互換性セキュリティ

ドキュメントのダウンロード

サイトマップ

検索

e-docs > > > 互換性セキュリティ

互換性セキュリティ

このトピックでは、互換性セキュリティを使用する場合のセキュリティのコンフィグレーションと管理について説明します。詳細については、『WebLogic セキュリティの管理』の「互換性セキュリティの使い方」を参照してください。 WebLogic Server 7.0 のセキュリティ機能の使い方については、Administration Console オンラインヘルプのセキュリティおよび『WebLogic セキュリティの管理』を参照してください。

タスク

互換性セキュリティの使い方

互換性セキュリティとは、WebLogic Server 6.x のセキュリティコンフィグレーションを WebLogic Server 7.0 で実行する機能のことです。互換性セキュリティでは、WebLogic Server 6.x と同様に、セキュリティレルムのコンフィグレーション、ユーザ、グループ、および ACL の定義を行います。

互換性セキュリティを使用するには、次の手順に従います。

互換性セキュリティを起動するために使用できるサンプル config.xml ファイルは、『BEA WebLogic Server 7.0 へのアップグレード』の「互換性セキュリティでの WebLogic Server の起動」にあります。
6.x config.xml ファイルに以下を追加します。

<Security Name="mydomain" Realm="mysecurity"/>
<Realm Name="mysecurity" FileRealm="myrealm"/>
<FileRealm Name="myrealm"/>
WebLogic Server 7.0 を新しいディレクトリにインストールします。既存の 6.x ディレクトリを上書きしないでください。詳細については、『WebLogic Server インストールガイド』を参照してください。
6.x 用の起動スクリプトを変更して、インストールした WebLogic Server 7.0 を指すようにします。具体的には、次のように指定します。
- クラスパスが WebLogic Server バージョン 7.0 の weblogic.jar ファイルを指すようにします。
- The JAVA_HOME 変数が WebLogic Server バージョン 7.0 を指すようにします。
詳細については、『BEA WebLogic Server 7.0 へのアップグレード』を参照してください。
6.x 用の起動スクリプトを使用して WebLogic Server を起動します。

互換性セキュリティを正常に実行しているかどうかを確認するには、次の手順に従います。

WebLogic Server Administration Console (Administration Console と呼ぶ) で、[ドメイン] ノードを展開します。
WebLogic Server ドメイン (ドメインと呼ぶ) をクリックします。
[ドメインログの表示] リンクをクリックします。

次のメッセージがログに表示されます。

「Security initializing using realm CompatibilityRealm」

また、[CompatibilitySecurity] ノードが WebLogic Server Administration Console に表示されます。

レルムアダプタ認証プロバイダ内の ID アサーションプロバイダのコンフィグレーション

レルムアダプタ認証プロバイダには ID アサーションプロバイダが含まれています。ID アサーションプロバイダは、weblogic.security.acl.CertAuthenticator クラスの実装に下位互換性を提供します。ID アサーションは X.509 トークンに関して実行されます。デフォルトでは、ID アサーションプロバイダはレルムアダプタ認証プロバイダで有効になっていません。

レルムアダプタ認証プロバイダで ID アサーションを有効にするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
[CompatibilityRealm] をクリックします。
[プロバイダ] ノードを展開します。
[認証プロバイダ] をクリックします。
[レルム] テーブルの [Realm Adapter Authenticator] リンクをクリックします。

[一般] タブが表示されます。
[アクティブタイプ] リストボックスに X.509 と入力します。

この手順によって、6.x 証明書認証プロバイダを使用できるようになります。
[適用] をクリックします。
WebLogic Server を再起動します。

レルムアダプタ監査プロバイダのコンフィグレーション

レルムアダプタ監査プロバイダでは、互換性セキュリティを使用した場合に weblogic.security.audit.AuditProvider クラスの実装を使用できます。レルムアダプタ監査プロバイダが正しく動作するためには、weblogic.security.audit.AuditProvider class クラスの実装が、[ドメイン｜セキュリティ｜一般] タブの [監査プロバイダクラス] 属性に定義されている必要があります。

レルムアダプタ監査プロバイダをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[プロバイダ] ノードを展開します。
[監査] をクリックします。
[Realm Adapter Auditor のコンフィグレーション] リンクをクリックします。

[一般] タブが表示されます。
[作成] をクリックして変更を保存します。
WebLogic Server を再起動します。

システムパスワードの変更

システムパスワードを変更するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[ユーザ] タブをクリックします。

[ユーザ] ウィンドウが表示されます。
[ユーザパスワードの変更] の下にある [名前] 属性に system と入力します。
WebLogic Server のインストール中に指定したパスワードを [古いパスワード] 属性に入力します。
新しいパスワードを [新しいパスワード] 属性に入力します。
新しいパスワードを [パスワードの確認] 属性にもう一度入力します。

あるドメインの管理サーバと管理対象サーバを使用する場合、管理対象サーバは常にそのドメインの管理サーバのパスワードを使用しなければなりません。管理サーバのパスワードは、常に WebLogic Server Administration Console を使用して変更してください。WebLogic Server を再起動すると、新しいパスワードは、そのドメインのすべての管理対象サーバに伝達されます。

CompatibilityRealm のファイルレルムのコンフィグレーション

ファイルレルムをコンフィグレーションするには、次の手順に従います。

[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[セキュリティ｜ファイルレルム] タブをクリックします。
[ドメイン] --> [セキュリティ] --> [ファイルレルム] タブの属性フィールドに値を入力します。
[適用] をクリックします。

