WebLogic Tuxedo Connector 管理ガイド
注意 : WebLogic Tuxedo Connector を含む WebLogic Server 管理の詳細については、『コンフィグレーション リファレンス』を参照してください。
以下の節では、接続の確立方法および WebLogic Server アプリケーションと Tuxedo 環境の間にセキュリティを提供する方法について説明します。WebLogic Tuxedo Connector では、Tuxedo アクセス ポイント間の通信に必要な相互運用属性に類似した属性を使用します。
以下の節では、WebLogic Tuxedo Connector のコンフィグレーション情報について説明します。
注意 : 動的ステータスの詳細については、「ConnectionPolicy の動的ステータスへの影響」を参照してください。
アクセス ポイントがリモート アクセス ポイントとの接続を確立する条件を指定できるオプションがいくつかあります。これらの条件は、WTC サービスのローカル Tuxedo アクセス ポイントおよびリモート Tuxedo アクセス ポイントのコンフィグレーションで [接続] タブの ConnectionPolicy
属性を使用して指定します。次の接続ポリシーのいずれかを選択できます。
On Startup
および Incoming Only
の接続ポリシーでは、動的ステータスが呼び出されます。動的ステータスは、各リモート アクセス ポイントに関連してインポートされたサービスのステータスをチェックして、レポートします。
On Startup
のポリシーは、ゲートウェイ サーバの初期化時に、アクセス ポイントがリモート アクセス ポイントを使用して接続を確立することを示します。この接続ポリシーは、RetryInterval
パラメータと MaxRetries
パラメータで指定された一定の間隔で、エラーとなった接続を再試行します。起動時に接続を要求するには、ローカル Tuxedo アクセス ポイントの [接続] タブで ConnectionPolicy
属性を On Startup
に設定します。
自動接続の試行の頻度は、接続を再試行する前にアクセス ポイントが待機する間隔 (秒) を指定することによって制御できます。最小値は 0、デフォルト値は 60、そして最大値は 2147483647 です。
注意 : ConnectionPolicy
が On Startup
に設定されているときだけ使用してください。他の接続ポリシーの場合、再試行処理は無効になります。
MaxRetries
パラメータに値を割り当てることによって、アクセス ポイントが終了するまでにリモート アクセス ポイントへの接続を試行する回数を指定します。最小値は 0、デフォルトおよび最大値は 2147483647 です。
MaxRetries
を 0 に設定すると、自動接続の試行処理はオフになります。サーバは、リモート アクセス ポイントに自動接続しません。MaxRetries
に数値を設定すると、アクセス ポイントは指定された回数だけ接続を再試行してから終了します。MaxRetries
を 2147483647 に設定すると、再試行処理は無期限でまたは接続が確立するまで繰り返されます。注意 : ConnectionPolicy
を指定しない場合、WebLogic Tuxedo Connector は On Demand
の ConnectionPolicy
を使用します。
On Demand
の接続ポリシーは、リモート サービスに対するクライアント リクエスト、または管理接続コマンドのいずれかによって要求されたときのみに、接続が試行されることを示します。
Incoming Only
の接続ポリシーは、アクセス ポイントが起動時にリモート アクセス ポイントへの接続を確立しないことを示します。アクセス ポイントはリモート アクセス ポイントからの受信時接続に使用可能で、リモート サービスはアクセス ポイントが受信時接続を受け付けたときに通知されます。
注意 : LOCAL
の ConnectionPolicy
は、ローカル アクセス ポイントでは無効です。
LOCAL
の接続ポリシーは、リモート ドメインの接続ポリシーが明示的にローカル ドメインの ConnectionPolicy
属性値にデフォルト設定されることを示します。リモート アクセス ポイントの ConnectionPolicy
が定義されていない場合、システムは関連するローカル アクセス ポイントで指定されている設定を使用します。
動的ステータスは、リモート サービスの可用性を決定します。使用される接続ポリシーは、動的ステータス機能がサービスで使用可能かどうかを決定します。次の表は、ConnectionPolicy
の動的ステータス機能に対する影響を示します。
|
|
|
注意 : Tuxedo T/ Domain では、バックアップ リモート アクセス ポイントは 2 つに制限されています。WebLogic Tuxedo Connector には、サーバにコンフィグレーションできるバックアップ アクセス ポイントの数に制限はありません。
WebLogic Tuxedo Connector が提供するフェイルオーバは、プライマリ リモート アクセス ポイントでエラーが発生したとき、代替リモート アクセス ポイントにリクエストを転送するメカニズムです。このフェイルオーバは、アクセス ポイントが復元されると、プライマリ リモート アクセス ポイントにフェイルバックします。このレベルのフェイルオーバおよびフェイルバックは、動的ステータスに依存します。フェイルオーバとフェイルバックを有効にするには、アクセス ポイントが On Startup
または Incoming Only
の接続ポリシーでコンフィグレーションされている必要があります。
フェイルバックを使用するには、Connection Policy
パラメータの値に On Startup
または Incoming Only
を指定する必要があります。
