WebLogic Server のセキュリティ

デフォルト セキュリティ コンフィグレーションのカスタマイズ

以下の節では、デフォルトのセキュリティ コンフィグレーションをカスタマイズし、新しいセキュリティ レルムを作成する方法について説明します。

• デフォルト セキュリティ コンフィグレーションをカスタマイズする理由
• 新しいセキュリティ レルム作成時のコンフィグレーション上の決定
• 新しいセキュリティ レルムの作成 : 主な手順

セキュリティ プロバイダのコンフィグレーションの詳細については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。

セキュリティ データの新しいセキュリティ レルムへの移行については、「セキュリティ データの移行」を参照してください。

 

---

デフォルト セキュリティ コンフィグレーションをカスタマイズする理由

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ コンフィグレーションが用意されています。デフォルト セキュリティ コンフィグレーションでは、myrealm がデフォルト (アクティブ) セキュリティ レルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、ロール マッピング、および証明書パスの各プロバイダがセキュリティ プロバイダとして定義されています。

デフォルト セキュリティ コンフィグレーションは、以下の場合にカスタマイズします。

• WebLogic セキュリティ プロバイダの 1 つを別のセキュリティ プロバイダに置き換える。
• デフォルト セキュリティ レルムに別のセキュリティ プロバイダをコンフィグレーションする (たとえば、2 つの認証プロバイダを使用し、その 1 つで組み込み LDAP サーバを使用し、もう 1 つで Windows NT のユーザおよびグループ ストアを使用する場合)。
• WebLogic Server の組み込み LDAP サーバ以外の LDAP サーバにアクセスする認証プロバイダを使用する。
• WebLogic 認証プロバイダにユーザとグループを定義する代わりに、既存のユーザおよびグループ ストア (DBMS データベースなど) を使用する。
• デフォルト セキュリティ レルムに監査プロバイダを追加する。
• SAML アサーションまたは Kerberos トークンを処理する ID アサーション プロバイダを使用する。
• 証明書レジストリを使用してセキュリティ レルムに証明書失効を追加する。
• セキュリティ プロバイダのデフォルト コンフィグレーション設定を変更する。

セキュリティ レルムでさまざまなタイプのセキュリティ プロバイダをコンフィグレーションする方法については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。

デフォルト セキュリティ コンフィグレーションをカスタマイズする最も簡単な方法は、デフォルト セキュリティ レルム (myrealm) にセキュリティ プロバイダを追加することです。しかし、次の手順に従ってデフォルト セキュリティ コンフィグレーションをカスタマイズすることをお勧めします。

新しいセキュリティ レルムを作成します。
新しいセキュリティ レルムでセキュリティ プロバイダをコンフィグレーションします。
すべてのセキュリティ データ (ユーザやグループなど) を既存のデフォルト セキュリティ レルムから新しいレルムに移行します。
新しいセキュリティ レルムをデフォルト セキュリティ レルムとして設定します。

この章の以降の節では、新しいセキュリティ レルムを作成するときに必要なコンフィグレーション上の決定事項と、新しいセキュリティ レルムを作成するための主要な手順について説明します。セキュリティ レルムのコンフィグレーションは、新しいセキュリティ コンフィグレーションを作成するための手順の 1 つに過ぎません。新しいセキュリティ レルムを有効にするには、そのレルムでセキュリティ プロバイダをコンフィグレーションする必要があります。セキュリティ レルムでさまざまなタイプのセキュリティ プロバイダをコンフィグレーションする方法については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。

 

---

新しいセキュリティ レルム作成時のコンフィグレーション上の決定

新しいセキュリティ レルムを作成する前に、WebLogic Security サービスがデプロイメント記述子 (DD) に定義されているセキュリティ情報を利用する方法、URL と EJB を保護する方法、および資格マップを管理する方法について決定しておく必要があります。

新しいセキュリティ レルムを作成する際には、以下のことを検討します。

• Web アプリケーションと EJB に対するセキュリティ ロールおよびセキュリティ ポリシーを、デプロイメント記述子または WebLogic Administration Console で設定するかどうか。

WebLogic Security サービスが DD に定義されているセキュリティ情報をどのように使用するかは、[ロールとポリシーのチェック] オプションで指定します。このオプションは、次のように設定します。