ファイルレルムの代わりに、WebLogic Server に用意されている代替セキュリティレルム、またはカスタムセキュリティレルムを使用する場合、目的のレルムの属性を設定し、WebLogic Server を再起動します。いずれかの代替セキュリティレルムを使用する場合、キャッシングレルムをコンフィグレーションする必要があります。

ファイルレルムのすべてのユーザおよびグループデータは、fileRealm.properties ファイルに格納されます。 fileRealm.properties ファイルが破損または破壊された場合、WebLogic Server のセキュリティ情報を再コンフィグレーションしなければなりません。互換性セキュリティは、fileRealm.properties ファイルがないと実行できません。カスタムセキュリティレルムを記述する場合でも、WebLogic Server を起動するために fileRealm.properties ファイルは必要です。したがって、次の手順を実行することをお勧めします。

fileRealm.properties ファイルのバックアップを作成し、安全な場所に保管します。
WebLogic Server デプロイメントの管理者は読み取りおよび書き込み特権を持ち、その他のユーザは何の特権も持たないように、fileRealm.properties ファイルにパーミッションを設定します。

注意: また、ファイルレルムの SerializedSystemIni.dat ファイルのバックアップも作成します。

CompatibilityRealm のキャッシングレルムのコンフィグレーション

キャッシングレルムは、代替セキュリティレルムまたはカスタムセキュリティレルムと連携し、適切な認証および認可を得たクライアントのリクエストを遂行します。キャッシングレルムは、成功したレルムルックアップと失敗したレルムルックアップの両方の結果を格納します。キャッシングレルムは、ユーザ、グループ、パーミッション、ACL、および認証リクエストのキャッシュを別々に管理します。キャッシングレルムによって、ルックアップがキャッシュされ、ほかのセキュリティレルムへの呼び出し数が減るので、WebLogic Server のパフォーマンスが向上します。

代替セキュリティレルムまたはカスタムセキュリティレルムを使用する場合は、代替またはカスタムセキュリティレルムのコンフィグレーション後にキャッシングレルムをコンフィグレーションして有効にする必要があります。

キャッシュを有効化すると、キャッシングレルムによって、レルムルックアップの結果がキャッシュに保存されます。ルックアップの結果は、存続時間 (TTL) 属性に定義された秒数が経過する (ルックアップ結果の有効期限が切れる) か、またはキャッシュがいっぱいになるまで、キャッシュ内に残ります。キャッシュがいっぱいになると、ルックアップの結果はキャッシュ内で最も古い結果と置き換えられます。TTL 属性によって、キャッシュされたオブジェクトの有効期間が決定されます。これらの属性に設定する値が大きいほど、キャッシングレルムが二次セキュリティレルムを呼び出す回数が減ります。呼び出し回数が減ると、パフォーマンスは向上します。パフォーマンスが向上する代わりに、基のセキュリティレルムへの変更は、キャッシュされたオブジェクトの有効期間が切れるまで認識されません。

デフォルトでは、キャッシングレルムは、代替セキュリティレルムが大文字/小文字を区別することを前提にして処理します。大文字と小文字を区別するセキュリティレルムでは、たとえばユーザ名 bill と Bill のオーナは別々のユーザとして扱われます。大文字/小文字を区別しないセキュリティレルムの例として、Windows NT セキュリティレルムと LDAP セキュリティレルムが挙げられます。大文字/小文字を区別しないセキュリティレルムを使用する場合は、[キャッシュで大文字/小文字を区別] 属性を無効化しなければなりません。この属性を設定すると、キャッシングレルムでは、大文字/小文字を区別して比較した場合に WebLogic Server がセキュリティレルムの正しい結果を返すように、ユーザ名が小文字に変換されます。大文字/小文字を区別するセキュリティレルムのユーザまたはグループを定義したり参照したりする場合には、ユーザ名を小文字で入力します。

キャッシングレルムをコンフィグレーションするには、次の手順に従います。

キャッシングレルムと一緒に使用する代替またはカスタムセキュリティレルムをコンフィグレーションします。
[キャッシングレルム] ノードを展開します。
[新しい Caching Realm のコンフィグレーション] リンクをクリックします。
[キャッシングレルム] --> [一般] タブの属性フィールドに値を入力します。
[作成] をクリックします。
キャッシングレルムで使用するキャッシュを有効にします。詳細については、次を参照してください。
キャッシングレルムの属性を定義したら、WebLogic Server を再起動します。

ACL キャッシュの有効化

[キャッシングレルム] タブの下の [ACL] タブをクリックします。
[キャッシングレルム] --> [ACL] タブに示された属性値を定義して、ACL キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

認証キャッシュの有効化

[キャッシングレルム] タブの下の [認証] タブをクリックします。
[キャッシングレルム] --> [認証] タブに示された属性値を定義して、認証キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

グループキャッシュの有効化

[キャッシングレルム] タブの下の [グループ] タブをクリックします。
[キャッシングレルム] --> [グループ] タブに示された属性値を定義して、グループキャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

ユーザキャッシュの有効化

[キャッシングレルム] タブの下の [ユーザ] タブをクリックします。
[キャッシングレルム] --> [ユーザ] タブに示された属性値を定義して、ユーザキャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

