![]() ![]() ![]() ![]() |
あるセキュリティ レルムまたはセキュリティ プロバイダからセキュリティ データをエクスポートして、別のレルムまたはプロバイダにインポートできます。以下の節では、セキュリティ データのエクスポートとインポートについて説明します。
WebLogic セキュリティ レルムにはさまざまなセキュリティ データが永続化されます。これには、WebLogic 認証プロバイダのユーザとグループ、XACML 認可プロバイダのセキュリティ ポリシー、XACML ロール マッピング プロバイダのセキュリティ ロール、WebLogic 資格マッピング プロバイダの資格マップなどがあります。新しいセキュリティ レルムまたはセキュリティ プロバイダをコンフィグレーションする場合、すべてのユーザ、グループ、ポリシー、ロール、および資格マップを再作成せずに、既存のセキュリティ レルムまたはセキュリティ プロバイダのセキュリティ データを使用できます。WebLogic セキュリティ プロバイダの一部は、セキュリティ データの移行をサポートしています。つまり、あるセキュリティ レルムからセキュリティ データをエクスポートして、新しいセキュリティ レルムへインポートできます。各セキュリティ プロバイダのセキュリティ データを個別に移行したり、すべての WebLogic セキュリティ プロバイダのセキュリティ データ (セキュリティ レルム全体のセキュリティ データ) を一度に移行したりできます。同じデータ フォーマットを使用しているプロバイダ間でのみセキュリティ データを移行できます。「WebLogic セキュリティ プロバイダでサポートされるフォーマットと制約」を参照してください。セキュリティ データの移行は、WebLogic Administration Console または WebLogic Scripting Tool (WLST) を使用して行います。
以降では、セキュリティの移行の概念、WebLogic セキュリティ プロバイダでサポートされるフォーマットと制約、および WLST を使用してセキュリティ データを移行する手順について説明します。
WebLogic Administration Console を使用したセキュリティ データの移行については、Administration Console オンライン ヘルプの以下のトピックを参照してください。
フォーマットとは、セキュリティ データのエクスポートまたはインポートの方法を指定するデータ フォーマットです。サポートされるフォーマットは、特定のセキュリティ プロバイダが処理方法を理解しているデータ フォーマットのリストです。
制約とは、エクスポートまたはインポート処理のオプションの指定に使用されるキーと値の組み合わせです。制約を使用すると、セキュリティ プロバイダのデータベース (WebLogic Server セキュリティ プロバイダの場合は組み込み LDAP サーバ) からエクスポートまたはインポートするセキュリティ データを制御できます。たとえば、認証プロバイダのデータベースから、グループではなくユーザだけをエクスポートすることができます。サポートされる制約とは、特定のセキュリティ プロバイダの移行処理で指定できる制約のリストのことを指します。たとえば、認証プロバイダのデータベースを使用してユーザとグループをインポートするように指定できますが、セキュリティ ポリシーはインポートできません。
エクスポート ファイルは、移行処理のエクスポートの段階で、セキュリティ データを (指定されたフォーマットで) 書き込むファイルです。インポート ファイルとは、移行処理のインポートの段階で、セキュリティ データを (指定されたフォーマットで) 読み込むファイルです。エクスポート ファイルとインポート ファイルはどちらも、あるセキュリティ プロバイダのデータ ストアから別のセキュリティ プロバイダのデータ ストアに移行する際の、セキュリティ データの単なる一時的な格納場所です。
セキュリティ プロバイダ間でセキュリティ データをエクスポートおよびインポートするには、両方のセキュリティ プロバイダが同じフォーマットを処理する必要があります。WebLogic Server セキュリティ プロバイダで使用されるデータ フォーマットの一部は非公開なので、WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダの間で非公開のフォーマットを使用してセキュリティ データを移行することは、現時点ではできません。
WebLogic セキュリティ プロバイダでは、以下のインポートおよびエクスポート フォーマットがサポートされています。
WebLogic セキュリティ プロバイダでは、以下のインポートおよびエクスポート制約がサポートされています。
|
WebLogic 資格マッピング プロバイダ、SAML 資格マッピング プロバイダ、または SAML ID アサーション プロバイダからエクスポートする場合、資格のパスワードをクリア テキストでエクスポートするかどうかを指定する必要があります。passwords=cleartext
制約を指定すると、パスワードはクリア テキストでエクスポートされます。それ以外の場合、パスワードは暗号化された形式でエクスポートされます。パスワードの暗号化に使用されるメカニズムは WebLogic Server ドメインごとに異なるため、別の WebLogic Server ドメインで使用する場合は、パスワードをクリア テキストでエクスポートできます。新しい WebLogic Server ドメインに資格マップがインポートされると、パスワードは暗号化されます。移行処理中にシステムでセキュアなデータを利用できるようにするため、クリア テキストの資格マップのエクスポート先となるディレクトリとファイルは慎重に保護してください。
WebLogic Scripting Tool (WLST) を使用して、セキュリティ プロバイダからデータをエクスポートしてインポートできます。セキュリティ プロバイダの実行時 MBean にアクセスして、その importData
オペレーションまたは exportData
オペレーションを使用します。たとえば、以下のようなコマンドで WLST を使用してデータをインポートします。
domainRuntime()
cd(‘DomainServices/DomainRuntimeService/DomainConfiguration/mydomain/SecurityConfiguration/mydomain/DefaultRealm/myrealm/path-to-MBean
/
mbeanname
’)
cmo.importData(format
,
filename
,
constraints
)
mbeanname
- セキュリティ プロバイダ MBean の名前。
format
- 特定のセキュリティ プロバイダで有効なフォーマット。表 8-1 を参照してください。
filename
- セキュリティ データをエクスポートまたはインポートするディレクトリの場所とファイル名。WLST コマンドでは、使用するオペレーティング システムが UNIX か Windows かに関係なく、パス名引数のパス区切りとしてバック スラッシュではなくフォワードスラッシュを使用する必要があります。
constraints
- エクスポートまたはインポートするデータを限定する制約。
詳細については、『WebLogic Scripting Tool ガイド』を参照してください。
注意 : | weblogic.Admin ユーティリティは非推奨になりました。代わりに WLST を使用してください。 |
weblogic.Admin
ユーティリティを使用して、セキュリティ レルムとセキュリティ プロバイダの間でセキュリティ データをエクスポートおよびインポートすることもできます。コマンドの形式は次のとおりです。
java weblogic.Admin -username
username
-password
password
\
INVOKE -mbean mbeanname
\
-method methodname
dataformat
filename
constraints
mbeanname
- セキュリティ プロバイダ MBean の名前。
methodname
- exportData
または importData
。
dataformat
- DefaultAtn
、DefaultAtz
、DefaultRoles
、または DefaultCreds
。
filename
- セキュリティ データをエクスポートまたはインポートするディレクトリの場所とファイル名。
constraints
- エクスポートまたはインポートするデータを限定する制約。
注意 : | セキュリティ データをエクスポートするディレクトリおよびファイルは、デプロイメントに関する重要な情報が格納されるので、オペレーティング システムのセキュリティで慎重に保護してください。 |
java weblogic.Admin -username system -password weblogic INVOKE -mbean Security:Name=myrealmDefaultAuthenticator -method importData DefaultAtn d:\temp\security.info ““
![]() ![]() ![]() |