ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 8.1 ドキュメント > WebLogic Security の管理 > デフォルト セキュリティ コンフィグレーションのカスタマイズ

WebLogic Security の管理

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

デフォルト セキュリティ コンフィグレーションのカスタマイズ

以下の節では、デフォルト セキュリティ レルムのカスタマイズ、新しいセキュリティ レルムの作成、およびセキュリティ レルムのデフォルト (アクティブ) セキュリティ レルムとしての設定について説明します。

セキュリティ データの新しいセキュリティ レルムへの移行については、「セキュリティ データの移行」を参照してください。

 

デフォルト セキュリティ コンフィグレーションをカスタマイズする理由

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ コンフィグレーションが用意されています。デフォルト セキュリティ コンフィグレーションでは、myrealm がデフォルト (アクティブ) セキュリティ レルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロール マッピングの各プロバイダがセキュリティ プロバイダとして定義されています。デフォルト セキュリティ コンフィグレーションは、以下の場合にカスタマイズします。

デフォルト セキュリティ コンフィグレーションをカスタマイズする最も簡単な方法は、デフォルト セキュリティ レルム (myrealm) に目的のセキュリティ プロバイダを追加することです。セキュリティ レルムでさまざまなタイプのセキュリティ プロバイダをコンフィグレーションする方法については、「セキュリティ プロバイダのコンフィグレーション」を参照してください。

ただし、新しいセキュリティ レルムを作成し、そのセキュリティ レルムでセキュリティ プロバイダをコンフィグレーションし、その新しいセキュリティ レルムをデフォルト セキュリティ レルムとして設定することもできます。セキュリティ コンフィグレーションをアップグレードする場合は、この方法をお勧めします。

この章の以降の節では、新しいセキュリティ レルムを作成し、そのセキュリティ レルムをデフォルト (アクティブ) セキュリティ レルムとして設定する方法について説明します。

 

新しいセキュリティ レルムの作成

新しいセキュリティ レルムを作成するには、次の手順に従います。

  1. WebLogic Server Administration Console の左ペインで、[セキュリティ|レルム] ノードを展開します。

    2. [レルム] テーブルに、WebLogic ドメインで使用可能なすべてのセキュリティ レルムが表示されます。

  2. [新しい Realm のコンフィグレーション] リンクをクリックします。
  3. [全般] タブの [名前] 属性に、新しいセキュリティ レルムの名前を入力します。
  4. [ロールとポリシーのチェック対象] 属性を設定します。以下のオプションがあります。
  5. [今後の再デプロイの設定] 属性を使用して、URL および EJB リソースの保護方法を WebLogic Server に指示します。
  6. weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバに資格マップをロードしてから、WebLogic Server Administration Console を使用して、新しい資格マップを作成したり、デプロイメント記述子で定義されている資格マップを変更したりすることもできます。

    7. weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバに情報をロードしても、元のリソース アダプタはそのまま変更されません。したがって、元のリソース アダプタを再デプロイすると (WebLogic Server Administration Console から再デプロイする、ディスク上で変更する、または WebLogic Server を再起動する場合に発生)、weblogic-ra.xml デプロイメント記述子ファイルからデータが再びインポートされて、資格マッピング情報は失われる可能性があります。

    新しい資格マッピング情報が weblogic-ra.xml デプロイメント記述子ファイルの古い情報で上書きされないようにするには、新しいセキュリティ レルムの [デプロイの資格マッピングを無視] 属性を有効にします。

  7. Web リソースは、このリリースの WebLogic Server で非推奨になりました。新しいセキュリティ レルムで、URL リソースではなく Web リソースを使用するカスタム認可プロバイダをコンフィグレーションする場合は、新しいセキュリティ レルムの [非推奨の Web リソースを使用] 属性を有効にしてください。この属性によってサーブレット コンテナの実行時の動作が変更され、認可を実行する際に URL リソースではなく Web リソースが使用されます。
  8. [作成] をクリックします。
  9. セキュリティ レルムで必要なセキュリティ プロバイダをコンフィグレーションします。有効なセキュリティ レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格マッピング プロバイダ、およびロール マッピング プロバイダが必須です。コンフィグレーションしない場合、新しいセキュリティ レルムをデフォルトのセキュリティ レルムとして設定できません。「セキュリティ プロバイダのコンフィグレーション」を参照してください。

    10. 注意 :新しいセキュリティ レルムを作成する場合、少なくとも 1 つのコンフィグレーション済み認証プロバイダがアサートされた LoginModule を返す必要があります。それ以外の場合、デプロイメント記述子に定義される run-as タグが有効になりません。

  10. 必要に応じて、ID アサーション プロバイダおよび監査プロバイダを定義します。 「セキュリティ プロバイダのコンフィグレーション」を参照してください。
  11. 新しいセキュリティ レルムで WebLogic 認証プロバイダ、認可プロバイダ、資格マッピング プロバイダ、またはロール マッピング プロバイダをコンフィグレーションした場合は、組み込み LDAP サーバのデフォルトの属性設定を検証してください。「組み込み LDAP サーバの管理」を参照してください。
  12. 必要に応じて、セキュリティ レルムの WebLogic 認証プロバイダおよび LDAP 認証プロバイダのパフォーマンスを向上させます。「WebLogic 認証プロバイダおよび LDAP 認証プロバイダのパフォーマンスの向上」を参照してください。
  13. 新しいセキュリティ レルム内の WebLogic リソースをセキュリティ ポリシーで保護します。セキュリティ ポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳細に理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対してセキュリティが完全にコンフィグレーションされていることを確認するには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。
  14. 新しいセキュリティ レルムのユーザ アカウントを保護します。「ユーザ アカウントの保護」を参照してください。
  15. 新しいセキュリティ レルムをテストして、有効かどうかを確認します。「新しいセキュリティ レルムのテスト」を参照してください。
  16. 新しいレルムを WebLogic Server ドメインのデフォルト セキュリティ レルムとして設定します。「新しいセキュリティ レルムのデフォルト (アクティブ) セキュリティ レルムとしての設定」を参照してください。
  17. WebLogic Server を再起動します。

