bea ホーム | 製品 | dev2dev | support | askBEA |
|
e-docs > Tuxedo > Tuxedo のセキュリティ機能 > シングル・ポイント・セキュリティ管理のインプリメント |
Tuxedo のセキュリティ機能 |
シングル・ポイント・セキュリティ管理のインプリメント
以下の節では、Tuxedo と WebLogic Server のシングル・ポイント・セキュリティ管理をインプリメントする方法について Tuxedo の視点から説明します。
注記 シングル・ポイント・セキュリティを設定する前に、Tuxedo のセキュリティのアーキテクチャと要件について理解しておく必要があります。この作業は、WebLogic または LDAP の管理者と協調して行います。
シングル・ポイント・セキュリティ管理とは
Tuxedo と WebLogic Server の両方がデプロイされている環境の場合、2 つのセキュリティ情報セットを管理する必要があります。シングル・ポイント・セキュリティ管理では、Tuxedo からユーザ情報とグループ情報を削除し、WebLogic Server セキュリティを活用してセキュリティ・データベースを管理できます。セキュリティ・データベースとして WebLogic Server を使用することで、Tuxedo ユーザを認証できます。
注記 Tuxedo ACL 情報は引き続き Tuxedo に存在し、現時点では WebLogic Server 7.0 には統合されていません。
UBBCONFIG ファイルの RESOURCES セクションに SECURITY=ACL または SECURITY=MANDATORY_ACL を指定する場合、Tuxedo に tpgrp および tpacl ファイルを保持し続ける必要があります。
シングル・ポイント・セキュリティ管理機能は、拡張された WebLogic Server 7.0 セキュリティと LDAP を活用してシングル・ポイント・セキュリティ管理を実現します。ユーザ・セキュリティ情報は WebLogic Server 組み込み LDAP サーバに保持し、WebLogic Server Console を使用して単一のシステムから管理できます。シングル・ポイント・セキュリティを有効にするには、UBBCONFIG ファイルを変更する必要があります。
関連項目
シングル・ポイント・セキュリティ管理のタスク
シングル・ポイント・セキュリティを設定するには、Tuxedo セキュリティ情報を WebLogic Server 組み込み LDAP サーバに提供する必要があります。この作業では、Tuxedo ユーザ (UID) およびグループ (GID) 情報を WebLogic Server LDAP サーバに移行または設定して、認証を正常に実行できるようにします。Tuxedo の UID および GID 値を WebLogic Server に提供するには、tpmigldap ユーティリティを使用するか、テキスト・エディタで tpusr ファイルを手動で変更するか、または WebLogic Administration Console でユーザ情報を入力します。
注記 セキュリティ・データベースの設定後に 1 人または複数のユーザを追加する場合は、WebLogic Administration Console が便利です。効率と時間管理の面では、一般に tpmigldap ユーティリティまたは tpusr ファイルの方が適しています。
シングル・ポイント・セキュリティ管理には、次のタスクが含まれます。
LAUTHSVR の認証サーバとしての設定
LAUTHSVR は System /T サーバで、ユーザ・セキュリティ情報が WebLogic Server に保持されている場合でも認証サービスを提供します。シングル・セキュリティ管理機能を有効にするには、LAUTHSVR を認証サーバとしてコンフィギュレーションする必要があります。実行時に、LAUTHSVR は WebLogic Server 組み込み LDAP サーバからユーザ情報を取得してユーザを認証します。認証が成功した場合は appkey がユーザに返されますが、それ以外の場合は失敗となります。
LAUTHSVR を認証サーバとして定義するには、UBBCONFIG ファイルで次のパラメータを定義する必要があります。
注記 LAUTHSVR が有効なコンフィギュレーション・ファイルを発見できないか、またはこうしたファイルが存在しない場合、USERLOG にエラー・メッセージが書き込まれて起動が失敗します。デフォルトの LAUTHSVR コンフィギュレーション・ファイルは、製品に付属の $TUXDIR/udataobj/tpldap です。
LAUTHSVR コマンド行インターフェイス
LAUTHSVR は Tuxedo 用の LDAP ベースの認証サーバです。このサーバでは、コンフィギュレーション・ファイルが必要になります (デフォルトでは $TUXDIR/udataobj/tpldap)。独自の LAUTHSVR コンフィギュレーション・ファイルを作成することも、製品に付属のデフォルトの tpldap ファイルを使用することもできます。
