Administration Console オンライン ヘルプ

互換性セキュリティ

[互換性セキュリティに関する属性と Administration Console 画面のリファレンス]

このトピックでは、互換性セキュリティを使用する場合のセキュリティのコンフィグレーションと管理について説明します。 詳細については、『WebLogic Security の管理』の「互換性セキュリティの使い方」を参照してください。 WebLogic Server のセキュリティ機能の使い方については、Administration Console オンライン ヘルプのセキュリティおよび『WebLogic Security の管理』を参照してください。

 

---

タスク

互換性セキュリティの設定 : 主な手順

互換性セキュリティを設定するには、次の手順に従います。

互換性セキュリティを使用する前に、バージョン 6.x の WebLogic ドメイン (config.xml ファイルを含む) のバックアップ コピーを作成しておきます。
6.x の config.xml ファイルに以下の記述がない場合は追加します。

<Security Name="mydomain" Realm="mysecurity"/>
<Realm Name="mysecurity" FileRealm="myrealm"/>
<FileRealm Name="myrealm"/>

WebLogic Server を新しいディレクトリにインストールします。 既存の 6.x ディレクトリを上書きしないでください。
6.x サーバの起動スクリプトを変更して、新たにインストールした WebLogic Server を指すようにします。 具体的には、次のように指定します。
• クラスパスが新しい WebLogic Server の weblogic.jar ファイルを指すようにします。
• JAVA_HOME 変数が新しい WebLogic Server を指すようにします。
6.x サーバの起動スクリプトを使用して WebLogic Server を起動します。

互換性セキュリティを正常に実行しているかどうかを確認するには、次の手順に従います。

WebLogic Server Administration Console で、[ドメイン] ノードを展開します。
WebLogic Server ドメイン (ドメインと呼ぶ) をクリックします。
[ドメイン ログの表示] リンクをクリックします。

次のメッセージがログに表示されます。

Security initializing using realm CompatibilityRealm

また、[以前のセキュリティ] ノードが WebLogic Server Administration Console に表示されます。

レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション

レルム アダプタ認証プロバイダには、ID アサーション プロバイダが含まれています。ID アサーション プロバイダは、weblogic.security.acl.CertAuthenticator クラスの実装の下位互換性を提供します。 ID アサーションは、X.509 トークンに基づいて実行されます。 レルム アダプタ認証プロバイダで、ID アサーション プロバイダはデフォルトでは有効ではありません。

レルム アダプタ認証プロバイダ内の ID アサーション プロバイダを有効にするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
CompatibilityRealm をクリックします。
[プロバイダ] ノードを展開します。
[認証プロバイダ] をクリックします。
[レルム] テーブルの [Realm Adapter Authenticator] リンクをクリックします。

[一般] タブが表示されます。

[アクティブなタイプ] リスト ボックスに X.509 と入力します。

このステップで、6.x 証明書認証プロバイダが使用可能になります。

[適用] をクリックします。
WebLogic Server を再起動します。

レルム アダプタ監査プロバイダのコンフィグレーション

互換性セキュリティを使用する場合、レルム アダプタ監査プロバイダを使用すると weblogic.security.audit.AuditProvider クラスの実装を使用できます。 レルム アダプタ監査プロバイダを正しく機能させるためには、[ドメイン｜セキュリティ｜互換性｜一般] タブの [監査プロバイダ クラス] 属性で weblogic.security.audit.AuditProvider クラスの実装を定義しておく必要があります。

レルム アダプタ監査プロバイダをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[プロバイダ] ノードを展開します。
[監査] をクリックします。
[Configure a Realm Adapter Auditor] リンクをクリックします。

[一般] タブが表示されます。

[作成] をクリックして変更を保存します。
WebLogic Server を再起動します。

システム パスワードの変更

インストール時に、WebLogic Server は mydomain のファイル レルムに対して以下のことを行います。

インストール時に指定されたユーザ名とパスワードをファイル レルムに追加します。
インストール時に指定されたパスワードをシステ ムパスワードに設定します。

以上の手順で、system ユーザがファイル レルムの互換性バージョンで定義されます。

コンフィグレーション ウィザードで新しい WebLogic Server ドメインを作成する場合は、mydomain のファイル レルムのシステム パスワードが、Admin ロールで定義されている最初のユーザのパスワードに設定されます。 Admin ロールが Administrators グループのみにマッピングされる場合、システム パスワードは Administrators グループのアルファベット順の最初のユーザのパスワードです。

セキュリティを強化するため、インストール時に設定したシステム パスワードを頻繁に変更することをお勧めします。 WebLogic Server の各デプロイメントでは、ユニークなパスワードが必要です。

管理サーバのコンソールで、[以前のセキュリティ] ノードを展開します。
[ユーザ] タブを選択します。
[User Configuration] ウィンドウの [ユーザ パスワードの変更] の下にある [名前] 属性に system と入力します。
[古いパスワード] 属性で、6.x のパスワードを入力します。
新しいパスワードを [新しいパスワード] 属性に入力します。
新しいパスワードを [パスワードの確認] 属性にもう一度入力します。

ドメインで管理サーバと管理対象サーバを使用する場合、管理対象サーバでは常にそのドメインの管理サーバのパスワードを使用する必要があります。 管理サーバのパスワードを変更するには、必ず WebLogic Server Administration Console を使用します。 WebLogic Server を再起動すると、新しいパスワードがドメイン内のすべての管理対象サーバに伝播されます。

