレーション

ファイアウォールとは、2 つのネットワーク間のトラフィックを制限する機能のことである。ファイアウォールは、ソフトウェアとルータや専用ゲートウェイ マシンなどのハードウェアを組み合わせることができる。

ロード バランシング ハードウェアの前にファイアウォールを配置することで、Web アプリケーションに対して、最小限のファイアウォール ポリシーを使用する非武装地帯 (DMZ) を設定できる。非武装地帯 (DMZ) とは、外部の、信頼性のないソースから使用できるハードウェアおよびサービスの論理的な集合のことである。

ファイアウォールを設定する際のベスト プラクティスなヒントについては、『WebLogic Server クラスタ ユーザーズ ガイド』の「クラスタ化のベスト プラクティス」の「問題の回避」の「ファイアウォールについての考慮事項」を参照。

ロード バランサまたは Web プロキシ サーバの使用

ロード バランサまたは Web プロキシ サーバは、クライアントの接続リクエストを分散し、WebLogic クラスタ全体にロード バランシングおよびフェイルオーバを可能にする。また、外部ユーザからローカル エリア ネットワーク アドレスを保護することによりセキュリティを提供する。

詳細については、「ロード バランサと Web プロキシ サーバの使用」を参照。

ネットワーク接続の保護

ネットワーク接続を設計するときには、管理が容易なセキュリティ ソリューションのニーズと、戦略上重要な WebLogic リソースを保護するためのニーズのバランスを取る。ネットワーク アクセスの保護などのため、ファイアウォールや接続フィルタを設定するかどうかを決定する。ネットワーク接続を保護するためのヒントについては、『プロダクション環境のセキュリティ』の「プロダクション環境のセキュリティの確保」の「ネットワーク接続のセキュリティ」を参照。

WebLogic Server ホストの保護

WebLogic Server プロダクション環境のセキュリティは、動作しているマシンのセキュリティと同程度でしかない。このため、物理マシン、オペレーティング システム、およびホスト マシンにインストールされたその他のすべてのソフトウェアをロックダウンすることが重要である。WebLogic Server ホストのセキュリティのヒントについては、『プロダクション環境のセキュリティ』の「WebLogic Server ホストのセキュリティ」を参照。

WebLogic ドメインの保護

管理サーバを専用マシンにインストールし、アプリケーションを管理対象サーバに割り当てて、アプリケーションとそのユーザをプロダクション環境インフラストラクチャから分離する。アプリケーション (WebLogic Portal アプリケーションおよびモジュールを除く) を管理サーバに割り当てないこと。

WebLogic リソースの保護

WebLogic リソースは、権限のないアクセスから保護することができる、基底の WebLogic Server エンティティを表す。WebLogic リソースの例には、エンタープライズ アプリケーション (EAR)、EJB (JAR)、および Web アプリケーション (WAR) がある。

セキュリティ レルムは WebLogic リソースを保護するためのメカニズムを構成する。各セキュリティ レルムは、コンフィグレーション済みのセキュリティ プロバイダ、ユーザ、グループ、セキュリティ ロール、およびセキュリティ ポリシーで構成される。ユーザはセキュリティ レルムで定義されていないと、WebLogic リソースにアクセスできない。

セキュリティ レルムの WebLogic におけるリソースの保護方法の概要については、『WebLogic Security の紹介』の「セキュリティ レルム」を参照。デフォルト セキュリティ レルムのカスタマイズの詳細については、『WebLogic Security の管理』の「デフォルト セキュリティ コンフィグレーションのカスタマイズ」を参照。

WebLogic リソースの詳細については、以下を参照。

  • 『WebLogic Platform 8.1 のセキュリティ』の「WebLogic Platform 8.1 セキュリティの紹介」の「プラットフォーム ベースのアプリケーションの保護」の「プラットフォーム ベース アプリケーションでのリソースの保護」

WebLogic Portal リソースの保護

WebLogic Portal には、特定のポータル リソースにアクセスできるユーザを識別するためのルール (ロール) を定義できる資格がある。ポータル管理者が WebLogic Administration Portal にログインした場合は、管理者が管理できる領域のみが表示される。訪問者は、ポータルにログインしたとき、持っている資格に応じたブック、ページ、およびポートレットだけを見ることができる。

詳細については、以下を参照。

WebLogic Integration リソースの保護

セキュリティ管理が特に重要なトレーディング パートナのセキュリティをコンフィグレーションおよび管理する必要がある。トレーディング パートナは、ビジネス メッセージの送受信のために、セキュアな環境でデジタル証明書を作成する。

