|
|
認証のコンフィギュレーション
ここでは、次の内容について説明します。
認証サーバのコンフィギュレーション
注記 認証サーバをコンフィギュレーションする必要があるのは、SECURITY
パラメータに USER_AUTH
以上の値を指定し、デフォルトの認証プラグインを使用する場合だけです。
認証を行うには、ユーザの個々のパスワードを正当なユーザのファイルと照合することでユーザを認証するための認証サーバをコンフィギュレーションする必要があります。BEA Tuxedo システムでは、AUTHSRV
というデフォルトの認証サーバを使用して認証を実行します。AUTHSVR
は、認証を実行する AUTHSVC
というサービスだけを提供します。セキュリティ・レベルが ACL
または MANDATORY_ACL
に設定されている場合、AUTHSVR
サーバは、AUTHSVC
を AUTHSVC
として宣言します。
CORBA アプリケーションがユーザを認証するには、UBBCONFIG
ファイルの RESOURCES
セクションの AUTHSVC
パラメータの値として、CORBA アプリケーションの認証サーバとして使用するプロセスの名前を指定する必要があります。サービスは、AUTHSVC
と呼ばれます。AUTHSVC
パラメータを UBBCONFIG
ファイルの RESOURCES
セクションに指定した場合、SECURITY
パラメータも少なくとも USER_AUTH
に指定する必要があります。この値を指定しない場合、tmloadcf
コマンドが実行されたときにエラーが発生します。-m
オプションを UBBCONFIG
ファイルの ISL
プロセスでコンフィギュレーションする場合、AUTHSVC
は、ISL
プロセスの前に、UBBCONFIG
ファイルに定義する必要があります。
また、UBBCONFIG
ファイルの SERVERS
セクションで AUTHSVR
を定義する必要があります。SERVERS
セクションには、CORBA アプリケーションで起動するサーバ・プロセスに関する情報が格納されます。AUTHSVC
をアプリケーションに追加するには、UBBCONFIG
ファイルで、認証サービスとして AUTHSVC
を定義し、認証サーバとして AUTHSVR
を定義する必要があります。リスト 7-1 は、UBBCONFIG
ファイルで認証サーバを定義する部分です。
リスト 7-1 認証サーバのパラメータ
*RESOURCES
SECURITY USER_AUTH
AUTHSVC "AUTHSVC"
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name
" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
パラメータと値の組み合わせである AUTHSVC
のエントリを省略すると、BEA Tuxedo システムはデフォルトで AUTHSVC
を呼び出します。
AUTHSVR
は、アプリケーション固有のロジックをインプリメントする認証サーバと置き換えることができます。たとえば、広く使用されている Kerberos のメカニズムを使用して認証を行うため、認証サーバをカスタマイズすることもできます。
カスタマイズした認証サービスをアプリケーションに追加するには、UBBCONFIG
ファイルで認証サービスと認証サーバを定義する必要があります。次に例を示します。
*RESOURCES
SECURITY USER_AUTH
AUTHSVC KERBEROS
.
.
.