ファイル レルムのコンフィグレーション

ファイル レルムをコンフィグレーションするには、次の手順に従います。

[ドメイン] ノード (mydomain など) を展開します。
[一般] タブの最下部にある [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[ファイル レルム] タブの属性フィールドに値を入力します。
[適用] をクリックして変更を保存します。

ファイル レルムのすべてのユーザおよびグループのデータは、fileRealm.properties ファイルに格納されます。 fileRealm.properties ファイルが壊れるか破棄された場合は、WebLogic Server のセキュリティ情報を再コンフィグレーションする必要があります。 互換性セキュリティは、fileRealm.properties ファイルなしでは動作できません。 カスタム セキュリティ レルムを記述しても、WebLogic Server を起動するためには fileRealm.properties ファイルが必要です。 したがって、次の手順を実行することをお勧めします。

fileRealm.properties ファイルのバックアップ コピーを作成して、安全な場所に配置します。
WebLogic Server デプロイメントの管理者が読み書きの特権を持ち、その特権を他のユーザが持たないように fileRealm.properties ファイルのパーミッションを設定します。

注意: ファイル レルムの SerializedSystemIni.dat ファイルのバックアップ コピーも作成します。

キャッシング レルムのコンフィグレーション

キャッシング レルムをコンフィグレーションするには、次の手順に従います。

キャッシング レルムで使用する代替セキュリティ レルム、またはカスタム セキュリティ レルムをコンフィグレーションします。 レルムのコンフィグレーション手順については、以下の節を参照してください。
• LDAP V1 セキュリティ レルムのコンフィグレーション
• LDAP レルム V2 のコンフィグレーション
• Windows NT セキュリティ レルムのコンフィグレーション
• UNIX セキュリティ レルムのコンフィグレーション
• RDBMS セキュリティ レルムのコンフィグレーション
• カスタム セキュリティ レルムのインストール
[以前のセキュリティ｜キャッシング レルム] ノードを展開します。
[新しいキャッシング レルムのコンフィグレーション] リンクをクリックします。
[キャッシング レルム] --> [一般] ページの属性フィールドに値を入力します。
[作成] をクリックします。
キャッシング レルムで使用するキャッシュを有効にします。 詳細については、以下を参照してください。
• ACL キャッシュの有効化
• 認証キャッシュの有効化
• グループ キャッシュの有効化
• ユーザ キャッシュの有効化
• パーミッション キャッシュの有効化
キャッシング レルムのキャッシュを有効化したら、WebLogic Server を再起動します。

ACL キャッシュの有効化

ACL キャッシュを有効化するには、次の手順に従います。

[キャッシング レルム] タブの下の [ACL] タブをクリックします。
[キャッシング レルム] --> [ACL] ページに示された属性値を定義して、ACL キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

認証キャッシュの有効化

認証キャッシュを有効化するには、次の手順に従います。

[キャッシング レルム] タブの下の [認証] タブをクリックします。
[キャッシング レルム] --> [認証] ページに示された属性値を定義して、認証キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

グループ キャッシュの有効化

グループ キャッシュを有効化するには、次の手順に従います。

[キャッシング レルム] タブの下の [グループ] タブをクリックします。
[キャッシング レルム] --> [グループ] ページに示された属性値を定義して、グループ キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

ユーザ キャッシュの有効化

ユーザ キャッシュを有効化するには、次の手順に従います。

 

[キャッシング レルム] タブの下の [ユーザ] タブをクリックします。
[キャッシング レルム] --> [ユーザ] ページに示された属性値を定義して、ユーザ キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

パーミッション キャッシュの有効化

パーミッション キャッシュを有効化するには、次の手順に従います。

[キャッシング レルム] タブの下の [パーミッション] タブをクリックします。
[キャッシング レルム] --> [パーミッション] ページに示された属性値を定義して、パーミッション キャッシュをコンフィグレーションおよび有効化します。
[適用] をクリックして変更を保存します。

キャッシング レルムへのメモの追加

キャッシング レルムにメモを追加するには、次の手順に従います。

[キャッシング レルム] タブの下の [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティ レルムのコンフィグレーション

Lightweight Directory Access Protocol (LDAP) V1 セキュリティ レルムは、LDAP ディレクトリに格納されたユーザおよびグループを通じて認証機能を提供します。 このサーバを使用すると、組織内のすべてのユーザを LDAP ディレクトリだけで管理できます。 LDAP V1 セキュリティ レルムは、Open LDAP、Netscape iPlanet、Microsoft Site Server、および Novell NDS ディレクトリ サーバをサポートしています。

ファイル レルムの代わりに LDAP V1 セキュリティ レルムを使用するには、以下の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[新しい LDAP Realm V1 のコンフィグレーション] リンクをクリックし、LDAP V1 セキュリティ レルムを実装するクラスの名前を表示します。
[作成] をクリックします。
LDAP ディレクトリ サーバの属性を定義し、ユーザとグループを LDAP V1 セキュリティ レルムで検索する方法を指定します。 詳細については、以下を参照してください。
• LDAP サーバと WebLogic Server との通信の有効化
• LDAP V1 セキュリティ レルムにおけるユーザの検索方法の指定
• LDAP V1 セキュリティ レルムにおけるグループの検索方法の指定
すべての属性を定義したら、WebLogic Server を再起動します。
キャッシング レルムをコンフィグレーションします。 詳細については、キャッシング レルムのコンフィグレーションを参照してください。

