BEA Logo BEA Tuxedo Release 8.0

  BEA ホーム  |  イベント  |  ソリューション  |  パートナ  |  製品  |  サービス  |  ダウンロード  |  ディベロッパ・センタ  |  WebSUPPORT

   e-docs   |   サイト マップ   |   検索   |   PDF版   |   お問い合わせ   |   用語集

 

   Tuxedo ホーム   |   BEA Tuxedo のセキュリティ機能   |   先頭へ   |   前へ   |   次へ   |   目次

 

プリンシパル名の指定

管理者は、次のコンフィギュレーション・パラメータを使用して、BEA Tuxedo リリース 7.1 以上のソフトウェアで作成した ATMI アプリケーションで実行するワークステーション・ハンドラ (WSH)、ドメイン・ゲートウェイ (GWTDOMAIN)、およびサーバ・プロセスのプリンシパル名を指定します。

パラメータ名

説明

設定

UBBCONFIGSEC_PRINCIPAL_NAME (TM_MIBTA_SEC_PRINCIPAL_NAME)

アプリケーションの起動時に、ATMI アプリケーション内のそれぞれの WSH、ドメイン・ゲートウェイ、およびサーバ・プロセスは、認証プラグインを呼び出して、SEC_PRINCIPAL_NAME で指定されたセキュリティ・プリンシパル名のセキュリティ・クリデンシャルを取得します。*

1 〜 511 文字。プリンシパル名がコンフィギュレーション階層のどのレベルでも指定されない場合は、UBBCONFIG ファイルの DOMAINID の文字列がデフォルト値になります。

ローカル・ドメイン・アクセス・ポイントを示す DMCONFIGCONNECTION_PRINCIPAL_NAME (DM_MIB にある LACCESSPOINTTA_DMCONNPRINCIPALNAME)**

アプリケーションの起動時に、ATMI アプリケーション内の各ドメイン・ゲートウェイ・プロセスは、認証プラグインをもう一度呼び出して、CONNECTION_PRINCIPAL_NAME で指定された接続プリンシパル名のセキュリティ・クリデンシャルを取得します。*

1 〜 511 文字。接続プリンシパル名を指定しない場合は、DMCONFIG ファイルで指定されたローカル・ドメイン・アクセス・ポイントを示す DOMAINID の文字列がデフォルト値になります。

* システム・プロセスがクリデンシャルを取得する方法、およびクリデンシャルが必要な理由については、次の節で説明します。

** ローカル・ドメイン・アクセス・ポイントは、「LDOM (エルドム)」または単に「ローカル・ドメイン」とも呼ばれます。

SEC_PRINCIPAL_NAME は、コンフィギュレーションの階層のうち、次の 4 つのレベルのどこでも指定できます。

特定のコンフィギュレーション・レベルでのセキュリティ・プリンシパル名は、下位レベルで上書きできます。たとえば、mach1 というマシンに terri というプリンシパル名を指定し、mach1 上で動作する serv1 というサーバに john というプリンシパル名を指定したとします。この場合、mach1 のプロセスは次のように動作します。

システム・プロセスがクリデンシャルを取得する方法

アプリケーションの起動時に、ATMI アプリケーション内のそれぞれの WSH、ドメイン・ゲートウェイ、およびサーバ・プロセスが認証プラグインを呼び出して (1) セキュリティ・クリデンシャルを取得し、(2) 認可トークンおよび監査トークンを取得するとき、セキュリティ・プリンシパル名を引数として指定します。次の図は、この手順を示しています。

アプリケーションの起動時にクリデンシャルとトークンを取得する


 

アプリケーション内の各ドメイン・ゲートウェイ・プロセスは、認証プラグインをもう一度呼び出して、割り当てられた接続プリンシパル名のクリデンシャルとトークンを取得します。

システム・プロセスでクリデンシャルが必要な理由

WSH にはクリデンシャルが必要です。クリデンシャルがあれば、ワークステーション・クライアントを認証してアプリケーションに参加させ、認証されたワークステーション・クライアント用の認可トークンと監査トークンを取得することができます。WSH がリリース 7.1 より前のクライアント (BEA Tuxedo 6.5 以前のソフトウェアで動作するクライアント) からの要求を処理する場合、この WSH には、WSH 自身の認可トークンと監査トークンが必要です。これらのトークンがあれば、WSH は認証プラグインを呼び出して、古いバージョンのクライアントの ID を確認できます。この動作については、「相互運用性の方針の指定」を参照してください。

ドメイン・ゲートウェイにも一組のクリデンシャルが必要です。クリデンシャルを取得すると、「ドメイン間のリンクの確立」 で説明するように、リモート・ドメイン・ゲートウェイを認証し、ATMI アプリケーション間でリンクを確立することができます。認証されたリモート・ドメイン・ゲートウェイには、認可トークンも監査トークンも割り当てられません。ドメイン・ゲートウェイは、CONNECTION_PRINCIPAL_NAME パラメータで指定されたプリンシパル名で、これらのクリデンシャルを取得します。

ドメイン・ゲートウェイがリリース 7.1 より前のクライアントからの要求を処理する場合、つまり、認証プラグインを呼び出して、古いバージョンのクライアントの ID を確認する場合、このドメイン・ゲートウェイにはもう一組のクリデンシャルが必要です。この動作については、「相互運用性の方針の指定」を参照してください。これらのクリデンシャルは、ローカルのアクセス制御リスト (ACL: Access Control List) を適用する場合に ID を確認するときにも必要です (「ACL 方針の設定」 を参照)。ドメイン・ゲートウェイは、SEC_PRINCIPAL_NAME パラメータで指定されたプリンシパル名で、これらのクリデンシャルを取得します。

システムまたはアプリケーション・サーバがリリース 7.1 より前のクライアントからの要求を処理する場合は、システムまたはアプリケーション・サーバ自身の認可トークンと監査トークンが必要です。これらのトークンがあれば、認証プラグインを呼び出して、古いバージョンのクライアントの ID を確認できます。この動作については、「相互運用性の方針の指定」を参照してください。

サーバは、サーバ・パーミッションのアップグレードを行うときにもサーバ自身のトークンを必要とします。サーバ・パーミッションのアップグレードは、クライアントから発信されサーバを経由して送信されるメッセージに対し、認可トークンおよび監査トークンが割り当てられるときに発生します。サーバのアップグレード機能については、「クライアント・トークンとサーバ・トークンの交換」 を参照してください。

注記 アプリケーション・サーバは、認証プラグインを呼び出すことはできません。アプリケーション・サーバの認証プラグインは、基となるシステム・コードによって呼び出されます。

プリンシパル名を指定する UBBCONFIG のエントリ例

次の例は、UBBCONFIGSEC_PRINCIPAL_NAME パラメータを使用してセキュリティ・プリンシパル名を指定する方法を示しています。CONNECTION_PRINCIPAL_NAME パラメータを使用して、DMCONFIG ファイルの接続プリンシパル名を指定する例については、「リンクを確立するための DMCONFIG のエントリ例」を参照してください。

*RESOURCES
SEC_PRINCIPAL_NAME    "Tommy"
     .
     .
     .
 
*SERVERS
"TMQUEUE"       SRVGRP="QUEGROUP"      SRVID=1
   CLOPT="-t -s secsdb:TMQUEUE"
   SEC_PRINCIPAL_NAME="TOUPPER"

関連項目

 

先頭へ戻る 前のトピックへ 次のトピックへ

 

Copyright © 2001 BEA Systems, Inc. All rights reserved.
Required browser: Netscape 4.0 or higher, or Microsoft Internet Explorer 4.0 or higher.