BEA Logo BEA Tuxedo Release 8.0

  BEA ホーム  |  イベント  |  ソリューション  |  パートナ  |  製品  |  サービス  |  ダウンロード  |  ディベロッパ・センタ  |  WebSUPPORT

   e-docs   |   サイト マップ   |   検索   |   PDF版   |   お問い合わせ   |   用語集

 

   Tuxedo ホーム   |   BEA Tuxedo のセキュリティ機能   |   先頭へ   |   前へ   |   次へ   |   目次

 

ドメイン間のリンクの確立

ドメイン・ゲートウェイ (GWTDOMAIN) が別のドメイン・ゲートウェイとのネットワーク・リンクを確立しようとすると、次のようなイベントが発生します。

  1. イニシエータ側とターゲット側のドメイン・ゲートウェイは、リンク・レベルの 暗号化 (LLE: Link-Level Encryption) の min-max 値を交換します。これらの値は、 ゲートウェイ間のリンクに LLE を設定するために使用されます。LLE について は、「リンク・レベルの暗号化」を参照してください。

  2. イニシエータ側とターゲット側のドメイン・ゲートウェイは、セキュリティ・ トークンを交換することにより、認証し合います。このとき、双方で BEA Tuxedo リリース 7.1 以上のソフトウェアを実行していると想定します。

    どちらかまたは両方のドメイン・ゲートウェイが BEA Tuxedo リリース 7.1 より前のソフトウェアを実行している場合、ゲートウェイ・プロセスでは、リリース 7.1 より前の古い認証プロトコルを使って接続が確立されます。

管理者は、次のコンフィギュレーション・パラメータを使用して、BEA Tuxedo リリース 7.1 以上のソフトウェアを実行するドメイン・ゲートウェイ間にリンクを確立します。

パラメータ名

説明

設定

DMCONFIGの CONNECTION_PRINCIPAL_NAME (DM_MIBTA_DMCONNPRINCIPALNAME)

このパラメータが DMCONFIG ファイルの DM_LOCAL_DOMAINS セクションにある場合、リモート・ドメイン・アクセス・ポイントとの接続を設定する際のこのパラメータの値は、ローカル・ドメイン・アクセス・ポイントのプリンシパル名になります。*

デフォルトの認証プラグインで、ローカル・ドメイン・アクセス・ポイントの CONNECTION_PRINCIPAL_NAME に値を割り当てる場合、その値は、ローカル・ドメイン・アクセス・ポイントの DOMAINID パラメータの値と同じでなければなりません。これらの値が一致しないと、ローカル・ドメイン・ゲートウェイ・プロセスは起動せず、システムでは「ERROR: 証明書を取得できません。」という userlog(3c) のメッセージが生成されます。

1 〜 511 文字。指定しない場合は、ローカル・ドメイン・アクセス・ポイントの DOMAINID 文字列がデフォルト値になります。

DMCONFIGの CONNECTION_PRINCIPAL_NAME (DM_MIBTA_DMCONNPRINCIPALNAME)

このパラメータが DMCONFIG ファイルの DM_REMOTE_DOMAINS セクションにあり、特定のリモート・ドメイン・アクセス・ポイントを示す場合、ローカル・ドメイン・アクセス・ポイントとの接続を設定する際のこのパラメータの値は、リモート・ドメイン・アクセス・ポイントのプリンシパル名になります。

デフォルトの認証プラグインで、リモート・ドメイン・アクセス・ポイントの CONNECTION_PRINCIPAL_NAME に値を割り当てる場合、その値は、リモート・ドメイン・アクセス・ポイントの DOMAINID パラメータの値と同じでなければなりません。これらの値が一致しないと、ローカル・ドメイン・ゲートウェイとリモート・ドメイン・ゲートウェイとの間の接続は確立できず、システムでは「ERROR: ドメイン domain_name の管理用キーを初期化できません。」という userlog(3c) のメッセージが生成されます。

