デフォルトセキュリティコンフィグレーションのカスタマイズ

ドキュメントのダウンロード

サイトマップ

Glossary

検索

e-docs > WebLogic Server > WebLogic Security の管理 > デフォルトセキュリティコンフィグレーションのカスタマイズ

WebLogic Security の管理

デフォルトセキュリティコンフィグレーションのカスタマイズ

以下の節では、デフォルトセキュリティレルムのカスタマイズおよび新しいセキュリティレルムの作成について説明します。また、セキュリティレルムをデフォルト (アクティブ) セキュリティレルムとして設定する方法についても説明します。

デフォルトセキュリティコンフィグレーションをカスタマイズする理由

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティコンフィグレーションが用意されています。デフォルトセキュリティコンフィグレーションでは、myrealm がデフォルト (アクティブ) セキュリティレルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロールマッピングの各プロバイダがセキュリティプロバイダとして定義されています。デフォルトセキュリティコンフィグレーションは、以下の場合にカスタマイズします。

WebLogic セキュリティプロバイダの 1 つをカスタムセキュリティプロバイダに置き換える
デフォルトセキュリティレルムに別のセキュリティプロバイダをコンフィグレーションする (たとえば、2 つの認証プロバイダを使用し、その 1 つで組み込み LDAP サーバを使用し、もう 1 つで既存のユーザおよびグループストアを使用する場合)
組み込み LDAP サーバ以外の LDAP サーバにアクセスする認証プロバイダを使用する
WebLogic 認証プロバイダにユーザとグループを定義する代わりに、既存のユーザおよびグループストアを使用する
デフォルトセキュリティレルムに監査プロバイダを追加する
デフォルトセキュリティレルムに WebLogic キーストアプロバイダを追加する。この場合には、JKS キーストアを作成してから、そのキーストアにアクセスする WebLogic キーストアプロバイダをコンフィグレーションします。
互換性セキュリティからこのリリースの WebLogic Server セキュリティプロバイダにアップグレードする
セキュリティプロバイダの属性のデフォルト設定を変更する。詳細については、セキュリティプロバイダのコンフィグレーションを参照してください。

デフォルトセキュリティコンフィグレーションをカスタマイズする最も簡単な方法は、デフォルトセキュリティレルム (myrealm) に目的のセキュリティプロバイダを追加することです。セキュリティレルム内の別のタイプのセキュリティプロバイダのコンフィグレーションについては、セキュリティプロバイダのコンフィグレーションを参照してください。

しかし、新しいセキュリティレルムを作成し、そのセキュリティレルムでセキュリティプロバイダをコンフィグレーションし、その新しいセキュリティレルムをデフォルトセキュリティレルムとして設定することもできます。セキュリティコンフィグレーションをアップグレードする場合は、この方法をお勧めします。

以降の節では、新しいセキュリティレルムを作成し、そのセキュリティレルムをデフォルト (アクティブ) セキュリティレルムとして設定する方法について説明します。

新しいセキュリティレルムの作成

新しいセキュリティレルムを作成するには、次の手順に従います。

[セキュリティ] ノードを展開します。
[レルム] ノードを展開します。

WebLogic ドメインで使用可能なすべてのセキュリティレルムが [レルム] テーブルに表示されます。
[新しい Realm のコンフィグレーション] リンクをクリックします。
[一般] タブの [名前] 属性に新しいセキュリティレルムの名前を入力します。
パフォーマンスを制御するには、WebLogic Security サービスがセキュリティチェックを実行する方法を指定します。

[ロールとポリシーのチェック対象] の設定値は、以下のように指定します。
- [デプロイメント記述子で保護された Web アプリケーションと EJB] オプションでは、WebLogic Security サービスが、関連のデプロイメント記述子 (ejb-jar.xml、weblogic-ejb-jar.xml、web.xml、および weblogic.xml ファイル) でセキュリティを指定されている URL (Web) および EJB リソースに対してのみセキュリティチェックを実行することを指定する。これはデフォルト値です。
- [すべての Web アプリケーションと EJB] オプションでは、WebLogic Security サービスがすべての URL (Web) および EJB リソースに対して、これらの WebLogic リソースのデプロイメント記述子にセキュリティ設定があるかどうかに関係なく、セキュリティチェックを実行することを指定する。このオプションを選択すると、Web アプリケーションまたは EJB モジュールが再デプロイされたときに WebLogic Security サービスが実行する処理も指定する必要があります。詳細については、手順 6 を参照してください。
注意: WebLogic Server 7.0 SP3 より前は、WebLogic Security サービスがセキュリティチェックを実行する方法を、fullyDelegateAuthorzation コマンドライン引数を使用して指定する必要がありました。詳細については、『WebLogic リソースのセキュリティ』の「fullyDelegateAuthorization フラグについて」を参照してください。
URL (Web) および EJB リソースの保護に使用する方法を指定します。