 

新しいセキュリティ レルムのテスト

新しいセキュリティ レルムのコンフィグレーションは複雑なタスクです。セキュリティ レルムを不適切にコンフィグレーションすると、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定できません。WebLogic Server では、セキュリティ レルムのコンフィグレーションを検証して、正しいかどうかを確認することができます。

新しいセキュリティ レルムのコンフィグレーションを検証するには、次の手順に従います。

  1. 新しいセキュリティ レルムの作成」で説明されているようにセキュリティ レルムをコンフィグレーションします。
  2. WebLogic Server Administration Console の左ペインで、[セキュリティ|レルム] ノードを展開します。

    3. [レルム] テーブルには、WebLogic Server ドメインでコンフィグレーションされているすべてのセキュリティ レルムが表示されます。

  3. 検証するレルムを選択します。
  4. [テスト] タブを選択します。
  5. [このセキュリティ レルムを検証] リンクをクリックします。

    6. セキュリティ レルムのコンフィグレーションに問題がある場合は [テスト] ページに表示されます。

 

新しいセキュリティ レルムのデフォルト (アクティブ) セキュリティ レルムとしての設定

新しいセキュリティ レルムで属性を定義したら、セキュリティ レルムでセキュリティ プロバイダをコンフィグレーションし、新しいセキュリティ レルムのコンフィグレーションが有効かどうかを確認して、新しいセキュリティ レルムをデフォルト (アクティブ) セキュリティ レルムとして設定します。

新しいセキュリティ レルムをデフォルト (アクティブ) セキュリティ レルムとして設定するには、次の手順に従います。

  1. WebLogic Server Administration Console の左ペインで、ドメインを表すノード (サンプル ドメインなど) を展開します。
  2. [ドメインのセキュリティ設定の表示] リンクをクリックします。
  3. [全般] タブを選択します。

    4. [デフォルト レルム] 属性のプルダウン メニューに、WebLogic Server ドメインにコンフィグレーションされているセキュリティ レルムが表示されます。

    注意 :新しいセキュリティ レルムを作成しても、そのセキュリティ レルムに最小限必要なセキュリティ プロバイダをコンフィグレーションしていない場合、レルムはプルダウン メニューに表示されません。

  4. デフォルト セキュリティ レルムに設定するセキュリティ レルムを選択します。
  5. [適用] をクリックします。
  6. WebLogic Server を再起動します。WebLogic Server を再起動しない場合、新しいレルムはデフォルト セキュリティ レルムに設定されません。

デフォルト セキュリティ レルムを設定したことを確認するには、次の手順に従います。

WebLogic Server Administration Console の左ペインで、[セキュリティ|レルム] ノードを展開します。[レルム] テーブルには、WebLogic Server ドメインでコンフィグレーションされているすべてのレルムが表示されます。デフォルト (アクティブ) セキュリティ レルムは、[デフォルト レルム] 属性が true に設定されているレルムです。

 

セキュリティ レルムの削除

セキュリティ レルムを削除するときに、ユーザ、グループ、セキュリティ ロール、セキュリティ ポリシー、および資格マップ情報は組み込み LDAP サーバから削除されません。外部 LDAP ブラウザを使用して、組み込み LDAP サーバから不要なエントリを削除してください。詳細については、「LDAP ブラウザからの組み込み LDAP サーバの内容の表示」を参照してください。

セキュリティ レルムを削除するには、次の手順に従います。

  1. WebLogic Server Administration Console の左ペインで、[セキュリティ|レルム] ノードを展開します。

    2. [レルム] テーブルには、WebLogic ドメインでコンフィグレーションされているすべてのレルムが表示されます。

  2. 削除するセキュリティ レルムの行にあるごみ箱アイコンをクリックします。
  3. 次の質問に対して、[はい] をクリックします。

    4. ドメイン コンフィグレーションから OldRealm を本当に削除しますか?

    セキュリティ レルムが削除されると、確認メッセージが表示されます。

 

以前のセキュリティ コンフィグレーションへの復帰

新しいセキュリティ レルムやセキュリティ プロバイダをコンフィグレーションするときに間違えやすいことがあります。間違えた場合、サーバの起動や間違いの訂正ができなくなる可能性があります。config.xml ファイルを元に戻すと、以前のレルム コンフィグレーションが回復します。

デフォルトでは、管理サーバは domain-name/configArchive ディレクトリに config.xml ファイルを 5 バージョンまでアーカイブします。以前のセキュリティ コンフィグレーションに戻すには、次の手順に従います。

  1. アーカイブされたコピーを、一時ディレクトリにすべてコピーします。
  2. アーカイブされたいずれかの config.xml ファイルを、現在使用しているドメイン ディレクトリにコピーします。アーカイブされるファイルは、最新のファイルに最も大きな番号のサフィックスが付くようにローテーションされています。
  3. WebLogic Server を再起動します。

この処理ではセキュリティ レルム (レルムとそのプロバイダ) が元に戻るだけで、ユーザ、グループ、ロール、またはセキュリティ ポリシーは戻されないことに注意してください。そのセキュリティ レルムとプロバイダは再コンフィグレーションする必要がありますが、それでもユーザ、グループ、ロール、およびセキュリティ ポリシーは存在します。

 

フッタのナビゲーションのスキップ  ページの先頭 前 次