LAUTHSVR のコマンド行インターフェイスの構文は次のとおりです。
注記 -f オプションを省略した場合、デフォルトの LAUTHSVR コンフィギュレーション・ファイル tpldap が使用されます。
次の例の場合、LAUTHSVR は $TUXDIR/udataobj ディレクトリにあるデフォルトのコンフィギュレーション・ファイル tpldap を使用します。
LAUTHSVR SRVGRP=GROUP1 SRVID=2 CLOPT=”-A-”
次の例の場合、LAUTHSVR は /home/tuxedo/bankapp ディレクトリにある myauthsvr.conf コンフィギュレーション・ファイルを使用します。
LAUTHSVR SRVGRP=GROUP1 SRVID=2
CLOPT=”-A-- -f/home/tuxedo/bankapp/myauthsvr.conf”
LAUTHSVR コンフィギュレーション・ファイルの設定
LAUTHSVR は、バインド DN やバインド DN 用の非暗号化パスワードなどの情報が記述された入力コンフィギュレーション・ファイルをサポートしています。このコンフィギュレーション・ファイルはテキスト・ファイルであり、任意のテキスト・エディタで編集できるため、ファイル・パーミッションを採用するシステムで保護する必要があります。デフォルトのコンフィギュレーション・ファイル tpldap は $TUXDIR/udataobj ディレクトリに格納されています。このファイルは、LAUTHSVR のコマンド行インターフェイスで上書きできます。LAUTHSVR コンフィギュレーション・ファイルには、表 4-1 に示すキーワードと値のペアが記述されています。
LAUTHSVR コンフィギュレーション・ファイルの構文要件
通常、LAUTHSVR コンフィギュレーション・ファイルの値はデフォルトのままで十分ですが、別名でコンフィギュレーションすることもできます。このため、LAUTHSVR コンフィギュレーション・ファイルに対する次の要件に注意する必要があります。
注記 管理者が Tuxedo LDAP ベースのセキュリティ認証サーバを設定して使用するには、WebLogic Administration Console で LDAP 管理者パスワードを変更しておく必要があります。
LAUTHSVR コンフィギュレーション・ファイルのキーワード
次の表は、LAUTHSVR コンフィギュレーション・ファイルのキーワードを定義したものです。
注記 LAUTHSVR コンフィギュレーション・ファイルの中で唯一の必須キーワードは、バインド DN のパスワードを指定する PASSWORD です。これ以外のキーワードはすべてオプションです。
表 4-1 LAUTHSVR コンフィギュレーション・ファイルのキーワード
LAUTHSVR コンフィギュレーション・ファイルの例 次に、LAUTHSVR コンフィギュレーション・ファイルの例を示します。 コード リスト4-1 LAUTHSVR コンフィギュレーション・ファイルの例 警告: LDAP 管理者の PASSWORD はプレーン・テキストであるため、システム管理者はこのファイルを適切なアクセス・パーミッションで保護する必要があります。 LAUTHSVR を使用した UBBCONFIG の例 次のコンフィギュレーション例では、SECURITY が ACL に設定され、LAUTHSVR が定義されています。 コード リスト4-2 LAUTHSVR を使用した UBBCONFIG ファイルの例 複数のネットワーク・アドレスの使用による可用性の向上 WebLogic Server ドメイン用に複数のネットワーク・アドレスをコンフィギュレーションすることもできます。このコンフィギュレーションは、ユーザ認証の可用性を高めるのに役立ちます。ユーザ・セキュリティ情報は、WebLogic Server ドメイン内のすべての WebLogic Server-組み込み LDAP サーバに複製されます。LAUTHSVR は一度に 1 つのサーバにしか接続できませんが、ネットワーク障害が発生したときには、LAUTHSVR は次に使用できるアドレスに接続します。 LAUTHSVR の複数のネットワーク・アドレスをコンフィギュレーションするには、LAUTHSVR コンフィギュレーション・ファイルの LDAP_ADDR キーワードを使用します。ホスト名の指定順序が、LAUTHSVR が接続を試行する順序となります。認証中にキャッシュを使用するには、EXPIRE キーワードを指定します。このキーワードの値によって、ローカル・プロセス・メモリにキャッシュされたエントリを使用できる秒数が指定されます。 注記 tmboot を使用して Tuxedo を起動したときに WebLogic Server が使用可能になっている必要はありませんが、少なくとも 1 つの WebLogic Server が使用可能でなければ、LAUTHSVR のユーザ認証機能が制限されます。
