WebLogic Server のセキュリティ
|
 |
 |
|
WebLogic Server には、セキュリティ データをセキュリティ レルムまたはセキュリティ プロバイダからエクスポートして、別のレルムまたはプロバイダにインポートする方法が用意されています。以下の節では、セキュリティ データのエクスポートとインポートについて説明します。
セキュリティ レルムは、さまざまな種類のセキュリティ データを永続的に保持します。WebLogic セキュリティ レルムのセキュリティ プロバイダで使用されるセキュリティ データには、WebLogic 認証プロバイダのユーザとグループ、WebLogic 認可プロバイダのセキュリティ ポリシー、WebLogic ロール マッピング プロバイダのセキュリティ ロール、WebLogic 資格マッピング プロバイダの資格マップなどがあります。新しいセキュリティ レルムまたはセキュリティ プロバイダをコンフィグレーションする場合、すべてのユーザ、グループ、ポリシー、ロール、および資格マップを再作成せずに、既存のセキュリティ レルムまたはセキュリティ プロバイダのセキュリティ データを使用できます。WebLogic セキュリティ プロバイダの一部は、セキュリティ データの移行をサポートしています。つまり、あるセキュリティ レルムからセキュリティ データをエクスポートして、新しいセキュリティ レルムへインポートできます。各セキュリティ プロバイダのセキュリティ データを個別に移行したり、すべての WebLogic セキュリティ プロバイダのセキュリティ データ (セキュリティ レルム全体のセキュリティ データ) を一度に移行したりできます。セキュリティ データの移行は、WebLogic Administration Console または WebLogic Scripting Tool (WLST) を使用して行います。
以下の節では、セキュリティ データを移行するときに理解しておく必要がある概念、WebLogic セキュリティ プロバイダによってサポートされるフォーマットと制約、および WLST を使用してセキュリティ データを移行する方法について説明します。
WebLogic Administration Console を使用したセキュリティ データの移行については、オンライン ヘルプの以下のトピックを参照してください。
フォーマットとは単に、セキュリティ データのエクスポートまたはインポート方法を指定するデータ フォーマットのことです。サポートされるフォーマットとは、特定のセキュリティ プロバイダが処理方法を理解しているデータ フォーマットのリストのことを指します。
制約とは、エクスポートまたはインポート処理のオプションの指定に使用されるキーと値の組み合わせです。制約を使用すると、セキュリティ プロバイダのデータベース (WebLogic Server セキュリティ プロバイダの場合は組み込み LDAP サーバ) からエクスポートまたはインポートするセキュリティ データを制御できます。たとえば、認証プロバイダのデータベースから、グループではなくユーザだけをエクスポートすることができます。サポートされる制約とは、特定のセキュリティ プロバイダの移行処理で指定できる制約のリストのことを指します。たとえば、認証プロバイダのデータベースを使用して、ユーザとグループをインポートできますが、セキュリティ ポリシーはインポートできません。
エクスポート ファイルとは、移行処理のエクスポートの段階で、セキュリティ データを (指定されたフォーマットで) 書き込むファイルのことです。インポート ファイルとは、移行処理のインポートの段階で、セキュリティ データを (指定されたフォーマットで) 読み込むファイルです。エクスポート ファイルとインポート ファイルのどちらも、あるセキュリティ プロバイダのデータ ストアから別の場所に移行する際の、セキュリティ データの一時的な格納場所です。
WebLogic Server はセキュリティ プロバイダの開発者に、標準の公開されたフォーマットを提供していません。このため、あるセキュリティ プロバイダから別のセキュリティ プロバイダにセキュリティ データをエクスポートおよびインポートするには、両方のセキュリティ プロバイダが同じフォーマットの処理方法を理解している必要があります。
注意 : WebLogic Server セキュリティ プロバイダで使用されるデータ フォーマットは非公開であるため、現時点では、WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダの間でセキュリティ データを移行することはできません。
WebLogic セキュリティ プロバイダでは、以下のフォーマットと制約がサポートされます。
WebLogic Administration Console では、ユーザとグループ、ユーザのみ、またはグループのみのエクスポートまたはインポートを選択できるため、WebLogic 認証プロバイダの場合にだけ制約が表示されます。
WebLogic 資格マッピング プロバイダから資格マップをエクスポートする場合、資格のパスワードをクリア テキストでエクスポートするかどうかを指定する必要があります。パスワードの暗号化に使用されるメカニズムは WebLogic Server ドメインごとに異なるため、別の WebLogic Server ドメインで使用する場合は、パスワードをクリア テキストでエクスポートできます。新しい WebLogic Server ドメインの WebLogic 資格マッピング プロバイダに資格マップがインポートされると、パスワードは暗号化されます。移行処理中にシステムでセキュアなデータを利用できるようにするため、クリア テキストの資格マップのエクスポート先となるディレクトリとファイルは慎重に保護してください。
WebLogic Scripting Tool (WLST) を使用して、セキュリティ プロバイダからデータをエクスポートしてインポートできます。データをインポートするための WLST コマンドの形式は次のとおりです。
cd("SecurityConfiguration/mydomain/DefaultRealm/myrealm/path-to-MBean/mbeanname")
cmo.importData(format,filename,constraints)
mbeanname - セキュリティ プロバイダ MBean の名前。
format - DefaultAtn、DefaultAtz、DefaultRoles、または DefaultCreds。
filename - セキュリティ データをエクスポートまたはインポートするディレクトリ位置とファイル名。WLST コマンドでは、使用するオペレーティング システムが UNIX か Windows かに関係なく、パス名引数のパス区切りとしてバック スラッシュではなくフォワード スラッシュを使用する必要があります。
constraints - エクスポートまたはインポートするデータを限定する制約。
詳細については、『WebLogic Scripting Tool ガイド』を参照してください。
注意 : weblogic.Admin ユーティリティは、このリリースの WebLogic Server では非推奨です。代わりに WLST を使用してください。
weblogic.Admin ユーティリティを使用して、セキュリティ レルムとセキュリティ プロバイダの間でセキュリティ データをエクスポートおよびインポートすることもできます。コマンドの形式は次のとおりです。
java weblogic.Admin -username username -password password \
INVOKE -mbean mbeanname \
-method methodname dataformat filename constraints
mbeanname - セキュリティ プロバイダ MBean の名前
methodname - exportData または importData
dataformat - DefaultAtn、DefaultAtz、DefaultRoles、DefaultCreds
filename - セキュリティ データをエクスポートおよびインポートするディレクトリ位置とファイル名
constraints - エクスポートまたはインポートするデータを限定する制約
注意 : セキュリティ データのエクスポート先ディレクトリおよびファイルは、デプロイメントに関するセキュアな情報が格納されるため、オペレーティング システムのセキュリティで慎重に保護する必要があります。
java weblogic.Admin -username system -password weblogic INVOKE -mbean Security:Name=myrealmDefaultAuthenticator -method importData DefaultAtn d:\temp\security.info " "
|
|
|