キャッシング レルムをコンフィグレーションする場合は、[一般] ページの [基本レルム] 属性のプルダウン メニューから [LDAP レルム V1] オプションを選択します。 [基本レルム] 属性では、キャッシング レルムと代替セキュリティレルム (この場合は LDAP V1 セキュリティ レルム) 間の関連付けを定義します。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[キャッシング レルム] 属性で、LDAP V1 セキュリティ レルムと使用するキャッシング レルムの名前を選択します。 コンフィグレーション済みのキャッシング レルムのリストがプルダウン メニューに表示されます。
WebLogic Server を再起動します。

LDAP サーバと WebLogic Server との通信の有効化

LDAP サーバと WebLogic Server の間の通信を有効にするには、次の手順に従います。

[LDAP レルム V1] タブをクリックします。
[LDAP Security Realm] --> [LDAP Server] ページの属性値を定義します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティ レルムにおけるユーザの検索方法の指定

LDAP V1 セキュリティ レルムにおけるユーザの検索方法を指定するには、次の手順に従います。

[LDAP レルム V1] タブの下の [ユーザ] タブをクリックします。
[LDAP Security Realm] --> [ユーザ] ページの属性値を定義します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティ レルムにおけるグループの検索方法の指定

LDAP V1 セキュリティ レルムにおけるグループの検索方法を指定するには、次の手順に従います。

[LDAP レルム V1] タブの下の [グループ] タブをクリックします。
[LDAP Security Realm] --> [グループ] ページの属性値を定義します。
[適用] をクリックして変更を保存します。

LDAP V1 セキュリティ レルムへのメモの追加

LDAP V1 セキュリティ レルムにメモを追加するには、次の手順に従います。

[LDAP レルム V1] タブの下の [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

LDAP レルム V2 のコンフィグレーション

互換性セキュリティでは、LDAP レルム V2 はカスタム セキュリティ レルムとしてコンフィグレーションされます。

LDAP ツリーおよびスキーマは、LDAP サーバごとに異なります。 サポートされるサーバのテンプレートに、サポートされる LDAP サーバのテンプレートがあります。 これらのテンプレートでは、サポートされている各 LDAP サーバのユーザおよびグループを表現するためのデフォルト コンフィグレーション情報が指定されています。

LDAP レルム V2 を使用するには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[新しい Custom Realm のコンフィグレーション] リンクをクリックします。
[コンフィグレーション] タブの属性を設定します。
次の表に、[Custom Security Realm Configuration] ウィンドウで設定する属性を示します。

表 152-1 カスタム セキュリティ レルムの属性

属性	説明
[名前]	LDAP レルム V2 の名前。defaultLDAPRealmForNetscapeDirectoryServer など。
[レルム クラス名]	LDAP V2 レルムを実装する WebLogic クラスの名前 (weblogic.security.ldaprealmv2.LDAPRealm など)。 このクラスは WebLogic Server の CLASSPATH にある必要がある。
[コンフィグレーション情報]	LDAP コンフィグレーションに固有の情報を指定する。 server.host—LDAP サーバのホスト名。 server.port—LDAP サーバがリスンするポート番号。 useSSL—LDAP サーバと WebLogic Server の通信を SSL で保護するかどうかを指定する。 値を true に設定すると、SSL が使用可能になる。 server.principal—LDAP サーバに接続するために WebLogic Server で使用される LDAP ユーザ。 server.credential—LDAP サーバに接続するために WebLogic Server で使用される LDAP ユーザのパスワード。 user.dn—ユーザを格納する LDAP ディレクトリ内のツリーの基本 DN。 user.filter—名前を指定してユーザを検索するための LDAP 検索フィルタ。 group.dn—グループを格納する LDAP ディレクトリ内のツリーの基本 DN。 group.filter—特定のグループ名を検索するための LDAP 検索フィルタ。 membership.filter—グループ名を指定してグループのメンバーを検索するための LDAP 検索フィルタ。 membership.directmembershiponly—LDAP 検索フィルタでグループの直接のメンバーのみをリストすることを示す。 たとえば、ユーザ X がグループ G1 に属し、グループ G1 がグループ G2 に属している場合、グループ G1 についてのみリストされる。 デフォルトでは、このオプションは true に設定されている。 サポートされている LDAP サーバのサンプル値については、サポートされるサーバのテンプレートを参照してください。


 
[適用] をクリックして変更を保存します。
キャッシング レルムのコンフィグレーションで説明されているようにキャッシング レルムをコンフィグレーションします。

キャッシング レルムをコンフィグレーションする場合は、[一般] タブの [基本レルム] 属性のプルダウン メニューから LDAP レルム V2 を選択します。 [基本レルム] 属性では、キャッシング レルムと代替セキュリティレルム (この場合は LDAP レルム V2) 間の関連付けを定義します。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[キャッシング レルム] 属性で、LDAP V2 セキュリティ レルムと使用するキャッシング レルムの名前を選択します。 コンフィグレーション済みのキャッシング レルムのリストがプルダウン メニューに表示されます。
WebLogic Server を再起動します。

サポートされるサーバのテンプレート

コード リスト 152-1 からコード リスト 152-1 は、LDAP レルム V2 でサポートされる LDAP サーバのコンフィグレーションに使用するテンプレートです。 これらのテンプレートをアプリケーションの config.xml ファイルに直接コピーします。

警告: 以下のコード例の各行は 1 行で入力する必要があります。 コード例はこのマニュアルの幅に合わせて書式が整えられており、その書式に合わせるために分かれている行もあります。 このテキストを config.xml ファイルに貼り付ける場合は、コード内で 1 行になるように、分かれた行をつなげてください。

コード リスト 152-1 デフォルトの Netscape Directory Server のテンプレート

<CustomRealmName="defaultLDAPRealmForNetscapeDirectoryServer"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=uid=admin,
ou=Administrators,ou=TopologyManagement,o=NetscapeRoot;
server.credential=*secret*;
user.dn=ou=people,o=beasys.com;
user.filter=(&amp;(uid=%u)(objectclass=person));
group.dn=ou=groups,o=beasys.com;
group.filter=(&amp;(cn=%g)(objectclass=groupofuniquenames));
membership.filter=(&amp;(uniquemember=%M)
   (objectclass=groupofuniquenames));
membership.directmembershiponly

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

コード リスト 152-2 デフォルトの Microsoft Site Server のテンプレート

<CustomRealmName="defaultLDAPRealmForMicrosoftSiteServer"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=cn=Administrator,ou=Members,
   o=ExampleMembershipDir;
server.credential=*secret*
user.dn=ou=Members, o=ExampleMembershipDir;
user.filter=(&amp;(cn=%u)(objectclass=member)
   (!userAccountControl:1.2.840.113556.1.4.803:=2)));
group.dn=ou=Groups, o=ExampleMembershipDir;
group.filter=(&amp;(cn=%g)(objectclass=mgroup));
membership.scope.depth=1;microsoft.membership.scope=sub;
membership.filter=(|(&amp;(memberobject=%M)
(objectclass=memberof))(&amp;(groupobject=%M)
(objectclass=groupmemberof)));
membership.search=true;
membership.directmembershiponly

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

コード リスト 152-3 デフォルトの Novell Directory Services のテンプレート

<CustomRealmName="defaultLDAPRealmForNovellDirectoryServices"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=cn=Admin, DC=BEASYS
server.credential= *secret*;
user.dn=ou=people,o=example.com;
user.filter=(&amp;(cn=%u)(objectclass=person));
group.dn=ou=groups,o=example.com;
group.filter=(&amp;(cn=%g)(objectclass=groupofuniquenames));
membership.filter=(&amp;(member=%M)
   (objectclass=groupofuniquenames));"
membership.directmembershiponly;"

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

コード リスト 152-4 デフォルトの Open LDAP Directory Services のテンプレート

<CustomRealmName="defaultLDAPRealmForOpenLDAPDirectoryServices"
RealmClassName="weblogic.security.ldaprealmv2.LDAPRealm"
ConfigurationData=
"server.host=ldapserver.example.com;
server.port=700;
useSSL=true;
server.principal=cn=Manager, dc=example, dc=com;
server.credential= *secret*;
user.dn=ou=people, dc=example,dc=com;
user.filter=(&amp;(uid=%u)(objectclass=person));
group.dn=ou=groups,dc=example,c=com;
group.filter=(&amp;(cn=%g)(objectclass=groupofuniquenames));
membership.filter=(&amp;(uniquemember=%M)     (objectclass=groupofuniquenames));"
membership.directmembershiponly;

"Notes="Before enabling the LDAP V2 security realm, edit the configuration parameters for your environment."/>

LDAP V2 セキュリティ レルムへのメモの追加

LDAP V2 セキュリティ レルムにメモを追加するには、次の手順に従います。

選択した LDAP サーバのコンフィグレーション ウィンドウの [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

Windows NT セキュリティ レルムのコンフィグレーション

Windows NT セキュリティ レルムをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[新しい NT Realm のコンフィグレーション] リンクをクリックします。
Windows NT レルムの名前と Windows NT ドメインが動作するコンピュータの名前を定義する属性を [NT レルム] --> [コンフィグレーション] ページで設定します。
[適用] をクリックして変更を保存します。
キャッシング レルムをコンフィグレーションします。 詳細については、キャッシング レルムのコンフィグレーションを参照してください。

キャッシング レルムをコンフィグレーションする場合は、[一般] ページの [基本レルム] 属性のプルダウン メニューから Windows NT セキュリティ レルムを選択します。 [基本レルム] 属性では、キャッシング レルムと代替セキュリティレルム (この場合は Windows NT セキュリティ レルム) 間の関連付けを定義します。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[キャッシング レルム] 属性で、Windows NT セキュリティ レルムと使用するキャッシング レルムの名前を選択します。 コンフィグレーション済みのキャッシング レルムのリストがプルダウン メニューに表示されます。
WebLogic Server を再起動します。

次のコマンドを使用すると、指定の Windows NT ユーザとして WebLogic Server を実行する適切な特権があるかどうかを検証できます。

java weblogic.security.ntrealm.NTRealm username password

username と password は、WebLogic Server が動作する Windows NT アカウントのユーザ名とパスワードです。

このコマンドの出力は、指定されたユーザ名とパスワードが正しく認証されたかどうかを示します。

表 152-2 Windows NT の認証の検証

コマンド出力	意味
auth?poppy	入力されたユーザ名とパスワードが適切に認証されました。
auth?null	入力されたユーザ名とパスワードが適切に認証されませんでした。

