WebLogic Security の管理
|
 |
 |
|
以下の節では、セキュリティ レルムとセキュリティ プロバイダの間のセキュリティ データの移行に関する情報を示します。
WebLogic セキュリティ プロバイダのいくつかは、セキュリティ データの移行をサポートしています。つまり、(WebLogic 認証プロバイダの) ユーザとグループ、(WebLogic 認可プロバイダの) セキュリティ ポリシー、(WebLogic ロール マッピング プロバイダの) セキュリティ ロール、または (WebLogic 資格マッピング プロバイダの) 資格マップを、セキュリティ レルムからエクスポートして新しいセキュリティ レルムにインポートできます。各セキュリティ プロバイダのセキュリティ データを個別に移行したり、すべての WebLogic セキュリティ プロバイダのセキュリティ データ (セキュリティ レルム全体のセキュリティ データ) を一度に移行したりできます。セキュリティ データの移行には、WebLogic Server Administration Console または weblogic.admin ユーティリティを使用します。
フォーマットとは単に、セキュリティ データのエクスポートまたはインポート方法を指定するデータ フォーマットです。サポートされるフォーマットは、特定のセキュリティ プロバイダが処理方法を理解しているデータ フォーマットのリストです。
制約は、エクスポートまたはインポート処理のオプションの指定に使用されるキーと値の組み合わせです。制約を使用すると、セキュリティ プロバイダのデータベース (WebLogic Server セキュリティ プロバイダの場合は組み込み LDAP サーバ) からエクスポートまたはインポートするセキュリティ データを制御できます。たとえば、認証プロバイダのデータベースから、グループではなくユーザだけをエクスポートすることができます。サポートされる制約は、特定のセキュリティ プロバイダの移行処理で指定できる制約のリストです。たとえば、認証プロバイダのデータベースを使用して、ユーザとグループをインポートできますが、セキュリティ ポリシーはインポートできません。
エクスポート ファイルは、移行処理のエクスポートの段階で、セキュリティ データを (指定されたフォーマットで) 書き込むファイルです。インポート ファイルは、移行処理のインポートの段階で、セキュリティ データを (指定されたフォーマットで) 読み込むファイルです。エクスポート ファイルとインポート ファイルはどちらも、あるセキュリティ プロバイダのデータベースから別の場所に移行する際の、セキュリティ データの一時的な格納場所です。
セキュリティ データをエクスポートするには、次の手順に従います。
注意 : セキュリティ データのエクスポート先ディレクトリおよびファイルは、デプロイメントに関するセキュアな情報が格納されるため、オペレーティング システムのセキュリティで慎重に保護する必要があります。
セキュリティ データをインポートするには、次の手順に従います。
注意 : セキュリティ レルムからデータをエクスポートしたら、いつでもインポートできます。
セキュリティ データが適切にインポートされたことを確認するには、次の手順に従います。
注意 : セキュリティ ポリシーおよびセキュリティ ロールの引数は、Windows プラットフォーム上では小文字で、UNIX プラットフォーム上では大文字と小文字が混在した状態で格納されます。あるプラットフォーム上のドメインで定義されたセキュリティ ポリシーおよびセキュリティ ロールをエクスポートして、大文字/小文字を別の方法で処理するプラットフォーム上のドメインにインポートすると、正常に機能しない場合があります。特に、あるオペレーティング システム上では保護されている Web アプリケーション ページが、他のオペレーティング システム上では保護されない状態になることがあります。
異なるセキュリティ レルムのプロバイダ同士で、プロバイダ固有のセキュリティ データをエクスポートおよびインポートすることもできます。WebLogic Server はセキュリティ プロバイダの開発者に、標準の公開されたフォーマットを提供していません。このため、あるセキュリティ プロバイダから別のセキュリティ プロバイダにセキュリティ データをエクスポートおよびインポートするには、両方のセキュリティ プロバイダが同じフォーマットの処理方法を理解している必要があります。
注意 : WebLogic Server セキュリティ プロバイダで使用されるデータ フォーマットは非公開であるため、現時点では、WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダの間でセキュリティ データを移行することはできません。
WebLogic セキュリティ プロバイダでは、以下のフォーマットと制約がサポートされます。
WebLogic Server Administration Console では、ユーザとグループ、ユーザのみ、またはグループのみのエクスポートまたはインポートを選択できるため、WebLogic 認証プロバイダの場合にだけ制約が表示されます。
WebLogic 資格マッピング プロバイダから資格マップをエクスポートする場合、資格のパスワードをクリア テキストでエクスポートするかどうかを指定する必要があります。パスワードの暗号化に使用されるメカニズムは WebLogic Server ドメインごとに異なるため、別の WebLogic Server ドメインで使用する場合は、パスワードをクリア テキストでエクスポートできます。新しい WebLogic Server ドメインの WebLogic 資格マッピング プロバイダに資格マップがインポートされると、パスワードは暗号化されます。移行処理中にシステムでセキュアなデータを利用できるようにするため、クリア テキストの資格マップのエクスポート先となるディレクトリとファイルは慎重に保護してください。
セキュリティ プロバイダからセキュリティ データをエクスポートするには、次の手順に従います。
注意 : セキュリティ データのエクスポート先ディレクトリおよびファイルは、デプロイメントに関するセキュアな情報が格納されるため、オペレーティング システムのセキュリティで慎重に保護する必要があります。
セキュリティ プロバイダにセキュリティ データをインポートするには、次の手順に従います。
注意 : セキュリティ プロバイダからデータをエクスポートしたら、いつでもインポートできます。
注意 : セキュリティ ポリシーおよびセキュリティ ロールの引数は、Windows プラットフォーム上では小文字で、UNIX プラットフォーム上では大文字と小文字が混在した状態で格納されます。あるプラットフォーム上のドメインで定義されたセキュリティ ポリシーおよびセキュリティ ロールをエクスポートして、大文字/小文字を別の方法で処理するプラットフォーム上のドメインにインポートすると、正常に機能しない場合があります。特に、あるオペレーティング システム上では保護されている Web アプリケーション ページが、他のオペレーティング システム上では保護されない状態になることがあります。
weblogic.Admin ユーティリティを使用して、セキュリティ レルムとセキュリティ プロバイダの間でセキュリティ データをエクスポートおよびインポートすることもできます。コマンドの形式は次のとおりです。
java weblogic.Admin -username username -password password \
INVOKE -mbean mbeanname \
-method methodname dataformat filename constraints
mbeanname - セキュリティ プロバイダ MBean の名前
methodname - exportData または importData
dataformat - DefaultAtn、DefaultAtz、DefaultRoles、DefaultCreds
filename - セキュリティ データをエクスポートおよびインポートするディレクトリ位置とファイル名
注意 : セキュリティ データのエクスポート先ディレクトリおよびファイルは、デプロイメントに関するセキュアな情報が格納されるため、オペレーティング システムのセキュリティで慎重に保護する必要があります。
java weblogic.Admin -username system -password weblogic INVOKE -mbean Security:Name=myrealmDefaultAuthenticator -method importData DefaultAtn d:\temp\security.info " "
|
|
|