パーミッションキャッシュの有効化

[キャッシングレルム] タブの下の [パーミッション] タブをクリックします。
[キャッシングレルム] --> [パーミッション] タブに示された属性値を定義して、パーミッションキャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

キャッシュレルムへのメモの追加

[キャッシングレルム] タブの下の [] タブをクリックします。
[] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm の LDAP レルム V1 のコンフィグレーション

LDAP セキュリティレルムは、Lightweight Directory Access Protocol (LDAP) サーバを通じて認証機能を提供します。 This server allows you to manage all the users for your organization in one place: the LDAP directory.LDAP セキュリティレルムは、Open LDAP、Netscape iPlanet、Microsoft Site Server、および Novell NDS ディレクトリサーバをサポートしています。

LDAP V1 セキュリティレルムをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[レルム] ノードを展開します。
[新しい LDAP Realm V1 のコンフィグレーション] リンクをクリックします。

LDAP セキュリティレルムを実装するクラスの名前が表示されます。
[作成] をクリックします。
LDAP ディレクトリサーバの属性を定義し、ユーザとグループを LDAP V1 セキュリティレルムに保存する方法を指定します。詳細については、以下を参照してください。
キャッシングレルムをコンフィグレーションします。詳細については、CompatibilityRealm のキャッシングレルムのコンフィグレーションを参照してください。

キャッシングレルムをコンフィグレーションする場合は、[一般] タブの [基本レルム] 属性のプルダウンメニューから [LDAP レルム V1] を選択します。[基本レルム] 属性では、キャッシングレルムと代替セキュリティレルム (この場合は LDAP レルム V1) 間の関連付けを定義します。
[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[ファイルレルム] タブをクリックします。
[キャッシングレルム] 属性で、LDAP V1 セキュリティレルムと使用するキャッシングレルムの名前を選択します。コンフィグレーション済みのキャッシングレルムのリストがプルダウンメニューに表示されます。
WebLogic Server を再起動します。

LDAP ディレクトリサーバの属性の定義

[LDAP レルム V1] タブをクリックします。
LDAP サーバと WebLogic Server 間の通信を有効にするには、[LDAP レルム V1] --> [LDAP Server] タブの属性値を定義します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティレルムにおけるユーザの保存方法の指定

[LDAP レルム V1] タブの下の [ユーザ] タブをクリックします。
LDAP V1 セキュリティレルムでユーザを保存する方法を指定するには、[LDAP レルム V1] --> [ユーザ] タブの属性を定義します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティレルムにおけるグループの保存方法の指定

[LDAP レルム V1] タブの下の [グループ] タブをクリックします。
LDAP V1 セキュリティレルムでグループを保存する方法を指定するには、[LDAP レルム V1] --> [グループ] タブの属性を定義します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティレルムへのメモの追加

[LDAP レルム V1] タブの下の [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm の LDAP レルム V2 のコンフィグレーション

LDAP レルム V2 のコンフィグレーションでは、LDAP サーバと通信するためにセキュリティレルムを有効化する属性と、ユーザおよびグループを LDAP ディレクトリに格納する方法を指定する属性を定義します。互換性セキュリティでは、LDAP レルム V2 はカスタムセキュリティレルムとしてコンフィグレーションされます。

LDAP ツリーおよびスキーマは、LDAP サーバごとに異なります。サポートされているサーバのテンプレートでは、サポートされている LDAP サーバ用のテンプレートを示してあります。これらのテンプレートでは、サポートされている各 LDAP サーバのユーザおよびグループを表現するためのデフォルトコンフィグレーション情報が指定されています。

LDAP レルム V2 を使用するには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[新しい Custom Realm のコンフィグレーション] リンクをクリックします。

[コンフィグレーション] タブで属性を設定します。

次の表では、[新しい CustomRealm の作成] ウィンドウの [コンフィグレーション] タブで設定する属性について説明します。 表 21-1 カスタムセキュリティレルムの属性 属性 説明 [名前] defaultLDAPRealmForNetscapeDirectoryServer などの LDAP レルム V2 の名前。 [レルムクラス名] LDAP V2 レルムを実装する WebLogic クラスの名前 (weblogic.security.ldaprealmv2. LDAPRealm など)。このクラス名は、WebLogic Server の CLASSPATH に入っている必要がある。 [コンフィグレーション情報] 以下に関して LDAP コンフィグレーションに固有の情報を指定する。 server.host - LDAP サーバのホスト名。 server.port - LDAP サーバがリスンするポート番号。 useSSL - LDAP サーバと WebLogic Server の間の通信を保護するために SSL プロトコルを使用するかどうかを指定する。 SSL を使用する場合は、値を true に設定する。 server.principal - WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザ。 server.credential - WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザのパスワード。 user.dn - ユーザを格納する LDAP ディレクトリ内のツリーの基本 DN。 user.filter - 名前を指定してユーザを検索するための LDAP 検索フィルタ。 group.dn - グループを格納する LDAP ディレクトリ内のツリーの基本 DN。 group.filter - 名前を指定してグループを検索するための LDAP 検索フィルタ。 membership.filter - 特定のグループのメンバを検索するための LDAP 検索フィルタ。 サポートされている LDAP サーバ用のサンプル値については、サポートされているサーバのテンプレートを参照。

[適用] をクリックして変更を保存します。
CompatibilityRealm のキャッシングレルムのコンフィグレーションの説明に従って、キャッシングレルムをコンフィグレーションします。

