BEA ホーム | 製品 | dev2dev | support | askBEA |
![]() |
![]() |
|
![]() |
e-docs > WebLogic Server > WebLogic リソースのセキュリティ > セキュリティ ポリシー |
WebLogic リソースのセキュリティ
|
セキュリティ ポリシーは、権限のないアクセスから WebLogic リソースを保護するための、WebLogic リソースと 1 つまたは複数のユーザ、グループ、セキュリティ ロールとの関連付けです。
注意: セキュリティ ポリシーは、以前のリリースの WebLogic Server で WebLogic リソースを保護するために使用していたアクセス制御リスト (ACL) とパーミッションに代わるものです。
以下の節では、セキュリティ ポリシーの詳細について説明します。
セキュリティ ポリシーは常に WebLogic リソースを対象としますが、WebLogic リソースは階層化されているので、自由なレベルで定義できます。 たとえば、エンタープライズ アプリケーション (EAR) 全体、複数の EJB を含む EJB (エンタープライズ JavaBean) JAR、その JAR 内の特定の EJB、その EJB 内の単一のメソッドなどに対してセキュリティ ポリシーを定義できます。
あるタイプの WebLogic リソース (たとえば EJB リソース) に対してセキュリティ ポリシーを作成すると、その WebLogic リソースの新しいインスタンスはすべてそのセキュリティ ポリシーを継承します (WebLogic リソースのタイプの詳細についてはWebLogic リソースのタイプを参照)。このようにセキュリティ ポリシーを継承すると、複数の WebLogic リソースを効率的に保護できます。WebLogic Server は、デフォルト セキュリティ ポリシーで各 WebLogic リソース タイプを保護しています。デフォルト セキュリティ ポリシーは、その WebLogic リソースのすべてのインスタンスによって継承されます。 詳細については、デフォルト セキュリティ ポリシーを参照してください。
WebLogic リソースの特定のインスタンスに対して作成されたセキュリティ ポリシーは、その WebLogic リソース タイプに割り当てられているセキュリティ ポリシーをオーバライドします。つまり、特定の EJB に対してセキュリティ ポリシーを作成すると、このセキュリティ ポリシーが使用され、EJB リソース タイプに対して作成したセキュリティ ポリシーは使用されません。
セキュリティ ポリシーは、デフォルト (アクティブな) セキュリティ レルムにコンフィグレーションされている認可プロバイダのセキュリティ プロバイダ データベースに格納されます。デフォルトでは、WebLogic 認可プロバイダがコンフィグレーションされ、セキュリティ ポリシーは組み込み LDAP サーバに格納されます。
ユーザまたはグループを使用してセキュリティ ポリシーを作成する場合、そのユーザまたはグループは、デフォルト セキュリティ レルムでコンフィグレーション済みの認証プロバイダのセキュリティ プロバイダ データベースで定義されている必要があります。セキュリティ ロールを使用してセキュリティ ポリシーを作成する場合、そのセキュリティ ロール (グローバルまたはスコープ) は、デフォルト セキュリティ レルムでコンフィグレーション済みのロール マッピング プロバイダのセキュリティ プロバイダ データベースで定義されている必要があります。デフォルトでは、WebLogic 認証プロバイダと WebLogic ロール マッピング プロバイダがコンフィグレーションされており、これらのセキュリティ プロバイダのデータベース (および組み込み LDAP サーバ) にはデフォルト グループとデフォルト グローバル ロールが格納されています。
注意: WebLogic 認証、認可、およびロール マッピング プロバイダの詳細については、『WebLogic Security の紹介』の「WebLogic セキュリティ プロバイダ」を参照してください。
WebLogic Server では、表 5-1 に示すセキュリティ ポリシーがデフォルトで定義されています。 これらのセキュリティ ポリシーは、WebLogic リソースのタイプ,で説明している WebLogic リソースの各タイプごとに定義されており、デフォルト グローバル ロールとデフォルト グループに基づいています。
警告: 制限を強化するために管理リソースおよびサーバ リソースのデフォルト セキュリティ ポリシーを変更しないでください。既存のセキュリティ ロールの中には、削除すると WebLogic Server の機能に悪影響を与えるものがあります。ただし、新しいセキュリティ ポリシーを追加するなどして、デフォルト セキュリティ ポリシーをより包括的にすることはできます。
注意: 表 5-1 に示した WebLogic リソースの詳細については、WebLogic リソースのタイプを参照してください。
セキュリティ ポリシーの操作で説明するとおり、独自のグループを作成してデフォルト セキュリティ ポリシーに追加することもできます。
WebLogic Server Administration Console、weblogic.Admin コマンド、および MBean API は、デフォルト セキュリティ ポリシーを使用して保護され、これらは表 4-1 および 表 4-6 で説明されているデフォルト グローバル ロールおよびデフォルト グループに基づいています。 したがって、Administration Console を使用するには、ユーザがこれらのデフォルト グループに属しているか、またはこれらのグローバル ロールのいずれかを付与されている必要があります。 また、MBean との対話が必要な管理操作は、『管理者ガイド』の「システム管理操作の保護」で説明されている MBean の保護措置によって保護されています。 したがって、以下の保護されたパブリック インタフェースと対話するには、両方のセキュリティ方式を満たす必要があります。
