WebLogic リソースのセキュリティ
![]() |
![]() |
![]() |
![]() |
この章では、WebLogic リソースの保護の基本的な概念とタスクを説明します。
WebLogic リソースは、セキュリティ ロールとセキュリティ ポリシーを使用して権限のないアクセスから保護することができる、基底の WebLogic Server エンティティを表します。WebLogic リソースの例には、エンタープライズ アプリケーション (EAR)、EJB (JAR)、および Web アプリケーション (WAR) があります。さまざまなタイプの WebLogic リソースの詳細については、「WebLogic リソースのタイプ」を参照してください。
図 1-1 に、WebLogic リソースを保護するための全体的なプロセスを示し、その後簡単に説明します。
このマニュアルは、主にサーバ管理者を対象としています。サーバ管理者は、アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ リスクの特定、およびセキュリティ上の問題を防止するセキュリティ コンフィグレーションの提案を行います。 関連する責務として、重要なプロダクション システムの保守、セキュリティ レルムのコンフィグレーションと管理、サーバ リソースとアプリケーション リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ プロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、エンタープライズ アプリケーション、Web アプリケーション、および EJB のセキュリティ、公開鍵セキュリティ、および SSL を含む、Java セキュリティ アーキテクチャについて深い知識を備えています。
このガイドは、WebLogic Server Administration Console を使用するサーバ管理者を対象としています。WebLogic Server デプロイメントに対してセキュリティを適切にコンフィグレーションするには、このガイドとともに『WebLogic Security の管理』も参照してください。
WebLogic Server のセキュリティには、理解しておく必要のある固有の用語や概念が多数あります。WebLogic Server のセキュリティ関連マニュアルに登場するこうした用語と概念については、『WebLogic Security の紹介』の「用語」および「セキュリティの基礎概念」で定義されています。
WebLogic リソースを保護する主な手順は以下のとおりです。
WebLogic 認可プロバイダ (DefaultAuthorizer
) と WebLogic ロール マッピング プロバイダ (DefaultRoleMapper
) は、ルックアップするロール、述語、およびリソース データをキャッシュすることでパフォーマンスを向上させます。これらの WebLogic プロバイダを使用する場合は、キャッシュに格納する項目の最大数をコンフィグレーションできます。
Weblogic 認可プロバイダとロール マッピング プロバイダは、デフォルトでは次の数の項目を各キャッシュに格納します。
キャッシュのサイズが最大サイズを超えた場合は、WebLogic 資格エンジンによって、最も長い時間使用されていない (LRU) 項目がキャッシュから削除されます。
WebLogic Server インスタンス上のアプリケーションが、2000 を超えるロール、または 5000 を超えるリソースを使用する場合、キャッシュ サイズを増やすことを検討します (WebLogic プロバイダに含まれる述部は 50 未満なので、述部キャッシュのサイズを増やす必要はありません)。
キャッシュに格納される項目の最大数を変更するには、WebLogic Server インスタンスの java
起動コマンドで、次のいずれかのシステム プロパティを渡します。
-Dweblogic.entitlement.engine.cache.max_role_count=
max-roles
-Dweblogic.entitlement.engine.cache.max_predicate_count=
max-predicates
-Dweblogic.entitlement.engine.cache.max_resource_count=
max-resources
WebLogic プロバイダは、デフォルトでは項目の使用時にそれらをキャッシュに追加します。このコンフィグレーションの場合、資格データの最初のルックアップは、2 回目以降のルックアップよりも時間がかかります。起動サイクル中にキャッシュをロードするように WebLogic Server インスタンスをコンフィグレーションすると、最初のルックアップに要する時間を短縮できます。このためには、サーバの java
起動コマンドに次のシステム プロパティを渡します。
java -Dweblogic.entitlement.engine.cache.max_role_count=6001
-Dweblogic.entitlement.engine.cache.max_resource_count=3001
-Dweblogic.entitlement.engine.cache.preload=true
weblogic.Server
![]() ![]() |
![]() |
![]() |