キャッシングレルムをコンフィグレーションするときには、[一般] タブの [基本レルム] 属性のプルダウンメニューから LDAP レルム V2 を選択します。[基本レルム] 属性では、キャッシングレルムと代替セキュリティレルム (この場合は LDAP レルム V2) の関連付けを定義します。
[ドメイン] ノードを展開します。
[セキュリティ｜ファイルレルム] タブを選択します。>
[キャッシングレルム] 属性で、LDAP レルム V2 で使用するキャッシングレルムの名前を選択します。コンフィグレーション済みのキャッシングレルムのリストがプルダウンメニューに表示されます。
WebLogic Server を再起動します。

属性	説明
[名前]	defaultLDAPRealmForNetscapeDirectoryServer などの LDAP レルム V2 の名前。
[レルムクラス名]	LDAP V2 レルムを実装する WebLogic クラスの名前 (weblogic.security.ldaprealmv2. LDAPRealm など)。このクラス名は、WebLogic Server の CLASSPATH に入っている必要がある。
[コンフィグレーション情報]	以下に関して LDAP コンフィグレーションに固有の情報を指定する。 server.host - LDAP サーバのホスト名。 server.port - LDAP サーバがリスンするポート番号。 useSSL - LDAP サーバと WebLogic Server の間の通信を保護するために SSL プロトコルを使用するかどうかを指定する。 SSL を使用する場合は、値を true に設定する。 server.principal - WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザ。 server.credential - WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザのパスワード。 user.dn - ユーザを格納する LDAP ディレクトリ内のツリーの基本 DN。 user.filter - 名前を指定してユーザを検索するための LDAP 検索フィルタ。 group.dn - グループを格納する LDAP ディレクトリ内のツリーの基本 DN。 group.filter - 名前を指定してグループを検索するための LDAP 検索フィルタ。 membership.filter - 特定のグループのメンバを検索するための LDAP 検索フィルタ。サポートされている LDAP サーバ用のサンプル値については、サポートされているサーバのテンプレートを参照。

サポートされているサーバのテンプレート

リスト21-1 からリスト21-4 は、LDAP レルム V2 でサポートされている LDAP サーバのコンフィグレーションに使用するテンプレートです。これらのテンプレートをアプリケーションの config.xml ファイルにそのままコピーします。

警告: 以下のコード例の各行は、1 行で入力する必要があります。コード例はこのマニュアルの幅に合わせて書式が整えられており、その書式に合わせるために分かれている行もあります。このテキストを config.xml ファイルに貼り付ける場合は、コード内で 1 行になるように、分かれた行をつなげてください。

コードリスト 21-1 デフォルトの Netscape Directory Server のテンプレート

<CustomRealmName="defaultLDAPRealmForNetscapeDirectoryServer"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=uid=admin,
ou=Administrators,ou=TopologyManagement,o=NetscapeRoot;
server.credential=*secret*;
user.dn=ou=people,o=beasys.com;
user.filter=(&amp;(uid=%u)(objectclass=person));
group.dn=ou=groups,o=beasys.com;
group.filter=(&amp;(cn=%g)(objectclass=groupofuniquenames));
membership.filter=(&amp;(uniquemember=%M)
   (objectclass=groupofuniquenames));

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

コードリスト 21-2 デフォルトの Microsoft Site Server のテンプレート

<CustomRealmName="defaultLDAPRealmForMicrosoftSiteServer"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=cn=Administrator,ou=Members,
   o=ExampleMembershipDir;
server.credential=*secret*
user.dn=ou=Members, o=ExampleMembershipDir;
user.filter=(&amp;(cn=%u)(objectclass=member)
   (!userAccountControl:1.2.840.113556.1.4.803:=2)));
group.dn=ou=Groups, o=ExampleMembershipDir;
group.filter=(&amp;(cn=%g)(objectclass=mgroup));
membership.scope.depth=1;microsoft.membership.scope=sub;
membership.filter=(|(&amp;(memberobject=%M)
(objectclass=memberof))(&amp;(groupobject=%M)
(objectclass=groupmemberof)));
membership.search=true;

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

コードリスト 21-3 デフォルトの Novell Directory Services のテンプレート

<CustomRealmName="defaultLDAPRealmForNovellDirectoryServices"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=cn=Admin, DC=BEASYS
server.credential= *secret*;
user.dn=ou=people,o=example.com;
user.filter=(&amp;(cn=%u)(objectclass=person));
group.dn=ou=groups,o=example.com;
group.filter=(&amp;(cn=%g)(objectclass=groupofuniquenames));
membership.filter=(&amp;(member=%M)
   (objectclass=groupofuniquenames));"

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

コードリスト 21-4 デフォルトの Open LDAP Directory Services のテンプレート

<CustomRealmName="defaultLDAPRealmForOpenLDAPDirectoryServices"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=cn=Manager, dc=example, dc=com;
server.credential= *secret*;
user.dn=ou=people, dc=example,dc=com;
user.filter=(&amp;(uid=%u)(objectclass=person));
group.dn=ou=groups,dc=example,c=com;
group.filter=(&amp;(cn=%g)(objectclass=groupofuniquenames));
membership.filter=(&amp;(uniquemember=%M)     (objectclass=groupofuniquenames));"

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

LDAP V2 セキュリティレルムへのメモの追加

選択した LDAP サーバのコンフィグレーションウィンドウの [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm の Windows NT セキュリティレルムのコンフィグレーション

