ACL 方針の設定


	BEA ホーム \| イベント \| ソリューション \| パートナ \| 製品 \| サービス \| ダウンロード \| ディベロッパ・センタ \| WebSUPPORT
	e-docs \| サイトマップ \| 検索 \| PDF版 \| お問い合わせ \| 用語集

Tuxedo ホーム \| BEA Tuxedo のセキュリティ機能 \| 先頭へ \| 前へ \| 次へ \| 目次

ACL 方針の設定

管理者は、次のコンフィギュレーション・パラメータを使用して、BEA Tuxedo リリース 7.1 以上のソフトウェアを実行する ATMI アプリケーション間で、アクセス制御リスト (ACL: Access Control List) 方針の設定と制御を行います。

パラメータ名	説明	設定
DMCONFIG の ACL_POLICY (DM_MIB の TA_DMACLPOLICY)	リモート・ドメイン・アクセス・ポイントごとに、DMCONFIG ファイルの DM_REMOTE_DOMAINS セクションで指定される場合があります。特定のリモート・ドメイン・アクセス・ポイントに対するこのパラメータの値により、ローカル・ドメイン・ゲートウェイがリモート・ドメインから受信したサービス要求の ID を変更するかどうかが決まります。*	LOCALまたは GLOBAL。デフォルト値は LOCAL です。 LOCAL は、サービス要求の ID を変更することを示します。GLOBAL は、サービス要求を変更しないで渡すことを示します。
DMCONFIG の LOCAL_PRINCIPAL_NAME (DM_MIB の TA_DMLOCALPRINCIPALNAME)	リモート・ドメイン・アクセス・ポイントごとに、DMCONFIG ファイルの DM_REMOTE_DOMAINS セクションで指定される場合があります。特定のリモート・ドメイン・アクセス・ポイントに対し、ACL_POLICY パラメータに LOCAL (デフォルト値) が設定された場合、ローカル・ドメイン・ゲートウェイは、リモート・ドメインから受け取ったサービス要求の ID を、LOCAL_PRINCIPAL_NAME のプリンシパル名に変更します。	1 ～ 511 文字。指定しない場合、リモート・ドメイン・アクセス・ポイントの DOMAINID 文字列がデフォルト値になります。
* リモート・ドメイン・アクセス・ポイントは、RDOM (アールドム) または単に「リモート・ドメイン」とも呼ばれます。

以下の 3 つの図は、ACL_POLICY の設定が、ローカル・ドメイン・ゲートウェイ (GWTDOMAIN) のプロセスの動作に与える影響を示します。

ローカルな ACL 方針の確立

上の図では、各ドメイン・ゲートウェイ (GWTDOMAIN) がインバウンドのクライアント要求 (リモート・アプリケーションからネットワーク経由で受信される要求) を変更しています。変更された要求は、リモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME の ID を持つため、その ID に設定されたアクセス権も取得することになります。各ドメイン・ゲートウェイは、アウトバウンドのクライアント要求を変更しないで渡します。

このコンフィギュレーションでは、各 ATMI アプリケーションに ACL データベースがあります。このデータベースには、ドメイン内のユーザに関するエントリだけが格納されます。たとえば、リモート・ドメイン・アクセス・ポイントに対して設定された LOCAL_PRINCIPAL_NAME の ID を持つユーザです。

注記以上の説明は、BEA Tuxedo リリース 7.1 より前のソフトウェアを実行する ATMI アプリケーションにも適用されます。ただし、システムでは、リモート・ドメイン・アクセス・ポイントに設定された DOMAINID の ID が使用されます。基本的に、BEA Tuxedo リリース 6.5 以前のソフトウェアでは、ローカルの ACL 方針はハードコーディングされています。

グローバルな ACL 方針の確立

上の図では、各ドメイン・ゲートウェイ (GWTDOMAIN) は、インバウンドとアウトバウンドのクライアント要求を変更しないで渡します。このコンフィギュレーションでは、各 ATMI アプリケーションに ACL データベースがあります。このデータベースには、ドメイン内のユーザに関するエントリのほか、リモート・ドメインのユーザの情報も格納されます。

一方向ローカルおよび一方向グローバルの ACL 方針の確立

上の図では、ATMI アプリケーション 1 のドメイン・ゲートウェイ (GWTDOMAIN) が、インバウンドのクライアント要求を変更しています。変更された要求は、ATMI アプリケーション 2 のリモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME ID を持つため、その ID に設定されたアクセス権も取得することになります。アウトバウンドのクライアント要求は、変更されずに渡されます。ATMI アプリケーション 2 のドメイン・ゲートウェイ (GWTDOMAIN) は、インバウンドとアウトバウンドのクライアント要求を変更しないで渡します。

このコンフィギュレーションの ATMI アプリケーション 1 の ACL データベースには、ドメイン内のユーザに関するエントリだけが含まれています。たとえば、アプリケーション 2 のリモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME の ID を持つユーザです。ATMI アプリケーション 2 の ACL データベースには、ドメイン内のユーザに関するエントリのほか、ATMI アプリケーション 1 のユーザのエントリも格納されています。

リモート・ドメイン・ゲートウェイの偽装化

ドメイン・ゲートウェイは、ローカルの DMCONFIG ファイルの ACL_POLICY パラメータに LOCAL (デフォルト) が設定されたリモート・ドメインからクライアント要求を受け取ると、次のタスクを実行します。

内部の代替ユーザ関数を呼び出して、リモート・ドメイン・アクセス・ポイントに設定された LOCAL_PRINCIPAL_NAME の ID に基づき、クライアントの認可トークンと監査トークンを取得します。
取得したトークンを使用して、既にクライアント要求に添付されているトークンを上書きします。
要求を送信先のサーバに転送します。

代替ユーザ関数の詳細については、「古いクライアントの ID の確認」を参照してください。

ACL 方針を指定する DMCONFIG のエントリ例

次の例では、リモート・ドメイン・アクセス・ポイント b01 を介した接続に対し、ローカルの DMCONFIG ファイルで ACL がグローバルに設定されています。つまり、ドメイン・アクセス・ポイント c01 のドメイン・ゲートウェイ・プロセスは、ドメイン・アクセス・ポイント b01 に対し、クライアント要求を変更しないで受け渡します。ACL がグローバルに設定されている場合、ドメイン・アクセス・ポイント b01 の LOCAL_PRINCIPAL_NAME エントリは無視されます。

*DM_LOCAL_DOMAINS
# <LDOM name> <Gateway Group name> <domain type> <domain id> 
#      [<connection principal name>] [<security>]...
c01    GWGRP=bankg1
       TYPE=TDOMAIN
       DOMAINID="BA.CENTRAL01"
       CONNECTION_PRINCIPAL_NAME="BA.CENTRAL01"
       SECURITY=DM_PW
   .
   .
   .

*DM_REMOTE_DOMAINS
# <RDOM name> <domain type> <domain id> [<ACL policy>] 
#      [<connection principal name>] [<local principal name>]...
b01    TYPE=TDOMAIN
       DOMAINID="BA.BANK01"
       ACL_POLICY=GLOBAL
       CONNECTION_PRINCIPAL_NAME="BA.BANK01"
       LOCAL_PRINCIPAL_NAME="BA.BANK01.BOB"