このパブリック インタフェースの使用方法については、Administration Console オンライン ヘルプを参照してください。
このパブリック インタフェースの使い方については、保護されている MBean の属性および操作および「WebLogic Server コマンドライン インタフェース リファレンス」の「weblogic.Admin Command-Line Reference」を参照してください。
この API の使用方法については、保護されている MBean の属性および操作および『WebLogic JMX Service プログラマーズ ガイド』を参照してください。
セキュリティ ポリシーの構成要素 : ポリシー条件、式、およびポリシー文
ポリシー条件とは、セキュリティ ポリシーを作成する際の条件です。このリリースの WebLogic Server で使用できるポリシー条件は以下のとおりです。
これらのポリシー条件に対して特定の情報 (実際のユーザ名、グループ、セキュリティ ロール、開始/終了時間など) を指定したものは式と呼ばれます。 WebLogic Server Administration Console に表示される式の例を図 5-1 に示します。
この式の例では、1 行目がポリシー条件、2 行目が条件に対して指定した特定の情報 (この場合は、FullTimeBankEmployees というグループ) です。
ポリシー文は、誰に WebLogic リソースへのアクセス権が付与されるかを定義する式の集合です。したがって、作成するセキュリティ ポリシーの主要部分となります。複数の式を使用できるため、企業のセキュリティ要件に合わせて複雑なセキュリティ ポリシーを作成できます。式の間の and と or の使い方、および式の順序も重要な機能です。
注意: セキュリティ ポリシーが適用されるには、ポリシー文全体が true でなければなりません。ポリシー文の中では、制約が厳しい式ほど後に指定します。WebLogic Server では、ポリシー文中の式は左から右に評価されます。
Administration Console に表示されるポリシー文の例を図 5-2 に示します。
このポリシー文の例には 2 つの式があります。1 行目と 2 行目は [呼び出し側に許可するロールは] ポリシー条件に基づく式、3 行目と 4 行目は [アクセス可能な時間帯は] ポリシー条件に基づく別の式です。
以下の節では、さまざまなタイプの WebLogic リソースに対するセキュリティ ポリシーの操作手順を説明します。
注意: セキュリティ ポリシーの操作手順は、WebLogic リソースごとに若干異なります。 この手順で示した WebLogic リソースのタイプごとの違いに注意して、適切な手順に従ってください。 詳細については、WebLogic リソースのタイプを参照してください。
WebLogic Server のこのリリースでは、作成したセキュリティ ポリシーを常に追跡する必要があります。現在のところ、WebLogic Server Administration Console で作成済みのセキュリティ ポリシーのリストを表示するメカニズムは存在しません。
WebLogic リソースを対象とするセキュリティ ポリシーを作成するには、次の手順に従います。
該当する節の手順に従って WebLogic リソースのタイプを選択します。
WebLogic Server Administration Console の左ペインで、WebLogic Server ドメインの名前 (たとえば examples) を右クリックし、[ポリシーを定義] を選択して、ポリシー エディタ ページ (5-10 ページの図5-3 「ポリシー エディタ ページ」 を参照) を表示します。
注意: このバージョンの WebLogic Server では、unlockuser メソッドのみを保護できます。 ユーザ ロックアウトの詳細については、『WebLogic Security の管理』の「ユーザ アカウントの保護」を参照してください。
[呼び出し側に許可するロールは : Admin] ポリシー文は、選択した管理リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
注意: アプリケーション リソースを対象とするデフォルト ポリシー文はありません (詳細についてはデフォルト セキュリティ ポリシーを参照)。
COM クライアントからアクセスする EJB クラス (ejb20.basic.beanManaged.* など) のパッケージを対象とするセキュリティ ポリシーを作成する場合は、次の手順に従います。
注意: COM クライアントからアクセスする EJB クラスのパッケージを対象とするセキュリティ ポリシーを作成し、[呼び出し側に許可するロールは] 条件でスコープ ロールを使用する場合は、EJB クラスのパッケージに関連付けられているスコープ ロールを使用してください (COM リソースを参照)。
Java クラス (java.util.* など) または COM クライアントからアクセスする個々のクラス (java.util.Collection など) のパッケージを対象とするセキュリティ ポリシーを作成する場合は、次の手順に従います。
注意: [COM クラス] フィールドに入力する値は、jCOM ブリッジを介して COM に公開される Java クラスまたはパッケージの名前です。
COM リソースを対象とするデフォルト ポリシー文はありません (詳細についてはデフォルト セキュリティ ポリシーを参照)。
1 つのセキュリティ ポリシーですべてのコネクタを保護するには、[コネクタ] を右クリックします。 特定のコネクタを保護するには、[コネクタ] を展開してからコネクタの名前を右クリックします。図 5-4 では、例として basic-connector コネクタを使用して、クリックする位置を示します。
図5-4 Administration Console ナビゲーション ツリーのデプロイメント部分
注意: [呼び出し側に許可するロールは : Everyone] ポリシー文は、選択した EIS リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