#
# Tuxedo LDAP Authentication Server configuration file.
#
# created: Thu May 26 15:36:59 2002
#
FILE_VERSION 1
LDAP_VERSION 3
BINDDN cn=Admin
BASE ou=people,ou=myrealm,dc=mydomain
UID uid
PASSWORD secret
LDAP_ADDR //PLUTO:7001,//Saturn:7001
EXPIRE 0
SRCH_ORDER LDAP
WLS_DOMAIN mydomain
WLS_REALM myrealm
ADM_GROUP Administrators
OP_GROUP Operators
TUX_UID_KW TUXEDO_UID
TUX_GID_KW TUXEDO_GID
# end of file*RESOURCES
IPCKEY 51002
MASTER site1
MAXACCESSERS 50
MAXSERVERS 20
MAXSERVICES 20
MODEL SHM
LDBAL N
BLOCKTIME 10
SECURITY ACL
AUTHSVC "..AUTHSVC"*MACHINES
DEFAULT:
APPDIR="/home/tuxedo/application"
TUXCONFIG="/home/tuxedo/application/TUXCONFIG"
TUXDIR="/home/tuxedo/tux81"
Server1 LMID=site1
MAXWSCLIENTS=20*GROUPS
GROUP1 LMID=site1 GRPNO=1
GROUP2 LMID=site1 GRPNO=2
GROUP3 LMID=site1 GRPNO=3
GROUP4 LMID=site1 GRPNO=4*SERVERS
DEFAULT:
CLOPT="-A" RESTART=N MAXGEN=5LAUTHSVR SRVGRP=GROUP1 SRVID=10
CLOPT="-A -- -F /home/tuxedo/application/lauthsvr.conf "DMADM SRVGRP=GROUP2 SRVID=20
GWADM SRVGRP=GROUP3 SRVID=30
GWTDOMAIN SRVGRP=GROUP3 SRVID=31Simpserv SRVGRP=GROUP4 SRVID=40
*SERVICES
TOUPPER
WebLogic Server が使用可能でない場合、SRCH_ORDER LOCAL を使用して Tuxedo を起動し、ユーザを認証できます。この場合、ユーザ認証は tpusr ファイルに基づいて検証されます。検索順序の詳細については、データベース検索順序のコンフィギュレーションを参照してください。
複数ネットワーク・アドレスの LAUTHSVR コンフィギュレーションの例
次に、LDAP_ADDR キーワードに複数のネットワーク・アドレスを指定する例を示します。
LDAP_ADDR //Pluto:8000,//Saturn,Jupiter
この例では、3 つの WebLogic Server ホスト名が指定されています。最初のサーバは Pluto で稼働し、アドレス 8000 を使用します。2 番目のサーバは Saturn で稼働し、デフォルト・アドレス 7001 を使用します。3 番目のサーバは Jupiter で稼働し、同じくデフォルト・アドレス 7001 を使用します。
データベース検索順序のコンフィギュレーション
デフォルトでは、LAUTHSVR 認証サーバは WebLogic Server 組み込み LDAP サーバからユーザ情報を検索します。データベース検索で tpusr ファイルを使用するには、SRCH_ORDER キーワードに LOCAL を指定する必要があります。LAUTHSVR がユーザ情報を検索する順序は、SRCH_ORDER キーワードに定義したカンマ区切りの値の順序によって指定されます。LAUTHSVR は、LDAP サーバか tpusr ファイル、またはその両方を (指定した値の順序に従って) 検索します。
2 つ以上の SRCH_ORDER エントリが LAUTHSVR コンフィギュレーション・ファイルに指定されている場合、最後のエントリだけが有効となります。この場合、警告メッセージが USERLOG に記録されます。また、LDAP または LOCAL 以外の値を SRCH_ORDER キーワードに指定した場合も、警告メッセージが出力されます。この場合、無効なエントリは無視され、デフォルト値または前の有効な SRCH_ORDER エントリが使用されます。
データベース検索順序の LAUTHSVR コンフィギュレーションの例
次の例では、LAUTHSVR が最初に WebLogic Server 組み込み LDAP サーバからユーザ情報を検索するよう指定しています。この LDAP サーバにユーザ情報が見当たらない場合、LAUTHSVR は tpusr ファイルを検索します。
