BEA ホーム | 製品 | dev2dev | support | askBEA
 ドキュメントのダウンロード   サイト マップ   Glossary 
検索
e-docs > WebLogic Server > WebLogic Security の管理 > ユーザ アカウントの保護

WebLogic Security の管理

 Previous Next Contents PDF で侮ヲ  

ユーザ アカウントの保護

以下の節では、ユーザ アカウントを保護する方法とユーザ アカウントのロックを解除する方法について説明します。

注意: 互換性セキュリティでユーザ アカウントを保護する方法については、互換性セキュリティでのユーザ アカウントの保護を参照してください。

 

パスワードの保護

WebLogic Server ドメイン内のリソースにアクセスするためのパスワードを保護することは重要です。 ユーザ名とパスワードは以前、WebLogic セキュリティ レルムにクリア テキストで保存されていました。 現在、WebLogic Server ドメイン内のすべてのパスワードはハッシュ化されます。 SerializedSystemIni.dat ファイルには、パスワード用のハッシュが入っています。 このファイルは特定の WebLogic Server ドメインに関連付けられているので、ドメイン間で移動することはできません。

SerializedSystemIni.dat ファイルが破損した場合は、WebLogic Server ドメインを再コンフィグレーションしなければなりません。 したがって、以下の予防措置をとってください。

 

ユーザ アカウントのロックアウト属性の設定

WebLogic Server には、ユーザ アカウントを侵入者から保護するための属性セットが定義されています。 デフォルト セキュリティ コンフィグレーションでは、これらの属性は最高の保護レベルに設定されています。 新しいセキュリティ レルムを作成する場合は、これらの属性を定義する必要があります。

システム管理者は、すべての属性を無効にしたり、アカウントがロックされるまでの無効なログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。

ユーザ ロックアウトの属性を設定するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。

  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。

  3. [ユーザ ロックアウト] タブをクリックします。

  4. 指示に従って値を入力したり、必要なチェックボックスをチェックしたりすることで、このタブで必要な属性を定義します (詳細については次の表を参照してください)。

    ユーザ アカウントがこれらの属性値を超えた場合、そのアカウントはロックされ、[ユーザ] タブのテーブルのそのアカウントの行に [詳細] という文字列が表示されます。 詳細については、ユーザ アカウントのロック解除を参照してください。

  5. 変更を保存するには、[適用] をクリックします。

  6. WebLogic Server を再起動します。

次の表では、[ユーザ ロックアウト] タブの各属性について説明します。

表7-1 ユーザ ロックアウトの属性

属性

説明

[ロックアウト有効化]

ユーザ アカウントへの無効なログインが指定された [ロックアウトしきい値] を超えたときにそのユーザ アカウントのロックを要求する。デフォルトで、この属性は有効。

[ロックアウトしきい値]

アカウントがロックされるまでに許容されるユーザ パスワードの入力回数。この回数を超えてログインを試みると、(ユーザ名/パスワードの組み合わせが正しい場合でも) セキュリティ例外が発生して、アカウントがロックアウトされる。システム管理者が明示的にロックを解除するか、またはロックアウト遅延時間が終了するまで、アカウントはロックアウトされたままとなる。ただし、無効なログインが [ロックアウト リセット遅延] 属性で定義された時間内に繰り返された場合。デフォルトでは 5。

[ロックアウト遅延]

[ロックアウト リセット遅延] 属性で定義された時間内に無効なログインが一定回数以上繰り返されたためにユーザ アカウントがロックされた後、ユーザ アカウントにアクセスできるようになるまでの時間 (分単位)。デフォルトでは 30 分。

[ロックアウト リセット遅延]

ここで指定した分単位の時間内に一定回数以上の無効なログインが試みられた場合に、ユーザのアカウントをロックする。

Lockout Threshold 属性に定義された無効なログインの試行回数が、この属性で定義された時間内に行われた場合、アカウントはロックされる。たとえば、[ロックアウト リセット遅延] の値が 5 分、[ロックアウト遅延] の値が 3 で、6 分間に 3 回の無効なログインが試行された場合、アカウントはロックされない。しかし、5 分以内に 5 回の無効なログインが繰り返された場合、アカウントはロックされる。

デフォルトでは 5 分。

[ロックアウト キャッシュ サイズ]

試行しなかったログインと試行した無効なログインのキャッシュ サイズを指定する。デフォルトでは 5。

[ロックアウト GC しきい値]

サーバがメモリ内に保存する無効ログイン レコードの最大数。現在の無効ログイン レコードの数がこの属性値と同じかそれを超過すると、期限切れとなったレコードがサーバのガベージ コレクションによって削除される。レコードは、それに関連付けられているユーザがロック アウトされたときに期限切れとなる。デフォルトは 400 レコード。

 

注意: [ユーザ ロックアウト] 属性は、セキュリティ レルムとそのすべてのセキュリティ プロバイダに適用されます。ユーザ アカウントを保護する独自のメカニズムを備えた認証プロバイダを使用する場合は、[ロックアウト有効化] 属性を無効化します。

ユーザ アカウントがロックされたためそのユーザ アカウントを削除して、同じ名前とパスワードを持つ別のユーザ アカウントを追加しても、UserLockout 属性がリセットされません。

 

ユーザ アカウントのロック解除

ユーザ アカウントのロックを解除するには、次の手順に従います。

  1. [ユーザ] タブのテーブルの [詳細] リンクをクリックします。

    [詳細] タブには、ユーザがロック アウトされたときに発生したイベントの説明が表示されます。

  2. [ロック解除] をクリックします。

 

Back to Top Previous Next