BEA TOP END システムと BEA Tuxedo システム間のセキュリティの設定

ここでは、次の内容について説明します。

• BEA Tuxedo システムと BEA TOP END システム間のセキュリティの実現

• セキュリティ要件

• BEA Tuxedo システムでのセキュリティの設定

• BEA Tuxedo セキュリティ管理ツールを使用してシステム間のアクセスを認可する

• TEDG 用の BEA TOP END パスワードを定義する

• BEA TOP END セキュリティ管理ツールを使用してシステム間のアクセスを認可する

• TEDG と NI 間の暗号化および認証の設定

関連項目

• 『BEA Tuxedo CORBA アプリケーションのセキュリティ機能』の 2-1 ページの「セキュリティの管理」

• BEA TOP END システムと BEA Tuxedo システム間のセキュリティ

 

---

BEA Tuxedo システムと BEA TOP END システム間のセキュリティの実現

BEA Tuxedo システムと BEA TOP END システム間のセキュリティは次のように提供されます。

要求の送信元	目的	セキュリティの種類
BEA Tuxedo クライアント	TOP END Domain Gateways (TEDG)	通常の BEA Tuxedo セキュリティ機能
TEDG	BEA Tuxedo サーバまたはキュー	通常の BEA Tuxedo セキュリティ機能
BEA TOP END クライアント	TEDG	通常の BEA TOP END セキュリティ機能
TEDG 経由	該当なし	DMCONFIG ファイルのゲートウェイ用のパラメータで定義

 

さらに、次のようなオプションを使用できます。

• 特定の BEA TOP END システムに接続する際に認証が要求されるように TEDG を設定することができます。

• BEA TOP END システムと BEA Tuxedo システム間のリンクを暗号化できます。

 

---

セキュリティ要件

BEA TOP END システムと BEA Tuxedo システム間でセキュリティを設定するには、BEA TOP END Security Services Product 3.0 が必要です。すべての BEA TOP END ノードとセキュリティを設定する TEDG を実行する任意の BEA Tuxedo ノードで、このプロダクトをインストールする必要があります。

Windows 2000 プラットフォーム上で、BEA TOP END Security Services をインストールするには BEA TOP END Base プロダクトがインストールされていなければなりません。したがって、セキュリティを設定する TEDG が実行される BEA Tuxedo ノードとなる Windows 2000 マシンでは、BEA TOP END Base と BEA TOP END Security Services の両方をインストールしなければなりません。このように、BEA TOP END アプリケーションを実行しない Windows 2000 マシンでも、両方のプロダクトをインストールする必要があります。

 

---

BEA Tuxedo システムでのセキュリティの設定

• UBBCONFIG ファイルでセキュリティを定義する

• DMCONFIG ファイルでセキュリティを設定する

 

---

UBBCONFIG ファイルでセキュリティを定義する

BEA Tuxedo ドメインに対するアプリケーション・セキュリティの種類を指定するには、UBBCONFIG ファイルの RESOURCES セクションの SECURITY パラメータを使用します。これは次の関係で適用されます。

• BEA Tuxedo クライアントと TEDG

• TEDG と BEA Tuxedo サーバまたはキュー

SECURITY パラメータの有効な値および構文については、『BEA Tuxedo のファイル形式とデータ記述方法』 の UBBCONFIG(5) リファレンス・ページを参照してください。

 

---

DMCONFIG ファイルでセキュリティを設定する

TEDG を含むコンフィギュレーションのセキュリティを設定するには、DMCONFIG ファイルの次のセクションでセキュリティ・パラメータを定義します。

• DM_LOCAL_DOMAINS セクション

• DM_ACCESS_CONTROL セクション

• DM_LOCAL_SERVICES セクション

DM_LOCAL_DOMAINS セクション

DMCONFIG ファイルの DM_LOCAL_DOMAINS セクションの SECURITY パラメータは、TEDG のセキュリティ・レベルを制御します。このパラメータは、TEDG がノード間認証および保護に BEA TOP END セキュリティを使用するかどうかを指定します。TYPE=TOPEND の場合、SECURITY パラメータの有効な値は次のとおりです。

• NONE

• CLEAR

• SAFE

• PRIVATE

  パラメータ名	BEA TOP END のセキュリティ機能	指定内容
  NONE	使用しない	デフォルト値
  CLEAR	使用する	ノード間メッセージのセキュリティ保護不要
  SAFE	使用する	メッセージは Kerberos SAFE メッセージ・チェックサムを使用して送信されることが必要
  PRIVATE	使用する	メッセージは Kerberos 4 インプリメンテーションの DES を使用して暗号化されることが必要

  
   

SECURITY パラメータの値は、nm_config(4T) の BEA TOP END ノード・マネージャ (NM) のコンフィギュレーション・パラメータである [security] および [internode security] と一致している必要があります。一致するかどうかはノードへのサインオン時にチェックされます。

