WebLogic Tuxedo Connector 管理ガイド
|
 |
 |
|
注意 : WebLogic Tuxedo Connector を含む WebLogic Server 管理の詳細については、『コンフィグレーション リファレンス』を参照してください。
以下の節では、接続の確立方法および WebLogic Server アプリケーションと Tuxedo 環境の間にセキュリティを提供する方法について説明します。WebLogic Tuxedo Connector では、Tuxedo アクセス ポイント間の通信に必要な相互運用属性に類似した属性を使用します。
以下の節では、WebLogic Tuxedo Connector のコンフィグレーション情報について説明します。
注意 : 動的ステータスの詳細については、「ConnectionPolicy の動的ステータスへの影響」を参照してください。
アクセス ポイントがリモート アクセス ポイントとの接続を確立する条件を指定できるオプションがいくつかあります。これらの条件は、WTC サービスのローカル Tuxedo アクセス ポイントおよびリモート Tuxedo アクセス ポイントのコンフィグレーションで [接続] タブの ConnectionPolicy 属性を使用して指定します。次の接続ポリシーのいずれかを選択できます。
On Startup および Incoming Only の接続ポリシーでは、動的ステータスが呼び出されます。動的ステータスは、各リモート アクセス ポイントに関連してインポートされたサービスのステータスをチェックして、レポートします。
On Startup のポリシーは、ゲートウェイ サーバの初期化時に、アクセス ポイントがリモート アクセス ポイントを使用して接続を確立することを示します。この接続ポリシーは、RetryInterval パラメータと MaxRetries パラメータで指定された一定の間隔で、エラーとなった接続を再試行します。起動時に接続を要求するには、ローカル Tuxedo アクセス ポイントの [接続] タブで ConnectionPolicy 属性を On Startup に設定します。
自動接続の試行の頻度は、接続を再試行する前にアクセス ポイントが待機する間隔 (秒) を指定することによって制御できます。最小値は 0、デフォルト値は 60、そして最大値は 2147483647 です。
注意 : ConnectionPolicy が On Startup に設定されているときだけ使用してください。他の接続ポリシーの場合、再試行処理は無効になります。
MaxRetries パラメータに値を割り当てることによって、アクセス ポイントが終了するまでにリモート アクセス ポイントへの接続を試行する回数を指定します。最小値は 0、デフォルトおよび最大値は 2147483647 です。
MaxRetries を 0 に設定すると、自動接続の試行処理はオフになります。サーバは、リモート アクセス ポイントに自動接続しません。MaxRetries に数値を設定すると、アクセス ポイントは指定された回数だけ接続を再試行してから終了します。MaxRetries を 2147483647 に設定すると、再試行処理は無期限でまたは接続が確立するまで繰り返されます。注意 : ConnectionPolicy を指定しない場合、WebLogic Tuxedo Connector は On Demand の ConnectionPolicy を使用します。
On Demand の接続ポリシーは、リモート サービスに対するクライアント リクエスト、または管理接続コマンドのいずれかによって要求されたときのみに、接続が試行されることを示します。
Incoming Only の接続ポリシーは、アクセス ポイントが起動時にリモート アクセス ポイントへの接続を確立しないことを示します。アクセス ポイントはリモート アクセス ポイントからの受信時接続に使用可能で、リモート サービスはアクセス ポイントが受信時接続を受け付けたときに通知されます。
注意 : LOCAL の ConnectionPolicy は、ローカル アクセス ポイントでは無効です。
LOCAL の接続ポリシーは、リモート ドメインの接続ポリシーが明示的にローカル ドメインの ConnectionPolicy 属性値にデフォルト設定されることを示します。リモート アクセス ポイントの ConnectionPolicy が定義されていない場合、システムは関連するローカル アクセス ポイントで指定されている設定を使用します。
動的ステータスは、リモート サービスの可用性を決定します。使用される接続ポリシーは、動的ステータス機能がサービスで使用可能かどうかを決定します。次の表は、ConnectionPolicy の動的ステータス機能に対する影響を示します。
|
|
|
|
|
注意 : Tuxedo T/ Domain では、バックアップ リモート アクセス ポイントは 2 つに制限されています。WebLogic Tuxedo Connector には、サーバにコンフィグレーションできるバックアップ アクセス ポイントの数に制限はありません。
WebLogic Tuxedo Connector が提供するフェイルオーバは、プライマリ リモート アクセス ポイントでエラーが発生したとき、代替リモート アクセス ポイントにリクエストを転送するメカニズムです。このフェイルオーバは、アクセス ポイントが復元されると、プライマリ リモート アクセス ポイントにフェイルバックします。このレベルのフェイルオーバおよびフェイルバックは、動的ステータスに依存します。フェイルオーバとフェイルバックを有効にするには、アクセス ポイントが On Startup または Incoming Only の接続ポリシーでコンフィグレーションされている必要があります。
フェイルバックを使用するには、Connection Policy パラメータの値に On Startup または Incoming Only を指定する必要があります。