 

テストがすぐに失敗し、WebLogic Server を実行するクライアントまたはユーザに Windows NT セキュリティ レルムを実行する特権がないと示されている場合は、WebLogic Server を実行する Windows ユーザのパーミッション (権利) を更新する必要があります。 詳細については、Windows NT および Windows 2000 のユーザ パーミッションの更新を参照してください。

Windows NT および Windows 2000 のユーザ パーミッションの更新

Windows NT で権利を更新するには、次の手順を行います。

[スタート｜プログラム｜管理ツール] を選択します。
[ユーザ マネージャ] を選択します。
[原則] メニューの [ユーザの権利] オプションを選択します。
[高度なユーザ権利の表示] オプションをチェックします。
WebLogic Server を実行する Windows ユーザに以下の権利を付与します。
オペレーティング システムの一部として機能
トークン オブジェクトの作成
プロセス レベル トークンの置き換え
WebLogic Server を実行する Windows ユーザが Administrators グループのメンバーであることを確認します。
Windows NT を再起動して、すべての修正が有効になるようにします。
[Logon as System Account] オプションがチェックされていることを確認します。 [Allow System to Interact with Desktop] オプションはチェックする必要はありません。 特定の Windows NT ユーザ アカウントで Windows NT セキュリティ レルムを実行することはできません。

Windows 2000 で権利を更新するには、次の手順を行います。

[スタート｜設定｜コントロール パネル｜管理ツール] を選択します。
[ローカル セキュリティ ポリシー] を選択します。
[ローカル ポリシー｜ユーザー権利の割り当て] を選択します。
WebLogic Server を実行する Windows ユーザに以下の権利を付与します。
• オペレーティング システムの一部として機能
• トークン オブジェクトの作成
• プロセス レベル トークンの置き換え
WebLogic Server を実行する Windows ユーザが Administrators グループのメンバーであることを確認します。
Windows 2000 を再起動して、すべての修正が有効になるようにします。
[Logon as System Account] オプションがチェックされていることを確認します。 [Allow System to Interact with Desktop] オプションはチェックする必要はありません。 特定の Windows NT ユーザ アカウントで Windows NT セキュリティ レルムを実行することはできません。

以下に示すのは、Windows NT セキュリティ レルムの使用時に発生する Windows NT エラー コートです。

表 152-3 Windows NT エラー コード

エラー コード	意味
1326	セキュリティ レルムを実行しているホスト マシンに、プライマリ ドメイン コントローラとの信頼関係がない。 ホスト マシンがドメインのメンバーでないか、ドメインがホスト マシンを信頼していないことが考えられる。
53	ネットワーク エラー。プライマリ ドメイン コントローラのパスを見つけられなかったことを示します。 このエラーは、ドメイン名の綴りが間違っているか、プライマリ ドメイン コントローラのホスト名ではなくドメイン名が指定されている場合に発生します。

 

Windows NT エラー コードの詳細については、winerror.h ファイルを参照してください。

Windows NT セキュリティ レルムへのメモの追加

Windows NT セキュリティ レルムにメモを追加するには、次の手順に従います。

[コンフィグレーション] タブの下の [NT レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

UNIX セキュリティ レルム用の wlauth プログラムのコンフィグレーション

wlauth は、setuid root を実行します。 wlauth プログラムの所有権とファイル属性を変更し、wlauth の PAM コンフィグレーション ファイルの設定を行うには、ルート パーミッションが必要です。

UNIX セキュリティ レルム用の wlauth プログラムを設定するには、次の手順に従います。

WebLogic Server がネットワーク ドライブにインストールされている場合、WebLogic Server を実行するコンピュータ上のファイル システム (たとえば /usr/sbin ディレクトリ) に wlauth ファイルをコピーします。 wlauth ファイルは、weblogic/lib/arch ディレクトリにあります。arch は使用しているプラットフォームの名前を示します。
root ユーザとして次のコマンドを実行して、wlauth のオーナとパーミッションを変更します。

  # chown root wlauth
  # chmod +xs wlauth

wlauth の PAM コンフィグレーションを設定します。

Solaris の場合には、/etc/pam.conf ファイルに以下の行を追加します。

  # Solaris マシンでの WebLogic 認証の設定
  #
  wlauth auth required      /usr/lib/security/pam_unix.so.1 
  wlauth password required  /usr/lib/security/pam_unix.so.1 
  wlauth account required   /usr/lib/security/pam_unix.so.1

Linux の場合には、次の内容の /etc/pam.d/wlauth というファイルを作成します。

  #%PAM-1.0
  #
  # ファイル名:
  # /etc/pam.d/wlauth 
  #
  # シャドウ パスワードを使用しない場合は「shadow」を削除する
  auth required     /lib/security/pam_pwdb.so shadow
  account required  /lib/security/pam_pwdb.so

注意: シャドウ パスワードを使用しない場合は、shadow を削除します。

wlauth が WebLogic Server クラス パスに入っていない場合、またはプログラムに wlauth 以外の名前を付けた場合、WebLogic Server を起動するときに Java コマンドライン プロパティを追加する必要があります。 WebLogic Server の起動スクリプトを編集し、java コマンドの後に次のオプションを追加します。

-Dweblogic.security.unixrealm.authProgram=wlauth_prog

wlauth_prog には、プログラムが検索パスに入っていない場合は絶対パスも含めて、wlauth プログラムの名前を指定します。 WebLogic Server を起動します。 wlauth プログラムが WebLogic Server パスに入っており、wlauth という名前の場合には、この手順を実行する必要はありません。