*SERVERS
KERBEROSSVR SRVGRP="group_name
" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
デフォルトの認証サーバをコンフィギュレーションしたら、IIOP リスナ/ハンドラの ID (UBBCONFIG
ファイルの SEC_PRINCIPAL_NAME
パラメータで指定) を tpusr
ファイルで指定する必要があります。また、CORBA アプリケーションのすべてのユーザを tpusr
ファイルで指定する必要があります。詳細については、認可されたユーザの定義を参照してください。
認可されたユーザの定義
CORBA アプリケーションのセキュリティ・コンフィギュレーションの中で、CORBA アプリケーションに対するアクセス権を持つプリンシパルおよびプリンシパル・グループを定義する必要があります。
認可されたユーザの定義方法は、次のとおりです。
認可されたプリンシパルのリストが格納されたファイルを作成するには、tpusradd
コマンドを使用します。 tpusradd
コマンドは、新しいプリンシパルを BEA Tuxedo のセキュリティ・データ・ファイルに追加します。この情報は、認証サーバがプリンシパルを認証する場合に使用します。プリンシパルが格納されたファイルは tpusr と呼ばれます。
ファイルはコロン区切りのフラットな ASCII ファイルで、CORBA アプリケーションのシステム管理者だけが読み取り可能です。システム・ファイルのエントリは、1 行あたり 512 文字までです。ファイルはアプリケーション・ディレクトリに格納され、環境変数の $APPDIR
で指定されます。環境変数 $APPDIR
には、CORBA アプリケーションのパス名を設定する必要があります。
tpusradd
ファイルは、管理者アカウントで所有する必要があります。このファイルを保護して、ファイルの所有者だけが読み書き特権を持つようにすることをお勧めします。
tpusradd
コマンドのオプションは以下のとおりです。
-u
uid
ユーザの ID 番号。UID は、128K 以下の正の 10 進整数でなければなりません。また、アプリケーションの既存の識別子リスト内で一意でなければなりません。UID は、次に利用可能な (一意な) 0 より大きい識別子にデフォルト設定されます。
-g
gid
グループの ID 番号。GID は、整数識別子または文字列名です。このオプションは、新しいユーザのグループ・メンバーシップを定義します。デフォルトでは、other
グループ (識別子 0) となります。
-c
client_name
プリンシパル名を指定する出力可能な文字列。名前には、コロン (:)、シャープ記号 (#)、改行文字 (\n) を使用できません。プリンシパル名は CORBA アプリケーションの既存のプリンシパル・リスト内で一意でなければなりません。
usrname
ユーザの新規ログイン名を指定する出力可能な文字列。名前には、コロン (:)、シャープ記号 (#)、改行文字 (\n) を使用できません。ユーザ名は CORBA アプリケーションの既存のユーザ・リスト内で一意でなければなりません。
デフォルトの認証サーバを使用する場合、IIOP リスナ/ハンドラの ID (UBBCONFIG
ファイルの SEC_PRINCIPAL_NAME
パラメータで指定) を tpusr
ファイルで指定する必要があります。また、CORBA アプリケーションのすべてのユーザを tpusr
ファイルで指定する必要があります。
カスタム認証サービスを使用する場合、IIOP リスナ/ハンドラおよび CORBA アプリケーションのユーザを、カスタム認証サービスのユーザ・レジストリで定義します。また、tpusr
というファイルが $APPDIR
に指定されていてはなりません。この名前のファイルが指定されていた場合、CORBA/NO_PERMISSION
例外が生成されます。
リスト 7-2 に、tpusr
ファイルの例を示します。
リスト 7-2 tpusr ファイルの例
Usrname Cltname Password Entry Uid GID
milozzi "bar" 2 100 0
smart " " 1 1 0
pat "tpsysadmin" 3 0 8192
butler "tpsysadmin" 3 N/A 8192
注記 BEA Tuxedo のセキュリティ・データ・ファイルにプリンシパル・グループを追加するには、 tpgrpadd
コマンドを使用します。
tpusradd
および tpgrpadd
コマンド以外にも、BEA Tuxedo 製品には、tpusr
および tpgrp
ファイルを変更するための次のコマンドが用意されています。
tpusrdel
tpusrmod
tpgrpdel
tpgrpmod
各コマンドの詳細については、BEA Tuxedo オンライン・マニュアルの『BEA Tuxedo コマンド・リファレンス』を参照してください。