On Demand の接続ポリシーは、リモート アクセス ポイントが常に使用可能であることを想定して動作するため、フェイルバックには適しません。接続ポリシーとして On Startup または Incoming Only を指定しないと、サーバは Tuxedo の RDOM パラメータを使用して指定した代替リモート アクセス ポイントにフェイルオーバできません。
注意 : リモート アクセス ポイントはそれに対するネットワーク接続があれば「使用可能」であり、それに対するネットワーク接続がなければ「使用不可能」です。
フェイルオーバをサポートするには、特定のサービスを実行する責任を持つリモート アクセス ポイントを指定する必要があります。WTC サービスで、以下の項目を指定する必要があります。
TOUPPER というサービスが、TDOM1 と TDOM3 という 2 つのリモート アクセス ポイントから使用可能であるとします。使用する WTC サービスには 2 つのリモート Tuxedo アクセス ポイント コンフィグレーションと 2 つのインポートされたサービス コンフィグレーションが含まれています。config.xml ファイルに定義されている WTC サービスの内容は次のとおりです。
<WTCServer Name="WTCsimpapp"
<WTCExport EJBName="tuxedo.services.TOLOWERHome"
LocalAccessPoint="TDOM2" Name="myExportedResources"
ResourceName="TOLOWER"/><WTCImport LocalAccessPoint="TDOM2" Name="myImportedResources"<WTCLocalTuxDom AccessPoint="TDOM2" AccessPointId="TDOM2"
RemoteAccessPointList="TDOM1" ResourceName="TOUPPER"/>
<WTCImport LocalAccessPoint="TDOM2" Name="2ndImportedResources"
RemoteAccessPointList="TDOM3" ResourceName="TOUPPER"/>
ConnectionPolicy="ON_DEMAND" Interoperate="no"
NWAddr="//123.123.123.123:5678" Name="myLoclTuxDom" Security="NONE"/>
<WTCRemoteTuxDom AccessPoint="TDOM1" AccessPointId="TDOM1"</WTCServer>
LocalAccessPoint="TDOM2" NWAddr="//123.123.123.123:1234"
Name="myRTuxDom"/>
<WTCRemoteTuxDom AccessPoint="TDOM3" AccessPointId="TDOM3"
LocalAccessPoint="TDOM2" NWAddr="//234.234.234.234:5555"
Name="2ndRemoteTuxDom"/>
フェイルバックは、プライマリ リモート アクセス ポイントへのネットワーク接続が、次の理由で再確立された場合に発生します。
注意 : Tuxedo 6.5 ユーザは、Interoperate パラメータを Yes に設定します。
ドメイン ゲートウェイは、リモート アクセス ポイントから要求された受信時接続、およびローカル アクセス ポイントから要求された送信時接続を認証するように設定できます。アプリケーション管理者は、リモート アクセス ポイントからの受信時接続のセキュリティを強化する必要のある場合を定義できます。WTC サービスのローカル Tuxedo アクセス ポイント コンフィグレーションの [セキュリティ] タブで [セキュリティ] 属性を設定すると、特定のローカル アクセス ポイントで使用するセキュリティのレベルを指定できます。パスワード セキュリティには次のような 3 つのレベルがあります。
weblogic.wtc.gwt.genpasswd ユーティリティを使用します。weblogic.wtc.gwt.genpasswd ユーティリティを使用します。WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの [セキュリティ] 属性は、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY 属性と一致していなければなりません。
注意 : PasswordKey の割り当て方法については、「WebLogic Tuxedo Connector プロパティの設定方法」を参照してください。
weblogic.wtc.gwt.genpasswd を使用して、ローカル パスワード、リモート パスワード、およびアプリケーション パスワードの属性の暗号パスワードを生成します。このユーティリティは、キーを使用して WTC サービスのパスワード コンフィグレーションまたはリソース コンフィグレーションにコピーされるパスワードを暗号化します。
-Dweblogic.wtc.PasswordKey=mykey
引数なしでユーティリティを呼び出し、コマンドライン オプションを表示します。
$ java weblogic.wtc.gwt.genpasswd
Usage: genpasswd Key <LocalPassword|RemotePassword|AppPassword> <local|remote|application>
キー値、暗号化するパスワード、およびパスワード タイプを指定してこのユーティリティを呼び出します。
$ java weblogic.wtc.gwt.genpasswd Key1 LocalPassword1 local