Windows NT セキュリティレルムでは、Windows NT ドメイン向けに定義されたアカウント情報を使用して、ユーザとグループを認証します。 Windows NT セキュリティレルムのユーザおよびグループは Administration Console を使用して参照できますが、ユーザおよびグループの管理には Windows NT で提供される機能を使用する必要があります。

Windows NT セキュリティレルムでは、(ユーザとグループの) 認証は行えますが、(ACL の) 認可を行うことはできません。 WebLogic Server が使用する filerealm.properties ファイル内の ACL 情報を更新するには、ACL を変更した後に、[セキュリティ] ノードの [一般] タブの [更新] をクリックします。ACL でグループを使用する場合は、WebLogic Server の情報を更新する回数を減らします。Windows NT グループのメンバーを変更すると、WebLogic Server リソースへの個々のユーザのアクセスを動的に管理できます。

Windows NT セキュリティレルムを使用して、Windows 2000 Active Directory プライマリドメインコントローラに照らし合わせて認証することは可能です。ただし、ドメインコントローラ自体ではなく、ドメインのメンバーとなっているマシンから認証を行う必要があります。Windows NT セキュリティレルムを実行するマシンが別のドメインのメンバーの場合、ローカルのユーザおよびグループストアを認証する方法はありません。

Windows NT セキュリティレルムは、プライマリドメインコントローラ、Windows NT ドメインのメンバーとなっているマシン、またはその Windows NT ドメインのメンバーとなっており、相互に信頼されたドメインを使用するマシンで実行可能です。

Windows NT セキュリティレルムを使用するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[レルム] ノードを展開します。
[新しい NT Realm のコンフィグレーション] リンクをクリックします。
Windows NT レルムの名前と Windows NT ドメインが動作するコンピュータの名前を定義する属性を [NT レルム] --> [コンフィグレーション] タブで設定します。
[作成] をクリックします。
キャッシングレルムをコンフィグレーションします。詳細については、CompatibilityRealm のキャッシングレルムのコンフィグレーションを参照してください。

キャッシングレルムをコンフィグレーションする場合は、[一般] タブの [基本レルム] 属性のプルダウンメニューから Windows NT セキュリティレルムを選択します。[基本レルム] 属性では、キャッシングレルムと代替セキュリティレルム (この場合は Windows NT セキュリティレルム) 間の関連付けを定義します。
[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[ファイルレルム] タブをクリックします。
[キャッシングレルム] 属性で、Windows NT セキュリティレルムと使用するキャッシングレルムの名前を選択します。コンフィグレーション済みのキャッシングレルムのリストがプルダウンメニューに表示されます。
WebLogic Server を再起動します。

次のコマンドを使用して、指定された Windows NT ユーザとして WebLogic Server を実行するための正しい特権を持っていることを確認します。

java weblogic.security.ntrealm.NTRealm username password

username と password は、WebLogic Server を実行する Windows NT アカウントのユーザ名とパスワードです。

このコマンドの出力によって、指定されたユーザ名とパスワードが適切に認証されたかどうかわかります。

表 21-2 Windows NT 認証の検証

コマンドの出力	意味
auth?poppy	入力されたユーザ名とパスワードは正しく認証された。
auth?null	入力されたユーザ名とパスワードは正しく認証されなかった。

テストの結果、WebLogic Server を実行するクライアントまたはユーザが Windows NT セキュリティレルムを実行する特権を持っていないことがわかった場合、WebLogic Server を実行する Windows ユーザのパーミッション (権利と呼ばれる) を更新する必要があります。詳細については、Windows NT と Windows 2000 のユーザパーミッションの更新を参照してください。

Windows NT と Windows 2000 のユーザパーミッションの更新

Windows NT で権利を更新するには、次の手順に従います。

[スタート] メニューから [プログラム｜管理ツール] を選択します。
[ユーザーマネージャ] を選択します。
[原則] メニューから [ユーザーの権利] オプションを選択します。
[高度なユーザー権利の表示] オプションをチェックします。
WebLogic Server を実行する Windows ユーザに次の権利を付与します。
- [オペレーティングシステムの一部として機能]
- [トークンオブジェクトの作成]
- [プロセスレベルトークンの置き換え]
WebLogic Server を実行する Windows ユーザが Administrators グループのメンバーであることを確認します。
Windows NT を再起動して、すべての変更を有効にします。
[Logon as System Account] オプションがチェックされていることを確認します。[Allow System to Interact with Desktop] オプションをチェックする必要はありません。Windows NT セキュリティレルムを特定の Windows NT ユーザアカウントで実行することはできません。

Windows 2000 で権利を更新するには、次の手順に従います。

[スタート] メニューから [プログラム｜管理ツール] を選択します。
[ローカルセキュリティポリシー] を選択します。
[ローカルポリシー｜ユーザー権利の割り当て] を選択します。
WebLogic Server を実行する Windows ユーザに次の権利を付与します。
- [オペレーティングシステムの一部として機能]
- [トークンオブジェクトの作成]
- [プロセスレベルトークンの置き換え]
WebLogic Server を実行する Windows ユーザが Administrators グループのメンバーであることを確認します。
Windows 2000 を再起動して、すべての変更を有効にします。
[Logon as System Account] オプションがチェックされていることを確認します。[Allow System to Interact with Desktop] オプションをチェックする必要はありません。Windows NT セキュリティレルムを特定の Windows NT ユーザアカウントで実行することはできません。