On Demand
の接続ポリシーは、リモート アクセス ポイントが常に使用可能であることを想定して動作するため、フェイルバックには適しません。接続ポリシーとして On Startup
または Incoming Only
を指定しないと、サーバは Tuxedo の RDOM
パラメータを使用して指定した代替リモート アクセス ポイントにフェイルオーバできません。
注意 : リモート アクセス ポイントはそれに対するネットワーク接続があれば「使用可能」であり、それに対するネットワーク接続がなければ「使用不可能」です。
フェイルオーバをサポートするには、特定のサービスを実行する責任を持つリモート アクセス ポイントを指定する必要があります。WTC サービスで、以下の項目を指定する必要があります。
TOUPPER というサービスが、TDOM1
と TDOM3
という 2 つのリモート アクセス ポイントから使用可能であるとします。使用する WTC サービスには 2 つのリモート Tuxedo アクセス ポイント コンフィグレーションと 2 つのインポートされたサービス コンフィグレーションが含まれています。config.xml
ファイルに定義されている WTC サービスの内容は次のとおりです。
<WTCServer Name="WTCsimpapp"
<WTCExport EJBName="tuxedo.services.TOLOWERHome"
LocalAccessPoint="TDOM2" Name="myExportedResources"
ResourceName="TOLOWER"/><WTCImport LocalAccessPoint="TDOM2" Name="myImportedResources"
<WTCLocalTuxDom AccessPoint="TDOM2" AccessPointId="TDOM2"
RemoteAccessPointList="TDOM1" ResourceName="TOUPPER"/>
<WTCImport LocalAccessPoint="TDOM2" Name="2ndImportedResources"
RemoteAccessPointList="TDOM3" ResourceName="TOUPPER"/>
ConnectionPolicy="ON_DEMAND" Interoperate="no"
NWAddr="//123.123.123.123:5678" Name="myLoclTuxDom" Security="NONE"/>
<WTCRemoteTuxDom AccessPoint="TDOM1" AccessPointId="TDOM1"
</WTCServer>
LocalAccessPoint="TDOM2" NWAddr="//123.123.123.123:1234"
Name="myRTuxDom"/>
<WTCRemoteTuxDom AccessPoint="TDOM3" AccessPointId="TDOM3"
LocalAccessPoint="TDOM2" NWAddr="//234.234.234.234:5555"
Name="2ndRemoteTuxDom"/>
フェイルバックは、プライマリ リモート アクセス ポイントへのネットワーク接続が、次の理由で再確立された場合に発生します。
注意 : Tuxedo 6.5 ユーザは、Interoperate
パラメータを Yes
に設定します。
ドメイン ゲートウェイは、リモート アクセス ポイントから要求された受信時接続、およびローカル アクセス ポイントから要求された送信時接続を認証するように設定できます。アプリケーション管理者は、リモート アクセス ポイントからの受信時接続のセキュリティを強化する必要のある場合を定義できます。WTC サービスのローカル Tuxedo アクセス ポイント コンフィグレーションの [セキュリティ] タブで [セキュリティ
] 属性を設定すると、特定のローカル アクセス ポイントで使用するセキュリティのレベルを指定できます。パスワード セキュリティには次のような 3 つのレベルがあります。
weblogic.wtc.gwt.genpasswd
ユーティリティを使用します。weblogic.wtc.gwt.genpasswd
ユーティリティを使用します。WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの [セキュリティ
] 属性は、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY
属性と一致していなければなりません。
注意 : PasswordKey
の割り当て方法については、「WebLogic Tuxedo Connector プロパティの設定方法」を参照してください。
weblogic.wtc.gwt.genpasswd
を使用して、ローカル パスワード、リモート パスワード、およびアプリケーション パスワードの属性の暗号パスワードを生成します。このユーティリティは、キーを使用して WTC サービスのパスワード コンフィグレーションまたはリソース コンフィグレーションにコピーされるパスワードを暗号化します。
-Dweblogic.wtc.PasswordKey=
mykey
引数なしでユーティリティを呼び出し、コマンドライン オプションを表示します。
$ java weblogic.wtc.gwt.genpasswd
Usage: genpasswd Key <LocalPassword|RemotePassword|AppPassword> <local|remote|application>
キー値、暗号化するパスワード、およびパスワード タイプを指定してこのユーティリティを呼び出します。
$ java weblogic.wtc.gwt.genpasswd Key1 LocalPassword1 local
