互換性セキュリティの使い方
次の節では、互換性セキュリティをコンフィグレーションする方法について説明します。
注意: 互換性セキュリティは、このリリースの WebLogic Server では非推奨になっています。互換性セキュリティは、WebLogic Server デプロイメントをこのリリースの WebLogic Server のセキュリティ機能にアップグレードするときにのみ使用してください。
互換性セキュリティの実行 : 主な手順
互換性セキュリティを設定するには、次の手順に従います。
- 互換性セキュリティを使用する前に、6.x の WebLogic ドメイン (config.xml ファイルを含む) をバックアップします。互換性セキュリティを起動するためのサンプル config.xml ファイルについては、『BEA WebLogic Server 7.0 へのアップグレード』の「互換性セキュリティでの WebLogic Server の起動」を参照してください。
- 6.x config.xml ファイルに以下を追加します。
<Security Name="mydomain" Realm="mysecurity"/>
<Realm Name="mysecurity" FileRealm="myrealm"/>
<FileRealm Name="myrealm"/>
- WebLogic Server 7.0 を新しいディレクトリにインストールします。既存の 6.x インストール ディレクトリに上書きしないでください。詳細については、『インストール ガイド』を参照してください。
- 6.x サーバの起動スクリプトを、WebLogic Server 7.0 を指すよう修正します。具体的には、次のとおり修正します。
- クラスパスが WebLogic Server 7.0 の weblogic.jar ファイルを指すようにする
- JAVA_HOME 変数が WebLogic Server 7.0 を指すようにする
- 6.x サーバの起動スクリプトを使用して WebLogic Server を起動します。
互換性セキュリティを適切に実行しているかどうかを検証するには、次の手順に従います。
- WebLogic Server Administration Console で [ドメイン] ノードを開きます。
- WebLogic Server ドメイン (以下「ドメイン」) をクリックします。
- [ドメイン ログの表示] リンクをクリックします。
次のメッセージがログに表示されます。
Security initializing using realm CompatibilityRealm
また、[CompatibilitySecurity] ノードが WebLogic Server Administration Console に表示されます。
CompatibilityRealm のデフォルト セキュリティ コンフィグレーション
デフォルトでは、CompatibilityRealm は、レルム アダプタ裁決プロバイダ、レルム アダプタ認証プロバイダ、WebLogic 認可プロバイダ、レルム アダプタ認可プロバイダ、WebLogic 資格マッピング プロバイダ、および WebLogic ロール マッピング プロバイダでコンフィグレーションされています。
- CompatibilityRealm では、レルム アダプタ認証プロバイダが、config.xml ファイルに定義されている 6.x セキュリティ レルムからユーザとグループを取得する。
- 6.x セキュリティのコンフィグレーションでファイル レルムを使用していた場合、WebLogic Server Administration Console の互換性セキュリティ オンライン ヘルプにおける「CompatibilityRealm でのユーザの定義」および「CompatibilityRealm でのグループの定義」に記載の手順を実行することで、レルム アダプタ認証プロバイダ内のユーザおよびグループを管理できる。
- 代替セキュリティ レルム (LDAP、Windows NT、RDBMS、またはカスタム) を使用している場合、ユーザとグループを管理するには、そのレルムで用意されている管理ツールを使用する必要がある。
Windows NT、RDBMS、UNIX、またはカスタム セキュリティ レルムに格納されているユーザおよびグループの数が多く、WebLogic、LDAP、またはカスタム認証プロバイダにアップグレードしたい場合、新しいセキュリティ レルムでレルム アダプタ認証プロバイダをコンフィグレーションすると、既存の 6.x のストアにアクセスできます。
注意: レルム アダプタ認証プロバイダは、CompatibiltyRealm 以外のレルムでコンフィグレーション可能な唯一のレルム アダプタ プロバイダです。
レルム アダプタ認証プロバイダのコンフィグレーションの詳細については、レルム アダプタ認証プロバイダのコンフィグレーションを参照してください。