注意: ここで説明する手順は、メッセージ駆動型 Bean (MDB) にも当てはまります。
1 つのセキュリティ ポリシーですべての EJB JAR を保護するには、[EJB] を右クリックします。 特定の EJB JAR、JAR 内の EJB、または JAR 内の EJB のメソッドを保護するには、[EJB] を展開してから EJB JAR の名前を右クリックします。図 5-5 では、例として basic-ejbapp JAR を使用して、クリックする位置を示します。
図5-5 Administration Console ナビゲーション ツリーのデプロイメント部分
注意: [呼び出し側に許可するロールは : Everyone] ポリシー文は、選択した EJB リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
1 つのセキュリティ ポリシーですべての接続プールを保護するには、[接続プール] を右クリックします。 特定の接続プールを保護するには、[接続プール] を展開してから接続プールの名前を右クリックします。 個々のマルチプールを保護するには、[マルチプール] を展開してからマルチプールの名前を右クリックします。
図 5-6 では、例として接続プールとマルチプールを使用して、クリックする位置を示します。
図5-6 Administration Console ナビゲーション ツリーのサービス部分
注意: [呼び出し側に許可するロールは : Everyone] ポリシー文は、選択した JDBC リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
すべての JMS コンポーネントを対象とするセキュリティ ポリシーを作成するには、[JMS] を右クリックします。 JMS サーバ上の特定の送り先 (JMS キューまたは JMS トピック) を対象とするセキュリティ ポリシーを作成するには、[サーバ|JMS サーバ|送り先] ノードを展開してから送り先の名前を右クリックします。図 5-7 では、例として examplesJMSServer を使用して、クリックする位置を示します。
図5-7 Administration Console ナビゲーション ツリーのサービス部分
注意: [呼び出し側に許可するロールは : Everyone] ポリシー文は、選択した JMS リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
オブジェクトのグループを保護するには、オブジェクト タイプを表すノードを右クリックします。 特定のオブジェクトを保護するには、そのオブジェクトを表すノードを展開してからオブジェクトの名前を右クリックします。図 5-8 では、例として examplesServer JNDI ツリーを使用して、クリックする位置を示します。
図5-8 examplesServer JNDI ツリーを示す新しい Administration Console ウィンドウ
注意: [呼び出し側に許可するロールは : Everyone] ポリシー文は、選択した JNDI リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
すべてのサーバを対象とするセキュリティ ポリシーを作成するには、[サーバ] を右クリックします。 特定のサーバを対象とするセキュリティ ポリシーを作成するには、[サーバ] を展開してからサーバの名前を右クリックします。図 5-9 では、例として examplesServer を使用して、クリックする位置を示します。
図5-9 Administration Console ナビゲーション ツリーのサーバ部分
注意: [呼び出し側に許可するロールは : Admin] または [呼び出し側に許可するロールは : Operator] ポリシー文は、選択したサーバ リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびデフォルト セキュリティ ポリシーを参照してください。
1 つのセキュリティ ポリシーですべての Web アプリケーション (WAR) を保護するには、[Web アプリケーション] を右クリックします。 特定の WAR、または WAR のコンポーネント (たとえば特定のサーブレットや JSP) を保護するには、[Web アプリケーション] を展開してから Web アプリケーション (WAR) の名前を右クリックします。図 5-10 では、例として basic-webapp WAR を使用して、クリックする位置を示します。
図5-10 Administration Console ナビゲーション ツリーのデプロイメント部分
注意: [呼び出し側に許可するロールは : Everyone] ポリシー文は、選択した URL リソースのタイプに関連付けられているデフォルト セキュリティ ポリシーから継承されています。 手順 2 : ポリシー条件を作成するでは、このデフォルト セキュリティ ポリシーをオーバライドします。 詳細については、デフォルト セキュリティ ポリシーおよびセキュリティ ポリシーの粒度と継承を参照してください。
注意: JMS サブシステムはセキュリティ チェックを 1 回しか実行せず、[アクセス可能な時間帯は] 条件ではその後のセキュリティ チェックが必要になるので、JMS リソースを保護する場合はこの条件を使用しないでください。
[上へ移動] および [下へ移動] をクリックすると、強調表示されたユーザ名またはグループ名の順序が変更されます。 [変更] をクリックすると、式の間にある強調表示された and 文と or 文が切り替わります。 [削除] をクリックすると、強調表示されたユーザ名またはグループ名が削除されます。
WebLogic リソースを対象とするセキュリティ ポリシーを変更するには、次の手順に従います。
WebLogic リソースを対象とするセキュリティ ポリシーを削除するには、次の手順に従います。
![]() |
![]() |
![]() |
![]() |
||
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |