ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 8.1 ドキュメント > WebLogic Security の管理 > ユーザ アカウントの保護

WebLogic Security の管理

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

ユーザ アカウントの保護

以下の節では、ユーザ アカウントを保護する方法とユーザ アカウントのロックを解除する方法について説明します。

注意 :互換性セキュリティでのユーザ アカウントの保護については、「互換性セキュリティでのユーザ アカウントの保護」を参照してください。

 

パスワードの保護

WebLogic Server ドメインのリソースにアクセスするためのパスワードを保護することは重要です。ユーザ名とパスワードは以前、WebLogic セキュリティ レルムにクリア テキストで保存されていました。現在では WebLogic Server ドメインのパスワードはすべてハッシュ化されています。パスワードのハッシュは、SerializedSystemIni.dat ファイルに格納されます。 このファイルは特定の WebLogic Server ドメインに関連付けられるため、ドメイン間で移動することはできません。

SerializedSystemIni.dat ファイルが破損した場合は、WebLogic Server ドメインを再コンフィグレーションしなければなりません。そのため、以下の注意事項を考慮する必要があります。

 

ユーザ アカウントに対するロックアウト属性の設定

WebLogic Server には、ユーザ アカウントを侵入者から保護するための属性セットが定義されています。デフォルト セキュリティ コンフィグレーションでは、これらの属性は最高の保護レベルに設定されています。新しいセキュリティ レルムの作成時に、これらの属性を定義する必要があります。

システム管理者は、すべての属性を無効にしたり、アカウントがロックされるまでの無効なログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。

ユーザ ロックアウトの属性を設定するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) を選択します。
  3. [ユーザ ロックアウト] タブをクリックします。
  4. 指示に従って値を入力したり、必要なチェック ボックスをチェックしたりすることにより、このタブで必要な属性を定義します (詳細については次の表を参照してください)。

    5. ユーザ アカウントがこれらの属性値を超えた場合、そのアカウントはロックされ、[ユーザ] タブのテーブルのそのアカウントの行に [詳細] という文字列が表示されます。詳細については、「ユーザ アカウントのロック解除」を参照してください。

  5. 変更を保存するには、[適用] をクリックします。
  6. WebLogic Server を再起動します。

次の表では、[ユーザ ロックアウト] タブの各属性について説明します。

表 9-1 ユーザ ロックアウトの属性

属性

説明

[ロックアウト有効化]

ユーザ アカウントへの無効なログインが指定された [ロックアウトしきい値] を超えたときにそのユーザ アカウントのロックを要求する。デフォルトで、この属性は有効。

[ロックアウトしきい値]

アカウントがロックされるまでに許容されるユーザ パスワードの入力回数。この回数を超えてログインを試みると、(ユーザ名/パスワードの組み合わせが正しい場合でも) セキュリティ例外が発生して、アカウントがロックアウトされる。システム管理者が明示的にロックを解除するか、またはロックアウト遅延時間が終了するまで、アカウントはロックアウトされたままとなる。ただし、これは無効なログインが [ロックアウト リセット遅延] 属性で定義された時間内に繰り返された場合に限る。デフォルト値は 5。

[ロックアウト遅延]

[ロックアウト リセット遅延] 属性で定義された時間内に無効なログインが一定回数以上繰り返されたためにユーザ アカウントがロックされた後、ユーザ アカウントにアクセスできるようになるまでの時間 (分単位)。デフォルトでは 30 分。

[ロックアウト リセット遅延]

ここで指定した分単位の時間内に一定回数以上の無効なログインが試みられた場合に、ユーザのアカウントをロックする。

[ロックアウトしきい値] 属性に定義された無効なログインの試行回数が、この属性で定義された時間内に行われた場合、アカウントはロックされる。たとえば、[ロックアウト リセット遅延] の値が 5 分、[ロックアウトしきい値] の値が 3 で、6 分間に 3 回の無効なログインが試行された場合、アカウントはロックされない。しかし、5 分以内に 3 回の無効なログインが繰り返された場合、アカウントはロックされる。

デフォルトでは 5 分。

[ロックアウト キャッシュ サイズ]

試行されなかったログインと試行された無効なログインのキャッシュ サイズを指定する。デフォルト値は 5。

[ロックアウト GC しきい値]

サーバがメモリ内に保存する無効ログイン レコードの最大数。現在の無効ログイン レコードの数がこの属性値と同じかそれを超過すると、期限切れとなったレコードがサーバのガベージ コレクションによって削除される。レコードは、ユーザがロック解除されたとき、またはそのレコードのロックアウト リセット遅延の時間が期限切れになったときに期限切れとなる。デフォルトは 400 レコード。


 

[ユーザ ロックアウト] タブの属性は、デフォルト セキュリティ レルムとそのすべてのセキュリティ プロバイダに適用されます。[ユーザ ロックアウト] タブの属性は、デフォルト セキュリティ レルム以外のセキュリティ レルムにあるカスタム セキュリティ プロバイダでは機能しません。カスタム セキュリティ プロバイダで [ユーザ ロックアウト] タブの属性を使用するには、デフォルト セキュリティ レルムでカスタム セキュリティ プロバイダをコンフィグレーションします。WebLogic 認証プロバイダや WebLogic ID アサーション プロバイダの後の認証プロセスにカスタム セキュリティ プロバイダを含めます。この順序付けによって、パフォーマンスが若干低下することがあります。

ユーザ アカウントを保護する独自のメカニズムを備えた認証プロバイダを使用する場合は、[ロックアウト有効化] 属性を無効化します。

ユーザ アカウントがロックされたためそのユーザ アカウントを削除して、同じ名前とパスワードを持つ別のユーザ アカウントを追加しても、UserLockout 属性はリセットされません。

 

ユーザ アカウントのロック解除

管理対象サーバで、ロックされたユーザ アカウントのロックを解除するには、Admin 特権を持つユーザが次のコマンドを実行します。

java weblogic.Admin -url url -username adminuser 
-password passwordforadminuser -type weblogic.mangement.security.authentication.UserLockoutManager -method clearLockout lockedusername

また、[ロックアウト遅延] 属性に指定した時間だけ待機することもできます。この属性に指定された時間を過ぎるとユーザ アカウントのロックは解除されます。

Administration Console を使用してユーザ アカウントのロックを解除するには、次の手順に従います。

  1. サーバの [モニタ|セキュリティ] タブを展開します。
  2. [ユーザ] テーブルで、ロックを解除するユーザの [詳細] リンクをクリックします。
  3. [ロック解除] をクリックします。

 

フッタのナビゲーションのスキップ  ページの先頭 前 次