[デプロイメント記述子のセキュリティ動作] 設定の値は、以下のように指定します。
- デプロイメント記述子 (ejb-jar.xml、weblogic-ejb-jar.xml、web.xml、および weblogic.xml ファイル) のみを使用して URL (Web) と EJB リソースを保護するには、[デプロイメント記述子からセキュリティを取得] オプションを選択する。『WebLogic Security プログラマーズガイド』の「Web アプリケーションでの宣言によるセキュリティの使用」および「EJB での宣言によるセキュリティの使用」を参照してください。
- WebLogic Server Administration Console のみを使用して URL および EJB リソースを保護するには、[デプロイメント記述子内のセキュリティデータを無視] オプションを選択して、『WebLogic リソースの保護』で説明されている、Web アプリケーションおよび EJB を保護するための手順に従う。
警告: [デプロイメント記述子のセキュリティ動作] 設定値の切り替えは危険であり、セキュリティコンフィグレーションが不適切になったり失われたりする場合があります。この設定の値を指定する前に、『WebLogic リソースのセキュリティ』の「URL リソースおよび EJB リソースを保護する方法」を必ず読んでください。
セキュリティレルムの資格マッピングプロバイダが WebLogic Server Administration Console で作成された資格マップのみを使用することを指定するには、[デプロイの資格マッピングを無視] のデプロイメント記述子設定をチェックします。デフォルトでは、この属性はチェックされていません。つまり、資格マッピングプロバイダは、weblogic-ra.xml デプロイメント記述子ファイルに指定されている資格マップをロードします。
Web リソースは、このリリースの WebLogic Server では非推奨になっています。URL リソースの代わりに Web リソースを使用するカスタム認可プロバイダを新しいセキュリティレルムでコンフィグレーションする場合は、[非推奨の Web リソースを使用] 属性を有効にします。この属性により、サーブレットコンテナの実行時の動作が、認可を処理するときに URL リソースではなく Web リソースを使用するように変更されます。
[作成] をクリックします。
セキュリティレルムで必須のセキュリティプロバイダをコンフィグレーションします。セキュリティレルムが有効となるには、認証、認可、裁決、資格マッピング、およびロールマッピングの各プロバイダをコンフィグレーションする必要があります。コンフィグレーションしないと、新しいセキュリティレルムをデフォルトセキュリティレルムとして設定することができません。詳細については、セキュリティプロバイダのコンフィグレーションを参照してください。
必要に応じて、ID アサーション、キーストア、および監査プロバイダを定義します。詳細については、セキュリティプロバイダのコンフィグレーションを参照してください。
新しいセキュリティレルムで WebLogic 認証、認可、資格マッピング、またはロールマッピングのいずれかのプロバイダをコンフィグレーションした場合は、組み込み LDAP サーバの属性のデフォルト設定を確認します。詳細については、組み込み LDAP サーバの管理を参照してください。
セキュリティポリシーを使用して新しいセキュリティレルム内の WebLogic リソースを保護します。セキュリティポリシーの作成は、多くのオプションを用いる複数の手順からなるプロセスです。このプロセスの詳細については、『WebLogic リソースのセキュリティ』を参照してください。 WebLogic Server デプロイメントのセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic Security の管理』を合わせて利用してください。
新しいセキュリティレルム内のユーザアカウントを保護します。詳細については、ユーザアカウントの保護を参照してください。
新しいセキュリティレルムを WebLogic ドメインのデフォルトセキュリティレルムとして設定します。詳細については、新しいセキュリティレルムをデフォルト (アクティブ) セキュリティレルムとして設定するを参照してください。
WebLogic Server を再起動します。

新しいセキュリティレルムをデフォルト (アクティブ) セキュリティレルムとして設定する

新しいセキュリティレルムの属性を定義し、そのセキュリティレルムのセキュリティプロバイダをコンフィグレーションしたら、そのセキュリティレルムをデフォルト (アクティブ) セキュリティレルムとして設定します。

新しいセキュリティレルムをデフォルト (アクティブ) セキュリティレルムとして設定するには、次の手順に従います。

[ドメイン] ノード (examples など) を展開します。
[セキュリティ] タブをクリックします。
[一般] タブを選択します。

[デフォルトレルム] 属性のプルダウンメニューに、WebLogic Server ドメインにコンフィグレーションされているセキュリティレルムが表示されます。

注意: 新しいセキュリティレルムを作成し、そのセキュリティレルムに最小限の必須セキュリティプロバイダをコンフィグレーションしていない場合、そのレルムはプルダウンメニューに表示されません。
デフォルトセキュリティレルムに設定するセキュリティレルムを選択します。
[適用] をクリックします。
WebLogic Server を再起動します。WebLogic Server を再起動しない場合、新しいレルムはデフォルトセキュリティレルムに設定されません。

デフォルトセキュリティレルムを設定したことを確認するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。

[レルム] テーブルに、WebLogic Server ドメインにコンフィグレーションされているすべてのレルムが表示されます。デフォルト (アクティブ) セキュリティレルムには、[デフォルトレルム] 属性が true に設定されています。

セキュリティレルムの削除

セキュリティレルムを削除する場合、ユーザ、グループ、セキュリティロール、セキュリティポリシー、および資格マップ情報は組み込み LDAP サーバから削除されません。組み込み LDAP サーバから不要なエントリを削除するには、外部 LDAP ブラウザを使用します。詳細については、LDAP ブラウザによる組み込み LDAP サーバの内容の表示を参照してください。

セキュリティレルムを削除するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。

[レルム] テーブルに、WebLogic ドメインにコンフィグレーションされているすべてのレルムが表示されます。
削除するセキュリティレルムの行にあるごみ箱アイコンをクリックします。
[はい] をクリックして次の質問に応答します。

ドメインコンフィグレーションから OldRealm を本当に削除しますか?

セキュリティレルムが削除されると、確認メッセージが表示されます。

以前のセキュリティコンフィグレーションに戻す

新しいセキュリティレルムやセキュリティプロバイダのコンフィグレーションを間違えるのは珍しいことではありません。コンフィグレーションの間違いによって、サーバを起動できなくなったり、間違いを修正できなくなったりすることがあります。直前のセキュリティコンフィグレーションに戻すには、次のコマンドライン引数を使用します。

-Dweblogic.safeCommoBoot=true