• [デプロイメント記述子で保護された Web アプリケーションと EJB] - このオプションを指定すると、WebLogic Security サービスは、関連するデプロイメント記述子 (DD) でセキュリティが指定されている URL および EJB リソースに対してのみセキュリティ チェックを実行します。このオプションは、[ロールとポリシーのチェック] のデフォルトの設定です。
• [すべての Web アプリケーションと EJB] - このオプションを指定すると、WebLogic Security サービスは、WebLogic リソースのデプロイメント記述子 (DD) にセキュリティ設定があるかどうかに関係なく、すべての URL (Web) および EJB リソースに対してセキュリティ チェックを実行します。[ロールとポリシーのチェック] ドロップダウン メニューの設定を [すべての Web アプリケーションと EJB] に変更する場合は、手順 2 で説明するように [今後の再デプロイの設定] を指定します。
• URL および EJB リソースを保護する方法。WebLogic リソースを保護する方法は、[今後の再デプロイの設定] オプションで指定します。このオプションは、次のように設定します。
• WebLogic Administration Console だけを使用して URL および EJB リソースを保護するには、[デプロイメント記述子のロールとポリシーを無視] オプションを選択します。
• デプロイメント記述子 (ejb-jar.xml、weblogic-ejb-jar.xml、web.xml、および weblogic.xml ファイル) だけを使用して URL および EJB リソースを保護するには、[デプロイメント記述子のロールとポリシーを初期化] オプションを選択します。
• 資格マップを作成および管理する方法。リソース アダプタのデプロイメント記述子ファイル (weblogic-ra.xml) から組み込み LDAP サーバに資格マップをロードし、WebLogic Administration Console を使用して、新しい資格マップを作成するか、またはデプロイメント記述子で定義されている資格マップを変更します。

weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバに情報をロードしても、元のリソース アダプタはそのまま変更されません。したがって、元のリソース アダプタを再デプロイすると (WebLogic Administration Console から再デプロイする、ディスク上で変更する、または WebLogic Server を再起動する場合に発生)、weblogic-ra.xml デプロイメント記述子ファイルからデータが再びインポートされて、資格マッピング情報は失われる可能性があります。

• Web リソースを使用するかどうか。

Web リソースは、このリリースの WebLogic Server で非推奨になりました。新しいセキュリティ レルムで、URL リソースではなく Web リソースを使用するカスタム認可プロバイダをコンフィグレーションする場合は、新しいセキュリティ レルムの [非推奨の Web リソースを使用] を有効にしてください。このオプションによってサーブレット コンテナの実行時の動作が変更され、認可を実行する際に URL リソースではなく Web リソースが使用されます。

注意 : 新しいセキュリティ レルムを作成する場合、少なくとも 1 つのコンフィグレーション済み認証プロバイダがアサートされた LoginModule を返す必要があります。それ以外の場合、デプロイメント記述子に定義される run-as タグが有効になりません。

詳細については、Administration Console オンライン ヘルプの「新しいセキュリティ レルムのコンフィグレーション」を参照してください。

 

---

新しいセキュリティ レルムの作成 : 主な手順

新しいセキュリティ レルムを作成するには、次の手順に従います。

セキュリティ レルムの名前を定義し、コンフィグレーション オプションを設定します。詳細については、「新しいセキュリティ レルム作成時のコンフィグレーション上の決定」と Administration Console オンライン ヘルプの「新しいセキュリティ レルムのコンフィグレーション」を参照してください。
セキュリティ レルムで必要なセキュリティ プロバイダをコンフィグレーションします。有効なセキュリティ レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格マッピング プロバイダ、およびロール マッピング プロバイダが必須です。コンフィグレーションしない場合、新しいセキュリティ レルムをデフォルトのセキュリティ レルムとして設定できません。詳細については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
必要に応じて、ID アサーション、監査、および証明書レジストリ プロバイダを定義します。詳細については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
新しいセキュリティ レルムで WebLogic 認証プロバイダ、認可プロバイダ、資格マッピング プロバイダ、またはロール マッピング プロバイダ、または証明書レジストリをコンフィグレーションした場合は、組み込み LDAP サーバの設定が適切であるかどうかを検証してください。詳細については、「組み込み LDAP サーバの管理」を参照してください。
必要に応じて、セキュリティ レルムの WebLogic 認証プロバイダと LDAP 認証プロバイダのパフォーマンスを向上させるためのキャッシュをコンフィグレーションします。「WebLogic 認証プロバイダおよび LDAP 認証プロバイダのパフォーマンスの向上」を参照してください。
新しいセキュリティ レルム内の WebLogic リソースをセキュリティ ポリシーで保護します。セキュリティ ポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳しく理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対するセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。
ロックアウト属性を設定することによって、新しいセキュリティ レルムのユーザ アカウントを辞書攻撃から保護します。「ユーザ アカウントの保護」と Administration Console オンライン ヘルプの「ユーザ アカウントの保護」を参照してください。
新しいレルムを WebLogic Server ドメインのデフォルト セキュリティ レルムとして設定します。Administration Console オンライン ヘルプの「デフォルト セキュリティ レルムの変更」を参照してください。

WebLogic Scripting Tool または Java Management Extensions (JMX) API を使用して新しいセキュリティ コンフィグレーションを作成することもできます。詳細については、『WebLogic Scripting Tool ガイド』を参照してください。