Windows NT セキュリティレルムを使用する場合に発生する Windows NT の一般的なエラーを以下に示します。

表 21-3 Windows NT のエラーコード

エラーコード	意味
1326	セキュリティレルムを実行するホストマシンは、プライマリドメインコントローラとの信頼が確立されていない。ホストマシンがドメインのメンバーになっていないか、ドメインがホストマシンを信頼していない可能性がある。
53	プライマリドメインコントローラのパスが見つからなかったことを示すネットワークエラーが発生した。このエラーは、ドメイン名が間違っている場合、またはプライマリドメインコントローラのホスト名ではなく、ドメイン名が指定されている場合に発生する。

Windows NT のエラーコードについては、winerror.h ファイルで詳しく説明されています。

Windows セキュリティレルムへのメモの追加

[コンフィグレーション] タブの下の [NT レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm の UNIX セキュリティレルムのコンフィグレーション

注意: UNIX セキュリティレルムは、Solaris および Linux プラットフォーム上でのみ動作します。

UNIX セキュリティレルムでは、wlauth という小さなネイティブプログラムを実行して、ユーザとグループをルックアップしたり、UNIX ログイン名とパスワードに基づいてユーザを認証したりします。 wlauth プログラムは、Pluggable Authentication Modules (PAM) を使用します。これにより、オペレーティングシステムの認証サービスを、このサービスを使用するアプリケーションを変更することなくコンフィグレーションできます。

ACL を変更したら、[セキュリティ] の [一般] タブの [更新] をクリックして、WebLogic Server が使用する filerealm.properties ファイル内の情報を更新します。ACL でグループを使用する場合は、WebLogic Server の情報を更新する回数を減らします。UNIX グループのメンバーを変更すると、WebLogic Server リソースへの個々のユーザのアクセスを動的に管理できます。

wlauth は、setuid root を実行します。wlauth プログラムの所有権とファイル属性を変更し、wlauth の PAM コンフィグレーションファイルの設定を行うには、ルートパーミッションが必要です。

UNIX セキュリティレルム用の wlauth プログラムを設定するには、次の手順に従います。

WebLogic Server がネットワークドライブにインストールされている場合、WebLogic Server を実行するコンピュータ上のファイルシステム (たとえば /usr/sbin ディレクトリ) に wlauth ファイルをコピーします。 The wlauth ファイルは、weblogic/lib/arch ディレクトリにあります。arch は使用しているプラットフォームの名前を示します。
root ユーザとして次のコマンドを実行して、wlauth のオーナとパーミッションを変更します。
```
  # chown root wlauth
  # chmod +xs wlauth
```

wlauth. の PAM コンフィグレーションを設定します。

Solaris の場合には、/etc/pam.conf ファイルに以下の行を追加します。 # Solaris マシンでの WebLogic 認証の設定 # wlauth auth required /usr/lib/security/pam_unix.so.1 wlauth password required /usr/lib/security/pam_unix.so.1 wlauth account required /usr/lib/security/pam_unix.so.1
Linux の場合には、次の内容の /etc/pam.d/wlauth というファイルを作成します。 #%PAM-1.0 # # ファイル名: # /etc/pam.d/wlauth # # シャドウパスワードを使わない場合は、"shadow" を削除 auth required /lib/security/pam_pwdb.so shadow account required /lib/security/pam_pwdb.so

注意: シャドウパスワードを使用しない場合は、shadow を削除します。

UNIX セキュリティレルムをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[レルム] ノードを展開します。
[新しい Unix Realm のコンフィグレーション] リンクをクリックします。
レルムの名前と UNIX セキュリティレルムに認証サービスを提供するプログラムの名前を定義する属性を [Unix レルム] --> [コンフィグレーション] タブで設定します。
[作成] をクリックします。
キャッシングレルムをコンフィグレーションします。詳細については、CompatibilityRealm のキャッシングレルムのコンフィグレーションを参照してください。

キャッシングレルムをコンフィグレーションする場合は、[一般] タブの [基本レルム] 属性のプルダウンメニューから UNIX セキュリティレルムを選択します。[基本レルム] 属性では、キャッシングレルムと代替セキュリティレルム (この場合は UNIX セキュリティレルム) 間の関連付けを定義します。
[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[ファイルレルム] タブをクリックします。
[キャッシングレルム] 属性で、Windows NT セキュリティレルムと使用するキャッシングレルムの名前を選択します。コンフィグレーション済みのキャッシングレルムのリストがプルダウンメニューに表示されます。
WebLogic Server を再起動します。

UNIX セキュリティレルムへのメモの追加

[コンフィグレーション] タブの下の [Unix レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm の RDBMS セキュリティレルムのコンフィグレーション

注意: RDBMS セキュリティレルムの実装で getActiveDomain() メソッドを使用する場合、互換性セキュリティで RDBMS セキュリティレルムを使用できるようにするために、RDBMSDelegate クラスを編集および再コンパイルする必要があります。 getActiveDomain() メソッドを、weblogic.server パッケージの getSecurityConfig() メソッドと置き換えます。

RDBMS セキュリティレルムは BEA 独自のカスタムセキュリティレルムで、ユーザ、グループ、および ACL をリレーショナルデータベースに保存します。データベースに入力する SQL スクリプトを使用すると、RDBMS セキュリティレルムのグループを作成できます。