UNIX セキュリティ レルムのコンフィグレーション

注意: UNIX セキュリティ レルムは、Solaris および Linux プラットフォームのみで動作します。

UNIX セキュリティ レルムをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[新しい Unix Realm のコンフィグレーション] リンクをクリックします。
レルムの名前と UNIX セキュリティ レルムに認証サービスを提供するプログラムの名前を定義する属性を [Unix レルム] --> [コンフィグレーション] ページで設定します。
[作成] をクリックします。
キャッシング レルムをコンフィグレーションします。 詳細については、キャッシング レルムのコンフィグレーションを参照してください。

キャッシング レルムをコンフィグレーションする場合は、[一般] ページの [基本レルム] 属性のプルダウン メニューから UNIX セキュリティ レルムを選択します。 [基本レルム] 属性では、キャッシング レルムと代替セキュリティレルム (この場合は UNIX セキュリティ レルム) 間の関連付けを定義します。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[キャッシング レルム] 属性で、Windows NT セキュリティ レルムと使用するキャッシング レルムの名前を選択します。 コンフィグレーション済みのキャッシング レルムのリストがプルダウン メニューに表示されます。
WebLogic Server を再起動します。

UNIX セキュリティ レルムへのメモの追加

[コンフィグレーション] タブの下の [Unix レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

RDBMS セキュリティ レルムのコンフィグレーション

RDBMS セキュリティ レルムは BEA が用意しているカスタム セキュリティ レルムで、ユーザ、グループ、および ACL をリレーショナル データベースに保存します。RDBMS セキュリティ レルムはサンプルなので、プロダクション環境での使用を目的としていません。

注意: RDBMS サンプルは、自動コミット機能を有効にしたデータベースでは動作しません。 RDBMS サンプルを基に RDBMS を実装する場合、明示的なコミット文をコードに記述して、使用するデータベースの自動コミット機能を無効にします。

RDBMS セキュリティ レルムの実装で getActiveDomain() メソッドを使用する場合は、RDBMS セキュリティ レルムを互換性セキュリティと一緒に使用するために RDBMSDelegate クラスを編集および再コンパイルする必要があります。 weblogic.server パッケージで、getActiveDomain() メソッドを getSecurityConfig() メソッドで置き換えます。

RDBMS セキュリティ レルムをコンフィグレーションするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
WebLogic Server で使用するデータベースを選択します。 以下のテンプレートを選択できます。
• defaultRDBMSRealmForOracle
• defaultRDBMSRealmForMSSQLServerType4
• defaultRDBMSRealmForCloudScape
• defaultRDBMSRealmForODBC

選択したデータベースをコンフィグレーションするためのウィンドウが表示されます。

レルムの名前と RDBMS セキュリティ レルムを実装するクラスの名前を定義する属性を [RDBMS レルム] --> [一般] ページで設定します。
[作成] をクリックします。
データベースに接続するための属性とデータベース スキーマを定義します。 詳細については、以下を参照してください。
• RDBMS セキュリティ レルムのデータベース属性の定義
• RDBMS セキュリティ レルムのデータベース スキーマの定義
キャッシング レルムをコンフィグレーションします。 詳細については、キャッシング レルムのコンフィグレーションを参照してください。

キャッシング レルムをコンフィグレーションする場合は、[一般] ページの [基本レルム] 属性のプルダウン メニューから RDBMS セキュリティ レルムを選択します。 [基本レルム] 属性では、キャッシング レルムと代替セキュリティレルム (この場合は RDBMS セキュリティ レルム) 間の関連付けを定義します。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[キャッシング レルム] 属性で、RDBMS セキュリティ レルムと使用するキャッシング レルムの名前を選択します。 コンフィグレーション済みのキャッシング レルムのリストがプルダウン メニューに表示されます。
WebLogic Server を再起動します。

RDBMS セキュリティ レルムのデータベース属性の定義

RDBMS セキュリティ レルムでデータベースに接続するための JDBC ドライバの属性を定義するには、次の手順に従います。

[RDBMS レルム] --> [データベース] タブをクリックします。
データベースに接続するための JDBC ドライバの属性を定義します。
[適用] をクリックして変更を保存します。

RDBMS セキュリティ レルムのデータベース スキーマの定義

RDBMS セキュリティ レルムで使用するデータベース スキーマの属性を定義するには、次の手順に従います。

[RDBMS レルム] --> [スキーマ] タブをクリックします。
ユーザ、グループ、および ACL をデータベースに格納するためのスキーマを、[スキーマ] ページの [スキーマ プロパティ] ボックスで定義します。

コード リスト 152-1 には、/samples/examples/security/rdbmsrealm ディレクトリにある WebLogic Server 付属の RDBMS コード サンプルのスキーマ プロパティに入力されているデータベース文を示してあります。