1 〜 511 文字。指定しない場合は、リモート・ドメイン・アクセス・ポイントの DOMAINID 文字列がデフォルト値になります。

* ローカル・ドメイン・アクセス・ポイントは、「LDOM (エルドム)」または単に「ローカル・ドメイン」とも呼ばれます。リモート・ドメイン・アクセス・ポイントは、「RDOM (アールドム)」または単に「リモート・ドメイン」とも呼ばれます。

次の図は、デフォルトの認証プラグインを使用して、ドメイン間のリンクを確立する方法を示しています。

デフォルトの認証を使用してドメイン間にリンクを確立する


 

注記 上の図の「クリデンシャル」は、ローカル・ドメイン・アクセス・ポイントに対して設定された CONNECTION_PRINCIPAL_NAME の ID を使用して、アプリケーションの起動時に、各ドメイン・ゲートウェイ・プロセスによって取得されます。

上の図で、イニシエータ側とターゲット側のドメイン・ゲートウェイ間で交換される情報には、ドメイン・ゲートウェイ用に指定された BDMCONFIG ファイルの CONNECTION_PRINCIPAL_NAME 文字列が含まれる点に注目してください。各認証プラグインは、リモート・ドメイン・アクセス・ポイントに割り当てられたパスワード (BDMCONFIG ファイルの DM_PASSWORDS セクションで定義) を使用して文字列を暗号化してから、それをネットワーク経由で送信し、ローカル・ドメイン・アクセス・ポイントに割り当てられたパスワード (BDMCONFIG ファイルの DM_PASSWORDS セクションで定義) を使用して受信した文字列を復号化します。このとき、暗号化アルゴリズムとして、56 ビットの DES (Data Encryption Standard) が使用されます。

暗号化および復号化の操作を成功させるため、ローカルの BDMCONFIG ファイルで指定された、リモート・ドメイン・アクセス・ポイント用のパスワードは、リモートの BDMCONFIG ファイルで指定されたローカル・ドメイン・アクセス・ポイント用のパスワードと同じでなければなりません。同様に、ドメインのセキュリティ・レベルが APP_PW に設定されている場合に暗号化および復号化の操作を成功させるには、各 TUXCONFIG ファイルのアプリケーション・パスワードが同じでなければなりません。認証プロセスを成功させるには、受信した文字列が、送信者の CONNECTION_PRINCIPAL_NAME 文字列と一致しなければなりません。

ドメイン・ゲートウェイがセキュリティ・チェックにパスすると、リンクが確立され、ゲートウェイは、確立されたリンクを介してサービス要求を転送したり、応答を受信することができます。

リンクを確立するための DMCONFIG のエントリ例

次の例は、ローカル・ドメイン・アクセス・ポイント c01 と、リモート・ドメイン・アクセス・ポイント b01 を使って接続を確立するときに、ローカルの DMCONFIG ファイルのコンフィギュレーションが使用されることを示しています。

 
*DM_LOCAL_DOMAINS
# <LDOM name> <Gateway Group name> <domain type> 
#      <domain id> [<connection principal name>] [<security>]...
c01    GWGRP=bankg1
       TYPE=TDOMAIN
       DOMAINID="BA.CENTRAL01"
       CONNECTION_PRINCIPAL_NAME="BA.CENTRAL01"
       SECURITY=DM_PW
   .
   .
   .
 
*DM_REMOTE_DOMAINS
# <RDOM name> <domain type> <domain id> 
#      [<connection principal name>]...
b01    TYPE=TDOMAIN
       DOMAINID="BA.BANK01"
       CONNECTION_PRINCIPAL_NAME="BA.BANK01"

関連項目

 

先頭へ戻る 前のトピックへ 次のトピックへ

 

Copyright © 2001 BEA Systems, Inc. All rights reserved.
Required browser: Netscape 4.0 or higher, or Microsoft Internet Explorer 4.0 or higher.