ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 8.1 ドキュメント > WebLogic Security の管理 > 互換性セキュリティの使い方

WebLogic Security の管理

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

互換性セキュリティの使い方

以下の節では、互換性セキュリティをコンフィグレーションする方法について説明します。

注意 : 互換性セキュリティは、このリリースの WebLogic Server では非推奨になっています。互換性セキュリティは、WebLogic Server デプロイメントをこのリリースの WebLogic Server のセキュリティ機能にアップグレードするときにのみ使用してください。

 

互換性セキュリティの実行 : 主な手順

互換性セキュリティを設定するには、次の手順に従います。

  1. 互換性セキュリティを使用する前に、バージョン 6.x の WebLogic ドメイン (config.xml ファイルを含む) のバックアップ コピーを作成しておきます。
  2. 以下の記述がない場合は、6.x config.xml ファイルに追加します。

    3. <Security Name="mydomain" Realm="mysecurity"/>
    <Realm Name=    "mysecurity" FileRealm="myrealm"/>
    <FileRealm Name="    myrealm"/>

  3. WebLogic Server を新しいディレクトリにインストールします。既存の 6.x インストール ディレクトリに上書きしないでください。詳細については、『WebLogic Platform のインストール』を参照してください。
  4. 新しい WebLogic Server を指すように 6.x サーバの起動スクリプトを修正します。具体的には、次のとおり修正します。
  5. 6.x サーバの起動スクリプトを使用して WebLogic Server を起動します。

互換性セキュリティを適切に実行しているかどうかを検証するには、次の手順に従います。

  1. Administration Console で [ドメイン] ノードを展開します。
  2. 目的の WebLogic Server ドメイン (以下「ドメイン」) を選択します。
  3. [ドメイン ログの表示] リンクをクリックします。

    4. 次のメッセージがログに表示されます。

    Security initializing using realm CompatibilityRealm

さらに、WebLogic Server Administration Console に [以前のセキュリティ] ノードが表示されます。

 

CompatibilityRealm のデフォルト セキュリティ コンフィグレーション

デフォルトでは、レルム アダプタ裁決プロバイダ、レルム アダプタ認証プロバイダ、WebLogic 認可プロバイダ、レルム アダプタ認可プロバイダ、WebLogic 資格マッピング プロバイダ、および WebLogic ロール マッピング プロバイダを備えた CompatibilityRealm がコンフィグレーションされています。

 

レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション

レルム アダプタ認証プロバイダには、ID アサーション プロバイダが含まれています。ID アサーション プロバイダは、weblogic.security.acl.CertAuthenticator クラスの実装との下位互換性を保持しています。ID アサーションは X.509 トークンに基づいて実行されます。デフォルトでは、ID アサーション プロバイダはレルム アダプタ認証プロバイダで有効になっていません。

レルム アダプタ認証プロバイダで ID アサーション プロバイダを有効にするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. CompatibilityRealm を選択します。
  3. [プロバイダ] ノードを展開します。
  4. [認証] を選択します。
  5. [レルム] テーブルで [Realm Adapter Authenticator] リンクをクリックします。

    6. [全般] タブが表示されます。

  6. [アクティブなタイプ] リスト ボックスに X.509 と入力します。

    7. この手順により、6.x 証明書認証プロバイダの使用が有効になります。

  7. [適用] をクリックします。
  8. WebLogic Server を再起動します。

 

レルム アダプタ監査プロバイダのコンフィグレーション

レルム アダプタ監査プロバイダを利用すれば、互換性セキュリティを使用する場合に weblogic.security.audit.AuditProvider クラスの実装を使用できるようになります。レルム アダプタ監査プロバイダが正常に機能するためには、weblogic.security.audit.AuditProvider クラスの実装が、ドメインのセキュリティ設定の [互換性|全般] タブの [監査プロバイダ クラス] 属性で定義されている必要があります。

レルム アダプタ監査プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [以前のセキュリティ|レルム] ノードを展開します。
  2. [プロバイダ] ノードを展開します。
  3. [監査] を選択します。
  4. [Realm Adapter Auditor のコンフィグレーション] リンクをクリックします。

    5. [全般] タブが表示されます。

  5. [作成] をクリックして変更を保存します。
  6. WebLogic Server を再起動します。

 

互換性セキュリティでのユーザ アカウントの保護

WebLogic Server には、ユーザ アカウントを侵入者から保護するための属性セットが用意されています。デフォルトでは、これらの属性は最高の保護レベルに設定されています。システム管理者は、すべての属性を無効にしたり、アカウントがロックされるまでの無効なログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。

