bea ホーム | 製品 | dev2dev | support | askBEA
BEA Logo Tuxedo
 ドキュメントのダウンロード   サイトマップ   用語集 
検索
0
e-docs > Tuxedo > Tuxedo のセキュリティ機能 > シングル・ポイント・セキュリティ管理のインプリメント

Tuxedo のセキュリティ機能

 Previous Next Contents View as PDF  

シングル・ポイント・セキュリティ管理のインプリメント

以下の節では、Tuxedo と WebLogic Server のシングル・ポイント・セキュリティ管理をインプリメントする方法について Tuxedo の視点から説明します。

注記 シングル・ポイント・セキュリティを設定する前に、Tuxedo のセキュリティのアーキテクチャと要件について理解しておく必要があります。この作業は、WebLogic または LDAP の管理者と協調して行います。

 

シングル・ポイント・セキュリティ管理とは

Tuxedo と WebLogic Server の両方がデプロイされている環境の場合、2 つのセキュリティ情報セットを管理する必要があります。シングル・ポイント・セキュリティ管理では、Tuxedo からユーザ情報とグループ情報を削除し、WebLogic Server セキュリティを活用してセキュリティ・データベースを管理できます。セキュリティ・データベースとして WebLogic Server を使用することで、Tuxedo ユーザを認証できます。

注記 Tuxedo ACL 情報は引き続き Tuxedo に存在し、現時点では WebLogic Server 7.0 には統合されていません。

UBBCONFIG ファイルの RESOURCES セクションに SECURITY=ACL または SECURITY=MANDATORY_ACL を指定する場合、Tuxedo に tpgrp および tpacl ファイルを保持し続ける必要があります。

シングル・ポイント・セキュリティ管理機能は、拡張された WebLogic Server 7.0 セキュリティと LDAP を活用してシングル・ポイント・セキュリティ管理を実現します。ユーザ・セキュリティ情報は WebLogic Server 組み込み LDAP サーバに保持し、WebLogic Server Console を使用して単一のシステムから管理できます。シングル・ポイント・セキュリティを有効にするには、UBBCONFIG ファイルを変更する必要があります。

関連項目

 

シングル・ポイント・セキュリティ管理のタスク

シングル・ポイント・セキュリティを設定するには、Tuxedo セキュリティ情報を WebLogic Server 組み込み LDAP サーバに提供する必要があります。この作業では、Tuxedo ユーザ (UID) およびグループ (GID) 情報を WebLogic Server LDAP サーバに移行または設定して、認証を正常に実行できるようにします。Tuxedo の UID および GID 値を WebLogic Server に提供するには、tpmigldap ユーティリティを使用するか、テキスト・エディタで tpusr ファイルを手動で変更するか、または WebLogic Administration Console でユーザ情報を入力します。

注記 セキュリティ・データベースの設定後に 1 人または複数のユーザを追加する場合は、WebLogic Administration Console が便利です。効率と時間管理の面では、一般に tpmigldap ユーティリティまたは tpusr ファイルの方が適しています。

シングル・ポイント・セキュリティ管理には、次のタスクが含まれます。

LAUTHSVR の認証サーバとしての設定

LAUTHSVR は System /T サーバで、ユーザ・セキュリティ情報が WebLogic Server に保持されている場合でも認証サービスを提供します。シングル・セキュリティ管理機能を有効にするには、LAUTHSVR を認証サーバとしてコンフィギュレーションする必要があります。実行時に、LAUTHSVR は WebLogic Server 組み込み LDAP サーバからユーザ情報を取得してユーザを認証します。認証が成功した場合は appkey がユーザに返されますが、それ以外の場合は失敗となります。

LAUTHSVR を認証サーバとして定義するには、UBBCONFIG ファイルで次のパラメータを定義する必要があります。

LAUTHSVR コマンド行インターフェイス

LAUTHSVR は Tuxedo 用の LDAP ベースの認証サーバです。このサーバでは、コンフィギュレーション・ファイルが必要になります (デフォルトでは $TUXDIR/udataobj/tpldap)。独自の LAUTHSVR コンフィギュレーション・ファイルを作成することも、製品に付属のデフォルトの tpldap ファイルを使用することもできます。

