|
|
ACL 方針の設定
管理者は、次のコンフィギュレーション・パラメータを使用して、BEA Tuxedo リリース 7.1 以上のソフトウェアを実行する ATMI アプリケーション間で、アクセス制御リスト (ACL: Access Control List) 方針の設定と制御を行います。
以下の 3 つの図は、ACL_POLICY の設定が、ローカル・ドメイン・ゲートウェイ (GWTDOMAIN) のプロセスの動作に与える影響を示します。
ローカルな ACL 方針の確立
上の図では、各ドメイン・ゲートウェイ (GWTDOMAIN) がインバウンドのクライアント要求 (リモート・アプリケーションからネットワーク経由で受信される要求) を変更しています。変更された要求は、リモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME の ID を持つため、その ID に設定されたアクセス権も取得することになります。各ドメイン・ゲートウェイは、アウトバウンドのクライアント要求を変更しないで渡します。 このコンフィギュレーションでは、各 ATMI アプリケーションに ACL データベースがあります。このデータベースには、ドメイン内のユーザに関するエントリだけが格納されます。 たとえば、リモート・ドメイン・アクセス・ポイントに対して設定された LOCAL_PRINCIPAL_NAME の ID を持つユーザです。 注記 以上の説明は、BEA Tuxedo リリース 7.1 より前のソフトウェアを実行する ATMI アプリケーションにも適用されます。ただし、システムでは、リモート・ドメイン・アクセス・ポイントに設定された DOMAINID の ID が使用されます。基本的に、BEA Tuxedo リリース 6.5 以前のソフトウェアでは、ローカルの ACL 方針はハードコーディングされています。 グローバルな ACL 方針の確立
上の図では、各ドメイン・ゲートウェイ (GWTDOMAIN) は、インバウンドとアウトバウンドのクライアント要求を変更しないで渡します。このコンフィギュレーションでは、各 ATMI アプリケーションに ACL データベースがあります。このデータベースには、ドメイン内のユーザに関するエントリのほか、リモート・ドメインのユーザの情報も格納されます。 一方向ローカルおよび一方向グローバルの ACL 方針の確立
上の図では、ATMI アプリケーション 1 のドメイン・ゲートウェイ (GWTDOMAIN) が、インバウンドのクライアント要求を変更しています。変更された要求は、ATMI アプリケーション 2 のリモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME ID を持つため、その ID に設定されたアクセス権も取得することになります。アウトバウンドのクライアント要求は、変更されずに渡されます。ATMI アプリケーション 2 のドメイン・ゲートウェイ (GWTDOMAIN) は、インバウンドとアウトバウンドのクライアント要求を変更しないで渡します。 このコンフィギュレーションの ATMI アプリケーション 1 の ACL データベースには、ドメイン内のユーザに関するエントリだけが含まれています。たとえば、アプリケーション 2 のリモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME の ID を持つユーザです。ATMI アプリケーション 2 の ACL データベースには、ドメイン内のユーザに関するエントリのほか、ATMI アプリケーション 1 のユーザのエントリも格納されています。 リモート・ドメイン・ゲートウェイの偽装化 ドメイン・ゲートウェイは、ローカルの DMCONFIG ファイルの ACL_POLICY パラメータに LOCAL (デフォルト) が設定されたリモート・ドメインからクライアント要求を受け取ると、次のタスクを実行します。
代替ユーザ関数の詳細については、「古いクライアントの ID の確認」を参照してください。
ACL 方針を指定する DMCONFIG のエントリ例
次の例では、リモート・ドメイン・アクセス・ポイント b01 を介した接続に対し、ローカルの DMCONFIG ファイルで ACL がグローバルに設定されています。つまり、ドメイン・アクセス・ポイント c01 のドメイン・ゲートウェイ・プロセスは、ドメイン・アクセス・ポイント b01 に対し、クライアント要求を変更しないで受け渡します。ACL がグローバルに設定されている場合、ドメイン・アクセス・ポイント b01 の LOCAL_PRINCIPAL_NAME エントリは無視されます。
*DM_LOCAL_DOMAINS
# <LDOM name> <Gateway Group name> <domain type> <domain id>
# [<connection principal name>] [<security>]...
c01 GWGRP=bankg1
TYPE=TDOMAIN
DOMAINID="BA.CENTRAL01"
CONNECTION_PRINCIPAL_NAME="BA.CENTRAL01"
SECURITY=DM_PW
.
.
.
*DM_REMOTE_DOMAINS
# <RDOM name> <domain type> <domain id> [<ACL policy>]
# [<connection principal name>] [<local principal name>]...
b01 TYPE=TDOMAIN
DOMAINID="BA.BANK01"
ACL_POLICY=GLOBAL
CONNECTION_PRINCIPAL_NAME="BA.BANK01"
LOCAL_PRINCIPAL_NAME="BA.BANK01.BOB"
関連項目
|
Copyright © 2001 BEA Systems, Inc. All rights reserved.
|