コード リスト 152-1 RDBMS セキュリティ レルムのサンプル スキーマ

"getGroupNewStatement=true;getUser=SELECT U_NAME, U_PASSWORD FROM users WHERE U_NAME = ?;
getGroupMembers=SELECT GM_GROUP, GM_MEMBER from groupmembers WHERE GM_GROUP = ?;
getAclEntries=SELECT A_NAME, A_PRINCIPAL, A_PERMISSION FROM aclentries WHERE A_NAME = ? ORDER BY A_PRINCIPAL;
getUsers=SELECT U_NAME, U_PASSWORD FROM users;
getGroups=SELECT GM_GROUP, GM_MEMBER FROM groupmembers;
getAcls=SELECT A_NAME, A_PRINCIPAL, A_PERMISSION FROM aclentries ORDER BY A_NAME, A_PRINCIPAL;
getPermissions=SELECT DISTINCT A_PERMISSION FROM aclentries;
getPermission=SELECT DISTINCT A_PERMISSION FROM aclentries WHERE A_PERMISSION = ?;
newUser=INSERT INTO users VALUES ( ? , ? );
addGroupMember=INSERT INTO groupmembers VALUES ( ? , ? );
removeGroupMember=DELETE FROM groupmembers WHERE GM_GROUP = ? AND GM_MEMBER = ?;
deleteUser1=DELETE FROM users WHERE U_NAME = ?;
deleteUser2=DELETE FROM groupmembers WHERE GM_MEMBER = ?;
deleteUser3=DELETE FROM aclentries WHERE A_PRINCIPAL = ?;
deleteGroup1=DELETE FROM groupmembers WHERE GM_GROUP = ?;
deleteGroup2=DELETE FROM aclentries WHERE A_PRINCIPAL = ?"

[適用] をクリックして変更を保存します。

RDBMS セキュリティ レルムへのメモの追加

RDBMS セキュリティ レルムにメモを追加するには、次の手順に従います。

[コンフィグレーション] タブの下の [RDBMS レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

カスタム セキュリティ レルムのインストール

ネットワーク上のディレクトリ サーバなどの既存のユーザ ストアからデータを抽出するカスタム セキュリティ レルムを作成することができます。 カスタム セキュリティ レルムを使用するには、weblogic.security.acl.AbstractListableRealm インタフェースまたは weblogic.security.acl.AbstractManageableRealm インタフェースの実装を作成してから、Administration Console を使用してインストールします。

カスタム セキュリティ レルムをインストールするには、次の手順に従います。

[以前のセキュリティ｜レルム] ノードを展開します。
[新しい Custom Realm のコンフィグレーション] リンクをクリックします。
[カスタム レルム] --> [コンフィグレーション] ページで、カスタム セキュリティ レルムの名前を定義する属性を設定し、レルムを実装するインタフェースを指定し、ユーザ、グループ、および ACL (省略可) をカスタム セキュリティ レルムに格納する方法を定義します。
[作成] をクリックします。
キャッシング レルムをコンフィグレーションします。 詳細については、キャッシング レルムのコンフィグレーションを参照してください。

キャッシング レルムをコンフィグレーションする場合は、[一般] ページの [基本レルム] 属性のプルダウン メニューからカスタム セキュリティ レルムを選択します。 [基本レルム] 属性では、キャッシング レルムとカスタム セキュリティ レルム間の関連付けを定義します。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜ファイル レルム] タブをクリックします。
[キャッシング レルム] 属性で、カスタム セキュリティ レルムと使用するキャッシング レルムの名前を選択します。 コンフィグレーション済みのキャッシング レルムのリストがプルダウン メニューに表示されます。
WebLogic Server を再起動します。

カスタム セキュリティ レルムへのメモの追加

カスタム セキュリティ レルムにメモを追加するには、次の手順に従います。

[コンフィグレーション] タブの下の [カスタム レルム] --> [メモ] タブをクリックします。
[メモ] フィールドに適切な情報を入力します。
[適用] をクリックして変更を保存します。

ユーザの定義

注意: この節では、CompatibilityRealm 内の管理可能なセキュリティ レルム (ファイル レルムなど) にユーザを追加する方法を説明します。 WebLogic Server Administration Console で管理できないセキュリティ レルムを使用する場合は、そのレルムの管理ツールを使用してユーザを定義する必要があります。

ユーザを定義するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。
[User Configuration] ウィンドウの [名前] 属性にユーザの名前を入力します。
[パスワード] 属性にユーザのパスワードを入力します。
パスワードを [パスワードの確認] 属性にもう一度入力します。
[作成] をクリックします。

ユーザの削除

ユーザを削除するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。
[User Configuration] ウィンドウの [Delete Users] 属性にユーザの名前を入力します。
[削除] をクリックします。

ユーザのパスワードの変更

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。

[User Configuration] ウィンドウが表示されます。

[User Configuration] ウィンドウの [名前] 属性にユーザの名前を入力します。
古いパスワードを [古いパスワード] 属性に入力します。
新しいパスワードを [新しいパスワード] 属性に入力します。
確認のため新しいパスワードをもう一度入力します。

ユーザ アカウントのロックの解除

ユーザ アカウントのロックを解除するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[ユーザ] をクリックします。
[User Configuration] ウィンドウの [ユーザのロックを解除] リンクをクリックします。
ロックを解除するユーザ アカウントの名前を [Users to Unlock] フィールドに入力します。
ロックを解除するユーザ アカウントがあるサーバを選択します。
[ロック解除] をクリックします。

ゲスト ユーザの無効化

デプロイメントのセキュリティを考慮して、WebLogic Server では guest アカウントを無効にすることをお勧めします。

ゲスト ユーザを無効にするには、次の手順に従います。

[ドメイン] ノードを展開します。
[ドメイン｜一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜一般] タブをクリックします。
[ゲスト不可] チェックボックスをチェックします。
WebLogic Server を再起動します。

guest アカウントを無効にしても、guest というアカウントにログインできなくなるだけであり、未認証ユーザが WebLogic Server デプロイメントにアクセスすることはできます。