ホスト・システムには、ユーザとグループのリストを格納したファイルが既に存在する場合があります。これらのファイルを CORBA アプリケーションのユーザ・ファイルおよびグループ・ファイルとして使用するには、BEA Tuxedo システムで受け付けられる形式に変換する必要があります。ファイルを変換するには、次の手順例に示すように、tpaclcvt
コマンドを実行します。この手順例は、UNIX ホスト・マシン用に記述されています。
MASTER
マシンで作業しており、アプリケーションが非
アクティブであることを確認します。
/etc/password
ファイルを BEA Tuxedo システムで受け付けられる形式に変
換するには、次のコマンドを入力します。
tpaclcvt -u /etc/password
このコマンドにより、tpusr
ファイルが作成され、変換されたデータが格納されます。tpusr
ファイルが既に存在する場合、tpaclcvt
により、変換したデータがファイルに追加されます。ただし、重複するユーザ情報が追加されることはありません。
注記 シャドウ・パスワード・ファイルを使用するシステムでは、ファイル内のユーザごとにパスワードの入力が要求されます。
/etc/group
ファイルを BEA Tuxedo システムで受け付けられる形式に変換
するには、次のコマンドを入力します。
tpaclcvt -g /etc/group
このコマンドにより、tpgrp
ファイルが作成され、変換されたデータが格納されます。tpgrp
ファイルが既に存在する場合、tpaclcvt
により、変換したデータがファイルに追加されます。ただし、重複するユーザ情報が追加されることはありません。
セキュリティ・レベルの定義
CORBA アプリケーションのセキュリティ定義の中で、UBBCONFIG
ファイルの RESOURCES
セクションの SECURITY
パラメータを定義する必要があります。SECURITY
パラメータの形式は次のとおりです。
*RESOURCES
SECURITY {NONE|APP_PW|USER_AUTH|ACL|MANDATORY_ACL}
表 7-1 では、SECURITY
パラメータの値について説明します。
注記 IIOP リスナ/ハンドラが証明書による認証を使用するようにコンフィギュレーションされている場合、SECURITY
パラメータの値は USER_AUTH
以上でなければなりません。
アプリケーション・パスワードによるセキュリティのコンフィギュレーション
アプリケーション・パスワードによるセキュリティをコンフィギュレーションするには、以下の手順に従います。
MASTER
マシンで作業しており、アプリケーションが非
アクティブであることを確認します。
UBBCONFIG
ファイルの RESOURCES
セクションの SECURITY
パラメータに
APP_PW
をコンフィギュレーションします。
tmloadcf
コマンドを実行してコンフィギュレーションをロードします。
tmloadcf
コマンドを実行すると、UBBCONFIG
が解析され、TUXCONFIG
変数
が指す場所にバイナリ形式の TUXCONFIG
ファイルがロードされます。
tmadmin
コマンドの
passwd
パラメータを使用して変更しない限り有効です。
パスワードによる認証のコンフィギュレーション
パスワードによる認証では、CORBA アプリケーションと対話するため、各クライアントは、アプリケーション・パスワードのほか、有効なユーザ名とユーザ固有のデータ (パスワードなど) を提示しなければなりません。パスワードは、tpusr
ファイルに保存されているユーザ名に関連付けられたパスワードと一致する必要があります。ユーザ・パスワードと、tpusr
内のユーザ名/パスワードとの照合は、認証サーバ AUTHSVR
の認証サービス AUTHSVC
によって実行されます。
パスワードによる認証を有効にするには、以下の手順に従います。
tpusr
ファイルで定義します。tpusr
ファイ
ルの詳細については、認可されたユーザの定義を参照してください。
MASTER
マシンで作業しており、アプリケーションが非
アクティブであることを確認します。
UBBCONFIG
を開き、RESOURCES
セクションと
SERVERS
セクションに次の行を追加します。
*RESOURCES
SECURITY USER_AUTH
AUTHSVC "AUTHSVC"
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name
" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
CLOPT="-A"
を指定すると、tmboot
コマンドは、tmboot
によってアプリケーションが起動するときに、"-A"
で呼び出されたデフォルトのコマンド行オプションだけを AUTHSVR
に渡します。
tmloadcf
コマンドを実行してコンフィギュレーションをロードします。
