WebLogic Security の管理
以下の節では、ユーザ アカウントを保護する方法とユーザ アカウントのロックを解除する方法について説明します。
注意 :互換性セキュリティでのユーザ アカウントの保護については、「互換性セキュリティでのユーザ アカウントの保護」を参照してください。
WebLogic Server ドメインのリソースにアクセスするためのパスワードを保護することは重要です。ユーザ名とパスワードは以前、WebLogic セキュリティ レルムにクリア テキストで保存されていました。現在では WebLogic Server ドメインのパスワードはすべてハッシュ化されています。パスワードのハッシュは、SerializedSystemIni.dat
ファイルに格納されます。 このファイルは特定の WebLogic Server ドメインに関連付けられるため、ドメイン間で移動することはできません。
SerializedSystemIni.dat
ファイルが破損した場合は、WebLogic Server ドメインを再コンフィグレーションしなければなりません。そのため、以下の注意事項を考慮する必要があります。
SerializedSystemIni.dat
ファイルのバックアップを作成し、安全な場所に保管します。SerializedSystemIni.dat
ファイルにパーミッションを設定します。
WebLogic Server には、ユーザ アカウントを侵入者から保護するための属性セットが定義されています。デフォルト セキュリティ コンフィグレーションでは、これらの属性は最高の保護レベルに設定されています。新しいセキュリティ レルムの作成時に、これらの属性を定義する必要があります。
システム管理者は、すべての属性を無効にしたり、アカウントがロックされるまでの無効なログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。
ユーザ ロックアウトの属性を設定するには、次の手順に従います。
ユーザ アカウントがこれらの属性値を超えた場合、そのアカウントはロックされ、[ユーザ] タブのテーブルのそのアカウントの行に [詳細] という文字列が表示されます。詳細については、「ユーザ アカウントのロック解除」を参照してください。
次の表では、[ユーザ ロックアウト] タブの各属性について説明します。
[ユーザ ロックアウト] タブの属性は、デフォルト セキュリティ レルムとそのすべてのセキュリティ プロバイダに適用されます。[ユーザ ロックアウト] タブの属性は、デフォルト セキュリティ レルム以外のセキュリティ レルムにあるカスタム セキュリティ プロバイダでは機能しません。カスタム セキュリティ プロバイダで [ユーザ ロックアウト] タブの属性を使用するには、デフォルト セキュリティ レルムでカスタム セキュリティ プロバイダをコンフィグレーションします。WebLogic 認証プロバイダや WebLogic ID アサーション プロバイダの後の認証プロセスにカスタム セキュリティ プロバイダを含めます。この順序付けによって、パフォーマンスが若干低下することがあります。
ユーザ アカウントを保護する独自のメカニズムを備えた認証プロバイダを使用する場合は、[ロックアウト有効化] 属性を無効化します。
ユーザ アカウントがロックされたためそのユーザ アカウントを削除して、同じ名前とパスワードを持つ別のユーザ アカウントを追加しても、UserLockout 属性はリセットされません。
管理対象サーバで、ロックされたユーザ アカウントのロックを解除するには、Admin 特権を持つユーザが次のコマンドを実行します。
java weblogic.Admin -url
url
-username
adminuser
-passwordpasswordforadminuser
-type weblogic.mangement.security.authentication.UserLockoutManager -method clearLockout
lockedusername
また、[ロックアウト遅延] 属性に指定した時間だけ待機することもできます。この属性に指定された時間を過ぎるとユーザ アカウントのロックは解除されます。
Administration Console を使用してユーザ アカウントのロックを解除するには、次の手順に従います。