グループの定義

注意: この節では、CompatibilityRealm 内の管理可能なセキュリティ レルム (ファイル レルムなど) にグループを追加する方法を説明します。 WebLogic Server Administration Console で管理できないセキュリティ レルムを使用する場合は、そのレルムの管理ツールを使用してグループを定義する必要があります。

互換性レルムでグループを定義するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[グループ] をクリックします。
[新しい Group の作成] リンクをクリックします。
[グループ] ウィンドウで、[名前] 属性にグループの名前を入力します。 グループ名は複数形にすることをお勧めします。 たとえば、Administrator ではなく Administrators にします。
[ユーザ] 属性をクリックして、グループに追加する WebLogic Server ユーザを選択します。
[グループ] 属性をクリックして、グループに追加する WebLogic Server グループを選択します。
[適用] をクリックして、新しいグループを作成します。

グループからのユーザの削除

グループからユーザを削除するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[グループ] をクリックします。
ユーザを削除するグループを選択します。
[グループ] ウィンドウで、グループから削除するユーザをチェックします。
[適用] をクリックします。

グループの削除

グループを削除するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[グループ] をクリックします。

[グループ] テーブルが表示されます。 このタブには、互換性レルムで定義されているすべてのグループの名前が表示されます。

グループを削除するには、[Remove These Groups] リスト ボックスにグループの名前を入力します。
[削除] をクリックします。

ACL の定義

ACL の下位互換性を提供する互換性セキュリティは、長期的なセキュリティ ソリューションと考えるべきではありません。 この節の手順は、既存の 6.x セキュリティ レルムが破損し、それを復元する以外に選択肢がない場合にのみ使用します。 ACL の代わりに、セキュリティ ロールとセキュリティ ポリシーを使用して WebLogic リソースを保護します。

注意: MBean の ACL は、このリリースの WebLogic Server ではサポートされていません。 詳細については、『WebLogic リソースのセキュリティ』の「サーバ リソースの階層化されたセキュリティ方式」を参照してください。

JDBC 接続プールの ACL を指定する場合は、filerealm.properties ファイルで、system ユーザの JDBC 接続プールへのアクセスを明確に定義する必要があります。 次に例を示します。

acl.reserve.poolforsecurity=system
acl.reset.poolforsecurity=system

WebLogic リソースの ACL を作成するには、次の手順に従います。

[以前のセキュリティ] ノードを展開します。
[ACL] タブをクリックします。
[新しい ACL の作成] リンクをクリックします。
[ACL Configuration] ウィンドウの [新しい ACL 名] 属性で、ACL を使用して保護する WebLogic Server リソースの名前をに指定します。

たとえば、demopool という JDBC 接続プール用の ACL を作成します。

[作成] をクリックします。
[新しいパーミッションを追加] リンクをクリックします。
リソースのパーミッションを指定します。

リソースに対して設定可能なパーミッションごとに別々の ACL を作成することも、リソースに対するすべてのパーミッションを付与する 1 つの ACL を作成することもできます。 たとえば、demopool という JDBC 接続プール用として、reserve、reset、および shrink という 3 つのパーミッションごとに ACL を作成できます。 reserve、reset、および shrink パーミッションに関する 1 つの ACL を作成することもできます。

リソースに対して指定したパーミッションを持つ WebLogic ユーザまたはグループを指定します。
[適用] をクリックします。

ユーザ アカウントの保護

WebLogic Server ドメインでユーザ アカウントを保護するには、次の手順に従います。

[ドメイン] ノードを展開します。
[ドメイン｜一般] タブの [ドメインのセキュリティ設定の表示] リンクをクリックします。
[互換性｜パスワード] タブをクリックします。
指示に従って値を入力するか、必要なチェックボックスを選択することで、ページの属性を設定します。
[適用] をクリックします。
WebLogic Server を再起動します。

監査プロバイダのインストール

WebLogic Server 6.x のセキュリティ コンフィグレーションで weblogic.security.audit.AuditProvider クラスの実装を使用している場合、互換性セキュリティでは、監査は自動的にコンフィグレーションされません。 6.x の監査にアクセスするには、互換性レルムにレルム アダプタ監査プロバイダをコンフィグレーションします。

レルム アダプタ監査プロバイダをコンフィグレーションするには、次の手順に従います。

WebLogic Server を起動します。
管理コマンド ライン ツールを起動します。
以下のコマンドを入力します。

java weblogic.Admin -url t3://localhost:7001 -username
adminusername -password adminpassword CREATE -mbean Security:
Name=CompatibilityRealmRealmAdapterAuditor -type
weblogic.security.providers.realmadapter.RealmAdapterAuditor commotype

java weblogic.Admin -url t3://localhost:7001 -username
adminusername -password adminpassword SET -mbean Security:
Name=CompatibilityRealmRealmAdapterAuditor -property Realm Security:Name=CompatibilityRealm commotype

java weblogic.Admin -url t3://localhost:7001 -username
adminusername -password adminpassword SET -mbean Security
Name=CompatibilityRealm -property Auditors
Security:Name=CompatibilityRealmRealmAdapterAuditor commotype

WebLogic Server を再起動します。