WebLogic Security の管理
|
 |
 |
|
以下の節では、WebLogic ドメインのセキュリティ属性の設定方法について説明します。
注意 :この章は、このリリースの WebLogic Server のセキュリティ機能を使用する WebLogic Server デプロイメントと互換性セキュリティを使用するデプロイメントに適用されます。
注意 :WebLogic Server ドメイン間の信頼関係を有効にした場合、サーバが介在者の攻撃を受ける可能性が生じることになります。プロダクション環境で信頼関係を有効にする場合は、細心の注意を払うようにしてください。専用線による通信チャネルやファイアウォールによる防御など、強固なネットワーク セキュリティを導入することをお勧めします。
ドメイン間の信頼関係が確立されると、一方の WebLogic Sever ドメインのサブジェクト内のプリンシパルがもう一方のドメインのプリンシパルとして受け付けられます。この機能が有効になると、ID は WebLogic Server ドメイン間で RMI 接続で渡されます (2 番目のドメインでの認証は不要)。たとえば、Joe としてドメイン 1 にログインして、ドメイン 2 に対して RMI 呼び出しを行うと、Joe は引き続き認証されます。ドメイン間の信頼関係が有効である場合、トランザクションは複数のドメインにまたがってコミットできます。一方のドメインの資格属性がもう一方のドメインの資格属性と一致したときに信頼関係が確立されます。
ドメインの資格は、WebLogic Server ドメインの最初の起動時にランダムに作成されます。このプロセスにより、デフォルトで 2 つの WebLogic Server ドメインが同じ資格を持たないようになります。2 つの WebLogic Server ドメイン間の信頼を有効にするには、両方の WebLogic Server ドメインで資格に同じ値を明示的に指定する必要があります。
デフォルトでは、管理サーバを最初に起動するときには資格属性は定義されません。管理サーバは、起動時に資格属性が定義されていないことを認識し、ランダム資格を生成します。
WebLogic Server は、プリンシパルの作成時にドメイン資格でプリンシパルに署名します。サブジェクトがリモート ソースから受信されると、そのプリンシパルが検証されます (シグネチャが再作成され、それが一致するとリモート ドメインは同じドメインの資格属性を持ちます)。検証が失敗すると、エラーが生成されます。検証が成功すると、そのプリンシパルはローカルで作成されたかのように信頼されます。
注意 :テキスト形式の資格は、次に config.xml ファイルがディスクに保存されるときに暗号化されます。
WebLogic Server 6.x ドメインと WebLogic Server ドメインを相互運用する場合、WebLogic Server ドメインの資格属性を、WebLogic Server 6.x ドメインの system ユーザのパスワードに変更します。
2 つの WebLogic Server ドメインを相互運用する場合、両ドメインで次の手順を実行します。
管理対象サーバ環境でこの機能を有効にする場合は、両方のドメインの管理サーバとすべての管理対象サーバを停止してから、それらを再起動する必要があります。この手順を行わないと、再起動されなかったサーバでは、再起動されたサーバが信頼されなくなります。
WebLogic Server ドメイン間の信頼関係を有効化するときには、次の点に注意してください。
接続フィルタを使用すると、ネットワーク レベルでアクセスを拒否できます。接続フィルタは、個々のサーバ、サーバ クラスタ、または内部ネットワーク (イントラネット) にあるサーバ リソースの保護に使用できます。たとえば、ユーザの企業のネットワーク外部からの非 SSL 接続を拒否できます。ネットワーク接続フィルタは、プロトコル、IP アドレス、および DNS ノード名に基づいてフィルタ処理するようコンフィグレーションできる点において一種のファイアウォールです。
接続フィルタは、管理ポートを使用する場合に特に便利です。ネットワーク ファイアウォール コンフィグレーションによっては、接続フィルタを使用して管理アクセスをさらに制限できる場合もあります。一般的には、管理ポートへのアクセスを特定のドメイン内のサーバやマシンのみに制限するために使用されることが考えられます。攻撃者がファイアウォールの内側にあるマシンにアクセスできても、それが許可されたマシンでない限り、管理操作を実行することはできません。
WebLogic Server では、weblogic.security.net.ConnectionFilterImpl というデフォルトの接続フィルタが用意されています。この接続フィルタは、すべての着信接続を受け入れます。また、サーバは、このクラスが提供する静的ファクトリ メソッドを使うことで、現在の接続フィルタを取得できます。アクセスを拒否するようにこの接続フィルタをコンフィグレーションするには、WebLogic Server Administration Console で接続フィルタ ルールを入力するだけです。
また、weblogic.security.net パッケージのクラスを実装することで、カスタム接続フィルタを使用することもできます。接続フィルタの記述については、『WebLogic Security プログラマーズ ガイド』の「ネットワーク接続フィルタの使い方」を参照してください。デフォルト接続フィルタと同じように、カスタム接続フィルタも WebLogic Server Administration Console でコンフィグレーションできます。
接続フィルタをコンフィグレーションするには、次の手順に従います。
weblogic.security.net.ConnectionFilterImpl を指定します。
[匿名 admin のルックアップを有効化] 属性では、MBeanHome API からの WebLogic Server MBean に対する読み込み専用の匿名アクセスを許可するかどうかを指定します。この匿名アクセスを使用すると、WebLogic Server MBean 認可プロセスによる保護が明示的に示されていない任意の MBean 属性の値を参照できます。この属性は下位互換性を確実にするために、デフォルトでチェックされます。
[匿名 Admin のルックアップを有効化] 属性の設定を確認するには、次の手順に従います。
|
|
|