tmloadcf
コマンドを実行すると、UBBCONFIG
が解析され、TUXCONFIG
変数
が指す場所にバイナリ形式の TUXCONFIG
ファイルがロードされます。
tmadmin
コマンドの
passwd
パラメータを使用して変更しない限り有効です。
パスワードによる認証用の UBBCONFIG ファイルの例
リスト 7-4 は、パスワードによる認証を使用するアプリケーション用の UBBCONFIG
ファイルを示しています。UBBCONFIG
ファイルの重要なセクションは、太字で表記されています。
リスト 7-3 パスワードによる認証用の UBBCONFIG ファイルの例
*RESOURCES
IPCKEY 55432
DOMAINID securapp
MASTER SITE1
MODEL SHM
LDBAL N
SECURITY USER_AUTH
AUTHSVR "AUTHSVC"
*MACHINES
"ICEAXE"
LMID = SITE1
APPDIR = "D:\TUXDIR\samples\corba\SECURAPP"
TUXCONFIG = "D:\TUXDIR\samples\corba\SECURAPP\results
\tuxconfig"
TUXDIR = "D:\Tux8"
MAXWSCLIENTS = 10
*GROUPS
SYS_GRP
LMID = SITE1
GRPNO = 1
APP_GRP
LMID = SITE1
GRPNO = 2
*SERVERS
DEFAULT:
RESTART = Y
MAXGEN = 5
AUTHSVR
SRVGRP = SYS_GRP
SRVID = 1
RESTART = Y
GRACE = 60
MAXGEN = 2
TMSYSEVT
SRVGRP = SYS_GRP
SRVID = 1
TMFFNAME
SRVGRP = SYS_GRP
SRVID = 2
CLOPT = "-A -- -N -M"
TMFFNAME
SRVGRP = SYS_GRP
SRVID = 3
CLOPT = "-A -- -N"
TMFFNAME
SRVGRP = SYS_GRP
SRVID = 4
CLOPT = "-A -- -F"
simple_server
SRVGRP = APP_GRP
SRVID = 1
RESTART = N
ISL
SRVGRP = SYS_GRP
SRVID = 5
CLOPT = "-A -- -n //PCWIZ::2500"SEC_PRINCIPAL_NAME="IIOPListener"
SEC_PRINCIPAL_PASSVAR="ISH_PASS"
証明書による認証のコンフィギュレーション
証明書による認証では SSL プロトコルを使用するので、SSL プロトコル用のライセンスをインストールし、SSL プロトコルをコンフィギュレーションしてからでないと、証明書による認証を利用できません。SSL プロトコル用のライセンスのインストールについては、『BEA Tuxedo システムのインストール』を参照してください。SSL プロトコルのコンフィギュレーション方法については、SSL プロトコルのコンフィギュレーションを参照してください。
また、CORBA アプリケーションで証明書による認証を使用する前に、LDAP 対応のディレクトリおよび認証局を用意する必要があります。LDAP 対応であれば、どのディレクトリ・サービスでもかまいません。また、CORBA アプリケーションで使用する証明書および秘密鍵の取得先の認証局を選択する必要があります。詳細については、公開鍵によるセキュリティ機能の管理を参照してください。
証明書による認証を有効にするには、以下の手順に従います。
Home
ディレクトリまたは次
のディレクトリに格納します。
Windows 2000
%TUXDIR%
\udataobj
\security
\keys
UNIX
$TUXDIR/udataobj/security/keys
SEC_PRINCIPAL
、SEC_PRINCIPAL_LOCATION
、およ
び SEC_PRINCIPAL_PASSVAR
を UBBCONFIG
ファイルで定義します。詳細に
ついては、IIOP リスナ/ハンドラのセキュリティ・パラメータの定義を参照
してください。
tpusradd
コマンドを使用して、CORBA アプリケーションおよび IIOP リス
ナ/ハンドラの認可されたユーザを定義します。tpusr
ファイルでは、ユー
ザの電子メール・アドレスを使用します。tpusr
ファイルの詳細については、
認可されたユーザの定義を参照してください。IIOP リスナ/ハンドラのパス
ワードとして、SEC_PRINCIPAL_PASSVAR
で定義したパス・フレーズを使用
します。
-S
オプションを使用して、安全な通信用の IIOP リスナ/ハ
ンドラのポートを定義します。詳細については、SSL ネットワーク接続用の
を参照してください。
-a
オプションを使用して、IIOP リスナ/ハンドラで証明書
による認証を有効にします。
trust_ca.cer
) を作成します。詳細については、信頼性のある認
を参照してください。
UBBCONFIG
を開き、RESOURCES
セクションと
SERVERS
セクションに次の行を追加します。
*RESOURCES
SECURITY USER_AUTH
tmloadcf
コマンドを実行してコンフィギュレーションをロードします。
tmloadcf
コマンドを実行すると、UBBCONFIG
が解析され、TUXCONFIG
変数
が指す場所にバイナリ形式の TUXCONFIG
ファイルがロードされます。
peer_val.rul
) を作成します。詳細については、ピア規則
を参照してください。
証明書による認証を有効にするには、次のいずれかを実行します。
-a
オプションを使用して、IIOP リスナ/ハンドラに接続するアプリケーションが証明書による認証を使用しなければならないことを指定します。-ORBmutualAuth
コマンド行オプションを使用して、CORBA C++ ORB に接続するアプリケーションが証明書による認証を使用しなければならないことを指定します。証明書による認証を有効にするには、SSL プロトコル用のライセンスをインストールしておく必要があります。-a
オプションまたは -ORBmutualAuth
コマンド行オプションを実行したときに、SSL プロトコルを有効にするためのライセンスがインストールされていないと、IIOP リスナ/ハンドラまたは CORBA C++ ORB は起動しません。
証明書による認証用の UBBCONFIG ファイルの例
リスト 7-4 は、証明書による認証を使用する CORBA アプリケーション用の UBBCONFIG
ファイルを示しています。UBBCONFIG
ファイルの重要なセクションは、太字で表記されています。
リスト 7-4 証明書による認証用の UBBCONFIG ファイルの例
*RESOURCES
IPCKEY 55432
DOMAINID simpapp
MASTER SITE1
MODEL SHM
LDBAL N
SECURITY USER_AUTH
AUTHSVR "AUTHSVC"
*MACHINES
"ICEAXE"
LMID = SITE1
APPDIR = "D:\TUXDIR\samples\corba\SIMPAP1"
TUXCONFIG = "D:\TUXDIR\samples\corba\SIMPAP1
\results\tuxconfig"
TUXDIR = "D:\TUX8"
MAXWSCLIENTS = 10
*GROUPS
SYS_GRP
LMID = SITE1
GRPNO = 1
APP_GRP
LMID = SITE1
GRPNO = 2
*SERVERS
DEFAULT:
RESTART = Y
MAXGEN = 5
AUTHSVR
SRVGRP = SYS_GRP
SRVID = 1
RESTART = Y
GRACE = 60
MAXGEN = 2
TMSYSEVT
SRVGRP = SYS_GRP
SRVID = 1
TMFFNAME
SRVGRP = SYS_GRP
SRVID = 2
CLOPT = "-A -- -N -M"
TMFFNAME
SRVGRP = SYS_GRP
SRVID = 3
CLOPT = "-A -- -N"
TMFFNAME
SRVGRP = SYS_GRP
SRVID = 4
CLOPT = "-A -- -F"
simple_server
SRVGRP = APP_GRP
SRVID = 1
RESTART = N
ISL
SRVGRP = SYS_GRP
SRVID = 5CLOPT = "-A -- -a -z40 -Z128 -S2458 -n //ICEAXE:2468"
SEC_PRINCIPAL_NAME="IIOPListener"
SEC_PRINCIPAL_LOCATION="IIOPListener.pem"
SEC_PRINCIPAL_PASSVAR="ISH_PASS"
アクセス制御のコンフィギュレーション
注記 アクセス制御の適用対象は、デフォルトの認可インプリメンテーションのみです。CORBA セキュリティ環境のデフォルトの認可プロバイダでは、アクセス制御のチェックが行われません。また、UBBCONFIG
ファイルの SECURITY
パラメータのコンフィギュレーションは、サード・パーティ製の認可インプリメンテーションで使用されるアクセス制御を管理または実施しません。
アクセス制御によるセキュリティには、オプションのアクセス制御リスト (ACL
) と必須のアクセス制御リスト (MANDATORY_ACL
) の 2 つのレベルがあります。アクセス制御リストは、ユーザがアプリケーションへの参加を認証された場合にのみ有効になります。
アクセス制御リストを使用すると、システム管理者はユーザを複数のグループにまとめ、それらのグループに対して、メンバ・ユーザがアクセス権を持つオブジェクトを関連付けることができます。アクセス制御は、次の理由により、グループ・レベルで行われます。