レルム アダプタ認証プロバイダで ID アサーション プロバイダをコンフィグレーションすると、互換性セキュリティで weblogic.security.acl.CertAuthenticator クラスの実装を使用できます。詳細については、レルム アダプタ認証プロバイダでの ID アサーション プロバイダのコンフィグレーションを参照してください。
- 6.x セキュリティ レルムのアクセス制御リスト (ACL) は、レルム アダプタ認可プロバイダに格納される。
- レルム アダプタ認可プロバイダを使用すると、互換性セキュリティで ACL を使用することも、セキュリティ ロールおよびセキュリティ ポリシーを使用することもできる。レルム アダプタ裁決プロバイダは、ACL と、WebLogic Server Administration Console で設定した新しいセキュリティ ポリシーとのアクセス決定の衝突を解決します。
- WebLogic 資格マッピング プロバイダを使用すると、互換性セキュリティで資格マップを使用できる。
- レルム アダプタ監査プロバイダを追加すると、CompatibilityRealm から weblogic.security.audit.AuditProvider クラスの実装にアクセスできる。
レルム アダプタ認証プロバイダでの ID アサーション プロバイダのコンフィグレーション
レルム アダプタ認証プロバイダには、ID アサーション プロバイダが含まれています。ID アサーション プロバイダは、weblogic.security.acl.CertAuthenticator クラスの実装に下位互換性を提供します。ID アサーションは X.509 トークンに関して実行されます。デフォルトでは、ID アサーション プロバイダはレルム アダプタ認証プロバイダで有効になっていません。
レルム アダプタ認証プロバイダで ID アサーションを有効にするには、次の手順に従います。
- [セキュリティ|レルム] ノードを展開します。
- [CompatibilityRealm] をクリックします。
- [プロバイダ] ノードを展開します。
- [認証プロバイダ] をクリックします。
- [レルム] テーブルの [Realm Adapter Authenticator] リンクをクリックします。
[一般] タブが表示されます。
- [アクティブ タイプ] リスト ボックスに X.509 と入力します。
この手順によって、6.x 証明書認証プロバイダを使用できるようになります。
- [適用] をクリックします。
- WebLogic Server を再起動します。
レルム アダプタ監査プロバイダのコンフィグレーション
レルム アダプタ監査プロバイダを利用すれば、互換性セキュリティを使用する場合に weblogic.security.audit.AuditProvider クラスの実装を使用できるようになります。レルム アダプタ監査プロバイダが正しく動作するためには、weblogic.security.audit.AuditProvider クラスの実装が、[ドメイン|セキュリティ|一般] タブの [監査プロバイダ クラス] 属性に定義されている必要があります。
レルム アダプタ監査プロバイダをコンフィグレーションするには、次の手順に従います。
- [以前のセキュリティ|レルム] ノードを展開します。
- [プロバイダ] ノードを展開します。
- [監査] をクリックします。
- [Realm Adapter Auditor のコンフィグレーション] リンクをクリックします。
[一般] タブが表示されます。
- [作成] をクリックして変更を保存します。
- WebLogic Server を再起動します。
互換性セキュリティでのユーザ アカウントの保護
WebLogic Server には、ユーザ アカウントを侵入者から保護するための属性セットが用意されています。デフォルトでは、これらの属性は最高の保護レベルに設定されています。システム管理者は、すべての属性を無効にしたり、アカウントがロックされるまでの無効なログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。
WebLogic Server ドメインのユーザ アカウントを保護するには、次の手順に従います。
- [ドメイン] ノードをクリックします。
- [セキュリティ|パスワード] タブを選択します。
- 指示に従って値を入力したり、必要なチェックボックスをチェックしたりすることで、このタブで必要な属性を定義します (詳細については次の表を参照してください)。
- [適用] をクリックして選択を保存します。
- WebLogic Server を再起動します。
次の表では、[パスワード] タブの各属性について説明します。
表9-1 パスワード保護の属性
属性
|
説明
|
[最小パスワード文字数]
|
パスワードに必要な文字数。パスワードは 8 文字以上でなければならない。デフォルトでは 8。
|