詳細については、以下を参照。

データベースの保護

セキュリティ プロバイダ データベースには、一部のセキュリティ プロバイダがセキュリティ サービスを提供するために使用するユーザ、グループ、セキュリティ ロール、セキュリティ ポリシー、および資格が格納される。セキュリティ プロバイダ データベースとしては、組み込み LDAP サーバ、properties ファイル、またはプロダクション レベルの顧客側で用意されたデータベースを使用できる。

組み込み LDAP サーバは、WebLogic 認証、許可、資格マッピング、およびロール マッピング プロバイダのデフォルトのセキュリティ プロバイダ データベースである。外部 LDAP やリレーショナル データベース管理システム (RDBMS) など、外部ユーザ ストアの使用により、複数のドメイン全体でセキュリティ管理者によるユーザの中央管理を可能にする。

対象の環境に適用する場合は、以下の情報を参照。

アプリケーションの保護

WebLogic Server ドメイン内の WebLogic リソースのセキュリティ対策業務のほとんどはサーバに関するものだが、個々のアプリケーションに対して行うセキュリティ業務もある。

アプリケーションを保護するためのヒントについては、以下を参照。

監査の有効化

プロダクション環境では、監査を有効にすることを勧める。否認防止を目的として、監査プロバイダは処理リクエストをストアし、その結果に関する情報を収集、格納および配布する。監査をコンフィグレーションする詳細については、『WebLogic Security の管理』の「セキュリティ プロバイダのコンフィグレーション」を参照。


 

 

セキュリティ コンフィグレーションの考慮事項

セキュリティをコンフィグレーションする際には、以下の事項を考慮してください。

 

対象データベースへの組み込み LDAP セキュリティ データのプロモート

次の節では、既存の組み込み LDAP データを、対象の組み込み LDAP データベースへプロモートする方法を説明します。

注意 : WebLogic Platform は、組み込み LDAP サーバ データを、外部 LDAP サーバや RDBMS などの外部ユーザ ストアへプロモートするための自動化されたプロセスをサポートしていません。このプロセスを扱うためのカスタム ツールを開発する場合は、既存のパスワードの情報がプロモーション時に維持されないことに注意してください。

対象環境へのセキュリティ データのプロモート

組み込み LDAP サーバは、WebLogic 認証、許可、資格マッピング、およびロール マッピング プロバイダのデフォルトのセキュリティ プロバイダ データベースです。組み込み LDAP サーバには、ユーザ、グループ、グループ メンバシップ、セキュリティ ロール、セキュリティ ポリシー、および資格マップ情報があります。デフォルトでは、各 WebLogic Server ドメインには、属性ごとに設定されたデフォルト値によりコンフィグレーションされた組み込み LDAP サーバがあります。

対象環境で使用する開発で、セキュリティ情報を作成したり、セキュリティ プロバイダをコンフィグレーションした場合、その情報およびセキュリティ プロバイダ コンフィグレーションを対象環境へプロモートする必要があります。このデータのプロモートにより、アプリケーションが対象環境で正常に動作します。WebLogic Server では、以下のセキュリティ データを、あるセキュリティ レルムからエクスポートして新しいセキュリティ レルムへインポートするために使用するユーティリティが使用できます。

各セキュリティ プロバイダのセキュリティ データを個別に移行したり、すべての WebLogic セキュリティ プロバイダのセキュリティ レルム全体のセキュリティ データを一度に移行したりできます。セキュリティ データの移行には、WebLogic Server Administration Console または weblogic.admin ユーティリティを使用します。セキュリティ レルムおよびセキュリティ プロバイダからのセキュリティ データのインポートおよびエクスポートの詳細については、以下を参照してください。

注意 : 必要に応じて、LDAP ブラウザを使用して、組み込み LDAP サーバに格納されたデータをエクスポートおよびインポートすることもできます。

WebLogic Portal データと WebLogic Integration データのプロモート

プロダクション データベースを設定する場合は、アプリケーションで必要なデータベース テーブルを必ず定義します。場合によっては、既存のセキュリティ データを対象環境へプロモートできます。WebLogic Portal データと WebLogic Integration データのコンフィグレーションおよびプロモートの詳細については、「プロダクション データベースへのデータベース情報のプロモート」を参照してください。

 

バージョン制御されているセキュリティ ポリシー ファイルの維持

Perforce、CVS などのソース コントロール ツールを使用して、セキュリティ ポリシー ファイルを維持できます。手順は以下のとおりです。

  1. 以下の節で説明するように、セキュリティ ポリシーの情報をエクスポートします。
  2. バージョン コントロール システムにデータをチェックインします。

 

ナビゲーション バーをスキップ  ページの先頭 前 次