LAUTHSVR のコマンド行インターフェイスの構文は次のとおりです。

-f full_pathname

LAUTHSVR コンフィギュレーション・ファイルのフル・パス名を指定します。

注記 -f オプションを省略した場合、デフォルトの LAUTHSVR コンフィギュレーション・ファイル tpldap が使用されます。

次の例の場合、LAUTHSVR$TUXDIR/udataobj ディレクトリにあるデフォルトのコンフィギュレーション・ファイル tpldap を使用します。

 
LAUTHSVR SRVGRP=GROUP1 SRVID=2 CLOPT=”-A-”

次の例の場合、LAUTHSVR/home/tuxedo/bankapp ディレクトリにある myauthsvr.conf コンフィギュレーション・ファイルを使用します。 

LAUTHSVR SRVGRP=GROUP1 SRVID=2 
	CLOPT=”-A-- -f/home/tuxedo/bankapp/myauthsvr.conf”

LAUTHSVR コンフィギュレーション・ファイルの設定

LAUTHSVR は、バインド DN やバインド DN 用の非暗号化パスワードなどの情報が記述された入力コンフィギュレーション・ファイルをサポートしています。このコンフィギュレーション・ファイルはテキスト・ファイルであり、任意のテキスト・エディタで編集できるため、ファイル・パーミッションを採用するシステムで保護する必要があります。デフォルトのコンフィギュレーション・ファイル tpldap$TUXDIR/udataobj ディレクトリに格納されています。このファイルは、LAUTHSVR のコマンド行インターフェイスで上書きできます。LAUTHSVR コンフィギュレーション・ファイルには、表 4-1 に示すキーワードと値のペアが記述されています。

LAUTHSVR コンフィギュレーション・ファイルの構文要件

通常、LAUTHSVR コンフィギュレーション・ファイルの値はデフォルトのままで十分ですが、別名でコンフィギュレーションすることもできます。このため、LAUTHSVR コンフィギュレーション・ファイルに対する次の要件に注意する必要があります。

LAUTHSVR コンフィギュレーション・ファイルのキーワード

次の表は、LAUTHSVR コンフィギュレーション・ファイルのキーワードを定義したものです。

注記 LAUTHSVR コンフィギュレーション・ファイルの中で唯一の必須キーワードは、バインド DN のパスワードを指定する PASSWORD です。これ以外のキーワードはすべてオプションです。

表 4-1 LAUTHSVR コンフィギュレーション・ファイルのキーワード

キーワード

値型

使用法

 
FILE_VERSION

数値

コンフィギュレーション・ファイルのバージョン。これは常に 1 にする必要があります。デフォルトは 1 です。

 
LDAP_VERSION

数値

LDAP プロトコルのバージョン。有効な値は 2 または 3 です。デフォルトは 3 です。

 
BINDDN

文字列

LDAP サーバにバインドするための DN (通常は LDAP 管理者の DN)。デフォルトは cn=admin です。

 
BASE

文字列

LDAP 検索ベースデフォルトは ou=people, ou=myrealm, dc=mydomain です。myrealm はセキュリティ レルムの名前で、mydomain は WebLogic Server ドメインの名前です。

 
UID

文字列

WebLogic Server と Tuxedo にログオンするためのユーザ ID 属性。デフォルトは uid です。

 
PASSWORD

文字列

バインド DN のパスワード。これは必須のキーワードであり、プレーン・テキスト形式のパスワードです。

 
LDAP_ADDR

文字列

WebLogic のホスト名とポートのカンマ区切りリスト。構文は [//]hostname[:port][,[//]hostname[:port]...] です。ポートのデフォルト値は 7001 です。LDAP_ADDR を指定しない場合、LAUTHSVR localhost:7001 が LDAP サーバに接続する場所であると見なします。

複数のネットワーク・アドレスの指定については、複数のネットワーク・アドレスの使用による可用性の向上を参照してください。

 
EXPIRE

数値

ローカル・プロセス・メモリ内のキャッシュされたエントリを使用できる秒数を表す数値。0 以外の値を指定すると、キャッシュが有効になります。0 を指定するとキャッシュは行われません。デフォルト値はゼロです。

キャッシュの詳細については、複数のネットワーク・アドレスの使用による可用性の向上を参照してください。

 
SRCH_ORDER

文字列

有効値は LDAP または LOCAL、またはカンマで区切った両方の値です。LOCAL を指定した場合、検索順序では tpusr ファイルが使用されます。デフォルトは LDAP です。