RDBMS セキュリティレルムをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[一般] タブの属性で、レルムの名前と、RDBMS セキュリティレルムを実装するクラス名前を定義します。
[適用] をクリックして変更を保存します。
[データベース] タブを選択します。データベースに接続するための JDBC ドライバの属性を定義します。
[適用] をクリックして変更を保存します。
[スキーマ] タブをクリックします。ユーザ、グループ、および ACL をデータベースに保存する場合のスキーマを [スキーマプロパティ] ボックスで定義します。

リスト21-5 には、WebLogic Server 付属の RDBMS セキュリティレルムのスキーマプロパティに入力されているデータベース文を示してあります。

コードリスト 21-5 RDBMS セキュリティレルムのサンプルスキーマ

"getGroupNewStatement=true;getUser=SELECT U_NAME, U_PASSWORD FROM users WHERE U_NAME = ?;
getGroupMembers=SELECT GM_GROUP, GM_MEMBER from groupmembers WHERE GM_GROUP = ?;
getAclEntries=SELECT A_NAME, A_PRINCIPAL, A_PERMISSION FROM aclentries WHERE A_NAME = ? ORDER BY A_PRINCIPAL;
getUsers=SELECT U_NAME, U_PASSWORD FROM users;
getGroups=SELECT GM_GROUP, GM_MEMBER FROM groupmembers;
getAcls=SELECT A_NAME, A_PRINCIPAL, A_PERMISSION FROM aclentries ORDER BY A_NAME, A_PRINCIPAL;
getPermissions=SELECT DISTINCT A_PERMISSION FROM aclentries;
getPermission=SELECT DISTINCT A_PERMISSION FROM aclentries WHERE A_PERMISSION = ?;
newUser=INSERT INTO users VALUES ( ? , ? );
addGroupMember=INSERT INTO groupmembers VALUES ( ? , ? );
removeGroupMember=DELETE FROM groupmembers WHERE GM_GROUP = ? AND GM_MEMBER = ?;
deleteUser1=DELETE FROM users WHERE U_NAME = ?;
deleteUser2=DELETE FROM groupmembers WHERE GM_MEMBER = ?;
deleteUser3=DELETE FROM aclentries WHERE A_PRINCIPAL = ?;
deleteGroup1=DELETE FROM groupmembers WHERE GM_GROUP = ?;
deleteGroup2=DELETE FROM aclentries WHERE A_PRINCIPAL = ?"

[適用] をクリックして変更を保存します。
キャッシングレルムをコンフィグレーションします。詳細については、CompatibilityRealm のキャッシングレルムのコンフィグレーションを参照してください。

キャッシングレルムをコンフィグレーションする場合は、[一般] タブの [基本レルム] 属性のプルダウンメニューから RDBMS セキュリティレルムを選択します。[基本レルム] 属性では、キャッシングレルムと代替セキュリティレルム (この場合は RDBMS セキュリティレルム) 間の関連付けを定義します。
[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[ファイルレルム] タブをクリックします。
[キャッシングレルム] 属性で、RDBMS セキュリティレルムと使用するキャッシングレルムの名前を選択します。コンフィグレーション済みのキャッシングレルムのリストがプルダウンメニューに表示されます。
WebLogic Server を再起動します。

RDBMS セキュリティレルムへのメモの追加

[コンフィグレーション] タブの下の [RDBMS レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm のカスタムセキュリティレルムのインストール

ネットワーク上のディレクトリサーバなどの既存のユーザストアからデータを抽出するカスタムセキュリティレルムを作成することができます。カスタムセキュリティレルムを使用するには、weblogic.security.acl.AbstractListableRealm インタフェースまたは weblogic.security.acl.AbstractManageableRealm インタフェースの実装を作成してから、Administration Console を使用してインストールします。

[以前のセキュリティ] ノードを展開します。
[レルム] ノードを展開します。
[新しい Custom Realm のコンフィグレーション] リンクをクリックします。
[カスタムレルム] --> [コンフィグレーション] タブで、カスタムセキュリティレルムの名前を定義する属性を設定し、レルムを実装するインタフェースを指定し、ユーザ、グループ、および ACL (省略可) をカスタムセキュリティレルムに保存する方法を定義します。
[作成] をクリックします。
キャッシングレルムをコンフィグレーションします。詳細については、CompatibilityRealm のキャッシングレルムのコンフィグレーションを参照してください。

キャッシングレルムをコンフィグレーションする場合は、[一般] タブの [基本レルム] 属性のプルダウンメニューからカスタムセキュリティレルムを選択します。[基本レルム] 属性では、キャッシングレルムとカスタムセキュリティレルム間の関連付けを定義します。
[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[ファイルレルム] タブをクリックします。
[キャッシングレルム] 属性で、カスタムセキュリティレルムと使用するキャッシングレルムの名前を選択します。コンフィグレーション済みのキャッシングレルムのリストがプルダウンメニューに表示されます。
WebLogic Server を再起動します。

カスタムセキュリティレルムへのメモの追加

[コンフィグレーション] タブの下の [カスタムレルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

CompatibilityRealm のユーザの定義

注意: この節では、ファイルレルムにユーザを追加する方法について説明します。代替セキュリティレルムを使用する場合、ユーザを定義するにはレルムで提供される管理ツールを使用する必要があります。

