WebLogic Server のセキュリティ

     前  次    新しいウィンドウで目次を開く   
ここから内容の開始

デフォルト セキュリティ コンフィグレーションのカスタマイズ

以下の節では、新しいセキュリティ レルムを作成することによって、デフォルトのセキュリティ コンフィグレーションをカスタマイズする方法について説明します。

セキュリティ プロバイダのコンフィグレーションの詳細については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。

セキュリティ データの新しいセキュリティ レルムへの移行については、「セキュリティ データの移行」を参照してください。

 

デフォルト セキュリティ コンフィグレーションをカスタマイズする理由

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ コンフィグレーションが用意されています。デフォルト セキュリティ コンフィグレーションでは、myrealm がデフォルト (アクティブ) セキュリティ レルムとして設定され、WebLogic 裁決、認証、ID アサーション、資格マッピング、証明書パス、XACML 認可、および XACML ロール マッピングの各プロバイダがセキュリティ プロバイダとしてセキュリティ レルムに定義されています。

以下のいずれかを行う場合、デフォルト セキュリティ コンフィグレーションをカスタマイズします。

セキュリティ レルムでさまざまなタイプのセキュリティ プロバイダをコンフィグレーションする方法については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。

デフォルト セキュリティ コンフィグレーションをカスタマイズする最も簡単な方法は、デフォルト セキュリティ レルム (myrealm) にセキュリティ プロバイダを追加することです。しかし Oracle ではこの方法ではなく、完全に新しいセキュリティ レルムを作成して、デフォルト セキュリティ コンフィグレーションをカスタマイズすることをお勧めします。このようにすると、デフォルト セキュリティ コンフィグレーションを簡単に元に戻せる状態が保たれます。作成した新しいレルムにセキュリティ プロバイダをコンフィグレーションし、既存のデフォルト レルムからユーザやグループなどのセキュリティ データを移行してから、新しいセキュリティ レルムをデフォルト レルムとして設定します。「新しいセキュリティ レルムの作成とコンフィグレーション : 主な手順」を参照してください。

 

新しいセキュリティ レルムを作成する前に

新しいセキュリティ レルムを作成する前には、以下のことを決定する必要があります。

注意 : 新しいセキュリティ レルムを作成する場合、少なくとも 1 つの認証プロバイダをコンフィグレーションして、アサートされた LoginModule を返す必要があります。このようにしないと、デプロイメント記述子に定義される run-as タグが有効になりません。

詳細については、Administration Console オンライン ヘルプの「新しいセキュリティ レルムのコンフィグレーション」を参照してください。

 

新しいセキュリティ レルムの作成とコンフィグレーション : 主な手順

新しいセキュリティ レルムを作成するには、次の手順に従います。

  1. セキュリティ レルムの名前を定義し、コンフィグレーション オプションを設定します。「新しいセキュリティ レルムを作成する前に」と Administration Console オンライン ヘルプの「新しいセキュリティ レルムのコンフィグレーション」を参照してください。
  2. セキュリティ レルムで必要なセキュリティ プロバイダをコンフィグレーションします。有効なセキュリティ レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格マッピング プロバイダ、ロール マッピング プロバイダ、および証明書パス ビルダが必須です。「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
  3. 必要に応じて、ID アサーション、監査、および証明書レジストリ プロバイダを定義します。「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
  4. 新しいセキュリティ レルムで WebLogic 認証プロバイダ、認可プロバイダ、資格マッピング プロバイダ、またはロール マッピング プロバイダ、または証明書レジストリをコンフィグレーションした場合は、組み込み LDAP サーバの設定が適切であるかどうかを検証してください。「組み込み LDAP サーバの管理」を参照してください。
  5. 必要に応じて、セキュリティ レルムの WebLogic 認証プロバイダと LDAP 認証プロバイダのパフォーマンスを向上させるためのキャッシュをコンフィグレーションします。「WebLogic 認証プロバイダと LDAP 認証プロバイダのパフォーマンスの向上」を参照してください。
  6. 新しいセキュリティ レルム内の WebLogic リソースをセキュリティ ポリシーで保護します。セキュリティ ポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順について理解を深めるには、『ロールおよびポリシーによる WebLogic リソースの保護』に目を通してください。WebLogic Server のデプロイメントに対するセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic Server のセキュリティ』を併読する必要があります。
  7. 新しいセキュリティ レルムで、既存のセキュリティ レルムに定義されたセキュリティ データ (ユーザとグループ、ロールとポリシー、および資格マップ) も有効にする場合、既存のレルムからセキュリティ データをエクスポートして新しいセキュリティ レルムにインポートできます。「セキュリティ データの移行」を参照してください。
  8. ロックアウト属性を設定することによって、新しいセキュリティ レルムのユーザ アカウントを辞書攻撃から保護します。「ユーザ アカウントの保護」を参照してください。
  9. 新しいレルムを WebLogic Server ドメインのデフォルト セキュリティ レルムとして設定します。Administration Console オンライン ヘルプの「デフォルト セキュリティ レルムの変更」を参照してください。
注意 : WebLogic Scripting Tool または Java Management Extensions (JMX) API を使用して新しいセキュリティ コンフィグレーションを作成することもできます。『WebLogic Scripting Tool ガイド』を参照してください。

ページの先頭       前  次