SRCH_ORDER LDAP,LOCAL
次の例では、LAUTHSVR が最初に tpusr ファイルからユーザ情報を検索するよう指定しています。tpusr ファイルにユーザ情報が見当たらない場合、LAUTHSVR は WebLogic Server 組み込み LDAP サーバから情報を検索します。
SRCH_ORDER LOCAL,LDAP
次の例では、LAUTHSVR が tpusr ファイルだけからユーザ情報を検索するよう指定しています。
SRCH_ORDER LOCAL
関連項目
tpmigldap によるユーザ情報の WebLogic Server への移行
tpmigldap コマンド・ユーティリティを使用して、Tuxedo のユーザおよびグループ情報を WebLogic Server に移行する必要があります。
tpusr ファイルの新しいパスワードの割り当て
ユーザおよびグループ情報を移行する前に、管理者は各ユーザに新しいパスワードを割り当てて、移行が正常に行われるようにしておく必要があります。この手順が必要なのは、tpusr ファイル内のパスワードが一方向暗号化で暗号化されているため、このファイルから元のパスワードを取り出すことができないからです。
このようなパスワードを処理する方法は次の 2 とおりです。
テキスト・エディタを使用して tpusr ファイルを修正し、ファイル内の各ユーザのパスワードを変更できます。パスワード・フィールドは、tpusr ファイルの 2 番目のフィールドです。フィールドのデリミタはコロン (:) です。各ユーザは tpusr ファイルの中で 1 行を占めます。
次に例を示します。
TuxedoUser1:ADdg0w8nfGMag:6001:601:TPCLTNM,*::
TuxedoUser2:0Yq2s6FjbvuU2:6002:601:TPCLTNM,*::
これは、次のように修正できます。
TuxedoUser1:User1Password:6001:601:TPCLTNM,*::
TuxedoUser2:User2Password:6002:601:TPCLTNM,*::
-f オプションを使用する場合、後続の引数は tpusr ファイルのすべてのユーザのパスワード・フィールドの代わりとして使用されます。
次にコマンド例を示します。
tpmigldap -f userpassword -c
このコマンドでは、userpassword が tpusr ファイルのすべてのユーザに割り当てられます。移行後は、Tuxedo アプリケーションに参加するためにすべてのユーザがパスワードとして userpassword を使用する必要があります。
tpmigldap コマンド行オプション
次の表に、tpmigldap ユーティリティのコマンド行オプションの定義を示します。コマンド行オプションの順序は関係ありません。
注記 tpmigldap コマンドでは、ユーザまたはグループを WebLogic Server 組み込み LDAP データベースに追加するには -w または -c を使用する必要があります。
表 4-2 tpmigldap コマンド行オプション
関連項目
新しい Tuxedo ユーザ情報の追加
新しいユーザおよびグループ情報を単一のセキュリティ LDAP データベースに追加する方法は次の 2 通りです。
注記 WebLogic Administration Console の使用は、大量のユーザを LDAP データベースに追加する場合は効率的ではありません。多くのユーザを追加する場合は、tpmigldap ユーティリティを使用してください。
新しいユーザ情報の tpusr または tpgrp への追加
新しいユーザ情報をシングル・ポイント・セキュリティ LDAP データベースに追加するには、次の手順に従います。
tpmigldap -u $APPDIR/tpusr -g $APPDIR/tpgrp
WebLogic Administration Console による新しいユーザ情報の追加
WebLogic Administration Console を使用して新しいユーザ情報をシングル・ポイント・セキュリティ LDAP データベースに追加するには、次の手順に従います。
ユーザ情報を入力します。
[名前] フィールドにユーザ名を指定します。
[記述] フィールドに、次の構文に従って Tuxedo UID と GID の値を文字列として指定します。
<TUXEDO UID KEYWORD>=<decimal value>
<TUXEDO GID KEYWORD>=<decimal value>
デフォルトでは、TUXEDO UID KEYWORD は TUXEDO_UID で、TUXEDO GID KEYWORD は TUXEDO_GID です。次に例を示します。
TUXEDO_UID=2504 TUXEDO_GID=601.
[パスワード] フィールドにユーザのパスワードを指定します。[パスワードの確認] フィールドに、パスワードをもう一度入力します。