|
|
|
|
|
|
ユーザ・レベルの認証によるセキュリティを有効にする方法
デフォルトの認証には、「ユーザ・レベルの認証」というセキュリティ・レベルが用意されており、これは、コンフィギュレーション・ファイルの SECURITY USER_AUTH で指定すると有効になります。このセキュリティ・レベルでは、ATMI アプリケーションに参加するため、各クライアントは、アプリケーション・パスワードのほか、有効なユーザ名とユーザ固有のデータ (パスワードなど) を提示しなければなりません。ユーザごとのパスワードは、tpusr ファイルに格納されている、ユーザ名とクライアント名の組み合わせに関連付けられたパスワードに一致しなければなりません。ユーザごとのパスワードと、tpusr 内のユーザ名/クライアント名およびパスワードとの照合は、認証サーバ AUTHSVR の認証サービス AUTHSVC によって実行されます。
USER_AUTH のセキュリティ・レベルを有効にするには、次の手順に従います。
これらの手順については、次の 2 つの節で説明します。
UBBCONFIG ファイルを設定する
*RESOURCES
SECURITY USER_AUTH
AUTHSVC AUTHSVC
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
CLOPT="-A" を指定すると、tmboot(1) は、tmboot によってATMI アプリケーションが起動するときに、"-A" で呼び出されたデフォルトのコマンド行オプションだけを AUTHSVR に渡します。デフォルトでは、AUTHSVR は、tpusr というファイル内のクライアント・ユーザ情報を使用して、ATMI アプリケーションに参加予定のクライアントを認証します。tpusr は、ATMI アプリケーションの APPDIR 変数で定義する最初のパス名によって参照されるディレクトリにあります。
ユーザ・ファイルとグループ・ファイルの設定
デフォルトの認可システムで使用できる AUTHSVR とアクセス制御チェック機能では、tpusr というユーザ・ファイルが必要です。このファイルには、ATMI アプリケーションへの参加を許可されたクライアント・ユーザのリストが含まれています。アプリケーション管理者は、tpusradd(1)、tpusrdel(1)、および tpusrmod(1) の各コマンドを使用して tpusr を管理します。AUTHSVR サーバは、tpusr ファイルに格納されているクライアント・ユーザ情報を入力として受け取ります。AUTHSVR サーバは、この情報を使用して、ATMI アプリケーションに参加しようとするクライアントを認証します。
次は、tpusr ファイル内のサンプル・エントリです。
AUTHSVR とアクセス制御チェック機能には、tpgrp というグループ・ファイルも必要です。このファイルには、ATMI アプリケーションへの参加を許可されたクライアント・ユーザに関連付けられたグループのリストが含まれています。アプリケーション管理者は、tpgrpadd(1)、tpgrpdel(1)、および tpgrpmod(1) の各コマンドを使用して tpgrp を管理します。 AUTHSVC は、認証されたクライアント・ユーザにアプリケーション・キーを割り当てます。アプリケーション・キーには、USER_AUTH、ACL、または MANDATORY_ACL のセキュリティ・レベルに対するユーザ識別子および関連するグループ識別子が含まれています。アプリケーション・キーの詳細については、「アプリケーション・キー」を参照してください。 次は、tpgrp ファイル内のサンプル・エントリです。
管理者は、tpusr ファイルおよび tpgrp ファイルで、ユーザとグループのリストを定義しなければなりません。これらのファイルは、ATMI アプリケーションの APPDIR 変数で定義した最初のパス名によって参照されるディレクトリにあります。これらのファイルは、コロンで区切られたフラットなテキスト・ファイルであり、アプリケーション管理者だけが読み書きを行う権限を持ちます。 システムのセキュリティ・データ・ファイルを BEA Tuxedo のユーザ・ファイルとグループ・ファイルに変換する ホスト・システムには、ユーザとグループのリストを格納したファイルが既に存在する場合があります。これらのファイルを ATMI アプリケーションのユーザ・ファイルおよびグループ・ファイルとして使用するには、BEA Tuxedo システムで受け付けられる形式に変換する必要があります。ファイルを変換するには、次の手順例に示すように、tpaclcvt(1) コマンドを実行します。この手順例は、UNIX ホスト・マシン用に記述されています。
tpaclcvt -u /etc/password
このコマンドにより、tpusr ファイルが作成され、変換されたデータが格納されます。tpusr ファイルが既に存在する場合、tpaclcvt により、変換したデータがファイルに追加されます。ただし、重複するユーザ情報が追加されることはありません。
注記 シャドウ・パスワード・ファイルを使用するシステムでは、ファイル内のユーザごとにパスワードの入力が要求されます。
tpaclcvt -g /etc/group
このコマンドにより、tpgrp ファイルが作成され、変換されたデータが格納されます。tpgrp ファイルが既に存在する場合、tpaclcvt により、変換したデータがファイルに追加されます。ただし、重複するユーザ情報が追加されることはありません。
ユーザおよびグループを追加、変更、または削除する
BEA Tuxedo システムでは、アプリケーション・ユーザのリストを tpusr というファイルで管理し、グループのリストを tpgrp というファイルで管理する必要があります。これらのファイルのエントリを変更するには、コマンドを発行するか、または ACL_MIB 内の適切な属性を変更します。
コマンドを使用してユーザおよびグループのエントリを変更する
以下のいずれかのコマンドを実行すると、tpusr ファイルおよび tpgrp ファイルのエントリをいつでも追加、変更、または削除できます。
|
コマンド名 |
目的 |
エントリが格納されているファイル名 |
|---|---|---|
|
追加 |
tpusr |
|
|
変更 |
||
|
削除 |
||
|
追加 |
tpgrp |
|
|
変更 |
||
|
削除 |
これらのコマンドを実行するには、次の手順に従います。
ACL_MIB を使用してユーザおよびグループのエントリを変更する
コマンド行インターフェイス以外の方法として、ACL_MIB(5) の T_ACLPRINCIPAL クラスの該当する属性値を変更して、tpusr のユーザ・エントリを追加、変更、または削除することができます。tpusradd(1) では一度に 1 人のユーザしか追加できないため、同時に複数のユーザ・エントリを追加する場合は、この方法の方がコマンド行インターフェイスより効率的です。
同様に、ACL_MIB(5) の T_ACLGROUP クラスの該当する属性値を変更すると、tpgrp のグループ・エントリを追加、変更、または削除できます。tpgrpadd(1) では一度に 1 つのグループしか追加できないため、同時に複数のグループ・エントリを追加する場合は、この方法の方がコマンド行インターフェイスより効率的です。
BEA Administration Console を使用すると、最も簡単に MIB にアクセスできます。
関連項目
|
|
|
|
|
|
Copyright © 2001 BEA Systems, Inc. All rights reserved.
|