ユーザ アカウントを保護する属性セットは 2 種類あります。一方はドメインで設定し、もう一方はセキュリティ レルムで設定します。一方の属性セット (たとえばセキュリティ レルムの属性) を設定している場合に、そのいずれかの値が超過しても、ユーザ アカウントがロックされないことがあります。これは、ドメインのユーザ アカウント属性がセキュリティ レルムのユーザ アカウント属性をオーバーライドすることが原因で発生します。この状況を回避するには、セキュリティ レルムのユーザ アカウント属性を無効にします。

WebLogic Server ドメインのユーザ アカウントを保護するには、次の手順に従います。

  1. ドメイン ノード (mydomain など) を展開します。
  2. [全般] タブの最下部にある [ドメインのセキュリティ設定の表示] リンクをクリックします。
  3. [互換性|パスワード] タブを選択します。
  4. 指示に従って値を入力したり、必要なチェック ボックスをチェックしたりすることにより、このタブで必要な属性を定義します (詳細については次の表を参照してください)。
  5. [適用] をクリックして選択を保存します。
  6. WebLogic Server を再起動します。

次の表では、[パスワード] タブの各属性について説明します。

表 11-1 パスワード保護の属性

属性

説明

[最小パスワード文字数]

パスワードに必要な文字数。パスワードは 8 文字以上でなければならない。デフォルトでは 8。

[ロックアウト有効化]

ユーザ アカウントへの無効なログインが指定された [ロックアウトしきい値] を超えたときにそのユーザ アカウントのロックを要求する。デフォルトで、この属性は有効。

[ロックアウトしきい値]

アカウントにログインしようとする場合に、アカウントがロックアウトされるまでにユーザが間違ったパスワードを入力してもよい回数。この回数を超えてログインを試みると、(ユーザ名/パスワードの組み合わせが正しい場合でも) セキュリティ例外が発生して、アカウントがロックアウトされる。システム管理者が明示的にロックを解除するか、またはロックアウト遅延時間が終了するまで、アカウントはロックアウトされたままとなる。ただし、これは無効なログインが [ロックアウト リセット遅延] 属性で定義された時間内に繰り返された場合に限る。デフォルトでは 5。

[ロックアウト遅延]

[ロックアウト リセット遅延] 属性で定義された時間内に無効なログインが一定回数以上繰り返されたためにユーザ アカウントがロックされた後、ユーザ アカウントにアクセスできるようになるまでの時間 (分単位)。ユーザ アカウントをロック解除するには、weblogic.passwordpolicyunlockuser パーミッションが必要。デフォルトでは 30 分。

[ロックアウト リセット遅延]

ここで指定した分単位の時間内に一定回数以上の無効なログインが試みられた場合に、ユーザのアカウントをロックする。

[ロックアウトしきい値] 属性で定義された無効なログインの試行回数が、この属性に定義された時間内に行われた場合、アカウントはロックアウトされる。たとえば、この属性の値が 5 分で、6 分間に 3 回ログインが失敗した場合、アカウントはロックされない。しかし、5 分以内に 5 回の無効なログインが繰り返された場合、アカウントはロックされる。

デフォルトでは 5 分。

[ロックアウト キャッシュ サイズ]

試行されなかったログインと試行された無効なログインのキャッシュ サイズを指定する。デフォルトでは 5。


 

セキュリティ レルムのユーザ アカウント属性を無効にするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. CompatibilityRealm をクリックします。
  3. [ユーザ ロックアウト] タブをクリックします。
  4. [ロックアウト有効化] 属性のチェックをはずします。
  5. [適用] をクリックします。
  6. WebLogic Server を再起動します。

警告 : セキュリティ レルムのユーザ アカウント属性を無効にした場合は、ドメインでユーザ アカウント属性を設定する必要があります。そうしないと、ユーザ アカウントが保護されなくなります。

 

互換性セキュリティからの 6.x セキュリティへのアクセス

互換性セキュリティを使用する場合は、ユーザおよびグループを定義するセキュリティ レルムと WebLogic Server ドメインのリソースを保護する ACL のある config.xml ファイルがすでに存在するものと想定されます。セキュリティ レルムをコンフィグレーションしたり、ACL を定義したりといった 6.x セキュリティ管理タスクは必要ではないので、それらの管理タスクはこの章では説明しません。ただし、既存の 6.x セキュリティ レルムが壊れて、それを復元するしか選択肢がない場合は、WebLogic Server Administration Console オンライン ヘルプの互換性セキュリティのセクションで以下の 6.x セキュリティ管理タスクが説明されているので参照してください。

警告 : 互換性セキュリティは下位互換性のみを提供するものであり、長期的なセキュリティ ソリューションとは考えないでください。

 

ページの先頭 前 次