DM_ACCESS_CONTROL セクション

このオプションのセクションには、リモート・ドメインからローカル・リソースへのアクセスを制限するため TEDG が使用するアクセス制御リスト (ACL) が含まれます。各エントリは、リソース識別子 ACL_NAME と、リソースへのアクセスを許可されたリモート・ドメイン用の必須パラメータのリストで構成されています。エントリが存在しないローカル・サービスは、すべてのリモート・ドメインからアクセス可能です。

DM_LOCAL_SERVICES セクション

オプションの ACL パラメータは、BEA TOP END リモート・ドメインからサービス (SERVICE エントリで定義) またはキュー・スペース (QSPACE エントリで定義) への要求を TEDG 側で制限するために使用します。ACL パラメータは、次の形式で定義します。

ACL = identifier

identifier はアクセス制御リスト (ACL) の名前を指定します。TEDG はこのリストを使用して、BEA TOP END システムがターゲットのサービスまたはキュー・スペースに対して行う要求を制限します。ACL は DM_ACCESS_CONTROL セクションで定義します。このパラメータを指定しないと、エントリで定義するサービスまたはキュー・スペースに対する要求についてアクセス制御が実行されません。

関連項目

• 『BEA Tuxedo のファイル形式とデータ記述方法』の DMCONFIG for GWTOPEND(5)

• 『BEA TOP END Programmer’s Reference Manual』の nm_config(4T)

 

---

BEA Tuxedo セキュリティ管理ツールを使用してシステム間のアクセスを認可する

BEA Tuxedo サービスにアクセスするため、TEDG は DOMAINID によりリモート・ドメインに割り当てられた BEA Tuxedo ユーザ ID を使用します。

BEA TOP END アプリケーションから BEA Tuxedo のリソース (サービスおよびキュー・スペース) へのアクセスを確立するには、次の手順に従います。

1. DMCONFIG ファイルで TOPEND タイプに定義されている各リモート・ドメインに対して、BEA Tuxedo セキュリティ・データ・ファイル tpusr および tpgrp にエントリ (リモート・ドメイン DOMAINID およびパスワード) を追加し、ユーザ ID エントリをグループに割り当てます。その場合、次のコマンドを入力します。

   tpusradd -u uid -g gid DOMAINID

   ユーザ ID それぞれのパスワードを入力するよう要求されます。

   アプリケーションがアクティブでない場合は、マスタ・ノードで tpusradd を実行する必要があります。アプリケーションがアクティブの場合、このコマンドはどのノードでも実行できます。

   注記 これらのエントリは、既存のグループにも新しいグループにも追加できます。新しいグループを作成する場合は tpusradd コマンドを使用する前に作成しなければなりません。新しいグループの作成には tpgrpadd コマンドを使います。構文については、『BEA Tuxedo コマンド・リファレンス』 の tpgrpadd(1) を参照してください。

2. UBBCONFIG ファイルの SECURITY パラメータを定義します。次のように UBBCONFIG ファイルに ACL エントリを追加します。

   • SECURITY=ACL の場合、BEA TOP END リモート・ドメインによってアクセスされるサービスおよびキュー・スペースそれぞれに対するエントリを BEA Tuxedo セキュリティ・ファイルに指定することができます。その場合、サービスまたはキュー・スペースにアクセスする BEA TOP END リモート・ドメイン DOMAINID それぞれに関連するグループを、そのサービスまたはキュー・スペースに対する BEA Tuxedo セキュリティ・ファイルのエントリに追加します。

   • SECURITY=MANDATORY_ACL の場合、任意の BEA TOP END リモート・ドメインによってアクセスされるサービスおよびキュー・スペースそれぞれの ACL データベースにエントリを指定することが必要です。サービスまたはキュー・スペースにアクセスする BEA TOP END リモート・ドメインそれぞれの DOMAINID に関連するグループを、そのサービスまたはキュー・スペースに対する BEA Tuxedo セキュリティ・ファイルのエントリに追加します。

3. tpacladd(1) コマンドを実行して、ACL エントリを BEA Tuxedo セキュリティ・データ・ファイルに追加します。これによって、BEA Tuxedo のリソース (サービスおよびキュー・スペース) へのアクセスが各リモート・ドメインに対し必要に応じて認可されます。

   tpacladd コマンドの形式は、次のとおりです。

   tpacladd -g gid servicename

   tpacladd -g gid queue_space

   注記 これらのコマンドは、グループのすべてのユーザ ID の所有者に対して、指定のサービスまたはキュー・スペースへのアクセスを認可します。

関連項目

• 『BEA Tuxedo コマンド・リファレンス』の tpacladd(1)

• 『BEA Tuxedo コマンド・リファレンス』の tpusradd(1)

 

---

TEDG 用の BEA TOP END パスワードを定義する

RTQ 要求を使用して BEA TOP END サービスにアクセスするため、TEDG は DOMAINID によりローカル・ドメインに割り当てられた BEA TOP END ユーザ ID を使用します。DMCONFIG ファイルで TOPEND タイプに定義されている各ローカル・ドメインに対して、BEA TOP END ユーザ ID のパスワードを定義しなければなりません。パスワードを定義するには、dmadmin(1) ユーティリティを起動して topendpasswd コマンドを入力します(詳細については、dmadmin コマンド・インタプリタの使用を参照してください)。