このユーティリティは、エンコードされたパスワードとパスワード IV を返します。返された結果を切り取り、WTC サービスのパスワード コンフィグレーションの適切なフィールドに貼り付けます。
[ローカル パスワード] : my_password
[ローカル パスワード IV] : my_passwordIV
次の例では、ローカル アクセス ポイントのパスワードとして「LocalPassword1」を暗号化するために key1 を使用します。
$ java weblogic.wtc.gwt.genpasswd key1 LocalPassword1 local
Local Password : FMTCg5Vi1mTGFds1U4GKIQQj7s2uTlg/ldBfy6Kb+yY=
Local Password IV : NAGikshMiTE=
次の例では、リモート アクセス ポイントのパスワードとして「RemotePassword1」を暗号化するために mykey を使用します。
$ java weblogic.wtc.gwt.genpasswd mykey RemotePassword1 remote
Remote Password : A/DgdJYOJunFUFJa62YmPgsHan8pC02zPT0T7EigaVg=
Remote Password IV : ohYHxzhYHP0=
次の例では、アプリケーション パスワードとして「test123」を暗号化するために mykey を使用します。
$ java weblogic.wtc.gwt.genpasswd mykey test123 application
App Password : uou2MALQEZgNqt8abNKiC9ADN5gHDLviqO+Xt/VjakE=
App Password IV : eQuKjOaPfCw=
アクセス制御リスト (ACL) は、サービスを実行できるリモート Tuxedo アクセス ポイントを制限することによって、ローカル アクセス ポイントの内部にあるローカル サービスへのアクセスを制限します。リモート Tuxedo アクセス ポイントからの着信ポリシーは、AclPolicy 属性を使用して指定します。リモート Tuxedo ドメインへの発信ポリシーは、CredentialPolicy 属性を使用して指定します。これによって、WebLogic Server と Tuxedo アプリケーションは同じセットのユーザを共有でき、ユーザはあるシステムから別のシステムへユーザの資格を伝播できます。
AclPolicy および CredentialPolicy の有効な値は次のとおりです。
WebLogic Tuxedo Connector の ACL ポリシーが「Local」に設定されている場合、ローカル サービスへのアクセスは、CredentialPolicy には依存しません。Tuxedo リモート ドメインの DOMAINID は、ローカルな WebLogic Server ユーザとして認証されます。WebLogic Tuxedo Connector で DOMAINID がローカル ユーザとして認証されるようにするには、WebLogic Server コンソールを使用して、以下の手順を実行します。
WebLogic Tuxedo Connector の ACL ポリシーが「GLOBAL」になっている場合、ローカル サービスへのアクセスは、CredentialPolicy によって異なります。
CredentialPolicy が GLOBAL に設定された状態でリモート ドメインが実行されている場合、リクエストには呼び出し側の資格があります。
CredentialPolicy が LOCAL に設定された状態でリモート ドメインが実行されている場合、その結果は呼び出しを発行したユーザ コンフィグレーションによって異なります。
Tuxedo 6.5 ユーザは、Interoperate パラメータを Yes に設定します。AclPolicy 要素と CredentialPolicy 要素は無視され、Tuxedo リモート ドメイン DOMAINID は、ローカル WebLogic Server ユーザとして認証されます。ユーザ セキュリティ機能が必要で、かつ WebLogic Tuxedo Connector を使用する場合は、Tuxedo 7.1 以上にアップグレードする必要があります。
以下の節では、Tuxedo にセキュリティ情報を提供するように WebLogic Tuxedo をコンフィグレーションする方法について説明します。
TpUsrFile プラグインでは、シングル ポイント セキュリティ管理またはカスタム セキュリティ認証を必要としないユーザ向けに、従来の Tuxedo TpUsrFile 機能が提供されます。Tuxedo アプリケーションと WebLogic Server アプリケーションの間で TpUsrFile プラグインの AppKey ジェネレータを使用してセキュリティを提供するように WebLogic Tuxedo Connector をコンフィグレーションするには、次の手順に従います。
WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの security 属性を、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY パラメータと一致するように設定します。
WTC サービスのリモート Tuxedo アクセス ポイントの [セキュリティ] タブを、着信および発信のアクセス制御リスト (ACL) ポリシーを確立するようにコンフィグレーションします。
WebLogic Server 環境を準備するには、次の手順を実行します。
WebLogic Server 環境に Tuxedo tpusr ファイルのコピーが必要です。TUXEDO から WebLogic Server アプリケーション環境に tpusr ファイルをコピーするか、独自の tpusr ファイルを生成します。Tuxedo tpusr ファイル作成の詳細については、「ユーザ レベルの認証によるセキュリティを有効にする方法」を参照してください。