デフォルトの認可プロバイダを使用する場合、アクセス制御のチェック機能は、システム管理者が作成して管理する次のファイルに基づきます。
tpusr
にはユーザのリストが格納されています。tpgrp
にはグループのリストが格納されています。tpacl
には ACL のリストが格納されています。オプションの ACL セキュリティのコンフィギュレーション
ACL
と MANDATORY_ACL
との違いは次のとおりです。
ACL
モードでは、サービス要求は特定の ACL がない場合に許可されます。MANDATORY_ACL
モードでは、サービス要求は特定の ACL がない場合に拒否されます。オプションの ACL セキュリティでは、各クライアントは、アプリケーションに参加するため、アプリケーション・パスワード、ユーザ名、およびユーザ固有のデータ (パスワードなど) を提示しなければなりません。
オプションの ACL セキュリティをコンフィギュレーションするには、次の手順に従います。
MASTER
マシンで作業しており、アプリケーションが非
アクティブであることを確認します。
UBBCONFIG
を開き、RESOURCES
セクションと
SERVERS
セクションに次の行を追加します。
*RESOURCES
SECURITY ACL
AUTHSVC "AUTHSVC"
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name
" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
CLOPT="-A"
を指定すると、tmboot
コマンドは、tmboot
によってアプリケーションが起動するときに、"-A"
で呼び出されたデフォルトのコマンド行オプションだけを AUTHSVR
に渡します。デフォルトでは、AUTHSVR
は tpusr
ファイルのユーザ情報を使用して、CORBA アプリケーションと対話するクライアントを認証します。
tmloadcf
コマンドを実行してコンフィギュレーションをロードします。
tmloadcf
コマンドを実行すると、UBBCONFIG
が解析され、TUXCONFIG
変数
が指す場所にバイナリ形式の TUXCONFIG
ファイルがロードされます。
tmadmin
の passwd
コマ
ンドを使用して変更しない限り有効です。
必須の ACL セキュリティのコンフィギュレーション
必須の ACL セキュリティ・レベルでは、各クライアントは、CORBA アプリケーションと対話するため、アプリケーション・パスワード、ユーザ名、およびユーザ固有のデータ (パスワードなど) を提示しなければなりません。
必須の ACL セキュリティをコンフィギュレーションするには、以下の手順に従います。
MASTER
マシンで作業しており、アプリケーションが非
アクティブであることを確認します。
UBBCONFIG
を開き、RESOURCES
セクションと
SERVERS
セクションに次の行を追加します。
*RESOURCES
SECURITYMANDATORY_
ACL
AUTHSVC ..AUTHSVC
.
.
.
*SERVERS
AUTHSVR SRVGRP="group_name
" SRVID=1 RESTART=Y GRACE=600 MAXGEN=2 CLOPT="-A"
CLOPT="-A"
を指定すると、tmboot
コマンドは、tmboot
によってアプリケーションが起動するときに、"-A"
で呼び出されたデフォルトのコマンド行オプションだけを AUTHSVR
に渡します。デフォルトでは、AUTHSVR
は tpusr
ファイルのクライアント・ユーザ情報を使用して、アプリケーションに参加するクライアントを認証します。tpusr
ファイルは、アプリケーションの APPDIR
変数で定義されている最初のパス名が指すディレクトリにあります。
tmloadcf
コマンドを実行してコンフィギュレーションをロードします。
tmloadcf
コマンドを実行すると、UBBCONFIG
が解析され、TUXCONFIG
変数
が指す場所にバイナリ形式の TUXCONFIG
ファイルがロードされます。
tmadmin
の passwd
コマ
ンドを使用して変更しない限り有効です。
CORBA アプリケーション間の ACL 方針の設定
管理者は、次のコンフィギュレーション・パラメータを使用して、別々の BEA Tuxedo ドメインにある CORBA アプリケーション間のアクセス制御リスト (ACL) 方針をコンフィギュレーションおよび管理します。
以下では、ACL_POLICY
のコンフィギュレーションが、ローカル・ドメイン・ゲートウェイ (GWTDOMAIN
) のプロセスの動作に与える影響について説明します。
GWTDOMAIN
) がインバウンドの CORBA クライアント要求 (リモート・アプリケーションからネットワーク経由で受信される要求) を変更しています。変更された要求は、リモート・ドメイン・アクセス・ポイントに設定された DOMAINID