このユーティリティは、エンコードされたパスワードとパスワード IV を返します。返された結果を切り取り、WTC サービスのパスワード コンフィグレーションの適切なフィールドに貼り付けます。
[ローカル パスワード] : my_password
[ローカル パスワード IV] : my_passwordIV
my_passwordIV
で表された文字列を切り取り、PasswordIV フィールドに貼り付けます。 次の例では、ローカル アクセス ポイントのパスワードとして「LocalPassword1」を暗号化するために key1 を使用します。
$ java weblogic.wtc.gwt.genpasswd key1 LocalPassword1 local
Local Password : FMTCg5Vi1mTGFds1U4GKIQQj7s2uTlg/ldBfy6Kb+yY=
Local Password IV : NAGikshMiTE=
次の例では、リモート アクセス ポイントのパスワードとして「RemotePassword1」を暗号化するために mykey を使用します。
$ java weblogic.wtc.gwt.genpasswd mykey RemotePassword1 remote
Remote Password : A/DgdJYOJunFUFJa62YmPgsHan8pC02zPT0T7EigaVg=
Remote Password IV : ohYHxzhYHP0=
次の例では、アプリケーション パスワードとして「test123」を暗号化するために mykey を使用します。
$ java weblogic.wtc.gwt.genpasswd mykey test123 application
App Password : uou2MALQEZgNqt8abNKiC9ADN5gHDLviqO+Xt/VjakE=
App Password IV : eQuKjOaPfCw=
アクセス制御リスト (ACL) は、サービスを実行できるリモート Tuxedo アクセス ポイントを制限することによって、ローカル アクセス ポイントの内部にあるローカル サービスへのアクセスを制限します。リモート Tuxedo アクセス ポイントからの着信ポリシーは、AclPolicy
属性を使用して指定します。リモート Tuxedo ドメインへの発信ポリシーは、CredentialPolicy
属性を使用して指定します。これによって、WebLogic Server と Tuxedo アプリケーションは同じセットのユーザを共有でき、ユーザはあるシステムから別のシステムへユーザの資格を伝播できます。
AclPolicy
および CredentialPolicy
の有効な値は次のとおりです。
WebLogic Tuxedo Connector の ACL ポリシーが「Local
」に設定されている場合、ローカル サービスへのアクセスは、CredentialPolicy
には依存しません。Tuxedo リモート ドメインの DOMAINID
は、ローカルな WebLogic Server ユーザとして認証されます。WebLogic Tuxedo Connector で DOMAINID
がローカル ユーザとして認証されるようにするには、WebLogic Server コンソールを使用して、以下の手順を実行します。
WebLogic Tuxedo Connector の ACL ポリシーが「GLOBAL
」になっている場合、ローカル サービスへのアクセスは、CredentialPolicy
によって異なります。
CredentialPolicy
が GLOBAL
に設定された状態でリモート ドメインが実行されている場合、リクエストには呼び出し側の資格があります。
CredentialPolicy
が LOCAL
に設定された状態でリモート ドメインが実行されている場合、その結果は呼び出しを発行したユーザ コンフィグレーションによって異なります。
Tuxedo 6.5 ユーザは、Interoperate
パラメータを Yes
に設定します。AclPolicy
要素と CredentialPolicy
要素は無視され、Tuxedo リモート ドメイン DOMAINID
は、ローカル WebLogic Server ユーザとして認証されます。ユーザ セキュリティ機能が必要で、かつ WebLogic Tuxedo Connector を使用する場合は、Tuxedo 7.1 以上にアップグレードする必要があります。
以下の節では、Tuxedo にセキュリティ情報を提供するように WebLogic Tuxedo をコンフィグレーションする方法について説明します。
TpUsrFile プラグインでは、シングル ポイント セキュリティ管理またはカスタム セキュリティ認証を必要としないユーザ向けに、従来の Tuxedo TpUsrFile 機能が提供されます。Tuxedo アプリケーションと WebLogic Server アプリケーションの間で TpUsrFile プラグインの AppKey ジェネレータを使用してセキュリティを提供するように WebLogic Tuxedo Connector をコンフィグレーションするには、次の手順に従います。
WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの security
属性を、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY パラメータと一致するように設定します。
WTC サービスのリモート Tuxedo アクセス ポイントの [セキュリティ] タブを、着信および発信のアクセス制御リスト (ACL) ポリシーを確立するようにコンフィグレーションします。
WebLogic Server 環境を準備するには、次の手順を実行します。
WebLogic Server 環境に Tuxedo tpusr
ファイルのコピーが必要です。TUXEDO から WebLogic Server アプリケーション環境に tpusr