データベース検索順序の詳細については、データベース検索順序のコンフィギュレーションを参照してください。

 
LOCAL_FILE

文字列

LOCAL 検索順序が有効にされている場合に使用される tpusr ファイルのフルパス名。デフォルト値は $APPDIR/tpusr です。

データベース検索順序の詳細については、データベース検索順序のコンフィギュレーションを参照してください。

注記 デフォルトの $APPDIR/tpusr 以外のディレクトリ・パスが指定されている場合、Tuxedo MIB または tpusradd コマンド行ユーティリティでこのファイルを生成する必要があります。このようにしない場合、認証が失敗する場合があります。

 
WLS_DOMAIN

文字列

WebLogic Server ドメイン名。デフォルト値は mydomain です。

 
WLS_REALM

文字列

WebLogic Server セキュリティ レルム名。デフォルトは myrealm です。

 
ADM_GROUP

文字列

WebLogic Server 管理者グループ名。デフォルトは Administrators です。

 
OP_GROUP

文字列

WebLogic Server オペレータ・グループ名。デフォルトは Operators です。

 
TUX_UID_KW

文字列

Tuxedo ユーザ ID を識別するために使用されるキーワード。デフォルトは TUXEDO_UID です。

 
TUX_GID_KW

文字列

Tuxedo グループ ID を識別するために使用されるキーワード。デフォルトは TUXEDO_GID です。

 

LAUTHSVR コンフィギュレーション・ファイルの例

次に、LAUTHSVR コンフィギュレーション・ファイルの例を示します。

コード リスト4-1 LAUTHSVR コンフィギュレーション・ファイルの例

 
#
# Tuxedo LDAP Authentication Server configuration file.
#
# created: Thu May 26 15:36:59 2002
#
FILE_VERSION			1
LDAP_VERSION			3
BINDDN			cn=Admin
BASE			ou=people,ou=myrealm,dc=mydomain
UID			uid
PASSWORD			secret
LDAP_ADDR			//PLUTO:7001,//Saturn:7001
EXPIRE			0
SRCH_ORDER			LDAP
WLS_DOMAIN			mydomain
WLS_REALM			myrealm
ADM_GROUP			Administrators
OP_GROUP			Operators
TUX_UID_KW			TUXEDO_UID
TUX_GID_KW			TUXEDO_GID
# end of file

警告: LDAP 管理者の PASSWORD はプレーン・テキストであるため、システム管理者はこのファイルを適切なアクセス・パーミッションで保護する必要があります。

LAUTHSVR を使用した UBBCONFIG の例

次のコンフィギュレーション例では、SECURITYACL に設定され、LAUTHSVR が定義されています。

コード リスト4-2 LAUTHSVR を使用した UBBCONFIG ファイルの例

 
*RESOURCES
 

IPCKEY		51002
MASTER		site1
MAXACCESSERS		50
MAXSERVERS		20
MAXSERVICES		20
MODEL		SHM
LDBAL		N
BLOCKTIME		10
SECURITY		ACL
AUTHSVC		"..AUTHSVC"
 
*MACHINES
 
DEFAULT:
	APPDIR="/home/tuxedo/application"
	TUXCONFIG="/home/tuxedo/application/TUXCONFIG"
	TUXDIR="/home/tuxedo/tux81"
Server1		LMID=site1
			MAXWSCLIENTS=20
 
*GROUPS
 
GROUP1		LMID=site1 GRPNO=1
GROUP2		LMID=site1 GRPNO=2
GROUP3		LMID=site1 GRPNO=3
GROUP4		LMID=site1 GRPNO=4
 
*SERVERS
 
DEFAULT:
	CLOPT="-A" RESTART=N MAXGEN=5
 
LAUTHSVR		SRVGRP=GROUP1 SRVID=10
CLOPT="-A -- -F /home/tuxedo/application/lauthsvr.conf "
 