の ID を持つため、その ID に設定されたアクセス権も取得することになります。各ドメイン・ゲートウェイは、アウトバウンドのクライアント要求を変更しないで渡します。このコンフィギュレーションでは、各アプリケーションに ACL データベースがあります。このデータベースには、ドメイン内のユーザに関するエントリだけが格納されます。
GWTDOMAIN
) は、インバウンドとアウトバウンドの CORBA クライアント要求を変更しないで渡します。このコンフィギュレーションでは、各アプリケーションに ACL データベースがあります。このデータベースには、ドメイン内のユーザに関するエントリのほか、リモート・ドメインのユーザの情報も格納されます。リモート・ドメイン・ゲートウェイの偽装化
ドメイン・ゲートウェイは、ローカルの DMCONFIG
ファイルの ACL_POLICY
パラメータに LOCAL
(デフォルト) が設定されたリモート・ドメインからクライアント要求を受け取ると、要求からトークンを削除し、リモート・ドメイン・アクセス・ポイントの DOMAINID
を含むアプリケーション・キーを作成します。
ACL 方針を指定する DMCONFIG のエントリ例
リスト 7-5 では、リモート・ドメイン・アクセス・ポイント b01
を介した接続に対し、ローカルの DMCONFIG
ファイルで ACL がグローバルにコンフィギュレーションされています。つまり、ドメイン・アクセス・ポイント c01
のドメイン・ゲートウェイ・プロセスは、ドメイン・アクセス・ポイント b01
に対し、クライアント要求を変更しないで受け渡します。
リスト 7-5 ACL 方針を指定する DMCONFIG ファイルの例
*DM_LOCAL_DOMAINS
# <LDOM name> <Gateway Group name> <domain type> <domain id>
# [<connection principal name>] [<security>]...
c01 GWGRP=bankg1
TYPE=TDOMAIN
DOMAINID="BA.CENTRAL01"
CONN_PRINCIPAL_NAME="BA.CENTRAL01"
SECURITY=DM_PW
.
.
.
*DM_REMOTE_DOMAINS
# <RDOM name> <domain type> <domain id> [<ACL policy>]
# [<connection principal name>] [<local principal name>]...
b01 TYPE=TDOMAIN
DOMAINID="BA.BANK01"
ACL_POLICY=GLOBAL
CONN_PRINCIPAL_NAME="BA.BANK01"
旧バージョンの WebLogic Enterprise クライアント・アプリケーションと相互運用するためのセキュリティのコンフィギュレーション
BEA Tuxedo ドメインの CORBA サーバ・アプリケーションを、WebLogic Enterprise 製品のリリース 4.2 および 5.0 で利用可能なセキュリティ機能を備えたクライアント・アプリケーションと安全に相互運用させることが必要になる場合があります。CORBA サーバ・アプリケーションを旧バージョンの安全なクライアント・アプリケーションと相互運用させるには、UBBCONFIG
ファイルで CLOPT -t
オプションを設定するか、CORBA オブジェクト・リクエスト・ブローカ (ORB) の -ORBinterOp
コマンド行オプションを指定します。
CLOPT -t
オプションを設定するか、-ORBinterOP
コマンド行オプションを指定すると、CORBA サーバの有効なセキュリティ・レベルを引き下げることになります。したがって、互換モードをサーバ・アプリケーションで有効にする前に、十分に考慮する必要があります。
以前のクライアント・アプリケーションと相互運用するすべてのサーバ・アプリケーションの CLOPT -t
オプションを設定する必要があります。CLOPT -t
オプションは、UBBCONFIG
ファイルの *SERVERS
セクションで指定します。
リスト 7-6 相互運用性を指定する UBBCONFIG ファイルのエントリ例
*SERVERS
SecureSrv SRVGRP=group_name
SRVID=server_number
CLOPT=A -t..
リモート CORBA C++ ORB を使用する場合、ORB の -ORBinterOp
コマンド行オプションを指定して、ORB がリリース 4.2 または 5.0 の WebLogic Enterprise 製品のセキュリティ機能を使用するクライアント・アプリケーションと相互運用できるようにします。
|
Copyright © 2001, BEA Systems, Inc. All rights reserved.
|