[ロックアウト有効化]
|
ユーザ アカウントへの無効なログインが指定された [ロックアウトしきい値] を超えたときにそのユーザ アカウントのロックを要求する。デフォルトで、この属性は有効。
|
[ロックアウトしきい値]
|
アカウントにログインしようとする場合に、アカウントがロックアウトされるまでにユーザが間違ったパスワードを入力してもよい回数。この回数を超えてログインを試みると、(ユーザ名/パスワードの組み合わせが正しい場合でも) セキュリティ例外が発生して、アカウントがロックアウトされる。システム管理者が明示的にロックを解除するか、またはロックアウト遅延時間が終了するまで、アカウントはロックアウトされたままとなる。ただし、無効なログインが [ロックアウト リセット遅延] 属性で定義された時間内に繰り返された場合。デフォルトでは 5。
|
[ロックアウト遅延]
|
[ロックアウト リセット遅延] 属性で定義された時間内に無効なログインが一定回数以上繰り返されたためにユーザ アカウントがロックされた後、ユーザ アカウントにアクセスできるようになるまでの時間 (分単位)。ユーザ アカウントをロック解除するには、weblogic.passwordpolicy の unlockuser パーミッションが必要。デフォルトでは 30 分。
|
[ロックアウト リセット遅延]
|
ここで指定した分単位の時間内に一定回数以上の無効なログインが試みられた場合に、ユーザのアカウントをロックする。
[ロックアウトしきい値] 属性で定義された無効なログインの試行回数が、この属性に定義された時間内に行われた場合、アカウントはロックアウトされる。たとえば、この属性の値が 5 分で、6 分間に 3 回ログインが失敗した場合、アカウントはロックされない。しかし、5 分以内に 5 回の無効なログインが繰り返された場合、アカウントはロックされる。
デフォルトでは 5 分。
|
[ロックアウト キャッシュ サイズ]
|
試行しなかったログインと試行した無効なログインのキャッシュ サイズを指定する。デフォルトでは 5。
|
ユーザ アカウントを保護するための属性セットには、ドメインで設定するものとセキュリティ レルムで設定するものがあります。いずれかの属性セット (たとえばセキュリティ レルムの属性) を設定し、一方の値が他方の値を超えた場合、ユーザ アカウントはロックされないことに注意してください。これは、ドメインで設定するユーザ アカウントの属性がセキュリティ レルムで設定するユーザ アカウントの属性をオーバライドするからです。こうした状況を避けるには、セキュリティ レルムで設定するユーザ アカウントの属性を無効にします。
セキュリティ レルムで設定するユーザ アカウントの属性を無効にするには、次の手順に従います。
- [セキュリティ|レルム] ノードを展開します。
- [CompatibilityRealm] ノードを展開します。
- [ユーザ ロックアウト] タブを選択します。
- [ロックアウト有効化] 属性のチェックをはずします。
- [適用] をクリックします。
- WebLogic Server を再起動します。
警告: セキュリティ レルムのユーザ アカウントの属性を無効にする場合は、ドメインでユーザ アカウントの属性を設定しないと、ユーザ アカウントが保護されません。
互換性セキュリティから 6.x セキュリティへのアクセス
互換性セキュリティを使用しているときには、ユーザおよびグループを定義するセキュリティ レルムと、WebLogic Server ドメイン内のリソースを保護する ACL を備えた、既存の config.xml ファイルがあることが前提となっています。 セキュリティ レルムのコンフィグレーションや ACL の定義などの 6.x セキュリティ管理タスクは必要とされないため、この章では説明しません。 ただし、既存の 6.x セキュリティ レルムが破損し、それを復元する以外に方法がない場合に備えて、WebLogic Server Administration Console のオンライン ヘルプにおける互換性セキュリティの節で、以下の 6.x セキュリティ管理タスクが説明されています。
- ファイル レルムのコンフィグレーション
- キャッシング レルムのコンフィグレーション
- LDAP V1 セキュリティ レルムのコンフィグレーション
- LDAP V2 セキュリティ レルムのコンフィグレーション
- Windows NT セキュリティ レルムのコンフィグレーション
- UNIX セキュリティ レルムのコンフィグレーション
- RDBMS セキュリティ レルムのコンフィグレーション
- カスタム セキュリティ レルムのインストール
- ユーザの定義
- ユーザの削除
- ユーザ パスワードの変更
- ユーザ アカウントのロック解除
- ゲスト ユーザの無効化
- グループの定義
- グループの削除
- ACL の定義
注意: 互換性セキュリティは下位互換性を提供するだけなので、長期にわたるセキュリティ対策と考えないでください。