注記 RTQ を使用しない BEA TOP END サービスへのアクセスは、TEDG ノードを BEA TOP END システムの一部として定義し、関連するリモート・サービスを DMCONFIG ファイルにリストし、TEDG で宣言されたサービスへの BEA Tuxedo ユーザ・アクセスを設定することにより許可されます。

関連項目

• 『BEA Tuxedo コマンド・リファレンス』の dmadmin(1)

 

---

BEA TOP END セキュリティ管理ツールを使用してシステム間のアクセスを認可する

BEA TOP END 管理ノードで各システムを生成した後、BEA TOP END のプロダクトおよび関数リストに新しい BEA Tuxedo サービスを追加します。これらのリストを更新することにより、tpsecure(1T) ユーティリティを使用して、BEA TOP END ユーザに BEA Tuxedo サービスおよびキューへのアクセスを認可することができます。

1. ファイル $TOPENDADM/admin/$TP_SYSTEM/product.lst には、BEA TOP END システムに対して定義されるプロダクトのリストが含まれ、tpsecure(1T) ユーザはこのリストから選択することができます。次の名前が含まれていない場合は、リストに追加します。

   1. TE_PRODUCT および TE_FUNCTION パラメータを指定する DM_LOCAL_SERVICES セクションの各 SERVICE エントリのプロダクト名。

   2. TE_RTQGROUP および TE_RTQNAME パラメータを指定する DM_LOCAL_SERVICES セクションの各 QSPACE エントリの RTQ グループ名。

2. ファイル $TOPENDADM/admin/$TP_SYSTEM/prodname.fnc (prodname はプロダクト名) には、BEA TOP END システムのプロダクトに対して定義される関数のリストが含まれ、tpsecure(1T) ユーザはこのリストから選択することができます。関数のリストが不完全な場合は、次のように更新します。

   1. TE_PRODUCT および TE_FUNCTION パラメータを指定する DM_LOCAL_SERVICES セクションの各 SERVICE エントリの関数名を、対応するプロダクトの関数リストに追加します。

   2. TE_RTQGROUP および TE_RTQNAME パラメータを指定する DM_LOCAL_SERVICES セクションの各 QSPACE エントリの RTQ キュー名 (TE_RTQNAME) を、対応するプロダクト (TE_RTQGROUP) の関数リストに追加します。

   注記 BEA TOP END のセキュリティでは UNIX 管理ノードが必要です。これらのファイルは UNIX システムにのみ配置されます。

3. BEA TOP END tpsecure(1T) ユーティリティを BEA TOP END 管理ノードで使用して、以下を実行します。

   • BEA TOP END システムとの通信に使用する BEA TOP END ユーザ ID (ローカル・ドメイン DOMAINID と等しい) およびパスワード (dmadmin(1) で作成される) を定義します。

   • BEA TOP END ユーザ ID の所有者に対して、BEA TOP END のリソース (プロダクトまたは関数) へのアクセスを必要に応じて認可します。この手順はキューにアクセスする場合のみ必要です。

   • BEA TOP END ユーザに対して、新しく定義されたプロダクトおよび関数を介して BEA Tuxedo のリソースにアクセスすることを認可します。

関連項目

• 『BEA TOP END Programmer’s Reference Manual』の tpsecure(1T)

• 『BEA TOP END Runtime Administration on UNIX』

• 『BEA TOP END Security Services on UNIX』

 

---

TEDG と NI 間の暗号化および認証の設定

DMCONFIG ファイルの SECURITY パラメータに NONE 以外の値を割り当てた場合は、相互認証および暗号化を設定しなければなりません。その場合、次の手順に従います。

1. BEA TOP END セキュリティ・データベースで、TEDG を実行する各ノード (マシン)に対して Kerberos プリンシパルを node.system 形式で定義します。node の値はマシン名で、system の値は BEA TOP END システム名です。UNIX システムでマシン名を取得するには uname -n コマンドを実行します。

2. 各ノードに対して Kerberos SRVTAB ファイルを作成し、それぞれの TEDG が起動時に利用できるようにします。これらのファイルは、DMCONFIG ファイルでセキュリティ・レベル (CLEAR、SAFE、または PRIVATE) を設定する場合に、TEDG で必要となります。

   各プリンシパルに対し、ext_srvtab(1T) ユーティリティを Kerberos マスタ・ノードで実行して、SRVTAB ファイルを作成します。ファイル名を srvtab.system に変更します。system の値はプリンシパルの BEA TOP END システム名です。

3. APPDIR 環境変数で定義される TEDG ノード上の適切なディレクトリに、各ファイルをコピーします。

関連項目

• 『BEA TOP END Programmer’s Reference Manual』の ext_srvtab(1T)

• 『BEA TOP END Runtime Administration on UNIX』

• 『BEA TOP END Security Services on UNIX』