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。

[ユーザ] ウィンドウが表示されます。
[ユーザ] ウィンドウの [名前] 属性にユーザの名前を入力します。
[パスワード] 属性にユーザのパスワードを入力します。
パスワードを [パスワードの確認] 属性にもう一度入力します。
[作成] をクリックします。

ユーザの削除

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。

[ユーザ] ウィンドウが表示されます。
[ユーザ] ウィンドウの [ユーザの削除] ボックスにユーザの名前を入力します。
[削除] をクリックします。

ユーザのパスワードの変更

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。

[ユーザ] ウィンドウが表示されます。
[ユーザ] ウィンドウの [名前] 属性にユーザの名前を入力します。
古いパスワードを [古いパスワード] 属性に入力します。
新しいパスワードを [新しいパスワード] 属性に入力します。
確認のため新しいパスワードをもう一度入力します。

ユーザアカウントのロックの解除

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。

[ユーザ] ウィンドウが表示されます。
[ユーザのロックを解除] リンクをクリックします。
ロックを解除するユーザアカウントの名前を [ユーザのロックを解除] フィールドに入力します。
ロックを解除するユーザアカウントがあるサーバを選択します。
[ロック解除] をクリックします。

ゲストユーザの無効化

デプロイメントのセキュリティを考慮して、WebLogic Server では guest アカウントを無効にすることをお勧めします。

[ドメイン] ノードを展開します。
[セキュリティ] タブをクリックします。
[一般] タブをクリックします。
[ゲスト不可] チェックボックスをチェックします。
WebLogic Server を再起動します。

guest アカウントを無効にしても、guest というアカウントにログインできなくなるだけであり、未認証ユーザが WebLogic Server デプロイメントにアクセスすることはできます。

CompatibilityRealm のグループの定義

注意: この節では、ファイルレルムにグループを追加する方法について説明します。代替セキュリティレルムを使用する場合、グループを定義するにはレルムで提供される管理ツールを使用する必要があります。

[以前のセキュリティ] ノードを展開します。
[グループ] をクリックします。
[新しい Group の作成] リンクをクリックします。

[グループ] ウィンドウが表示されます。
[グループ] ウィンドウの [名前] 属性にグループの名前を入力します。グループ名は複数形にすることをお勧めします。たとえば、Administrator ではなく Administrators にします。
[ユーザ] 属性をクリックし、グループに追加する WebLogic Server ユーザを選択します。
[グループ] 属性をクリックし、グループに追加する WebLogic Server グループを選択します。
[適用] をクリックして、新しいグループを作成します。

グループの削除

グループを削除するには、[Group Configuration] ウィンドウの [Remove These Groups] リストボックスにグループ名を入力し、[削除] をクリックします。

CompatibilityRealm の ACL の定義

ACL を作成するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[ACL] タブをクリックします。
[新しい ACL の作成] リンクをクリックします。

[ACL Configuration] ウィンドウが表示されます。
ACL を使用して保護する WebLogic Server リソースの名前を [新しい ACL 名] 属性に指定します。

たとえば、demopool という JDBC 接続プール用の ACL を作成します。
[作成] をクリックします。
[新しい Permission を追加] リンクをクリックします。
リソースのパーミッションを指定します。

リソースに対して設定可能なパーミッションごとに別々の ACL を作成することも、リソースに対するすべてのパーミッションを付与する 1 つの ACL を作成することもできます。たとえば、demopool という JDBC 接続プール用として、reserve、reset、および shrink という 3 つのパーミッションごとに ACL を作成できます。reserve、reset、および shrink パーミッションに関する 1 つの ACL を作成することもできます。
リソースに対して指定したパーミッションを持つ WebLogic ユーザまたはグループを指定します。
[適用] をクリックします。

ユーザアカウントの保護

WebLogic Server には、ユーザアカウントを侵入者から保護するための属性セットが用意されています。デフォルトでは、これらの属性は最高の保護レベルに設定されています。システム管理者は、すべての属性を無効にしたり、アカウントがロックされるまでの無効なログイン試行回数を増やしたり、ユーザアカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザアカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティレベルが低下して攻撃を受けやすくなることに注意してください。

WebLogic Server ドメインのユーザアカウントを保護するには、次の手順に従います。

[ドメイン] ノードをクリックします。
[セキュリティ｜パスワード] タブを選択します。>
指示に従って値を入力するか、必要なチェックボックスを選択することで、このタブの属性を設定します。
[適用] をクリックして選択を保存します。
WebLogic Server を再起動します。

ユーザアカウントを保護するための属性セットには、ドメインで設定するものとセキュリティレルムで設定するものがあります。いずれかの属性セット (たとえばセキュリティレルムの属性) を設定し、一方の値が他方の値を超えた場合、ユーザアカウントはロックされないことに注意してください。これは、ドメインで設定するユーザアカウントの属性がセキュリティレルムで設定するユーザアカウントの属性をオーバライドするからです。こうした状況を避けるには、セキュリティレルムで設定するユーザアカウントの属性を無効にします。

セキュリティレルムで設定するユーザアカウントの属性を無効にするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。>
[CompatibilityRealm] ノードを展開します。
[ユーザロックアウト] タブを選択します。
[ロックアウト有効化] 属性のチェックをはずします。
[適用] をクリックします。
WebLogic Server を再起動します。

警告: セキュリティレルムのユーザアカウントの属性を無効にする場合は、ドメインでユーザアカウントの属性を設定しないと、ユーザアカウントが保護されません。