DMADM		SRVGRP=GROUP2 SRVID=20
GWADM		SRVGRP=GROUP3 SRVID=30
GWTDOMAIN		SRVGRP=GROUP3 SRVID=31
 
Simpserv		SRVGRP=GROUP4 SRVID=40
 
*SERVICES
 
TOUPPER

複数のネットワーク・アドレスの使用による可用性の向上

WebLogic Server ドメイン用に複数のネットワーク・アドレスをコンフィギュレーションすることもできます。このコンフィギュレーションは、ユーザ認証の可用性を高めるのに役立ちます。ユーザ・セキュリティ情報は、WebLogic Server ドメイン内のすべての WebLogic Server-組み込み LDAP サーバに複製されます。LAUTHSVR は一度に 1 つのサーバにしか接続できませんが、ネットワーク障害が発生したときには、LAUTHSVR は次に使用できるアドレスに接続します。

LAUTHSVR の複数のネットワーク・アドレスをコンフィギュレーションするには、LAUTHSVR コンフィギュレーション・ファイルの LDAP_ADDR キーワードを使用します。ホスト名の指定順序が、LAUTHSVR が接続を試行する順序となります。認証中にキャッシュを使用するには、EXPIRE キーワードを指定します。このキーワードの値によって、ローカル・プロセス・メモリにキャッシュされたエントリを使用できる秒数が指定されます。

注記 tmboot を使用して Tuxedo を起動したときに WebLogic Server が使用可能になっている必要はありませんが、少なくとも 1 つの WebLogic Server が使用可能でなければ、LAUTHSVR のユーザ認証機能が制限されます。

WebLogic Server が使用可能でない場合、SRCH_ORDER LOCAL を使用して Tuxedo を起動し、ユーザを認証できます。この場合、ユーザ認証は tpusr ファイルに基づいて検証されます。検索順序の詳細については、データベース検索順序のコンフィギュレーションを参照してください。

複数ネットワーク・アドレスの LAUTHSVR コンフィギュレーションの例

次に、LDAP_ADDR キーワードに複数のネットワーク・アドレスを指定する例を示します。

 
LDAP_ADDR //Pluto:8000,//Saturn,Jupiter

この例では、3 つの WebLogic Server ホスト名が指定されています。最初のサーバは Pluto で稼働し、アドレス 8000 を使用します。2 番目のサーバは Saturn で稼働し、デフォルト・アドレス 7001 を使用します。3 番目のサーバは Jupiter で稼働し、同じくデフォルト・アドレス 7001 を使用します。

データベース検索順序のコンフィギュレーション

デフォルトでは、LAUTHSVR 認証サーバは WebLogic Server 組み込み LDAP サーバからユーザ情報を検索します。データベース検索で tpusr ファイルを使用するには、SRCH_ORDER キーワードに LOCAL を指定する必要があります。LAUTHSVR がユーザ情報を検索する順序は、SRCH_ORDER キーワードに定義したカンマ区切りの値の順序によって指定されます。LAUTHSVR は、LDAP サーバか tpusr ファイル、またはその両方を (指定した値の順序に従って) 検索します。

2 つ以上の SRCH_ORDER エントリが LAUTHSVR コンフィギュレーション・ファイルに指定されている場合、最後のエントリだけが有効となります。この場合、警告メッセージが USERLOG に記録されます。また、LDAP または LOCAL 以外の値を SRCH_ORDER キーワードに指定した場合も、警告メッセージが出力されます。この場合、無効なエントリは無視され、デフォルト値または前の有効な SRCH_ORDER エントリが使用されます。

データベース検索順序の LAUTHSVR コンフィギュレーションの例

次の例では、LAUTHSVR が最初に WebLogic Server 組み込み LDAP サーバからユーザ情報を検索するよう指定しています。この LDAP サーバにユーザ情報が見当たらない場合、LAUTHSVRtpusr ファイルを検索します。

 
SRCH_ORDER LDAP,LOCAL

次の例では、LAUTHSVR が最初に tpusr ファイルからユーザ情報を検索するよう指定しています。tpusr ファイルにユーザ情報が見当たらない場合、LAUTHSVR は WebLogic Server 組み込み LDAP サーバから情報を検索します。

 
SRCH_ORDER LOCAL,LDAP

次の例では、LAUTHSVRtpusr ファイルだけからユーザ情報を検索するよう指定しています。 

SRCH_ORDER LOCAL

関連項目

tpmigldap によるユーザ情報の WebLogic Server への移行

tpmigldap コマンド・ユーティリティを使用して、Tuxedo のユーザおよびグループ情報を WebLogic Server に移行する必要があります。

tpusr ファイルの新しいパスワードの割り当て

ユーザおよびグループ情報を移行する前に、管理者は各ユーザに新しいパスワードを割り当てて、移行が正常に行われるようにしておく必要があります。この手順が必要なのは、tpusr ファイル内のパスワードが一方向暗号化で暗号化されているため、このファイルから元のパスワードを取り出すことができないからです。