ファイルをコピーするか、独自の tpusr
ファイルを生成します。Tuxedo tpusr ファイル作成の詳細については、「ユーザ レベルの認証によるセキュリティを有効にする方法」を参照してください。
TpUsrFile の場所は、リモート Tuxedo アクセス ポイント コンフィグレーションまたはリソース コンフィグレーションから指定できます。TpUsrFile 属性の値の割り当ては、リモート Tuxedo アクセス ポイントのすべてのコンフィグレーションで個別に行うよりも、WTC サービス レベルでグローバルに行う方が簡単です。TpUsrFile 属性のコンフィグレーションに最も適した場所を決定するには、次のガイドラインに従ってください。
LDAP プラグインではシングル ポイント セキュリティ管理が提供され、WebLogic Server 組み込み LDAP サーバでのユーザ セキュリティ情報の管理、および WebLogic Server Console を使用した単一システムからのセキュリティ情報の管理が可能になります。Tuxedo 8.1 以降が必要です。Tuxedo アプリケーションと WebLogic Server アプリケーションの間で LDAP プラグインの AppKey ジェネレータを使用してセキュリティを提供するように WebLogic Tuxedo Connector をコンフィグレーションするには、次の手順に従います。
シングル ポイント セキュリティ管理の実装方法の詳細については、「シングル ポイント セキュリティ管理のインプリメント」を参照してください。WebLogic Security の詳細については、『WebLogic Security の紹介』を参照してください。
WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの security
属性を、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY パラメータと一致するように設定します。
WTC サービスのリモート Tuxedo アクセス ポイントの [セキュリティ] タブを、着信および発信のアクセス制御リスト (ACL) ポリシーを確立するようにコンフィグレーションします。
WebLogic Server 環境を準備するには、次の手順を実行します。
注意 : カスタム プラグインの作成方法の詳細については、「カスタム AppKey プラグインの作成方法」を参照してください。
カスタム プラグインを使用すると、カスタマイズされたセキュリティ認証を作成できます。Tuxedo アプリケーションと WebLogic Server アプリケーションの間でカスタム プラグインの AppKey ジェネレータを使用してセキュリティを提供するように WebLogic Tuxedo Connector をコンフィグレーションするには、次の手順に従います。
WTC サービスのローカル Tuxedo アクセス ポイントの [セキュリティ] タブの security
属性を、Tuxedo ドメイン コンフィグレーション ファイルの *DM_LOCAL_DOMAINS セクションの SECURITY パラメータと一致するように設定します。
WTC サービスのリモート Tuxedo アクセス ポイントの [セキュリティ] タブを、着信および発信のアクセス制御リスト (ACL) ポリシーを確立するようにコンフィグレーションします。
WebLogic Server 環境を準備するには、次の手順を実行します。
リモート Tuxedo アクセス ポイントの [セキュリティ] タブの [匿名アクセスを許可する] 属性では、匿名ユーザによる Tuxedo へのアクセスを許可するかどうかを指定します。匿名ユーザによる Tuxedo へのアクセスを許可する場合、TpUsrFile と LDAP の AppKey プラグインには [デフォルト AppKey] 属性の値が使用されます。TpUsrFile プラグインと LDAP AppKey プラグインでは、[匿名アクセスを許可する] 属性が有効な場合以外は、ユーザ データベースに定義されていないユーザによる Tuxedo へのアクセスが許可されません。カスタム AppKey プラグインとの対話は、カスタム AppKey ジェネレータの設計に応じて異なります。
[デフォルト AppKey] のデフォルト値は -1 です。この値を使用する場合は、このキー値に割り当てられているユーザが Tuxedo 環境に存在することを確認する必要があります。[デフォルト AppKey] の値を 0 にしないでください。一部のシステムでは、0 はユーザをルートに指定します。
ATMI サービスと CORBA サービスによる匿名ユーザの認証方法の違いを理解しておく必要があります。ATMI サービスは、メッセージと共に送信される [デフォルト AppKey] の値を使用します。CORBA サービスは、デフォルトの WebLogic Server 匿名ユーザ名である「anonymous」を使用して、Tuxedo tpusr ファイルに定義されているユーザの資格を識別します。CORBA を使用する場合に、認証されたユーザになるには次のいずれかの方法を使用して匿名ユーザをコンフィグレーションする必要があります。
データの機密性を守るために暗号化を使用できます。これによって、ネットワークベースの傍受者は、あるドメイン ゲートウェイから別のドメイン ゲートウェイに送信されるメッセージやアプリケーション生成メッセージの内容を知ることができなくなります。このセキュリティ メカニズムをコンフィグレーションするには、WTC サービスのリモート Tuxedo アクセス ポイント コンフィグレーションの [セキュリティ] タブで MINENCRYPTBITS
属性および MAXENCRYPTBITS
属性を設定します。
注意 : 暗号を使用するには、適切なライセンスが必要です。ライセンス要件の詳細については、「ライセンス」を参照してください。