TpUsrFile の場所は、リモート Tuxedo アクセス ポイント コンフィグレーションまたはリソース コンフィグレーションから指定できます。TpUsrFile 属性の値の割り当ては、リモート Tuxedo アクセス ポイントのすべてのコンフィグレーションで個別に行うよりも、WTC サービス レベルでグローバルに行う方が簡単です。TpUsrFile 属性のコンフィグレーションに最も適した場所を決定するには、次のガイドラインに従ってください。
LDAP プラグインではシングル ポイント セキュリティ管理が提供され、WebLogic Server 組み込み LDAP サーバでのユーザ セキュリティ情報の管理、および WebLogic Server Console を使用した単一システムからのセキュリティ情報の管理が可能になります。Tuxedo 8.1 以降が必要です。Tuxedo アプリケーションと WebLogic Server アプリケーションの間で LDAP プラグインの AppKey ジェネレータを使用してセキュリティを提供するように WebLogic Tuxedo Connector をコンフィグレーションするには、次の手順に従います。
シングル ポイント セキュリティ管理の実装方法の詳細については、「シングル ポイント セキュリティ管理のインプリメント」を参照してください。WebLogic Security の詳細については、『WebLogic Security の紹介』を参照してください。
WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの security 属性を、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY パラメータと一致するように設定します。
WTC サービスのリモート Tuxedo アクセス ポイントの [セキュリティ] タブを、着信および発信のアクセス制御リスト (ACL) ポリシーを確立するようにコンフィグレーションします。
WebLogic Server 環境を準備するには、次の手順を実行します。
注意 : カスタム プラグインの作成方法の詳細については、「カスタム AppKey プラグインの作成方法」を参照してください。
カスタム プラグインを使用すると、カスタマイズされたセキュリティ認証を作成できます。Tuxedo アプリケーションと WebLogic Server アプリケーションの間でカスタム プラグインの AppKey ジェネレータを使用してセキュリティを提供するように WebLogic Tuxedo Connector をコンフィグレーションするには、次の手順に従います。
WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの security 属性を、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY パラメータと一致するように設定します。
WTC サービスのリモート Tuxedo アクセス ポイントの [セキュリティ] タブを、着信および発信のアクセス制御リスト (ACL) ポリシーを確立するようにコンフィグレーションします。
WebLogic Server 環境を準備するには、次の手順を実行します。
リモート Tuxedo アクセス ポイントの [セキュリティ] タブの [匿名アクセスを許可する] 属性では、匿名ユーザによる Tuxedo へのアクセスを許可するかどうかを指定します。匿名ユーザによる Tuxedo へのアクセスを許可する場合、TpUsrFile と LDAP の AppKey プラグインには [デフォルト AppKey] 属性の値が使用されます。TpUsrFile プラグインと LDAP AppKey プラグインでは、[匿名アクセスを許可する] 属性が有効な場合以外は、ユーザ データベースに定義されていないユーザによる Tuxedo へのアクセスが許可されません。カスタム AppKey プラグインとの対話は、カスタム AppKey ジェネレータの設計に応じて異なります。
[デフォルト AppKey] のデフォルト値は -1 です。この値を使用する場合は、このキー値に割り当てられているユーザが Tuxedo 環境に存在することを確認する必要があります。[デフォルト AppKey] の値を 0 にしないでください。一部のシステムでは、0 はユーザをルートに指定します。
ATMI サービスと CORBA サービスによる匿名ユーザの認証方法の違いを理解しておく必要があります。ATMI サービスは、メッセージと共に送信される [デフォルト AppKey] の値を使用します。CORBA サービスは、デフォルトの WebLogic Server 匿名ユーザ名である「anonymous」を使用して、Tuxedo tpusr ファイルに定義されているユーザの資格を識別します。CORBA を使用する場合に、認証されたユーザになるには次のいずれかの方法を使用して匿名ユーザをコンフィグレーションする必要があります。
データの機密性を守るために暗号化を使用できます。これによって、ネットワークベースの傍受者は、あるドメイン ゲートウェイから別のドメイン ゲートウェイに送信されるメッセージやアプリケーション生成メッセージの内容を知ることができなくなります。このセキュリティ メカニズムをコンフィグレーションするには、WTC サービスのリモート Tuxedo アクセス ポイント コンフィグレーションの [セキュリティ] タブで MINENCRYPTBITS 属性および MAXENCRYPTBITS 属性を設定します。
注意 : 暗号を使用するには、適切なライセンスが必要です。ライセンス要件の詳細については、「ライセンス」を参照してください。
|
|
|