このようなパスワードを処理する方法は次の 2 とおりです。

tpmigldap コマンド行オプション

次の表に、tpmigldap ユーティリティのコマンド行オプションの定義を示します。コマンド行オプションの順序は関係ありません。

注記 tpmigldap コマンドでは、ユーザまたはグループを WebLogic Server 組み込み LDAP データベースに追加するには -w または -c を使用する必要があります。

表 4-2 tpmigldap コマンド行オプション

コマンド行オプション

オプション引数

デフォルト値

使用法

 
-h

hostname

localhost

WebLogic Server のホスト名

 
-p

port

7001

WebLogic Server Administration Console のポート番号

 
-d

domain

mydomain

WebLogic Server ドメイン名

 
-r

realm

myrealm

WebLogic Server セキュリティ レルム名

 
-i

TUXEDO_UID keyword string

TUXEDO_UID

管理者が WebLogic Server ユーザの「記述」属性で使用する Tuxedo UID のキーワード文字列

 
-e

TUXEDO_GID keyword string

TUXEDO_GID

管理者が WebLogic Server ユーザの「記述」属性で使用する Tuxedo GID のキーワード文字列

 
-f

user password

なし

tpusr ファイルのすべてのユーザのデフォルト・パスワード

 
-b

binddn

cn=Admin

LDAP 接続バインド DN

 
-w

password

なし

バインド DN のパスワード 

-c

適用外

なし

バインド DN のパスワードを入力するためのプロンプト

 
-u

full path name

$APPDIR/tpusr

tpusr ファイルのフル・ディレクトリ・パス

 
-g

フル・パス名

$APPDIR/tpgrp

tpgrp ファイルのフル・ディレクトリ・パス

 

関連項目

新しい Tuxedo ユーザ情報の追加

新しいユーザおよびグループ情報を単一のセキュリティ LDAP データベースに追加する方法は次の 2 通りです。

新しいユーザ情報の tpusr または tpgrp への追加

新しいユーザ情報をシングル・ポイント・セキュリティ LDAP データベースに追加するには、次の手順に従います。

  1. 既存の tpusr ファイルと tpgrp ファイルを使用して、新しいユーザおよびグループ情報を追加します。その際、ファイルに定義されているのと同じ形式を使用してください。また、プレーン・テキストのパスワードを使用して LDAP データベースに追加します。

  2. -u オプションを使用して更新した tpusr ファイルを指定し、 -g オプションを使用して更新した tpgrp ファイルを指定して、tpmigldap ユーティリティを実行します。次に例を示します。 
    tpmigldap -u $APPDIR/tpusr -g $APPDIR/tpgrp

WebLogic Administration Console による新しいユーザ情報の追加

WebLogic Administration Console を使用して新しいユーザ情報をシングル・ポイント・セキュリティ LDAP データベースに追加するには、次の手順に従います。

  1. WebLogic Administration Console にアクセスし、[セキュリティ]、[レルム]、[myrealm] の順に選択します (myrealm は LDAP セキュリティ・レルムを表す)。


     

  2. [新しい User のコンフィグレーション] をクリックし、[一般] タブにアクセスします。


     

    ユーザ情報を入力します。

    [名前] フィールドにユーザ名を指定します。

    [記述] フィールドに、次の構文に従って Tuxedo UID と GID の値を文字列として指定します。

     
    <TUXEDO UID KEYWORD>=<decimal value>
    <TUXEDO GID KEYWORD>=<decimal value>

    デフォルトでは、TUXEDO UID KEYWORDTUXEDO_UID で、TUXEDO GID KEYWORDTUXEDO_GID です。次に例を示します。

     
    TUXEDO_UID=2504 TUXEDO_GID=601.

    [パスワード] フィールドにユーザのパスワードを指定します。[パスワードの確認] フィールドに、パスワードをもう一度入力します。

  3. [適用] をクリックして、LDAP データベースを新しいユーザ情報で更新します。

 

Back to Top Previous Next
dev2devesupportedocs.bea.compartner net
Contact e-docsContact BEAwebmasterprivacy